JP2007109247A - ワームの感染防止システム - Google Patents

ワームの感染防止システム Download PDF

Info

Publication number
JP2007109247A
JP2007109247A JP2006312376A JP2006312376A JP2007109247A JP 2007109247 A JP2007109247 A JP 2007109247A JP 2006312376 A JP2006312376 A JP 2006312376A JP 2006312376 A JP2006312376 A JP 2006312376A JP 2007109247 A JP2007109247 A JP 2007109247A
Authority
JP
Japan
Prior art keywords
terminal
information
worm
communication
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006312376A
Other languages
English (en)
Other versions
JP4655028B2 (ja
Inventor
Naoto Kuroda
直人 黒田
Atsufumi Sakurai
敦文 櫻井
Akifumi Tsuchiya
彰史 土屋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seiko Epson Corp
Original Assignee
Seiko Epson Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seiko Epson Corp filed Critical Seiko Epson Corp
Priority to JP2006312376A priority Critical patent/JP4655028B2/ja
Publication of JP2007109247A publication Critical patent/JP2007109247A/ja
Application granted granted Critical
Publication of JP4655028B2 publication Critical patent/JP4655028B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 ネットワークを監視し、ワームの感染源を特定するための情報を出力することで、ワームの検出を支援するシステムを提供することを目的とする。
【解決手段】IPノードスコープ25aは、所定時間おきにネットワーク上のユーザ端末30a,30bの端末情報を収集している。モニタシステム20aは、ユーザ端末30a,30b間の通信を監視している。モニタシステム20aはユーザ端末30a,30b間の通信においてワームを検出すると(図1の1.検出)、IPノードスコープ25aに端末情報の送信を要求する。IPノードスコープ25aは、モニタシステム20aに端末情報を送信する(図1の2.端末情報送信)。モニタシステム20aは、検出内容とIPノードスコープ25aから受信した端末情報とを、アラート情報として管理サーバ47に送信する。
【選択図】図1

Description

本発明は、複数の端末が接続するネットワークにおいて端末から端末に増殖する不正プログラムの検出に関する。
ワームとよばれる自己増殖を目的とした不正プログラムがある。ワームは、ネットワーク上のファイル共有や、ネットワークアプリケーションを利用して増殖する。ファイル共有を利用する場合は、以下のように増殖する。まず、ワームに感染した端末が、ネットワーク上の他の端末に、ファイル共有できるものがあるか否かを探す。ファイル共有できるものがあれば、共有フォルダにワームを書き込む。そして、再起動時にワームが動くようにワームを書き込んだ端末の設定変更を行なう。
ネットワークアプリケーションを利用する場合は、以下のように増殖する。まず、ワームに感染した端末が、WWWやSQLといった、ネットワークアプリケーションのサーバを探す。そして、そのサーバの脆弱性をつくアクセスをし、事実上リモートコントロールして、ネットワーク上の端末をワームに感染させる。
こういったワーム対策としては、特許出願2003−072371号記載の方法が考えられている。特許出願2003−072371号記載の方法では、ネットワーク上の端末に、共有ファイル型のおとりを設け、ワームにその共有ファイルを攻撃させ、ワームを検出する。
一方、コンピュータウィルスやジャンクメール等の様々な不正行為については、ウィルスチェックソフトを各端末にインストールしておくという対策が行なわれている。更に、特許文献1では、以下に示すような方法が提案されている。まず、ルータは、データ通信を行なう情報通信装置から受信したデータを、一旦、セキュリティサーバに転送する。サーバは、コンピュータウィルス等のチェックをした後、チェック後のデータをデータの宛先へ送信する。
特開2002−358253号公報
ワームの発信源となっている端末(以下、感染源とよぶ)は、ウィルスチェックソフト等をインストールしていないことが多く、感染を検出できない。そのため、ネットワークの管理者は、感染源を特定しないと、感染を食い止められないという問題があった。しかし、特許出願2003−072371号記載の方法では、ネットワークがワームに感染したことは検出可能であるが、次のような場合に感染源を特定することが難しい。
つまり、IPアドレスを動的に割り当てるDHCPサーバを備えたネットワークにおいては、ネットワークの管理者が、感染源のIPアドレスを特定できたとしても、DHCPサーバが、すでにそのIPアドレスを感染源以外の端末に割り当てている場合がある。よって、管理者は、IPアドレスが一致しているからといって、その端末を感染源と特定することはできない。
特許文献1の方法では、ウィルスチェックソフトをインストールしていない端末がネットワークに存在しても、ウィルスを検出することが可能である。しかし、ルータなどのネットワーク内のデータ伝送を中継するデータ中継装置を介したデータ通信を行なわなければ、データをセキュリティサーバに転送することができず、ウィルスのチェックができないという問題がある。更に、端末間のデータ伝送が頻繁になると、セキュリティサーバの負荷が増大するという問題もある。
本発明は、上記した問題点を解決するためになされたものであり、ネットワークを監視し、ワームの感染源を特定するための情報を取得し、抽出することで、ワームの検出を支援するシステムを提供することを目的とする。
上記課題の少なくとも一部を解決する本発明の検出支援システムは、
複数の端末が接続するネットワークにおいて前記端末から端末に増殖する不正プログラムであるワームの検出を支援する検出支援システムであって、
前記端末に動的に割り当てられる変動アドレスと、その端末に固有の情報である端末情報とを、所定のタイミングで繰り返し取得し、時系列で管理する端末情報管理部と、
前記端末が発信する通信データに関する情報であって、該通信データについて前記変動アドレスで表わされた送信元アドレスを含む情報である通信情報を取得する通信情報取得部と、
前記通信情報により、前記いずれかの端末が前記ワームの発信を行なっているか否かを判断する判断部と、
前記ワームの発信を行なっていると前記判断部が判断した場合は、前記変動アドレスが前記ワームの送信元アドレスに対応する端末情報を、前記端末情報管理部から抽出する端末情報抽出部と
を備えることを特徴とする。
複数の端末が接続されたネットワークシステムでは、先に説明したように、IPアドレスなど必ずしも端末に固有とは言えない変動アドレスが用いられることがあり、この変動アドレスだけでは端末自体を一義的に特定することができないという場合が少なからずある。本発明によれば、変動アドレスと端末情報を繰り返し取得し、それらを対応づけて管理しておくことで、変動アドレスで表わされたワームの送信元アドレスに基づいて、ワームの発信を行なった可能性のある端末の端末情報を抽出することができる。
つまり、ワームの送信元アドレスから、その送信元アドレスを割り当てられていた端末情報の履歴を得ることができる。このような端末情報の履歴は、感染源を特定するための情報として利用可能である。
変動アドレスは、時間帯が異なれば別の端末に割り当てられる可能性があり、送信元アドレスのみに依存すると、複数の端末が疑わしい端末として抽出される可能性がある。ワームの送信日時が分かれば、このような端末情報の中から、感染源として更に疑わしい端末の端末情報を特定することも可能である。例えば、通信情報に通信データの送信日時が含まれていれば、端末情報抽出部は、送信元アドレスと送信日時に基づいて、端末情報を抽出することにより、感染源として更に疑わしい端末の端末情報を抽出することができる。抽出の際は、送信日時と最も近い日時に取得した端末情報を抽出しても良い。
端末に固有の端末情報としては、企業などで端末に固有に割り当てられた識別情報、端末を使用するユーザのユーザ情報、端末に備えられたネットワーク・インターフェイス・カードのMACアドレスなどがある。端末の設置場所が固定されている場合には、設置場所を端末情報として用いても良い。このような端末情報により、端末を特定し、その端末を使用するユーザなどに連絡を行なうことが可能となる。抽出した端末情報は、感染源を特定可能な情報として、ネットワークを管理する管理サーバや、感染源を特定する機能を有する機器などに送信しても良い。
端末情報管理部で管理する情報は、感染源を特定した後にも利用することもできる。例えば、感染源の端末情報に基づいて、端末情報管理部から、その端末の変動アドレスの履歴を抽出することができる。変動アドレスの履歴は、感染源に対するワームの感染経路の特定や、感染源からの2次感染の可能性についての検討などに有効活用することができる。抽出した変動アドレスの履歴は、ネットワークを管理する管理サーバに送信しても良いし、感染源をネットワークから切断する機能を有する機器に送信しても良い。
端末情報管理部は、端末に固有の情報である端末情報と、端末の設置場所,ユーザ情報など、端末において変動する情報である変動情報を取得し、その変動情報を端末情報と対応づけて時系列で管理しても良い。端末を使用するユーザは、変動する場合もある。これにより、感染源の端末情報に基づいて、感染時に使用していた場所やユーザなどの有用な情報を得ることができる。
端末情報は定期的に取得しても良いし、取得から取得までの時間間隔を変更しつつ取得しても良い。
上記した検出支援システムの前記端末情報管理部は、
前記変動アドレスと前記端末情報の送信を前記端末に要求する送信要求部と、
前記要求に呼応して発信される前記変動アドレスと前記端末情報を受信する受信部と
を備えるものとしても良い。
これにより、変動アドレスと端末情報を、ネットワークを介して取得することが可能となる。送信要求部は、ネットワーク上の複数の端末に一斉に変動アドレスと端末情報の送信要求を行なっても良いし、1つ1つの端末に順番に送信要求を行なっても良い。
上記した検出支援システムにおける
前記通信情報は、前記通信データについて前記変動アドレスで表わされた宛先アドレスを含んでおり、
前記端末情報抽出部は、前記変動アドレスが前記ワームの宛先アドレスに対応する端末情報を、前記端末情報管理部から抽出するものとしても良い。
このようにすれば、変動アドレスで表わされたワームの宛先アドレスに基づいて、ワームを受信した可能性のある端末の端末情報を抽出することができる。つまり、ワームの宛先アドレスから、その宛先アドレスを割り当てられていた端末情報の履歴を得ることができる。このような端末情報の履歴は、ワームの感染に関する情報として利用可能である。
変動アドレスは、時間帯が異なれば、別の端末に割り当てられる可能性があり、宛先アドレスのみに依存すると、複数の端末が疑わしい端末として抽出される可能性がある。ワームの送信日時が分かれば、このような端末情報の中から、ワームを受信した端末として更に疑わしい端末の端末情報を特定することも可能である。
抽出した端末情報は、ワームを受信した端末を特定可能な情報として、ネットワークを管理する管理サーバに送信しても良い。ワームを受信した端末も、すでにワームに感染している可能性が高く、このような端末に対しても、ネットワークの管理者は、適宜対応する必要があるからである。
端末情報管理部で管理する情報は、ワームを受信した端末を特定した後にもワームを受信した端末に関する情報として利用することもできる。
端末情報は定期的に取得しても良いし、取得から取得までの時間間隔を変更しつつ取得しても良い。
上記課題の少なくとも一部を解決する本発明のモニタシステムは、
複数の端末が接続するネットワーク内で、前記端末から端末に増殖する不正プログラムであるワームを監視するためのモニタシステムであって、
前記端末が発信する通信データと、前記通信データの送信元アドレスと、前記通信データの宛先アドレスとを取得する通信取得部と、
前記ワームのパターンファイルを保有する保有部と、
前記パターンファイルに基づき、前記通信データに前記ワームが含まれているか否かを判別する即時判別部と、
少なくとも前記通信取得部が取得した前記送信元アドレスと前記宛先アドレスとを、送受信情報として、時系列で管理する通信履歴管理部と、
所定の端末が前記ワームの発信を行なっているか否かを、前記通信履歴管理部が管理する前記送受信情報に基づき、所定のタイミングで繰り返し、所定の基準をもって判別する履歴判別部と
を備えることを特徴とする。
ワームの監視方法には、通信データの内容の監視と通信の履歴の監視という2通りの方法がある。通信データの内容の監視では、ワームのパターンファイルを必要とするという欠点があるが、ワームの発見が早いという利点もある。一方、通信の履歴の監視では、ワームの発見が遅いという欠点があるが、ワームのパターンファイルがなくともワームの監視が可能であるという利点もある。本発明では、即時判別部により通信データの内容の監視を行ない、履歴判別部により通信の履歴の監視を行なうことにより、通信データの内容の監視と通信の履歴の監視を併用する。本発明では、併用することにより、これらの欠点を補い合い、ワームの監視を安定して行なうことが可能となっている。
履歴判別部は、定期的に判別を行なっても良いし、判別から判別までの時間間隔を変更しつつ判別を行なっても良い。即時判別部や履歴判別部の判別により、ワームが含まれていると判別された通信データの送信元アドレスを、ワームの感染源を特定可能な情報として、感染源を特定する機能を有する機器に出力しても良い。あるいはワームを含む通信データの送受信情報の少なくとも一部や、不正データの送受信情報の少なくとも一部も出力するものとしても良い。
上記したモニタシステムは、
前記履歴判別部は、前記判別に用いる送受信情報として、同一端末から発信された通信データに関する前記送受信情報を、前記送信元アドレスに基づき前記通信履歴管理部から抽出する履歴抽出部を備えるものとしても良い。
このようにすれば、1つの端末から発信された通信データに関する送受信情報により、その端末が不正データの発信を行なっているか否かの判別を行なうことが可能となる。
上記したモニタシステムの
前記履歴判別部は、同一の端末が、前記ネットワーク内に存在しない宛先アドレスに対して所定回数以上通信データを発信している場合に、前記ワームの発信を行なっていると判別するものとしても良いし、
前記履歴判別部は、同一の端末が、前記宛先アドレスを所定の規則に基づいて変更しつつ、所定回数以上、前記通信データを発信している場合に、前記ワームの発信を行なっていると判別するものとしても良いし、
前記通信履歴管理部は、併せて前記通信データの送受信に使用されるプロトコル及び前記通信データの宛先ポート番号の少なくとも1つを管理しており、
前記履歴判別部は、所定の端末が、所定のプロトコルまたは所定の宛先ポート番号で、前記通信データを発信している場合に、前記ワームの発信を行なっていると判別するものとしても良い。
これにより、このようなワームに感染していると推測される動作をする端末を、不正データの発信を行なっているものと判別することができる。
上記した所定の規則とは、通信データの宛先アドレスを一定の間隔おきにするという規則であっても良い。
本発明は、上述の検出支援システムやモニタシステムとしての構成の他、検出支援方法や、モニタ方法の発明として構成することもできる。また、これらを実現するコンピュータプログラム、およびそのプログラムを記録した記録媒体、そのプログラムを含み搬送波内に具現化されたデータ信号など種々の態様で実現することが可能である。なお、それぞれの態様において、先に示した種々の付加的要素を適用することが可能である。
本発明をコンピュータプログラムまたはそのプログラムを記録した記録媒体等として構成する場合には、検出支援システムやモニタシステムの動作を制御するプログラム全体として構成するものとしてもよいし、本発明の機能を果たす部分のみを構成するものとしてもよい。また、記録媒体としては、フレキシブルディスクやCD−ROM、DVD−ROM、光磁気ディスク、ICカード、ROMカートリッジ、パンチカード、バーコードなどの符号が印刷された印刷物、コンピュータの内部記憶装置(RAMやROMなどのメモリ)および外部記憶装置などコンピュータが読み取り可能な種々の媒体を利用できる。
以下、本発明の実施の形態について、以下の項目に分けて説明する。
A.実施例:
A1.全体構成:
A2.機能ブロック:
A3.データベース:
A4.処理:
A5.効果:
B.変形例:
A.実施例:
A1.全体構成:
図1は、実施例としての検出支援システムの概要を示す説明図である。検出支援システムは、モニタシステム20aとIPノードスコープ25aと管理サーバ47で構成され、それらはネットワークで接続されている。
IPノードスコープ25aは、検出支援システムを適用したLAN内の端末の情報を定期的に収集する。端末情報としては、端末のIPアドレス、設置場所、ユーザ情報、端末に備えられたネットワーク・インターフェイス・カードのMACアドレスなどがある。つまり、IPノードスコープ25aは、LANの構成を監視する。モニタシステム20aは、LAN内の端末間の通信を監視し、通信においてワームを検出すると、管理サーバ47に報告する。管理サーバ47は、LANの管理者がLANの管理のために使用するサーバであり、モニタシステム20aからの報告を受信して表示する。管理者は、この表示をみて対応する。
IPノードスコープ25aは、図1の例では、所定時間おきにネットワーク上のユーザ端末30a,30bの端末情報を収集している。モニタシステム20aは、図1の例では、ユーザ端末30a,30b間の通信を監視しているおり、その監視によりユーザ端末30a,30b間の通信においてワームを検出すると(図1の「1.検出」)、モニタシステム20aは、IPノードスコープ25aに、端末情報の送信を要求する。
端末情報の送信要求を受けたIPノードスコープ25aは、モニタシステム20aに、端末情報を送信する(図1の「2.端末情報送信」)。モニタシステム20aは、検出内容と、IPノードスコープ25aから受信した端末情報とを、アラート情報として管理サーバ47に送信する(図1の「3.報告」)。
アラート情報は、モニタシステム20aの「ID/名前」、モニタシステム20aがワームを検出した「日時」、ワームの送信元であるユーザ端末30aやワームの送信先であるユーザ端末30bに関する情報が含まれている。送信元や送信先に関する情報としては、「設置場所」、「IPアドレス」、「プロトコル」、「ポート番号」、「ユーザ情報」、「MACアドレス」、「端末情報収集履歴」がある。
送信元や送信先に関する情報のうち、「プロトコル」,「ポート番号」は、ワームを含んだ通信情報に関する情報であり、「送信先」に関しては送信データの送信プロトコル、送信ポート、「送信元」に関しては受信データの受信プロトコル、受信ポートをさす。ここで通信情報とは、実際にユーザが送信したいデータ(例えば、メールの本文など)である通信データと、その通信データの「送信先」や「送信元」の情報を併せた情報をいう。
図2は、検出支援システムの適用例としてのLANの一部を示す説明図である。ルータ45aを介してサブネットワークsb1とサブネットワークsb2が存在している。ルータ45aには、ルータ45bも接続されており、ルータ45bには、更に複数の端末やネットワーク機器が接続される。サブネットワークsb1,sb2内には、それぞれDHCPサーバ31a,31cが備えられており、サブネットワーク内の端末に、動的にIPアドレスを割り当てている。また、LAN内にはDNSサーバ32やメールサーバ33も設置されている。
サブネットワークsb1,sb2内には、IPノードスコープ25b,25cがそれぞれ存在し、自身が属するサブネットワーク内のユーザ端末30a1,30a2,30b1,30c(以下、単にユーザ端末30とよぶ)や各種サーバの端末情報を収集している。
モニタシステム20b〜20eは、同一サブネットワーク内に1以上設置する。モニタシステム20eでは、リピータハブ35aを介した通信の内容を監視可能である。例えば、ユーザ端末30a1からユーザ端末30a2に送信される通信情報や、ユーザ端末30a2からスイッチングハブ40aに送信される通信情報が監視可能である。モニタシステム20bはスイッチングハブ40aのモニタポートに接続されており、スイッチングハブ40aを介した通信の内容を監視可能である。モニタポートとは、スイッチングハブに備えられた、スイッチングハブを介する通信の監視用のポートである。例えば、ユーザ端末30a1からユーザ端末30b1に送信される通信情報や、ユーザ端末30a2からルータ45aに送信される通信情報が監視可能である。
モニタシステム20cはスイッチングハブ40cのモニタポートp2に接続されており、スイッチングハブ40cを介した通信の内容を監視可能である。例えば、ユーザ端末30c1からIPノードスコープ25cに送信される通信情報や、ユーザ端末30c1からルータ45aに送信される通信情報が監視可能である。
モニタシステム20dはルータ45aに接続されており、ルータ45aを介した通信を監視可能であるよう設定されている。例えば、ユーザ端末30c1からユーザ端末30b1に送信される通信情報や、ユーザ端末30a1からルータ45bに送信される通信情報が監視可能である。
管理サーバ47はLAN内に設置されており、モニタシステムからの報告を受信する。
A2.機能ブロック:
図3は、IPノードスコープ25a〜25c(以下、単にIPノードスコープ25とよぶ)の機能ブロックを示す説明図である。IPノードスコープ25は、パーソナルコンピュータに、以下の機能を実現するソフトウェアをインストールすることにより構成する。なお、以下の機能を実現するハードウェアを用いても良いし、IPノードスコープ25として専用の機器を用意しても良い。
送受信部51は、他端末とのデータの送受信を管理する。端末情報収集部52は、サブネットワーク内に接続されている端末に対して、ブロードキャストにより端末情報を要求し、受信した端末情報を端末情報データベース(DB)55に保存する。端末情報抽出部54は、モニタシステム20b〜20e(以下、単にモニタシステム20とよぶ)の要求に従って、端末情報DB55から端末情報を抽出し、モニタシステム20に送信する。ネットワーク構成DB79は、LAN内のIPノードスコープ25やモニタシステム20に関する情報を保存しているDBである。端末情報DB55,ネットワーク構成DB79に関して詳しくは後述する。制御部53は、各機能の動作を制御する。
図4は、モニタシステム20の機能ブロックを示す説明図である。モニタシステム20は、パーソナルコンピュータに、以下の機能を実現するソフトウェアをインストールすることにより構成する。なお、以下の機能を実現するハードウェアを用いても良いし、モニタシステム20として専用の機器を用意しても良い。
送受信部62は、他端末とのデータの送受信を管理する。通信内容判別部65は、通信情報を受信した際に、通信情報に含まれる通信データにワームが含まれているか否かを判別する。具体的には、パターンファイルDB75に保存されているワームのパターンが、通信データに含まれているか否かにより判別する。そして、ワームを送信した端末を感染源端末として感染源端末DB78に保存する。なお、即時判別フラグというフラグが、LANの管理者によりOFFにされている場合は、通信情報をログDB77に保存する。
モニタシステム20は、LAN内の端末からワームが存在するというアラートを受信する場合がある。即時判別フラグがOFFの場合、バッチ処理部61は、アラートを受信した際に、ログDB77に保存された通信情報中の通信データにワームが含まれているか否かを判別する。具体的には、パターンファイルDB75に保存されているワームのパターンが、通信データに含まれているか否かにより判別する。そして、ワームを送信した端末を感染源端末として感染源端末DB78に保存する。
履歴判別部59は、通信情報の送信元アドレスと宛先アドレスに関する情報を保存したクロスマップDB74の履歴情報により、ワームに感染していると推測される動作をしている端末(以下、疑感染端末とよぶ)を判別する。そして、疑感染端末を感染源端末として感染源端末DB78に保存する。
感染源特定部60は、IPノードスコープ25への問い合わせにより、感染源端末DB78に保存されている端末が、現在LAN内のどこに存在するのかを特定する。そして、その感染源の端末をLANから切断可能なモニタシステム20を、ネットワーク構成DB79から特定する。更に、その特定したモニタシステム20に感染源の端末をLANから切断するよう切断要求を送信する。また、感染源特定部60は、管理サーバ47に対するアラート情報の報告処理も行なう。
通信切断部64は、切断要求を受けた際に、感染源の端末、あるいは感染源の端末が属するサブネットワーク自体をLANから切断する。
ネットワーク機器管理部63は、あらかじめ指定されたネットワーク機器の管理を行なう。例えば、図2のモニタシステム20bであれば、スイッチングハブ40aの管理を行ない、モニタシステム20dであれば、ルータ45aの管理を行なう。管理は、定期的にプロトコルSNMPやRMONで、ネットワーク機器のMIB値を収集することにより行なう。収集したMIB値は、ネットワーク機器DB76に保存する。制御部58は、各機能の動作を制御する。
A3.データベース:
図5は、端末情報DB55を示す説明図である。端末情報は、端末に備えられたネットワークカードの「MACアドレス」、端末の「IPアドレス」、「ユーザ情報」、「設置場所」からなる。「ユーザ情報」、「設置場所」は、あらかじめ各端末に登録されている。端末情報DB55には、その端末情報に、端末情報を端末から受信した「日時」をつけて保存する。
端末情報の収集は、IPノードスコープ25により4時間おきに行なわれる。LAN内にはDHCPサーバが存在し、端末のIPアドレスを動的に割り当てているので、同一の端末に関する端末情報でも、再起動された場合には、4時間後にはIPアドレスが変更されている場合がある。図5の端末情報においても、例えば「MACアドレス」が「01:23:34:56:78:93」の端末の「IPアドレス」は、「日時」が「2002.1.22.11:11:12」の時点では「192.168.10.1」であるが、「日時」が「2002.1.22.15:11:12」の時点には「192.168.10.5」となる。
図6は、ネットワーク構成DB79を示す説明図である。IPノードスコープ25とモニタシステム20では、IPアドレスが静的に設定されている。ネットワーク構成DB79には、そのIPアドレスが登録されている。例えば、「sb1」の「IPノードスコープ」の欄には、IPノードスコープ25bの「IPアドレス」が、「sb2」の「IPノードスコープ」の欄には、IPノードスコープ25cの「IPアドレス」が、登録されている。
モニタシステム20に関しては、「名前/ID」,「切断フラグ」,「IPアドレス」を登録する。「名前/ID」は、モニタシステム20の名前である。「切断フラグ」は、感染源の端末をネットワーク機器から切断可能であるか否かを示すフラグである。「切断フラグ」が「1」であれば、感染源の端末をネットワーク機器から切断可能であり、「0」であれば切断不可能であることを示す。つまりモニタシステム20bからは、図2におけるポートp1やポートp3が切断可能であるが、モニタシステム20eからは切断不可能であるとする。「IPアドレス」は、モニタシステム20のIPアドレスである。
「サブネットマスク」には、サブネットワークsb1,sb2(以下、単にサブネットワークsbとよぶ)のサブネットマスクを登録する。「ネットワーク番号」には、サブネットワークsbのネットワーク番号を登録する。「切断サブネットワーク」は、ルータ45a,45b(以下、単にルータ45とよぶ)に接続されたモニタシステムに関する情報であり、そのモニタシステムで切断可能なサブネットワークを示している。例えば、モニタシステム20dからは、ルータ45aを操作することにより、サブネットワークsb1,sb2が切断可能である。サブネットワークsb内に、スイッチングハブ40a,40cを操作することにより感染源の端末を切断可能なモニタシステムが存在しない場合は、モニタシステム20dのような、ルータに直接接続されたモニタシステムにより、サブネットワークsbごと切断する。「MACアドレス」には、ルータ45のMACアドレスを登録する。
図7は、クロスマップDB74を示す説明図である。クロスマップDB74は、送信元と送信先に関する情報を保存するDBである。モニタシステム20が通信情報を受信した「日時」、通信情報のヘッダから読み取り可能な、送信元や送信先の「MACアドレス」,「IPアドレス」,通信データの「ポート番号」,「プロトコル」がモニタシステム20により保存される。
図7(a)にはモニタシステム20eのクロスマップDB74を、図7(b)にはモニタシステム20bのクロスマップDB74を、図7(c)にはモニタシステム20dのクロスマップDB74を示してある。
モニタシステム20eは、リピータハブ35aを介して送信される通信情報を受信可能である。例えば、モニタシステム20eがユーザ端末30a1からユーザ端末30a2に送信される通信情報を受信した場合は、図7(a)のように「送信元」には、ユーザ端末30a1の情報を、「送信先」には、ユーザ端末30a2の情報を保存する。
モニタシステム20bは、スイッチングハブ40aを介して送信される通信情報、例えばユーザ端末30a1からユーザ端末30b1に送信される通信情報を受信可能である。そのような通信情報を受信した場合は、図7(b)の1行目のように「送信元」には、ユーザ端末30a1の情報を、「送信先」には、ユーザ端末30b1の情報を保存する。
モニタシステム20bでは、サブネットワークsb1からサブネットワークsb2へ送信される通信情報や、サブネットワークsb1からルータ45bへ送信される通信情報も受信可能である。例えば、モニタシステム20bが、ユーザ端末30b1からメールサーバ33へ送信される通信情報を受信した場合は、図7(b)の2行目に示すような情報を保存する。
モニタシステム20bがユーザ端末30b1からメールサーバ33へ送信される通信情報を受信した時点では、「送信先」の「MACアドレス」は、ルータ45aのMACアドレスとなっている。この通信情報を受信すると、ルータ45aは、通信情報の「送信先」のMACアドレスをメールサーバ33のMACアドレスに、「送信元」のMACアドレスをルータ45aのMACアドレスに書き換えて、スイッチングハブ40cに向けて送信する。それにより、通信情報はメールサーバ33に送信される。
モニタシステム20dは、ルータ45aを介して送信される通信情報を受信可能である。ルータ45aは、上記したように、「送信元」と「送信先」の「MACアドレス」を書き換えるが、モニタシステム20dは、MACアドレス書き換え前の通信情報と書き換え後の通信情報を共に受信する。そして、書き換え前の通信情報から「送信元」の情報を読み取り保存する。一方、書き換え後の通信情報から「送信先」の情報を読み取り、保存する。
モニタシステム20dがメールサーバ33からユーザ端末30a2へ送信される通信情報を受信した場合は、図7(c)1行目のデータが保存され、ユーザ端末30b1からメールサーバ33へ送信される通信情報を受信した場合は、図7(c)2行目のデータが保存される。なお、「日時」としては、MACアドレス書き換え前の通信情報を受信した日時を保存する。
A4.処理:
図8は、端末情報保存処理を示すフローチャートである。IPノードスコープ25の端末情報収集部52で行なわれる処理である。前回の端末情報保存処理から所定時間経過している場合(ステップS1)、IPノードスコープ25は、自身が属するサブネットワークsb内の端末に対して、ブロードキャストにより端末情報の送信要求を行なう(ステップS2)。そして、端末情報送信要求に応じて各端末から送信される端末情報を受信し(ステップS3)、端末情報DB55に保存する。ここでの所定時間は、4時間とする。
図9は、モニタシステム20で行なわれる処理を示すフローチャートである。モニタシステム20は、通信情報を受信すると(ステップS12)、即時判別フラグがONの場合(ステップS13)、通信情報のヘッダから「送信元」と「送信先」の情報を読み取って、クロスマップDB74に保存する(ステップS14)。
そして、即時判別フラグがONの場合は、通信情報の受信時に内容判別を行なうことを意味するため、内容判別処理を行なう(ステップS15)。図10は、内容判別処理を示すフローチャートである。内容判別処理では、通信データにワームが含まれているか否かを判別する(ステップS24)。具体的には、パターンファイルDB75に保存されているワームのパターンファイルの内容が、通信データに含まれているか否かを判別する。
ワームが存在する場合(ステップS26)、送信元の「MACアドレス」と「IPアドレス」を感染源端末DB78に保存する。なお、送信元の「MACアドレス」は、ルータ45などのMACアドレスである場合もある。
再び図9に戻り説明する。即時判別フラグがOFFの場合は、LAN内の端末からワームが存在するというアラートを受信した時に内容判別を行なうということだから、それまでは通信情報をログDB77に保存しておく(ステップS77)。ログDB77に保存される情報は、クロスマップDB74に保存される情報と、通信データを併せた情報である。
通信情報を受信していない場合は以下の処理を行なう(ステップS12)。他のモニタシステム20から感染源の端末の切断要求を受信した場合(ステップS17)、切断処理を行なう(ステップS19)。切断処理に関しては後述する。
感染源の端末の切断要求を受信していない場合は以下の処理を行なう(ステップS17)。前回の履歴判別処理を行なってから所定時間経過した場合(ステップS20)、履歴判別処理を行なう(ステップS21)。
図11は、履歴判別処理を示すフローチャートである。履歴判別処理では、クロスマップDB74に保存された情報により、疑感染端末を以下のように判別する。
クロスマップDB74のレコードのうち履歴判別対象となっているレコードから、「送信元」のMACアドレスが同一のレコード(以下、クロスマップレコーズとよぶ)を抽出する(ステップS42)。
そして、クロスマップレコーズの「送信元」のMACアドレスで、ネットワーク構成DB79の「MACアドレス」フィールドを検索する(ステップS43)。一致するレコードが存在しない場合は、クロスマップレコーズの「送信元」のMACアドレスはルータ45のMACアドレスではない、つまり、端末のMACアドレスであるということがわかる。その場合は、クロスマップレコーズは単一の端末から発信された通信データの情報である。
クロスマップレコーズの「送信元」のMACアドレスがルータ45のMACアドレスではない場合(ステップS44)、つまり、クロスマップレコーズが単一の端末から発信された通信データの情報である場合、そのまま履歴処理を行なう(ステップS45)。
図12は、履歴処理を示すフローチャートである。ここでは、疑感染端末を、3つの基準により特定する。1つめの基準は、「送信元」の端末が、LANに存在しないサブネットワークに所定回数以上アクセスしているか否かである(ステップS80)。そして、所定回数以上アクセスしている場合は、「送信元」の「IPアドレス」と「MACアドレス」を、感染源端末DB78に保存する(ステップS86)。
図13は、1つめの基準により疑感染端末であると判別される「送信元」端末のクロスマップレコーズを示す説明図である。ステップS80では、クロスマップレコーズの「送信先」の「IPアドレス」が、ネットワーク構成DB79におけるサブネットワークsbのいずれにも属さないものである場合に、「送信元」端末はLANに存在しないサブネットワークにアクセスしていると判断する。なお、ネットワーク構成DB79のサブネットワークsbは、ネットワーク構成DB79の「サブネットマスク」と「ネットワーク番号」から特定可能である。
このように判断して、LANに存在しないサブネットワークにアクセスしている回数を数え上げる。そして、得られた回数が、所定回数以上である場合は、疑感染端末として感染源端末DB78に保存する。所定回数は、閾値DB73に登録されており、これを参照して処理を行なう。
図12における2つめの基準は、「送信元」の端末が、シーケンシャルに「送信先」のIPアドレスを所定回数以上変更して送信を行なっているか否かである(ステップS82)。シーケンシャルに「送信先」のIPアドレスを変更している場合は、「送信元」の「IPアドレス」と「MACアドレス」を、感染源端末DB78に保存する(ステップS86)。
図14は、2つめの基準により疑感染端末であると判別される「送信元」端末のクロスマップレコーズを示す説明図である。ステップS82では、クロスマップレコーズの「送信先」の「IPアドレス」を検索し、「IPアドレス」が、規則的に変えられている回数を数え上げる。
図14の例では、2行目以降のIPアドレスのホストアドレス部の値が、順に1つずつ変わっており、規則的に換えられていることが分かる。そして、得られた回数が所定回数以上である場合は、疑感染端末として感染源端末DB78に保存する。所定回数は閾値DB73に登録されており、これを参照して処理を行なう。
図12における3つめの基準は、「送信元」の端末が、特定のポート番号にアクセスしているか否かである(ステップS84)。特定のポート番号にアクセスしている場合は、「送信元」の「IPアドレス」と「MACアドレス」を、感染源端末DB78に保存する(ステップS86)。特定のポート番号とは、セキュリティホール等に対応するポート番号であり、閾値DB73に登録されている。
図15は、3つめの基準により疑感染端末であると判別される「送信元」端末のクロスマップレコーズを示す説明図である。ステップS84では、実際には、クロスマップレコーズの「送信先」の「ポート番号」を検索し、特定のポート番号にアクセスしているか否かを判別する。図15の例では、「ポート番号」が「1025」のポートにアクセスしている。この「ポート番号」は閾値DB73に登録されているので、特定のポート番号にアクセスしているものとして、疑感染端末として感染源端末DB78に保存する。
再び図11に戻り説明する。クロスマップレコーズの「送信元」のMACアドレスがルータ45のMACアドレスである場合(ステップS44)、クロスマップレコード1つ1つについて、該当MACアドレス推定処理を行なう(ステップ
S46)。
MACアドレスがルータ45により書き換えられている場合、MACアドレスで送信元端末を特定することはできない。IPアドレスは、DHCPサーバ31a,31cにより動的に割り当てられているので、IPアドレスを送信元端末の特定に用いることもできない。そこで、定期的に「MACアドレス」や「IPアドレス」などの端末情報を収集しているIPノードスコープ25の情報を利用して、「送信元」端末のMACアドレスを推定する。更に、推定したMACアドレスを、送信元端末の特定に用いる。
図16は、該当MACアドレス推定処理を示すフローチャートである。左側はモニタシステム20のフローチャートであり、右側はIPノードスコープ25のフローチャートである。該当MACアドレス推定処理では、モニタシステム20が、「送信元」の「IPアドレス」から、通信情報を発信した送信元端末が属するサブネットワークsbを特定し、そのサブネットワークsbのIPノードスコープ25を特定する(ステップS90)。
そして、ステップS90で特定したIPノードスコープ25へ、前回の履歴判別をした日時以降の端末情報を要求する(ステップS92)。IPノードスコープ25では、端末情報の送信要求を受信すると(ステップS97)、端末情報DB55から、該当する分の端末情報を抽出し(ステップS98)、要求をしたモニタシステム20へ送信する(ステップS99)。
モニタシステム20では、端末情報を受信して(ステップS93)、「送信元」の「IPアドレス」と「日時」で、送信元端末の「MACアドレス」を推定する(ステップS94)。「MACアドレス」を推定する方法は以下の通りである。
端末情報には、「日時」,「MACアドレス」,「IPアドレス」が含まれている。一方、クロスマップレコーズのレコードには、「送信元」の「IPアドレス」と「日時」が含まれている。端末情報の中から、「送信元」の「IPアドレス」と一致する「IPアドレス」をもつレコードを抽出し、更にその中から「送信元」の「日時」と最も近い「日時」のレコードを選び出す。そして、そのレコードの「MACアドレス」を送信元端末の「MACアドレス」と推定する。
以上のステップS90〜ステップS94までの処理を、すべてのクロスマップレコーズのレコードについて行なう(ステップS95)。
再度図11に戻り説明する。該当MACアドレス推定処理(ステップS46)が終わったら、「送信元」の「MACアドレス」が同一のレコードを抽出する(ステップS47)。抽出したレコードは、「MACアドレス」が同一なので、単一の端末から発信された通信データの情報である。そして、上述した履歴処理を行なう(ステップS48)。なお、ここでの履歴処理では、感染源端末DB78には、MACアドレスのみ保存する。IPアドレスは、履歴では同一端末において変更されている場合があり、必ずしも1つに限定されないからである。
ステップS47、S48の処理は、すべてのクロスマップレコーズのレコードについて終了するまで行なう(ステップS49)。そして、ステップS41〜ステップS49までの処理は、クロスマップDB74において履歴判別対象となっている全てのレコードについて終了するまで行なう(ステップS50)。
履歴判別は、クロスマップDB74の全てのレコードを対象として行なっても良いし、既に履歴判別を行なったレコード以外のレコードを対象として行なっても良い。なお、クロスマップDB74の全てのレコードを対象として履歴判別を行なう場合であっても、既に履歴判別の対象となったことのあるレコードの該当MACアドレス推定処理は終了している。よって、それらのレコードでは該当MACアドレス推定処理を行なう必要はない。
また、ステップS92での端末情報の要求は繰り返し行なわれているが、すでにそのIPノードスコープ25から端末情報を受信している場合は、要求を行なう必要はない。すでに得ている端末情報を利用しても良い。
再度、図9に戻り説明する。内容判別処理(ステップS15)、あるいは履歴判別処理(ステップS21)により、感染源の端末が通信情報を送信した際のIPアドレスとMACアドレスが、感染源端末DB78に登録される。その感染源端末DB78に登録された情報を基に、次に感染源特定と報告処理が行なわれる(ステップS16)。感染源特定処理とは、現在感染源端末が何処に存在するのかを特定するための処理である。感染源端末は、LAN内で移動して接続される場合もあるので、必要な処理となる。
図17は、感染源特定処理と報告処理を示すフローチャートである。まず、感染源特定処理では、感染源端末DB78からレコードを読み出し(ステップS100)、レコードが存在する場合(ステップS101)、感染源端末が属するサブネットワークsbをIPノードスコープ25に問い合わせる(ステップS102)。
つまり、ネットワーク構成DB79から、すべてのIPノードスコープ25を読み出し、それらのIPノードスコープ25に対して、自身が端末情報を収集しているサブネットワークsb内に、感染源端末のMACアドレスを持つ端末が存在するか否かを問い合わせる。
問い合わせを受けたIPノードスコープ25は、最新の端末情報を検索し、該当するMACアドレスが存在するか否かを検索する。存在した場合は、自身が端末情報を収集しているサブネットワークsbの名前を、問い合わせをしたモニタシステム20に送信する。存在しなかった場合は何もしない。
モニタシステム20は、サブネットワークsbの名前を受信する。そして、モニタシステム20は、そのサブネットワークsbに属するモニタシステム20のうち、感染源端末を切断可能なモニタシステム20に、感染源端末の切断要求を送信する(ステップS103)。切断要求には、感染源端末のMACアドレス(IPアドレスが感染源端末DB78に登録されている場合はIPアドレスも)を付ける。
あるいは、モニタシステム20は、サブネットワークsb自体を切断可能なモニタシステム20に、切断するサブネットワークsbの名前を送信する(ステップS103)。
感染源端末を切断可能なモニタシステム20とは、ネットワーク構成DB79の「切断フラグ」が「1」となっているモニタシステム20である。サブネットワークsb内に、感染源端末を切断可能なモニタシステム20が存在しない場合は、サブネットワークsb自体を切断可能なモニタシステム20に切断要求を送信する。
例えば、図6のネットワーク構成DB79において、もし、サブネットワークsb2の中に、「切断フラグ」が「1」となっているモニタシステム20が存在しない場合は、「切断サブネットワーク」フィールドを検索し、サブネットワークsb2を切断可能なモニタシステム20を特定する。図6では、モニタシステム20dが、サブネットワークsbを切断可能であることが分かる。
モニタシステム20は、切断要求の後、報告処理を行なう。報告処理では、モニタシステム20は、LAN内のIPノードスコープ25に対して、端末情報の送信要求を行なう(ステップS106)。送信要求は、感染源の端末のMACアドレスと共に行なう。
IPノードスコープ25は、端末情報の送信要求を受信すると(ステップS109)、端末情報DB55から、感染源の端末のMACアドレスと一致するMACアドレスを持つレコードを抽出し(ステップS110)、要求をしたモニタシステム20に送信する(ステップS111)。レコードがない場合も、ない旨を送信する。
端末情報を、各IPノードスコープ25すべてから受信したモニタシステム20は(ステップS107)、管理サーバにアラート情報を出力する(ステップS108)。アラート情報は、図1で示した内容の情報である。ステップS106,S107で取得した感染源の端末の1以上の端末情報は、端末情報収集履歴として送信する。なお、図1における「設置場所」や「ユーザ情報」は、端末情報の中に含まれているので、端末情報収集履歴として送信しても良い。
履歴判別処理により感染源の端末を特定した場合、アラート情報の「送信元」「送信先」の情報はクロスマップレコーズの複数個の情報となる。
内容判別処理により感染源の端末を特定した場合は、送信先の端末情報も端末情報収集履歴として送信する。「送信先」の端末情報は、以下のように取得する。まず、「送信先」の「IPアドレス」から特定可能な「送信先」のIPノードスコープ25に、その「IPアドレス」をもつ端末の「MACアドレス」を問い合わせる。そして、LAN内のIPノードスコープ25に対して、その「MACアドレス」をもつ端末情報の送信要求を行なって、端末情報を取得する。
以上のステップS102〜ステップS108までの処理は、感染源端末DB78に保存された全ての感染源端末について行なう。
一方、切断要求を受信したモニタシステム20は、切断処理を行なう(図9のステップS19)。図18は、切断処理を示すフローチャートである。切断要求を受けたモニタシステム20は、ネットワーク機器DB76を参照し、自身が切断指示を出すことが可能なネットワーク機器を特定する(ステップS122)。切断指示を出すことが可能なネットワーク機器は、自身が管理しているネットワーク機器であるからである。
ルータ45で切断する場合(ステップS123)、つまり、感染源端末の属するサブネットワークsb自体を切断する場合は、ルータ45に感染源端末の属するサブネットワークsbのポートを切断する指示を出す(ステップS127)。例えば、図2におけるモニタシステム20dが、サブネットワークsb1を切断する場合は、ルータ45aにポートp4を切断する指示を出す。
ルータ45で切断しない場合(ステップS123)、つまり、スイッチングハブ40a,40cで感染源端末を切断する場合は、スイッチングハブ40a,40cに感染源端末の「MACアドレス」を指定し、該端末が属するポートを切断する指示を出す(ステップS128)。
例えば、図2におけるモニタシステム20bが、ユーザ端末30a1を切断したい場合は、スイッチングハブ40aにユーザ端末30a1のMACアドレスを指定して切断指示を出す。スイッチングハブ40aは、端末のMACアドレスで、その端末が、どのポートで通信を行なっているのかを特定可能であるので、切断指示により、ポートp1を切断する。
なお、感染源端末のIPアドレスのみ特定可能で、MACアドレスが不明である場合は、ARPによりIPアドレスからMACアドレスを特定可能である。
図9において即時判別フラグがOFFの場合には(ステップS13)、受信した通信情報を保存しておき(ステップS18)、バッチ処理を行なう。図19は、バッチ処理を示すフローチャートである。左側のフローチャートはモニタシステム20のフローチャートであり、右側のフローチャートはIPノードスコープ25のフローチャートである。
ワームを含む通信情報を受信した端末は、ワームを検出し、メールサーバ33に、アラートを含むメールを送信する。アラートには、ワームを含む通信情報を受信した「日時」、ワームの「スレッドタイプ」、ワームを受信した端末の「MACアドレス」と「現在のIPアドレス」が含まれる。
メールサーバ33は、受信したアラートを含むメールを、特定のモニタシステム20に送信する。特定のモニタシステム20は、マスタモニタシステムとして、メールサーバ33に登録されており、以下の処理を行なう。
アラートを含むメールを受信したマスタモニタシステムは(ステップS130)、メールから、「日時」、ワームの「スレッドタイプ」、ワームを受信した端末の「MACアドレス」と「現在のIPアドレス」を抽出する(ステップS131)。
そして、抽出した「MACアドレス」により、該「MACアドレス」をもつ端末のIPアドレスの履歴を取得する。そのために、IPノードスコープ25すべてに、該MACアドレスをもつ端末情報の送信要求を行なう(ステップS132)。
IPノードスコープ25は、送信要求を受信し(ステップS140)、そのMACアドレスをもつ端末情報を抽出する(ステップS141)。そして、送信要求を行なったモニタシステム20に、該端末情報を送信する(ステップS142)。
モニタシステム20は、すべてのIPノードスコープ25から端末情報を受信し、ワームを受信した端末のIPアドレスの履歴を作成する(ステップS134)。端末情報には、「日時」と「IPアドレス」が含まれているから作成可能である。
そして、ワームを受信した端末のIPアドレスの履歴を、LAN内のすべてのモニタシステム20に送信する(ステップS135)。IPアドレスの履歴を受信したモニタシステム20は、以下の、マスタモニタシステムと同一の処理を行なう。
まず、ワームを受信した端末のIPアドレスの履歴をもとに、ワームを受信した端末に送信された通信情報を、ログDB77から抽出する(ステップS136)。ワームを受信した端末に送信された通信情報の中に、ワームを含む通信情報が存在するからである。抽出は、ログDB77における「日時」と、「送信先」の「IPアドレス」をもとに行なえばよい。
そして、抽出した通信情報に対して、先述した内容判別処理を行なう(ステップS137)。内容判別処理は、ステップS136で抽出したすべての通信情報に対して行なう(ステップS138)。更に、先述した感染源特定と報告処理も行なう(ステップS139)。
A5.効果:
本実施例によれば、ネットワーク上の端末の端末情報を取得しておき、ワームを含む可能性のある不正データの送信を行なっている端末を発見した際には、その端末の端末情報を出力することが可能となる。端末情報は、ワームの感染源を特定する情報にも利用可能である。また、通信データの内容あるいは通信の履歴を監視することにより、不正データの送信を行なっている端末を発見し、ワームの感染源を特定するための情報を出力することが可能となる。
更に、本実施例によれば、以上のように出力された情報をもとにして、感染源を特定することも可能となっている。感染源を特定することで、ネットワークから感染源を切断することも可能である。
また、ネットワークのトラフィックが増大し、通信データを受信するたびに通信内容を判別できない場合などには、端末間の通信データなどを保存しておく。そして、ネットワーク上の所定の端末から、ウィルスチェックソフト等により、ワームの検出がされた場合に、通信データ等の解析を行なうことによっても、ワームの感染源の特定に利用可能な情報を出力することが可能である。
B.変形例:
以上、本発明の実施の形態について説明したが、本発明はこうした実施の形態に何ら限定されるものではなく、本発明の要旨を逸脱しない範囲内において、更に様々な形態で実施しうることは勿論である。例えば、ステップS102のサブネットワークsbの問い合わせ処理は、ステップS15の内容判別処理を行なった後の場合は省略しても良い。ステップS15では、通信情報を受信してからすぐに内容判別処理が行なわれるため、ワームを送信した端末がLAN内を移動している可能性が低いためである。
また、履歴判別処理により感染源の端末を特定した場合は、切断処理を行なわなくても良い。あくまでワームに感染していると推測される動作をしているだけなので、ネットワークから切断するまでもない場合が多いからである。
履歴判別処理が終了した場合は、クロスマップDB74の内容を削除しても良い。アラートを受信して内容判別処理を行なった後は、ログDB77の内容を削除しても良い。
検出支援システムに、先述した特許出願2003−072371号記載の方法を併用して、ワーム対策を行なうようにしても良い。
履歴判別処理によるアラート情報の「送信先」は、クロスマップレコーズの少なくとも一部であっても良いし、「送信先」の情報はなくても良い。一方で、履歴判別処理によるアラート情報の「送信先」にも端末情報をつけても良い。
検出支援システムの概要を示す説明図である。 検出支援システムを構成するLANの一部を示す説明図である。 IPノードスコープ25の機能ブロックを示す説明図である。 モニタシステム20の機能ブロックを示す説明図である。 端末情報DB55を示す説明図である。 ネットワーク構成DB79を示す説明図である。 クロスマップDB74を示す説明図である。 端末情報保存処理を示すフローチャートである。 モニタシステム20で行なわれる処理を示すフローチャートである。 内容判別処理を示すフローチャートである。 履歴判別処理を示すフローチャートである。 履歴処理を示すフローチャートである。 1種類目の基準により疑感染端末であると判別される「送信元」端末のクロスマップレコーズを示す説明図である。 2種類目の基準により疑感染端末であると判別される「送信元」端末のクロスマップレコーズを示す説明図である。 3種類目の基準により疑感染端末であると判別される「送信元」端末のクロスマップレコーズを示す説明図である。 該当MACアドレス推定処理を示すフローチャートである。 感染源特定処理と報告処理を示すフローチャートである。 切断処理を示すフローチャートである。 バッチ処理を示すフローチャートである。
符号の説明
20...モニタシステム
20a〜20e...モニタシステム
30,30a,30b...ユーザ端末
30a1,30a2,30b1,30c1...ユーザ端末
31,31a,31c...DHCPサーバ
33...メールサーバ
35a,35b...リピータハブ
40...スイッチングハブ
40a,40c...スイッチングハブ
45...ルータ
45a,45b...ルータ
47...管理サーバ
51...送受信部
52...端末情報収集部
53...制御部
54...端末情報抽出部
55...端末情報DB
58...制御部
59...履歴判別部
60...感染源特定部
61...バッチ処理部
62...送受信部
63...ネットワーク機器管理部
64...通信切断部
65...通信内容判別部
73...閾値DB
74...クロスマップDB
75...パターンファイルDB
76...ネットワーク機器DB
77...ログDB
78...感染源端末DB
79...ネットワーク構成DB
p1,p3...ポート
p2...モニタポート
sb...サブネットワーク
sb1,sb2...サブネットワーク

Claims (12)

  1. 複数の端末が接続するネットワークにおいて前記端末から端末に増殖する不正プログラムであるワームの検出を支援する検出支援システムであって、
    前記端末に動的に割り当てられる変動アドレスと、その端末に固有の情報である端末情報とを、所定のタイミングで繰り返し取得し、時系列で管理する端末情報管理部と、
    前記端末が発信する通信データに関する情報であって、該通信データについて前記変動アドレスで表わされた送信元アドレスを含む情報である通信情報を取得する通信情報取得部と、
    前記通信情報により、前記いずれかの端末が前記ワームの発信を行なっているか否かを判断する判断部と、
    前記ワームの発信を行なっていると前記判断部が判断した場合は、前記変動アドレスが前記ワームの送信元アドレスに対応する端末情報を、前記端末情報管理部から抽出する端末情報抽出部と
    を備えた検出支援システム。
  2. 請求項1記載の検出支援システムであって、
    前記端末情報管理部は、
    前記変動アドレスと前記端末情報の送信を前記端末に要求する送信要求部と、
    前記要求に呼応して発信される前記変動アドレスと前記端末情報を受信する受信部と
    を備えた検出支援システム。
  3. 請求項1記載の検出支援システムであって、
    前記通信情報は、前記通信データについて前記変動アドレスで表わされた宛先アドレスを含んでおり、
    前記端末情報抽出部は、前記変動アドレスが前記ワームの宛先アドレスに対応する端末情報を、前記端末情報管理部から抽出する
    検出支援システム。
  4. 複数の端末が接続するネットワーク内で、前記端末から端末に増殖する不正プログラムであるワームを監視するためのモニタシステムであって、
    前記端末が発信する通信データと、前記通信データの送信元アドレスと、前記通信データの宛先アドレスとを取得する通信取得部と、
    前記ワームのパターンファイルを保有する保有部と、
    前記パターンファイルに基づき、前記通信データに前記ワームが含まれているか否かを判別する即時判別部と、
    少なくとも前記通信取得部が取得した前記送信元アドレスと前記宛先アドレスとを、送受信情報として、時系列で管理する通信履歴管理部と、
    所定の端末が前記ワームの発信を行なっているか否かを、前記通信履歴管理部が管理する前記送受信情報に基づき、所定のタイミングで繰り返し、所定の基準をもって判別する履歴判別部と
    を備えたモニタシステム。
  5. 請求項4記載のモニタシステムであって、
    前記履歴判別部は、前記判別に用いる送受信情報として、同一端末から発信された通信データに関する前記送受信情報を、前記送信元アドレスに基づき前記通信履歴管理部から抽出する履歴抽出部を備えたモニタシステム。
  6. 請求項4記載のモニタシステムであって、
    前記履歴判別部は、同一の端末が、前記ネットワーク内に存在しない宛先アドレスに対して所定回数以上通信データを発信している場合に、前記ワームの発信を行なっていると判別するモニタシステム。
  7. 請求項4記載のモニタシステムであって、
    前記履歴判別部は、同一の端末が、前記宛先アドレスを、所定の規則に基づいて変更しつつ、所定回数以上、前記通信データを発信している場合に、前記ワームの発信を行なっていると判別するモニタシステム。
  8. 請求項5記載のモニタシステムであって、
    前記通信履歴管理部は、併せて前記通信データの送受信に使用されるプロトコル及び前記通信データの宛先ポート番号の少なくとも1つを管理しており、
    前記履歴判別部は、所定の端末が、所定のプロトコルまたは所定の宛先ポート番号で、前記通信データを発信している場合に、前記ワームの発信を行なっていると判別するモニタシステム。
  9. 複数の端末が接続するネットワークにおいて前記端末から端末に増殖する不正プログラムであるワームの検出を支援する検出支援方法であって、前記ネットワークに接続されたコンピュータが実行する工程として、
    前記端末に動的に割り当てられる変動アドレスと、その端末に固有の情報である端末情報とを、所定のタイミングで繰り返し取得し、時系列で管理する端末情報管理工程と、
    前記端末が発信する通信データに関する情報であって、該通信データについて前記変動アドレスで表わされた送信元アドレスを含む情報である通信情報を取得する通信情報取得工程と、
    前記通信情報により、前記いずれかの端末が前記ワームの発信を行なっているか否かを判断する判断工程と、
    前記ワームの発信を行なっていると前記判断工程で判断した場合は、前記変動アドレスが前記ワームの送信元アドレスに対応する端末情報を、前記端末情報管理工程から抽出する端末情報抽出工程と
    を備えた検出支援方法。
  10. 複数の端末が接続するネットワーク内で、前記端末から端末に増殖する不正プログラムであるワームを監視するためのモニタ方法であって、前記ネットワークに接続されたコンピュータが実行する工程として、
    前記端末が発信する通信データと、前記通信データの送信元アドレスと、前記通信データの宛先アドレスとを取得する通信取得工程と、
    前記ワームのパターンファイルを保有する保有工程と、
    前記パターンファイルに基づき、前記通信データに前記ワームが含まれているか否かを判別する即時判別工程と、
    少なくとも前記通信取得工程で取得した前記送信元アドレスと前記宛先アドレスとを、送受信情報として、時系列で管理する通信履歴管理工程と、
    所定の端末が前記ワームの発信を行なっているか否かを、前記通信履歴管理工程で管理する前記送受信情報に基づき、所定のタイミングで繰り返し、所定の基準をもって判別する履歴判別工程と
    を備えたモニタ方法。
  11. 複数の端末が接続するネットワークにおいて前記端末から端末に増殖する不正プログラムであるワームの検出を支援するためのコンピュータプログラムであって、
    前記端末に動的に割り当てられる変動アドレスと、その端末に固有の情報である端末情報とを、所定のタイミングで繰り返し取得し、時系列で管理する端末情報管理機能と、
    前記端末が発信する通信データに関する情報であって、該通信データについて前記変動アドレスで表わされた送信元アドレスを含む情報である通信情報を取得する通信情報取得機能と、
    前記通信情報により、前記いずれかの端末が前記ワームの発信を行なっているか否かを判断する判断機能と、
    前記ワームの発信を行なっていると前記判断機能で判断した場合は、前記変動アドレスが前記ワームの送信元アドレスに対応する端末情報を、前記端末情報管理機能から抽出する端末情報抽出機能と
    をコンピュータによって実現するためのコンピュータプログラム。
  12. 複数の端末が接続するネットワーク内で、前記端末から端末に増殖する不正プログラムであるワームを監視するためのコンピュータプログラムであって、
    前記端末が発信する通信データと、前記通信データの送信元アドレスと、前記通信データの宛先アドレスとを取得する通信取得機能と、
    前記ワームのパターンファイルを保有する保有機能と、
    前記パターンファイルに基づき、前記通信データに前記ワームが含まれているか否かを判別する即時判別機能と、
    少なくとも前記通信取得機能が取得した前記送信元アドレスと前記宛先アドレスとを、送受信情報として、時系列で管理する通信履歴管理機能と、
    所定の端末が前記ワームの発信を行なっているか否かを、前記通信履歴管理機能が管理する前記送受信情報に基づき、所定のタイミングで繰り返し、所定の基準をもって判別する履歴判別機能と
    をコンピュータによって実現するためのコンピュータプログラム。
JP2006312376A 2006-11-20 2006-11-20 ワームの感染防止システム Expired - Fee Related JP4655028B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006312376A JP4655028B2 (ja) 2006-11-20 2006-11-20 ワームの感染防止システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006312376A JP4655028B2 (ja) 2006-11-20 2006-11-20 ワームの感染防止システム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2003287792A Division JP3903969B2 (ja) 2003-08-06 2003-08-06 ワームの感染防止システム

Publications (2)

Publication Number Publication Date
JP2007109247A true JP2007109247A (ja) 2007-04-26
JP4655028B2 JP4655028B2 (ja) 2011-03-23

Family

ID=38035018

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006312376A Expired - Fee Related JP4655028B2 (ja) 2006-11-20 2006-11-20 ワームの感染防止システム

Country Status (1)

Country Link
JP (1) JP4655028B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009087208A (ja) * 2007-10-02 2009-04-23 Kddi Corp 不正検知装置、プログラム、および記録媒体
JP2016184870A (ja) * 2015-03-26 2016-10-20 株式会社エヌ・ティ・ティ・データ ネットワーク情報出力システム及びネットワーク情報出力方法
JP2019037001A (ja) * 2018-11-22 2019-03-07 株式会社エヌ・ティ・ティ・データ ネットワーク情報出力システム及びネットワーク情報出力方法
WO2020065776A1 (ja) * 2018-09-26 2020-04-02 日本電気株式会社 情報処理装置、制御方法、及びプログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002124996A (ja) * 2000-10-13 2002-04-26 Yoshimi Baba 高速パケット取得エンジン・セキュリティ
JP2003060712A (ja) * 2001-08-20 2003-02-28 Yokogawa Electric Corp 侵入監視システム及び侵入監視方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002124996A (ja) * 2000-10-13 2002-04-26 Yoshimi Baba 高速パケット取得エンジン・セキュリティ
JP2003060712A (ja) * 2001-08-20 2003-02-28 Yokogawa Electric Corp 侵入監視システム及び侵入監視方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009087208A (ja) * 2007-10-02 2009-04-23 Kddi Corp 不正検知装置、プログラム、および記録媒体
JP2016184870A (ja) * 2015-03-26 2016-10-20 株式会社エヌ・ティ・ティ・データ ネットワーク情報出力システム及びネットワーク情報出力方法
WO2020065776A1 (ja) * 2018-09-26 2020-04-02 日本電気株式会社 情報処理装置、制御方法、及びプログラム
JPWO2020065776A1 (ja) * 2018-09-26 2021-08-30 日本電気株式会社 情報処理装置、制御方法、及びプログラム
JP7276347B2 (ja) 2018-09-26 2023-05-18 日本電気株式会社 情報処理装置、制御方法、及びプログラム
JP2019037001A (ja) * 2018-11-22 2019-03-07 株式会社エヌ・ティ・ティ・データ ネットワーク情報出力システム及びネットワーク情報出力方法

Also Published As

Publication number Publication date
JP4655028B2 (ja) 2011-03-23

Similar Documents

Publication Publication Date Title
EP2612488B1 (en) Detecting botnets
JP3824274B2 (ja) 不正接続検知システム及び不正接続検知方法
US8935419B2 (en) Filtering device for detecting HTTP request and disconnecting TCP connection
US7832010B2 (en) Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus
US8369346B2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network
JP2008177714A (ja) ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
US20070022468A1 (en) Packet transmission equipment and packet transmission system
JPWO2005036831A1 (ja) フレーム中継装置
JP2010152773A (ja) 攻撃判定装置及び攻撃判定方法及びプログラム
JP4179300B2 (ja) ネットワーク管理方法および装置並びに管理プログラム
JP4655028B2 (ja) ワームの感染防止システム
JP3903969B2 (ja) ワームの感染防止システム
JP2009302625A (ja) ネットワーク構成情報収集分析システム及びネットワーク構成情報収集分析サーバ及びネットワーク構成情報収集分析方法
JP2005056250A (ja) ワームの感染防止システム
JP2006332997A (ja) 通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラム
JP2014036408A (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP4002276B2 (ja) 不正接続検知システム
US8149723B2 (en) Systems and methods for discovering machines
KR100478910B1 (ko) 아이피 충돌 검출 및 차단 시스템과 그 방법
JP4319609B2 (ja) 攻撃経路解析装置及び攻撃経路解析方法及びプログラム
CN111683068A (zh) 失陷主机的定位方法、防护装置、网络安全设备及介质
JP4381411B2 (ja) ウィルス感染監視装置およびプログラム
JP4710889B2 (ja) 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム
CN116015876B (zh) 访问控制方法、装置、电子设备及存储介质
JP2006165877A (ja) 通信システム、通信方法および通信プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100330

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100629

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100819

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100914

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101101

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101207

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140107

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees