JP2006155251A - ウイルス検出装置 - Google Patents
ウイルス検出装置 Download PDFInfo
- Publication number
- JP2006155251A JP2006155251A JP2004345190A JP2004345190A JP2006155251A JP 2006155251 A JP2006155251 A JP 2006155251A JP 2004345190 A JP2004345190 A JP 2004345190A JP 2004345190 A JP2004345190 A JP 2004345190A JP 2006155251 A JP2006155251 A JP 2006155251A
- Authority
- JP
- Japan
- Prior art keywords
- virus
- information
- virus detection
- unit
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】ネットワークを介して連鎖的に感染するウイルスの拡散を防止するため、送信機能を備えたウイルスを的確に検出する。
【解決手段】ネットワーク2を介して感染するウイルスを検出するウイルス検出装置10において、送信ファイルの送信先を示すネットワークアドレスである送信先情報が不特定の通信相手先を示すとき、生成されるネットワークアドレスのランダム性を検出するランダム監視部41を有するウイルス検出部40を備える。
【選択図】図1
【解決手段】ネットワーク2を介して感染するウイルスを検出するウイルス検出装置10において、送信ファイルの送信先を示すネットワークアドレスである送信先情報が不特定の通信相手先を示すとき、生成されるネットワークアドレスのランダム性を検出するランダム監視部41を有するウイルス検出部40を備える。
【選択図】図1
Description
本発明は、ウイルス検出装置に関するものである。
弊害をもたらすプログラムが示されたファイルはウイルスと称されており、例えばネットワークを介して処理装置にウイルスが取込まれる(以降、感染と称す)と、該処理装置からネットワークに接続する他の処理装置にウイルスが搬送され、搬送されたウイルスにより感染した他の処理装置から更に別の処理装置にウイルスが搬送される。すなわち、ネットワークに接続する多くの処理装置に連鎖的にウイルスが搬送されて感染し、これによりネットワーク中にウイルスが氾濫してしまい、これが大きな問題となっていた。
前記したウイルスを検出するためのウイルス検出装置がワクチンソフトとして例えばトレンドマイクロ株式会社から発売されている。このワクチンソフトは、予め登録されているウイルスのファイル名に基づいてファイル検索を行うことでウイルスの検出を行っている。
また、特許文献1には、オペレーティングシステムが提供する機能をプロセス(タスク)から呼出すためのシステムコールの正当性を判断することにより、ウイルスの検出を行うことが開示されている。
更に、パーソナルファイアウォールと称されるウイルス検出装置では、処理装置で許可されたプロセス以外でのネットワーク通信を制限することでウイルス感染を防止している。
特開2004−126854号公報
ところでワクチンソフトは、予め登録されているファイル名に基づいてウイルスの検出を行うことから、既知のウイルスに対する検出は行えても、未知のウイルスを検出することができない。従って未知のウイルスに対応した新たなワクチンソフトが作成されるまで、ウイルスを容易に検出することができなかった。また、従来のワクチンソフトでは、電子メールによるウイルス検出以外は対応しておらず、これも問題となっていた。
また、特許文献1に開示されたウイルス検出装置では、システムに対して重大な障害を与えないようなウイルスは正当であると判断することから、このようなウイルスを検出することができず、これも問題となっていた。
また、パーソナルファイアウォールでは、プロセス名に基づいて判別していることから、プロセス名が偽装されると、ウイルス感染してしまう恐れがあり、これも問題となっていた。
また、パーソナルファイアウォールでは、プロセス名に基づいて判別していることから、プロセス名が偽装されると、ウイルス感染してしまう恐れがあり、これも問題となっていた。
ところで、前記した従来のウイルス検出装置で検出できないウイルスの多くは、ネットワークを介して連鎖的に感染する送信機能を備えたウイルスが多く、該送信機能を備えたウイルスを的確に検出する装置が望まれていた。
従って、本発明は前記した課題に鑑みて成されており、従来のウイルス検出装置で検出できないウイルスや、従来の検出装置に対応して巧妙化されたウイルスに対してもウイルス検出が可能であり、特にネットワークを介して連鎖的に感染するウイルスの拡散を防止すべく、送信機能を備えたウイルスを的確に検出し得るウイルス検出装置を提供することにある。
本発明は、以上の点を解決するために、次の構成を採用する。
ネットワークを介して感染するウイルスを検出するウイルス検出装置において、送信ファイルの送信先を示す送信先情報が不特定の通信相手先を示すとき、送信ファイルをウイルスとして検出するウイルス検出部を備える。
ネットワークを介して感染するウイルスを検出するウイルス検出装置において、送信ファイルの送信先を示す送信先情報が不特定の通信相手先を示すとき、送信ファイルをウイルスとして検出するウイルス検出部を備える。
送信先情報は、ネットワークにおける送信先を示すネットワークアドレスであり、ウイルス検出部は、生成されるネットワークアドレスのランダム性を検出し、ランダム性を示すランダム情報を生成するランダム監視部を備えており、ランダム情報に基づいてウイルス検出を行うことができる。
送信先情報は、ネットワークにおける送信先を示すネットワークアドレスに対応するFQDN(Fully Qualified Domain Name)であり、ウイルス検出部は、FQDNに対応する前記ネットワークアドレスを管理するDNSサーバに対し、ネットワークアドレスの取得要求を行うかを監視しており、該監視内容を示す取得要求情報を生成する取得要求監視部を備えており、取得要求情報に基づいてウイルス検出を行うことができる。
送信先情報は、ネットワークにおける送信先を示すネットワークアドレスに対応するFQDN(Fully Qualified Domain Name)であり、ウイルス検出部は、FQDNに対応する前記ネットワークアドレスを管理するDNSサーバに対し、FQDNに基づいて前記ネットワークアドレスの取得要求を行って、該取得要求に対するDNSサーバからのステータスを監視しており、該ステータスを示す取得状況情報を生成する取得状況監視部を備えており、取得状況情報に基づいてウイルス検出を行うことができる。
ウイルス検出部は、各監視部で生成する情報に対し、それぞれ重み付けを行い、重み付けされた各情報とウイルス判定基準情報とに基づいてウイルス判定を行う判定部を備えることができる。
ウイルス検出部でウイルス検出した送信ファイルを示すフィルタリング情報に基づいてウイルスの選別を行う選別部を備えており、ウイルス検出部は、ウイルスを検出すると前記フィルタリング情報を生成することができる。
ネットワークを介して感染するウイルスを検出するウイルス検出装置において、送信ファイルの送信に先立ち、送信ファイルが要約された要約情報を生成しており、同一の要約情報が所定の時間内に所定値以上生成されるとき、送信ファイルをウイルスとして検出するウイルス検出部を備えることを特徴とする。
ウイルス検出部は、要約情報をメッセージ要約関数に基づいて生成する要約情報生成部と、所定時間内に生成される要約情報の生成数を管理するための管理要約情報保持部と、管理要約情報保持部で管理される管理要約情報に基づいて、所定の時間内に生成される同一の要約情報が所定値以上あるとき、当該要約情報に対応する送信ファイルはウイルスであると判定する判定部とを備えることを特徴とする。
本発明のウイルス検出装置は、ウイルス検出部が不特定の送信相手先に対する送信であるか否かを判断し、不特定の相手先に対する送信ファイルをウイルスとして検出することから、無作為な送信先に送信をおこなう特性を有する送信機能を備えたウイルスを的確に検出することができる。
更に、本発明のウイルス検出装置は、ウイルス検出部が送信内容を要約した要約情報を生成し、同一の要約情報が所定時間内に所定数以上生成されるか否かを判断し、所定時間内に同じ要約情報が生成される送信ファイルをウイルスとして検出することから、同一内容の送信を繰返す特性を有する送信機能を備えたウイルスを的確に検出することができる。
以下、本発明の実施形態について、図を用いて詳細に説明する。以下の説明では、各実施の形態に用いる図面について同一の構成要素は同一の符号を付し、かつ重複する説明は可能な限り省略する。
本発明のウイルス検出装置10は、例えばパーソナルコンピュータやクライアント・サーバなどの処理装置に組み込まれている。このように処理装置に組み込まれたウイルス検出装置は、図1に示すようにネットワーク2に接続されており、該ネットワーク2には、複数の他の処理装置3、処理装置4および処理装置5が接続されている。
ネットワーク2に接続する各処理装置は、他の処理装置と通信が可能であり、このようなネットワークを構築するための一例としてTCP/IP(Transmission Contorl Protocol/Internet Protocol)と称される通信プロトコルが用いられている。尚、本実施例は前記したTCP/IPによりネトワーク通信可能のIPネットワークを例に以降の説明を行う。
ウイルス検出装置10は、ネットワーク2と接続するためのネットワークインタフェース20と、各種情報を保持する記憶部30と、該記憶部30で保持す情報にウイルスが含まれていないか検出するウイルス検出部40と、該ウイルス検出部40で検出したウイルスをフィルタリングするための選別部50と、該選別部50で選別するウイルスの駆除を行う駆除部60とを備える。
ネットワークインタフェース20は、ネットワーク2に接続した各処理装置とTCP/IPでデータ通信するための通信制御を行う。
記憶部30が保持する情報は、ネットワーク2を介して取得した電子メールや電子メールに添付されたファイル(プログラム)、また図示しない入力デバイスなどを介して取得したファイルや、プログラム、更にアプリケーションやオペレーティングシステムなどである。これらの情報の中には、アプリケーションやオペレーティングシステムに弊害をもたらすウイルスが含まれているおそれがあり、このような害をもたらすウイルスは、ネットワーク2を介して他の処理装置に連鎖的に感染する特徴を有している。
ところで、前記したウイルスが処理装置(ウイルス検出装置)に感染しても、当該処理装置の利用者は、ウイルスの感染認識が低く、然るに使用している処理装置がウイルスを媒介する伝播媒体になっている認識も低い。従って、利用者が知らない間に、感染したウイルスにより、勝手に新たなウイルスが生成され、生成されたウイルスが当該処理装置からネットワークに接続する他の処理装置に伝播してしまう。
ウイルス検出部40は、ウイルスが作成する送信ファイルに関連付けられた送信相手先を示す送信先情が不特定であるか否かを判定している。この判定を行うために、ウイルス検出部40は、送信先情報としてのネットワークアドレスのランダム性を監視するランダム監視部41と、FQDN(Fully Qualified Domain Name)に対応するネットワークアドレスを管理するDNSサーバに対し、ネットワークアドレスの取得要求を行うか否かを監視する取得要求監視部42と、IPアドレスの取得要求を受けたDNSサーバからのステータスを監視する取得状況監視部43と、前記各監視部からの情報に重み付けを行って得た情報と、ウイルス判定基準情報とに基づいてウウイルス判定を行う判定部44とを備える。
ランダム監視部41は、送信先情報に示された送信相手先を示すネットワークアドレス(以降、IPアドレスと称す)のランダム性を監視しており、監視内容が示されたランダム情報を生成する。
具体的には、ランダム監視部41は、送信相手先を示すIPアドレスが、所定の時間内にランダム的に生成されていないか監視している。すなわち、一般的なIP通信では、通常、所定の処理装置(ノード)に対して頻繁にアクセスを繰返すことが多く、従ってアクセスの度にノードの異なる通信相手先を示すIPアドレスは不自然である。また人間によるIPアドレスの指定や生成が極めて困難な極短時間に、通信相手先が異なるIPアドレスが生成されることも不自然であり、このようなランダム的にIPアドレスが生成されていないかランダム監視部41は監視する。ランダム監視部41は、監視結果を数値化したランダム情報を生成する。
ところで、通信先情報には、IPアドレス以外に、FQDNと称される情報が示されている。IPアドレスは人間が覚え難い数値化された情報であるのが、FQDN(完全修飾ドメイン名)は人間にとって覚え易いように文字表記されており、ドメイン名を省略することなくトップレベルからの全てのドメイン名が示された情報である。
前記したFQDNおよびIPアドレスは対でDNSサーバ(図示せず)で管理されており、例えばアプリケーションで入力されたFQDNに基づいて該FQDNに対応するIPアドレスをDNSサーバから取得し、通信相手先を示すIPアドレスに基づいてIP通信を行う。
ところで、ウイルスは、少なくともIPアドレスさえ生成してしまえばIP通信を行うことがきるため、人間にとって覚えやすいFQDNを必要としない。換言すると、ウイルスはIPアドレスを自動生成することから、FQDNに基づくIPアドレスの取得要求をDNSサーバに対し行わないと考えられる。
従って、送信先情報にFQDNが示されてないにも拘わらず、IPアドレスが示されていることは不自然であり、このような場合には、ウイルスによりIPアドレスのみが自動生成されたと考えられ、これを監視すべく、取得要求監視部42は、FQDNに基づくIPアドレスの取得要求がDNSサーバに対し行われるか否かを監視している。
取得要求監視部42は、監視結果を数値化した取得要求情報を生成する。
取得要求監視部42は、監視結果を数値化した取得要求情報を生成する。
取得状況監視部43は、FQDNに基づくIPアドレスの取得要求を行ったDNSサーバからのステータス監視を行っており、監視結果を数値化した取得状況情報を生成する。
ところで、ウイルスがランダム的に生成するFQDNに基づいてDNSサーバにIPアドレスの取得要求を行っても、ランダム的に生成されたFQDNに対応するIPアドレスがDNSサーバで管理されてない場合があり、その場合にはDNSサーバからウイルス検出装置10へエラーステータス(DNSエラー)が通知される。このDNSエラーを取得状況監視部43は監視している。
判定部44は、前記したランダム情報、取得要求情報および取得状況情報に対し、それぞれ重みの異なる重み付けを行い、重み付けした各情報の合算値と、ウイルス判定基準情報に示される基準値との比較を行って、基準値以上である場合には、送信先情報に関係付けられた送信ファイルをウイルスであると判定し、該送信ファイルを示すフィルタリング情報を生成する。
重み付けの一例として、ランダム情報に対する重み付け値が1番高く、取得要求情報および取得状況情報をランダム情報の重み付け値より低い重み付け値に設定する。
尚、この重み付け値は変更可能であり、ウイルス検出装置の設計仕様に基づいて適宜変更される。
また、ウイルス判定基準値もウイルス検出装置の設計仕様に基づいて適宜変更される。
尚、この重み付け値は変更可能であり、ウイルス検出装置の設計仕様に基づいて適宜変更される。
また、ウイルス判定基準値もウイルス検出装置の設計仕様に基づいて適宜変更される。
選別部50は、ウイルス検出部40からのフィルタリング情報に基づいて、記憶部30で保持されている情報からウイルス検出部40で検知されたウイルス(送信ファイル)の選別を行う。
駆除部60は、選別部50で選別されたウイルスの駆除を行うべく、利用者に駆除を行うか否かを確認する通知部61を備えている。この通知部61は、画面表示や音声案内などの機能を備えており、これらの機能を用いてウイルスを検出したこと利用者に通知する。
通知部61によるウイルス検出通知を受けた利用者は、ウイルス駆除を図示しない入力部で指示すると、検出したウイルスが記憶部30から削除される。
次に、本発明のウイルス検出装置10の動作を図2のフローチャートに沿って説明する。
尚、ウイルスが感染したことを前提にウイルス検出装置10の動作説明を行う。
送信フィアルが生成されて送信先情報が生成される(ステップS1)。通常、送信先情報はアプリケーションにより生成されるが、ウイルス感染すると当該ウイルスにより送信先情報が自動生成される。
尚、ウイルスが感染したことを前提にウイルス検出装置10の動作説明を行う。
送信フィアルが生成されて送信先情報が生成される(ステップS1)。通常、送信先情報はアプリケーションにより生成されるが、ウイルス感染すると当該ウイルスにより送信先情報が自動生成される。
ところで、ウイルス検出部40は生成される送信先情報が不特定の通信相手先であるとき、送信先情報に対応付けられた送信ファイルをウイルスと判断する。
具体的には、ウイルス検出部40のランダム監視部41が、送信先情報に示されたIPアドレスのランダム性を監視し、監視結果としてランダム性を示すランダム情報を生成する(ステップS2)。
具体的には、ウイルス検出部40のランダム監視部41が、送信先情報に示されたIPアドレスのランダム性を監視し、監視結果としてランダム性を示すランダム情報を生成する(ステップS2)。
また、送信先情報にFQDNが示されているとき(ステップS3)、取得要求監視部42はFQDNに基づいてIPアドレスの取得をDNSサーバに対し行うか監視しており、該監視結果を示す取得要求情報を生成する(ステップS4)。
FQDNに基づいてDNSサーバに対しIPアドレスの取得要求を行った後、取得状況監視部43は、DNSサーバからのステータスを監視する。すなわち取得状況監視部43は、DNSサーバからのDNSエラーを監視し、該監視結果を示す取得状況情報を生成する(ステップS5)。
判定部44は、各監視部で生成される情報に所定の重み付けを行い(ステップS6)、重み付けした各情報と、所定のウイルス判定基準値との比較判定を行い(ステップS7)、重み付けした情報がウイルス判定基準値以上であるとき、当該送信先情報に対応付けられた送信ファイルをウイルスであると判断し、該送信ファイルを示すフィルタリング情報を生成する。
生成されたフィルタリング情報は選別部50へ送られると、該選別部50はフィルタリング情報に示される送信ファイルを記憶部30で保持するファイル群から選別する(ステップS8)。
その後、駆除部60の通知部61により、利用者にウイルス検出を通知して警告する(ステップS9)。
ところで、ウイルス検出を行うための判定基準が低く設定されていると、利用者が送信しようとする送信ファイルがウイルスであると判断される場合もあり、このような場合に対処すべく、ウイルスであると仮検出した送信ファイルが利用者の意思で送信しようとしているか否か利用者に確認を行う(ステップS10)。
その後、駆除部60の通知部61により、利用者にウイルス検出を通知して警告する(ステップS9)。
ところで、ウイルス検出を行うための判定基準が低く設定されていると、利用者が送信しようとする送信ファイルがウイルスであると判断される場合もあり、このような場合に対処すべく、ウイルスであると仮検出した送信ファイルが利用者の意思で送信しようとしているか否か利用者に確認を行う(ステップS10)。
この確認で利用者の意思で送信しようとしていない送信ファイルであるとき、選別部50で選別した送信ファイルが駆除部60で駆除されるべく、記憶部30から削除される(ステップS11)。
前記したように、実施例1のウイルス検出装置10によれば、送信相手先をランダム監視部41、取得要求監視部42および取得状況監視部43で監視し、各監視結果に基づいて判定部で不特定の送信先に対する送信であるか否かを判定することにより、不特定の送信先に対する送信ファイルをウイルスとして検出することができる。更に、ウイルス検出したことを利用者に警告することにより、警告を受けた利用者は自身が意図する送信でない送信ファイルの駆除を駆除部60に指示し、該駆除部60で検出したウイルスの駆除を行うことができ、ネットワーク2を介してウイルス感染することを未然に防止することができる。
次に、同じ送信内容での送信を繰返すウイルス特性に着目したウイルス検出装置100を説明する。
実施例2のウイルス検出装置100は、図3に示すように、実施例1と同様にネットワーク2を介して複数の他の処理装置3、処理装置4および処理装置5と接続されている。
実施例2のウイルス検出装置100は、ネットワーク2を介して通信するための制御を行うネットワークインタフェース20と、各種情報を保持する記憶部30と、検出したウイルスをフィルタリングするための選別部50と、ウイルスの駆除を行う駆除部60とを備えており、更に送信ファイルの要約情報に基づいてウイルス検出を行うウイルス検出部70とを備える。
ウイルス検出部70以外の各構成は、前記した実施例1と同様であることからその説明を割愛し、実施例2の特徴であるウイルス検出部70を詳細に説明する。
ウイルス検出部70は、送信ファイルを要約する要約部71と、該要約部71で作成された要約情報を管理する要約情報管理部72と、該要約情報管理部72で管理する要約管理情報に基づいてウイルス判定を行う判定部73とを備える。
要約部71は、従来から知られたハッシュ関数やCRC(Cyclic Redundancy Check)と称される巡回冗長検査用関数などのメッセージ要約関数を用いて送信ファイルを要約して要約情報を生成する。
ハッシュ関数は、メッセージ ダイジェスト(圧縮)と称される計算関数であり、送信ファイルの要約を行い、不可逆性の要約情報を生成する。
ハッシュ関数は、メッセージ ダイジェスト(圧縮)と称される計算関数であり、送信ファイルの要約を行い、不可逆性の要約情報を生成する。
ハッシュ関数としては、例えばMD5やHMACと称さる処理アルゴリズムがあり、これらの処理アルゴリズムを用いてファイル内容を要約し、32ビットの情報を生成する。ハッシュ関数により生成される32ビットの情報が要約情報である。
ところで、ハッシュ関数の処理アルゴリズムは規則性があり、該処理アルゴリズムに従って生成される要約情報は、ファイルが同一であれば同一となる。即ち、ハッシュ関数は同一フィアルを一義的に要約して同一の要約情報を生成する。
ところで、ウイルスは、該ウイルスを複写して生成した送信ファイルまたは自己生成したウイルスの送信ファイルの送信を繰返す特性を有している。従って、ウイルス特性に着目し、送信に先立ち生成される送信ファイルの要約情報を生成することにより、該同一の要約情報が所定の時間内に頻繁に作成される場合、当該送信ファイルはウイルスであると判断することができる。
要約情報管理部72はウイルス判定に必要な情報を要約管理情報として生成し管理しており、該要約管理情報を保持するための要約管理情報保持部720を備えている。
要約情報管理部72は、要約部71で生成された要約情報が同一であるか否か判定し、同一の要約情報を所定時間内においてカウントする。つまり要約情報管理部72は、所定時間内で生成される送信ファイルに基づいて生成される要約情報の生成数をカウントする。要約情報管理部72は、要約情報の生成数をカウントして管理するための要約管理情報を生成する。
要約管理情報は、図4に示すように、要約部71で求めた要約情報と、カウント値と、カウント値の保持時間とで構成されている。要約情報は、要約関数で求めたハッシュ値と、該ハッシュ値の生成元の送信ファイルのファイルサイズとで構成されている。
図4におけるハッシュ値は、32ビットの情報を16進8桁で示されている。送信ファイルのファイルサイズは、互いに異なる送信ファイルにもかかわらず、要約部71で同一のハシュ値が生成されるおそれがあり、これを峻別するための情報である。従って、同一のハッシュ値であるがファイルサイズが異なる場合、新たな要約情報(ハッシュ値+送信ファイルサイズ)が要約管理情報に生成されて、当該要約情報におけるカウント管理が要約情報管理部72で行われる。
カウント値は、同一のハッシュ値であり、かつファイルサイズのことなるハッシュ値が生成される度に加算される値である。
残り保持時間は、要約管理情報において、要約情報(ハッシュ値や送信ファイルサイズ)やカウンタなどを保持し続ける残り時間である。残り保持時間は、カウント値の加算が行われると初期化、つまり所定の時間がセットされる。また新規な要約情報がエントリされたときにも、残り保持時間は初期化される。
ところで、前記した残り保持時間は図示しない計時部に対応しており、要約情報管理部72は計時部で1秒の時間経過があると、残り保持時間が1秒少なくなるように要約管理情報を管理する。要約情報管理部72は、設定された残り保持時間内に、カウンタ値の加算が行われない場合、すなわち設定された残り保持時間内に同一送信ファイルの送信繰返しがないとき、当該要約情報を要約管理情報から削除する。
判定部73は、要約情報管理部72の要約管理情報保持部720で保持する要約管理情報に基づいて、各要約情報のカウント値がウイルス判断基準値以上であるか否か判定する。判定部73は、判定でウイルス判断基準値以上のカウントされた要約情報に対応する送信ファイルはウイルスであると判断し、該送信ファイルを示すフィルタリング情報を生成する。
次に、実施例2のウイルス検出装置100の動作を図5のフローチャートに沿って説明する。
尚、ウイルスが感染したことを前提にウイルス検出装置100の動作説明を行う。
尚、ウイルスが感染したことを前提にウイルス検出装置100の動作説明を行う。
送信に先立ち送信ファイルが生成されと(ステップS21)、該送信ファイルに基づいて要約部71は要約情報を生成する(ステップS22)。要約情報が生成されると、要約情報管理部72は、生成された要約情報は新規な要約情報であるか、既に管理している要約情報であるか否か要約管理情報に基づいて判断する(ステップS23)。
既に管理している要約情報である場合には、要約情報管理部72は要約管理情報で管理するカウンタ値をカウントアップすると共に残り保存時間の初期化を行う(ステップS24)。
判定部73は、要約管理情報保持部720で保持する要約管理情報に基づいて、カウンタ値とウイルス判断基準値との比較を行い(ステップS25)、カウンタ値がウイルス判断基準値以上であるとき、当該カウンタ値に対応する要約情報に対応する送信ファイルがウイルスであると判断し、該送信フィアルを示すフィルタリング情報を生成する。
判定部73は、要約管理情報保持部720で保持する要約管理情報に基づいて、カウンタ値とウイルス判断基準値との比較を行い(ステップS25)、カウンタ値がウイルス判断基準値以上であるとき、当該カウンタ値に対応する要約情報に対応する送信ファイルがウイルスであると判断し、該送信フィアルを示すフィルタリング情報を生成する。
選別部50はフィルタリング情報に示される送信ファイルを記憶部30で保持するファイル群から選別する(ステップS26)。その後、駆除部60の通知部61により、利用者にウイルス検出の通知警告が行われる(ステップS27)。
その後駆除部60は、ウイルス警告を受けた利用者に対し、当該利用者の意思で送信しようとしている送信ファイルであるか否か利用者に確認する(ステップS28)。
その後駆除部60は、ウイルス警告を受けた利用者に対し、当該利用者の意思で送信しようとしている送信ファイルであるか否か利用者に確認する(ステップS28)。
この確認で利用者の意思で送信しようとしていない送信ファイルであるとき、選別部50で選別した送信ファイルをウイルスとして駆除すべく、当該送信ファイルを駆除部60は記憶部30から削除する(ステップS29)。
一方、前記したステップS23において、新規な要約情報である場合には、要約情報管理部72は、新規な要約情報の管理を開始すべく、要約管理情報に新規な要約情報をセットし残り保持時間を初期化し(ステップS30)、前記したステップS25からの処理を行う。
ところで、前記した各処理を行っている間にも、残り保持時間のタイマ制御が要約情報管理部72で行われており、残り保持時間の値がゼロになると、要約管理情報から残り保持時間の値がゼロの要約情報が削除され、当該要約情報の管理が終了する。
前記したように、実施例2のウイルス検出装置100によれば、送信ファイルに基づいて要約部71で要約された要約情報の生成のカウントを要約情報管理部72で行いし、判定部73で所定の時間内に生成される同一の要約情報のカウント値がウイルス判断基準値以上であるとき、要約情報の生成元である送信ファイルをウイルスと判断し、ウイルス検出したことを利用者に警告することにより、警告を受けた利用者は自身が意図する送信でない送信ファイルの駆除を駆除部60に指示し、該駆除部60で検出したウイルスの駆除を行うことができ、ネットワーク2を介してウイルス感染することを未然に防止することができる。
前記した実施例1では、ランダム監視部41、取得要求監視部42および取得状況監視部43でそれぞれ生成される情報に重み付けを行って判定を行ったが、前記した各監視部の少なくとも一つ以上の監視部での監視結果に基づいて、ウイルス検出の判定を行うようにしてもよい。
2 ネットワーク
3、4、5 処理装置
10、100 ウイルス検出装置
20 ネットワークインタフェース
30 記憶部
40、70 ウイルス検出部
41 ランダム監視部
42 取得要求監視部
43 取得状況監視部
50 選別部
60 駆除部
61 通知部
71 要約部
72 要約情報管理部
720 要約管理情報保持部
3、4、5 処理装置
10、100 ウイルス検出装置
20 ネットワークインタフェース
30 記憶部
40、70 ウイルス検出部
41 ランダム監視部
42 取得要求監視部
43 取得状況監視部
50 選別部
60 駆除部
61 通知部
71 要約部
72 要約情報管理部
720 要約管理情報保持部
Claims (9)
- ネットワークを介して感染するウイルスを検出するウイルス検出装置において、
送信ファイルの送信先を示す送信先情報が不特定の通信相手先を示すとき、前記送信ファイルをウイルスとして検出するウイルス検出部を備えることを特徴とするウイルス検出装置。 - 前記送信先情報は、前記ネットワークにおける送信先を示すネットワークアドレスであり、
前記ウイルス検出部は、生成されるネットワークアドレスのランダム性を検出し、ランダム性を示すランダム情報を生成するランダム監視部を備えており、前記ランダム情報に基づいてウイルス検出を行うことを特徴とする請求項1記載のウイルス検出装置。 - 前記送信先情報は、前記ネットワークにおける送信先を示すネットワークアドレスに対応するFQDN(Fully Qualified Domain Name)であり、
前記ウイルス検出部は、前記FQDNに対応する前記ネットワークアドレスを管理するDNSサーバに対し、前記ネットワークアドレスの取得要求を行うかを監視しており、該監視内容を示す取得要求情報を生成する取得要求監視部を備えており、前記取得要求情報に基づいてウイルス検出を行うことを特徴とする請求項1記載のウイルス検出装置。 - 前記送信先情報は、前記ネットワークにおける送信先を示すネットワークアドレスに対応するFQDN(Fully Qualified Domain Name)であり、
前記ウイルス検出部は、前記FQDNに対応する前記ネットワークアドレスを管理するDNSサーバに対し、前記FQDNに基づいて前記ネットワークアドレスの取得要求を行って、該取得要求に対する前記DNSサーバからのステータスを監視しており、該ステータスを示す取得状況情報を生成する取得状況監視部を備えており、前記取得状況情報に基づいてウイルス検出を行うことを特徴とする請求項1記載のウイルス検出装置。 - 前記ウイルス検出部は、前記各監視部で生成する情報に対し、それぞれ重み付けを行い、重み付けされた各情報とウイルス判定基準情報とに基づいてウイルス判定を行う判定部を備えることを特徴とする請求項2ないし請求項4において、少なくとも1項記載のウイルス検出装置。
- 前記ウイルス検出部でウイルス検出した送信ファイルを示すフィルタリング情報に基づいてウイルスの選別を行う選別部を備えており、
前記ウイルス検出部は、ウイルスを検出すると前記フィルタリング情報を生成することを特徴とする請求項1記載のウイルス検出装置。 - ネットワークを介して感染するウイルスを検出するウイルス検出装置において、
送信ファイルの送信に先立ち、前記送信ファイルが要約された要約情報を生成しており、同一の要約情報が所定の時間内に所定値以上生成されるとき、前記送信ファイルをウイルスとして検出するウイルス検出部を備えることを特徴とするウイルス検出装置。 - 前記ウイルス検出部は、前記要約情報をメッセージ要約関数に基づいて生成する要約情報生成部と、
所定時間内に生成される前記要約情報の生成数を管理するための管理要約情報保持部と、
前記管理要約情報保持部で管理される前記管理要約情報に基づいて、所定の時間内に生成される同一の要約情報が所定値以上あるとき、当該要約情報に対応する送信ファイルはウイルスであると判定する判定部とを備えることを特徴とする請求項7記載のウイルス検出装置。 - 前記ウイルス検出部でウイルス検出した送信ファイルを示すフィルタリング情報に基づいてウイルスの選別を行う選別部を備えており、
前記ウイルス検出部は、ウイルスを検出すると前記フィルタリング情報を生成することを特徴とする請求項7記載のウイルス検出装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004345190A JP4412156B2 (ja) | 2004-11-30 | 2004-11-30 | 処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004345190A JP4412156B2 (ja) | 2004-11-30 | 2004-11-30 | 処理装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008189032A Division JP4730409B2 (ja) | 2008-07-22 | 2008-07-22 | 処理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006155251A true JP2006155251A (ja) | 2006-06-15 |
| JP4412156B2 JP4412156B2 (ja) | 2010-02-10 |
Family
ID=36633477
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004345190A Active JP4412156B2 (ja) | 2004-11-30 | 2004-11-30 | 処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4412156B2 (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007142121A1 (ja) | 2006-06-02 | 2007-12-13 | Mitsubishi Chemical Corporation | 非水系電解液及び非水系電解液電池 |
| JP2008176753A (ja) * | 2007-01-22 | 2008-07-31 | National Institute Of Information & Communication Technology | データ類似性検査方法及び装置 |
| JP2010092235A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| WO2010082289A1 (ja) * | 2009-01-13 | 2010-07-22 | 三菱電機株式会社 | パケット収集装置及び再現装置及びパケット収集プログラム及び記録媒体 |
| JP2011076188A (ja) * | 2009-09-29 | 2011-04-14 | Nippon Telegr & Teleph Corp <Ntt> | Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム |
| JP2014525639A (ja) * | 2011-09-07 | 2014-09-29 | マカフィー, インコーポレイテッド | クラウド技術を用いたマルウェアの動的駆除 |
| KR20160030385A (ko) * | 2013-07-05 | 2016-03-17 | 비트데펜더 아이피알 매니지먼트 엘티디 | 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002223256A (ja) * | 2001-01-29 | 2002-08-09 | Fujitsu Ltd | メールウイルス検出用コンピュータ・プログラム |
| JP2003067210A (ja) * | 2001-08-22 | 2003-03-07 | Just Syst Corp | プログラム実行防止装置、プログラム実行防止方法、その方法をコンピュータに実行させるプログラムおよびそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2003198626A (ja) * | 2001-12-27 | 2003-07-11 | Fuji Xerox Co Ltd | メールサーバ、メールサーバにおける電子メール通信制御方法、電子メールシステム |
| JP2004259060A (ja) * | 2003-02-26 | 2004-09-16 | Canon Inc | データ受信方法及び画像形成装置 |
-
2004
- 2004-11-30 JP JP2004345190A patent/JP4412156B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002223256A (ja) * | 2001-01-29 | 2002-08-09 | Fujitsu Ltd | メールウイルス検出用コンピュータ・プログラム |
| JP2003067210A (ja) * | 2001-08-22 | 2003-03-07 | Just Syst Corp | プログラム実行防止装置、プログラム実行防止方法、その方法をコンピュータに実行させるプログラムおよびそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2003198626A (ja) * | 2001-12-27 | 2003-07-11 | Fuji Xerox Co Ltd | メールサーバ、メールサーバにおける電子メール通信制御方法、電子メールシステム |
| JP2004259060A (ja) * | 2003-02-26 | 2004-09-16 | Canon Inc | データ受信方法及び画像形成装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007142121A1 (ja) | 2006-06-02 | 2007-12-13 | Mitsubishi Chemical Corporation | 非水系電解液及び非水系電解液電池 |
| EP2461415A1 (en) | 2006-06-02 | 2012-06-06 | Mitsubishi Chemical Corporation | Nonaqueous electrolytic solutions and nonaqueous-electrolyte batteries |
| JP2008176753A (ja) * | 2007-01-22 | 2008-07-31 | National Institute Of Information & Communication Technology | データ類似性検査方法及び装置 |
| JP2010092235A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| WO2010082289A1 (ja) * | 2009-01-13 | 2010-07-22 | 三菱電機株式会社 | パケット収集装置及び再現装置及びパケット収集プログラム及び記録媒体 |
| JP5014492B2 (ja) * | 2009-01-13 | 2012-08-29 | 三菱電機株式会社 | パケット収集装置及び再現装置及びパケット収集プログラム及び記録媒体 |
| JP2011076188A (ja) * | 2009-09-29 | 2011-04-14 | Nippon Telegr & Teleph Corp <Ntt> | Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム |
| JP2014525639A (ja) * | 2011-09-07 | 2014-09-29 | マカフィー, インコーポレイテッド | クラウド技術を用いたマルウェアの動的駆除 |
| KR20160030385A (ko) * | 2013-07-05 | 2016-03-17 | 비트데펜더 아이피알 매니지먼트 엘티디 | 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가 |
| JP2016526730A (ja) * | 2013-07-05 | 2016-09-05 | ビットディフェンダー アイピーアール マネジメント リミテッド | 仮想マシンにおけるマルウェア検出のためのプロセス評価 |
| KR101946982B1 (ko) * | 2013-07-05 | 2019-05-10 | 비트데펜더 아이피알 매니지먼트 엘티디 | 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4412156B2 (ja) | 2010-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10664602B2 (en) | Determining malware prevention based on retrospective content scan | |
| EP2739003B1 (en) | Systems and methods to detect and respond to distributed denial of service (DDoS) attacks | |
| JP4688420B2 (ja) | 電子セキュリティを強化するシステムおよび方法 | |
| JP4072150B2 (ja) | ホストベースのネットワーク侵入検出システム | |
| EP2222048A1 (en) | Detecting malicious behaviour on a computer network | |
| US7215777B2 (en) | Sending notification through a firewall over a computer network | |
| WO2007062086A2 (en) | Domain name system security network | |
| JP4489676B2 (ja) | 通信システム | |
| JP2013242869A (ja) | 惡性コード遮断システム | |
| WO2007146690A2 (en) | Systems and methods for graphically displaying messaging traffic | |
| WO2003003214A1 (en) | Intelligent network scanning system and method | |
| JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
| US20150033335A1 (en) | SYSTEMS AND METHODS TO DETECT AND RESPOND TO DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACKS | |
| US8898276B1 (en) | Systems and methods for monitoring network ports to redirect computing devices to a protected network | |
| US8590002B1 (en) | System, method and computer program product for maintaining a confidentiality of data on a network | |
| JP4412156B2 (ja) | 処理装置 | |
| US8082583B1 (en) | Delegation of content filtering services between a gateway and trusted clients in a computer network | |
| JP2006237892A (ja) | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム | |
| JP4730409B2 (ja) | 処理装置 | |
| JP2007179523A (ja) | 悪意データを検出する端末装置及び関連方法 | |
| KR100819072B1 (ko) | 자전하는 이-메일 바이러스들의 완화 | |
| JP2007052550A (ja) | コンピュータシステム及び情報処理端末 | |
| JP2018142197A (ja) | 情報処理装置、方法およびプログラム | |
| US20160337394A1 (en) | Newborn domain screening of electronic mail messages | |
| EP3133790A1 (en) | Message sending method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080520 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080722 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090127 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090330 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090728 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090730 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091027 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091109 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121127 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4412156 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121127 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121127 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121127 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131127 Year of fee payment: 4 |