JP2007011628A - Signature distribution device and signature distribution system - Google Patents
Signature distribution device and signature distribution system Download PDFInfo
- Publication number
- JP2007011628A JP2007011628A JP2005190720A JP2005190720A JP2007011628A JP 2007011628 A JP2007011628 A JP 2007011628A JP 2005190720 A JP2005190720 A JP 2005190720A JP 2005190720 A JP2005190720 A JP 2005190720A JP 2007011628 A JP2007011628 A JP 2007011628A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- distribution
- information
- unauthorized access
- end device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、シグネチャ配布装置およびシグネチャ配布システムに関し、特に、ネットワークに接続可能な機器に対してIDSやウィルススキャンプログラムで使用するシグネチャファイルを配布する方法に関するものである。 The present invention relates to a signature distribution apparatus and a signature distribution system, and more particularly to a method for distributing a signature file used by an IDS or a virus scan program to devices connectable to a network.
近年、ADSL網や光ファイバ網の整備や、各種ネットワークサービスの充実を背景にして、ネットワークに接続される機器の数が飛躍的に増加している。 In recent years, the number of devices connected to a network has been dramatically increased against the background of the maintenance of ADSL networks and optical fiber networks and the enhancement of various network services.
特に、今までのようなワークステーションやパーソナルコンピュータ以外にも携帯電話を初めとするモバイル端末やゲーム専用機、家電がネットワーク機能を持ったネット家電などもネットワークに接続され、データ通信を行うようになってきている。 In particular, in addition to conventional workstations and personal computers, mobile terminals such as mobile phones, game consoles, and home appliances that have network functions are also connected to the network for data communication. It has become to.
このようなネットワーク機器の増加により、発見されるネットワーク機器の脆弱性の数も飛躍的に増加している。 As the number of network devices increases, the number of network device vulnerabilities discovered is also increasing dramatically.
また、ネットワークにネットワークセキュリティ機能が搭載されていない機器が接続されていたり、各機器のユーザがネットワークセキュリティに関する知識を持たずにネットワーク機器の設定や操作を行ってしまったりするため、これらに起因するネットワークセキュリティの問題が顕著になってきている。 In addition, devices that do not have a network security function are connected to the network, or the users of each device perform network device settings and operations without knowledge of network security. Network security issues are becoming more prominent.
ネットワークセキュリティの問題として挙げられるものとして、ネットワーク機器の脆弱性を突いて機器に感染・増殖するコンピュータウィルスや、機器の脆弱性とユーザの設定ミスなどにつけこんでネットワーク機器の制御を奪ったり、機器内に記録されているデータの窃盗や破壊を行ったりする不正アクセスがある。 Examples of network security issues include computer viruses that infect and propagate devices that exploit network device vulnerabilities, device vulnerabilities and user setting errors, and take control of network devices. There is unauthorized access such as stealing or destroying the data recorded inside.
現在、このようなセキュリティ問題に対しては、ルータやファイアウォール、侵入検知システムなどのネットワークの途中に位置する機器により検知やフィルタリングが行われている場合が多くなっている。これらはプロバイダなどのサービス会社がサービスとして提供することもある。 Currently, such security problems are often detected and filtered by devices located in the middle of the network, such as routers, firewalls, and intrusion detection systems. These may be provided as a service by a service company such as a provider.
しかし、最近はP2P(Peer to Peer)の普及や暗号化通信の増加、IPv6(Internet Protocol version 6)によるエンド機器同士の通信の増加が見込まれることから、エンド機器でもコンピュータウィルスの検知・駆除や不正アクセスの検知・防御を行う必要がある。 Recently, however, the spread of P2P (Peer to Peer), the increase in encrypted communication, and the increase in communication between end devices using IPv6 (Internet Protocol version 6) are expected. It is necessary to detect and prevent unauthorized access.
ワークステーションやパーソナルコンピュータなどリソースが豊富なエンド機器では、ウィルススキャンプログラムなどによりエンド機器側でも対策が行われることもある。 For end devices with abundant resources such as workstations and personal computers, measures may be taken on the end device side by a virus scan program.
特開2002−189643号公報(特許文献1)には、現在一般的に使用されているコンピュータウィルスや不正アクセスを検知する方法が開示されている。 Japanese Laid-Open Patent Publication No. 2002-189634 (Patent Document 1) discloses a method of detecting computer viruses and unauthorized access that are currently commonly used.
この文献では、あらかじめコンピュータウィルスや不正アクセスを特徴付けるシグネチャデータ(文献内ではワードリストと呼ばれている)のテーブルを持つ。そして、装置がネットワークからデータを受信した際に、受信データに対してテーブル内のシグネチャデータと一致するデータが存在するかを走査する。もし、テーブル内のシグネチャデータと一致するものがあれば、セキュリティ警告を生成し、一致するものが無ければ問題なしと判定する。
上で述べた特許文献1で開示されている方法を用いた場合、テーブル内に登録されているシグネチャデータに関しては検知が可能であるが、テーブル内に含まれるもの以外のコンピュータウィルスや不正アクセスに関してはセキュリティ警告が生成できないという問題がある。そのため、この検知漏れを少なくするために多量のシグネチャデータをテーブルに登録する必要があった。 When the method disclosed in Patent Document 1 described above is used, it is possible to detect the signature data registered in the table, but regarding computer viruses and unauthorized access other than those included in the table. Has the problem that it cannot generate security warnings. Therefore, in order to reduce this detection omission, it is necessary to register a large amount of signature data in the table.
しかし、ネット家電などを含むエンド機器の一部は、ワークステーションやパーソナルコンピュータなどとは異なり、非常に少ないメモリや記憶媒体上で動作するため、多量のシグネチャデータを持つことが困難であり、検知漏れが非常に多くなってしまうという問題があった。 However, some end devices, including Internet home appliances, operate on a very small amount of memory or storage media, unlike workstations and personal computers, so it is difficult to have a large amount of signature data. There was a problem that leaks became very large.
また、たとえ検知のためのテーブルに多くのストレージを割くことができたとしても、受信したデータとテーブル内のシグネチャデータの走査には、テーブル内全てのシグネチャデータに対して走査を行わなければならず、非常に多くの計算リソースを必要とする。 In addition, even if a large amount of storage can be allocated to the table for detection, it is necessary to scan all the signature data in the table to scan the received data and the signature data in the table. However, it requires a great deal of computing resources.
ネット家電などを含むエンド機器の一部は、計算能力が乏しい演算装置で構成されることが多く、この走査のためにほとんどすべての計算リソースをつぎ込む事となり、ネット家電本来の機能や通信機能にさえも多大な影響を及ぼすという問題点もあった。 Some of the end devices, including Internet home appliances, are often composed of computing devices with poor computing capabilities, and almost all computing resources will be devoted to this scanning. There was also the problem of even having a great influence.
これらの問題点を解決するため、エンド機器で持つシグネチャデータを常に必要最低限にしなければならないという課題があった。 In order to solve these problems, there has been a problem that signature data possessed by the end device must always be minimized.
また、従来のウィルススキャナなどで採用されているシグネチャの配布方法は、サーバからありとあらゆるシグネチャが配信される構成となっており、エンド機器の種類によっては感染などの影響を及ぼさないコンピュータウィルスに関するシグネチャも記憶している。このため、エンド機器自身には関係ないシグネチャも保持することになり、無駄に記憶リソースを消費するという課題があった。 In addition, the signature distribution method used by conventional virus scanners, etc. is configured to distribute all kinds of signatures from the server, and there are also signatures related to computer viruses that do not affect the infection depending on the type of end device. I remember it. For this reason, a signature that is not related to the end device itself is also held, and there is a problem that storage resources are consumed wastefully.
本発明は、上記問題点を解消するためになされたものであり、コンピュータウィルスの検知・駆除、あるいは不正アクセスの検知・防御をするためのシグネチャデータの配布を必要最小限にすることができるシグネチャ配布装置を提供することを目的とする。 The present invention has been made to solve the above-mentioned problems, and it is possible to minimize the distribution of signature data for detecting and removing computer viruses or detecting and preventing unauthorized access. An object is to provide a distribution device.
上記課題を解決するために、本発明の請求項1にかかるシグネチャ配布装置は、コンピュータウィルスもしくは不正アクセスを検知する情報解析装置から、該情報解析装置のアドレスである検知元アドレス、及び該情報解析装置が検知したコンピュータウィルスもしくは不正アクセスに関する情報を含む検知結果をネットワークを介して受け取り、前記コンピュータウィルスを検知・駆除もしくは不正アクセスを検知・防御するためのシグネチャをネットワークを介して配布するシグネチャ配布装置であって、ネットワーク上の端末と通信を行うための通信制御部と、前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置から検知結果を受け取り、該検知結果に含まれる検知元アドレスを元に、シグネチャの配布先である単数または複数のエンド機器を決定する配布端末決定部と、を備え、前記通信制御部は、前記配布端末決定部によりシグネチャの配布先として決定した前記単数または複数のエンド機器に対し、シグネチャを配信する、ことを特徴とする。 In order to solve the above-described problem, a signature distribution apparatus according to claim 1 of the present invention provides a detection source address, which is an address of the information analysis apparatus, and the information analysis from an information analysis apparatus that detects a computer virus or unauthorized access. A signature distribution apparatus that receives a detection result including information on a computer virus or unauthorized access detected by the apparatus via a network, and distributes a signature for detecting / removing the computer virus or detecting / protecting unauthorized access via the network The communication control unit for communicating with the terminal on the network, and the detection result from the information analysis device that detects the computer virus or unauthorized access, based on the detection source address included in the detection result, The distribution destination of the signature A distribution terminal determining unit that determines a number or a plurality of end devices, wherein the communication control unit distributes the signature to the one or more end devices determined as a signature distribution destination by the distribution terminal determination unit. It is characterized by.
これにより、コンピュータウィルスもしくは不正アクセスが一度以上検知されたエンド機器に対してシグネチャを配布することが可能となり、このため、コンピュータウィルスの検知・駆除、あるいは不正アクセスの検知・防御をするためのシグネチャデータの配布を必要最小限にすることができ、その結果、エンド機器が持つシグネチャを少なく抑え、エンド機器本来の機能に対する負荷を軽減させることができる。 This makes it possible to distribute signatures to end devices for which computer viruses or unauthorized access has been detected more than once. For this reason, signatures can be used to detect and remove computer viruses or to detect and prevent unauthorized access. Data distribution can be minimized, and as a result, the signature of the end device can be reduced, and the load on the original function of the end device can be reduced.
また、本発明の請求項2にかかるシグネチャ配布装置は、請求項1に記載のシグネチャ配布装置において、前記情報解析装置を含むネットワークに近隣するネットワークの情報を記憶する近隣ネットワーク情報記憶部をさらに備え、前記配布端末決定部は、前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置を含むネットワークに近隣するネットワークを、前記近隣ネットワーク情報記憶部から検索し、該検索した近隣ネットワークに含まれる単数または複数のエンド機器を、シグネチャの配布先として決定する、ことを特徴とする。 A signature distribution apparatus according to claim 2 of the present invention is the signature distribution apparatus according to claim 1, further comprising a neighboring network information storage unit that stores information on a network adjacent to the network including the information analysis apparatus. The distribution terminal determination unit searches the neighboring network information storage unit for a network adjacent to the network including the information analysis apparatus that has detected the computer virus or unauthorized access, and includes one or more included in the searched neighboring network The end device is determined as a signature distribution destination.
これにより、エンド機器における効率的にコンピュータウィルスの検知・駆除、もしくは不正アクセスの検知・防御を行うことができる。つまり、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置にネットワーク上で近いエンド機器においても、検知されたコンピュータウィルスもしくは不正アクセスが残留していることが予想されるが、前記情報解析装置にネットワーク上で近いエンド機器群に対してシグネチャを配布することにより、配布したシグネチャを利用して効率的にコンピュータウィルスの検知・駆除、もしくは不正アクセスの検知・防御を行うことができる。 This makes it possible to efficiently detect and remove computer viruses or detect and prevent unauthorized access in end devices. That is, it is expected that the detected computer virus or unauthorized access remains in the end device close to the information analysis apparatus that has detected the computer virus or unauthorized access on the network. By distributing a signature to a group of end devices that are close to each other, it is possible to efficiently detect and remove a computer virus or detect and prevent unauthorized access by using the distributed signature.
また、本発明の請求項3にかかるシグネチャ配布装置は、請求項2に記載のシグネチャ配布装置において、前記検知したコンピュータウィルスの感染力もしくは前記検知した不正アクセスの影響度に応じて、前記シグネチャの配布すべきネットワーク上での範囲を判定する影響範囲判定部をさらに備え、前記配布端末決定部は、前記影響範囲判定部により判定したネットワーク上の範囲内の前記エンド機器を、シグネチャの配布先として決定する、ことを特徴とする。 A signature distribution apparatus according to claim 3 of the present invention is the signature distribution apparatus according to claim 2, wherein the signature distribution apparatus according to the infectivity of the detected computer virus or the influence level of the detected unauthorized access. An influence range determination unit that determines a range on the network to be distributed is further provided, and the distribution terminal determination unit uses the end device in the network range determined by the influence range determination unit as a signature distribution destination. It is characterized by determining.
これにより、検知されたコンピュータウィルスもしくは不正アクセスの影響度に応じてシグネチャの配布範囲を決定するため、必要度が高い位置にあるエンド機器に対してはシグネチャを配布し、必要ではないエンド機器にシグネチャの配布を行わないようにすることができる。その結果、エンド機器では必要度の高い場合のみシグネチャを記憶すれば良いこととなるため、エンド機器が持つシグネチャを最小限に抑えることができる。 As a result, the distribution range of the signature is determined in accordance with the degree of influence of the detected computer virus or unauthorized access. Therefore, the signature is distributed to end devices that are highly necessary, and the end devices are not required. Signature distribution can be avoided. As a result, the end device only has to store the signature only when the necessity is high, and thus the signature of the end device can be minimized.
