JP2008135984A - ウィルス感染監視装置およびプログラム - Google Patents

ウィルス感染監視装置およびプログラム Download PDF

Info

Publication number
JP2008135984A
JP2008135984A JP2006320631A JP2006320631A JP2008135984A JP 2008135984 A JP2008135984 A JP 2008135984A JP 2006320631 A JP2006320631 A JP 2006320631A JP 2006320631 A JP2006320631 A JP 2006320631A JP 2008135984 A JP2008135984 A JP 2008135984A
Authority
JP
Japan
Prior art keywords
address
access
network
virus
network segment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006320631A
Other languages
English (en)
Other versions
JP4381411B2 (ja
Inventor
Yasuhiro Ono
恭裕 小野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2006320631A priority Critical patent/JP4381411B2/ja
Publication of JP2008135984A publication Critical patent/JP2008135984A/ja
Application granted granted Critical
Publication of JP4381411B2 publication Critical patent/JP4381411B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワーク上の個々の機器にウィルス検出ソフトウェアをインストールすることなく、ネットワークセグメントを単位に、ネットワーク上のウィルス感染機器を検出できるウィルス感染監視装置を提供する。
【解決手段】解析部122は、パケット受信部121が受信したARPリクエストの内容からアクセス元およびアクセス先のIPアドレスを取得する処理機能と、取得したアクセス先のIPアドレスがネットワーク内IPアドレスリスト15に存在しないとき、このネットワーク内IPアドレスリスト15に存在しないアクセスが継続する回数を、送信元のIPアドレス毎にカウンタ部13により計数し保持する処理機能と、カウンタ部13の計数値をもとに、ネットワーク内IPアドレスリスト15に存在しないIPアドレスへのアクセスを試みている機器を特定し、当該機器をウィルス感染機器とみなす処理機能とを実現する。
【選択図】 図2

