Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7617239B2 - Information Processing System - Google Patents
[go: Go Back, main page]

JP7617239B2 - Information Processing System - Google Patents

Information Processing System Download PDF

Info

Publication number
JP7617239B2
JP7617239B2 JP2023217177A JP2023217177A JP7617239B2 JP 7617239 B2 JP7617239 B2 JP 7617239B2 JP 2023217177 A JP2023217177 A JP 2023217177A JP 2023217177 A JP2023217177 A JP 2023217177A JP 7617239 B2 JP7617239 B2 JP 7617239B2
Authority
JP
Japan
Prior art keywords
client terminal
terminal device
information
program
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023217177A
Other languages
Japanese (ja)
Other versions
JP2024038058A (en
Inventor
和希 高野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Electronics Inc
Original Assignee
Canon Electronics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Electronics Inc filed Critical Canon Electronics Inc
Publication of JP2024038058A publication Critical patent/JP2024038058A/en
Priority to JP2025001870A priority Critical patent/JP2025061036A/en
Application granted granted Critical
Publication of JP7617239B2 publication Critical patent/JP7617239B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、情報処理システムに関する。 The present invention relates to an information processing system .

マルウェアの中には、C&C(command and control)サーバなどの危険な接続先と通信を行い、ハッカーからの指示を受けたり、盗み出した機密情報を送信したりするものがある。これに対して、予め危険な接続先の接続先情報(URLやIPアドレスなど)をリストアップしておき、リスト上にある宛先への通信を遮断することで、マルウェアによる被害を防ぐといった対策が取られている。この方法によれば、マルウェアによる直接的な被害を防ぐことはできるが、クライアント側に残っているマルウェアに対しては対策が打てないという問題がある。そのため、通信の送信元を特定し、対策を打つことが必要となる。 Some malware communicates with dangerous destinations such as C&C (command and control) servers to receive instructions from hackers or send stolen confidential information. To combat this, countermeasures have been taken to prevent damage caused by malware by making a list of destination information (URLs, IP addresses, etc.) for dangerous destinations in advance and blocking communications to destinations on the list. While this method can prevent direct damage caused by malware, it has the problem that it cannot take measures against malware that remains on the client side. For this reason, it is necessary to identify the source of the communication and take measures.

そこで、ネットワーク通信の送信元を特定する手法としては、イーサネット(登録商標)フレームにおけるMACアドレスを参照するという技術がある。ただし、MACアドレスは同一セグメント内でのみ伝達可能な情報であるため、送信元のクライアントと特定を行うネットワーク機器との間に、別のネットワーク機器が存在しないことが前提となる。しかし、企業や官公庁内における一般的なネットワーク構成の場合、ネットワークの途中にはルータやファイアウォールなど様々な外部機器が存在する。そのため、そういった環境においては、ネットワーク通信の送信元が外部機器のMACアドレスとなってしまい、クライアントを特定することができない。また、外部機器にてネットワーク通信の送信元を管理する方法もあるが、管理が煩雑となる。 Therefore, one technique for identifying the source of network communications is to refer to the MAC address in an Ethernet (registered trademark) frame. However, because MAC addresses are information that can only be transmitted within the same segment, it is assumed that there are no other network devices between the source client and the network device performing the identification. However, in the case of a typical network configuration within a company or government agency, there are various external devices such as routers and firewalls along the network. Therefore, in such an environment, the source of network communications becomes the MAC address of the external device, and the client cannot be identified. There is also a method of managing the source of network communications on an external device, but this makes management cumbersome.

また、別の手法として、送信元IPアドレスを参照するという技術がある。しかし、IPアドレスは1つのコンピュータに常に固定されているわけではないため、たとえば1か月前の通信に関して、IPアドレスからコンピュータ名を特定しようとしても、不可能な場合が多い。そこで、先行技術文献1には、リクエストURL内にクライアントの情報を埋め込むことで、送信元であるクライアントを特定するという技術が開示されている。 Another technique is to refer to the source IP address. However, since IP addresses are not always fixed to one computer, it is often impossible to identify the computer name from the IP address for communication from a month ago, for example. Therefore, Prior Art Document 1 discloses a technique for identifying the source client by embedding client information in the request URL.

特開2004-240559号公報JP 2004-240559 A

しかし、先行技術文献1では、URLを解析する場所をWEBサーバとしているため、ユーザや管理者が管理できない範囲となり、管理外の通信に関しては適用できない。たとえば、マルウェアが利用するC&Cサーバは、サイバー犯罪者が設置・管理しているため、この技術は適用できない。そこで、本発明は、簡便に通信の送信元の端末を特定することを目的とする。 However, in Prior Art Document 1, the location where the URL is analyzed is a web server, which is beyond the control of the user or administrator, and therefore cannot be applied to communications outside of the user's control. For example, this technology cannot be applied to C&C servers used by malware, which are installed and managed by cybercriminals. Therefore, the present invention aims to easily identify the terminal that is the source of communications.

本発明は、たとえば、情報処理システムであって、
クライアント端末装置と、情報機器と、サーバ装置とを有し、
前記クライアント端末装置は、
パケットを監視する監視手段と、
前記監視手段にて監視されたパケットに、クライアント端末装置を示す情報を付加する付加手段と、
前記付加手段にて付加されたパケットを前記情報機器に送信する送信手段と
を備え、
前記サーバ装置は、
前記情報機器から前記パケットを受信する受信手段と、
前記受信手段にて受信したパケットから、前記クライアント端末装置を示す情報を抽出する抽出手段と
を備えたことを特徴とする。
The present invention relates to, for example, an information processing system,
The system includes a client terminal device, an information device, and a server device,
The client terminal device
A monitoring means for monitoring packets;
an adding means for adding information indicating a client terminal device to a packet monitored by the monitoring means;
a transmitting means for transmitting the packet added by the adding means to the information device,
The server device includes:
receiving means for receiving the packet from the information device;
and an extracting means for extracting information indicating the client terminal device from the packet received by the receiving means.

本発明によれば、簡便に通信の送信元の端末を特定することができる。 According to the present invention, the terminal that is the source of communication can be easily identified.

情報処理システムの構成例を示すシステム構成図である。FIG. 1 is a system configuration diagram showing an example of the configuration of an information processing system. クライアント端末装置10の処理を示すフローチャートである。4 is a flowchart showing a process of the client terminal device 10. サーバ装置20の処理を示すフローチャートである。13 is a flowchart showing a process of the server device 20. パケットの一例を示す図である。FIG. 13 illustrates an example of a packet. サーバ装置20の処理を示すフローチャートである。13 is a flowchart showing a process of the server device 20. 操作履歴の一例を示す図である。FIG. 11 is a diagram showing an example of an operation history. サーバ装置20の処理を示すフローチャートである。13 is a flowchart showing a process of the server device 20. 操作履歴の一例を示す図であるFIG. 13 is a diagram illustrating an example of an operation history. サーバ装置20の処理を示すフローチャートである。13 is a flowchart showing a process of the server device 20. 操作履歴の一例を示す図である。FIG. 11 is a diagram showing an example of an operation history. サーバ装置20の処理を示すフローチャートである。13 is a flowchart showing a process of the server device 20. 情報処理システムの構成例を示すシステム構成図である。FIG. 1 is a system configuration diagram showing an example of the configuration of an information processing system. ログイン制限を示したシーケンス図である。FIG. 11 is a sequence diagram showing login restrictions. アカウント管理テーブルの一例を示す図である。FIG. 13 illustrates an example of an account management table.

[第一の実施形態]
<システム構成図>
先ず、本実施形態に係る情報処理システム構成について、図1のシステム構成図を用いて説明する。図1に示す如く、本実施形態に係る情報処理システムは、コンピュータすなわち情報処理装置10、20、50を有しており、それぞれの情報処理装置はLANやインターネットなどのネットワーク30に接続されている。以下、情報処理装置10をクライアント端末装置、情報処理装置20をサーバ装置(たとえば、プロキシサーバ)、情報処理装置50を情報機器(たとえば、ルータ、ファイアウォールなど)と呼称する。なお、クライアント端末装置10、情報機器50は複数でもよい。サーバ装置20は複数でもよく、サーバ装置20の機能の一部または全部が分散設置された複数のサーバ装置20によって実現されてもよい。また、クライアント端末装置10、サーバ装置20、情報機器50は、PC・携帯端末装置などの情報処理装置が行うものとして後述する各処理を実行可能な装置であれば、如何なる装置であっても構わない。
[First embodiment]
<System configuration diagram>
First, the information processing system configuration according to this embodiment will be described with reference to the system configuration diagram of FIG. 1. As shown in FIG. 1, the information processing system according to this embodiment has computers, i.e., information processing devices 10, 20, and 50, and each information processing device is connected to a network 30 such as a LAN or the Internet. Hereinafter, the information processing device 10 will be referred to as a client terminal device, the information processing device 20 as a server device (e.g., a proxy server), and the information processing device 50 as an information device (e.g., a router, a firewall, etc.). Note that there may be multiple client terminal devices 10 and information devices 50. There may be multiple server devices 20, and some or all of the functions of the server device 20 may be realized by multiple server devices 20 that are installed in a distributed manner. In addition, the client terminal device 10, the server device 20, and the information device 50 may be any device as long as they are devices capable of executing each process described below as being performed by an information processing device such as a PC or a mobile terminal device.

