JP2003241989A - コンピュータウイルス発生検出装置、方法、およびプログラム - Google Patents

コンピュータウイルス発生検出装置、方法、およびプログラム

Info

Publication number
JP2003241989A
JP2003241989A JP2002039087A JP2002039087A JP2003241989A JP 2003241989 A JP2003241989 A JP 2003241989A JP 2002039087 A JP2002039087 A JP 2002039087A JP 2002039087 A JP2002039087 A JP 2002039087A JP 2003241989 A JP2003241989 A JP 2003241989A
Authority
JP
Japan
Prior art keywords
computer
computer virus
outbreak
collecting
virus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002039087A
Other languages
English (en)
Other versions
JP4088082B2 (ja
Inventor
Toshinari Takahashi
俊成 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002039087A priority Critical patent/JP4088082B2/ja
Priority to US10/366,568 priority patent/US7334264B2/en
Publication of JP2003241989A publication Critical patent/JP2003241989A/ja
Priority to US11/812,602 priority patent/US7512982B2/en
Priority to US11/812,607 priority patent/US7437761B2/en
Application granted granted Critical
Publication of JP4088082B2 publication Critical patent/JP4088082B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】ネットワーク上でのコンピュータウイルスの発
生を早期に検出し、セキュリティ保護の対象となるコン
ピュータネットワーク又はコンピュータシステムへのコ
ンピュータウイルスの感染被害を未然に防止できるコン
ピュータウイルス発生検出装置、方法、およびプログラ
ムを提供すること 【解決手段】コンピュータウイルス発生検出装置3はイ
ンターネット1上にコンピュータウイルスが発生したか
否かを、同コンピュータウイルスを不特定のまま早期に
検出する。すなわち、種別やその仕組み等が明らかとな
ってワクチン等の対策データが提供される以前の状態、
つまり未知コンピュータウイルスの状態でその発生を検
出する。かかる検出のために、コンピュータウイルスの
発生の可能性を示す特異データを収集するよう構成され
る。特異データとは、通常は使用されない例外ポートを
使用したTCP/IP通信が行われたこと、異常なTC
P/IP通信が行われたことによる不完全なパケットの
発生、通信量の異常な増加、エラー量の異常な増加等を
示すデータから構成される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はコンピュータシステ
ムのセキュリティに関し、コンピュータネットワーク上
におけるコンピュータウイルスの発生を早期に検出する
コンピュータウイルス検出装置、方法、およびプログラ
ムに関する。
【0002】
【従来の技術】近年、コンピュータシステムあるいは個
々のハードウエアやソフトウエアを、災害や故障、不正
な侵入やコンピュータウイルスなどによる破壊、改変か
ら守るためのセキュリティ技術が注目を集めている。特
に、インターネットやイントラネットの急速な普及に応
じて、ネットワーク上でのセキュリティが重要視されて
いる。
【0003】従来、コンピュータウイルスの混入を防ぐ
ためには、例えばトレンドマイクロ社提供のウイルスバ
スター等のいわゆるフィルタリングソフトを利用した対
策を講じるのが主流である。このフィルタリングソフト
では、ワクチンなどと呼ばれる対策データによりコンピ
ュータウイルスを検出し、これを駆除するようにしてい
る。
【0004】また、マイクロソフト社のWindows
(R)といったオペレーティングシステム(OS)のセ
キュリティホールをついて被害をもたらす類のコンピュ
ータウイルスに対しては、セキュリティホールを埋める
よう手当する修正プログラムを適用し、コンピュータウ
イルスの被害を防止することも行われている。
【0005】しかしながら、これら従来のコンピュータ
ウイルス対策はいずれもコンピュータウイルスが発見、
特定された後に行われるのであり、新しい(未知の)コ
ンピュータウイルス被害に対して常に後手に回るもので
ある。これは、コンピュータウイルスの発生からその対
策までの期間に相当するタイムラグが生じることを意味
する。このため、ワクチンや修正プログラムなどの対策
データが配布される前の数時間に急速にコンピュータウ
イルスが蔓延し、多大な被害をもたらすという問題があ
る。
【0006】
【発明が解決しようとする課題】いわゆる社内ネットワ
ークなど、ファイアウォールを備えたイントラネット内
部へのコンピュータウイルス感染はコンピュータウイル
スを含んだ電子メールの受信や、社外ホームページへの
アクセスなどといった人間系を起点として発生する。こ
のため、インターネット上でのコンピュータウイルス発
生よりも1〜10時間程遅れを生じるのが普通である。
また、ほとんどのコンピュータウイルスはhttpなど
のTCP/IP通信を通じて他のコンピュータシステム
に順次感染するとされている。
【0007】本発明はかかる事情を考慮してなされたも
のであり、ネットワーク上でのコンピュータウイルスの
発生を早期に検出し、セキュリティ保護の対象となるコ
ンピュータネットワーク又はコンピュータシステムへの
コンピュータウイルスの感染被害を未然に防止できるコ
ンピュータウイルス発生検出装置、方法、およびプログ
ラムを提供することを目的とする。
【0008】
【課題を解決するための手段】本発明に係る第1のコン
ピュータウイルス発生検出装置は、コンピュータネット
ワーク上におけるコンピュータウイルスの発生の可能性
を示す特異データを収集する収集手段と、前記収集手段
により収集された特異データに基づいて、前記コンピュ
ータウイルスの発生の有無を判定するコンピュータウイ
ルス発生判定手段と、を具備することを特徴とするコン
ピュータウイルス発生検出装置である。
【0009】本発明に係る第2のコンピュータウイルス
発生検出装置は、コンピュータウイルスが発生し得るコ
ンピュータネットワークと、セキュリティ保護の対象と
なるコンピュータネットワーク又はコンピュータシステ
ムとの間に接続されるサーバ装置に付帯のコンピュータ
ウイルス発生検出装置であって、前記サーバ装置を攻撃
対象とするコンピュータウイルスの発生の可能性を示す
特異データを収集する収集手段と、前記収集手段により
収集された特異データに基づいて、前記コンピュータウ
イルスの発生の有無を判定するコンピュータウイルス発
生判定手段と、前記コンピュータウイルス発生判定手段
により判定されたコンピュータウイルスの発生を前記セ
キュリティ保護の対象となるコンピュータネットワーク
又はコンピュータシステムに通知する通知手段と、を具
備することを特徴とするコンピュータウイルス発生検出
装置である。
【0010】本発明に係る第1のコンピュータウイルス
発生検出方法は、コンピュータネットワーク上における
コンピュータウイルスの発生の可能性を示す特異データ
を収集する収集ステップと、前記収集ステップにおいて
収集された特異データに基づいて、前記コンピュータウ
イルスの発生の有無を判定するコンピュータウイルス発
生判定ステップと、を具備することを特徴とするコンピ
ュータウイルス発生検出方法である。
【0011】本発明に係る第2のコンピュータウイルス
発生検出方法は、コンピュータウイルスが発生し得るコ
ンピュータネットワークと、セキュリティ保護の対象と
なるコンピュータネットワーク又はコンピュータシステ
ムとの間に接続されるサーバ装置におけるコンピュータ
ウイルスの発生を検出するコンピュータウイルス発生検
出方法であって、前記サーバ装置を攻撃対象とするコン
ピュータウイルスの発生の可能性を示す特異データを収
集する収集ステップと、前記収集ステップにおいて収集
された特異データに基づいて、前記コンピュータウイル
スの発生の有無を判定するコンピュータウイルス発生判
定ステップと、前記コンピュータウイルス発生判定ステ
ップにおいて判定されたコンピュータウイルスの発生を
前記セキュリティ保護の対象となるコンピュータネット
ワーク又はコンピュータシステムに通知する通知ステッ
プと、を具備することを特徴とするコンピュータウイル
ス発生検出方法である。
【0012】本発明に係る第1のコンピュータウイルス
発生検出プログラムは、コンピュータネットワーク上に
おけるコンピュータウイルスの発生の可能性を示す特異
データを収集する収集ステップと、前記収集ステップに
おいて収集された特異データに基づいて、前記コンピュ
ータウイルスの発生の有無を判定するコンピュータウイ
ルス発生判定ステップと、をコンピュータに実行させる
コンピュータウイルス発生検出プログラムである。
【0013】本発明に係る第2のコンピュータウイルス
発生検出プログラムは、コンピュータウイルスが発生し
得るコンピュータネットワークと、セキュリティ保護の
対象となるコンピュータネットワーク又はコンピュータ
システムとの間に接続されるサーバ装置におけるコンピ
ュータウイルスの発生を検出するウイルス発生検出プロ
グラムであって、前記サーバ装置を攻撃対象とするコン
ピュータウイルスの発生の可能性を示す特異データを収
集する収集ステップと、前記収集ステップにおいて収集
された特異データに基づいて、前記コンピュータウイル
スの発生の有無を判定するコンピュータウイルス発生判
定ステップと、前記コンピュータウイルス発生判定ステ
ップにおいて判定されたコンピュータウイルスの発生を
前記セキュリティ保護の対象となるコンピュータネット
ワーク又はコンピュータシステムに通知する通知ステッ
プと、をコンピュータに実行させるコンピュータウイル
ス発生検出プログラムである。
【0014】
【発明の実施の形態】以下、図面を参照しながら本発明
の実施形態を説明する。
【0015】(第1実施形態)図1は、本発明の第1実
施形態に係るコンピュータウイルス発生検出装置の概略
構成を示すブロック図である。図1に示すように、イン
ターネット1に対して本発明に係るコンピュータウイル
ス発生検出装置3が接続されている。また、WWWサー
バ5はファイアウォール4を介してインターネット1に
接続されており、社内イントラネット2はファイアウォ
ール6を介してインターネット1に接続されている。フ
ァイアウォール4及び6は、ともに不正なパケットをフ
ィルタリング等するものであり、セキュリティ保護の観
点から設けられているが、本発明に必須の構成要素では
ない。また図から明らかなようにWWWサーバ5はファ
イアウォール6を介して社内イントラネット2の外側、
すなわちインターネット1側に設けられている。このW
WWサーバ5は、同サーバ5に対してなされたアクセス
の経過記録(ログ)を保存するアクセスログ保存部8
と、このアクセスログ保存部8に保存されているログを
参照し、同サーバ5へのアクセスに関して発生したエラ
ーを検出するエラー検出部7を備えている。
【0016】コンピュータウイルス発生検出装置3は、
インターネット1上におけるコンピュータウイルスの発
生の可能性を示す特異データを収集する手段として、例
外ポート通信検出部31、不完パケット検出部32、通
信量測定部33、およびエラー量測定部36を備えてい
る。また、これら検出部31,32及び測定部33,3
6から得られた特異データに基づいて、コンピュータウ
イルス発生の有無を総合的に判定するコンピュータウイ
ルス発生判定部34と、該コンピュータウイルス発生判
定部34による判定結果に基づく異常発生通知を外部に
報知するための異常発生通知送信部35を備えている。
この異常発生通知送信部35は、ネットワーク停止判定
/司令部9と通信するよう構成されており、ネットワー
ク停止判定/司令部9は社内イントラネット2に作用
し、社内イントラネット2のインターネット1への接続
を遮断(ネットワーク停止)したりする。なお、異常発
生通知送信部35を設ける構成とせずに、例えばネット
ワーク管理者に対して、コンピュータウイルス発生判定
部34により得られた判定結果をディスプレイ等により
表示出力するよう構成してもよい。
【0017】このようなコンピュータウイルス発生検出
装置3は、各種コンピュータ上で動作するソフトウェア
として実現可能である。
【0018】本明細書でいう「コンピュータウイルス」
とは、記憶媒体や通信媒体等を通じて伝達し得るプログ
ラム、データ、或いはその組み合わせからなる電子的な
情報であって、その情報の受信者が通常想定しない内容
または形式のものである。例えば、悪意をもって情報の
受信者のコンピュータの動作を異常とする目的の情報が
典型的であるが、必ずしも悪意が無くとも不本意に作成
されたりまたは不本意な使用法をするなどして想定外の
ふるまいが起こるもの全てを含む。また、伝達形態や媒
体に関して特に制約は無く、記憶媒体に存在したり、フ
ァイルの共有や電子メールによる送信により伝達した
り、通常「ワーム」と呼ばれるインターネットを介して
増殖する形式のものなど、さまざまな形態が考えられ
る。また、伝達される個々の情報そのものは通常想定さ
