不当通信程序的限制系统及其程序的制作方法

专利名称：不当通信程序的限制系统及其程序的制作方法
技术领域：
本发明涉及限制不当通信的计算机系统..特别涉及如下的计算机系 统及其程序监视在自己的计算机上运行的通信模块(各种通信程序)， 从而在从自己的计算机访问外部计算机之前，自动限制不当通信。
背景技术：
近年来，违法的音乐文件交换软件等正在市场上流通。在要对成为 以侵害著作权为首的违法信息流通温床的通信程序进行限制的情况下， 以往采用如下方式在LAN (Local Area Network:局域网)和因特网之 间设置过滤装置(网关装置等)，利用该装置分析通信数据，由通信内容 判断为相应数据是不当通信程序时，进行对其限制。例如，作为利用网 关装置进行限制的方式，已知有如下方式分别判断各个分组，检测出至今为止困扰管理员的不必要的通信，根据需要，对来自计算机内部的Winny等所执行的通信进行分块(bolck)(参照非专利文献l)。另一方面，作为利用自己的计算机进行限制的方式，已知有如下的 软件工具通过切断在指定端口上的通信来进行限制；以及设定成具有 不能执行间谍软件(spyware)等恶意的特定应用程序的功能(参照非专 利文献2)。引用文献 (非专利文献l)NetAgent株式会社的主页(对产品名"One Point Wall"的特征进行说 明的网页)、[2005年10月20日检索]、因特网^JRL : http :〃www. onepointwall, i p/>(非专利文献2)Websense公司的产品(对产品名"产品Websense Enterprise ClientPolicy Manager (CPM)，，进行介绍的网页)、[2005年10月20日检索]、 因牛寺网<http: 〃www.atmarkit.co,jp/news/200405/20/websense.html>如上所述，在对成为违法信息流通温床的通信程序或业务等中不必 要的通信程序(下面称为"不当通信程序")进行限制的情况下，可以举出利用设置于LAN和因特网之间的过滤装置进行限制的方法；以及利用自己的计算机进行限制的方法。利用过滤装置进行限制的情况下，能够监视从LAN内对因特网进行的访问，但存在如下缺点例如将也算是公司资产的笔记本拿到公司外的情况下，不能对在该笔记本中使用的不当通信程序进行限制。并且，非专利文献l中记载的方式存在如下缺点由于需要对通信内容进行分析，所以网关装置的CPU负荷增大，与外部 计算机进行通信时，出现瓶颈(neck)，导致客户端计算机的通信速度下 降等。另一方面，非专利文献2中记载的方式具有如下优点由于利用自己的计算机进行限制，所以即使计算机被拿到LAN外，也能够限制通信。 但是，在非专利文献2中记载的方法中，虽然可设定成不执行应用程序， 但也不能仅切断由该应用程序进行的通信。因此，存在不能用于希望在 不允许离线使用的应用程序等的缺点。发明内容本发明是鉴于上述情况而进行的，本发明的目的在于，提供一种不 当通信程序的限制系统及其方法，该系统及方法能够使用设置于局域网 内的服务器，进行与监视和限制处于管理下的全部计算机有关的设定， 并且能够与处于管理下的计算机的网络环境无关地进行不当通信程序的 监视和限制。本发明的不当通信程序限制系统及程序对在局域网内设置了用于管 理客户端计算机的集中管理服务器的客户端服务器系统中的不当通信程序进行限制，本发明的系统通过如下方式来实现上述目的所述集中管理服务器具有发布单元，该发布单元经由所述局域网向所述集中管理服 务器管理下的各客户端计算机发布用于确定各种不当通信程序的文件模式，所述客户端计算机具有过滤模块，该过滤模块对从该计算机产生的 通信进行监视和限制处理，所述过滤模块具备数据库，其存储从所述 集中管理服务器取得的所述文件模式；通信检测单元，其监视从借助所 述客户端计算机启动的通信模块发生的通信事件(event)，检测对其它计 算机的通信开始请求的发生情况；检查单元，其核对所述通信开始请求 的请求方通信模块的文件模式和所述数据库的文件模式，检查所述通信 模块是否是不当通信程序；以及通信限制单元，其在所述检查单元判断 为所述通信模块是不当通信程序的情况下，在执行所述通信开始请求之 前限制所述通信模块的通信。此外，所述集中管理服务器还具备设定单元，该设定单元用于设定 包括与各通信模块限制的有无有关的信息的限制规则，所述通信限制单 元将由所述设定单元指定为有限制的通信模块设为对象，进行所述通信 的限制处理，所述设定单元具有如下功能将登记有所述文件模式的所 述不当通信程序的一览表设为设定画面，将其显示到管理终端的表示部 上，将从该一览表中选择的不当通信程序设定为限制对象。由此，分别 进一步实现发明效果。另外，所述通信开始请求是对其它计算机的连接请求或数据发送请求，所述限制系统具有对所述文件模式进行统一管理的数据中心，所述 发布单元具有将从所述数据中心接收到的最新文件模式适时地发布到各客户端计算机的功能，所述过滤模块在所述不当通信程序的监视开始时， 即使在所述客户端计算机不能与所述集中管理服务器进行通信的状况 下，也仍继续进行所述不当通信程序的监视处理和限制处理，所述集中 管理服务器所具有的所述文件模式包括用于确定不是不当通信程序的通 常应用程序的文件模式，所述通信限制单元具有仅允许通过所述设定单 元指定为无限制的应用程序的通信的功能。由此，分别进一步实现发明 效果。并且，本发明的程序通过使所述客户端计算机实现如下功能来实现 接收用于确定各种不当通信程序的文件模式，同时，将其存储到数据库 中；监视从借助所述客户端计算机启动的通信模块发生的通信事件，检测对其它计算机的通信开始请求的发生情况；核对所述通信开始请求的 请求方通信模块的文件模式和所述数据库的文件模式，检查所述通信模 块是否是不当通信程序；以及在判断为所述通信模块是不当通信程序的 情况下，在执行所述通信开始请求之前，限制所述通信模块的通信。而且，使所述客户端计算机进一步实现如下功能接收登记在所述 集中管理服务器侧的、包括与各通信模块限制的有无有关的信息的限制 规则的设定信息；以及将由所述设定单元指定为有限制的通信模块设为 对象，进行所述通信的限制处理。由此，进一步实现发明效果。根据本发明，在客户端计算机内，监视由通信模块产生的通信事件， 核对由通信模块(各种通信程序)产生的通信开始请求的文件模式和预 先从集中管理服务器取得的文件模式，判断是否是不当通信程序，同时， 在其通信开始前予以限制。因此，能够发挥如下的优异效果。(1 )能够与处于管理下的计算机的网络环境无关地对不当通信程序 进行监视和限制。(2) 能够对处于集中管理服务器管理下的全部计算机进行监视和限 制处理。(3) 即使在计算机被拿到局域网外的情况下，也能够限制不当通信 程序的通信。因此，不会发生被拿到局域网外的计算机经由不当通信程 序而泄漏个人信息，或被感染病毒。(4) 无需对通信内容进行分析，所以与分析通信内容后进行判断的 方式相比，CPU的负荷减少。(5) 能够以不当通信程序为单位进行限制，所以不会给不当通信程 序以外的通信模块产生影响。(6) 能够在不当通信程序进行连接之前限制通信，所以能够将不当 防止于未然，并且能够减少局域网的无用的吞吐量。此外，通过设置对文件模式进行统一管理，并对集中管理服务器发 布最新文件模式的数据中心，从而(7)能够灵活且迅速地应对新的不当 通信程序，并且无需由管理员亲自制作文件模式，管理员的负担相应减


图1是表示本发明的不当通信程序的限制系统的整体结构的一例的 示意图。图2是表示图1中的不当通信程序监视系统10的结构例的概要框图。图3是表示本发明的不当通信程序监视系统的基本动作例的流程图。图4是表示本发明的不当通信程序的监视/限制处理的概要流程图。 图5是表示本发明的取得限制规则和文件模式时的动作例的流程图。图6是表示本发明的不当通信程序监视时的动作例的流程图。 标记说明l局域网；2因特网；3客户端计算机；10不当通信程序监视系统； ll通信模块；12过滤模块；13文件模式数据库；20集中管理服务器。
具体实施方式
下面，根据附图，详细说明本发明的实施方式。本发明特别适用于 引入到企业、公共团体、学校等的计算机网络系统，下面以将本发明应 用于客户端服务器型计算机系统的情况为例进行说明。图1是表示本发明的不当通信程序的限制系统(下面称为"不当通信限制系统")的整体结构的一例的示意图。图1中，各客户端计算机3通 常与局域网2 (下面称为"LAN")连接，经由LAN 2与因特网1连接。 LAN2内存在1台以上用于管理各利用者终端3的集中管理服务器20。 集中管理服务器20具有用于确定各种不当通信程序的文件模式信息(下 面称为"文件模式")的发布功能21a和包括限制时处理方式的限制规则的 设定功能21b，作为本发明的功能。在本实施方式中，用于使计算机实现 这些功能21a、 21b的单元为计算机程序，将该程序安装到预定的管理用 计算机上运行，从而使其作为具有文件模式的发布功能21a和限制规则的设定功能21b的集中管理服务器20动作。上述发布功能21a是经由局域网1将文件模式发布(发送)给管理 下的各客户端计算机3的功能。而且，作为发布功能21a，具有也同样地 经由局域网1将限制规则发布(发送)给各客户端计算机3的功能。在 本实施方式中，文件模式由未予图示的数据中心进行统一管理，当数据 中心发现了未能用目前为止的文件模式检测到的新型不当通信程序的情 况下，追加登记可检测该程序的模式数据，依次更新文件模式，根据来 自集中管理服务器20的请求，发送最新的文件模式，或者适时地发送给 集中管理服务器20。限制规则的设定功能21a中设定的"限制规则"规定了将哪些通信模 块设为限制对象或非限制对象、进行哪种限制处理等有关于不当通信程 序限制的规则，由与有无限制有关的信息、限制时的处理方式等设定信 息构成。该限制规则是可对每位利用者、每个组或每个系统进行设定的 信息，对于具体例将在后面叙述。另外，集中管理服务器20的数量为任意个，可以利用存在于LAN2 内的已有的管理用计算机。例如，企业可将管理员的计算机或预定的服 务器设为集中管理服务器20，学校可将各教师的计算机或预定的服务器 设为集中管理服务器20。客户端计算机3 (下面称为"利用者终端")是PC(Personal Computer: 个人计算机)或WS (Work Station:工作站)等可移动型或安置型通用 计算机或便携式电话机或PDA (Personal Digital Assistants:个人数字助 理)等的便携式信息通信设备等，可与因特网1上的网站(包含移动网 站)进行数据通信且可执行应用程序的任意的信息处理装置。在利用者终端3中运行的不当通信程序监视系统IO是构成不当通信 限制系统的主要部分的系统，在本实施方式中，是在OS (操作系统)控 制下进行动作的客户端模块，分别安装到各利用者终端3上。图2是表示图1中的不当通信程序监视系统10的结构的一例的概略 框图，不当通信程序监视系统10由通信模块11和过滤模块12构成。通 信模块11是Internet Explorer (注册商标)等web浏览器或P2P(peer-to-peer)程序等，与其它计算机进行通信的各种通信程序；过滤模 块12是具有监视并限制通信模块11中的通信处理的功能的客户端模块。过滤模块12例如具备通信检测单元，其监视从在客户端计算机3 中运行的通信模块11发生的通信事件，检测对其它计算机发出通信开始 请求的情况；检查单元，其核对通信开始请求的请求方通信模块的文件 模式和存储于文件模式数据库13的文件模式，检査上述通信模块11是 否为不当通信程序；以及通信限制单元，其在检查单元判断为上述通信 模块11是不当通信程序的情况下，在执行通信开始请求之前限制通信模 块的通信。另外，这些单元的名称是与过滤模块12所具有的功能对应起 来赋予的便于理解的名称，在以下说明中省略。在本实施方式中，过滤模块12由计算机程序构成，通过将用于处理 过滤模块12所执行的后述各步骤的程序安装到利用者终端3上来运行， 从而使计算机作为具有不当通信程序的自我监视功能和自我限制功能的 利用者终端3进行动作。下面说明上述那样的结构中本发明的不当通信限制系统的动作概要。在LAN 2内的利用者终端3中运行的过滤模块12与集中管理服务 器20进行通信，取得不当通信程序的文件模式和限制规则。在取得了这 些信息的时刻，开始进行不当通信程序的监视。监视对象的通信模块11 是例如"进行违法性高的通信(有可能侵害著作权)的通信模块"或"进行 隐秘性高的通信的通信模块"、"进行业务等中不必要的通信的通信模块"、 "进行恶意通信的通信模块"等，有可能进行不当通信的通信模块，是在 限制规则中预先设定的通信模块(例如"Winny"等P2P程序)。若过滤模块12开始不当通信程序的监视，则即使该利用者终端3被 拿到不能与集中管理服务器20进行通信的网络环境中，也能够继续进行 不当通信程序的监视处理和限制处理。运行过滤模块12的利用者终端3存在于LAN 2内的情况下，即与 LAN 2连接的期间，适时地(本例中为每隔一定时间)从集中管理服务 器20取得不当通信程序的文件模式(以及限制规则)。过滤模块12监视从借助利用者终端3启动的通信模块11发生的通信事件，检测与其它计算机的连接请求或对其它计算机的数据发送请求的发生情况，并且利用文件模式数据库13，检索请求方的通信模块11的 文件模式和不当通信程序的文件模式之间的一致性，判断请求方的通信 模块11是否为不当通信程序。而且，在判断为该通信模块11是不当通 信程序的情况下，根据限制规则中规定的处理方式，启动该限制程序。 此外，例如切断通信，并在利用者终端的画面上显示警告窗口，或发送 通知信息，经由集中管理服务器20通知管理员等，执行该限制程序。集中管理服务器20从过滤模块12接收到通知时，例如保存通知信 息(发生方的终端ID或利用者ID、不当通信程序的ID、通信目的地等 信息)，并且向管理员终端发送邮件，或在管理员登录到集中管理服务器 20上时显示消息。下面，详细说明本发明的不当通信限制系统。首先，说明不当通信程序监视系统10的结构。如图2所例示那样，不当通信程序监视系统由"通信模块ll"和"过滤 模块12"构成，作为存储通信模块ll (各通信程序)的文件模式的单元， 具有以可利用各通信程序的模式信息进行检索的方式存储从集中管理服 务器20取得的文件模式(各通信程序的模式信息群)的"文件模式数据 库13"。过滤模块12是与通信模块11成对进行动作的客户端模块，在采用 LSP (Layered Service Providers:分层服务提供者)方式的过滤模块12 中，利用TCP/IP套接字接口 (Socket interface)等有关通信控制的API (Application Program Interface:应用程序接口 )，执行本发明的不当通信 程序的监视处理和限制处理。另夕卜，LSP是可以在OSI (Open Systems Interconnection:开放系统互联)的参照模式的传输层的通信数据处理中 进行独自应用程序处理的系统驱动器。近年来，TCP/IP套接字接口等API大部分是以搭载到通用计算机的 OS提供，例如OS为Windows (注册商标)的情况下，准备具有被称之 为"Winsock"的套接字接口等API的通信控制用软件。而且，能够在开始通信之前，执行应用程序独自的处理。在本实施方式中采用如下方式 利用这种API，在用于进行通信的准备处理阶段，检测通信，执行不当通 信程序的监视处理、限制处理。在此，参照图3的流程图，说明通信模块11和过滤模块12的基本动作。图3是表示本发明的不当通信程序监视系统的基本动作例的流程 图，示出浏览器等通信模块和过滤模块成对进行动作的情况。如图3的 流程图所示，若利用者启动通信模块ll，则下载LSP方式的过滤模块12 (步骤Sll)。而且，在通信模块11开始与通信对方连接的阶段，过滤模块12检 测从通信模块11发生的连接请求(步骤S12)，根据需要进行独自的处理 之后(步骤S13)，实施连接处理，与通信对方连接(步骤S14、 S15)。 之后，如步骤S16 步骤S31所示，在发送数据、接收数据、断开连接的 时刻，过滤模块12检测这些请求消息，分别根据需要实施独自的处理(步 骤S19、 S25、 S29)之后，执行相应处理。本发明的过滤模块12在检测到连接请求或发送请求的时刻(进行通 信处理之前的时刻)，核对连接请求或发送请求(下面称为"通信开始请 求")的请求方的通信模块11的文件模式和文件模式数据库13的文件模 式，检查该通信模块ll是否是不当通信程序，并且在检测到该通信模块 ll是不当通信程序的情况下，按照上述"限制规则"进行限制处理。另外， 像本实施方式那样，作为与OS协作进行动作的通信控制软件的一部分 (例如、Winsock的LSP)，采用安装过滤模块12的结构，从而能够提供 不依赖于通信模块的过滤模块。接着，依照图4的流程图，说明本发明中的不当通信程序的监视/限 制处理的概要。各利用者终端3的通信模块11要开始与其它计算机连接或发送数据 时(步骤Sl)，在过滤模块12中，检测该通信模块11的通信开始请求(连 接请求或发送请求)的发生情况，同时，取得该通信模块(通信开始请 求的请求方的通信程序)11的文件路径(步骤S2)，检索该通信模块ll的执行文件的文件模式和文件模式数据库13内的文件模式(各通信程序的模式信息)之间的一致性(步骤S3)。而且，在检测到模式一致的情况的情况下，判断该通信模块ll是否 是限制对象(限制规则中规定的限制对象的通信程序)(步骤S4)，判断 为是限制对象的情况下，根据限制规则中设定的限制时的处理方式，限 制对其它计算机的连接或数据收发(切断通信)，并且实时地对利用者、 管理员或两者发动警告处理(例如利用画面显示的通知处理)(步骤S5)。另一方面，在步骤S3中没有检测到模式一致的情况的情况下，或者， 在步骤S4中判断为不是限制对象的情况下，允许通信开始请求，执行对 其它计算机的连接或数据收发的处理(步骤S6)。之后，在通信模块11 运行的期间，重复所述步骤S1 S6的处理。接着，示出具体例，详细说明本发明中的不当通信程序的监视/限制 处理。首先，依照图5的流程图，说明取得限制规则和文件模式时的动作例。当OS (操作系统)借助利用者终端3的电源接通等进行启动，利用 者登录时(步骤S41)，过滤模块12检测登录情况，执行与集中管理服务 器20的连接处理(步骤S42)。过滤模块12判断与集中管理服务器20 的连接是否成功(步骤S43)，在连接成功的情况下，将利用者信息作为 限制规则的取得请求消息发送到集中管理服务器20 (步骤S44)。接收到 利用者信息的集中管理服务器20根据利用者信息确定限制规则(步骤 S45)，将当前时刻最新的限制规则发送到利用者终端3 (步骤S46)。利 用者终端3的过滤模块12取得限制规则时，将该限制规则保存到存储器 等存储介质中(步骤S47)。接着，将文件模式的取得请求消息发送到集 中管理服务器20 (步骤S48)。集中管理服务器20例如检查利用者终端3 侧的版本，在不是最新版本的情况下，发送相应文件模式(步骤S49)。 利用者终端3的过滤模块12将从集中管理服务器20接收到的文件模式 保存到文件模式数据库13中(步骤S50、 S51)。之后，利用者终端3的过滤模块12适时地(本例中为相隔一定时间)将限制规则的取得请求消息和文件模式的取得请求消息发送到集中管理 服务器20，取得最新的限制规则和最新的文件模式，进行保存。另外，在步骤S43中，与集中管理服务器20的连接失败的情况下，例如将可移 动型利用者终端3拿到外部使用时等，利用者终端3不存在于LAN 2内 的情况下，使用上次取得的限制规则、文件模式。接着，示出具体例，说明限制规则中设定的内容。限制规则可针对每位利用者(或每个组、每个系统)进行设定，例 如管理员从管理终端(预定的通信终端)登录到集中管理服务器20，将 与有无限制有关的信息作为限制规则设定。在集中管理服务器20中，作 为限制规则的设定功能，具有如下功能将通信模块ll (各种通信程序) 的一览表作为设定画面显示到管理终端(管理员用终端)的显示部上， 将从该一览表之中选择的对象设定为限制对象。该情况下，在优选的实施方式中，作为一览表显示的通信模块ll是 文件模式数据库13中登记有文件模式的通信模块11，例如是包括隐秘性 高的文件交换(共享)软件的一种即包括"Winny"、 "WinMX"、 "Shareaza" 等P2P程序的不当通信程序的候补群。管理员从这些不当通信程序的候 补群中选择限制对象进行指定时，该信息被设定为限制规则的要素，作 为该利用者(或组、系统)的限制规则进行存储。另外，如上所述，除了 (a)以登记有文件模式的通信模块为单位， 将指定的通信模块设为限制对象的方式之外，还可以釆用对TCP/IP级别 上的通信内容进行分析，执行如下处理的方式。(b) 仅允许指定应用程序的通信的方式该方式的情况下，可设为如下处理方式例如通过利用者终端的过 滤模块12，切断允许对象的应用程序以外的全部应用程序的通信，仅允 许指定的应用程序(例如有名浏览器)的通信。(c) 仅允许(或限制)使用指定应用程序所指定的端口号码进行通信的方式该方式的情况下，可设为如下处理方式通过利用者终端的过滤模 块12，将使用了所指定的端口号码以外的端口进行的通信全部切断(或允许)。此外，例如可以仅允许浏览器(InternetExploter (注册商标)等) 上的HTTP (Hypertext Transfer Protocol:超文本传输协议)/HTTPS (Hyper text Transfer Protocol Security:安全超文本传输协议)，限制其它FTP (File Transfer protocol:文件传输协议)连接等。(d)在指定的TCP (Transmission Control Protocol:传输控制协议)、 UDP (User Datagram protocol:用户数据报协议)级别允许(或限制)的 方式该方式的情况下，能够限制连接目的地，所以在指定了特定应用程 序的基础上，可以将对管理员所指定的IP地址之外的通信切断。并且，作为限制规则，还可以设定"报警方式"。作为报警方式，例 如包括在检测到不当通信程序的通信的情况下，(bl)以电子邮件通知管 理员的方式(经由集中管理服务器向管理员发送报警邮件的方式)、(b2) 在管理画面上显示消息来通知管理员的方式(在登录到集中管理服务器 后的画面上进行显示的方式)、(b3)显示警告画面来通知利用者的方式 (在利用者终端3的显示器上显示警告窗口的方式)等多种报警方式。管理员通过从上述多个报警方式之中选择一个或多个方式，来指定 在检测到利用不当通信程序进行的通信时，以哪种通知方式通知谁(仅 通知访问方的利用者、通知利用者和管理员、仅通知管理员)。接着，参照图6的流程图，详细说明本发明的不当通信程序监视时 的动作例。另外，在此，以利用不当通信程序连接通信对方时的动作为 例进行说明，但生成其它通信开始请求(例如数据发送请求)时的动作 也相同。在利用者终端中，启动了通信模块ll (本例中为不当通信程序)之 后(步骤S61)，执行用于由不当通信程序进行通信的准备处理时(步骤 S62)，在执行该不当通信程序的通信之前，下载过滤模块12。另外，在 此，不限于不当通信程序，进行通信的全部程序均成为对象，若通信模 块11启动，则下载过滤模块12 (步骤S63)。而且，当不当通信程序要开始连接通信对方时(步骤S64)，过滤模 块12检测其连接请求。另外，通信模块11被下载1次时，若在该通信模块ll中发生任何事件，则能够检测到该事件(步骤S65)。检测到对通信对方的连接请求的过滤模块12取得下载方(连接请求 方)的不当通信程序的文件路径，读取执行文件(步骤S66)。并且，利 用存储有预先从集中管理服务器取得的文件模式的文件模式数据库13， 检索连接请求方的不当通信程序的文件模式和存储于文件模式数据库13 内的各不当通信程序的模式之间的一致性。另外，核对的文件模式是不 当通信程序的执行文件的二进制模式的一部分或整体模式，根据不当通 信程序的种类设定。例如，执行文件内的第1比特串的模式和第2比特 串的模式双方一致时，即使其它内容不一致，也要看作是不当通信程序 (例如WinMX)的情况下，第1和第2比特串之外的位置(不进行一致 性检索的信息)被特意留空，进行模式匹配处理(步骤S67)。而且，通过上述步骤S67的检索处理判断是否存在文件模式一致的 程序(步骤S68)，存在一致的程序时，判断该文件模式的不当通信程序 是否作为限制对象设定在限制规则中，若为限制对象，则依照限制规则 的规定进行相应限制处理。本例中，不接受连接请求，不执行与通信对 方的连接处理(步骤S69)。而且，结束该通信开始请求的处理，继续进 行通信的监视处理。另一方面，在步骤S68中，不存在文件模式一致的 程序，判断为不是不当通信程序的情况下，执行该通信幵始请求(本例 中连接请求)(步骤S70)，继续进行通信的监视处理。另外，在步骤S69 中，进行限制处理，同时，判断限制规则中是否设定了报警方式，设定 有报警方式的情况下，根据报警方式，执行对利用者、管理员或两者的 通知处理。另外，在上述实施方式中，以将集中管理服务器设置在局域网内的 情况为例进行了说明，但也可以采用设置在因特网上的方式。并且，过 滤模块是以由计算机程序构成的情况为例进行了说明，但也可以采用硬 件构成处理过滤模块所具有的各步骤的单元的一部分。产业上的可利用性本发明优选适用于引入到企业、公共团体、学校等的计算机网络系 统。并且，在处于父母顾及不到的家庭环境中的普通家庭中也能有效活用。此外，例如能够防止用户利用提供音乐、电影等内容的网站，将下 载到计算机的存储介质中的内容转送到其它计算机，能够适用于防止恶 意行为或犯罪的系统、信息处理装置、或程序。
权利要求
1.一种不当通信程序的限制系统，该限制系统对在局域网内设置了用于管理客户端计算机的集中管理服务器的客户端服务器系统中的不当通信程序进行限制，该不当通信程序的限制系统的特征在于，所述集中管理服务器具有发布单元，该发布单元经由所述局域网向所述集中管理服务器管理下的各客户端计算机发布用于确定各种不当通信程序的文件模式，所述客户端计算机具有过滤模块，该过滤模块对从该计算机产生的通信进行监视和限制处理，所述过滤模块具备数据库，其存储从所述集中管理服务器取得的所述文件模式；通信检测单元，其监视从借助所述客户端计算机启动的通信模块发生的通信事件，检测对其它计算机的通信开始请求的发生情况；检查单元，其核对所述通信开始请求的请求方通信模块的文件模式和所述数据库的文件模式，检查所述通信模块是否是不当通信程序；以及通信限制单元，其在所述检查单元判断为所述通信模块是不当通信程序的情况下，在执行所述通信开始请求之前限制所述通信模块的通信。
2. 根据权利要求1所述的不当通信程序的限制系统，其特征在于， 所述集中管理服务器还具备设定单元，该设定单元用于设定包括与各通信模块限制的有无有关的信息的限制规则，所述通信限制单元将由所述设定单元指定为有限制的通信模块设为 对象，进行所述通信的限制处理。
3. 根据权利要求2所述的不当通信程序的限制系统，其特征在于，所述设定单元具有如下功能将登记有所述文件模式的所述不当通信程 序的一览表设为设定画面，将其显示到管理终端的表示部上，将从该一 览表中选择的不当通信程序设定为限制对象。
4. 根据权利要求1所述的不当通信程序的限制系统，其特征在于， 所述通信开始请求是对其它计算机的连接请求或数据发送请求。
5. 根据权利要求1所述的不当通信程序的限制系统，其特征在于，所述限制系统具有对所述文件模式进行统一管理的数据中心， 所述发布单元具有将从所述数据中心接收到的最新文件模式适时地 发布到各客户端计算机的功能。
6. 根据权利要求1所述的不当通信程序的限制系统，其特征在于， 所述过滤模块在所述不当通信程序的监视开始时，即使在所述客户端计 算机不能与所述集中管理服务器进行通信的状况下，也仍继续进行所述 不当通信程序的监视处理和限制处理。
7. 根据权利要求2所述的不当通信程序的限制系统，其特征在于， 所述集中管理服务器所具有的所述文件模式包括用于确定不是不当通信 程序的通常应用程序的文件模式，所述通信限制单元具有仅允许通过所 述设定单元指定为无限制的应用程序的通信的功能。
8. —种不当通信程序的限制处理程序，该限制处理程序对在局域网 内设置了用于管理客户端计算机的集中管理服务器的客户端服务器系统 中的不当通信程序进行限制处理，所述限制处理程序使所述客户端计算机实现如下功能接收用于确定各种不当通信程序的文件模式，同时，将其存储到数据库中；监视从借助所述客户端计算机启动的通信模块发生的通信事件， 检测对其它计算机的通信开始请求的发生情况；核对所述通信开始请求的请求方通信程序的文件模式和所述数据库的文件模式，检查所述通信模块是否是不当通信程序；以及在判断为所述通信模块是不当通信程序 的情况下，在执行所述通信开始请求之前，限制所述通信模块的通信。
9. 根据权利要求8所述的不当通信程序的限制处理程序，其中，使 所述客户端计算机进一步实现如下功能接收登记在所述集中管理服务器侧的、包括与各通信模块限制的有无有关的信息的限制规则的设定信 息；以及将由所述设定单元指定为有限制的通信模块设为对象，进行所 述通信的限制处理。
全文摘要
本发明提供一种能够与处于管理下的计算机的网络环境无关地进行不当通信程序的监视和限制的不当通信程序的限制系统及其程序。对各计算机进行管理的服务器具有发布用于确定不当通信程序的文件模式的单元，所述计算机具有对从该计算机产生的通信进行监视/限制处理的过滤模块，所述过滤模块具备数据库，其存储从所述服务器取得的文件模式；检测单元，其监视从借助所述计算机启动的通信模块的通信，检测对其它计算机的通信开始请求的发生情况；检查单元，其核对所述通信模块的文件模式和所述数据库的文件模式，检查所述通信模块是否是不当通信程序；以及限制单元，其在所述检查单元判断为所述通信模块是不当通信程序的情况下，限制所述通信模块的通信。
文档编号G06F21/20GK101326529SQ20058005229
公开日2008年12月17日 申请日期2005年12月15日 优先权日2005年12月15日
发明者冈本启一, 苗木龙 申请人:网星株式会社