また、本発明の請求項4にかかるシグネチャ配布装置は、請求項2に記載のシグネチャ配布装置において、ネットワーク上の各エンド機器の固有の機器構成を示す機器固有情報を記憶するエンド機器情報記憶部をさらに備え、前記検知結果は、前記検知したコンピュータウィルスの感染もしくは不正アクセスの影響を受ける機器構成を示す前記エンド機器の影響機器情報をも含むものであり、前記配布端末決定部は、前記コンピュータウィルスもしくは不正アクセスを検知した前記情報解析装置にネットワーク上で近い前記エンド機器のうちの、前記検知結果中の影響機器情報が示す機器構成を有するエンド機器を前記エンド機器情報記憶部から検索し、該検索した単数または複数のエンド機器を、シグネチャの配布先として決定する、ことを特徴とする。 The signature distribution apparatus according to claim 4 of the present invention is the signature distribution apparatus according to claim 2, wherein the end device information storage unit stores device specific information indicating a specific device configuration of each end device on the network. And the detection result also includes information on an affected device of the end device indicating a device configuration affected by the detected computer virus infection or unauthorized access, and the distribution terminal determining unit includes the computer Of the end devices close to the information analysis device that has detected a virus or unauthorized access on the network, the end device having the device configuration indicated by the affected device information in the detection result is searched from the end device information storage unit, Determining the one or more searched end devices as distribution destinations of signatures; And features.
これにより、検知されたコンピュータウィルスもしくは不正アクセスによる影響を受けやすいOSやハードウェアなどの機器構成を持つエンド機器に対してのみシグネチャを配布することができる。 As a result, the signature can be distributed only to an end device having a device configuration such as an OS or hardware that is easily affected by a detected computer virus or unauthorized access.
また、本発明の請求項5にかかるシグネチャ配布装置は、請求項1に記載のシグネチャ配布装置において、特定のサービスに加入しているエンド機器を示す機器指示情報を記録するサービス登録端末記憶部をさらに備え、前記配布端末決定部は、前記サービス登録端末記憶部に記憶されている機器指定情報が示すエンド機器の中から、シグネチャを配布すべき単数または複数のエンド機器を決定する、ことを特徴とする。 A signature distribution apparatus according to claim 5 of the present invention is the signature distribution apparatus according to claim 1, further comprising a service registration terminal storage unit for recording device instruction information indicating an end device subscribed to a specific service. In addition, the distribution terminal determination unit determines one or more end devices to which a signature should be distributed from among the end devices indicated by the device designation information stored in the service registration terminal storage unit. And
これにより、特定のサービスに加入しているエンド機器に対してのみシグネチャを配布することができる。 Thereby, a signature can be distributed only to an end device subscribed to a specific service.
また、本発明の請求項6にかかるシグネチャ配布装置は、請求項1に記載のシグネチャ配布装置において、指定されたアドレスを持つエンド機器で稼動しているサービスを検知する機器スキャン部をさらに備え、前記検知結果は、前記検知したコンピュータウィルスもしくは不正アクセスの影響を受けるサービスを示す影響サービス情報をも含むものであり、前記配布端末決定部は、前記機器スキャン部により検知した各エンド機器が行っているサービスのうちで、前記検知結果中の影響サービス情報が示すサービスと一致するサービスを行っている単数または複数のエンド機器を、シグネチャの配布先として決定する、ことを特徴とする。 Further, a signature distribution apparatus according to claim 6 of the present invention further includes a device scanning unit that detects a service operating in an end device having a specified address in the signature distribution device according to claim 1, The detection result also includes impact service information indicating a service affected by the detected computer virus or unauthorized access, and the distribution terminal determination unit is performed by each end device detected by the device scan unit. Among the existing services, one or a plurality of end devices that perform a service that matches the service indicated by the affected service information in the detection result are determined as signature distribution destinations.
これにより、検知されたコンピュータウィルスもしくは不正アクセスの影響を受けやすいサービスを行っているエンド機器に対してのみシグネチャを配布することができる。 As a result, the signature can be distributed only to an end device that provides a service that is susceptible to the effects of detected computer viruses or unauthorized access.
また、本発明の請求項7にかかるシグネチャ配布装置は、請求項4に記載のシグネチャ配布装置において、前記エンド機器情報記憶部は、前記エンド機器の物理的な位置情報を記憶するエンド機器物理位置情報記憶部を有し、前記検知結果は、前記情報解析装置の物理的位置情報をも含むものであり、前記配布端末決定部は、前記検知結果中に含まれる前記情報解析装置の物理的位置情報に基づいて、該情報解析装置に物理的に近い位置にある単数または複数のエンド機器を、前記エンド機器物理位置情報記憶部から検索し、該検索した単数または複数のエンド機器を、シグネチャの配布先として決定する、ことを特徴とする。 The signature distribution apparatus according to claim 7 of the present invention is the signature distribution apparatus according to claim 4, wherein the end device information storage unit stores physical position information of the end device. An information storage unit, wherein the detection result includes physical location information of the information analysis device, and the distribution terminal determination unit includes a physical location of the information analysis device included in the detection result Based on the information, the end device physical position information storage unit is searched for one or a plurality of end devices that are physically close to the information analysis apparatus, and the searched one or more end devices are retrieved from the signature. The distribution destination is determined.
これにより、検知結果に含まれる検知元アドレスからシグネチャの配布先として決定した単数または複数のエンド機器に物理的に近いエンド機器に対してもシグネチャを配布することができる。 Thus, the signature can be distributed to an end device that is physically close to one or more end devices determined as a signature distribution destination from the detection source address included in the detection result.
また、本発明の請求項8にかかるシグネチャ配布装置は、請求項1に記載のシグネチャ配布装置において、前記検知結果は、前記コンピュータウィルスに感染している端末、あるいは前記不正アクセスの攻撃を受けている端末を特定するための感染・侵入端末情報をも含むものであり、前記配布端末決定部は、前記検知結果に含まれる前記感染・侵入端末情報に基づいて、コンピュータウィルスに感染している、もしくは不正アクセスの攻撃を受けている単数または複数のエンド機器、及びその近隣のエンド機器を特定し、シグネチャの配布先として決定する、ことを特徴とする。 The signature distribution apparatus according to claim 8 of the present invention is the signature distribution apparatus according to claim 1, wherein the detection result is received by a terminal infected with the computer virus or an attack of unauthorized access. Including the infection / intrusion terminal information for identifying the terminal that is present, and the distribution terminal determination unit is infected with a computer virus based on the infection / intrusion terminal information included in the detection result, Alternatively, one or a plurality of end devices subjected to an unauthorized access attack, and end devices in the vicinity thereof are identified and determined as signature distribution destinations.
これにより、すでにコンピュータウィルスに感染もしくは不正アクセスされてしまったエンド機器とその近隣のエンド機器にシグネチャを配布するため、コンピュータウィルスや不正アクセスの封じ込めを行うことができる。また、感染したエンド機器とその近隣のエンド機器で封じ込めを行うことで、それ以外のエンド機器に対してはシグネチャを配布する必要がないため、エンド機器のリソースを効率的に使用することができる。 As a result, since the signature is distributed to the end device that has already been infected or illegally accessed by the computer virus and its neighboring end devices, it is possible to contain the computer virus and unauthorized access. In addition, since containment is performed between the infected end device and its neighboring end devices, it is not necessary to distribute signatures to other end devices, so end device resources can be used efficiently. .
また、本発明の請求項9にかかるシグネチャ配布装置は、前記エンド機器のリソース情報を記憶するエンド機器リソース情報記憶部を備え、前記配布端末決定部は、前記エンド機器リソース情報記憶部に記憶されているリソース情報に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、リソースの少ないエンド機器に対しては簡易シグネチャを、リソースが十分なエンド機器に対しては詳細シグネチャを配布することを決定する、ことを特徴とする。 The signature distribution apparatus according to claim 9 of the present invention includes an end device resource information storage unit that stores resource information of the end device, and the distribution terminal determination unit is stored in the end device resource information storage unit. Of the one or more end devices determined as the distribution destination of the signature based on the resource information that is present, simple signatures are used for end devices with few resources, and details are given for end devices with sufficient resources. It is characterized by deciding to distribute a signature.
これにより、リソースが少ないエンド機器に対しては機器への負担が少ないシグネチャを配布することができるため、エンド機器本来の機能を損なうことなく、エンド機器側でコンピュータウィルスの検知・駆除もしくは不正アクセスの検知・防御を行うことができる。 This makes it possible to distribute signatures that place less burden on devices to end devices with fewer resources, so that end devices can detect, remove, or illegally access computer viruses without compromising the original functions of the end devices. Can be detected and prevented.
また、本発明の請求項10にかかるシグネチャ配布装置は、前記エンド機器に対し該機器のリソースを測定するパケットを1回以上送信し、その応答結果及び応答時間によりエンド機器までのネットワークの状況を含んだエンド機器のリソースを測定する機器リソース測定部をさらに備え、前記配布端末決定部は、前記機器リソース測定部による測定の結果に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、リソースが少ないエンド機器に対しては簡易シグネチャを、リソースが十分であるエンド機器に対しては詳細シグネチャを配布することを決定する、ことを特徴とする。 In addition, the signature distribution apparatus according to claim 10 of the present invention transmits a packet for measuring the resource of the device to the end device at least once, and the status of the network to the end device is determined based on the response result and the response time. A device resource measuring unit that measures the resource of the included end device, and the distribution terminal determining unit is configured to determine the signature distribution destination as the distribution destination of the signature based on the measurement result by the device resource measuring unit. Of the end devices, it is determined to distribute a simple signature to an end device having few resources, and to distribute a detailed signature to an end device having sufficient resources.
これにより、エンド機器側で機器のアップグレードやダウングレード、機器自体のリプレイスなどが発生しても、シグネチャ配布装置側でデータの変更作業を行うことなく、機器のリソースに基づいたシグネチャを配布することができる。 This enables distribution of signatures based on device resources without changing data on the signature distribution device side even if device upgrades or downgrades, device replacements, etc. occur on the end device side. Can do.
また、本発明の請求項11にかかるシグネチャ配布装置は、請求項2に記載のシグネチャ配布装置において、前記エンド機器の通信の頻度および通信データ量を測定するエンド機器通信量測定部をさらに備え、前記配布端末決定部は、前記エンド機器通信量測定部による測定の結果に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、通信量が少ないエンド機器に対しては簡易シグネチャを、通信量の多いエンド機器に対しては詳細シグネチャを配布することを決定する、ことを特徴とする。 The signature distribution apparatus according to claim 11 of the present invention is the signature distribution apparatus according to claim 2, further comprising an end device communication amount measurement unit that measures the frequency of communication and the amount of communication data of the end device, The distribution terminal determination unit is configured for an end device having a small communication amount among the one or more end devices determined as a distribution destination of the signature based on a result of measurement by the end device communication amount measurement unit. A simple signature is determined to be distributed to an end device with a large amount of communication.
これにより、データの送受信が多く、その分コンピュータウィルスや不正アクセスに対するリスクが高いと思われる通信量が多いエンド機器に対し、詳細なシグネチャを配布することができる。 As a result, it is possible to distribute a detailed signature to an end device having a large amount of communication that is considered to have a high risk of computer viruses and unauthorized access by much data transmission / reception.
また、本発明の請求項12にかかるシグネチャ配布装置は、請求項1に記載のシグネチャ配布装置において、前記配布端末決定部は、配布済みのシグネチャの中で消去すべきシグネチャを決定し、該決定したシグネチャを持つ単数または複数のエンド機器を特定し、前記通信制御部は、前記配布端末決定部により特定した単数または複数のエンド機器に対し、前記シグネチャの消去を指示するメッセージを送信する、ことを特徴とする。 The signature distribution apparatus according to claim 12 of the present invention is the signature distribution apparatus according to claim 1, wherein the distribution terminal determination unit determines a signature to be deleted from the distributed signatures, and determines the determination. Identifying one or more end devices having the signature, and the communication control unit transmits a message instructing deletion of the signature to the one or more end devices identified by the distribution terminal determining unit. It is characterized by.
これにより、エンド機器が持つシグネチャを必要最小限に抑えることができ、エンド機器のリソースをより効率的に使用することができる。 As a result, the signature of the end device can be minimized, and the resources of the end device can be used more efficiently.
また、本発明の請求項13にかかるシグネチャ配布システムは、コンピュータウィルスもしくは不正アクセスを検知し、検知元アドレス及び検知したコンピュータウィルスもしくは不正アクセスに関する情報を含む検知結果をネットワークを介して送信する情報解析装置と、コンピュータウィルスの検知・駆除を行う、あるいは不正アクセスの検知・防御を行うための配布用シグネチャを記憶する配布用シグネチャ記憶部と、前記情報解析装置の検知結果に含まれる、検知したコンピュータウィルス若しくは不正アクセスに関する情報に基づいて、前記配布用シグネチャ記憶部から配布用シグネチャを選択する情報収集装置と、前記情報解析装置の検知結果に含まれる検知元アドレスに基づいて、前記情報収集装置により選択された配布用シグネチャの送信先を決定するシグネチャ配布装置と、前記シグネチャ配布装置から前記配布用シグネチャを受け取り、該配布用シグネチャを使用してコンピュータウィルスを検知・駆除及び不正アクセスの検知・防御を行う複数のエンド機器とを備え、前記シグネチャ配布装置は、ネットワーク上の端末と通信を行うための通信制御部と、前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置から前記検知結果を受け取り、該検知結果に含まれる検知元アドレスを元に、シグネチャの配布先である単数または複数のエンド機器を決定する配布端末決定部とを備え、前記通信制御部は、前記配布端末決定部によりシグネチャの配布先として決定した前記単数または複数のエンド機器に対し、シグネチャを配信する、ことを特徴とする。 According to a thirteenth aspect of the present invention, there is provided a signature distribution system that detects a computer virus or unauthorized access, and transmits a detection result including information on a detected source address and detected computer virus or unauthorized access via a network. Apparatus, distribution signature storage unit for storing distribution signature for detecting / disinfecting computer virus or detecting / protecting unauthorized access, and detected computer included in detection result of information analysis apparatus Based on information related to viruses or unauthorized access, an information collection device that selects a distribution signature from the distribution signature storage unit, and a detection source address included in a detection result of the information analysis device, the information collection device Selected distribution system A signature distribution device that determines a transmission destination of a nature, and a plurality of ends that receive the distribution signature from the signature distribution device and detect and remove computer viruses and detect and prevent unauthorized access using the distribution signature The signature distribution apparatus receives the detection result from a communication control unit for communicating with a terminal on a network and the information analysis apparatus that detects the computer virus or unauthorized access, and is included in the detection result And a distribution terminal determining unit that determines one or a plurality of end devices that are signature distribution destinations based on the detected source address, and the communication control unit has determined the signature distribution destination by the distribution terminal determination unit The signature is distributed to the one or more end devices. To.
これにより、コンピュータウィルスもしくは不正アクセスが一度以上検知されたエンド機器に対してシグネチャを配布することが可能となり、このため、コンピュータウィルスの検知・駆除、あるいは不正アクセスの検知・防御をするためのシグネチャデータの配布を必要最小限にすることができ、その結果、エンド機器が持つシグネチャを少なく抑え、エンド機器本来の機能に対する負荷を軽減させることができる。 This makes it possible to distribute signatures to end devices for which computer viruses or unauthorized access has been detected more than once. For this reason, signatures can be used to detect and remove computer viruses or to detect and prevent unauthorized access. Data distribution can be minimized, and as a result, the signature of the end device can be reduced, and the load on the original function of the end device can be reduced.
本発明のシグネチャ配布システムによれば、コンピュータウィルスや不正アクセスを検知・駆除・防御するためにエンド機器自身が持つシグネチャデータを少なく抑えることができ、エンド機器の本来の機能に対する負荷を軽減させることができる。 According to the signature distribution system of the present invention, it is possible to reduce the signature data of the end device itself in order to detect, remove, and prevent computer viruses and unauthorized access, thereby reducing the load on the original function of the end device. Can do.
また、情報解析装置により一度以上検知されたコンピュータウィルスもしくは不正アクセスに対するシグネチャデータがエンド機器に配布されるため、エンド機器において無駄に記憶されるシグネチャが無くなり、検知漏れも少なくなる。 In addition, since signature data for a computer virus or unauthorized access detected once or more by the information analysis device is distributed to the end device, there is no useless signature stored in the end device, and detection errors are reduced.
また、コンピュータウィルスや不正アクセスが検知された場所や、コンピュータウィルスや不正アクセスの種類、エンド機器の環境などの要因を考慮に入れたシグネチャの配布を行うため、各エンド機器で必要なシグネチャのみを選択的に持つことができ、エンド機器のリソースへの影響を最小限にすることができる。 In addition, because signatures are distributed taking into account factors such as the location where a computer virus or unauthorized access is detected, the type of computer virus or unauthorized access, and the environment of the end device, only the signatures required by each end device are distributed. It can be selectively held, and the influence on the resource of the end device can be minimized.
また、エンド機器でのシグネチャの削除を、コンピュータウィルスや不正アクセスの検知実績や、その検知に関する時間要因を考慮して行うことで、エンド機器でのシグネチャの削除を、エンド機器の環境がより安全な状態になってから行うことができる。 In addition, by deleting signatures on end devices in consideration of the detection results of computer viruses and unauthorized access and time factors related to the detection, it is possible to delete signatures on end devices, making the environment of end devices safer. It can be done after reaching a state.
以下、本発明の実施の形態について、図面を参照しながら説明する。なお、この実施の形態により本発明が限定されるものではない。
(実施の形態1)
以下に、本発明の実施の形態1によるシグネチャ配布システムについて説明する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. In addition, this invention is not limited by this embodiment.
(Embodiment 1)
The signature distribution system according to Embodiment 1 of the present invention will be described below.
図1に、本実施の形態1によるシグネチャ配布システムの基本的な構成について示す。
本実施の形態1のシグネチャ配布システムは、コンピュータウィルスもしくは不正アクセスを検知する情報解析装置1000と、情報解析装置1000の検知内容に基づいて配布用シグネチャを選択する情報収集装置2000と、コンピュータウィルスの検知・駆除、もしくは不正アクセスの検知・防御をするための配布用シグネチャを記憶する配布用シグネチャ記憶部3000と、情報収集装置2000により選択された配布用シグネチャの配布先を決定するシグネチャ配布装置4000と、シグネチャ配布装置4000から送信されたシグネチャを使用して、コンピュータウィルスを検知・駆除、あるいは不正アクセスの検知・防御を行うエンド機器5000とを備えたものである。
FIG. 1 shows a basic configuration of a signature distribution system according to the first embodiment.
The signature distribution system according to the first embodiment includes an
以下に、各構成要素について詳細に説明する。
まず、情報解析装置1000について図3を用いて説明する。
Below, each component is demonstrated in detail.
First, the
図3に示す情報解析装置1000は、外部のネットワークとの通信を行う通信制御部1001と、コンピュータウィルスや不正アクセスを検知するためのデータ(検知用シグネチャ)を記録する感染・攻撃検知用シグネチャ記憶部1003と、感染・攻撃検知用シグネチャ記憶部に記憶されているデータを用いて通信制御部で受信したデータにコンピュータウィルスや不正アクセスが含まれていないかの検知を行う感染・攻撃判定部1002とを備えている。
The
このような構成の情報解析装置1000の動作について説明する。
通信制御部1001により通信データを受信すると、受信した通信データは、感染・攻撃判定部1002に出力される。
The operation of the
When the communication data is received by the
感染・攻撃判定部1002では、受信した通信データと感染・攻撃検知用シグネチャ記憶部1003に記憶されているデータとを比較し、コンピュータウィルスや不正アクセスの検知を行う。その結果、感染・攻撃判定部1002においてコンピュータウィルスや不正アクセスが検知された場合、通信制御部1001から情報収集装置2000に向けて検知結果メッセージA000を送信する。
The infection /
この検知結果メッセージA000は、図2に示すように、検知元アドレスA001と検知情報A002とを含むものである。 The detection result message A000 includes a detection source address A001 and detection information A002 as shown in FIG.
検知元アドレスA001は、コンピュータウィルスや不正アクセスを検知した情報解析装置1000のIPアドレスとサブネットマスク情報を含み、該情報解析装置1000のネットワークアドレスを示す。
The detection source address A001 includes the IP address and subnet mask information of the
また、検知情報A002は、感染・攻撃判定部1002が検知したコンピュータウィルスや不正アクセスの種類を表す符号である。なお、検知情報A002は、コンピュータウィルスや不正アクセスの種類を表す符号が複数含まれていても良い。
The detection information A002 is a code representing the type of computer virus or unauthorized access detected by the infection /
次に、配布用シグネチャ記憶部3000について図4を用いて説明する。
配布用シグネチャ記憶部3000は、シグネチャデータを記憶するデータベースであり、図4に示す構造のデータレコードをもつデータベースである。
Next, the distribution
The distribution
上記データレコードは、シグネチャを一意に識別できるシグネチャIDを記憶するシグネチャIDフィールド3001と、コンピュータウィルスの検知・駆除を行うためのデータもしくはプログラムコード、あるいは不正アクセスの検知・防御を行うためのデータもしくはプログラムコードを記憶するシグネチャデータフィールド3003と、シグネチャデータが検知・駆除可能なコンピュータウィルスもしくは検知・防御可能な不正アクセスの情報を記憶するシグネチャ対応情報フィールド3002を持つレコードの集合で構成される。
The data record includes a
このような構成のデータレコードを持つ配布用シグネチャ記憶部3000の動作について説明する。
情報収集装置2000から配布用シグネチャの検索要求があると、その検索要求に応じてデータベース内の検索を行う。このとき、検索キーとしてはシグネチャ対応情報が主キーとなる。検索の結果、合致するレコードを情報収集装置2000に応答する。
The operation of the distribution
When a distribution signature search request is received from the
なお、シグネチャ対応情報フィールド3002に、複数のコンピュータウィルスや不正アクセスに関する情報が、シグネチャデータフィールド3003に、複数のシグネチャデータが記録されていても良い。また、配布用シグネチャ記憶部3000のデータベース内の検索の結果、複数のレコードが検索された場合、全てのレコードの情報を情報収集装置2000に応答するようにしても良い。
Information related to a plurality of computer viruses and unauthorized access may be recorded in the signature
次に、情報収集装置2000について図5を用いて説明する。
図5に示す情報収集装置2000は、通信を行うための通信制御部2001と、配布用シグネチャ記憶部3000内のデータを検索する配布用シグネチャ判定部2002とを備えている。
Next, the
An
このような構成の情報収集装置2000の動作について図8を用いて説明する。図8は、本発明のシグネチャ配布システムの具体例を示す。
The operation of the
通信制御部2001では、情報解析手段1000から検知結果メッセージA000を受信し、配布用シグネチャ判定部2002に出力する。
The
配布用シグネチャ判定部2002では、検知結果メッセージA000に含まれる、コンピュータウィルスもしくは不正アクセスの検知情報A002に基づいて、対応するコンピュータウィルスの検知・駆除、もしくは不正アクセスの検知・防御するための配布用シグネチャデータを配布用シグネチャ記憶部3000から検索する。そして、検索したシグネチャデータと検知結果メッセージA000をシグネチャ配布装置4000に通知する。
In the distribution
次に、シグネチャ配布装置4000について図6を用いて説明する。
図6に示すシグネチャ配布装置4000は、通信を行うための通信制御部4001と、情報収集装置2000より受け取った配布用シグネチャデータの配布先を決定する配布端末決定部4002とを備えている。
Next, the
The
このような構成のシグネチャ配布装置4000の動作について説明する。
配布用端末決定部4002では、情報収集装置2000から検知結果メッセージA000、及びシグネチャデータを受信し、検知結果メッセージA000に含まれる検知元アドレスA001に基づいて、シグネチャデータの配布先を決定する。
The operation of the
The distribution
通信制御部4001では、配布用端末決定部4002によりシグネチャの配布先として決定したエンド機器5000に対し、シグネチャデータを送信する。
The
なお、検知結果メッセージA000は、情報収集装置2000からではなく、情報解析装置1000から直接受信しても良い。
The detection result message A000 may be received directly from the
次に、エンド機器5000について図7を用いて説明する。
図7に示すエンド機器5000は、通信を行うための通信制御部5001と、コンピュータウィルスを検知・駆除、もしくは不正アクセスを検知・防御するためのシグネチャデータを記憶するシグネチャ記憶部5003と、シグネチャ記憶部5003のデータの制御を行うシグネチャ制御部5002と、シグネチャ記憶部5003に記憶されているコンピュータウィルスを検知・駆除するためのシグネチャデータを使用してコンピュータウィルスを検知・駆除するコンピュータウィルス検知・駆除部5004と、シグネチャ記憶部5003に記憶されている不正アクセスを検知・防御するためのシグネチャデータを使用して不正アクセスを検知・防御する侵入検知・防御部5005とを備えている。
Next, the
The
このような構成のエンド機器5000の動作について説明する。
通信制御部5001では、シグネチャ配布装置4000から配布されてきたシグネチャデータを受け取る。受け取ったシグネチャデータは、シグネチャ制御部5002の制御によりシグネチャ記憶部5003に記憶される。
An operation of the
The
コンピュータウィルス検知・駆除部5004では、シグネチャ記憶部5003に記憶されているコンピュータウィルスを検知・駆除するためのシグネチャデータを使用して、エンド機器5000でのコンピュータウィルスの検知および駆除を行う。
The computer virus detection /
また、侵入検知・防御部5005では、シグネチャ記憶部5003に記憶されている不正アクセスを検知・防御するためのシグネチャデータを使用して、エンド機器5000での不正アクセスの検知及び防御を行う。
The intrusion detection /
そして、コンピュータウィルスの駆除もしくは不正アクセスの防御を行った後、シグネチャ制御部5002により必要が無いと判断したシグネチャ記憶部5003内のデータを削除する。
Then, after removing the computer virus or preventing unauthorized access, the data in the
なお、コンピュータウィルス検知・駆除部5004と侵入検知・防御部5005は、どちらか一方のみを備えている構成としても良い。
The computer virus detection /
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、外部装置からの削除メッセージをトリガにしても良い。
The deletion of data in the
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、FIFO(記憶された順で削除する方式)で削除しても良い。
Further, the deletion of data in the
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、LRU(最も使用されていないものから削除する方式)で削除しても良い。
Further, the deletion of data in the
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、一定時間が経過したら削除する方式で削除しても良い。
In addition, deletion of data in the
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、コンピュータウィルス検知・駆除部5004での処理が終わった(該当シグネチャデータによりウィルスが駆除された)のをトリガとして削除しても良い。
Further, the deletion of data in the
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、侵入検知・防御部5005での処理が終わった(該当シグネチャデータにより侵入を検知・防御した)のをトリガとして削除しても良い。
Further, the deletion of data in the
以下に、本実施の形態1のシグネチャ配布システムの全体の流れを説明する。
情報解析装置1000がコンピュータウィルスもしくは不正アクセスを検知して検知結果メッセージA000を情報収集装置2000に送信する。
The overall flow of the signature distribution system according to the first embodiment will be described below.
The
情報収集装置2000は、情報解析装置1000から送信された検知結果メッセージA000をもとに、配布用シグネチャ記憶部3000から検索した対応するシグネチャデータをシグネチャ配布装置4000に送信する。
Based on the detection result message A000 transmitted from the
そして、シグネチャ配布装置4000は、情報収集装置2000から送信されたシグネチャデータと検知結果メッセージA000を受信し、検知結果メッセージA000に含まれる検知元アドレスA001から、シグネチャデータの配布先となるエンド機器5000を決定する。このとき、シグネチャ配布装置4000内の配布端末決定部4002では、検知元アドレスA001に含まれるIPアドレスとサブネットマスクの情報を組み合わせて、シグネチャの配布先アドレスを決定する。例えば、IPアドレス=xxx.xxx.xxx.100、サブネットマスク=255.255.255.0である場合、シグネチャ配布先アドレスは、xxx.xxx.xxx.1〜xxx.xxx.xxx.254の範囲となる。なお、xxx.xxx.xxx.0とxxx.xxx.xxx.255は特殊なアドレスであるため、配布対象には含まれない。
Then, the
シグネチャデータを受信したエンド機器5000は、受信したシグネチャデータをシグネチャ記憶部5003に記憶し、該記憶したシグネチャデータを元に、コンピュータウィルスの検知・駆除および不正アクセスの検知・防御を行う。そして、必要が無くなれば、受信したシグネチャデータをシグネチャ記憶部5003から削除する。シグネチャの削除を行うタイミングとしては、シグネチャ記憶部に記憶されてから一定時間が経過した場合、該シグネチャによるコンピュータウィルスや不正アクセスが検知されなくなってから一定時間が経過した場合などがある。これにより、エンド機器5000自身が持つシグネチャデータ3003を少なく抑えることができるため、エンド機器5000の本来の機能に対する負荷を軽減することができる。また、情報解析装置1000により一度以上検知されたコンピュータウィルスもしくは不正アクセスに対するシグネチャデータ3003が配布されるため、エンド機器5000において無駄に記憶されるシグネチャが無くなり、検知漏れも少なくなる。
Upon receiving the signature data, the
ここで、図8にネットワークの構成の一例を示す。このような構成のネットワークにおける、シグネチャ配布システムについて以下に説明する。 Here, FIG. 8 shows an example of a network configuration. The signature distribution system in the network having such a configuration will be described below.
図8に示すネットワークは、サーバ6000、ルータ7000、7100、7200、7300、7400、情報解析装置1000、およびエンド機器5000を備えている。また、サーバ6000は、上述した情報収集装置2000、配布用シグネチャ記憶部3000、シグネチャ配布装置4000を含むものである。
The network shown in FIG. 8 includes a
このような構成のネットワークにおいて、例えば、ルータ7100に接続された情報解析装置1000が、該ルータ7200に接続されているエンド機器5000のいずれかがコンピュータウィルスに感染している、もしくは不正アクセスの攻撃を受けていることを検知した場合、検知結果をルータ7100およびルータ7000を介してサーバ6000に通知する。
In the network having such a configuration, for example, the
サーバ6000では、通知された検知結果を元に、ルータ7100が属するネットワークA内のエンド機器5000に対してシグネチャを配布する。
The
このような実施の形態1のシグネチャ配布システムでは、コンピュータウィルスもしくは不正アクセスを検知し、検知結果メッセージA000を通知する情報解析装置1000と、検知結果メッセージA000を元に、配布用シグネチャ記憶部3000から対応するシグネチャを検索する情報収集装置2000と、検知結果メッセージA000に含まれる検知元アドレスを元に、情報収集装置2000により検索されたシグネチャの配布先を決定し、配布先として決定された単数または複数のエンド機器にシグネチャを送信するシグネチャ配布装置4000とを備えているため、情報解析装置により一度以上検知されたコンピュータウィルスもしくは不正アクセスに対するシグネチャデータがエンド機器に配布される。このため、エンド機器において無駄に記憶されるシグネチャが無くなり、検知漏れも少なくなる。
In the signature distribution system according to the first embodiment, the
また、エンド機器5000において、記憶しているシグネチャを元にコンピュータウィルスの検知・駆除、及び不正アクセスの検知・防御を行い、必要が無くなれば記憶しているシグネチャを削除するようにしたので、エンド機器が持つシグネチャデータを少なく抑えることにより、エンド機器の本来の機能に対する負荷をより軽減することができる。
Also, the
(実施の形態2)
以下に、本発明の実施の形態2のシグネチャ配布システムについて説明する。
本実施の形態2のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、シグネチャ配布装置4000に代えて、図9に示すシグネチャ配布装置4100を備えたものである。
(Embodiment 2)
The signature distribution system according to the second embodiment of the present invention will be described below.
The signature distribution system according to the second embodiment includes a
シグネチャ配布装置4100の構成を図9に示す。図において、図6と同一の構成要素については同一符号を付している。
The configuration of the
図9に示すシグネチャ配布装置4100は、通信制御部4001、配布端末決定部4101、及び近隣ネットワーク情報記憶部4102を備えたものである。
A
配布端末決定部4101は、情報収集装置2000から通知された検知結果メッセージA000、およびシグネチャデータを受け取り、該シグネチャデータの配布先を決定する。
The distribution
近隣ネットワーク情報記憶部4102は、情報解析装置1000を含むネットワークに近隣するネットワークの情報を記憶する。
The neighboring network
このような構成のシグネチャ配布装置4100の動作について説明する。
配布端末決定部4101では、情報収集装置2000から検知結果メッセージA000とシグネチャデータを受信する。そして、検知結果メッセージA000に含まれる検知元アドレスA001を元に、シグネチャデータの配布先となるエンド機器を決定する。さらに、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置1000を含むネットワークの近隣のネットワークを、近隣ネットワーク情報記憶部4102から検索し、検索した近隣のネットワークに含まれる単数または複数のエンド機器を、シグネチャデータの配布先として決定する。ここで決定したエンド機器5000のアドレスに対し、通信制御部4001を介してシグネチャデータを送信する。
The operation of the
The distribution
なお、近隣ネットワーク情報記憶部4102から検索される近隣ネットワークは複数であっても良く、この場合、コンピュータウィルスや不正アクセスを検知した情報解析装置1000を含むネットワークに近隣する複数のネットワークに含まれる複数のエンド機器に対し、シグネチャデータを配布することになる。
Note that there may be a plurality of neighboring networks searched from the neighboring network
ここで、近隣ネットワーク情報について図8を用いて説明する。
例えば、ルータ7200に接続されている情報解析装置1000が、該ルータ7200に接続されているエンド機器5000のいずれかがコンピュータウィルスに感染している、もしくは不正アクセスの攻撃を受けていることを検知した場合、ルータ7100およびルータ7000を介してサーバ6000に通知する。
Here, the neighboring network information will be described with reference to FIG.
For example, the
サーバ6000では、ルータ7200に接続されている情報解析装置1000から通知された検知結果を元に、ルータ7200が属するネットワークBだけでなく、該ルータ7200から1ホップ以内で到達可能であるような該ネットワークBに近隣するネットワーク、例えば、ネットワークCあるいはネットワークDに含まれるエンド機器5000に対してもシグネチャを配布する。
In the
これにより、コンピュータウィルスや不正アクセスを検知し情報解析装置1000にネットワーク上で近いエンド機器においても、上記コンピュータウィルスや不正アクセスが残留していることが予想されるが、配布したシグネチャを利用して、効率的に駆除・防御を行うことができる。
As a result, computer viruses and unauthorized access are detected, and it is expected that the computer virus and unauthorized access will remain in the end device close to the
このような本実施の形態2のシグネチャ配布システムでは、シグネチャ配布装置4100が情報収集装置2000から検知結果とシグネチャを受信した時、検知結果メッセージA000に含まれる検知元アドレスA001に近隣するネットワークを近隣ネットワーク記憶部4102から検索し、検索した近隣ネットワークに含まれる単数または複数のエンド機器を、シグネチャの配布先として決定するようにしたので、コンピュータウィルスや不正アクセスを検知した前記情報解析装置にネットワーク上で近いエンド機器群に対し、シグネチャを配布することができる。また、コンピュータウィルスや不正アクセスを検知した情報解析装置1000にネットワーク上で近いエンド機器群では、検知されたコンピュータウィルスや不正アクセスが残留していることが予想されるが、配布されたシグネチャを利用して効率的に検知や駆除・防御を行うことができる。
In such a signature distribution system of the second embodiment, when the
(実施の形態3)
以下に、本発明の実施の形態3のシグネチャ配布システムについて説明する。
本実施の形態3のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、配布用シグネチャ記憶部3000及びシグネチャ配布装置4000に代えて、図10に示す配布用シグネチャ記憶部3100及び図11に示すシグネチャ配布装置4200を備えたものである。
(Embodiment 3)
The signature distribution system according to the third embodiment of the present invention will be described below.
The signature distribution system according to the third embodiment is replaced with the distribution
配布用シグネチャ記憶部3100は、図10に示す構造のデータレコードをもつデータベースであり、該データレコードは、シグネチャIDフィールド3001、シグネチャ対応情報フィールド3002、シグネチャデータフィールド3003、及び感染力・影響度情報フィールド3101をもつレコードの集合で構成される。図において、図4と同一構成要素については同一符号を付している。
The distribution
感染力・影響度情報フィールド3101は、シグネチャ対応情報フィールド3002に記載されているコンピュータウィルスの感染力や影響度もしくは不正アクセスの成功しやすさや影響度に関する情報を記憶する。例えば、低中高など数段階で表現されるアンチウィルスソフトベンダが公開しているコンピュータウィルスの危険度・感染力・ダメージ・感染報告数やOSベンダやセキュリティベンダ、公的機関が公開しているセキュリティホールの危険度・ダメージなどである。
The infectivity / impact
この実施の形態3のシグネチャ配布装置4200の構成を図11に示す。図において、図9と同一構成要素については同一符号を付している。
FIG. 11 shows the configuration of
図11に示すシグネチャ配布装置4200は、通信制御部4001、近隣ネットワーク情報記憶部4102、配布端末決定部4201、及び影響範囲判定部4202を備えたものである。
A
配布端末決定部4201は、情報収集装置2000から通知された検知結果メッセージA000、感染力・影響度情報、及びシグネチャデータを受け取り、該シグネチャデータの配布先を決定する。
The distribution
影響範囲判定部4202は、感染力・影響度情報3101から、前記シグネチャを配布すべき範囲を決定する。
The influence
次に、動作について説明する。
配布端末決定部4201は、情報収集装置2000から送信された、検知結果メッセージA000、感染力・影響度情報、およびシグネチャデータを受信する。そして、影響範囲判定部4202は、受信した感染力・影響度情報を元に、コンピュータウィルスの感染力もしくは不正アクセスの影響の及ぶ範囲を判定する。影響範囲判定部4202により判定した、コンピュータウィルスの感染力もしくは不正アクセスの影響の及ぶ範囲内のエンド機器を、ネットワークにおける、シグネチャを配布すべきエンド機器と決定する。
Next, the operation will be described.
The distribution
そして、通信制御部4001では、配布端末決定部4201により配布先として決定したエンド機器5000に対し、シグネチャを送信する。
Then, the
ここで、シグネチャの配布範囲について図8を用いて説明する。
例えば、ルータ7400に接続されている情報解析装置1000がコンピュータウィルスもしくは不正アクセスを検知した場合を考える。検知したコンピュータウィルスの感染力もしくは不正アクセスの影響が及ぶ範囲が狭いと判定したときは、ルータ7400に接続されているエンド機器5000に対してシグネチャを配布する。一方、検知したコンピュータウィルスの感染力もしくは不正アクセスの影響が及ぶ範囲が広いと判定したときは、ルータ7400に接続されているエンド機器5000だけでなく、ルータ7400が属するネットワークDに近いネットワーク、例えば、ネットワークDの1つ上の階層に相当する、ルータ7200が属するネットワークBに含まれるエンド機器5000に対してもシグネチャを配布する。例えば、ネットワークDで検出したコンピュータウィルスの感染力が低である場合は、ネットワークDに属するエンド機器5000に対してのみシグネチャを配布する。また、ネットワークDで検出したコンピュータウィルスの感染力が中である場合は、ネットワークDに属するエンド端末5000だけでなく、ルータ4700が属するネットワークBに属するエンド機器5000に対してもシグネチャを配布する。さらに、ネットワークDで検出したコンピュータウィルスの感染力が高である場合は、ネットワークAからネットワークDまで、全てのネットワークに属するエンド機器5000に対してシグネチャを配布する。
Here, the distribution range of the signature will be described with reference to FIG.
For example, consider a case where the
このような実施の形態3のシグネチャ配布システムでは、情報解析装置1000が検知したコンピュータウィルスもしくは不正アクセスの感染力や影響の及ぶ範囲に応じてシグネチャを配布する範囲を変更するようにしたので、影響力が大きければより広範囲のエンド機器に、影響力が小さければ狭い範囲のエンド機器に対してシグネチャデータを配布することができる。これにより、検知されたコンピュータウィルスもしくは不正アクセスに応じて必要度が高い位置にあるエンド機器にシグネチャを配布し、必要ではないエンド機器に対してはシグネチャの配布を行わないため、各エンド機器では必要であるシグネチャを効率的に記憶することができる。
In such a signature distribution system according to the third embodiment, since the distribution range of the signature is changed according to the infectivity and influence range of the computer virus or unauthorized access detected by the
(実施の形態4)
以下に、本発明の実施の形態4によるシグネチャ配布システムについて説明する。
本実施の形態4のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、配布用シグネチャ記憶部3000およびシグネチャ配布装置4000に代えて、図12に示す配布用シグネチャ記憶部3200および図13に示すシグネチャ配布装置4300を備えたものである。
(Embodiment 4)
The signature distribution system according to the fourth embodiment of the present invention will be described below.
The signature distribution system according to the fourth embodiment is different from the
配布用シグネチャ記憶部3200は、図12に示す構造のデータレコードをもつデータベースであり、該データレコードは、シグネチャIDフィールド3001、シグネチャ対応情報フィールド3002、シグネチャデータフィールド3003、及び影響機器情報フィールド3201を持つレコードの集合で構成される。図において、図4と同一構成要素については同一符号を付している。
The distribution
影響機器情報フィールド3201は、シグネチャ対応情報に記載されているコンピュータウィルスもしくは不正アクセスの影響を受けるOSやそのバージョンもしくはアーキテクチャなどの影響機器情報を記憶する。
The affected
シグネチャ配布装置4300の構成を図13に示す。図において、図9と同一構成要素については同一符号を付している。
The configuration of the
図13に示すシグネチャ配布装置4300は、通信制御部4001、近隣ネットワーク情報記憶部4102、配布端末決定部4301、及びエンド機器情報記憶部4310を備えたものである。
A
配布端末決定部4301は、情報収集装置2000から通知された検知結果メッセージA000、影響機器情報、およびシグネチャデータを受け取り、該シグネチャデータの配布先を決定する。
The distribution
エンド機器情報記憶部4310は、エンド機器のOSやそのバージョン、アーキテクチャなどの機器固有情報を記憶する。このエンド機器情報記憶部4310に記憶されるエンド機器情報は、図14に示すように、エンド機器を一意に識別できるエンド機器ID4311、OS情報4312、及びアーキテクチャ情報4313を含むものである。
The end device
次に、動作について説明する。
配布端末決定部4301は、情報収集装置2000から、検知結果メッセージA000、影響機器情報、およびシグネチャデータを受信する。そして、受信した検知結果メッセージA000に含まれる検知元アドレスA001を元に、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置1000にネットワーク上で近いエンド機器群を特定する。さらに、特定したエンド機器群の中で、エンド機器情報記憶部4310に記録されている機器固有情報と上記影響機器情報とに基づいて、コンピュータウィルスもしくは不正アクセスの影響を受けるエンド機器を検索し、検索したエンド機器をシグネチャの配布先として決定する。
Next, the operation will be described.
The distribution
通信制御部4001では、配布端末決定部4201により配布先として決定したエンド機器5000に対し、シグネチャを送信する。
The
このような実施の形態4のシグネチャ配布システムでは、コンピュータウィルスや不正アクセスを検知した情報解析装置1000にネットワーク上で近い単数または複数のエンド機器の中で、コンピュータウィルスや不正アクセスの影響を受けるOSやハードウェアを有するエンド機器5000を検索し、検索の結果得られたエンド機器5000に対してのみ、シグネチャを配布するようにしたので、エンド機器は、必要最小限のシグネチャを持つだけで、感染や侵入を防止することができ、エンド機器のリソースが効率的に使用できる。
In such a signature distribution system of the fourth embodiment, an OS affected by a computer virus or unauthorized access among one or a plurality of end devices close to the
(実施の形態5)
以下に、本発明の実施の形態5によるシグネチャ配布システムについて説明する。
本実施の形態5のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、シグネチャ配布装置4000に代えて、図15に示すシグネチャ配布装置4400を備えたものである。
(Embodiment 5)
The signature distribution system according to the fifth embodiment of the present invention will be described below.
The signature distribution system of the fifth embodiment includes a
シグネチャ配布装置4400の構成を図15に示す。図において、図9と同一構成要素については同一符号を付している。
The configuration of
図15に示すシグネチャ配布装置4400は、通信制御部4001、配布端末決定部4401、及びサービス登録情報記憶部4410を備えたものである。
A
配布端末決定部4401は、情報収集装置2000から検知結果メッセージA000、シグネチャデータを受信し、該シグネチャデータの配布先を決定する。
The distribution
サービス登録端末記憶部4410は、特定のサービスに加入しているエンド機器のネットワークアドレスなどの情報を記録する。
The service registration
なお、図15では、サービス登録情報記憶部4410をシグネチャ配布装置4400内に備えている場合について示しているが、シグネチャ配布装置4400外部に備えるようにしても良い。
15 shows the case where the service registration
次に、動作について説明する。
配布端末決定部4401では、情報収集装置2000から検知結果メッセージA000、およびシグネチャデータを受信する。そして、受信した検知結果メッセージA000に含まれる検知元アドレスA001を元に、サービス登録端末記憶部4410に記憶されている情報に基づいて、上記特定のサービスに加入しているエンド機器のうちで、コンピュータウィルスや不正アクセスを検知した情報解析装置1000と同じネットワークアドレスを有する単数または複数のエンド機器を判定し、判定した単数または複数のエンド機器を、シグネチャデータの配布先として決定する。
Next, the operation will be described.
The distribution
通信制御部4001では、配布端末決定部4401により配布先として決定した前記エンド機器に対し、シグネチャデータを送信する。
The
このような実施の形態5のシグネチャ配布システムでは、シグネチャ配布装置4400内の配布端末決定部4401によりシグネチャの配布先を決定する際に、特定のサービスに加入しているエンド機器の中から、シグネチャを配布すべき単数または複数のエンド機器を決定するようにしたので、ISPやASPなどでサービスを提供し、そのサービスの加入者のみにシグネチャ配布のサービスを行うことができる。
In such a signature distribution system according to the fifth embodiment, when the distribution
(実施の形態6)
以下に、本発明の実施の形態6によるシグネチャ配布システムについて説明する。
本実施の形態6のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、配布用シグネチャ記憶部3000およびシグネチャ配布装置4000に代えて、図16に示す配布用シグネチャ記憶部3300および図17に示すシグネチャ配布装置4500を備えたものである。
(Embodiment 6)
The signature distribution system according to the sixth embodiment of the present invention will be described below.
The signature distribution system according to the sixth embodiment is different from the
配布用シグネチャ記憶部3300は、図16に示す構造のデータレコードをもつデータベースであり、該データレコードは、シグネチャIDフィールド3001、シグネチャ対応情報フィールド3002、シグネチャデータフィールド3003、及び影響サービス情報フィールド3301を持つレコードの集合で構成される。図において、図4と同一構成要素については同一符号を付している。
The distribution
影響サービス情報フィールド3301は、シグネチャ対応情報に記載されているコンピュータウィルスもしくは不正アクセスの影響を受けるサービスやそのバージョンを示す影響サービス情報を記憶する。
The influence
シグネチャ配布装置4500の構成を図17に示す。図において、図8と同一構成要素については同一符号を付している。
The configuration of the
図17に示すシグネチャ配布装置4500は、通信制御部4001、配布端末決定部4501、及び機器スキャン部4502を備えたものである。
A
配布端末決定部4501は、情報収集装置2000から通知された検知結果メッセージA000、影響サービス情報、およびシグネチャデータを受け取り、該シグネチャデータの配布先を決定する。
The distribution
機器スキャン部4502は、配布端末決定部4501により決定したアドレスを持つエンド機器に対しポートスキャンなど該エンド機器が行っているサービスを検知する。
The
次に、動作について説明する。
配布端末決定部4501では、情報収集装置2000から、検知結果メッセージA000、影響サービス情報、およびシグネチャデータを受信し、検知結果メッセージA000に含まれる検知元アドレスを元に、シグネチャデータの配布先を特定する。
Next, the operation will be described.
The distribution
そして、機器スキャン部4502では、配布端末決定部4501により特定したエンド機器の各々が行っているサービスを検出し、影響サービス情報が示すサービスと一致するサービスを行っている単数または複数のエンド機器を検索する。
The
通信制御部4001では、機器スキャン部4502により検索した単数または複数のエンド機器に対して、シグネチャを配布する。
The
このような実施の形態6のシグネチャ配布システムでは、配布端末決定部4501によりシグネチャの配布先として決定した単数または複数のエンド機器5000の各々が行っているサービスを検索し、情報収集装置200から受け取った影響サービス情報が示すサービスと一致するサービスを行っている単数または複数のエンド機器に対してのみシグネチャを配布するようにしたので、情報解析装置1000が検知したコンピュータウィルスや不正アクセスが本当に影響を受けるサービスを行っているエンド機器のみにシグネチャデータを配布することになる。これにより、エンド機器は、さらに効率よく必要なシグネチャのみを持つことになる。
In such a signature distribution system of the sixth embodiment, the service performed by each of the one or
(実施の形態7)
以下に、本発明の実施の形態7によるシグネチャ配布システムについて説明する。
本実施の形態7のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、シグネチャ配布装置4000に代えて、図18に示すシグネチャ配布装置4600を備えたものである。
(Embodiment 7)
The signature distribution system according to the seventh embodiment of the present invention will be described below.
The signature distribution system according to the seventh embodiment includes a
シグネチャ配布装置4600の構成を図18に示す。図において、図9と同一構成要素については同一符号を付している。
The configuration of the
図18に示すシグネチャ配布装置4600は、通信制御部4001、近隣ネットワーク情報記憶部4102、配布端末決定部4601、及びエンド機器物理位置情報記憶部4610を備えたものである。
A
配布端末決定部4601は、情報収集装置2000から検知結果メッセージA100、およびシグネチャデータを受信し、該シグネチャデータの配布先を決定する。
The distribution
エンド機器物理位置情報記憶部4610は、エンド機器の物理的な位置を示す情報を記憶する。
The end device physical position
図19に、情報解析装置1000から情報収集装置2000に通知される検知結果メッセージA100を示す。この検知結果メッセージA100は、検知元アドレスA001、検知情報A002、検知元物理座標A101を含むものである。
FIG. 19 shows a detection result message A100 notified from the
図20に、エンド機器物理位置情報記憶部4610に記憶されているエンド機器情報を示す。このエンド機器情報は、エンド機器ID4311、OS情報4312、アーキテクチャ情報4313、物理的位置情報4611を含むものである。
FIG. 20 shows end device information stored in the end device physical position
物理的位置情報4611は、エンド機器の物理的な位置情報を表すものである。例えば、エンド機器が設置されている場所の住所やGPSから得られる緯度経度情報である。なお、エンド機器ID4311、OS情報4312、アーキテクチャ情報4313は、図14に示すエンド機器情報におけるものと同一のものである。
The
次に、動作について説明する。
配布端末決定部4601では、情報収集装置2000から、検知結果メッセージA100、およびシグネチャデータを受信する。そして、受信した検知結果メッセージA100に含まれる検知元物理座標A101を元に、エンド機器物理位置情報記憶部4610から、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置1000に物理的に近い単数または複数のエンド機器を検索し、検索した単数または複数のエンド機器を、シグネチャの配布先として決定する。
Next, the operation will be described.
The distribution
通信制御部4001では、配布端末決定部4601により配布先として決定したエンド機器に対し、シグネチャデータを送信する。
The
例えば、パソコンがコンピュータウィルスに感染した場合に、このパソコンと同一住所で登録されている携帯電話に対しシグネチャを配布する。このようにすることで、パソコンと携帯電話との間でメモリカードを用いてデータのやりとりを行う際に、パソコンからメモリカード経由で携帯電話にコンピュータウィルスが感染してしまうのを防止することができる。 For example, when a personal computer is infected with a computer virus, a signature is distributed to a mobile phone registered at the same address as the personal computer. In this way, when data is exchanged between a personal computer and a mobile phone using a memory card, it is possible to prevent a computer virus from being transmitted from the personal computer to the mobile phone via the memory card. it can.
このような実施の形態7のシグネチャ配布システムでは、情報解析装置1000から情報収集装置2000に対して送信される検知結果に該情報解析装置1000の物理的位置情報を加えて送信し、シグネチャの配布先を決定する際に検知元アドレスに物理的に近い単数または複数のエンド機器に対してシグネチャを配布するようにしたので、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置1000の近隣で蔓延しているコンピュータウィルスや不正アクセスに対するシグネチャを、該情報解析装置1000に物理的に近いエンド機器が持つ事になり、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置にネットワーク上では遠いが物理的に近いエンド機器がフロッピー(登録商標)ディスクやメモリカード、CD‐Rなどの物理メディアを介してコンピュータウィルス感染もしくは不正アクセスされるのを防止することができる。
In such a signature distribution system according to the seventh embodiment, the physical position information of the
(実施の形態8)
以下に、本発明の実施の形態8によるシグネチャ配布システムについて説明する。
本実施の形態8のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、情報解析装置1000に代えて、図22に示す情報解析装置1100を備えたものである。
(Embodiment 8)
The signature distribution system according to the eighth embodiment of the present invention will be described below.
The signature distribution system according to the eighth embodiment includes an
情報解析装置1100の構成を図22に示す。図において、図3と同一構成要素については同一符号を付している。
The configuration of the
図22に示す情報解析装置1100は、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003、および感染・攻撃端末特定部1101を備えている。
The
感染・攻撃端末特定部1101は、感染・攻撃判定部1002においてコンピュータウィルスもしくは不正アクセスを検知したときに、コンピュータウィルスに感染している、もしくは不正アクセスの攻撃を受けている単数または複数のエンド機器、及びその近隣のエンド機器を特定する。
The infection / attack
情報解析装置1100から情報収集装置2000に通知される検知結果メッセージは、図21に示すような構成となる。図において、図2と同一構成要素については同一符号を付している。
The detection result message notified from the
図21に示す検知結果メッセージA200は、検知元アドレスA001、検知情報A002、および感染・侵入端末情報A201を含むものである。感染・端末情報A201は、感染・攻撃端末特定部1101により特定した端末に関する情報を示している。
The detection result message A200 shown in FIG. 21 includes a detection source address A001, detection information A002, and infection / intrusion terminal information A201. The infection / terminal information A201 indicates information related to the terminal identified by the infection / attack
次に、動作について説明する。
感染・攻撃端末特定部1101では、感染・攻撃判定部1002によるコンピュータウィルスもしくは不正アクセスの検知と連動して、該コンピュータウィルスに感染した端末もしくは不正アクセスの攻撃を受けた端末を特定する。そして、特定した端末情報を感染・侵入端末情報A201と、コンピュータウィルスもしくは不正アクセスの検知結果に関する情報A001,A002とを含む検知結果メッセージA200を情報収集装置2000に送信する。
Next, the operation will be described.
The infection / attack
情報収集装置2000では、検知結果メッセージA200に含まれる検知情報A002を元にウィルスの除去もしくはルートキットの削除や端末機能のロックなど侵入に対する対策を行うためのシグネチャを配布用シグネチャ記憶部3000から検索し、検索したシグネチャを、検知元アドレスA001及び感染・侵入端末情報A201と共にシグネチャ配布装置4000に送信する。
The
シグネチャ配布装置4000では、情報収集装置2000から受け取った検知アドレスを元に感染・侵入端末及びその近隣のエンド機器を特定し、該特定したエンド機器に対し、情報収集装置2000から受け取ったシグネチャを配布する。
The
このような実施の形態8のシグネチャ配布システムでは、すでに感染・侵入されてしまった単数または複数のエンド機器とその近隣のエンド機器に対してシグネチャを配布するようにしたので、コンピュータウィルスや不正アクセスの封じ込め(感染・拡散の防止)を行うことができる。 In the signature distribution system according to the eighth embodiment, the signature is distributed to one or a plurality of end devices that have already been infected or infiltrated and neighboring end devices. Containment (prevention of infection and spread).
さらに、感染したエンド機器とその近隣端末で封じ込めを行うことで、それ以外のエンド機器に対してはシグネチャを配布する必要が無く、エンド機器のリソースを効率的に使用することができる。 Further, by performing containment between the infected end device and its neighboring terminals, it is not necessary to distribute signatures to other end devices, and the resources of the end device can be used efficiently.
(実施の形態9)
以下に、本発明の実施の形態9によるシグネチャ配布システムについて説明する。
本実施の形態9のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、配布用シグネチャ記憶部3000およびシグネチャ配布装置4000に代えて、図23に示す配布用シグネチャ記憶部3400および図24に示すシグネチャ配布装置4700を備えたものである。
(Embodiment 9)
The signature distribution system according to the ninth embodiment of the present invention will be described below.
The signature distribution system according to the ninth embodiment replaces the distribution
配布用シグネチャ記憶部3400は、図23に示す構造のデータレコードをもつデータベースであり、該データレコードは、シグネチャID3001、シグネチャ対応情報3002、影響機器情報フィールド3201、簡易シグネチャ情報フィールド3401、及び詳細シグネチャ情報フィールド3402を持つレコードの集合で構成される。図において、図12と同一構成要素については同一符号を付している。
The distribution
簡易シグネチャ情報フィールド3401は、該当のコンピュータウィルスもしくは不正アクセスに対して検知のみを行うような、メモリリソースやCPUリソースを消費しない簡易シグネチャデータを記憶する。
The simple
詳細シグネチャ情報フィールド3402は、該当のコンピュータウィルスもしくは不正アクセスに対して駆除や防御までを行うような、メモリリソースやCPUリソースを消費するがより高度な処理を行う詳細シグネチャデータを記憶する。
The detailed
シグネチャ配布装置4700の構成を図24に示す。図において、図9と同一構成要素については同一符号を付している。
The configuration of the
図24に示すシグネチャ配布装置4700は、通信制御部4001、近隣ネットワーク情報記憶部4102、配布端末決定部4701、及びエンド機器リソース情報記憶部4710を備えたものである。
A
配布端末決定部4701は、情報収集装置2000から通知された検知結果メッセージA000、影響機器情報、及びシグネチャデータを受信し、該シグネチャデータの配布先を決定する。
The distribution
エンド機器リソース情報記憶部4710は、エンド機器の搭載メモリやCPUの処理能力などのリソース情報を記憶する。このエンド機器リソース情報記憶部4710に記憶されるエンド機器情報は、図25に示すように、エンド機器を一意に識別できるエンド機器ID4311、OS情報4312、アーキテクチャ情報4313、及び機器リソース情報4711を含むものである。
The end device resource
機器リソース情報4711は、エンド機器の搭載メモリやCPUの処理能力などのリソースを示す情報である。例えば、CPUのMIPS値や動作クロック周波数、搭載メモリの容量やキャッシュ容量などの情報が格納される。なお、エンド機器ID4311、OS情報4312、アーキテクチャ情報4313は、図14におけるものと同一のものである。
The
次に、動作について説明する。
配布端末決定部4701では、情報収集装置2000から、検知結果メッセージA000、影響機器情報、簡易シグネチャデータ、および詳細シグネチャデータを受信する。そして、受信した検知結果メッセージA000に含まれる検知元アドレスA001を元に、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置1000にネットワーク上で近いエンド機器群を特定する。さらに、特定したエンド機器群の中で、エンド機器リソース情報記憶部4710に記憶されているリソース情報を元に、簡易シグネチャデータもしくは詳細シグネチャデータの配布先を決定する。リソースの少ないエンド機器に対しては簡易シグネチャデータを、リソースが十分であるエンド機器に対しては詳細シグネチャデータを配布することを決定する。例えば、使用可能なメモリ容量が1メガバイト以下のように少ない場合や、CPUの処理能力が乏しい場合エンド機器に対しては簡易シグネチャデータを送信し、使用可能なメモリが数百メガバイト以上でCPUの処理能力も余裕がある場合のエンド機器に対しては詳細シグネチャデータを送信する。
Next, the operation will be described.
The distribution
通信制御部4001では、配布端末決定部4701の決定に基づいて、配布先であるエンド機器に対し、簡易シグネチャデータあるいは詳細シグネチャデータを送信する。
Based on the determination by the distribution
このような実施の形態9のシグネチャ配布システムでは、配布端末決定部4701はエンド機器5000のリソース情報を元に、リソースの少ないエンド機器に対しては簡易シグネチャデータフィールドに記憶されているデータを配布し、リソースが十分なエンド機器に対しては詳細シグネチャデータフィールドに記憶されているデータを配布することを決定するので、エンド機器本来の機能を損なうことなくエンド機器上でコンピュータウィルスの検知や駆除、不正アクセスの検知や防御ができる。
In such a signature distribution system according to the ninth embodiment, the distribution
(実施の形態10)
以下に、本発明の実施の形態10によるシグネチャ配布システムについて説明する。
本実施の形態10のシグネチャ配布システムは、上記実施の形態9のシグネチャ配布システムにおける、シグネチャ配布装置4700に代えて、図26に示すシグネチャ配布装置4800を備えたものである。
(Embodiment 10)
The signature distribution system according to the tenth embodiment of the present invention will be described below.
The signature distribution system according to the tenth embodiment includes a
シグネチャ配布装置4800の構成を図26に示す。
図26に示すシグネチャ配布装置4800は、通信制御部4001、配布端末決定部4801、及び機器リソース測定部4802を備えたものである。
The configuration of
A
配布端末決定部4801は、情報収集装置2000から検知結果メッセージA000、およびシグネチャデータを受信し、該シグネチャデータの配布先を決定する。
機器リソース測定部4802は、エンド機器のリソースを測定する。
The distribution
The device
次に、動作について説明する。
配布端末決定部4801では、情報収集装置2000から、検知結果メッセージA000、およびシグネチャデータを受信する。そして、受信した検知結果メッセージA000に含まれる検知元アドレスA001を元に、シグネチャデータの配布先を決定する。
Next, the operation will be described.
The distribution
機器リソース測定部4802では、配布端末決定部4801により配布先として決定したエンド機器に対し、該エンド機器のリソースを測定するパケットを一回以上送信し、その応答結果及び応答時間によりエンド機器までのネットワークの状況を含んだエンド機器のリソースを測定する。
The device
通信制御部4001では、機器リソース測定部4802によるリソースの測定の結果、リソースが少ないエンド機器に対しては簡易シグネチャデータを、リソースが十分であるエンド機器に対しては詳細シグネチャデータを送信する。例えばリソース測定の結果、使用可能なメモリ容量が1メガバイト以下のように少ない場合や、一定の処理に標準の数倍以上の時間がかかる場合エンド機器に対しては簡易シグネチャデータを送信し、使用可能なメモリが数百メガバイト以上で一定の処理に標準の数分の1以下の時間で済むようなエンド機器に対しては詳細シグネチャデータを送信する。
As a result of the resource measurement by the device
このような実施の形態10のシグネチャ配布システムにおいて、配布先として決定したエンド機器に対して、機器リソース測定部4802によるリソースの測定を行い、その結果、リソースが少ないエンド機器に対しては簡易シグネチャデータを配布し、リソースが十分なエンド機器に対しては詳細シグネチャデータを配布するようにしたので、エンド機器側で機器のアップデートやダウングレード、機器自体のリプレイスなどが発生しても、シグネチャ配布装置側でデータの変更作業を行うことなく機器のリソースに基づいたシグネチャの配布を行うことができる。
In such a signature distribution system according to the tenth embodiment, the resource is measured by the device
(実施の形態11)
以下に、本発明の実施の形態11によるシグネチャ配布システムについて説明する。
本実施の形態11のシグネチャ配布システムは、上記実施の形態9のシグネチャ配布システムにおける、シグネチャ配布装置4700に代えて、図27に示すシグネチャ配布装置4900を備えたものである。
(Embodiment 11)
The signature distribution system according to the eleventh embodiment of the present invention will be described below.
The signature distribution system according to the eleventh embodiment includes a
シグネチャ配布装置4900の構成を図27に示す。
図27に示すシグネチャ配布装置4900は、通信制御部4001、配布端末決定部4901、機器通信量測定部4902を備えたものである。
The configuration of the
A
配布端末決定部4901は、情報収集装置2000から検知結果メッセージA000、およびシグネチャデータを受信し、該シグネチャデータの配布先を決定する。
機器通信量測定部4902は、エンド機器の通信量を測定する。
The distribution
The device communication
次に、動作について説明する。
配布端末決定部4901は、情報収集装置2000から、検知結果メッセージA000、およびシグネチャデータを受信する。そして、受信した検知結果メッセージA000に含まれる検知元アドレスA001を元に、シグネチャデータの配布先と決定する。
Next, the operation will be described.
The distribution
機器通信量測定部4902は、配布端末決定部4901により配布先として決定したエンド機器に対し、該エンド機器の通信量を測定する。
The device communication
通信制御部4001は、機器通信量測定部4902による通信量の測定の結果、通信量の少ないエンド機器に対しては簡易シグネチャデータを、通信量の多いエンド機器に対しては詳細シグネチャデータを送信する。例えば、1日に数回程度の通信しか行なわず、通信データのサイズも数十キロバイト程度のエンド機器に対しては簡易シグネチャデータを送信し、1時間に何回も通信を行うようなエンド機器や、1回の通信で非常に大きなデータを通信する、もしくは通信を維持するようなエンド機器に対しては詳細なシグネチャデータを送信するようにする。
The
このような実施の形態11のシグネチャ配布システムでは、配布先として決定したエンド機器に対し、機器通信量測定部4902による通信量の測定を行い、その結果、通信量の多いエンド機器に対しては詳細シグネチャデータを、通信量が少ないエンド機器に対しては簡易シグネチャデータを配布するようにしたので、データの送受信が多くその分コンピュータウィルスや不正アクセスに対するリスクが高いと思われる通信量が多いエンド機器に対し、コンピュータウィルスもしくは不正アクセスに対して駆除や防御までを行うシグネチャを配布することができる。
In such a signature distribution system according to the eleventh embodiment, the communication
(実施の形態12)
以下に、本発明の実施の形態11によるシグネチャ配布システムについて説明する。
本実施の形態11のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、情報解析装置1000に代えて、図28に示す情報解析装置1200を備えたものである。
(Embodiment 12)
The signature distribution system according to the eleventh embodiment of the present invention will be described below.
The signature distribution system according to the eleventh embodiment includes an
情報解析装置1200の構成を図28に示す。
図28に示す情報解析装置1200は、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003、及びシグネチャ消去判定部1201を備えている。
The configuration of the
28 includes a
シグネチャ消去判定部1201は、コンピュータウィルスもしくは不正アクセスに対するシグネチャを使用する必要が有るか否かを判定する。なお、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003は、図3に示すものと同一のものである。
The signature
次に、動作について説明する。
情報解析装置1200では、シグネチャ消去判定部1201において、以前に配布されたシグネチャを使用する必要があるか否かを判定する。そして、判定の結果、感染・攻撃判定部1002により検知されなくなるなどして必要がないと判定したシグネチャを消去する旨の消去メッセージを、通信制御部1001を介して情報収集装置2000に送信する。
Next, the operation will be described.
In the
情報収集装置2000では、上記消去メッセージを受け取ると、シグネチャ配布装置4000に送信する。
When the
シグネチャ配布装置4000では、上記消去メッセージに含まれる消去すべきシグネチャを記憶しているエンド機器5000を特定し、上記消去メッセージを送信する。
The
エンド機器5000では、上記消去メッセージを受け取ると、受信した消去メッセージに含まれるシグネチャをシグネチャ記憶部5003から消去する。
When the
このような実施の形態12のシグネチャ配布システムでは、情報解析装置1200のシグネチャ消去判定部1201により不要と判定したシグネチャを、エンド機器5000のシグネチャ記憶部5003から削除するようにしたので、エンド機器5000が持つシグネチャを必要最小限に抑え、エンド機器のリソースをより効率的に使用することができる。
In such a signature distribution system according to the twelfth embodiment, since the signature determined to be unnecessary by the signature
(実施の形態13)
以下に、本発明の実施の形態13によるシグネチャ配布システムについて説明する。
本実施の形態13のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、情報解析装置1000に代えて、図29に示す情報解析装置1300を備えたものである。
(Embodiment 13)
The signature distribution system according to the thirteenth embodiment of the present invention will be described below.
The signature distribution system according to the thirteenth embodiment includes an
情報解析装置1300の構成を図29に示す。図において、図3と同一構成要素については同一符号を付している。
The configuration of the
図29に示す情報解析装置1300は、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003、シグネチャ消去判定部1301、および継続検知判定部1302を備えたものである。
An
シグネチャ消去判定部1301は、コンピュータウィルスもしくは不正アクセスに対するシグネチャを使用する必要が有るか否かを判定する。
The signature
継続検知判定部1302は、感染・攻撃判定部1002がコンピュータウィルスもしくは不正アクセスを継続的に検知しているか否かを判定する。
The continuous
次に、動作について、説明する。
情報解析装置1300では、継続検知判定部1302において、以前に感染・攻撃判定部1002により検知されていたコンピュータウィルスおよび不正アクセスが継続的に検知されているか否かを判定する。判定の結果、継続的に検知されていないと判定した場合、シグネチャ消去判定部1301では、該当のコンピュータウィルスもしくは不正アクセスに関するシグネチャを削除する旨の消去メッセージを、通信制御部1001を介して情報収集装置2000に送信する。
Next, the operation will be described.
In the
情報収集装置2000では、上記消去メッセージを受け取ると、シグネチャ配布装置4000に送信する。
When the
シグネチャ配布装置4000では、上記消去メッセージに含まれる、消去すべきシグネチャを記憶しているエンド機器5000を特定し、上記消去メッセージを送信する。
The
エンド機器5000では、上記消去メッセージを受け取ると、受信した消去メッセージに含まれるシグネチャをシグネチャ記憶部5003から消去する。
When the
このような実施の形態13のシグネチャ配布システムでは、コンピュータウィルスもしくは不正アクセスが継続的に検知されず、不必要となったシグネチャを消去するようにしたので、エンド機器がより安全な状態で、エンド機器でのシグネチャの削除を行うことができる。また、エンド機器5000が持つシグネチャを必要最小限に抑え、エンド機器のリソースをより効率的に使用することができる。
In such a signature distribution system according to the thirteenth embodiment, since a computer virus or unauthorized access is not continuously detected and unnecessary signatures are deleted, the end device is in a safer state and the end device is more secure. The signature can be deleted from the device. In addition, the signature of the
(実施の形態14)
以下に、本発明の実施の形態14によるシグネチャ配布システムについて説明する。
本実施の形態14のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、情報解析装置1000に代えて、図30に示す情報解析装置1400を備えたものである。
(Embodiment 14)
The signature distribution system according to the fourteenth embodiment of the present invention will be described below.
The signature distribution system according to the fourteenth embodiment includes an
情報解析装置1400の構成を図30に示す。図において、図29と同一構成要素については同一符号を付している。
The configuration of the
図30に示す情報解析装置1400は、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003、継続検知判定部1302、シグネチャ消去判定部1401、および消去判定タイマー1402を備えたものである。
30 includes a
シグネチャ消去判定部1401は、コンピュータウィルスもしくは不正アクセスに対するシグネチャを使用する必要が有るか否かを判定する。
The signature
消去判定タイマー1402は、感染・攻撃判定部1002がコンピュータウィルスもしくは不正アクセスを検知してからの経過時間を計測する。この消去判定タイマー1402に対しては、該タイマーの計測時間と比較される一定の参照時間が設定されている。
The
次に、動作について説明する。
情報解析装置1400では、感染・攻撃判定部1002によりコンピュータウィルスおよび不正アクセスを検知すると、検知してからの経過時間を消去判定タイマー1402で計測する。また、継続検知判定部1302において、感染・攻撃判定部1002によりコンピュータおよび不正アクセスが継続的に検知されているか否かを判定する。
Next, the operation will be described.
In the
そして、シグネチャ消去判定部1401は、継続検知判定部1302により、コンピュータウィルスもしくは不正アクセスが継続的に検知されていないと判定されている状態で、消去判定タイマー1402により計測した、該コンピュータウィルスもしくは該不正アクセスを検知してからの経過時間が、該タイマーに対して設定されている参照時間以上となった場合、該当のコンピュータウィルスもしくは不正アクセスに関するシグネチャを削除する旨の消去メッセージを、通信制御部1001を介して情報収集装置2000に送信する。
Then, the signature
情報収集装置2000では、上記消去メッセージを受け取ると、シグネチャ配布装置4000に送信する。
When the
シグネチャ配布装置4000では、上記消去メッセージに含まれる、消去すべきシグネチャを記憶しているエンド機器5000を特定し、上記消去メッセージを送信する。
The
エンド機器5000では、上記消去メッセージを受け取ると、受信した消去メッセージに含まれるシグネチャをシグネチャ記憶部5003から消去する。
When the
このような実施の形態14のシグネチャ配布システムでは、潜伏期間を持つようなコンピュータウィルスや時限発症式のコンピュータウィルスに関しても、検知から安全となる時間間隔をあけた上でシグネチャの削除を行うので、エンド機器がより安全な状態でエンド機器でのシグネチャの削除を行うことができる。 In such a signature distribution system according to the fourteenth embodiment, even for a computer virus having a latent period or a time-onset computer virus, the signature is deleted after a time interval that is safe from detection. The signature can be deleted from the end device while the end device is safer.
(実施の形態15)
以下に、本発明の実施の形態15によるシグネチャ配布システムについて説明する。
本実施の形態15のシグネチャ配布システムは、上記実施の形態9のシグネチャ配布システムにおける、情報解析装置1000に代えて、図31に示す情報解析装置1500を備えたものである。
(Embodiment 15)
The signature distribution system according to the fifteenth embodiment of the present invention will be described below.
The signature distribution system of the fifteenth embodiment includes an
情報解析装置1500の構成を図31に示す。図において、図30と同一構成要素については同一符号を付している。
The configuration of the
図31に示す情報解析装置1500は、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003、継続検知判定部1302、消去判定タイマー1402、シグネチャ消去判定部1501、及び警戒判定タイマー1502を備えたものである。
31 includes a
シグネチャ消去判定部1501は、コンピュータウィルスもしくは不正アクセスに対するシグネチャを使用する必要が無いことを判定する。
The signature
警戒判定タイマー1502は、感染・攻撃判定部1002がコンピュータウィルスもしくは不正アクセスを検知してからの経過時間を計測する。なお、この警戒判定タイマー1502に対しては、該タイマーの計測時間と比較される一定の参照時間が設定されており、該タイマー1502に対する参照時間は、消去判定タイマー1402に対して設定されている参照時間より短い時間である。
The
次に、動作について説明する。
この実施の形態のシステムでは、情報解析装置1500が、感染・攻撃判定部1002によりコンピュータウィルスおよび不正アクセスを検知すると、検知結果メッセージを情報収集装置2000に通知し、シグネチャ配布装置4000はエンド機器5000に対して詳細シグネチャデータを配布する。
Next, the operation will be described.
In the system of this embodiment, when the
そして、情報解析装置1500は、継続検知判定部1302により、感染・攻撃判定部1002によりコンピュータおよび不正アクセスが継続的に検知されているか否かを判定する。また、検知してからの経過時間を消去判定タイマー1402及び警戒判定タイマー1502で計測する。シグネチャ消去判定部1501では、継続検知判定部1302により、継続的に検知されていないと判定されている状態で、警戒判定タイマー1502により計測した、該コンピュータウィルスもしくは該不正アクセスを検知してからの経過時間が、該タイマーに対して設定されている参照時間以上となった場合、詳細シグネチャデータの必要が無くなったと判断し、簡易シグネチャデータと入れ替える旨の警戒メッセージを情報収集装置2000に通知する。
In the
情報収集装置2000では、上記警戒メッセージを受け取ると、該当する簡易シグネチャデータを配布用シグネチャ記憶部3000より検索し、シグネチャ配布装置4000に送信する。
When the
シグネチャ配布装置4000では、情報収集装置2000から受信した簡易シグネチャデータの配布先を、上記警戒メッセージに基づいて決定し、決定したエンド機器5000に上記簡易シグネチャデータを配布する。
The
エンド機器5000は、簡易シグネチャデータを受け取ると、現在記憶している詳細シグネチャデータを消去した上で、簡易シグネチャデータを記憶する。
When the
また、情報解析装置1500では、シグネチャ消去判定部1501において、継続検知判定部1302により、継続的に検知されていないと判定されている状態で、消去判定タイマー1402により計測した、該コンピュータウィルスもしくは該不正アクセスを検知してからの経過時間が、該タイマーに対して設定されている参照時間以上となった場合、該当のコンピュータウィルスもしくは不正アクセスに関するシグネチャを削除する旨の消去メッセージを、通信制御部1001を介して情報収集装置2000に送信する。
Further, in the
情報収集装置2000では、上記消去メッセージを受け取ると、シグネチャ配布装置4000に送信する。
When the
シグネチャ配布装置4000では、上記消去メッセージに含まれる、消去すべきシグネチャを記憶しているエンド機器5000を特定し、上記消去メッセージを送信する。
The
エンド機器5000では、上記消去メッセージを受け取ると、受信した消去メッセージに含まれるシグネチャをシグネチャ記憶部5003から消去する。
When the
このような実施の形態15のシグネチャ配布システムでは、危険が遠のいたエンド機器に関しては、簡単なシグネチャでの検知を行い、危険度が高いエンド機器に関しては今までどおり詳細なシグネチャで検知・駆除・防御を行うため、より効率的にリソースを使用でき且つ安全にエンド機器を使用することができる。 In such a signature distribution system according to the fifteenth embodiment, the end equipment with a high risk is detected with a simple signature, and the end equipment with a high risk is detected with a detailed signature as before. Since defense is performed, resources can be used more efficiently and end devices can be used safely.
なお、上記実施の形態1〜15では、エンド機器側で該エンド機器が有するシグネチャが不必要であるか否かを判断し、不必要であると判断したシグネチャを消去する場合について示しているが、シグネチャ配布装置4000が、配布済みのシグネチャの中で消去すべきシグネチャを決定し、該決定したシグネチャを持つ単数または複数のエンド機器を特定し、前記シグネチャの消去を指示するメッセージを送信することにより、エンド機器がシグネチャの消去をするようにしても良い。
In the first to fifteenth embodiments, the end device side determines whether the signature of the end device is unnecessary, and erases the signature that is determined to be unnecessary. The
本発明にかかるシグネチャ配布システムは、ネットワーク機器へのウィルススキャナの配布や侵入検知システムへのシグネチャ配布を、効率的なシグネチャの配布とできるものであり、ネット家電などを含むエンド機器をコンピュータウィルスや不正アクセスから防御する上で有用なものである。 The signature distribution system according to the present invention can distribute virus scanners to network devices and distribute signatures to intrusion detection systems as efficient signature distribution. It is useful for protecting against unauthorized access.
また、ネットワーク機器が持つシグネチャの選択方法とし、機器の消費リソースを最小にする方法としても有用である。 It is also useful as a method for selecting a signature possessed by a network device and a method for minimizing the resource consumption of the device.
1000 情報解析装置
1001 通信制御部
1002 感染・攻撃判定部
1003 感染・攻撃検知用シグネチャ記憶部
1100 感染済み機器を考慮に入れた配布を行うための情報解析装置
1101 感染・攻撃端末特定部
1200 シグネチャの削除を行うための情報解析装置
1201 シグネチャ消去判定部
1300 継続検知結果によりシグネチャの削除を行うための情報解析装置
1301 継続検知結果によりシグネチャの削除を行うためのシグネチャ消去判定部
1302 継続検知判定部
1400 タイマーによりシグネチャの削除を行うための情報解析装置
1401 タイマーによりシグネチャの削除を行うためのシグネチャ消去判定部
1402 消去判定タイマー
1500 段階的タイマーによりシグネチャの削除を行うための情報解析装置
1501 段階的タイマーによりシグネチャの削除を行うためのシグネチャ消去判定部
1502 警戒判定タイマー
2000 情報収集装置
2001 通信制御部
2002 配布用シグネチャ判定部
3000 配布用シグネチャ記憶部
3001 シグネチャID
3002 シグネチャ対応情報
3003 シグネチャデータ
3100 検知結果の影響を考慮した配布を行うための配布用シグネチャ記憶部
3101 感染力・影響度情報
3200 検知結果の影響機器を考慮した配布を行うための配布用シグネチャ記憶部
3201 影響機器情報
3300 機器での稼動サービスを考慮に入れた配布を行うための配布用シグネチャ記憶部
3301 影響サービス情報
3400 機器リソースを考慮に入れた配布を行うための配布用シグネチャ記憶部
3401 簡易シグネチャデータ
3402 詳細シグネチャデータ
4000 シグネチャ配布装置
4001 通信制御部
4002 配布端末決定部
4100 検知元の近隣に配布を行うためのシグネチャ配布装置
4101 検知元の近隣に配布を行う配布端末決定部
4102 近隣ネットワーク情報記憶部
4200 検知結果の影響を考慮した配布を行うためのシグネチャ配布装置
4201 検知結果の影響を考慮した配布を行うための配布端末決定部
4202 影響範囲判定部
4300 検知結果の影響機器を考慮した配布を行うためのシグネチャ配布装置
4301 検知結果の影響機器を考慮した配布を行うための配布端末決定部
4310 エンド機器情報記憶部
4311 エンド機器ID
4312 OS情報
4313 アーキテクチャ情報
4400 登録サービスを考慮に入れた配布を行うためのシグネチャ配布装置
4401 登録サービスを考慮に入れた配布を行うための配布端末決定部
4410 サービス登録端末記憶部
4500 機器での稼動サービスを考慮に入れた配布を行うためのシグネチャ配布装置
4501 機器での稼動サービスを考慮に入れた配布を行うための配布端末決定部
4502 機器スキャン部
4600 物理位置を考慮に入れた配布を行うためのシグネチャ配布装置
4601 物理位置を考慮に入れた配布を行うための配布端末決定部
4610 物理位置を考慮に入れた配布を行うためのエンド機器情報記憶部
4611 物理的位置情報
4700 機器リソースを考慮に入れた配布を行うためのシグネチャ配布装置
4701 機器リソースを考慮に入れた配布を行うための配布端末決定部
4710 機器リソースを考慮に入れた配布を行うためのエンド機器情報記憶部
4711 機器リソース情報
4800 機器リソースを考慮に入れた配布を行うためのシグネチャ配布装置その2
4801 機器リソースを考慮に入れた配布を行うための配布端末決定部その2
4802 機器リソース測定部
5000 エンド機器
5001 通信制御部
5002 シグネチャ制御部
5003 シグネチャ記憶部
5004 コンピュータウィルス検知・駆除部
5005 侵入検知・防御部
A000 検知結果メッセージ
A001 検知元アドレス
A002 検知情報
A100 物理位置を考慮に入れた配布を行うための検知結果メッセージ
A101 検知元物理座標
A200 感染済み機器を考慮に入れた配布を行うための検知結果メッセージ
A201 感染・侵入端末情報
1000
3002
4312
4801 Distribution terminal determination unit 2 for performing distribution in consideration of device resources
4802 Device
Claims (13)
ネットワーク上の端末と通信を行うための通信制御部と、
前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置から検知結果を受け取り、該検知結果に含まれる検知元アドレスを元に、シグネチャの配布先である単数または複数のエンド機器を決定する配布端末決定部と、を備え、
前記通信制御部は、前記配布端末決定部によりシグネチャの配布先として決定した前記単数または複数のエンド機器に対し、シグネチャを配信する、
ことを特徴とするシグネチャ配布装置。 A detection result including a detection source address that is an address of the information analysis device and information relating to the computer virus or unauthorized access detected by the information analysis device is received from the information analysis device that detects a computer virus or unauthorized access via the network. A signature distribution device that distributes a signature for detecting and removing the computer virus or detecting and preventing unauthorized access via a network,
A communication control unit for communicating with a terminal on the network;
A distribution terminal determination unit that receives a detection result from the information analysis apparatus that has detected the computer virus or unauthorized access, and determines one or more end devices to which a signature is distributed based on a detection source address included in the detection result And comprising
The communication control unit distributes a signature to the one or more end devices determined by the distribution terminal determination unit as a signature distribution destination;
The signature distribution apparatus characterized by the above-mentioned.
前記情報解析装置を含むネットワークに近隣するネットワークの情報を記憶する近隣ネットワーク情報記憶部をさらに備え、
前記配布端末決定部は、前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置を含むネットワークに近隣するネットワークを、前記近隣ネットワーク情報記憶部から検索し、該検索した近隣ネットワークに含まれる単数または複数のエンド機器を、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。 The signature distribution apparatus according to claim 1,
A neighbor network information storage unit for storing information of a network adjacent to the network including the information analysis device;
The distribution terminal determining unit searches a network adjacent to the network including the information analysis device that has detected the computer virus or unauthorized access from the neighboring network information storage unit, and includes one or a plurality of networks included in the searched neighboring network Determine the end device as the signature distribution destination.
The signature distribution apparatus characterized by the above-mentioned.
前記検知したコンピュータウィルスの感染力もしくは前記検知した不正アクセスの影響度に応じて、前記シグネチャの配布すべきネットワーク上での範囲を判定する影響範囲判定部をさらに備え、
前記配布端末決定部は、前記影響範囲判定部により判定したネットワーク上の範囲内の前記エンド機器を、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。 The signature distribution device according to claim 2,
According to the infectivity of the detected computer virus or the degree of influence of the detected unauthorized access, further comprising an influence range determination unit that determines a range on the network to which the signature is to be distributed,
The distribution terminal determination unit determines the end device within the network range determined by the influence range determination unit as a signature distribution destination;
The signature distribution apparatus characterized by the above-mentioned.
ネットワーク上の各エンド機器の固有の機器構成を示す機器固有情報を記憶するエンド機器情報記憶部をさらに備え、
前記検知結果は、前記検知したコンピュータウィルスの感染もしくは不正アクセスの影響を受ける機器構成を示す前記エンド機器の影響機器情報をも含むものであり、
前記配布端末決定部は、前記コンピュータウィルスもしくは不正アクセスを検知した前記情報解析装置にネットワーク上で近い前記エンド機器のうちの、前記検知結果中の影響機器情報が示す機器構成を有するエンド機器を前記エンド機器情報記憶部から検索し、該検索した単数または複数のエンド機器を、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。 The signature distribution device according to claim 2,
An end device information storage unit that stores device-specific information indicating a unique device configuration of each end device on the network;
The detection result also includes affected device information of the end device indicating a device configuration affected by the detected computer virus infection or unauthorized access,
The distribution terminal determination unit selects an end device having a device configuration indicated by the affected device information in the detection result among the end devices close to the information analysis apparatus that has detected the computer virus or unauthorized access on the network. Searching from the end device information storage unit, and determining the searched end device or devices as signature distribution destinations.
The signature distribution apparatus characterized by the above-mentioned.
特定のサービスに加入しているエンド機器を示す機器指示情報を記録するサービス登録端末記憶部をさらに備え、
前記配布端末決定部は、前記サービス登録端末記憶部に記憶されている機器指定情報が示すエンド機器の中から、シグネチャを配布すべき単数または複数のエンド機器を決定する、
ことを特徴とするシグネチャ配布装置。 The signature distribution apparatus according to claim 1,
A service registration terminal storage unit for recording device instruction information indicating an end device subscribed to a specific service;
The distribution terminal determination unit determines one or more end devices to which a signature should be distributed from among the end devices indicated by the device designation information stored in the service registration terminal storage unit.
The signature distribution apparatus characterized by the above-mentioned.
指定されたアドレスを持つエンド機器で稼動しているサービスを検知する機器スキャン部をさらに備え、
前記検知結果は、前記検知したコンピュータウィルスもしくは不正アクセスの影響を受けるサービスを示す影響サービス情報をも含むものであり、
前記配布端末決定部は、前記機器スキャン部により検知した各エンド機器が行っているサービスのうちで、前記検知結果中の影響サービス情報が示すサービスと一致するサービスを行っている単数または複数のエンド機器を、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。 The signature distribution apparatus according to claim 1,
A device scanning unit that detects a service operating on an end device having a specified address is further provided.
The detection result also includes impact service information indicating a service affected by the detected computer virus or unauthorized access,
The distribution terminal determination unit includes one or a plurality of end users performing a service that matches the service indicated by the affected service information in the detection result among the services performed by each end device detected by the device scan unit. Determine the device as the signature distribution destination,
The signature distribution apparatus characterized by the above-mentioned.
前記エンド機器情報記憶部は、前記エンド機器の物理的な位置情報を記憶するエンド機器物理位置情報記憶部を有し、
前記検知結果は、前記情報解析装置の物理的位置情報をも含むものであり、
前記配布端末決定部は、前記検知結果中に含まれる前記情報解析装置の物理的位置情報に基づいて、該情報解析装置に物理的に近い位置にある単数または複数のエンド機器を、前記エンド機器物理位置情報記憶部から検索し、該検索した単数または複数のエンド機器を、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。 The signature distribution device according to claim 4, wherein
The end device information storage unit includes an end device physical position information storage unit that stores physical position information of the end device,
The detection result also includes physical position information of the information analysis device,
The distribution terminal determination unit determines one or more end devices that are physically close to the information analysis device based on the physical position information of the information analysis device included in the detection result, as the end device. Search from the physical location information storage unit, and determine the searched end device or devices as a signature distribution destination.
The signature distribution apparatus characterized by the above-mentioned.
前記検知結果は、前記コンピュータウィルスに感染している端末、あるいは前記不正アクセスの攻撃を受けている端末を特定するための感染・侵入端末情報をも含むものであり、
前記配布端末決定部は、前記検知結果に含まれる前記感染・侵入端末情報に基づいて、コンピュータウィルスに感染している、もしくは不正アクセスの攻撃を受けている単数または複数のエンド機器、及びその近隣のエンド機器を特定し、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。 The signature distribution apparatus according to claim 1,
The detection result includes infection / intrusion terminal information for identifying a terminal infected with the computer virus or a terminal subjected to the unauthorized access attack,
The distribution terminal determination unit, based on the infection / intrusion terminal information included in the detection result, has one or more end devices infected with a computer virus or under an unauthorized access attack, and the vicinity thereof Identify the end device of and determine where to distribute the signature.
The signature distribution apparatus characterized by the above-mentioned.
前記エンド機器のリソース情報を記憶するエンド機器リソース情報記憶部を備え、
前記配布端末決定部は、前記エンド機器リソース情報記憶部に記憶されているリソース情報に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、リソースの少ないエンド機器に対しては簡易シグネチャを、リソースが十分なエンド機器に対しては詳細シグネチャを配布することを決定する、
ことを特徴とするシグネチャ配布装置。 The signature distribution device according to claim 2,
An end device resource information storage unit for storing resource information of the end device;
The distribution terminal determination unit, for the end device with less resources among the one or more end devices determined as the distribution destination of the signature based on the resource information stored in the end device resource information storage unit Decide to distribute simple signatures to end devices that have sufficient resources,
The signature distribution apparatus characterized by the above-mentioned.
前記エンド機器に対し該機器のリソースを測定するパケットを1回以上送信し、その応答結果及び応答時間によりエンド機器までのネットワークの状況を含んだエンド機器のリソースを測定する機器リソース測定部をさらに備え、
前記配布端末決定部は、前記機器リソース測定部による測定の結果に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、リソースが少ないエンド機器に対しては簡易シグネチャを、リソースが十分であるエンド機器に対しては詳細シグネチャを配布することを決定する、
ことを特徴とするシグネチャ配布装置。 The signature distribution device according to claim 2,
A device resource measuring unit that transmits a packet for measuring the resource of the device to the end device at least once, and measures a resource of the end device including a network state up to the end device based on a response result and a response time; Prepared,
The distribution terminal determination unit, based on the measurement result by the device resource measurement unit, provides a simple signature for an end device with few resources among the one or more end devices determined as the distribution destination of the signature. Decide to distribute detailed signatures to end devices with sufficient resources,
The signature distribution apparatus characterized by the above-mentioned.
前記エンド機器の通信の頻度および通信データ量を測定するエンド機器通信量測定部をさらに備え、
前記配布端末決定部は、前記エンド機器通信量測定部による測定の結果に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、通信量が少ないエンド機器に対しては簡易シグネチャを、通信量の多いエンド機器に対しては詳細シグネチャを配布することを決定する、
ことを特徴とするシグネチャ配布装置。 The signature distribution device according to claim 2,
An end device communication amount measuring unit for measuring the communication frequency and communication data amount of the end device;
The distribution terminal determination unit is configured for an end device having a small communication amount among the one or more end devices determined as a distribution destination of the signature based on a result of measurement by the end device communication amount measurement unit. Decide to distribute simple signatures and detailed signatures to end devices with heavy traffic.
The signature distribution apparatus characterized by the above-mentioned.
前記配布端末決定部は、配布済みのシグネチャの中で消去すべきシグネチャを決定し、該決定したシグネチャを持つ単数または複数のエンド機器を特定し、
前記通信制御部は、前記配布端末決定部により特定した単数または複数のエンド機器に対し、前記シグネチャの消去を指示するメッセージを送信する、
ことを特徴とするシグネチャ配布装置。 The signature distribution apparatus according to claim 1,
The distribution terminal determination unit determines a signature to be deleted from among the distributed signatures, identifies one or more end devices having the determined signature,
The communication control unit transmits a message instructing deletion of the signature to one or more end devices specified by the distribution terminal determination unit;
The signature distribution apparatus characterized by the above-mentioned.
コンピュータウィルスの検知・駆除を行う、あるいは不正アクセスの検知・防御を行うための配布用シグネチャを記憶する配布用シグネチャ記憶部と、
前記情報解析装置の検知結果に含まれる、検知したコンピュータウィルス若しくは不正アクセスに関する情報に基づいて、前記配布用シグネチャ記憶部から配布用シグネチャを選択する情報収集装置と、
前記情報解析装置の検知結果に含まれる検知元アドレスに基づいて、前記情報収集装置により選択された配布用シグネチャの送信先を決定するシグネチャ配布装置と、
前記シグネチャ配布装置から前記配布用シグネチャを受け取り、該配布用シグネチャを使用してコンピュータウィルスを検知・駆除及び不正アクセスの検知・防御を行う複数のエンド機器とを備え、
前記シグネチャ配布装置は、
ネットワーク上の端末と通信を行うための通信制御部と、
前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置から前記検知結果を受け取り、該検知結果に含まれる検知元アドレスを元に、シグネチャの配布先である単数または複数のエンド機器を決定する配布端末決定部とを備え、
前記通信制御部は、前記配布端末決定部によりシグネチャの配布先として決定した前記単数または複数のエンド機器に対し、シグネチャを配信する、
ことを特徴としたシグネチャ配布システム。 An information analysis device that detects a computer virus or unauthorized access, and transmits a detection result including information on a detected source address and detected computer virus or unauthorized access via a network;
A distribution signature storage unit for storing a distribution signature for detecting and removing a computer virus, or detecting and preventing unauthorized access;
An information collection device for selecting a distribution signature from the distribution signature storage unit based on information on the detected computer virus or unauthorized access included in the detection result of the information analysis device;
A signature distribution device that determines a transmission destination of a distribution signature selected by the information collection device based on a detection source address included in a detection result of the information analysis device;
A plurality of end devices that receive the distribution signature from the signature distribution device, detect and remove computer viruses, and detect and prevent unauthorized access using the distribution signature;
The signature distribution device includes:
A communication control unit for communicating with a terminal on the network;
Distribution terminal determination that receives the detection result from the information analysis device that has detected the computer virus or unauthorized access, and determines one or more end devices that are the distribution destination of the signature based on the detection source address included in the detection result With
The communication control unit distributes a signature to the one or more end devices determined by the distribution terminal determination unit as a signature distribution destination;
Signature distribution system characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005190720A JP2007011628A (en) | 2005-06-29 | 2005-06-29 | Signature distribution device and signature distribution system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005190720A JP2007011628A (en) | 2005-06-29 | 2005-06-29 | Signature distribution device and signature distribution system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007011628A true JP2007011628A (en) | 2007-01-18 |
Family
ID=37750051
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005190720A Pending JP2007011628A (en) | 2005-06-29 | 2005-06-29 | Signature distribution device and signature distribution system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007011628A (en) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010123261A2 (en) * | 2009-04-22 | 2010-10-28 | 주식회사 안철수연구소 | Network-based malicious code diagnosis method and diagnosis server |
JP2013149109A (en) * | 2012-01-19 | 2013-08-01 | Ntt Data Corp | Security setting system, security setting method and program |
JP2015228264A (en) * | 2015-09-17 | 2015-12-17 | 株式会社エヌ・ティ・ティ・データ | Security setting system, security setting method and program |
WO2016019893A1 (en) * | 2014-08-07 | 2016-02-11 | 北京奇虎科技有限公司 | Application installation method and apparatus |
JP6095839B1 (en) * | 2016-09-27 | 2017-03-15 | 株式会社野村総合研究所 | Security countermeasure program, file tracking method, information processing apparatus, distribution apparatus, and management apparatus |
JP2022094354A (en) * | 2018-01-31 | 2022-06-24 | パロ アルト ネットワークス,インコーポレイテッド | Context profiling for malware detection |
US11863571B2 (en) | 2018-01-31 | 2024-01-02 | Palo Alto Networks, Inc. | Context profiling for malware detection |
US11949694B2 (en) | 2018-01-31 | 2024-04-02 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
-
2005
- 2005-06-29 JP JP2005190720A patent/JP2007011628A/en active Pending
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010123261A2 (en) * | 2009-04-22 | 2010-10-28 | 주식회사 안철수연구소 | Network-based malicious code diagnosis method and diagnosis server |
WO2010123261A3 (en) * | 2009-04-22 | 2011-01-27 | 주식회사 안철수연구소 | Network-based malicious code diagnosis method and diagnosis server |
KR101045870B1 (en) * | 2009-04-22 | 2011-07-01 | 주식회사 안철수연구소 | Network-based malware diagnosis method and diagnostic server |
JP2013149109A (en) * | 2012-01-19 | 2013-08-01 | Ntt Data Corp | Security setting system, security setting method and program |
WO2016019893A1 (en) * | 2014-08-07 | 2016-02-11 | 北京奇虎科技有限公司 | Application installation method and apparatus |
JP2015228264A (en) * | 2015-09-17 | 2015-12-17 | 株式会社エヌ・ティ・ティ・データ | Security setting system, security setting method and program |
JP6095839B1 (en) * | 2016-09-27 | 2017-03-15 | 株式会社野村総合研究所 | Security countermeasure program, file tracking method, information processing apparatus, distribution apparatus, and management apparatus |
JP2018055238A (en) * | 2016-09-27 | 2018-04-05 | 株式会社野村総合研究所 | Security measure program, file tracking method, information processing device, distribution device, and management device |
JP2022094354A (en) * | 2018-01-31 | 2022-06-24 | パロ アルト ネットワークス,インコーポレイテッド | Context profiling for malware detection |
JP7386909B2 (en) | 2018-01-31 | 2023-11-27 | パロ アルト ネットワークス,インコーポレイテッド | Contextual profiling for malware detection |
US11863571B2 (en) | 2018-01-31 | 2024-01-02 | Palo Alto Networks, Inc. | Context profiling for malware detection |
US11949694B2 (en) | 2018-01-31 | 2024-04-02 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2007011628A (en) | Signature distribution device and signature distribution system | |
US11201883B2 (en) | System, method, and apparatus for data loss prevention | |
US8006304B2 (en) | System and method for ARP anti-spoofing security | |
US8775604B2 (en) | Distributed frequency data collection via indicator embedded with DNS request | |
JP7299415B2 (en) | Security vulnerability protection methods and devices | |
US7596807B2 (en) | Method and system for reducing scope of self-propagating attack code in network | |
US8495739B2 (en) | System and method for ensuring scanning of files without caching the files to network device | |
US7873998B1 (en) | Rapidly propagating threat detection | |
US8468601B1 (en) | Method and system for statistical analysis of botnets | |
US20160232349A1 (en) | Mobile malware detection and user notification | |
US20050216956A1 (en) | Method and system for authentication event security policy generation | |
US20080196104A1 (en) | Off-line mms malware scanning system and method | |
US20030110393A1 (en) | Intrusion detection method and signature table | |
US20080086773A1 (en) | System and method of reporting and visualizing malware on mobile networks | |
US20060230456A1 (en) | Methods and apparatus to maintain telecommunication system integrity | |
CN102137111A (en) | Method and device for preventing CC (Challenge Collapsar) attack and content delivery network server | |
JP6734466B2 (en) | Attack countermeasure determination device, attack countermeasure determination method, and attack countermeasure determination program | |
US11271963B2 (en) | Defending against domain name system based attacks | |
JP2006262019A (en) | Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus | |
JP2008113409A (en) | Traffic control system and management server | |
JP2001313640A (en) | Method and system for deciding access type in communication network and recording medium | |
US8234503B2 (en) | Method and systems for computer security | |
KR20170109949A (en) | Method and apparatus for enhancing network security in dynamic network environment | |
CN111683063B (en) | Message processing method, system, device, storage medium and processor | |
JP2008276580A (en) | Electronic system, electronic equipment, virus pattern management device, program, and recording medium |