れるものであるが、その組み合わせや伝達の順番、速度
等によって同様の効果を生じるものも全体としてコンピ
ュータウイルスと呼ぶことにする。
【0019】本実施形態のコンピュータウイルス発生検
出装置3は、このようなコンピュータウイルスがインタ
ーネット1上に発生したか否かを、同コンピュータウイ
ルスを不特定のまま早期に検出するのであり、すなわ
ち、種別やその仕組み等が明らかとなってワクチン等の
対策データが提供される以前の状態、つまり未知コンピ
ュータウイルスの状態でその発生を検出する。かかる検
出のために、コンピュータウイルスの発生の可能性を示
す特異データを収集するよう構成されている。ここでい
う特異データとは、通常は使用されない例外ポートを使
用したTCP/IP通信が行われたこと、異常なTCP
/IP通信が行われたことによる不完全なパケットの発
生、通信量の異常な増加、エラー量の異常な増加等を示
すデータである。
【0020】図2は本実施形態に係るコンピュータウイ
ルス発生検出装置の概略動作を示すフローチャートであ
る。
【0021】先ずステップS1においてコンピュータウ
イルス発生検出装置3のインターネット1への接続処理
が行われる。インターネット1への接続ののち、エラー
量の測定(ステップS2)、例外ポート通信の検出(ス
テップS3)、不完パケットの検出(ステップS4)、
および通信量の測定(ステップS5)が行われる。な
お、図2においては、ステップS2〜S5の処理が並列
に実行されるものとして示してあるが、これらを任意の
順番で逐次に実行してもよい。
【0022】これらステップS2〜S5の処理において
コンピュータウイルスの発生の可能性を示す特異データ
が収集され、コンピュータウイルス発生判定部34に送
られる。ステップS6において、コンピュータウイルス
発生判定部34は、ステップS2〜S5のそれぞれから
得られた特異データを元に総合的な判定を行って、未知
コンピュータウイルス発生の有無を判定する。ここでの
処理は、例えば、測定されたエラー量や通信量を所定の
しきい値と比較する処理や、統計学的な処理、ヒューリ
スティックな処理を含む。
【0023】次に、ステップS7に示すように、コンピ
ュータウイルスが発生したものと判定された場合はステ
ップS8に移行する。そうでない場合はステップS2〜
S5の処理に戻る。
【0024】ステップS8においては、未知コンピュー
タウイルスが発生した旨の異常発生通知を異常発生通知
送信部35がネットワーク停止判定/司令部9に対して
送信する。
【0025】ここで、ステップS2におけるエラー量測
定に基づくコンピュータウイルス発生判定の流れを図3
のフローチャート及び図4乃至図7を参照して説明す
る。
【0026】先ずコンピュータウイルス発生検出装置3
のエラー量測定部36は、WWWサーバ5にアクセスす
る(ステップS11)。コンピュータウイルスが発生し
た時点では、未だ社内イントラネット2は同コンピュー
タウイルスに感染していない。なぜなら、コンピュータ
ウイルスのほとんどは社外イントラネット2の外部(特
に海外)から発生し、最初にまず「.com」ドメイン
など在処がはっきりわかっているWWWサーバ5が狙わ
れる。その後に、じわじわと他のサーバにコンピュータ
ウイルスが蔓延し、コンピュータウイルスに感染したW
WWサーバ5にユーザがブラウザ等でアクセスすること
により社内イントラネット2が感染するという感染経路
となるからである。これをコンピュータウイルス防御の
観点から見れば、コンピュータウイルスの発生を最先で
発見できるのは最初に狙われるWWWサーバ5であると
いうことができる。
【0027】エラー量測定部36は、WWWサーバ5の
エラー検出部7を通じて、アクセスログ保存部8に保存
されているアクセスログのうち、エラーが生じたログを
要求する。そしてエラー量測定部36はエラー検出部7
から取得したエラーログを解析する(ステップS1
3)。
【0028】図4に、通常のアクセスが行われた場合の
アクセスログ40を一例として示す。また、図5は、タ
イプミスによるエラーが生じた場合のアクセスログ50
を一例として示す。
【0029】これらは、ユーザがブラウザなどで「htt
p://ホスト/cool/vmware/FAQ.html」というURLのW
ebページにアクセスした場合のログである。図4に示
す41の内容は正しいURLであるが、図5の51に示
すようにユーザがタイプミスなどすると、当該WWWサ
ーバ5においては、50のようなエラーログが記録され
ることになる。これは、当該WWWサーバ5においてエ
ラーとして処理されるのであるが、特にコンピュータウ
イルスを疑う余地はない。
【0030】一方、図6は異質なアクセスが行われた場
合のアクセスログの一例を示す図である。近頃問題とな
った「Nimda」のようなコンピュータウイルスの場
合、WWWサーバ5のセキュリティホールを狙って図6
の60に示すような異質なアクセスがなされ、エラーロ
グとして記録される。
【0031】これは、図6における61及び62からな
る非常に長い文字列を含んだURLを送ることにより、
任意のプログラム(文字列62)をスタックに積んで、
これを管理者権限(root権限)で実行させることを
目的としており、一般に「アタック(攻撃)」と呼ばれ
ている。アタックは、人間によるコマンド入力操作によ
り行われたり、或いはプログラムにより自動的に行われ
たりする。
【0032】図6のような長大なURLが指定されたア
クセスは、ステップS14において異質なアクセスであ
る旨判定される(ステップS14)。これは、URLの
文字列長を検査することで容易に判定される。
【0033】図7は異質なアクセスが行われた場合のア
クセスログの他の例を示す図である。これは、Wind
ows(R)オペレーティングシステム上で「c:¥w
innnt¥system32¥cmd.exe」を起
動し、任意のプログラムを実行しようと試みるものであ
る(文字列71で示される部分)。これもエラーログ7
0として記録される。この種のエラーログ70は、一見
して「アタックである」ことが判断できないと考えられ
るが、明らかにユーザのタイプミスとは区別可能であ
る。
【0034】コンピュータウイルス発生時には、一時的
に、図6或いは図7のようなエラーが急増する。そこで
ステップS15においては単位時間あたりのエラーの異
常増をエラー量測定部36により測定し、かかる測定結
果をコンピュータウイルス発生判定部34による判定処
理に供する。
【0035】なお、図3においてはステップS14にお
いて異質なアクセスである旨判定された場合に速やかに
ステップS16におけるコンピュータウイルス発生有無
の判定に移行しているが、ステップS16に移行する前
にエラー量の異常増を判定してもよい。あるいは、図6
及び図7に示したような異質なアクセスであるか否かを
判定せず、単にエラーの異常増のみを判定することによ
っても検出能を得ることはできる。
【0036】コンピュータウイルス発生判定部34は、
エラー量測定部36により測定されたエラーの異常増を