<クライアント端末装置>
クライアント端末装置10において、演算装置10Cはマイクロプロセッサ(CPU)である。演算装置10Cは、メモリ10EのROMに格納されたBIOSなどのブートプログラムに従い、記憶装置10Bに格納されたオペレーティングシステム(OS)を起動し、さらにOSまたはユーザの操作に従い各種のプログラムを起動する。この記憶装置10Bには、OSや本装置が行うものとして後述する各処理を演算装置10Cに実行させるためのコンピュータプログラムやデータが保存されている。このコンピュータプログラムには、クライアントプログラム10F、ブラウザ10Gが含まれている。
<Client Terminal Device>
In the client terminal device 10, the arithmetic unit 10C is a microprocessor (CPU). The arithmetic unit 10C starts an operating system (OS) stored in the storage device 10B according to a boot program such as BIOS stored in the ROM of the memory 10E, and further starts various programs according to the operation of the OS or the user. This storage device 10B stores computer programs and data for causing the arithmetic unit 10C to execute various processes, which will be described later as being performed by the OS and this device. These computer programs include a client program 10F and a browser 10G.

クライアントプログラム10Fは、クライアント端末装置10のデータやプログラムなどを管理するためのプログラムであり、たとえば、パケットを監視する、パケットのHTTPリクエストのメッセージヘッダにクライアント固有の情報(たとえば、コンピュータ名、パケットを送信したプログラム名など)を付加する、パケットを送信する機能を有する。また、クライアントプログラム10Fは、クライアント端末装置10の操作を監視して操作履歴として記憶装置10Bに記憶する機能、サーバ装置20からの命令(たとえば、修正プログラムの適用命令、ウイルススキャン命令、隔離命令など)に従う制御機能を有していてもよい。また、クライアントプログラム10Fは、操作履歴を出力する(たとえば、記憶装置10Bに記憶する、サーバ装置20に送信する)出力機能を有していてもよい。 The client program 10F is a program for managing data and programs of the client terminal device 10, and has functions such as monitoring packets, adding client-specific information (e.g., computer name, name of the program that sent the packet, etc.) to the message header of the HTTP request of the packet, and sending the packet. The client program 10F may also have a function for monitoring the operation of the client terminal device 10 and storing it as an operation history in the storage device 10B, and a control function for following commands from the server device 20 (e.g., a command to apply a patch program, a virus scan command, a quarantine command, etc.). The client program 10F may also have an output function for outputting the operation history (e.g., storing it in the storage device 10B, sending it to the server device 20).

図6は、操作履歴の一例を示す図である。クライアント端末装置10から何らかの通信リクエストがなされた際にリクエストを行った日付や時刻、ログインしているユーザ名、コンピュータ名(PC名)、リクエスト先のURL(アクセス先URL)などが記録されている。例えば、レコード601は、日付「2019/08/10」時刻「14:00:00」にユーザ名「userA」がログインしていた、PC名「PC-A」から、アクセス先URL「http://aaa.com」に対して通信のリクエストを行ったことを表している。なお、記録される情報はこれに限定されない。 Figure 6 is a diagram showing an example of an operation history. When a communication request is made from the client terminal device 10, the date and time of the request, the logged-in user name, the computer name (PC name), the URL of the request (access destination URL), etc. are recorded. For example, record 601 indicates that a communication request was made to the access destination URL "http://aaa.com" from a PC named "PC-A" in which a user named "userA" was logged in on the date "2019/08/10" at "14:00:00". Note that the information recorded is not limited to this.

記憶装置10Bに保存されているコンピュータプログラムやデータは、演算装置10Cによる制御に従って適宜メモリ10EのRAMにロードされ、演算装置10Cによる処理対象となる。また、OSはたとえばWindows(登録商標)、MacOS、Linux(登録商標)、iOS、Androidなどである。 Computer programs and data stored in storage device 10B are loaded into the RAM of memory 10E as appropriate under the control of computing device 10C, and are processed by computing device 10C. The OS may be, for example, Windows (registered trademark), MacOS, Linux (registered trademark), iOS, Android, etc.

記憶装置10Bは、ハードディスクドライブ(HDD)やソリッドステートドライブ(SSD)などであり、OSのほかにクライアント端末装置10上で稼働するクライアントプログラム10Fなどを格納する。I/Oデバイス10Aは、ポインティングデバイス(マウスなど)やキーボードに接続するための入出力インタフェース(I/F)、または、タッチパネルを組み込んだディスプレイなどである。なお、キーボードはソフトウェアキーボードでもよい。また、I/Oデバイス10Aは、入力された操作者の音声を音声認識機能によって認識し、認識した音声を演算装置10Cへ伝達する、マイク等を含む音声式入力部でもよい。また、I/Oデバイス10Aは、情報を表示するためのユーザインタフェース(UI)としても機能する。 The storage device 10B is a hard disk drive (HDD) or a solid state drive (SSD), and stores the OS as well as the client program 10F that runs on the client terminal device 10. The I/O device 10A is an input/output interface (I/F) for connecting to a pointing device (such as a mouse) or a keyboard, or a display incorporating a touch panel. The keyboard may be a software keyboard. The I/O device 10A may also be a voice-based input unit including a microphone that recognizes the input voice of the operator using a voice recognition function and transmits the recognized voice to the calculation device 10C. The I/O device 10A also functions as a user interface (UI) for displaying information.

ネットワークI/F10Dは、ネットワーク30とのインタフェースであり、他の情報処理装置(たとえば、Webサーバなど)と通信するための通信回路である。演算装置10Cは、ネットワークI/F10Dを介して、ブラウザ10Gなどのプログラムから発せられるリクエストパケットを宛先である他の情報処理装置(たとえば、Webサーバなど)に送信する。 The network I/F 10D is an interface with the network 30 and is a communication circuit for communicating with other information processing devices (such as a web server). The computing device 10C transmits a request packet issued from a program such as the browser 10G to the other information processing device (such as a web server) that is the destination via the network I/F 10D.

<サーバ装置>
サーバ装置のハードウェア構成は、図1に示す如く、上記で説明したクライアント端末装置10のハードウェア構成と同様であるとする。即ち、サーバ装置20の演算装置20Cは、サーバ装置20の記憶装置20Bに保存されているコンピュータプログラムやデータを用いて、サーバ装置20のネットワークI/F20Dを介して、他の情報処理装置とのデータ通信を行うと共に、サーバ装置20が行うものとして後述する各処理を実行する。また、サーバ装置20の記憶装置20Bには、サーバプログラム20Fが保存されている。
<Server device>
The hardware configuration of the server device is assumed to be the same as that of the client terminal device 10 described above, as shown in Fig. 1. That is, the arithmetic unit 20C of the server device 20 uses computer programs and data stored in the storage device 20B of the server device 20 to perform data communication with other information processing devices via the network I/F 20D of the server device 20, and executes each process described below as being performed by the server device 20. Also, a server program 20F is stored in the storage device 20B of the server device 20.

サーバ装置20において、演算装置20Cはマイクロプロセッサ(CPU)である。演算装置20Cは、メモリ20EのROMに格納されたBIOSなどのブートプログラムに従い記憶装置20Bに格納されたOSを起動する。そして、ネットワーク30を介して接続されたクライアント端末装置10からのリクエストパケットを受信し、インターネット上にある宛先である他の情報処理装置(たとえば、Webサーバなど)にリクエストパケットを送信する。 In the server device 20, the computing device 20C is a microprocessor (CPU). The computing device 20C starts the OS stored in the storage device 20B in accordance with a boot program such as the BIOS stored in the ROM of the memory 20E. Then, the computing device 20C receives a request packet from the client terminal device 10 connected via the network 30, and transmits the request packet to another information processing device (such as a web server) on the Internet that is the destination.

記憶装置20Bは、HDDやSSDなどであり、サーバ装置20上で稼働するサーバプログラム20Fを格納する。ネットワークI/F20Dは、ネットワーク30とのインタフェースであり、クライアント端末装置10など他の情報処理装置と通信するための通信回路である。 The storage device 20B is a HDD, SSD, or the like, and stores the server program 20F that runs on the server device 20. The network I/F 20D is an interface with the network 30, and is a communication circuit for communicating with other information processing devices such as the client terminal device 10.

サーバプログラム20Fは、ネットワークI/F20Dを介して複数のクライアント端末装置10から受け取ったリクエストパケットを、HTTPリクエストのメッセージヘッダごとに分割して、クライアント端末装置10上のクライアントプログラム10Fによって記述されたクライアント端末装置10の情報を抽出する。また、ネットワーク30を介して接続されたクライアント端末装置10から送信されるクライアント端末装置10の操作履歴を記憶装置20Bに記憶させ、管理することもできるし、クライアント端末装置10に対して修正プログラムの適用命令、ウイルススキャン命令、隔離命令などを送信することもできる。 The server program 20F divides the request packets received from multiple client terminal devices 10 via the network I/F 20D into HTTP request message headers and extracts information about the client terminal devices 10 described by the client program 10F on the client terminal devices 10. It can also store and manage the operation history of the client terminal devices 10 sent from the client terminal devices 10 connected via the network 30 in the storage device 20B, and can also send commands such as patch application commands, virus scan commands, and quarantine commands to the client terminal devices 10.

サーバ装置20は、クライアント端末装置10側のネットワーク30とインターネット40との境界上に設置されている。この構成をとることにより、ネットワーク30内とインターネット40の間でやりとりされるすべてのパケットをサーバ装置20経由にすることができ、やりとりされるすべてのパケットに対して本発明を適用することができる。 The server device 20 is installed on the boundary between the network 30 on the client terminal device 10 side and the Internet 40. With this configuration, all packets exchanged between the network 30 and the Internet 40 can be routed through the server device 20, and the present invention can be applied to all packets exchanged.

また、サーバ装置20とクライアント端末装置10は、図1では共にLANの内部に設置されているが、サーバ装置20は、クライアント端末装置10とネットワーク30を介して接続可能であれば、インターネット40上に設置してもよい。 In addition, in FIG. 1, the server device 20 and the client terminal device 10 are both installed inside the LAN, but the server device 20 may be installed on the Internet 40 as long as it can be connected to the client terminal device 10 via the network 30.

<情報機器>
企業や官公庁などの一般的なネットワーク環境においては、クライアント端末装置10とサーバ装置20との間に、情報機器50が設置される。情報機器50は、クライアント端末装置10からサーバ装置20への通信を中継する機器であり、例えば、ルータ、ファイアウォール、UTM(Unified Threat Management)など、他のネットワーク機器である。なお、図1の構成の場合、情報機器50とサーバ装置20との間でやり取りされるイーサネット(登録商標)フレームのパケットの場合、送信元MACアドレスが情報機器50のものになるため、MACアドレスを用いた送信元クライアントの特定は不可能になる。
<Information devices>
In a typical network environment such as in a company or a government office, an information device 50 is installed between a client terminal device 10 and a server device 20. The information device 50 is a device that relays communication from the client terminal device 10 to the server device 20, and is, for example, other network devices such as a router, a firewall, or a UTM (Unified Threat Management). In the case of the configuration of Fig. 1, in the case of an Ethernet (registered trademark) frame packet exchanged between the information device 50 and the server device 20, the source MAC address is that of the information device 50, so it is impossible to identify the source client using the MAC address.

<クライアント端末装置の処理>
図2は、本実施形態に係るクライアント端末装置10が行う処理のフローチャートである。演算装置10Cは、クライアント端末装置10において、何らかのプログラム(たとえば、ブラウザ10Gなど)によるパケット(たとえば、リクエストパケット)の送信を監視する(ステップS201)。
<Processing of Client Terminal Device>
2 is a flowchart of a process performed by the client terminal device 10 according to this embodiment. The arithmetic unit 10C monitors the transmission of a packet (e.g., a request packet) by a program (e.g., a browser 10G) in the client terminal device 10 (step S201).

演算装置10Cは、何らかのプログラムが、他の情報処理装置(たとえば、Webサーバなど)宛てにパケットの送信が試みられたか否かを判定する(ステップS202)。パケットの送信が試みられたと判定された場合(ステップS202のYES)、そのパケットの送信を一時中断させる(ステップS203)。 The computing device 10C determines whether any program has attempted to transmit a packet to another information processing device (e.g., a web server) (step S202). If it is determined that a packet transmission has been attempted (YES in step S202), the computing device 10C temporarily suspends the transmission of the packet (step S203).

次に、演算装置10Cは、送信しようとしているパケット内のHTTPリクエストのメッセージに、クライアント端末装置10の情報を示すクライアント固有の情報を独自のヘッダとして記録する(ステップS204)。クライアント固有の情報は、たとえば、クライアント端末装置を示す情報(コンピュータ名など)、ユーザを示す情報(ユーザ名など)、パケットを送信したプログラムを示す情報(リクエストを行ったプログラム名、プロセス名など)を含む。 Next, the computing device 10C records client-specific information indicating information about the client terminal device 10 as a unique header in the HTTP request message in the packet to be sent (step S204). The client-specific information includes, for example, information indicating the client terminal device (such as a computer name), information indicating the user (such as a user name), and information indicating the program that sent the packet (such as the name of the program that made the request, the process name, etc.).

図4は、演算装置10Cによって編集されたパケット内のHTTPリクエストのメッセージヘッダの一例を示す図である。この例では、User-Agentなどの通常のヘッダのほかに、クライアントプログラム10Fによって付加された「ADDHEADER」ヘッダがあり、その中にはクライアント端末装置10のコンピュータ名「TestPCNAME.test.com」と、リクエストを行ったプログラム名「iexplore.exe」が記録されている。なお、リクエストパケットを送信したプログラム名と宛先URLとを特定する方法は、公知技術(たとえば、特開2012-185799号公報)であるため説明を省略する。 Figure 4 shows an example of a message header of an HTTP request in a packet edited by the computing device 10C. In this example, in addition to normal headers such as User-Agent, there is an "ADDHEADER" header added by the client program 10F, which records the computer name of the client terminal device 10, "TestPCNAME.test.com", and the name of the program that made the request, "iexplore.exe". Note that the method of identifying the program name that sent the request packet and the destination URL is a publicly known technique (for example, JP 2012-185799 A), so a description thereof will be omitted.

パケット内のHTTPリクエストのメッセージヘッダにクライアント固有の情報を記録すると、演算装置10Cは、ステップS203にて送信を一時中断していたパケットを送信する(ステップS205)。なお、上述した説明では、パケットの送信を行うプログラムの例としてブラウザ10Gを挙げているが、このプログラムはブラウザ10Gに限定されず、一般的なアプリケーション(表計算ソフト、文書作成ソフトなど)、プロセスでもよい。 After recording the client-specific information in the message header of the HTTP request in the packet, the computing device 10C transmits the packet whose transmission was temporarily suspended in step S203 (step S205). Note that in the above explanation, the browser 10G is given as an example of a program that transmits packets, but this program is not limited to the browser 10G and may be a general application (spreadsheet software, word processing software, etc.) or a process.

<サーバ装置の処理>
図3は、サーバ装置20の処理を示すフローチャートである。なお、以下の説明では、サーバ装置20をプロキシサーバとして説明するが、これに限定されない。
<Server Device Processing>
3 is a flowchart showing the process of the server device 20. In the following description, the server device 20 is described as a proxy server, but is not limited to this.

クライアント端末装置10から送信されたパケットは、図1の構成の場合、インターネット40に到達する前に、情報機器50を介して、プロキシサーバ20に到達する。プロキシサーバ20にパケットが到達すると、最初にプロキシサーバ20内のサーバプログラム20Fが、パケットを受信する(ステップS301)。 In the configuration of FIG. 1, a packet sent from the client terminal device 10 reaches the proxy server 20 via the information device 50 before reaching the Internet 40. When the packet reaches the proxy server 20, the server program 20F in the proxy server 20 first receives the packet (step S301).

演算装置20Cは、受け取った全てのパケットから、送信元のクライアント固有の情報を抽出しようと試みる。具体的には、受け取った全てのパケットに対して、以下の処理を行う。演算装置20Cは、パケット内のHTTPリクエストのメッセージヘッダのデータを、ヘッダ名単位に分割する(ステップS302)。分割したヘッダの中に、クライアント端末装置10のクライアントプログラム10F(演算装置10C)が追記したヘッダが存在するかどうかを判定する(ステップS303)。判定は、ヘッダ名が、クライアントプログラム10F(演算装置10C)が付加する固有のものかどうかなど、予め記憶装置20Bに記憶されているテーブルを用いて判定を行う。テーブルには、例えば、図4に示されるような「ADDHEADER」など、クライアントプログラム10F固有の情報が記憶されている。 The computing device 20C attempts to extract information specific to the sender client from all received packets. Specifically, the following process is performed for all received packets. The computing device 20C divides the message header data of the HTTP request in the packet into header name units (step S302). It determines whether any header added by the client program 10F (computing device 10C) of the client terminal device 10 is present among the divided headers (step S303). The determination is made using a table stored in advance in the storage device 20B to determine whether the header name is a unique one added by the client program 10F (computing device 10C). The table stores information specific to the client program 10F, such as "ADDHEADER" as shown in FIG. 4.

該当のヘッダが存在する場合には、そのヘッダに記録された文字列を、クライアント端末装置10のクライアント固有の情報(コンピュータ名、プログラム名など)と認識して抽出する(ステップS304)。この結果、パケットを送信したクライアントの情報をプロキシサーバ上で特定することができる(ステップS305)。クライアントの情報を特定することにより、例えば、危険な接続先への通信を遮断してマルウェアによる被害を防ぐ場合に、クライアント側に残っているマルウェアに対しても対策を打つことができる。 If the relevant header is present, the character string recorded in the header is recognized as client-specific information (computer name, program name, etc.) of the client terminal device 10 and extracted (step S304). As a result, the information of the client that sent the packet can be identified on the proxy server (step S305). By identifying the client information, for example, when blocking communications to dangerous destinations to prevent damage caused by malware, measures can also be taken against malware remaining on the client side.

図4を用いて具体的に説明する。たとえば、図4に示されるようなパケットをサーバプログラム20Fが受け取った場合、まずヘッダ名単位に分割する。ヘッダの中には、クライアントプログラム10Fが付加した「ADDHEADER」ヘッダが存在するので、その内容の文字列「TestPCNAME.test.co;iexplore.exe」を取得し、セミコロンで分割する。すると、送信元のコンピュータ名が「TestPCNAME.test.co」であることがわかり、かつパケットの送信を行ったプログラム名が「iexplore.exe」であることがわかる。 A more detailed explanation will be given using Figure 4. For example, when server program 20F receives a packet as shown in Figure 4, it first divides it into header name units. Since the header contains an "ADDHEADER" header added by client program 10F, the character string "TestPCNAME.test.co;iexplore.exe" is obtained and divided by semicolons. This reveals that the name of the sending computer is "TestPCNAME.test.co" and that the name of the program that sent the packet is "iexplore.exe".

なお、クライアントプログラム10Fが付加するヘッダ名およびヘッダのフォーマットに関しては、予めサーバプログラム20Fと、クライアントプログラム10Fの間で取り決めておき、記憶装置10B、20Bに各々記憶しておく。 The header name and header format added by the client program 10F are determined in advance between the server program 20F and the client program 10F, and are stored in the storage devices 10B and 20B, respectively.

上述したように、パケットを解析する場所(例えば、通信の送信元を特定する場所)を通信経路の終端(Webサーバなど)ではなく、通信経路の途中かつ管理者が管理できる場所(プロキシサーバなど)に設置する。これにより、通信の宛先に影響されることなく、全てのパケットの解析を行い、簡便かつ正確に通信の送信元を特定することができる。 As mentioned above, the location where packets are analyzed (for example, the location where the source of the communication is identified) is not located at the end of the communication path (such as a web server), but at a location along the communication path that can be managed by an administrator (such as a proxy server). This allows all packets to be analyzed without being affected by the destination of the communication, making it possible to easily and accurately identify the source of the communication.

[第二の実施形態]
パケットの送信元クライアントを特定することにより、たとえば、以下のような効果を得ることができる。クライアント固有の情報として「コンピュータ名」、「リクエストを行ったプログラム名」をクライアント端末装置で付加し、サーバ装置(たとえば、プロキシサーバ)にて、宛先URLが危険なWebサイトであるパケットを受信した場合、サーバ装置にて、受信したパケットに付加されたクライアント固有の情報から、危険なWebサイトへアクセスリクエストを行ったコンピュータおよびプログラムを特定することができる。以下では、パケットの送信元クライアントとプログラムをサーバ装置にて特定した後の処理について説明する。なお、本実施形態の動作の大部分が第一の実施形態の動作と共通するため、ここでは、第一の実施形態と異なる動作についてのみ説明し、共通の動作については説明を省略する。
[Second embodiment]
By identifying the source client of the packet, for example, the following effects can be obtained. When the client terminal device adds the "computer name" and the "requested program name" as client-specific information and a server device (e.g., a proxy server) receives a packet whose destination URL is a dangerous website, the server device can identify the computer and program that made the access request to the dangerous website from the client-specific information added to the received packet. The following describes the process after the server device identifies the source client and program of the packet. Note that most of the operations of this embodiment are common to the operations of the first embodiment, so only operations that differ from the first embodiment will be described here, and common operations will be omitted.

図5は、サーバ装置20の処理を示すフローチャートである。演算装置20Cは、受信したパケットが危険なWebサイトへのリクエストか否かを判定する(ステップS501)。なお、パケットが危険なWebサイトへのアクセスのものかどうかの判断は、HTTPリクエストヘッダの標準ヘッダに含まれる「Host」などを、記憶装置20Bに予め記憶されている危険なWebサイトのホスト名のリストと比較して判断する。危険なWebサイトではないと判定された場合(ステップS501のNO)、パケットを宛先に送信し処理を終了する。なお、上述した説明では、サーバ装置20にて受信したパケットが危険なWebサイトへのリクエストか否かを判定しているが、ネットワーク30に接続されている不図示の装置(たとえば、UTM)にて判定を行ってもよい。その場合、ステップS501は省略される。 Figure 5 is a flowchart showing the processing of the server device 20. The computing device 20C judges whether the received packet is a request to a dangerous website (step S501). The judgment of whether the packet is for access to a dangerous website is made by comparing "Host" and other information contained in the standard header of the HTTP request header with a list of host names of dangerous websites pre-stored in the storage device 20B. If it is judged that the website is not dangerous (NO in step S501), the packet is sent to the destination and the processing ends. In the above explanation, the server device 20 judges whether the received packet is a request to a dangerous website, but the judgment may be made by a device (not shown) connected to the network 30 (for example, a UTM). In that case, step S501 is omitted.

演算装置20Cは、特定したプログラムが、Webブラウザか否かを判定する(ステップS502)。Webブラウザか否かの判定は、記憶装置20Bに予め記憶されているWebブラウザを示すプログラム情報に基づいて判定される。特定したプログラムがWebブラウザである場合、たとえば、フィッシングメールに記載されている危険なURLからジャンプしたことが推測できる。そこで、Webブラウザと判定された場合(ステップS502のYES)、演算装置20Cは、クライアントのメールの設定を変更する(ステップS503)。たとえば、フィッシングメールが届かないようにするために、ステップS502にて特定したクライアントの操作履歴からフィッシングメールを送信した宛先を調べ、その宛先からのメールを受信しない設定にする。なお、メール設定は、サーバ装置20に記憶されていてもよいし、クライアント端末装置10、不図示のメールサーバに記憶されてもよい。 The computing device 20C determines whether the identified program is a web browser (step S502). The determination of whether the program is a web browser is based on program information indicating the web browser stored in advance in the storage device 20B. If the identified program is a web browser, it can be assumed that the program jumped from a dangerous URL included in the phishing email, for example. If the program is determined to be a web browser (YES in step S502), the computing device 20C changes the email settings of the client (step S503). For example, in order to prevent the phishing email from being delivered, the computing device 20C checks the destination from which the phishing email was sent from the operation history of the client identified in step S502, and sets the client to not receive emails from that destination. The email settings may be stored in the server device 20, the client terminal device 10, or a mail server (not shown).

サーバプログラム20Fは、特定したプログラムが、一般的なアプリケーションか否かを判定する(ステップS504)。一般的なアプリケーションか否かの判定は、記憶装置20Bに予め記憶されている一般的なアプリケーションを示すプログラム情報に基づいて判定される。一般的なアプリケーション(たとえば、表計算ソフト、文書作成ソフトなど)である場合、一般的なアプリケーションの脆弱性を利用したリクエストと推測される。そこで、一般的なアプリケーションと判定された場合(ステップS504のYES)、演算装置20Cは、クライアント端末装置10に脆弱性を修正する修正プログラムを適用する(ステップS505)。なお、一般的なアプリケーションと修正プログラムの取得先(ダウンロードサーバ)を対応付けて記憶装置20Bに予め記憶しておき、該当する取得先にアクセスして修正プログラムを取得し、クライアント端末装置10に修正プログラムを適用してもよい。また、修正プログラムを一般的なアプリケーションと対応付けて記憶装置20Bに予め記憶していてもよい。 The server program 20F judges whether the identified program is a general application (step S504). The judgment of whether it is a general application is made based on the program information indicating the general application pre-stored in the storage device 20B. If it is a general application (for example, a spreadsheet software, a word processing software, etc.), it is assumed that the request exploits a vulnerability of the general application. If it is judged to be a general application (YES in step S504), the calculation device 20C applies a patch program that fixes the vulnerability to the client terminal device 10 (step S505). Note that the general application and the acquisition destination (download server) of the patch program may be associated and stored in the storage device 20B in advance, and the corresponding acquisition destination may be accessed to acquire the patch program, and the patch program may be applied to the client terminal device 10. Also, the patch program may be associated with the general application and pre-stored in the storage device 20B.

演算装置20Cは、特定したプログラムが一般的なアプリケーションではないと判定された場合(ステップS504のNO)、ウイルススキャンまたは隔離命令をクライアント端末装置10に送信する(ステップS506)。特定したプログラムがWebブラウザや一般的なアプリケーションではない場合、マルウェア自身がC&Cサーバなど危険な接続先と通信していることが推測できる。そこで、クライアント端末装置10内のウイルススキャンを行ったり、ネットワークから隔離したり、感染が拡大しないようにするといった対策が必要である。なお、ステップS502やステップS504にて、判定基準とした所定のプログラムであるWebブラウザや一般的なアプリケーションは一例であって、これに限定されない。 If the computing device 20C determines that the identified program is not a general application (NO in step S504), it sends a virus scan or isolation command to the client terminal device 10 (step S506). If the identified program is not a web browser or a general application, it can be assumed that the malware itself is communicating with a dangerous destination such as a C&C server. Therefore, measures such as performing a virus scan within the client terminal device 10, isolating it from the network, and preventing the infection from spreading are necessary. Note that the predetermined programs used as the judgment criteria in steps S502 and S504, such as a web browser and a general application, are merely examples and are not limited to these.

上述したように、クライアント固有の情報(クライアント情報)を付加することで、通常のパケットだけではわからない、クライアント端末装置側の状況を把握でき、かつ即座に適切な対策を講じることができる。 As mentioned above, by adding client-specific information (client information), it is possible to understand the situation on the client terminal device side, which cannot be determined from normal packets alone, and to take appropriate measures immediately.

[第三の実施形態]
本実施形態では、操作履歴を用いることによって、一見無害であるWebサイトからの被害を発見して対処する処理について説明する。なお、本実施形態の動作の大部分が第一の実施形態および第二の実施形態の動作と共通するため、ここでは、第一の実施形態および第二の実施形態と異なる動作についてのみ説明し、共通の動作については説明を省略する。
[Third embodiment]
In this embodiment, a process is described in which damage from a seemingly harmless website is discovered and dealt with by using an operation history. Note that most of the operations of this embodiment are common to the first and second embodiments, so only operations that differ from the first and second embodiments are described here, and explanations of common operations are omitted.

図6の操作履歴を参照すると、レコード602にて、日付「2019/11/18」、時刻「11:00:00」に、ユーザ名「userC」がPC名「PC-C」において、「http://aaa.com」というURLにアクセスしたことが記録されている。もし、「http://aaa.com」が危険なWebサイトであると判明した場合、まずは該当のURL「http://aaa.com」にアクセスした「PC-C」に対してウイルススキャンをかける、または、該当のURLへのアクセスを禁止にするなどの処置を行うことが必要となる。 Referring to the operation history in FIG. 6, record 602 records that on date "2019/11/18" and time "11:00:00", user name "userC" accessed the URL "http://aaa.com" on PC name "PC-C". If it turns out that "http://aaa.com" is a dangerous website, it will be necessary to first take measures such as running a virus scan on "PC-C" that accessed the URL "http://aaa.com", or prohibiting access to the URL.

ただ、危険なWebサイトは、全て悪意のある者によって作られたわけではなく、通常のWebサイトであったURLが、悪意ある第三者に乗っ取られ、マルウェアを配布するなどの危険な動きをするように改ざんされるという場合もある。また、該当のURLが危険かどうかの判定は、アンチウィルスベンダーによる調査が行われた後に行われるので、Webサイトが改ざんされた瞬間ではなく、しばらく時間が経過した後になる。そのため、無害であると判定されている時期でも、実際にはすでに危険なWebサイトに改ざんされている可能性があるので、危険であると判定される以前に該当のURLにアクセスしたPCに対しても、ウイルススキャンなどの処置を行う必要がある。 However, not all dangerous websites are created by malicious individuals. There are also cases where the URL of a normal website is taken over by a malicious third party and altered to perform dangerous actions such as distributing malware. Furthermore, the determination of whether the URL in question is dangerous or not is made after an investigation by an antivirus vendor, so this is not the moment the website is altered, but after some time has passed. Therefore, even when a website is determined to be harmless, it may have already been altered into a dangerous website, so measures such as virus scans must be taken on PCs that accessed the URL in question before it was determined to be dangerous.

図7は、サーバ装置20の処理を示すフローチャートである。なお、図7のフローチャートにおいて図5に示した処理ステップと同じ処理ステップには同じステップ番号を付しており、この処理ステップに係る説明は省略する。 Figure 7 is a flowchart showing the processing of the server device 20. Note that in the flowchart of Figure 7, the same processing steps as those shown in Figure 5 are given the same step numbers, and the explanation of these processing steps is omitted.

まず、ステップS501において、演算装置20Cが、あるクライアント端末装置10(たとえば、「PC-C」)がアクセスしようとしたURL(たとえば、「http://aaa.com」)が危険であると判定したとする。その後、演算装置20Cは、記憶装置20Bに記録されている全てのクライアント端末装置10にて記録された操作履歴を参照する(ステップS701)。次に、演算装置20Cは、危険であると判定されたURLに対して、ステップS501において検出されたパケットを発信したクライアント端末装置10(たとえば、「PC-C」)以外からのアクセスが、操作履歴に存在するかどうかを判定する(ステップS702)。 First, in step S501, the computing device 20C determines that a URL (e.g., "http://aaa.com") that a client terminal device 10 (e.g., "PC-C") is attempting to access is dangerous. The computing device 20C then refers to the operation history recorded in all client terminal devices 10 stored in the storage device 20B (step S701). Next, the computing device 20C determines whether the operation history contains any access to the URL determined to be dangerous from any client other than the client terminal device 10 (e.g., "PC-C") that sent the packet detected in step S501 (step S702).

図6の操作履歴を参照すると、レコード601にて、URL「http://aaa.com」に対しては、日付「2019/08/10」、時刻「14:00:00」にも、PC名「PC-A」がアクセスしていることがわかる。 Referring to the operation history in Figure 6, record 601 shows that the URL "http://aaa.com" was accessed by a PC named "PC-A" on the date "2019/08/10" and time "14:00:00".

演算装置20Cは、他のクライアント端末装置10によるアクセスが確認されない場合(ステップS702のNO)、何もせずに処理をステップS502へ移行する。アクセスが確認された場合(ステップS702のYES)、演算装置20Cは、該当クライアント端末装置10(たとえば、「PC-A」)に対して、ウイルススキャンまたは隔離命令を送信する(ステップS703)。 If the computing device 20C does not confirm access by another client terminal device 10 (NO in step S702), it does nothing and proceeds to step S502. If access is confirmed (YES in step S702), the computing device 20C sends a virus scan or quarantine command to the client terminal device 10 (e.g., "PC-A") (step S703).

たとえば、図6の操作履歴の場合、「PC-A」による該当URL「http://aaa.com」へのアクセスが確認されたため、演算装置20Cは、「PC-A」に対してウイルススキャンなどの命令を発行する。 For example, in the case of the operation history of Figure 6, since access to the URL "http://aaa.com" by "PC-A" was confirmed, the computing device 20C issues a command to "PC-A" to perform a virus scan, etc.

上述したように、操作履歴を参照することで、一見無害であるWebサイトからの被害を発見し、その対処を行うことができる。 As mentioned above, by referring to the operation history, it is possible to discover damage from seemingly harmless websites and take action to address the problem.

[第四の実施形態]
本実施形態では、クライアント端末装置10においてローカル時刻が変更された場合でも、Webサイトからの被害を発見して対処する処理について説明する。
[Fourth embodiment]
In this embodiment, a process for detecting and dealing with damage from a website even when the local time is changed in the client terminal device 10 will be described.

第三の実施形態では、演算装置20Cが操作履歴を参照することによって、危険なURLに対して、過去に他のクライアント端末装置10からのアクセスが存在したかどうかを判定する処理を行っていた。しかし、操作履歴の「時刻」を、クライアント端末装置10のローカルの時刻を基に記録している場合、ローカル時刻を基の時刻から変更してしまうと、操作履歴の時刻も変わってしまう。 In the third embodiment, the computing device 20C refers to the operation history to perform processing to determine whether a dangerous URL has been accessed from another client terminal device 10 in the past. However, if the "time" in the operation history is recorded based on the local time of the client terminal device 10, changing the local time from the original time will also change the time in the operation history.

ローカル時刻の変更自体を禁止すれば、上述した問題の発生を防止することができるが、プログラムのテスト等、悪意のない目的での時刻変更を阻害し、利便性を損なうことにもなるため、一概に時刻の変更を禁止することは適切ではない。そのため、ローカル時刻の変更を許容しつつ、操作履歴の正しい時刻を取得できるような手段が必要となる。 The problems mentioned above can be prevented by prohibiting changes to the local time itself, but this would also hinder time changes for non-malicious purposes such as program testing, reducing convenience, so banning time changes entirely is not appropriate. For this reason, a means is needed that allows changes to the local time while still making it possible to obtain the correct time in the operation history.

そこで、クライアント端末装置10のローカル時刻が変更された際、演算装置10Cは、変更前と変更後の時間差を記憶して、その差(オフセット)を操作履歴に記録しておく。時間差(オフセット)を操作履歴に記録する例を、図8に示す。 Therefore, when the local time of the client terminal device 10 is changed, the computing device 10C stores the time difference before and after the change, and records this difference (offset) in the operation history. An example of recording the time difference (offset) in the operation history is shown in Figure 8.

図8は、操作履歴の一例を示す図である。図8は、図6に表される操作履歴と同様の意味を持つが、図6に加えて、クライアント端末装置10のローカル時刻が変更された際の、時間差(オフセット)が記録されている。レコード801にはオフセットの値として「+48:00」という値が記録されているが、これは、ローカル時刻が48時間後ろにずらされていることを表している。 Figure 8 is a diagram showing an example of an operation history. Figure 8 has the same meaning as the operation history shown in Figure 6, but in addition to Figure 6, it also records the time difference (offset) when the local time of the client terminal device 10 is changed. Record 801 records the offset value of "+48:00", which indicates that the local time has been shifted back 48 hours.

図9は、サーバ装置20の処理を示すフローチャートである。なお、図9のフローチャートにおいて図5に示した処理ステップと同じ処理ステップには同じステップ番号を付しており、この処理ステップに係る説明は省略する。 Figure 9 is a flowchart showing the processing of the server device 20. Note that in the flowchart of Figure 9, the same processing steps as those shown in Figure 5 are given the same step numbers, and the explanation of these processing steps is omitted.

ステップS501において、日付「2019/11/18」、時刻「11:00:00」に、PC名「PC-C」がアクセスしたURL「http://aaa.com」が、演算装置20Cによって危険であるWebサイトであると判定したとする。演算装置20Cは、以前に他のクライアント端末装置10にて同一のURL「http://aaa.com」にアクセスしたかどうかを判定するために、記憶装置20Bに記憶されている全てのクライアント端末装置10にて記録された操作履歴を参照する(ステップS901)。 In step S501, it is assumed that the URL "http://aaa.com" accessed by the PC named "PC-C" on date "2019/11/18" at time "11:00:00" is determined by the computing device 20C to be a dangerous website. The computing device 20C refers to the operation history recorded in all client terminal devices 10 stored in the storage device 20B to determine whether the same URL "http://aaa.com" was previously accessed by another client terminal device 10 (step S901).

演算装置20Cは、オフセットの値を用いた時刻の再計算を行う(ステップS902)。たとえば、図8のレコード801には、「PC-A」が日付「2019/11/19」時刻「14:00:00」に「http://aaa.com」へアクセスした操作履歴が存在するが、時刻のオフセットには、この操作履歴が本来の時刻から48時間進んだものであることが記録されているため、オフセットを加味して時刻を再計算すると、日付「2019/11/17」、時刻「14:00:00」となる。 The calculation device 20C recalculates the time using the offset value (step S902). For example, record 801 in FIG. 8 contains an operation history in which "PC-A" accessed "http://aaa.com" on date "2019/11/19" at time "14:00:00". However, the time offset records that this operation history is 48 hours ahead of the original time. Therefore, when the time is recalculated taking the offset into account, the date becomes "2019/11/17" and the time becomes "14:00:00".

演算装置20Cは、ステップS902にて再計算された時刻を適用し、過去に該当のURL「http://aaa.com」にアクセスした履歴があるか否かを判定する(ステップS903)。たとえば、図8のレコード801は、ステップS902にて再計算された日付「2019/11/17」、時刻「14:00:00」に、「PC-A」において、「http://aaa.com」にアクセスがあったことが確認できる。 The computing device 20C applies the time recalculated in step S902 and determines whether there is a history of accessing the URL "http://aaa.com" in the past (step S903). For example, record 801 in FIG. 8 confirms that "http://aaa.com" was accessed on "PC-A" on the date "2019/11/17" and time "14:00:00" recalculated in step S902.

演算装置20Cは、他のクライアント端末装置10によるアクセスが確認されない場合(ステップS903のNO)、何もせずに処理をステップS502へ移行する。アクセスが確認された場合(ステップS903のYES)、演算装置20Cは、該当クライアント端末装置10(たとえば、「PC-A」)に対して、ウイルススキャンまたは隔離命令を送信する(ステップS904)。 If the computing device 20C does not confirm access by another client terminal device 10 (NO in step S903), it does nothing and proceeds to step S502. If access is confirmed (YES in step S903), the computing device 20C sends a virus scan or quarantine command to the client terminal device 10 (e.g., "PC-A") (step S904).

たとえば、図8の操作履歴の場合、「PC-A」による該当URL「http://aaa.com」へのアクセスが確認されたため、演算装置20Cは、「PC-A」に対してウイルススキャンなどの命令を発行する。従って、「PC-A」に対しても、ウイルススキャン命令を出すなどの対処を行うことができる。 For example, in the case of the operation history of FIG. 8, since access to the URL "http://aaa.com" by "PC-A" was confirmed, the computing device 20C issues a command to "PC-A" to perform a virus scan or the like. Therefore, measures can be taken, such as issuing a virus scan command to "PC-A" as well.

上述したように、クライアント端末装置10においてローカル時刻が変更された場合でも、変更された時刻のオフセットの値を操作履歴に記録しておくことで、第三の実施形態と同様な対処を行うことができる。 As described above, even if the local time is changed on the client terminal device 10, the same measures as in the third embodiment can be taken by recording the offset value of the changed time in the operation history.

[第五の実施形態]
本実施形態では、ハッシュ値を用いることによって、潜伏しているマルウェアが存在するクライアント端末装置を発見して対処する処理について説明する。なお、本実施形態の動作の大部分が第一の実施形態ないし第四の実施形態の動作と共通するため、ここでは、第一の実施形態ないし第四の実施形態と異なる動作についてのみ説明し、共通の動作については説明を省略する。
[Fifth embodiment]
In this embodiment, a process for discovering and dealing with a client terminal device in which lurking malware exists by using a hash value will be described. Note that most of the operations of this embodiment are common to the operations of the first to fourth embodiments, so only the operations that differ from the first to fourth embodiments will be described here, and the common operations will be omitted.

第三及び第四の実施形態では、演算装置20Cが操作履歴を参照することによって、危険なWebサイトに対して、過去に他のクライアント端末装置10からのアクセスが存在したかどうかを判定する処理を行っていた。本実施形態では、クライアント端末装置10からパケットを送信したプログラム(クライアント端末装置10上で動作し、ネットワークI/F10Dおよびネットワーク30を介して、リクエストパケットを外部に送信するプログラム)のハッシュ値を、クライアント固有の情報としてパケット内のHTTPリクエストメッセージヘッダに付加する。また、操作履歴に、パケットを送信したプログラム(通信のリクエストを行ったプログラム)のハッシュ値を記録する。 In the third and fourth embodiments, the computing device 20C refers to the operation history to perform processing to determine whether a dangerous website has been accessed from another client terminal device 10 in the past. In this embodiment, the hash value of the program that sent the packet from the client terminal device 10 (a program that runs on the client terminal device 10 and sends a request packet to the outside via the network I/F 10D and the network 30) is added to the HTTP request message header in the packet as client-specific information. In addition, the hash value of the program that sent the packet (the program that made the communication request) is recorded in the operation history.

操作履歴にハッシュ値を付加した例として、図10を示す。図10は、操作履歴の一例を示す図である。図6および図8に表される操作履歴と同様の意味を持つが、図8に加えて、通信のリクエストを行ったプログラムのハッシュ値が記録されている。ハッシュ値は、クライアントプログラム10Fによって、プログラムのバイナリの値をキーとして、SHA-1やSHA-256といったアルゴリズムによって算出され、その後操作履歴として記憶装置10Bに記録される。 Figure 10 shows an example of an operation history with a hash value added. Figure 10 is a diagram showing an example of an operation history. It has the same meaning as the operation history shown in Figures 6 and 8, but in addition to the operation history shown in Figure 8, the hash value of the program that made the communication request is recorded. The hash value is calculated by the client program 10F using an algorithm such as SHA-1 or SHA-256 with the binary value of the program as a key, and is then recorded in the storage device 10B as the operation history.

レコード1001には、ハッシュ値として「AAAAAA...」という値が記録されているが、これは、ハッシュ値「 AAAAAA...」のプログラムが通信リクエストを行ったことを表している。また、レコード1001とレコード1002のハッシュの値が「 AAAAAA...」で一致しているが、これは、2つの通信リクエストが、別々のクライアント端末装置10(PC-A、PC-C)から発せられているにも拘らず、全く同一のプログラムから行われたことを表している。 Record 1001 records the hash value "AAAAAA...", which indicates that the program with the hash value "AAAAAA..." made the communication request. The hash values of records 1001 and 1002 match, "AAAAAA...", which indicates that the two communication requests were made by the exact same program, even though they were issued from different client terminal devices 10 (PC-A, PC-C).

図11は、サーバ装置20の処理を示すフローチャートである。以下では、一例として、図10に示す操作履歴が記録されているものとして説明を行う。 Figure 11 is a flowchart showing the processing of the server device 20. In the following, as an example, the explanation will be given assuming that the operation history shown in Figure 10 is recorded.

まず、ステップS501において、演算装置20Cが、あるクライアント端末装置10がアクセスしようとしたURL(たとえば、「http://01234.com」)が危険であると判定したとする。以下では、日付「2019/11/21」時刻「16:00:00」に、「PC-X」から、ハッシュ値「AAAAAA...」のプログラムが、「http://01234.com」というURLに対してアクセスを行ったものとして説明する。 First, in step S501, it is assumed that the computing device 20C has determined that the URL (for example, "http://01234.com") that a certain client terminal device 10 is attempting to access is dangerous. In the following, it is assumed that a program with a hash value of "AAAAAA..." accessed the URL "http://01234.com" from "PC-X" on the date "2019/11/21" at time "16:00:00".

その後、演算装置20Cは、記憶装置20Bに記録されている全てのクライアント端末装置10にて記録された操作履歴を参照する(ステップS1101)。 Then, the computing device 20C refers to the operation history recorded in all client terminal devices 10 stored in the storage device 20B (step S1101).

次に、演算装置20Cは、リクエストパケットにクライアント固有の情報として付加されたプログラムのハッシュ値(「AAAAAA...」)を取得し、ステップS1101にて参照した操作履歴の中から、過去に取得したハッシュ値と同一のハッシュ値を持つプログラムによる通信が存在するかどうかを判定する(ステップS1102)。 Next, the computing device 20C acquires the hash value of the program ("AAAAAA...") that was added to the request packet as client-specific information, and determines from the operation history referenced in step S1101 whether there is communication by a program that has the same hash value as the previously acquired hash value (step S1102).

過去に同一のハッシュ値を持つプログラムによる通信が存在する場合(ステプS1102のYES)、危険なURL(「http://01234.com)へアクセスしたものと全く同一のプログラムが存在するということになる。図10に示す操作履歴の場合、URL「http://01234.com」に対しては過去にアクセスした痕跡が無いが、ハッシュ値「AAAAAA...」による通信は、操作履歴のレコード1001とレコード1002の2件が該当する。 If communication using a program with the same hash value has occurred in the past (YES in step S1102), this means that the exact same program that accessed the dangerous URL (http://01234.com) exists. In the case of the operation history shown in Figure 10, there is no trace of past access to the URL "http://01234.com", but communication using the hash value "AAAAAA..." corresponds to two records in the operation history, records 1001 and 1002.

仮に、ハッシュ値「 AAAAAA...」のプログラムがマルウェアである場合、操作履歴に記憶されているURL「http://aaa.com」および「http://ddd.com」が危険ではないと判定されていたとしても、これらは未知のC&Cサーバなどの危険なサイトである可能性が高い。従って、PC名「PC-A」とPC名「PC-C」にも、既に同じマルウェアが侵入していることがわかるため、演算装置20Cから、これらのクライアント端末装置10に対して、ウイルススキャンまたは隔離命令を送信する(ステップS1103)。 If the program with the hash value "AAAAAA..." is malware, even if the URLs "http://aaa.com" and "http://ddd.com" stored in the operation history are determined to be not dangerous, there is a high possibility that these are dangerous sites such as unknown C&C servers. Therefore, since it is determined that the same malware has already infiltrated PC names "PC-A" and "PC-C", the computing device 20C sends a virus scan or quarantine command to these client terminal devices 10 (step S1103).

上述したように、ハッシュ値を用いることで、危険なURLにアクセスすることなく潜伏しているマルウェアが存在するクライアント端末装置を発見し、そのクライアント端末装置に対しても対処を行うことができる。 As mentioned above, by using hash values, it is possible to discover client terminal devices that contain lurking malware without accessing dangerous URLs, and to take action against those client terminal devices.

[第六の実施形態]
本実施形態では、ユーザアカウントを用いることによって、危険なWebサイトへアクセスを行おうとした同一ユーザによる、他のクライアント端末装置でのログインを制限する処理について説明する。
[Sixth embodiment]
In this embodiment, a process will be described in which a user account is used to restrict login to other client terminal devices by the same user who attempts to access a dangerous website.

第一の実施形態では、クライアント端末装置10から送信されるHTTPリクエストのメッセージヘッダに、クライアント固有の情報として、クライアント端末装置10のコンピュータ名を付加することで、危険なWebサイトへのアクセスを行おうとしたクライアント端末装置10を特定し、ネットワークから隔離する等の処置を行った。しかし、クライアント端末装置10に対して何らかの処置を施したとしても、そのクライアント端末装置10を使用したユーザが別のクライアント端末装置10を使用した場合、同じような危険なWebサイトに接続を試みる可能性がある。 In the first embodiment, the computer name of the client terminal device 10 is added as client-specific information to the message header of the HTTP request sent from the client terminal device 10, thereby identifying the client terminal device 10 that attempted to access a dangerous website and taking measures such as isolating it from the network. However, even if some measures are taken against the client terminal device 10, if the user who used that client terminal device 10 uses another client terminal device 10, there is a possibility that he or she will attempt to connect to a similarly dangerous website.

そこで、本実施形態では、演算装置10Cが、クライアント固有の情報として、ログインしているユーザを示す情報である、ユーザアカウント(ユーザ名)を付加することにより、サーバ装置20は、危険なWebサイトへのアクセス時にクライアント端末装置10にログインしていたユーザアカウントを特定でき、特定したユーザアカウントを用いて、同一のユーザによるクライアント端末装置10へのログインを制限することができる。 Therefore, in this embodiment, the computing device 10C adds a user account (user name), which is information indicating the logged-in user, as client-specific information, so that the server device 20 can identify the user account that was logged in to the client terminal device 10 when accessing a dangerous website, and can use the identified user account to restrict logins to the client terminal device 10 by the same user.

図12は、情報処理システムの構成例を示すシステム構成図である。図12に示す情報処理システムは、図1に示す情報処理システムの構成に加えて、サーバ装置60、複数のクライアント端末装置11を含む。サーバ装置60の大部分は、サーバ管理装置20と共通するため、以下では説明を省略し、異なる部分のみ説明する。なお、本実施形態の動作の大部分が第一の実施形態ないし第五の実施形態の動作と共通するため、ここでは、第一の実施形態ないし第五の実施形態と異なる動作についてのみ説明し、共通の動作については説明を省略する。 Figure 12 is a system configuration diagram showing an example of the configuration of an information processing system. In addition to the configuration of the information processing system shown in Figure 1, the information processing system shown in Figure 12 includes a server device 60 and multiple client terminal devices 11. As most of the server device 60 is common to the server management device 20, a description will be omitted below and only the different parts will be described. Note that most of the operation of this embodiment is common to the operations of the first to fifth embodiments, so only the operations that differ from the first to fifth embodiments will be described here and the common operations will be omitted.

サーバ装置60には、ネットワーク30内に存在するすべてのクライアント端末装置10のログインを管理する、ログイン管理プログラム60Fが格納されている。なお、ログイン管理プログラム60Fと、サーバプログラム20Fは同一のサーバ装置上で実現する構成でもよい。 The server device 60 stores a login management program 60F that manages the logins of all client terminal devices 10 present within the network 30. The login management program 60F and the server program 20F may be configured to be implemented on the same server device.

また、記憶装置60Bには、ネットワーク30内に存在するすべてのクライアント端末装置10のユーザアカウント(アカウント名)とログイン制限(許可/拒否)が対応付けられたアカウント管理テーブルが記録されている。図14に、アカウント管理テーブルの一例を示す。アカウント管理テーブルは、後述するように、危険なWebサイトにアクセスしたユーザアカウントを特定することで記録される。なお、アカウント管理テーブルは、管理者によって記録されてもよい。ログインを管理するログイン管理プログラム60Fは、演算装置60Cによる制御に従って適宜メモリ60EのRAMにロードされ、演算装置60Cによる処理対象となる。 The storage device 60B also records an account management table in which the user accounts (account names) of all client terminal devices 10 present within the network 30 are associated with login restrictions (permission/denial). An example of the account management table is shown in FIG. 14. As will be described later, the account management table is recorded by identifying user accounts that have accessed dangerous websites. The account management table may also be recorded by an administrator. The login management program 60F, which manages logins, is loaded into the RAM of the memory 60E as appropriate under the control of the computing device 60C, and becomes the subject of processing by the computing device 60C.

また、本実施形態では、クライアント端末装置10にログインを行う際、図13に示す処理が行われる。図13は、ログイン制限を示したシーケンス図である。任意のクライアント端末装置10において、ユーザによってログインが試みられたことをクライアント装置10の演算装置10Cが検知する(ステップS1301)。 In addition, in this embodiment, when logging in to a client terminal device 10, the process shown in FIG. 13 is performed. FIG. 13 is a sequence diagram showing login restrictions. In any client terminal device 10, the computing device 10C of the client device 10 detects that a user has attempted to log in (step S1301).

演算装置10Cは、ネットワークI/F10Dおよびネットワーク30を介して、サーバ装置60に、ログインが可能かどうかの問い合わせを行う(ステップS1302)。また、問い合わせの際には、ログインしようとしているユーザアカウントも一緒に送信されるものとする。 The computing device 10C inquires of the server device 60 via the network I/F 10D and the network 30 whether login is possible (step S1302). In addition, when making the inquiry, the user account attempting to log in is also sent.

問い合わせを受け取った演算装置60Cは、記憶装置60Bに記憶されているアカウント管理テーブルに基づいて、ロードしたユーザアカウントと、問い合わせに含まれるユーザアカウントとを比較し、ログイン可能かどうかを判定する(ステップ1303)。 The computing device 60C that receives the inquiry compares the loaded user account with the user account included in the inquiry based on the account management table stored in the memory device 60B, and determines whether login is possible (step 1303).

演算装置60Cは、問い合わせ元のクライアント端末装置10に、判定の結果(ログインの許可または拒否)の返答を返す(ステップS1304)。 The computing device 60C returns a response indicating the result of the determination (login permission or denial) to the client terminal device 10 that originated the inquiry (step S1304).

クライアント端末装置10の演算装置10Cは、受信した判定結果に基づいて、ログインの許可/拒否を行う。たとえば、図14に示すように、userAからのログインは許可され、userBからのログインは拒否される、ということになる。 The computing device 10C of the client terminal device 10 allows or denies the login based on the received judgment result. For example, as shown in FIG. 14, login from user A is allowed, and login from user B is denied.

あるユーザが、危険なWebサイトへのアクセスを行ったとする(図5のステップS501にてYESと判定されたとする)。上述したように、本実施形態では、演算装置10Cにより、リクエストパケットにログインしているユーザアカウントが付加されているため、演算装置20Cは、リクエストを行ったユーザアカウントを特定できる。そこで、演算装置20Cは、ネットワークI/F20Dおよびネットワーク30を介し、サーバ装置60の記憶装置60Bに記録されているアカウント管理テーブルの、危険なWebサイトへのアクセスを行ったユーザのユーザアカウントに対応するログイン制限を「拒否」と記録する。 Let us assume that a user accesses a dangerous website (assuming that a YES determination is made in step S501 in FIG. 5). As described above, in this embodiment, the computing device 10C adds the logged-in user account to the request packet, so the computing device 20C can identify the user account that made the request. The computing device 20C then records the login restriction corresponding to the user account of the user who accessed the dangerous website as "Rejected" in the account management table recorded in the storage device 60B of the server device 60 via the network I/F 20D and the network 30.

上述したように、危険なWebサイトへのアクセスを試みたユーザが、別のクライアント端末装置からログインしようとした際に、そのログインを禁止することができる。これにより、同一ユーザによる危険なWebサイトへのアクセスを抑止することができる。 As described above, when a user who has attempted to access a dangerous website attempts to log in from another client terminal device, the login can be prohibited. This makes it possible to prevent the same user from accessing dangerous websites.

<その他の実施形態>
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(たとえば、ASIC)によっても実現可能である。
<Other embodiments>
The present invention can also be realized by a process in which a program for implementing one or more of the functions of the above-described embodiments is supplied to a system or device via a network or a storage medium, and one or more processors in a computer of the system or device read and execute the program. The present invention can also be realized by a circuit (e.g., ASIC) that implements one or more of the functions.

Claims (10)

情報処理システムであって、
クライアント端末装置と、情報機器と、サーバ装置とを有し、
前記クライアント端末装置は、
パケットを監視する監視手段と、
前記監視手段にて監視されたパケットに、クライアント端末装置を示す情報を付加する付加手段と、
前記付加手段にて付加されたパケットを前記情報機器に送信する送信手段と
を備え、
前記サーバ装置は、
前記情報機器から前記パケットを受信する受信手段と、
前記受信手段にて受信したパケットから、前記クライアント端末装置を示す情報を抽出する抽出手段と
を備えたことを特徴とする情報処理システム。
An information processing system,
The system includes a client terminal device, an information device, and a server device,
The client terminal device
A monitoring means for monitoring packets;
an adding means for adding information indicating a client terminal device to a packet monitored by the monitoring means;
a transmitting means for transmitting the packet added by the adding means to the information device,
The server device includes:
receiving means for receiving the packet from the information device;
and an extracting means for extracting information indicating the client terminal device from the packet received by the receiving means.
前記クライアント端末装置を示す情報は、コンピュータ名であることを特徴とする請求項1に記載の情報処理システム。2. The information processing system according to claim 1, wherein the information indicative of the client terminal device is a computer name. 前記サーバ装置は、前記受信手段にて受信したパケットが所定のアクセス先に対するリクエストか否かを判定する第一の判定手段を有することを特徴とする請求項1または2に記載の情報処理システム。3. The information processing system according to claim 1, wherein said server device comprises a first determination means for determining whether or not the packet received by said receiving means is a request for a predetermined access destination. 前記第一の判定手段は、所定のアクセス先を記録したリストを用いて判定を行うことを特徴とする請求項3に記載の情報処理システム。4. The information processing system according to claim 3, wherein the first determination means makes the determination using a list in which predetermined access destinations are recorded. 前記サーバ装置は、プロキシサーバであることを特徴とする請求項1乃至4のいずれか1項に記載の情報処理システム。 5. The information processing system according to claim 1, wherein the server device is a proxy server. 前記情報機器は、ルータ、ファイアウォール、またはUTMであることを特徴とする請求項1乃至5のいずれか1項に記載の情報処理システム。 6. The information processing system according to claim 1, wherein the information device is a router, a firewall, or a UTM. 前記付加手段は、前記パケットに前記パケットを送信したプログラムを示す情報をさらに付加し、
前記サーバ装置は、
ログラムを示す情報が、所定のプログラムを示す情報か否かを判定する第の判定手段を備えることを特徴とする請求項乃至のいずれか1項に記載の情報処理システム。
the adding means further adds, to the packet, information indicating a program that has transmitted the packet;
The server device includes:
7. The information processing system according to claim 3 , further comprising a second determination unit that determines whether the information indicating the program is information indicating a predetermined program .
前記プログラムを示す情報は、プログラム名またはプロセス名であることを特徴とする請求項7に記載の情報処理システム。8. The information processing system according to claim 7, wherein the information indicating the program is a program name or a process name. 前記付加手段は、前記パケットにユーザを示す情報をさらに付加し、
前記抽出手段は、前記ケットから、前記ユーザを示す情報を抽出し、前記ユーザを示す情報と、前記クライアント端末装置へのログインの制限に関する情報とが対応付けられたテーブルに記録することを特徴とする請求項1乃至8のいずれか1項に記載の情報処理システム。
The adding means further adds information indicating a user to the packet;
An information processing system as described in any one of claims 1 to 8, characterized in that the extraction means extracts information indicating the user from the packet and records it in a table in which the information indicating the user corresponds to information regarding restrictions on logging in to the client terminal device.
前記クライアント端末装置は、
前記クライアント端末装置へのログインが試みられた時に、前記クライアント端末装置のユーザを示す情報を含めた情報を、前記サーバ装置に送信し、
前記サーバ装置は、
前記テーブルに基づいて、受信した前記クライアント端末装置のユーザを示す情報における前記クライアント端末装置へのログインの制限を判定することを特徴とする請求項に記載の情報処理システム。
The client terminal device
When a login attempt is made to the client terminal device, information including information indicating a user of the client terminal device is transmitted to the server device;
The server device includes:
10. The information processing system according to claim 9 , wherein a restriction on logging in to the client terminal device is determined based on the received information indicating a user of the client terminal device, based on the table.
JP2023217177A 2018-12-27 2023-12-22 Information Processing System Active JP7617239B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2025001870A JP2025061036A (en) 2018-12-27 2025-01-06 Information Processing System

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018244240 2018-12-27
JP2018244240 2018-12-27
JP2019228520A JP7444596B2 (en) 2018-12-27 2019-12-18 information processing system

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2019228520A Division JP7444596B2 (en) 2018-12-27 2019-12-18 information processing system

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2025001870A Division JP2025061036A (en) 2018-12-27 2025-01-06 Information Processing System

Publications (2)

Publication Number Publication Date
JP2024038058A JP2024038058A (en) 2024-03-19
JP7617239B2 true JP7617239B2 (en) 2025-01-17

Family

ID=71450872

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2019228520A Active JP7444596B2 (en) 2018-12-27 2019-12-18 information processing system
JP2023217177A Active JP7617239B2 (en) 2018-12-27 2023-12-22 Information Processing System
JP2025001870A Pending JP2025061036A (en) 2018-12-27 2025-01-06 Information Processing System

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2019228520A Active JP7444596B2 (en) 2018-12-27 2019-12-18 information processing system

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2025001870A Pending JP2025061036A (en) 2018-12-27 2025-01-06 Information Processing System

Country Status (1)

Country Link
JP (3) JP7444596B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006185194A (en) 2004-12-27 2006-07-13 Toshiba Corp Server apparatus, communication control method, and program
JP2009169895A (en) 2008-01-21 2009-07-30 Hitachi Ltd Information leak detection method, information leak detection device, information leak detection system
JP2011147092A (en) 2010-01-18 2011-07-28 Video Research:Kk Communication system, repeater, and communication method in repeater
JP2011186728A (en) 2010-03-08 2011-09-22 Hitachi Ltd User terminal protection method and system
WO2012115058A1 (en) 2011-02-21 2012-08-30 日本電気株式会社 Communication system, database, control device, communication method and program
JP2013192019A (en) 2012-03-13 2013-09-26 Kddi Corp Malware communication detection system, malware communication prevention system and program

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09130421A (en) * 1995-11-02 1997-05-16 Furukawa Electric Co Ltd:The Virtual network management method
JP2001094607A (en) 1999-09-27 2001-04-06 Nec Corp Packet communication device
JP2005217692A (en) * 2004-01-29 2005-08-11 Oki Techno Creation:Kk Intrusion identification system
JP5116578B2 (en) 2008-06-25 2013-01-09 株式会社Kddi研究所 Information processing apparatus, information processing system, program, and recording medium

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006185194A (en) 2004-12-27 2006-07-13 Toshiba Corp Server apparatus, communication control method, and program
JP2009169895A (en) 2008-01-21 2009-07-30 Hitachi Ltd Information leak detection method, information leak detection device, information leak detection system
JP2011147092A (en) 2010-01-18 2011-07-28 Video Research:Kk Communication system, repeater, and communication method in repeater
JP2011186728A (en) 2010-03-08 2011-09-22 Hitachi Ltd User terminal protection method and system
WO2012115058A1 (en) 2011-02-21 2012-08-30 日本電気株式会社 Communication system, database, control device, communication method and program
JP2013192019A (en) 2012-03-13 2013-09-26 Kddi Corp Malware communication detection system, malware communication prevention system and program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
鈴木 涼太,アクセストークンを用いたDDoS攻撃削減のための動的フィルタリング,電子情報通信学会技術研究報告,Vol.115、No.295,p.111-116

Also Published As

Publication number Publication date
JP7444596B2 (en) 2024-03-06
JP2024038058A (en) 2024-03-19
JP2025061036A (en) 2025-04-10
JP2020107335A (en) 2020-07-09

Similar Documents

Publication Publication Date Title
AU2017275464B2 (en) Hardware-based virtualized security isolation
US10666686B1 (en) Virtualized exploit detection system
US8627476B1 (en) Altering application behavior based on content provider reputation
JP6553524B2 (en) System and method for utilizing a dedicated computer security service
US9055093B2 (en) Method, system and computer program product for detecting at least one of security threats and undesirable computer files
US20190036955A1 (en) Detecting data exfiltration as the data exfiltration occurs or after the data exfiltration occurs
US20190081952A1 (en) System and Method for Blocking of DNS Tunnels
US8839424B2 (en) Cross-site request forgery protection
US7966643B2 (en) Method and system for securing a remote file system
US11736528B2 (en) Low latency cloud-assisted network security with local cache
US20190356680A1 (en) Information processing device and program
US10032027B2 (en) Information processing apparatus and program for executing an electronic data in an execution environment
JP7411775B2 (en) Inline malware detection
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
JP7617239B2 (en) Information Processing System
Dey et al. Warezmaster and Warezclient: An implementation of FTP based R2L attacks
JP6635029B2 (en) Information processing apparatus, information processing system, and communication history analysis method
Susilo et al. Personal firewall for Pocket PC 2003: design & implementation
JP2024038784A (en) Information processing system, server device, method for controlling server device, client terminal device, method for controlling client terminal device, and program
CA3023472C (en) Hardware-based virtualized security isolation
Both Managing the Firewall
Baker Installing and Configuring Services
KR20250022228A (en) Cobalt Strike Beacon HTTP C2 Heuristic Detection
HK1263045A1 (en) Hardware-based virtualized security isolation
HK1263045B (en) Hardware-based virtualized security isolation

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240117

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240117

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20241029

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20241129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250106

R150 Certificate of patent or registration of utility model

Ref document number: 7617239

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150