JP2007013262A - ワーム判定プログラム、ワーム判定方法およびワーム判定装置 - Google Patents
ワーム判定プログラム、ワーム判定方法およびワーム判定装置 Download PDFInfo
- Publication number
- JP2007013262A JP2007013262A JP2005187771A JP2005187771A JP2007013262A JP 2007013262 A JP2007013262 A JP 2007013262A JP 2005187771 A JP2005187771 A JP 2005187771A JP 2005187771 A JP2005187771 A JP 2005187771A JP 2007013262 A JP2007013262 A JP 2007013262A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- worm
- determination
- address
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 ワームに感染した通信を確実に判定する。
【解決手段】 ワーム判定装置6は、ネットワーク接続口である5つの物理ポートa〜eと、通信情報取得手段3と、ワーム判定手段4とを有している。通信情報取得手段3は、送信元アドレス毎に、パケット種別に係る情報を取得する。ワーム判定手段4は、通信情報取得手段3により取得された送信元アドレス毎のパケット種別に係る情報および通信がワームによりなされた通信か否かを判定する判定基準に基づいて、通信がワームによりなされた通信か否かを判定する。
【選択図】 図1
【解決手段】 ワーム判定装置6は、ネットワーク接続口である5つの物理ポートa〜eと、通信情報取得手段3と、ワーム判定手段4とを有している。通信情報取得手段3は、送信元アドレス毎に、パケット種別に係る情報を取得する。ワーム判定手段4は、通信情報取得手段3により取得された送信元アドレス毎のパケット種別に係る情報および通信がワームによりなされた通信か否かを判定する判定基準に基づいて、通信がワームによりなされた通信か否かを判定する。
【選択図】 図1
Description
本発明はワーム判定プログラム、ワーム判定方法およびワーム判定装置に関し、特に、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して、通信がワームによりなされた通信か否かを判定するワーム判定プログラム、ワーム判定方法およびワーム判定装置に関する。
他のプログラムに依存せず、自己増殖を目的とした不正プログラムであるワームを検知する方法が知られている。
この検知方法の一例として、宛先アドレスの種類数の変化に基づいてワームの検知を行い、シーケンシャルに感染活動を行う一部ワームの特有の感染行為を検知するワーム検知方法が知られている(例えば、特許文献1参照)。このようなワーム検知方法では、送信元IP(Internet Protocol)アドレス、および送信元MAC(Media Access Control)アドレス別にシーケンシャルとなる宛先アドレスの種類数を集計し、その種類数が閾値以上でワームに感染したものと判定している。
特開2005−056243号公報
この検知方法の一例として、宛先アドレスの種類数の変化に基づいてワームの検知を行い、シーケンシャルに感染活動を行う一部ワームの特有の感染行為を検知するワーム検知方法が知られている(例えば、特許文献1参照)。このようなワーム検知方法では、送信元IP(Internet Protocol)アドレス、および送信元MAC(Media Access Control)アドレス別にシーケンシャルとなる宛先アドレスの種類数を集計し、その種類数が閾値以上でワームに感染したものと判定している。
しかしながら、このようなワーム検知方法では、シーケンシャルに感染活動を行う一部ワームしか検知できないという問題があった。具体的には、宛先アドレスの種類数がシーケンシャルであり、かつ所定回数以上でワームと判定するもので、シーケンシャルに探索行為を行う以外のワームを検知できないという問題があった。
また、ワームを検知して遮断する場合、感染していない端末においても、ワームと同じサービスポートを利用する通常の業務通信も同時に遮断されてしまう。しかし、通常通信をなるべく通過させながら、ワーム感染通信だけを遮断することが望まれている。そこで、ワーム感染通信のみを遮断する隔離単位をフレキシブルにする必要がある。
本発明はこのような点に鑑みてなされたものであり、ワームに感染した通信を確実に判定することができるワーム判定プログラム、ワーム判定方法およびワーム判定装置を提供することを目的とする。
本発明では上記問題を解決するために、図1に示すようなワーム判定プログラムが提供される。本発明に係るワーム判定プログラムは、ネットワーク1に接続されたネットワークセグメント2に係る通信を監視して、その通信がワームによりなされた通信か否かを判定するプログラムである。ワーム判定プログラムを実行するコンピュータは以下の機能を有する。
通信情報取得手段3は、送信元アドレス毎に、パケット種別に係る情報を取得する。ワーム判定手段4は、通信情報取得手段3により取得された送信元アドレス毎のパケット種別に係る情報および通信がワームによりなされた通信か否かを判定する判定基準に基づいて、通信がワームによりなされた通信か否かを判定する。
このようなワーム判定プログラムによれば、ネットワークセグメント2から通信情報が送信されたとき、通信情報取得手段3により、送信元アドレス毎に、パケット種別に係る情報が取得される。次に、ワーム判定手段4により、通信情報取得手段3により取得された送信元アドレス毎のパケット種別に係る情報および通信がワームによりなされた通信か否かを判定する判定基準に基づいて、通信がワームによりなされた通信か否かが判定される。
また、上記課題を解決するために、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して、前記通信がワームによりなされた通信か否かを判定するワーム判定方法において、通信情報取得手段が、送信元アドレス毎に、パケット種別に係る情報を取得し、ワーム判定手段が、前記通信情報取得手段により取得された前記送信元アドレス毎の前記パケット種別に係る情報および前記通信がワームによりなされた通信か否かを判定する判定基準に基づいて、前記通信がワームによりなされた通信か否かを判定する、ことを特徴とするワーム判定方法が提供される。
このようなワーム判定方法によれば、ネットワークセグメントから通信情報が送信されたとき、通信情報取得手段により、送信元アドレス毎に、パケット種別に係る情報が取得される。次に、ワーム判定手段により、通信情報取得手段により取得された送信元アドレス毎のパケット種別に係る情報および通信がワームによりなされた通信か否かを判定する判定基準に基づいて、通信がワームによりなされた通信か否かが判定される。
また、上記問題を解決するために、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して、前記通信がワームによりなされた通信か否かを判定するワーム判定装置において、送信元アドレス毎に、パケット種別に係る情報を取得する通信情報取得手段と、前記通信情報取得手段により取得された前記送信元アドレス毎の前記パケット種別に係る情報および前記通信がワームによりなされた通信か否かを判定する判定基準に基づいて、前記通信がワームによりなされた通信か否かを判定するワーム判定手段と、を有することを特徴とするワーム判定装置が提供される。
このようなワーム判定装置によれば、通信情報取得手段により、送信元アドレス毎に、パケット種別に係る情報が取得される。そして、ワーム判定手段により、通信情報取得手段により取得された送信元アドレス毎のパケット種別に係る情報および通信がワームによりなされた通信か否かを判定する判定基準に基づいて、通信がワームによりなされた通信か否かが判定される。
本発明によれば,集計単位として、送信元アドレス毎に、パケット種別に係る情報を取得するため、より詳細なワーム感染に関する情報を得ることができ、ワームに感染した通信を確実に判定することができる。
特に、ワームに感染した感染元からの通信を遮断する場合には、パケット種別毎に遮断を行うことができるため、ワームによりなされる通信のみを確実に遮断することができる。
以下、本発明の実施の形態を図面を参照して詳細に説明する。
まず、実施の形態に適用される発明の概要について説明し、その後、実施の形態の具体的な内容を説明する。
まず、実施の形態に適用される発明の概要について説明し、その後、実施の形態の具体的な内容を説明する。
図1は、ワーム判定装置の概念について説明する概念図である。
ワーム判定システム300は、サーバ装置やクライアント装置等を少なくとも1つ以上含むネットワークセグメントすなわち2つのネットワークセグメント2およびネットワークセグメント5が、ワーム判定装置6を介してネットワーク1に接続された構成となっている。ここで、ネットワーク1は、インターネット、イントラネット、ISP(Internet Services Provider)のネットワークを含む概念である。
ワーム判定システム300は、サーバ装置やクライアント装置等を少なくとも1つ以上含むネットワークセグメントすなわち2つのネットワークセグメント2およびネットワークセグメント5が、ワーム判定装置6を介してネットワーク1に接続された構成となっている。ここで、ネットワーク1は、インターネット、イントラネット、ISP(Internet Services Provider)のネットワークを含む概念である。
ワーム判定装置6は、ネットワーク接続口である1つ以上の物理ポート(図1では5つの物理ポートa〜e)と、通信情報取得手段3と、ワーム判定手段4とを有している。
ネットワークセグメント2は、端末2a、2bと、端末2aおよび端末2bが接続されるHUB7とを有している。
ネットワークセグメント2は、端末2a、2bと、端末2aおよび端末2bが接続されるHUB7とを有している。
HUB7は、ワーム判定装置6に接続されている。このように、物理ポートa〜eにはHUB7等の集線装置を介して複数の端末が接続される。端末2a、2bからの通信は物理ポートa〜eに入力されるパケットを、ワーム判定装置6に設けられた通信情報取得手段3が監視しており、例えば、端末2aから物理ポートaを介した物理ポートa以外への通信(端末2aにとってのアウトバウンド通信)は、物理ポートaの入り口に入力されるパケットを通信情報取得手段3が監視して、ワーム判定手段4が、その通信パケットによる通信がワームによりなされた通信であるか否かを判定する。ただし、物理ポートaを介さずにHUB7のみを介して行われる端末2aから端末2bへの通信は物理ポートaでは監視しない。
具体的には、通信情報取得手段3は、通信パケットの単位時間当たりの送信元IPアドレス、宛先IPアドレス、宛先ポート、通信プロトコル、コントロールビット等の情報を取得し、ワーム判定手段4は、取得した情報に基づいて、そのネットワークセグメント内から他のネットワークセグメント内のコンピュータに対してワームの攻撃がなされているか否か等を判定する。
ここで、ワームに感染した場合に生じる通信パケットの単位時間当たりの各通信パケットの宛先IPアドレスの情報の変化は、サーバ装置やクライアント装置等のコンピュータの種類にかかわらず顕著に現れるため、このワーム判定装置6においては、検出対象が、サーバ装置かクライアント装置かにかかわらず容易かつ効率的にワームを検出することができる。
以下、本発明の実施の形態を具体的に説明する。
図2は、ワーム判定装置のハードウェア構成例を示す図である。
ワーム判定装置100は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、および通信インタフェース106が接続されている。
図2は、ワーム判定装置のハードウェア構成例を示す図である。
ワーム判定装置100は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、および通信インタフェース106が接続されている。
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。HDD103には、OSやアプリケーションプログラムが格納される。また、HDD103内には、データベース109が構築される。
グラフィック処理装置104には、モニタ11が接続されている。グラフィック処理装置104は、CPU101からの命令に従って、画像をモニタ11の画面に表示させる。入力インタフェース105には、キーボード12とマウス13とが接続されている。入力インタフェース105は、キーボード12やマウス13から送られてくる信号を、バス107を介してCPU101に送信する。
通信インタフェース106は、ネットワーク140およびLAN(Local Area Network)150に接続されている。通信インタフェース106は、ネットワーク140およびLAN150を介して、他のコンピュータとの間でデータの送受信を行う。ここで、LAN150は、例えば、イントラネット等のネットワークである。
以上のようなハードウェア構成によって、本実施の形態の処理機能を実現することができる。このようなハードウェア構成のシステムにおいてワームの判定を行うために、ワーム判定装置100内には、以下のような機能が設けられる。
図3は、ワーム判定装置の機能的構成について説明する機能ブロック図である。
図3に示すように、このワーム判定装置100は、ネットワークセグメント10(図1のネットワークセグメント2に対応)を除いたネットワーク140、すなわち前述したネットワークセグメント5や上位ネットワーク1(図3では、ネットワークセグメント40)に接続されている。
図3に示すように、このワーム判定装置100は、ネットワークセグメント10(図1のネットワークセグメント2に対応)を除いたネットワーク140、すなわち前述したネットワークセグメント5や上位ネットワーク1(図3では、ネットワークセグメント40)に接続されている。
ワーム判定装置100は、情報の取得に係る設定データに基づいて通信パケットの通信アドレス、通信ポートおよび通信プロトコルに係る情報を取得し、取得した情報と、通信がワームによりなされた通信か否かを規定する判定基準に係る情報とに基づいて通信がワームによりなされた通信か否かを判定する。
次に、通信に用いるパケットについて説明する。
図4は、通信に用いるパケットの構成の一例を示す図である。
パケット200は、先頭側からイーサヘッダ(Ether Header)、IPヘッダ(IP Header)、TCP(Transmission Control Protocol)ヘッダ(TCP Header)およびデータで構成されている。
図4は、通信に用いるパケットの構成の一例を示す図である。
パケット200は、先頭側からイーサヘッダ(Ether Header)、IPヘッダ(IP Header)、TCP(Transmission Control Protocol)ヘッダ(TCP Header)およびデータで構成されている。
図5は、イーサヘッダの構成図である。
なお、図5では、見やすいように、1行32ビットで表現している(図6、図7、図9も同様)。
なお、図5では、見やすいように、1行32ビットで表現している(図6、図7、図9も同様)。
イーサヘッダは、先頭から順番に、プリアンブル(Preamble)、送信元MACアドレス(Source Mac Address)、宛先MACアドレス(Destination MAC Address)、タイプフィールド(Type Field)で構成されている。
図6は、IPヘッダの構成図である。
IPヘッダは、先頭から順番に、バージョン/ヘッダ長(Version/IHL)、サービスタイプ(Service Type)、パケット長(TL)、フラグ(Flag)、フラグメントオフセット(Fragment Offset)、生存時間(TTL)、プロトコル(Protocol)、ヘッダチェックサム(Check Sum)、送信元IPアドレス(Source IP Address)、宛先IPアドレス(Destination IP Address)、オプション(Option)、パディング(Padding)で構成されている。
IPヘッダは、先頭から順番に、バージョン/ヘッダ長(Version/IHL)、サービスタイプ(Service Type)、パケット長(TL)、フラグ(Flag)、フラグメントオフセット(Fragment Offset)、生存時間(TTL)、プロトコル(Protocol)、ヘッダチェックサム(Check Sum)、送信元IPアドレス(Source IP Address)、宛先IPアドレス(Destination IP Address)、オプション(Option)、パディング(Padding)で構成されている。
図7は、TCPヘッダの構成図である。
TCPヘッダは、先頭から順番に、送信元ポート(Source Port)、宛先ポート(Destination Port)、シーケンス番号(Sequence Number)、確認応答番号(Acknowledgement Number)、データオフセット(Data Offset)、予約(Reserved)、コントロールビット(Control Bits)、ウィンドウ(Window)、その他(Others)で構成されている。
TCPヘッダは、先頭から順番に、送信元ポート(Source Port)、宛先ポート(Destination Port)、シーケンス番号(Sequence Number)、確認応答番号(Acknowledgement Number)、データオフセット(Data Offset)、予約(Reserved)、コントロールビット(Control Bits)、ウィンドウ(Window)、その他(Others)で構成されている。
このうち、コントロールビット(コードビット)は、それぞれ1ビットの、URG(Urgent flag)、ACK(Acknowledgement flag)、PSH(Push flag)、RST(Reset flag)、SYN(Synchronize flag)、FIN(Fin flag)で構成される。
UDPヘッダは、先頭から順番に、送信元ポート(Source Port)、宛先ポート(Destination Port)、データグラムの長さ(Length)、チェックサム(Check Sum)で構成されており(図は省略)、TCPヘッダと同様に宛先ポートに関する情報を取得できる。
図8は、通信に用いるパケットの構成の別の例を示す図である。
パケット210は、先頭側からイーサヘッダ、IPヘッダ、ICMP(Internet Control Message Protocol)ヘッダ(ICMP Header)およびデータで構成されている。
パケット210は、先頭側からイーサヘッダ、IPヘッダ、ICMP(Internet Control Message Protocol)ヘッダ(ICMP Header)およびデータで構成されている。
なお、イーサヘッダ、IPヘッダについては、その構成がパケット200と同様であるため、その説明を省略する。
図9は、ICMPヘッダの構成図である。
図9は、ICMPヘッダの構成図である。
ICMPヘッダは、タイプフィールド(Type Field)、コード(Code)、チェックサム(Check Sum)で構成されている。
再び図3に戻って説明を行う。
再び図3に戻って説明を行う。
このワーム判定装置100は、通信情報取得部111、ワーム判定部112並びに通信遮断部113を備える制御部110、入力部14、モニタ11、記憶部120およびインタフェース部130を有する。
入力部14は、キーボード12やマウス13等の入力デバイスで構成される。記憶部120は、RAM102やHDD103等の記憶デバイスであり、この記憶部120には、設定データ121、通信ログデータ122および遮断データ123が記憶されている。
通信情報取得部111は、記憶部120に記憶された設定データ121に基づいて、通信パケットの通信アドレス、通信ポートおよび通信プロトコルに係る情報を取得する取得部である。具体的には、この通信情報取得部111は、パケット200およびパケット210のヘッダから宛先IPアドレスや送信元アドレス、宛先ポート、プロトコル等のパケットヘッダ情報を取得し、送信元アドレス毎かつ宛先ポート番号毎に、宛先IPアドレスを通信ログデータ122に記憶する等の処理を行う。ここで、通信ログデータ122はRAM102上のデータでもよい。
ところで、送信元アドレスとしては、イーサヘッダに設けられた送信元MACアドレスとIPヘッダに設けられた送信元IPアドレスとのどちらを用いてもよいが、以下では、代表的に送信元IPアドレスを用いた場合について説明する。
ワーム判定部112は、通信情報取得部111により取得された情報、および、記憶部120に記憶された設定データ121に基づいて、送信元IPアドレス毎かつ宛先ポート番号毎かつプロトコル毎に宛先IPアドレスの種類数を集計し、所定の送信元IPアドレス、宛先ポートおよびプロトコルがワームによりなされた通信のものであるか否かを判定する。
通信遮断部113は、ワーム判定部112によりワームによりなされたパケット通信であると判定された場合に、ワームによりなされるパケット通信を遮断する。通信遮断部113は、ワーム判定処理の結果から得られる送信元IPアドレス、プロトコル、宛先ポート番号に基づいて、3通りの遮断を行う。1通り目は、感染元の送信元IPアドレスからの感染ポートを遮断する。これにより、ワームに感染した端末(以下、「感染端末」という)からの感染ポートを利用する通信のみをブロックすることができる一方、感染端末からの他のポートを利用する通信は利用することができる。2通り目は、物理ポートから入ってくる全端末からの通信における感染ポートのみを遮断する。これにより、物理ポート内で他の端末が感染した場合のワームによりなされるパケット通信をあらかじめ遮断することができる。最後の3通り目は、感染端末からの全通信パケットを遮断する。これにより、ワームが複数のポートを利用して通信するのをあらかじめ遮断することができる。
設定データ121は、通信パケットの通信アドレス、通信ポートおよび通信プロトコルに係る情報の取得に係る設定情報や、監視している通信がワームによりなされた通信か否かを規定する判定基準に係る情報等、種々の設定情報を記憶したデータである。
図10は、設定データを示す図である。
設定データ121には、設定項目、設定内容の欄が設けられており、各欄の横方向に並べられた情報同士が互いに関連づけられている。設定項目は、設定データ121において設定される各項目であり、設定内容は、設定データ121の設定受け付け時に参照される設定情報である。
設定データ121には、設定項目、設定内容の欄が設けられており、各欄の横方向に並べられた情報同士が互いに関連づけられている。設定項目は、設定データ121において設定される各項目であり、設定内容は、設定データ121の設定受け付け時に参照される設定情報である。
上記設定項目には、具体的には、「TCP(SYN)パケットの宛先IPアドレスの集計単位時間」、「UDP(User Datagram Protocol)パケットの宛先IPアドレスの集計単位時間」、「ICMP(request)パケットの宛先IPアドレス集計単位時間」、「TCP(SYN)パケットの宛先IPアドレスの種類数の閾値」、「UDPパケットの宛先IPアドレスの種類数の閾値」、「ICMP(request)パケットの宛先IPアドレスの種類数の閾値」、「物理ポートの集計機能」、「集計除外宛先ポート/プロトコル」、「集計除外送信元IPアドレス」、「宛先ポート/プロトコルの個別閾値」、「送信元IPアドレスの個別閾値」の欄が設定されている。
「TCP(SYN)パケットの宛先IPアドレスの集計単位時間」は、TCPヘッダのSYNをセットしたパケット(TCPベースのパケットであるSYNパケット)の宛先IPアドレスの種類数を集計する単位時間である。
「UDPパケットの宛先IPアドレスの集計単位時間」は、UDPベースのパケットであるUDPパケットの宛先IPアドレスの種類数を集計する単位時間である。
「ICMP(request)パケットの宛先IPアドレスの集計単位時間」は、相手コンピュータのEcho Req(エコー要求)を送信するICMP(request)パケットの宛先IPアドレスの種類数を集計する単位時間である。
「ICMP(request)パケットの宛先IPアドレスの集計単位時間」は、相手コンピュータのEcho Req(エコー要求)を送信するICMP(request)パケットの宛先IPアドレスの種類数を集計する単位時間である。
例えば、これらの集計単位時間が1秒であるということは、送信元IPアドレス別かつ宛先ポート別に、1秒間の上記パケットの宛先IPアドレスの種類数を集計することを意味する。
「TCP(SYN)パケットの宛先IPアドレスの種類数の閾値」、「UDPパケットの宛先IPアドレスの種類数の閾値」、「ICMP(request)パケットの宛先IPアドレスの種類数の閾値」は、ワーム判定部112により、ワームによりなされた通信がおこなわれているか否かを判定する際に使用される宛先IPアドレスの種類数の閾値情報である。ここで、宛先IPアドレスの種類数は、送信元IPアドレス別かつ宛先ポート別に、宛先IPアドレスの種類数の集計単位時間内に集計された異なる宛先IPアドレスの数である。図10では一例として、「TCP(SYN)パケットの宛先IPアドレスの種類数の閾値」が20に設定され、「UDPパケットの宛先IPアドレスの種類数の閾値」が30に設定され、「ICMP(request)パケットの宛先IPアドレスの種類数の閾値」が20に設定されている。
「物理ポートの集計機能」は、ワーム判定装置100の各物理ポートに対してそれぞれ設定される。図10では一例として所定の物理ポートAの設定内容が記載されている。各物理ポートは、この物理ポートの集計機能がONに設定されているとき集計を行い、OFFに設定されているとき集計を行わない。これにより、物理ポート単位で集計するか否かを決定することができる。
「集計除外宛先ポート/プロトコル」は、集計を除外したい宛先ポート/プロトコルを1つ以上設定することができる。図10では一例としてTCPプロトコルの宛先ポート:25と、TCPプロトコルの宛先ポート:110が設定されている。
「集計除外送信元IPアドレス」は、集計を除外したい送信元IPアドレスを1つ以上指定することができる。図10では一例としてIPアドレス「10.10.1.100」および「10.10.1.200」が設定されている。
このとき、「物理ポートの集計機能」の設定内容の欄に設定された物理ポート、「集計除外宛先ポート/プロトコル」の設定内容の欄に設定された宛先ポートおよびプロトコル、および「集計除外送信元IPアドレス」の設定内容の欄に設定された送信元IPアドレス、物理ポートに対しては、通信ログデータ122の新規宛先テーブルに追加しない、または新規宛先テーブルに追加したとしてもワーム判定から除外する。これにより、例えば、短時間に複数の宛先アドレスと通信を行う管理端末等を事前に除外することができるため、誤検出を容易かつ確実に防止することができる。
「宛先ポート/プロトコルの個別閾値」は、必要に応じてパケット種別毎、すなわち宛先ポート/プロトコル毎に個別の閾値を1つ以上設定することができる。この欄の設定内容に設定されたプロトコルにおける宛先ポートの閾値は、「TCP(SYN)パケットの宛先IPアドレスの種類数の閾値」の設定内容にかかわらず、この欄に設定された設定内容となる。図10では、一例としてTCPプロトコルの宛先ポート80の閾値が30に設定されており、宛先ポート80の閾値は、「TCP(SYN)パケットの宛先IPアドレスの種類数の閾値」の設定内容20にかかわらず、30となる。
「送信元IPアドレスの個別閾値」は、必要に応じて送信元IPアドレス毎に個別の閾値を1つ以上設定することができる。図10では、一例としてIPアドレス「10.10.1.5」の閾値が30に設定されており、IPアドレス「10.10.1.5」におけるパケットの種類数の閾値は、「TCP(SYN)パケットの宛先IPアドレスの種類数の閾値」、「UDPパケットの宛先IPアドレスの種類数の閾値」、「ICMP(request)パケットの宛先IPアドレスの種類数の閾値」の設定内容にかかわらず、30となる。
再び図3に戻って説明を行う。
通信ログデータ122は、送信元IPアドレス毎にパケット種別(送信元IPアドレス、宛先ポート、プロトコル)に係る宛先IPアドレスの種類数を集計するためのテーブルを示すデータである。
通信ログデータ122は、送信元IPアドレス毎にパケット種別(送信元IPアドレス、宛先ポート、プロトコル)に係る宛先IPアドレスの種類数を集計するためのテーブルを示すデータである。
図11は、通信ログデータのデータ構造例を示す図である。
通信ログデータ122には、送信元IPアドレス、プロトコル、宛先ポート/Type Field、宛先IPアドレスの欄が設けられており、各欄の横方向に並べられた情報同士が、互いに関連づけられている。
通信ログデータ122には、送信元IPアドレス、プロトコル、宛先ポート/Type Field、宛先IPアドレスの欄が設けられており、各欄の横方向に並べられた情報同士が、互いに関連づけられている。
宛先IPアドレスの欄には、単位時間分だけの各種情報が記憶され、単位時間における宛先IPアドレスの種類数が所定の閾値以上でワームと検知される。例えば、ネットワークセグメント10の所定の端末の送信元IPアドレスが「10.10.1.1」であり、宛先ポートが22、かつ、プロトコルがTCPにおける単位時間あたりの宛先IPアドレスが「10.20.1.1」、「10.20.1.2」、「10.20.1.3」、「10.20.1.4」の4種類であり、次の新たに通信情報取得部111が取得した情報が、送信元IPアドレス「10.10.1.1」、宛先IPアドレスが「10.20.1.6」、宛先ポート:22、プロトコル:TCPであった場合、送信元IPアドレス、宛先ポート、プロトコルに対する宛先IPアドレスが単位時間内において新しいものであるので、送信元IPアドレス「10.10.1.1」、宛先ポート22、プロトコルTCPに対する宛先IPアドレスの種類数が5になる。ここで、設定データ121に記載されているTCP(SYN)パケットの宛先IPアドレスの種類数の閾値が「5」に設定されているとき、宛先IPアドレスの種類数が閾値以上となり、送信元IPアドレス「10.10.1.1」の端末が、ワーム感染端末として検知される。このとき、ワーム感染情報として、感染元IPアドレス「10.10.1.1」、ワーム通信プロトコル:TCP、ワーム通信宛先ポート:22が出力され、モニタ11に表示される。
また、送信元IPアドレスが「10.10.1.1」であり、タイプフィールドがEcho Req、かつ、プロトコルがTCPにおける単位時間あたりの所定の宛先IPアドレスの出現種類数が「ICMP(request)パケットの宛先IPアドレスの種類数の閾値」以上のときも、送信元IPアドレス「10.10.1.1」の端末が、ワーム感染端末として検知される。このとき、ワーム感染情報として、感染元IPアドレス「10.10.1.1」、ワーム通信プロトコル:ICMP、ワーム通信Type Field:Echo Reqが出力され、モニタ11に表示される。
再び図3に戻って説明を行う。
遮断データ123は、遮断を実施した遮断元IPアドレス(送信元IPアドレス)、宛先ポートおよび通信プロトコルに係る情報を格納している。遮断データ123は、遮断が実施される度に新たなワーム感染情報が追加されて更新される。また、遮断が解除されると該当するワーム感染情報が削除されて更新される。
遮断データ123は、遮断を実施した遮断元IPアドレス(送信元IPアドレス)、宛先ポートおよび通信プロトコルに係る情報を格納している。遮断データ123は、遮断が実施される度に新たなワーム感染情報が追加されて更新される。また、遮断が解除されると該当するワーム感染情報が削除されて更新される。
図12は、遮断データのデータ構造例を示す図である。
遮断データ123には、遮断元IPアドレス、プロトコル、宛先ポートの欄が設けられており、各欄の横方向に並べられた情報同士が互いに関連づけられている。
遮断データ123には、遮断元IPアドレス、プロトコル、宛先ポートの欄が設けられており、各欄の横方向に並べられた情報同士が互いに関連づけられている。
ワーム判定部112が出力する新規のワーム感染情報が送られてくると、遮断元IPアドレスの欄に、新たに感染元IPアドレスを設定し、プロトコルの欄に新たにワーム通信プロトコルを設定し、宛先ポートに新たに宛先ポートが設定される。
図12の例では、遮断元IPアドレス「10.10.1.2」の下部に新たにIPアドレス「10.10.1.1」が設定され、プロトコルTCPの下部に新たにTCPが設定され、宛先ポート22の下部に新たに宛先ポート22が設定される。
なお、ワーム判定部112からのワーム感染情報が、遮断データ123に既に設定されている遮断元IPアドレス、プロトコル、宛先ポートと完全に一致する場合は、遮断データ123は更新されない。
再び図3に戻って説明を行う。
インタフェース部130は、複数の物理ポートを有し(図示せず)、ネットワークセグメント10とネットワークセグメント40との間の通信データの授受を、ネットワーク140およびLAN150を介して中継するネットワークインタフェースである。
インタフェース部130は、複数の物理ポートを有し(図示せず)、ネットワークセグメント10とネットワークセグメント40との間の通信データの授受を、ネットワーク140およびLAN150を介して中継するネットワークインタフェースである。
次に、ワーム判定装置100によるワーム判定処理について説明する。
図13は、ワーム判定処理の処理手順を示すフローチャートである。
まず、通信情報取得部111は設定データ121の設定を受け付ける(ステップS11)。続いて、通信情報取得部111は、ネットワークセグメント10内のコンピュータとネットワークセグメント40との間のネットワーク通信を監視し、パケットの先頭から固定長部分のパケット情報すなわち、宛先IPアドレスや送信元IPアドレス、宛先ポート、プロトコル等が含まれるパケットヘッダ情報を取得する(ステップS12)。そして、取得したパケットヘッダ情報が、通信ログデータ122に登録されているか否かを判断する(ステップS13)。
図13は、ワーム判定処理の処理手順を示すフローチャートである。
まず、通信情報取得部111は設定データ121の設定を受け付ける(ステップS11)。続いて、通信情報取得部111は、ネットワークセグメント10内のコンピュータとネットワークセグメント40との間のネットワーク通信を監視し、パケットの先頭から固定長部分のパケット情報すなわち、宛先IPアドレスや送信元IPアドレス、宛先ポート、プロトコル等が含まれるパケットヘッダ情報を取得する(ステップS12)。そして、取得したパケットヘッダ情報が、通信ログデータ122に登録されているか否かを判断する(ステップS13)。
取得したパケットヘッダ情報が、通信ログデータ122に登録されているときは(ステップS13のYes)、ステップS19に移行する。一方、取得したパケットヘッダ情報が、通信ログデータ122に登録されていないときは(ステップS13のNo)、パケットヘッダ情報を通信ログデータ122へ追加する(ステップS14)。その後、ワーム判定部112は、設定データ121に設定された集計単位時間に基づいて、送信元IPアドレス別かつ宛先ポート別かつプロトコル別に宛先IPアドレスの種類数を集計し(ステップS15)、宛先IPアドレスの種類数が閾値以上か否かを判断する(ステップS16)。宛先IPアドレスの種類数が閾値以上のときは、(ステップS16のYes)、ワーム判定部112は、パケット通信がワームによるものと判断し、送信元IPアドレス、宛先ポート、プロトコル等のワーム感染情報を取得して、出力する処理を行う(ステップS17)。
その後、通信遮断部113は、通信遮断処理、すなわちワームによりなされたと判定される送信元アドレスからのパケット通信を遮断する処理を行う(ステップS18)。
一方、宛先IPアドレスの種類数が閾値未満のときは(ステップS16のNo)、パケット通信がワームによるものと判断せず、ステップS19に移行する。
一方、宛先IPアドレスの種類数が閾値未満のときは(ステップS16のNo)、パケット通信がワームによるものと判断せず、ステップS19に移行する。
その後、ワーム判定装置100は、通信が継続されているか否かを判断する(ステップS19)。
通信が継続されている場合は(ステップS19のYes)、ステップS12に移行してそれ以降の処理を継続する。
通信が継続されている場合は(ステップS19のYes)、ステップS12に移行してそれ以降の処理を継続する。
通信が継続されていない場合は(ステップS19のNo)、ワーム判定処理を終了する。
次に、ワーム判定装置100による通信遮断処理について説明する。
次に、ワーム判定装置100による通信遮断処理について説明する。
図14は、通信遮断処理の処理手順を示すフローチャートである。
まず、通信遮断部113は、ワーム判定部112が出力したワーム感染情報(感染元IPアドレス、ワーム通信プロトコル、ワーム通信ポート)を取得する(ステップS21)。
まず、通信遮断部113は、ワーム判定部112が出力したワーム感染情報(感染元IPアドレス、ワーム通信プロトコル、ワーム通信ポート)を取得する(ステップS21)。
次に、取得したワーム感染情報が、遮断データ123に登録されているか否かを判断する(ステップS22)。
取得したワーム感染情報が、遮断データ123に登録されているときは(ステップS22のYes)、通信遮断処理を終了する。
取得したワーム感染情報が、遮断データ123に登録されているときは(ステップS22のYes)、通信遮断処理を終了する。
一方、取得したワーム感染情報が、遮断データ123に登録されていないときは(ステップS22のNo)、ワームによる通信を遮断する(ステップS23)。
次に、感染情報を遮断データ123に格納する(ステップS24)。
次に、感染情報を遮断データ123に格納する(ステップS24)。
その後、通信遮断処理を終了する。
以上説明したように、本実施の形態のワーム判定装置100によれば、送信元IPアドレス、送信元MACアドレス等の送信元アドレス毎に、プロトコルと宛先ポートとの組み合わせまたはプロトコルとタイプフィールドの組み合わせの情報を取得し、これらの組み合わせによって特定される宛先IPアドレスの出現種類数をカウントすることにより、ワームが送出されている送信元アドレスを確実に検知することができる。また、通信遮断部113により、検知したワームに係る通信パケットを容易かつ確実に遮断することができる。
以上説明したように、本実施の形態のワーム判定装置100によれば、送信元IPアドレス、送信元MACアドレス等の送信元アドレス毎に、プロトコルと宛先ポートとの組み合わせまたはプロトコルとタイプフィールドの組み合わせの情報を取得し、これらの組み合わせによって特定される宛先IPアドレスの出現種類数をカウントすることにより、ワームが送出されている送信元アドレスを確実に検知することができる。また、通信遮断部113により、検知したワームに係る通信パケットを容易かつ確実に遮断することができる。
これにより、ワームと同じサービスポートを使用する感染していない端末の通常の通信を遮断することなく、ワームに感染した通信だけを確実に遮断することができる。
また、パケット200およびパケット210の先頭から固定長部分の情報を取得することにより、ワームの判定を行うことができるため、ワーム判定処理におけるパケット200およびパケット210の読み込み時間が短縮され高速な処理を行うことができる。
また、パケット200およびパケット210の先頭から固定長部分の情報を取得することにより、ワームの判定を行うことができるため、ワーム判定処理におけるパケット200およびパケット210の読み込み時間が短縮され高速な処理を行うことができる。
以上本発明の好適な実施の形態について詳述したが、本発明は、その特定の実施の形態に限定されるものではない。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、ワーム判定装置100が有すべき機能の処理内容を記述したワーム判定プログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等がある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープ等がある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等がある。光磁気記録媒体には、MO(Magneto-Optical disk)等がある。
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、ワーム判定装置100が有すべき機能の処理内容を記述したワーム判定プログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等がある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープ等がある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等がある。光磁気記録媒体には、MO(Magneto-Optical disk)等がある。
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD、CD−ROM等の可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。
(付記1) ネットワークに接続された所定のネットワークセグメントに係る通信を監視して、前記通信がワームによりなされた通信か否かを判定するワーム判定プログラムにおいて、
コンピュータを、
送信元アドレス毎に、パケット種別に係る情報を取得する通信情報取得手段、
前記通信情報取得手段により取得された前記送信元アドレス毎の前記パケット種別に係る情報および前記通信がワームによりなされた通信か否かを判定する判定基準に基づいて、前記通信がワームによりなされた通信か否かを判定するワーム判定手段、
として機能させることを特徴とするワーム判定プログラム。
コンピュータを、
送信元アドレス毎に、パケット種別に係る情報を取得する通信情報取得手段、
前記通信情報取得手段により取得された前記送信元アドレス毎の前記パケット種別に係る情報および前記通信がワームによりなされた通信か否かを判定する判定基準に基づいて、前記通信がワームによりなされた通信か否かを判定するワーム判定手段、
として機能させることを特徴とするワーム判定プログラム。
(付記2) 前記通信情報取得手段は、前記パケットの固定長部分の情報を取得することを特徴とする付記1記載のワーム判定プログラム。
(付記3) 前記パケット種別に係る情報は、プロトコルおよび宛先ポートの情報を含むことを特徴とする付記1記載のワーム判定プログラム。
(付記3) 前記パケット種別に係る情報は、プロトコルおよび宛先ポートの情報を含むことを特徴とする付記1記載のワーム判定プログラム。
(付記4) 前記パケット種別に係る情報は、プロトコルおよびタイプフィールドの情報を含むことを特徴とする付記1記載のワーム判定プログラム。
(付記5) 前記ワーム判定手段は、単位時間当たりの前記パケット種別にて特定される所定の宛先IPアドレスの出現種類数が所定値以上のとき、前記通信がワームによりなされた通信であると判定することを特徴とする付記1記載のワーム判定プログラム。
(付記5) 前記ワーム判定手段は、単位時間当たりの前記パケット種別にて特定される所定の宛先IPアドレスの出現種類数が所定値以上のとき、前記通信がワームによりなされた通信であると判定することを特徴とする付記1記載のワーム判定プログラム。
(付記6) 前記パケット種別毎に、前記所定値を設定し得ることを特徴とする付記5記載のワーム判定プログラム。
(付記7) 前記送信元アドレス毎に、前記所定値を設定し得ることを特徴とする付記5記載のワーム判定プログラム。
(付記7) 前記送信元アドレス毎に、前記所定値を設定し得ることを特徴とする付記5記載のワーム判定プログラム。
(付記8) 前記パケット種別に係る情報は、プロトコルおよび宛先ポートの情報を含み、
前記プロトコル毎および前記宛先ポート毎に、前記ワーム判定手段による判定を行うか否かを設定し得ることを特徴とする付記5記載のワーム判定プログラム。
前記プロトコル毎および前記宛先ポート毎に、前記ワーム判定手段による判定を行うか否かを設定し得ることを特徴とする付記5記載のワーム判定プログラム。
(付記9) 前記送信元アドレス毎に、前記ワーム判定手段による判定を行うか否かを設定し得ることを特徴とする付記5記載のワーム判定プログラム。
(付記10) 前記ワーム判定手段により前記通信がワームによりなされた通信と判定された場合に、前記ワームによりなされる通信を遮断する通信遮断手段を有することを特徴とする付記1記載のワーム判定プログラム。
(付記10) 前記ワーム判定手段により前記通信がワームによりなされた通信と判定された場合に、前記ワームによりなされる通信を遮断する通信遮断手段を有することを特徴とする付記1記載のワーム判定プログラム。
(付記11) 前記通信遮断手段は、前記ワームを前記パケット種別毎に遮断し得ることを特徴とする付記10記載のワーム判定プログラム。
(付記12) 前記送信元アドレスは、送信元のIPアドレスまたは送信元のMACアドレスであることを特徴とする付記1記載のワーム判定プログラム。
(付記12) 前記送信元アドレスは、送信元のIPアドレスまたは送信元のMACアドレスであることを特徴とする付記1記載のワーム判定プログラム。
(付記13) ネットワークに接続された所定のネットワークセグメントに係る通信を監視して、前記通信がワームによりなされた通信か否かを判定するワーム判定方法において、
通信情報取得手段が、送信元アドレス毎に、パケット種別に係る情報を取得し、
ワーム判定手段が、前記通信情報取得手段により取得された前記送信元アドレス毎の前記パケット種別に係る情報および前記通信がワームによりなされた通信か否かを判定する判定基準に基づいて、前記通信がワームによりなされた通信か否かを判定する、
ことを特徴とするワーム判定方法。
通信情報取得手段が、送信元アドレス毎に、パケット種別に係る情報を取得し、
ワーム判定手段が、前記通信情報取得手段により取得された前記送信元アドレス毎の前記パケット種別に係る情報および前記通信がワームによりなされた通信か否かを判定する判定基準に基づいて、前記通信がワームによりなされた通信か否かを判定する、
ことを特徴とするワーム判定方法。
(付記14) ネットワークに接続された所定のネットワークセグメントに係る通信を監視して、前記通信がワームによりなされた通信か否かを判定するワーム判定装置において、
送信元アドレス毎に、パケット種別に係る情報を取得する通信情報取得手段と、
前記通信情報取得手段により取得された前記送信元アドレス毎の前記パケット種別に係る情報および前記通信がワームによりなされた通信か否かを判定する判定基準に基づいて、前記通信がワームによりなされた通信か否かを判定するワーム判定手段と、
を有することを特徴とするワーム判定装置。
送信元アドレス毎に、パケット種別に係る情報を取得する通信情報取得手段と、
前記通信情報取得手段により取得された前記送信元アドレス毎の前記パケット種別に係る情報および前記通信がワームによりなされた通信か否かを判定する判定基準に基づいて、前記通信がワームによりなされた通信か否かを判定するワーム判定手段と、
を有することを特徴とするワーム判定装置。
(付記15) さらに、前記ネットワークに接続される複数の物理ポートを有し、
前記物理ポート毎に、前記ワーム判定手段によるワーム判定を実行するか否かを設定し得ることを特徴とする付記14記載のワーム判定装置。
前記物理ポート毎に、前記ワーム判定手段によるワーム判定を実行するか否かを設定し得ることを特徴とする付記14記載のワーム判定装置。
1 ネットワーク
2 ネットワークセグメント
3 通信情報取得手段
4 ワーム判定手段
5 ネットワークセグメント
6 ワーム判定装置
10 ネットワークセグメント
40 ネットワークセグメント
100 ワーム判定装置
111 通信情報取得部
112 ワーム判定部
113 通信遮断部
a〜e、A 物理ポート
2 ネットワークセグメント
3 通信情報取得手段
4 ワーム判定手段
5 ネットワークセグメント
6 ワーム判定装置
10 ネットワークセグメント
40 ネットワークセグメント
100 ワーム判定装置
111 通信情報取得部
112 ワーム判定部
113 通信遮断部
a〜e、A 物理ポート
Claims (10)
- ネットワークに接続された所定のネットワークセグメントに係る通信を監視して、前記通信がワームによりなされた通信か否かを判定するワーム判定プログラムにおいて、
コンピュータを、
送信元アドレス毎に、パケット種別に係る情報を取得する通信情報取得手段、
前記通信情報取得手段により取得された前記送信元アドレス毎の前記パケット種別に係る情報および前記通信がワームによりなされた通信か否かを判定する判定基準に基づいて、前記通信がワームによりなされた通信か否かを判定するワーム判定手段、
として機能させることを特徴とするワーム判定プログラム。 - 前記通信情報取得手段は、前記パケットの固定長部分の情報を取得することを特徴とする請求項1記載のワーム判定プログラム。
- 前記パケット種別に係る情報は、プロトコルおよび宛先ポートの情報を含むことを特徴とする請求項1記載のワーム判定プログラム。
- 前記パケット種別に係る情報は、プロトコルおよびタイプフィールドの情報を含むことを特徴とする請求項1記載のワーム判定プログラム。
- 前記ワーム判定手段は、
単位時間当たりの前記パケット種別にて特定される所定の宛先IPアドレスの出現種類数が所定値以上のとき、前記通信がワームによりなされた通信であると判定することを特徴とする請求項1記載のワーム判定プログラム。 - 前記パケット種別毎に、前記所定値を設定し得ることを特徴とする請求項5記載のワーム判定プログラム。
- 前記送信元アドレス毎に、前記所定値を設定し得ることを特徴とする請求項5記載のワーム判定プログラム。
- 前記ワーム判定手段により前記通信がワームによりなされた通信と判定された場合に、前記ワームによりなされる通信を遮断する通信遮断手段を有することを特徴とする請求項1記載のワーム判定プログラム。
- ネットワークに接続された所定のネットワークセグメントに係る通信を監視して、前記通信がワームによりなされた通信か否かを判定するワーム判定方法において、
通信情報取得手段が、送信元アドレス毎に、パケット種別に係る情報を取得し、
ワーム判定手段が、前記通信情報取得手段により取得された前記送信元アドレス毎の前記パケット種別に係る情報および前記通信がワームによりなされた通信か否かを判定する判定基準に基づいて、前記通信がワームによりなされた通信か否かを判定する、
ことを特徴とするワーム判定方法。 - ネットワークに接続された所定のネットワークセグメントに係る通信を監視して、前記通信がワームによりなされた通信か否かを判定するワーム判定装置において、
送信元アドレス毎に、パケット種別に係る情報を取得する通信情報取得手段と、
前記通信情報取得手段により取得された前記送信元アドレス毎の前記パケット種別に係る情報および前記通信がワームによりなされた通信か否かを判定する判定基準に基づいて、前記通信がワームによりなされた通信か否かを判定するワーム判定手段と、
を有することを特徴とするワーム判定装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005187771A JP2007013262A (ja) | 2005-06-28 | 2005-06-28 | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
| US11/346,243 US20060291490A1 (en) | 2005-06-28 | 2006-02-03 | Computer-readable recording medium having recorded worm determination program, worm determination method, and worm determination apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005187771A JP2007013262A (ja) | 2005-06-28 | 2005-06-28 | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007013262A true JP2007013262A (ja) | 2007-01-18 |
Family
ID=37567272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005187771A Pending JP2007013262A (ja) | 2005-06-28 | 2005-06-28 | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20060291490A1 (ja) |
| JP (1) | JP2007013262A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009212911A (ja) * | 2008-03-05 | 2009-09-17 | Oki Electric Ind Co Ltd | パケット通信装置、パケット通信方法及びプログラム |
| JP2010092235A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| JP2011523822A (ja) * | 2008-05-29 | 2011-08-18 | ハンドリームネット カンパニー リミテッド | アクセスレベル保安装置及び保安システム |
| JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
| JP2013011948A (ja) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラム |
| JP2018157373A (ja) * | 2017-03-17 | 2018-10-04 | 日本電気通信システム株式会社 | 不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8359650B2 (en) * | 2002-10-01 | 2013-01-22 | Skybox Secutiry Inc. | System, method and computer readable medium for evaluating potential attacks of worms |
| US8407798B1 (en) | 2002-10-01 | 2013-03-26 | Skybox Secutiry Inc. | Method for simulation aided security event management |
| JP5050781B2 (ja) * | 2007-10-30 | 2012-10-17 | 富士通株式会社 | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 |
| US20090119292A1 (en) * | 2007-11-06 | 2009-05-07 | Barracuda Inc. | Peer to peer traffic control method and system |
| US8677480B2 (en) * | 2008-09-03 | 2014-03-18 | Cisco Technology, Inc. | Anomaly information distribution with threshold |
| JP5920169B2 (ja) * | 2012-10-22 | 2016-05-18 | 富士通株式会社 | 不正コネクション検出方法、ネットワーク監視装置及びプログラム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6219786B1 (en) * | 1998-09-09 | 2001-04-17 | Surfcontrol, Inc. | Method and system for monitoring and controlling network access |
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6654373B1 (en) * | 2000-06-12 | 2003-11-25 | Netrake Corporation | Content aware network apparatus |
| US20020133586A1 (en) * | 2001-01-16 | 2002-09-19 | Carter Shanklin | Method and device for monitoring data traffic and preventing unauthorized access to a network |
| US8438241B2 (en) * | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
| US7140041B2 (en) * | 2002-04-11 | 2006-11-21 | International Business Machines Corporation | Detecting dissemination of malicious programs |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
-
2005
- 2005-06-28 JP JP2005187771A patent/JP2007013262A/ja active Pending
-
2006
- 2006-02-03 US US11/346,243 patent/US20060291490A1/en not_active Abandoned
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009212911A (ja) * | 2008-03-05 | 2009-09-17 | Oki Electric Ind Co Ltd | パケット通信装置、パケット通信方法及びプログラム |
| JP2011523822A (ja) * | 2008-05-29 | 2011-08-18 | ハンドリームネット カンパニー リミテッド | アクセスレベル保安装置及び保安システム |
| JP2010092235A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
| JP2013011948A (ja) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラム |
| JP2018157373A (ja) * | 2017-03-17 | 2018-10-04 | 日本電気通信システム株式会社 | 不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20060291490A1 (en) | 2006-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2007013262A (ja) | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 | |
| US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
| US10237352B2 (en) | Optimal source interface selection | |
| JP5018663B2 (ja) | 遅延時間計測装置、遅延時間計測プログラム、および遅延時間計測方法 | |
| US8375445B2 (en) | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method | |
| US8687653B2 (en) | Tunnel path MTU discovery | |
| US7584506B2 (en) | Method and apparatus for controlling packet transmission and generating packet billing data on wired and wireless network | |
| US20050039104A1 (en) | Detecting network denial of service attacks | |
| JP5947838B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム | |
| US9832106B2 (en) | System and method for detecting network neighbor reachability | |
| ES2972243T3 (es) | Método y aparato de procesamiento de información, dispositivo y medio de almacenamiento | |
| US7506372B2 (en) | Method and apparatus for controlling connection rate of network hosts | |
| US12069077B2 (en) | Methods for detecting a cyberattack on an electronic device, method for obtaining a supervised random forest model for detecting a DDoS attack or a brute force attack, and electronic device configured to detect a cyberattack on itself | |
| US20060291469A1 (en) | Computer-readable recording medium storing worm detection program, worm detection method and worm detection device | |
| JP7000808B2 (ja) | 情報処理装置、情報処理方法およびプログラム | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| JP6228262B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081028 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081229 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090414 |