示す特異データを元に、これを所定の閾値と比較するな
どしてコンピュータウイルスの発生有無を判定する。な
お、この場合の閾値を、ユーザが任意に設定変更できる
ようユーザインターフェースを設けることが好ましい。
【0037】コンピュータウイルス発生判定部34によ
りコンピュータウイルスが発生した旨の判定が下される
と、この情報は異常発生通知送信部35に送られる。異
常発生通知送信部35は、ネットワーク停止判定/司令
部9との通信を確立し、コンピュータウイルス発生の旨
を示す異常発生通知を送信する。この異常発生通知を受
けたネットワーク停止判定/司令部9は、例えば図8に
示すような切断位置でインターネット1との接続を遮断
する。
【0038】このような本実施形態によれば、社内イン
トラネット2からファイアウォール4,6を介した外側
のインターネット1上において、コンピュータウイルス
の発生をコンピュータウイルス発生検出装置3によって
検出することができ、該コンピュータウイルスの発生を
検出した時点で、社内イントラネット2が未感染である
ことを十分に期待できるようになる。そして、当該コン
ピュータウイルスに関する詳細情報や対策情報が明らか
となるまでの期間、必要に応じて社内イントラネット2
を停止させたり、WWWなど一部のサービスを停止させ
ることができるようになる。特に、本実施形態によれば
既知のコンピュータウイルスのみならず未知のコンピュ
ータウイルスをもその発生をほぼ完全に検出できるよう
になる。これは、セキュリティ対策上極めて効果的であ
り、コンピュータウイルス感染が蔓延して被害が急速に
拡大する前に適切な対策を講じることができるようにな
る。具体的にいうと、コンピュータウイルスは米国時間
の昼間に広がることが多いのであるが、日本時間の夜
間、つまり従業員の出社前に対策を講じることができる
ようになる。
【0039】尚、未知コンピュータウイルスの発生が検
出された場合、これが危険なコンピュータウイルスであ
るか否かについて最終的に人間が判断を下すよう構成す
ることが好ましい。これは、コンピュータウイルス発生
判定部34や異常発生通知送信部35がシステム管理者
等の操作介入を受け付けるよう構成することで実現でき
る。一方、このような人間による判断を行わず、ネット
ワーク停止判定/司令部9が自動的にネットワークの停
止を行うことは、社内イントラネット2の運用上、支障
を来すことも考えられるが、それでも、攻撃にさらされ
たままにするよりは良いと考えられる。特に、夜間は無
条件に社内イントラネット2を停止させることが好まし
い。
【0040】(第2実施形態)上記第1実施形態は、コ
ンピュータウイルス発生検出装置3を、ファイアウォー
ル6を介して社内イントラネット2の外側に設けるもの
であった。一方、本発明の第2実施形態は、コンピュー
タウイルス発生検出装置3を社内イントラネット2の内
部に設ける構成としたものである。図9はこのような本
発明の第2実施形態を示す概略構成図である。
【0041】コンピュータウイルス発生検出装置3の内
部構成は、上記第1実施形態にて説明したものとほぼ同
様であるが、本実施形態の場合、アタック検出の対象と
するサーバをWWWサーバ5ではなく、図示しない社内
イントラネット2内部のサーバとすることができる。こ
のほか、例外ポート通信検出、不完パケット検出、通信
量測定についても、社内イントラネット2内を検出又は
測定対象とすることができる。このような第2実施形態
の場合、社内におけるコンピュータウイルス被害への対
策を第1実施形態と同様に早期に行うことができるよう
になる。また、コンピュータウイルスの発生が社内イン
トラネット2の外部からのものであることが判明した場
合、図9に示すように外部との接続を遮断することもで
きるようになる。
【0042】また、本実施形態においては、コンピュー
タウイルス発生検出装置3と協働する駆除対策部80が
設けられている。この駆除対策部80は、既知コンピュ
ータウイルスを駆除するための対策データとして、例え
ばパターンファイルやセキュリティホールを手当する修
正プログラム等を社内イントラネット2内のクライアン
トマシンに配布するものである。なお、このような駆除
対策部80は、上記第1実施形態の構成に付加されても
よいことは勿論である。
【0043】このような本発明の第2実施形態によって
も第1実施形態と同様の作用効果を得ることができる。
なお、アタック検出の対象とするサーバを、社内のもの
のみならず、社外のサーバ(例えばWWWサーバ5)を
含め複数台とすれば、コンピュータウイルスの検出性能
をさらに高めることができるようになる。
【0044】なお、本発明は上述した実施形態に限定さ
れず種々変形して実施可能である。例えば、ファイル感
染型、マクロ感染等の既知コンピュータウイルスの検出
及び対策を本発明の実施と併用することで、セキュリテ
ィ対策をより強固なものとすることが好ましい。
【0045】
【発明の効果】以上説明したように、本発明によれば、
ネットワーク上でのコンピュータウイルスの発生を早期
に検出し、セキュリティ保護の対象となるコンピュータ
ネットワーク又はコンピュータシステムへのコンピュー
タウイルスの感染被害を未然に防止できるコンピュータ
ウイルス発生検出装置、方法、およびプログラムを提供
できる。
【図面の簡単な説明】
【図1】本発明の第1実施形態に係るコンピュータウイ
ルス発生検出装置の概略構成を示すブロック図。
【図2】上記実施形態に係るコンピュータウイルス発生
検出装置の概略動作を示すフローチャート
【図3】上記実施形態に係るエラー量測定に基づくコン
ピュータウイルス発生判定の流れを示すフローチャート
【図4】上記実施形態に係るエラー量測定に基づくコン
ピュータウイルス発生判定を説明するための図であっ
て、通常のアクセスが行われた場合のアクセスログの一
例を示す図
【図5】上記実施形態に係るエラー量測定に基づくコン
ピュータウイルス発生判定を説明するための図であっ
て、タイプミスによるエラーが生じた場合のアクセスロ
グの一例を示す図
【図6】上記実施形態に係るエラー量測定に基づくコン
ピュータウイルス発生判定を説明するための図であっ
て、異質なアクセスが行われた場合のアクセスログの一
例を示す図
【図7】 上記実施形態に係るエラー量測定に基づくコ
ンピュータウイルス発生判定を説明するための図であっ
て、異質なアクセスが行われた場合のアクセスログの一
例を示す図
【図8】 上記実施形態に係るコンピュータウイルス発
生時における対策処理を説明するための図であって、ネ
ットワークの切断位置を示す図
【図9】 本発明の第2実施形態に係る概略構成図
【符号の説明】
1…インターネット 2…社内イントラネット 3…コンピュータウイルス発生検出装置 4,6…ファイアウォール 5…WWWサーバ 7…エラー検出部 8…アクセスログ保存部 9…ネットワーク停止判定/司令部 31…例外ポート通信検出部 32…不完パケット検出部 33…通信量測定部 34…コンピュータウイルス発生判定部 35…異常発生通知送信部 36…エラー量測定部

