JP7102780B2 - Unauthorized communication countermeasure system and method - Google Patents

Unauthorized communication countermeasure system and method Download PDF

Info

Publication number
JP7102780B2
JP7102780B2 JP2018035588A JP2018035588A JP7102780B2 JP 7102780 B2 JP7102780 B2 JP 7102780B2 JP 2018035588 A JP2018035588 A JP 2018035588A JP 2018035588 A JP2018035588 A JP 2018035588A JP 7102780 B2 JP7102780 B2 JP 7102780B2
Authority
JP
Japan
Prior art keywords
malware
communication
file
countermeasure
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018035588A
Other languages
Japanese (ja)
Other versions
JP2019152912A (en
Inventor
恒生 濱田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2018035588A priority Critical patent/JP7102780B2/en
Publication of JP2019152912A publication Critical patent/JP2019152912A/en
Application granted granted Critical
Publication of JP7102780B2 publication Critical patent/JP7102780B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明はマルウェアによって起こされる不正通信に対処する不正通信対処システム及び方法に関する。 The present invention relates to an unauthorized communication countermeasure system and method for dealing with unauthorized communication caused by malware.

マルウェアの中には、ユーザ端末内のプログラムに感染してそのプログラムの動作を妨げたり、ユーザの意図に反する有害な作用を及ぼすものがある。このようなマルウェアは、実行されると、インターネット内に配置されたC&Cサーバ(コマンド&コントロールサーバ)などの不正サーバと不正通信を行って不正サーバからインターネットを介してユーザ端末などのマルウェア感染装置を遠隔操作するボットネットを構成する。遠隔操作の指令者は指令者装置を操作してマルウェア感染装置に対して不正サーバ経由で指令を送信することが行われる。不正サーバから命令が送信されると、遠隔操作されるマルウェア感染装置はそのユーザの意図とは関係なく、他の端末やサーバを攻撃したり、個人情報を盗み出したりする。このようなマルウェアが拡散して多数の端末やコンピュータ装置が感染すると、それら多数のマルウェア感染装置は不正サーバと接続して不正通信を行うことになる。 Some malware infects a program in a user terminal and interferes with the operation of the program, or has a harmful effect contrary to the intention of the user. When such malware is executed, it illegally communicates with a malicious server such as a C & C server (command & control server) located on the Internet, and the malicious server sends a malware-infected device such as a user terminal via the Internet. Configure a remotely operated bot net. The remote-controlled commander operates the commander device to send a command to the malware-infected device via an unauthorized server. When a command is sent from a malicious server, a remotely controlled malware-infected device attacks other terminals or servers or steals personal information regardless of the user's intention. When such malware spreads and infects a large number of terminals and computer devices, the large number of malware-infected devices connect to a malicious server and perform unauthorized communication.

このような不正通信に対処する方法としては、従来、特許文献1に開示されたように、インターネットに接続する複数のLANを有するネットワークにおいて各LANに接続した端末装置へのインターネットからのアクセスは、全て不正侵入検知代理サーバを経由するようにしてネットワークへの不正侵入に対して警告と反撃を実行する技術がある。 As a method for dealing with such unauthorized communication, conventionally, as disclosed in Patent Document 1, in a network having a plurality of LANs connected to the Internet, access from the Internet to a terminal device connected to each LAN is performed. There is a technology that warns and counterattacks against unauthorized intrusions into the network by passing through the unauthorized intrusion detection proxy server.

特開2003-186763号公報Japanese Unexamined Patent Publication No. 2003-1867663

しかしながら、かかる従来技術では、不正サーバに対して反撃を行うことで抑止力とすることを狙いとしているが、インターネットに接続されたネットワーク毎に不正侵入検知代理サーバ等の不正通信対処設備を構築する必要があり、不正通信対処設備やネットワーク構築のためにコスト高となるという問題があった。 However, in such a conventional technique, although the aim is to counterattack an unauthorized server to provide a deterrent, an unauthorized communication countermeasure facility such as an unauthorized intrusion detection proxy server is constructed for each network connected to the Internet. There was a problem that it was necessary and the cost was high due to the equipment for dealing with unauthorized communication and the construction of the network.

そこで、本発明の目的は、インターネットに接続されたネットワーク毎に不正通信対処設備を構築することなくマルウェアによって起こされる不正通信に迅速に対処することができる不正通信対処システム及び方法を提供することである。 Therefore, an object of the present invention is to provide a fraudulent communication countermeasure system and method capable of swiftly dealing with fraudulent communication caused by malware without constructing a fraudulent communication countermeasure facility for each network connected to the Internet. be.

本発明の不正通信対処システムは、インターネットを介して転送されるファイルを取り込むファイル取込手段と、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのアドレス宛に特定のパケットを連続して発信する輻輳トラフィック発信機能部を動作させ、前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴としている。
本発明の不正通信対処システムは、インターネットを介して転送されるファイルを取り込むファイル取込手段と、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのソフトウェアの脆弱性に対応したコードを含んだパケットを前記不正サーバのアドレス宛に発信する脆弱性コード発信機能部を動作させ、前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴としている。
本発明の不正通信対処システムは、インターネットを介して転送されるファイルを取り込むファイル取込手段と、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、RAT(Remote Access Tool)型のプログラムを含むパケットを前記不正サーバのアドレス宛に発信するRAT型プログラム発信機能部を動作させ、前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴としている。 The unauthorized communication countermeasure system of the present invention executes a file importing means for importing a file transferred via the Internet and the file imported by the file importing means in a virtual environment, and based on the execution contents. A malware determining means for determining whether or not the file is malware, and an address of an unauthorized server based on the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means. The countermeasure means is provided with a server address detecting means for detecting the file, and the countermeasure means is congested traffic that continuously sends a specific packet to the address of the malicious server in response to the unauthorized communication behavior by the malware. The transmission function unit is operated, and the countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior by the malware as a log, and the communication behavior DB device is such that the file is stored by the malware determination means. When it is determined to be malware, it is determined whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the log of the new method is accumulated .
The unauthorized communication countermeasure system of the present invention executes a file importing means for importing a file transferred via the Internet and the file imported by the file importing means in a virtual environment, and based on the execution contents. A malware determining means for determining whether or not the file is malware, and an address of an unauthorized server based on the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means. The countermeasure means includes a server address detecting means for detecting the file and a countermeasure means, and the countermeasure means receives a packet containing a code corresponding to a vulnerability in the software of the malicious server in response to the unauthorized communication behavior by the malware. The vulnerability code transmission function unit that transmits to the address of the unauthorized server is operated, and the countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior by the malware as a log, and the communication behavior DB. When the file is determined to be malware by the malware determining means, the device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the said new method. It is characterized by accumulating logs.
The malicious communication countermeasure system of the present invention executes a file importing means for importing a file transferred via the Internet and the file imported by the file importing means in a virtual environment, and based on the execution contents. A malware determining means for determining whether or not the file is malware, and an address of an unauthorized server based on the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means. The countermeasure means includes a server address detecting means for detecting the above, and the countermeasure means sends a packet containing a RAT (Remote Access Tool) type program to the address of the malicious server in response to the malicious communication behavior caused by malware. The RAT type program transmission function unit that transmits to the address is operated, and the countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior by the malware as a log, and the communication behavior DB device is the said. When the file is determined to be malware by the malware determining means, it is determined whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the log of the new method is accumulated. It is characterized by that.

本発明の不正通信対処方法は、不正通信対処システムにおける不正通信対処方法であって、前記不正通信対処システムは、ファイル取込手段、マルウェア判定手段、サーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、通信挙動DB(データベース)装置を備え、前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのアドレス宛に特定のパケットを連続して発信する輻輳トラフィック発信機能ステップを動作させ、前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴としている。
本発明の不正通信対処方法は、不正通信対処システムにおける不正通信対処方法であって、前記不正通信対処システムは、ファイル取込手段、マルウェア判定手段、サーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、通信挙動DB(データベース)装置を備え、前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのソフトウェアの脆弱性に対応したコードを含んだパケットを前記不正サーバのアドレス宛に発信する脆弱性コード発信機能ステップを動作させ、前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴としている。
本発明の不正通信対処方法は、不正通信対処システムにおける不正通信対処方法であって、前記不正通信対処システムは、ファイル取込手段、マルウェア判定手段、サーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、通信挙動DB(データベース)装置を備え、前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、RAT(Remote Access Tool)型のプログラムを含むパケットを前記不正サーバのアドレス宛に発信するRAT型プログラム発信機能ステップを動作させ、前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴としている。 The fraudulent communication coping method of the present invention is a fraudulent communication coping method in a fraudulent communication coping system, and the fraudulent communication coping system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means. The countermeasure means includes a communication behavior DB (database) device, the file importing means has a step of fetching a file transferred via the Internet, and the malware determining means has the file fetching means. The file taken in by the embedding means is executed in a virtual environment, and has a step of determining whether or not the file is malware based on the execution content, and the server address detecting means is the malware determining means. When the file is determined to be malware, the file has a step of detecting the address of the unauthorized server from the execution contents of the file in the virtual environment, and the countermeasure means corresponds to the unauthorized communication behavior by the malware. Then, the congestion traffic transmission function step of continuously transmitting a specific packet to the address of the malicious server is operated, and the countermeasure means logs the unauthorized communication behavior by the malware in the communication behavior DB device. The communication behavior DB device has a first accumulation step of accumulating as, and when the file is determined to be malware by the malware determining means, whether or not the unauthorized communication behavior by the malware is a new method. It is characterized by having a second accumulation step of accumulating the log of the new method in the case of the new method.
The fraudulent communication coping method of the present invention is a fraudulent communication coping method in a fraudulent communication coping system, and the fraudulent communication coping system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means. The countermeasure means includes a communication behavior DB (database) device, the file importing means has a step of fetching a file transferred via the Internet, and the malware determining means has the file fetching means. The file taken in by the embedding means is executed in a virtual environment, and has a step of determining whether or not the file is malware based on the execution content, and the server address detecting means is the malware determining means. When the file is determined to be malware, the file has a step of detecting the address of an unauthorized server from the execution contents of the file in the virtual environment, and the countermeasure means corresponds to the unauthorized communication behavior by the malware. Then, the vulnerability code transmission function step of transmitting a packet containing the code corresponding to the software vulnerability of the malicious server to the address of the malicious server is operated, and the countermeasure means is the communication behavior DB device. In addition, the communication behavior DB device has a first accumulation step of accumulating the unauthorized communication behavior by the malware as a log, and when the file is determined to be malware by the malware determining means, the said by the malware. It is characterized by having a second accumulation step of determining whether or not the unauthorized communication behavior is a new method and accumulating the log of the new method when the new method is used.
The fraudulent communication coping method of the present invention is a fraudulent communication coping method in a fraudulent communication coping system, and the fraudulent communication coping system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means. The countermeasure means includes a communication behavior DB (database) device, the file fetching means has a step of fetching a file transferred via the Internet, and the malware determining means has the file fetching means. The file taken in by the embedding means is executed in a virtual environment, and has a step of determining whether or not the file is malware based on the execution content, and the server address detecting means is the malware determining means. When the file is determined to be malware, it has a step of detecting the address of an unauthorized server from the execution contents of the file in the virtual environment, and the countermeasure means corresponds to the unauthorized communication behavior by the malware. Then, the RAT type program transmission function step of transmitting a packet containing a RAT (Remote Access Tool) type program to the address of the malicious server is operated, and the countermeasure means causes the communication behavior DB device to transmit the malware. The communication behavior DB device has a first storage step of accumulating the unauthorized communication behavior by the malware as a log, and when the file is determined to be malware by the malware determining means, the unauthorized communication behavior by the malware is detected. It is characterized by having a second accumulation step of determining whether or not it is a new method and accumulating the log of the new method in the case of the new method.

本発明の不正通信対処システム及び方法によれば、マルウェアによって起こされる不正通信を検出して不正通信を行う不正サーバに向けてマルウェアによる不正通信挙動の手法に応じた対抗措置を生成するパケットを送信するので、不正通信を確実に停止或いは遮断させることができる。よって、不正通信に迅速に対処することができる。また、本発明の不正通信対処システムや方法を用いた装置をインターネット上に配置させることができるので、ネットワーク毎に不正通信対処設備を特に構築する必要がない。 According to the malicious communication countermeasure system and method of the present invention, a packet that detects malicious communication caused by malware and generates a countermeasure according to the method of malicious communication behavior by malware is transmitted to a malicious server that performs unauthorized communication. Therefore, unauthorized communication can be reliably stopped or blocked. Therefore, it is possible to quickly deal with unauthorized communication. Further, since the device using the unauthorized communication countermeasure system and method of the present invention can be arranged on the Internet, it is not necessary to particularly construct the unauthorized communication countermeasure equipment for each network.

本発明による不正通信対処システムの構成を示す図である。It is a figure which shows the structure of the fraudulent communication coping system by this invention. 図1のシステム中の各装置の具体的構成を示すブロック図である。It is a block diagram which shows the specific structure of each apparatus in the system of FIG. 図1のシステム中の対抗措置装置が有する機能部を示すブロック図である。It is a block diagram which shows the functional part which the countermeasure device in the system of FIG. 1 has. 図1のシステムの通信監視動作を示すフローチャートである。It is a flowchart which shows the communication monitoring operation of the system of FIG. 図1のシステムの不正通信対処動作を示すフローチャートである。It is a flowchart which shows the unauthorized communication coping operation of the system of FIG.

以下、本発明の実施例を、図面を参照しつつ詳細に説明する。 Hereinafter, examples of the present invention will be described in detail with reference to the drawings.

図1は本発明による不正通信対処システムの構成を示している。このシステムでは、IX(Internet eXchange)11、ASP(Application Service Provider)12、及びISP(Internet Service Provider)13、14、15がインターネット10に接続されている。なお、IX11、ASP12、及びISP13、14、15各々は本実施例では装置として示している。 FIG. 1 shows the configuration of an unauthorized communication coping system according to the present invention. In this system, IX (Internet eXchange) 11, ASP (Application Service Provider) 12, and ISP (Internet Service Provider) 13, 14, and 15 are connected to the Internet 10. In addition, IX11, ASP12, and ISP13, 14, 15 are each shown as an apparatus in this embodiment.

ISP13、14、15にはユーザネットワーク16、17、18が各々接続されている。ISP13、14、15はインターネット10と、ローカルネットワークであるユーザネットワーク16、17、18との間の通信を各々中継する中継装置である。ユーザネットワーク16、17、18各々には各種のユーザ端末が接続されている。 User networks 16, 17, and 18 are connected to ISPs 13, 14, and 15, respectively. ISPs 13, 14 and 15 are relay devices that relay communication between the Internet 10 and user networks 16, 17 and 18, which are local networks, respectively. Various user terminals are connected to each of the user networks 16, 17, and 18.

IX11はサンドボックス装置101、不正サーバリストDB(データベース)装置102、及び不正サーバ検知装置103を含んでいる。サンドボックス装置101、不正サーバリストDB装置102、及び不正サーバ検知装置103はインターネット10に接続されている。 The IX 11 includes a sandbox device 101, a rogue server list DB (database) device 102, and a rogue server detection device 103. The sandbox device 101, the fraudulent server list DB device 102, and the fraudulent server detection device 103 are connected to the Internet 10.

サンドボックス装置101はファイル取込手段、マルウェア判定手段、及びサーバアドレス検出手段を構成し、不正サーバ検知装置103は不正サーバ通信検出手段及び通信相手アドレス検出手段を構成する。 The sandbox device 101 constitutes a file importing means, a malware determining means, and a server address detecting means, and the fraudulent server detecting device 103 constitutes a fraudulent server communication detecting means and a communication partner address detecting means.

サンドボックス装置101は、インターネット10をパケットの形式で転送されるプログラム等のファイルを取り込み、そのファイルを仮想環境下で実行し、実行中の通信挙動からファイルがマルウェアか否かを判定する。仮想環境はサンドボックス装置101内に形成され、マルウェアであるファイルを実行しても装置外のインターネットに何ら影響を与えない隔離された領域である。また、サンドボックス装置101は、ファイルがマルウェアであると判断した場合には送信先の不正サーバのIPアドレスを取得し、取得したIPアドレスを不正サーバリストDB装置102に供給する。 The sandbox device 101 takes in a file such as a program to be transferred to the Internet 10 in the form of a packet, executes the file in a virtual environment, and determines whether or not the file is malware from the communication behavior during execution. The virtual environment is an isolated area formed in the sandbox device 101 and does not affect the Internet outside the device even if a file that is malware is executed. If the sandbox device 101 determines that the file is malware, it acquires the IP address of the destination malicious server and supplies the acquired IP address to the malicious server list DB device 102.

不正サーバリストDB装置102は、サンドボックス装置101から供給された不正サーバのIPアドレスを蓄積する。不正サーバ検知装置103は、インターネット10からユーザネットワーク16、17、18に至るラインの通信を監視してそれらのユーザネットワークを介した不正サーバの通信を検出する。 The rogue server list DB device 102 stores the IP address of the rogue server supplied from the sandbox device 101. The rogue server detection device 103 monitors the communication of the lines from the Internet 10 to the user networks 16, 17, and 18 to detect the communication of the rogue server via those user networks.

ASP12は、不正通信ユーザ通知装置104、ユーザ課金装置105、オーダ受付装置106、対抗措置装置107、及び通信挙動DB装置108を含んでいる。それらの装置105~108の各々はインターネット10に接続されている。 The ASP 12 includes an unauthorized communication user notification device 104, a user billing device 105, an order reception device 106, a countermeasure device 107, and a communication behavior DB device 108. Each of these devices 105-108 is connected to the Internet 10.

不正通信ユーザ通知装置104はネットワーク特定手段及び不正通信通知手段を構成し、ユーザ課金装置105は課金手段を構成する。オーダ受付装置106はオーダ受信手段を構成し、対抗措置装置107は対抗措置手段を構成する。 The unauthorized communication user notification device 104 constitutes a network identification means and an unauthorized communication notification means, and the user billing device 105 constitutes a charging means. The order receiving device 106 constitutes an order receiving means, and the countermeasure device 107 constitutes a countermeasure means.

不正通信ユーザ通知装置104は、ユーザネットワークの管理者に対して、不正通信の検知をメールで通知する。オーダ受付装置106はユーザネットワークの管理者からの不正通信に対する対抗措置オーダをメール又は特定のWebページで受け付ける。対抗措置装置107は、オーダ受付装置106がオーダ受付を行うと、対抗措置対象の不正サーバとユーザネットワークの端末との各々に対してリセットコマンドであるRSTパケットを発信して通信を遮断し、更に、対抗措置対象の不正サーバに対しては対抗措置を生成するパケットを送信する。ユーザ課金装置105は対抗措置オーダを発信した管理者に対して課金を行う。また、通信挙動DB装置108はマルウェアによる不正通信挙動をログとして蓄積する。 The unauthorized communication user notification device 104 notifies the administrator of the user network of the detection of unauthorized communication by e-mail. The order receiving device 106 receives an order for countermeasures against unauthorized communication from the administrator of the user network by e-mail or a specific Web page. When the order receiving device 106 receives the order, the countermeasure device 107 sends an RST packet, which is a reset command, to each of the malicious server targeted for the countermeasure and the terminal of the user network to block the communication, and further, , Sends a packet to generate countermeasures to the malicious server targeted for countermeasures. The user charging device 105 charges the administrator who has sent the countermeasure order. Further, the communication behavior DB device 108 stores the illegal communication behavior due to malware as a log.

サンドボックス装置101、不正サーバ検知装置103、不正通信ユーザ通知装置104、ユーザ課金装置105、オーダ受付装置106、対抗措置装置107、及び通信挙動DB装置108の各々は、例えば、図2に示すように、CPU(Central Processing Unit)201、メモリ202、補助記憶部203、表示部204、通信IF部205、及び入力部206が共通の内部バス207に接続されたコンピュータ装置200からなる。通信IF部205は上記したインターネット10等のネットワーク回線に接続される。CPU201がメモリ202又は補助記憶部203に記憶されたプログラムを実行することにより、各装置の動作を実行する。また、ユーザは入力部206より入力操作を行ってCPU201に対して指令し、また、CPU201は表示部204に動作結果等の情報を表示させる。このような構成により、サンドボックス装置101、不正サーバリストDB装置102、不正サーバ検知装置103、不正通信ユーザ通知装置104、ユーザ課金装置105、オーダ受付装置106、対抗措置装置107、及び通信挙動DB装置108の各々は、以下に示す動作を行い、また、それら装置間において通信可能にされている。 Each of the sandbox device 101, the fraudulent server detection device 103, the fraudulent communication user notification device 104, the user billing device 105, the order reception device 106, the countermeasure device 107, and the communication behavior DB device 108 is shown in FIG. 2, for example. The computer device 200 includes a CPU (Central Processing Unit) 201, a memory 202, an auxiliary storage unit 203, a display unit 204, a communication IF unit 205, and an input unit 206 connected to a common internal bus 207. The communication IF unit 205 is connected to the above-mentioned network line such as the Internet 10. The CPU 201 executes the operation of each device by executing the program stored in the memory 202 or the auxiliary storage unit 203. Further, the user performs an input operation from the input unit 206 to give a command to the CPU 201, and the CPU 201 causes the display unit 204 to display information such as an operation result. With such a configuration, the sandbox device 101, the fraudulent server list DB device 102, the fraudulent server detection device 103, the fraudulent communication user notification device 104, the user billing device 105, the order reception device 106, the countermeasure device 107, and the communication behavior DB. Each of the devices 108 performs the following operations and is made communicable between the devices.

対抗措置装置107は、機能的には図3に示すように、送信元アドレス選択機能部211、RSTパケット発信機能部212、輻輳トラフィック発信機能部213、脆弱性コード発信機能部214、及びRAT型プログラム発信機能部215を備えている。 Functionally, as shown in FIG. 3, the countermeasure device 107 includes a source address selection function unit 211, an RST packet transmission function unit 212, a congestion traffic transmission function unit 213, a vulnerability code transmission function unit 214, and a RAT type. The program transmission function unit 215 is provided.

送信元アドレス選択機能部211は対抗措置装置107が送信するパケットの送信元IPアドレスを予め定められた複数のIPアドレスの中からランダムに選択する。RSTパケット発信機能部212はRSTパケットを対抗措置対象の不正サーバとユーザネットワークの端末との各々に対してRSTパケットを発信する。輻輳トラフィック発信機能部213は、TCPのSYNパケットやICMPパケットを不正サーバ又は不正サーバが存在するネットワークのアドレス宛に連続して発信する。脆弱性コード発信機能部214はサーバのOS等のソフトウェアの脆弱性に対応したコードを含んだパケットを不正サーバに対して発信する。RAT型プログラム発信機能部215はRAT(Remote Access Tool)型のプログラムを含むパケットを不正サーバに向けて発信する。 The source address selection function unit 211 randomly selects the source IP address of the packet transmitted by the countermeasure device 107 from a plurality of predetermined IP addresses. The RST packet transmission function unit 212 transmits the RST packet to each of the malicious server targeted for countermeasures and the terminal of the user network. The congested traffic transmission function unit 213 continuously transmits the SYN packet and the ICMP packet of TCP to the address of the malicious server or the network in which the unauthorized server exists. Vulnerability code transmission function unit 214 transmits a packet containing a code corresponding to a vulnerability in software such as a server OS to an unauthorized server. The RAT type program transmission function unit 215 transmits a packet containing a RAT (Remote Access Tool) type program to an unauthorized server.

対抗措置装置107は、不正サーバに対して対抗措置を実行する際には使用されたマルウェアの手法に対応して輻輳トラフィック発信機能部213、脆弱性コード発信機能部214、及びRAT型プログラム発信機能部215のうちの少なくとも1つを動作させる。輻輳トラフィック発信機能部213、脆弱性コード発信機能部214、及びRAT型プログラム発信機能部215各々の発信パケットの送信元アドレスには送信元アドレス選択機能部211によってランダムに選択されたIPアドレスが用いられる。 The countermeasure device 107 corresponds to the malware method used when executing countermeasures against the malicious server, and has a congestion traffic transmission function unit 213, a vulnerability code transmission function unit 214, and a RAT type program transmission function. At least one of the units 215 is operated. An IP address randomly selected by the source address selection function unit 211 is used as the source address of each outgoing packet of the congestion traffic transmission function unit 213, the vulnerability code transmission function unit 214, and the RAT type program transmission function unit 215. Be done.

次に、かかる不正通信対処システムの通信監視動作の流れについて図4のフローチャートを用いて説明する。 Next, the flow of the communication monitoring operation of the unauthorized communication coping system will be described with reference to the flowchart of FIG.

先ず、サンドボックス装置101がIX11に転送されるファイルを受信する(ステップS100)。これはファイル取込ステップであり、例えば、メールの添付ファイルやWEBデータに含まれているスクリプトファイルである。サンドボックス装置101は、このようなファイルを受信すると、予め定められた仮想環境下でその受信ファイルを実行し(ステップS101)、実行内容である実行中の挙動を分析してファイルがマルウェアか否かを判定する(ステップS102)。ステップS101及びS102はマルウェア判定ステップである。挙動としては不正サーバとの不正通信挙動が挙げられ、スパムメールやDDos攻撃の発生源となるような遠隔操作のコマンド及び制御を不正サーバから受ける通信である。マルウェアと判定した場合には、サンドボックス装置101は、そのマルウェアによる不正通信挙動をログとして記録し、その不正通信挙動ログを通信挙動DB装置108に通知する(ステップS103)。 First, the sandbox device 101 receives the file to be transferred to the IX 11 (step S100). This is a file import step, for example, a script file included in an email attachment or WEB data. When the sandbox device 101 receives such a file, the sandbox device 101 executes the received file under a predetermined virtual environment (step S101), analyzes the behavior during execution, which is the execution content, and determines whether the file is malware. (Step S102). Steps S101 and S102 are malware determination steps. As a behavior, there is an unauthorized communication behavior with an unauthorized server, which is a communication that receives a remote control command and control from the unauthorized server that may be a source of spam mail or DDos attack. If it is determined to be malware, the sandbox device 101 records the unauthorized communication behavior due to the malware as a log, and notifies the communication behavior DB device 108 of the unauthorized communication behavior log (step S103).

通信挙動DB装置108は、通知された不正通信挙動ログを内部メモリ(図示せず)に蓄積し(ステップS201)、今回通知された不正通信挙動ログが表すマルウェアの種類を分類する(ステップS202)。内部メモリには過去の不正通信挙動ログが記録されており、過去の不正通信挙動ログに基づいて今回通知された不正通信挙動ログが表すマルウェアの種類を判断することができる。例えば、過去の不正通信挙動ログ各々と今回通知された不正通信挙動ログとを比較し、その類似度が最も高いいずれか1つの過去の不正通信挙動ログを検出し、その過去の不正通信挙動ログが表すマルウェアの種類を今回通知された不正通信挙動ログが表すマルウェアの種類とすることができる。一方、過去の不正通信挙動ログ各々と今回通知された不正通信挙動ログと類似度がいずも既定値以下であるならば、今回通知された不正通信挙動ログが表すマルウェアの種類は新手法として分類される(ステップS203)。新手法であるならば、今回通知された不正通信挙動ログを対抗措置装置107に通知する(ステップS204)。 The communication behavior DB device 108 stores the notified unauthorized communication behavior log in the internal memory (not shown) (step S201), and classifies the types of malware represented by the unauthorized communication behavior log notified this time (step S202). .. The past unauthorized communication behavior log is recorded in the internal memory, and the type of malware represented by the unauthorized communication behavior log notified this time can be determined based on the past unauthorized communication behavior log. For example, each past malicious communication behavior log is compared with the malicious communication behavior log notified this time, any one of the past malicious communication behavior logs having the highest similarity is detected, and the past malicious communication behavior log is detected. The type of malware represented by can be the type of malware represented by the unauthorized communication behavior log notified this time. On the other hand, if the similarity between each of the past unauthorized communication behavior logs and the unauthorized communication behavior log notified this time is less than the default value, the type of malware represented by the unauthorized communication behavior log notified this time is classified as a new method. (Step S203). If it is a new method, the countermeasure device 107 is notified of the unauthorized communication behavior log notified this time (step S204).

対抗措置装置107は、通知された新手法の不正通信挙動ログを内部メモリ(図示せず)に蓄積し(ステップS301)、その不正通信挙動ログ、すなわち新手法に対応して機能部213~215の動作設定を行う(ステップS302)。これにより新手法のマルウェアに対抗措置の動作が決定される。よって、このような通信監視動作によって対抗措置装置107ではマルウェアの種類毎に適した対抗措置動作が設定されることになる。 The countermeasure device 107 stores the notified unauthorized communication behavior log of the new method in the internal memory (not shown) (step S301), and the unauthorized communication behavior log, that is, the functional units 213 to 215 corresponding to the new method. (Step S302). This will determine the action of countermeasures against the new method of malware. Therefore, such a communication monitoring operation causes the countermeasure device 107 to set a countermeasure operation suitable for each type of malware.

更に、かかる不正通信対処システムの不正通信対処動作の流れについて図5のフローチャートを用いて説明する。 Further, the flow of the unauthorized communication countermeasure operation of the unauthorized communication countermeasure system will be described with reference to the flowchart of FIG.

先ず、サンドボックス装置101はIX11に転送されるファイルを受信すると(ステップS400)、予め定められた仮想環境下でその受信ファイルを実行し(ステップS401)、実行内容である実行中の挙動を分析してファイルがマルウェアか否かを判定する(ステップS402)。ステップS400~S402は上述の通信監視動作のステップS100~S102と同一である。ステップS401及びS402はマルウェア判定ステップである。マルウェアと判定した場合には、サンドボックス装置101は、仮想環境下における不正サーバとの通信挙動から不正サーバのIPアドレスを取得し(ステップS403)、取得したIPアドレスを不正サーバリストDB装置102に供給する(ステップS404)。サーバアドレス検出ステップであるステップS403では例えば、遠隔操作を行う不正サーバとの通信際においてマルウェアの実行マシンの送信パケットの送信先となるIPアドレスが不正サーバのIPアドレスとして検出される。ステップS404により不正サーバリストDB装置102には不正サーバのIPアドレスが蓄積される。 First, when the sandbox device 101 receives the file to be transferred to the IX 11 (step S400), the sandbox device 101 executes the received file under a predetermined virtual environment (step S401), and analyzes the behavior during execution, which is the execution content. Then, it is determined whether or not the file is malware (step S402). Steps S400 to S402 are the same as steps S100 to S102 of the above-mentioned communication monitoring operation. Steps S401 and S402 are malware determination steps. If it is determined to be malware, the sandbox device 101 acquires the IP address of the malicious server from the communication behavior with the malicious server in the virtual environment (step S403), and transfers the acquired IP address to the malicious server list DB device 102. Supply (step S404). In step S403, which is a server address detection step, for example, when communicating with a malicious server that performs remote control, the IP address to which the transmission packet of the malware execution machine is transmitted is detected as the IP address of the malicious server. In step S404, the IP address of the unauthorized server is accumulated in the unauthorized server list DB device 102.

不正サーバ検知装置103は、例えば、予め定められた周期で又はサンドボックス装置101からの指令を受けて、不正サーバリストDB装置102にアクセスして不正サーバリストDB装置102から不正サーバのIPアドレスを取り出す(ステップS501)。その取り出したIPアドレスを用いた通信を監視する(ステップS502)。不正サーバ検知装置103はインターネット10の本体とISP13、14、15との間の通信回線に接続されているので、監視はこの通信回線を転送されるパケットを受信することになり、その受信パケットに含まれる送信先のIPアドレスをステップS201で取り出したIPアドレスと比較することにより行われる。監視の結果、不正サーバの通信を検出すると(ステップS503)、当該受信パケットに含まれる送信元のIPアドレス(不正サーバの通信相手のIPアドレス)を不正通信ユーザ通知装置104に送出する(ステップS504)。ステップS501~S504はサーバ通信検出ステップである。 The rogue server detection device 103 accesses the rogue server list DB device 102 at a predetermined cycle or receives a command from the sandbox device 101, and obtains the IP address of the rogue server from the rogue server list DB device 102. Take out (step S501). Communication using the extracted IP address is monitored (step S502). Since the fraudulent server detection device 103 is connected to the communication line between the main body of the Internet 10 and the ISPs 13, 14 and 15, the monitoring receives the packet transferred through this communication line, and the received packet is used. This is done by comparing the included destination IP address with the IP address retrieved in step S201. When the communication of the unauthorized server is detected as a result of the monitoring (step S503), the source IP address (IP address of the communication partner of the unauthorized server) included in the received packet is sent to the unauthorized communication user notification device 104 (step S504). ). Steps S501 to S504 are server communication detection steps.

不正通信ユーザ通知装置104は、不正サーバ検知装置103から送信元のIPアドレスを受信すると、送信元のIPアドレスに応じてユーザネットワークを特定する(ステップS601)。不正通信ユーザ通知装置104は、例えば、予めIPアドレスとユーザネットワークとの関係をデータテーブルとして保有しており、IPアドレスが分かればデータテーブルを用いてどこのユーザネットワークに割当たられたアドレスであるかを特定することができる。また、不正通信ユーザ通知装置104は、各ユーザネットワークの管理者のメールアドレスをデータとして保有しているので、特定されたユーザネットワークの管理者宛にメールで不正通信の検知を通知する(ステップS602)。当該メールには、例えば、管理者の管理下のユーザネットワークを介した不正通信を検知したこと、その不正通信を遮断し、かつ対抗措置を施す有料サービスを提供していること、及びその有料サービスのオーダ、すなわち対抗措置オーダをメール又は特定のWebページで受け付けることが記載されている。 When the unauthorized communication user notification device 104 receives the IP address of the source from the unauthorized server detection device 103, the unauthorized communication user notification device 104 identifies the user network according to the IP address of the source (step S601). The unauthorized communication user notification device 104 holds, for example, the relationship between the IP address and the user network as a data table in advance, and if the IP address is known, it is an address assigned to which user network using the data table. Can be specified. Further, since the unauthorized communication user notification device 104 holds the email address of the administrator of each user network as data, the administrator of the specified user network is notified of the detection of unauthorized communication by email (step S602). ). In the email, for example, the detection of unauthorized communication via the user network under the control of the administrator, the provision of a paid service that blocks the unauthorized communication and takes countermeasures, and the paid service. Order, that is, countermeasure order is accepted by e-mail or a specific Web page.

オーダ受付装置106は、例えば、予め定められた周期で又はサンドボックス装置101からの指令を受けて、不正サーバリストDB装置102にアクセスして不正サーバリストDB装置102から不正サーバのIPアドレスを取り出す(ステップS701)。そして、管理者から対抗措置オーダを受信するまで待機する(ステップS702)。 The order receiving device 106 accesses the malicious server list DB device 102 at a predetermined cycle or receives a command from the sandbox device 101, and retrieves the IP address of the malicious server from the malicious server list DB device 102. (Step S701). Then, it waits until the countermeasure order is received from the administrator (step S702).

オーダ受付装置106は、対抗措置オーダを受信すると(ステップS703)、対抗措置装置107に対して、取り出したIPアドレスが割り当てられた不正サーバへの対抗措置を指令する(ステップS704)。 When the order receiving device 106 receives the countermeasure order (step S703), the order receiving device 106 instructs the countermeasure device 107 to take countermeasures against the unauthorized server to which the retrieved IP address is assigned (step S704).

対抗措置装置107は、対抗措置指令を受信すると、不正サーバリストDB装置102にアクセスして不正サーバリストDB装置102から該当する不正サーバのIPアドレスを取り出す(ステップS801)。また、該当不正サーバと不正通信中の送信元のIPアドレス、すなわち対抗措置オーダを発した管理者のネットワークに接続されたユーザ端末のIPアドレスを得る(ステップS802)。これは対抗措置装置107が、不正サーバ検知装置103又は不正通信ユーザ通知装置104と通信して得ることができる。また、対抗措置オーダを受けた不正通信の不正サーバ及びユーザ端末各々のIPアドレス等の不正通信情報をASP12内の図示しない記憶装置で共有し、その記憶装置にASP12内の装置104~108が適宜アクセスして不正通信情報を読み出すことができるようにしても良い。 Upon receiving the countermeasure command, the countermeasure device 107 accesses the malicious server list DB device 102 and extracts the IP address of the corresponding malicious server from the malicious server list DB device 102 (step S801). In addition, the IP address of the source that is in unauthorized communication with the malicious server, that is, the IP address of the user terminal connected to the network of the administrator who issued the countermeasure order is obtained (step S802). This can be obtained by the countermeasure device 107 communicating with the fraudulent server detection device 103 or the fraudulent communication user notification device 104. Further, the unauthorized communication information such as the IP address of each of the unauthorized communication server and the user terminal that has received the countermeasure order is shared by a storage device (not shown) in the ASP 12, and the devices 104 to 108 in the ASP 12 are appropriately used in the storage device. It may be possible to access and read unauthorized communication information.

対抗措置装置107は、不正通信の不正サーバ及びユーザ端末各々のIPアドレスを得ると、RSTパケット発信機能部212を使用してそれらのIPアドレスを送信先アドレスとしたRSTパケットをインターネット10に各々送出する(ステップS803)。一方のRSTパケットは不正通信中のユーザ端末に転送され、他方のRSTパケットは不正通信中の不正サーバに転送される。これにより、不正サーバとユーザ端末との間の不正通信が強制的に遮断される。 When the countermeasure device 107 obtains the IP addresses of the unauthorized server and the user terminal of the unauthorized communication, the RST packet transmission function unit 212 uses the RST packet transmission function unit 212 to transmit the RST packet to the Internet 10 with those IP addresses as the destination addresses. (Step S803). One RST packet is transferred to the user terminal during unauthorized communication, and the other RST packet is transferred to the unauthorized server during unauthorized communication. As a result, unauthorized communication between the unauthorized server and the user terminal is forcibly blocked.

また、対抗措置装置107は、送信元アドレス選択機能部211を使用して送信元アドレスを複数のIPアドレスの中からランダムに選択して設定する(ステップS804)。そして、設定した送信元アドレスを用いて輻輳トラフィック発信機能部213、脆弱性コード発信機能部214、及びRAT型プログラム発信機能部215のうちの少なくとも1を動作させることにより対抗措置を行う(ステップS805)。機能部213~215のうちのいずれの機能部を動作させるかについては不正通信挙動ログに記録された手法の種類(「ウィルス」、「ワーム」、「トロイの木馬」等)に対応して予め設定することができる。 Further, the countermeasure device 107 uses the source address selection function unit 211 to randomly select and set the source address from a plurality of IP addresses (step S804). Then, countermeasures are taken by operating at least one of the congestion traffic transmission function unit 213, the vulnerability code transmission function unit 214, and the RAT type program transmission function unit 215 using the set source address (step S805). ). Which of the functional units 213 to 215 is to be operated is determined in advance according to the type of method ("virus", "worm", "Trojan horse", etc.) recorded in the unauthorized communication behavior log. Can be set.

よって、輻輳トラフィック発信機能部213が動作すると、TCPのSYNパケットやICMPパケットなどの特定のパケットが不正サーバ又は不正サーバの存在するネットワークに対して連続して発信され、不正サーバが存在するネットワークの回線や不正サーバのプロセッサ(図示せず)の処理の負荷を上昇させて不正通信を抑制することが行われる。脆弱性コード発信機能部214が動作すると、サーバのOS等のソフトウェアの脆弱性に対応したコードを含んだパケットが不正サーバに向けて発信され、それにより不正サーバをハングアップさせて不正サーバの処理を停止させることが行われる。RAT型プログラム発信機能部215が動作するならば、RAT型のプログラムを含むパケットが不正サーバに向けて発信され、それによりRAT型のプログラムが不正サーバに入り込むとプロセスとして常駐する。常駐した場合には遠隔操作で不正サーバの処理やログの監視を行い、不正サーバの管理者や操作者を特定したり、不正通信の処理を停止させることが行われる。各機能部213~215はマルウェアの種類毎に不正通信が停止或いは遮断されるように動作する。 Therefore, when the congestion traffic transmission function unit 213 operates, specific packets such as TCP SYN packets and ICMP packets are continuously transmitted to the malicious server or the network in which the unauthorized server exists, and the network in which the unauthorized server exists. Unauthorized communication is suppressed by increasing the processing load of the line or the processor of the unauthorized server (not shown). When the vulnerability code transmission function unit 214 operates, a packet containing a code corresponding to a software vulnerability such as the server OS is transmitted to the malicious server, which causes the malicious server to hang and process the malicious server. Is stopped. If the RAT-type program transmission function unit 215 operates, a packet containing the RAT-type program is transmitted to the malicious server, and when the RAT-type program enters the malicious server, it resides as a process. When resident, the processing of the unauthorized server and the monitoring of the log are performed by remote control, the administrator and the operator of the unauthorized server are identified, and the processing of the unauthorized communication is stopped. Each functional unit 213 to 215 operates so as to stop or block unauthorized communication for each type of malware.

ユーザ課金装置105は、例えば、オーダ受付装置106からは対抗措置オーダの受信があったことが通知される。また、対抗措置装置107が対抗措置の処理後、対抗措置装置107からは対抗措置終了通知を受ける。対抗措置終了通知に応答してユーザ課金装置105は、対抗措置オーダを発した管理者に対して課金処理を実行する(ステップS901)。課金処理は例えば、予め登録された管理者のクレジットカード口座からの自動引き落とし、或いは管理者のメールアドレスに銀行口座振込依頼を記したメールを送信することにより行われる。 The user billing device 105 is notified, for example, that the counter measure order has been received from the order receiving device 106. Further, after the countermeasure device 107 processes the countermeasure, the countermeasure device 107 receives a notification of the end of the countermeasure. In response to the countermeasure end notification, the user billing device 105 executes a billing process for the administrator who has issued the countermeasure order (step S901). The billing process is performed, for example, by automatically debiting the administrator's credit card account registered in advance, or by sending an e-mail containing a bank account transfer request to the administrator's e-mail address.

図1に示したように、ユーザ端末109はユーザネットワーク17に接続された端末であり、マルウェア110に感染されている。不正サーバ21は例えば、海外のネットワーク20に配置され、そのネットワーク20を介してインターネット10に接続されている。また、不正サーバ21はユーザ端末109に侵入したマルウェア110の実行によりユーザ端末109との間で不正通信を実行するサーバである。 As shown in FIG. 1, the user terminal 109 is a terminal connected to the user network 17 and is infected with the malware 110. The malicious server 21 is located in, for example, an overseas network 20 and is connected to the Internet 10 via the network 20. Further, the unauthorized server 21 is a server that executes unauthorized communication with the user terminal 109 by executing the malware 110 that has invaded the user terminal 109.

ユーザ端末109がマルウェア110の実行を開始すると、不正サーバ21との間でTCPコネクションが確立する。TCPコネクションが確立すると、ユーザ端末109と不正サーバ21との間でHTTPデータ+ACKを含むパケットが交互に転送され、これにより図1に示した不正通信111が実行される。 When the user terminal 109 starts executing the malware 110, a TCP connection is established with the malicious server 21. When the TCP connection is established, packets containing the HTTP data + ACK are alternately transferred between the user terminal 109 and the malicious server 21, and the unauthorized communication 111 shown in FIG. 1 is executed.

この不正通信111の実行中に、上記した不正通信対処システムの動作が開始されると、RSTパケット(図1の112、113)がユーザ端末109及び不正サーバ21の各々に送信される。ユーザ端末109及び不正サーバ21の各々はRSTパケット112、113を受信すると、ユーザ端末109と不正サーバ21との間の通信を終了してTCPコネクションを強制的に切断する。また、対抗措置装置107から不正サーバ21に向けて図1の経路113で対抗措置を生成するパケットが送り込まれ、そのパケットにより不正サーバ21に対して反撃を実行し、不正サーバ21によるユーザ端末109への攻撃の停止が可能となる。 If the operation of the above-mentioned fraudulent communication coping system is started during the execution of the fraudulent communication 111, RST packets (112 and 113 in FIG. 1) are transmitted to each of the user terminal 109 and the fraudulent server 21. When each of the user terminal 109 and the unauthorized server 21 receives the RST packets 112 and 113, the communication between the user terminal 109 and the unauthorized server 21 is terminated and the TCP connection is forcibly disconnected. Further, the countermeasure device 107 sends a packet for generating countermeasures to the malicious server 21 along the route 113 of FIG. 1, and the packet executes a counterattack against the malicious server 21, and the user terminal 109 by the malicious server 21 executes a counterattack. It is possible to stop the attack on.

このように、本発明による不正通信対処システムはインターネットに配置されたIX及びASPに構築されており、ユーザネットワーク内に不正通信対処設備を配置する必要はなく、更に、ユーザネットワークを接続するISPに依存せず、ASPのサービスとして、不正通信の検知、遮断、そして不正サーバへの対抗措置が可能となる。また、上述したように各ユーザネットワーク内に不正通信対処設備を配置する必要がないので、不正通信対処システムの構築コストを低減することができる。 As described above, the unauthorized communication countermeasure system according to the present invention is constructed in the IX and the ASP located on the Internet, and it is not necessary to arrange the unauthorized communication countermeasure equipment in the user network, and further, in the ISP connecting the user network. As an ASP service, it is possible to detect and block unauthorized communication and take countermeasures against unauthorized servers without depending on it. Further, as described above, it is not necessary to dispose the unauthorized communication countermeasure equipment in each user network, so that the construction cost of the unauthorized communication countermeasure system can be reduced.

更に、ASPの有料サービスとして対抗措置を行い、その対抗措置では送信元IPアドレスをランダムに設定するので、不正サーバからのASPへの再攻撃を回避させることができる。 Furthermore, since countermeasures are taken as a paid service of ASP and the source IP address is randomly set in the countermeasures, it is possible to avoid a re-attack on the ASP from an unauthorized server.

また、不正サーバが海外のネットワークに存在する場合でも不正通信の検知、遮断、そして不正サーバへの対抗措置が可能となる。 In addition, even if an unauthorized server exists in an overseas network, it is possible to detect and block unauthorized communication and take countermeasures against the unauthorized server.

なお、上記した実施例においては、インターネット10に接続されたサンドボックス装置101、不正サーバ検知装置103、不正通信ユーザ通知装置104、ユーザ課金装置105、オーダ受付装置106、対抗措置装置107、及び通信挙動DB装置108によって分散動作が行われているが、これに限らず、適宜の数の装置に分散することができる。また、インターネット10に接続された、図2に示した如き構成を有する単一のネットワーク監視装置によって全ての動作が実行されても良い。 In the above embodiment, the sandbox device 101, the fraudulent server detection device 103, the fraudulent communication user notification device 104, the user billing device 105, the order reception device 106, the countermeasure device 107, and the communication connected to the Internet 10. The distributed operation is performed by the behavior DB device 108, but the present invention is not limited to this, and the distributed operation can be performed in an appropriate number of devices. In addition, all operations may be performed by a single network monitoring device connected to the Internet 10 and having the configuration shown in FIG.

10 インターネット
11 IX
12 ASP
13、14、15 ISP
20 海外ネットワーク
21 不正サーバ
101 サンドボックス装置
102 不正サーバリストDB装置
103 不正サーバ検知装置
104 不正通信ユーザ通知装置
105 ユーザ課金装置
106 オーダ受付装置
107 対抗措置装置
108 通信挙動DB装置
109 ユーザ端末
110 マルウェア 10 Internet 11 IX
12 ASP
13, 14, 15 ISP
20 Overseas network 21 Unauthorized server 101 Sandbox device 102 Unauthorized server list DB device 103 Unauthorized server detection device 104 Unauthorized communication user notification device 105 User billing device 106 Order reception device 107 Countermeasure device 108 Communication behavior DB device 109 User terminal 110 Malware

Claims (13)

インターネットを介して転送されるファイルを取り込むファイル取込手段と、
前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、
前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、
対抗措置手段とを備え、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのアドレス宛に特定のパケットを連続して発信する輻輳トラフィック発信機能部を動作させ、
前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴とする不正通信対処システム。 A file import method for importing files transferred via the Internet,
A malware determining means that executes the file captured by the file importing means in a virtual environment and determines whether or not the file is malware based on the execution contents.
When the file is determined to be malware by the malware determining means, the server address detecting means for detecting the address of the malicious server from the execution contents of the file in the virtual environment, and the server address detecting means.
Equipped with countermeasures
The countermeasure means operates a congestion traffic transmission function unit that continuously transmits a specific packet to the address of the malicious server in response to the malicious communication behavior caused by malware.
The countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior caused by the malware as a log.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. An unauthorized communication countermeasure system characterized by accumulating the log of the new method. インターネットを介して転送されるファイルを取り込むファイル取込手段と、
前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、
前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、
対抗措置手段とを備え、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのソフトウェアの脆弱性に対応したコードを含んだパケットを前記不正サーバのアドレス宛に発信する脆弱性コード発信機能部を動作させ、
前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴とする不正通信対処システム。 A file import method for importing files transferred via the Internet,
A malware determining means that executes the file captured by the file importing means in a virtual environment and determines whether or not the file is malware based on the execution contents.
When the file is determined to be malware by the malware determining means, a server address detecting means for detecting the address of an unauthorized server from the execution contents of the file in the virtual environment, and a server address detecting means.
Equipped with countermeasures
The countermeasure means operates a vulnerability code transmission function unit that transmits a packet containing a code corresponding to a software vulnerability of the malicious server to the address of the malicious server in response to the malicious communication behavior caused by malware. Let me
The countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior caused by the malware as a log.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. An unauthorized communication countermeasure system characterized by accumulating the log of the new method. インターネットを介して転送されるファイルを取り込むファイル取込手段と、
前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、
前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、
対抗措置手段とを備え、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、RAT(Remote Access Tool)型のプログラムを含むパケットを前記不正サーバのアドレス宛に発信するRAT型プログラム発信機能部を動作させ、
前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴とする不正通信対処システム。 A file import method for importing files transferred via the Internet,
A malware determining means that executes the file captured by the file importing means in a virtual environment and determines whether or not the file is malware based on the execution contents.
When the file is determined to be malware by the malware determining means, the server address detecting means for detecting the address of the malicious server from the execution contents of the file in the virtual environment, and the server address detecting means.
Equipped with countermeasures
The countermeasure means operates a RAT type program transmission function unit that transmits a packet containing a RAT (Remote Access Tool) type program to the address of the unauthorized server in response to the unauthorized communication behavior caused by malware.
The countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior caused by the malware as a log.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. An unauthorized communication countermeasure system characterized by accumulating the log of the new method. 前記不正サーバのアドレスに基づいて前記インターネットを介した前記不正サーバとの通信を検出する不正サーバ通信検出手段と、
前記不正サーバ通信検出手段によって前記不正サーバとの通信が検出されたとき前記不正サーバの通信相手のアドレスを検出する通信相手アドレス検出手段と、
前記不正サーバの通信相手のアドレスが割り当てられたローカルネットワークを特定するネットワーク特定手段と、
前記ローカルネットワークの管理者宛に不正通信の検知を前記インターネットを介して通知する不正通信通知手段と、
前記不正通信の検知通知に対する対抗措置オーダを前記インターネットを介して受信するオーダ受信手段と、を含み、
前記ローカルネットワークは、前記インターネットに中継装置を介して接続されており、
前記対抗措置手段は、前記対抗措置オーダを受信すると、前記パケットの他に前記不正サーバのアドレス及び前記通信相手のアドレスの各々に向けて通信強制終了コマンドを含むパケットを前記インターネットに送出することを特徴とする請求項1乃至3のいずれか1記載の不正通信対処システム。 A rogue server communication detection means that detects communication with the rogue server via the Internet based on the address of the rogue server, and
When communication with the malicious server is detected by the unauthorized server communication detecting means, the communication partner address detecting means for detecting the address of the communication partner of the unauthorized server, and the communication partner address detecting means.
A network identification means for identifying a local network to which the address of the communication partner of the malicious server is assigned, and
An unauthorized communication notification means for notifying the administrator of the local network of the detection of unauthorized communication via the Internet,
A countermeasure receiving means for receiving a countermeasure order for the detection notification of unauthorized communication via the Internet, and the like.
The local network is connected to the Internet via a relay device, and the local network is connected to the Internet via a relay device.
When the countermeasure means receives the countermeasure order, it sends a packet including a communication forced termination command to each of the address of the malicious server and the address of the communication partner in addition to the packet to the Internet. The unauthorized communication countermeasure system according to any one of claims 1 to 3, which is characterized. 前記対抗措置手段による前記通信強制終了コマンドを含むパケット及び前記パケットの送出後、前記管理者に対する課金処理を行う課金手段を含むことを特徴とする請求項4記載の不正通信対処システム。 The unauthorized communication countermeasure system according to claim 4, further comprising a packet including the communication forced termination command by the countermeasure means and a charging means for performing a charging process for the administrator after sending the packet. 前記ローカルネットワークはインターネットプロバイダ管理下のネットワークであり、
前記中継装置はインターネットサービスプロバイダ装置であることを特徴とする請求項4記載の不正通信対処システム。 The local network is a network under the control of an Internet provider.
The unauthorized communication countermeasure system according to claim 4, wherein the relay device is an Internet service provider device. 前記輻輳トラフィック発信機能部の動作は前記通信挙動DB装置に蓄積された前記ログに基づいて設定されることを特徴とする請求項1記載の不正通信対処システム。 The unauthorized communication countermeasure system according to claim 1, wherein the operation of the congestion traffic transmission function unit is set based on the log stored in the communication behavior DB device. 前記脆弱性コード発信機能部の動作は前記通信挙動DB装置に蓄積された前記ログに基づいて設定されることを特徴とする請求項2記載の不正通信対処システム。 The unauthorized communication countermeasure system according to claim 2, wherein the operation of the vulnerability code transmission function unit is set based on the log stored in the communication behavior DB device. 前記RAT型プログラム発信機能部の動作は前記通信挙動DB装置に蓄積された前記ログに基づいて設定されることを特徴とする請求項3記載の不正通信対処システム。 The unauthorized communication countermeasure system according to claim 3, wherein the operation of the RAT type program transmission function unit is set based on the log stored in the communication behavior DB device. 前記ネットワーク特定手段及び前記不正通信通知手段は不正通信ユーザ通知装置によって構成され、前記オーダ受信手段はオーダ受付装置によって構成され、前記対抗措置手段は対抗措置装置によって構成され、前記課金手段はユーザ課金装置によって構成され、
前記不正通信ユーザ通知装置、前記オーダ受付装置、前記対抗措置装置、及び前記ユーザ課金装置はASP(アプリケーションサービスプロバイダ)に含まれることを特徴とする請求項5記載の不正通信対処システム。 The network identifying means and the unauthorized communication notification means are configured by an unauthorized communication user notification device, the order receiving means is configured by an order receiving device, the countermeasure means is configured by a countermeasure device, and the billing means is user-charged. Consists of equipment,
The unauthorized communication countermeasure system according to claim 5 , wherein the unauthorized communication user notification device, the order reception device, the countermeasure device, and the user billing device are included in an ASP (application service provider). 不正通信対処システムにおける不正通信対処方法であって、
前記不正通信対処システムは、ファイル取込手段、マルウェア判定手段、サーバアドレス検出手段と、対抗措置手段とを備え、
前記対抗措置手段は、通信挙動DB(データベース)装置を備え、
前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、
前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、
前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのアドレス宛に特定のパケットを連続して発信する輻輳トラフィック発信機能ステップを動作させ、
前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴とする不正通信対処方法。 It is a method of dealing with fraudulent communication in a fraudulent communication coping system.
The fraudulent communication countermeasure system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means.
The countermeasure means includes a communication behavior DB (database) device.
The file importing means has a step of importing a file transferred via the Internet.
The malware determining means has a step of executing the file captured by the file importing means in a virtual environment and determining whether or not the file is malware based on the execution content.
The server address detecting means has a step of detecting the address of an unauthorized server from the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means.
The countermeasure means operates a congestion traffic transmission function step that continuously transmits a specific packet to the address of the malicious server in response to the malicious communication behavior caused by malware.
The countermeasure means has a first accumulation step of accumulating the unauthorized communication behavior by the malware as a log in the communication behavior DB device.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. A method for dealing with malicious communication, which comprises a second accumulation step of accumulating the log of the new method. 不正通信対処システムにおける不正通信対処方法であって、
前記不正通信対処システムは、ファイル取込手段、マルウェア判定手段、サーバアドレス検出手段と、対抗措置手段とを備え、
前記対抗措置手段は、通信挙動DB(データベース)装置を備え、
前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、
前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、
前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのソフトウェアの脆弱性に対応したコードを含んだパケットを前記不正サーバのアドレス宛に発信する脆弱性コード発信機能ステップを動作させ、
前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴とする不正通信対処方法。 It is a method of dealing with fraudulent communication in a fraudulent communication coping system.
The fraudulent communication countermeasure system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means.
The countermeasure means includes a communication behavior DB (database) device.
The file importing means has a step of importing a file transferred via the Internet.
The malware determining means has a step of executing the file captured by the file importing means in a virtual environment and determining whether or not the file is malware based on the execution content.
The server address detecting means has a step of detecting the address of an unauthorized server from the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means.
The countermeasure means operates a vulnerability code transmission function step of transmitting a packet containing a code corresponding to a software vulnerability of the malicious server to the address of the malicious server in response to the malicious communication behavior caused by malware. Let me
The countermeasure means has a first accumulation step of accumulating the unauthorized communication behavior by the malware as a log in the communication behavior DB device.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. A method for dealing with malicious communication, which comprises a second accumulation step of accumulating the log of the new method. 不正通信対処システムにおける不正通信対処方法であって、
前記不正通信対処システムは、ファイル取込手段、マルウェア判定手段、サーバアドレス検出手段と、対抗措置手段とを備え、
前記対抗措置手段は、通信挙動DB(データベース)装置を備え、
前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、
前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、
前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、RAT(Remote Access Tool)型のプログラムを含むパケットを前記不正サーバのアドレス宛に発信するRAT型プログラム発信機能ステップを動作させ、
前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴とする不正通信対処方法。 It is a method of dealing with fraudulent communication in a fraudulent communication coping system.
The fraudulent communication countermeasure system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means.
The countermeasure means includes a communication behavior DB (database) device.
The file importing means has a step of importing a file transferred via the Internet.
The malware determining means has a step of executing the file captured by the file importing means in a virtual environment and determining whether or not the file is malware based on the execution content.
The server address detecting means has a step of detecting the address of an unauthorized server from the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means.
The countermeasure means operates a RAT-type program transmission function step that transmits a packet containing a RAT (Remote Access Tool) type program to the address of the malicious server in response to the unauthorized communication behavior caused by malware.
The countermeasure means has a first accumulation step of accumulating the unauthorized communication behavior by the malware as a log in the communication behavior DB device.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. A method for dealing with malicious communication, which comprises a second accumulation step of accumulating the log of the new method.
JP2018035588A 2018-02-28 2018-02-28 Unauthorized communication countermeasure system and method Active JP7102780B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018035588A JP7102780B2 (en) 2018-02-28 2018-02-28 Unauthorized communication countermeasure system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018035588A JP7102780B2 (en) 2018-02-28 2018-02-28 Unauthorized communication countermeasure system and method

Publications (2)

Publication Number Publication Date
JP2019152912A JP2019152912A (en) 2019-09-12
JP7102780B2 true JP7102780B2 (en) 2022-07-20

Family

ID=67948922

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018035588A Active JP7102780B2 (en) 2018-02-28 2018-02-28 Unauthorized communication countermeasure system and method

Country Status (1)

Country Link
JP (1) JP7102780B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021051481A (en) * 2019-09-24 2021-04-01 沖電気工業株式会社 Control device, control program, control method, support device, support program, support method, and support system
JP7307648B2 (en) 2019-09-30 2023-07-12 株式会社日本総合研究所 System, decoy PC, control device, method and program for reverse phishing against phishing mail
CN116938570A (en) * 2023-07-27 2023-10-24 北京天融信网络安全技术有限公司 Detection method and device, storage medium and electronic equipment

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003186763A (en) 2001-12-21 2003-07-04 Toyo Commun Equip Co Ltd Detection and prevention method of breaking into computer system
WO2015137235A1 (en) 2014-03-13 2015-09-17 日本電信電話株式会社 Identification device, identification method, and identification program
JP2016119061A (en) 2014-12-19 2016-06-30 ザ・ボーイング・カンパニーThe Boeing Company Policy-based network security
US20170039369A1 (en) 2015-03-31 2017-02-09 Juniper Networks, Inc. Configuring a sandbox environment for malware testing
JP2017142744A (en) 2016-02-12 2017-08-17 日本電気株式会社 Information processing apparatus, virus detection method, and program
US20180004939A1 (en) 2015-01-29 2018-01-04 Nec Corporation Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003186763A (en) 2001-12-21 2003-07-04 Toyo Commun Equip Co Ltd Detection and prevention method of breaking into computer system
WO2015137235A1 (en) 2014-03-13 2015-09-17 日本電信電話株式会社 Identification device, identification method, and identification program
JP2016119061A (en) 2014-12-19 2016-06-30 ザ・ボーイング・カンパニーThe Boeing Company Policy-based network security
US20180004939A1 (en) 2015-01-29 2018-01-04 Nec Corporation Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
US20170039369A1 (en) 2015-03-31 2017-02-09 Juniper Networks, Inc. Configuring a sandbox environment for malware testing
JP2017142744A (en) 2016-02-12 2017-08-17 日本電気株式会社 Information processing apparatus, virus detection method, and program

Also Published As

Publication number Publication date
JP2019152912A (en) 2019-09-12

Similar Documents

Publication Publication Date Title
KR100877664B1 (en) Detecting network attacks
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
JP2005506736A (en) A method and apparatus for providing node security in a router of a packet network.
US20150047039A1 (en) Secure notification on networked devices
EP1911241B1 (en) Method for defending against denial of service attacks in ip networks by target victim self-identification and control
JP2019021294A (en) SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS
CN109922072B (en) Distributed denial of service attack detection method and device
JP7102780B2 (en) Unauthorized communication countermeasure system and method
KR20120085821A (en) Network communication system, server system and terminals
JP2006243878A (en) Unauthorized access detection system
JP2004302538A (en) Network security system and network security management method
JP2004140524A (en) Method and apparatus for detecting dos attack, and program
JP6106861B1 (en) Network security device, security system, network security method, and program
JP6870386B2 (en) Malware unauthorized communication countermeasure system and method
JP6592196B2 (en) Malignant event detection apparatus, malignant event detection method, and malignant event detection program
CN108418844A (en) A kind of means of defence of application layer attack and attack protection end
CN105429975A (en) Data safety defense system and method based on cloud terminal, and cloud terminal safety system
JP5531064B2 (en) COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
CN112491911B (en) DNS distributed denial of service defense method, device, equipment and storage medium
CN110198298A (en) A kind of information processing method, device and storage medium
JP4753264B2 (en) Method, apparatus, and computer program for detecting network attacks (network attack detection)
WO2019240054A1 (en) Communication device, packet processing method, and program
US10757078B2 (en) Systems and methods for providing multi-level network security
CN111193689B (en) Network attack processing method and device, electronic equipment and storage medium
FI126032B (en) Detection of a threat in a telecommunications network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201111

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210816

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210914

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220525

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220620

R150 Certificate of patent or registration of utility model

Ref document number: 7102780

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150