JP2004086241A - コンピュータウィルス感染元検知システム - Google Patents
コンピュータウィルス感染元検知システム Download PDFInfo
- Publication number
- JP2004086241A JP2004086241A JP2002242266A JP2002242266A JP2004086241A JP 2004086241 A JP2004086241 A JP 2004086241A JP 2002242266 A JP2002242266 A JP 2002242266A JP 2002242266 A JP2002242266 A JP 2002242266A JP 2004086241 A JP2004086241 A JP 2004086241A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- virus
- access history
- access
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
【解決手段】クライアントコンピュータ2が、外部から自己にアクセスした発信元IPアドレス及び発信元ポート番号を含むアクセス履歴を格納するアクセス履歴データベース4と、外部からコンピュータウィルスが侵入したことを検知するウィルス対策ソフト6とを備え、サーバコンピュータ1が、前記ウィルス侵入の報告に基づいて、そのクライアントコンピュータ2のアクセス履歴データベース7を検索し、ウィルス侵入の報告を受けた時刻を基点とした複数のアクセス履歴を収集するアクセス履歴取得プログラム5とを備え、ウィルスが侵入したクライアントコンピュータ2がサーバコンピュータ1にウィルス侵入をメール報告したとき、サーバコンピュータ1のアクセス履歴取得プログラム9が、ウィルスが侵入したクライアントコンピュータ2のアクセス履歴データベース7からアクセス履歴を収集して分析するもの。
【選択図】 図1
Description
【産業上の利用分野】
本発明は、例えばLAN上のコンピュータウィルスに感染したコンピュータを検知することができるコンピュータウィルス感染元検知システムに関し、特に管理者がウィルス感染元となったクライアントコンピュータを特定することができるコンピュータウィルス感染元検知システムに関する。
【0002】
【従来の技術】
一般に企業内におけるコンピュータシステムは、LAN又はWANと呼ばれるコンピュータネットワーク網を介して複数のクランアントコンピュータと該クライアントコンピュータを管理するサーバコンピュータとをネットワーク接続し、各クライアントコンピュータ間でのデータの転送及び共有並びにプリンタ及び外部との接続を行うルータの共有等が行われている。
【0003】
この様に構成されたコンピュータシステムは、例えば外部からのメールに所謂コンピュータウィルスが添付され、そのメールを受信したクライアントコンピュータがまずウィルスに感染し、次いで当該ウィルスの他への感染プログラムによってLAN等を介して他の多数のクランアントコンピュータに増殖することが考えられる。
【0004】
従来技術によるコンピュータシステムは、前記コンピュータウィルス対策として、例えば複数のクランアントコンピュータ及びサーバコンピュータにウィルス対策ソフトをインストールし、ウィルス感染を検知したクライアントコンピュータがサーバコンピュータに当該感染を報告するものや、新たに不正侵入検知コンピュータをLAN上に用意し、この不正侵入検知コンピュータが検知対象の不正パターンとしてウィルス情報を登録しておき、LAN上を伝送するデータを監視してウィルスを検知し、サーバコンピュータに報告することが行われている。
【0005】
【発明が解決しようとする課題】
従来技術によるコンピュータシステムにおけるウィルス対策は、あるクライアントコンピュータが感染した場合、前者の各クライアントにウィルス対策ソフトをインストールしたシステムにあっては、当該ウィルス対策ソフトが入手した情報だけでは感染元となったクライアントコンピュータを特定することができない場合があり、後者の不正侵入検知コンピュータを適用したシステムにあっては、LANシステム上の全ての多岐にわたるネットワーク経由箇所を監視しなければならず、実際のシステムにおいてはネットワーク上のルーティング機能により攻撃対象毎に変化するため、その通信路上に設置しなくてはならない不正侵入検知サーバでは、すべてを検知するのには限界があると言う不具合があった。
【0006】
本発明の目的は、前述の従来技術による不具合を除去することであり、管理者が感染元クライアントコンピュータを容易に特定するために十分な情報(送信元情報)を取得することができるコンピュータウィルス感染元検知システムを提供することである。
【0007】
【課題を解決するための手段】
前記目的を達成するために本発明は、複数のクライアントコンピュータと該複数のクライアントコンピュータとサーバコンピュータとをネットワーク接続したコンピュータシステムにおけるコンピュータウィルス感染元検知システムにおいて、前記クライアントコンピュータが、外部から自己にアクセスした発信元IPアドレス及び発信元ポート番号を含むアクセス履歴を格納するアクセス履歴データベースと、外部からコンピュータウィルスが侵入したことを検知するウィルス対策ソフトとを含み、前記サーバコンピュータが、ウィルスが侵入したクライアントコンピュータからの報告に基づいて該クライアントコンピュータのアクセス履歴データベースを検索し、ウィルス侵入の報告を受けた時刻を基点とした複数のアクセス履歴を収集するアクセス履歴取得プログラムとを含み、ウィルスが侵入したクライアントコンピュータがサーバコンピュータにウィルス侵入を報告したとき、サーバコンピュータのアクセス履歴取得プログラムが、ウィルスが侵入したクライアントコンピュータのアクセス履歴データベースからウィルス侵入の報告を受けた時刻を基点とした複数のアクセス履歴を収集することを特徴とするコンピュータウィルス感染元検知システム。
【0008】
【発明の実施の形態】
以下、本発明の一実施形態によるコンピュータウィルス感染元検知システムを図面を参照して詳細に説明する。図1は本発明の一実施形態によるコンピュータウィルス感染元検知システムを適用したコンピュータシステムを示す図、図2は本実施形態によるウィルス感染元検知システムの機能ブロック図である。
【0009】
図1に示すコンピュータシステムは、本コンピュータシステムの全体を管理するサーバコンピュータ1と、該サーバコンピュータ1にLAN4(又はWAN)を介して接続される複数のクライアントコンピュータ、例えばウィルスに感染していないクライアントコンピュータ2と、既にウィルスに感染したクライアントコンピュータ3とがネットワーク接続されているものとし、前記ウィルスに感染したクライアントコンピュータ3は、そのウィルスが他のコンピュータにネットワーク越しに攻撃を試みるものとする。
【0010】
また、本実施形態によるコンピュータシステムは、前記クライアントコンピュータ2に、自己に対するアクセス履歴を蓄積するアクセス履歴蓄積プログラム5と、一般のウィルス対策ソフト(プログラム)6とをメモリに格納すると共に、前記アクセス履歴蓄積プログラム5により取得したアクセス履歴を格納するアクセス履歴データベース7とを備える。また前記サーバコンピュータ1は、後述する動作に基づくメールの受信を行うためのメール自動受付プログラム8と、このメール受付を契機として前記クライアントコンピュータ2のアクセス履歴データベース2に格納された当該コンピユータのアクセス履歴を取得し分析するためのアクセス履歴分析プログラム9と、該アクセス履歴分析プログラム9によって分析した分析結果を格納する履歴データベース11と、該履歴データベース11の内容を検索するためのアクセス履歴検索インタフェースプログラム10とを備える。尚、前記クライアントコンピュータ2のアクセス履歴データベース7は、その容量が許す限りアクセス履歴を記憶する様に構成しても良いが、例えばシステムの過去の駆動時間が所定時間、例えば3時間で過去データの上書きを行う様にしても良い。
【0011】
図2は本実施形態によるウィルス感染元検知システムの機能ブロック図であり、本図を用いて本実施形態によるウィルス感染元検知システムの動作を説明する。まず、あるクライアントコンピュータ2に他のウィルスに感染したクライアントコンピュータからのウィルス侵入が試みられた場合、当該クライアントコンピュータ2は、アクセス履歴蓄積プログラム5によってそのアクセス履歴、具体的には発信元のIPアドレス、発信元のコンピュータ名、送信先ポート番号、そのアクセス時刻/時間等のアクセス履歴をアクセス履歴データベース7に格納し、ここで当該侵入がウィルス対策ソフト6によって検知された場合、そのウィルス侵入を例えばウスルス対策ソフト6がサーバコンピュータ1に対してLAN4を経由してメール発信を行う。
【0012】
このウィルス侵入のメールを受けたサーバコンピュータ1は、メール自動受付プログラム8により当該メールを受信し、アクセス履歴取得プログラム9を起動する。このアクセス履歴取得プログラム9は、その受信メールを発したクライアントコンピュータ2をメールアドレスやIPアドレス番号によって特定し、そのクライアントコンピュータ2のアクセス履歴データベース7をサーチし、ウィスルス侵入のメールが発せられた時刻前後の複数のアクセス履歴を取得し、履歴データベース11に格納する。従って本システムは、このアクセス履歴をアクセス履歴検索インタフェースプログラム10が解析することによって、当該侵入が試みられたクランアントコンピュータを検知することができる。この解析は、発信元IPアドレスやポート番号を回析し、ウィスルスに感染している可能性のあるクライアントコンピュータに対する検疫を行う事や、ウィルスが多数のクライアントに対して同時に侵入を試みる特性を利用し、複数の侵入が試みられたクライアントに同時刻にアクセスを行ったコンピュータを選択することや、ウィルスが特定のポート番号を固定して開き、このポートから侵入を試みる特性を利用して当該共通のポート番号を選択することによって行われる。
【0013】
従って本実施形態によるウィルス感染元検知システムは、サーバコンピュータ1がメールを契機として侵入又は汚染されたクライアントコンピュータのアクセス履歴を収集し、そのアクセス履歴を解析することによって、容易に感染源であるクライアントコンピュータを管理者に報告することができる。従って、管理者が攻撃元となるウィルス感染クライアントを特定するための情報をすばやく参照し分析することができる。これにより、ウィルス感染拡大の早期対策を行うことが可能となる。
【0014】
尚、前記実施形態においてはLANを経由したシステムを例にとって説明したが、WANによるネットワークシステムにおいても、侵入源となったプロバイタやメールサーバのIPアドレスを検知することができ、メールのヘッダ情報等を解析することにより、ウィルスの発信元を調査する情報を入手することができる。
【0015】
【発明の効果】
以上説明したように本発明によれば、ウィルスが侵入したクライアントコンピュータがサーバコンピュータにウィルス侵入を報告したとき、サーバコンピュータのアクセス履歴取得プログラムが、ウィルスが侵入したクライアントコンピュータのアクセス履歴データベースからウィルス侵入の報告を受けた時刻を基点とした複数のアクセス履歴を収集することにより、ウィルスの感染源であるクライアントコンピュータ他を管理者が容易に分析することができる。
【図面の簡単な説明】
【図1】本発明によるコンピュータウィルス感染元検知システムを適用したコンピュータシステムを示す図。
【図2】本実施形態によるウィルス感染元検知システムの機能ブロック図
【符号の説明】
1:運用サーバコンピュータ、2:クライアントコンピュータ、3:ウィルス感染元クライアントコンピュータ、4:LAN又はWAN、5:アクセス履歴蓄積プログラム、6:ウィルス対策ソフト、7:アクセス履歴データベース、8:メール自動受プログラム、9…アクセス履歴取得プログラム、10…アクセス履歴検索インタフェースプログラム、11…履歴データベース。
Claims (1)
- 複数のクライアントコンピュータと該複数のクライアントコンピュータとサーバコンピュータとをネットワーク接続したコンピュータシステムにおけるコンピュータウィルス感染元検知システムにおいて、前記クライアントコンピュータが、外部から自己にアクセスした発信元IPアドレス及び発信元ポート番号を含むアクセス履歴を格納するアクセス履歴データベースと、外部からコンピュータウィルスが侵入したことを検知するウィルス対策ソフトとを含み、前記サーバコンピュータが、ウィルスが侵入したクライアントコンピュータからの報告に基づいて該クライアントコンピュータのアクセス履歴データベースを検索し、ウィルス侵入の報告を受けた時刻を基点とした複数のアクセス履歴を収集するアクセス履歴取得プログラムとを含み、ウィルスが侵入したクライアントコンピュータがサーバコンピュータにウィルス侵入を報告したとき、サーバコンピュータのアクセス履歴取得プログラムが、ウィルスが侵入したクライアントコンピュータのアクセス履歴データベースからウィルス侵入の報告を受けた時刻を基点とした複数のアクセス履歴を収集することを特徴とするコンピュータウィルス感染元検知システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002242266A JP2004086241A (ja) | 2002-08-22 | 2002-08-22 | コンピュータウィルス感染元検知システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002242266A JP2004086241A (ja) | 2002-08-22 | 2002-08-22 | コンピュータウィルス感染元検知システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004086241A true JP2004086241A (ja) | 2004-03-18 |
Family
ID=32051403
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002242266A Pending JP2004086241A (ja) | 2002-08-22 | 2002-08-22 | コンピュータウィルス感染元検知システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004086241A (ja) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006338558A (ja) * | 2005-06-03 | 2006-12-14 | Ntt Docomo Inc | 配信システム、配信サーバ及び配信方法 |
JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
JP2009176132A (ja) * | 2008-01-25 | 2009-08-06 | Sky Co Ltd | ウィルス被害範囲予測システム |
US7913258B2 (en) | 2005-11-09 | 2011-03-22 | Hitachi, Ltd. | Information processing device and process control method |
WO2014087597A1 (ja) * | 2012-12-07 | 2014-06-12 | キヤノン電子株式会社 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
US8874723B2 (en) | 2006-12-28 | 2014-10-28 | Nec Corporation | Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof |
KR20180090574A (ko) * | 2017-02-03 | 2018-08-13 | 주식회사 안랩 | 악성코드 진단 시스템 및 악성코드 진단 방법 |
US10382477B2 (en) | 2014-11-05 | 2019-08-13 | Canon Denshi Kabushiki Kaisha | Identification apparatus, control method therefor, and storage medium |
US11425150B1 (en) * | 2020-01-10 | 2022-08-23 | Bank Of America Corporation | Lateral movement visualization for intrusion detection and remediation |
-
2002
- 2002-08-22 JP JP2002242266A patent/JP2004086241A/ja active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4712447B2 (ja) * | 2005-06-03 | 2011-06-29 | 株式会社エヌ・ティ・ティ・ドコモ | 配信システム、配信サーバ及び配信方法 |
JP2006338558A (ja) * | 2005-06-03 | 2006-12-14 | Ntt Docomo Inc | 配信システム、配信サーバ及び配信方法 |
US7913258B2 (en) | 2005-11-09 | 2011-03-22 | Hitachi, Ltd. | Information processing device and process control method |
JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
US8874723B2 (en) | 2006-12-28 | 2014-10-28 | Nec Corporation | Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof |
JP2009176132A (ja) * | 2008-01-25 | 2009-08-06 | Sky Co Ltd | ウィルス被害範囲予測システム |
WO2014087597A1 (ja) * | 2012-12-07 | 2014-06-12 | キヤノン電子株式会社 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
JPWO2014087597A1 (ja) * | 2012-12-07 | 2017-01-05 | キヤノン電子株式会社 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
JP2018185860A (ja) * | 2012-12-07 | 2018-11-22 | キヤノン電子株式会社 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
US10326792B2 (en) | 2012-12-07 | 2019-06-18 | Canon Denshi Kabushiki Kaisha | Virus intrusion route identification device, virus intrusion route identification method, and program |
US10382477B2 (en) | 2014-11-05 | 2019-08-13 | Canon Denshi Kabushiki Kaisha | Identification apparatus, control method therefor, and storage medium |
KR20180090574A (ko) * | 2017-02-03 | 2018-08-13 | 주식회사 안랩 | 악성코드 진단 시스템 및 악성코드 진단 방법 |
KR101898997B1 (ko) * | 2017-02-03 | 2018-09-14 | 주식회사 안랩 | 악성코드 진단 시스템 및 악성코드 진단 방법 |
US11425150B1 (en) * | 2020-01-10 | 2022-08-23 | Bank Of America Corporation | Lateral movement visualization for intrusion detection and remediation |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7894350B2 (en) | Global network monitoring | |
US7197762B2 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
JP6086968B2 (ja) | 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法 | |
US7444679B2 (en) | Network, method and computer readable medium for distributing security updates to select nodes on a network | |
US8291498B1 (en) | Computer virus detection and response in a wide area network | |
US20030101353A1 (en) | Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto | |
US7703138B2 (en) | Use of application signature to identify trusted traffic | |
US8516573B1 (en) | Method and apparatus for port scan detection in a network | |
KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
US8326881B2 (en) | Detection of network security breaches based on analysis of network record logs | |
US20030084328A1 (en) | Method and computer-readable medium for integrating a decode engine with an intrusion detection system | |
US6968377B1 (en) | Method and system for mapping a network for system security | |
US7574740B1 (en) | Method and system for intrusion detection in a computer network | |
US7639714B2 (en) | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data | |
US7873998B1 (en) | Rapidly propagating threat detection | |
US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
US20060294588A1 (en) | System, method and program for identifying and preventing malicious intrusions | |
US7958557B2 (en) | Determining a source of malicious computer element in a computer network | |
CN102082836A (zh) | 一种dns安全监控系统及方法 | |
KR20230004222A (ko) | Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법 | |
US7836503B2 (en) | Node, method and computer readable medium for optimizing performance of signature rule matching in a network | |
US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
JP2004086241A (ja) | コンピュータウィルス感染元検知システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20031217 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060523 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060718 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060919 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061031 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070918 |