Claims (12)

    【特許請求の範囲】
  1. 【請求項1】 コンピュータネットワーク上におけるコ
    ンピュータウイルスの発生の可能性を示す特異データを
    収集する収集手段と、 前記収集手段により収集された特異データに基づいて、
    前記コンピュータウイルスの発生の有無を判定するコン
    ピュータウイルス発生判定手段と、を具備することを特
    徴とするコンピュータウイルス発生検出装置。
  2. 【請求項2】 前記収集手段は、通常は使用しないポー
    トを指定したネットワーク通信の発生有無を、前記特異
    データとして検出する例外ポート通信検出手段を具備す
    ることを特徴とする請求項1に記載のコンピュータウイ
    ルス発生検出装置。
  3. 【請求項3】 前記収集手段は、所定の通信プロトコル
    に従うパケット通信処理における通常とは異なる処理の
    発生を前記特異データとして検出する例外ポート通信検
    出手段を具備することを特徴とする請求項1に記載のコ
    ンピュータウイルス発生検出装置。
  4. 【請求項4】 前記収集手段は、前記コンピュータネッ
    トワークにおける通信量の異常増加を前記特異データと
    して検出する通信量測定手段を具備することを特徴とす
    る請求項1に記載のコンピュータウイルス発生検出装
    置。
  5. 【請求項5】 コンピュータウイルスが発生し得るコン
    ピュータネットワークと、セキュリティ保護の対象とな
    るコンピュータネットワーク又はコンピュータシステム
    との間に接続されるサーバ装置に付帯のコンピュータウ
    イルス発生検出装置であって、 前記サーバ装置を攻撃対象とするコンピュータウイルス
    の発生の可能性を示す特異データを収集する収集手段
    と、 前記収集手段により収集された特異データに基づいて、
    前記コンピュータウイルスの発生の有無を判定するコン
    ピュータウイルス発生判定手段と、 前記コンピュータウイルス発生判定手段により判定され
    たコンピュータウイルスの発生を前記セキュリティ保護
    の対象となるコンピュータネットワーク又はコンピュー
    タシステムに通知する通知手段と、を具備することを特
    徴とするコンピュータウイルス発生検出装置。
  6. 【請求項6】 前記セキュリティ保護の対象となるコン
    ピュータネットワーク又はコンピュータシステムは、前
    記通知手段による通知を受けて前記コンピュータウイル
    スが発生し得るコンピュータネットワークとの接続を遮
    断する手段を具備することを特徴とする請求項5に記載
    のコンピュータウイルス発生検出装置。
  7. 【請求項7】 前記コンピュータウイルス発生判定手段
    により判定されたコンピュータウイルスを駆除する駆除
    手段をさらに具備することを特徴とする請求項5又は6
    に記載のコンピュータウイルス発生検出装置。
  8. 【請求項8】 前記収集手段は、ネットワークアクセス
    において生じたエラー量の異常増加を前記特異データと
    して測定するエラー量測定手段を具備することを特徴と
    する請求項5に記載のコンピュータウイルス発生検出装
    置。
  9. 【請求項9】 コンピュータネットワーク上におけるコ
    ンピュータウイルスの発生の可能性を示す特異データを
    収集する収集ステップと、 前記収集ステップにおいて収集された特異データに基づ
    いて、前記コンピュータウイルスの発生の有無を判定す
    るコンピュータウイルス発生判定ステップと、を具備す
    ることを特徴とするコンピュータウイルス発生検出方
    法。
  10. 【請求項10】 コンピュータウイルスが発生し得るコ
    ンピュータネットワークと、セキュリティ保護の対象と
    なるコンピュータネットワーク又はコンピュータシステ
    ムとの間に接続されるサーバ装置におけるコンピュータ
    ウイルスの発生を検出するコンピュータウイルス発生検
    出方法であって、 前記サーバ装置を攻撃対象とするコンピュータウイルス
    の発生の可能性を示す特異データを収集する収集ステッ
    プと、 前記収集ステップにおいて収集された特異データに基づ
    いて、前記コンピュータウイルスの発生の有無を判定す
    るコンピュータウイルス発生判定ステップと、 前記コンピュータウイルス発生判定ステップにおいて判
    定されたコンピュータウイルスの発生を前記セキュリテ
    ィ保護の対象となるコンピュータネットワーク又はコン
    ピュータシステムに通知する通知ステップと、を具備す
    ることを特徴とするコンピュータウイルス発生検出方
    法。
  11. 【請求項11】 コンピュータネットワーク上における
    コンピュータウイルスの発生の可能性を示す特異データ
    を収集する収集ステップと、 前記収集ステップにおいて収集された特異データに基づ
    いて、前記コンピュータウイルスの発生の有無を判定す
    るコンピュータウイルス発生判定ステップと、をコンピ
    ュータに実行させるコンピュータウイルス発生検出プロ
    グラム。
  12. 【請求項12】 コンピュータウイルスが発生し得るコ
    ンピュータネットワークと、セキュリティ保護の対象と
    なるコンピュータネットワーク又はコンピュータシステ
    ムとの間に接続されるサーバ装置におけるコンピュータ
    ウイルスの発生を検出するウイルス発生検出プログラム
    であって、 前記サーバ装置を攻撃対象とするコンピュータウイルス
    の発生の可能性を示す特異データを収集する収集ステッ
    プと、 前記収集ステップにおいて収集された特異データに基づ
    いて、前記コンピュータウイルスの発生の有無を判定す
    るコンピュータウイルス発生判定ステップと、 前記コンピュータウイルス発生判定ステップにおいて判
    定されたコンピュータウイルスの発生を前記セキュリテ
    ィ保護の対象となるコンピュータネットワーク又はコン
    ピュータシステムに通知する通知ステップと、をコンピ
    ュータに実行させるコンピュータウイルス発生検出プロ
    グラム。
JP2002039087A 2002-02-15 2002-02-15 未知コンピュータウイルスの感染を防止する装置およびプログラム Expired - Fee Related JP4088082B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2002039087A JP4088082B2 (ja) 2002-02-15 2002-02-15 未知コンピュータウイルスの感染を防止する装置およびプログラム
US10/366,568 US7334264B2 (en) 2002-02-15 2003-02-14 Computer virus generation detection apparatus and method
US11/812,602 US7512982B2 (en) 2002-02-15 2007-06-20 Computer virus generation detection apparatus and method
US11/812,607 US7437761B2 (en) 2002-02-15 2007-06-20 Computer virus generation detection apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002039087A JP4088082B2 (ja) 2002-02-15 2002-02-15 未知コンピュータウイルスの感染を防止する装置およびプログラム

