JP2005056250A - ワームの感染防止システム - Google Patents
ワームの感染防止システム Download PDFInfo
- Publication number
- JP2005056250A JP2005056250A JP2003287845A JP2003287845A JP2005056250A JP 2005056250 A JP2005056250 A JP 2005056250A JP 2003287845 A JP2003287845 A JP 2003287845A JP 2003287845 A JP2003287845 A JP 2003287845A JP 2005056250 A JP2005056250 A JP 2005056250A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- address
- information
- source
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【解決手段】 ユーザ端末30a1,a2,b1,c1から、ワームが存在するというアラートを受けたモニタシステム20b〜20eは、それまで保存しておいた通信データの内容を判別し、感染源を特定可能なデータを出力する。モニタシステム20は、感染源を特定可能なデータを基に、感染源を特定する機能も持つ。そして、感染源が接続されているサブネットワークを特定し、そのサブネットワーク内のモニタシステム20に、ネットワークから感染源を切断するよう指示を出す。指示をうけたモニタシステム20は、スイッチングハブに、ポートを切断する要求をする。
【選択図】 図2
Description
複数の端末が接続するネットワークにおいて前記端末から端末に増殖する不正プログラムであるワームの検出を支援する検出支援システムであって、
前記各端末が発信した通信データと、前記通信データの送信元アドレスとを取得して、対応づけて管理する通信内容情報管理部と、
前記ワームのパターンファイルを保持するパターンファイル保持部と、
前記いずれかの端末から、前記ワームの受信を示す警告情報を受信する警告受信部と、
前記警告情報の受信に呼応して、前記パターンファイルに基づき、前記通信内容情報管理部が管理する通信データから、前記ワームが含まれる通信データ及びその送信元アドレスを特定するバッチ判別部と
を備えることを特徴とする。
前記警告情報は、該警告情報の送信元アドレスを含んでおり、
前記通信内容情報管理部は、前記通信データの宛先アドレスも管理しており、
前記警告情報を発信した端末に宛てられた通信データを、前記通信内容情報管理部から抽出する抽出部を備え、
前記バッチ判別部は、前記抽出部が抽出した通信データに前記ワームが含まれているか否かを判別するものとしても良い。
前記警告情報の送信元アドレスは、前記端末に固有のアドレスである固有アドレスであって、
前記通信データの宛先アドレスは、前記端末に動的に割り当てられる変動アドレスであって、
前記通信内容情報管理部は、前記通信データの送信日時も管理しており、
前記それぞれの端末から、前記端末の固有アドレスと前記端末の変動アドレスとを、所定のタイミングで繰り返し取得し、取得の日時と共に管理する管理部と、
前記警告情報を発した端末の前記変動アドレスを、前記日時と共に、前記警告情報の固有アドレスに基づいて、前記管理部から抽出する警告端末情報抽出部と
を備え、
前記抽出部は、前記警告端末情報抽出部が抽出した前記変動アドレスと前記日時に基づいて、前記警告情報を発した端末に対して発信された通信データを抽出するものとしても良い。
前記端末に動的に割り当てられる変動アドレスと、その端末に固有の情報である端末情報とを、所定のタイミングで繰り返し取得し、時系列で管理する端末情報管理部と、
前記ワームが含まれる通信データについて、前記変動アドレスで表わされた送信元アドレスに基づいて、前記端末情報管理部から前記端末情報を抽出する端末情報抽出部と
を備えるものとしても良い。
複数の端末が接続するネットワークに、不正プログラムであるワームを発信する感染源端末を、前記ネットワークから切断するための処理を行なうモニタシステムであって、
前記ネットワークには、前記各端末を、前記ネットワークから切断可能な切断装置が接続されており、
前記感染源端末から発信された通信データの送信元アドレスを取得する送信元情報取得部と、
前記送信元アドレスに基づいて、前記感染源端末のネットワーク上の現在の所在を特定する感染源特定部と、
前記感染源特定部が特定した前記所在に対応した前記切断装置に対して、前記感染源端末の前記切断処理を指示する制御部と
を備えることを特徴とする。
前記制御部は、前記感染源特定部が特定した前記所在に対応した前記制御装置に対して指示するものとしても良い。
所定の通信データの送信元アドレスは、前記各端末に動的に割り当てられる変動アドレスであって、
前記各端末から、その端末に固有のアドレスである固有アドレスと、前記変動アドレスとを、所定のタイミングで繰り返し取得し、対応づけて管理するアドレス管理部と、
前記感染源端末の固有アドレスを取得する固有取得部と
を備え、
前記送信元情報取得部は、前記感染源端末の固有アドレスを基に、前記アドレス管理部から最新の変動アドレスを前記送信元アドレスとして取得するものとしても良い。
前記所在は、前記感染源端末が接続されているサブネットワークであるものとしても良い。
A.実施例:
A1.全体構成:
A2.機能ブロック:
A3.データベース:
A4.処理:
A5.効果:
B.変形例:
A1.全体構成:
図1は、実施例としての検出支援システムの概要を示す説明図である。検出支援システムは、モニタシステム20aとIPノードスコープ25aと管理サーバ47で構成され、それらはネットワークで接続されている。
モニタシステム20dはルータ45aに接続されており、ルータ45aを介した通信を監視可能であるよう設定されている。例えば、ユーザ端末30c1からユーザ端末30b1に送信される通信情報や、ユーザ端末30a1からルータ45bに送信される通信情報が監視可能である。
