JP2006330926A - ウィルス感染検知装置 - Google Patents
ウィルス感染検知装置 Download PDFInfo
- Publication number
- JP2006330926A JP2006330926A JP2005151227A JP2005151227A JP2006330926A JP 2006330926 A JP2006330926 A JP 2006330926A JP 2005151227 A JP2005151227 A JP 2005151227A JP 2005151227 A JP2005151227 A JP 2005151227A JP 2006330926 A JP2006330926 A JP 2006330926A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- virus
- address
- access
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】 ウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが分からない新種のウィルスを拡散している可能性があるコンピュータを検出することができるウィルス感染検知装置を得ることを目的とする。
【解決手段】 ダミーコンピュータ6に対する他のコンピュータのアクセスを検知するアクセス検知部21と、アクセス検知部21により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出するIPアドレス検出部22とを設け、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、IPアドレス検出部22により検出されたIPアドレスを管理サーバ7に通知する。
【選択図】 図1
【解決手段】 ダミーコンピュータ6に対する他のコンピュータのアクセスを検知するアクセス検知部21と、アクセス検知部21により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出するIPアドレス検出部22とを設け、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、IPアドレス検出部22により検出されたIPアドレスを管理サーバ7に通知する。
【選択図】 図1
Description
この発明は、ネットワークに接続されているコンピュータのウィルス感染を検知するウィルス感染検知装置に関するものである。
例えば、企業においては、多くのコンピュータがLANなどのネットワークに接続されて利用されている。
このLANにネットワーク攻撃型のウィルスが侵入すると、そのウィルスが不特定のIPアドレスのコンピュータに侵入して攻撃を開始し、ネットワーク経由でウィルスが拡散する。
このLANにネットワーク攻撃型のウィルスが侵入すると、そのウィルスが不特定のIPアドレスのコンピュータに侵入して攻撃を開始し、ネットワーク経由でウィルスが拡散する。
そこで、従来からネットワーク攻撃型のウィルスを検知するウィルス感染検知装置が開発されている。
従来のウィルス感染検知装置においては、クライアントコンピュータが、自己にアクセスしているコンピュータのIPアドレスとポート番号を含むアクセス履歴を格納するアクセス履歴データベースと、ウィルスの侵入を検知するウィルス対策ソフトとを備えるようにしている。
そして、クライアントコンピュータのウィルス対策ソフトがウィルスの侵入を検知すると、サーバコンピュータがクライアントコンピュータのアクセス履歴データベースから、ウィルスの侵入が検知された時刻後のアクセス履歴を収集して、そのアクセス履歴に含まれているコンピュータのIPアドレスとポート番号からウィルスの感染元を検知するようにしている(例えば、特許文献1参照)。
従来のウィルス感染検知装置においては、クライアントコンピュータが、自己にアクセスしているコンピュータのIPアドレスとポート番号を含むアクセス履歴を格納するアクセス履歴データベースと、ウィルスの侵入を検知するウィルス対策ソフトとを備えるようにしている。
そして、クライアントコンピュータのウィルス対策ソフトがウィルスの侵入を検知すると、サーバコンピュータがクライアントコンピュータのアクセス履歴データベースから、ウィルスの侵入が検知された時刻後のアクセス履歴を収集して、そのアクセス履歴に含まれているコンピュータのIPアドレスとポート番号からウィルスの感染元を検知するようにしている(例えば、特許文献1参照)。
従来のウィルス感染検知装置は以上のように構成されているので、予めウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが分かっていれば、ウィルス対策ソフトがウィルスの侵入を検知することができる。しかし、新種のウィルスの場合、ウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが分からないため、ウィルスの侵入を検知することができず、ネットワーク経由でウィルスが拡散して、コンピュータを使用することができなくなることがある課題があった。
この発明は上記のような課題を解決するためになされたもので、ウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが分からない新種のウィルスを拡散している可能性があるコンピュータを検出することができるウィルス感染検知装置を得ることを目的とする。
この発明に係るウィルス感染検知装置は、ダミーコンピュータに対する他のコンピュータのアクセスを検知するアクセス検知手段と、そのアクセス検知手段により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出するIPアドレス検出手段とを設け、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、そのIPアドレス検出手段により検出されたIPアドレスを通知するようにしたものである。
この発明によれば、ダミーコンピュータに対する他のコンピュータのアクセスを検知するアクセス検知手段と、そのアクセス検知手段により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出するIPアドレス検出手段とを設け、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、そのIPアドレス検出手段により検出されたIPアドレスを通知するように構成したので、ウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが分からない新種のウィルスを拡散している可能性があるコンピュータを検出することができる効果がある。
実施の形態1.