Description

本発明は、ネットワークセグメント上に接続された機器を対象にウィルス感染機器を検出するウィルス感染監視装置およびプログラムに関する。
ネットワーク上に於ける従来のウィルス検出は、ネットワークの入り口にあるゲートウェイ、若しくはネットワーク上の個々のクライアント機器に、ウィルス検出ソフトウェアをインストールし、このウィルス検出ソフトウェアを起動して、パケットの通過、受信時に、当該受信パケットのデータにウィルスのパターンが含まれているかをチェックしていた。
ネットワーク上の個々のコンピュータ機器にウィルス検出ソフトウェアをインストールする技術として、従来では、n台の監視操作用コンピュータと、このコンピュータの監視操作対象となるm台のプロセスコントロールステーションとをそれぞれネットワーク上に接続したプロセス制御システムにおいて、上記各監視操作用コンピュータに、定期的にウィルスチェックプログラムを起動させ、ウィルスが検出されたとき、ウィルス検出メッセージを生成する、ウィルスチェック機能を備えた装置技術が存在する。
特開平10−40097号公報
上記したネットワーク上に於ける従来のウィルス検出技術のうち、ゲートウェイにて、ウィルスを検出する場合、ウィルスに犯された機器がネットワーク内に直接、接続されると、ネットワーク内の機器は、上記ウィルスに対して無防備であるため、ウィルスに感染してしまうという問題があった。
また、ネットワーク上の個々の機器でウィルスを検出する場合、ネットワーク上の個々の機器にウィルス検出ソフトウェアをインストールする必要があるとともに、当該機器各々の処理負荷が増大するという問題があった。
本発明は、ネットワーク上の個々の機器にウィルス検出ソフトウェアをインストールすることなく、ネットワークセグメントを単位に、ネットワーク上のウィルス感染機器を検出できるウィルス感染監視装置およびプログラムを提供することを目的とする。
本発明は、ネットワークセグメントに接続された機器各々のIPアドレスを登録したIPアドレスリストと、前記機器が前記ネットワークセグメント内の他の機器にアクセスを要求する都度、前記IPアドレスリストに登録されたIPアドレスとをもとに、前記アクセスを要求した機器のアクセス先IPアドレスを監視して、前記IPアドレスリストに存在しないIPアドレスへのアクセスを試みている機器を検索し、当該検索した機器をウィルス感染機器とみなす監視処理手段とを具備したウィルス感染監視装置を提供する。
また、本発明は、ネットワークセグメント上に存在するウィルス感染機器を監視する機能を実現するコンピュータに、前記ネットワークセグメントに接続された機器各々のIPアドレスを管理するIPアドレスの管理機能と、前記ネットワークセグメントに接続された機器が前記ネットワークセグメントに接続された他の機器にアクセスを要求する都度、前記IPアドレスの管理機能が管理するIPアドレスとをもとに、前記アクセスを要求した機器のアクセス先IPアドレスを監視して、前記IPアドレスの管理機能が管理していないIPアドレスへのアクセスを試みている機器を特定し、当該機器をウィルス感染機器とみなす監視機能とを実現させるためのプログラムを提供する。
本発明によれば、ネットワーク上の個々の機器にウィルス検出ソフトウェアをインストールすることなく、ネットワークセグメントを単位に、ネットワーク上のウィルス感染機器を検出することができる。
本発明は、ネットワークセグメントを対象に、ネットワークに接続された機器から送出されるARP(address resolution protocol)リクエストを継続的に採取し監視することによって、ネットワーク内に存在しないIPアドレスへ接続を試みる機器(例えば、昇順、降順、もしくはランダムにIPアドレスを生成して、同一セグメント内の機器に接続を試みる機器)を検索し、当該機器をウィルス感染機器とみなす機能をもつウィルス感染監視装置を設ける。これによりネットワークセグメントに接続される個々のクライアント機器にウィルス検出ソフトウェアをインストールすることなく、またウィルス感染機器を検出するための特別なコマンド生成等を一切必要とせずに、ウィルス感染機器を検出することができる。
以下図面を参照して本発明の実施形態を説明する。先ず、図1乃至図4を参照して本発明の第1実施形態を説明する。
本発明の第1および第2実施形態に係るウィルス感染監視装置を備えたネットワークシステムの構成例を図1に示す。
本発明の実施形態に係るウィルス感染監視装置10は、ウィルス感染機器の検出機能を必要とするネットワークセグメント1を対象に設けられる。ネットワークセグメント1には、ウィルス感染監視装置10の監視対象として、任意の複数の機器が接続可能である。ここでは複数のパーソナルコンピュータ(PC)21,22,23,24が、ウィルス感染監視装置10の監視対象にある機器として、ウィルス感染監視装置10とともにネットワークセグメント1上に接続されている。なお、この実施形態で対象としているネットワークセグメント1はサブネットと同義であり、通常のネットワークシステムと同様に、ルーター等の中継装置を介在してセグメント相互の間が物理的に接続される。
ネットワークセグメント1に設けられたウィルス感染監視装置10は、機器(PC)21,22,23,24と同様に、プログラム処理を実行するパーソナルコンピュータ等の機器により実現される。
ウィルス感染監視装置10には、プログラム処理の実行対象として、図2に示すように、記憶部11に、監視プログラム12、カウンタ部13、履歴部14、およびネットワーク内IPアドレスリスト15等が設けられる。
監視プログラム12は、カウンタ部13、履歴部14、およびネットワーク内IPアドレスリスト15等を用いて、ネットワークセグメント1に接続された、すべての機器(PC)21,22,23,24を監視対象として、ARPリクエスト(ARPリクエストパケットのブロードキャスト)を継続的に採取し監視して、ネットワークセグメント1内に存在しないIPアドレスへ接続を試みる機器(PC)をウィルス感染機器として検出する機能を実現する。
この監視プログラム12は、パケット受信部121と、解析部122とを具備して構成される。パケット受信部121はネットワークセグメント1上に送出されたARPリクエストのブロードキャストを受信する処理機能を実現する。また解析部122はネットワークセグメント1に接続された機器各々のIPアドレスを管理するIPアドレスの管理機能と、ネットワークセグメント1に接続された機器がネットワークセグメント1に接続された他の機器にアクセスを要求する都度、上記IPアドレスの管理機能が管理するIPアドレスをもとに、アクセスを要求した機器のアクセス先IPアドレスを監視して、IPアドレスの管理機能が管理していないIPアドレスへのアクセスを試みている機器を特定し、当該機器をウィルス感染機器とみなす監視機能とを実現するもので、以下の処理機能を有する。
解析部122は、パケット受信部121が受信したARPリクエストの内容からアクセス元およびアクセス先のIPアドレスを取得する処理機能と、上記取得したアクセス先のIPアドレスがネットワーク内IPアドレスリスト15に存在しないとき、このネットワーク内IPアドレスリスト15に存在しないアクセスが継続する回数を、送信元のIPアドレス毎にカウンタ部13により計数し保持する処理機能と、上記取得したアクセス先のIPアドレスがネットワーク内IPアドレスリスト15に存在するとき、アクセス先のIPアドレスをアクセス元のIPアドレス毎に履歴部14に記録する処理機能と、上記カウンタ部13の計数値をもとに、ネットワーク内IPアドレスリスト15に存在しないIPアドレスへのアクセスを試みている機器を特定し、当該機器をウィルス感染機器とみなす処理機能とを実現する。この監視プログラム12の第1実施形態における処理手順を図3に示している。
カウンタ部13は、解析部122によりカウント制御されるもので、ネットワークセグメント1内において、当該ネットワークセグメント1に存在しないIPアドレスへ接続を試みる機器(PC)が存在するとき、そのアクセス回数を送信元(リクエスト元)のIPアドレス毎に保持する。
履歴部14は、解析部122の制御の下にアクセス履歴を記録するもので、送信元(リクエスト元)のIPアドレス毎に、送信先(リクエスト先)のIPアドレスをアクセス履歴として記録する。
ネットワーク内IPアドレスリスト15は、ネットワークセグメント1に接続された機器(PC)21,22,23,24各々のIPアドレスを記録している。本発明の第1実施形態では、このネットワーク内IPアドレスリスト15に、上記機器(PC)21,22,23,24各々のIPアドレスが予め固定的若しくは定期的に登録されるものとする。
本発明の第1実施形態に係るウィルス感染監視装置10のウィルス感染監視処理機能を図3に示すフローチャートを参照して説明する。
ネットワークセグメント1に接続されたウィルス感染監視装置10は、監視プログラム12に従い、図3に示す処理手順に従いウィルス感染監視処理を実行する。
ネットワークセグメント1上に接続された機器(PC)21,22,23,24は、機器相互間の通信に際してARPリクエストのブロードキャストをネットワークセグメント1上に送出する。
パケット受信部121は、ネットワークセグメント1上の機器(例えばPC21)から送出されたARPリクエスト(ARPリクエストパケットのブロードキャスト)を受信すると、当該パケットの内容を解析部122に送出する(ステップS10,S11)。
解析部122は、パケット受信部121からARPリクエストを受けると、当該ARPリクエストの内容からリクエスト元(アクセス元)およびリクエスト先(アクセス先)の各IPアドレスを取得し、リクエスト先のIPアドレスが、ネットワーク内IPアドレスリスト15に存在するか否かを判断する(ステップS12)。
ここで、上記リクエスト先のIPアドレスが、ネットワーク内IPアドレスリスト15に存在するとき(例えばリクエスト先のIPアドレスがPC22,23,24のいずれかのIPアドレスであるとき)は、当該リクエスト先(送信先)のIPアドレスをリクエスト元(送信元)のIPアドレス毎にアクセス履歴として履歴部14に記録する(ステップS13)。
また、上記リクエスト先のIPアドレスが、ネットワーク内IPアドレスリスト15に存在しないときは、当該リクエストのリクエスト元IPアドレスに対応するカウンタ部13のカウント値を1増加して、ネットワーク内IPアドレスリスト15に存在しないIPアドレスへのアクセス要求が継続して行われた回数を送信元のIPアドレス毎にカウンタ部13に保持する(ステップS14)。
さらに、この際は、上記カウンタ部13でカウントした値が所定値に達したか否かを判断し(ステップS15)、上記カウンタ部13でカウントした値が所定値に達していなければ(ステップS15 NO)、今回のARPリクエストに対する監視処理を終了する。
また、上記カウンタ部13でカウントした値が所定値に達した際は(ステップS15 YES)、当該カウント値が所定値に達したアクセス元のIPアドレスをもとに、ネットワーク内IPアドレスリスト15が管理していないIPアドレスへのアクセスを試みている機器を特定し、当該機器をウィルス感染機器とみなして、ウィルス感染機器を検出し(ステップS16)、その旨を、例えばウィルス感染監視装置10の表示機能等を用いてネットワークセグメント1の管理者に通知する(ステップS17)。なお、上記検出カウンタ部13は、上記ウィルス感染機器の検出が行われたとき、若しくは一定時間毎にクリアされる。
このようにして、ネットワーク内IPアドレスリスト15が管理していないIPアドレスへのリクエストが連続若しくは集中して行われることで、カウンタ部13のカウント値が所定(一定)の値に達した場合、送信元(リクエスト元)の機器は、無差別に他の機器へのアクセスを試みていると考えられるため、解析部122は、この送信元の機器がウィルスに感染していると判断する。
また、ウィルス感染機器がネットワークセグメント1に接続されてから、最初のリクエストが、同一セグメント内に存在する他の機器へのリクエストであった場合、この時点では、リクエスト元の機器をウィルス感染機器とは断定できない。そこで、解析部122は、リクエスト元のIPアドレス毎にリクエスト先のIPの履歴を履歴部14に記録する。この記録により、ウィルス感染機器が検出されたとき、このウィルス感染機器が過去にアクセスした他の機器を知ることができるため、感染の疑いのある機器の特定並びに検出に容易に対応することができる。
このようなウィルス感染監視装置10の監視処理により、ネットワークセグメントに接続される個々のクライアント機器にウィルス検出ソフトウェアをインストールすることなく、またウィルス感染機器を検出するための特別なコマンド生成等を一切必要とせずに、ARPリクエストパケットのブロードキャストを監視することで、例えば、昇順、降順、もしくはランダムにIPアドレスを生成して同一セグメント内の機器に接続を試みるタイプのウィルスに感染しているウィルス感染機器を検出することができる。
上記した本発明の第1実施形態に係るウィルス感染監視装置10の具体的な処理例を図4を参照して説明する。
この図4に示す構成では、ネットワークセグメント1に、ウィルスに感染されていない複数の機器PC−A,PC−B,PC−C,PC−Dが接続されている状態で、ネットワークセグメント1に、ウィルス感染機器PC−Xが接続された場合のシステム構成を例示している。
ネットワークセグメント1に、ウィルス感染機器PC−Xが接続されることによって、ネットワーク内IPアドレスリスト15に機器PC−XのIPアドレスが追加(登録)される。
ネットワークセグメント1に接続されたウィルス感染機器PC−Xは、機器PC−AのIPアドレスをリクエスト先とするARPリクエストパケットのブロードキャストをネットワークセグメント1上に送信して、ネットワークセグメント1に接続された機器PC−Aにアクセスを試みる。
このARPリクエストパケットのブロードキャストをウィルス感染監視装置10が受信する。この際、機器PC−AのIPアドレスはネットワーク内IPアドレスリスト15に登録されているため、履歴部の機器PC−Xのアクセス履歴に機器PC−AのIPアドレスを追加(記録)する。
機器PC−Xは、機器PC−EのIPアドレスをリクエスト先とするARPリクエストパケットのブロードキャストをネットワークセグメント1上に送信して、ネットワークセグメント1に存在しない機器PC−Eへアクセスを試みる。
このARPリクエストパケットのブロードキャストをウィルス感染監視装置10が受信する。この際、機器PC−EのIPアドレスはネットワーク内IPアドレスリスト15に存在しないため、カウンタ部の機器PC−Xのカウンタを1増加する。
機器PC−Xは、機器PC−FのIPアドレスをリクエスト先とするARPリクエストパケットのブロードキャストをネットワークセグメント1上に送信して、ネットワークセグメント1に存在しない機器PC−Fへアクセスを試みる。
このARPリクエストパケットのブロードキャストをウィルス感染監視装置10が受信する。この際、機器PC−FのIPアドレスはネットワーク内IPアドレスリスト15に存在しないため、カウンタ部の機器PC−Xのカウンタを1増加する。
この機器PC−Xによるネットワークセグメント1に存在しない機器PC−Fへアクセスを試みるARPリクエストが所定回数繰り返し実行されて、ィルス感染監視装置10におけるカウンタ部の機器PC−Xのカウンタの値が所定の値に達すると、ウィルス感染監視装置10は、機器PC−Xを、無差別に他の機器へのアクセスを試みているウィルス感染機器であるとみなす。
次に、上記第1実施形態で用いた図2および図4と、図5および図6に示すフローチャートを参照して本発明の第2実施形態を説明する。この第2実施形態は、上述した第1実施形態のネットワーク内IPアドレスリスト15が、ネットワークセグメント1に接続された複数の機器(PC)21,22,23,24各々のIPアドレスを機器接続構成に応じて予め固定的若しくは定期的に登録したものであったのに対して、この第2実施形態では、ネットワーク内IPアドレスリスト15へのIPアドレスの登録を一定の期限管理の下に動的に更新することによって、現在、ネットワークセグメント1内に実際に存在して動作状態にある機器のIPアドレスリストを作成し、これによって、よりウィルス感染機器の検出精度を高めている。
この機能を実現するため、解析部122は、ネットワーク内IPアドレスリスト15に登録するIPアドレスを期限管理により動的に更新するIPアドレスの更新処理手段を備える。
本発明の第2実施形態に係るウィルス感染監視装置10のウィルス感染監視処理機能を図2および図4に示す構成図と、図5および図6に示すフローチャートを参照して説明する。
ネットワークセグメント1に接続されたウィルス感染監視装置10は、監視プログラム12に従い、図5および図6に示す処理手順に従いウィルス感染監視処理を実行する。
パケット受信部121は、ネットワークセグメント1上の機器から送出されたARPリクエスト(ARPリクエストパケットのブロードキャスト)を受信すると、当該パケットの内容を解析部122に送出する(ステップS20,S21)。
解析部122はパケット受信部121からARPリクエストを受けると、当該ARPリクエストの内容からリクエスト元(アクセス元)およびリクエスト先(アクセス先)の各IPアドレスを取得し、取得したリクエスト元(アクセス元)のIPアドレスに有効期限を付加して、当該有効期限付のIPアドレスをネットワーク内IPアドレスリスト15に追加(登録)する。また、有効期限の切れたIPアドレスについては、接続性を確認するためのピング(ping)コマンドにより、稼働状態を確認し、ネットワークセグメント1上で稼働状態にない機器のIPアドレスをネットワーク内IPアドレスリスト15から削除する(ステップS22,S23)。このネットワーク内IPアドレスリスト15に登録されたIPアドレスの期限管理については図6を参照して後述する。
ここで、ネットワークセグメント1に、ウィルス感染機器PC−Xが接続されると、上記ネットワーク内IPアドレスリスト15の更新処理によって、ネットワーク内IPアドレスリスト15に機器PC−XのIPアドレスが追加(登録)される。
その後、ネットワークセグメント1に接続された機器PC−Xが、機器PC−AのIPアドレスをリクエスト先とするARPリクエストパケットのブロードキャストをネットワークセグメント1上に送信し、このARPリクエストパケットのブロードキャストをウィルス感染監視装置10が受信すると、解析部122は、リクエスト先のIPアドレスが、ネットワーク内IPアドレスリスト15に存在するか否かを判断する(ステップS24)。
この際、機器PC−AのIPアドレスはネットワーク内IPアドレスリスト15に登録されているため(ステップS24 YES)、履歴部14に機器PC−Xのアクセス履歴が作成され、当該履歴に機器PC−AのIPアドレスが記録される(ステップS25)。
次に機器PC−Xが、ネットワークセグメント1に存在しない機器PC−EのIPアドレスをリクエスト先とするARPリクエストパケットのブロードキャストをネットワークセグメント1上に送信し、このARPリクエストパケットのブロードキャストをウィルス感染監視装置10が受信すると、解析部122は、機器PC−EのIPアドレスはネットワーク内IPアドレスリスト15に存在しないため(ステップS24 NO)、カウンタ部13に機器PC−Xのカウンタを設けて、当該カウンタをインクリメント(1増加)する(ステップS26)。
この機器PC−Xによるネットワークセグメント1に存在しない機器(PC−F,PC−G,…)へアクセスを試みるARPリクエストが所定回数繰り返し実行されて、機器PC−Xのカウンタの値が所定の値に達すると(ステップS27 YES)、解析部122は、機器PC−Xを、無差別に他の機器へのアクセスを試みているウィルス感染機器であるとみなして、ウィルス感染機器PC−Xを検出し(ステップS28)、その旨を、例えばウィルス感染監視装置10の表示機能等を用いてネットワークセグメント1の管理者に通知する(ステップS29)。
ネットワーク内IPアドレスリスト15へのIPアドレスの登録を一定の期限管理の下に動的に更新する処理手順を図6に示している。
解析部122は一定の周期でネットワーク内IPアドレスリスト15からIPアドレスを読出し、読み出したIPアドレスが期限切れであるか否かをチェックする(ステップS221,S222)。
上記チェックにおいて、ネットワーク内IPアドレスリスト15から読み出したIPアドレスが期限切れである際は、当該IPアドレスの機器に対して接続性を確認するピング(ping)コマンドの処理を実行し(ステップS223)、稼働状態が確認されたならば(ステップS223 OK)、新規に有効期限を付加して、ネットワーク内IPアドレスリスト15に再登録する(ステップS224)。
また、上記ピング(ping)コマンドの処理(ステップS223)で、稼働状態が確認されないときは(ステップS223 NG)、上記ネットワーク内IPアドレスリスト15から読み出したIPアドレスをネットワーク内IPアドレスリスト15から削除する(ステップS225)。
このようなネットワーク内IPアドレスリスト15の動的更新処理機能をもつことで、ネットワークセグメント1内に現在、実際に存在して稼働状態にある機器の最新のIPアドレスリストを作成することができる。このネットワーク内IPアドレスリスト15を用いることで、よりウィルス感染機器の検出精度を高めることができる。
上記したネットワーク内IPアドレスリスト15の動的更新処理機能をもつことで、ネットワークセグメント1に接続されたサーバ機器については稼働状態が継続することから、当該機器のIPアドレスがネットワーク内IPアドレスリスト15に存在し続けるが、サーバにアクセスするクライアント機器についてはネットワークセグメント1に接続された状態で、電源がオン/オフ制御され、稼働/非稼働状態に切り替わる可能性が高く、非稼働状態にあるときはネットワーク内IPアドレスリスト15から削除されて、ネットワーク内IPアドレスリスト15に存在しないIPアドレスへの回数をカウントする際のカウント値増加の対象となる。通常、クライアント同士で通信が行われる頻度はそれほど高くはないと考えられるため、上記したネットワーク内IPアドレスリスト15の動的更新処理機能をもつことで、ウィルス感染機器の検出精度を高めることができる。
本発明の応用例として、ネットワークセグメントの構築に、リピータハブを利用する、若しくは本装置をスイッチイングハブのミラーポートに接続する構成を採った場合、上記実施形態に係るウィルス感染監視装置10は、ARPリクエストのブロードキャストのみではなく、通常の通信も受信することになる。このような構成を採り、上記通信内容とウィルスパターンとのマッチング処理を行うことで、実際にウィルス感染した機器の検出精度をより高めることができる。
本発明の第1および第2実施形態に係るウィルス感染監視装置を用いたネットワークシステムの構成を示すブロック図。 本発明の第1および第2実施形態に係るウィルス感染監視装置の構成を示すブロック図。 本発明の第1実施形態に係るウィルス感染監視装置の処理手順を示すフローチャート。 上記第1実施形態に係るウィルス感染監視装置の動作説明図。 本発明の第2実施形態に係るウィルス感染監視装置の処理手順を示すフローチャート。 上記第2実施形態に係るウィルス感染監視装置の処理手順を示すフローチャート。
符号の説明
1…ネットワークセグメント、10…ウィルス感染監視装置、11…記憶部、12…監視プログラム、13…カウンタ部、14…履歴部、15…ネットワーク内IPアドレスリスト、21,22,23,24…機器(パーソナルコンピュータ)、121…パケット受信部、122…解析部。

Claims (6)

  1. ネットワークセグメントに接続された機器各々のIPアドレスを登録したIPアドレスリストと、
    前記機器が前記ネットワークセグメント内の他の機器にアクセスを要求する都度、前記IPアドレスリストに登録されたIPアドレスとをもとに、前記アクセスを要求した機器のアクセス先IPアドレスを監視して、前記IPアドレスリストに存在しないIPアドレスへのアクセスを試みている機器を検索し、当該検索した機器をウィルス感染機器とみなす監視処理手段と
    を具備したことを特徴とするウィルス感染監視装置。
  2. 前記監視処理手段は、
    前記ネットワークセグメント上に送出されたARPリクエストのブロードキャストを受信するパケット受信手段と、
    前記パケット受信手段の受信内容からアクセス元およびアクセス先のIPアドレスを取得し、取得したアクセス先のIPアドレスが前記IPアドレスリストに存在しないIPアドレスであるとき、当該アクセスの継続回数をカウントし、当該カウント値をもとに、前記IPアドレスリストに存在しないIPアドレスへのアクセスを試みている機器を特定する解析手段と
    を具備したことを特徴とする請求項1記載のウィルス感染監視装置。
  3. 前記解析手段は、前記取得したアクセス先のIPアドレスが前記IPアドレスリストに存在するIPアドレスであるとき、当該IPアドレスを前記アクセス元のIPアドレス毎に記録するアクセス履歴の記録手段をさらに具備したことを特徴とする請求項2記載のウィルス感染監視装置。
  4. 前記解析手段は、前記IPアドレスリストに登録するIPアドレスを期限管理により動的に更新するIPアドレスの更新手段をさらに具備したことを特徴とする請求項2または3記載のウィルス感染監視装置。
  5. 前記IPアドレスの更新手段は、前記IPアドレスリストに登録する前記アクセス元のIPアドレスに有効期限を付加し、有効期限を経過したIPアドレスについてピングコマンドにより機器の接続性を確認し、前記接続性を確認できない機器のIPアドレスを前記IPアドレスリストから削除する手段を具備したことを特徴とする請求項4記載のウィルス感染監視装置。
  6. ネットワークセグメント上に存在するウィルス感染機器を監視する機能を実現するコンピュータに、
    前記ネットワークセグメントに接続された機器各々のIPアドレスを管理するIPアドレスの管理機能と、
    前記ネットワークセグメントに接続された機器が前記ネットワークセグメントに接続された他の機器にアクセスを要求する都度、前記IPアドレスの管理機能が管理するIPアドレスをもとに、前記アクセスを要求した機器のアクセス先IPアドレスを監視して、前記IPアドレスの管理機能が管理していないIPアドレスへのアクセスを試みている機器を特定し、当該機器をウィルス感染機器とみなす監視機能と
    を実現させるためのプログラム。
JP2006320631A 2006-11-28 2006-11-28 ウィルス感染監視装置およびプログラム Active JP4381411B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006320631A JP4381411B2 (ja) 2006-11-28 2006-11-28 ウィルス感染監視装置およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006320631A JP4381411B2 (ja) 2006-11-28 2006-11-28 ウィルス感染監視装置およびプログラム

Publications (2)

Publication Number Publication Date
JP2008135984A true JP2008135984A (ja) 2008-06-12
JP4381411B2 JP4381411B2 (ja) 2009-12-09

Family

ID=39560512

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006320631A Active JP4381411B2 (ja) 2006-11-28 2006-11-28 ウィルス感染監視装置およびプログラム

Country Status (1)

Country Link
JP (1) JP4381411B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012014320A (ja) * 2010-06-30 2012-01-19 Mitsubishi Electric Corp 感染検査システム及び感染検査方法及び記録媒体及びプログラム
WO2015097889A1 (ja) * 2013-12-27 2015-07-02 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012014320A (ja) * 2010-06-30 2012-01-19 Mitsubishi Electric Corp 感染検査システム及び感染検査方法及び記録媒体及びプログラム
WO2015097889A1 (ja) * 2013-12-27 2015-07-02 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
CN105849741A (zh) * 2013-12-27 2016-08-10 三菱电机株式会社 信息处理装置、信息处理方法及程序
GB2536384A (en) * 2013-12-27 2016-09-14 Electric Corporation Mitsubishi Information processing device, information processing method, and program
JPWO2015097889A1 (ja) * 2013-12-27 2017-03-23 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム

Also Published As

Publication number Publication date
JP4381411B2 (ja) 2009-12-09

Similar Documents

Publication Publication Date Title
US10250636B2 (en) Detecting man-in-the-middle attacks
US8661544B2 (en) Detecting botnets
JP4664143B2 (ja) パケット転送装置、通信網及びパケット転送方法
US8438270B2 (en) System and method for correlating network identities and addresses
US20040047356A1 (en) Network traffic monitoring
WO2005093991A1 (en) Isolation approach for network users associated with elevated risk
JP2008177714A (ja) ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
US9961163B2 (en) Method and system for notifying subscriber devices in ISP networks
US20050198242A1 (en) System and method for detection/interception of IP collision
JP4381411B2 (ja) ウィルス感染監視装置およびプログラム
KR101518474B1 (ko) 현재 시간 기준으로 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유의 현재 상태 검출 및 차단 시스템
JP4655028B2 (ja) ワームの感染防止システム
JP4767683B2 (ja) 中継装置、不正アクセス防止装置、およびアクセス制御プログラム
JP3903969B2 (ja) ワームの感染防止システム
US20040199579A1 (en) Collaboration bus apparatus and method
JP2009081736A (ja) パケット転送装置及びパケット転送プログラム
JP3880530B2 (ja) 動的アドレス付与サーバを利用したクライアントの安全性検診システム
WO2014132774A1 (ja) ノード情報検出装置、ノード情報検出方法、及びプログラム
CN111683068A (zh) 失陷主机的定位方法、防护装置、网络安全设备及介质
CN106067887B (zh) 一种基于网络切换的网站连接装置及其方法、一种路由器
JP4081042B2 (ja) 不正通信監視装置、及び不正通信監視プログラム
JP2005033427A (ja) ネットワーク品質測定方法およびサーバ
JP2007150617A (ja) ネットワーク装置
JP2021064918A (ja) 情報処理プログラム、情報処理方法、および、情報処理装置
US20080244063A1 (en) Automatically detecting managed servers in a network

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090417

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090825

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090915

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121002

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150