JP6623702B2 - A network monitoring device and a virus detection method in the network monitoring device. - Google Patents
A network monitoring device and a virus detection method in the network monitoring device. Download PDFInfo
- Publication number
- JP6623702B2 JP6623702B2 JP2015221971A JP2015221971A JP6623702B2 JP 6623702 B2 JP6623702 B2 JP 6623702B2 JP 2015221971 A JP2015221971 A JP 2015221971A JP 2015221971 A JP2015221971 A JP 2015221971A JP 6623702 B2 JP6623702 B2 JP 6623702B2
- Authority
- JP
- Japan
- Prior art keywords
- content
- virus
- determined
- access
- category
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法に関する。 The present invention relates to a network monitoring device and a virus detection method in the network monitoring device.
ウイルス検知等、複数のセキュリティ機能を1台の筐体に収納したUTM(統合脅威管理:Unified Threat Management)は、例えば、企業内LAN(Local Area Network)と、インターネット等外部ネットワークとの境界に設置し、セキュリティゲートウエイとして使用されるネットワーク監視装置である。 UTM (Unified Threat Management), in which multiple security functions such as virus detection are housed in one case, is installed at the boundary between a corporate LAN (Local Area Network) and an external network such as the Internet, for example. And a network monitoring device used as a security gateway.
ところで、ウイルス検知方式には2種類ある。一つはプロキシ方式と称され、パケットからファイルを構築してウイルス検知を行う方式である。他の一つはストリーム方式と称され、パケット単位でウイルス検知を行う方式である。 By the way, there are two types of virus detection systems. One is a method called a proxy method, which constructs a file from a packet and performs virus detection. The other method is called a stream method, which is a method of detecting a virus on a packet basis.
プロキシ方式は、ファイル単位でウイルス検知を行うため、ウイルス検知率が高い反面、パケットを一旦バッファリングしてからファイルを構築するため、多くのメモリ資源を必要としウイルス検知に要する時間が長くなる。一方、ストリーム方式は、パケット単位でウイルス検知を行うため、短時間で多くのデータ量のウイルス検知を行うことができる反面、パケット間に跨るウイルス、つまり、ファイルを構築した際にウイルスとして機能するウイルスの検知ができない。 The proxy method performs virus detection on a file-by-file basis, and thus has a high virus detection rate. However, since a file is constructed after buffering packets once, a large amount of memory resources are required and the time required for virus detection is long. On the other hand, the stream method performs virus detection on a packet-by-packet basis, so virus detection of a large amount of data can be performed in a short time. On the other hand, it functions as a virus that extends between packets, that is, a virus when a file is constructed. Virus cannot be detected.
このため、従来のネットワーク監視装置は、セキュリティを優先してプロキシ方式に設定するか、処理速度等の性能を優先してプロキシ方式に設定するかの二者択一で運用せざるを得なかった。したがって、安全性か性能のいずれかを犠牲にすることになる。 For this reason, the conventional network monitoring device has to operate in either one of the setting of the proxy method with priority on security or the setting of the proxy method with priority on performance such as processing speed. . Thus, either security or performance is sacrificed.
このため、例えば、特許文献1に、ユーザの意志によりセキュリティレベルを変更可能とし、汎用ソフト等の実行時に効率的なウイルスチェックが可能な再生装置が提案されている。 For this reason, for example, Patent Document 1 proposes a reproducing apparatus that can change a security level according to a user's intention and that can efficiently check a virus when executing general-purpose software or the like.
特許文献1に開示された技術によれば、ウイルスチェックを複数段階に分けて行うことができる再生装置について説明されているが、ユーザがそのセキュリティレベルを設定するものであり、再生装置に予め記憶されたソフトウエアを実行する際に、設定されたセキュリティレベルに応じた認証動作を行う。したがって、利用シーンに応じて動的にセキュリティレベルを変更することはできない。 According to the technology disclosed in Patent Literature 1, a playback device capable of performing a virus check in a plurality of stages is described. However, a user sets the security level and stores the security level in advance in the playback device. When executing the set software, an authentication operation according to the set security level is performed. Therefore, the security level cannot be dynamically changed according to the usage scene.
本発明は上記課題を解決するためになされたものであり、利用シーンに応じてセキュリティレベルを動的に変更可能なネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法を提供することを目的とする。 The present invention has been made to solve the above-described problem, and has as its object to provide a network monitoring device capable of dynamically changing a security level according to a use scene and a virus detection method in the network monitoring device.
上記課題を解決するため、本発明のネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法は、以下のような解決手段を提供する。 In order to solve the above problems, a network monitoring device and a virus detection method in the network monitoring device of the present invention provide the following solutions.
(1)本発明に係る第1の態様は、ネットワーク監視装置であって、複数のアクセス先を記憶する記憶部と、前記複数のアクセス先が提供するコンテンツの属するカテゴリが制限対象でアクセスが禁止されているか否かについて、前記記憶部又はネットワークを介して接続される外部サーバを参照して判定する第1判定部と、前記第1判定部によってアクセスが禁止されていないと判定されたアクセス先が提供するコンテンツを受信し、前記コンテンツの属するカテゴリが危険か安全かを判定する第2判定部と、前記第2判定部によって安全と判定された前記コンテンツのファイルタイプを判定する第3判定部と、前記第2判定部によって危険と判定されたカテゴリに属する前記コンテンツ又は前記第3判定部によってファイルタイプを判定された前記コンテンツのウイルスを検知する検知部とを備え、前記検知部は、前記ウィルスの検知方式を、第1検知方式と第2検知方式に切り替え可能であって、前記第2判定部によってアクセス先のコンテンツの属するカテゴリが危険と判定された場合又は前記第3判定部によってアクセス先のコンテンツのファイルタイプがリアルタイム性を要しないと判定された場合は、前記ウィルスを前記第1検知方式により検知し、前記第3の判定部によってリアルタイム性を要すると判定された場合は、前記第2検知方式により検知することを特徴とする。
(1) A first aspect according to the present invention is a network monitoring device, wherein a storage unit for storing a plurality of access destinations, and a category to which content provided by the plurality of access destinations belongs is restricted and access is prohibited. A first determining unit that determines whether or not access has been performed by referring to the storage unit or an external server connected via a network, and an access destination that has been determined by the first determining unit that access is not prohibited. Receiving the content provided by the second determination unit and determining whether the category to which the content belongs is dangerous or safe, and a third determination unit determining the file type of the content determined to be safe by the second determination unit When, determined file type by the content or the third judging unit belonging to the determined risk category by the second determination unit Is provided with a detection unit for detecting a virus of the content, the detection unit, the detection method of the virus, a switchable first detection system and the second detection method, the access by the second determination unit If the category to which the previous content belongs is determined to be dangerous, or if the third determination unit determines that the file type of the content to be accessed does not require real-time property, the virus is detected by the first detection method. When the third determination unit determines that real-time processing is required, the detection is performed by the second detection method .
(2)また、本発明は、(1)のネットワーク監視装置において、前記第1検知方式が、パケットからファイルを構築してウイルスを検知するプロキシ方式であり、前記第2検知方式が、パケット単位でウイルスを検知するストリーム方式であることを特徴とする。
(2) The present invention also provides the network monitoring device according to (1) , wherein the first detection method is a proxy method of constructing a file from a packet to detect a virus, and the second detection method is performed in packet units. And a stream system for detecting viruses.
(3)また、本発明は、(1)又は(2)のネットワーク監視装置において、前記第3判定部が、前記アクセス先のファイルタイプが動画又は音声である場合に、前記アクセス先が提供するコンテンツにリアルタイム性があると判定することを特徴とする。
(3) Further , according to the present invention, in the network monitoring device according to (1) or (2) , the third determination unit provides the access destination when the file type of the access destination is a moving image or a sound. It is characterized in that it is determined that the content has real-time properties.
(4)本発明に係る第2の態様は、ネットワーク監視装置におけるウイルス検知方法であって、記憶部に記憶された複数のアクセス先が提供するコンテンツの属するカテゴリが制限対象でアクセスが禁止されているか否かを、前記記憶部又はネットワークを介して接続される外部サーバを参照して判定する第1のステップと、前記第1のステップでアクセスが禁止されていないことが判定されたアクセス先が提供するコンテンツを受信し、前記コンテンツの属するカテゴリが危険か安全かを判定する第2のステップと、前記第2のステップで安全と判定された前記コンテンツのファイルタイプを判定する第3のステップと、前記第2のステップによって危険と判定されたカテゴリに属する前記コンテンツ又は前記第3のステップによってファイルタイプを判定された前記コンテンツのウィルスを検知する第4のステップとを有し、前記第4のステップは、前記ウィルスの検知方式を、第1検知方式と第2検知方式に切り替え可能であって、前記第2のステップによってアクセス先のコンテンツの属するカテゴリが危険と判定された場合又は前記第3のステップによってアクセス先のコンテンツのファイルタイプがリアルタイム性を要しないと判定された場合は、前記ウィルスを前記第1検知方式により検知し、前記第3のステップによってリアルタイム性を要すると判定された場合は、前記第2検知方式により検知することを特徴とする。 (4) A second aspect according to the present invention relates to a virus detection method in a network monitoring device , wherein a category to which contents provided by a plurality of access destinations stored in a storage unit belong is restricted and access is prohibited. A first step of determining whether or not the access is made by referring to an external server connected via the storage unit or the network; and an access destination for which it is determined that the access is not prohibited in the first step. A second step of receiving the content to be provided and determining whether the category to which the content belongs is dangerous or safe; and a third step of determining the file type of the content determined to be safe in the second step. The content belonging to the category determined to be dangerous in the second step or the file in the third step. And a fourth step of detecting a virus of the content whose type has been determined, wherein the fourth step is capable of switching the detection method of the virus between a first detection method and a second detection method. If the category to which the content of the access destination belongs is determined to be dangerous in the second step, or if the file type of the content of the access destination does not require real-time processing in the third step, Is detected by the first detection method, and when it is determined in the third step that real-time processing is required, the detection is performed by the second detection method.
本発明によれば、利用シーンに応じてセキュリティレベルを動的に変更可能なネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法を提供することができる。 According to the present invention, it is possible to provide a network monitoring device capable of dynamically changing a security level according to a use scene and a virus detection method in the network monitoring device.
以下、添付図面を参照して、本発明を実施するための形態(以下、実施形態と称する)について、詳細に説明する。なお、実施形態の説明の全体を通して同じ要素には同じ番号を付している。 Hereinafter, an embodiment for carrying out the present invention (hereinafter, referred to as an embodiment) will be described in detail with reference to the accompanying drawings. Note that the same elements are denoted by the same reference numerals throughout the description of the embodiments.
(実施形態の構成)
図1に示すように、ネットワーク監視システムは、本実施形態に係るネットワーク監視装置(UTM10)と、複数のユーザ端末(PC20)と、UTM10に記憶されたアクセス先のURL(Uniform Resource Locator)が示す複数のコンテンツサーバ40と、コンテンツサーバ40が提供するコンテンツのカテゴリチェックを行う外部サーバ50と、からなる。UTM10、複数のコンテンツサーバ40、外部サーバ50は、共にインターネット30(ネットワーク)に接続され、PC20は、セキュリティゲートウエイとして機能するUTM10を介してインターネット30に接続されている。
(Configuration of the embodiment)
As shown in FIG. 1, the network monitoring system includes a network monitoring device (UTM10) according to the present embodiment, a plurality of user terminals (PCs 20), and an access destination URL (Uniform Resource Locator) stored in the UTM10. It comprises a plurality of
図1と図2を用いてネットワーク監視システムの概略動作シーケンス及び基本動作の流れについて説明する。 The schematic operation sequence and basic operation flow of the network monitoring system will be described with reference to FIGS.
最初にPC20がHTTP(Hyper Text Transfer Protocol)を使用してインターネットに接続するときUTM10がウイルス検知を行う(図1のa)。これを受けてUTM10は、内蔵DB(後述する記憶部100)を参照してアクセス先のURLを取得し、実装されているURLのフィルタリング機能により、アクセス先のURLのカテゴリチェックを行う(図2のステップS10)。ここで、アダルト、ギャンブル、ゲーム等、UTM10が設置された企業の業務に関係のないサイト等、アクセスが制限されているサイトが提供するコンテンツであれば、アクセスを終了する。
First, when the PC 20 connects to the Internet using HTTP (Hyper Text Transfer Protocol), the UTM 10 performs virus detection (a in FIG. 1). In response to this, the UTM 10 acquires the URL of the access destination with reference to the built-in DB (
UTM10は、更に、外部サーバ50を使用してアクセス先のURLのカテゴリチェックを依頼し(図1のb)、外部サーバ50からアクセス先のURLのカテゴリチェックの結果を受信する(図1のc,図2のステップS20)。ここで、アクセス先のURLが禁止されているカテゴリに属していれば、アクセスを終了する。続いてUTM10は、アクセス先のURLのコンテンツサーバ40にHTTP(Hyper Text Transfer Protocol)によるアクセスを行い(図1のd,図2のステップS30)、該当のコンテンツサーバ40から要求コンテンツを受信し(図1のe)、受信したコンテンツに対してカテゴリやファイルタイプの判定を行う(図2のステップS40)。
The UTM 10 further requests the category check of the URL of the access destination using the external server 50 (b in FIG. 1), and receives the result of the category check of the URL of the access destination from the external server 50 (c in FIG. 1). , Step S20 in FIG. 2). Here, if the URL of the access destination belongs to the prohibited category, the access is terminated. Subsequently, the UTM 10 accesses the
最後にUTM10は、アクセス先のURLのカテゴリが危険と判定された場合及び安全並びにコンテンツがリアルタイム性を要しないと判定された場合は、パケットからファイルを構築してウイルスを検知するプロキシ方式を選択し、一方、コンテンツが安全及びリアルタイム性を要するコンテンツであると判定された場合は、パケット単位でウイルスを検知するストリーム方式によるウイルスチェック方式を選択する(図2のステップS50)。そして、それぞれの方式に従うウイルスチェックを行い、その結果によりPC20にコンテンツとウイルス検知結果を提供する(図1のf)。 Finally, when the category of the URL of the access destination is determined to be dangerous, and when it is determined that the security and the content do not require real-time properties, the UTM 10 selects a proxy method for building a file from a packet and detecting a virus. On the other hand, if it is determined that the content is a content that requires security and real-time property, a virus check method based on a stream method for detecting a virus in packet units is selected (step S50 in FIG. 2). Then, a virus check is performed according to each method, and based on the result, the content and the virus detection result are provided to the PC 20 (f in FIG. 1).
図3に示すように、本実施形態に係るUTM10は、例えば、マイクロプロセッサを制御中枢とし、メモリを含むデータ送受信のための周辺LSIとを実装し、マイクロプロセッサがメモリに記憶されたプログラムに従い周辺LSIを制御することにより、図2に示した基本的な処理内容を実行する。このため、UTM10は、記憶部100と、第1判定部101と、第2判定部102と、第3判定部103と、検知部104とを含む。
As shown in FIG. 3, the UTM 10 according to the present embodiment has, for example, a microprocessor as a control center, implements a peripheral LSI for data transmission and reception including a memory, and the microprocessor operates according to a program stored in the memory. The basic processing contents shown in FIG. 2 are executed by controlling the LSI. For this reason, the UTM 10 includes a
記憶部100には、複数のアクセス先であるURLが記憶されている。第1判定部101は、複数のアクセス先(コンテンツサーバ40)が提供するコンテンツのカテゴリが制限対象であるか否かについて、記憶部100及び/又は図1におけるネットワーク(インターネット30)経由で接続される外部サーバ50を参照して判定する。
The
第2判定部102は、第1判定部101によって制限対象でないことが判定されたアクセス先が提供するコンテンツを受信し、当該コンテンツの属するカテゴリが危険か安全かを判定する。第2判定部102は、アクセス先のカテゴリがアダルト系又は犯罪系である場合には、アクセス先を危険であると判定する。
The
第3判定部103は、第2判定部102によって安全と判定されたコンテンツのファイルタイプを判定し、当該コンテンツがリアルタイム性を有するコンテンツか否かを判定する。第3判定部103は、アクセス先のファイルタイプが動画又は音声である場合にアクセス先が提供するコンテンツにリアルタイム性があると判定する。
The
検知部104は、第2判定部102又は第3判定部103によってアクセス可能と判定されたコンテンツのウイルスを検知する。検知部104は、アクセス先が提供するコンテンツのカテゴリ及び/又はファイルタイプに応じて、ウイルスの検知方式を、パケットからファイルを構築してウイルスを検知するプロキシ方式(第1検知方式)と、パケット単位でウイルスを検知するストリーム方式(第2検知方式)に切り替える。
The
検知部104は、第2判定部102によってアクセス先のカテゴリが危険と判定された場合は、ウイルスをプロキシ方式によって検知し、安全と判定された場合は、更に第3判定部103によってアクセス先のファイルタイプを判定し、判定したファイルタイプからリアルタイム性を要すると判定された場合、ストリーム方式により検知し、リアルタイム性を要しないと判定された場合は、プロキシ方式により検知する。
The
なお、第1判定部101は、制限対象であると判定したアクセス先が提供するコンテンツを一定期間記憶し、以降、当該コンテンツに対する検知部104によるウイルス検知を一定期間だけ禁止してもよい。
Note that the
(実施形態の動作)
以下、図4のフローチャート及び図5の動作概念図を参照しながら、図2に示した本実施形態に係るUTM10の動作について詳細に説明する。
(Operation of the embodiment)
Hereinafter, the operation of the
UTM10は、まず、第1判定部101が、記憶部100に記憶されたアクセス先のURL情報を取得し(ステップS101)、記憶部100(装置内DB)を参照してアクセス先のURLに相当するコンテンツサーバ40が提供するコンテンツのカテゴリチェックを行う(ステップS102)。ここで、アクセス制限対象のカテゴリに属すると判定されると(ステップS103“YES”)、以降、UTM10は、当該コンテンツサーバ40へのアクセスを禁止し、アクセスが禁止されていることをユーザ(PC20)へ通知する(ステップS114)。
In the
一方、アクセス制限対象のカテゴリに属さないと判定されると(ステップS103“NO”)、第1判定部101は、更に、外部サーバ50を参照してアクセス先のURLのカテゴリチェックを行う(ステップS104)。第1判定部101は、外部サーバ50からアクセス先のURLのカテゴリチェックの結果を受信すると、そのアクセス先のURLに該当するコンテンツサーバ40が提供するコンテンツはアクセス制限対象のカテゴリに属するか否かを判定する(ステップS105)。
On the other hand, when it is determined that the access destination does not belong to the category (step S103 “NO”), the
ここで、アクセス制限対象のカテゴリに属すると判定されると(ステップS105“YES”)、第1判定部101は、以降、当該コンテンツサーバ40に対するアクセスを禁止し、当該アクセスが禁止されていることをユーザ(PC20)へ通知する(ステップS114)。一方、アクセス制限対象のカテゴリに属さないと判定されると(ステップS105“NO”)、第1判定部101は、そのアクセス先のURLを用いて該当のコンテンツサーバ40へHTTPによる接続を行い、該当コンテンツを受信する(ステップS106)。
Here, when it is determined that the content belongs to the category of the access restriction (step S105 “YES”), the
ここで、UTM10は、第1判定部101から第2判定部102に制御を移す。第2判定部102は、受信したコンテンツのカテゴリが危険か否かを判定する(ステップS107)。第2判定部102は、アクセス先のURLに相当するコンテンツサーバ40が提供するコンテンツのカテゴリがアダルト系又は犯罪系である場合にアクセス先を危険であると判定する。ここで、危険であると判定されると(ステップS107“YES”)、検知部104に制御が移る。検知部104は、第2判定部102の判定結果(危険なカテゴリに属する)に従い、パケットからファイルを構築してウイルスを検知する、セキュリティ重視のプロキシ方式によるウイルス検知を実行する(ステップS110)。
Here, the
一方、受信したコンテンツのカテゴリがアダルト系又は犯罪系に属さず、安全であると判定されると(ステップS107“NO”)、UTM10は、第2判定部102から第3判定部103に制御を移す。第3判定部103は、受信したコンテンツのファイルタイプをチェックし、そのファイルタイプから、例えば、動画コンテンツや音声コンテンツ等のリアルタイム性を有するコンテンツか否かを判定する(ステップS108)。ここで、リアルタイム性を有するコンテンツであると判定されれば(ステップS108“YES”)、検知部104に制御が移る。
On the other hand, if the category of the received content does not belong to the adult type or the criminal type and is determined to be safe (“NO” in step S107), the
検知部104は、第3判定部103でリアルタイム性を有すると判定されたコンテンツに対し、パケット単位でウイルスを検知する、性能重視のストリーム方式によるウイルスチェック方式を実行する(ステップS109)。なお、リアルタイム性を有しないと判定されたコンテンツについては(ステップS108“NO”)、パケットからファイルを構築してウイルスを検知する、セキュリティ重視のプロキシ方式によるウイルスチェックが実行される(ステップS110)。
The detecting
プロキシ方式によるウイルスチェック(ステップS110)の手順が図5(a)に、ストリーム方式によるウイルスチェック(ステップS109)の手順が図5(b)に、それぞれ動作概念図として示されている。いずれの方式も検知部104がウイルスチェックを行うために、メモリと、検索エンジンとをハードウエア資源として要するものとする。
FIG. 5 (a) shows the procedure of virus check (step S110) by the proxy method, and FIG. 5 (b) shows the concept of operation of the virus check (step S109) by the stream method. In any method, a memory and a search engine are required as hardware resources for the
図5(a)に示すように、プロキシ方式によれば、検知部104は、ファイルからパケットに分解し(ステップS110a)、所定量内蔵のメモリに保存した後に(ステップS110b)、パケットを再構築する(ステップS110c)。そして、検索エンジンがファイルのウイルスチェックを行い(ステップS110d)、パケットに分解して送信する(ステップS110e)。このため、パケットの再構築のために多くのリソースを必要とし、また、チェック可能なファイルサイズに制限があるという欠点を持つ。但し、セキュリティ性能はストリーム方式より高い。
As shown in FIG. 5A, according to the proxy method, the detecting
一方、図5(b)に示すように、ストリーム方式によれば、ファイルをパケットに分解して(ステップS109a)、順次メモリに格納し(ステップS109b)、検索エンジンがメモリから読み出されるパケットを単位にウイルスチェックを行い(ステップS109c)、送信する(ステップS109d)。このため、ファイルサイズに依存しないウイルスチェックが可能であり、検査対象プロトコルが多く、チェック速度が速いという利点がある。但し、セキュリティ性能はプロキシ方式より低い。 On the other hand, as shown in FIG. 5B, according to the stream method, the file is decomposed into packets (step S109a), and the packets are sequentially stored in the memory (step S109b), and the search engine reads the packets read from the memory in units. Then, a virus check is performed (step S109c) and transmitted (step S109d). For this reason, there is an advantage that a virus check independent of a file size can be performed, there are many protocols to be checked, and a check speed is high. However, the security performance is lower than the proxy method.
説明を図4のフローチャートに戻す。検知部104による、ストリーム方式、あるいはプロキシ方式によるウイルスチェックの結果、受信したコンテンツへのウイルス混入の有無が判定される。ウイルスが検知されなかった場合(ステップS111“NO”)、検知部104は、PC20へそのコンテンツを送信し(ステップS112)、ウイルスが検知された場合(ステップS111“YES”)、PC20へそのコンテンツの送信を禁止し、ユーザにウイルスが検知されたことを通知する(ステップS113)。
The description returns to the flowchart of FIG. As a result of the virus check by the stream method or the proxy method by the
なお、図2及び図4のフローチャートでは図示省略したが、第1判定部101は、制限対象であると判定したアクセス先が提供するコンテンツ(のインデックス)を記憶部100に一定期間記憶し、以降、そのコンテンツに対する検知部104によるウイルス検知を、一定期間だけ禁止する学習処理を行ってもよい。このことにより、検知部104による不要なウイルス検知のための処理を省略でき、リソースの有効活用が図れる。また、本実施形態に係るネットワーク監視装置(UTM10)によれば、アダルト系又は犯罪系に属するコンテンツを危険なカテゴリとして振り分けたが、アクセス先のURLのドメインで振り分けることも可能である。
Although not shown in the flowcharts of FIGS. 2 and 4, the
(実施形態の効果)
以上の説明のように、本実施形態に係るネットワーク監視装置(UTM10)によれば、複数のアクセス先のURLのカテゴリが制限対象であるか否かを判定し、制限対象でないと判定されたアクセス先が提供するコンテンツを受信し、そのコンテンツが属するカテゴリが安全と判定された場合の当該コンテンツのファイルタイプに基づき、第1検知方式(プロキシ方式)と第2検知方式(ストリーム方式)に切り替える。具体的に、動画や音声等のリアルタイム性を有するコンテンツの場合、性能を優先してウイルスの検知方式を、パケットからファイルを構築してウイルスを検知するプロキシ方式を選択し、リアルタイム性を要しない場合、パケット単位でウイルスを検知するストリーム方式に切り替える。
(Effects of the embodiment)
As described above, according to the network monitoring device (UTM10) according to the present embodiment, it is determined whether or not a category of a URL of a plurality of access destinations is a restriction target, and an access determined to be not a restriction target is determined. When the content provided by the destination is received and the category to which the content belongs is determined to be safe, the content is switched between the first detection method (proxy method) and the second detection method (stream method) based on the file type of the content. Specifically, in the case of real-time content such as video and audio, a virus detection method that prioritizes performance and a proxy method that detects a virus by building a file from packets are selected, and real-time characteristics are not required. In this case, switch to the stream method that detects viruses on a packet basis.
このため、本実施形態に係るネットワーク監視装置(UTM10)によれば、利用シーンに応じて動的にウイルス検知方式を切り替えることができ、サイトが安全か否かに合わせてセキュリティレベルを変更し、安全なサイトにおいては比較的高速にウイルス検知が可能になる。特に、リアルタイム性が要求される動画コンテンツの再生及び比較的サイズが大きなファイルサイズを持つコンテンツのダウンロードに対し、実際に処理が開始されるまでに多くの時間を必要としていたものが、安全なサイトである場合に限りユーザに与えるストレスを解消することができる。 Therefore, according to the network monitoring device (UTM10) according to the present embodiment, the virus detection method can be dynamically switched according to the usage scene, and the security level is changed according to whether the site is safe or not. A secure site can detect viruses relatively quickly. In particular, a site that required a lot of time to actually start processing video content that requires real-time playback and download of content with a relatively large file size was changed to a secure site. Only when is the stress applied to the user can be eliminated.
以上、実施形態を用いて本発明を説明したが、本発明の技術的範囲は上記実施形態に記載の範囲には限定されないことはいうまでもない。上記実施形態に、多様な変更又は改良を加えることが可能であることが当業者に明らかである。また、そのような変更又は改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。なお、上記の実施形態では、本発明を物の発明として、ネットワーク監視システム(UTM10)について説明したが、本発明は、方法の発明(ネットワーク監視装置におけるウイルス検知方法)として捉えることもできる。 As described above, the present invention has been described using the embodiment, but it is needless to say that the technical scope of the present invention is not limited to the scope described in the above embodiment. It is apparent to those skilled in the art that various changes or improvements can be made to the above embodiment. It is apparent from the description of the claims that the embodiments with such changes or improvements can be included in the technical scope of the present invention. In the above embodiments, the network monitoring system (UTM10) has been described with the present invention as a product invention, but the present invention can also be considered as a method invention (a virus detection method in a network monitoring device).
その場合、例えば、図1,図2に示すネットワーク監視装置(UTM10)に適用され、そしてそのウイルス検知方法は、図4のフローチャートに示すように、記憶部100に記憶された複数のアクセス先が提供するコンテンツのカテゴリが制限対象であるか否かを、前記記憶部100又はネットワーク(インターネット30)経由で接続される外部サーバ50を参照して判定する第1のステップ(ステップS102,ステップS104)と、前記第1のステップで制限対象でないことが判定されたアクセス先が提供するコンテンツを受信し、前記コンテンツの属するカテゴリが危険か安全かを判定する第2のステップ(ステップS107)と、前記第2のステップで安全と判定された前記コンテンツのファイルタイプを判定する第3のステップ(ステップS108)と、前記第2のステップ又は前記第3のステップでアクセス可能と判定された前記コンテンツのウイルスを検知する第4のステップ(ステップS111)とを有し、前記第4のステップが、前記アクセス先が提供する前記コンテンツのカテゴリ及び/又はファイルタイプに応じて、前記ウイルスの検知方式を、第1検知方式と第2検知方式に切り替える(ステップS109,ステップS110)ことを特徴とする。
In this case, for example, the virus detection method is applied to the network monitoring device (UTM10) shown in FIGS. 1 and 2 and the plurality of access destinations stored in the
本実施形態に係るネットワーク監視装置におけるウイルス検知方法によれば、利用シーンに応じてセキュリティレベルを動的に変更することができる。 According to the virus detection method in the network monitoring device according to the present embodiment, the security level can be dynamically changed according to the usage scene.
10 ネットワーク監視装置(UTM)、20 ユーザ端末(PC)、30 ネットワーク(インターネット)、40 コンテンツサーバ、50 外部サーバ、100 記憶部、101 第1判定部、102 第2判定部、103 第3判定部、104 検知部
Claims (4)
複数のアクセス先を記憶する記憶部と、
前記複数のアクセス先が提供するコンテンツの属するカテゴリが制限対象でアクセスが禁止されているか否かについて、前記記憶部又はネットワークを介して接続される外部サーバを参照して判定する第1判定部と、
前記第1判定部によってアクセスが禁止されていないと判定されたアクセス先が提供するコンテンツを受信し、前記コンテンツの属するカテゴリが危険か安全かを判定する第2判定部と、
前記第2判定部によって安全と判定された前記コンテンツのファイルタイプを判定する第3判定部と、
前記第2判定部によって危険と判定されたカテゴリに属する前記コンテンツ又は前記第3判定部によってファイルタイプを判定された前記コンテンツのウイルスを検知する検知部とを備え、
前記検知部は、前記ウィルスの検知方式を、第1検知方式と第2検知方式に切り替え可能であって、前記第2判定部によってアクセス先のコンテンツの属するカテゴリが危険と判定された場合又は前記第3判定部によってアクセス先のコンテンツのファイルタイプがリアルタイム性を要しないと判定された場合は、前記ウィルスを前記第1検知方式により検知し、前記第3の判定部によってリアルタイム性を要すると判定された場合は、前記第2検知方式により検知することを特徴とするネットワーク監視装置。 A network monitoring device,
A storage unit for storing a plurality of access destinations,
A first determination unit that determines whether a category to which the content provided by the plurality of access destinations belongs is restricted and access is prohibited by referring to the storage unit or an external server connected via a network; ,
A second determination unit that receives a content provided by an access destination determined that access is not prohibited by the first determination unit and determines whether a category to which the content belongs is dangerous or safe;
A third determination unit that determines a file type of the content determined to be safe by the second determination unit;
A detection unit that detects a virus of the content belonging to a category determined to be dangerous by the second determination unit or a virus of the content whose file type is determined by the third determination unit,
The detection unit, the detection method of the virus, a switchable to the first detection method and a second detecting method, when the category of the content belongs in the access destination by the second determination unit determines that dangerous or said When the third determining unit determines that the file type of the content of the access destination does not require real-time property, the virus is detected by the first detection method, and the third determining unit determines that the real-time property is required. If detected , the network monitoring device detects by the second detection method .
記憶部に記憶された複数のアクセス先が提供するコンテンツの属するカテゴリが制限対象でアクセスが禁止されているか否かを、前記記憶部又はネットワークを介して接続される外部サーバを参照して判定する第1のステップと、 It is determined with reference to the storage unit or an external server connected via a network whether or not the category to which the content provided by the plurality of access destinations stored in the storage unit belongs is a target to be restricted and access is prohibited. A first step;
前記第1のステップでアクセスが禁止されていないことが判定されたアクセス先が提供するコンテンツを受信し、前記コンテンツの属するカテゴリが危険か安全かを判定する第2のステップと、Receiving the content provided by the access destination determined that the access is not prohibited in the first step, and determining whether the category to which the content belongs is dangerous or safe;
前記第2のステップで安全と判定された前記コンテンツのファイルタイプを判定する第3のステップと、A third step of determining a file type of the content determined to be safe in the second step;
前記第2のステップによって危険と判定されたカテゴリに属する前記コンテンツ又は前記第3のステップによってファイルタイプを判定された前記コンテンツのウィルスを検知する第4のステップとを有し、A fourth step of detecting a virus of the content belonging to the category determined to be dangerous by the second step or a virus of the content whose file type is determined by the third step.
前記第4のステップは、前記ウィルスの検知方式を、第1検知方式と第2検知方式に切り替え可能であって、前記第2のステップによってアクセス先のコンテンツの属するカテゴリが危険と判定された場合又は前記第3のステップによってアクセス先のコンテンツのファイルタイプがリアルタイム性を要しないと判定された場合は、前記ウィルスを前記第1検知方式により検知し、前記第3のステップによってリアルタイム性を要すると判定された場合は、前記第2検知方式により検知することを特徴とするネットワーク監視装置におけるウィルスの検知方法。In the fourth step, the detection method of the virus can be switched between a first detection method and a second detection method, and when the category to which the content of the access destination belongs is determined to be dangerous by the second step, Alternatively, if it is determined in the third step that the file type of the content of the access destination does not require the real-time property, the virus is detected by the first detection method, and the real-time property is required in the third step. A method for detecting a virus in a network monitoring device, wherein if the determination is made, detection is performed by the second detection method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015221971A JP6623702B2 (en) | 2015-11-12 | 2015-11-12 | A network monitoring device and a virus detection method in the network monitoring device. |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015221971A JP6623702B2 (en) | 2015-11-12 | 2015-11-12 | A network monitoring device and a virus detection method in the network monitoring device. |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017092755A JP2017092755A (en) | 2017-05-25 |
JP6623702B2 true JP6623702B2 (en) | 2019-12-25 |
Family
ID=58768439
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015221971A Active JP6623702B2 (en) | 2015-11-12 | 2015-11-12 | A network monitoring device and a virus detection method in the network monitoring device. |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6623702B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109962886B (en) * | 2017-12-22 | 2021-10-29 | 北京安天网络安全技术有限公司 | Method and device for detecting network terminal threat |
JP7428561B2 (en) | 2020-03-19 | 2024-02-06 | 株式会社日立製作所 | Communication inspection device and communication inspection method |
-
2015
- 2015-11-12 JP JP2015221971A patent/JP6623702B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017092755A (en) | 2017-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
US10193911B2 (en) | Techniques for automatically mitigating denial of service attacks via attack pattern matching | |
US10965716B2 (en) | Hostname validation and policy evasion prevention | |
US7849507B1 (en) | Apparatus for filtering server responses | |
CN105940655B (en) | System for preventing DDos attack | |
Deri et al. | Combining System Visibility and Security Using eBPF. | |
JP7388613B2 (en) | Packet processing method and apparatus, device, and computer readable storage medium | |
JP2022531878A (en) | Systems and methods for selectively collecting computer forensic data using DNS messages | |
EP3633948B1 (en) | Anti-attack method and device for server | |
US11196712B1 (en) | Proxy scraper detector | |
JP5980968B2 (en) | Information processing apparatus, information processing method, and program | |
KR101200906B1 (en) | High Performance System and Method for Blocking Harmful Sites Access on the basis of Network | |
US11874845B2 (en) | Centralized state database storing state information | |
JP6623702B2 (en) | A network monitoring device and a virus detection method in the network monitoring device. | |
US8627467B2 (en) | System and method for selectively storing web objects in a cache memory based on policy decisions | |
US11063975B2 (en) | Malicious content detection with retrospective reporting | |
CN110808967A (en) | Detection method for challenging black hole attack and related device | |
US11546235B2 (en) | Action based on advertisement indicator in network packet | |
Choi et al. | Slowloris dos countermeasure over websocket | |
KR101535381B1 (en) | Method for blocking internet access using uniform resource locator and ip address | |
Fuzi et al. | Performance Analysis of Open-Source Network Monitoring Software in Wireless Network | |
Cerrato et al. | Moving applications from the host to the network: Experiences, challenges and findings | |
Foster | " Why does MPTCP have to make things so complicated?": cross-path NIDS evasion and countermeasures | |
EP3408783A1 (en) | Preventing malware downloads | |
Verwoerd | Stateful distributed firewalls. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180417 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190521 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20190717 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190913 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191029 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191111 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6623702 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |