JP5956570B2 - ネットワークアクセス制御システムおよび方法 - Google Patents

ネットワークアクセス制御システムおよび方法 Download PDF

Info

Publication number
JP5956570B2
JP5956570B2 JP2014516890A JP2014516890A JP5956570B2 JP 5956570 B2 JP5956570 B2 JP 5956570B2 JP 2014516890 A JP2014516890 A JP 2014516890A JP 2014516890 A JP2014516890 A JP 2014516890A JP 5956570 B2 JP5956570 B2 JP 5956570B2
Authority
JP
Japan
Prior art keywords
thread
virtual address
access control
network
network access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014516890A
Other languages
English (en)
Other versions
JP2014520338A5 (ja
JP2014520338A (ja
Inventor
コ、ボ−スン
キム、スン−ウン
キム、サン−フン
パク、ミョン−ス
Original Assignee
インカ インターネット カンパニー リミテッド
インカ インターネット カンパニー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インカ インターネット カンパニー リミテッド, インカ インターネット カンパニー リミテッド filed Critical インカ インターネット カンパニー リミテッド
Publication of JP2014520338A publication Critical patent/JP2014520338A/ja
Publication of JP2014520338A5 publication Critical patent/JP2014520338A5/ja
Application granted granted Critical
Publication of JP5956570B2 publication Critical patent/JP5956570B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ネットワークアクセス制御システムおよび方法に係り、より詳しくは、プロセスにコードインジェクション(code injection)により挿入されたスレッドを基準にネットワークアクセスを制御するシステムおよび方法に関する。
インターネットはTCP/IP(Transmission Control Protocol/Internet Protocol)を使用するネットワークである。このようなインターネット技術が発達するにつれて、インターネットの使用領域が拡張されることにより、個人および一般企業においてもインターネット網に接続して各種情報を取得し、その情報を業務に利用している。ところが、上述したような情報取得の利点とは逆に、ウイルスなどの各種ハッキングプログラムがインターネットに横行し、インターネットに接続されたネットワーク網へのウイルスなどの侵入により、インターネットを使用するシステムが攻撃を受けるところもある。
このようなシステムに対する不正侵入を予防するためのセキュリティ技術として、マイクロソフト(Microsoft)社では、WINDOWS(登録商標) XPバーションからコンピュータまたはネットワークを保護するためのインターネット接続ファイアウォール(ICF:Internet Connection Firewall)を基本的に提供している。
インターネット接続ファイアウォールは、コンピュータユーザーの所望しないトラフィックが外部からコンピュータに持ち込まれたりコンピュータから外部に持ち出されたりしないようにするセキュリティ技術である。このために、インターネット接続ファイアウォールは、通信許可リストをテーブルとして構築し、ネットワークフィルタリング技術を用いてインバウンドパケット(外部からコンピュータに入ってくるパケット)およびアウトバウンドパケット(コンピュータから外部に出ていくパケット)を追跡し、これらのパケットを通信許可リストと比較する。該当パケットが通信許可リストに含まれる場合は、該当パケットのトラフィックを許可し、該当パケットが通信許可リストに含まれない場合は、該当パケットのトラフィックを遮断する。この際、通信許可リストには、ユーザーによって通信が許可されたプロセスのプロセスIDと経路が格納される。
図1は従来のインターネット接続ファイアウォールにおけるネットワークアクセス遮断方法を示す動作流れ図である。
インターネット接続ファイアウォールは、ネットワークパケットに対して、該当パケットを送信または受信するプロセスのプロセス情報(プロセスIDと経路)を分析し(S11)、該当プロセスIDと経路が通信許可リストに含まれる場合は(S12)、該当パケットのトラフィックを許可する(S13)。ところが、該当プロセスIDと経路が通信許可リストに含まれない場合は(S12)、該当プロセスが送信または受信しようとするパケットを許可するか否かについてユーザーから検証を受ける(S14)。ユーザーが前記パケットの伝送を許可する場合は(S15)、通信許可リストに該当プロセスのプロセスIDと経路を追加し(S16)、該当パケットのトラフィックを許可する(S13)。一方、ユーザーが前記パケットの伝送を許可しない場合は(S15)、該当パケットのトラフィックを遮断する(S17)。
このような従来のインターネット接続ファイアウォールにおけるネットワークアクセス遮断方法は、プロセスIDを基準にパケットトラフィックを許可または遮断するため、ハッカーが通信の許可されたプロセスに悪質なコードを挿入し、その悪質なコードが動作してパケットトラフィックを発生する場合にはそれを遮断することができないという問題点がある。
次に、これをより詳しく説明する。