Publications (2)

Publication Number Publication Date
JP2003241989A true JP2003241989A (ja) 2003-08-29
JP4088082B2 JP4088082B2 (ja) 2008-05-21

Family

ID=27678219

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002039087A Expired - Fee Related JP4088082B2 (ja) 2002-02-15 2002-02-15 未知コンピュータウイルスの感染を防止する装置およびプログラム

Country Status (2)

Country Link
US (3) US7334264B2 (ja)
JP (1) JP4088082B2 (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005100124A (ja) * 2003-09-25 2005-04-14 Dainippon Printing Co Ltd 不正アクセス監視システム
WO2006004082A1 (ja) * 2004-07-05 2006-01-12 Infocom Corporation ソフトウエアの一時的な修正方法およびプログラム
WO2006043310A1 (ja) * 2004-10-19 2006-04-27 Fujitsu Limited 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム
JP2007074738A (ja) * 2006-09-28 2007-03-22 Fujitsu Ltd ワーム判定装置、ワーム判定プログラムおよびワーム判定方法
JP2008123522A (ja) * 2006-11-09 2008-05-29 Korea Electronics Telecommun Pc保安点検システム及び方法
JP2008146157A (ja) * 2006-12-06 2008-06-26 Mitsubishi Electric Corp ネットワーク異常判定装置
JP2008269420A (ja) * 2007-04-23 2008-11-06 Sky Kk コンピュータにおけるリスク管理方法とリスク管理プログラム、及びその方法を実施するリスク管理システム
JP2010508598A (ja) * 2006-11-03 2010-03-18 アルカテル−ルーセント ユーエスエー インコーポレーテッド ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置
US8015609B2 (en) 2005-09-30 2011-09-06 Fujitsu Limited Worm infection detecting device
JP2014519113A (ja) * 2011-05-24 2014-08-07 パロ・アルト・ネットワークス・インコーポレーテッド マルウェア解析システム
US8874723B2 (en) 2006-12-28 2014-10-28 Nec Corporation Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
JP2016071707A (ja) * 2014-09-30 2016-05-09 京セラコミュニケーションシステム株式会社 感染確認装置
JP2017538376A (ja) * 2014-10-31 2017-12-21 サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8510571B1 (en) * 2003-03-24 2013-08-13 Hoi Chang System and method for inserting security mechanisms into a software program
US8122499B2 (en) * 2003-04-16 2012-02-21 Hobnob, Inc. Network security apparatus and method
JP4051020B2 (ja) * 2003-10-28 2008-02-20 富士通株式会社 ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置
FR2864411B1 (fr) * 2003-12-23 2006-03-03 Cit Alcatel Terminal avec des moyens de protection contre le dysfonctionnement de certaines applications java
US20060075083A1 (en) * 2004-09-22 2006-04-06 Bing Liu System for distributing information using a secure peer-to-peer network
US7411911B2 (en) * 2005-04-08 2008-08-12 Cisco Technology, Inc. Network availability status detection device and method
KR100690187B1 (ko) * 2005-06-21 2007-03-09 주식회사 안철수연구소 악성 코드 차단 방법 및 장치 및 그 시스템
US20070006294A1 (en) * 2005-06-30 2007-01-04 Hunter G K Secure flow control for a data flow in a computer and data flow in a computer network
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
CN100437614C (zh) * 2005-11-16 2008-11-26 白杰 未知病毒程序的识别及清除方法
US7849508B2 (en) * 2006-04-27 2010-12-07 The Invention Science Fund I, Llc Virus immunization using entity-sponsored bypass network
US8539581B2 (en) * 2006-04-27 2013-09-17 The Invention Science Fund I, Llc Efficient distribution of a malware countermeasure
US8863285B2 (en) * 2006-04-27 2014-10-14 The Invention Science Fund I, Llc Virus immunization using prioritized routing
US8151353B2 (en) * 2006-04-27 2012-04-03 The Invention Science Fund I, Llc Multi-network virus immunization with trust aspects
US7934260B2 (en) * 2006-04-27 2011-04-26 The Invention Science Fund I, Llc Virus immunization using entity-sponsored bypass network
US8191145B2 (en) * 2006-04-27 2012-05-29 The Invention Science Fund I, Llc Virus immunization using prioritized routing
US9258327B2 (en) 2006-04-27 2016-02-09 Invention Science Fund I, Llc Multi-network virus immunization
US8117654B2 (en) * 2006-06-30 2012-02-14 The Invention Science Fund I, Llc Implementation of malware countermeasures in a network device
US8613095B2 (en) * 2006-06-30 2013-12-17 The Invention Science Fund I, Llc Smart distribution of a malware countermeasure
US8966630B2 (en) * 2006-04-27 2015-02-24 The Invention Science Fund I, Llc Generating and distributing a malware countermeasure
US7917956B2 (en) 2006-04-27 2011-03-29 The Invention Science Fund I, Llc Multi-network virus immunization
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
CN101347962B (zh) * 2007-07-17 2010-05-19 沈阳铝镁设计研究院 碳素环保型配料车
ATE495620T1 (de) * 2008-07-04 2011-01-15 Alcatel Lucent Verfahren und system für ein kommunikationsnetzwerk gegen eindringlinge
US8873556B1 (en) 2008-12-24 2014-10-28 Palo Alto Networks, Inc. Application based packet forwarding
WO2011002818A1 (en) * 2009-06-29 2011-01-06 Cyberdefender Corporation Systems and methods for operating an anti-malware network on a cloud computing platform
EP2438511B1 (en) 2010-03-22 2019-07-03 LRDC Systems, LLC A method of identifying and protecting the integrity of a set of source data
US8732473B2 (en) 2010-06-01 2014-05-20 Microsoft Corporation Claim based content reputation service
US8938534B2 (en) 2010-12-30 2015-01-20 Ss8 Networks, Inc. Automatic provisioning of new users of interest for capture on a communication network
US9058323B2 (en) 2010-12-30 2015-06-16 Ss8 Networks, Inc. System for accessing a set of communication and transaction data associated with a user of interest sourced from multiple different network carriers and for enabling multiple analysts to independently and confidentially access the set of communication and transaction data
US8972612B2 (en) 2011-04-05 2015-03-03 SSB Networks, Inc. Collecting asymmetric data and proxy data on a communication network
US8695096B1 (en) 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US8938796B2 (en) 2012-09-20 2015-01-20 Paul Case, SR. Case secure computer architecture
CN102946383B (zh) * 2012-10-24 2015-11-18 珠海市君天电子科技有限公司 一种基于第三方公用接口的远程查询、修改病毒特征的方法和系统
US9215240B2 (en) * 2013-07-25 2015-12-15 Splunk Inc. Investigative and dynamic detection of potential security-threat indicators from events in big data
US9830593B2 (en) 2014-04-26 2017-11-28 Ss8 Networks, Inc. Cryptographic currency user directory data and enhanced peer-verification ledger synthesis through multi-modal cryptographic key-address mapping
US10721267B1 (en) * 2014-07-18 2020-07-21 NortonLifeLock Inc. Systems and methods for detecting system attacks
CN106709344B (zh) * 2016-08-09 2019-12-13 腾讯科技(深圳)有限公司 一种病毒查杀的通知方法及服务器
CN110475227B (zh) * 2019-07-26 2022-03-22 上海帆一尚行科技有限公司 车联网信息安全防护的方法、装置、系统、电子设备

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5827629A (en) * 1995-05-11 1998-10-27 Sumitomo Heavy Industries, Ltd. Position detecting method with observation of position detecting marks
US5796942A (en) * 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US6081894A (en) 1997-10-22 2000-06-27 Rvt Technologies, Inc. Method and apparatus for isolating an encrypted computer system upon detection of viruses and similar data
US6466981B1 (en) * 1998-06-30 2002-10-15 Microsoft Corporation Method using an assigned dynamic IP address and automatically restoring the static IP address
US6324656B1 (en) * 1998-06-30 2001-11-27 Cisco Technology, Inc. System and method for rules-driven multi-phase network vulnerability assessment
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6973577B1 (en) * 2000-05-26 2005-12-06 Mcafee, Inc. System and method for dynamically detecting computer viruses through associative behavioral analysis of runtime state
US20020069356A1 (en) * 2000-06-12 2002-06-06 Kwang Tae Kim Integrated security gateway apparatus
US7068833B1 (en) * 2000-08-30 2006-06-27 Kla-Tencor Corporation Overlay marks, methods of overlay mark design and methods of overlay measurements
US6886099B1 (en) * 2000-09-12 2005-04-26 Networks Associates Technology, Inc. Computer virus detection
US20020078382A1 (en) * 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
US7058978B2 (en) * 2000-12-27 2006-06-06 Microsoft Corporation Security component for a computing device
US7290283B2 (en) * 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
US20020116639A1 (en) * 2001-02-21 2002-08-22 International Business Machines Corporation Method and apparatus for providing a business service for the detection, notification, and elimination of computer viruses
US7089589B2 (en) * 2001-04-10 2006-08-08 Lenovo (Singapore) Pte. Ltd. Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait
US20020194490A1 (en) * 2001-06-18 2002-12-19 Avner Halperin System and method of virus containment in computer networks
US20020194489A1 (en) * 2001-06-18 2002-12-19 Gal Almogy System and method of virus containment in computer networks
US20020199116A1 (en) * 2001-06-25 2002-12-26 Keith Hoene System and method for computer network virus exclusion
US6993660B1 (en) * 2001-08-03 2006-01-31 Mcafee, Inc. System and method for performing efficient computer virus scanning of transient messages using checksums in a distributed computing environment
DE10142316A1 (de) * 2001-08-30 2003-04-17 Advanced Micro Devices Inc Halbleiterstruktur und Verfahren zur Bestimmung kritischer Dimensionen und Überlagerungsfehler
US20030074578A1 (en) * 2001-10-16 2003-04-17 Richard Ford Computer virus containment
US20030084322A1 (en) * 2001-10-31 2003-05-01 Schertz Richard L. System and method of an OS-integrated intrusion detection and anti-virus system
US20030110392A1 (en) * 2001-12-06 2003-06-12 Aucsmith David W. Detecting intrusions
US6772345B1 (en) * 2002-02-08 2004-08-03 Networks Associates Technology, Inc. Protocol-level malware scanner
US20030208606A1 (en) 2002-05-04 2003-11-06 Maguire Larry Dean Network isolation system and method
JP4122931B2 (ja) * 2002-10-31 2008-07-23 ティアック株式会社 ディスク装置
JP3945438B2 (ja) * 2003-03-28 2007-07-18 コニカミノルタビジネステクノロジーズ株式会社 制御プログラムおよび制御装置

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4503260B2 (ja) * 2003-09-25 2010-07-14 大日本印刷株式会社 不正アクセス監視システム
JP2005100124A (ja) * 2003-09-25 2005-04-14 Dainippon Printing Co Ltd 不正アクセス監視システム
WO2006004082A1 (ja) * 2004-07-05 2006-01-12 Infocom Corporation ソフトウエアの一時的な修正方法およびプログラム
WO2006043310A1 (ja) * 2004-10-19 2006-04-27 Fujitsu Limited 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム
JPWO2006043310A1 (ja) * 2004-10-19 2008-05-22 富士通株式会社 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム
JP4680931B2 (ja) * 2004-10-19 2011-05-11 富士通株式会社 不正アクセスプログラム監視処理方法、不正アクセスプログラム監視プログラムおよび不正アクセスプログラム監視装置
US7832010B2 (en) 2004-10-19 2010-11-09 Fujitsu Limited Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus
US8015609B2 (en) 2005-09-30 2011-09-06 Fujitsu Limited Worm infection detecting device
JP2007074738A (ja) * 2006-09-28 2007-03-22 Fujitsu Ltd ワーム判定装置、ワーム判定プログラムおよびワーム判定方法
JP2010508598A (ja) * 2006-11-03 2010-03-18 アルカテル−ルーセント ユーエスエー インコーポレーテッド ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置
US8776217B2 (en) 2006-11-03 2014-07-08 Alcatel Lucent Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
JP2008123522A (ja) * 2006-11-09 2008-05-29 Korea Electronics Telecommun Pc保安点検システム及び方法
JP2008146157A (ja) * 2006-12-06 2008-06-26 Mitsubishi Electric Corp ネットワーク異常判定装置
US8874723B2 (en) 2006-12-28 2014-10-28 Nec Corporation Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
JP2008269420A (ja) * 2007-04-23 2008-11-06 Sky Kk コンピュータにおけるリスク管理方法とリスク管理プログラム、及びその方法を実施するリスク管理システム
JP2014519113A (ja) * 2011-05-24 2014-08-07 パロ・アルト・ネットワークス・インコーポレーテッド マルウェア解析システム
JP2016146192A (ja) * 2011-05-24 2016-08-12 パロ・アルト・ネットワークス・インコーポレーテッドPalo Alto Networks Incorporated マルウェア解析システム
JP2016071707A (ja) * 2014-09-30 2016-05-09 京セラコミュニケーションシステム株式会社 感染確認装置
JP2017538376A (ja) * 2014-10-31 2017-12-21 サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法

Also Published As

Publication number Publication date
US20030159064A1 (en) 2003-08-21
US20070245418A1 (en) 2007-10-18
US20070250931A1 (en) 2007-10-25
JP4088082B2 (ja) 2008-05-21
US7334264B2 (en) 2008-02-19
US7512982B2 (en) 2009-03-31
US7437761B2 (en) 2008-10-14

Similar Documents

Publication Publication Date Title
JP4088082B2 (ja) 未知コンピュータウイルスの感染を防止する装置およびプログラム
JP5518594B2 (ja) 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
US11381578B1 (en) Network-based binary file extraction and analysis for malware detection
US11153341B1 (en) System and method for detecting malicious network content using virtual environment components
TWI458308B (zh) 網路周邊設備、計算系統及傳遞資料的方法
JP4327698B2 (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US20030084322A1 (en) System and method of an OS-integrated intrusion detection and anti-virus system
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US20150106867A1 (en) Security information and event management
US20130247181A1 (en) Method of and system for computer system denial-of-service protection
JP5920169B2 (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
WO2016186975A1 (en) Detection of sql injection attacks
JP2006135963A (ja) 悪性コード検出装置及び検出方法
US20090178140A1 (en) Network intrusion detection system
JP2014099758A (ja) 複数センサの観測情報の突合による不正通信検知方法
JP2014123996A (ja) ネットワーク監視装置及びプログラム
JP2007323428A (ja) ボット検出装置、ボット検出方法、およびプログラム
US20090276852A1 (en) Statistical worm discovery within a security information management architecture
US8234503B2 (en) Method and systems for computer security
US20050086512A1 (en) Worm blocking system and method using hardware-based pattern matching
US7523501B2 (en) Adaptive computer worm filter and methods of use thereof
EP1751651B1 (en) Method and systems for computer security
Chandrasekaran et al. AVARE: aggregated vulnerability assessment and response against zero-day exploits
JP4710889B2 (ja) 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム
JP5190807B2 (ja) パケット経路追跡システム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060425

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070227

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080222

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120229

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120229

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130228

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140228

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees