JP2006252277A - コンピュータウィルス感染エリア検出方法及びネットワークシステム - Google Patents

コンピュータウィルス感染エリア検出方法及びネットワークシステム Download PDF

Info

Publication number
JP2006252277A
JP2006252277A JP2005069141A JP2005069141A JP2006252277A JP 2006252277 A JP2006252277 A JP 2006252277A JP 2005069141 A JP2005069141 A JP 2005069141A JP 2005069141 A JP2005069141 A JP 2005069141A JP 2006252277 A JP2006252277 A JP 2006252277A
Authority
JP
Japan
Prior art keywords
switch
computer virus
network
infected
attack source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005069141A
Other languages
English (en)
Other versions
JP4411658B2 (ja
Inventor
Akira Maeda
顕 前田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005069141A priority Critical patent/JP4411658B2/ja
Publication of JP2006252277A publication Critical patent/JP2006252277A/ja
Application granted granted Critical
Publication of JP4411658B2 publication Critical patent/JP4411658B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】 コンピュータウィルスの監視を行っていない位置でも、ウィルス感染エリアを検知することが可能なコンピュータウィルス感染エリア検出方法及びその方法を用いたネットワークシステムを提供する。
【解決手段】 ネットワーク管理プログラムによって管理しているネットワークシステムにおいて、コンピュータウィルスに感染したPCが他の装置に攻撃している情報をIDS500が検出すると、ネットワークを構成する各機器の接続情報に基づいてIDS500が監視しているスイッチを特定し、また、接続情報に基づいて特定したスイッチの各接続先の構成を示すサブネットワークの中からコンピュータウィルスの攻撃元が含まれているサブネットワークを見つけ、コンピュータウィルスの感染エリア或いはウィルス感染の疑いのあるエリアとして検知する。
【選択図】 図2