通常、インターネットエクスプローラー(iexplore.exe)は、WINDOWS(登録商標)OSの下で広く用いられるWebブラウザプログラムであって、アウトバウンドパケットやインバウンドパケットなどのトラフィックを随時発生する。よって、インターネットエクスプローラーで発生したパケットの伝送に対して検証が要請されると、ユーザーは特に疑いなく許可するだろう。その場合、インターネットエクスプローラーが外部に持ち出すアウトバウンドパケット、および外部からインターネットエクスプローラーに持ち込まれるインバウンドパケットが全てユーザーの追加検証なしで許可されるであろう。
一方、トロイの木馬(trojan)やゼウス(Zeus)などのプログラムは、プロセスにコードインジェクション(code injection)を行って悪質なコードを挿入し、その悪質なコードがスレッドを生成するようにする。最近、ゼウスプログラムによってユーザーコンピュータに挿入された悪質なコードが、コンピュータに記憶された銀行取引口座や暗証番号などの金融情報をハッカーに流出させ、ハッカーがその金融情報を用いて中小企業や地方自治団体の銀行アカウントにアクセスして現金を引き出す金融事故が発生したことがある。
例えば、図2に示すように、インターネットエクスプローラーに悪質なコードが挿入されてその悪質なコードをベースとしてスレッドが生成され、その悪質なスレッド(Thread3)が悪意的に情報を流出させようとすると仮定する。この場合、インターネット接続ファイアウォールは、プロセスID(すなわち、インターネットエクスプローラー(iexplore.exe))を用いて通信許可リストを検索してインターネットエクスプローラーのネットワークアクセスを制御する。すなわち、インターネットエクスプローラーが通信許可リストに含まれている場合は、その悪質なスレッドによる悪意のある情報流出を許可し、インターネットエクスプローラーが通信許可リストに含まれていない場合は、その悪質なスレッドによる悪意のある情報流出を遮断する。勿論、インターネット接続ファイアウォールは、インターネットエクスプローラーの他の正常スレッドによる正常パケットに対してはプロセスIDを基準にそのネットワークアクセスを制御する。
したがって、ユーザーがインターネットエクスプローラーに対してネットワークアクセスを許可すれば、他の正常スレッドによる正常パケットの伝送が円滑に行われてユーザーが不便なくインターネットに接続することができるが、インターネットエクスプローラーに含まれた悪質なスレッドによるネットワークアクセスも全て許可されるため、セキュリティが脆弱になるという問題点がある。
これに対し、ユーザーがインターネットエクスプローラーに対してネットワークアクセスを許可しなければ、悪質なスレッドによる悪意のある情報流出を防止することはできるが、他の正常スレッドによる正常パケットの伝送も全て遮断されるため、ユーザーのインターネット使用に大きな不便さが伴う。
本発明は、上述した従来の技術の問題点を解決するために案出されたもので、その目的は、プロセスIDだけでなく、スレッドIDに基づいてネットワークパケットのトラフィックを許可または遮断することにより、ユーザーの便宜性およびセキュリティの強度を向上させたネットワークアクセス制御システムおよび方法を提供することにある。
本発明に係るネットワークアクセス制御システムは、プロセスに含まれたコードインジェクション基盤スレッドを探知するプロセス検査部と、ネットワークフィルタリングによって、ネットワークにアクセスするネットワークパケットを探知し、探知された前記ネットワークパケットの通信主体が前記コードインジェクション基盤スレッドである場合は前記探知されたネットワークパケットのトラフィックが遮断されるようにするネットワーク監視部とを含んでなることを特徴とする。
また、本発明に係るネットワークアクセス制御方法は、ネットワークアクセス制御システムが、コンピュータで実行されるプロセス情報を収集する第1段階と、前記ネットワークアクセス制御システムが、収集された前記プロセス情報に対して、コードインジェクションされた仮想アドレス空間領域を探知する第2段階と、前記ネットワークアクセス制御システムが、前記コードインジェクションされた仮想アドレス空間にコードインジェクション基盤スレッドが存在するかを探知する第3段階と、前記ネットワークアクセス制御システムがネットワークフィルタリングしてネットワークパケットのトラフィックを収集する第4段階と、前記ネットワークアクセス制御システムが前記コードインジェクション基盤スレッドの情報を用いて前記ネットワークパケットのトラフィックを許可または遮断する第5段階とを含んでなることを特徴とする。
上述したように、本発明によれば、プロセスにコードインジェクションにより挿入された悪質なコードによって生成された悪質なスレッドによる悪意のある情報流出を実時間で遮断することができるという効果がある。また、本発明によれば、同じプロセスであっても、スレッド別に許可/遮断を決定し、正常スレッドによる正常なネットワークアクセスは許可し、悪質なスレッドによる悪意のあるネットワークアクセスは遮断することにより、ユーザーの便宜性およびセキュリティの強度を向上させることができるという効果がある。
従来のインターネット接続ファイアウォールにおけるネットワークアクセス遮断方法を示す動作流れ図である。 従来の技術に係るネットワークアクセス遮断方法の問題点を説明するために示す図である。 本発明に係るネットワークアクセス制御システムの構成ブロック図である。 任意のプロセスのVadツリー構造を示す一例示図である。 図4のプロセスのVadツリー構造を表現したメモリ構造を示す図である。 本発明に係るネットワークアクセス制御方法を示す動作流れ図である。 図6における任意のプロセスのコードインジェクションされた仮想アドレス空間領域を探知する段階(S62)を詳細に示す動作流れ図である。 図6の段階S62で探知された、コードインジェクションされた仮想アドレス空間をベースとするスレッド、すなわちコードインジェクション基盤スレッドを探知する段階(S63)を詳細に示す動作流れ図である。 図6の段階S63で探知されたコードインジェクション基盤スレッド情報を用いてネートワークパケットを制御する段階(S65)を詳細に示す動作流れ図である。
以下、添付図面を参照して、本発明に係るネットワークアクセス制御システムおよび方法をより詳細に説明する。
図3は本発明に係るネットワークアクセス制御システムの構成ブロック図である。
本発明に係るネットワークアクセス制御システムは、プロセスに対してコードインジェクション基盤スレッドを探知するプロセス検査部310と、ネットワークフィルタリングによって、ネットワークにアクセスするネットワークパケットを探知し、探知された前記ネットワークパケットの通信主体が前記コードインジェクション基盤スレッドである場合は、前記探知されたネットワークパケットの伝送が遮断されるようにするネットワーク監視部320とを含む。
プロセス検査部310は、コンピュータ上で実行されているプロセス情報を収集するプロセス情報収集部311と、前記プロセス情報収集部で収集されたプロセスに対して、コードインジェクションされた領域を探知するコードインジェクション探知部312と、前記コードインジェクションされた領域をベースとして生成されたスレッドを探知するコードインジェクション基盤スレッド探知部313とを含む。
ネットワーク監視部320は、ネットワークフィルタリングを行ってネートワークパケットを探知するネットワークフィルター部321と、前記ネットワークパケットの通信(送信または受信)する主体のプロセスIDおよびスレッドIDを基準に前記ネットワークパケットの伝送を許可または遮断するネットワーク遮断部322とを含む。
プロセス情報収集部311は、コンピュータ上で実行されているプロセスに対してプロセス別にプロセス構造体を収集することにより、プロセス情報を収集する。
プロセス情報収集部311がプロセス別プロセス情報を収集する方法としては、多様な方法、たとえば、psapi.dllのEnumProcesses関数を用いてプロセスを列挙し、各プロセス別プロセス構造体を収集する方法や、ZwQuerySystemInformation関数を用いてプロセス情報を獲得し、プロセス別プロセス構造体を収集する方法、カーネル全域変数であるPspCidTableを調査してプロセス別プロセス構造体(EProcess)を収集する方法、カーネル全域変数であるPspCidTableを調査してスレッド構造体(EThread)を収集した後、スレッド構造体(EThread)のプロセスメンバーを介してプロセス構造体(EProcess)を収集する方法、任意のプロセスのプロセス構造体(EProcess)のハンドルテーブル(HandleTable)を検査し、残りのプロセス別プロセス構造体(EProcess)を収集する方法、実行されたプロセスを管理するcsrss.exeの内部プロセス情報項目を収集する方法、プロセス構造体(EProcess)のメモリ常駐パターンでメモリスキャンを介してプロセス別プロセス構造体(EProcess)を収集する方法、スレッド構造体(EThread)のメモリ常駐パターンでメモリスキャンを介してスレッド別スレッド構造体(ETread)を収集した後、収集されたスレッド構造体(EThread)のプロセスメンバーを介してプロセス別プロセス構造体(EProcess)を収集する方法などが含まれる。
コードインジェクション探知部312は、プロセス情報収集部311で収集された各プロセスに対して、コードインジェクションされた領域を探知する。コードインジェクション探知部312は、プロセスに割り当てられた仮想アドレス空間情報を収集する仮想アドレス空間情報収集部312aと、収集された仮想アドレス空間に対してコードインジェクション有無を調査する仮想アドレス空間調査部312bとを含む。
仮想アドレス空間情報収集部312aが、プロセスに割り当てられた仮想アドレス空間情報を収集する方法としては、カーネルレベル(Kernel Level)でプロセス構造体(EProcess)のVadRootメンバーを検査する方法と、ユーザーレベル(User Level)でVirtualQueryEx関数を使用する方法がある。
仮想アドレス空間情報収集部312aがプロセス構造体(EProcess)のVadRootメンバーを検査し、プロセスに割り当てられた仮想アドレス空間情報を収集する方法について詳細に説明する。ここで、Vadとは仮想アドレス記述子(Virtual address Descriptor)を意味し、通常、一つのプロセスには多数の仮想アドレス空間が割り当てられるが、それぞれのVadはプロセスに割り当てられたそれぞれの仮想アドレス空間を表現する。
プロセス情報収集部311で収集されたプロセス構造体(EProcess)は、カーネルレベル(Kernel Level)で管理する客体であって、プロセスの内部情報を含み、その中でもVadRootメンバーを含む。このVadRootは、ツリー形態の資料構造であって、プロセスに割り当てられたメモリアドレス情報を管理する。
図4は任意のプロセスのVadツリー構造を示す一例示図である。図4における各四角ブロックは、一つのVadに該当し、仮想アドレス空間の仮想ページ番号(VPN;Virtual Page Number)の開始アドレス(StartVPN)および終了アドレス(EndVPN)と、メモリタイプ(Private/Mapped Exe/Mapped)と、プロテクト(protect)フラグ値(READWRITE/READONLY/EXE_WRITE_COPY)が記載されている。仮想アドレス空間情報収集部312aは、プロセス構造体(EProcess)のVadRootをベースとして、プロセスに割り当てられた仮想アドレス空間にどの仮想アドレス範囲(開始アドレスと終了アドレス)が割り当てられているか、そしてその属性(メモリタイプ、プロテクトフラグ値)を確認して収集することができる。図5は図4のプロセスのVadツリー構造を表現したメモリ構造を示す図である。
次に、仮想アドレス空間情報収集部312aが、ユーザーレベルでVirtualQueryEx関数を用いて、プロセスに割り当てられた仮想アドレス空間情報を収集する方法について詳細に説明する。ユーザーレベルでVirtualQueryEx関数を使用すると、クエリーした仮想アドレスに対する情報を得ることができるが、VirtualQueryEx関数のクエリー結果がMEMORY_BASIC_INFORMATION構造体の形で得られる。このMEMORY_BASIC_INFORMATION構造体は、前述したVadRootを介して得られる情報と類似し、プロセスに割り当てられた仮想アドレス空間別に該当仮想アドレス空間に割り当てられた仮想アドレス範囲(開始アドレスと終了アドレス)と、その属性(メモリタイプ、プロテクトフラグ値)を確認することができる。
VirtualQueryEx関数の詳細な使用法は、次のリンクから確認することができる。
http://msdn.microsoft.com/en-us/library/aa366907(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/ms810627.aspx
仮想アドレス空間調査部312bは、仮想アドレス空間情報収集部312aで収集した各仮想アドレス空間の属性情報を用いて、該当仮想アドレス空間にコードインジェクション(code injection)が行われているかを調査する。プロセスに正常的に挿入されてロードされるDLLファイルの場合、そのDLLファイルに割り当てられた仮想アドレス空間のメモリタイプはマップタイプ(Mapped Type)であり、プロテクトフラグ値は実行可能(executable)である。一方、プロセスにコードインジェクションされた場合、そのコードインジェクションされた仮想アドレス空間のメモリタイプはプライベートタイプ(Private Type)であり、プロテクトフラグ値は実行可能(executable)である。
したがって、仮想アドレス空間調査部312bは、プロセスに割り当てられた仮想アドレス空間のうち、メモリタイプがマップタイプではなくプライベートタイプであり、プロテクトフラグ値が実行可能であれば、該当仮想アドレス空間をコードインジェクション領域として判断する。仮想アドレス空間調査部312bは、コードインジェクション領域として判断された仮想アドレス空間の仮想アドレス範囲(開始アドレスと終了アドレス)情報をコードインジェクション基盤スレッド探知部313に伝達する。
コードインジェクション基盤スレッド探知部313は、プロセスで実行される全てのスレッドに対して情報を収集するスレッド情報収集部313a、および前記収集されたスレッドの開始アドレス値(Win32StartAddress)と前記仮想アドレス空間調査部312bから提供されたコードインジェクションされた仮想アドレス空間の仮想アドレス範囲とを比較して、前記収集されたスレッドの開始アドレス値が前記コードインジェクションされた仮想アドレス空間の仮想アドレス範囲に属すれば、前記コードインジェクションされた仮想アドレス空間にコードインジェクション基盤スレッドが存在すると判断するアドレス比較部313bを含む。
スレッド情報収集部131aが、プロセスで実行される全てのスレッドに対する情報を収集する方法としては、多様な方法、たとえば、プロセス構造体(EProcess)のスレッドリストヘッド(ThreadListHead)を検査する方法や、ZwQuerySystemInformation関数を使用する方法などが含まれる。
まず、プロセス構造体(EProcess)のスレッドリストヘッドを検査する方法について説明する。プロセス構造体(EProcess)は、前述したように、カーネルレベル(Kernel Level)で使用するプロセスに対する情報を含む構造体であって、プロセス構造体のスレッドリストヘッド(ThreadListHead)メンバーにはプロセス内で動作中の全てのスレッドに対する情報が含まれる。スレッドリストヘッド(ThreadListHead)メンバーは連結リスト形態であり、ここに連結されたそれぞれのエントリーを介してスレッド構造体(EThread)を求めることができる。スレッド構造体(EThread)は、カーネルレベルで使用するスレッドに対する情報を含む構造体である。よって、スレッド情報収集部313aは、スレッドリストヘッド(ThreadListHead)メンバーを介してスレッド構造体を収集して検査し、該当プロセスに存在する全てのスレッドに対する情報を収集する。
次に、スレッド情報収集部313aがZwQuerySystemInformation関数を用いてスレッド情報を収集する方法について説明する。ZwQuerySystemInformation関数は、システム情報を求めるときに使用する関数であって、SystemInformationClassによって、得られる情報タイプが異なる。本発明では、SystemInformationClassをSystemProcessesAndThreadsInformationとして設定してZwQuerySystemInformation関数を呼び出すことにより、プロセス別スレッド情報を得る。
ZwQuerySystemInformation関数呼び出しが成功すると、SystemInformationで該当情報にアクセスすることができる。SystemInformationは、全プロセスと各プロセスに対するスレッド情報を含んでいるメモリ空間であって、SystemInformationを介してSYSTEM_PROCESSES構造体にアクセスすることができ、結局、配列として存在するSYSTEM_THREADSを得ることができる。また、SYSTEM_PROCESSES構造体のNextEntryDeltaメンバーを用いて次のプロセスに対するSYSTEM_PROCESSES構造体領域を探していくことができる。
次に、アドレス比較部313bは、プロセスで実行される任意のスレッドの開始アドレス値(Win32StartAddress)と、前記プロセスのコードインジェクションされた仮想アドレス空間の仮想アドレス範囲とを比較して、前記収集されたスレッドの開始アドレス値が前記コードインジェクションされた仮想アドレス空間の仮想アドレス範囲に属すると、前記コードインジェクション基盤スレッドが存在すると判断し、そのコードインジェクション基盤スレッドのプロセスIDおよびスレッドIDを遮断スレッドリストに追加してネットワーク遮断部322に伝達する。
ネットワークフィルター部321は、通常のネットワークフィルタリングを行ってネットワークパケットトラフィックを監視する。ネットワークフィルター部321のネットワークフィルタリング方法として、カーネルレベルではネットワークフィルタードライバーを使用することができる。ネットワークフィルタードライバーを使用する方法には、NDIS_OPEN_BLOCKフッキング方法、Ndis Intermediate Driver実現方法、TDIフッキング方法、WFP(WINDOWS(登録商標) Filtering Platform)を使用する方法などの多様な方法が含まれる。一方、ネットワークフィルター部321のネットワークフィルタリング方法として、ユーザーレベルでは、特定のプロセスをターゲットとして、該特定のプロセスが使用するソケット関数をフッキングしてネットワークパケットトラフィックを監視することができる。
ネットワーク遮断部322は、ネットワークパケットの送信または受信主体のプロセスIDとスレッドIDを用いて該当ネットワークパケットのトラフィックを許可または遮断する。すなわち、ネットワークパケットのスレッドIDが遮断スレッドリストに含まれる場合は、前記ネットワークパケットのトラフィックを遮断し、ネットワークパケットのスレッドIDが遮断スレッドリストに含まれないながらネットワークパケットのプロセスIDが許可プロセスリストに含まれる場合は、前記ネットワークパケットのトラフィックを許可する。一方、前記ネットワークパケットのプロセスIDが許可プロセスリストに含まれない場合は、ユーザーの検証を受け、前記ユーザー検証結果に基づいて該当トラフィックを許可または遮断する。
前述したように構成されたネットワークアクセス制御システムの動作を説明する。
図6は本発明に係るネットワークアクセス制御方法を示す動作流れ図である。
本発明に係るネットワークアクセス制御システムは、コンピュータで実行されるプロセス情報を収集する(S61)。次いで、収集された各プロセスに対して、コードインジェクションされた仮想アドレス空間領域を探知する(S62)。その後、そのコードインジェクションされた仮想アドレス空間にコードインジェクション基盤スレッドが存在するかを探知する(S63)。その次に、ネットワークパケットトラフィックが探知されると(S64)、前記コードインジェクション基盤スレッドをベースとして前記ネットワークパケットのトラフィックを許可または遮断する(S65)。
図7は図6における任意のプロセスのコードインジェクションされた仮想アドレス空間領域を探知する段階(S62)を詳細に示す動作流れ図である。
コードインジェクションされた仮想アドレス空間領域を探知する段階(S62)は、次のように行われる。ネットワークアクセス制御システムは、プロセスをなす仮想アドレス空間に対する情報を収集する(S71)。一つの仮想アドレス空間を検査対象仮想アドレス空間として選択し(S72)、前記検査対象仮想アドレス空間のメモリタイプがプライベートタイプであるか否かを検査する(S73)。段階S73で検査対象仮想アドレス空間のメモリタイプがプライベートタイプである場合は、前記検査対象仮想アドレス空間のプロテクトフラグ値が実行可能(EXECUTABLE)であるか否かを検査する(S74)。段階S74で検査対象仮想アドレス空間のプロテクトフラグ値が実行可能である場合は、前記検査対象仮想アドレス空間をコードインジェクション領域として判断し(S75)、コードインジェクションされた仮想アドレス空間の仮想アドレス範囲情報をコードインジェクション基盤スレッド探知部に伝達する(S76)。
その後、前記検査対象仮想アドレス空間が最後の仮想アドレス空間であるか否かを検査し(S77)、最後の仮想アドレス空間でない場合は、段階S72から繰り返し行う。一方、段階S73で検査対象仮想アドレス空間のメモリタイプがプライベートタイプではない場合、或いは段階S74で検査対象仮想アドレス空間のプロテクトフラグ値が実行可能でない場合は、段階S77に直ちに移行する。
図8は図6の段階S62で探知された、コードインジェクションされた仮想アドレス空間をベースとしたスレッド、すなわちコードインジェクション基盤スレッドを探知する段階(S63)を詳細に示す動作流れ図である。
コードインジェクション基盤スレッドを探知する段階(S63)は、次のように行われる。ネットワークアクセス制御システムは、コンピュータで実行されるスレッド情報を収集する(S81)。収集されたスレッド情報のうち、一つのスレッドを検査対象スレッドとして選択し(S82)、検査対象スレッドの開始アドレス値が、コードインジェクションされた仮想アドレス空間の仮想アドレス範囲に属するかを比較する(S83)。段階S83の比較結果、検査対象スレッドの開始アドレス値が、コードインジェクションされた仮想アドレス空間の仮想アドレス範囲に属すると(S84)、前記コードインジェクションされた仮想アドレス空間にコードインジェクション基盤スレッドが存在すると判断し(S85)、コードインジェクション基盤スレッドのプロセスIDおよびスレッドIDを遮断スレッドリストに含ませた後、ネットワーク遮断部へ伝達する(S86)。段階S86で前記コードインジェクション基盤スレッドのプロセスIDおよびスレッドIDに対してユーザーの検証を受けた後、遮断スレッドリストに含ませることもできる。
その後、前記検査対象スレッドが最後のスレッドであるか否かを検査し(S87)、最後のスレッドでない場合は、段階S82から繰り返し行う。一方、段階S84で検査対象スレッドの開始アドレス値が、コードインジェクションされた仮想アドレス空間の仮想アドレス範囲に属しない場合は、段階S87に直ちに移行する。
図9は図6の段階S63で探知されたコードインジェクション基盤スレッド情報を用いてネットワークパケットを制御する段階(S65)を詳細に示す動作流れ図である。
ネットワークパケット制御段階(S65)は、次のように行われる。ネットワークアクセス制御システムは、ネットワークフィルタリングを行って、コンピュータで送受信されるネットワークパケットを収集する(S91)。そして、収集されたネットワークパケットのプロセスIDとスレッドIDおよび全体経路情報を収集する(S92)。前記プロセスIDおよびスレッドIDが遮断スレッドリストに含まれる場合は(S93)、前記収集されたネットワークパケットのトラフィックを遮断する(S94)。段階S93で前記収集されたネットワークパケットのプロセスIDおよびスレッドIDが遮断スレッドリストに含まれない場合は、前記プロセスIDが許可プロセスリストに含まれるか否かを検査する(S95)。段階S95でプロセスIDが許可プロセスリストに含まれる場合は、前記収集されたネットワークパケットのトラフィックを許可する(S96)。
一方、段階S95でプロセスIDが許可プロセスリストに含まれない場合は、前記プロセスIDに対してユーザーの検証を要請し(S97)、ユーザーから許可される場合は(S98)、前記収集されたネットワークパケットのプロセスIDを許可プロセスリストに追加した後(S99)、前記収集されたネットワークパケットのトラフィックを許可する(S96)。一方、段階S98でユーザーから許可されない場合は、前記収集されたネットワークパケットのトラフィックを遮断する(S94)。
以上、本発明についての技術思想を添付図面と共に述べたが、これは本発明の最も良好な実施形態を例示的に説明したものに過ぎず、本発明を限定するものではない。また、当該技術分野における通常の知識を有する者であれば、本発明の技術思想の範疇を逸脱することなく様々な変形および模倣を加え得るのは明確な事実である。
310…プロセス検査部
311…プロセス情報収集部
312…コードインジェクション探知部
313…コードインジェクション基盤スレッド探知部
320…ネットワーク監視部
321…ネットワークフィルター部
322…ネットワーク遮断部

Claims (25)

  1. プロセスに含まれたコードインジェクション基盤スレッドを探知するプロセス検査部と、
    ネットワークフィルタリングによって、ネットワークにアクセスするネットワークパケットを探知し、探知された前記ネットワークパケットの通信主体が前記コードインジェクション基盤スレッドである場合は、前記探知されたネットワークパケットのトラフィックが遮断されるようにするネットワーク監視部とを含み、
    前記プロセス検査部は、コンピュータ上で実行されているプロセス情報を収集するプロセス情報収集部と、前記プロセス情報収集部で収集されたプロセスに対して、コードインジェクションされた領域を探知するコードインジェクション探知部と、前記コードインジェクションされた領域をベースとして生成されたスレッドを探知するコードインジェクション基盤スレッド探知部とを含むことを特徴とする、ネットワークアクセス制御システム。
  2. 前記プロセス情報収集部は、前記コンピュータ上で実行されているプロセス別にプロセス構造体を収集したことを特徴とする、請求項に記載のネットワークアクセス制御システム。
  3. 前記コードインジェクション探知部は、前記収集されたプロセスに割り当てられた仮想アドレス空間の仮想アドレス範囲と属性情報を収集する仮想アドレス空間情報収集部と、前記仮想アドレス空間情報収集部で収集された仮想アドレス空間に対してコードインジェクション有無を調査する仮想アドレス空間調査部とを含むことを特徴とする、請求項に記載のネットワークアクセス制御システム。
  4. 前記仮想アドレス空間情報収集部は、カーネルレベル(Kernel Level)でプロセス構造体(EProcess)のVadRootメンバーを検査し、前記収集されたプロセスに割り当てられた仮想アドレス空間の仮想アドレス範囲と属性情報を収集することを特徴とする、請求項に記載のネットワークアクセス制御システム。
  5. 前記仮想アドレス空間情報収集部は、ユーザーレベル(User Level)でVirtualQueryEx関数を用いて、前記収集されたプロセスに割り当てられた仮想アドレス空間の仮想アドレス範囲と属性情報を収集することを特徴とする、請求項に記載のネットワークアクセス制御システム。
  6. 前記仮想アドレス空間調査部は、前記仮想アドレス空間情報収集部で収集された前記仮想アドレス空間の属性情報のうち、メモリタイプがプライベートタイプ(Private type)でありかつプロテクトフラグ値が実行可能(executable)である場合は、前記仮想アドレス空間をコードインジェクション領域として判断することを特徴とする、請求項に記載のネットワークアクセス制御システム。
  7. 前記コードインジェクション基盤スレッド探知部は、コンピュータ上で実行されているスレッド情報を収集するスレッド情報収集部と、前記スレッド情報収集部で収集されたスレッドの開始アドレス値と、前記仮想アドレス空間調査部から提供されたコードインジェクションされた仮想アドレス空間の仮想アドレス範囲とを比較して、前記収集されたスレッドの開始アドレス値が前記コードインジェクションされた仮想アドレス空間の仮想アドレス範囲に属する場合は、前記コードインジェクションされた仮想アドレス空間にコードインジェクション基盤スレッドが存在すると判断するアドレス比較部とを含むことを特徴とする、請求項に記載のネットワークアクセス制御システム。
  8. 前記スレッド情報収集部は、プロセス構造体(EProcess)のスレッドリストヘッド(ThreadListHead)を検査し、前記コンピュータ上で実行されているスレッド情報を収集することを特徴とする、請求項に記載のネットワークアクセス制御システム。
  9. 前記スレッド情報収集部は、ZwQuerySystemInformation関数を用いて、前記コンピュータ上で実行されているスレッド情報を収集することを特徴とする、請求項に記載のネットワークアクセス制御システム。
  10. 前記ネットワーク監視部は、前記ネットワークパケットをフィルタリングするネットワークフィルター部と、前記ネットワークパケットの通信主体のプロセスIDおよびスレッドIDを基準に前記ネットワークパケットのトラフィックを許可または遮断するネットワーク遮断部とを含むことを特徴とする、請求項1に記載のネットワークアクセス制御システム。
  11. 前記ネットワークフィルター部は、カーネルレベルでネットワークフィルタードライバーを用いてネットワークフィルタリングすることを特徴とする、請求項10に記載のネットワークアクセス制御システム。
  12. 前記ネットワークフィルター部は、ユーザーレベルでプロセスが使用するソケット関数をフッキングしてネットワークフィルタリングすることを特徴とする、請求項10に記載のネットワークアクセス制御システム。
  13. ネットワークアクセス制御システムが、コンピュータで実行されるプロセス情報を収集する第1段階と、
    前記ネットワークアクセス制御システムが、収集された前記プロセス情報コードインジェクションされた領域を探知する第2段階と、
    前記ネットワークアクセス制御システムが、前記コードインジェクションされた領域をベースとして生成されたコードインジェクション基盤スレッドを探知する第3段階と、
    前記ネットワークアクセス制御システムがネットワークフィルタリングしてネットワークにアクセスするネットワークパケットのトラフィックを収集する第4段階と、
    前記ネットワークアクセス制御システムが、前記第4段階で探知された前記ネットワークパケットの通信主体が前記コードインジェクション基盤スレッドである場合は、前記探知されたネットワークパケットのトラフィック遮断されるようにする第5段階とを含んでなることを特徴とする、ネットワークアクセス制御方法。
  14. 前記第1段階は、前記コンピュータ上で実行されているプロセス別にプロセス構造体を収集することを特徴とする、請求項13に記載のネットワークアクセス制御方法。
  15. 前記第2段階は、前記ネットワークアクセス制御システムが、前記収集されたプロセスに割り当てられた仮想アドレス空間に対する情報を収集する第21段階と、
    前記ネットワークアクセス制御システムが、検査対象仮想アドレス空間を選択し、前記検査対象仮想アドレス空間のメモリタイプとプロテクトフラグ値を検査する第22段階と、前記第22段階の検査結果、前記検査対象仮想アドレス空間のメモリタイプがプライベートタイプでありかつプロテクトフラグ値が実行可能(EXECUTABLE)である場合は、前記検査対象仮想アドレス空間をコードインジェクション領域として判断する第23段階とを含むことを特徴とする、請求項13に記載のネットワークアクセス制御方法。
  16. 前記第21段階は、カーネルレベル(Kernel Level)でプロセス構造体(EProcess)のVadRootメンバーを検査し、前記収集されたプロセスに割り当てられた仮想アドレス空間の仮想アドレス範囲と属性情報を収集することを特徴とする、請求項15に記載のネットワークアクセス制御方法。
  17. 前記第21段階は、ユーザーレベル(User Level)でVirtalQueryEx関数を用いて、前記収集されたプロセスに割り当てられた仮想アドレス空間の仮想アドレス範囲と属性情報を収集することを特徴とする、請求項15に記載のネットワークアクセス制御方法。
  18. 前記第3段階は、前記ネットワークアクセス制御システムが、前記コンピュータで実行されるスレッド情報を収集する第31段階と、
    前記ネットワークアクセス制御システムが、検査対象スレッドを選択し、前記検査対象スレッドの開始アドレス値が前記コードインジェクションされた仮想アドレス空間の仮想アドレス範囲に属するかを比較する第32段階と、
    前記第32段階の比較結果、前記検査対象スレッドの開始アドレス値が前記コードインジェクションされた仮想アドレス空間の仮想アドレス範囲に属する場合は、前記コードインジェクションされた仮想アドレス空間にコードインジェクション基盤スレッドが存在すると判断する第33段階とを含むことを特徴とする、請求項13に記載のネットワークアクセス制御方法。
  19. 前記第33段階後、前記コードインジェクション基盤スレッドのプロセスIDおよびスレッドIDを遮断スレッドリストに含むことを特徴とする、請求項18に記載のネットワークアクセス制御方法。
  20. 前記第31段階は、プロセス構造体(EProcess)のスレッドリストヘッド(ThreadListHead)を検査し、前記コンピュータ上で実行されているスレッド情報を収集することを特徴とする、請求項18に記載のネットワークアクセス制御方法。
  21. 前記第31段階は、ZwQuerySystemInformation関数を用いて、前記コンピュータ上で実行されているスレッド情報を収集することを特徴とする、請求項18に記載のネットワークアクセス制御方法。
  22. 前記第4段階は、カーネルレベルでネットワークフィルタードライバーを用いてネットワークフィルタリングすることを特徴とする、請求項13に記載のネットワークアクセス制御方法。
  23. 前記第4段階は、ユーザーレベルでプロセスが使用するソケット関数をフッキングしてネットワークフィルタリングすることを特徴とする、請求項13に記載のネットワークアクセス制御方法。
  24. 前記第5段階は、前記ネットワークアクセス制御システムが、前記コードインジェクション基盤スレッドのプロセスIDおよびスレッドIDを遮断スレッドリストに格納する第51段階と、
    前記ネットワークアクセス制御システムが、前記収集されたネットワークパケットのプロセスIDとスレッドID情報を収集する第52段階と、
    前記ネットワークアクセス制御システムが、前記第52段階で収集された前記プロセスIDおよびスレッドIDが前記遮断スレッドリストに含まれる場合は、前記収集されたネットワークパケットのトラフィックを遮断する第53段階と、
    前記ネットワークアクセス制御システムが、前記収集されたネットワークパケットのプロセスIDおよびスレッドIDが遮断スレッドリストに含まれずかつ前記プロセスIDが許可プロセスリストに含まれる場合は、前記収集されたネットワークパケットのトラフィックを許可する第54段階とを含むことを特徴とする、請求項13に記載のネットワークアクセス制御方法。
  25. 前記第51段階は、前記ネットワークアクセス制御システムが、ユーザーの検証後、前記コードインジェクション基盤スレッドのプロセスIDおよびスレッドIDを遮断スレッドリストに格納することを特徴とする、請求項24に記載のネットワークアクセス制御方法。
JP2014516890A 2011-06-23 2012-04-26 ネットワークアクセス制御システムおよび方法 Active JP5956570B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR10-2011-0061162 2011-06-23
KR1020110061162A KR101206853B1 (ko) 2011-06-23 2011-06-23 네트워크 접근 제어시스템 및 방법
PCT/KR2012/003215 WO2012176978A2 (ko) 2011-06-23 2012-04-26 네트워크 접근 제어시스템 및 방법

Publications (3)

Publication Number Publication Date
JP2014520338A JP2014520338A (ja) 2014-08-21
JP2014520338A5 JP2014520338A5 (ja) 2015-06-18
JP5956570B2 true JP5956570B2 (ja) 2016-07-27

Family

ID=47423039

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014516890A Active JP5956570B2 (ja) 2011-06-23 2012-04-26 ネットワークアクセス制御システムおよび方法

Country Status (4)

Country Link
US (1) US9246937B2 (ja)
JP (1) JP5956570B2 (ja)
KR (1) KR101206853B1 (ja)
WO (1) WO2012176978A2 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101421630B1 (ko) 2013-01-28 2014-07-22 주식회사 잉카인터넷 코드 인젝션된 악성코드 탐지 시스템 및 방법
GB2510641A (en) * 2013-02-12 2014-08-13 F Secure Corp Detecting suspicious code injected into a process if function call return address points to suspicious memory area
KR101444141B1 (ko) * 2013-05-03 2014-09-26 주식회사 잉카인터넷 악성스레드 처리 시스템 및 방법
US9407602B2 (en) * 2013-11-07 2016-08-02 Attivo Networks, Inc. Methods and apparatus for redirecting attacks on a network
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9690928B2 (en) * 2014-10-25 2017-06-27 Mcafee, Inc. Computing platform security methods and apparatus
US20160357958A1 (en) * 2015-06-08 2016-12-08 Michael Guidry Computer System Security
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US10664594B2 (en) * 2017-06-30 2020-05-26 Microsoft Technology Licensing, Llc Accelerated code injection detection using operating system controlled memory attributes
WO2019032728A1 (en) 2017-08-08 2019-02-14 Sentinel Labs, Inc. METHODS, SYSTEMS AND DEVICES FOR DYNAMICALLY MODELING AND REGROUPING END POINTS FOR ONBOARD NETWORKING
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
WO2020236981A1 (en) 2019-05-20 2020-11-26 Sentinel Labs Israel Ltd. Systems and methods for executable code detection, automatic feature extraction and position independent code detection
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040089386A (ko) * 2003-04-14 2004-10-21 주식회사 하우리 메모리를 감염시키는 바이러스의 치료방법, 프로그램을기록한 컴퓨터로 읽을 수 있는 기록매체 및 바이러스의치료장치
KR20050053401A (ko) * 2003-12-02 2005-06-08 주식회사 하우리 컴퓨터 바이러스 방역방법과 그 프로그램을 기록한 기록매체
KR100468374B1 (ko) 2004-07-06 2005-01-31 주식회사 잉카인터넷 네트워크 유해 트래픽 제어 장치 및 방법
KR100645983B1 (ko) * 2005-08-31 2006-11-14 (주)와이즈로직 불법 프로세스 검출 모듈 및 그 방법
JP4811033B2 (ja) * 2006-01-30 2011-11-09 富士ゼロックス株式会社 情報処理装置
US8769672B2 (en) * 2006-08-03 2014-07-01 Symantec Corporation Code injection prevention
CN101350052B (zh) * 2007-10-15 2010-11-03 北京瑞星信息技术有限公司 发现计算机程序的恶意行为的方法和装置
US8387139B2 (en) 2008-02-04 2013-02-26 Microsoft Corporation Thread scanning and patching to disable injected malware threats
KR20100078081A (ko) 2008-12-30 2010-07-08 (주) 세인트 시큐리티 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법
KR101053470B1 (ko) 2009-04-14 2011-08-03 박한규 유해 트래픽 제어 및 해킹을 차단하는 장치 및 방법
KR101161008B1 (ko) * 2009-06-30 2012-07-02 주식회사 잉카인터넷 악성코드 탐지시스템 및 방법
KR101011145B1 (ko) * 2010-06-15 2011-01-26 주식회사 파수닷컴 응용 모듈 삽입 장치, 응용 모듈 삽입 기능을 구비한 컴퓨팅 장치 및 응용 모듈 삽입 방법을 실행하기 위한 프로그램을 기록한 기록매체

Also Published As

Publication number Publication date
US9246937B2 (en) 2016-01-26
WO2012176978A3 (ko) 2013-02-14
KR101206853B1 (ko) 2012-11-30
WO2012176978A2 (ko) 2012-12-27
US20140157366A1 (en) 2014-06-05
JP2014520338A (ja) 2014-08-21

Similar Documents

Publication Publication Date Title
JP5956570B2 (ja) ネットワークアクセス制御システムおよび方法
US8397292B2 (en) Method and device for online secure logging-on
US7941854B2 (en) Method and system for responding to a computer intrusion
US8205260B2 (en) Detection of window replacement by a malicious software program
CN107612924B (zh) 基于无线网络入侵的攻击者定位方法及装置
KR100670826B1 (ko) 인터넷 개인 정보 보호 방법 및 그 장치
US20140053267A1 (en) Method for identifying malicious executables
US20090300751A1 (en) Unique packet identifiers for preventing leakage of sensitive information
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
JPWO2006092931A1 (ja) ネットワーク接続制御プログラム、ネットワーク接続の制御方法及びネットワーク接続制御システム
Zhang et al. User intention-based traffic dependence analysis for anomaly detection
CN112351017B (zh) 横向渗透防护方法、装置、设备及存储介质
CN111901348A (zh) 主动网络威胁感知与拟态防御的方法及系统
CN105141573A (zh) 一种基于web访问合规性审计的安全防护方法和系统
CN113904820A (zh) 网络入侵防护方法、系统、计算机及可读存储介质
US8978150B1 (en) Data recovery service with automated identification and response to compromised user credentials
CN109120626A (zh) 安全威胁处理方法、系统、安全感知服务器及存储介质
KR20090044202A (ko) 웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를이용한 웹 보안 서비스 방법 및 그 시스템
CN112583841B (zh) 虚拟机安全防护方法及系统、电子设备和存储介质
CN108429746B (zh) 一种面向云租户的隐私数据保护方法及系统
US20220337604A1 (en) System And Method For Secure Network Access Of Terminal
CN111314370B (zh) 一种业务漏洞攻击行为的检测方法及装置
JP4792352B2 (ja) ネットワーク接続制御プログラム、ネットワーク接続制御方法及びネットワーク接続制御システム
KR102495373B1 (ko) 애플리케이션 검사 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
CN106790102A (zh) 一种基于url特征的qr码网络钓鱼识别方法及系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150422

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150422

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160524

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160616

R150 Certificate of patent or registration of utility model

Ref document number: 5956570

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250