JP2007082241A - 通信遮断装置、通信遮断プログラムおよび通信遮断方法 - Google Patents
通信遮断装置、通信遮断プログラムおよび通信遮断方法 Download PDFInfo
- Publication number
- JP2007082241A JP2007082241A JP2006266088A JP2006266088A JP2007082241A JP 2007082241 A JP2007082241 A JP 2007082241A JP 2006266088 A JP2006266088 A JP 2006266088A JP 2006266088 A JP2006266088 A JP 2006266088A JP 2007082241 A JP2007082241 A JP 2007082241A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- worm
- packet
- network segment
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定すること。
【解決手段】通信情報取得部240aが、設定データ230aに記憶された情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得し、ワーム判定部240bが、通信情報取得部240aにより取得された情報および通信がワームによりなされた通信か否かを規定する、設定データ230aに記憶された判定基準に係る情報に基づいて、通信がワームによりなされた通信か否かを判定する。
【選択図】 図2
【解決手段】通信情報取得部240aが、設定データ230aに記憶された情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得し、ワーム判定部240bが、通信情報取得部240aにより取得された情報および通信がワームによりなされた通信か否かを規定する、設定データ230aに記憶された判定基準に係る情報に基づいて、通信がワームによりなされた通信か否かを判定する。
【選択図】 図2
Description
この発明は、所定のネットワークセグメントと、該所定のネットワークセグメント外部との間でなされる通信を監視して、ワームによりなされた通信を遮断する通信遮断装置、通信遮断プログラムおよび通信遮断方法に関し、特に、ワームの増殖を効果的に抑制することができる通信遮断装置、通信遮断プログラムおよび通信遮断方法に関するものである。
また、この発明は、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置に関し、特に、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができるワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置に関するものである。
近年、自己増殖を繰り返しながらコンピュータに次々と感染し、コンピュータに悪影響を及ぼすワームと呼ばれるコンピュータウィルスによる被害が拡大してきている。古くは、ワームは、フレキシブルディスク(FD)やCD−ROMなどを介してコンピュータに感染していたため感染力がそれほど大きくはなかったが、最近は、インターネットが普及するにつれワームの感染力が加速度的に大きくなり、ワームに対する防御をいかにおこなうかが大きな問題となっている。
そのため、特許文献1には、ワームを含んでいるかどうかを検査する検査対象を仮想的に構築したコンピュータ環境に導入し、その検査対象が仮想的なコンピュータ環境における所定のファイルを変更するか否かを監視することにより、ワームであるか否かを判定するワームの検査方法が開示されている。
また、非特許文献1には、ワームにより攻撃された場合に必ず生じるサーバ装置の振る舞い(データI/Oやシステムコールなどの系列)をあらかじめ監視ルールとして定義しておき、ワームを含んでいるかどうかを検査する検査対象をアクセス検査サーバ装置に導入して、その動作を監視することによりワームによる攻撃を検出するWebサーバ防御システムが開示されている。
しかしながら、上記特許文献1の従来技術では、通信をおこなう度に検査対象をあらかじめ構築しておいた仮想的なコンピュータ環境に導入し、その仮想的なコンピュータ環境に対する感染の有無を検査する必要があるため、すべての通信に関してワームの検出をおこなうのは効率的でなく、ワームを含んでいる危険性のある通信のみに対して検査をおこなうにしても、その危険性を判定する基準を定めることが難しいという問題があった。
また、非特許文献2の従来技術では、ワームにより攻撃された場合に必ず生じるサーバ装置の振る舞いを監視ルールとして定義しておくこととしているが、多くの用途に使用され、さまざまな振る舞いを示すクライアント装置に対して、ワーム攻撃による振る舞いと通常使用による振る舞いとを区別する監視ルールを定義することが難しいという問題があった。
この発明は、上述した従来技術による問題点を解消するためになされたものであり、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができるワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置を提供することを目的とする。
また、この発明は、ワームの増殖を効果的に抑制することができる通信遮断装置、通信遮断プログラムおよび通信遮断方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、所定のネットワークセグメントと、該所定のネットワークセグメント外部との間でなされる通信を監視して、ワームによりなされた通信を遮断する通信遮断装置であって、該通信がワームによりなされた通信か否かを判定するワーム判定手段と、前記ワーム判定手段により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから遮断対象の通信パケットを特定するための参照情報を抽出する参照情報抽出手段と、前記参照情報抽出手段で抽出された参照情報に基づいて、前記所定のネットワークセグメントと前記所定のネットワークセグメント外部との間を通過する通信パケットを遮断する通信遮断手段と、を備えたことを特徴とする。
また、本発明は、前記参照情報抽出手段は、前記ワーム判定手段によりワームによりなされたと判定された通信に含まれる通信パケットにおける最頻出のポート番号を参照情報として抽出することを特徴とする。
また、本発明は、前記参照情報抽出手段は、更に前記ワーム判定手段によりワームによりなされたと判定された通信に含まれる通信パケットの数を通信種別毎に集計し、該通信パケットの数が設定された閾値を越える通信種別を参照情報として抽出することを特徴とする。
また、本発明は、前記参照情報抽出手段は、更に前記ワーム判定手段によりワームによりなされたと判定された通信に含まれる通信パケットのヘッダから感染コンピュータのアドレス情報を検出し、該アドレス情報を参照情報として抽出することを特徴とする。
また、本発明は、前記ワーム判定手段は、前記通信の通信パケット量に基づいてワームによりなされた通信か否かを判定することを特徴とする。
また、本発明は、前記ワーム判定手段は、前記通信の通信アドレスに係る情報に基づいてワームによりなされた通信か否かを判定することを特徴とする。
また、本発明は、所定のネットワークセグメントと、該所定のネットワークセグメント外部との間でなされる通信を監視して、ワームによりなされた通信を遮断する通信遮断プログラムであって、該通信がワームによりなされた通信か否かを判定するワーム判定手順と、前記ワーム判定手順により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから遮断対象の通信パケットを特定するための参照情報を抽出する参照情報抽出手順と、前記参照情報抽出手順で抽出された参照情報に基づいて、前記所定のネットワークセグメントと前記所定のネットワークセグメント外部との間を通過する通信パケットを遮断する通信遮断手順と、をコンピュータに実行させることを特徴とする。
また、本発明は、所定のネットワークセグメントと、該所定のネットワークセグメント外部との間でなされる通信を監視して、ワームによりなされた通信を遮断する通信遮断方法であって、該通信がワームによりなされた通信か否かを判定するワーム判定工程と、前記ワーム判定工程により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから遮断対象の通信パケットを特定するための参照情報を抽出する参照情報抽出工程と、前記参照情報抽出工程で抽出された参照情報に基づいて、前記所定のネットワークセグメントと前記所定のネットワークセグメント外部との間を通過する通信パケットを遮断する通信遮断工程と、を含んだことを特徴とする。
また、本発明は、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラムであって、情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、をコンピュータに実行させることを特徴とする。
また、本発明は、前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、前記情報の取得に係る設定情報を変更する設定情報変更手順をさらに含み、前記通信情報取得手順は、前記情報取得設定変更手順により変更された情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得することを特徴とする。
また、本発明は、前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、前記判定基準に係る情報を変更する判定基準情報変更手順をさらに含み、前記ワーム判定手順は、前記通信情報取得手順により取得された情報および前記判定基準情報変更手順により変更された判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定することを特徴とする。
また、本発明は、前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットのパケット量が増加し、かつ、該通信パケットの宛先アドレス数が増加した場合に、前記所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると判定することを特徴とする。
また、本発明は、前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると以前に判定され、該所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数が、前記通信がワームによりなされた通信であると判定する際に前記通信情報取得手段により取得された該所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数より増加した場合に、該所定のネットワークセグメント内のコンピュータからの通信が複数のコンピュータに感染したワームによりなされた通信であると判定することを特徴とする。
また、本発明は、前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメントに対して該所定のネットワークセグメント外部から送信された通信パケットに対する応答通信パケットのパケット量が増加し、かつ、該通信パケットの送信元アドレス数が増加した場合に、前記所定のネットワークセグメント外部のコンピュータからの通信がワームによりなされた通信であると判定することを特徴とする。
また、本発明は、前記ワーム判定手順は、前記通信をワームによりなされた通信と判定した場合に、該通信をおこなったコンピュータもしくは通信状況に係る情報をさらに出力することを特徴とする。
また、本発明は、前記ワーム判定手順は、前記通信をワームによりなされた通信と判定した場合に、ワームによりなされる通信に係るあらかじめ登録された特徴とワームによりなされたと判定した通信に係る特徴とを比較することにより前記ワームの種類を推定することを特徴とする。
また、本発明は、前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、該ワームによりなされる通信を遮断する通信遮断手順を含んだことを特徴とする。
また、本発明は、前記通信遮断手順は、ワームにより起動されたプロセスを停止することによりワームによりなされる通信を遮断することを特徴とする。
また、本発明は、前記通信遮断手順は、ワームによりなされる通信を該ワームが存在していると判定されるコンピュータのファイアウォール機能を有効にすることにより遮断することを特徴とする。
また、本発明は、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラムを記録したコンピュータ読み取り可能な記録媒体であって、情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、をコンピュータに実行させるワーム判定プログラムを記録したことを特徴とする。
また、本発明は、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定方法であって、情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得工程と、前記通信情報取得工程により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定工程と、を含んだことを特徴とする。
また、本発明は、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定装置であって、情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手段と、前記通信情報取得手段により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手段と、を備えたことを特徴とする。
本発明によれば、通信がワームによりなされた通信か否かを判定し、該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから遮断対象の通信パケットを特定するための参照情報を抽出し、抽出された参照情報に基づいて、所定のネットワークセグメントと所定のネットワークセグメント外部との間を通過する通信パケットを遮断することとしたので、参照情報に基づいて通信パケットを遮断することによりワームの増殖を効果的に抑制することができるという効果を奏する。
また、本発明によれば、ワームによりなされたと判定された通信に含まれる通信パケットにおける最頻出のポート番号を参照情報として抽出することとしたので、最頻出のポート番号に基づいてワームの増殖を効果的に抑制することができるという効果を奏する。
また、本発明によれば、更にワームによりなされたと判定された通信に含まれる通信パケットの数を通信種別ごとに集計し、該通信パケットの数が設定された閾値を越える通信種別を参照情報として抽出することとしたので、通信パケットの数が設定された閾値を越える通信種別に基づいてワームの増殖を効果的に抑制することができるという効果を奏する。
また、本発明によれば、更にワームによりなされたと判定された通信に含まれる通信パケットのヘッダから感染コンピュータのアドレス情報を検出し、該アドレス情報を参照情報として抽出することとしたので、感染コンピュータのアドレス情報に基づいてワームの増殖を効果的に抑制することができるという効果を奏する。
また、本発明によれば、通信の通信パケット量に基づいてワームによりなされた通信か否かを判定することとしたので、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができるという効果を奏する。
また、本発明によれば、通信の通信アドレスに係る情報に基づいてワームによりなされた通信か否かを判定することとしたので、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができるという効果を奏する。
また、本発明によれば、情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得し、取得された情報および通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて通信がワームによりなされた通信か否かを判定することとしたので、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができるという効果を奏する。
また、本発明によれば、通信がワームによりなされた通信と判定された場合に、情報の取得に係る設定情報を変更し、変更された情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得することとしたので、通信がワームによりなされた通信と判定された場合に情報の取得に係る設定情報を変更することにより、さらに詳細にワームの挙動を監視することができるという効果を奏する。
また、本発明によれば、通信がワームによりなされた通信と判定された場合に、判定基準に係る情報を変更し、取得された情報および変更された判定基準に係る情報に基づいて通信がワームによりなされた通信か否かを判定することとしたので、通信がワームによりなされた通信と判定された場合に判定基準に係る情報を変更することにより、さらに厳密に通信がワームによりなされた通信か否かを判定することができるという効果を奏する。
また、本発明によれば、通信を監視する監視対象である所定のネットワークセグメントからその所定のネットワークセグメント外部に送信される通信パケットのパケット量が増加し、かつ、通信パケットの宛先アドレス数が増加した場合に、所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメント内のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができるという効果を奏する。
また、本発明によれば、通信を監視する監視対象である所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると以前に判定され、所定のネットワークセグメントからその所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数が、通信がワームによりなされた通信であると判定する際に取得された所定のネットワークセグメントからその所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数より増加した場合に、所定のネットワークセグメント内のコンピュータからの通信が複数のコンピュータに感染したワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメント内の複数のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができるという効果を奏する。
また、本発明によれば、通信を監視する監視対象である所定のネットワークセグメントに対してその所定のネットワークセグメント外部から送信された通信パケットに対する応答通信パケットのパケット量が増加し、かつ、通信パケットの送信元アドレス数が増加した場合に、所定のネットワークセグメント外部のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメント外のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができるという効果を奏する。
また、本発明によれば、通信をワームによりなされた通信と判定した場合に、通信をおこなったコンピュータもしくは通信状況に係る情報をさらに出力することとしたので、出力されたコンピュータに係る情報を基にしてワームに感染している可能性のあるコンピュータを特定することができるという効果を奏する。
また、本発明によれば、通信をワームによりなされた通信と判定した場合に、ワームによりなされる通信に係るあらかじめ登録された特徴とワームによりなされたと判定した通信に係る特徴とを比較することによりワームの種類を推定することとしたので、推定されたワームの種類の情報を基にしてワームの攻撃に適切に対応することができるという効果を奏する。
また、本発明によれば、通信がワームによりなされた通信と判定された場合に、ワームによりなされる通信を遮断することとしたので、ワームの増殖を効果的に抑制することができるという効果を奏する。
また、本発明によれば、ワームにより起動されたプロセスを停止することによりワームによりなされる通信を遮断することとしたので、ワームがおこなう処理自体を停止させることにより、ワームの増殖を効果的に抑制することができるという効果を奏する。
また、本発明によれば、ワームによりなされる通信をワームが存在していると判定されるコンピュータのファイアウォール機能を有効にすることにより遮断することとしたので、ワームによりなされる通信をワームに感染しているコンピュータに遮断させることにより、ワームの増殖を効果的に抑制することができるという効果を奏する。
以下に添付図面を参照して、この発明に係る通信遮断装置、通信遮断プログラム、通信遮断方法、ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置の好適な実施の形態を詳細に説明する。
まず、本実施例に係るネットワークセグメントの概念について説明する。図16は、本実施例に係るネットワークセグメントの概念を説明する概念図である。図16に示すように、本実施例におけるネットワークセグメントは、複数の階層からなる構造を有している。
たとえば、最も小規模なネットワークセグメント16aは、ワーム判定プログラムが導入されたコンピュータを1台だけ含むものである。この場合、そのコンピュータがネットワークセグメント16aに係る通信を監視してワーム判定処理をおこなう。それよりもやや大きい規模のネットワークセグメント16bは、部署のイントラネット単位で構成されるセグメントであり、そのネットワークセグメント16bに対してワーム判定装置17aが接続され、そのワーム判定装置17aが、ワークセグメント16bに係る通信を監視してワーム判定処理をおこなう。
さらに大きい規模であるネットワークセグメント16cは、企業のイントラネット単位で構成されるセグメントであり、そのネットワークセグメント16cに対してワーム判定装置17bが接続され、そのワーム判定装置17bが、ワークセグメント16cに係る通信を監視してワーム判定処理をおこなう。そして、より大規模のネットワークセグメント16dは、ISP(Internet Service Provider)単位で構成されるセグメントであり、そのネットワークセグメント16dに対してワーム判定装置17cが接続され、そのワーム判定装置17cが、ワークセグメント16dに係る通信を監視してワーム判定処理をおこなう。
このように、ネットワークセグメントの規模および形態には様々なものが考えられ、そのさまざまな規模および形態のネットワークセグメントに対して、本発明に係るワーム判定システムの適用をおこなうことができる。
つぎに、本実施例に係るワーム判定システムの概念について説明する。図1は、本実施例に係るワーム判定システムの概念について説明する概念図である。図1に示すように、このワーム判定システムは、サーバ装置やクライアント装置などを少なくとも1台以上含むネットワークセグメント10a〜10dが、ワーム判定装置20a〜20dを介してネットワーク11に接続された構成となっている。ここで、ネットワーク11とは、インターネット、イントラネット、ISPのネットワークなどを指している。
このワーム判定装置20a〜20dは、各ネットワークセグメント10a〜10dに他のネットワークセグメント10a〜10dから送信される通信パケットと、各ネットワークセグメント10a〜10dが他のネットワークセグメント10a〜10dに送信する通信パケットとを監視して、その通信パケットによる通信がワームによりなされた通信であるか否かを判定する処理をおこなう。
具体的には、通信パケットの単位時間当たりのパケット数、各通信パケットの送信元IPアドレスおよび宛先IPアドレスの情報などを取得し、取得した情報に基づいて監視対象としているネットワークセグメント10a〜10d外からのワームの攻撃があるか否かや、そのネットワークセグメント10a〜10d内から他のネットワークセグメント10a〜10d内のコンピュータに対してワームの攻撃がなされているか否か等を判定する。
ここで、ワームに感染した場合に生じる通信パケットの単位時間当たりのパケット数、各通信パケットの送信元IPアドレスおよび宛先IPアドレスの情報の変化は、サーバ装置やクライアント装置などのコンピュータの種類に依らず顕著に現れるため、このワーム判定システムにおいては、サーバ装置かクライアント装置かに拘らず容易にかつ効率的にワームを検出することができる。
また、ワームの特徴をあらかじめ登録しておき、その特徴を参照してワームによる通信を検出するのではなく、通信パケットの単位時間当たりのパケット数、各通信パケットの送信元IPアドレスおよび宛先IPアドレスの情報の変化を基にしてワームによる通信か否かを判定するので、未知のワームに対しても適切に対処することができる。
つぎに、本実施例に係るワーム判定装置20a〜20dの機能的構成について説明する。図2は、本実施例に係るワーム判定装置20a〜20dの機能的構成について説明する機能ブロック図である。各ワーム判定装置20a〜20dは、同様の機能を有するので、ここでは、ワーム判定装置20aの機能的構成について説明する。
図2に示すように、このワーム判定装置20aは、ネットワークセグメントA10aおよびネットワークセグメントA10aを除いたネットワーク12にLAN21およびネットワーク21を介して接続されている。ここで、LAN21は、イントラネットなどのネットワークである。
ワーム判定装置20aは、本発明に係る装置であり、情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得し、取得した情報と、通信がワームによりなされた通信か否かを規定する判定基準に係る情報とに基づいて通信がワームによりなされた通信か否かを判定する判定装置である。
このワーム判定装置20aは、インターフェース部200、入力部210、表示部220、記憶部230および制御部240を有する。インターフェース部200は、ネットワークセグメントA10aとネットワークセグメントAを除くネットワーク12との間の通信データの授受を、LAN21およびネットワーク21を介して中継するネットワークインターフェースである。
入力部210は、キーボードやマウスなどの入力デバイスであり、表示部220は、ディスプレイなどの表示デバイスである。記憶部230は、ハードディスク装置などの記憶デバイスであり、この記憶部230には、設定データ230a、通信ログデータ230bおよびワームデータ230cが記憶されている。
設定データ230aは、通信パケットの通信量および通信パケットの通信アドレスに係る情報の取得に係る設定情報や、監視している通信がワームによりなされた通信か否かを規定する判定基準に係る情報など、さまざまな設定情報を記憶したデータである。
図3は、図2に示した設定データ230aの一例を示す図である。この設定データ230aは、設定項目、初期設定およびSYNパケット異常検知後の設定の各項目を有する。設定項目は、設定データ230aにおいて設定される各項目であり、初期設定は、通常監視時に参照される設定情報であり、SYNパケット異常検知後の設定は、監視していたSYNパケットに異常が検知された場合に、初期設定の代わりに参照される設定情報である。このSYNパケットの異常は、後に説明するように、単位時間内に計測したSYNパケットの数が所定の閾値以上で、宛先IPアドレス数が所定の閾値以上となった場合を意味している。
上記設定項目には、具体的には、SYNパケットの計測単位時間、SYN ACKパケットの計測単位時間、UDPパケットの計測単位時間、ICMP(request)パケットの計測単位時間、ICMP(reply)パケットの計測単位時間、宛先IPアドレスの計測単位時間、送信元IPアドレスの計測単位時間、宛先ポート番号の参照、SYNパケット数の閾値、SYN ACKパケット数の閾値、UDPパケットの閾値、ICMP(request)パケットの閾値、ICMP(reply)パケットの閾値、宛先IPアドレス数の閾値、送信元IPアドレス数の閾値、監視場所、監視するネットワークの方向、遮断および検知から遮断までの時間が登録されている。
SYNパケットの計測単位時間、SYN ACKパケットの計測単位時間、UDPパケットの計測単位時間、ICMP(request)パケットの計測単位時間およびICMP(reply)パケットの計測単位時間は、それぞれ、TCP(Transmission Control Protocol)ベースのパケットであるSYNパケット、SYNパケットをコンピュータが受信した際の応答として送信されるSYN ACKパケット、UDP(User Datagram Protocol)ベースのパケットであるUDPパケット、相手コンピュータの動作確認メッセージを送信するICMP(Internet Control Message Protocol)(request)パケット、そのICPM(request)パケットの応答として送信されるICMP(reply)パケットの数を計測する単位時間である。たとえば、この単位時間が1secであるということは、1秒間の上記パケットの送信数または受信数を1秒ごとに計測することを意味する。
また、宛先IPアドレスの計測単位時間および送信元IPアドレスの計測単位時間は、上記各パケットの宛先IPアドレスおよび送信元IPアドレスを計測する単位時間である。たとえば、この単位時間が1secであるということは、1秒間の上記パケットの宛先IPアドレスおよび送信元IPアドレスを1秒ごとに計測することを意味する。宛先ポート番号の参照は、上記各パケットの宛先ポート番号をリアルタイムで参照するか否かを設定する項目であり、「ON」または「OFF」のいずれかに設定される。
SYNパケット数の閾値、SYN ACKパケット数の閾値、UDPパケットの閾値、ICMP(request)パケットの閾値、ICMP(reply)パケットの閾値は、ワームによりなされた通信がおこなわれているか否かを判定する際に使用されるパケット数の閾値情報である。宛先IPアドレス数の閾値および送信元IPアドレス数の閾値は、ワームによりなされた通信がおこなわれているか否かを判定する際に使用される宛先IPアドレス数および送信元IPアドレス数の閾値情報である。ここで、宛先IPアドレス数または送信元IPアドレス数は、宛先IPアドレスの計測単位時間または送信元IPアドレスの計測単位時間内に計測された異なる宛先IPアドレスまたは送信元IPアドレスの数である。
監視場所は、パケットを監視するネットワークドライバを設定する項目であり、たとえば、ネットワークドライバ「Eth0」などと設定する。監視するネットワークの方向は、監視するパケット通信の方向を設定する項目である。たとえば、ワーム判定装置20aが接続されているネットワークセグメントA10aから外に送信されるパケットのみを監視する場合には、「Outgoing」に設定され、ネットワークセグメントAを除くネットワーク12からネットワークセグメントA10aに対して送信されるパケットを監視する場合には、「incoming」に設定され、それら両方のパケットを監視する場合には、「both」に設定される。
遮断は、パケット通信がワームによりなされた通信と判定された場合に、通信の遮断をおこなうか否かを設定する項目であり、「ON」または「OFF」のいずれかに設定される。検知から遮断までの時間は、ワームによりなされたパケット通信を検知した場合に、パケット通信を遮断するまでの待ち時間を設定する項目であり、たとえば、「5sec」などと設定される。
図2の説明に戻ると、通信ログデータ230bは、パケット通信の通信記録を記憶したデータである。具体的には、図3で示した設定データ230aに基づいて取得された通信パケットのパケット数やIPアドレス数の情報、ワームによりなされた通信か否かを判定した判定結果の情報などを記憶している。
図4は、図2に示した通信ログデータ230bの一例を示す図である。図4に示すように、この通信ログデータ230bは、計測時間、パケット数およびIPアドレス数の各項目を有する。計測時間は、計測をおこなった時間であり、パケット数は、各計測時間において計測されたパケット数である。このパケット数は、さらに、SYNパケット数、SYN ACKパケット数、UDPパケット数、ICMP(request)パケット数およびICMP(reply)パケット数の項目を有し、各パケットの種類ごとに計測されたパケット数が記憶される。
IPアドレス数は、各計測時間において計測されたIPアドレス数である。このIPアドレス数は、さらに、宛先IPアドレス数および送信元IPアドレス数の項目を有し、各計測時間における通信パケットの宛先IPアドレス数および送信元IPアドレス数の情報が記憶される。
また、図3に示した設定データ230aの「宛先ポート番号の参照」の項目が「ON」である場合には、通信ログデータ230bに、通信情報取得部240aにより取得された最頻出宛先ポート番号の情報が各計測時間ごとに記憶される(図4には、図示せず。)。さらに、この通信ログデータ230bには、ワームによる通信がおこなわれたと判定された場合に、ワームの通信方法や通信速度、通信特徴が類似しているワームの情報などとともにその判定結果が記憶される(図4には、図示せず。)。
図2の説明に戻ると、ワームデータ230cは、ワームによりなされる通信の特徴を記憶したデータである。具体的には、このワームデータ230cは、過去に発見されたワームが単位時間内に他のコンピュータのスキャンをおこなうスキャン速度の情報や、攻撃する宛先ポート番号などのワームの特徴情報を記憶する。
制御部240は、ワーム判定装置20aを全体制御する制御部である。この制御部240は、通信情報取得部240a、ワーム判定部240b、設定データ変更部240cおよび通信遮断部240dを有する。
通信情報取得部240aは、記憶部230に記憶された設定データ230aに基づいて、通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得する取得部である。具体的には、この通信情報取得部240aは、通信パケットのパケット数を計測するとともに、通信パケットのヘッダから宛先IPアドレスや送信元IPアドレスの情報を取得し、宛先IPアドレス数や送信元IPアドレス数を計測したり、通信パケットの宛先ポート番号などの情報から最頻出宛先ポート番号の情報を取得したりして、通信ログデータ230bに記憶する処理などをおこなう。
ワーム判定部240bは、通信情報取得部240aにより取得された情報、および、記憶部230に記憶された設定データ230aに基づいて、監視対象としているパケット通信がワームによりなされた通信か否かを判定する判定部である。つぎに、この判定処理の内容を具体的に説明する。
図5は、図2に示したワーム判定部240bがおこなうパケットの種類ごとのワーム判定処理の例を示す図である。図5では、ワーム判定部240bがおこなう判定処理の内容を3つのケースに分けて示している。ケース1は、Outgoing通信を監視している際に、SYNパケット数が増加し、かつ、宛先IPアドレス数が増加したという状況が観測された場合である。
この状況は、ネットワークセグメントA10a外のさまざまなコンピュータにSYNパケットが多数送信されていることを意味するので、ワーム判定部240bは、TCPベースのワームがネットワークセグメントA10a内のコンピュータに感染しており、ネットワークセグメントA10a外のコンピュータに対してランダムスキャンをおこなっていると判定する。この場合、ワーム判定部240bは、さらに宛先ポート番号を計測し、最頻出宛先ポート番号からどのサービスを狙ったワームかを検出する。たとえば、計測された最頻出宛先ポート番号が80番であれば、Webサービスを狙ったワームであると判定できる。
ケース2は、Outgoing通信を監視している際に、UDPパケット数が増加し、かつ、宛先IPアドレス数が増加したという状況が観測された場合である。この状況は、ネットワークセグメントA10a外のさまざまなコンピュータにUDPパケットが多数送信されていることを意味するので、ワーム判定部240bは、UDPベースのワームがネットワークセグメントA10a内のコンピュータに感染しており、ネットワークセグメントA10a外のコンピュータに対してランダムスキャンをおこなっていると判定する。この場合、ワーム判定部240bは、さらに宛先ポート番号を計測し、最頻出宛先ポート番号からどのサービスを狙ったワームかを検出する。たとえば、計測された最頻出宛先ポート番号が53番であれば、DNSサービスを狙ったワームであると判定できる。
ケース3は、Outgoing通信を監視している際に、ICMP(request)パケット数が増加し、かつ、宛先IPアドレス数が増加したという状況が観測された場合である。この状況は、ネットワークセグメントA10a外のさまざまなコンピュータにICMP(request)パケットが多数送信されていることを意味する。この場合、ワーム判定部240bは、パケットの送信がワームによるものか否かの判定を一時保留する。これは、ICMP(request)パケットは、相手コンピュータの動作確認メッセージを送信するパケットであり、ICMP(request)パケットのパケット数および宛先IPアドレス数が増加しただけでは、ワームによるランダムスキャンがおこなわれているのかどうかが不明なためである。
この場合、ワーム判定部240bは、その後送信されるSYNパケットあるいはUDPパケットを監視して、ケース1または2のように状況を判定することによりTCPベースのワームか、あるいはUDPベースのワームかを判定し、さらに宛先ポート番号を計測して、その最頻出宛先ポート番号からどのサービスを狙ったワームかを検出する処理をおこなう。ここでは、ケース1〜3の3つの場合について説明したが、さらにさまざまな状況を追加することにより、各パケットの種類に対してワームによる通信か否かを詳細に判定することができる。
図6は、図2に示したワーム判定部240bがおこなうネットワークセグメント外からのワームスキャンの有無を判定する処理の一例を示す図である。ここでは、SYN ACKパケットに異常が検出された場合を示している。図6に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。たとえば、ワーム判定部240bは、SYN ACKパケット数の閾値が「10」、送信元IPアドレス数の閾値が「10」である場合には、計測時間「10:00:35〜10:00:36」においてSYN ACKパケット数「30」が閾値「10」以上であり、かつ、送信元IPアドレス数「36」が閾値「10」以上であるので、SYN ACKパケットの異常を検出する。
また、ワーム判定部240bは、通信情報取得部240aにより取得されたSYN ACKパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図6の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報が示されている。最頻出宛先ポート番号の欄に示されている百分率の情報(「90%」および「92%」)は、計測時間内に「SYN ACKパケット数」および「送信元IPアドレス数」の監視をおこなった全パケットのうち、最頻出宛先ポート番号が「80」番であったパケットの割合を示したものである。
その後、ワーム判定部240bは、上記情報を基にしてワームスキャンの有無を判定し、ワーム判定結果60を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYNパケットを受信した際の応答であるSYN ACKパケットがネットワークセグメントA10a内から閾値より多く送信され、かつ、SYN ACKパケットの送信元IPアドレス数が閾値より多いため、ネットワークセグメントAを除くネットワーク12のコンピュータからネットワークセグメントA10a内のコンピュータに対してワームによるランダムスキャンがなされていると判定し、そのワーム判定結果60を出力する。
このワーム判定結果60は、スキャン方法、スキャン元IPアドレス、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、スキャン元IPアドレスは、ランダムスキャンに使用されているパケットを送信しているコンピュータのIPアドレスである。このスキャン元IPアドレスの情報は、パケットのヘッダより取得することができる。最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号であり、警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージである。図6の例では、ネットワークセグメントAを除くネットワーク12のコンピュータからのランダムスキャンが検出されたので、Webサービスの脆弱性を狙うワームが外部から進入する可能性があることをユーザに通知する。
図7は、図2に示したワーム判定部240bがおこなうワーム感染の有無を判定する処理の一例を示す図である。ここでは、SYNパケットに異常が検出された場合を示している。図7に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。たとえば、ワーム判定部240bは、SYNパケット数の閾値が「10」、宛先IPアドレス数の閾値が「10」である場合には、計測時間「10:00:37〜10:00:38」においてSYNパケット数「22」が閾値「10」以上であり、かつ、宛先IPアドレス数「28」が閾値「10」以上であるので、SYNパケットの異常を検出する。
また、ワーム判定部240bは、通信情報取得部240aにより取得されたSYNパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図7の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報と、監視をおこなった全パケットのうち最頻出宛先ポート番号が「80」番であったパケットの割合の情報(「94%」および「89%」)とが、SYNパケット数および宛先IPアドレス数のそれぞれの計測項目ごとに示されている。
その後、ワーム判定部240bは、上記情報を基にしてワーム感染の有無を判定し、ワーム判定結果70を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYNパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYNパケットの宛先IPアドレス数が閾値より多いため、ネットワークセグメントA10a内のコンピュータからネットワークセグメントAを除くネットワーク12のコンピュータに対してワームによるランダムスキャンがなされていると判定し、そのワーム判定結果70を出力する。
このワーム判定結果70は、スキャン方法、スキャン速度、感染台数、感染コンピュータ名、感染コンピュータIPアドレス、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、スキャン速度は、1秒間にスキャンがなされた速度の情報である。感染台数は、ワームに感染した可能性のあるコンピュータの台数であり、感染コンピュータ名は、ワームに感染した可能性のあるコンピュータの名称である。感染コンピュータIPアドレスは、ワームに感染した可能性のあるコンピュータのIPアドレスである。
スキャン速度の情報は、単位時間当たりにSYNパケットが送信されたコンピュータ数(宛先IPアドレス数)の情報から算出することができる。また、感染コンピュータIPアドレスは、SYNパケットのヘッダから取得することができ、感染台数の情報は、その感染コンピュータIPアドレスの数から取得することができる。感染コンピュータ名は、IPアドレスとコンピュータ名とを対応付けて記憶したデータベース(図2には、図示していない。)を用意しておくことで取得することができる。最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号であり、警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージである。
図7の例では、ワーム判定部240bは、ネットワークセグメントA10a内からのランダムスキャンが検出され、さらに最頻出宛先ポート番号が「80」番であるので、ネットワークセグメントA10a内のWebサーバが感染した可能性があることをユーザに通知する。また、ワーム判定部240bは、記憶部230のワームデータ230cに記憶されたワームの特徴を参照した結果、類似していると判定されたワームの情報や、ランダムスキャンの対象となったネットワークの情報などをユーザに通知する。
図8は、図2に示したワーム判定部240bがおこなうネットワークセグメントA10a外からの攻撃によるワーム感染の有無を判定する処理の一例を示す図である。ここでは、SYN ACKパケットに異常が検出された後、SYNパケットにも異常が検出された場合を示している。図8に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。
たとえば、ワーム判定部240bは、SYN ACKパケット数の閾値が「10」、送信元IPアドレス数の閾値が「10」である場合には、計測時間「10:00:35〜10:00:36」においてSYN ACKパケット数「30」が閾値「10」以上であり、かつ、送信元IPアドレス数「36」が閾値「10」以上であるので、SYN ACKパケットの異常を検出する。また、ワーム判定部240bは、SYNパケット数の閾値が「10」、宛先IPアドレス数の閾値が「10」である場合には、計測時間「10:00:37〜10:00:38」においてSYNパケット数「22」が閾値「10」以上であり、かつ、宛先IPアドレス数「28」が閾値「10」以上であるので、SYNパケットの異常を検出する。
さらに、ワーム判定部240bは、通信情報取得部240aにより取得されたSYN ACKパケットおよびSYNパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図8の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報と、監視をおこなった全パケットのうち最頻出宛先ポート番号が「80」番であったパケットの割合の情報(「87%」、「87%」、「89%」および「86%」)とが、SYNパケット数、SYN ACKパケット数、宛先IPアドレス数および送信元IPアドレス数のそれぞれの計測項目ごとに示されている。
その後、ワーム判定部240bは、上記情報を基にしてワーム感染の有無を判定し、ワーム判定結果80を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYN ACKパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYN ACKパケットの送信元IPアドレス数が閾値より多いことから、ネットワークセグメントAを除くネットワーク12のコンピュータからネットワークセグメントA10a内のコンピュータに対してワームによるランダムスキャンがなされていたと判定する。
さらに、ワーム判定部240bは、SYNパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYNパケットの宛先IPアドレス数が閾値より多いことから、上記ランダムスキャンによりネットワークセグメントA10a内のコンピュータがワームに感染し、そのワームに感染したコンピュータからネットワークセグメントAを除くネットワーク12のコンピュータに対してランダムスキャンがなされていると判定し、そのワーム判定結果80を出力する。
このワーム判定結果80は、スキャン方法、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号である。警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージであり、ネットワークセグメントA10a内のWebサーバが外部からのワーム攻撃により感染した可能性があることをユーザに通知する。
図9は、図2に示したワーム判定部がおこなう複数コンピュータのワーム感染の有無を判定する処理の一例を示す図である。ここでは、SYNパケットに異常が検出された後、再度SYNパケットに異常が検出された場合に、再度SYNパケットに異常が検出された際の宛先IPアドレス数が、前回SYNパケットに異常が検出された際の宛先IPアドレス数に比べて増加した状況を示している。
図9に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。たとえば、ワーム判定部240bは、SYNパケット数の閾値が「10」、送信元IPアドレス数の閾値が「10」である場合に、計測時間「10:00:37〜10:00:38」においてSYNパケット数「22」が閾値「10」以上であり、かつ、宛先IPアドレス数「28」が閾値「10」以上であるので、SYNパケットの異常を検出する。また、ワーム判定部240bは、計測時間「10:00:39〜10:00:40」においてSYNパケット数「49」が閾値「10」以上であり、かつ、宛先IPアドレス数「60」が閾値「10」以上であるので、SYNパケットの異常を再度検出する。
さらに、ワーム判定部240bは、通信情報取得部240aにより取得されたSYNパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図9の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報と、監視をおこなった全パケットのうち最頻出宛先ポート番号が「80」番であったパケットの割合の情報(「92%」および「95%」)とが、SYNパケット数および宛先IPアドレス数のそれぞれの計測項目ごとに示されている。
その後、ワーム判定部240bは、上記情報を基にしてワーム感染の有無を判定し、ワーム判定結果90を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYNパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYNパケットの宛先IPアドレス数が閾値より多いことから、ネットワークセグメントA10a内のコンピュータがワームに感染し、そのワームに感染したコンピュータからネットワークセグメントAを除くネットワーク12のコンピュータに対してランダムスキャンがなされていると判定する。
また、ワーム判定部240bは、最頻出宛先ポート番号が「80」番であり、今回SYNパケットに異常が検出された際の宛先IPアドレス数が、前回SYNパケットに異常が検出された際の宛先IPアドレス数に比べて2倍以上増加したので、ネットワークセグメントA10a内の複数のWebサーバがワームに感染したと判定し、そのワーム判定結果90を出力する。ここでは、宛先IPアドレス数が2倍以上増加した場合に複数のWebサーバが感染したと判定したが、この倍数は任意に設定できる。
このワーム判定結果90は、スキャン方法、スキャン速度、感染台数、感染コンピュータ名、感染コンピュータIPアドレス、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、スキャン速度は、1秒間にスキャンがなされた速度の情報である。感染台数は、ワームに感染したコンピュータの台数であり、感染コンピュータ名は、ワームに感染した可能性のあるコンピュータの名称である。感染コンピュータIPアドレスは、ワームに感染した可能性のあるコンピュータのIPアドレスである。図9の例では、ワームに感染した可能性のある2台分のWebサーバの感染コンピュータ名および感染コンピュータIPアドレスの情報が示されている。
最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号であり、警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージである。図9の例では、ワーム判定結果90は、ネットワークセグメントA10a内の複数のWebサーバがワームに感染した可能性があることを警告メッセージとしてユーザに通知する。
図2の説明に戻ると、設定データ変更部240cは、通信情報取得部240a、ワーム判定部240bまたは通信遮断部240cにより参照される設定データ230aに変更がある場合に、ユーザにより入力された新規の設定を受け付け、設定項目の新たな追加や設定項目の更新、あるいはすでに設定されている設定項目の削除などをおこなって設定データ230aを変更する変更部である。また、設定データ変更部240cは、監視していたSYNパケットに異常が検知された場合に、設定データ230aの設定を、初期設定からSYNパケット異常検知後の設定に変更する処理をおこなう。
通信遮断部240dは、ワーム判定部240bによりパケット通信がワームによりなされたパケット通信であると判定された場合に、ワームによりなされるパケット通信を遮断する遮断部である。この遮断処理は、図3の設定データ230aにおいて設定項目「遮断」が「ON」である場合におこなわれる。また、この通信遮断部240dは、図3の設定データ230aの設定項目「検知から遮断までの時間」を参照し、そこに設定された時間だけ待機した後、遮断処理を開始する。
通信遮断部240dは、具体的には、3通りの方法でワームによるパケット通信を遮断する。図10は、図2に示した通信遮断部240dがおこなうワームによりなされる通信を遮断する遮断処理の例を示す図である。図10に示すように、方法1は、通信遮断部240dが、ワームに感染したと判定されたコンピュータを含んだネットワークセグメントA10a内のすべてのコンピュータからの特定のOutgoing通信(ランダムスキャン)を遮断する方法である。この方法1では、ワームにより送信される通信パケットのプロトコルがTCPベースかUDPベースかの情報や、通信パケットの最頻出宛先ポート番号の情報などを参照してOutgoing通信の遮断をおこなう。その際、通信遮断部240dは、上記情報から特定される通信パケット以外の通信パケットに対しては遮断をおこなわなず、通信障害を最小限に抑制する。
方法2は、通信遮断部240dが、ネットワークセグメントA10a内のワームに感染したと判定されたコンピュータからの特定のOutgoing通信(ランダムスキャン)を遮断する方法である。この方法2では、ワームにより送信される通信パケットのプロトコルがTCPベースかUDPベースかの情報や、ワームに感染したと判定されたコンピュータを特定する送信元IPアドレス、通信パケットの最頻出宛先ポート番号の情報などを参照してOutgoing通信の遮断をおこなう。その際、通信遮断部240dは、上記情報から特定される通信パケット以外の通信パケットに対しては遮断をおこなわず、通信障害を最小限に抑制する。
図11は、ワームによりなされた通信をワーム判定装置20aが遮断する遮断処理を説明する説明図である。図11は、方法1または2によりOutgoing通信の遮断をおこなう場合を示している。図11に示すように、通信遮断部240dは、監視対象としているネットワークセグメントA10aからワームによりなされたOutgoing通信を、ワーム判定装置20aにおいて遮断し、ネットワークセグメントAを除くネットワーク21にワームにより送信された通信パケットが到達するのを防止する。ワームにより送信された通信パケット以外の通信パケットは、通信遮断部240dは、ワーム判定装置20aを通過させ、通信障害を回避する。
図10の説明に戻ると、方法3は、方法1または方法2による遮断処理の後、通信遮断部240dが、ワームに感染したと判定されたコンピュータのランダムスキャンを遠隔操作で停止する方法である。具体的には、通信遮断部240dは、ワームに感染したと判定されたコンピュータにアクセスし、ランダムスキャンをおこなっているプロセスを停止させたり、ワームに感染したと判定されたコンピュータのパーソナルファイアウォール等の機能をアクティブに設定し、自装置がおこなっているランダムスキャンを自装置に遮断させる。この方法3では、ワームにより送信される通信パケットのプロトコルがTCPベースかUDPベースかの情報や、ワームに感染したと判定されたコンピュータを特定する送信元IPアドレス、通信パケットの最頻出宛先ポート番号の情報などを参照して、遠隔操作によりランダムスキャンの遮断をおこなう。その際、通信遮断部240dは、上記情報から特定される通信パケット以外の通信パケットに対する遮断を、ワームに感染したと判定されたコンピュータがおこなわないように操作し、通信障害を最小限に抑制する。
図12は、ワームによりなされた通信を感染コンピュータ自体に遮断させる遮断処理を説明する説明図である。図12は、方法3によりランダムスキャンの遮断をおこなう場合を示している。図12に示すように、通信遮断部240dは、監視対象としているネットワークセグメントA10aからのランダムスキャンを、ワームに感染していると判定されたコンピュータ自体に遮断させ、ネットワークセグメントAを除くネットワーク21にワームにより送信された通信パケットが到達するのを防止する。ワームにより送信された通信パケット以外の通信パケットに対しては、通信遮断部240dは、ワームに感染したと判定されたコンピュータが遮断をおこなわないようにそのコンピュータを操作し、通信障害を回避する。なお、ここでは、方法1または2による遮断処理の後に方法3による遮断処理をおこなうこととしたが、方法3による遮断処理を単独でおこなうこととしてもよい。
ここで、特許請求の範囲または後述の付記における「通信情報取得手段」および「通信情報取得手順」・「通信情報取得工程」は、図2に示した通信情報取得部240aおよび通信情報取得部240aがおこなう手順・工程に対応し、「ワーム判定手段」および「ワーム判定手順」・「ワーム判定工程」は、ワーム判定部240bおよびワーム判定部240bがおこなう手順・工程に対応し、「設定情報変更手順」は、設定データ変更部240cがおこなう手順に対応し、「通信遮断手段」および「通信遮断手順」・「通信遮断工程」は、通信遮断部240dおよび通信遮断部240dがおこなう手順・工程に対応する。
また、特許請求の範囲または後述の付記における「情報の取得に係る設定情報」は、図3に示した「SYNパケットの計測単位時間」、「SYN ACKパケットの計測単位時間」、「UDPパケットの計測単位時間」、「ICMP(request)パケットの計測単位時間」、「ICMP(reply)パケットの計測単位時間」、「宛先IPアドレスの計測単位時間」、「送信元IPアドレスの計測単位時間」、「宛先ポート番号の参照」、「監視場所」、「監視するネットワークの方向」の各設定項目の情報に対応し、「通信がワームによりなされた通信か否かを規定する判定基準」は、「SYNパケット数の閾値」、「SYN ACKパケット数の閾値」、「UDPパケットの閾値」、「ICMP(request)パケットの閾値」、「ICMP(reply)パケットの閾値」、「宛先IPアドレス数の閾値」、「送信元IPアドレス数の閾値」に対応する。
また、特許請求の範囲または後述の付記における「コンピュータに係る情報」は、図6、図7または図9に示したワーム判定結果60、70または90における「スキャン元IPアドレス」、「感染台数」、「感染コンピュータ名」および「感染コンピュータIPアドレス」などに対応し、「通信状況に係る情報」は、図6〜図9に示したワーム判定結果60、70、80または90における「スキャン方法」、「最頻出宛先ポート番号」、警告メッセージ、「スキャン速度」などに対応し、「ログ」は、図2に示した通信ログデータ230bに対応する。
つぎに、本実施例に係るワーム判定装置20aのハードウェア構成について説明する。図13は、本実施例に係るワーム判定装置20aのハードウェア構成について説明するブロック図である。図13に示すように、このワーム判定装置20aは、キーボード130、ディスプレイ131、CPU132、RAM133、HDD134、ROM136、ネットワークI/F137をバス138で接続した構成となる。
ネットワークI/F137は、ネットワークセグメントA10aまたはネットワークセグメントAを除くネットワーク12とワーム判定装置20aとの間での、LAN21またはネットワーク11を介した通信処理をおこなう。
また、HDD134が格納および読み出し制御する記憶媒体であるハードディスク(HD)135には、本実施例で示されるワーム判定方法をコンピュータで実行することにより実現するワーム判定プログラム135aが記憶され、実行時にRAM133に読み込まれた後、CPU132によりプログラムが解析され、ワーム判定プロセスの実行がおこなわれる。
このワーム判定プロセスが、図2に示した制御部240内の通信情報取得部240a、ワーム判定部240b、設定データ変更部240cおよび通信遮断部240dの各部の機能に対応する。また、設定データ240a、通信ログデータ240bおよびワームデータ240cもHD135に記憶され、RAM133に読み込まれてCPU132により参照される。
なお、このワーム判定プログラム135aは、インターネットなどのネットワークを介して配布することができる。また、ワーム判定プログラム135aは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
つぎに、本実施例に係るワーム判定処理の処理手順について説明する。図14は、本実施例に係るワーム判定処理の処理手順を示すフローチャートである。図14に示すように、まず、ワーム判定装置20aの設定データ変更部240cは、設定データ230aの変更がある場合に、ユーザにより入力された設定を受け付ける(ステップS1401)。
続いて、通信情報取得部240aは、ネットワークセグメントA10a内のコンピュータとネットワークセグメントAを除くネットワーク12内のコンピュータとの間のネットワーク通信を監視し(ステップS1402)、設定データ230aに設定された計測単位時間に基づいてパケットを計測する計測時刻になったか否かを調べる(ステップS1403)。
パケットを計測する計測時刻にまだなっていない場合には(ステップS1403,No)、ステップS1402に移行してそれ以降の処理を継続する。パケットを計測する計測時刻になった場合には(ステップS1403,Yes)、通信情報取得部240aは、パケット情報を取得し、取得した情報を通信ログデータ230bに記憶する(ステップS1404)。
その後、ワーム判定部240bは、通信情報取得部240aにより取得され、通信ログデータ230bに記憶された情報を基にして、ワームによるパケット通信がなされたか否かの状況を判定する処理をおこなう(ステップS1405)。この状況判定処理については、のちに図15−1および図15−2で詳細に説明する。
そして、ワーム判定部240bが、監視対象としているパケット通信がワームによるものではないと判定した場合には(ステップS1406,No)、ステップS1402に移行してそれ以降の処理を継続する。パケット通信がワームによるものと判定した場合には(ステップS1406,Yes)、ワーム判定部240bは、ワームのスキャン方法やスキャン速度、スキャン特徴が類似しているワームの情報などを取得して、出力する処理をおこなう(ステップS1407)。
その後、通信遮断部240dは、図10〜図12で説明したような方法で、ワームによりなされたと判定されるパケット通信を遮断する処理をおこない(ステップS1408)、このワーム判定処理を終了する。
つぎに、図14に示した状況判定処理の処理手順について説明する。図15−1および図15−2は、図14に示した状況判定処理の処理手順を示すフローチャート(1)および(2)である。図15−1に示すように、まず、ワーム判定部240bは、通信情報取得部240aが取得したSYN ACKパケット数が設定データ230aに設定されたSYN ACKパケット数の閾値よりも大きく、かつ、送信元IPアドレス数が設定データ230aに設定された送信元IPアドレス数の閾値よりも大きいか否かを調べる(ステップS1501)。
そして、ワーム判定部240bは、SYN ACKパケット数がSYN ACKパケット数の閾値よりも大きく、かつ、送信元IPアドレス数が送信元IPアドレス数の閾値よりも大きい場合には(ステップS1501,Yes)、ネットワークセグメントA10a外からのワームスキャンがあると判定し(ステップS1502)、図15−2に示されるように、判定結果を通信ログデータ230bに記憶して(ステップS1511)、この状況判定処理を終了する。
ステップS1501において、SYN ACKパケット数がSYN ACKパケット数の閾値よりも大きいという条件、または、送信元IPアドレス数が送信元IPアドレス数の閾値よりも大きいという条件のいずれかが満足されない場合には(ステップS1501,No)、ワーム判定部240bは、通信情報取得部240aが取得したSYNパケット数が設定データ230aに設定されたSYNパケット数の閾値よりも大きく、かつ、宛先IPアドレス数が設定データ230aに設定された宛先IPアドレス数の閾値よりも大きいか否かを調べる(ステップS1503)。
そして、SYNパケット数がSYNパケット数の閾値よりも大きいという条件、または、宛先IPアドレス数が宛先IPアドレス数の閾値よりも大きいという条件のいずれかが満足されない場合には(ステップS1503,No)、ネットワークセグメントA10a外からのワームスキャンはないと判定し(ステップS1504)、図15−2に示されるように、判定結果を通信ログデータ230bに記憶して(ステップS1511)、この状況判定処理を終了する。
SYNパケット数がSYNパケット数の閾値よりも大きく、かつ、宛先IPアドレス数が宛先IPアドレス数の閾値よりも大きい場合には(ステップS1503,Yes)、ワーム判定部240bは、ネットワークセグメントA10a外からのワームスキャンがあると過去の所定の時間内に判定されたか否かを調べる(ステップS1505)。過去の所定の時間内とは、たとえば、5分前から現時点までの間などである。
ネットワークセグメントA10a外からのワームスキャンがあると過去の所定の時間内に判定された場合には(ステップS1505,Yes)、ワーム判定部240bは、図15−2に示されるように、ネットワークセグメントA10a内のコンピュータがネットワークセグメントA10a外からのパケット通信によりワームに感染したと判定する(ステップS1506)。
ネットワークセグメントA10a外からのワームスキャンがあると過去の所定の時間内に判定されなかった場合には(ステップS1505,No)、ワーム判定部240bは、図15−2に示されるように、ネットワークセグメントA10a内のコンピュータがネットワークセグメントA10a外からのパケット通信以外の原因でワームに感染したと判定する(ステップS1507)。ここで、ネットワークセグメントA10a外からのパケット通信以外の原因とは、ネットワークセグメントA10a内のコンピュータが、フレキシブルディスク(FD)やCD−ROMなどの記憶媒体からワームに感染した場合などである。
ステップS1506またはステップS1507の判定処理ののち、ワーム判定部240bは、今回検出した宛先IPアドレス数が、過去の所定の時間内に検出した宛先IPアドレス数の最大値を2倍した数以上であるか否かを調べる(ステップS1508)。そして、今回検出した宛先IPアドレス数が、過去の所定の時間内に検出した宛先IPアドレス数の最大値を2倍した数以上である場合には(ステップS1508,Yes)、ネットワークセグメントA10a内の複数のコンピュータがワームに感染したと判定し(ステップS1509)、設定データ変更部240cは、通信情報取得部240a、ワーム判定部240bまたは通信遮断部240dにより参照される設定データ230aの設定を、初期設定からSYNパケット異常検知後の設定に変更する処理をおこなう(ステップS1510)。
ステップS1508において、今回検出した宛先IPアドレス数が、過去の所定の時間内に検出した宛先IPアドレス数の最大値を2倍した数以上でない場合には(ステップS1510)、ステップS1510に移行して、設定データ変更部240cは、設定データ230aの設定を、初期設定からSYNパケット異常検知後の設定に変更する処理をおこなう。その後、ワーム判定部240bは、判定結果を通信ログデータ230bに記憶し、この状況判定処理を終了する。
上述してきたように、本実施例では、通信情報取得部240aが、設定データ230aに記憶された情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得し、ワーム判定部240bが、通信情報取得部240aにより取得された情報および通信がワームによりなされた通信か否かを規定する、設定データ230aに記憶された判定基準に係る情報に基づいて、通信がワームによりなされた通信か否かを判定することとしたので、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができる。
また、本実施例では、通信がワームによりなされた通信と判定された場合に、設定データ変更部240cが、設定データ230aに記憶された情報の取得に係る設定情報を変更し、通信情報取得部240aは、変更された情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得することとしたので、通信がワームによりなされた通信と判定された場合に情報の取得に係る設定情報を変更することにより、さらに詳細にワームの挙動を監視することができる。
また、本実施例では、設定データ変更部240cが、設定データ230aに記憶された情報の取得に係る設定情報に新たに設定する情報の追加、または、すでに情報の取得に係る設定情報に設定されている情報の削除をおこなうこととしたので、情報の取得に係る設定情報を適宜更新することにより、ワームの挙動を適切に監視することができる。
また、本実施例では、通信がワームによりなされた通信と判定された場合に、設定データ変更部240cが、設定データ230aに記憶された判定基準に係る情報を変更し、通信情報取得部240aにより取得された情報および変更された判定基準に係る情報に基づいて通信がワームによりなされた通信か否かを判定することとしたので、通信がワームによりなされた通信と判定された場合に判定基準に係る情報を変更することにより、さらに厳密に通信がワームによりなされた通信か否かを判定することができる。
また、本実施例では、設定データ変更部240cが、設定データ230aに記憶された判定基準に係る情報に新たに設定する情報の追加、または、すでに判定基準に係る情報に設定されている情報の削除をおこなうこととしたので、判定基準に係る情報を適宜更新することにより、通信がワームによりなされたものか否かを適切に判定できる。
また、本実施例では、ワーム判定部240bが、通信を監視する監視対象であるネットワークセグメントA10aからネットワークセグメントAを除くネットワーク12に送信される通信パケットのパケット量が増加し、かつ、通信パケットの宛先アドレス数が増加した場合に、ネットワークセグメントA10a内のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信がネットワークセグメントA10a内のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができる。
また、本実施例では、ワーム判定部240bが、通信を監視する監視対象であるネットワークセグメントA10a内のコンピュータからの通信がワームによりなされた通信であると以前に判定され、ネットワークセグメントA10aからネットワークセグメントA10aを除くネットワーク12に送信される通信パケットの宛先アドレス数が、通信がワームによりなされた通信であると判定する際に、通信情報取得部240aにより取得されたネットワークセグメントA10aからネットワークセグメントA10aを除くネットワーク12に送信される通信パケットの宛先アドレス数より増加した場合に、ネットワークセグメントA10a内のコンピュータからの通信が複数のコンピュータに感染したワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメントA10a内の複数のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができる。
また、本実施例では、ワーム判定部240bが、通信を監視する監視対象であるネットワークセグメントA10aに対してネットワークセグメントAを除くネットワーク12から送信された通信パケットに対する応答通信パケットのパケット量が増加し、かつ、通信パケットの送信元アドレス数が増加した場合に、ネットワークセグメントA10a外のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメントA10a外のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができる。
また、本実施例では、ワーム判定部240bが、通信をワームによりなされた通信と判定した場合に、通信をおこなったコンピュータに係る情報をさらに出力することとしたので、出力されたコンピュータに係る情報を基にしてワームに感染している可能性のあるコンピュータを特定することができる。
また、本実施例では、ワーム判定部240bが、通信をワームによりなされた通信と判定した場合に、通信の通信状況に係る情報をさらに出力することとしたので、出力された通信状況に係る情報を基にしてワームの活動状況を知ることができる。
また、本実施例では、ワーム判定部240bが、通信がワームによりなされた通信か否かを判定した結果を通信ログデータ230bとして記憶することとしたので、過去のワームによりなされた通信の状況をいつでも調べることができる。
また、本実施例では、ワーム判定部240bが、通信をワームによりなされた通信と判定した場合に、ワームによりなされる通信に係るワームデータ230cに記憶された特徴とワームによりなされたと判定した通信に係る特徴とを比較することによりワームの種類を推定することとしたので、推定されたワームの種類の情報を基にしてワームの攻撃に適切に対応することができる。
また、本実施例では、通信遮断部240dが、通信がワームによりなされた通信と判定された場合に、ワームによりなされる通信を遮断することとしたので、ワームの増殖を効果的に抑制することができる。
また、本実施例では、通信遮断部240dが、ワームにより起動されたプロセスを停止することによりワームによりなされる通信を遮断することとしたので、ワームがおこなう処理自体を停止させることにより、ワームの増殖を効果的に抑制することができる。
また、本実施例では、通信遮断部240dが、ワームによりなされる通信をワームが存在していると判定されるコンピュータのファイアウォール機能を有効にすることにより遮断することとしたので、ワームによりなされる通信をワームに感染しているコンピュータに遮断させることにより、ワームの増殖を効果的に抑制することができる。
さて、これまで本発明の実施の形態について説明したが、本発明は上述した実施の形態以外にも、上記特許請求の範囲に記載した技術的思想の範囲内において種々の異なる実施例にて実施されてもよいものである。
例えば、本実施例では、ここでは、ワーム判定装置20aをネットワークセグメントA10aにLAN21を介して接続することとしたが、本発明はこれに限定されるものではなく、ワーム判定装置20aをネットワークセグメントA10a内のコンピュータに直結することとしてもよい。また、ネットワークセグメントA10aがコンピュータを一台のみ含む場合に、ワーム判定プログラムをそのコンピュータに導入し、そのコンピュータがネットワークセグメントA10aに係る通信を監視してワーム判定処理をおこなうこととしてもよい。
また、SYNパケットとSYN ACKパケットとを監視する監視する通信パケットの種類として主に取り上げて説明したが、本発明はこれに限定されるものではなく、UDPパケットやICMPパケット、あるいはその他のプロトコルによるパケットにも本発明を同様に適用することができる。
また、本実施例では、図5〜図9に示したような判定方法に基づいて、通信がワームによりなされた通信か否かを判定することとしたが、本発明はこれに限定されるものではなく、通信パケットの通信量および通信パケットの通信アドレスに係る情報を用いた他のさまざまな判定方法を適用することとしてもよい。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、ワーム判定装置20a〜20dの分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、ワーム判定装置20a〜20dによりおこなわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(付記1)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラムであって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、
前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、
をコンピュータに実行させることを特徴とするワーム判定プログラム。
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、
前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、
をコンピュータに実行させることを特徴とするワーム判定プログラム。
(付記2)前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、前記情報の取得に係る設定情報を変更する設定情報変更手順をさらに含み、前記通信情報取得手順は、前記情報取得設定変更手順により変更された情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得することを特徴とする付記1に記載のワーム判定プログラム。
(付記3)前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、前記判定基準に係る情報を変更する判定基準情報変更手順をさらに含み、前記ワーム判定手順は、前記通信情報取得手順により取得された情報および前記判定基準情報変更手順により変更された判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定することを特徴とする付記1または2に記載のワーム判定プログラム。
(付記4)前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットのパケット量が増加し、かつ、該通信パケットの宛先アドレス数が増加した場合に、前記所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると判定することを特徴とする付記1、2または3に記載のワーム判定プログラム。
(付記5)前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると以前に判定され、該所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数が、前記通信がワームによりなされた通信であると判定する際に前記通信情報取得手段により取得された該所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数より増加した場合に、該所定のネットワークセグメント内のコンピュータからの通信が複数のコンピュータに感染したワームによりなされた通信であると判定することを特徴とする付記4に記載のワーム判定プログラム。
(付記6)前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメントに対して該所定のネットワークセグメント外部から送信された通信パケットに対する応答通信パケットのパケット量が増加し、かつ、該通信パケットの送信元アドレス数が増加した場合に、前記所定のネットワークセグメント外部のコンピュータからの通信がワームによりなされた通信であると判定することを特徴とする付記1〜5のいずれか1つに記載のワーム判定プログラム。
(付記7)前記ワーム判定手順は、前記通信をワームによりなされた通信と判定した場合に、該通信をおこなったコンピュータもしくは通信状況に係る情報をさらに出力することを特徴とする付記1〜6のいずれか1つに記載のワーム判定プログラム。
(付記8)前記ワーム判定手順は、前記通信をワームによりなされた通信と判定した場合に、ワームによりなされる通信に係るあらかじめ登録された特徴とワームによりなされたと判定した通信に係る特徴とを比較することにより前記ワームの種類を推定することを特徴とする付記1〜7のいずれか1つに記載のワーム判定プログラム。
(付記9)前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、該ワームによりなされる通信を遮断する通信遮断手順を含んだことを特徴とする付記1〜8のいずれか1つに記載のワーム判定プログラム。
(付記10)前記通信遮断手順は、ワームにより起動されたプロセスを停止することによりワームによりなされる通信を遮断することを特徴とする付記9に記載のワーム判定プログラム。
(付記11)前記通信遮断手順は、ワームによりなされる通信を該ワームが存在していると判定されるコンピュータのファイアウォール機能を有効にすることにより遮断することを特徴とする付記9に記載のワーム判定プログラム。
(付記12)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、
前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、
をコンピュータに実行させるワーム判定プログラムを記録したことを特徴とするコンピュータ読み取り可能な記録媒体。
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、
前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、
をコンピュータに実行させるワーム判定プログラムを記録したことを特徴とするコンピュータ読み取り可能な記録媒体。
(付記13)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定方法であって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得工程と、
前記通信情報取得工程により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定工程と、
を含んだことを特徴とするワーム判定方法。
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得工程と、
前記通信情報取得工程により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定工程と、
を含んだことを特徴とするワーム判定方法。
(付記14)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定装置であって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手段と、
前記通信情報取得手段により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手段と、
を備えたことを特徴とするワーム判定装置。
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手段と、
前記通信情報取得手段により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手段と、
を備えたことを特徴とするワーム判定装置。
以上のように、本発明に係る通信遮断装置、通信遮断プログラムおよび通信遮断方法は、ワームの増殖を抑制するワーム判定システムに有用である。
また、本発明に係るワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置は、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することが必要なワーム判定システムに有用である。
10a〜10d、16a〜16d ネットワークセグメント
11 ネットワーク
130 キーボード
131 ディスプレイ
132 CPU
133 RAM
134 HDD
135 HD
135a ワーム判定プログラム
136 ROM
137 ネットワークI/F
138 バス
17a〜17c、20a〜20d ワーム判定装置
200 インターフェース部
21 LAN
210 入力部
220 表示部
230 記憶部
230a 設定データ
230b 通信ログデータ
230c ワームデータ
240 制御部
240a 通信情報取得部
240b ワーム判定部
240c 設定データ変更部
240d 通信遮断部
60、70、80、90 ワーム判定結果
11 ネットワーク
130 キーボード
131 ディスプレイ
132 CPU
133 RAM
134 HDD
135 HD
135a ワーム判定プログラム
136 ROM
137 ネットワークI/F
138 バス
17a〜17c、20a〜20d ワーム判定装置
200 インターフェース部
21 LAN
210 入力部
220 表示部
230 記憶部
230a 設定データ
230b 通信ログデータ
230c ワームデータ
240 制御部
240a 通信情報取得部
240b ワーム判定部
240c 設定データ変更部
240d 通信遮断部
60、70、80、90 ワーム判定結果
Claims (8)
- 所定のネットワークセグメントと、該所定のネットワークセグメント外部との間でなされる通信を監視して、ワームによりなされた通信を遮断する通信遮断装置であって、
該通信がワームによりなされた通信か否かを判定するワーム判定手段と、
前記ワーム判定手段により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから遮断対象の通信パケットを特定するための参照情報を抽出する参照情報抽出手段と、
前記参照情報抽出手段で抽出された参照情報に基づいて、前記所定のネットワークセグメントと前記所定のネットワークセグメント外部との間を通過する通信パケットを遮断する通信遮断手段と、
を備えたことを特徴とする通信遮断装置。 - 前記参照情報抽出手段は、前記ワーム判定手段によりワームによりなされたと判定された通信に含まれる通信パケットにおける最頻出のポート番号を参照情報として抽出することを特徴とする請求項1に記載の通信遮断装置。
- 前記参照情報抽出手段は、更に前記ワーム判定手段によりワームによりなされたと判定された通信に含まれる通信パケットの数を通信種別毎に集計し、該通信パケットの数が設定された閾値を越える通信種別を参照情報として抽出することを特徴とする請求項1に記載の通信遮断装置。
- 前記参照情報抽出手段は、更に前記ワーム判定手段によりワームによりなされたと判定された通信に含まれる通信パケットのヘッダから感染コンピュータのアドレス情報を検出し、該アドレス情報を参照情報として抽出することを特徴とする請求項2に記載の通信遮断装置。
- 前記ワーム判定手段は、前記通信の通信パケット量に基づいてワームによりなされた通信か否かを判定することを特徴とする請求項1に記載の通信遮断装置。
- 前記ワーム判定手段は、前記通信の通信アドレスに係る情報に基づいてワームによりなされた通信か否かを判定することを特徴とする請求項1に記載の通信遮断装置。
- 所定のネットワークセグメントと、該所定のネットワークセグメント外部との間でなされる通信を監視して、ワームによりなされた通信を遮断する通信遮断プログラムであって、
該通信がワームによりなされた通信か否かを判定するワーム判定手順と、
前記ワーム判定手順により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから遮断対象の通信パケットを特定するための参照情報を抽出する参照情報抽出手順と、
前記参照情報抽出手順で抽出された参照情報に基づいて、前記所定のネットワークセグメントと前記所定のネットワークセグメント外部との間を通過する通信パケットを遮断する通信遮断手順と、
をコンピュータに実行させることを特徴とする通信遮断プログラム。 - 所定のネットワークセグメントと、該所定のネットワークセグメント外部との間でなされる通信を監視して、ワームによりなされた通信を遮断する通信遮断方法であって、
該通信がワームによりなされた通信か否かを判定するワーム判定工程と、
前記ワーム判定工程により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから遮断対象の通信パケットを特定するための参照情報を抽出する参照情報抽出工程と、
前記参照情報抽出工程で抽出された参照情報に基づいて、前記所定のネットワークセグメントと前記所定のネットワークセグメント外部との間を通過する通信パケットを遮断する通信遮断工程と、
を含んだことを特徴とする通信遮断方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006266088A JP2007082241A (ja) | 2006-09-28 | 2006-09-28 | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006266088A JP2007082241A (ja) | 2006-09-28 | 2006-09-28 | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003367272A Division JP4051020B2 (ja) | 2003-10-28 | 2003-10-28 | ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007082241A true JP2007082241A (ja) | 2007-03-29 |
Family
ID=37941941
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006266088A Pending JP2007082241A (ja) | 2006-09-28 | 2006-09-28 | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007082241A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011151514A (ja) * | 2010-01-20 | 2011-08-04 | Hitachi Ltd | トラフィック量監視システム |
-
2006
- 2006-09-28 JP JP2006266088A patent/JP2007082241A/ja active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011151514A (ja) * | 2010-01-20 | 2011-08-04 | Hitachi Ltd | トラフィック量監視システム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4051020B2 (ja) | ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 | |
US7752668B2 (en) | Network virus activity detecting system, method, and program, and storage medium storing said program | |
JP4429218B2 (ja) | ネットワーク遮断制御プログラム及びネットワーク遮断装置 | |
JP6291135B2 (ja) | コネクション制御装置、コネクション制御方法およびコネクション制御プログラム | |
JP4827972B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
JP4303741B2 (ja) | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
JP6435695B2 (ja) | コントローラ,及びその攻撃者検知方法 | |
JP5980968B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
US8539581B2 (en) | Efficient distribution of a malware countermeasure | |
JP2007251282A (ja) | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム | |
JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
US20080295153A1 (en) | System and method for detection and communication of computer infection status in a networked environment | |
JP7028559B2 (ja) | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
EP1754348B1 (en) | Using address ranges to detect malicious activity | |
JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
JP4161989B2 (ja) | ネットワーク監視システム | |
US10462158B2 (en) | URL selection method, URL selection system, URL selection device, and URL selection program | |
KR20130116418A (ko) | Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
JP4441517B2 (ja) | ワーム判定装置、ワーム判定プログラムおよびワーム判定方法 | |
US20130247132A1 (en) | System, method, and computer program product for selecting a wireless network based on security information | |
JP2007082241A (ja) | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081105 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081118 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090119 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090714 |