JP2011101172A - Worm infection source specification system, specification method and specification program, agent, and manager computer - Google Patents
Worm infection source specification system, specification method and specification program, agent, and manager computer Download PDFInfo
- Publication number
- JP2011101172A JP2011101172A JP2009254047A JP2009254047A JP2011101172A JP 2011101172 A JP2011101172 A JP 2011101172A JP 2009254047 A JP2009254047 A JP 2009254047A JP 2009254047 A JP2009254047 A JP 2009254047A JP 2011101172 A JP2011101172 A JP 2011101172A
- Authority
- JP
- Japan
- Prior art keywords
- worm
- communication log
- computer
- communication
- infection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明はコンピュータネットワーク上でワームの感染源とその経路を特定することに関し、特にその感染源および経路を特定する処理にかかるコンピュータ装置およびネットワークへの負荷を軽減することに関する。 The present invention relates to specifying a worm infection source and its route on a computer network, and more particularly to reducing the load on a computer device and network related to the process of specifying the infection source and route.
コンピュータネットワークが社会や企業などにとって重要なインフラとなると同時に、ネットワークを介して感染を広げていく不正プログラム、即ち広義のコンピュータウィルスによる被害も深刻化している。本明細書では、広義のコンピュータウィルスの中で、宿主となるファイルを必要とせず、それ自体で独立して実行可能なプログラムファイルであるものを、ワームという。 Computer networks have become an important infrastructure for society and corporations, and at the same time, damage caused by malicious programs that spread infection through the networks, that is, computer viruses in a broad sense, has become serious. In this specification, among computer viruses in a broad sense, a program file that does not require a host file and that can be executed independently by itself is called a worm.
このワームにより、DoS攻撃(Denial of Service attack)や迷惑メールの送信、機密データの漏洩などのような不正な動作がなされ、その結果としてたとえば特定のウェブサーバや電子メールサーバなどに対して過大な負荷を生じさせられてネットワークの障害が起こるなどのような被害が実際に発生している。これは企業にとっては業務の支障、あるいは社会的信用の喪失などになるので、企業内のネットワークにワームに感染したコンピュータ装置(以後これを感染源という)が接続された場合、そのコンピュータ装置を速やかに特定し、適切な措置を執る必要がある。 This worm performs illegal actions such as DoS attack (Denial of Service attack), spam mail transmission, leakage of confidential data, etc. As a result, for example, it is excessive for a specific web server or e-mail server. Damage such as a network failure caused by a load has actually occurred. This may cause business problems for businesses or loss of social credibility. If a computer device infected with a worm (hereinafter referred to as the source of infection) is connected to the corporate network, the computer device is quickly It is necessary to identify and take appropriate measures.
しかしながら、ワームは次々と亜種や新種が出現し、その感染を拡大する手口も年々巧妙になってきていることから、ワーム対策は「いたちごっこ」にならざるを得ない。また、セキュリティと利便性はトレードオフの関係にあり、さらに設定したセキュリティポリシーの欠陥をついてワームが感染することさえある。このため、ワームによる感染被害を完全に防止することは困難を極める。 However, worms have emerged with subspecies and new species one after another, and the techniques to spread the infection have become more sophisticated year by year, so worm countermeasures have to be “wet pretend”. Security and convenience are in a trade-off relationship, and worms can even be infected by flaws in the security policy that has been set. For this reason, it is extremely difficult to completely prevent infection by worms.
既存のアンチウィルスなどの技術で検出できないワームや、セキュリティ設定の欠陥部分をついて感染するワームについて、IPS(Intrusion Prevention System、侵入防止システム)を利用して、ネットワークに接続されたファイアウォールや端末などの通信ログをサーバコンピュータに集約し、相関分析などを行って異常な通信を検出し、その感染経路や感染源の特定を行うということが通常は行われている。 Use IPS (Intrusion Prevention System) for worms that cannot be detected by existing anti-virus technologies or worms that are infected with defective security settings, such as firewalls and terminals connected to the network. It is common practice to collect communication logs in a server computer, perform correlation analysis, etc., detect abnormal communication, and specify the infection route and source.
これに関連して、次のような技術文献がある。特許文献1には、各端末の情報をIPノードスコープが収集し、そこで収集した情報からモニタシステムがワームを検出するという感染防止システムが記載されている。特許文献2には、通信ログのデータの中から所定の検出条件に該当する通信を検出することによりワームを検出するというワーム判定装置が記載されている。特許文献3には、不正な通信パケットを捕捉および記録し、その伝搬経路を特定するというワーム伝搬監視システムが記載されている。
In relation to this, there are the following technical documents.
しかしながら、ネットワークに接続された各機器に保存される通信ログはただでさえ膨大な量である。この中から、特定の条件を満たす通信を検出してワームの感染を検出するには、この処理を担当するコンピュータ装置に膨大な負荷を強いることになる。 However, the amount of communication logs stored in each device connected to the network is enormous. In order to detect a communication satisfying a specific condition and detect a worm infection from this, a huge load is imposed on the computer apparatus in charge of this process.
また、この膨大なログをネットワークを介して機器間を転送することも、ネットワーク全体に対して負荷を強いることとなる。ネットワーク上にワームに感染した機器があると、ただでさえその機器が異常な回数や容量の通信を行ってネットワークの帯域を圧迫して他の機器に過大な負荷を強いているので、その中で膨大なログを転送することは現実的であるとは言えない。 In addition, transferring this enormous log between devices via the network also imposes a load on the entire network. If there is a worm-infected device on the network, even if that device communicates an abnormal number of times or capacity, it compresses the bandwidth of the network and imposes an excessive load on other devices. It is not realistic to transfer a huge log.
前述の特許文献1〜3のいずれにも、転送されるデータ量および各コンピュータでの処理量を軽減することについては記載されていないので、これらの技術では上記の問題点を解決することはできない。
None of the above-mentioned
本発明の目的は、ネットワーク上で転送されるデータ量、および検出処理に係る各コンピュータの処理量を軽減してワームの感染源とその経路を特定することを可能とするワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータを提供することにある。 An object of the present invention is to provide a worm infection source identification system that can reduce the amount of data transferred on a network and the processing amount of each computer related to detection processing to identify the worm infection source and its route, To provide a specific method and a specific program, an agent, and a manager computer.
上記目的を達成するため、本発明に係るワーム感染源特定システムは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するワーム感染源特定システムであって、ワーム感染端末に関する情報を収集するエージェントコンピュータと、エージェントコンピュータが収集した情報を受信してワーム感染端末を特定するマネージャコンピュータとを備え、エージェントコンピュータが、コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、通信ログ送信用テーブルをマネージャコンピュータに送信する通信ログ送信手段とを有することを特徴とする。 In order to achieve the above object, a worm infection source identification system according to the present invention is a worm infection source identification system that detects that a worm-infected terminal, which is a computer device infected with a worm, is connected to a computer network, An agent computer that collects information about the worm-infected terminal and a manager computer that receives the information collected by the agent computer and identifies the worm-infected terminal, and the agent computer inspects communication packets on the computer network and inspects them. Packet inspection means for recording the result as a communication log temporary table, a signature management table preliminarily storing a condition for detecting communication by a worm and a signature ID corresponding thereto, and the source of the contents of the communication log temporary table To A communication log aggregating unit that aggregates communications having the same network and signature ID to create a communication log transmission table; and a communication log transmission unit that transmits the communication log transmission table to a manager computer. .
上記目的を達成するため、本発明に係るエージェントコンピュータは、ワームに感染したコンピュータ装置であるワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータであって、コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、通信ログ送信用テーブルをマネージャコンピュータに送信する通信ログ送信手段とを有することを特徴とする。 In order to achieve the above object, an agent computer according to the present invention is an agent computer that collects information about a worm-infected terminal, which is a computer device infected with a worm, and transmits the information to a manager computer. Packet inspection means for inspecting and recording the inspection result as a communication log temporary table, a signature management table preliminarily storing conditions for detecting communication by a worm and a signature ID corresponding thereto, and contents of the communication log temporary table Communication log aggregating means for aggregating communications having the same source, destination network, and signature ID from the above to create a communication log transmission table; and a communication log transmission means for transmitting the communication log transmission table to the manager computer; Have The features.
上記目的を達成するため、本発明に係るマネージャコンピュータは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータであって、同一のコンピュータネットワークに接続されたエージェントコンピュータから受信したワーム感染端末に関する情報を通信ログ管理テーブルとして保存する通信ログ格納手段と、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リストを作成するワーム感染源特定手段とを有することを特徴とする。 To achieve the above object, a manager computer according to the present invention is a manager computer that detects that a worm-infected terminal, which is a computer device infected with a worm, is connected to a computer network, and is connected to the same computer network. Communication log storage means for storing information about the worm-infected terminal received from the agent computer as a communication log management table, and infection indicating the worm infection route by identifying the worm-infected terminal from the data recorded in the communication log management table And a worm infection source identifying means for creating a route list.
上記目的を達成するため、本発明に係るワーム感染源特定方法は、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、エージェントコンピュータが、ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブルに予め記憶し、エージェントコンピュータが、コンピュータネットワーク上の通信パケットを検査し、エージェントコンピュータが、通信パケットをシグネチャ管理テーブルと照合してシグネチャIDを特定し、エージェントコンピュータが、通信パケットの検査結果を通信ログ一時テーブルとして記録し、エージェントコンピュータが、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成し、エージェントコンピュータが、通信ログ送信用テーブルをマネージャコンピュータに送信し、マネージャコンピュータが、エージェントコンピュータから受信した通信ログ送信用テーブルの内容を通信ログ管理テーブルとして保存し、マネージャコンピュータが、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リストを作成することを特徴とする。 In order to achieve the above object, a worm infection source identification method according to the present invention includes a manager computer that detects that a worm-infected terminal, which is a computer device infected with a worm, is connected to a computer network, and information about the worm-infected terminal. A worm infection source identification system comprising an agent computer that collects and transmits the information to a manager computer, wherein the agent computer stores in advance a condition for detecting communication by the worm and a corresponding signature ID in a signature management table, The agent computer inspects the communication packet on the computer network, the agent computer compares the communication packet with the signature management table to identify the signature ID, and the agent computer The inspection result is recorded as a communication log temporary table, and the agent computer creates a communication log transmission table by aggregating communications with the same source, destination network, and signature ID from the contents of the communication log temporary table. Then, the agent computer transmits the communication log transmission table to the manager computer, the manager computer stores the contents of the communication log transmission table received from the agent computer as a communication log management table, and the manager computer manages the communication log. A worm-infected terminal is identified from the data recorded in the table, and an infection route list indicating the infection route of the worm is created.
上記目的を達成するため、本発明に係るワーム感染源特定プログラムは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブルに予め記憶したエージェントコンピュータに、コンピュータネットワーク上の通信パケットを検査する手順と、通信パケットをシグネチャ管理テーブルと照合してシグネチャIDを特定する手順と、通信パケットの検査結果を通信ログ一時テーブルとして記録する手順と、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する手順と、通信ログ送信用テーブルをマネージャコンピュータに送信する手順とを実行させることを特徴とする。 In order to achieve the above object, a worm infection source identification program according to the present invention includes a manager computer that detects that a worm-infected terminal, which is a computer device infected with a worm, is connected to a computer network, and information on the worm-infected terminal. In the worm infection source identification system comprising an agent computer that collects and transmits the information to the manager computer, the agent computer stores a condition for detecting communication by the worm and a corresponding signature ID in the signature management table in advance. A procedure for inspecting a communication packet on the network, a procedure for checking a communication packet against a signature management table to identify a signature ID, a procedure for recording a communication packet inspection result as a communication log temporary table, and a communication A procedure for creating a communication log transmission table by aggregating communications with the same source, destination network and signature ID from the contents of the temporary table, and a procedure for transmitting the communication log transmission table to the manager computer. It is made to perform.
上記目的を達成するため、本発明に係る別のワーム感染源特定プログラムは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、マネージャコンピュータに、エージェントコンピュータから受信したワーム感染端末に関する情報を通信ログ管理テーブルとして保存する手順と、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リストを作成する手順とを実行させることを特徴とする。 In order to achieve the above object, another worm infection source identification program according to the present invention includes a manager computer that detects that a worm-infected terminal that is a computer device infected with a worm is connected to a computer network, and a worm-infected terminal. A worm infection source identifying system comprising an agent computer that collects information about and sends it to a manager computer, the manager computer storing information on the worm-infected terminal received from the agent computer as a communication log management table; A procedure for identifying a worm-infected terminal from data recorded in the communication log management table and creating an infection route list indicating the infection route of the worm is executed.
上述したように本発明は、エージェントコンピュータが通信ログを集約してマネージャコンピュータに送信し、マネージャコンピュータがそこからワーム感染端末を特定するように構成したので、エージェントコンピュータとマネージャコンピュータの双方で処理量を軽減して、さらに転送されるデータ量も削減できる。これによって、ネットワーク上で転送されるデータ量、および検出処理に係る各コンピュータの処理量を軽減してワームの感染源とその経路を特定することが可能であるという、優れた特徴を持つワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータを提供することができる。 As described above, the present invention is configured such that the agent computer aggregates the communication logs and transmits the collected logs to the manager computer, and the manager computer identifies the worm-infected terminal from there, so that both the agent computer and the manager computer have a processing amount. To reduce the amount of data transferred. This makes it possible to identify the source of worm infection and its route by reducing the amount of data transferred over the network and the processing amount of each computer involved in detection processing. Source identification systems, identification methods and programs, agents and manager computers can be provided.
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1〜4に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係るワーム感染源特定システムは、コンピュータネットワーク1にワームに感染したコンピュータ装置であるワーム感染端末が接続されたことを検出するワーム感染源特定システムである。このシステムは、ワーム感染端末に関する情報を収集するエージェントコンピュータ21、22、23と、エージェントコンピュータが収集した情報を受信してワーム感染端末を特定するマネージャコンピュータ20とを備える。エージェントコンピュータ21、22、23は、コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブル264として記録するパケット検査手段251と、ワームによる通信を検出する条件とこれに対応するシグネチャIDを記憶するシグネチャ管理テーブル261と、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブル266を作成する通信ログ集約手段202〜203と、通信ログ送信用テーブルをマネージャコンピュータに送信する通信ログ送信手段254とを有する。
(First embodiment)
Hereinafter, the structure of the 1st Embodiment of this invention is demonstrated based on attached FIGS. 1-4.
First, the basic content of the present embodiment will be described, and then more specific content will be described.
The worm infection source identification system according to the present embodiment is a worm infection source identification system that detects that a worm-infected terminal, which is a computer device infected with a worm, is connected to the
ここで、エージェントコンピュータの通信ログ集約手段は、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集計して宛先IP数をカウントし、通信ログ集約テーブルを作成する通信ログ第1次集約部(通信ログ1次集約手段252)と、通信ログ集約テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して宛先IP数を合計し、通信ログ送信用テーブルを作成する通信ログ第2次集約部(通信ログ2次集約手段253)とを含む。また、この通信ログ第1次集約部は、シグネチャ管理テーブルに予め記憶されたタイムアウト時間を経過したデータを通信ログ一時テーブルから削除する機能を有する。 Here, the communication log aggregating means of the agent computer counts the communication with the same source, destination network and signature ID from the contents of the communication log temporary table, counts the number of destination IPs, The communication log primary aggregation unit (communication log primary aggregation means 252) to be created and the communication having the same source, destination network, and signature ID are aggregated from the contents of the communication log aggregation table to determine the number of destination IPs. And a communication log secondary aggregating unit (communication log secondary aggregating means 253) that adds up and creates a communication log transmission table. In addition, the communication log primary aggregation unit has a function of deleting, from the communication log temporary table, data that has passed a timeout time stored in advance in the signature management table.
さらに、エージェントコンピュータは、ワーム感染端末の検出の対象としない通信内容について記憶している例外情報管理テーブル262を有し、パケット検査手段251が、通信パケットの検査結果の中から例外情報管理テーブルに記憶されている内容の通信を除外して通信ログ一時テーブルに記録する。
Further, the agent computer has an exception information management table 262 that stores communication contents that are not targeted for detection of the worm-infected terminal, and the
一方のマネージャコンピュータ20は、エージェントコンピュータから受信した通信ログ送信用テーブルの内容を通信ログ管理テーブル212として保存する通信ログ格納手段201と、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リスト218を作成するワーム感染源特定手段202とを有する。
One
このマネージャコンピュータのワーム感染源特定手段202は、通信ログ管理テーブル212に記録された通信パケットのユーザID数および宛先IP数のうち少なくとも1つ以上からワーム感染端末を特定する。そしてマネージャコンピュータは、感染経路リスト218からワームがコンピュータネットワーク内で感染を広げた日時と経路を図示する感染経路図219を作成して出力する感染経路図作成手段203を有する。
The worm infection
以上の構成を備えることにより、このワーム感染源特定システムは、各コンピュータの処理量を軽減してワームの感染源とその感染経路を特定することが可能となる。
以下、これをより詳細に説明する。
With the above configuration, this worm infection source identification system can reduce the processing amount of each computer and identify the worm infection source and its infection route.
Hereinafter, this will be described in more detail.
図1は、本発明の第1の実施形態に係るコンピュータネットワーク1の構成を示す説明図である。コンピュータネットワーク1は、各々のコンピュータ装置がイーサネット(登録商標)などの通信規格によって相互に接続されて構成された複数のLAN(Local Area Network)が、データを中継するネットワーク機器であるルータによってさらに相互に接続されて構成されている。
FIG. 1 is an explanatory diagram showing a configuration of a
コンピュータネットワーク1は、第1セグメント11、第2セグメント12、第3セグメント13という3つのLANに分けることができ、第1のルータ41は第1セグメント11と第2セグメント12との間でデータを中継する。第2のルータ42は第2セグメント12と第3セグメント13との間でデータを中継する。
The
第3セグメント13には、コンピュータネットワーク1全体のワーム感染検出の動作を管理するコンピュータ装置であるマネージャコンピュータ20と、マネージャコンピュータ20からの制御に基づいてワーム感染検出の動作を行うコンピュータ装置であるエージェントコンピュータ23とが接続されている。
The third segment 13 includes a
第2セグメント12には、マネージャコンピュータ20からの制御に基づいてワーム感染検出の動作を行うコンピュータ装置であるエージェントコンピュータ22が接続されている。第1セグメント11には、やはりマネージャコンピュータ20からの制御に基づいてワーム感染検出の動作を行うコンピュータ装置であるエージェントコンピュータ21と、ワームに感染したコンピュータ装置であるワーム感染端末30が接続されている。また、各々のセグメントにはこれらのマネージャコンピュータ20、エージェントコンピュータ、ワーム感染端末30以外にも、複数台のコンピュータ装置であるクライアント31、32、…が接続されている。
Connected to the second segment 12 is an
ここで、第1セグメント11に割り振られるIPアドレス範囲は「192.168.3.0/24」である。同様に第2セグメント12に割り振られるIPアドレス範囲は「192.168.4.0/24」であり、第3セグメント13に割り振られるIPアドレス範囲は「192.168.5.0/24」である。各セグメントに属する各々のコンピュータには、これらの範囲からIPアドレスが割り振られている。 Here, the IP address range allocated to the first segment 11 is “192.168.3.0/24”. Similarly, the IP address range allocated to the second segment 12 is “192.168.4.0/24”, and the IP address range allocated to the third segment 13 is “192.168.5.0/24”. is there. An IP address is assigned to each computer belonging to each segment from these ranges.
その中で、ワーム感染端末30のIPアドレスは「192.168.3.1」、エージェントコンピュータ21のIPアドレスは「192.168.3.254」、エージェントコンピュータ22のIPアドレスは「192.168.4.254」、エージェントコンピュータ23のIPアドレスは「192.168.5.254」、マネージャコンピュータ20のIPアドレスは「192.168.5.1」である。各々のクライアント31、32、…には、上記のアドレス範囲の中で、マネージャコンピュータ20、エージェントコンピュータ21、22、23、ワーム感染端末30に該当しないIPアドレスが割り振られている。
Among them, the IP address of the worm-infected
本実施形態では、ルータによって区切られた各セグメントに、エージェントコンピュータを1台ずつ配置している。そしてマネージャコンピュータをコンピュータネットワーク1全体に対して1台配置している。また、マネージャコンピュータとエージェントコンピュータとの間の通信は、暗号化して行うことが望ましいが、この暗号化方法そのものは本発明の範囲ではないので、公知の暗号化方法を適用することができる。
In this embodiment, one agent computer is arranged in each segment delimited by the router. One manager computer is arranged for the
ただし、実際の運用についてはこの例の通りであるとは限らない。エージェントコンピュータは、該当ネットワークの通信をモニタすることおよびマネージャコンピュータとの通信が可能であれば、どの装置上に導入してもよい。また一台のコンピュータ装置が、複数のマネージャコンピュータに対応するエージェントコンピュータになることもできる。 However, actual operation is not always the same as this example. The agent computer may be installed on any device as long as it can monitor communication of the corresponding network and can communicate with the manager computer. One computer device can be an agent computer corresponding to a plurality of manager computers.
図2は、図1に示したマネージャコンピュータ20、エージェントコンピュータ21〜23のハードウェアとしての構成を示す説明図である。マネージャコンピュータ20およびエージェントコンピュータ21〜23は各々、コンピュータプログラムを実施する演算装置であるプロセッサ101と、プログラムやデータを記憶する記憶手段102と、コンピュータネットワーク1に接続して他のコンピュータ装置とのデータ通信を行う通信手段103、結果をユーザ向けに出力する出力手段104(ディスプレイやプリンタなど)とを備える。エージェントコンピュータ21〜23については、全て同一の構成であるので、エージェントコンピュータ21についてのみ詳しい構成を図示している。また、本実施形態ではエージェントコンピュータ21〜23の出力手段104を使用しないので、これについては図示していない。
FIG. 2 is an explanatory diagram showing the hardware configuration of the
プロセッサ101で、後述する各プログラムが実行される。また、その動作で使用される各種データが、記憶手段102に記憶される。以後、マネージャコンピュータ20で実行されるプログラムをマネージャプログラム200という。また、エージェントコンピュータ21、22、23でそれぞれ実行されるプログラムをエージェントプログラム250という。
The
図3は、図2に示したマネージャプログラム200のソフトウェアとしての構成を示す説明図である。マネージャプログラム200は、記憶手段102上のエージェントコンピュータ情報テーブル211に登録されたエージェントコンピュータからデータを定期的に取得して記憶手段102上の通信ログ管理テーブル212に格納する通信ログ格納手段201と、記憶手段102上の通信ログ管理テーブル212を定期的に参照してワームの感染源と感染経路を特定し、これらの特定結果を記憶手段102上の感染経路リスト218に格納するワーム感染源特定手段202と、そこから感染経路図219を作成して出力手段104に出力する感染経路図作成手段203とを有する。
FIG. 3 is an explanatory diagram showing the software configuration of the
また、記憶手段102には、マネージャプログラム200の初期設定パラメータを記憶した初期設定ファイル271も記憶されている。ここでいう初期設定パラメータは、ワーム検出条件、およびワーム検出間隔である。
The
ワーム検出条件は、ワーム感染源の特定を行うか否かを判断する条件となるユーザID数および宛先IP数の各々の数値である。通信ログ管理テーブル212のユーザID数および宛先IP数の各々について、ワーム感染源の特定を行うか否かを決定する閾値をここに設定する。初期値はユーザID数>1、宛先IP数>1とする。条件は複数指定可能であり、かつ条件毎に検査対象期間を指定可能である。ワーム検出間隔は、ワーム感染源特定手段202が通信ログ管理テーブル212を確認してワーム感染源の特定処理を行う間隔である。
The worm detection condition is a numerical value for each of the number of user IDs and the number of destination IPs, which is a condition for determining whether or not to identify a worm infection source. For each of the number of user IDs and the number of destination IPs in the communication log management table 212, a threshold value for determining whether or not to specify a worm infection source is set here. Initial values are set such that the number of user IDs> 1 and the number of destination IPs> 1. A plurality of conditions can be specified, and a period to be inspected can be specified for each condition. The worm detection interval is an interval at which the worm infection
図4は、図2に示したエージェントプログラム250のソフトウェアとしての構成を示す説明図である。エージェントプログラム250は、通信手段103が他の装置から受信した通信パケットを検査するパケット検査手段251と、この通信パケットの検査結果を集約する通信ログ1次集約手段252と通信ログ2次集約手段253と、集約された通信ログをマネージャプログラム200に送信する通信ログ送信手段254とからなる。
FIG. 4 is an explanatory diagram showing the software configuration of the
パケット検査手段251は、記憶手段102上のシグネチャ管理テーブル261および例外情報管理テーブル262を参照して通信パケットを検査し、その検査結果を記憶手段102上の通信ログ一時テーブル264に格納する。通信ログ1次集約手段252は、記憶手段102上のシグネチャ管理テーブル261およびネットワーク管理テーブル263を参照しつつ、記憶手段102上の通信ログ一時テーブル264を定期的に確認し、その中でシグネチャ管理テーブル261に設定された閾値を越えたものを記憶手段102上の通信ログ集約テーブル265に記録する。
The
通信ログ1次集約手段252はさらに、記憶手段102上の通信ログ集約テーブル265に記録された中で、記憶手段102上のシグネチャ管理テーブル261に設定されたタイムアウト値を超えたものを削除する。そして通信ログ2次集約手段253は、通信ログ集約テーブル265をさらに集約した通信ログ送信用テーブル266を記憶手段102上に作成する。通信ログ送信手段254は、その通信ログ送信用テーブル266をマネージャプログラム200に送信する。
The communication log
また、記憶手段102には、エージェントプログラム250の初期設定パラメータを記憶した初期設定ファイル271も記憶されている。ここでいう初期設定パラメータは、通信ログ一時テーブルチェック間隔、および通信ログ集約テーブルチェック間隔である。
The
通信ログ1次集約手段252は、通信ログ一時テーブルチェック間隔の値を基にして定期的に通信ログ一時テーブル264を確認し、シグネチャ管理テーブル261の閾値と検査タイムアウトのカラムを基にエントリの削除もしくは通信ログ集約テーブル265への集約を行う。参照したエントリを集約後に通信ログ一時テーブル264から削除することで、エージェントコンピュータのリソース消費を軽減する。
The communication log
通信ログ2次集約手段253は、通信ログ集約テーブルチェック間隔の値を基にして定期的に通信ログ集約テーブル265を確認して、通信ログ集約テーブル265のエントリをさらに集約して通信ログ送信用テーブル266とする。 The communication log secondary aggregation means 253 periodically checks the communication log aggregation table 265 based on the value of the communication log aggregation table check interval, further aggregates the entries in the communication log aggregation table 265, and transmits the communication log. A table 266 is assumed.
図5は、図4に示したシグネチャ管理テーブル261のデータ構成を示す説明図である。エージェントプログラム250は、シグネチャ管理テーブル261の記録データを必要に応じて変更できる権限を有している。また、マネージャプログラム200からも、各エージェントコンピュータに指令して、このシグネチャ管理テーブル261を参照および変更できる。
FIG. 5 is an explanatory diagram showing the data structure of the signature management table 261 shown in FIG. The
シグネチャ管理テーブル261は、次に示す内容を記録している。シグネチャID261aは、ワームの種類、もしくはワームによる攻撃の種類(これをシグネチャという)を一意に特定するためのIDである。パケット検査手段251は、後述のプロトコル毎に、シグネチャID261aの小さいものから順に受信パケットと比較する。
The signature management table 261 records the following contents. The
識別名261bは、各シグネチャの識別名である。これは任意に命名することができる。プロトコル261cは、検査対象のプロトコルの名称、たとえばTCP(Transmission Control Protocol)、UDP(User Datagram Protocol)、ICMP(Internet Control Message Protocol)などである。
The
ルール261dは、検査対象とする通信内容のルールを示す。たとえば「宛先ポート=80」とあるものは、このポートに対する通信を検査対象とする。他にもプロトコル261cを「TCP」、ルール261dを「宛先ポート=25」でかつ「RCPT TO:%UNIQ_ID%」として、電子メール送信を検出することもできる。%UNIQ_ID%とは、受信パケットに含まれ、電子メール送信時に指定されるユーザ固有の識別情報をいう。これが、後述する通信ログ一時テーブル264などに含まれるユーザID(264c)となる。また、ここでプロトコル261cを「ICMP」として、ルール261dを「タイプ=8」とすれば、エコー要求(pingコマンド)を検出することができる。
The
閾値261eは、ワームによる不正な攻撃であるか否かを判定する基準となる数値である。通信ログ1次集約手段252は、後述の通信ログ一時テーブル264を更新する時に、通信ログ一時テーブル264の該当行の攻撃数と閾値261eとを比較し、単位時間内に行われる攻撃数が閾値261eを超えているか否かを確認し、超えていればこれに該当する行のデータを通信ログ集約テーブル265に集約する。この動作について詳細は後述する。
The
検査タイムアウト秒数261fは、通信ログ一時テーブル264に登録された通信が、そこから削除されるまでの秒数の設定値である。通信ログ1次集約手段252は、通信ログ一時テーブル264を更新する時に、通信ログ一時テーブル264の該当する行のデータ登録時刻と検査タイムアウト秒数261fとを比較し、データが登録されてからの経過時間が検査タイムアウト秒数261fを超えていた場合には通信ログ一時テーブル264から該当行を削除する。
The inspection timeout number of
シグネチャ管理テーブル261の末尾には、パケット検査手段251が取りこぼしなくパケットを捕捉できるよう、次のようなエントリを登録しておくことが望ましい。識別名261bを「other${uniq_num}」、プロトコル261cを「TCP」、ルール261dを「宛先ポート=${dst_port}」、閾値261eを「1」、検査タイムアウト秒数261fを「1」とする。uniq_numは、ユニークな番号を表す変数であり、dst_portは宛先ポート番号を表す変数である。これと同様のルールを、プロトコル261cがUDPやICMPの場合についても設定しておくことが望ましい。
It is desirable to register the following entry at the end of the signature management table 261 so that the
未知のワームに対応するため、シグネチャ管理テーブル261に、ワームの動作として予め想定される通信を予めすべて登録しておいてもよいし、パケット検査手段251がシグネチャ管理テーブル261に登録されていない通信を検出したタイミングで、動的にIDと識別名を割り当てて新規エントリを追加するようにしてもよい。 In order to deal with unknown worms, all of the communications assumed as worm operations may be registered in advance in the signature management table 261, or communications in which the packet inspection means 251 is not registered in the signature management table 261. It is also possible to add a new entry by dynamically assigning an ID and an identification name at the timing at which is detected.
図6は、図4に示した例外情報管理テーブル262のデータ構成を示す説明図である。エージェントプログラム250は、例外情報管理テーブル262の記録データを必要に応じて変更できる権限を有している。例外情報管理テーブル262は、次に示す内容を記録している。ID262aは、登録されている例外情報を一意に特定するためのIDである。送信元アドレス262b、宛先アドレス262c、プロトコル262dは、例外扱いとする対象の通信の、各々送信元アドレス、宛先アドレス、プロトコルである。ルール262eは、例外扱いとする対象の通信の、上記した以外の属性を示す。
FIG. 6 is an explanatory diagram showing the data structure of the exception information management table 262 shown in FIG. The
例外情報管理テーブル262には、たとえばネットワークプリンタを使用して印刷を行う際に生じる通信など、明らかにワームとは無関係である通信について登録する。パケット検査手段251は、捕捉した通信とシグネチャ管理テーブル261のエントリとを比較する前に、捕捉した通信と例外情報管理テーブル262のエントリを比較し、この通信が例外情報管理テーブル262のエントリに該当する場合は、ここで捕捉した通信の検査を打ち切る。これによって、マシンリソースを節約することができる。
In the exception information management table 262, communication that is clearly unrelated to the worm, such as communication that occurs when printing using a network printer, is registered. The
図7は、図4に示したネットワーク管理テーブル263のデータ構成を示す説明図である。エージェントプログラム250は、ネットワーク管理テーブル263の記録データを必要に応じて変更できる権限を有している。また、マネージャプログラム200からも、各エージェントコンピュータに指令して、このネットワーク管理テーブル263を参照することができる。
FIG. 7 is an explanatory diagram showing a data configuration of the network management table 263 shown in FIG. The
ネットワーク管理テーブル263は、次に示す内容を記録している。ネットワークID263aは、登録されているネットワークアドレスを一意に特定するためのIDである。ネットワークアドレス263bは、各々のネットワークID263aに属するIPアドレスの範囲を表す。
The network management table 263 records the following contents. The
第1セグメント11は、ネットワークID263a=「1」、ネットワークアドレス263b=「192.168.3.0/24」である。同様に第2セグメント12は、ネットワークID263a=「2」、ネットワークアドレス263b=「192.168.4.0/24」であり、第3セグメント13はネットワークID263a=「3」、ネットワークアドレス263b=「192.168.5.0/24」である。
The first segment 11 has a
図8は、図4に示した通信ログ一時テーブル264のデータ構成を示す説明図である。エージェントプログラム250は、通信ログ一時テーブル264の記録データを必要に応じて変更できる権限を有している。通信ログ一時テーブル264は、次に示す内容を記録している。送信元IP264a、宛先IP264bは、パケット検査手段251が捕捉した通信の、各々送信元および宛先のIPアドレスを示す。
FIG. 8 is an explanatory diagram showing the data structure of the communication log temporary table 264 shown in FIG. The
ユーザID264cは、パケット検査手段251が捕捉した通信にユーザを示す文字列が含まれている場合、その文字列を示す。ユーザを示す文字列がなければ、空データ(null)となる。シグネチャID264dは、捕捉した通信に対応するシグネチャ管理テーブル261のシグネチャID261aを示す。
The
登録時刻264eは、この行に該当するデータが通信ログ一時テーブル264に最初に登録された時刻を示す。攻撃数264fは、データが通信ログ一時テーブル264に最初に登録されてから、同一の送信元IP264a、宛先IP264b、ユーザID264c、シグネチャID264dの通信が行われた回数を示す。
The
図9は、図4に示した通信ログ集約テーブル265および通信ログ送信用テーブル266のデータ構成を示す説明図である。エージェントプログラム250は、通信ログ集約テーブル265および通信ログ送信用テーブル266の記録データを必要に応じて変更できる権限を有している。
FIG. 9 is an explanatory diagram showing the data structure of the communication log aggregation table 265 and the communication log transmission table 266 shown in FIG. The
通信ログ集約テーブル265は、次に示す内容を記録している。送信元IP265aは、パケット検査手段251が捕捉した通信の送信元IPアドレスである。宛先NW265bは、パケット検査手段251が捕捉した通信の宛先ネットワークアドレスを一意に特定可能なIDである。これは通信ログ1次集約手段252がネットワーク管理テーブル263を参照して、該当するネットワークID263aの値を登録する。なお、本明細書では「ネットワーク」を略して「NW」ということがある。
The communication log aggregation table 265 records the following contents. The transmission source IP 265 a is a transmission source IP address of communication captured by the
宛先IP数265cは、パケット検査手段251が捕捉した通信に含まれていた宛先IPアドレスの数の合計を示す。これは通信ログ1次集約手段252が通信ログ一時テーブル264もしくは通信ログ集約テーブル265から通信ログを集約する際に、通信ログのユニークな宛先IPアドレスの数を集計して登録する。
The
ユーザID数265dは、パケット検査手段251が捕捉した通信に含まれていたユーザを示すユニークな文字列の数を示す。これは通信ログ1次集約手段252が通信ログ一時テーブル264もしくは通信ログ集約テーブル265から通信ログを集約する際に、通信ログのユーザIDの数を集計して登録する。
The
シグネチャID265eは、パケット検査手段251が捕捉した通信に対応するシグネチャ管理テーブル261のシグネチャIDである。検知時刻265fは、シグネチャID265eに示す通信が開始された時刻である。登録時刻265gは、通信ログ1次集約手段252が通信ログ一時テーブル264もしくは通信ログ集約テーブル265のエントリを集約して該当データを登録した時刻である。
The
攻撃数265hは、シグネチャID265eに該当する通信が開始されてから登録時刻265gの時刻までに、同一の送信元IP265a、宛先NW265b、シグネチャID265eの通信が行われた回数を示す。
The number of
通信ログ送信用テーブル266も、通信ログ集約テーブル265と同内容のデータ構成を有するので、これらを各々送信元IP266a、宛先NW266b、宛先IP数266c、ユーザID数266d、シグネチャID266e、検知時刻266f、登録時刻266g、攻撃数266hという。通信ログ送信用テーブル266の具体的なデータの例については後述する。
Since the communication log transmission table 266 also has the same data structure as the communication log aggregation table 265, these are the
図10は、図3に示したエージェントコンピュータ情報テーブル211のデータ構成を示す説明図である。マネージャプログラム200は、エージェントコンピュータ情報テーブル211の記録データを必要に応じて変更できる権限を有している。またマネージャプログラム200は、エージェントコンピュータ情報テーブル212に登録されたエージェントコンピュータからのみ通信ログを受け取る。
FIG. 10 is an explanatory diagram showing the data structure of the agent computer information table 211 shown in FIG. The
エージェントコンピュータ情報テーブル211は、次に示す内容を記録している。エージェントコンピュータID211aは、登録されているエージェントコンピュータを一意に特定するためのIDである。エージェントコンピュータIP211bは、そのエージェントコンピュータのIPアドレスである。
The agent computer information table 211 records the following contents. The
管理者メールアドレス211cは、そのエージェントコンピュータの管理者のメールアドレスである。監視対象NW211dは、監視対象ネットワークを一意に特定可能なIDである。これは、通信ログ格納手段201がネットワーク管理テーブル263を参照することによって、該当するネットワークID263aの値を登録する。
The administrator mail address 211c is the mail address of the administrator of the agent computer. The
図11は、図3に示した通信ログ管理テーブル212のデータ構成を示す説明図である。マネージャプログラム200は、通信ログ管理テーブル212の記録データを必要に応じて変更できる権限を有している。通信ログ格納手段201は、エージェントコンピュータから入手した通信ログにデータ入手元のエージェントコンピュータのIPアドレスを付加して、通信ログ管理テーブル212として記録する。
FIG. 11 is an explanatory diagram showing the data structure of the communication log management table 212 shown in FIG. The
通信ログ管理テーブル212は、次に示す内容を記録している。エージェントコンピュータIP212aは、該当するデータを送信したエージェントコンピュータのIPアドレスであり、前述のように通信ログ格納手段201が付加する。これ以外は、図9で示した通信ログ集約テーブル265と同一の内容のデータを有するので、これらを各々送信元IP212b、宛先NW212c、宛先IP数212d、ユーザID数212e、シグネチャID212f、検知時刻212g、登録時刻212h、攻撃数212iという。これらの各データが意味する内容も、通信ログ集約テーブル265における同名のデータと同一である。
The communication log management table 212 records the following contents. The
図3に示した感染経路リスト218は、ワーム感染源特定手段202が特定したワームによる通信の記録を格納するものであるが、このデータ構成については後述する。
The
以後、本実施形態の説明においては、ワーム感染源とはコンピュータネットワーク1内にワームの感染が拡大する原因となったワーム感染端末30のことをいう。また、ワーム感染経路とは、ワームが発したと推測される通信がどの端末間、あるいはネットワーク間で行われたかを示す経路という意味でいう。
Hereinafter, in the description of this embodiment, the worm infection source refers to the worm-infected
(通信ログの格納と集約)
図12は、図4で示したパケット検査手段251が受信パケットを検査して通信ログ一時テーブル264に通信ログを格納する動作を示すフローチャートである。パケット検査手段251は、受信したパケットごとに図12で示す動作を行う。
(Communication log storage and aggregation)
FIG. 12 is a flowchart showing an operation in which the
通信を受信したパケット検査手段251は(ステップS301)、まずこの受信したパケットが自ネットワークを起源(発信元)とするものか否かを判断する(ステップS302)。発信元が自ネットワークでない場合は、ここで処理を終了する。発信元が自ネットワークであればステップS303に進んで処理を継続する。送信元が自ネットワークの場合のみ受信パケットを検査する動作を行うので、これによってエージェントコンピュータのマシンリソースを節約することができる。 The packet inspection means 251 that has received the communication (step S301) first determines whether or not the received packet originates from the own network (source) (step S302). If the source is not the local network, the process ends here. If the source is the local network, the process proceeds to step S303 and the process is continued. Since the operation of inspecting the received packet is performed only when the transmission source is the local network, the machine resource of the agent computer can be saved.
発信元が自ネットワークの場合、パケット検査手段251は受信パケットと例外情報管理テーブル262とを比較して、受信パケットの内容に該当するエントリが例外情報として登録されているか否かを確認する(ステップS303)。例外情報として登録されている場合は、ここで処理を終了する。
When the transmission source is the local network, the
例外情報として登録されていなければ、パケット検査手段251はさらに受信パケットがシグネチャ情報テーブル261とを比較して、受信パケットの内容に該当するエントリが存在するか否かを確認する(ステップS304)。該当するエントリが存在しない場合は、ここで処理を終了する。
If it is not registered as exception information, the
該当するエントリが存在する場合、パケット検査手段251はシグネチャ管理テーブル261のルール261dを確認し、ユーザIDを含むルール(たとえば、図12に示した例でいえばシグネチャID261a=「4」でルール261dにユニークなユーザIDを示す「UNIQ_ID」が含まれていること)が定義されているか否かを確認する(ステップS305)。定義されていれば、そのルールに従ってユーザIDを取得し(ステップS306)、ステップS307に進む。定義されていなければ、そのままステップS307に進む。
If there is a corresponding entry, the
引き続いてパケット検査手段251は、受信パケットの送信元IPアドレス、宛先IPアドレス、ステップS306で取得したユーザID、ステップS304で取得したシグネチャIDをキーとして通信ログ一時テーブル264を検索し、同一内容のエントリが既に存在するか否かを確認する(ステップS307)。
Subsequently, the
同一内容のエントリが存在しなければ、パケット検査手段251はその送信元IPアドレス264a、宛先IPアドレス264b、ユーザID264c、シグネチャID264dで新規エントリを通信ログ一時テーブル264に作成する(ステップS308)。その際、登録時刻264eおよび攻撃数264fの初期値は0とする。新規エントリの作成を完了したら、ステップS309に進む。同一内容のエントリが存在すれば、そのままステップS309に進む。
If there is no entry having the same content, the
引き続いてパケット検査手段251は、該当するエントリの攻撃数264fを+1して(ステップS309)、これで受信パケットの検査処理を終了する。ステップS308で新規エントリを作成した場合は、その新規エントリの攻撃数264f=「0」を「1」とすることになる。図8には、このパケット検査処理を実行した後の通信ログ一時テーブル264の例を示している。
Subsequently, the packet inspection means 251 increments the
図13は、図4で示した通信ログ1次集約手段252が通信ログ一時テーブル264を定期参照して通信ログ集約テーブル265に通信ログを集約する動作を示すフローチャートである。通信ログ1次集約手段252は、通信ログ一時テーブル264を上から順に確認し、未参照のエントリに対してのみステップS402以後に示す通信ログ集約処理を行う(ステップS401)。
FIG. 13 is a flowchart showing an operation in which the communication log
通信ログ1次集約手段252はまず、通信ログ一時テーブル264の参照中のエントリと送信元IPアドレス264a、ユーザID264c、シグネチャID264dが同一で、かつ宛先IPアドレス264bが自らと同一ネットワークである(ネットワーク管理テーブル263を参照して判断する)エントリを抽出して(ステップS402)、通信ログ1次集約手段252はこれを上から順に確認し、ステップS404以後に示す通信ログ集約処理を行う(ステップS403)。
First, the communication log primary aggregation means 252 is the same network as the entry being referred to in the temporary communication log table 264, the
通信ログ1次集約手段252は、参照中のエントリの攻撃数264fの値が、参照中のエントリのシグネチャID264d(261a)をキーにしてシグネチャ管理テーブル261を検索し、抽出された閾値261eと比較する(ステップS404)。攻撃数264f≧閾値261eであればステップS405に進み、攻撃数264f<閾値261eであればステップS409に進む。
The communication log primary aggregation means 252 searches the signature management table 261 using the
通信ログ1次集約手段252は、参照中のエントリの送信元IPアドレス264a、シグネチャID264dと宛先IPアドレス264bが属するネットワークアドレスをキーとして通信ログ集約テーブル265を検索し同一内容のエントリが存在するか否かを確認する(ステップS405)。同一内容のエントリが存在しなければステップS406に、同一内容のエントリが存在する場合はステップS407にそれぞれ進む。
The communication log primary aggregation means 252 searches the communication log aggregation table 265 using the network address to which the
ステップS405で同一内容のエントリが存在しなければ、該当する内容の新規エントリを通信ログ集約テーブル265上に作成する(ステップS406)。その際、送信元IP265aは、通信ログ一時テーブル264で参照中のエントリの送信元IP264aを記録する。宛先NW265bは、通信ログ一時テーブル264で参照中のエントリの宛先IP264bが属するネットワークアドレスを記録する。
If no entry with the same content exists in step S405, a new entry with the corresponding content is created on the communication log aggregation table 265 (step S406). At that time, the source IP 265a records the
宛先IP数265cは、ユニークな宛先IP264bをカウントした数(初期値は1)を記録する。ユーザID数265dは、ユニークなユーザID264cをカウントした数(初期値は、ユーザIDを取得している場合は1、取得していない場合は0)を記録する。シグネチャID265e、検知時刻265f、攻撃数265hは、通信ログ一時テーブル264で参照中のエントリのシグネチャID264d、登録時刻264e、攻撃数264fを各々記録する。登録時刻265gは、この処理を行っている時点の現在時刻である。
The
ステップS405で同一内容のエントリが存在すれば、通信ログ1次集約手段252は通信ログ集約テーブル265上の該エントリの宛先IP数265c、ユーザID数265d、検知時刻265f、登録時刻265g、攻撃数265hを各々更新する(ステップS407)。これらのデータ更新の具体的な内容については、次の行から詳しく説明する。
If there is an entry having the same content in step S405, the communication log primary aggregation means 252 has the
通信ログ一時テーブル264で参照中の宛先IP264bが未カウントの場合は、通信ログ集約テーブル265の該当行の宛先IP数265cを+1する。同様に、参照中のユーザID264cが未カウントの場合は、通信ログ集約テーブル265の該当行のユーザID数265dを+1する。その際、同一の宛先IP264bおよびユーザID264cを重複してカウントしないように、参照中の通信ログの宛先IPアドレスとユーザIDとをメモリ上などに適宜キャッシュしておくとよい。
When the
通信ログ集約テーブル265の該当行の検知時刻265fと通信ログ一時テーブル264で参照中の登録時刻264eとを比較して、古い方の時刻を検知時刻265fとする。また、該当行の登録時刻265gは、この処理を行っている時点の現在時刻とする。そして該当行の攻撃数265hに、参照中の通信ログの攻撃数264fを加算する。以上がステップS407の処理の詳細である。ステップS406またはステップS407の終了後、ステップS408に進む。
The detection time 265f of the corresponding line in the communication log aggregation table 265 is compared with the
一方、ステップS404で攻撃数264f<閾値261eの場合は、通信ログ1次集約手段252は参照中のエントリの登録時刻264eから現在までの経過時間と、参照中のエントリのシグネチャID264d(261a)をキーにしてシグネチャ管理テーブル261を検索して抽出した行の検査タイムアウト秒数261fの値を比較して、経過時間≧検査タイムアウト秒数261fであるか否かを判断する(ステップS408)。経過時間≧検査タイムアウト秒数261fであれば、タイムアウトしたことになるのでステップS409に進む。経過時間<検査タイムアウト秒数261fであれば、ステップS410に進む。
On the other hand, if the
ステップS408でタイムアウトしていた場合、または通信ログ集約テーブル265のエントリを追加もしくは更新した場合、参照中の通信ログ一時テーブル264の該当エントリを削除する(ステップS409)。 If timed out in step S408, or if an entry in the communication log aggregation table 265 is added or updated, the corresponding entry in the communication log temporary table 264 being referred to is deleted (step S409).
図9に示した例では、図8に示した通信ログ一時テーブル264からこの処理を通じて集約された通信ログ集約テーブル265を示している。たとえば、図8の最初の6件のエントリは、図9の先頭の1件のエントリに集約される。即ち、宛先IPアドレス264bが異なる6回の通信は、同一の送信元IPアドレス264aから発せられた同一の内容の通信(攻撃)であると判断されて、宛先IP数265c=「6」である同内容の攻撃として1つのエントリにまとめられている。
In the example shown in FIG. 9, the communication log aggregation table 265 aggregated through this process from the communication log temporary table 264 shown in FIG. For example, the first six entries in FIG. 8 are aggregated into the first entry in FIG. That is, the six communications with different destination IP addresses 264b are judged to be communications (attack) with the same contents originating from the same
通信ログは、通常は膨大なデータ容量となり、これを参照してワームによる攻撃を検出するだけでもマシンリソースの浪費となる。本実施形態では、以上で説明した処理によって、通信ログを通信ログ一時テーブル264から通信ログ集約テーブル265に集約して、参照した通信ログを通信ログ一時テーブル264から削除する。これで、エージェントコンピュータのマシンリソースの消費を抑えることができる。 The communication log usually has an enormous amount of data, and machine resources are wasted just by detecting an attack by a worm by referring to the communication log. In the present embodiment, the communication log is aggregated from the communication log temporary table 264 to the communication log aggregation table 265 by the processing described above, and the referred communication log is deleted from the communication log temporary table 264. Thus, the consumption of machine resources of the agent computer can be suppressed.
図14は、図4で示した通信ログ2次集約手段253が通信ログ集約テーブル265を定期参照して通信ログ送信用テーブル266に通信ログを集約し、通信ログ送信手段254が通信ログ送信用テーブル266をマネージャコンピュータ20に送信する動作を示すフローチャートである。通信ログ2次集約手段253は、通信ログ集約テーブル265を上から順に確認し、未参照の通信ログに対してのみステップS502以後に示す通信ログ集約処理を行う(ステップS501)。
14, the communication log secondary aggregation means 253 shown in FIG. 4 periodically refers to the communication log aggregation table 265 and aggregates the communication logs in the communication log transmission table 266, and the communication log transmission means 254 is used for communication log transmission. 7 is a flowchart showing an operation for transmitting a table 266 to the
通信ログ2次集約手段253は、通信ログ集約テーブル265の参照中のエントリと送信元IPアドレス265a、宛先NW265b、シグネチャID265eが同一である通信ログを抽出し(ステップS502)、通信ログ2次集約手段253はこれを上から順に確認し、ステップS504以後に示す通信ログ集約処理を行う(ステップS503)。
The communication log
通信ログ2次集約手段253は、通信ログ集約テーブル265の参照中のエントリの送信元IPアドレス265a、宛先NW265b、シグネチャID265eをキーとして通信ログ送信用テーブル265を検索し、同一内容のエントリが存在するか否かを確認する(ステップS504)。同一内容のエントリが存在しなければステップS505に進み、存在すればステップS506に進む。
The communication log secondary aggregation means 253 searches the communication log transmission table 265 using the source IP address 265a,
ステップS504で同一内容のエントリが存在しなければ、通信ログ2次集約手段253は通信ログ送信用テーブル266に新規エントリを作成する(ステップS505)。その際、送信元IPアドレス266a、宛先NW266b、宛先IP数266c、ユーザID数266d、シグネチャID266e、検知時刻266f、攻撃数266hは、通信ログ集約テーブル265の参照中のエントリの送信元IPアドレス265a、宛先NW265b、宛先IP数265c、ユーザID数265d、シグネチャID265e、検知時刻265f、攻撃数265hをそのまま記録する。登録時刻266gは、この処理を行っている時点の現在時刻である。
If there is no entry having the same content in step S504, the communication log secondary aggregation means 253 creates a new entry in the communication log transmission table 266 (step S505). At this time, the
ステップS504で同一内容のエントリが存在すれば、通信ログ2次集約手段253は通信ログ送信用テーブル266の該当行の宛先IP数266c、ユーザID数266d、検知時刻266f、登録時刻266g、攻撃数266hを各々更新する(ステップS506)。これらのデータ更新の具体的な内容については、次の行から詳しく説明する。
If there is an entry having the same content in step S504, the communication log secondary aggregation means 253 determines the number of
宛先IP数266cとユーザID数266dに、通信ログ集約テーブル265の参照中のエントリの宛先IP数265cとユーザID数265dを各々加算する。検知時刻266fと、通信ログ集約テーブル265の参照中のエントリの検知時刻265fとを比較し、古い方の時刻を検知時刻266fとする。登録時刻266gは、この処理を行っている時点の現在時刻とする。そして攻撃数266hに、通信ログ集約テーブル265の参照中のエントリの攻撃数265hを加算する。
The
ステップS505またはS506の処理が終了した後、通信ログ2次集約手段253は参照中の通信ログ集約テーブル265の該当エントリを削除する(ステップS507)。以上の処理を、全ての通信ログ集約テーブル265の全ての行に対して繰り返した後、通信ログ送信手段254は集約の完了した通信ログ送信用テーブル266をマネージャコンピュータ20に送信して、さらに送信が完了した通信ログ送信用テーブル266を削除し(ステップS508)、処理を完了する。
After the processing in step S505 or S506 is completed, the communication log
図15は、図4に示した通信ログ送信用テーブル266のデータ構成を示す説明図である。図15に示した例では、図9に示した通信ログ集約テーブル265からこの処理を通じて集約された通信ログ送信用テーブル266を示している。 FIG. 15 is an explanatory diagram showing the data structure of the communication log transmission table 266 shown in FIG. In the example shown in FIG. 15, a communication log transmission table 266 aggregated through this process from the communication log aggregation table 265 shown in FIG.
前述のように、通信ログ送信用テーブル266は通信ログ集約テーブル265と同一のデータ項目を記憶しているが、たとえば図9で複数あったシグネチャID265e=「1」のエントリが、通信ログ送信用テーブル266では1行に集約されている。即ち、検知時刻265fが異なる複数の攻撃は、同一の送信元IPアドレス265aから発せられた同一の内容の攻撃であると判断されて、一つのデータにまとめられている。
As described above, the communication log transmission table 266 stores the same data items as the communication log aggregation table 265. For example, the plurality of
このように、本実施形態ではワーム感染源の特定に必要となるデータをエージェントコンピュータ21、22、23の側で3つのテーブル(通信ログ一時テーブル264、通信ログ集約テーブル265、通信ログ送信用テーブル266)に分けて管理し、各テーブルに対して保存期間を設定して管理しつつ2段階の工程を経て集約して、マネージャコンピュータ20に送信している。
As described above, in this embodiment, the data necessary for specifying the worm infection source is divided into three tables (communication log temporary table 264, communication log aggregation table 265, communication log transmission table) on the
このことにより、本実施形態ではエージェントコンピュータおよびマネージャコンピュータのリソース(コンピュータ資源)の浪費を抑制し、双方の側で効率よくワーム感染源の特定に係る処理を行うことができる。 Thus, in this embodiment, waste of resources (computer resources) of the agent computer and the manager computer can be suppressed, and processing related to the identification of the worm infection source can be performed efficiently on both sides.
(通信ログの受信とワーム感染源の特定)
図16は、図3で示した通信ログ格納手段201が、エージェントコンピュータ21、22、23から送出された通信ログ送信用テーブル266の内容を受信してこれを通信ログ管理テーブル212に保存する動作を示すフローチャートである。各エージェントコンピュータからの通信を受信した通信ログ格納手段201は(ステップS601)、受信した内容の先頭にその内容を送出したエージェントコンピュータのIPアドレスをエージェントコンピュータIP212aとして付加して、通信ログ管理テーブル212に保存する(ステップS602)。
(Reception of communication log and identification of worm infection source)
FIG. 16 shows an operation in which the communication
図11に示した例では、図15に示した通信ログ送信用テーブル266から図16の処理によってマネージャコンピュータ20の側に集約された通信ログ管理テーブル212を示している。前述のように通信ログ管理テーブル212は、通信ログ送信用テーブル266の内容を送出したエージェントコンピュータのIPアドレスが、エージェントコンピュータIP212aとして先頭に付加されている以外は、全て通信ログ送信用テーブル266(および通信ログ集約テーブル265)と同一のデータ項目を有する。
In the example shown in FIG. 11, the communication log management table 212 aggregated on the
図17は、図11に示した通信ログ管理テーブル212から、ワームの感染源および感染経路の特定に必要な情報を抽出した例である(以後これを抽出済通信ログ管理テーブル220という)。ワーム検出条件として、シグネチャID212f=4、かつ(ユーザID数212d≧100または宛先IP数212c≧10)という条件があらかじめ設定されている。シグネチャID212f(261a)=4をキーとしてシグネチャ管理テーブル261を検索すれば、ルール261dとして「宛先ポート番号がTCP/25番」が設定されている。ワーム感染源特定手段202は、この条件に従って通信ログ管理テーブル212から抽出済通信ログ管理テーブル220を抽出した。
FIG. 17 is an example in which information necessary for specifying the worm infection source and infection route is extracted from the communication log management table 212 shown in FIG. 11 (hereinafter, this is referred to as an extracted communication log management table 220). As the worm detection condition, a condition of
ワームは、大きく分けてソフトウェアの脆弱性を利用して感染拡大を図るものと、電子メールや共有フォルダを経由して感染拡大を図るものがある。前者のワームは、短期間に多数の宛先に対して特定の通信を行う。後者のワームは、特定の宛先に多数のIDを利用したアクセスを試みる。 Worms can be broadly divided into those that use software vulnerabilities to spread and others that spread via email and shared folders. The former worm performs specific communication with a large number of destinations in a short period of time. The latter worm attempts to access a specific destination using multiple IDs.
このため本実施形態では、図11および図17で説明したように、ワーム検出条件として「シグネチャID212f=4で、かつ(ユーザID数212d≧100または宛先IP数212c≧10)」という条件を設定している。前者のワームに対しては宛先IP数212cの条件を、後者のワームに対してはユーザID数212dの条件を設けて対応している。
Therefore, in the present embodiment, as described with reference to FIGS. 11 and 17, the worm detection condition “
抽出済通信ログ管理テーブル220の各データ項目とその各々が示す内容は、図11と同一であり、ただ先頭にユニークな通信ログID220aが挿入されるだけであるので、以後それぞれエージェントコンピュータIP220b、送信元IP220c、宛先NW220d、宛先IP数220e、ユーザID数220f、シグネチャID220g、開始時刻(検知時刻)220h、終了時刻(登録時刻)220i、攻撃数220jという。図17に示した例では、開始時刻220hと終了時刻220iに記号を用いているが、これらはそれぞれS1<S2<S3<S4<S5、E1<E2<E3<E4<E5の関係にあるものとする。
Each data item of the extracted communication log management table 220 and the contents indicated by each data item are the same as those in FIG. 11, and only the unique communication log ID 220a is inserted at the head.
ワーム感染源特定手段202は、ワーム感染の疑いがあるネットワークのアドレスおよび各ネットワークへワームに感染した疑いのある端末からパケットが到達した時刻を格納するNW到達リスト213〜217と、ワームの感染経路を格納する感染経路リスト218とを作成する。
The worm infection source identification means 202 includes an
NW到達リスト213〜217は、後述するように、通信(攻撃)の宛先となるネットワークアドレスを示す宛先NW213aと、そのネットワークアドレスにワームに感染した疑いのある端末からの通信(攻撃)が到達した時刻を示す到達時刻213bとが一対で登録されたリストである。
As will be described later, the NW arrival lists 213 to 217 include a
図18は、図3で示したワーム感染源特定手段202が抽出済通信ログ管理テーブル220からNW到達リスト213〜217を作成する動作を示すフローチャートである。ワーム感染源特定手段202は、抽出済通信ログ管理テーブル220を上から順に確認し、それぞれの内容に対して図18に示す処理を行ってNW到達リスト213〜217を作成する。
FIG. 18 is a flowchart showing an operation in which the worm infection
ワーム感染源特定手段202はまず、抽出済通信ログ管理テーブル220の宛先NW220dに記載されたネットワークアドレスをキーにしてNW到達リスト213を検索し、既に同じネットワークアドレスが登録されているか否かを確認する(ステップS701)。同じネットワークアドレスが登録されていればステップS702に進み、いなければステップS703に進む。
The worm infection
ステップS701で、NW到達リスト213に同じネットワークアドレスが格納されていない場合、ワーム感染源特定手段202は、宛先NW220dと、抽出済通信ログ管理テーブル220でこの宛先NW220dに該当する開始時刻220hを到達時刻213bとして、この宛先NW220d(213a)と到達時刻213bとを組にしてNW到達リスト213に格納して(ステップS702)処理を終了する。
If the same network address is not stored in the
ステップS701で、NW到達リスト213に同じネットワークアドレスが格納されている場合、ワーム感染源特定手段202は、NW到達リスト213上で宛先NW213a(220d)に該当する到達時刻213bと、抽出済通信ログ管理テーブル220上の開始時刻220hとを比較する(ステップS703)。到達時刻213b≧開始時刻220hであれば、ワーム感染源特定手段202は、到達時刻213bを開始時刻220hの値として登録して(ステップS704)該当する通信ログの確認処理を終了する。
If the same network address is stored in the
図19は、図17に示した抽出済通信ログ管理テーブル220の通信ログID220aの各々(1〜5)に対して作成されたNW到達リスト213〜217を示す説明図である。通信ログID=1から抽出されたNW到達リスト213は、宛先NW213aと、そこにワームが到達した到達時刻213bとを示す。通信ログID=2〜5から各々抽出されたその他のNW到達リスト214〜217も、同様のデータを示す。
FIG. 19 is an explanatory diagram showing NW arrival lists 213 to 217 created for each of the communication log IDs 220a (1 to 5) in the extracted communication log management table 220 shown in FIG. The
また図20は、図3で示したワーム感染源特定手段202がNW到達リスト213〜217から感染経路リスト218を作成する動作を示すフローチャートである。そして図21は、NW到達リスト213〜217に対して図20に示した処理によって作成された感染経路リスト218を示す説明図である。
FIG. 20 is a flowchart showing an operation in which the worm infection
感染経路リスト218は、抽出済通信ログ管理テーブル220の通信ログID220aに対応する通信ログID218aと、これに対応する送信元IP218b、宛先NW218c、シグネチャID218d、開始時刻218e、終了時刻218f、攻撃数218g、感染源フラグ218hといった各データを格納する。これらの各データの内容は、図17に示した抽出済通信ログ管理テーブル220の同名のデータと同一である。感染源フラグ218hは、送信元IP218bに該当する機器がワームの感染元とであると考えられる場合は1、そうでない場合は0の値を持つ。
The
ワーム感染源特定手段202はまず、感染経路リスト218に新規エントリを追加する(ステップS801)。通信ログID218a、送信元IP218b、宛先NW218c、シグネチャID218d、開始時刻218e、終了時刻218f、攻撃数218gは、各々抽出済通信ログ管理テーブル220の通信ログID220a、送信元IP220c、宛先NW220d、シグネチャID220g、開始時刻220h、終了時刻220i、攻撃数220jのデータを格納する。感染源フラグ218hの初期値はnullである。
First, the worm infection
次にワーム感染源特定手段202は、送信元IP218bをキーにしてNW到達リスト213〜260を検索し、同一ネットワークに対するエントリがあるか否かを確認する(ステップS802)。同一ネットワークに対するエントリがあればステップS803に、なければステップS804にそれぞれ進む。
Next, the worm infection
ステップS802で、NW到達リスト213〜260に同一ネットワークに対するエントリがない場合、感染経路リスト218で該当するエントリの感染源フラグ218h=1として(ステップS803)処理を終了する。
If there is no entry for the same network in the NW arrival lists 213 to 260 in step S802, the
ステップS802で、同一ネットワークに対するエントリが存在する場合、NW到達リスト213〜260の該当するエントリの到達時刻213bと、感染経路リスト218で該当するエントリの開始時刻220hとを比較する(ステップS804)。到達時刻213b≦開始時刻220hであれば、前述のステップS803に進む。到達時刻213b>開始時刻220hであれば、感染経路リスト218で該当するエントリの感染源フラグ218h=0として(ステップS805)処理を終了する。
If there is an entry for the same network in step S802, the
(感染経路図の作成)
図22は、図3で示した感染経路図作成手段203が感染経路リスト218からワームの感染源と感染経路とを感染経路図219に出力する動作を示すフローチャートである。感染経路図作成手段203は、感染経路リスト218の内容を先頭から順番に確認し、各エントリに対して感染源と感染経路感染経路図219に出力する。
(Creation of infection route map)
FIG. 22 is a flowchart showing an operation in which the infection route
感染経路図219は、縦軸に感染経路リスト218の通信ログID220aを、横軸に開始時刻218eまたは終了時刻218fを取り、開始時刻と終了時刻をそれぞれ○(白抜きの円)と◎(二重丸)として示す図である。感染経路図作成手段203は、感染経路リスト218の各々の通信ログID220aに対して、○と◎を出力する(ステップS901)。
Infection route diagram 219 takes the communication log ID 220a of the
そして感染経路図作成手段203は、感染端末を意味する○と、感染端末から感染拡大目的のパケットが流れ込んでいるのでワーム感染の疑いがあるネットワークとして出力した◎とを、◎側に向いた太い矢印で結ぶ(ステップS902)。さらに○の上に送信元IP218bの値を、◎の上に宛先NW218cの値を、それぞれ出力する(ステップS903〜904)。
The infection route diagram creation means 203 indicates that the infected terminal is ○, and a packet that is intended to spread infection flows from the infected terminal, and ◎ is output as a network that is suspected of worm infection. Connect with arrows (step S902). Further, the value of the
次に感染経路図作成手段203は、感染源フラグ218hが1であるか否かを確認する(ステップS905)。0であればステップS906に、1であればステップS907にそれぞれ進む。ステップS905で感染源フラグ218h=0の場合、感染経路リスト218で送信元IP218bをキーとして検索し、感染源フラグ218h=1であるエントリが他に存在するか否かを確認する(ステップS906)。存在すればステップS907に、存在しなければステップS908に、それぞれ進む。
Next, the infection route
該当するエントリの感染源フラグ218h=1、もしくは該当するエントリの感染源フラグ218h=0だが同一の送信元IP218bで感染源フラグ218h=1のエントリが存在する場合は、この送信元IP218bが感染源であると判断できるので、既に出力した○を●(黒丸)で上書きする(ステップS907)。●は感染源を意味するマークとして扱うことができる。
If the
感染源フラグ218h=1であるエントリが存在しない場合、感染経路リスト218の宛先NW218cをステップS903で出力した送信元IP218bをキーとして検索し、宛先NW218cに感染端末の属するネットワークが格納されたエントリが存在するか否かを確認する(ステップS908)。存在しなければ、それで処理を終了する。
If there is no entry with the
ステップS908で、ステップS903で出力した送信元IP218bに該当する宛先NW218cのエントリが存在する場合、その中に感染源フラグ218h=1であるエントリが存在するか否かを確認する(ステップS909)。存在しなければ、それで処理を終了する。
In step S908, if there is an entry of the
ステップS909で、感染源フラグ218h=1であるエントリが存在した場合、その通信はワームによる攻撃であると考えられる。この通信がどの端末とネットワークとの間で行われたかを示す経路情報を出力するため、ステップS909で抽出した各々のエントリの◎とステップS901で出力した○とを○側に向いた細い矢印で結び(ステップS910)、これで処理を終了する。
If there is an entry with the
図23は、図22に示した処理によって図21に示した感染経路リスト218から作成された感染経路図219を示す説明図である。前述のように、○(白抜きの円)は感染端末、◎(二重丸)は感染の疑いのあるネットワーク、●(黒丸)は感染源を示す。またステップS902で描かれた太い矢印は、感染端末から感染拡大目的で送出されたパケットの向きを示し、ステップS910で描かれた細い矢印は、ワームの感染拡大目的で使用された可能性がある経路を示す。
FIG. 23 is an explanatory diagram showing an infection route diagram 219 created from the
図23に示した感染経路図219では、IPアドレス「192.168.3.1」を持つ端末(ワーム感染端末30)は、IPアドレス「192.168.3.0/24」のネットワーク(第1セグメント11)に感染が広がった可能性がある時刻T3以前に、エージェントコンピュータ側でワーム感染が検出されている。このため、第1セグメント11ではワーム感染端末30がワームの感染源であると判断できる。
In the infection route diagram 219 shown in FIG. 23, the terminal having the IP address “192.168.3.1” (the worm-infected terminal 30) is connected to the network having the IP address “192.168.3.0/24” (the first one). A worm infection was detected on the agent computer side before time T3 when the infection may have spread to one segment 11). Therefore, in the first segment 11, it can be determined that the worm-infected
また、これと同様に、第2セグメント12に属するIPアドレス「192.168.4.1」「192.168.4.2」の各クライアントは、IPアドレス「192.168.4.0/24」のネットワーク(第2セグメント12)に感染が広がった可能性がある時刻T4以前に、エージェントコンピュータ側でワーム感染が検出されている。このため、第2セグメント12ではこれらの端末がワームの感染源であると判断できる。 Similarly, each client of the IP addresses “192.168.4.1” and “192.168.4.2” belonging to the second segment 12 has an IP address “192.168.4.0/24”. The worm infection has been detected on the agent computer side before time T4 when the infection may have spread to the network (second segment 12). Therefore, in the second segment 12, it can be determined that these terminals are worm infection sources.
ワームに感染したIPアドレス「192.168.4.2」のクライアントから送出された、感染を拡大する目的と考えられるパケットが、IPアドレス「192.168.4.0/24」のネットワーク(第2セグメント12)にT4の時刻で届いている。さらにその後に、ワームに感染したIPアドレス「192.168.4.5」のクライアントから送出された、感染を拡大する目的と考えられるパケットが、IPアドレス「192.168.4.0/24」(第2セグメント12)および「192.168.5.0/24」(第3セグメント13)のネットワークに届いている。 A packet sent from a client having an IP address “192.168.4.2” infected with a worm is considered to be a purpose of spreading infection, and the network having the IP address “192.168.4.0/24” (No. 2 segment 12) arrives at time T4. Further, after that, a packet transmitted from a client having an IP address “192.168.4.5” infected with a worm is considered to have an object of spreading infection, and an IP address “192.168.4.0/24” is transmitted. (Second segment 12) and “192.168.5.0/24” (third segment 13).
このことから、第2セグメント12に属するIPアドレス「192.168.4.5」のクライアントのワーム感染が、同じセグメントに即するIPアドレス「192.168.4.2」のクライアントに引き起こされた可能性が高いと推測することもできる。 As a result, the worm infection of the client with the IP address “192.168.4.5” belonging to the second segment 12 was caused to the client with the IP address “192.168.4.2” corresponding to the same segment. It can also be assumed that the possibility is high.
(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本実施形態に係るワーム感染源特定方法は、コンピュータネットワークに接続され、コンピュータネットワークにワームに感染したコンピュータ装置であるワーム感染端末が接続されたことを検出するコンピュータ装置であるマネージャコンピュータ20と、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータ21、22、23とを含むコンピュータネットワークにあって、ワームの感染源を特定する方法である。まずエージェントコンピュータが、ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブル255に予め記憶し、コンピュータネットワーク上の通信パケットを検査し(図12・ステップS301)、通信パケットをシグネチャ管理テーブルと照合してシグネチャIDを特定し(図12・ステップS307〜308)、通信パケットの検査結果を通信ログ一時テーブルとして記録し(図12・ステップS309)、エージェントコンピュータが、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成し(図13・ステップS404〜408、および図14・ステップS504〜507)、通信ログ送信用テーブルをマネージャコンピュータに送信する(図14・ステップS508)。これに対してマネージャコンピュータが、エージェントコンピュータから受信した通信ログ送信用テーブルの内容を通信ログ管理テーブルとして保存し(図16・ステップS601〜602)、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定して感染経路リストを作成する(図20・ステップS801〜805)。
(Overall operation of the first embodiment)
Next, the overall operation of the above embodiment will be described. The worm infection source identifying method according to the present embodiment includes a
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するコンピュータであるマネージャコンピュータ20および各エージェントコンピュータ21,22,23に実行させるようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。
Here, each of the above-described operation steps is programmed to be executable by a computer, and these are executed by the
With this configuration and operation, the present embodiment has the following effects.
本実施形態の第1の効果は、ワーム感染後に多くのマシンリソースを必要とせずに、ワームの感染源および感染経路の特定を行うことができることである。その理由は、通信ログの膨大なデータを2段階に分けて集約し、不要となったデータを削除することで、エージェントコンピュータおよびマネージャコンピュータが膨大なログの中から特定の条件を満たす通信を検出する処理にかかるリソース消費を抑えているためである。さらに、エージェントコンピュータとマネージャコンピュータとで役割を分担させて、一台あたりのマシンリソースの消費を抑制しているためでもある。 The first effect of the present embodiment is that the worm infection source and the infection route can be identified without requiring many machine resources after the worm infection. The reason is that a huge amount of data in the communication log is aggregated in two stages, and the unnecessary data is deleted, so that the agent computer and the manager computer detect communication satisfying a specific condition from the huge log. This is because resource consumption for the processing to be performed is suppressed. Furthermore, this is because the role of the agent computer and the manager computer is shared to suppress consumption of machine resources per unit.
本実施形態の第2の効果は、ログ収集時に生じるネットワークの帯域圧迫の問題を解決できることである。その理由は、前述したように通信ログのデータを集約してからエージェントコンピュータからマネージャコンピュータに送信しているためである。 The second effect of the present embodiment is to solve the problem of network bandwidth compression that occurs during log collection. The reason is that as described above, the communication log data is aggregated and then transmitted from the agent computer to the manager computer.
本実施形態の第3の効果は、各ネットワーク装置の膨大なログを1件ずつ確認する場合に比べて、特別なスキルを必要とせずにワームの感染源および感染経路を特定できることである。その理由は、通信ログ管理テーブル212にユーザID数212dおよび宛先IP数212cというデータ項目を設けて、ネットワーク経由で感染を拡大するワームの通信上の特徴を保持してそこからワームを検出するようにしているためである。
The third effect of the present embodiment is that the worm infection source and the infection route can be identified without requiring special skills, as compared with the case where a huge log of each network device is confirmed one by one. The reason is that the communication log management table 212 is provided with data items such as the number of
(第2の実施形態)
本発明の第2の実施形態では、前述の第1の実施形態の構成に加えて、マネージャコンピュータおよびエージェントコンピュータを結ぶ管理専用ネットワークを、通常のネットワークとは別に設ける構成とした。これにより、ワームの感染によってネットワーク帯域が圧迫された場合でも、エージェントコンピュータとマネージャコンピュータとの間で通信が困難になることはないので、本発明にかかる動作をより確実に実行してワームを検出することができる。以下、これをより詳細に説明する。
(Second Embodiment)
In the second embodiment of the present invention, in addition to the configuration of the first embodiment described above, a management dedicated network connecting the manager computer and the agent computer is provided separately from the normal network. As a result, even if the network bandwidth is squeezed due to worm infection, communication between the agent computer and the manager computer will not be difficult, so the operation according to the present invention can be executed more reliably to detect the worm. can do. Hereinafter, this will be described in more detail.
図24は、本発明の第2の実施形態に係るコンピュータネットワーク1001の構成を示す説明図である。コンピュータネットワーク1001は、前述の第1の実施形態に係るコンピュータネットワーク1と同一のコンピュータで構成されている。第1セグメント11に属するエージェントコンピュータをエージェントコンピュータ1021、第2セグメント12に属するエージェントコンピュータをエージェントコンピュータ1022、第3セグメント11に属するエージェントコンピュータをエージェントコンピュータ1023という。
FIG. 24 is an explanatory diagram showing a configuration of a computer network 1001 according to the second embodiment of the present invention. The computer network 1001 is composed of the same computer as the
各エージェントコンピュータ1021、1022、1023と、マネージャコンピュータコンピュータ20とは、通常のネットワークとは別個の、破線で示す管理専用ネットワーク1002で結ばれている。管理専用ネットワーク1002は、データを中継するルータ1041および1042も、通常のネットワークとは別個に設けられている。
Each
図25は、図24に示した各エージェントコンピュータ121、122、123のソフトウェアとしての構成を示す説明図である。各エージェントコンピュータ121、122、123は、ハードウェアとしては、通信手段103が、通常のネットワークおよび管理専用ネットワーク1002の両方に接続されている点以外は、図2に示した第1の実施形態と同一の構成を持っている。ソフトウェアとしての構成も、記憶手段102に記憶されているネットワーク管理テーブル263がネットワーク管理テーブル1263に変更されている以外は、第1の実施形態と同一である。構成の中で第1の実施形態と同一の要素は、同一の名称および参照番号で呼ぶ。
FIG. 25 is an explanatory diagram showing the software configuration of each of the agent computers 121, 122, 123 shown in FIG. Each agent computer 121, 122, 123 is the same as the first embodiment shown in FIG. 2 except that the communication means 103 is connected to both the normal network and the management dedicated
図26は、図24に示したネットワーク管理テーブル1263のデータ構成を示す説明図である。エージェントプログラム250は、ネットワーク管理テーブル1263の記録データを必要に応じて変更できる権限を有している。また、マネージャプログラム200からも、各エージェントコンピュータに指令して、このネットワーク管理テーブル1263を参照することができる。
FIG. 26 is an explanatory diagram showing the data structure of the network management table 1263 shown in FIG. The
ネットワーク管理テーブル1263は、次に示す内容を記録している。ネットワークID1263aは、登録されているネットワークアドレスを一意に特定するためのIDである。ネットワークアドレス1263bは、通常のネットワークでの各セグメントのアドレス範囲、管理用アドレス1263cはこのセグメントに属するエージェントコンピュータの管理専用ネットワーク1002でのIPアドレスを表す。
The network management table 1263 records the following contents. The
たとえば、第1セグメント11は、通常のネットワークではIPアドレス「192.168.3.0/24」であるが、これに属するエージェントコンピュータ121の管理専用ネットワーク1002のIPアドレスは「10.5.1.1」である。このように、ネットワーク管理テーブル1263は、通常のネットワークでの各セグメントのIPアドレスをネットワークアドレス1263b、このセグメントに属するエージェントコンピュータの管理専用ネットワーク1002でのIPアドレスを管理用アドレス1263cとして記憶し、相互に対応づけている。また、ネットワークID1263a=「M」として、マネージャコンピュータ20の管理用アドレス1263cも記憶している。
For example, the first segment 11 has an IP address “192.168.3.0/24” in a normal network, but the IP address of the management dedicated
この点以外は、コンピュータネットワーク1001は、前述の第1の実施形態に係るコンピュータネットワーク1と同一の機能を持ち、同一の動作をする。ただ、エージェントコンピュータとマネージャコンピュータとの間の通信は、ワームの侵入の心配がない管理専用ネットワーク1002を利用して行うことができる。このことにより、ワームがDoS攻撃などのようにネットワークの帯域を圧迫する動作をした場合でも、エージェントコンピュータとマネージャコンピュータとの間の通信が困難となることはなく、本発明にかかる動作を確実に行って、前述した通りの効果を確実に得ることができる。
Except for this point, the computer network 1001 has the same functions as the
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。 The present invention has been described with reference to the specific embodiments shown in the drawings. However, the present invention is not limited to the embodiments shown in the drawings, and any known hitherto provided that the effects of the present invention are achieved. Even if it is a structure, it is employable.
本発明はコンピュータネットワークのセキュリティ向上に利用することができる。 The present invention can be used to improve the security of a computer network.
1、1001 コンピュータネットワーク
11 第1セグメント
12 第2セグメント
13 第3セグメント
20 各コンピュータ装置
21 プロセッサ
22 記憶手段
23 通信手段
24 出力手段
21、22、23、121、122、123 エージェントコンピュータ
30 ワーム感染端末
41、42、1041、1042 ルータ
20 マネージャコンピュータ
31 クライアント
200 エージェントプログラム
201 パケット検査手段
202 通信ログ1次集約手段
203 通信ログ2次集約手段
204 通信ログ送信手段
211、271 初期設定ファイル
211 エージェントコンピュータ情報テーブル
212 通信ログ管理テーブル
213、214、217 NW到達リスト
218 感染経路リスト
219 感染経路図
220 抽出済通信ログ管理テーブル
250 マネージャプログラム
251 通信ログ格納手段
252 ワーム感染源特定手段
253 感染経路図作成手段
261 シグネチャ管理テーブル
262 例外情報管理テーブル
263、1263 ネットワーク管理テーブル
264 通信ログ一時テーブル
265 通信ログ集約テーブル
266 通信ログ送信用テーブル
1002 管理専用ネットワーク
DESCRIPTION OF
Claims (13)
前記ワーム感染端末に関する情報を収集するエージェントコンピュータと、前記エージェントコンピュータが収集した情報を受信して前記ワーム感染端末を特定するマネージャコンピュータとを備え、
前記エージェントコンピュータが、前記コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、前記ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、前記通信ログ送信用テーブルを前記マネージャコンピュータに送信する通信ログ送信手段とを有することを特徴とするワーム感染源特定システム。 A worm infection source identification system for detecting that a worm-infected terminal, which is a computer device infected with a worm, is connected to a computer network,
An agent computer that collects information about the worm-infected terminal; and a manager computer that receives the information collected by the agent computer and identifies the worm-infected terminal;
The agent computer inspects a communication packet on the computer network and records the inspection result as a communication log temporary table, a condition for detecting communication by the worm, and a signature ID corresponding thereto are stored in advance. A communication log aggregating unit for aggregating communication having the same source ID, destination network and signature ID from the contents of the communication log temporary table, and creating a communication log transmission table; A worm infection source identifying system, comprising: communication log transmission means for transmitting the communication log transmission table to the manager computer.
前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集計して宛先IP数をカウントし、通信ログ集約テーブルを作成する通信ログ第1次集約部と、
前記通信ログ集約テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して前記宛先IP数を合計し、前記通信ログ送信用テーブルを作成する通信ログ第2次集約部とを含むことを特徴とする、請求項1に記載のワーム感染源特定システム。 The communication log aggregation means of the agent computer includes:
A communication log primary aggregating unit that aggregates communications having the same source ID, destination network, and signature ID from the contents of the communication log temporary table, counts the number of destination IPs, and creates a communication log aggregation table; ,
A communication log secondary that aggregates communications having the same source ID, destination network, and signature ID from the contents of the communication log aggregation table and totals the number of destination IPs to create the communication log transmission table The worm infection source identification system according to claim 1, further comprising an aggregation unit.
前記パケット検査手段が、前記通信パケットの前記検査結果の中から前記例外情報管理テーブルに記憶されている内容の通信を除外して前記通信ログ一時テーブルに記録することを特徴とする、請求項1に記載のワーム感染源特定システム。 The agent computer has an exception information management table storing communication contents not targeted for detection of the worm-infected terminal;
The packet inspection unit excludes communication having contents stored in the exception information management table from the inspection result of the communication packet and records the communication packet in the communication log temporary table. The worm infection source identification system described in 1.
前記コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、
前記ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、
前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、
前記通信ログ送信用テーブルを前記マネージャコンピュータに送信する通信ログ送信手段と
を有することを特徴とするエージェントコンピュータ。 An agent computer that collects information about a worm-infected terminal that is a computer device infected with a worm and sends it to a manager computer,
Packet inspection means for inspecting communication packets on the computer network and recording the inspection results as a communication log temporary table;
A signature management table preliminarily storing a condition for detecting communication by the worm and a signature ID corresponding to the condition;
A communication log aggregating means for aggregating communications having the same source ID, destination network and signature ID from the contents of the communication log temporary table to create a communication log transmission table;
An agent computer comprising: communication log transmission means for transmitting the communication log transmission table to the manager computer.
同一のコンピュータネットワークに接続されたエージェントコンピュータから受信した前記ワーム感染端末に関する情報を通信ログ管理テーブルとして保存する通信ログ格納手段と、
前記通信ログ管理テーブルに記録されたデータから前記ワーム感染端末を特定して前記ワームの感染経路を示す感染経路リストを作成するワーム感染源特定手段と
を有することを特徴とするマネージャコンピュータ。 A manager computer for detecting that a worm-infected terminal, which is a computer device infected with a worm, is connected to a computer network;
A communication log storage means for storing information about the worm-infected terminal received from an agent computer connected to the same computer network as a communication log management table;
A manager computer, comprising: a worm infection source identifying unit that identifies the worm-infected terminal from data recorded in the communication log management table and creates an infection route list indicating an infection route of the worm.
前記エージェントコンピュータが、前記ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブルに予め記憶し、
前記エージェントコンピュータが、前記コンピュータネットワーク上の通信パケットを検査し、
前記エージェントコンピュータが、前記通信パケットを前記シグネチャ管理テーブルと照合して前記シグネチャIDを特定し、
前記エージェントコンピュータが、前記通信パケットの検査結果を通信ログ一時テーブルとして記録し、
前記エージェントコンピュータが、前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成し、
前記エージェントコンピュータが、前記通信ログ送信用テーブルを前記マネージャコンピュータに送信し、
前記マネージャコンピュータが、前記エージェントコンピュータから受信した前記通信ログ送信用テーブルの内容を通信ログ管理テーブルとして保存し、
前記マネージャコンピュータが、前記通信ログ管理テーブルに記録されたデータから前記ワーム感染端末を特定して前記ワームの感染経路を示す感染経路リストを作成する
ことを特徴とするワーム感染源特定方法。 Worm infection comprising: a manager computer that detects that a worm-infected terminal that is a computer device infected with a worm is connected to a computer network; and an agent computer that collects information about the worm-infected terminal and transmits the information to the manager computer. In the source identification system,
The agent computer stores a condition for detecting communication by the worm and a signature ID corresponding to the condition in advance in a signature management table,
The agent computer inspects a communication packet on the computer network;
The agent computer compares the communication packet with the signature management table to identify the signature ID;
The agent computer records the inspection result of the communication packet as a communication log temporary table,
The agent computer creates a communication log transmission table by aggregating communications having the same source ID, destination network and signature ID from the contents of the communication log temporary table,
The agent computer transmits the communication log transmission table to the manager computer;
The manager computer stores the contents of the communication log transmission table received from the agent computer as a communication log management table,
The worm infection source identification method, wherein the manager computer creates an infection route list indicating the infection route of the worm by identifying the worm-infected terminal from data recorded in the communication log management table.
前記コンピュータネットワーク上の通信パケットを検査する手順と、
前記通信パケットを前記シグネチャ管理テーブルと照合して前記シグネチャIDを特定する手順と、
前記通信パケットの検査結果を通信ログ一時テーブルとして記録する手順と、
前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する手順と、
前記通信ログ送信用テーブルを前記マネージャコンピュータに送信する手順と
を実行させることを特徴とするワーム感染源特定プログラム。 Worm infection comprising: a manager computer that detects that a worm-infected terminal that is a computer device infected with a worm is connected to a computer network; and an agent computer that collects information about the worm-infected terminal and transmits the information to the manager computer. In the source identification system, the agent computer that pre-stores the condition for detecting communication by the worm and the corresponding signature ID in the signature management table,
Inspecting communication packets on the computer network;
Checking the communication packet against the signature management table to identify the signature ID;
A procedure for recording the inspection result of the communication packet as a communication log temporary table;
A procedure for creating a communication log transmission table by aggregating communication having the same source ID, destination network and signature ID from the contents of the communication log temporary table;
A worm infection source identification program for executing the procedure for transmitting the communication log transmission table to the manager computer.
前記エージェントコンピュータから受信した前記ワーム感染端末に関する情報を通信ログ管理テーブルとして保存する手順と、
前記通信ログ管理テーブルに記録されたデータから前記ワーム感染端末を特定して前記ワームの感染経路を示す感染経路リストを作成する手順と
を実行させることを特徴とするワーム感染源特定プログラム。 Worm infection comprising: a manager computer that detects that a worm-infected terminal that is a computer device infected with a worm is connected to a computer network; and an agent computer that collects information about the worm-infected terminal and transmits the information to the manager computer. In the source identification system, the manager computer
A procedure for storing information about the worm-infected terminal received from the agent computer as a communication log management table;
A program for identifying a worm infection source, comprising: a step of identifying the worm-infected terminal from data recorded in the communication log management table and creating an infection route list indicating an infection route of the worm.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009254047A JP2011101172A (en) | 2009-11-05 | 2009-11-05 | Worm infection source specification system, specification method and specification program, agent, and manager computer |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009254047A JP2011101172A (en) | 2009-11-05 | 2009-11-05 | Worm infection source specification system, specification method and specification program, agent, and manager computer |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011101172A true JP2011101172A (en) | 2011-05-19 |
Family
ID=44192000
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009254047A Withdrawn JP2011101172A (en) | 2009-11-05 | 2009-11-05 | Worm infection source specification system, specification method and specification program, agent, and manager computer |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011101172A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013223005A (en) * | 2012-04-13 | 2013-10-28 | Nippon Telegr & Teleph Corp <Ntt> | Dos attack detection apparatus |
JP2015164244A (en) * | 2014-02-28 | 2015-09-10 | 富士通株式会社 | Monitoring program, monitoring method and monitoring device |
JP2016181191A (en) * | 2015-03-25 | 2016-10-13 | 富士通株式会社 | Management program, management unit and management method |
JP2016184870A (en) * | 2015-03-26 | 2016-10-20 | 株式会社エヌ・ティ・ティ・データ | Network information output system and network information output method |
JP2017004233A (en) * | 2015-06-10 | 2017-01-05 | 株式会社日立システムズ | Cyber attack counter measure range priority setting system, and cyber attack counter measure range priority setting method |
WO2017061469A1 (en) * | 2015-10-06 | 2017-04-13 | 日本電信電話株式会社 | Identification system, identification device and identification method |
JP2019037001A (en) * | 2018-11-22 | 2019-03-07 | 株式会社エヌ・ティ・ティ・データ | Network information output system and network information output method |
JP2020072382A (en) * | 2018-10-31 | 2020-05-07 | 株式会社日立ソリューションズ | Log analysis support system and log analysis support method |
-
2009
- 2009-11-05 JP JP2009254047A patent/JP2011101172A/en not_active Withdrawn
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013223005A (en) * | 2012-04-13 | 2013-10-28 | Nippon Telegr & Teleph Corp <Ntt> | Dos attack detection apparatus |
JP2015164244A (en) * | 2014-02-28 | 2015-09-10 | 富士通株式会社 | Monitoring program, monitoring method and monitoring device |
JP2016181191A (en) * | 2015-03-25 | 2016-10-13 | 富士通株式会社 | Management program, management unit and management method |
JP2016184870A (en) * | 2015-03-26 | 2016-10-20 | 株式会社エヌ・ティ・ティ・データ | Network information output system and network information output method |
JP2017004233A (en) * | 2015-06-10 | 2017-01-05 | 株式会社日立システムズ | Cyber attack counter measure range priority setting system, and cyber attack counter measure range priority setting method |
WO2017061469A1 (en) * | 2015-10-06 | 2017-04-13 | 日本電信電話株式会社 | Identification system, identification device and identification method |
JPWO2017061469A1 (en) * | 2015-10-06 | 2018-02-15 | 日本電信電話株式会社 | SPECIFIC SYSTEM, SPECIFIC DEVICE, AND SPECIFIC METHOD |
US10972490B2 (en) | 2015-10-06 | 2021-04-06 | Nippon Telegraph And Telephone Corporation | Specifying system, specifying device, and specifying method |
JP2020072382A (en) * | 2018-10-31 | 2020-05-07 | 株式会社日立ソリューションズ | Log analysis support system and log analysis support method |
JP7110063B2 (en) | 2018-10-31 | 2022-08-01 | 株式会社日立ソリューションズ | LOG ANALYSIS SUPPORT SYSTEM AND LOG ANALYSIS SUPPORT METHOD |
JP2019037001A (en) * | 2018-11-22 | 2019-03-07 | 株式会社エヌ・ティ・ティ・データ | Network information output system and network information output method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
JP2011101172A (en) | Worm infection source specification system, specification method and specification program, agent, and manager computer | |
US10257224B2 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
US9306964B2 (en) | Using trust profiles for network breach detection | |
Ballani et al. | A study of prefix hijacking and interception in the Internet | |
US9043920B2 (en) | System and method for identifying exploitable weak points in a network | |
US9467464B2 (en) | System and method for correlating log data to discover network vulnerabilities and assets | |
US8707440B2 (en) | System and method for passively identifying encrypted and interactive network sessions | |
US20170041342A1 (en) | System and method of utilizing a dedicated computer security service | |
CN109194680B (en) | Network attack identification method, device and equipment | |
US20200304521A1 (en) | Bot Characteristic Detection Method and Apparatus | |
US11277442B2 (en) | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods | |
CN110266650B (en) | Identification method of Conpot industrial control honeypot | |
US12041079B2 (en) | Detecting patterns in network traffic responses for mitigating DDOS attacks | |
JP5549281B2 (en) | Unauthorized intrusion detection and prevention system, client computer, unauthorized intrusion detection and prevention device, method and program | |
TWI677209B (en) | Domain name filtering method | |
Hong et al. | Ctracer: uncover C&C in advanced persistent threats based on scalable framework for enterprise log data | |
Nawrocki et al. | Transparent forwarders: an unnoticed component of the open DNS infrastructure | |
Dainotti et al. | Analysis of internet-wide probing using darknets | |
Hlavacek et al. | Keep Your Friends Close, but Your Routeservers Closer: Insights into {RPKI} Validation in the Internet | |
KR100772177B1 (en) | Method and apparatus for generating intrusion detection event to test security function | |
JP2010239392A (en) | System, device and program for controlling service disabling attack | |
Chen et al. | Detecting Internet worms at early stage | |
Sivabalan et al. | Detecting IoT zombie attacks on web servers | |
Winter | Measuring and circumventing Internet censorship |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20130108 |