図3は、IPノードスコープ25a〜25c(以下、単にIPノードスコープ25とよぶ)の機能ブロックを示す説明図である。IPノードスコープ25は、パーソナルコンピュータに、以下の機能を実現するソフトウェアをインストールすることにより構成する。なお、以下の機能を実現するハードウェアを用いても良いし、IPノードスコープ25として専用の機器を用意しても良い。
図5は、端末情報DB55を示す説明図である。端末情報は、端末に備えられたネットワークカードの「MACアドレス」、端末の「IPアドレス」、「ユーザ情報」、「設置場所」からなる。「ユーザ情報」、「設置場所」は、あらかじめ各端末に登録されている。端末情報DB55には、その端末情報に、端末情報を端末から受信した「日時」をつけて保存する。
図8は、端末情報保存処理を示すフローチャートである。IPノードスコープ25の端末情報収集部52で行なわれる処理である。前回の端末情報保存処理から所定時間経過している場合(ステップS1)、IPノードスコープ25は、自身が属するサブネットワークsb内の端末に対して、ブロードキャストにより端末情報の送信要求を行なう(ステップS2)。そして、端末情報送信要求に応じて各端末から送信される端末情報を受信し(ステップS3)、端末情報DB55に保存する。ここでの所定時間は、4時間とする。
S46)。
本実施例によれば、ネットワーク上の端末の端末情報を取得しておき、ワームを含む可能性のある不正データの送信を行なっている端末を発見した際には、その端末の端末情報を出力することが可能となる。端末情報は、ワームの感染源を特定する情報にも利用可能である。また、通信データの内容あるいは通信の履歴を監視することにより、不正データの送信を行なっている端末を発見し、ワームの感染源を特定するための情報を出力することが可能となる。
以上、本発明の実施の形態について説明したが、本発明はこうした実施の形態に何ら限定されるものではなく、本発明の要旨を逸脱しない範囲内において、更に様々な形態で実施しうることは勿論である。例えば、ステップS102のサブネットワークsbの問い合わせ処理は、ステップS15の内容判別処理を行なった後の場合は省略しても良い。ステップS15では、通信情報を受信してからすぐに内容判別処理が行なわれるため、ワームを送信した端末がLAN内を移動している可能性が低いためである。
20a〜20e...モニタシステム
30,30a,30b...ユーザ端末
30a1,30a2,30b1,30c1...ユーザ端末
31,31a,31c...DHCPサーバ
33...メールサーバ
35a,35b...リピータハブ
40...スイッチングハブ
40a,40c...スイッチングハブ
45...ルータ
45a,45b...ルータ
47...管理サーバ
51...送受信部
52...端末情報収集部
53...制御部
54...端末情報抽出部
55...端末情報DB
58...制御部
59...履歴判別部
60...感染源特定部
61...バッチ処理部
62...送受信部
63...ネットワーク機器管理部
64...通信切断部
65...通信内容判別部
73...閾値DB
74...クロスマップDB
75...パターンファイルDB
76...ネットワーク機器DB
77...ログDB
78...感染源端末DB
79...ネットワーク構成DB
p1,p3...ポート
p2...モニタポート
sb...サブネットワーク
sb1,sb2...サブネットワーク
Claims (12)
- 複数の端末が接続するネットワークにおいて前記端末から端末に増殖する不正プログラムであるワームの検出を支援する検出支援システムであって、
前記各端末が発信した通信データと、前記通信データの送信元アドレスとを取得して、対応づけて管理する通信内容情報管理部と、
前記ワームのパターンファイルを保持するパターンファイル保持部と、
前記いずれかの端末から、前記ワームの受信を示す警告情報を受信する警告受信部と、
前記警告情報の受信に呼応して、前記パターンファイルに基づき、前記通信内容情報管理部が管理する通信データから、前記ワームが含まれる通信データ及びその送信元アドレスを特定するバッチ判別部と
を備えた検出支援システム。 - 請求項1記載の検出支援システムであって、
前記警告情報は、該警告情報の送信元アドレスを含んでおり、
前記通信内容情報管理部は、前記通信データの宛先アドレスも管理しており、
前記警告情報を発信した端末に宛てられた通信データを、前記通信内容情報管理部から抽出する抽出部を備え、
前記バッチ判別部は、前記抽出部が抽出した通信データに前記ワームが含まれているか否かを判別する
検出支援システム。 - 請求項2記載の検出支援システムであって、
前記警告情報の送信元アドレスは、前記端末に固有のアドレスである固有アドレスであって、
前記通信データの宛先アドレスは、前記端末に割り当てられる変動アドレスであって、
前記通信内容情報管理部は、前記通信データの送信日時も管理しており、
前記それぞれの端末から、前記端末の固有アドレスと前記端末の変動アドレスとを、所定のタイミングで繰り返し取得し、取得の日時と共に管理する管理部と、
前記警告情報を発した端末の前記変動アドレスを、前記日時と共に、前記警告情報の固有アドレスに基づいて、前記管理部から抽出する警告端末情報抽出部と
を備え、
前記抽出部は、前記警告端末情報抽出部が抽出した前記変動アドレスと前記日時に基づいて、前記警告情報を発した端末に対して発信された通信データを抽出する
検出支援システム。 - 請求項1記載の検出支援システムであって、
前記端末に動的に割り当てられる変動アドレスと、その端末に固有の情報である端末情報とを、所定のタイミングで繰り返し取得し、時系列で管理する端末情報管理部と、
前記ワームが含まれる通信データについて、前記変動アドレスで表わされた送信元アドレスに基づいて、前記端末情報管理部から前記端末情報を抽出する端末情報抽出部と
を備えた検出支援システム。 - 複数の端末が接続するネットワークに、不正プログラムであるワームを発信する感染源端末を、前記ネットワークから切断するための処理を行なうモニタシステムであって、
前記ネットワークには、前記各端末を、前記ネットワークから切断可能な切断装置が接続されており、
前記感染源端末から発信された通信データの送信元アドレスを取得する送信元情報取得部と、
前記送信元アドレスに基づいて、前記感染源端末のネットワーク上の現在の所在を特定する感染源特定部と、
前記感染源特定部が特定した前記所在に対応した前記切断装置に対して、前記感染源端末の前記切断処理を指示する制御部と
を備えたモニタシステム。 - 請求項5記載のモニタシステムであって、
前記ネットワークには、前記切断装置に対して切断処理の指示を行なうことが可能な制御装置が接続されており、
前記制御部は、前記感染源特定部が特定した前記所在に対応した前記制御装置に対して指示する
モニタシステム。 - 請求項5記載のモニタシステムであって、
所定の通信データの送信元アドレスは、前記各端末に動的に割り当てられる変動アドレスであって、
前記各端末から、その端末に固有のアドレスである固有アドレスと、前記変動アドレスとを、所定のタイミングで繰り返し取得し、対応づけて管理するアドレス管理部と、
前記感染源端末の固有アドレスを取得する固有取得部と
を備え、
前記送信元情報取得部は、前記感染源端末の固有アドレスを基に、前記アドレス管理部から最新の変動アドレスを前記送信元アドレスとして取得する
モニタシステム。 - 請求項5記載のモニタシステムであって、
前記所在は、前記感染源端末が接続されているサブネットワークであるモニタシステム。 - 複数の端末が接続するネットワークにおいて前記端末から端末に増殖する不正プログラムであるワームの検出を支援する検出支援方法であって、前記ネットワークに接続されたコンピュータが実行する工程として、
前記各端末が発信した通信データと、前記通信データの送信元アドレスとを取得して、対応づけて管理する通信内容情報管理工程と、
前記ワームのパターンファイルを予め保持するパターンファイル保持工程と、
前記いずれかの端末から、前記ワームの受信を示す警告情報を受信する警告受信工程と、
前記警告情報の受信に呼応して、前記パターンファイルに基づき、前記通信内容情報管理工程で管理する通信データから、前記ワームが含まれる通信データ及びその送信元アドレスを特定するバッチ判別工程と
を備えた検出支援方法。 - 複数の端末が接続するネットワークに、不正プログラムであるワームを発信する感染源端末を、前記ネットワークから切断するための処理を行なうモニタ方法であって、
前記ネットワークには、前記各端末を、前記ネットワークから切断可能な切断装置が接続されており、
前記ネットワークに接続されたコンピュータが実行する工程として、
前記感染源端末から発信された通信データの送信元アドレスを取得する送信元情報取得工程と、
前記送信元アドレスに基づいて、前記感染源端末のネットワーク上の現在の所在を特定する感染源特定工程と、
前記感染源特定工程で特定した前記所在に対応した前記切断装置に対して、前記感染源端末の前記切断処理を指示する制御工程と
を備えたモニタ方法。 - 複数の端末が接続するネットワークにおいて前記端末から端末に増殖する不正プログラムであるワームの検出を支援するためのコンピュータプログラムであって、
前記各端末が発信した通信データと、前記通信データの送信元アドレスとを取得して、対応づけて管理する通信内容情報管理機能と、
前記ワームのパターンファイルを参照するパターンファイル参照機能と、
前記いずれかの端末から、前記ワームの受信を示す警告情報を受信する警告受信機能と、
前記警告情報の受信に呼応して、前記パターンファイルに基づき、前記通信内容情報管理機能が管理する通信データから、前記ワームが含まれる通信データ及びその送信元アドレスを特定するバッチ判別機能と
をコンピュータによって実現するためのコンピュータプログラム。 - 複数の端末が接続するネットワークに、不正プログラムであるワームを発信する感染源端末を、前記ネットワークから切断するための処理を行なうコンピュータプログラムであって、
前記ネットワークには、前記各端末を、前記ネットワークから切断可能な切断装置が接続されており、
前記感染源端末から発信された通信データの送信元アドレスを取得する送信元情報取得機能と、
前記送信元アドレスに基づいて、前記感染源端末のネットワーク上の現在の所在を特定する感染源特定機能と、
前記感染源特定機能で特定した前記所在に対応した前記切断装置に対して、前記感染源端末の前記切断処理を指示する制御機能と
をコンピュータによって実現するためのコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003287845A JP2005056250A (ja) | 2003-08-06 | 2003-08-06 | ワームの感染防止システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003287845A JP2005056250A (ja) | 2003-08-06 | 2003-08-06 | ワームの感染防止システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005056250A true JP2005056250A (ja) | 2005-03-03 |
Family
ID=34366711
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003287845A Pending JP2005056250A (ja) | 2003-08-06 | 2003-08-06 | ワームの感染防止システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005056250A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007265023A (ja) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | 情報処理装置及びその管理方法並びに管理プログラム |
JP2012103870A (ja) * | 2010-11-09 | 2012-05-31 | Digital Arts Inc | 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム |
JP2017211989A (ja) * | 2016-05-23 | 2017-11-30 | 株式会社リコー | 加入者身分マッピング関係を構築する方法および装置 |
-
2003
- 2003-08-06 JP JP2003287845A patent/JP2005056250A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007265023A (ja) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | 情報処理装置及びその管理方法並びに管理プログラム |
JP2012103870A (ja) * | 2010-11-09 | 2012-05-31 | Digital Arts Inc | 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム |
JP2017211989A (ja) * | 2016-05-23 | 2017-11-30 | 株式会社リコー | 加入者身分マッピング関係を構築する方法および装置 |
CN107426133A (zh) * | 2016-05-23 | 2017-12-01 | 株式会社理光 | 一种建立用户身份映射关系的方法及装置 |
CN107426133B (zh) * | 2016-05-23 | 2020-06-30 | 株式会社理光 | 一种识别用户身份信息的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7832010B2 (en) | Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus | |
JP3824274B2 (ja) | 不正接続検知システム及び不正接続検知方法 | |
EP2612488B1 (en) | Detecting botnets | |
US6895432B2 (en) | IP network system having unauthorized intrusion safeguard function | |
US7757285B2 (en) | Intrusion detection and prevention system | |
US7562390B1 (en) | System and method for ARP anti-spoofing security | |
US7564837B2 (en) | Recording medium recording a network shutdown control program, and network shutdown device | |
US8369346B2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
JP2010152773A (ja) | 攻撃判定装置及び攻撃判定方法及びプログラム | |
JPWO2005036831A1 (ja) | フレーム中継装置 | |
CN112202609A (zh) | 一种工控资产探测方法、装置、电子设备及存储介质 | |
US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
JP4655028B2 (ja) | ワームの感染防止システム | |
JP3903969B2 (ja) | ワームの感染防止システム | |
JP2005056250A (ja) | ワームの感染防止システム | |
JP2006332997A (ja) | 通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラム | |
JP2014036408A (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
JP4002276B2 (ja) | 不正接続検知システム | |
US8149723B2 (en) | Systems and methods for discovering machines | |
JP4319609B2 (ja) | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム | |
CN111683068A (zh) | 失陷主机的定位方法、防护装置、网络安全设备及介质 | |
CN116015876B (zh) | 访问控制方法、装置、电子设备及存储介质 | |
KR20040003977A (ko) | 아이피 충돌 검출/차단 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060501 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060627 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060824 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061205 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070201 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070306 |