図1はこの発明の実施の形態1によるウィルス感染検知装置を示す構成図であり、図において、ネットワーク1は例えばLANなどの企業内広域ネットワークである。
コンピュータ2〜5はネットワーク1に接続されており、パーソナルファイアウォール11やウィルス検知処理部12などを実装している。
コンピュータ4はウィルスに1次感染しているコンピュータであり、そのウィルスをコンピュータ5に拡散しているほか、コンピュータ2やダミーコンピュータ6に対してウィルスの拡散を試みようとしている。
コンピュータ5はウィルスに2次感染しているコンピュータであり、コンピュータ3に対してウィルスの拡散を試みようとしている。
図1はこの発明の実施の形態1によるウィルス感染検知装置を示す構成図であり、図において、ネットワーク1は例えばLANなどの企業内広域ネットワークである。
コンピュータ2〜5はネットワーク1に接続されており、パーソナルファイアウォール11やウィルス検知処理部12などを実装している。
コンピュータ4はウィルスに1次感染しているコンピュータであり、そのウィルスをコンピュータ5に拡散しているほか、コンピュータ2やダミーコンピュータ6に対してウィルスの拡散を試みようとしている。
コンピュータ5はウィルスに2次感染しているコンピュータであり、コンピュータ3に対してウィルスの拡散を試みようとしている。
ダミーコンピュータ6はネットワーク1に接続されているが、コンピュータ2〜5のような通常のコンピュータと異なり、あくまでもダミーのコンピュータであるため、通常の使用状態では、コンピュータ2〜5からアクセスを受けることはないコンピュータである。したがって、ダミーコンピュータ6にアクセスしてくるコンピュータは通常の使用状態ではなく、ウィルスに感染しているコンピュータの可能性がある。
管理サーバ7はウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが記録されているウィルスDB14をコンピュータ2〜5に配付する一方、コンピュータ2〜5のウィルス検知処理部12がウィルスの侵入を検知すると、コンピュータ2〜5の通信ログDB13に記録されている通信ログを収集し、その通信ログを解析して1次感染コンピュータや2次感染コンピュータを認定するなどの処理を実施する。
管理サーバ7はウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが記録されているウィルスDB14をコンピュータ2〜5に配付する一方、コンピュータ2〜5のウィルス検知処理部12がウィルスの侵入を検知すると、コンピュータ2〜5の通信ログDB13に記録されている通信ログを収集し、その通信ログを解析して1次感染コンピュータや2次感染コンピュータを認定するなどの処理を実施する。
図2はこの発明の実施の形態1によるウィルス感染検知装置が監視するコンピュータ2〜5を示す構成図であり、図において、パーソナルファイアウォール11は他のコンピュータからのアクセスを監視し、他のコンピュータによる通信ログ(通信日時、From IP(送信元コンピュータのIPアドレス)、Fromポート(送信元コンピュータが使用している送信側のポート番号)、Toポート(送信元コンピュータが使用している受信側のポート番号)、通信データ)を通信ログDB13に記録する処理を実施する。なお、パーソナルファイアウォール11はアクセス検知手段を構成している。
ウィルス検知処理部12は例えばウィルス対策ソフトウェア12を実行するプログラミング機器から構成され、通信ログDB13に記録されている通信ログとウィルスDB14に記録されているポートの情報等を照合してウィルスの検知処理を実施し、ウィルスを検知すると、ウィルス拡散コンピュータのIPアドレスとして、他のコンピュータのIPアドレスを管理サーバ7に通知する処理を実施する。なお、ウィルス検知処理部12はウィルス検知手段とIPアドレス通知手段を構成している。
ウィルス検知処理部12は例えばウィルス対策ソフトウェア12を実行するプログラミング機器から構成され、通信ログDB13に記録されている通信ログとウィルスDB14に記録されているポートの情報等を照合してウィルスの検知処理を実施し、ウィルスを検知すると、ウィルス拡散コンピュータのIPアドレスとして、他のコンピュータのIPアドレスを管理サーバ7に通知する処理を実施する。なお、ウィルス検知処理部12はウィルス検知手段とIPアドレス通知手段を構成している。
図3はこの発明の実施の形態1によるウィルス感染検知装置のダミーコンピュータ6を示す構成図であり、図において、アクセス検知部21は例えばネットワーク監視機器から構成され、ダミーコンピュータ6に対する他のコンピュータのアクセスを検知する処理を実施する。なお、アクセス検知部21はアクセス検知手段を構成している。
IPアドレス検出部22は例えばパーソナルファイアウォールから構成され、アクセス検知部21により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出する処理を実施する。なお、IPアドレス検出部22はIPアドレス検出手段を構成している。
IPアドレス通知部23は例えばモデムなどの通信機器から構成され、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、IPアドレス検出部22により検出されたIPアドレスを管理サーバ7に通知する処理を実施する。なお、IPアドレス通知部23はIPアドレス通知手段を構成している。
IPアドレス検出部22は例えばパーソナルファイアウォールから構成され、アクセス検知部21により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出する処理を実施する。なお、IPアドレス検出部22はIPアドレス検出手段を構成している。
IPアドレス通知部23は例えばモデムなどの通信機器から構成され、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、IPアドレス検出部22により検出されたIPアドレスを管理サーバ7に通知する処理を実施する。なお、IPアドレス通知部23はIPアドレス通知手段を構成している。
図4はこの発明の実施の形態1によるウィルス感染検知装置の管理サーバ7を示す構成図であり、図において、ウィルスDB配付部31は例えばデータ送信機器から構成され、ウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが記録されているウィルスDB14をコンピュータ2〜5に配付する処理を実施する。
情報収集部32は例えばデータ受信機器から構成され、コンピュータ2〜5のウィルス検知処理部12からウィルスの侵入検知通知を受けると、ウィルス検知処理部12の検知ログ(例えば、検出日時、ウィルス名、検出PC、攻撃元PC)を収集する一方、ダミーコンピュータ6のIPアドレス通知部23から通知されたIPアドレスを収集する処理を実施する。
情報収集部32は例えばデータ受信機器から構成され、コンピュータ2〜5のウィルス検知処理部12からウィルスの侵入検知通知を受けると、ウィルス検知処理部12の検知ログ(例えば、検出日時、ウィルス名、検出PC、攻撃元PC)を収集する一方、ダミーコンピュータ6のIPアドレス通知部23から通知されたIPアドレスを収集する処理を実施する。
メッセージ通知部33は例えばメーラから構成され、情報収集部32がダミーコンピュータ6からIPアドレスを収集すると、そのIPアドレスを有するコンピュータの管理者等に、ウィルスを拡散している可能性がある旨を示すメッセージを通知するなどの処理を実施する。
感染コンピュータ認定部34は例えばMPUなどのIC集積回路から構成され、情報収集部32により収集された検知ログを解析して1次感染コンピュータや2次感染コンピュータを認定するなどの処理を実施する。なお、通信ログ収集部32及び感染コンピュータ認定部34から認定手段が構成されている。
コンピュータ切り離し部35は例えばスイッチ制御回路などから構成され、情報収集部32により収集された検知ログに含まれているウィルス名が、危険度が高いウィルスの名称を表している場合、ネットワーク1のHUB1aを制御して、そのウィルスに感染しているコンピュータをネットワーク1から切り離す処理を実施する。なお、コンピュータ切り離し部35は切り離し手段を構成している。
感染コンピュータ認定部34は例えばMPUなどのIC集積回路から構成され、情報収集部32により収集された検知ログを解析して1次感染コンピュータや2次感染コンピュータを認定するなどの処理を実施する。なお、通信ログ収集部32及び感染コンピュータ認定部34から認定手段が構成されている。
コンピュータ切り離し部35は例えばスイッチ制御回路などから構成され、情報収集部32により収集された検知ログに含まれているウィルス名が、危険度が高いウィルスの名称を表している場合、ネットワーク1のHUB1aを制御して、そのウィルスに感染しているコンピュータをネットワーク1から切り離す処理を実施する。なお、コンピュータ切り離し部35は切り離し手段を構成している。
次に動作について説明する。
管理サーバ7のウィルスDB配付部31は、新種のウィルスが検出されて、新種のウィルスが使用するポートの情報やウィルスが送信するデータの特徴などがウィルスDB14に記録されると、そのウィルスDB14をネットワーク1に接続されている全てのコンピュータ2〜5に配付する。図5はウィルスDB14の記録内容の一例を示す説明図である。
コンピュータ2〜5におけるウィルスの検知処理は後述するが、管理サーバ7のウィルスDB配付部31からウィルスDB14の配付を受けることでウィルスの検知が可能になる。
管理サーバ7のウィルスDB配付部31は、新種のウィルスが検出されて、新種のウィルスが使用するポートの情報やウィルスが送信するデータの特徴などがウィルスDB14に記録されると、そのウィルスDB14をネットワーク1に接続されている全てのコンピュータ2〜5に配付する。図5はウィルスDB14の記録内容の一例を示す説明図である。
コンピュータ2〜5におけるウィルスの検知処理は後述するが、管理サーバ7のウィルスDB配付部31からウィルスDB14の配付を受けることでウィルスの検知が可能になる。
しかし、新種のウィルスが検出されて、新種のウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが特定される前の段階では、コンピュータ2〜5において、新種のウィルスを検知することができず、新種のウィルスに感染することがある。
図1の例では、コンピュータ4は、新種のウィルスに1次感染しており、そのウィルスをコンピュータ5に拡散しているほか、コンピュータ2やダミーコンピュータ6に対してウィルスの拡散を試みようとしている。
この結果、コンピュータ5は、新種のウィルスに2次感染している。
図1の例では、コンピュータ4は、新種のウィルスに1次感染しており、そのウィルスをコンピュータ5に拡散しているほか、コンピュータ2やダミーコンピュータ6に対してウィルスの拡散を試みようとしている。
この結果、コンピュータ5は、新種のウィルスに2次感染している。
ネットワーク攻撃型のウィルスは、不特定のIPアドレスのコンピュータに侵入して攻撃を開始するものであるため、新種のウィルスに1次感染しているコンピュータ4は、ダミーコンピュータ6に対してもウィルスの拡散を試みることになる。
しかし、ダミーコンピュータ6は、コンピュータ2〜5のような通常のコンピュータと異なり、あくまでもダミーのコンピュータであるため、通常の使用状態では、コンピュータ2〜5からアクセスを受けることはないコンピュータである。
したがって、ダミーコンピュータ6にアクセスしてくるコンピュータは通常の使用状態ではなく、ウィルスに感染しているコンピュータの可能性がある。
そこで、ダミーコンピュータ6は、自己にアクセスしてくるコンピュータを検出し、そのコンピュータのIPアドレスを、ウィルスに感染している可能性があるコンピュータのIPアドレスとして管理サーバ7に通知するようにしている。
具体的には、下記の通りである。
しかし、ダミーコンピュータ6は、コンピュータ2〜5のような通常のコンピュータと異なり、あくまでもダミーのコンピュータであるため、通常の使用状態では、コンピュータ2〜5からアクセスを受けることはないコンピュータである。
したがって、ダミーコンピュータ6にアクセスしてくるコンピュータは通常の使用状態ではなく、ウィルスに感染しているコンピュータの可能性がある。
そこで、ダミーコンピュータ6は、自己にアクセスしてくるコンピュータを検出し、そのコンピュータのIPアドレスを、ウィルスに感染している可能性があるコンピュータのIPアドレスとして管理サーバ7に通知するようにしている。
具体的には、下記の通りである。
ダミーコンピュータ6のアクセス検知部21は、ダミーコンピュータ6に対する他のコンピュータのアクセスを検知する処理を実施する。
図1の例では、ダミーコンピュータ6が新種のウィルスに1次感染しているコンピュータ4からアクセスを受けるので、コンピュータ4のアクセスを検知する。
ダミーコンピュータ6のIPアドレス検出部22は、アクセス検知部21がコンピュータ4のアクセスを検知すると、コンピュータ4のIPアドレス(From IP)を検出する。
ダミーコンピュータ6のIPアドレス通知部23は、IPアドレス検出部22がコンピュータ4のIPアドレスを検出すると、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、コンピュータ4のIPアドレスを管理サーバ7に通知する。
図1の例では、ダミーコンピュータ6が新種のウィルスに1次感染しているコンピュータ4からアクセスを受けるので、コンピュータ4のアクセスを検知する。
ダミーコンピュータ6のIPアドレス検出部22は、アクセス検知部21がコンピュータ4のアクセスを検知すると、コンピュータ4のIPアドレス(From IP)を検出する。
ダミーコンピュータ6のIPアドレス通知部23は、IPアドレス検出部22がコンピュータ4のIPアドレスを検出すると、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、コンピュータ4のIPアドレスを管理サーバ7に通知する。
管理サーバ7の情報収集部32は、ダミーコンピュータ6から通知されたIPアドレスを収集する。
管理サーバ7のメッセージ通知部33は、情報収集部32がダミーコンピュータ6からIPアドレスを収集すると、そのIPアドレスを有するコンピュータの管理者等に、ウィルスを拡散している可能性がある旨を示すメッセージを通知するなどの処理を実施する。
これにより、コンピュータの管理者等は、自己が管理しているコンピュータがウィルスに感染している可能性を認識することができるので、ネットワーク1経由でウィルスが拡散する前に適切な処置(例えば、コンピュータ4をネットワーク1から切り離したり、ハードディスクを初期化したりするなどの処置)を講じることが可能になる。
管理サーバ7のメッセージ通知部33は、情報収集部32がダミーコンピュータ6からIPアドレスを収集すると、そのIPアドレスを有するコンピュータの管理者等に、ウィルスを拡散している可能性がある旨を示すメッセージを通知するなどの処理を実施する。
これにより、コンピュータの管理者等は、自己が管理しているコンピュータがウィルスに感染している可能性を認識することができるので、ネットワーク1経由でウィルスが拡散する前に適切な処置(例えば、コンピュータ4をネットワーク1から切り離したり、ハードディスクを初期化したりするなどの処置)を講じることが可能になる。
ウィルスに感染していないコンピュータ2,3のパーソナルファイアウォール11は、自コンピュータ2,3に対する他のコンピュータのアクセスを監視し、他のコンピュータによる通信ログ(通信日時、From IP(送信元コンピュータのIPアドレス)、Fromポート(送信元コンピュータが使用している送信側のポート番号)、Toポート(送信元コンピュータが使用している受信側のポート番号)、通信データ)を通信ログDB13に記録する処理を実施する。図6は通信ログDB13の記録内容の一例を示す説明図である。
コンピュータ2,3のウィルス検知処理部12は、通信ログDB13に記録されている通信ログとウィルスDB14に記録されているポートの情報等を照合してウィルスの検知処理を実施する。
即ち、ウィルス検知処理部12は、他のコンピュータが使用しているポート(Fromポート、または、Toポート)が、ウィルスDB14に記録されているポートと一致しており、かつ、他のコンピュータから送信された通信データの文字列が、ウィルスDB14に記録されている特徴(=文字列)と一致していれば、他のコンピュータからウィルスを送りつけられていると判断する。
ウィルス検知処理部12は、上記のようにして、ウィルスを検知すると、ウィルスの侵入検知信号を管理サーバ7に送信する。
即ち、ウィルス検知処理部12は、他のコンピュータが使用しているポート(Fromポート、または、Toポート)が、ウィルスDB14に記録されているポートと一致しており、かつ、他のコンピュータから送信された通信データの文字列が、ウィルスDB14に記録されている特徴(=文字列)と一致していれば、他のコンピュータからウィルスを送りつけられていると判断する。
ウィルス検知処理部12は、上記のようにして、ウィルスを検知すると、ウィルスの侵入検知信号を管理サーバ7に送信する。
管理サーバ7の情報収集部32は、コンピュータ2,3のウィルス検知処理部12からウィルスの侵入検知信号を受信すると、ウィルス検知処理部12の検知ログ(ウィルスの検出日時、ウィルス名、コンピュータ2,3のIPアドレス、攻撃元である他のコンピュータのIPアドレス)を収集する。図7はウィルス検知処理部12の検知ログの一例を示す説明図である。
管理サーバ7の感染コンピュータ認定部34は、情報収集部32がウィルス検知処理部12の検知ログを収集すると、その検知ログを解析して1次感染コンピュータや2次感染コンピュータを認定する処理を実施する。
管理サーバ7の感染コンピュータ認定部34は、情報収集部32がウィルス検知処理部12の検知ログを収集すると、その検知ログを解析して1次感染コンピュータや2次感染コンピュータを認定する処理を実施する。
即ち、感染コンピュータ認定部34は、ウィルス検知処理部12の検知ログに記録されている1以上のIPアドレスをウィルス名ごとに分類し、ウィルスの検出日時が最も古いIPアドレスを有するコンピュータを1次感染コンピュータに認定する。
それよりもウィルスの検出日時に新しいIPアドレスを有するコンピュータを2次感染コンピュータに認定する。
それよりもウィルスの検出日時に新しいIPアドレスを有するコンピュータを2次感染コンピュータに認定する。
管理サーバ7のコンピュータ切り離し部35は、情報収集部32により収集された検知ログに含まれているウィルス名が、危険度が高いウィルスの名称を表している場合、ネットワーク1のHUB1aを制御して、そのウィルスに感染しているコンピュータ4,5をネットワーク1から切り離す処理を実施する。
例えば、あらかじめウィルスAは危険度が高く、ウィルスBは危険度が低いと認定されている場合、コンピュータ4,5がウィルスBに感染していても、コンピュータ切り離し部35がコンピュータ4,5をネットワーク1から切り離すことはないが、コンピュータ4,5がウィルスAに感染していれば、コンピュータ切り離し部35がコンピュータ4,5をネットワーク1から切り離す処理を実施する。
例えば、あらかじめウィルスAは危険度が高く、ウィルスBは危険度が低いと認定されている場合、コンピュータ4,5がウィルスBに感染していても、コンピュータ切り離し部35がコンピュータ4,5をネットワーク1から切り離すことはないが、コンピュータ4,5がウィルスAに感染していれば、コンピュータ切り離し部35がコンピュータ4,5をネットワーク1から切り離す処理を実施する。
以上で明らかなように、この実施の形態1によれば、ダミーコンピュータ6に対する他のコンピュータのアクセスを検知するアクセス検知部21と、そのアクセス検知部21により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出するIPアドレス検出部22とを設け、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、そのIPアドレス検出部22により検出されたIPアドレスを管理サーバ7に通知するように構成したので、ウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが分からない新種のウィルスを拡散している可能性があるコンピュータ4,5を検出することができる効果を奏する。
また、この実施の形態1によれば、パーソナルファイアウォール11により他のコンピュータのアクセスが検知されると、他のコンピュータによる通信ログを解析してウィルスを検知し、そのウィルスの拡散元である他のコンピュータのIPアドレスを検出するウィルス検知処理部12を設け、ウィルス拡散コンピュータのIPアドレスとして、他のコンピュータのIPアドレスを通知するように構成したので、既にウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが分かっているウィルスに感染しているコンピュータを特定することができる効果を奏する。
また、この実施の形態1によれば、ウィルス検知処理部12により検出された他のコンピュータのIPアドレスの他に、ウィルス名とウィルスの検出日時を通知するように構成したので、コンピュータに感染しているウィルスの詳細を把握することができる効果を奏する。
さらに、この実施の形態1によれば、ウィルス検知処理部12により通知されたIPアドレスをウィルス名ごとに分類し、ウィルスの検出日時が最も古いIPアドレスを有するコンピュータを1次感染コンピュータに認定し、それ以外のIPアドレスを有するコンピュータを2次感染コンピュータに認定するように構成したので、ウィルスの感染経路などを把握することができるようになり、その結果、ウィルスの効率的な駆除を実施することができる効果を奏する。
また、この実施の形態1によれば、ウィルス検知処理部12により通知されたウィルス名が、危険度が高いウィルスの名称を表している場合、そのウィルスに感染しているコンピュータをネットワーク1から切り離すように構成したので、ネットワーク1経由でのウィルスの拡散を防止することができる効果を奏する。
なお、この実施の形態1では、ダミーコンピュータ6がウィルスを拡散している可能性があるコンピュータのIPアドレスを検出して、そのIPアドレスを管理サーバ7に通知するものについて示したが、ウィルスを拡散している可能性があるコンピュータのIPアドレスを検出するダミーの装置であればよく、ダミーコンピュータ6自体がコンピュータである必要はない。
実施の形態2.
図8はこの発明の実施の形態2によるウィルス感染検知装置を示す構成図であり、図1と比べて、ダミーコンピュータ6が搭載されておらず、コンピュータ2〜5がダミーコンピュータ6の機能(ウィルスを拡散している可能性があるコンピュータのIPアドレスを検出する機能)を備えている点で相違している。
図8はこの発明の実施の形態2によるウィルス感染検知装置を示す構成図であり、図1と比べて、ダミーコンピュータ6が搭載されておらず、コンピュータ2〜5がダミーコンピュータ6の機能(ウィルスを拡散している可能性があるコンピュータのIPアドレスを検出する機能)を備えている点で相違している。
図9はこの発明の実施の形態2によるウィルス感染検知装置のコンピュータ2〜5を示す構成図であり、図において、図2と同一符号は同一または相当部分を示すので説明を省略する。
IPアドレス検出部15はパーソナルファイアウォール11により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出する処理を実施する。なお、IPアドレス検出部15はIPアドレス検出手段を構成している。
IPアドレス通知部16はパーソナルファイアウォール11によりアクセスが検知された他のコンピュータにおける単位時間当りのアクセス回数が規定数を超えると、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、IPアドレス検出部15により検出されたIPアドレスを管理コンピュータ7に通知する処理を実施する。なお、IPアドレス通知部16はIPアドレス通知手段を構成している。
IPアドレス検出部15はパーソナルファイアウォール11により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出する処理を実施する。なお、IPアドレス検出部15はIPアドレス検出手段を構成している。
IPアドレス通知部16はパーソナルファイアウォール11によりアクセスが検知された他のコンピュータにおける単位時間当りのアクセス回数が規定数を超えると、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、IPアドレス検出部15により検出されたIPアドレスを管理コンピュータ7に通知する処理を実施する。なお、IPアドレス通知部16はIPアドレス通知手段を構成している。
次に動作について説明する。
管理サーバ7のウィルスDB配付部31は、新種のウィルスが検出されて、新種のウィルスが使用するポートの情報やウィルスが送信するデータの特徴などがウィルスDB14に記録されると、上記実施の形態1と同様に、そのウィルスDB14をネットワーク1に接続されている全てのコンピュータ2〜5に配付する。
コンピュータ2〜5におけるウィルスの検知処理は、上記実施の形態1と同様であるため説明を省略するが、管理サーバ7のウィルスDB配付部31からウィルスDB14の配付を受けることでウィルスの検知が可能になる。
管理サーバ7のウィルスDB配付部31は、新種のウィルスが検出されて、新種のウィルスが使用するポートの情報やウィルスが送信するデータの特徴などがウィルスDB14に記録されると、上記実施の形態1と同様に、そのウィルスDB14をネットワーク1に接続されている全てのコンピュータ2〜5に配付する。
コンピュータ2〜5におけるウィルスの検知処理は、上記実施の形態1と同様であるため説明を省略するが、管理サーバ7のウィルスDB配付部31からウィルスDB14の配付を受けることでウィルスの検知が可能になる。
しかし、新種のウィルスが検出されて、新種のウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが特定される前の段階では、コンピュータ2〜5において、新種のウィルスを検知することができず、新種のウィルスに感染することがある。
そこで、この実施の形態2では、コンピュータ2〜5において、ウィルスを拡散している可能性があるコンピュータのIPアドレスを検出することができるようにしている。
具体的には、下記の通りである。
そこで、この実施の形態2では、コンピュータ2〜5において、ウィルスを拡散している可能性があるコンピュータのIPアドレスを検出することができるようにしている。
具体的には、下記の通りである。
コンピュータ2〜5のパーソナルファイアウォール11は、自コンピュータ2〜5に対する他のコンピュータのアクセスを検知する処理を実施する。
コンピュータ2〜5のIPアドレス検出部15は、パーソナルファイアウォール11が他のコンピュータのアクセスを検知すると、他のコンピュータのIPアドレスを検出する処理を実施する。
コンピュータ2〜5のIPアドレス検出部15は、パーソナルファイアウォール11が他のコンピュータのアクセスを検知すると、他のコンピュータのIPアドレスを検出する処理を実施する。
ここで、ウィルスに感染していないコンピュータは、通常、単位時間当りのアクセス回数が規定数を超えるような異常な回数のアクセスを行うことはないが、ウィルスに感染しているコンピュータは、単位時間当りのアクセス回数が規定数を超えるような異常な回数のアクセスを行うことがある。
そこで、コンピュータ2〜5のIPアドレス通知部16は、パーソナルファイアウォール11によりアクセスが検知された他のコンピュータにおける単位時間当りのアクセス回数が規定数を超えると、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、IPアドレス検出部15により検出されたIPアドレスを管理コンピュータ7に通知する。
そこで、コンピュータ2〜5のIPアドレス通知部16は、パーソナルファイアウォール11によりアクセスが検知された他のコンピュータにおける単位時間当りのアクセス回数が規定数を超えると、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、IPアドレス検出部15により検出されたIPアドレスを管理コンピュータ7に通知する。
管理サーバ7の情報収集部32は、コンピュータ2〜5から通知されたIPアドレスを収集する。
管理サーバ7のメッセージ通知部33は、情報収集部32がコンピュータ2〜5からIPアドレスを収集すると、そのIPアドレスを有するコンピュータの管理者等に、ウィルスを拡散している可能性がある旨を示すメッセージを通知するなどの処理を実施する。
これにより、コンピュータの管理者等は、自己が管理しているコンピュータがウィルスに感染している可能性を認識することができるので、ネットワーク1経由でウィルスが拡散する前に適切な処置(例えば、コンピュータ4をネットワーク1から切り離したり、ハードディスクを初期化したりするなどの処置)を講じることが可能になる。
その他の処理内容は、上記実施の形態1と同様であるため説明を省略する。
管理サーバ7のメッセージ通知部33は、情報収集部32がコンピュータ2〜5からIPアドレスを収集すると、そのIPアドレスを有するコンピュータの管理者等に、ウィルスを拡散している可能性がある旨を示すメッセージを通知するなどの処理を実施する。
これにより、コンピュータの管理者等は、自己が管理しているコンピュータがウィルスに感染している可能性を認識することができるので、ネットワーク1経由でウィルスが拡散する前に適切な処置(例えば、コンピュータ4をネットワーク1から切り離したり、ハードディスクを初期化したりするなどの処置)を講じることが可能になる。
その他の処理内容は、上記実施の形態1と同様であるため説明を省略する。
以上で明らかなように、この実施の形態2によれば、パーソナルファイアウォール11により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出するIPアドレス検出部15を設け、パーソナルファイアウォール11によりアクセスが検知された他のコンピュータにおける単位時間当りのアクセス回数が規定数を超えると、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、IPアドレス検出部15により検出されたIPアドレスを管理サーバ7に通知するように構成したので、ウィルスが使用するポートの情報やウィルスが送信するデータの特徴などが分からない新種のウィルスを拡散している可能性があるコンピュータ4,5を検出することができる効果を奏する。
なお、この実施の形態2では、パーソナルファイアウォール11によりアクセスが検知された他のコンピュータにおける単位時間当りのアクセス回数が規定数を超えると、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、そのIPアドレスを管理サーバ7に通知するものについて示したが、管理サーバ7がコンピュータ2〜5のパーソナルファイアウォール11により検知された他のコンピュータのアクセスを記録し、管理サーバ7が複数のコンピュータに対する単位時間当りのアクセス回数が規定数を超えている他のコンピュータを、ウィルスを拡散している可能性があるコンピュータとして検出するようにしてもよい。
1 ネットワーク、2〜5 コンピュータ、6 ダミーコンピュータ、7 管理サーバ、11 パーソナルファイアウォール(アクセス検知手段)、12 ウィルス検知処理部(ウィルス検知手段、IPアドレス通知手段)、13 通信ログDB、14 ウィルスDB、15 IPアドレス検出部(IPアドレス検出手段)、16 IPアドレス通知部(IPアドレス通知手段)、21 アクセス検知部(アクセス検知手段)、22 IPアドレス検出部(IPアドレス検出手段)、23 IPアドレス通知部(IPアドレス通知手段)、31 ウィルスDB配付部、32 情報収集部(認定手段)、33 メッセージ通知部、34 感染コンピュータ認定部(認定手段)、35 コンピュータ切り離し部(切り離し手段)。
Claims (6)
- ネットワークに接続されているダミーコンピュータに内蔵され、そのダミーコンピュータに対する他のコンピュータのアクセスを検知するアクセス検知手段と、上記アクセス検知手段により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出するIPアドレス検出手段と、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、上記IPアドレス検出手段により検出されたIPアドレスを通知するIPアドレス通知手段とを備えたウィルス感染検知装置。
- ネットワークに接続されているコンピュータに内蔵され、そのコンピュータに対する他のコンピュータのアクセスを検知するアクセス検知手段と、上記アクセス検知手段により他のコンピュータのアクセスが検知されると、他のコンピュータのIPアドレスを検出するIPアドレス検出手段と、上記アクセス検知手段によりアクセスが検知された他のコンピュータにおける単位時間当りのアクセス回数が規定数を超えると、ウィルスを拡散している可能性があるコンピュータのIPアドレスとして、上記IPアドレス検出手段により検出されたIPアドレスを通知するIPアドレス通知手段とを備えたウィルス感染検知装置。
- アクセス検知手段により他のコンピュータのアクセスが検知されると、他のコンピュータによる通信ログを解析してウィルスを検知し、そのウィルスの拡散元である他のコンピュータのIPアドレスを検出するウィルス検知手段を設け、IPアドレス通知手段がウィルス拡散コンピュータのIPアドレスとして、上記ウィルス検知手段により検出された他のコンピュータのIPアドレスを通知することを特徴とする請求項1または請求項2記載のウィルス感染検知装置。
- IPアドレス通知手段は、ウィルス検知手段により検出された他のコンピュータのIPアドレスの他に、ウィルス名とウィルスの検出日時を通知することを特徴とする請求項3記載のウィルス感染検知装置。
- IPアドレス通知手段により通知されたIPアドレスをウィルス名ごとに分類し、ウィルスの検出日時が最も古いIPアドレスを有するコンピュータを1次感染コンピュータに認定し、それ以外のIPアドレスを有するコンピュータを2次感染コンピュータに認定する認定手段を設けたことを特徴とする請求項4記載のウィルス感染検知装置。
- IPアドレス通知手段により通知されたウィルス名が、危険度が高いウィルスの名称を表している場合、そのウィルスに感染しているコンピュータをネットワークから切り離す切り離し手段を設けたことを特徴とする請求項4記載のウィルス感染検知装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005151227A JP2006330926A (ja) | 2005-05-24 | 2005-05-24 | ウィルス感染検知装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005151227A JP2006330926A (ja) | 2005-05-24 | 2005-05-24 | ウィルス感染検知装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006330926A true JP2006330926A (ja) | 2006-12-07 |
Family
ID=37552574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005151227A Pending JP2006330926A (ja) | 2005-05-24 | 2005-05-24 | ウィルス感染検知装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006330926A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008106876A1 (fr) * | 2007-03-05 | 2008-09-12 | Huawei Technologies Co., Ltd. | Système et procédé pour empêcher l'intrusion d'un virus dans un réseau |
| JPWO2010140222A1 (ja) * | 2009-06-02 | 2012-11-15 | 富士通株式会社 | 情報処理システム、管理装置および情報処理方法 |
| JP2016181191A (ja) * | 2015-03-25 | 2016-10-13 | 富士通株式会社 | 管理プログラム、管理装置及び管理方法 |
| KR101741026B1 (ko) * | 2010-10-29 | 2017-05-30 | 주식회사 엔씨소프트 | 온라인 게임에 있어서의 악성모듈 탐지 방법, 및 컴퓨터 판독 가능한 기록 매체 |
-
2005
- 2005-05-24 JP JP2005151227A patent/JP2006330926A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008106876A1 (fr) * | 2007-03-05 | 2008-09-12 | Huawei Technologies Co., Ltd. | Système et procédé pour empêcher l'intrusion d'un virus dans un réseau |
| JPWO2010140222A1 (ja) * | 2009-06-02 | 2012-11-15 | 富士通株式会社 | 情報処理システム、管理装置および情報処理方法 |
| KR101741026B1 (ko) * | 2010-10-29 | 2017-05-30 | 주식회사 엔씨소프트 | 온라인 게임에 있어서의 악성모듈 탐지 방법, 및 컴퓨터 판독 가능한 기록 매체 |
| JP2016181191A (ja) * | 2015-03-25 | 2016-10-13 | 富士通株式会社 | 管理プログラム、管理装置及び管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101737726B1 (ko) | 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출 | |
| JP4742144B2 (ja) | Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム | |
| US8640234B2 (en) | Method and apparatus for predictive and actual intrusion detection on a network | |
| CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
| US7779468B1 (en) | Intrusion detection and vulnerability assessment system, method and computer program product | |
| US7596807B2 (en) | Method and system for reducing scope of self-propagating attack code in network | |
| US7197762B2 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| US6775657B1 (en) | Multilayered intrusion detection system and method | |
| JP4327698B2 (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
| US8266703B1 (en) | System, method and computer program product for improving computer network intrusion detection by risk prioritization | |
| US20050216956A1 (en) | Method and system for authentication event security policy generation | |
| US20060230456A1 (en) | Methods and apparatus to maintain telecommunication system integrity | |
| US20060161816A1 (en) | System and method for managing events | |
| US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
| US11856008B2 (en) | Facilitating identification of compromised devices by network access control (NAC) or unified threat management (UTM) security services by leveraging context from an endpoint detection and response (EDR) agent | |
| SE524963C2 (sv) | Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering | |
| JP2005229573A (ja) | ネットワーク保安システム及びその動作方法 | |
| WO2001084270A2 (en) | Method and system for intrusion detection in a computer network | |
| KR20120090574A (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
| JP2014123996A (ja) | ネットワーク監視装置及びプログラム | |
| US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
| KR20100074480A (ko) | 네트워크 기반의 http 봇넷 탐지 방법 | |
| JP2006330926A (ja) | ウィルス感染検知装置 | |
| US20220060485A1 (en) | Threat forecasting |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071009 |