Description

本発明は、コンピュータウィルスの感染エリアを検出する方法及びその方法を用いたネットワークシステムに関するものである。
従来、IDSを用いてネットワーク上の特定の位置を流れるIPパケットを監視することにより、コンピュータウィルスの検出を行う方法がある。この方法では、ネットワーク上の全ての位置の監視を行うことはできないため、コンピュータウィルスに感染したPCからの攻撃のIPパケットがIDSでの監視点を通る前に、コンピュータウィルス感染PCの近くに存在する他のPCが攻撃を受け、コンピュータウィルスに感染する場合がある。
また、コンピュータウィルスの防止方法として、例えば、特開平11−167487号公報に記載されているようにウィルスパターンを格納し、パケットをウィルスパターンに基づいて感染パケットか否かをチェックし、感染パケットを検出した場合には、感染パケットに対応するファイルを実行不可にする方法がある(特許文献1)。
特開平11−167487号公報(段落0015〜0017、図1等)
従来のIDSを用いた方法では、ネットワークシステムの特定の位置を流れるデータの監視を行い、コンピュータウィルスによる攻撃等の検出を行っているため、IDSで監視を行っている位置より末端に位置するネットワーク内は監視対象とはなっていない。そのため、IDSにおいてコンピュータウィルスの攻撃等を検出した時点で既にこの末端に位置するネットワーク内の他の装置にコンピュータウィルスが感染している場合があった。
また、特許文献1には、ウィルスパターンに基づいて感染パケットか否かを検知し、感染パケットを検知した場合には、感染パケットに対応するファイルを実行不可にすることが記載されているが、これは、主にウィルス駆除等を目的としており、コンピュータウィルスの感染エリアを検知するものではなかった。
本発明の目的は、コンピュータウィルスの監視を行っていない位置でもウィルス感染エリアを検知することが可能なコンピュータウィルス感染エリア検出方法及びその方法を用いたネットワークシステムを提供することにある。
本発明のネットワークシステムは、上記目的を達成するため、スイッチを流れるIPパケットを監視してコンピュータウィルスによる攻撃元を検知する手段と、ネットワークを構成する各機器の接続情報を保持する手段と、前記接続情報に基づいて前記検知手段が監視しているスイッチを特定する手段と、前記接続情報に基づいて当該特定したスイッチの各接続先の構成を示すサブネットワークの中から前記コンピュータウィルスの攻撃元が含まれているサブネットワークを見つけ、コンピュータウィルスの感染エリア或いはウィルス感染の疑いのあるエリアとして検知する手段とを備えたことを特徴とする。
また、本発明のコンピュータウィルス感染エリア検出方法は、コンピュータウィルスの攻撃元を検知する攻撃元検知手段がスイッチを流れるIPパケットを監視してコンピュータウィルスによる攻撃元を検知するステップと、前記検知手段が監視するスイッチを特定する特定手段がネットワークを構成する各機器の接続情報に基づいて前記検知手段が監視しているスイッチを特定するステップと、コンピュータウィルスの感染エリアを検知する検知手段が前記接続情報に基づいて前記特定したスイッチの各接続先の構成を示すサブネットワークの中から前記コンピュータウィルスの攻撃元が含まれているサブネットワークを見つけ、コンピュータウィルスの感染エリア或いはウィスル感染の疑いのあるエリアとして検知するステップとを含むことを特徴とする。
本発明によれば、ネットワークの接続情報を持ち、その情報とコンピュータウィルスによる攻撃元情報に基づいてネットワーク範囲を特定するため、IDSが監視できないネットワーク範囲についてもコンピュータウィルス感染の可能性のあるネットワーク範囲を特定でき、コンピュータウィルスの感染エリアを確実に検出することができる。
次に、発明を実施するための最良の形態について図面を参照して詳細に説明する。本発明は、ネットワーク管理プログラムによって管理しているネットワークシステムにおいて、コンピュータウィルスに感染したPCが他の装置へ攻撃している情報をIDSで検出した場合に、IDSで検出したコンピュータウィルス感染情報をもとにネットワーク管理プログラムで管理しているネットワークの中で攻撃を行ったPC以外にコンピュータウィルスに感染している可能性のあるネットワークの範囲を特定し、ネットワーク管理プログラム上に表示する。
(第1の実施形態)
図1は本発明の第1の実施形態を示すブロック図である。図中100はIPネットワークシステム100であり、PC200、PC2n0、PC300、PC3n0、スイッチ400、スイッチ410、スイッチ4n0、IDS500、管理サーバ600、管理サーバ600を制御するための管理プログラム700から構成されている。
PC200は他のPCとIP通信を行う。PC2n0は他のPCとIP通信を行う。PC300は他のPCとIP通信を行う。PC3n0は他のPCとIP通信を行う。スイッチ400は、スイッチ410と、スイッチ4n0と、IDS500と、管理サーバ600をIPネットワークで接続する。
スイッチ410は、PC200と、PC2n0と、スイッチ400をIPネットワークで接続する。スイッチ4n0は、PC300と、PC3n0と、スイッチ400をIPネットワークで接続する。
IDS500はスイッチ400を流れるIPパケットを監視し、コンピュータウィルスによる攻撃を検知する。また、IDS500はコンピュータウィルスによる攻撃を検知すると、攻撃元の装置のIPアドレスをSYSLOGやTRAPにより管理サーバ600へ通知する。管理サーバ600は管理プログラム700を実行する。
管理プログラム700はIDS500からのSYSLOGやTRAPによる通知を受信する機能を持つ。また、管理プログラム700はIPネットワークシステム100を構成するPCと、スイッチと、IDSと、管理サーバそれぞれについて他の装置との接続情報を保持し、構成を表示する機能を持つ。
次に、図1及び図2のフローチャートを参照して本実施形態の動作について詳細に説明する。まず、ネットワークの中のPC200がコンピュータウィルスに感染しており、コンピュータウィルスがPC300へ攻撃を行うものとする(図2のステップA1)。この攻撃のIPパケットがスイッチ400を通る時にIDS500がコンピュータウィルスの攻撃を検知する(ステップA2)。
IDS500は検知した攻撃元がPC200であることを管理プログラム700へ通知する(ステップA3)。IDS500は周知のようにパケットの送信元、送信先情報等によりウィルスの攻撃元を検知する機能持つ。管理プログラム700はIDS500からの通知を受信すると、保持しているIPネットワーク100の機器の接続情報(図3に示す)を調べて、IDS500がスイッチ400に接続されていることを特定する(ステップA4)。
また、接続情報に基づいてスイッチ400に関してサブネットワーク単位の機器情報(図4に示す)を取り出す(ステップA5)。即ち、後述するように図3の接続情報に基づいてスイッチ400の各接続先におけるネットワーク構成をサブネットワークとし、スイッチ400の全ての接続先におけるサブネットワークを作成する。
図3はIPネットワーク100内の各機器の接続情報を示す。PCやスイッチ等の各機器毎に接続先1、接続先2、…、の接続情報を保持している。例えば、PC200の接続先は図1に示すようにスイッチ410である。また、スイッチ400の接続先は4つあり、接続先1はスイッチ410、接続先2はスイッチ4n0、接続先3はIDS500、接続先4は管理サーバ600である。このように各機器毎に全ての接続先を保持している。
また、図4はスイッチ400のサブネットワークを示す。スイッチ400は接続先が4つあり、それぞれの接続先に繋がるネットワーク構成をサブネットワークとする。例えば、サブネットワーク1として、スイッチ410、PC200、PC2n0がある。また、サブネットワーク2として、スイッチ4n0、PC300、PC3n0がある。このように管理プログラム700は、図3の接続情報に基づいてスイッチ400に繋がる全てのサブネットワークを作成する。
図2に戻る。次に、得られたサブネットワークの中からPC200が含まれているサブネットワークを調べる(ステップA6)。この場合には、図4に示すようにPC200はサブネットワーク1に含まれているので、該当するサブネットワーク1が見つかる。次いで、見つかったサブネットワーク1をコンピュータウィルスに感染しているネットワーク或いはウィルスに感染している疑いのあるネットワークとして管理プログラム700上に表示を行う(ステップA7)。
(第2の実施形態)
図5は本発明の第2の実施形態を示すブロック図である。図5では図1と同一部分には同一符号を付している。図5ではスイッチ410にスイッチ900とスイッチ9n0が接続され、スイッチ900にPC200とPc2n0が接続され、スイッチ9n0にPC800とPC8n0が接続されている。この点が図1と異なっている。
即ち、IPネットワークシステム100は、PC200、PC2n0、PC300、PC3n0、PC800、PC8n0、スイッチ400、スイッチ410、スイッチ4n0、スイッチ900、スイッチ9n0、IDS500、管理サーバ600、管理プログラム700から構成されている。
PC200は他のPCとIP通信を行う。PC2n0は他のPCとIP通信を行う。PC300は他のPCとIP通信を行う。PC3n0は他のPCとIP通信を行う。PC800は他のPCとIP通信を行う。PC8n0は他のPCとIP通信を行う。
スイッチ400は、スイッチ410と、スイッチ4n0と、IDS500と、管理サーバ600をIPネットワークで接続する。スイッチ410は、スイッチ400と、スイッチ900と、スイッチ9n0をIPネットワークで接続する。スイッチ4n0は、PC300と、PC3n0と、スイッチ400をIPネットワークで接続する。スイッチ900は、PC200と、PC2n0と、スイッチ410をIPネットワークで接続する。スイッチ9n0は、PC800と、PC8n0と、スイッチ410をIPネットワークで接続する。
IDS500はスイッチ400を流れるIPパケットを監視してコンピュータウィルスによる攻撃を検知する。また、IDS500はコンピュータウィルスによる攻撃を検知すると攻撃元の装置のIPアドレスをSYSLOGやTRAPにより管理サーバ600へ通知する。
管理サーバ600は管理プログラム700を実行する。管理プログラム700はIDS500からのSYSLOGやTRAPによる通知を受信する機能を持つ。また、IPネットワークシステム10を構成するPCと、スイッチと、IDSと、管理サーバそれぞれについて他の装置との接続情報を保持し、構成を表示する機能を持つ。
次に、図5及び図2のフローチャートを参照して本実施形態の動作について詳細に説明する。まず、PC200がコンピュータウィルスに感染しており、コンピュータウィルスがPC300へ攻撃を行うものとする(図2のステップA1)。この攻撃のIPパケットがスイッチ400を通る時にIDS500が攻撃を検知する(ステップA2)。IDS500は検知した攻撃の攻撃元がPC200であることを管理プログラム700へ通知する(ステップA3)。
管理プログラム700はIDS500からの通知を受信すると、保持しているIPネットワーク100の機器の接続情報(図6に示す)を調べて、IDS500がスイッチ400に接続されていることを特定する(ステップA4)。また、接続情報(図6に示す)からスイッチ400の各接続先における全てのサブネットワークを作成する(ステップA5)。
図6はIPネットワーク100内の各機器の接続情報を示す。図3と同様にPCやスイッチ等の各機器毎に接続先1、接続先2、…、の接続情報を保持している。例えば、スイッチ400の接続先は4つあり、接続先1はスイッチ410、接続先2はスイッチ4n0、接続先3はIDS500、接続先4は管理サーバ600である。
また、図7はスイッチ400のサブネットワークを示す。スイッチ400は接続先が4つあり、それぞれの接続先に繋がる構成をサブネットワークとする。例えば、サブネットワーク1として、スイッチ410、スイッチ900、スイッチ9n0、PC200、PC2n0、PC800、PC8n0がある。また、サブネットワーク2として、スイッチ4n0、PC300、PC3n0がある。
次に、得られたサブネットワークの中から攻撃元のPC200が含まれているサブネットワークを調べ、、PC200が含まれているサブネットワーク1を見つける(ステップA6)。見つかったサブネットワーク1をコンピュータウィルスに感染しているネットワーク或いはウィルスに感染している疑いのあるネットワークとして管理プログラム700上に表示を行う(ステップA7)。
以上のように第1及び第2の実施形態では、管理プログラム上にネットワーク内の接続情報を持ち、その接続情報とIDS500で検知されたコンピュータウィルスによる攻撃元情報に基づいてウィルス感染エリア等のネットワーク範囲を特定しているので、IDS500では監視できていないネットワーク範囲に関しても、コンピュータウィルスの感染エリア或いはウィルス感染の疑いのあるエリアとして検知することが可能となる。
なお、図1、図5で説明した管理プログラム700は管理サーバ600上の図示しないROM等の記憶手段に電子的に格納されており、管理サーバ600がそれを実行することによって図2の処理手順が可能となる。
本発明は、スイッチの設定変更を行うプログラムと連携することにより、IDSでのコンピュータウィルス検出時にコンピュータウィルス感染の疑いのあるネットワークエリアを隔離するといった用途に適用できる。
本発明の第1の実施形態を示すブロック図である。 第1の実施形態の動作を示すフローチャートである。 第1の実施形態のIPネットワークの接続情報を示す図である。 第1の実施形態のサブネットワークを示す図である。 本発明の第2の実施形態を示すブロック図である。 第2の実施形態のIPネットワークの接続情報を示す図である。 第2の実施形態のサブネットワークを示す図である。
符号の説明
100 IPネットワークシステム
200 PC
2n0 PC
300 PC
3n0 PC
400 スイッチ
410 スイッチ
4n0 スイッチ
500 IDS
600 管理サーバ
700 管理プログラム
800 PC
8n0 PC
900 スイッチ
9n0 スイッチ

Claims (6)

  1. スイッチを流れるIPパケットを監視してコンピュータウィルスによる攻撃元を検知する手段と、ネットワークを構成する各機器の接続情報を保持する手段と、前記接続情報に基づいて前記検知手段が監視しているスイッチを特定する手段と、前記接続情報に基づいて当該特定したスイッチの各接続先の構成を示すサブネットワークの中から前記コンピュータウィルスの攻撃元が含まれているサブネットワークを見つけ、コンピュータウィルスの感染エリア或いはウィルス感染の疑いのあるエリアとして検知する手段とを備えたことを特徴とするネットワークシステム。
  2. 前記攻撃元を検知する手段は、IDSであることを特徴とする請求項1に記載のネットワークシステム。
  3. コンピュータウィルスの攻撃元を検知する攻撃元検知手段がスイッチを流れるIPパケットを監視してコンピュータウィルスによる攻撃元を検知するステップと、前記検知手段が監視するスイッチを特定する特定手段がネットワークを構成する各機器の接続情報に基づいて前記検知手段が監視しているスイッチを特定するステップと、コンピュータウィルスの感染エリアを検知する検知手段が前記接続情報に基づいて前記特定したスイッチの各接続先の構成を示すサブネットワークの中から前記コンピュータウィルスの攻撃元が含まれているサブネットワークを見つけ、コンピュータウィルスの感染エリア或いはウィルス感染の疑いのあるエリアとして検知するステップとを含むことを特徴とするコンピュータウィルス感染エリア検出方法。
  4. 前記攻撃元を検知する手段は、IDSであることを特徴とする請求項3に記載のコンピュータウィルス感染エリア検出方法。
  5. コンピュータを、コンピュータウィルスによる攻撃元を受信する手段と、ネットワークを構成する各機器の接続情報を保持する手段と、前記接続情報に基づいて前記検知手段が監視しているスイッチを特定する手段と、前記接続情報に基づいて当該特定したスイッチの各接続先の構成を示すサブネットワークの中から前記コンピュータウィルスによる攻撃元が含まれているサブネットワークを見つけ、コンピュータウィルスの感染エリア或いはウィルス感染の疑いのあるエリアとして検知する手段として機能させるためのプログラム。
  6. 前記コンピュータウィルスによる攻撃元は、IDSで検知されることを特徴とする請求項5に記載のプログラム。
JP2005069141A 2005-03-11 2005-03-11 コンピュータウィルス感染エリア検出方法及びネットワークシステム Expired - Fee Related JP4411658B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005069141A JP4411658B2 (ja) 2005-03-11 2005-03-11 コンピュータウィルス感染エリア検出方法及びネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005069141A JP4411658B2 (ja) 2005-03-11 2005-03-11 コンピュータウィルス感染エリア検出方法及びネットワークシステム

Publications (2)

Publication Number Publication Date
JP2006252277A true JP2006252277A (ja) 2006-09-21
JP4411658B2 JP4411658B2 (ja) 2010-02-10

Family

ID=37092699

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005069141A Expired - Fee Related JP4411658B2 (ja) 2005-03-11 2005-03-11 コンピュータウィルス感染エリア検出方法及びネットワークシステム

Country Status (1)

Country Link
JP (1) JP4411658B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016199582A1 (ja) * 2015-06-10 2016-12-15 株式会社日立システムズ サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法
CN111526061A (zh) * 2020-07-06 2020-08-11 南京赛宁信息技术有限公司 网络靶场实战演练场景的监控流量调度系统与方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016199582A1 (ja) * 2015-06-10 2016-12-15 株式会社日立システムズ サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法
JP2017004233A (ja) * 2015-06-10 2017-01-05 株式会社日立システムズ サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法
CN111526061A (zh) * 2020-07-06 2020-08-11 南京赛宁信息技术有限公司 网络靶场实战演练场景的监控流量调度系统与方法
CN111526061B (zh) * 2020-07-06 2020-11-24 南京赛宁信息技术有限公司 网络靶场实战演练场景的监控流量调度系统与方法

Also Published As

Publication number Publication date
JP4411658B2 (ja) 2010-02-10

Similar Documents

Publication Publication Date Title
JP4545647B2 (ja) 攻撃検知・防御システム
US9596213B2 (en) Monitoring arrangement
CN105099821B (zh) 基于云的虚拟环境下流量监控的方法和装置
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US8516573B1 (en) Method and apparatus for port scan detection in a network
US6654882B1 (en) Network security system protecting against disclosure of information to unauthorized agents
EP2713581A1 (en) Virtual honeypot
JP2006319982A (ja) 通信ネットワーク内ワーム特定及び不活化方法及び装置
JP6168977B2 (ja) 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法
EP2200249A1 (en) Network analysis
JP6256773B2 (ja) セキュリティシステム
JP4680931B2 (ja) 不正アクセスプログラム監視処理方法、不正アクセスプログラム監視プログラムおよび不正アクセスプログラム監視装置
EP1754348B1 (en) Using address ranges to detect malicious activity
US10205738B2 (en) Advanced persistent threat mitigation
WO2002096028A1 (en) Network based intrusion detection system
JP4411658B2 (ja) コンピュータウィルス感染エリア検出方法及びネットワークシステム
JP4694578B2 (ja) コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム
Xia et al. Effective worm detection for various scan techniques
JP2004248185A (ja) ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
JP6476853B2 (ja) ネットワーク監視システム及び方法
JP4753264B2 (ja) ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
JP2008165601A (ja) 通信監視システム、通信監視装置、及び通信制御装置
JP2006325091A (ja) ネットワーク攻撃防御システム

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080515

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090522

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090527

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090721

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090821

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091002

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091026

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091108

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121127

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4411658

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121127

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131127

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees