JPWO2007069337A1 - 不正通信プログラムの規制システム及びそのプログラム - Google Patents
不正通信プログラムの規制システム及びそのプログラム Download PDFInfo
- Publication number
- JPWO2007069337A1 JPWO2007069337A1 JP2007550065A JP2007550065A JPWO2007069337A1 JP WO2007069337 A1 JPWO2007069337 A1 JP WO2007069337A1 JP 2007550065 A JP2007550065 A JP 2007550065A JP 2007550065 A JP2007550065 A JP 2007550065A JP WO2007069337 A1 JPWO2007069337 A1 JP WO2007069337A1
- Authority
- JP
- Japan
- Prior art keywords
- communication
- program
- unauthorized
- module
- restriction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006854 communication Effects 0.000 title claims abstract description 311
- 238000004891 communication Methods 0.000 claims abstract description 224
- 238000001914 filtration Methods 0.000 claims abstract description 49
- 238000012545 processing Methods 0.000 claims abstract description 27
- 238000012544 monitoring process Methods 0.000 claims abstract description 25
- 230000001105 regulatory effect Effects 0.000 claims abstract description 15
- 238000007689 inspection Methods 0.000 claims abstract description 4
- 238000000034 method Methods 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000006870 function Effects 0.000 description 21
- 101100048435 Caenorhabditis elegans unc-18 gene Proteins 0.000 description 7
- 239000008186 active pharmaceutical agent Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005315 distribution function Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Quality & Reliability (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
管理下にあるコンピュータのネットワーク環境に関係なく、不正通信プログラムの監視及び規制が可能なシステムを提供する。 各コンピュータを管理するサーバは、不正通信プログラムを特定するためのファイルパターンを配信する手段を備え、前記コンピュータは、該コンピュータから生じる通信の監視/規制処理をするフィルタリングモジュールを備え、前記フィルタリングモジュールは、前記サーバから取得したファイルパターンを格納するデータベースと、前記コンピュータで起動された通信モジュールの通信を監視し、他のコンピュータへの通信開始要求の発生を検知する手段と、前記通信モジュールのファイルパターンと前記データベースのファイルパターンとを照合して前記通信モジュールが不正通信プログラムであるか否かを検査する手段と、前記検査手段が不正通信プログラムと判定した場合に、前記通信モジュールの通信を規制する手段とを備える。
Description
本発明は、不正な通信を規制するコンピュータシステムに関し、特に、自己のコンピュータ上で稼動する通信モジュール(各種の通信プログラム)を監視して、自己のコンピュータから外部コンピュータにアクセスする前に不正な通信を自動的に規制するコンピュータシステム及びそのプログラムに関するものである。
近年、違法な音楽ファイル交換ソフトウェアなどが市場に流通している。著作権の侵害を始めとする違法な情報流通の温床となる通信プログラムの規制を行おうとした場合、従来は、LAN(Local Area Network)とインターネット網との間にフィルタリング装置(ゲートウェイ装置等)を設置し、その装置にて通信データの解析を行い、通信内容から不正通信プログラムと判断すると規制を行っていた。例えば、ゲートウェイ装置で規制するようにしたものとしては、1つ1つのパケットを個別に判断して、これまで管理者を悩ませてきた不要な通信を検出し、コンピュータ内部からのWinny等による通信を必要に応じてブロックするようにしたものが知られている(非特許文献1を参照)。
一方、自己のコンピュータで規制するようにしたものとしては、指定したポートでの通信を遮断することで規制するようにしたものの他に、スパイウェア等の悪意のある特定のアプリケーションを実行不能にする機能を備えるようにしたもの(ソフトウェアツール)が知られている(非特許文献2を参照)。
<文献一覧>
ネットエージェント株式会社のホームページ(製品名「One Point Wall」の特徴を説明したウェブページ)、[2005年10月20日検索]、インターネット〈URL : http://www.onepointwall.jp/〉 ウエブセンス インコーポレイテッド(Websense,Inc)の製品(製品名「製品Websense Enterprise Client Policy Manager(CPM)」を紹介したウェブページ)、[2005年10月20日検索]、インターネット〈http://www.atmarkit.co.jp/news/200405/20/websense.html〉
一方、自己のコンピュータで規制するようにしたものとしては、指定したポートでの通信を遮断することで規制するようにしたものの他に、スパイウェア等の悪意のある特定のアプリケーションを実行不能にする機能を備えるようにしたもの(ソフトウェアツール)が知られている(非特許文献2を参照)。
<文献一覧>
ネットエージェント株式会社のホームページ(製品名「One Point Wall」の特徴を説明したウェブページ)、[2005年10月20日検索]、インターネット〈URL : http://www.onepointwall.jp/〉 ウエブセンス インコーポレイテッド(Websense,Inc)の製品(製品名「製品Websense Enterprise Client Policy Manager(CPM)」を紹介したウェブページ)、[2005年10月20日検索]、インターネット〈http://www.atmarkit.co.jp/news/200405/20/websense.html〉
上述したように、違法な情報流通の温床となる通信プログラムや、業務等で不要な通信プログラム(以下、「不正通信プログラム」と言う)を制限する場合、LANとインターネット網との間に設置されたフィルタリング装置で規制する方法と、自己のコンピュータで規制する方法とがある。フィルタリング装置で規制する場合は、LAN内からインターネット網へのアクセスを監視することはできるが、例えば会社の資産でもあるノートパソコンを社外に持ち出した場合、そのノートパソコンで使用される不正通信プログラムの規制を行うことはできないという欠点がある。また、非特許文献1に記載のものは、通信内容を解析する必要があるため、ゲートウェイ装置のCPUの負荷が大きくなり、外部のコンピュータと通信する際にネックとなって、クライアントコンピュータの通信速度が低下するなどの欠点がある。
一方、非特許文献2に記載のものは、自己のコンピュータで規制するようにしているため、コンピュータがLANの外に持ち出されても、通信を規制することができるという利点がある。しかしながら、非特許文献2に記載の方法では、アプリケーションを実行させないようにすることはできるが、そのアプリケーションによる通信だけを遮断することはできない。そのため、オフラインでの使用なら許可させたいアプリケーションには使用できないなどの欠点がある。
本発明は上述のような事情から成されたものであり、本発明の目的は、構内ネットワーク内に設置したサーバを用いて管理下にある全てのコンピュータの監視及び規制に係る設定を行うことができると共に、管理下にあるコンピュータのネットワーク環境に関係なく、不正通信プログラムの監視及び規制を行うことが可能な不正通信プログラムの規制システム及びその方法を提供することにある。
一方、非特許文献2に記載のものは、自己のコンピュータで規制するようにしているため、コンピュータがLANの外に持ち出されても、通信を規制することができるという利点がある。しかしながら、非特許文献2に記載の方法では、アプリケーションを実行させないようにすることはできるが、そのアプリケーションによる通信だけを遮断することはできない。そのため、オフラインでの使用なら許可させたいアプリケーションには使用できないなどの欠点がある。
本発明は上述のような事情から成されたものであり、本発明の目的は、構内ネットワーク内に設置したサーバを用いて管理下にある全てのコンピュータの監視及び規制に係る設定を行うことができると共に、管理下にあるコンピュータのネットワーク環境に関係なく、不正通信プログラムの監視及び規制を行うことが可能な不正通信プログラムの規制システム及びその方法を提供することにある。
