JP2007249579A - ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システム - Google Patents

ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システム Download PDF

Info

Publication number
JP2007249579A
JP2007249579A JP2006071791A JP2006071791A JP2007249579A JP 2007249579 A JP2007249579 A JP 2007249579A JP 2006071791 A JP2006071791 A JP 2006071791A JP 2006071791 A JP2006071791 A JP 2006071791A JP 2007249579 A JP2007249579 A JP 2007249579A
Authority
JP
Japan
Prior art keywords
worm
nodes
network
infected
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006071791A
Other languages
English (en)
Inventor
Kazunari Men
和成 面
Takeshi Shimoyama
武司 下山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006071791A priority Critical patent/JP2007249579A/ja
Priority to EP06253601A priority patent/EP1835429A3/en
Priority to US11/485,807 priority patent/US7926110B2/en
Publication of JP2007249579A publication Critical patent/JP2007249579A/ja
Priority to US13/041,961 priority patent/US20110162071A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】ワーム対策プログラム等のワーム対策手段を用いて未知のワームの蔓延を防止することを可能にするワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システムを提供すること。
【解決手段】ワーム対策パラメータ決定装置100は、ノード数に基づいてワームの感染力を算出する感染力算出部111と、一つのワームからある数のパケットが送信した場合における感染ノード数の期待値を求める感染ノード数予測部113と、ワームから送信するパケットがいくつまでであればワームの蔓延を防止できるかを求める漏洩パケット限界数導出部112と、漏洩パケット限界数導出部112の修理結果に基づいてワーム対策のパラメータを算出する対策パラメータ算出部114とを備える。
【選択図】 図5

Description

この発明は、ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システムに関し、特に、ワーム対策手段を用いて未知のワームの蔓延を防止することを可能にするワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システムに関する。
近年、インターネットの普及にともなって、コンピュータウィルスの一種であるワームによる被害が多発している。ワームは、単に破壊行為等の不正行為を行うだけでなく、オペレーションシステム等のセキュリティホールを悪用し、ネットワーク接続された他の情報処理装置に侵入して自己増殖を繰り返す。このため、ワームによる被害は、急速に広範囲に広がりやすい。
ワームによる被害の拡大を防止するためには、ワーム対策プログラムを導入し、ネットワークを流れるパケットを監視することが有効である。ワームは、短期間のうちに亜種や新種が出現することが多いため、ワーム対策プログラムは、既知のワームに加えて、未知のワームの検出と遮断も行うことができるように作成されている。
未知のワームの検出は、ネットワークトラフィックにおける特定の種類のパケットの流量の変動を監視すること等によって行われるが(例えば、特許文献1参照)、ある通信において未知のワームによる通信である兆候が検出されてから、ワームによる通信であると断定してその通信を遮断するまでには、ある程度の期間が必要となる。
この期間を短くすると、平常通信を未知のワームによる通信として誤検出する可能性が高くなる。このような誤検出があると、平常通信が遮断され、業務等に支障を与える恐れがあるため、通常、未知のワームによる通信である兆候が検出されてから通信を遮断するまでの期間を決定するパラメータは、誤検出を防止することに重きを置いて設定されている。
特開2005−134974号公報
しかしながら、誤検出を防止することに重きを置いてパラメータを設定した場合、通信が遮断されるまでの期間が長くなり、その間にワームの感染が広がる可能性がある。したがって、ワームの感染を防止する観点からもパラメータを検討する必要があるが、そのような技術は従来存在しなかった。
この発明は、上述した従来技術による問題点を解消するためになされたものであり、ワーム対策プログラム等のワーム対策手段を用いて未知のワームの蔓延を防止することを可能にするワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明の一つの態様では、ワームを蔓延させないことを目的として、ワーム対策手段がワームによる通信の遮断を開始するタイミングを制御するためのパラメータを決定するワーム対策パラメータ決定プログラムであって、ネットワークに接続されているノードの数に基づいて前記ワームの感染力を算出する感染力算出手順と、前記感染力算出手順によって算出された感染力に基づいて前記ワームが所定の数のパケットを送信した場合における感染ノード数の期待値を算出する感染ノード数予測手順とをコンピュータに実行させることを特徴とする。
また、本発明の他の態様では、ワームを蔓延させないことを目的として、ワーム対策手段がワームによる通信の遮断を開始するタイミングを制御するためのパラメータを決定するワーム対策パラメータ決定装置であって、ネットワークに接続されているノードの数に基づいて前記ワームの感染力を算出する感染力算出手段と、前記感染力算出手段によって算出された感染力に基づいて前記ワームが所定の数のパケットを送信した場合における感染ノード数の期待値を算出する感染ノード数予測手段とを備えたことを特徴とする。
これらの発明の態様によれば、ネットワーク接続されているノードの数に基づいてワームの感染力を算出し、この感染力に基づいて、ワームがいくつのパケットを送信した場合にどれだけのノードがワームに感染するかの期待値を算出するように構成したので、ワームによる通信の遮断が完了するまでにどれだけのパケットを漏洩させた場合にどれだけのノードに感染が広がるかを考慮してワーム対策のパラメータを設定することができる。
また、本発明の他の態様では、上記の発明の態様において、前記感染力算出手順は、前記ワームが、自身が感染しているノードのネットワークアドレスを基準として所定のパターンのネットワークアドレスを有するノード群の一つのノードを感染先として選択する確率と、前記所定のパターンのネットワークアドレスを有するノード群の数とに基づいて前記ワームの感染力を算出することを特徴とする。
この発明の態様によれば、ワームが感染先を選択するロジックを考慮してワームの感染力を算出するように構成したので、ワームの感染力を適正に算出することができる。
また、本発明の他の態様では、上記の発明の態様において、前記ワームによっていくつのパケットが送信されたとしたときに、前記感染ノード数予測手順により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのパケット数を一つの感染源から漏洩させることが許容されるパケット数の上限として導出する漏洩パケット数導出手順をさらにコンピュータに実行させることを特徴とする。
この発明の態様によれば、ワームがどれだけのパケットを送信した場合にワームの蔓延が起こるかを求め、ワームがそれだけのパケットを送信する前に遮断が完了するようにワーム対策のパラメータを設定することとしたので、ワームを蔓延させない限界を考慮してワーム対策のパラメータを設定することができる。
また、本発明の他の態様では、上記の発明の態様において、前記漏洩パケット数導出手順によって導出されたパケット数と、前記ワーム対策手段が遮断を開始してから遮断が完了するまでに漏洩するパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を開始するまでに漏洩させることが許容されるパケット数の上限を算出するワーム対策パラメータ算出手順をさらにコンピュータに実行させることを特徴とする。
この発明の態様によれば、ワームを蔓延させない限界を考慮して、ワーム対策手段が漏洩を許容するパケット数を設定するように構成したので、ワームを蔓延させることがないようにワーム対策のパラメータを設定することができる。
また、本発明の他の態様では、上記の発明の態様において、前記漏洩パケット数導出手順によって導出されたパケット数と、前記ワームの拡散速度とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了させるまでの時間の上限を算出するワーム対策パラメータ算出手順をさらにコンピュータに実行させることを特徴とする。
この発明の態様によれば、ワームを蔓延させない限界を考慮して、ワーム対策手段がワームによる通信の遮断を完了させるまでの時間を設定するように構成したので、ワームを蔓延させることがないようにワーム対策のパラメータを設定することができる。
また、本発明の他の態様では、上記の発明の態様において、前記ワームによっていくつのパケットが送信されたとしたときに、前記感染ノード数予測手順により算出される感染ノード数の期待値が所定の上限値を超過するかを求め、このときのパケット数を一つの感染源から漏洩させることが許容されるパケット数の上限として導出する漏洩パケット数導出手順をさらにコンピュータに実行させることを特徴とする。
この発明の態様によれば、ワームの感染が所定の上限数以上に広がらないことを考慮して、ワーム対策手段が漏洩を許容するパケット数を設定するように構成したので、ワームの感染が所定の上限数以上広がった場合に蔓延を回避できない場合であっても、ワームを蔓延させることがないようにワーム対策のパラメータを設定することができる。
また、本発明の他の態様では、ワーム対策手段がワームによる通信の遮断を所定のタイミングまでに開始するように設定されている場合に、ワームを蔓延させないことを目的として、ネットワークに接続可能なノード数を決定するノード数決定プログラムであって、前記ワーム対策手段がワームによる通信の遮断を完了するまでに一つの感染源から送信されたパケットが漏洩し得る数を算出する漏洩パケット限界数算出手順と、ネットワークに接続されているノードの数に基づいて算出される前記ワームの感染力と、前記漏洩パケット限界数算出手順により算出されたパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了するまでにワームに感染するノード数の期待値を算出する感染ノード数予測手順と、ネットワークに接続されているノードの数をいくつとした場合に、前記感染ノード数予測手順により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのノード数をネットワークに接続可能なノード数の上限として導出するノード限界数導出手順とをコンピュータに実行させることを特徴とする。
また、本発明の他の態様では、ワーム対策手段がワームによる通信の遮断を所定のタイミングまでに開始するように設定されている場合に、ワームを蔓延させないことを目的として、ネットワークに接続可能なノード数を決定するノード数決定装置であって、前記ワーム対策手段がワームによる通信の遮断を完了するまでに一つの感染源から送信されたパケットが漏洩し得る数を算出する漏洩パケット限界数算出手段と、ネットワークに接続されているノードの数に基づいて算出される前記ワームの感染力と、前記漏洩パケット限界数算出手段により算出されたパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了するまでにワームに感染するノード数の期待値を算出する感染ノード数予測手段と、ネットワークに接続されているノードの数をいくつとした場合に、前記感染ノード数予測手段により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのノード数をネットワークに接続可能なノード数の上限として導出するノード限界数導出手段とを備えたことを特徴とする。
また、本発明の他の態様では、ワーム対策手段がワームによる通信の遮断を所定のタイミングまでに開始するように設定されている場合に、ワームを蔓延させないことを目的として、ネットワークに接続可能なノード数を制限するノード数制限システムであって、前記ワーム対策手段がワームによる通信の遮断を完了するまでに一つの感染源から送信されたパケットが漏洩し得る数を算出する漏洩パケット限界数算出手段と、ネットワークに接続されているノードの数に基づいて算出される前記ワームの感染力と、前記漏洩パケット限界数算出手段により算出されたパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了するまでにワームに感染するノード数の期待値を算出する感染ノード数予測手段と、ネットワークに接続されているノードの数をいくつとした場合に、前記感染ノード数予測手段により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのノード数をネットワークに接続可能なノード数の上限として導出するノード限界数導出手段と、前記ノード限界数導出手段によって導出されたネットワークに接続可能なノード数の上限を限度としてノードに対してネットワークアドレスを割り当てるネットワークアドレス割り当て手段と、を備えたことを特徴とする。
これらの発明の態様によれば、ワーム対策装置の設定等に基づいて、ワームが蔓延することがないノード数の上限を算出するように構成したので、ワーム対策装置の設定変更によってワームの蔓延を防止することができない場合であっても、ノード数を制限することによってワームの蔓延を防止することができる。
本発明の一つの態様によれば、ネットワーク接続されているノードの数に基づいてワームの感染力を算出し、この感染力に基づいて、ワームがいくつのパケットを送信した場合にどれだけのノードがワームに感染するかの期待値を算出するように構成したので、ワームによる通信の遮断が完了するまでにどれだけのパケットを漏洩させた場合にどれだけのノードに感染が広がるかを考慮してワーム対策のパラメータを設定することができるという効果を奏する。
また、本発明の他の態様によれば、ワームが感染先を選択するロジックを考慮してワームの感染力を算出するように構成したので、ワームの感染力を適正に算出することができるという効果を奏する。
また、本発明の他の態様によれば、ワームがどれだけのパケットを送信した場合にワームの蔓延が起こるかを求め、ワームがそれだけのパケットを送信する前に遮断が完了するようにワーム対策のパラメータを設定することとしたので、ワームを蔓延させない限界を考慮してワーム対策のパラメータを設定することができるという効果を奏する。
また、本発明の他の態様によれば、ワームを蔓延させない限界を考慮して、ワーム対策手段が漏洩を許容するパケット数を設定するように構成したので、ワームを蔓延させることがないようにワーム対策のパラメータを設定することができるという効果を奏する。
また、本発明の他の態様によれば、ワームを蔓延させない限界を考慮して、ワーム対策手段がワームによる通信の遮断を完了させるまでの時間を設定するように構成したので、ワームを蔓延させることがないようにワーム対策のパラメータを設定することができるという効果を奏する。
また、本発明の他の態様によれば、ワームの感染が所定の上限数以上に広がらないことを考慮して、ワーム対策手段が漏洩を許容するパケット数を設定するように構成したので、ワームの感染が所定の上限数以上広がった場合に蔓延を回避できない場合であっても、ワームを蔓延させることがないようにワーム対策のパラメータを設定することができるという効果を奏する。
また、本発明の他の態様によれば、ワーム対策装置の設定等に基づいて、ワームが蔓延することがないノード数の上限を算出するように構成したので、ワーム対策装置の設定変更によってワームの蔓延を防止することができない場合であっても、ノード数を制限することによってワームの蔓延を防止することができるという効果を奏する。
以下に添付図面を参照して、本発明に係るワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システムの好適な実施の形態を詳細に説明する。
まず、本実施例に係るワーム対策パラメータ決定方法の概要について説明する。本実施例に係るワーム対策パラメータ決定方法は、ワームの蔓延を防止することを目的としてワーム対策パラメータを決定することができる。
ワーム対策パラメータとは、ワーム対策プログラムやファイアウォールプログラム等のワーム対策手段が、未知のワームによる通信の兆候を検出してから、その通信が未知のワームによるものであると断定し、遮断を開始するまでの間に漏洩を許容するワームパケット数や、未知のワームによる通信の兆候を検出してから遮断を完了するまでの時間等である。ここで、ワームパケットとは、ワームが自己増殖のために送信するパケットを意味する。
本実施例に係るワーム対策パラメータ決定方法では、一つのノード(ネットワークに接続された情報処理装置を意味する。)を起点としてワームの感染が広がる場合における感染ノード数の期待値Eを下記のように定義する。
Figure 2007249579
ここで、pは、ワームの感染力を示し、Tは、時間を示し、wは、一つの感染ノードから送信されるワームパケット数を示す。そして、ワームの感染力pは、下記の式によって求めることができる。
Figure 2007249579
この式は、ワームが自己増殖のためにある感染先を選択したときに、実際にその選択先に感染が広がる確率を求めるものである。一般に、ワームは、無作為に感染先を選択するのではなく、感染率を上げるため、自身が感染しているノードのIPアドレスを基準として感染先のIPアドレスを選択する。
図1−1を参照しながら、具体的に説明する。感染ノード10のIP(Internet Protocol)アドレスがA.B.C.Dであったとすると、一般に、ワームは、A.B.C.*(*は0〜255の整数)のネットワーク24に属するノードを一定の確率で、A.B.*.*のネットワーク23に属するノードを一定の確率で、A.*.*.*のネットワーク22に属するノードを一定の確率で、そして、*.*.*.*のネットワーク21に属するノードを一定の確率で感染先として選択する。
A.B.C.*のネットワーク24は、企業等においてはサブネットの管理単位であることが多い。したがって、A.B.C.*のネットワーク24に属するノードの一つを選択してパケットを送信した場合、選択したノードへパケットが到達する可能性が高いが、ワームが拡散する範囲は狭くなる。一方、*.*.*.*のネットワーク21は、IPネットワーク全体を意味し、このネットワークに属するノードをの一つ選択してパケットを送信した場合、ワームが拡散する範囲は広くなるが、選択したノードへパケットが到達する可能性は低い。そして、A.B.*.*のネットワーク23と、A.*.*.*のネットワーク22は、これらのネットワークの中間的な特徴をもつ。
そこで、ワームは、A.B.C.*のネットワーク24、A.B.*.*のネットワーク23、A.*.*.*のネットワーク22および*.*.*.*のネットワーク21に属するノードをそれぞれ一定の確率で感染先として選択してワームパケットを送信することが多い。
数式2−1では、ワームがA.B.C.*のネットワーク24に属するノードを感染先として選択する確率をPcとし、A.B.*.*のネットワーク23に属するノードを感染先として選択する確率をPbとし、A.*.*.*のネットワーク22に属するノードを感染先として選択する確率をPaとし、*.*.*.*のネットワーク21に属するノードを感染先として選択する確率をPとしている。
そして、A.B.C.*のネットワーク24に属するノードの数をncとし、A.B.*.*のネットワーク23に属するノードの数をnbとし、A.*.*.*のネットワーク22に属するノードの数をnaとし、*.*.*.*のネットワーク21に属するノードの数をnとしている。
最も強い感染力をもつワームの感染力pは、下記の式で求めることができる。
Figure 2007249579
これは、ワームが、A.B.C.*のネットワーク24に属するノード、A.B.*.*のネットワーク23に属するノード、A.*.*.*のネットワーク22に属するノードおよび*.*.*.*のネットワーク21に属するノードを同時に一つずつ感染先として選択し、4つのワームパケットを送信すると想定した場合の感染力pを求める式である。
なお、数式2−1における各ネットワークのノード数n、na、nbおよびncについては、実際にネットワークに接続されているノード数を設定する代わりに、ワーム対策用のパッチの導入や、ワームが感染に利用するポートの閉鎖等のワームの感染防止のための処置を実施済みのノードを除外したノード数を設定することとしてもよい。あるいは、入力されたノード数にこれらの処置が施されていないノードの比率を乗じることにより、処置を実施済みのノードを除外することとしてもよい。これらの処置が施されているノードは、ワームパケットが到達してもワームに感染する可能性はないと考えられるためである。
また、上記の説明においては、ワームが、IPアドレスをオクテット単位で区切ったネットワークごとに感染先を選択するものとして説明したが、ネットワークの区切り方はこの通りでなくてもよい。ネットワークの区切り方を汎用化した場合における感染力pの算出式を以下に示す。
Figure 2007249579
この式は、図1−2に示すように、ネットワークXがネットワーク(X+1)を含むように、ネットワークをネットワーク1からネットワークKに区切ることとした場合において、ネットワークKに含まれる感染ノード10に感染しているワームの感染力pを求める式である。
ここで、nxは、ネットワークXに接続されているノード数であり、Nxは、ネットワークXに接続可能なノード数の最大値であり、Pxは、ワームがネットワークXに接続されているノードを感染先として選択する確率である。以下の説明では、説明を簡略化するため、ワームが、IPアドレスをオクテット単位で区切ったネットワークごとに感染先を選択するものとして説明を進める。
上記の数式1で示したE(p,T,w)は、離散数学モデル、連続数学モデルもしくは確率モデル等の各種数式モデルを用いて、さらに具体的に表現することができる。以下に、離散数学モデルを用いてE(p,T,w)を表現し直した例を示す。
Figure 2007249579
この式は、ワームが一つの感染源からn次感染(nは正の整数)によって感染が広がることを考慮して感染ノード数の期待値を表現した式である。ワームは、一つの感染ノードのみが感染源となる訳ではなく、新たに感染したノードも感染源となって他のノードに感染を広げていく性質がある。この式ではその性質が考慮されている。この式において、iは、i次感染を意味し、時間Tの単位は、あるノードから他のノードへワームが感染するのに要する期間となっている。
ここで、1次感染のみを考慮した感染ノード数の期待値E1(p、T、w)は、下記の式で表現される。
Figure 2007249579
この式から明らかなように、Tがwよりも大きい場合、感染ノード数は、Tに依存することなく、wに依存して導出される。そこで、Tが十分大きいとした場合、上記の数式5は、下記のように表現することができる。
Figure 2007249579
感染力pを0.02534とし、時間Tを十分大とした場合における、一つの感染ノードから送信されるワームパケット数wと感染ノード数の期待値Eの関係を表すグラフを図2に示す。ここに示した感染ノード数の期待値Eは、上記の数式7を用いて求めたものである。
同図に示すように、w=19のとき、感染ノード数の期待値Eは2となる。これは、感染ノードから19個のワームパケットが送信された段階でワームによる通信の遮断を完了すれば、その感染ノードを起点としてワーム感染するノード数を1台に抑えることができることを意味している。
また、w=39のとき、感染ノード数の期待値Eは85となり、wが40以上になると感染ノード数の期待値Eは発散する。これは、39が漏洩パケット限界数、すなわち、ワーム対策手段が未知ワームによる通信の遮断を完了するまでに漏洩させることが許容されるワームパケット数であり、感染ノードから39個のワームパケットが送信された段階でワームによる通信の遮断を完了すれば、その感染ノードを起点としてワームが蔓延することを防止することができることを意味している。
このように、漏洩パケット限界数は、時間Tを十分大とし、数式7等を用いて、wを1から順次インクリメントしながら感染ノード数の期待値Eを算出していき、感染ノード数の期待値Eが∞となる直前のwの値を取得することにより導出することができる。なお、実際の運用においては、ワームの蔓延を確実に防止するため、こうして取得した漏洩パケット限界数から標準偏差等を考慮して求めた所定のパケット数を差し引いた値を漏洩パケット限界数として用いることが好ましい。
ネットワークに接続されている全てのノードにワーム対策手段を導入し、それぞれのワーム対策手段が、それぞれのネットワークにおける漏洩パケット限界数を限度としてワームパケットの漏洩を許容するようにワーム対策パラメータを設定すれば、ネットワーク全体へのワームの蔓延を防止することができる。
以上のようにして、漏洩パケット限界数が導出されたならば、ワーム対策パラメータを容易に算出することができる。図3−1は、ワーム対策パラメータを、遮断開始までに漏洩を許容できるパケット数として算出する例を示している。
同図に示すように、ワーム対策手段において特定の通信をワームによるものと断定し、その通信の遮断を開始したとしても、遮断が完了するまでにはわずかなタイムラグがある。この期間に一つの感染源から送信されたワームパケットが漏洩する数は、この期間の長さ(以下、「遮断時間」という。)にワームが一定時間に送信するワームパケット数(以下、「拡散速度」という)を乗じることによって算出することができる。
そして、このワームパケット数を漏洩パケット限界数から差し引くことにより、遮断開始までに漏洩を許容できるパケット数を求めることができる。この値は、ワーム対策手段が未知ワームによる通信と思われるパケットを検出してから、未知ワームによる通信であると断定して通信の遮断を開始するまでに同一の送信元からの同様のパケットの漏洩を許容できる数である。
また、時間を基準として、ワーム対策パラメータを算出することもできる。図3−2は、ワーム対策パラメータを、遮断限界時間、すなわち、ワーム対策手段が未知ワームによる通信と思われるパケットを検出してから、遮断を完了するまでの時間として算出する例を示している。同図に示すように、遮断限界時間は、漏洩パケット限界数を拡散速度で割ることにより求めることができる。
次に、本実施例に係るワーム対策パラメータ決定装置100の配置について説明する。図4は、本実施例に係るワーム対策パラメータ決定装置100の配置例を示す図である。
同図に示したワーム対策パラメータ決定装置100は、既に説明したワーム対策パラメータ決定方法を用いてワーム対策パラメータを決定する装置であり、ネットワーク31と接続されている。このネットワーク31には、ノード201〜202や、ネットワーク31をネットワーク32と接続させるためのルータ300も接続されている。
そして、ノード201〜202には、他ノードから自ノードへのワームの感染と、自ノードから他ノードへのワームの感染を防止するための手段であるワーム対策プログラムやファイアウォールプログラム等のワーム対策手段210が導入されている。本実施例では、同様に、ネットワークに接続されている全てのノードにワーム対策手段210が導入されているものとする。ワーム対策パラメータ決定装置100は、これらのワーム対策手段210がワームの検出と遮断を行うためのパラメータを決定するために利用される。
なお、ワーム対策パラメータ決定装置100は、必ずしもネットワーク31に接続されている必要はなく、オフラインでワーム対策パラメータを決定するように構成することもできる。また、ワーム対策パラメータ決定装置100もしくはこれと同様の機能を備えたプログラムを、ノード201〜202やルータ300に内蔵させることもできる。
次に、本実施例に係るワーム対策パラメータ決定装置100の構成について説明する。図5は、本実施例に係るワーム対策パラメータ決定装置100の構成を示す機能ブロック図である。同図に示すように、ワーム対策パラメータ決定装置100は、ノード数を入力とし、ワーム対策パラメータを出力とする装置であり、制御部110と、記憶部120とを有する。
制御部110は、ワーム対策パラメータ決定装置100を全体制御する制御部であり、感染力算出部111と、漏洩パケット限界数導出部112と、感染ノード数予測部113と、対策パラメータ算出部114とを有する。
感染力算出部111は、上記の数式2−1を用いて感染力pを算出する処理部である。感染力算出部111は、感染力pの算出に必要な感染先選択確率P、Pa、PbおよびPcを記憶部120のワーム特性情報121から取得し、入力されたノード数をノード数n、na、nbおよびncとして適用する。
ワーム特性情報121の一例を図6に示す。同図に示すように、ワーム特性情報121には、識別名、拡散速度、感染先選択アルゴリズム、そして、P、Pa、PbおよびPcの感染先選択確率がワームの種別毎に予め登録される。識別名は、ワームの種別を示す識別名であり、拡散速度は、当該のワームが一定時間内に送出するワームパケット数を表す。
感染先選択アルゴリズムは、「確率的」もしくは「ランダム」のいずれかの値をとる。感染先選択アルゴリズムが「確率的」となっている場合、当該のワームが、既に説明したように、A.B.C.*のネットワーク24、A.B.*.*のネットワーク23、A.*.*.*のネットワーク22および*.*.*.*のネットワーク21に属するノードをそれぞれ一定の確率で感染先として選択するワームであることを意味する。
また、感染先選択アルゴリズムが「ランダム」となっている場合、当該のワームが、自身が感染しているノードのIPアドレスに関係なく感染先を選択するワームであることを意味する。感染先選択アルゴリズムが「ランダム」となっている場合、感染先選択確率は、Pのみが設定される。
そして、感染先選択確率P、Pa、PbおよびPcは、それぞれ、ワームが*.*.*.*のネットワーク21に属するノード、A.*.*.*のネットワーク22に属するノード、A.B.*.*のネットワーク23に属するノードおよびA.B.C.*のネットワーク24に属するノードを感染先として選択する確率を表す。
感染力算出部111は、未知のワームの感染力を算出するため、ワーム特性情報121に格納されている情報から未知のワームの感染先選択確率を予測する。この予測は、例えば、P、Pa、PbおよびPcのそれぞれについて最大値、最小値もしくは平均値を算出することにより行う。また、P、Pa、PbおよびPcを全て1.0と想定することもできる。
また、感染力算出部111が、未知のワームの感染力を算出するために用いるn、na、nbおよびnc、すなわち、*.*.*.*のネットワーク21、A.*.*.*のネットワーク22、A.B.*.*のネットワーク23およびA.B.C.*のネットワーク24に属するノードのノード数は、図示しないキーボード等の入力手段により入力されるものとしてもよいし、ネットワークを経由して入力されるものとしてもよいし、記憶部120に予め記憶されているものとしてもよい。
あるいは、感染力算出部111もしくは専用の処理部が、ネットワークの構成を管理するシステム管理装置等に問い合せてノード数を取得することとしてもよいし、PING等を用いてネットワークに接続されているノード数を自身で数え上げることとしてもよい。
漏洩パケット限界数導出部112は、感染ノード数予測部113に感染ノード数の期待値Eを算出させて漏洩パケット限界数を導出する処理部であり、感染ノード数予測部113は、漏洩パケット限界数導出部112に指定された値を上記の数式7等に適用して感染ノード数の期待値Eを算出する処理部である。
具体的には、漏洩パケット限界数導出部112は、2つの値を感染ノード数予測部113に指定して感染ノード数の期待値Eを算出させる。一つは、感染力算出部111によって算出された感染力pであり、もう一つは、一つの感染ノードから送信されるワームパケット数wである。
漏洩パケット限界数導出部112は、wを1から順に1ずつ加算しながら感染ノード数予測部113に指定して感染ノード数の期待値Eを算出させ、期待値Eが∞となる直前のwの値を漏洩パケット限界数とする。
対策パラメータ算出部114は、漏洩パケット限界数導出部112によって導出された漏洩パケット限界数に基づいて必要とされるワーム対策パラメータを算出し、出力する処理部である。具体的には、対策パラメータ算出部114は、図3−1に示した遮断開始までに漏洩を許容できるパケット数や、図3−2に示した遮断限界時間等を算出する。
対策パラメータ算出部114は、ワーム対策パラメータを算出するためにワームの拡散速度が必要であれば、その情報を記憶部120のワーム特性情報121から取得し、ワーム対策手段の遮断時間が必要であれば、その情報を記憶部120のワーム対策手段性能情報122から取得する。
記憶部120は、各種情報を記憶する記憶部であり、ワーム特性情報121と、ワーム対策手段性能情報122とを記憶する。ワーム特性情報121は、既に説明したように各種ワームの特性が予め登録された情報である。そして、ワーム対策手段性能情報122は、遮断時間等の各種ワーム対策手段の性能に関する情報が予め登録された情報である。
次に、本実施例に係るワーム対策パラメータ決定装置100の処理手順について説明する。図7は、ワーム対策パラメータ決定装置100の処理手順を示すフローチャートである。
同図に示すように、ワーム対策パラメータ決定装置100は、ワーム対策パラメータを決定する対象のネットワークのノード数の入力を受け付ける(ステップS101)。そして、感染力算出部111が、入力されたノード数に基づいて感染力pを算出する(ステップS102)。
続いて、漏洩パケット限界数導出部112が、一つの感染ノードから送信されるワームパケット数wを1に初期化する(ステップS103)。そして、pとwを感染ノード数予測部113に指定して、時間Tが十分大きい場合の感染ノード数の期待値Eを算出させる(ステップS104)。ここで、感染ノード数の期待値Eが∞でなければ(ステップS105否定)、wに1を加算し(ステップS106)、ステップS104に復帰して感染ノード数予測部113に感染ノード数の期待値Eを算出させる。
感染ノード数の期待値Eが∞であれば(ステップS105肯定)、漏洩パケット限界数導出部112は、wから1を減算した値を漏洩パケット限界数とする(ステップS107)。そして、対策パラメータ算出部114が、ワームの拡散速度とワーム対策手段の遮断時間を記憶部120から取得し(ステップS108)、これらの値と漏洩パケット限界数導出部112によって求められた漏洩パケット限界数に基づいてワーム対策パラメータを算出する(ステップS109)。
上記実施例で説明してきたワーム対策パラメータ決定装置100の機能は、あらかじめ用意されたワーム対策パラメータ決定プログラムをコンピュータで実行することによって実現することもできる。そこで、以下では、ワーム対策パラメータ決定プログラムを実行するコンピュータの一例を説明する。
図8は、ワーム対策パラメータ決定プログラム1071を実行するコンピュータ1000を示す機能ブロック図である。このコンピュータ1000は、各種演算処理を実行するCPU(Central Processing Unit)1010と、ユーザからのデータの入力を受け付ける入力装置1020と、各種情報を表示するモニタ1030と、各種プログラム等を記録した記録媒体からプログラム等を読み取る媒体読取り装置1040と、ネットワークを介して他のコンピュータとの間でデータの授受を行うネットワークインターフェース装置1050と、各種情報を一時記憶するRAM(Random Access Memory)1060と、ハードディスク装置1070とバス1080で接続して構成される。
そして、ハードディスク装置1070には、図5に示した制御部110と同様の機能を有するワーム対策パラメータ決定プログラム1071と、図5に示した記憶部120に記憶される各種データに対応するワーム対策パラメータ決定用データ1072とが記憶される。なお、ワーム対策パラメータ決定用データ1072を、適宜分散させ、ネットワークを介して接続された他のコンピュータに記憶させておくこともできる。
そして、CPU1010がワーム対策パラメータ決定プログラム1071をハードディスク装置1070から読み出してRAM1060に展開することにより、ワーム対策パラメータ決定プログラム1071は、ワーム対策パラメータ決定プロセス1061として機能するようになる。そして、ワーム対策パラメータ決定プロセス1061は、ワーム対策パラメータ決定用データ1072から読み出した情報等を適宜RAM1060上の自身に割り当てられた領域に展開し、この展開したデータ等に基づいて各種データ処理を実行する。
なお、上記のワーム対策パラメータ決定プログラム1071は、必ずしもハードディスク装置1070に格納されている必要はなく、CD−ROM等の記憶媒体に記憶されたこのプログラムを、コンピュータ1000が読み出して実行するようにしてもよい。また、公衆回線、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)等を介してコンピュータ1000に接続される他のコンピュータ(またはサーバ)等にこのプログラムを記憶させておき、コンピュータ1000がこれらからプログラムを読み出して実行するようにしてもよい。
上述してきたように、本実施例1では、ネットワークにどれだけのノードが接続されている状況において、ワームがどれだけのパケットを送信した場合にワームが蔓延するかを求め、ワームを蔓延させない限界を考慮して、ワーム対策手段が漏洩を許容するパケット数を設定するように構成したので、ワームを蔓延させることがないようにワーム対策のパラメータを設定することができる。
実施例1では、各ノードにワーム対策手段が導入されていることを前提としてワーム対策パラメータを求める例について説明したが、ワーム対策手段が、ルータ等の伝送装置に導入されている場合もある。実施例1にて示したワーム対策パラメータ決定装置100は、ルータ等の伝送装置に導入されているワーム対策手段のためのワーム対策パラメータを求めることもできる。
そこで、本実施例では、ワーム対策がルータに導入されている場合を例にして、ワーム対策パラメータ決定方法とワーム対策パラメータ決定装置100の動作について説明することとする。
まず、本実施例におけるワーム対策パラメータ決定装置100の配置について説明する。図9は、本実施例におけるワーム対策パラメータ決定装置100の配置例を示す図である。
同図に示すように、ワーム対策パラメータ決定装置100は、ネットワーク31と接続されている。このネットワーク31には、ノード201〜202や、ネットワーク31をネットワーク32等と接続させるためのルータ300も接続されている。
そして、ルータ300には、ネットワーク間でのワームの感染を防止するために、ワーム対策プログラムやファイアウォールプログラム等のワーム対策手段310が導入されている。本実施例では、ネットワークに接続されている全てのルータにワーム対策手段310が導入されているものとする。ワーム対策パラメータ決定装置100は、これらのワーム対策手段310がワームの検出と遮断を行うためのパラメータを決定するために利用される。
なお、ワーム対策パラメータ決定装置100は、必ずしもネットワーク31に接続されている必要はなく、オフラインでワーム対策パラメータを決定するように構成することもできる。また、ワーム対策パラメータ決定装置100もしくはこれと同様の機能を備えたプログラムを、ノード201〜202やルータ300に内蔵させることもできる。
次に、ワームの感染力pについて説明する。図9に示したようにワーム対策手段310がルータ300に導入されている場合、ワーム対策手段310は、ネットワーク間でのワークの感染を防止するために機能し、例えば、ノード201からノード202へワームが感染する場合のように、ルータ300の配下のネットワーク内でワームの感染が広がることを防止するためには機能しない。
したがって、ワーム対策手段310のためのワーム対策パラメータを決定する際には、ルータ300の配下のネットワークに属するノードを除外してワームの感染力pを算出する必要がある。
図10に示すように、ワームが、IPアドレスをオクテット単位で区切ったネットワークごとに一定の確率で感染先を選択するものとし、さらに、ルータ300の配下のネットワーク31がA.B.C.*のネットワーク31に含まれる場合における感染力pの算出式を以下に示す。
Figure 2007249579
この式は、ルータ300配下のネットワーク31に属するノードのいずれかに感染したワームが、自己増殖のためにある感染先を選択したときに、ルータ300を超えて他のネットワークに感染が広がる確率を求めるものである。
上記の式において、P、Pa、PbおよびPcは、それぞれ、ワームが*.*.*.*のネットワーク21に属するノードを感染先として選択する確率、A.*.*.*のネットワーク22に属するノードを感染先として選択する確率、A.B.*.*のネットワーク23に属するノードを感染先として選択する確率、A.B.C.*のネットワーク24に属するノードを感染先として選択する確率である。
そして、n、na、nbおよびncは、それぞれ、*.*.*.*のネットワーク21に属するノードの数、A.*.*.*のネットワーク22に属するノードの数、A.B.*.*のネットワーク23に属するノードの数およびA.B.C.*のネットワーク24に属するノードの数である。そして、mは、ルータ300の配下のネットワーク31に属するノードの数である。
最も強い感染力をもつワームの感染力pは、下記の式で求めることができる。
Figure 2007249579
これは、ワームが、A.B.C.*のネットワーク24に属するノード、A.B.*.*のネットワーク23に属するノード、A.*.*.*のネットワーク22に属するノードおよび*.*.*.*のネットワーク21に属するノードを同時に一つずつ感染先として選択し、4つのワームパケットを送信すると想定した場合の感染力pを求める式である。
なお、数式2−2における各ネットワークのノード数n、na、nb、ncおよびmについては、実際にネットワークに接続されているノード数を設定する代わりに、ワーム対策用のパッチの導入や、ワームが感染に利用するポートの閉鎖等のワームの感染防止のための処置を実施済みのノードを除外したノード数を設定することとしてもよい。あるいは、入力されたノード数にこれらの処置が施されていないノードの比率を乗じることにより、処置を実施済みのノードを除外することとしてもよい。
また、上記の説明においては、ワームが、IPアドレスをオクテット単位で区切ったネットワークごとに感染先を選択するものとして説明したが、ネットワークの区切り方はこの通りでなくてもよい。ネットワークの区切り方を汎用化した場合における感染力pの算出式を以下に示す。
Figure 2007249579
この式は、ネットワークXがネットワーク(X+1)を含むように、ネットワークをネットワーク1からネットワークKに区切ることとした場合において、ワームの感染力pを求める式である。なお、ネットワークKは、ルータとその配下のネットワークを含むものとする。
ここで、nxは、ネットワークXに接続されているノード数であり、Nxは、ネットワークXに接続可能なノード数の最大値であり、Pxは、ワームがネットワークXに接続されているノードを感染先として選択する確率であり、mは、ルータ配下のネットワークに接続されているノード数である。
次に、漏洩パケット限界数wについて説明する。例えば、企業におけるネットワーク全体の構成が図11に示す通りであったとする。同図に示した例では、ルータ301〜305の5台のルータがメッシュ接続されている。
そして、ルータ301配下にネットワーク31が存在し、ルータ302配下にネットワーク31とネットワーク32が存在し、ルータ303配下にネットワーク34が存在し、ルータ304配下にネットワーク35とネットワーク36が存在し、ルータ305配下にネットワーク37が存在している。
このネットワークにおいて、ルータ301〜305にそれぞれワーム対策手段が導入され、ネットワーク31〜37に属する個別のノードには、ワーム対策手段が導入されていないものとする。このとき、ネットワーク31に属するノードからネットワーク37に属するノードの一つにワームが感染した場合、ネットワーク37に属する全てのノードにワームの感染が広がってしまう。
このように、ネットワーク間を接続するルータにのみワーム対策手段が導入されている環境では、あるルータ配下のネットワークに属するノードの1台でもワームに感染すれば、そのルータ配下のネットワークにはワームが蔓延してしまうことになる。
したがって、あるルータ配下のネットワークに属するノードを起点としてネットワーク全体へワームが蔓延することを防止するには、感染ノード数の期待値Eがそのネットワークを除いたネットワーク数を超過する直前のwの値を漏洩パケット限界数とする必要がある。図11の例では、各ルータ配下にネットワーク31〜37の7つのネットワークが存在しているので、感染ノード数の期待値Eが6を超過する直前のwの値を漏洩パケット限界数とする必要がある。
このように、感染力pの求め方と漏洩パケット限界数wの求め方が異なる点を除けば、ワーム対策がルータに導入されている場合であっても、ワーム対策パラメータ決定装置100は、実施例1に示した方法と同様の方法でワーム対策パラメータを決定することができる。
次に、本実施例におけるワーム対策パラメータ決定装置100の処理手順について説明する。図12は、本実施例におけるワーム対策パラメータ決定装置100の処理手順を示すフローチャートである。
同図に示すように、ワーム対策パラメータ決定装置100は、ワーム対策パラメータを決定する対象のネットワークのノード数の入力を受け付ける(ステップS201)。そして、感染力算出部111が、入力されたノード数に基づいて感染力pを算出する(ステップS202)。感染力pの算出においては、数式2−2のように感染対象となる各ネットワークに接続されているノード数から、ルータ配下のノード数が減算される。
続いて、漏洩パケット限界数導出部112が、一つの感染ノードから送信されるワームパケット数wを1に初期化する(ステップS203)。そして、pとwを感染ノード数予測部113に指定して、時間Tが十分大きい場合の感染ノード数の期待値Eを算出させる(ステップS204)。ここで、感染ノード数が所定の上限値を超過していなければ(ステップS205否定)、wに1を加算し(ステップS206)、ステップS204に復帰して感染ノード数予測部113に感染ノード数の期待値Eを算出させる。
所定の上限値とは、具体的には、各ルータ配下のネットワークの総数から感染源となるネットワークに相当する1を減算した値であり、予めワーム対策パラメータ決定装置100に登録しておくこともできるし、ステップS201においてノード数と共に入力させることもできる。
感染ノード数の期待値Eが所定の上限値を超過していれば(ステップS205肯定)、漏洩パケット限界数導出部112は、wから1を減算した値を漏洩パケット限界数とする(ステップS207)。そして、対策パラメータ算出部114が、ワームの拡散速度とワーム対策手段の遮断時間を記憶部120から取得し(ステップS208)、これらの値と漏洩パケット限界数導出部112によって求められた漏洩パケット限界数に基づいてワーム対策パラメータを算出する(ステップS209)。
上述してきたように、感染力pの求め方と漏洩パケット限界数wの求め方を変更することにより、ワーム対策パラメータ決定装置100は、ルータ等の伝送装置に導入されているワーム対策手段のためのワーム対策パラメータを求めることもできる。
実施例1および2では、ノード数を入力としてワーム対策パラメータを求める例について説明したが、逆に、ワーム対策パラメータを入力としてノード数を求めることもできる。そこで、本実施例では、ワーム対策パラメータを入力としてノード数を求める例について説明することとする。
まず、本実施例に係るノード数決定装置400の配置について説明する。図13は、本実施例に係るノード数決定装置400の配置例を示す図である。
同図に示したノード数決定装置400は、ワーム対策パラメータを入力としてそのワーム対策パラメータを適用してワームの蔓延を防止することができるノード数を決定する装置であり、ネットワーク31と接続されている。このネットワーク31には、ノード501〜502や、ネットワーク31をネットワーク32と接続させるためのルータ600や、ノード501〜502に対してIPアドレスを割り当てるDHCP(Dynamic Host Configuration Protocol)サーバ700も接続されている。
そして、ノード501〜502には、他ノードから自ノードへのワームの感染と、自ノードから他ノードへのワームの感染を防止するための手段であるワーム対策プログラムやファイアウォールプログラム等のワーム対策手段510が導入されている。本実施例では、同様に、ネットワークに接続されている全てのノードにワーム対策手段510が導入されているものとする。
そして、ワーム対策手段510には、ワーム対策パラメータとして遮断限界時間sが指定されている。この遮断限界時間sは、ワーム対策手段510の性能(例えば、遮断時間、すなわち、ワームの遮断を開始してから遮断が完了するまでの時間等)を考慮して設定された最小の時間であり、これ以上短くすることはできないものとする。
このようにワーム対策手段510のワーム対策パラメータを変更することができない環境においてワームの蔓延を防止するには、ネットワークに接続されるノード数を制御する必要がある。そこで、ノード数決定装置400は、遮断限界時間がsである場合に未知のワームの蔓延を防止することができるノード数の上限値を求め、DHCPサーバ700にその数以上のIPアドレスを割り振らないように指示する。
なお、ノード数決定装置400は、必ずしもネットワーク31に接続されている必要はなく、オフラインでノード数を求めるように構成することもできる。また、ノード数決定装置400もしくはこれと同様の機能を備えたプログラムを、ルータ600もしくはDHCPサーバ700に内蔵させることもできる。また、ノード数決定装置400が求めた上限値以上のノードをネットワークへ接続させないために、DHCPサーバ700以外の手段を利用することもできる。
次に、本実施例に係るノード数決定装置400の構成について説明する。図14は、本実施例に係るノード数決定装置400の構成を示す機能ブロック図である。同図に示すように、ノード数決定装置400は、遮断限界時間等のワーム対策パラメータとnc以外のノード数を入力とし、ノード数ncを出力とする装置であり、制御部410と、記憶部420とを有する。
制御部410は、ノード数決定装置400を全体制御する制御部であり、漏洩パケット限界数算出部411と、ノード限界数導出部412と、感染力算出部111と、感染ノード数予測部113とを有する。感染力算出部111および感染ノード数予測部113は、図5にて示した感染力算出部111および感染ノード数予測部113と同様の処理部である。
漏洩パケット限界数算出部411は、入力されたワーム対策パラメータに基づいて漏洩パケット限界数を算出する処理部である。具体的には、漏洩パケット限界数算出部411は、図3−1に示した遮断開始までに漏洩を許容できるパケット数や、図3−2に示した遮断限界時間等に基づいて漏洩パケット限界数wの算出を行う。
漏洩パケット限界数算出部411は、漏洩パケット限界数wを算出するためにワームの拡散速度が必要であれば、その情報を記憶部420のワーム特性情報121から取得し、ワーム対策手段の遮断時間が必要であれば、その情報を記憶部420のワーム対策手段性能情報122から取得する。
ノード限界数導出部412は、漏洩パケット限界数算出部411により算出された漏洩パケット限界数と、入力されたnc以外のノード数とに基づいて、ワームを蔓延させないためのncの上限数を導出する処理部である。
具体的には、ノード限界数導出部412は、仮のncを1から順に1ずつ加算しながら他のノード数の情報とともに感染力算出部111に指定して感染力pを算出させ、ノード限界数導出部412により算出された感染力pと漏洩パケット限界数算出部411により算出された漏洩パケット限界数wを指定して感染ノード数予測部113に感染ノード数の期待値を算出させる。そして、期待値Eが∞となる直前の仮のncの値を、ワームを蔓延させないためのncの上限数とする。
記憶部420は、各種情報を記憶する記憶部であり、ワーム特性情報121と、ワーム対策手段性能情報122とを記憶する。ワーム特性情報121およびワーム対策手段性能情報122は、図5にて示したワーム特性情報121およびワーム対策手段性能情報122と同様の情報である。
なお、漏洩パケット限界数算出部411等が処理に用いるワーム対策パラメータとnc以外のノード数は、図示しないキーボード等の入力手段により入力されるものとしてもよいし、ネットワークを経由して入力されるものとしてもよいし、記憶部420に予め記憶されているものとしてもよい。
また、本実施例では、ワーム対策パラメータとnc以外のノード数を入力とし、ワームを蔓延させないためのncの上限数を出力する例について説明しているが、ncを入力に含めて、ワームを蔓延させないためのn、naもしくはnbの上限数を出力するように構成することもできる。
次に、ノード数決定装置400の処理手順について説明する。図15は、ノード数決定装置400の処理手順を示すフローチャートである。
同図に示すように、ノード数決定装置400は、nc以外のノード数の入力を受け付け(ステップS301)、さらに、ワーム対策パラメータの入力を受け付ける(ステップS302)。そして、漏洩パケット限界数算出部411が、ワームの拡散速度とワーム対策手段の遮断時間を記憶部120から取得し(ステップS303)、これらの値と入力された値に基づいて漏洩パケット限界数wを算出する(ステップS304)。
続いて、ノード限界数導出部412が、仮のncを1に初期化する(ステップS305)。そして、入力されたノード数と仮のncを感染力算出部111に指定して感染力pを算出させ(ステップS306)、さらに、算出された感染力pと漏洩パケット限界数wを感染ノード数予測部113に指定して、時間Tが十分大きい場合の感染ノード数の期待値Eを算出させる(ステップS307)。
ここで、感染ノード数の期待値Eが∞でなければ(ステップS308否定)、仮のncに1を加算し(ステップS309)、ステップS306に復帰して感染力pと感染ノード数の期待値Eの算出を再実行する。感染ノード数の期待値Eが∞であれば(ステップS308肯定)、ノード限界数導出部412は、仮のncから1を減算した値をncの上限数とする(ステップS310)。
なお、ncを仮の値としてncの上限数を求める代わりに、感染力pを仮の値としてncの上限数を求めることもできる。この場合の処理手順を図16に示す。
同図に示すように、ノード数決定装置400は、nc以外のノード数の入力を受け付け(ステップS401)、さらに、ワーム対策パラメータの入力を受け付ける(ステップS402)。そして、漏洩パケット限界数算出部411が、ワームの拡散速度とワーム対策手段の遮断時間を記憶部120から取得し(ステップS403)、これらの値と入力された値に基づいて漏洩パケット限界数wを算出する(ステップS404)。
続いて、ノード限界数導出部412が、仮の感染力pを0.001に初期化する(ステップS405)。そして、仮の感染力pと算出された漏洩パケット限界数wを感染ノード数予測部113に指定して、時間Tが十分大きい場合の感染ノード数の期待値Eを算出させる(ステップS406)。
ここで、感染ノード数の期待値Eが∞でなければ(ステップS407否定)、仮の感染力pに0.001を加算し(ステップS408)、ステップS406に復帰して感染ノード数の期待値Eの算出を再実行する。
感染ノード数の期待値Eが∞であれば(ステップS407肯定)、ノード限界数導出部412は、仮の感染力pとnc以外のノード数を感染力算出部111に指定してncを逆算させ(ステップS409)、算出されたncから1を減算した値をncの上限数とする(ステップS410)。
なお、上記の処理手順では、仮の感染力pを0.001ずつ増加させているが、増加の幅はこの通りである必要はない。
上記実施例で説明してきたノード数決定装置400の機能は、あらかじめ用意されたノード数決定プログラムをコンピュータで実行することによって実現することもできる。ノード数決定を実行するコンピュータの構成は、図8に示したコンピュータ1000と同様のものとなる。
上述してきたように、本実施例3では、ワーム対策装置の設定等に基づいてワームが蔓延することがないノード数の上限を算出するように構成したので、ワーム対策装置の設定変更によってワームの蔓延を防止することができない場合であっても、ノード数を制限することによってワームの蔓延を防止することができる。
(付記1)ワームを蔓延させないことを目的として、ワーム対策手段がワームによる通信の遮断を開始するタイミングを制御するためのパラメータを決定するワーム対策パラメータ決定プログラムであって、
ネットワークに接続されているノードの数に基づいて前記ワームの感染力を算出する感染力算出手順と、
前記感染力算出手順によって算出された感染力に基づいて前記ワームが所定の数のパケットを送信した場合における感染ノード数の期待値を算出する感染ノード数予測手順と
をコンピュータに実行させることを特徴とするワーム対策パラメータ決定プログラム。
(付記2)前記感染力算出手順は、前記ワームが、自身が感染しているノードのネットワークアドレスを基準として所定のパターンのネットワークアドレスを有するノード群の一つのノードを感染先として選択する確率と、前記所定のパターンのネットワークアドレスを有するノード群の数とに基づいて前記ワームの感染力を算出することを特徴とする付記1に記載のワーム対策パラメータ決定プログラム。
(付記3)前記ワームによっていくつのパケットが送信されたとしたときに、前記感染ノード数予測手順により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのパケット数を一つの感染源から漏洩させることが許容されるパケット数の上限として導出する漏洩パケット数導出手順をさらにコンピュータに実行させることを特徴とする付記1または2に記載のワーム対策パラメータ決定プログラム。
(付記4)前記漏洩パケット数導出手順によって導出されたパケット数と、前記ワーム対策手段が遮断を開始してから遮断が完了するまでに漏洩するパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を開始するまでに漏洩させることが許容されるパケット数の上限を算出するワーム対策パラメータ算出手順をさらにコンピュータに実行させることを特徴とする付記3に記載のワーム対策パラメータ決定プログラム。
(付記5)前記漏洩パケット数導出手順によって導出されたパケット数と、前記ワームの拡散速度とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了させるまでの時間の上限を算出するワーム対策パラメータ算出手順をさらにコンピュータに実行させることを特徴とする付記3に記載のワーム対策パラメータ決定プログラム。
(付記6)前記ワームによっていくつのパケットが送信されたとしたときに、前記感染ノード数予測手順により算出される感染ノード数の期待値が所定の上限値を超過するかを求め、このときのパケット数を一つの感染源から漏洩させることが許容されるパケット数の上限として導出する漏洩パケット数導出手順をさらにコンピュータに実行させることを特徴とする付記1または2に記載のワーム対策パラメータ決定プログラム。
(付記7)前記漏洩パケット数導出手順によって導出されたパケット数と、前記ワーム対策手段が遮断を開始してから遮断が完了するまでに漏洩するパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を開始するまでに漏洩させることが許容されるパケット数の上限を算出するワーム対策パラメータ算出手順をさらにコンピュータに実行させることを特徴とする付記6に記載のワーム対策パラメータ決定プログラム。
(付記8)前記漏洩パケット数導出手順によって導出されたパケット数と、前記ワームの拡散速度とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了させるまでの時間の上限を算出するワーム対策パラメータ算出手順をさらにコンピュータに実行させることを特徴とする付記6に記載のワーム対策パラメータ決定プログラム。
(付記9)前記感染力算出手順は、前記ノードの数にワームの感染防止のための処置が施されていないノードの比率を乗じて得た値をノードの数として前記ワームの感染力を算出することを特徴とする付記1〜8のいずれか一つに記載のワーム対策パラメータ決定プログラム。
(付記10)ワームを蔓延させないことを目的として、ワーム対策手段がワームによる通信の遮断を開始するタイミングを制御するためのパラメータを決定するワーム対策パラメータ決定装置であって、
ネットワークに接続されているノードの数に基づいて前記ワームの感染力を算出する感染力算出手段と、
前記感染力算出手段によって算出された感染力に基づいて前記ワームが所定の数のパケットを送信した場合における感染ノード数の期待値を算出する感染ノード数予測手段と
を備えたことを特徴とするワーム対策パラメータ決定装置。
(付記11)前記感染力算出手段は、前記ワームが、自身が感染しているノードのネットワークアドレスを基準として所定のパターンのネットワークアドレスを有するノード群の一つのノードを感染先として選択する確率と、前記所定のパターンのネットワークアドレスを有するノード群の数とに基づいて前記ワームの感染力を算出することを特徴とする付記10に記載のワーム対策パラメータ決定装置。
(付記12)前記ワームによっていくつのパケットが送信されたとしたときに、前記感染ノード数予測手段により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのパケット数を一つの感染源から漏洩させることが許容されるパケット数の上限として導出する漏洩パケット数導出手段をさらに備えたことを特徴とする付記10または11に記載のワーム対策パラメータ決定装置。
(付記13)前記漏洩パケット数導出手段によって導出されたパケット数と、前記ワーム対策手段が遮断を開始してから遮断が完了するまでに漏洩するパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を開始するまでに漏洩させることが許容されるパケット数の上限を算出するワーム対策パラメータ算出手段さらに備えたことを特徴とする付記12に記載のワーム対策パラメータ決定装置。
(付記14)前記漏洩パケット数導出手段によって導出されたパケット数と、前記ワームの拡散速度とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了させるまでの時間の上限を算出するワーム対策パラメータ算出手段さらに備えたことを特徴とする付記12に記載のワーム対策パラメータ決定装置。
(付記15)前記ワームによっていくつのパケットが送信されたとしたときに、前記感染ノード数予測手段により算出される感染ノード数の期待値が所定の上限値を超過するかを求め、このときのパケット数を一つの感染源から漏洩させることが許容されるパケット数の上限として導出する漏洩パケット数導出手段をさらに備えたことを特徴とする付記10または11に記載のワーム対策パラメータ決定装置。
(付記16)前記漏洩パケット数導出手段によって導出されたパケット数と、前記ワーム対策手段が遮断を開始してから遮断が完了するまでに漏洩するパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を開始するまでに漏洩させることが許容されるパケット数の上限を算出するワーム対策パラメータ算出手段をさらに備えたことを特徴とする付記15に記載のワーム対策パラメータ決定装置。
(付記17)前記漏洩パケット数導出手段によって導出されたパケット数と、前記ワームの拡散速度とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了させるまでの時間の上限を算出するワーム対策パラメータ算出手段をさらに備えたことを特徴とする付記15に記載のワーム対策パラメータ決定装置。
(付記18)前記感染力算出手段は、前記ノードの数にワームの感染防止のための処置が施されていないノードの比率を乗じて得た値をノードの数として前記ワームの感染力を算出することを特徴とする付記10〜17のいずれか一つに記載のワーム対策パラメータ決定装置。
(付記19)ワーム対策手段がワームによる通信の遮断を所定のタイミングまでに開始するように設定されている場合に、ワームを蔓延させないことを目的として、ネットワークに接続可能なノード数を決定するノード数決定プログラムであって、
前記ワーム対策手段がワームによる通信の遮断を完了するまでに一つの感染源から送信されたパケットが漏洩し得る数を算出する漏洩パケット限界数算出手順と、
ネットワークに接続されているノードの数に基づいて算出される前記ワームの感染力と、前記漏洩パケット限界数算出手順により算出されたパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了するまでにワームに感染するノード数の期待値を算出する感染ノード数予測手順と、
ネットワークに接続されているノードの数をいくつとした場合に、前記感染ノード数予測手順により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのノード数をネットワークに接続可能なノード数の上限として導出するノード限界数導出手順と
をコンピュータに実行させることを特徴とするノード数決定プログラム。
(付記20)ワーム対策手段がワームによる通信の遮断を所定のタイミングまでに開始するように設定されている場合に、ワームを蔓延させないことを目的として、ネットワークに接続可能なノード数を決定するノード数決定装置であって、
前記ワーム対策手段がワームによる通信の遮断を完了するまでに一つの感染源から送信されたパケットが漏洩し得る数を算出する漏洩パケット限界数算出手段と、
ネットワークに接続されているノードの数に基づいて算出される前記ワームの感染力と、前記漏洩パケット限界数算出手段により算出されたパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了するまでにワームに感染するノード数の期待値を算出する感染ノード数予測手段と、
ネットワークに接続されているノードの数をいくつとした場合に、前記感染ノード数予測手段により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのノード数をネットワークに接続可能なノード数の上限として導出するノード限界数導出手段と
を備えたことを特徴とするノード数決定装置。
(付記21)ワーム対策手段がワームによる通信の遮断を所定のタイミングまでに開始するように設定されている場合に、ワームを蔓延させないことを目的として、ネットワークに接続可能なノード数を制限するノード数制限システムであって、
前記ワーム対策手段がワームによる通信の遮断を完了するまでに一つの感染源から送信されたパケットが漏洩し得る数を算出する漏洩パケット限界数算出手段と、
ネットワークに接続されているノードの数に基づいて算出される前記ワームの感染力と、前記漏洩パケット限界数算出手段により算出されたパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了するまでにワームに感染するノード数の期待値を算出する感染ノード数予測手段と、
ネットワークに接続されているノードの数をいくつとした場合に、前記感染ノード数予測手段により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのノード数をネットワークに接続可能なノード数の上限として導出するノード限界数導出手段と、
前記ノード限界数導出手段によって導出されたネットワークに接続可能なノード数の上限を限度としてノードに対してネットワークアドレスを割り当てるネットワークアドレス割り当て手段と、
を備えたことを特徴とするノード数制限システム。
以上のように、本発明に係るワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システムは、ワームへの対策に有用であり、特に、ワームの蔓延を防止することが必要な場合に適している。
ワームの感染力について説明するための説明図である。 ワームの感染力について説明するための説明図である。 一つの感染ノードから送信されるワームパケット数と感染ノード数の関連の一例を示すサンプル図である。 ワーム対策パラメータの算出方式について説明するための説明図である。 ワーム対策パラメータの算出方式について説明するための説明図である。 本実施例に係るワーム対策パラメータ決定装置の配置例を示す図である。 本実施例に係るワーム対策パラメータ決定装置の構成を示す機能ブロック図である。 ワーム特性情報のデータ構成の一例を示す図である。 ワーム対策パラメータ決定装置の処理手順を示すフローチャートである。 ワーム対策パラメータ決定プログラムを実行するコンピュータを示す機能ブロック図である。 本実施例におけるワーム対策パラメータ決定装置の配置例を示す図である。 ワームの感染力について説明するための説明図である。 企業ネットワークの一例を示す図である。 ワーム対策パラメータ決定装置の処理手順を示すフローチャートである。 本実施例に係るノード数決定装置の配置例を示す図である。 本実施例に係るノード数決定装置の構成を示す機能ブロック図である。 ノード数決定装置の処理手順を示すフローチャートである。 ノード数決定装置の処理手順を示すフローチャートである。
符号の説明
10 感染ノード
21 *.*.*.*のネットワーク
22 A.*.*.*のネットワーク
23 A.B.*.*のネットワーク
24 A.B.C.*のネットワーク
31〜37 ネットワーク
100 ワーム対策パラメータ決定装置
110 制御部
111 感染力算出部
112 漏洩パケット限界数導出部
113 感染ノード数予測部
114 対策パラメータ算出部
120 記憶部
121 ワーム特性情報
122 ワーム対策手段性能情報
201〜202 ノード
210 ワーム対策手段
300〜305 ルータ
310 ワーム対策手段
400 ノード数決定装置
410 制御部
411 漏洩パケット限界数算出部
412 ノード限界数導出部
420 記憶部
501〜502 ノード
510 ワーム対策手段
600 ルータ
700 DHCPサーバ
1000 コンピュータ
1010 CPU
1020 入力装置
1030 モニタ
1040 媒体読取り装置
1050 ネットワークインターフェース装置
1060 RAM
1061 ワーム対策パラメータ決定プロセス
1070 ハードディスク装置
1071 ワーム対策パラメータ決定プログラム
1072 ワーム対策パラメータ決定用データ
1080 バス

Claims (10)

  1. ワームを蔓延させないことを目的として、ワーム対策手段がワームによる通信の遮断を開始するタイミングを制御するためのパラメータを決定するワーム対策パラメータ決定プログラムであって、
    ネットワークに接続されているノードの数に基づいて前記ワームの感染力を算出する感染力算出手順と、
    前記感染力算出手順によって算出された感染力に基づいて前記ワームが所定の数のパケットを送信した場合における感染ノード数の期待値を算出する感染ノード数予測手順と
    をコンピュータに実行させることを特徴とするワーム対策パラメータ決定プログラム。
  2. 前記感染力算出手順は、前記ワームが、自身が感染しているノードのネットワークアドレスを基準として所定のパターンのネットワークアドレスを有するノード群の一つのノードを感染先として選択する確率と、前記所定のパターンのネットワークアドレスを有するノード群の数とに基づいて前記ワームの感染力を算出することを特徴とする請求項1に記載のワーム対策パラメータ決定プログラム。
  3. 前記ワームによっていくつのパケットが送信されたとしたときに、前記感染ノード数予測手順により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのパケット数を一つの感染源から漏洩させることが許容されるパケット数の上限として導出する漏洩パケット数導出手順をさらにコンピュータに実行させることを特徴とする請求項1または2に記載のワーム対策パラメータ決定プログラム。
  4. 前記漏洩パケット数導出手順によって導出されたパケット数と、前記ワーム対策手段が遮断を開始してから遮断が完了するまでに漏洩するパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を開始するまでに漏洩させることが許容されるパケット数の上限を算出するワーム対策パラメータ算出手順をさらにコンピュータに実行させることを特徴とする請求項3に記載のワーム対策パラメータ決定プログラム。
  5. 前記漏洩パケット数導出手順によって導出されたパケット数と、前記ワームの拡散速度とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了させるまでの時間の上限を算出するワーム対策パラメータ算出手順をさらにコンピュータに実行させることを特徴とする請求項3に記載のワーム対策パラメータ決定プログラム。
  6. 前記ワームによっていくつのパケットが送信されたとしたときに、前記感染ノード数予測手順により算出される感染ノード数の期待値が所定の上限値を超過するかを求め、このときのパケット数を一つの感染源から漏洩させることが許容されるパケット数の上限として導出する漏洩パケット数導出手順をさらにコンピュータに実行させることを特徴とする請求項1または2に記載のワーム対策パラメータ決定プログラム。
  7. ワームを蔓延させないことを目的として、ワーム対策手段がワームによる通信の遮断を開始するタイミングを制御するためのパラメータを決定するワーム対策パラメータ決定装置であって、
    ネットワークに接続されているノードの数に基づいて前記ワームの感染力を算出する感染力算出手段と、
    前記感染力算出手段によって算出された感染力に基づいて前記ワームが所定の数のパケットを送信した場合における感染ノード数の期待値を算出する感染ノード数予測手段と
    を備えたことを特徴とするワーム対策パラメータ決定装置。
  8. ワーム対策手段がワームによる通信の遮断を所定のタイミングまでに開始するように設定されている場合に、ワームを蔓延させないことを目的として、ネットワークに接続可能なノード数を決定するノード数決定プログラムであって、
    前記ワーム対策手段がワームによる通信の遮断を完了するまでに一つの感染源から送信されたパケットが漏洩し得る数を算出する漏洩パケット限界数算出手順と、
    ネットワークに接続されているノードの数に基づいて算出される前記ワームの感染力と、前記漏洩パケット限界数算出手順により算出されたパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了するまでにワームに感染するノード数の期待値を算出する感染ノード数予測手順と、
    ネットワークに接続されているノードの数をいくつとした場合に、前記感染ノード数予測手順により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのノード数をネットワークに接続可能なノード数の上限として導出するノード限界数導出手順と
    をコンピュータに実行させることを特徴とするノード数決定プログラム。
  9. ワーム対策手段がワームによる通信の遮断を所定のタイミングまでに開始するように設定されている場合に、ワームを蔓延させないことを目的として、ネットワークに接続可能なノード数を決定するノード数決定装置であって、
    前記ワーム対策手段がワームによる通信の遮断を完了するまでに一つの感染源から送信されたパケットが漏洩し得る数を算出する漏洩パケット限界数算出手段と、
    ネットワークに接続されているノードの数に基づいて算出される前記ワームの感染力と、前記漏洩パケット限界数算出手段により算出されたパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了するまでにワームに感染するノード数の期待値を算出する感染ノード数予測手段と、
    ネットワークに接続されているノードの数をいくつとした場合に、前記感染ノード数予測手段により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのノード数をネットワークに接続可能なノード数の上限として導出するノード限界数導出手段と
    を備えたことを特徴とするノード数決定装置。
  10. ワーム対策手段がワームによる通信の遮断を所定のタイミングまでに開始するように設定されている場合に、ワームを蔓延させないことを目的として、ネットワークに接続可能なノード数を制限するノード数制限システムであって、
    前記ワーム対策手段がワームによる通信の遮断を完了するまでに一つの感染源から送信されたパケットが漏洩し得る数を算出する漏洩パケット限界数算出手段と、
    ネットワークに接続されているノードの数に基づいて算出される前記ワームの感染力と、前記漏洩パケット限界数算出手段により算出されたパケット数とに基づいて、前記ワーム対策手段がワームによる通信の遮断を完了するまでにワームに感染するノード数の期待値を算出する感染ノード数予測手段と、
    ネットワークに接続されているノードの数をいくつとした場合に、前記感染ノード数予測手段により算出される感染ノード数の期待値が有限の最大値となるかを求め、このときのノード数をネットワークに接続可能なノード数の上限として導出するノード限界数導出手段と、
    前記ノード限界数導出手段によって導出されたネットワークに接続可能なノード数の上限を限度としてノードに対してネットワークアドレスを割り当てるネットワークアドレス割り当て手段と、
    を備えたことを特徴とするノード数制限システム。
JP2006071791A 2006-03-15 2006-03-15 ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システム Pending JP2007249579A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2006071791A JP2007249579A (ja) 2006-03-15 2006-03-15 ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システム
EP06253601A EP1835429A3 (en) 2006-03-15 2006-07-10 Anti-worm-measure parameter determining apparatus, number-of-nodes determining apparatus, number-of-nodes limiting system, and computer product
US11/485,807 US7926110B2 (en) 2006-03-15 2006-07-13 Anti-worm-measure parameter determining apparatus, number-of-nodes determining apparatus, number-of-nodes limiting system, and computer product
US13/041,961 US20110162071A1 (en) 2006-03-15 2011-03-07 Anit-worm-measure parameter determining apparatus, number-of-nodes determining apparatus, number-of-nodes limiting system, and computer product

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006071791A JP2007249579A (ja) 2006-03-15 2006-03-15 ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システム

Publications (1)

Publication Number Publication Date
JP2007249579A true JP2007249579A (ja) 2007-09-27

Family

ID=37232955

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006071791A Pending JP2007249579A (ja) 2006-03-15 2006-03-15 ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システム

Country Status (3)

Country Link
US (2) US7926110B2 (ja)
EP (1) EP1835429A3 (ja)
JP (1) JP2007249579A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101283565B1 (ko) * 2011-12-14 2013-07-08 서울대학교산학협력단 웜 전파 모델 시뮬레이션 방법
WO2020090497A1 (ja) * 2018-10-31 2020-05-07 日本電信電話株式会社 感染確率算出装置、感染確率算出方法、および、感染確率算出プログラム

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8272061B1 (en) * 2002-10-01 2012-09-18 Skyobox security Inc. Method for evaluating a network
US8407798B1 (en) 2002-10-01 2013-03-26 Skybox Secutiry Inc. Method for simulation aided security event management
US8073384B2 (en) * 2006-12-14 2011-12-06 Elster Electricity, Llc Optimization of redundancy and throughput in an automated meter data collection system using a wireless network
CA2710696C (en) 2007-12-26 2016-05-17 Andrew J. Borleske Optimized data collection in a wireless fixed network metering system
US8289884B1 (en) * 2008-01-14 2012-10-16 Dulles Research LLC System and method for identification of unknown illicit networks
US7743419B1 (en) * 2009-10-01 2010-06-22 Kaspersky Lab, Zao Method and system for detection and prediction of computer virus-related epidemics
JP6834768B2 (ja) * 2017-05-17 2021-02-24 富士通株式会社 攻撃検知方法、攻撃検知プログラムおよび中継装置
GB201804776D0 (en) * 2018-03-25 2018-05-09 British Telecomm Malware Barrier
CN111886841B (zh) 2018-03-25 2022-10-14 英国电讯有限公司 保护计算机网络的一部分免受恶意软件攻击的方法,可读存储介质
WO2019185404A1 (en) * 2018-03-25 2019-10-03 British Telecommunications Public Limited Company Malware infection prediction
GB2602628B (en) * 2020-12-31 2023-03-29 British Telecomm Identifying Computer Systems for Malware Infection Mitigation

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6205552B1 (en) * 1998-12-31 2001-03-20 Mci Worldcom, Inc. Method and apparatus for checking security vulnerability of networked devices
US7418729B2 (en) * 2002-07-19 2008-08-26 Symantec Corporation Heuristic detection of malicious computer code by page tracking
US7308716B2 (en) * 2003-05-20 2007-12-11 International Business Machines Corporation Applying blocking measures progressively to malicious network traffic
US20050050337A1 (en) * 2003-08-29 2005-03-03 Trend Micro Incorporated, A Japanese Corporation Anti-virus security policy enforcement
JP4051020B2 (ja) 2003-10-28 2008-02-20 富士通株式会社 ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置
US7434297B1 (en) * 2003-11-17 2008-10-14 Symantec Corporation Tracking computer infections
NO321340B1 (no) * 2003-12-30 2006-05-02 Telenor Asa Fremgangsmate for a administrere nettverk ved analyse av konnektivitet
US7607021B2 (en) * 2004-03-09 2009-10-20 Cisco Technology, Inc. Isolation approach for network users associated with elevated risk
US7441272B2 (en) * 2004-06-09 2008-10-21 Intel Corporation Techniques for self-isolation of networked devices
US7603715B2 (en) * 2004-07-21 2009-10-13 Microsoft Corporation Containment of worms
US7797749B2 (en) * 2004-11-03 2010-09-14 Intel Corporation Defending against worm or virus attacks on networks
US7490355B2 (en) * 2005-06-16 2009-02-10 Chung Shan Institute Of Science And Technology Method of detecting network worms
JP2007013343A (ja) * 2005-06-28 2007-01-18 Fujitsu Ltd ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6010070747, Sarah H. Sellke Ness B. Shroff Saurabh Bagchi, "Modeling and Automated Containment of Worms", Proceedings of the 2005 International Conference on Dependable Systems and Networks (DSN’05), 20050628, p.528−p.537, IEEE *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101283565B1 (ko) * 2011-12-14 2013-07-08 서울대학교산학협력단 웜 전파 모델 시뮬레이션 방법
WO2020090497A1 (ja) * 2018-10-31 2020-05-07 日本電信電話株式会社 感染確率算出装置、感染確率算出方法、および、感染確率算出プログラム

Also Published As

Publication number Publication date
US20110162071A1 (en) 2011-06-30
US20070220606A1 (en) 2007-09-20
EP1835429A2 (en) 2007-09-19
US7926110B2 (en) 2011-04-12
EP1835429A3 (en) 2010-11-24

Similar Documents

Publication Publication Date Title
JP2007249579A (ja) ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システム
US9467459B2 (en) System and method for detection of rogue routers in a computing network
EP2615793A1 (en) Methods and systems for protecting network devices from intrusion
CN107800668B (zh) 一种分布式拒绝服务攻击防御方法、装置及系统
US8955049B2 (en) Method and a program for controlling communication of target apparatus
JP5527216B2 (ja) 識別情報管理システム、識別情報の生成方法及び管理方法、端末、並びに生成及び管理プログラム
CN112073376A (zh) 一种基于数据面的攻击检测方法及设备
Santos et al. Assessment of connectivity-based resilience to attacks against multiple nodes in SDNs
CN114338510A (zh) 控制和转发分离的数据转发方法和系统
US20070147397A1 (en) Methods, communication networks, and computer program products for configuring a communication tunnel for traffic based on whether a network element can be trusted
US20220239671A1 (en) Impeding forecast threat propagation in computer networks
CN103457794B (zh) 确定ip承载网故障的方法和系统
TWI736916B (zh) 非法ap之檢測抑制裝置、方法及電腦可讀取存儲介質
US10015179B2 (en) Interrogating malware
KR101606088B1 (ko) 악성 코드 탐지 방법 및 장치
KR102046612B1 (ko) Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법
WO2021001237A1 (en) Impeding location threat propagation in computer networks
WO2021001235A1 (en) Impeding threat propagation in computer network
CN111343072B (zh) 开放异构多隧道自适应数据通信方法、设备和存储介质
JP6964829B2 (ja) ネットワークセキュリティ装置、ネットワークセキュリティシステムおよびネットワークセキュリティ方法
CN104243465A (zh) 一种基于wlan的ipsec的实现方法及装置
US20230156035A1 (en) METHOD AND APPARATUS FOR DETECTING DDoS ATTACKS
Liu et al. Community Cleanup: Incentivizing Network Hygiene via Distributed Attack Reporting
CN114205096B (zh) 一种ddos攻击防御方法及装置
TW201840165A (zh) 自動探知網際網路協定位址裝置存在之管控系統及其管控方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080605

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110207

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110301