JP2009539271A

JP2009539271A - コンピュータ・ネットワーク侵入検出のシステムおよび方法

Info

Publication number: JP2009539271A
Application number: JP2008515191A
Authority: JP
Inventors: ドクヴィ、ジャン−ジャック
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2005-06-06
Filing date: 2006-05-31
Publication date: 2009-11-12
Anticipated expiration: 2026-05-31
Also published as: JP4742144B2; WO2006131475A1; US8272054B2; CN101176331A; DE602006012479D1; EP1889443B1; US8631496B2; CA2610350C; US20080209541A1; CN101176331B; ATE459184T1; EP1889443A1; US20120297489A1; CA2610350A1

Abstract

【課題】ＴＣＰ／ＩＰプロトコル・ベースのネットワーク内へ侵入を試行するデバイスを特定する方法が開示される。
【解決手段】本発明は、一方をＴＣＰ／ＩＰスタック情報、他方をＷｉｎｄｏｗｓ（登録商標）セキュリティ・イベント・ログ情報とする２つの独立した情報レベル間の関連付けを行うことを可能にする。本方法により、セキュリティ・イベント・ログに格納されているとおりの攻撃側デバイスのコンピュータ名と、このコンピュータ名に関するＴＣＰ／ＩＰ情報との間に関連性を確立できる。
【選択図】図１

Description

本発明は、全般的にコンピュータ・システムのセキュリティに関し、特に、このようなコンピュータ・システムにログオンしてコンピュータ・ネットワークにアクセスしようとする無効な試行の発信者を、検出および特定するシステムおよび方法に関する。

今日の広域ネットワーク・エンタープライズでは、ネットワークの数多くのコンピュータ・システムに対する無許可のアクセスを防ぐために、セキュリティが大きな懸案事項となっている。一般的に、１つの営業所内のコンピュータ・システムは、ローカル・エリア・ネットワーク（ＬＡＮ：ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）を使用して接続されており、ネットワーク管理者が、ネットワークを維持し適切に実行させる責任を負っている。ローカル・エリア・ネットワーク（ＬＡＮ）が増え続け、ＬＡＮに接続されたパーソナル・コンピュータ（ＰＣ：ｐｅｒｓｏｎａｌｃｏｍｐｕｔｅｒ）の数が急速な増大を続けるに従い、ネットワーク管理者にとってのネットワーク・セキュリティの問題はさらに増加する。

分散型ＬＡＮが展開される傾向が続くにつれ、エンタープライズ・ネットワークに対し複数のアクセス・ポイントがもたらされる。これら分散型アクセス・ポイントはそれぞれ、制御されていない場合、ネットワークに対する潜在的なセキュリティ・リスクとなる。こういったリスクの中でも、ウイルス攻撃は、ウイルスが急速に拡散することによりＩＴインフラストラクチャ全体に多大な影響を与える。攻撃全体の１／３超に相当する特定の種類のウイルスは、よく知られている「ワーム」というウイルスである。この後者のものは、オペレーティング・システムにおけるセキュリティの抜け穴を使用し、ＴＣＰ／ＩＰのウェルノウン・ポート番号１３７、１３９および４４５を通り、ネットワーク経由で、あるシステムから別のシステムへ拡散する。

ＴＣＰ／ＩＰは、伝送制御プロトコル／インターネット・プロトコル（ＴＣＰ／ＩＰ：ＴｒａｎｓｍｉｓｓｉｏｎＣｏｎｔｒｏｌＰｒｏｔｏｃｏｌ／ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ）のポート番号１３７（すなわち、ＮｅｔＢＩＯＳＮａｍｅＳｅｒｖｉｃｅ）、１３９（すなわち、ＮｅｔＢＩＯＳＳｅｓｓｉｏｎＳｅｒｖｉｃｅ）および４４５（すなわち、Ｍｉｃｒｏｓｏｆｔ（ＭｉｃｒｏｓｏｆｔＣｏｒｐｏｒａｔｉｏｎの商標）−ＤＳ）の頭字語である。

別のリスクは、保護されたリソースに対する自発的攻撃（ｖｏｌｕｎｔａｒｙａｔｔａｃｋ）および（なりすましも使用した）無許可のアクセスである。

ファイアウォールは攻撃を認識してそれらをブロックする、という誤解が多く見られる。ファイアウォールは単に、全てを遮断してから、数少ない適切なアイテムだけを再び通すデバイスである。理想的なのは、システムが既に「封鎖」され安全であり、ファイアウォールが不要な状態である。セキュリティ・ホールが偶然開いたままになってしまっているということが、ファイアウォールを備える理由に他ならない。

したがって、ファイアウォールのインストール時にファイアウォールがまず行うのは、全ての通信を停止することである。続いて、ファイアウォールの管理者が慎重に「ルール」を追加して、特定の種類のトラフィックにファイアウォールの通過を許可する。例えば、インターネットへのアクセスを許可する典型的な企業ファイアウォールは、ユーザ・データグラム・プロトコル（ＵＤＰ：ＵｓｅｒＤａｔａｇｒａｍＰｒｏｔｏｃｏｌ）およびインターネット制御メッセージ・プロトコル（ＩＣＭＰ：ＩｎｔｅｒｎｅｔＣｏｎｔｒｏｌＭｅｓｓａｇｅＰｒｏｔｏｃｏｌ）のデータグラム・トラフィックを全て止め、入方向のＴＣＰ接続を止めるであろうが、出方向のＴＣＰ接続は許可するであろう。これは、インターネット・ハッカーからの入方向の接続を全て止めながらも、内部ユーザの出方向への接続は許可する。

ファイアウォールは単に、２、３の適切な入り口を備えた、ネットワークの周りの囲いである。囲いは、押し入ろうとしている者（囲いの下に穴を掘るなど）を検出する機能を有さず、入り口を通り抜ける者が入る許可を得ているのかどうかもフェンスは認識しない。単に指定ポイントへのアクセスを制限するだけである。

結局のところ、ファイアウォールは動的な防御システムではない。それに比べ、侵入検出システム（ＩＤＳ：ｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎｓｙｓｔｅｍ）の方がむしろ、この動的なシステムに当てはまる。ＩＤＳは、ネットワークに対するファイアウォールが確認できない攻撃を認識する。

ファイアウォールの別の問題は、エンタープライズ・ネットワークの境界にしか存在しないということである。ハッキングによる財務上の損失全体のうち約８０％がネットワークの内側から生じている。ネットワークの周辺にあるファイアウォールは、内側で起こっていることは全く確認しない。ファイアウォールは、そのトラフィックが内部ネットワークとインターネットとの間を通過するのを確認するだけである。

ログ・ファイルおよびその他の会計機構は、ユーザおよびその活動の追跡に使用できる。ログ・ファイルおよび監査情報を使用することは、データ・セットの受動的な解析に頼ることから、受動検知（ｐａｓｓｉｖｅｄｅｔｅｃｔｉｏｎ）として知られている。システム管理者は、オペレーティング・システムのセキュリティ・イベント・ログを点検し、システム攻撃またはセキュリティ違反が発生したかどうかを判断する責任がある。本出願人のＴｉｖｏｌｉＲｉｓｋＭａｎａｇｅｒ（ＴｉｖｏｌｉはＩＢＭＣｏｒｐｏｒａｔｉｏｎの登録商標（ＩＢＭはＩＢＭＣｏｒｐｏｒａｔｉｏｎの商標））、およびＧＦＩソフトウェア社（ＧＦＩＳｏｆｔｗａｒｅＬｔｄ．）のＧＦｉＬＡＮｇｕａｒｄＳ．Ｅ．Ｌ．Ｍ．など、いくつかの既知の製品によって、これらのログを点検できる。

ＴｉｖｏｌｉＲｉｓｋＭａｎａｇｅｒは、クロス・オペレーティング・システムの可用性（ＯＳ／２（ＯＳ／２はＩＢＭＣｏｒｐｏｒａｔｉｏｎの商標）、Ｗｉｎｄｏｗｓ（登録商標）、Ｌｉｎｕｘ（ＬｉｎｕｘはＬｉｎｕｓＴｏｒｖａｌｄｓの商標）、およびＡＩＸ（ＡＩＸはＩＢＭＣｏｒｐｏｒａｔｉｏｎの商標））を実現するフレームワーク・インフラストラクチャに基づいており、集中コンソール上で警報を通知する。このソリューションによって、管理者は、種々のセキュリティ警報間の適切な関連性をつくることができるようになる。しかし、異なるオペレーティング・システム間のＮｅｔＢＩＯＳの無効な試行に関する関連性は、深く解析されず、外部データベースに関連していない。

ＧＦｉＬＡＮｇｕａｒｄＳ．Ｅ．Ｌ．Ｍ．は、１つの中央データベース内にすべてのセキュリティ・イベントを収集し、レポートおよびカスタム・フィルタを作成する、セキュリティ・イベント・ログ・モニタである。このソリューションは、１つのオペレーティング・システムのみ、すなわちＷｉｎｄｏｗｓ（登録商標）での動作に制限されるため、他のオペレーティング・システムに関しては攻撃の可能性が残る。

より広くいえば、既存のどのソリューションでも、誤った多数の警告メッセージを管理者が受信し、長時間かけてこれらのメッセージを手動で解析して、違反に該当しないものを本物の違反と区別しなければならない状態が続く。

そのため、前述の欠点を打開するソリューションが必要である。

本出願人による、「ＳｙｓｔｅｍａｎｄＭｅｔｈｏｄｆｏｒｄｅｔｅｃｔｉｎｇｉｎｖａｌｉｄａｃｃｅｓｓｔｏｃｏｍｐｕｔｅｒｎｅｔｗｏｒｋ」と題された、特許出願番号０４２９２４６１．３は、あらゆるオペレーティング・システム・サーバにおいてあらゆる侵入を検出するソリューションを提供している。

しかし、このソリューションの欠点は、すべてのソース情報がオペレーティング・システムの組み込みのログ・ファイルに由来するということ、および、これらのログ・ファイルは、攻撃側デバイスのワークステーション／コンピュータ名しか与えないということである。このコンピュータ名がどのドメイン・ネーム・サーバ（ＤＮＳ：ＤｏｍａｉｎＮａｍｅＳｅｒｖｅｒ）サーバにも登録されていない場合、または被害側企業に知られていない場合、この攻撃側デバイスを物理的に捜し当てることは不可能なことが多い。

これら既存の解析用ソリューションでは、ログ・アラートがセキュリティ・イベントの後に行われるため、依然として問題が残っており、１つのＷｉｎｄｏｗｓ（登録商標）サーバへのＴＣＰ／ＩＰポートの履歴を確認する組み込み式の方法がないことが原因で、デバイスが被害側サーバに接続されているかどうかを確認できない。

その他のＴＣＰ／ＩＰロガー・ツールも存在するが、セキュリティ・イベントが発生した後に手動でログ・ファイルを確認して、遠隔攻撃があったかどうかを確かめる必要がある。

さらに、これらＴＣＰ／ＩＰツールでは、１３７／１３９／４４５ＴＣＰポートがアクセスできるようにすることを主な役割とするＷｉｎｄｏｗｓ（登録商標）ファイル・サーバに対するログオンが起こると、ＴＣＰ／ＩＰスタック（ＴＣＰ／ＩＰプロトコルを監視するソフトウェア）を詳しく調べる必要があり、加えて、１つのＷｉｎｄｏｗｓ（登録商標）ログオン１３７／１３９／４４５が正常であるかどうかを検査することはできない。

したがって、これが、こういったログ解析法の主な欠点である。さらに、解析して攻撃側デバイスを物理的に捜し当て切断するには、時間もかかる。

本発明は、これらの欠点をなくすソリューションを提供する。

よって、すべてのＴＣＰ／ＩＰポートを１つのローカルのログ・ファイルに記録する、即座に機能する「オンライン」のソリューションを提供することが、本発明の目的である。本発明は、ＴＣＰ／ＩＰスタック・レベルおよびセキュリティ・イベント・ログ・レベルの２レベルで、同時に機能する。

ＴＣＰ／ＩＰポート番号１３７／１３９／４４５のうちの１つにおいて攻撃があった場合に、攻撃側デバイスのＭＡＣアドレス（ＭＡＣは、ネットワークの各ノードを一意的に特定するハードウェア・アドレス、メディア・アクセス制御（ＭｅｄｉａＡｃｃｅｓｓＣｏｎｔｒｏｌ）の略である）を読み出し記録するシステムおよび方法を提供することが、本発明の別の目的である。

ＴＣＰ／ＩＰポート番号１３７／１３９／４４５のうちの１つにおいて攻撃があった場合に、攻撃側デバイスのＩＰアドレスを読み出し記録するシステムおよび方法を提供することが、本発明の別の目的である。

ＴＣＰ／ＩＰポート番号１３７／１３９／４４５のうちの１つにおいて攻撃があった場合に、ＩＰアドレスを企業のネットワーク・インフラストラクチャの記述に関連付けることにより、攻撃側デバイスの物理的位置（都市、建物、階、スイッチ番号、スイッチ上のポート）を読み出し記録するシステムおよび方法を提供することが、本発明の別の目的である。

本発明のさらなる目的は、エンタープライズ・コンピュータ・ネットワークにおいて、ワーム・ウイルスに感染しているデバイスを容易かつ効率的に特定するソリューションを提供することである。

本発明のさらに別の目的は、コンピュータ・システムでの違反イベントを解析するために必要な人的資源を減らし、結果として迅速な積極的反応を可能にするソリューションを提供することである。

本発明の態様によれば、添付の請求項に記載のシステムは、コンピュータ・ネットワークに対するコンピュータ・デバイスの無効なアクセスを検出することを目的として提案される。

より全般的には、本方法は、異なる複数のオペレーティング・システム上で動作する複数のコンピュータ・サーバと、複数のコンピュータ・デバイスとを有する、コンピュータ・ネットワーク内で機能することが好ましい。各コンピュータ・デバイスは、オペレーティング・システム・レベルでコンピュータ・サーバにより管理される。コンピュータ・ネットワークは、コンピュータ・ネットワークのユーザおよびコンピュータ・デバイスに関連した情報を含む、複数の情報データベースを含む。本方法は、各コンピュータ・サーバ上で、そのコンピュータ・サーバにより管理されている各コンピュータ・デバイスに対応する識別ファイルのセットを生成できるようにする。識別ファイルの全セットは、複数のコンピュータ・サーバから一意の中央違反データベースに収集される。各コンピュータ・デバイスについてネットワーク・アクセス違反のレベルを確定するために、識別ファイルの各セットと複数の情報データベースとが関連付けられる。各コンピュータ・デバイスに対応する違反メッセージは、ネットワーク・アクセス違反のレベルに基づき生成される。

本発明は、独立請求項において定義されているとおりの方法、システムおよびコンピュータ・プログラムを対象とする。

本発明の態様によれば、ＴＣＰ／ＩＰプロトコル・ベースのネットワーク内への侵入を試行しているデバイスを特定することを目的として提案された、添付の請求項１に記載の方法が提示される。本方法は、複数の管理対象デバイスを含むネットワークにおいて機能し、管理対象デバイスの中の少なくとも１つの管理対象デバイスは、セキュリティ・イベント・ログを処理する。本方法は、以下の工程を含む：
該少なくとも１つの管理対象デバイスにおいて、入方向のＴＣＰ／ＩＰ接続を検出する工程、
該少なくとも１つの管理対象デバイスのＴＣＰ／ＩＰスタックから、検出された入接続を生成しているデバイスに関係した全ＴＣＰ／ＩＰ情報を抽出する工程、
入方向のＴＣＰ／ＩＰ接続のポート番号を定義済みポート番号のセットと比較する工程、
比較が一致した場合は、検出された入方向のＴＣＰ／ＩＰ接続に関連した全イベント・ログ情報を、セキュリティ・イベント・ログから読み出す工程、および
検出された入方向のＴＣＰ／ＩＰ接続を生成しているデバイスのＴＣＰ／ＩＰ情報およびイベント・ログ情報を、違反ログ・ファイルに収集する工程。

本発明のさらなる実施形態は、添付の従属請求項中で提供される。

商用形態では、方法の請求項のいずれか１項に従った方法をコンピュータ・マシンが実行できるようにするコンピュータ可読プログラム手段が、コンピュータ・マシンによって読み取り可能なプログラム記憶デバイスに具現化される。

コンピュータ・プログラム製品は、クライアント・マシンへロード／ダウンロードされ、中央違反マシンにより遠隔監視されてもよい。この中央違反マシンは、プログラム実行の終わりに受信される違反ログ・ファイルを解読する。違反レポートは、ネットワーク管理者へ侵入を通知するよう、違反が起きた場合に生成されればよい。

本発明の詳細な説明に入る前に、以降この文書で使用される用語は、以下の意味を有する。

ＴＣＰ／ＩＰプロトコル（ＴｒａｎｓｍｉｓｓｉｏｎＣｏｎｔｒｏｌＰｒｏｔｏｃｏｌ／ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ：伝送制御プロトコル／インターネット・プロトコル）：ネットワークを通したデータ伝送の標準として、加えて標準インターネット・プロトコルの基礎として使用される、コンピュータ間の通信用のプロトコル。

ＴＣＰ／ＩＰポート番号：ポートは論理接続の終点である。一部のポートは、事前割り当てされた番号を有する。ポート番号は、ウェルノウン・ポート、レジスタード・ポート、ならびに、ダイナミック・ポートまたはプライベート・ポートあるいはその両方の、３つの範囲に分けられる。ウェルノウン・ポートは、０から１０２３までのものである。レジスタード・ポートは、１０２４から４９１５１までのものである。ダイナミック・ポートまたはプライベート・ポートあるいはその両方は、４９１５２から６５５３５までのものである。

ＴＣＰ／ＩＰスタック：ＴＣＰ／ＩＰプロトコルのソフトウェアによる実現。ネットワーク内で管理されているあらゆるデバイスに関連した、全ＴＣＰ／ＩＰ情報を収集する。

ＩＰアドレス（インターネット・プロトコル・アドレス）：ＩＰネットワーク（ＴＣＰ／ＩＰネットワーク）に接続されたデバイスのアドレス。クライアント、サーバおよびネットワーク・デバイスはどれも、各ネットワーク接続用に一意のＩＰアドレスを有する。

ホスト名：一意の名前であり、デバイスはこの名前によってネットワーク上で認識される。

セキュリティ・イベント・ログ：あらゆるセキュリティ・イベントに関係した全情報を記録するログ・ファイル。イベントは、オペレーティング・システムが実行されているのと同じコンピュータにある、ハード・ディスク・ドライブなどの記憶装置にローカルに記録される。イベント記録のプロセスは、ネットワークを通して行われてもよく、その場合イベントは、イベントが起こるホスト・コンピュータから離れた別のコンピュータ上で記録される。セキュリティ・イベント・ログには、有効なログオン試行および無効なログオン試行を含むことができる。各種類のイベントは、固有番号を用いて参照される。

イベントＩＤ：イベントの種類を特定する番号。

Ｕｓｅｒｉｄ：共有コンピューティング・システム上で、特定ユーザのアカウントを一意的に特定する名前。

本発明の侵入検出ツールが動作するのに好適なネットワーク環境が、図１に示されている。図示されているとおり、構内ネットワークは、ルータ１００、スイッチ１０２、１０６（イーサネット（登録商標）のものが好ましい）、メール・サーバ１０８、オペレーティング・システム・サーバ（Ｗｉｎｄｏｗｓ（登録商標）１１０、ＡＩＸ（ＩＢＭ社の登録商標）１１２、ＯＳ／２（ＩＢＭ社の登録商標）１１４）、および中央違反データベース１１６を含む。ネットワークへのアクセスを試行する第１の攻撃側デバイスを図示するために、ローカル構内ネットワーク内の第１パーソナル・コンピュータ１０４が、イーサネット（登録商標）・スイッチ１０２を介してネットワークへつながれた状態で示されている。ネットワークへのアクセスを試行する第２の攻撃側デバイスを図示するために、物理的にローカル構内ネットワークの外側に位置する第２パーソナル・コンピュータ１２０が、ルータ１００を介してローカル構内ネットワークにつながれた状態で示されている。攻撃側デバイスは、ワークステーションもしくはサーバ、またはより一般的には、ネットワークに入ることができる任意のコンピュータ・デバイスであると考えられる。

本発明の主な狙いは、一方をＴＣＰ／ＩＰスタック情報、他方をＷｉｎｄｏｗｓ（登録商標）セキュリティ・イベント・ログ情報とする、２つの独立した情報間の関連付けを行うことによって、不正ログオンを追跡することである。本方法は、セキュリティ・イベント・ログに格納されたワークステーション／コンピュータ名と、このワークステーション／コンピュータ名に関係したＴＣＰ／ＩＰ情報との関連性を確立できるようにする。

入方向または出方向のＴＣＰ／ＩＰ接続の全詳細を含むログ・ファイルは、新たな接続に伴い絶えず更新される。

１３７／１３９／４４５ＴＣＰ／ＩＰポートの１つが検出されると、すぐにセキュリティ・イベント・ログが探索され、このＮｅｔＢＩＯＳ接続が不正ログオンを作成しているかどうかが確認される。

発信者デバイスが少なくとも１つの不正なログオンを作成すると、この攻撃側デバイス（図１の１０４または１２０あるいはその両方）に関するすべての論理情報および物理情報が、ＴＣＰ／ＩＰスタックおよびセキュリティ・イベント・ログの両方から読み出される。

読み出される論理情報は、以下を含む：
ＩＰアドレス；
ネットワーク・ホスト名；
そのネットワーク・アダプタのＭＡＣアドレス；
ワークステーション／コンピュータ名；
ｕｓｅｒｉｄ；
このｕｓｅｒｉｄが、サーバ上で定義されている許可されたｕｓｅｒｉｄのリストに存在するかどうか；
このｕｓｅｒｉｄが、ワーム・ウイルスにより使用されるデフォルトのｕｓｅｒｉｄすべてを含むＳＰＹリスト内に存在するかどうか。

読み出される物理情報は、以下を含む：
国；
建物；
階；
イーサネット・スイッチの識別情報；
このスイッチのポート番号。

当該情報は全て、ネットワーク管理者（単数または複数）にセキュリティ違反が発生していることをリアル・タイムで通知するために、中央違反データベース１１６に収集および追加される。

加えて、１通またはそれより多くの情報メールが、１人またはそれより多くの受信者に送信されてもよい。

ここで図２を参照すると、本発明の全般的なプロセスの好適な実施形態が図示されている。このプロセスは、Ｗｉｎｄｏｗｓ（登録商標）環境（Ｗｉｎｄｏｗｓ（登録商標）２０００Ｐｒｏｆｅｓｓｉｏｎａｌ、Ｓｅｒｖｅｒ２０００、Ｓｅｒｖｅｒ２００３またはＷｉｎｄｏｗｓ（登録商標）ＸＰＰｒｏｆｅｓｓｉｏｎａｌ）で動作している任意のコンピュータ・デバイス上で実行されるものであることが好ましい。

第１の工程２００において、解析デバイスの起動からプロセスが開始する。

工程２０２において、プロセスは、該プロセスが動作している解析デバイスの、オペレーティング・システムを確認する。

工程２０４において、構成ファイル（一般的に「．ＩＮＩ」ファイルと名づけられている）に定義された複数の構成パラメータが以下のように特定および格納される：
［ＭＡＩＬ］
ＳＥＮＤＩＮＧ＝ＹＥＳ
［ＳＥＲＶＥＲ］
ＭＡＩＬＳＥＲＶＥＲ＝“＜ｍａｉｌｓｅｒｖｅｒａｄｄｒｅｓｓ＞”
［ＤＥＳＴＩＮＡＴＩＯＮ］
ＭＡＩＬ１＝“＜ｍａｉｌｒｅｃｉｐｉｅｎｔ１＞”
ＭＡＩＬ２＝“＜ｍａｉｌｒｅｃｉｐｉｅｎｔ２＞”
ＢＣＣ＝“＜ｍａｉｌｂｌａｎｋｃｏｐｙ＞”
［ＳＰＥＥＤ］
ＩＮＴＥＲＶＡＬ＝２ｓｅｃ．
［ＭＡＣ＿ＡＤＤＲＥＳＳ］
ＭＡＣ＝ＹＥＳ
［ＬＯＧＦＩＬＥ］
ＭＡＸＳＩＺＥ＝１００００ｂｙｔｅｓ
［ＰＯＰＵＰ］
ＳＨＯＷ＝ＹＥＳ

当然のことながら、これら２サイクル間の時間間隔などのパラメータは、ネットワーク特性に応じて調整されるとよい。

工程２０６において、プロセスは、現在のログ・ファイルのサイズを「．ＩＮＩ」ファイル内で事前に定義されているＭＡＸＳＩＺＥパラメータと比較する。現在値がＭＡＸＳＩＺＥ値よりも大きいと、プロセスは工程２０８へ進み（分岐のはい）、ここでログ・ファイルが空にされる。

現在値がＭＡＸＳＩＺＥ値よりも低いと、プロセスは工程２１０へ進む（分岐のいいえ）。

工程２１０において、プロセスは、工程２１２でさらにＩＰスタック情報を格納するために、ＩＰスタック・メモリ・アレイを作成する。

工程２１２において、よく知られているＷｉｎｄｏｗｓ（登録商標）「ＧｅｔＴｃｐＴａｂｌｅ」ＡＰＩから、ＩＰスタック情報が瞬時に読み取られる。このＡＰＩに関するさらに詳しい情報は、例えばｈｔｔｐ：／／ｍｓｄｎ．ｍｉｃｒｏｓｏｆｔ．ｃｏｍ／ｌｉｂｒａｒｙ／ｄｅｆａｕｌｔ．ａｓｐ？ｕｒｌ＝／ｌｉｂｒａｒｙ／ｅｎ−ｕｓ／ｉｐｈｌｐ／ｉｐｈｌｐ／ｇｅｔｔｃｐｔａｂｌｅ．ａｓｐで見つけられるであろう。

前述のＡＰＩは、以下の情報を提供する：
解析デバイスのローカルＩＰアドレス；
解析デバイスのローカルＴＣＰ通信ポート；
攻撃側デバイスのリモートＩＰアドレス；
攻撃側デバイスのリモートＴＣＰ通信ポート；および
攻撃側デバイスのリモート・ホスト名。

次に工程２１３において、プロセスはＡＰＩの深さの終点をテストする。このテストは、それが記録される最後の接続であるかどうかを確認することを目的とする。ＡＰＩが終了されていなければ（分岐のいいえ）プロセスは工程２１４へ進み、そうでなくＡＰＩの最後の記録であれば（分岐のはい）プロセスは工程２０４へ進んで「．ＩＮＩ」ファイル読み取りサイクルを再開する。

工程２１４において、プロセスは、先に工程２１２において読み取られた最新接続情報を、前回の読み取りサイクルから存在する接続情報と比較する。このテストは、どの接続が新しいかを確認することを目的とする。新たな接続が発見されなければ（分岐のいいえ）、プロセスは工程２０４へ戻って新たな「．ＩＮＩ」ファイル読み取りサイクルを開始する。新たな接続が少なくとも１つ発見されると（分岐のはい）、プロセスは工程２１６を続行する。

工程２１６において、プロセスは不要なＩＰアドレスをフィルタする。好適な実装では、「１２７．０．０．１」または「０．０．０．０」に相当する不要なＩＰアドレスは、記録するほど重要ではないものとして分類される。

不要値の１つと合う場合（分岐のはい）、プロセスは工程２１３へ戻り、次のアクティブ接続を解析する。

不要値と合わない場合（分岐のいいえ）、プロセスは工程２１８を続行する。

工程２１８において、プロセスは、発見された新たな接続情報を、１つのＩＰスタック・メモリ・アレイに格納して工程２２０へ進む。

工程２２０において、プロセスは、現在解析対象である接続の中に１３７、１３９または４４５ポートのうちの１つが存在するかどうか探索する。テスト結果が「いいえ」であれば、プロセスは工程２２６へ進み、そうでなく、テスト結果がウイルス攻撃の可能性があることを意味する「はい」であれば、プロセスは工程２２２を続行する。

工程２２２において、プロセスは、現在解析対象である接続のネットワーク・ホスト名を読み出す。ネットワーク・ホスト名は、固定ホスト名、または動的ホスト構成プロトコル（ＤＨＣＰ：ＤｙｎａｍｉｃＨｏｓｔＣｏｎｆｉｇｕｒａｔｉｏｎＰｒｏｔｏｃｏｌ）サーバによって分配される動的なもののうちの、いずれかである。続いて、プロセスは工程２２４へ進む。

工程２２４において、プロセスはサブルーチンを呼び出し、セキュリティ・イベント・ログを解析する。このプロセスは、図４を参照してさらに詳説される。ルーチン工程２２４が完了すると、プロセスは工程２２６へ進む。

工程２２６において、先のセキュリティ・イベント解析の結果により、違反結果ログ・ファイルに新たなエントリが追加される。以下のように、異なる３タイプのエントリを書き込めることが好ましい。

解析された接続がＮｅｔＢＩＯＳ接続ではない場合、少なくとも以下のフィールドが記録に含まれる：
日付および時間
ローカルＩＰアドレス
ローカルＩＰポート
リモートＩＰアドレス
リモートＩＰポート。

解析された接続はＮｅｔＢＩＯＳ接続であるが、違反は検出されていない場合、先に記載したフィールドに加えてホスト名が記録に含まれる。

解析された接続はＮｅｔＢＩＯＳ接続であり、違反が検出された場合、ワークステーション／コンピュータ名および違反に使用されたｕｓｅｒｉｄなど、攻撃側デバイスを特定するための補足情報が記録に含まれる。下のリストはそのような詳細情報を例示する：
日付および時間
ローカルＩＰアドレス
ローカルＩＰポート
リモートＩＰアドレス
リモート・ポート・アドレス
ホスト名
ワークステーション名
違反に使用されたｕｓｅｒｉｄ
ＭＡＣアドレス
違反の警告レベル（低、中、高）

エントリが違反ログ・ファイルに記録されると、プロセスは工程２２８へ進む。

工程２２８において、先のエントリがタイプＩＩＩのエントリであると確認されると、プロセスは工程２３０へ進み、そうでない場合、プロセスは工程２１３へ戻る。

工程２３０において、セキュリティ・イベント・ログの詳細、ＩＰスタック情報と、警告レベルなどの全追加情報との両方を含む完全情報が、最終違反レポートとして中央違反データベースへ送信される。続いて、プロセスは工程２１３へ戻る。

図３は、ウイルス攻撃に関するこのような違反レポートの例を示す。ウィンドウの上部には、警告メッセージが配置されている。例示されたウィンドウは幾つかの領域に分割され、それぞれ、被害側デバイス、攻撃側デバイスのＴＣＰ／ＩＰスタック、攻撃の論理情報および物理情報に関連した情報を提供する。

ここで図４へ進み、セキュリティ・イベント・ログから情報を読み取るプロセスをここから説明する。

工程４００において、工程２２４から呼び出されたプロセスが開始する。

工程４０２において、プロセスを実行しているデバイスのローカル・ホスト名が読み出される。

工程４０４において、プロセスは、セキュリティ・イベント・ログから最新の違反イベントを抽出する。当業者には知られているとおり、セキュリティ・イベント・ログは複数の情報フィールドを含み、その中にはセキュリティ・イベントの性質を識別する、よく知られた「イベントＩＤ」がある。工程４０４で、イベントＩＤ「５２９、５３０、５３１、５３２、５３３、５３４、５３５、５３７および５３９」が分類され、これらのイベントＩＤのみに該当する違反情報が抽出されることが好ましい。イベントＩＤに関するさらなる情報は、例えばｈｔｔｐ：／／ｓｕｐｐｏｒｔ．ｍｉｃｒｏｓｏｆｔ．ｃｏｍ／ｄｅｆａｕｌｔ．ａｓｐｘ？ｓｃｉｄ＝ｋｂ；ｅｎ−ｕｓ；３０５８２２＆ｓｄ＝ｅｅで得られるであろう。

次に工程４０６において、プロセスは、前回のプロセス実行以降に不正（無効）ログオンが発生したかを確認する。

不正ログオンが検出されると、プロセスはこの不正ログオンを、工程２２０で検出された最も新しいＮＥＴＢＩＯＳ接続に関連付け、工程４１０へ進む。

不正ログオンが検出されなければ、プロセスは工程４３６へ続く。

工程４１０において、プロセスは、ローカル・デバイス上に定義されている複数のｕｓｅｒｉｄを抽出する。

次に工程４１２において、プロセスは、最新の違反により発見されたｕｓｅｒｉｄを、ローカル・デバイス上で先に発見および定義されているｕｓｅｒｉｄと比較する。

違反に使用されたｕｓｅｒｉｄが、ローカル・デバイスに定義された複数のｕｓｅｒｉｄのうちの１つである場合、プロセスは工程４１４へ続き、「低」レベルの警告を設定する（工程４１４）。続いて、プロセスは工程４２２へ続く。

違反に使用されたｕｓｅｒｉｄがローカル・デバイスに定義された複数のｕｓｅｒｉｄのうちの１つでない場合、プロセスは工程４１６へ続く。

工程４１６において、プロセスは、違反に使用されたｕｓｅｒｉｄを、ローカルにあるＳＰＹリスト内で定義されているｕｓｅｒｉｄと比較する。

ＳＰＹリストは、当業者には知られているとおり、ウイルスによって継続的に使用されているｕｓｅｒｉｄ全てを参照用に記載したものである。

違反に使用されたｕｓｅｒｉｄが、ＳＰＹリストのｕｓｅｒｉｄのうちの１つである場合、プロセスは工程４２０へ進んで、ウイルス攻撃に関する「高」レベルの警告を設定する。続いて、プロセスは工程４２２へ続く。

違反に使用されたｕｓｅｒｉｄがＳＰＹリストのｕｓｅｒｉｄのうちの１つでない場合、プロセスは工程４１８へ進み、「中」レベルの警告を設定する。

次の工程４２２において、プロセスは、工程２０４で読み取られたパラメータに基づき、攻撃側デバイスのＭＡＣアドレスを読み出す。

工程４２４において、新たなサブルーチン「ＬＯＣＡＴＩＯＮ」が開始され、攻撃側デバイスのＩＰアドレスが、各ＩＰアドレスの物理的位置を定義するネットワーク・インフラストラクチャ・データベースに含まれたＩＰアドレスのリストと比較される。

工程４２６において、攻撃側デバイスのＩＰアドレスがネットワーク・インフラストラクチャ・データベースに存在するもののうちの１つであるかどうかを判断するために、テストが行われる。

はいの場合、プロセスは、工程４２８へ続き、攻撃側デバイスの所有者に関係する全情報が、ネットワーク・インフラストラクチャ・データベースから抽出される。この情報は、工程２３０で送信される違反レポートに追加される。続いてプロセスは、工程４３４へ進む。

いいえの場合、攻撃側デバイスのＩＰアドレスはネットワーク・インフラストラクチャ・データベース内で発見されなかったことを意味し、プロセスは工程４３０へ続く。

工程４３０において、プロセスは、位置探索を広げ、ＩＰアドレスの同一グループに関連する全デバイスの位置を確認できるようにする。これを行うためには、攻撃側デバイスのＩＰアドレスを切り捨てして最後の範囲を削除する（例えば、「９．３６．１６４．７６」の代わりに「９．３６．１６４」で新たに探索する）。

探索結果が「はい」で、同じＩＰアドレスの範囲を有するデバイス・グループが特定されたことを意味する場合、プロセスは工程４２８へ続き、そうでない場合、プロセスは工程４３２へ進む。

工程４３２において、後で工程２３０において送信される最終違反レポートに、「位置不明」に関するコメントが追加される。

次の工程４３４において、後で工程２３０において送信される最終違反レポートに、ローカル・デバイスのＩＰアドレスが追加される。

続いて、最後に工程４３６において、サブルーチンは工程２２６の最初の呼び出しプロセスへ戻る。

要約すると、本発明は、ウイルス攻撃を検出すること、および攻撃されたデバイスのユーザが攻撃に気づく前に即座にネットワーク管理者へ警報を出すことを可能にする。

さらに、迅速なウイルス検出により、ネットワーク管理者はウイルス攻撃の拡散を制御および軽減でき、それによってウイルス攻撃の影響による費用を大幅に削減できる。

本発明は、任意のウイルス攻撃の検出に関して説明されているが、当然のことながら、リアル・タイムであらゆる無効なアクセスを監視し迅速に必要な処置をするために、容易に使用できる。

最後に、本発明のもう１つの他の利点は、ＣＰＵリソースがあまり使用されないことである。

本発明の方法を実行するネットワーク・インフラストラクチャの全体図である。本発明の方法の好適な実施形態の段階のフロー・チャートである。最終違反レポートの画像である。セキュリティ・イベント・ログを解析するプロセス段階のフロー・チャートである。

Claims

複数の管理対象デバイス（１０８、１１０、１１２、１１４、１１６）を有するＴＣＰ／ＩＰプロトコル・ベースのネットワーク内への侵入を試行するデバイス（１０４、１２０）を特定する方法であって、前記ネットワークは、セキュリティ・イベント・ログを処理する少なくとも１つの管理対象デバイスをさらに有し、前記方法は、
前記少なくとも１つの管理対象デバイスにおいて入方向のＴＣＰ／ＩＰ接続を検出する工程と、
前記検出された入方向の接続を生成している前記デバイスに関係する全ＴＣＰ／ＩＰ情報を、前記少なくとも１つの管理対象デバイスのＴＣＰ／ＩＰスタックから抽出する工程と、
前記入方向のＴＣＰ／ＩＰ接続のポート番号を、定義済みポート番号のセットと比較する工程と、
前記比較が一致した場合、前記検出された入方向のＴＣＰ／ＩＰ接続に関連した全イベント・ログ情報を、前記セキュリティ・イベント・ログから読み出す工程と、
前記検出された入方向のＴＣＰ／ＩＰ接続を生成している前記デバイスの、前記ＴＣＰ／ＩＰ情報および前記イベント・ログ情報を、違反ログ・ファイルに収集する工程と
を含む、方法。
定義済みポート番号の前記セットは、ポート番号１３７、１３９および４４５を含む、請求項１に記載の方法。
セキュリティ・イベント・ログを処理する前記少なくとも１つの管理対象デバイスは、Ｗｉｎｄｏｗｓ（登録商標）オペレーティング・システム上で動作する、請求項１または２に記載の方法。
前記ＴＣＰ／ＩＰ情報を抽出する前記工程は、Ｗｉｎｄｏｗｓ（登録商標）「ＧｅｔＴｃｐＴａｂｌｅ」ＡＰＩを読み取る工程を含む、請求項１、２または３に記載の方法。
前記検出工程の後に、前記入方向のＴＣＰ／ＩＰ接続のＩＰアドレスを不要なＩＰアドレスのセットと比較し、一致する場合には識別プロセスを停止する工程をさらに含む、請求項１〜４のうちのいずれか１項に記載の方法。
不要なＩＰアドレスの前記セットは、「１２７．０．０．１」および「０．０．０．０」に相当するＩＰアドレスを含む、請求項５に記載の方法。
前記ポート番号の比較工程において一致する場合、前記検出された入方向のＴＣＰ／ＩＰ接続を生成している前記デバイスのホスト名を読み出す工程を、前記比較工程の後にさらに含む、請求項１〜６のうちのいずれか１項に記載の方法。
前記セキュリティ・イベント・ログ情報を読み出す前記工程は、前記少なくとも１つの管理対象デバイスのホスト名を読み出す工程をさらに含む、請求項１〜７のうちのいずれか１項に記載の方法。
前記入方向のＴＣＰ／ＩＰ接続のイベントＩＤの値に従い、前記入方向の接続をフィルタする工程をさらに含む、請求項１〜８のうちのいずれか１項に記載の方法。
前記入方向のＴＣＰ／ＩＰ接続のログオン情報が１つまたは複数のフィルタのセットを満たすかどうかを確認する工程をさらに含む、請求項１〜９のうちのいずれか１項に記載の方法。
１つまたは複数のフィルタの前記セットは、無許可ログオンのリストを１つまたは複数含む、請求項１０に記載の方法。
前記セキュリティ・イベント・ログ情報を読み出す前記工程は、前記ＴＣＰ／ＩＰの入方向の接続を生成している前記デバイスのＭＡＣアドレスを読み出す工程をさらに含む、請求項１１に記載の方法。
前記入方向のＴＣＰ／ＩＰ接続を生成している前記デバイスの前記ＩＰアドレスを、前記ＴＣＰ／ＩＰプロトコル・ベースのネットワークに関し定義されたＩＰアドレスのセットと比較する工程をさらに含む、請求項１２に記載の方法。
前記ＴＣＰ／ＩＰ情報と共に収集された前記イベント・ログ情報は、前記入方向のＴＣＰ／ＩＰ接続を生成している前記デバイスの論理情報および物理的位置情報を含む、請求項１〜１３のうちのいずれか１項に記載の方法。
前記収集された情報を中央違反データベースへ送信して、侵入が特定されたことを示す工程をさらに含む、請求項１〜１４のうちのいずれか１項に記載の方法。
複数の管理対象デバイス（１０８、１１０、１１２、１１４、１１６）を有するＴＣＰ／ＩＰプロトコル・ベースのネットワーク内への侵入を試行しているデバイス（１０４、１２０）を特定するシステムであって、前記ネットワークは、セキュリティ・イベント・ログを処理する少なくとも１つの管理対象デバイスをさらに有し、前記システムは、請求項１〜１５のうちのいずれか１項に記載の前記方法の前記工程それぞれを実施する手段を含む、システム。
コンピュータ・マシンにより読み取り可能な媒体に格納されたコンピュータ・プログラム製品であって、前記コンピュータ・マシンに請求項１〜１５のうちのいずれか１項による前記方法を実行させる可読プログラム手段を有形に具現化する、前記コンピュータ・プログラム製品。
Ｗｉｎｄｏｗｓ（登録商標）ベースの複数のデバイスを有するＴＣＰ／ＩＰベースのネットワークにおいて、セキュリティ・イベントの記録を残すようセキュリティ・イベント記録プロシージャを使用して、セキュリティ・イベントを監視する方法であって、前記Ｗｉｎｄｏｗｓ（登録商標）ベースのデバイスは中央違反データベースにつながれ、前記方法は、
前記Ｗｉｎｄｏｗｓ（登録商標）ベースの複数のデバイスのうちの少なくとも１つにおいて、請求項１に記載の前記方法の前記工程を実行する工程と、
前記中央違反データベースにおいて、前記実行工程により生成された前記違反ログ・ファイルを受信する工程と、
前記違反ログ・ファイルを解読し、違反が起こっている場合には、ネットワーク管理者への違反レポートを生成する工程と
を含む方法。
前記実行工程の前に、請求項１７に記載の前記コンピュータ・プログラム製品を、前記Ｗｉｎｄｏｗｓ（登録商標）ベースの複数のデバイスのうちの前記少なくとも１つにロードする工程をさらに含む、請求項１８に記載の方法。