本発明は、クライアントコンピュータを管理するための集中管理サーバを構内ネットワーク内に備えたクライアントサーバシステムにおける不正通信プログラムの規制システム及びプログラムに関するものであり、本発明の上記目的はシステムに関しては、前記集中管理サーバは、各種の不正通信プログラムを特定するためのファイルパターンを管理下の各クライアントコンピュータに前記構内ネットワークを介して配信する配信手段を備え、前記クライアントコンピュータは、該コンピュータから生じる通信の監視及び規制処理をするフィルタリングモジュールを備え、前記フィルタリングモジュールは、前記集中管理サーバから取得した前記ファイルパターンを格納するデータベースと、前記クライアントコンピュータで起動された通信モジュールから発生する通信のイベントを監視し、他のコンピュータへの通信開始要求の発生を検知する通信検知手段と、前記通信開始要求の要求元通信モジュールのファイルパターンと前記データベースのファイルパターンとを照合して前記通信モジュールが不正通信プログラムであるか否かを検査する検査手段と、前記検査手段が不正通信プログラムと判定した場合に、前記通信モジュールの通信を前記通信開始要求の実行前に規制する通信規制手段とを備えることによって達成される。
さらに、前記集中管理サーバは、各通信モジュールの規制の有無に関する情報を含む規制ルールを設定する設定手段を更に備え、前記通信規制手段は、前記設定手段によって規制有りと指定されている通信モジュールを対象として前記通信の規制処理を行うこと、前記設定手段は、前記ファイルパターンが登録されている前記不正通信プログラムの一覧を設定画面として管理端末の表示部に表示し、その一覧の中から選択されたものを規制対象として設定する機能を有すること、によってそれぞれ一層効果的に達成される。
さらに、前記通信開始要求は、他のコンピュータへの接続要求又はデータ送信要求であること、前記ファイルパターンを一元管理するデータセンタを備え、前記配信手段は、前記データセンタから受信した最新のファイルパターンを各クライアントコンピュータに適時配信する機能を有すること、前記フィルタリングモジュールは、前記不正通信プログラムの監視が始まると、前記クライアントコンピュータが前記集中管理サーバと通信できない状況においても、前記不正通信プログラムの監視処理および規制処理を継続すること、前記集中管理サーバが保有する前記ファイルパターンは、不正通信プログラムではない通常のアプリケーションを特定するためのファイルパターン含み、前記通信規制手段は、前記設定手段によって規制無しと指定されているアプリケーションの通信のみを許可する機能を有すること、によってそれぞれ一層効果的に達成される。
また、プログラムに関しては、前記クライアントコンピュータに、各種の不正通信プログラムを特定するためのファイルパターンを受信すると共にデータベースに記憶させる機能と、前記クライアントコンピュータで起動された通信モジュールから発生する通信のイベントを監視し、他のコンピュータへの通信開始要求の発生を検知する機能と、前記通信開始要求の要求元通信モジュールのファイルパターンと前記データベースのファイルパターンとを照合して前記通信モジュールが不正通信プログラムであるか否かを検査する機能と、前記通信モジュールが不正通信プログラムであると判定した場合に、前記通信モジュールの通信を前記通信開始要求の実行前に規制する機能と、を実現させるプログラムとすることよって達成される。
また、前記クライアントコンピュータに、更に、前記集中管理サーバ側に登録された各通信モジュールの規制の有無に関する情報を含む規制ルールの設定情報を受信する機能と、前記設定手段によって規制有りと指定されている通信モジュールを対象として前記通信の規制処理を行う機能と、を実現させるプログラムとすることよって、一層効果的に達成される。
さらに、前記集中管理サーバは、各通信モジュールの規制の有無に関する情報を含む規制ルールを設定する設定手段を更に備え、前記通信規制手段は、前記設定手段によって規制有りと指定されている通信モジュールを対象として前記通信の規制処理を行うこと、前記設定手段は、前記ファイルパターンが登録されている前記不正通信プログラムの一覧を設定画面として管理端末の表示部に表示し、その一覧の中から選択されたものを規制対象として設定する機能を有すること、によってそれぞれ一層効果的に達成される。
さらに、前記通信開始要求は、他のコンピュータへの接続要求又はデータ送信要求であること、前記ファイルパターンを一元管理するデータセンタを備え、前記配信手段は、前記データセンタから受信した最新のファイルパターンを各クライアントコンピュータに適時配信する機能を有すること、前記フィルタリングモジュールは、前記不正通信プログラムの監視が始まると、前記クライアントコンピュータが前記集中管理サーバと通信できない状況においても、前記不正通信プログラムの監視処理および規制処理を継続すること、前記集中管理サーバが保有する前記ファイルパターンは、不正通信プログラムではない通常のアプリケーションを特定するためのファイルパターン含み、前記通信規制手段は、前記設定手段によって規制無しと指定されているアプリケーションの通信のみを許可する機能を有すること、によってそれぞれ一層効果的に達成される。
また、プログラムに関しては、前記クライアントコンピュータに、各種の不正通信プログラムを特定するためのファイルパターンを受信すると共にデータベースに記憶させる機能と、前記クライアントコンピュータで起動された通信モジュールから発生する通信のイベントを監視し、他のコンピュータへの通信開始要求の発生を検知する機能と、前記通信開始要求の要求元通信モジュールのファイルパターンと前記データベースのファイルパターンとを照合して前記通信モジュールが不正通信プログラムであるか否かを検査する機能と、前記通信モジュールが不正通信プログラムであると判定した場合に、前記通信モジュールの通信を前記通信開始要求の実行前に規制する機能と、を実現させるプログラムとすることよって達成される。
また、前記クライアントコンピュータに、更に、前記集中管理サーバ側に登録された各通信モジュールの規制の有無に関する情報を含む規制ルールの設定情報を受信する機能と、前記設定手段によって規制有りと指定されている通信モジュールを対象として前記通信の規制処理を行う機能と、を実現させるプログラムとすることよって、一層効果的に達成される。
本発明によれば、クライアントコンピュータ内において、通信モジュールから発生する通信のイベントを監視し、通信モジュール(各種の通信プログラム)から発生する通信開始要求のファイルパターンと集中管理サーバから予め取得したファイルパターンとを照合して不正通信プログラムを判別すると共に、その通信の開始前に規制するようにしている。そのため、次のような優れた効果を奏することができる。
(1) 管理下にあるコンピュータのネットワーク環境に関係なく、不正通信プログラムの監視及び規制を行うことが可能となる。
(2) 集中管理サーバの管理下にある全てのコンピュータの監視及び規制に係る処理を行うことができる。
(3) 構内ネットワークの外にコンピュータが持ち出された場合でも、不正通信プログラムの通信を規制することができる。そのため、構内ネットワークの外に持ち出されたコンピュータが不正通信プログラムを経由して個人情報を流出させたり、ウイルス感染の原因になったりすることがなくなる。
(4) 通信内容を解析する必要がないので、通信内容を解析して判別する方式と比較して、CPUへの負荷が少ない。
(5) 不正通信プログラム単位で規制できるので不正通信プログラム以外の通信モジュールへの影響が生じない。
(6) 不正通信プログラムが接続を行う前に通信を規制できるので、不正を未然に防止することができると共に、構内ネットワークの無駄なトラフイック量を軽減することができる。
さらに、ファイルパターンを一元管理すると共に、集中管理サーバに最新のファイルパターンを配信するデータセンタを備えた構成とすることで、(7)新規の不正通信プログラムへの対応が柔軟且つ迅速に行うことが可能になり、また、管理者が自らファイルパターンを作成する必要がなく、その分管理者の負担も少ない。
(1) 管理下にあるコンピュータのネットワーク環境に関係なく、不正通信プログラムの監視及び規制を行うことが可能となる。
(2) 集中管理サーバの管理下にある全てのコンピュータの監視及び規制に係る処理を行うことができる。
(3) 構内ネットワークの外にコンピュータが持ち出された場合でも、不正通信プログラムの通信を規制することができる。そのため、構内ネットワークの外に持ち出されたコンピュータが不正通信プログラムを経由して個人情報を流出させたり、ウイルス感染の原因になったりすることがなくなる。
(4) 通信内容を解析する必要がないので、通信内容を解析して判別する方式と比較して、CPUへの負荷が少ない。
(5) 不正通信プログラム単位で規制できるので不正通信プログラム以外の通信モジュールへの影響が生じない。
(6) 不正通信プログラムが接続を行う前に通信を規制できるので、不正を未然に防止することができると共に、構内ネットワークの無駄なトラフイック量を軽減することができる。
さらに、ファイルパターンを一元管理すると共に、集中管理サーバに最新のファイルパターンを配信するデータセンタを備えた構成とすることで、(7)新規の不正通信プログラムへの対応が柔軟且つ迅速に行うことが可能になり、また、管理者が自らファイルパターンを作成する必要がなく、その分管理者の負担も少ない。
図1は、本発明に係る不正通信プログラムの規制システムの全体構成の一例を示す模式図である。
図2は、図1中の不正通信プログラム監視システム10の構成例を示す概略ブロック図である。
図3は、本発明に係る不正通信プログラム監視システムの基本的な動作例を示すフローチャートである。
図4は、本発明における不正通信プログラムの監視/規制処理の概要を示すフローチャートである。
図5は、本発明に係る規制ルール及びファイルパターンの取得時の動作例を示すフローチャートである。
図6は、本発明に係る不正通信プログラム監視時の動作例を示すフローチャートである。
図2は、図1中の不正通信プログラム監視システム10の構成例を示す概略ブロック図である。
図3は、本発明に係る不正通信プログラム監視システムの基本的な動作例を示すフローチャートである。
図4は、本発明における不正通信プログラムの監視/規制処理の概要を示すフローチャートである。
図5は、本発明に係る規制ルール及びファイルパターンの取得時の動作例を示すフローチャートである。
図6は、本発明に係る不正通信プログラム監視時の動作例を示すフローチャートである。
1 構内ネットワーク
2 インターネット
3 クライアントコンピュータ
10 不正通信プログラム監視システム
11 通信モジュール
12 フィルタリングモジュール
13 ファイルパターンデータベース
20 集中管理サーバ
2 インターネット
3 クライアントコンピュータ
10 不正通信プログラム監視システム
11 通信モジュール
12 フィルタリングモジュール
13 ファイルパターンデータベース
20 集中管理サーバ
以下、図面に基づいてこの発明の実施の形態について詳細に説明する。本発明は、企業や公共団体、学校などに導入されているコンピュータネットワークシステムに好適に適用されるものであり、以下、クライアントサーバ型のコンピュータシステムに本発明を適用した場合を例として説明する。
図1は、本発明に係る不正通信プログラムの規制システム(以下、「不正通信規制システム」と呼ぶ)の全体構成の一例を模式図で示している。図1において、各クライアントコンピュータ3は、通常は構内ネットワーク2(以下「LAN」とする)に接続されており、LAN2を経由してインターネット1に接続される。LAN2内には、各利用者端末3を管理するための集中管理サーバ20が1台以上存在する。集中管理サーバ20は、本発明に係る機能として、各種の不正通信プログラムを特定するためのファイルパターンの情報(以下、「ファイルパターン」と呼ぶ)の配布機能21aと、規制時の処理形態を含む規制ルールの設定機能21bとを有している。これらの機能21a,21bをコンピュータに実現させるための手段は、本実施の形態ではコンピュータプログラムであり、当該プログラムを所定の管理用コンピュータにインストールして稼動させることで、ファイルパターンの配布機能21a、及び規制ルールの設定機能21bを有する集中管理サーバ20として動作させるようにしている。
上記配布機能21aは、ファイルパターンを管理下の各クライアントコンピュータ3に構内ネットワーク1を介して配布(配信)する機能である。また、配布機能21aとして、規制ルールについても同様に各クライアントコンピュータ3に構内ネットワーク1を介して配布(配信)する機能を備えている。本実施の形態では、ファイルパターンは、図示されないデータセンタで一元管理されており、データセンタでは、今までのファイルパターンで検出できない新種の不正通信プログラムを発見された場合は、そのプログラムの検出が可能なパターンデータを追加登録してファイルパターンを逐次更新しておき、集中管理サーバ20からの要求に応じて最新のファイルパターンを送信、あるいは、適時集中管理サーバ20に適時送信するようにしている。
規制ルールの設定機能21aで設定される「規制ルール」は、どのような通信モジュールを規制対象若しくは非規制対象とし、どのような規制処理をするかなど、不正通信プログラムの規制に関するルールを規定したものであり、規制の有無に関する情報、規制時の処理形態などの設定情報から構成される。この規制ルールは、利用者毎、グループ毎、あるいはシステム毎に設定可能な情報であり、具体例については後述する。
なお、集中管理サーバ20の数は任意であり、LAN2内に存在する既存の管理用コンピュータが利用可能である。例えば、企業においては管理者のコンピュータ若しくは所定のサーバ、学校においては各教師のコンピュータ若しくは所定のサーバを集中管理サーバ20とすることができる。
クライアントコンピュータ3(以下、「利用者端末」と呼ぶ)は、PC(Personal Computer)やWS(Work Station)等の可搬型又は据置型の汎用コンピュータ、あるいは、携帯電話機やPDA(Personal Digital Assistants)等の携帯型情報通信機器など、インターネット1上のウェブサイト(携帯サイトを含む)とのデータ通信が可能で且つアプリケーションの実行が可能な任意の情報処理装置である。
利用者端末3で稼動する不正通信プログラム監視システム10は、不正通信規制システムの主要部を構成するシステムであり、本実施の形態においては、OS(オペレーティングシステム)の制御の下で動作するクライアントモジュールであり、各利用者端末3にそれぞれ搭載される。
図2は、図1中の不正通信プログラム監視システム10の構成の一例を概略ブロック図で示しており、不正通信プログラム監視システム10は、通信モジュール11とフィルタリングモジュール12とから構成される。通信モジュール11は、Internet Explorer(登録商標)等のウェブブラウザやP2P(ピア・ツー・ピア)プログラムなど、他のコンピュータとの通信を行う各種の通信プログラムであり、フィルタリングモジュール12は、通信モジュール11での通信処理を監視及び規制する機能を有するクライアントモジュールである。
フィルタリングモジュール12は、例えば、クライアントコンピュータ3で起動された通信モジュール11から発生する通信のイベントを監視し、他のコンピュータへの通信開始要求の発生を検知する「通信検知手段」と、通信開始要求の要求元通信モジュールのファイルパターンとファイルパターンデータベース13に格納されているファイルパターンとを照合して上記通信モジュール11が不正通信プログラムであるか否かを検査する「検査手段」と、検査手段が不正通信プログラムと判定した場合に、通信モジュールの通信を通信開始要求の実行前に規制する「通信規制手段」とを備えている。なお、これらの手段の名称は、フィルタリングモジュール12が有する機能に対応させて付けた便宜上の名称であり、以下の説明では省略する。
本実施の形態では、フィルタリングモジュール12は、コンピュータプログラムで構成されており、フィルタリングモジュール12が有する後述の各ステップを処理するプログラムを利用者端末3にインストールして稼動させることで、不正通信プログラムの自己監視機能及び自己規制機能を有する利用者端末3としてコンピュータを動作させるようにしている。
上述のような構成において、本発明に係る不正通信規制システムの動作について、その概要を説明する。
LAN2内の利用者端末3で稼動するフィルタリングモジュール12は、
そして、フィルタリングモジュール12では、集中管理サーバ20と通信して、不正通信プログラムのファイルパターンと規制ルールとを取得する。これらを取得した時点で、不正通信プログラムの監視が始まる。監視対象の通信モジュール11は、例えば、「違法性が高い通信を行うもの(著作権侵害の疑いがあるもの)」や「秘匿性が高い通信を行うもの」、「業務等で不要な通信を行うもの」、「悪意のある通信を行うもの」など、不正な通信を行う可能性のある通信モジュールであり、規制ルールに予め設定された通信モジュール(例えば、「Winny」等のP2Pプログラム)である。
フィルタリングモジュール12による不正通信プログラムの監視が始まると、その利用者端末3が集中管理サーバ20と通信できないネットワーク環境に持ち出されても、不正通信プログラムの監視処理および規制処理は継続される。
フィルタリングモジュール12が稼動する利用者端末3は、LAN2内に存在する場合、すなわちLAN2と接続されている間は、適時(本例では一定時間ごとに)、不正通信プログラムのファイルパターン(及び規制ルール)を集中管理サーバ20から取得する。
フィルタリングモジュール12は、利用者端末3で起動された通信モジュール11から発生する通信のイベントを監視し、他のコンピュータとの接続要求又は他のコンピュータへのデータ送信要求の発生を検知すると共に、ファイルパターンデータベース13を利用して、要求元の通信モジュール11のファイルパターンと、不正通信プログラムのファイルパターンとの一致検索を行い、要求元の通信モジュール11が不正通信プログラムであるか否かを判定する。そして、当該通信モジュール11が不正通信プログラムであると判定した場合には、規制ルールで規定された処理形態に応じて該当の規制プロセスを発動させる。そして、例えば、通信を遮断すると共に、利用者端末の画面上に警告ウィンドウを表示したり、通知情報を送信して集中管理サーバ20経由で管理者へ通知したりするなど、該当の規制プロセスを実行する。
集中管理サーバ20は、フィルタリングモジュール12から通知を受けると、例えば、通知情報(発生元の端末ID又は利用者ID、不正通信プログラムのID、通信先等の情報)を保存すると共に、管理者端末にメールを送信したり、管理者が集中管理サーバ20にログインした時にメッセージを表示したりする。
以下、本発明に係る不正通信規制システムについて詳細に説明する。
先ず、不正通信プログラム監視システム10の構成について説明する。
不正通信プログラム監視システムは、図2に例示したように、「通信モジュール11」と、「フィルタリングモジュール12」とから構成され、通信モジュール11(各通信プログラム)のファイルパターンを記憶する手段として、集中管理サーバ20から取得したファイルパターン(各通信プログラムのパターン情報群)を各通信プログラムのパターン情報で検索可能に格納する「ファイルパターンデータベース13」を備えている。
フィルタリングモジュール12は、通信モジュール11と対になって動作するクライアントモジュールであり、LSP(Layered Service Providers)の形態であるフィルタリングモジュール12では、TCP/IPソケットインターフェース等の通信制御に係るAPI(Application Program Interface)を利用して、本発明に係る不正通信プログラムの監視処理及び規制処理を実行する。なお、LSPは、OSI(Open Systems Interconnection)の参照モデルのトランスポート層の通信データ処理において独自のアプリケーション処理を行うことが可能なシステムドライバである。
TCP/IPソケットインターフェース等のAPIは、近年では汎用コンピュータに搭載される殆どのOSで提供され、例えばOSがWindows(登録商標)の場合は、「Winsock」と呼ばれるソケットインターフェース等のAPIを有する通信制御用ソフトウェアが用意されている。そして、通信が開始される前にアプリケーション独自の処理を実行できるようになっている。本実施の形態では、そのようなAPIを利用して、通信を行うための準備処理の段階で通信を検知し、不正通信プログラムの監視処理や規制処理を実行する形態としている。
ここで、通信モジュール11とフィルタリングモジュール12の基本的な動作について、図3のフローチャートを参照して説明する。
図3は、本発明に係る不正通信プログラム監視システムの基本的な動作例を示すフローチャートであり、ブラウザ等の通信モジュールとフィルタリングモジュールとが対になって動作する態様を示したものである。図3のフローチャートに示すように、通信モジュール11が利用者によって起動されると、LSPの形態であるフィルタリングモジュール12がロードされる(ステップS11)。
そして、通信モジュール11が通信相手との接続を開始する段階で、フィルタリングモジュール12が、通信モジュール11から発生する接続要求を検知し(ステップS12)、必要に応じて独自の処理を行った後(ステップS13)、接続処理を実施して通信相手と接続する(ステップS14、S15)。以降は、ステップS16〜ステップS31に示すように、データの送信、データの受信、接続断の時点で、フィルタリングモジュール12がそれらの要求メッセージを検知して、独自の処理(ステップS19、S25、S29)をそれぞれ必要に応じて実施した後に、該当の処理を実行する動作形態となっている。
本発明に係るフィルタリングモジュール12は、接続要求又は送信要求を検知した時点(通信処理を行う前の時点)で、接続要求又は送信要求(以下、「通信開始要求」と呼ぶ)の要求元の通信モジュール11のファイルパターンとファイルパターンデータベース13のファイルパターンとを照合して当該通信モジュール11が不正通信プログラムであるか否かを検査すると共に、不正通信プログラムを検出した場合に前述の「規制ルール」に従って規制処理を行う方式としている。なお、本実施の形態のように、OSと協働して動作する通信制御ソフトウェアの一部(例えば、WinsockのLSP)として、フィルタリングモジュール12を実装する構成とすることで、通信モジュールに依存しないフィルタリングモジュールを提供することができる。
次に、本発明における不正通信プログラムの監視/規制処理の概要を図4のフローチャートに従って説明する。
各利用者端末3の通信モジュール11が、他のコンピュータとの接続又はデータの送信を開始しようとすると(ステップS1)、フィルタリングモジュール12では、その通信モジュール11の通信開始要求(接続要求又は送信要求)の発生を検知すると共に、その通信モジュール(通信開始要求の要求元の通信プログラム)11のファイルパスを取得し(ステップS2)、その通信モジュール11の実行ファイルのファイルパターンと、ファイルパターンデータベース13内のファイルパターン(各通信プログラムのパターン情報)との一致検索を行う(ステップS3)。
そして、パターンが一致するものを検出した場合は、その通信モジュール11が、規制対象(規制ルールに規定されている規制対象の通信プログラム)であるか否かを判定し(ステップS4)、規制対象であると判定した場合には、規制ルールに設定されている規制時の処理形態に応じて、他のコンピュータへの接続又はデータの送受信を規制(通信を遮断)すると共に、利用者又は管理者若しくは両者に対する警告処理(例えば画面表示による通知処理)をリアルタイムに発動させる(ステップS5)。
一方、ステップS3においてパターンが一致するものが検出されなかった場合、あるいは、ステップS4において規制対象でないと判定した場合には、通信開始要求を許可して他のコンピュータへの接続又はデータの送受信の処理を実行する(ステップS6)。以降、通信モジュール11が稼動している間は、前記ステップS1〜S6の処理を繰り返す。
次に、本発明における不正通信プログラムの監視/規制処理について、具体例を示して詳細に説明する。
先ず、規制ルール及びファイルパターンの取得時の動作例を図5のフローチャートに従って説明する。
利用者端末3の電源のオン等によりOS(オペレーティングシステム)が起動され、利用者がログインすると(ステップS41)、フィルタリングモジュール12がログインを検知して、集中管理サーバ20との接続処理を実行する(ステップS42)。フィルタリングモジュール12は、集中管理サーバ20との接続が成功したか否かを判定し(ステップS43)、接続が成功した場合は、規制ルールの取得要求メッセージとして利用者情報を集中管理サーバ20へ送信する(ステップS44)。利用者情報を受信した集中管理サーバ20は、利用者情報から規制ルールを特定し(ステップS45)、現時点で最新の規制ルールを利用者端末3に送信する(ステップS46)。利用者端末3のフィルタリングモジュール12は、規制ルールを取得すると、その規制ルールをメモリ等の記憶媒体に保存する(ステップS47)。続いて、ファイルパターンの取得要求メッセージを集中管理サーバ20へ送信する(ステップS48)。集中管理サーバ20は、例えば、利用者端末3側のバージョンをチェックして最新のバージョンでない場合には、当該ファイルパターンを送信する(ステップS49)。利用者端末3のフィルタリングモジュール12は、集中管理サーバ20から受信したファイルパターンをファイルパターンデータベース13に保存する(ステップS50、S51)。
以降、利用者端末3のフィルタリングモジュール12は、適時(本例では一定時間ごとに)、規制ルールの取得要求メッセージ、及びファイルパターンの取得要求メッセージを集中管理サーバ20に送信し、最新の規制ルール、及び最新のファイルパターンを取得して保存する。なお、ステップS43において、集中管理サーバ20との接続が失敗した場合、例えば、可搬型の利用者端末3を外部に持ち出して使用しているときなど、利用者端末3がLAN2内に存在しない場合は、前回取得した規制ルール、ファイルパターンを使用する。
次に、規制ルールで設定されている内容について、具体例を示して説明する。
規制ルールは、利用者毎(又はグループ毎、又はシステム毎)に設定可能であり、例えば、管理者が管理端末(所定の通信端末)から集中管理サーバ20にログインして、規制の有無に関する情報を規制ルールとして設定する。集中管理サーバ20は、規制ルールの設定機能として、通信モジュール11(各種の通信プログラム)の一覧を設定画面として管理端末(管理者用の端末)の表示部に表示し、その一覧の中から選択されたものを規制対象として設定する機能を備えている。
その場合、一覧として表示される通信モジュール11は、好ましい実施の形態では、ファイルパターンデータベース13にファイルパターンが登録されている通信モジュール11であり、例えば、匿名性の高いファイル交換(共有)ソフトウェアの一種である「Winny」、「WinMX」、「Shareaza」等のP2Pプログラムを含む不正通信プログラムの候補群である。管理者が、これらの不正通信プログラムの候補群の中から規制対象を選択して指定すると、その情報が規制ルールの要素として設定され、当該利用者(又はグループ、又はシステム)の規制ルールとして記憶される。
なお、上記のように、(a)ファイルパターンが登録されている通信モジュールを単位として、指定された通信モジュールを規制対象とする形態の他に、TCP/IPレベルでの通信内容を解析して次のような処理を行う形態としても良い。
(b)指定されたアプリケーションのみの通信を許可する形態:
この形態の場合、例えば、利用者端末のフィルタリングモジュール12によって、許可対象のアプリケーション以外の全てのアプリケーションの通信を遮断し、指定されたアプリケーション(例えば有名ブラウザ)のみの通信を許可させる処理形態とすることができる。
(c)指定されたアプリケーションの指定されたポート番号を使用した通信のみを許可(あるいは規制)する形態:
この形態の場合、利用者端末のフィルタリングモジュール12によって、指定されたポート番号以外のポートを用いた通信は全て遮断(あるいは許可)させる処理形態とすることができる。更に、例えばブラウザ(Internet Explorer(登録商標)等)でのHTTP(Hypertext Transfer Protocol)/HTTPS(Hypertext Transfer Protocol Security)だけを許可し、その他のFTP(File Transfer Protocol)接続などを規制することが可能となる。
(d)指定されたTCP(Transmission Control Protocol)、UDP(User Datagram Protocol)レベルで許可(あるいは規制)する形態:
この形態の場合、接続先を限定できるため、特定のアプリケーションを指定した上で、管理者が指定したIPアドレス以外への通信は遮断したりすることも可能となる。
また、規制ルールとして、「アラートの形態」を設定できるようにしても良い。アラートの形態としては、例えば、不正通信プログラムの通信を検出した場合に、(b1)電子メールで管理者に通知する形態(集中管理サーバを経由して管理者にアラートメールを送信する形態)、(b2)管理画面へのメッセージ表示で管理者に通知する形態(集中管理サーバのログイン後の画面に表示する形態)、(b3)警告画面を表示して利用者に通知する形態(利用者端末3のディスプレイに警告ウィンドウを表示する形態)など、複数のアラート形態がある。
管理者は、不正通信プログラムによる通信が検出された場合に、誰(アクセス元の利用者のみ、利用者と管理者、管理者のみ)に対してどのような通知形態で通知するのかを、上記のような複数のアラート形態の中から1つ又は複数を選択することで指定する。
次に、本発明に係る不正通信プログラム監視時の動作例を図6のフローチャートに従って詳細に説明する。なお、ここでは、不正通信プログラムによる通信相手との接続時の動作を例として説明するが、他の通信開始要求(例えばデータ送信要求)の発生時の動作も同様となる。
利用者端末において、通信モジュール11(本例では、不正通信プログラム)が起動された後(ステップS61)、不正通信プログラムが通信を行うための準備処理を行うと(ステップS62)、その不正通信プログラムによる通信が実行される前にフィルタリングモジュール12がロードされる。なお、ここでは、不正通信プログラムに限らず、通信を行う全てのプログラムが対象であり、通信モジュール11が起動されると、フィルタリングモジュール12がロードされる(ステップS63)。
そして、不正通信プログラムが通信相手に接続を開始しようとすると(ステップS64)、フィルタリングモジュール12は、その接続要求を検知する。なお、通信モジュール11が1度ロードされると、その通信モジュール11で何かイベントが発生すると、そのイベントを検知することができる(ステップS65)。
通信相手への接続要求を検知したフィルタリングモジュール12は、ロード元(接続要求元)の不正通信プログラムのファイルパスを取得し、実行ファイルを読込む(ステップS66)。そして、集中管理サーバから予め取得したファイルパターンが格納されているファイルパターンデータベース13を利用して、接続要求元の不正通信プログラムのファイルパターンと、ファイルパターンデータベース13内に格納されている各不正通信プログラムのパターンとの一致検索を行う。なお、照合するファイルパターンは、不正通信プログラムの実行ファイルのバイナリパターンの一部又は全体のパターンであり、不正通信プログラムの種類に応じて設定されている。例えば、実行ファイル内の第1のビット列のパターンと第2のビット列のパターンとが両方一致したら、他の内容が一致しなくても不正通信プログラム(例えばWinMX)と見なしたい場合には、第1及び第2のビット列以外の箇所(一致検索を行わない情報)は、わざと空にしておいて、パターンマッチングの処理を行う(ステップS67)。
そして、上記ステップS67の検索処理によりファイルパターンが一致するものがあるか否かを判定し(ステップS68)、一致するものがあった場合は、そのファイルパターンの不正通信プログラムが、規制対象として規制ルールに設定されているか否かを判定し、規制対象であれば、規制ルールの規定に従って該当の規制処理を行う。本例では、接続要求を受付けず、通信相手との接続処理を実行しない(ステップS69)。そして、その通信開始要求の処理を終了し、通信の監視処理を継続する。一方、ステップS68において、ファイルパターンが一致するものが存在せず、不正通信プログラムでないと判定した場合には、その通信開始要求(本例では接続要求)を実行し(ステップS70)、通信の監視処理を継続する。なお、ステップS69においては、規制処理を行うと共に、規制ルールにアラートの形態が設定されているか否かを判定し、設定されている場合には、アラートの形態に応じて、利用者又は管理者若しくは両者に対する通知処理を実行する。
なお、上述した実施の形態においては、集中管理サーバを構内ネットワーク内に設けた場合を例として説明したが、インターネット上に設ける形態としても良い。また、フィルタリングモジュールは、コンピュータプログラムで構成される場合を例として説明したが、フィルタリングモジュールが有する各ステップを処理する手段の一部をハードウェアで構成する形態としても良い。
図1は、本発明に係る不正通信プログラムの規制システム(以下、「不正通信規制システム」と呼ぶ)の全体構成の一例を模式図で示している。図1において、各クライアントコンピュータ3は、通常は構内ネットワーク2(以下「LAN」とする)に接続されており、LAN2を経由してインターネット1に接続される。LAN2内には、各利用者端末3を管理するための集中管理サーバ20が1台以上存在する。集中管理サーバ20は、本発明に係る機能として、各種の不正通信プログラムを特定するためのファイルパターンの情報(以下、「ファイルパターン」と呼ぶ)の配布機能21aと、規制時の処理形態を含む規制ルールの設定機能21bとを有している。これらの機能21a,21bをコンピュータに実現させるための手段は、本実施の形態ではコンピュータプログラムであり、当該プログラムを所定の管理用コンピュータにインストールして稼動させることで、ファイルパターンの配布機能21a、及び規制ルールの設定機能21bを有する集中管理サーバ20として動作させるようにしている。
上記配布機能21aは、ファイルパターンを管理下の各クライアントコンピュータ3に構内ネットワーク1を介して配布(配信)する機能である。また、配布機能21aとして、規制ルールについても同様に各クライアントコンピュータ3に構内ネットワーク1を介して配布(配信)する機能を備えている。本実施の形態では、ファイルパターンは、図示されないデータセンタで一元管理されており、データセンタでは、今までのファイルパターンで検出できない新種の不正通信プログラムを発見された場合は、そのプログラムの検出が可能なパターンデータを追加登録してファイルパターンを逐次更新しておき、集中管理サーバ20からの要求に応じて最新のファイルパターンを送信、あるいは、適時集中管理サーバ20に適時送信するようにしている。
規制ルールの設定機能21aで設定される「規制ルール」は、どのような通信モジュールを規制対象若しくは非規制対象とし、どのような規制処理をするかなど、不正通信プログラムの規制に関するルールを規定したものであり、規制の有無に関する情報、規制時の処理形態などの設定情報から構成される。この規制ルールは、利用者毎、グループ毎、あるいはシステム毎に設定可能な情報であり、具体例については後述する。
なお、集中管理サーバ20の数は任意であり、LAN2内に存在する既存の管理用コンピュータが利用可能である。例えば、企業においては管理者のコンピュータ若しくは所定のサーバ、学校においては各教師のコンピュータ若しくは所定のサーバを集中管理サーバ20とすることができる。
クライアントコンピュータ3(以下、「利用者端末」と呼ぶ)は、PC(Personal Computer)やWS(Work Station)等の可搬型又は据置型の汎用コンピュータ、あるいは、携帯電話機やPDA(Personal Digital Assistants)等の携帯型情報通信機器など、インターネット1上のウェブサイト(携帯サイトを含む)とのデータ通信が可能で且つアプリケーションの実行が可能な任意の情報処理装置である。
利用者端末3で稼動する不正通信プログラム監視システム10は、不正通信規制システムの主要部を構成するシステムであり、本実施の形態においては、OS(オペレーティングシステム)の制御の下で動作するクライアントモジュールであり、各利用者端末3にそれぞれ搭載される。
図2は、図1中の不正通信プログラム監視システム10の構成の一例を概略ブロック図で示しており、不正通信プログラム監視システム10は、通信モジュール11とフィルタリングモジュール12とから構成される。通信モジュール11は、Internet Explorer(登録商標)等のウェブブラウザやP2P(ピア・ツー・ピア)プログラムなど、他のコンピュータとの通信を行う各種の通信プログラムであり、フィルタリングモジュール12は、通信モジュール11での通信処理を監視及び規制する機能を有するクライアントモジュールである。
フィルタリングモジュール12は、例えば、クライアントコンピュータ3で起動された通信モジュール11から発生する通信のイベントを監視し、他のコンピュータへの通信開始要求の発生を検知する「通信検知手段」と、通信開始要求の要求元通信モジュールのファイルパターンとファイルパターンデータベース13に格納されているファイルパターンとを照合して上記通信モジュール11が不正通信プログラムであるか否かを検査する「検査手段」と、検査手段が不正通信プログラムと判定した場合に、通信モジュールの通信を通信開始要求の実行前に規制する「通信規制手段」とを備えている。なお、これらの手段の名称は、フィルタリングモジュール12が有する機能に対応させて付けた便宜上の名称であり、以下の説明では省略する。
本実施の形態では、フィルタリングモジュール12は、コンピュータプログラムで構成されており、フィルタリングモジュール12が有する後述の各ステップを処理するプログラムを利用者端末3にインストールして稼動させることで、不正通信プログラムの自己監視機能及び自己規制機能を有する利用者端末3としてコンピュータを動作させるようにしている。
上述のような構成において、本発明に係る不正通信規制システムの動作について、その概要を説明する。
LAN2内の利用者端末3で稼動するフィルタリングモジュール12は、
そして、フィルタリングモジュール12では、集中管理サーバ20と通信して、不正通信プログラムのファイルパターンと規制ルールとを取得する。これらを取得した時点で、不正通信プログラムの監視が始まる。監視対象の通信モジュール11は、例えば、「違法性が高い通信を行うもの(著作権侵害の疑いがあるもの)」や「秘匿性が高い通信を行うもの」、「業務等で不要な通信を行うもの」、「悪意のある通信を行うもの」など、不正な通信を行う可能性のある通信モジュールであり、規制ルールに予め設定された通信モジュール(例えば、「Winny」等のP2Pプログラム)である。
フィルタリングモジュール12による不正通信プログラムの監視が始まると、その利用者端末3が集中管理サーバ20と通信できないネットワーク環境に持ち出されても、不正通信プログラムの監視処理および規制処理は継続される。
フィルタリングモジュール12が稼動する利用者端末3は、LAN2内に存在する場合、すなわちLAN2と接続されている間は、適時(本例では一定時間ごとに)、不正通信プログラムのファイルパターン(及び規制ルール)を集中管理サーバ20から取得する。
フィルタリングモジュール12は、利用者端末3で起動された通信モジュール11から発生する通信のイベントを監視し、他のコンピュータとの接続要求又は他のコンピュータへのデータ送信要求の発生を検知すると共に、ファイルパターンデータベース13を利用して、要求元の通信モジュール11のファイルパターンと、不正通信プログラムのファイルパターンとの一致検索を行い、要求元の通信モジュール11が不正通信プログラムであるか否かを判定する。そして、当該通信モジュール11が不正通信プログラムであると判定した場合には、規制ルールで規定された処理形態に応じて該当の規制プロセスを発動させる。そして、例えば、通信を遮断すると共に、利用者端末の画面上に警告ウィンドウを表示したり、通知情報を送信して集中管理サーバ20経由で管理者へ通知したりするなど、該当の規制プロセスを実行する。
集中管理サーバ20は、フィルタリングモジュール12から通知を受けると、例えば、通知情報(発生元の端末ID又は利用者ID、不正通信プログラムのID、通信先等の情報)を保存すると共に、管理者端末にメールを送信したり、管理者が集中管理サーバ20にログインした時にメッセージを表示したりする。
以下、本発明に係る不正通信規制システムについて詳細に説明する。
先ず、不正通信プログラム監視システム10の構成について説明する。
不正通信プログラム監視システムは、図2に例示したように、「通信モジュール11」と、「フィルタリングモジュール12」とから構成され、通信モジュール11(各通信プログラム)のファイルパターンを記憶する手段として、集中管理サーバ20から取得したファイルパターン(各通信プログラムのパターン情報群)を各通信プログラムのパターン情報で検索可能に格納する「ファイルパターンデータベース13」を備えている。
フィルタリングモジュール12は、通信モジュール11と対になって動作するクライアントモジュールであり、LSP(Layered Service Providers)の形態であるフィルタリングモジュール12では、TCP/IPソケットインターフェース等の通信制御に係るAPI(Application Program Interface)を利用して、本発明に係る不正通信プログラムの監視処理及び規制処理を実行する。なお、LSPは、OSI(Open Systems Interconnection)の参照モデルのトランスポート層の通信データ処理において独自のアプリケーション処理を行うことが可能なシステムドライバである。
TCP/IPソケットインターフェース等のAPIは、近年では汎用コンピュータに搭載される殆どのOSで提供され、例えばOSがWindows(登録商標)の場合は、「Winsock」と呼ばれるソケットインターフェース等のAPIを有する通信制御用ソフトウェアが用意されている。そして、通信が開始される前にアプリケーション独自の処理を実行できるようになっている。本実施の形態では、そのようなAPIを利用して、通信を行うための準備処理の段階で通信を検知し、不正通信プログラムの監視処理や規制処理を実行する形態としている。
ここで、通信モジュール11とフィルタリングモジュール12の基本的な動作について、図3のフローチャートを参照して説明する。
図3は、本発明に係る不正通信プログラム監視システムの基本的な動作例を示すフローチャートであり、ブラウザ等の通信モジュールとフィルタリングモジュールとが対になって動作する態様を示したものである。図3のフローチャートに示すように、通信モジュール11が利用者によって起動されると、LSPの形態であるフィルタリングモジュール12がロードされる(ステップS11)。
そして、通信モジュール11が通信相手との接続を開始する段階で、フィルタリングモジュール12が、通信モジュール11から発生する接続要求を検知し(ステップS12)、必要に応じて独自の処理を行った後(ステップS13)、接続処理を実施して通信相手と接続する(ステップS14、S15)。以降は、ステップS16〜ステップS31に示すように、データの送信、データの受信、接続断の時点で、フィルタリングモジュール12がそれらの要求メッセージを検知して、独自の処理(ステップS19、S25、S29)をそれぞれ必要に応じて実施した後に、該当の処理を実行する動作形態となっている。
本発明に係るフィルタリングモジュール12は、接続要求又は送信要求を検知した時点(通信処理を行う前の時点)で、接続要求又は送信要求(以下、「通信開始要求」と呼ぶ)の要求元の通信モジュール11のファイルパターンとファイルパターンデータベース13のファイルパターンとを照合して当該通信モジュール11が不正通信プログラムであるか否かを検査すると共に、不正通信プログラムを検出した場合に前述の「規制ルール」に従って規制処理を行う方式としている。なお、本実施の形態のように、OSと協働して動作する通信制御ソフトウェアの一部(例えば、WinsockのLSP)として、フィルタリングモジュール12を実装する構成とすることで、通信モジュールに依存しないフィルタリングモジュールを提供することができる。
次に、本発明における不正通信プログラムの監視/規制処理の概要を図4のフローチャートに従って説明する。
各利用者端末3の通信モジュール11が、他のコンピュータとの接続又はデータの送信を開始しようとすると(ステップS1)、フィルタリングモジュール12では、その通信モジュール11の通信開始要求(接続要求又は送信要求)の発生を検知すると共に、その通信モジュール(通信開始要求の要求元の通信プログラム)11のファイルパスを取得し(ステップS2)、その通信モジュール11の実行ファイルのファイルパターンと、ファイルパターンデータベース13内のファイルパターン(各通信プログラムのパターン情報)との一致検索を行う(ステップS3)。
そして、パターンが一致するものを検出した場合は、その通信モジュール11が、規制対象(規制ルールに規定されている規制対象の通信プログラム)であるか否かを判定し(ステップS4)、規制対象であると判定した場合には、規制ルールに設定されている規制時の処理形態に応じて、他のコンピュータへの接続又はデータの送受信を規制(通信を遮断)すると共に、利用者又は管理者若しくは両者に対する警告処理(例えば画面表示による通知処理)をリアルタイムに発動させる(ステップS5)。
一方、ステップS3においてパターンが一致するものが検出されなかった場合、あるいは、ステップS4において規制対象でないと判定した場合には、通信開始要求を許可して他のコンピュータへの接続又はデータの送受信の処理を実行する(ステップS6)。以降、通信モジュール11が稼動している間は、前記ステップS1〜S6の処理を繰り返す。
次に、本発明における不正通信プログラムの監視/規制処理について、具体例を示して詳細に説明する。
先ず、規制ルール及びファイルパターンの取得時の動作例を図5のフローチャートに従って説明する。
利用者端末3の電源のオン等によりOS(オペレーティングシステム)が起動され、利用者がログインすると(ステップS41)、フィルタリングモジュール12がログインを検知して、集中管理サーバ20との接続処理を実行する(ステップS42)。フィルタリングモジュール12は、集中管理サーバ20との接続が成功したか否かを判定し(ステップS43)、接続が成功した場合は、規制ルールの取得要求メッセージとして利用者情報を集中管理サーバ20へ送信する(ステップS44)。利用者情報を受信した集中管理サーバ20は、利用者情報から規制ルールを特定し(ステップS45)、現時点で最新の規制ルールを利用者端末3に送信する(ステップS46)。利用者端末3のフィルタリングモジュール12は、規制ルールを取得すると、その規制ルールをメモリ等の記憶媒体に保存する(ステップS47)。続いて、ファイルパターンの取得要求メッセージを集中管理サーバ20へ送信する(ステップS48)。集中管理サーバ20は、例えば、利用者端末3側のバージョンをチェックして最新のバージョンでない場合には、当該ファイルパターンを送信する(ステップS49)。利用者端末3のフィルタリングモジュール12は、集中管理サーバ20から受信したファイルパターンをファイルパターンデータベース13に保存する(ステップS50、S51)。
以降、利用者端末3のフィルタリングモジュール12は、適時(本例では一定時間ごとに)、規制ルールの取得要求メッセージ、及びファイルパターンの取得要求メッセージを集中管理サーバ20に送信し、最新の規制ルール、及び最新のファイルパターンを取得して保存する。なお、ステップS43において、集中管理サーバ20との接続が失敗した場合、例えば、可搬型の利用者端末3を外部に持ち出して使用しているときなど、利用者端末3がLAN2内に存在しない場合は、前回取得した規制ルール、ファイルパターンを使用する。
次に、規制ルールで設定されている内容について、具体例を示して説明する。
規制ルールは、利用者毎(又はグループ毎、又はシステム毎)に設定可能であり、例えば、管理者が管理端末(所定の通信端末)から集中管理サーバ20にログインして、規制の有無に関する情報を規制ルールとして設定する。集中管理サーバ20は、規制ルールの設定機能として、通信モジュール11(各種の通信プログラム)の一覧を設定画面として管理端末(管理者用の端末)の表示部に表示し、その一覧の中から選択されたものを規制対象として設定する機能を備えている。
その場合、一覧として表示される通信モジュール11は、好ましい実施の形態では、ファイルパターンデータベース13にファイルパターンが登録されている通信モジュール11であり、例えば、匿名性の高いファイル交換(共有)ソフトウェアの一種である「Winny」、「WinMX」、「Shareaza」等のP2Pプログラムを含む不正通信プログラムの候補群である。管理者が、これらの不正通信プログラムの候補群の中から規制対象を選択して指定すると、その情報が規制ルールの要素として設定され、当該利用者(又はグループ、又はシステム)の規制ルールとして記憶される。
なお、上記のように、(a)ファイルパターンが登録されている通信モジュールを単位として、指定された通信モジュールを規制対象とする形態の他に、TCP/IPレベルでの通信内容を解析して次のような処理を行う形態としても良い。
(b)指定されたアプリケーションのみの通信を許可する形態:
この形態の場合、例えば、利用者端末のフィルタリングモジュール12によって、許可対象のアプリケーション以外の全てのアプリケーションの通信を遮断し、指定されたアプリケーション(例えば有名ブラウザ)のみの通信を許可させる処理形態とすることができる。
(c)指定されたアプリケーションの指定されたポート番号を使用した通信のみを許可(あるいは規制)する形態:
この形態の場合、利用者端末のフィルタリングモジュール12によって、指定されたポート番号以外のポートを用いた通信は全て遮断(あるいは許可)させる処理形態とすることができる。更に、例えばブラウザ(Internet Explorer(登録商標)等)でのHTTP(Hypertext Transfer Protocol)/HTTPS(Hypertext Transfer Protocol Security)だけを許可し、その他のFTP(File Transfer Protocol)接続などを規制することが可能となる。
(d)指定されたTCP(Transmission Control Protocol)、UDP(User Datagram Protocol)レベルで許可(あるいは規制)する形態:
この形態の場合、接続先を限定できるため、特定のアプリケーションを指定した上で、管理者が指定したIPアドレス以外への通信は遮断したりすることも可能となる。
また、規制ルールとして、「アラートの形態」を設定できるようにしても良い。アラートの形態としては、例えば、不正通信プログラムの通信を検出した場合に、(b1)電子メールで管理者に通知する形態(集中管理サーバを経由して管理者にアラートメールを送信する形態)、(b2)管理画面へのメッセージ表示で管理者に通知する形態(集中管理サーバのログイン後の画面に表示する形態)、(b3)警告画面を表示して利用者に通知する形態(利用者端末3のディスプレイに警告ウィンドウを表示する形態)など、複数のアラート形態がある。
管理者は、不正通信プログラムによる通信が検出された場合に、誰(アクセス元の利用者のみ、利用者と管理者、管理者のみ)に対してどのような通知形態で通知するのかを、上記のような複数のアラート形態の中から1つ又は複数を選択することで指定する。
次に、本発明に係る不正通信プログラム監視時の動作例を図6のフローチャートに従って詳細に説明する。なお、ここでは、不正通信プログラムによる通信相手との接続時の動作を例として説明するが、他の通信開始要求(例えばデータ送信要求)の発生時の動作も同様となる。
利用者端末において、通信モジュール11(本例では、不正通信プログラム)が起動された後(ステップS61)、不正通信プログラムが通信を行うための準備処理を行うと(ステップS62)、その不正通信プログラムによる通信が実行される前にフィルタリングモジュール12がロードされる。なお、ここでは、不正通信プログラムに限らず、通信を行う全てのプログラムが対象であり、通信モジュール11が起動されると、フィルタリングモジュール12がロードされる(ステップS63)。
そして、不正通信プログラムが通信相手に接続を開始しようとすると(ステップS64)、フィルタリングモジュール12は、その接続要求を検知する。なお、通信モジュール11が1度ロードされると、その通信モジュール11で何かイベントが発生すると、そのイベントを検知することができる(ステップS65)。
通信相手への接続要求を検知したフィルタリングモジュール12は、ロード元(接続要求元)の不正通信プログラムのファイルパスを取得し、実行ファイルを読込む(ステップS66)。そして、集中管理サーバから予め取得したファイルパターンが格納されているファイルパターンデータベース13を利用して、接続要求元の不正通信プログラムのファイルパターンと、ファイルパターンデータベース13内に格納されている各不正通信プログラムのパターンとの一致検索を行う。なお、照合するファイルパターンは、不正通信プログラムの実行ファイルのバイナリパターンの一部又は全体のパターンであり、不正通信プログラムの種類に応じて設定されている。例えば、実行ファイル内の第1のビット列のパターンと第2のビット列のパターンとが両方一致したら、他の内容が一致しなくても不正通信プログラム(例えばWinMX)と見なしたい場合には、第1及び第2のビット列以外の箇所(一致検索を行わない情報)は、わざと空にしておいて、パターンマッチングの処理を行う(ステップS67)。
そして、上記ステップS67の検索処理によりファイルパターンが一致するものがあるか否かを判定し(ステップS68)、一致するものがあった場合は、そのファイルパターンの不正通信プログラムが、規制対象として規制ルールに設定されているか否かを判定し、規制対象であれば、規制ルールの規定に従って該当の規制処理を行う。本例では、接続要求を受付けず、通信相手との接続処理を実行しない(ステップS69)。そして、その通信開始要求の処理を終了し、通信の監視処理を継続する。一方、ステップS68において、ファイルパターンが一致するものが存在せず、不正通信プログラムでないと判定した場合には、その通信開始要求(本例では接続要求)を実行し(ステップS70)、通信の監視処理を継続する。なお、ステップS69においては、規制処理を行うと共に、規制ルールにアラートの形態が設定されているか否かを判定し、設定されている場合には、アラートの形態に応じて、利用者又は管理者若しくは両者に対する通知処理を実行する。
なお、上述した実施の形態においては、集中管理サーバを構内ネットワーク内に設けた場合を例として説明したが、インターネット上に設ける形態としても良い。また、フィルタリングモジュールは、コンピュータプログラムで構成される場合を例として説明したが、フィルタリングモジュールが有する各ステップを処理する手段の一部をハードウェアで構成する形態としても良い。
本発明は、企業や公共団体、学校などに導入されているコンピュータネットワークシステムに好適に適用することができる。また、親の目が行き届かない家庭環境にある一般家庭においても効果的に活用することができる。さらに、例えば、音楽や映画等のコンテンツを提供するウェブサイトを利用して、ユーザがコンピュータの記憶媒体にダウンロードしたコンテンツを、他のコンピュータに転送することを防止することが可能となるので、悪意のある行為や犯罪を防止するシステム、情報処理装置、又はプログラムに適用することができる。
Claims (9)
- クライアントコンピュータを管理するための集中管理サーバを構内ネットワーク内に備えたクライアントサーバシステムにおける不正通信プログラムの規制システムであって、
前記集中管理サーバは、各種の不正通信プログラムを特定するためのファイルパターンを管理下の各クライアントコンピュータに前記構内ネットワークを介して配信する配信手段を備え、
前記クライアントコンピュータは、該コンピュータから生じる通信の監視及び規制処理をするフィルタリングモジュールを備え、
前記フィルタリングモジュールは、前記集中管理サーバから取得した前記ファイルパターンを格納するデータベースと、前記クライアントコンピュータで起動された通信モジュールから発生する通信のイベントを監視し、他のコンピュータへの通信開始要求の発生を検知する通信検知手段と、前記通信開始要求の要求元通信モジュールのファイルパターンと前記データベースのファイルパターンとを照合して前記通信モジュールが不正通信プログラムであるか否かを検査する検査手段と、前記検査手段が不正通信プログラムと判定した場合に、前記通信モジュールの通信を前記通信開始要求の実行前に規制する通信規制手段とを備えたことを特徴とする不正通信プログラムの規制システム。 - 前記集中管理サーバは、各通信モジュールの規制の有無に関する情報を含む規制ルールを設定する設定手段を更に備え、前記通信規制手段は、前記設定手段によって規制有りと指定されている通信モジュールを対象として前記通信の規制処理を行うことを特徴とする請求の範囲第1項に記載の不正通信プログラムの規制システム。
- 前記設定手段は、前記ファイルパターンが登録されている前記不正通信プログラムの一覧を設定画面として管理端末の表示部に表示し、その一覧の中から選択されたものを規制対象として設定する機能を有することを特徴とする請求の範囲第2項に記載の不正通信プログラムの規制システム。
- 前記通信開始要求は、他のコンピュータへの接続要求又はデータ送信要求であることを特徴とする請求の範囲第1項に記載の不正通信プログラムの規制システム。
- 前記ファイルパターンを一元管理するデータセンタを備え、前記配信手段は、前記データセンタから受信した最新のファイルパターンを各クライアントコンピュータに適時配信する機能を有することを特徴とする請求の範囲第1項に記載の不正通信プログラムの規制システム。
- 前記フィルタリングモジュールは、前記不正通信プログラムの監視が始まると、前記クライアントコンピュータが前記集中管理サーバと通信できない状況においても、前記不正通信プログラムの監視処理および規制処理を継続することを特徴とする請求の範囲第1項に記載の不正通信プログラムの規制システム。
- 前記集中管理サーバが保有する前記ファイルパターンは、不正通信プログラムではない通常のアプリケーションを特定するためのファイルパターン含み、前記通信規制手段は、前記設定手段によって規制無しと指定されているアプリケーションの通信のみを許可する機能を有することを特徴とする請求の範囲第2項に記載の不正通信プログラムの規制システム。
- クライアントコンピュータを管理するための集中管理サーバを構内ネットワーク内に備えたクライアントサーバシステムにおける不正通信プログラムの規制処理プログラムであって、
前記クライアントコンピュータに、
各種の不正通信プログラムを特定するためのファイルパターンを受信すると共にデータベースに記憶させる機能と、前記クライアントコンピュータで起動された通信モジュールから発生する通信のイベントを監視し、他のコンピュータへの通信開始要求の発生を検知する機能と、前記通信開始要求の要求元通信プログラムのファイルパターンと前記データベースのファイルパターンとを照合して前記通信モジュールが不正通信プログラムであるか否かを検査する機能と、前記通信モジュールが不正通信プログラムであると判定した場合に、前記通信モジュールの通信を前記通信開始要求の実行前に規制する機能と、を実現させるための不正通信プログラムの規制処理プログラム。 - 前記クライアントコンピュータに、更に、前記集中管理サーバ側に登録された各通信モジュールの規制の有無に関する情報を含む規制ルールの設定情報を受信する機能と、前記設定手段によって規制有りと指定されている通信モジュールを対象として前記通信の規制処理を行う機能と、を実現させるための請求の範囲第8項に記載の不正通信プログラムの規制処理プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2005/023437 WO2007069337A1 (ja) | 2005-12-15 | 2005-12-15 | 不正通信プログラムの規制システム及びそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2007069337A1 true JPWO2007069337A1 (ja) | 2009-05-21 |
| JP4855420B2 JP4855420B2 (ja) | 2012-01-18 |
Family
ID=38162659
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007550065A Active JP4855420B2 (ja) | 2005-12-15 | 2005-12-15 | 不正通信プログラムの規制システム及びそのプログラム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20100169484A1 (ja) |
| EP (1) | EP1970833A4 (ja) |
| JP (1) | JP4855420B2 (ja) |
| KR (1) | KR101190564B1 (ja) |
| CN (1) | CN101326529B (ja) |
| WO (1) | WO2007069337A1 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8201164B2 (en) * | 2007-07-20 | 2012-06-12 | Microsoft Corporation | Dynamically regulating content downloads |
| CN101645125B (zh) * | 2008-08-05 | 2011-07-20 | 珠海金山软件有限公司 | 过滤以及监控程序的行为的方法 |
| CN101945084A (zh) * | 2009-07-09 | 2011-01-12 | 精品科技股份有限公司 | 客户端网页浏览控管系统及方法 |
| JP5674402B2 (ja) * | 2010-09-27 | 2015-02-25 | Necパーソナルコンピュータ株式会社 | 情報処理装置、通信制御方法及びプログラム |
| JP5557330B2 (ja) * | 2010-12-02 | 2014-07-23 | Necシステムテクノロジー株式会社 | 不正使用ソフトウェア検出システム、不正使用ソフトウェア検出方法及び不正使用ソフトウェア検出プログラム |
| JP5974729B2 (ja) * | 2012-08-20 | 2016-08-23 | コニカミノルタ株式会社 | 携帯情報装置、画像処理装置、情報保護方法および情報保護プログラム |
| US9781019B1 (en) * | 2013-08-15 | 2017-10-03 | Symantec Corporation | Systems and methods for managing network communication |
| JP6269313B2 (ja) * | 2014-05-15 | 2018-01-31 | 富士通株式会社 | 基地局装置及び通信システム |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5987611A (en) * | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
| US7159237B2 (en) * | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
| JP3639831B2 (ja) * | 2002-02-28 | 2005-04-20 | キヤノン株式会社 | 新規なポリヒドロキシアルカノエート及びその製造方法、それを含有する荷電制御剤、トナーバインダーならびにトナー及び該トナーを用いた画像形成方法および画像形成装置 |
| US7376745B2 (en) * | 2002-05-15 | 2008-05-20 | Canon Kabushiki Kaisha | Network address generating system, network address generating apparatus and method, program and storage medium |
| US7146638B2 (en) * | 2002-06-27 | 2006-12-05 | International Business Machines Corporation | Firewall protocol providing additional information |
| JP2004062416A (ja) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス防止方法、セキュリティポリシーダウンロード方法、pc、およびポリシーサーバ |
| US6850943B2 (en) * | 2002-10-18 | 2005-02-01 | Check Point Software Technologies, Inc. | Security system and methodology for providing indirect access control |
| US7827602B2 (en) * | 2003-06-30 | 2010-11-02 | At&T Intellectual Property I, L.P. | Network firewall host application identification and authentication |
| JP2005128792A (ja) * | 2003-10-23 | 2005-05-19 | Trend Micro Inc | 通信装置、プログラムおよび記憶媒体 |
| JP4172398B2 (ja) * | 2004-02-02 | 2008-10-29 | 日本電気株式会社 | 動画コンテンツ複製防止システム及び動画コンテンツ複製防止方法並びにプログラム |
| JP2005260612A (ja) * | 2004-03-12 | 2005-09-22 | Yokogawa Electric Corp | ワーム監視対策システム |
-
2005
- 2005-12-15 EP EP05819901A patent/EP1970833A4/en not_active Withdrawn
- 2005-12-15 CN CN2005800522975A patent/CN101326529B/zh not_active Expired - Fee Related
- 2005-12-15 WO PCT/JP2005/023437 patent/WO2007069337A1/ja active Application Filing
- 2005-12-15 KR KR1020087017218A patent/KR101190564B1/ko not_active IP Right Cessation
- 2005-12-15 JP JP2007550065A patent/JP4855420B2/ja active Active
- 2005-12-15 US US12/086,497 patent/US20100169484A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| KR101190564B1 (ko) | 2012-10-16 |
| US20100169484A1 (en) | 2010-07-01 |
| CN101326529B (zh) | 2012-08-22 |
| CN101326529A (zh) | 2008-12-17 |
| EP1970833A4 (en) | 2010-09-08 |
| EP1970833A1 (en) | 2008-09-17 |
| JP4855420B2 (ja) | 2012-01-18 |
| WO2007069337A1 (ja) | 2007-06-21 |
| KR20080077019A (ko) | 2008-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4855420B2 (ja) | 不正通信プログラムの規制システム及びそのプログラム | |
| JP6608948B2 (ja) | マルチテナント環境のためのネットワークフローログ | |
| JP4820374B2 (ja) | ウェブアクセス監視方法及びそのプログラム | |
| CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
| US8353021B1 (en) | Determining firewall rules for an application on a client based on firewall rules and reputations of other clients | |
| US6438600B1 (en) | Securely sharing log-in credentials among trusted browser-based applications | |
| US7540013B2 (en) | System and methodology for protecting new computers by applying a preconfigured security update policy | |
| US8239951B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
| US8543710B2 (en) | Method and system for controlling network access | |
| US7697520B2 (en) | System for identifying the presence of Peer-to-Peer network software applications | |
| US9237162B1 (en) | Dynamic blocking of suspicious electronic submissions | |
| US20060037077A1 (en) | Network intrusion detection system having application inspection and anomaly detection characteristics | |
| US20080209028A1 (en) | Discovering and determining characteristics of network proxies | |
| JP2016537894A (ja) | 局所/ホームネットワークのためのセキュリティゲートウェイ | |
| EP2755157A1 (en) | Detecting undesirable content | |
| US20080320548A1 (en) | Proxy-based malware scan | |
| US20230291754A1 (en) | Systems and methods for automated anomalous behavior detection and risk-scoring individuals | |
| US11729176B2 (en) | Monitoring and preventing outbound network connections in runtime applications | |
| KR101266171B1 (ko) | 분산 서비스 거부 공격 방어 방법 및 그 장치 | |
| Wróbel et al. | Progressive mobile web application subresource tampering during penetration testing | |
| JP5254801B2 (ja) | P2pネットワーク・ソフトウェア・アプリケーションの存在を識別するシステム | |
| US20240176892A1 (en) | Automated application programming interface (api) testing | |
| Huraj et al. | Smart Home Defense Against DDoS Attacks | |
| US20030177232A1 (en) | Load balancer based computer intrusion detection device | |
| CN117857503A (zh) | 一种cdn架构下ipv6外链改写防扩散和盗用的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110426 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110520 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110614 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110908 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110908 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20111003 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111018 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111026 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141104 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4855420 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141104 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141104 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |