JP3597686B2 - Virus check network system and virus check device - Google Patents
Virus check network system and virus check device Download PDFInfo
- Publication number
- JP3597686B2 JP3597686B2 JP33140997A JP33140997A JP3597686B2 JP 3597686 B2 JP3597686 B2 JP 3597686B2 JP 33140997 A JP33140997 A JP 33140997A JP 33140997 A JP33140997 A JP 33140997A JP 3597686 B2 JP3597686 B2 JP 3597686B2
- Authority
- JP
- Japan
- Prior art keywords
- virus
- packet
- check
- virus check
- infected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
【0001】
【発明の属する技術分野】
本発明はウィルスチェックネットワークシステム及びウィルスチェック装置に関し、特にウィルスチェックを行って、ウィルス侵入を防止するウィルスチェックネットワークシステム及びウィルスチェックを行って、ウィルス侵入を防止するウィルスチェック装置に関する。
【0002】
【従来の技術】
近年、マルチメディア通信などの情報通信ネットワーク技術が急速に進歩している。また、インターネット等の流行により、企業のみならず一般家庭に対しても、ネットワークが提供するサービスが幅広く利用されている。
【0003】
この反面、コンピュータウィルスの増加と感染のスピードは、ネットワークの普及と共に加速しており、多くの企業ユーザがウィルスの被害に遭っている現状が報告されている。
【0004】
従来、ネットワークをウィルスの感染から守るには、クライアントやプロキシサーバ等にワクチン・ソフトを導入していた。このワクチン・ソフトを用いることにより、ウィルスに感染しているファイルからウィルスを取り去って、ファイルを修復することができる。
【0005】
【発明が解決しようとする課題】
しかし、上記のような従来のウィルス対策は、クライアント側で行っているため、感染防止にはクライアントすべてに対して、個々にワクチン・ソフトを導入しなければならない。
【0006】
このため、新種ウィルスに対しては、バージョンアップしたワクチン・ソフトを最初から逐一導入しなければならず、時間が非常にかかり効率が悪いといった問題があった。
【0007】
また、従来のクライアント側でのウィルス対策では、新種ウィルス発見時のパターンファイルの更新などをはじめとする運用管理等は、各自ユーザに任されるため、ウィルス監視を徹底させることが難しいといった問題があった。
【0008】
本発明はこのような点に鑑みてなされたものであり、ネットワーク側でウィルスを未然に防ぎ、ウィルス対策効率の向上を図ったウィルスチェックネットワークシステムを提供することを目的とする。
【0009】
また、本発明の他の目的は、ネットワーク側でウィルスを未然に防ぎ、ウィルス対策効率の向上を図ったウィルスチェック装置を提供することである。
【0011】
【課題を解決するための手段】
本発明では上記課題を解決するために、図1に示すような、ウィルスチェックを行って、ウィルス侵入を防止するウィルスチェックネットワークシステム1において、ウィルスパターンを格納するウィルスパターン格納手段11と、受信したパケットをウィルスパターンにもとづいて、ウィルスに感染している感染パケットPaか否かのウィルスチェックを行い、ウィルスチェックを行う領域を複数設けて、装置毎に担当するウィルスチェック領域を分担し、ネットワーク上新規に置かれた場合には、他装置からウィルスチェックの担当領域情報を収集して担当領域を決定するウィルスチェック手段12と、感染パケットPaを検知した場合は、感染を示すパケット内のビットを立てて感染表示パケットPbとして送信するパケット送信手段13と、から構成される複数のウィルスチェック装置10a〜10nと、ビットにもとづいて、感染パケットPaを検出する感染パケット検出手段21と、感染パケットPaに対応するファイルを実行不可にするファイル実行制御手段22と、から構成されるクライアント端末20a〜20mと、ウィルスパターン情報をマルチキャストでウィルスチェック装置10a〜10nに配布するウィルスパターン情報配布手段31と、ウィルスパターン情報を一元管理するウィルスパターン情報管理手段32と、から構成されるウィルス情報管理局30と、を有することを特徴とするウィルスチェックネットワークシステム1が提供される。
【0012】
ここで、ウィルスパターン格納手段11は、ウィルスパターンを格納する。ウィルスチェック手段12は、受信したパケットをウィルスパターンにもとづいて、ウィルスに感染している感染パケットPaか否かのウィルスチェックを行い、ウィルスチェックを行う領域を複数設けて、装置毎に担当するウィルスチェック領域を分担し、ネットワーク上新規に置かれた場合には、他装置からウィルスチェックの担当領域情報を収集して担当領域を決定する。パケット送信手段13は、感染パケットPaを検知した場合は、感染を示すパケット内のビットを立てて感染表示パケットPbとして送信する。感染パケット検出手段21は、ビットにもとづいて、感染パケットPaを検出する。ファイル実行制御手段22は、感染パケットPaに対応するファイルを実行不可にする。ウィルスパターン情報配布手段31は、ウィルスパターン情報をマルチキャストでウィルスチェック装置10a〜10nに配布する。ウィルスパターン情報管理手段32は、ウィルスパターン情報を一元管理する。
【0013】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照して説明する。図1は本発明のウィルスチェックネットワークシステムの原理図である。
【0014】
ウィルスチェックネットワークシステム1は、ウィルスチェック装置10a〜10nと、クライアント端末20a〜20mと、ウィルス情報管理局30と、から構成され、ウィルスチェックを行って、ウィルス侵入を防止する。
【0015】
ウィルスパターン格納手段11は、ウィルスパターンを格納する。ウィルスチェック手段12は、受信したパケットと、格納してあるウィルスパターンと、を比較し、パケットがウィルスに感染している感染パケットPaか否かのウィルスチェックを行う。
【0016】
パケット送信手段13は、感染パケットPaを検知した場合は、感染パケットPa内のあらかじめ設定した感染を示すビットを立てて、感染表示パケットPbとして送信する。
【0017】
感染パケット検出手段21は、感染表示パケットPbのビットにもとづいて、それが感染パケットPaと検出する。ファイル実行制御手段22は、感染パケットPaに対応するファイルを実行不可にする。
【0018】
ウィルスパターン情報配布手段31は、最新のウィルスパターン情報をマルチキャストでウィルスチェック装置10a〜10nに配布する。配布されたウィルスパターンは、ウィルスパターン格納手段11で格納される。
【0019】
ウィルスパターン情報管理手段32は、ウィルスパターン情報の新規設定、更新等の管理を一元的に行う。
次に本発明のウィルスチェックネットワークシステム1を、ルータで構成されているインターネット上のネットワークに適用した場合の実施の形態について以降説明する。本発明のウィルスチェック装置10a〜10nをいくつかのルータに配置させ、ウィルスチェックを行う。
【0020】
なお、ウィルスチェック装置を配置したルータを以降では、ウィルスチェックルータと呼ぶ。
図2はウィルスチェックルータを配置したネットワークの概要を示す図である。ネットワーク1は、ルータR1〜R8と、クライアント端末20a〜20mと、ウィルス情報管理局30と、から構成される。
【0021】
図ではルータR1、R2、R3、R4がウィルスチェックルータであり、その他は通常のルータ機能のみを持つ。ウィルスチェックルータR2にウィルス情報管理局30が接続し、ウィルスチェックルータR4にクライアント端末20a〜20mが接続する。
【0022】
ウィルスチェックルータR1〜R4はウィルスのどの部分(先頭部、中間部、終端部)をチェックをするかを分担させており、各担当を最低1回は通過するように配置させる。
【0023】
各ウィルスチェックルータR1〜R4は、ウィルス情報管理局30からマルチキャストで配布されるウィルスパターンVPを受け取り、常に最新のウィルス情報を保持させておく。
【0024】
受信したパケットに対し、ウィルスチェックルータR1〜R4は保持してあるウィルスパターンVPと比較する。もし感染している場合にはパケットにビットを立てる。
【0025】
その際同時に送信元に対しては警告パケットPw1を返し、各ウィルスチェックルータR1〜R4に対しては、警戒情報パケットPw2をマルチキャストで配布する。
【0026】
警戒情報パケットPw2を受け取った各ウィルスチェックルータR1〜R4は、そのウィルスを優先的に検出、あるいは感染元との通信の遮断を行う。
クライアント端末20a〜20mでは、パケットを常に監視しており、感染を示すビットが立っている場合、あるいは警告パケットPw1だった場合にはユーザにメッセージを表示し、受け取ったファイルの削除を促す。
【0027】
次にウィルスパターンVPについて説明する。ウィルスパターンVPは、マルチキャストにのせて定期的に配布される。また新種のウィルスが発見されたら、ウィルス情報管理局30は新たに作成したウィルスパターンVPをマルチキャストで各ウィルスチェックルータ10a〜10nに送り、各ウィルスチェックルータ10a〜10nは変更があればウィルスパターンを更新する。
【0028】
図3はウィルスパターンVPのフォーマットを示す図である。ウィルスパターンVPは、ヘッダVP−1にEther HedderとIP Hedder(Multicast)とを持つ。
そして、ウィルスパターン配布を示すコードVP−2と、ウィルスの種類を示すシリアル番号VP−3と、そのバージョン(改版番号)VP−4を持つ。
【0029】
これらのあとに、実際のウィルスのバイナリから先頭部分(第1領域のウィルスパターン)VP−6、中間部分(第2領域のウィルスパターン)VP−7、終端部分(第3領域のウィルスパターン)VP−7を固定長バイトごと抽出したものをつける。
【0030】
なお、抽出部分はウィルス情報管理局30によって任意に決められ、定期的に変更してバージョンVP−4を更新する。
また、ウィルスの危険度に応じて脅威レベルVP−5をウィルス情報管理局側30で決定しておく。これにより危険度に応じた対応を可能にする。
【0031】
ウィルスチェックルータ10a〜10nでは、受け取ったデータを元に自分の持つウィルスパターンVPを後述の検索テ−ブルに追加する。その際、各ウィルスチェックルータ10a〜10nはどの領域を分担するか決められており、受信したパケットから自分の担当するパターンのみを受け取る。
【0032】
次にウィルスパターンVPの格納形式について説明する。図4はウィルスパターン格納手段11の格納形式を示す図である。
ウィルスパターン格納手段11は、ウィルスパターンVPを検索テ−ブル11aと、シリアル番号保持情報11bと、に分けて格納する。
【0033】
検索テ−ブル11aは、階層木構造をとる。それぞれ木の深さに応じて第1次階層、第2次階層、第3次階層…と呼ぶ。また、それぞれの枝部分とシリアル番号を対応させておく。
【0034】
シリアル番号保持情報11bは、現在自分の持っているシリアル番号とバージョンと脅威レベルを保持しており、ウィルスパターンVPのマルチキャストパケットが来た際、これと比較して変更が必要かどうかを判断する。
【0035】
次に検索テ−ブル11aに新規にウィルスパケットVPを追加する場合の処理について説明する。各ウィルスチェックルータ10a〜10nは、自分の保持しているウィルスパターンVPのシリアル番号と、バージョン番号と、をシリアル番号保持情報11bに検索テ−ブル11aとは別に保管している。
【0036】
マルチキャストによる新規のウィルスパターンVPから自分の担当分を受け取ると、ウィルスパターンVP情報を記録したシリアル番号保持情報11bをもとにウィルスパターンVPの検索テ−ブル11aを更新する。
【0037】
まず、シリアル番号とバージョンをチェックして変更が必要か判断する。変更が必要と判断すると検索テ−ブル11aの第1次階層、第2次階層、…と比較していって重ならなくなる部分を探し、そこから新規に枝を伸ばす。その後、新規追加した枝を最上位に移動させ、登録を終了する。
【0038】
図5はウィルスパターン格納手段11でのウィルスパターンVPを新規登録する際の処理手順を示すフローチャートである。
〔S1〕シリアル番号を自分のウィルスチェックルータ内に持っているかどうかを判断する。持っている場合はステップS2へ、持っていない場合はステップS4へ行く。
〔S2〕バージョン更新かどうかを判断する。更新ならばステップS3へ、更新でなければ終了する。
〔S3〕対象のシリアル番号の枝を削除する。
〔S4〕第1次階層と比較する。ステップS4の詳細は図6で説明する。
【0039】
図6は第n次階層と比較して、新たに枝を作成する際の処理手順を示すフローチャートである。
〔S10〕ウィルスパターンから1文字とる。
〔S11〕既存の検索テ−ブル11aの第n次階層と比較する。
〔S12〕ヒットした場合はステップS13へ、そうでなければステップS14へ行く。
〔S13〕次の第n+1次階層と比較する。
〔S14〕枝を追加する。
〔S15〕枝の優先順位を上にもってくる。
【0040】
以上説明したような処理手順で、新種のウィルスパターンVPに対して対応する枝を作成していき格納しておく。
次にウィルスチェックルータ10の構成について説明する。図7はウィルスチェックルータ10の構成を示す図である。
【0041】
図に示す通常のパケットは、本発明のウィルスチェック手段12に該当するウィルスチェックフィルタ12でウィルスチェックが行われる。
ここでウィルスチェックを行うべきパケットは、パケットの中身がTCPかつftp、http、smtpのいずれかのパケットで、かつまだチェックが完了していないパケットである。
【0042】
ただし、それ以外のパケットは、負荷軽減のためウィルスチェックフィルタ12をウィルスチェックせずに通過させる。また、オフセット値がある一定以上のパケット、つまりフローの後ろの方のパケットも通過させる。なお、この際ウィルスチェック済みのビットを立てる。
【0043】
一方、マルチキャストのパケットは、シリアル番号保持情報11bでウィルスパターンの更新処理が行われ、検索テ−ブル11aに階層木構造形式で格納される。
【0044】
そして、経路計算部13aで経路計算をした後、パケット生成送信部13bは、ウィルスチェックに引っかかったパケットに対して、後述のIPヘッダのオプションのフィールドにビットを立てた感染表示パケットPbを生成する。以降の同一のフローのパケットに対してもビットを立てる。
【0045】
また、パケット生成送信部13bは、IPパケットの送信元に向けて警告パケットPw1を生成する。その後、感染表示パケットPb、警告パケットPw1を送信する。
【0046】
なお、警戒モードに設定して、感染元との通信を遮断する警戒モード設定手段14については後述する。
一方、クライアント端末20では、ソフトウェアによってIPヘッダのウィルス感染を示すビットを監視している。ビットが立った感染表示パケットPb及び警告パケットPw1を受け取ったクライアント端末20は,ユーザに対してウィルスに感染した旨のメッセージ表示を行う。
【0047】
次にIPヘッダの構成について説明する。図8はIPヘッダの構成を示す図である。
バージョンは4ビットで、インターネットヘッダの形式を示す。IHL(Internet Header Length) は4ビットで、ヘッダ長が32ビットワード単位で示される。サービスタイプは8ビットで、スループット等のサービス品質が示される。全長は16ビットで、オクテット単位で図った長さを示す。なお、全長にはヘッダとデータとを含む。
【0048】
識別番号は16ビットで、送信側を識別するために割り当てられた値でデータグラムのフラグメントを組み立てる際に使用される。Flagは3ビットで、フラグメントの分割許可または継続等の制御を示す。フラグメントオフセットは13ビットで、データグラム内でフラグメントの占める位置を示す。
【0049】
ttlは8ビットでデータグラムがインターネットのシステムに留まっていられる時間の最小値を示す。プロトコルは8ビットで、データグラムのデータ部を渡すべきトランスポートレイヤプロトコルを示す。ヘッダチェックサムは16ビットでヘッダに対するチェックサムを示す。
【0050】
始点アドレスは32ビットで、始点のIPアドレスを示す。終点アドレスは32ビットで終点のIPアドレスを示す。オプションは可変長で、ユーザが任意に定義できる。本発明ではこのオプション領域を利用して感染表示パケットPb、、警告パケットPw1及び警戒情報パケットPw2を生成する。
【0051】
次にウィルスチェック手段12について説明する。図9はウィルスチェックの処理手順を示すフローチャートである。
〔S20〕すでに別のウィルスチェックルータでチェック済みかどうかを判断する。チェック済みならステップS30へ、そうでない場合はステップS21へ行く。
〔S21〕オフセット値が一定以上かどうかを判断する。一定以上の場合はステップS30へ、そうでなければステップS22へ行く。
〔S22〕TCPパケットでかつhttp、ftp、smtpのいずれかのパケットかどうかを判断する。その場合はステップS23へ、そうでなければステップS30へ行く。
〔S23〕ウィルスチェックを行う。なお、詳細は図10で説明する。
〔S24〕感染しているかどうかを判断する。感染している場合はステップS28へ、そうでなければステップS25へ行く。
〔S25〕次のパケットの1バイトをとる。
〔S26〕終了かどうかを判断する。終了の場合はステップS27へ、そうでなければステップS23へ戻る。
〔S27〕チェック済みのビットを立てる。
〔S28〕IPヘッダのオプションフィールドにビットを立てる。
〔S29〕警告パケットPw1、警戒情報パケットPw2を発行する。
〔S30〕経路計算を行う。
【0052】
次に上記のステップS23のウィルスチェックルーティンについて説明する。パケット内の1バイトをとり、まず検索テ−ブル11a内の第1次階層と比較する。同じものがあった場合は、パケットから次の1バイトをとり、一致した枝の配下の第2次階層と比較する。
【0053】
もし当てはまらなくなったらパケットの次の1バイトを取り出して最初から比較をやり直す。これを繰り返し最後まで当てはまる場合は、このバイトはウィルスに感染したと判断しIPヘッダのオプションのフィールドのビットを立てる。
【0054】
また、もし検索の途中でパケットが終了した場合は感染していないものとみなし、代わりに別の領域を担当しているウィルスチェックルータにまかせる。
図10はウィルスチェックルーティンの処理手順を示すフローチャートである。
〔S40〕パケットから1バイトを取り出す。
〔S41〕パケット完了かどうかを判断する。パケット完了の場合は終了し、そうでなければステップS42へ行く。
〔S42〕ウィルスパターン第n次階層と比較する。
〔S43〕ヒットしたかどうかを判断する。ヒットした場合はステップS46へ、そうでなければステップS44へ行く。
〔S44〕階層を1次に戻す。
〔S45〕第1次階層をチェックする。
〔S46〕階層をn+1次にする。
〔S47〕ウィルスチェック完了かどうかを判断する。完了の場合はステップS49へ、そうでなければステップS48へ行く。
〔S48〕第n+1次階層をチェックする。
〔S49〕ウィルス感染と判断する。
【0055】
次にウィルスチェック時に立てるビットについて説明する。ウィルスチェックルータでウィルスチェックを実施すると、まずIHLフィールドを1増加してオプション領域を確保する。そして、確保されたオプション領域にビットを立てる。
【0056】
図11は感染表示パケットPbのIPパケットのフォーマットを示す図である。まず、IHLフィールドを1増加する。そして、オプション領域をThe Copied flag=0 、The option Classes=3(将来の予約用領域)、 The option Number=1(感染表示パケットPb:ウィルスチェックをしたことを示すコード)、 Length=5 と設定する。
【0057】
また、Option Valueとして第1ビットは第1領域チェック未/済、第2ビットは第2領域チェック未/済、第3ビットは第3領域チェック未/済と割り当てる。すなわち、ウィルスチェックをしたかどうかの情報を記す。
【0058】
そして、第4ビットはウィルス未感染/感染を示し、未感染なら0、感染している場合は1を立てて、感染表示パケットPbを表す。なお、第5ビット以降はシリアル番号である。
【0059】
次に警告パケットPw1について説明する。ウィルスチェックルータでウィルスを検知した際に送信元には警告パケットPw1を送信し、周囲のウィルスチェックルータには警戒情報パケットPw2をマルチキャストで送信する。これによってウィルスの早期発見、拡大防止をはかる。
【0060】
警告パケットPw1は、ウィルス検知時のパケットと同様にIPヘッダのオプション領域のビットを立て、以下のフォーマットで送信元に配送される。
図12は警告パケットPw1のフォーマットを示す図である。まず、IHLフィールドを1増加する。そして、オプション領域をThe Copied flag=0 、The option Classes=3(将来の予約用領域)、 The option Number=2(警告パケットPw1を示すコード)、 Length=3 と設定する。そして、図11で説明したチェック未/済のオプションを付加する。また、終点アドレスが感染元のアドレスとなる。
【0061】
次にクライアント側の処理について説明する。図13はクライアント端末20の構成を示す図である。本発明の感染パケット検出手段21はLANドライバ21aに、ファイル実行制御手段22はTCP/IPドライバ22bに含まれる。
【0062】
LANドライバ21aは、送られてくる各フローについて、各パケットのウィルスチェックビットを見る。そして、ビットが立っているかどうかを判断し、その結果をTCP/IPドライバ22bに通知する。
【0063】
TCP/IPドライ22bは、ビットが立っている旨の通知を受けると、対応するファイルを実行不可にした後、ファイルを削除する旨のメッセージ20−1を表示する。
【0064】
次にクライアント端末20でのビット監視の流れについて説明する。図14、図15はクライアント端末20のビット監視の処理手順を示すフローチャートである。
〔S50〕パケットを読み込む。
〔S51〕新規のフローかどうかを判断する。新規のフローの場合はステップS52へ、そうでなければステップS53へ行く。
〔S52〕フロー情報を追加する。
〔S53〕終了フローかどうかを判断する。終了フローの場合はステップS54へ、そうでなければステップS55へ行く。
〔S54〕フロー情報から該当フローを削除する。
〔S55〕ビットをチェックする。
〔S56〕ヒットしたかどうかを判断する。ヒットした場合はステップS58へ、そうでなければステップS57へ行く。
〔S57〕TCP/IPドライバ22bに処理を渡す。
〔S58〕警告パケットPw1かどうかを判断する。警告パケットの場合はステップS59へ、そうでなければステップS60へ行く。
〔S59〕警告の旨のメッセージを表示する。
〔S60〕ファイルの実行権をなくす。
〔S61〕警告メッセージ20−1の表示を行う。
【0065】
次に警戒情報パケットPw2について説明する。ウィルスチェックルータでウィルス検知された際、各ウィルスチェックルータにはマルチキャストで警戒情報パケットPw2を出す。警戒情報パケットPw2はウィルスパケットのシリアル番号と送信元IPアドレスを情報として持ち、マルチキャストで配布される。
【0066】
警戒情報パケットPw2を受け取った各ウィルスチェックルータは受け取ったシリアル番号のウィルスパターンVPの検索の優先順位を上げる。
図16は警戒情報パケットPw2のフォーマットを示す図である。警戒情報パケットPw2は、ヘッダPw2−1にEther HedderとIP Hedder(Multicast)とを持つ。
【0067】
そして、警戒情報を示すコードPw2−2と、ウィルスの種類を示すシリアル番号Pw2−3と、そのバージョン(改版番号)Pw2−4を持つ。
さらに、ウィルスの危険度に応じた脅威レベルPw2−5と、ウィルス感染元のIPアドレスPw2−6をつける。
【0068】
次に警戒情報パケットPw2を受け取った際の検索順番の処理手順について説明する。図17は警戒情報パケットPw2を受け取った際の検索順番の処理手順を示す図である。
〔S70〕警戒情報パケットPw2からシリアル番号を取得する。
〔S71〕第1次階層、第2次階層、…第n次階層、の検索順位を最上位に上げる。
【0069】
次に感染元との通信遮断を行うための警戒モード設定手段14について説明する。脅威レベルがある一定以上の場合、拡大を防止するためウィルスチェックルータ側でホストとの通信を一定時間遮断させる。
【0070】
警戒情報パケットPw2の中の脅威レベルを見て、ある一定以上の場合はIPアドレスをテ−ブルに保存し、警戒モードに移行する。
警戒モードでは通常の処理の前にくるパケットをチェックし、テ−ブルにあるアドレスから来たパケットと、テ−ブルにあるアドレスに向かうパケットと、を一定時間だけすべて廃棄する。
【0071】
廃棄させる時間は、再送要求がタイムアウトする程度の時間とし、テ−ブルに保存された時にカウンタが一緒に設定される。
もしこの時間内にパケットが来なかったらテ−ブルから削除し、警戒モードを解除する。逆にパケットが来たら時間(カウンタのカウント値)を延長させる。
【0072】
図18は警戒モード設定手段14が行う警戒モードの処理手順を示すフローチャートである。
〔S80〕脅威レベルは一定以上かどうかを判断する。一定以上の場合は、ステップS81へ、そうでなければステップS89へ行く。
〔S81〕警戒IPアドレスを保持する警戒IPアドレステ−ブルにIPアドレスと、警戒モードにしておく時間をカウントするカウンタ値と、を設定する。
〔S82〕パケットを読み込む。
〔S83〕始点/終点のアドレスがテ−ブルと一致するかどうかを判断する。一致する場合はステップS84へ、そうでなければステップS86へ行く。
〔S84〕パケットを廃棄する。
〔S85〕カウンタ値を延長する。すなわち、警戒モードにする時間をさらに長くする。
〔S86〕カウンタ値を減少する。すなわち、警戒モードにする時間を短くする。
〔S87〕カウンタを終了するかどうかを判断する。終了の場合はステップS88へ、終了しない場合はステップS82へ戻る。
〔S88〕警戒IPアドレステ−ブルからIPアドレスと、カウンタ値を削除する。
〔S89〕通常モードにする。
【0073】
次にウィルスチェックルータの協調による負荷分散及びチェック精度向上について説明する。ウィルスのバイナリデータは小さく、パケットをまたがってバイナリが分割してしまう場合がある。したがって、各ウィルスチェックルータ毎に担当するウィルスパターンVPを異なるように分担させ保持させる。
【0074】
これにより、もしある領域で仮りにパケットの途中でウィルスのバイナリが切れてしまった場合でも、別なパケットでは別の領域のチェックにかかるようになる。
【0075】
ウィルスチェックルータに対するウィルスパターンの各分担は、手動でも自動でも設定可能とする。ただし、手動で設定する場合は、パケットは受信先に到着するまでにはすべての領域がチェックされるような構成、つまりそれぞれ分担しているウィルスチェックルータを最低1回ずつは通るような構成にする必要がある。
【0076】
次に自動で設定する場合について説明する。図19は担当分担領域要求パケットのフォーマットを示す図である。図に示すフォーマットを用いて自動設定する。
【0077】
まず、新規のウィルスチェックルータは担当分担領域要求パケット100を自分が配布可能な全てのウィルスチェックルータに配布する。
この場合ttl領域は小さく設定して,余計な負荷は極力かけないようにしておく必要がある。
【0078】
また、自分が持つルーティング情報から自分の接続している全ウィルスチェックルータそれぞれに対して、終点アドレスを挿入したパケットを発行する。
オプション領域は、The Copied flag=0 、The option Classes=3(将来の予約用領域)、 The option Number=3(担当分担領域要求パケット100を示すコード)、 Length=3 、「空き」と設定する。
【0079】
この担当分担領域要求パケット100を受け取った各ウィルスチェックルータは、送信元に対して自分の担当領域を以下のような担当領域要求応答パケット101にのせて返送する。図20は担当分担領域要求応答パケット101のフォーマットを示す図である。
【0080】
ttlがまだ残っていれば、自分が受け取ったウィルスチェックルータ以外の配送できる範囲の全てのウィルスチェックルータに対して同報する。
担当分担領域要求応答パケット101のオプション領域は、The Copied flag=0 、The option Classes=3(将来の予約用領域)、 The option Number=4(担当分担領域要求応答パケット101を示すコード)、 Length=3 、「担当領域」と設定する。
【0081】
また、送信側のウィルスチェックルータは、返ってきた担当分担領域要求応答パケット101から各領域を担当しているルータの台数を集計して、最も担当しているルータの少ない領域を自分の担当領域とする。
【0082】
以上説明したように、本発明のウィルスチェックネットワークシステム1は、ウィルスチェックルータにウィルスチェック機能を搭載させることにより、ネットワーク側でウィルスを検知させることができ、ウィルス侵入防止をより多くのクライアントに対して、またより確実に行うことができる。
【0083】
また、常に最新のウィルスパターン情報をウィルスチェックルータ間でマルチキャストにより交換通知し、またその更新方法もマルチキャストのパケットを発行するだけであるので、新たなウィルスへの対応が簡単にかつ迅速に行うことができる。またクライアント側で更新をかける必要がない。
【0084】
さらに、検知したウィルスに対する警告を各ウィルスチェックルータが同時に行うことで早期発見、拡大防止を図る。そして、送信元に対しても警告パケットを送ることでウィルス感染を通知することができる。
【0085】
また、各ウィルスチェックルータでウィルスチェック領域を分担することで、各々ウィルスチェックルータにかかる負荷を分散することができ、フレーム間にまたがってウィルスが存在する場合においてもいずれかを担当しているウィルスチェックルータでチェックすることができ、ウィルスチェックの精度が向上する。
【0086】
さらに、ウィルスが検知されたパケットを落とすことはせずに、IPヘッダにビットを立てて受信側に通知することで再送などによる余計なトラヒックの増加を防ぐことができる。そして、ウィルスの脅威レベルに応じて通信を遮断させるため、感染の拡大を防止させることができる。
【0087】
【発明の効果】
以上説明したように、本発明のウィルスチェックネットワークシステムは、複数のウィルスチェック装置を設けて、ウィルスチェックを行う構成とした。これにより、ネットワーク側でウィルスを未然に防ぐことができるので、ウィルスの感染及び拡大を防止でき、ウィルスチェック対策効率の向上を図ることが可能になる。
【図面の簡単な説明】
【図1】本発明のウィルスチェックネットワークシステムの原理図である。
【図2】ウィルスチェックルータを配置したネットワークの概要を示す図である。
【図3】ウィルスパターンVPのフォーマットを示す図である。
【図4】ウィルスパターンVP格納手段の格納形式を示す図である。
【図5】ウィルスパターン格納手段でのウィルスパターンVPを新規登録する際の処理手順を示すフローチャートである。
【図6】第n次階層と比較して、新たに枝を作成する際の処理手順を示すフローチャートである。
【図7】ウィルスチェックルータの構成を示す図である。
【図8】IPヘッダの構成を示す図である。
【図9】ウィルスチェックの処理手順を示すフローチャートである。
【図10】ウィルスチェックルーティンの処理手順を示すフローチャートである。
【図11】感染表示パケットのIPパケットのフォーマットを示す図である。
【図12】警告パケットのフォーマットを示す図である。
【図13】クライアント端末の構成を示す図である。
【図14】クライアント端末のビット監視の処理手順を示すフローチャートである。
【図15】クライアント端末のビット監視の処理手順を示すフローチャートである。
【図16】警戒情報パケットのフォーマットを示す図である。
【図17】警戒情報パケットを受け取った際の検索順番の処理手順を示す図である。
【図18】警戒モードの処理手順を示すフローチャートである。
【図19】担当分担領域要求パケットのフォーマットを示す図である。
【図20】担当分担領域要求応答パケットのフォーマットを示す図である。
【符号の説明】
1 ウィルスチェックネットワークシステム
10a〜10n ウィルスチェック装置
11 ウィルスパターン格納手段
12 ウィルスチェック手段
13 パケット送信手段
20a〜20m クライアント端末
21 感染パケット検出手段
22 ファイル実行制御手段
30 ウィルス情報管理局
31 ウィルスパターン情報配布手段
32 ウィルスパターン情報管理手段
Pa 感染パケット
Pb 感染表示パケット[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention is a virus check networkSystem andVirus check device, especially a virus check network that checks for viruses and prevents virus intrusionSystem andThe present invention relates to a virus check device that performs a virus check to prevent a virus from entering.
[0002]
[Prior art]
In recent years, information communication network technology such as multimedia communication has been rapidly advanced. Also, due to the trend of the Internet and the like, services provided by networks are widely used not only for corporations but also for ordinary households.
[0003]
On the other hand, the increase in computer viruses and the speed of infection are accelerating with the spread of networks, and it has been reported that many corporate users are suffering from virus damage.
[0004]
Conventionally, in order to protect networks from virus infection, vaccine software has been introduced into clients and proxy servers. By using this vaccine software, the virus can be removed from the file infected with the virus and the file can be repaired.
[0005]
[Problems to be solved by the invention]
However, since the conventional virus countermeasures as described above are performed on the client side, in order to prevent infection, vaccine software must be individually introduced to all clients.
[0006]
For this reason, for a new virus, the upgraded vaccine software must be introduced one by one from the beginning, and there is a problem that it takes much time and the efficiency is low.
[0007]
In addition, conventional virus countermeasures on the client side entail the problem that it is difficult to conduct thorough virus monitoring because the operation management, such as updating the pattern file when a new virus is found, is left to each user. there were.
[0008]
The present invention has been made in view of such a point, and a virus check network which prevents a virus on a network side and improves an anti-virus efficiency.systemThe purpose is to provide.
[0009]
Another object of the present invention is to provide a virus check device which prevents viruses on the network side and improves the anti-virus efficiency..
[0011]
[Means for Solving the Problems]
In the present invention, in order to solve the above problems, a virus check network for performing a virus check as shown in FIG.
[0012]
Here, the virus
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a virus check network of the present invention.systemFIG.
[0014]
Virus
[0015]
The virus pattern storage means 11 stores a virus pattern. The virus checking means 12 compares the received packet with a stored virus pattern, and checks whether the packet is an infected packet Pa infected with a virus.RowU.
[0016]
When detecting the infected packet Pa, the
[0017]
The infected packet detecting means 21 detects the infected packet Pa based on the bit of the infected indication packet Pb. The file
[0018]
The virus pattern information distribution means 31 distributes the latest virus pattern information to the
[0019]
The virus pattern information management means 32 centrally manages new setting and updating of virus pattern information.
Next, the virus check network of the present inventionsystemAn embodiment in which 1 is applied to a network on the Internet constituted by a router will be described below. The
[0020]
Note that the router in which the virus check device is arranged is hereinafter referred to as a virus check router.
FIG. 2 is a diagram showing an outline of a network in which a virus check router is arranged. The
[0021]
In the figure, routers R1, R2, R3 and R4 are virus check routers, and the others have only normal router functions. The virus
[0022]
The virus check routers R1 to R4 are responsible for determining which part (head, middle, and end) of the virus is to be checked, and are arranged to pass each charge at least once.
[0023]
Each of the virus check routers R1 to R4 receives the virus pattern VP distributed by multicast from the virus
[0024]
The virus check routers R1 to R4 compare the received packet with the stored virus pattern VP. If so, set a bit in the packet.
[0025]
At this time, a warning packet Pw1 is simultaneously returned to the transmission source, and a warning information packet Pw2 is distributed to each virus check router R1 to R4 by multicast.
[0026]
Each of the virus check routers R1 to R4 that has received the alert information packet Pw2 detects the virus preferentially or cuts off communication with the infection source.
The
[0027]
Next, the virus pattern VP will be described. The virus pattern VP is periodically distributed on a multicast. When a new type of virus is found, the virus
[0028]
FIG. 3 is a diagram showing a format of the virus pattern VP. The virus pattern VP has Ether Header and IP Header (Multicast) in the header VP-1.
It has a code VP-2 indicating virus pattern distribution, a serial number VP-3 indicating the type of virus, and its version (revision number) VP-4.
[0029]
After these, from the actual virus binary, the leading part (virus pattern in the first area) VP-6, the middle part (virus pattern in the second area) VP-7, and the ending part (virus pattern in the third area) VP Attach -7 extracted for each fixed length byte.
[0030]
The extracted portion is arbitrarily determined by the virus
In addition, the virus
[0031]
The
[0032]
Next, the storage format of the virus pattern VP will be described. FIG. 4 is a diagram showing the storage format of the virus pattern storage means 11.
The virus pattern storage means 11 stores the virus pattern VP separately in a search table 11a and serial
[0033]
The search table 11a has a hierarchical tree structure. These are referred to as a primary hierarchy, a secondary hierarchy, a tertiary hierarchy,. Also, each branch part is associated with a serial number.
[0034]
The serial
[0035]
Next, a process for newly adding a virus packet VP to the search table 11a will be described. Each of the
[0036]
Upon receiving its own charge from the new virus pattern VP by multicast, the virus pattern VP search table 11a is updated based on the serial
[0037]
First, check the serial number and version to determine if any changes are needed. When it is determined that a change is necessary, the search table 11a is compared with the first layer, the second layer,... To search for a portion that does not overlap, and a new branch is extended therefrom. Thereafter, the newly added branch is moved to the top and the registration is completed.
[0038]
FIG. 5 is a flowchart showing a processing procedure when a virus pattern VP is newly registered in the virus pattern storage means 11.
[S1] It is determined whether the serial number is stored in the virus check router. If it has, go to step S2; otherwise, go to step S4.
[S2] It is determined whether the version is updated. If it is an update, the process proceeds to step S3, and if not, the process ends.
[S3] The branch of the target serial number is deleted.
[S4] Compare with the first layer. Details of step S4 will be described with reference to FIG.
[0039]
FIG. 6 is a flowchart showing a processing procedure when a new branch is created in comparison with the n-th hierarchical level.
[S10] One character is taken from the virus pattern.
[S11] The search table 11a is compared with the n-th layer of the existing search table 11a.
[S12] If hit, go to step S13, otherwise go to step S14.
[S13] Compare with the next (n + 1) th layer.
[S14] Branches are added.
[S15] The branch priority is raised.
[0040]
According to the processing procedure described above, a branch corresponding to the new type of virus pattern VP is created and stored.
Next, the configuration of the
[0041]
The normal packet shown in the figure is subjected to virus check by the
Here, the packet to be subjected to the virus check is a packet whose contents are TCP and any one of ftp, http, and smtp, and have not yet been checked.
[0042]
However, other packets are passed through the
[0043]
On the other hand, the multicast packet is subjected to a virus pattern update process using the serial
[0044]
Then, after the
[0045]
Further, the packet generation and
[0046]
The alert mode setting means 14 for setting the alert mode to block communication with the infection source will be described later.
On the other hand, the
[0047]
Next, the configuration of the IP header will be described. FIG. 8 is a diagram showing the configuration of the IP header.
The version is 4 bits and indicates the format of the Internet header. The IHL (Internet Header Length) is 4 bits, and the header length is indicated in 32-bit words. The service type is 8 bits and indicates service quality such as throughput. The total length is 16 bits and indicates the length measured in octets. Note that the total length includes a header and data.
[0048]
The identification number is 16 bits and is used when assembling a datagram fragment with a value assigned to identify the sender. Flag is 3 bits and indicates control such as permission or continuation of fragment division. The fragment offset is 13 bits and indicates the position occupied by the fragment in the datagram.
[0049]
ttl is 8 bits and indicates the minimum value of the time that the datagram can stay in the Internet system. The protocol is 8 bits and indicates the transport layer protocol to which the data part of the datagram should be passed. The header checksum is 16 bits and indicates a checksum for the header.
[0050]
The start address is 32 bits and indicates the IP address of the start point. The destination address is 32 bits and indicates the IP address of the destination. Options are of variable length and can be arbitrarily defined by the user. In the present invention, an infection display packet Pb, a warning packet Pw1, and a warning information packet Pw2 are generated using this optional area.
[0051]
Next, the virus checking means 12 will be described. FIG. 9 is a flowchart illustrating a virus check processing procedure.
[S20] It is determined whether another virus check router has already performed the check. If the check has been completed, the process proceeds to step S30; otherwise, the process proceeds to step S21.
[S21] It is determined whether the offset value is equal to or greater than a predetermined value. If it is not less than a certain value, go to step S30, otherwise go to step S22.
[S22] It is determined whether the packet is a TCP packet and one of http, ftp, and smtp. In that case, go to step S23, otherwise go to step S30.
[S23] A virus check is performed. Details will be described with reference to FIG.
[S24] It is determined whether the computer is infected. If infected, go to step S28, otherwise go to step S25.
[S25] One byte of the next packet is taken.
[S26] It is determined whether or not the processing is to be ended. If the processing has been completed, the process returns to step S27; otherwise, the process returns to step S23.
[S27] A checked bit is set.
[S28] A bit is set in the option field of the IP header.
[S29] A warning packet Pw1 and a warning information packet Pw2 are issued.
[S30] The route is calculated.
[0052]
Next, the virus check routine in step S23 will be described. One byte in the packet is taken and compared with the first layer in the search table 11a. If there is the same one, the next one byte is taken from the packet and compared with the second layer under the coincident branch.
[0053]
If this is not the case, the next byte of the packet is taken out and the comparison is repeated from the beginning. If this is repeated until the end, this byte is determined to be infected with a virus, and a bit is set in an optional field of the IP header.
[0054]
If the packet ends in the middle of the search, it is assumed that the packet has not been infected, and instead, it is left to the virus check router that is in charge of another area.
FIG. 10 is a flowchart showing the procedure of the virus check routine.
[S40] One byte is extracted from the packet.
[S41] It is determined whether the packet is completed. If the packet has been completed, the process ends; otherwise, the process proceeds to step S42.
[S42] The virus pattern is compared with the n-th layer.
[S43] It is determined whether a hit has occurred. If there is a hit, go to step S46, otherwise go to step S44.
[S44] The hierarchy is returned to the primary level.
[S45] The primary layer is checked.
[S46] The hierarchy is set to the (n + 1) th level.
[S47] It is determined whether the virus check has been completed. If it is completed, the process proceeds to step S49, otherwise, the process proceeds to step S48.
[S48] The (n + 1) th layer is checked.
[S49] Judge as virus infection.
[0055]
Next, the bits set at the time of virus check will be described. When a virus check is performed by the virus check router, first, the IHL field is incremented by 1 to secure an optional area. Then, a bit is set in the secured option area.
[0056]
FIG. 11 is a diagram showing a format of an IP packet of the infection indication packet Pb. First, the IHL field is incremented by one. Then, the option area is set as The Copied flag = 0, The option Classes = 3 (area for future reservation), The option Number = 1 (infection display packet Pb: code indicating that virus check was performed), and Length = 5. I do.
[0057]
In addition, as the Option Value, the first bit is assigned to the first area check not / completed, the second bit is assigned to the second area check not / completed, and the third bit is assigned to the third area check not / completed. That is, information indicating whether a virus check has been performed is described.
[0058]
The fourth bit indicates virus uninfected / infected, indicating 0 if not infected and 1 if infected, indicating an infection indication packet Pb. The fifth and subsequent bits are a serial number.
[0059]
Next, the warning packet Pw1 will be described. When a virus is detected by the virus check router, a warning packet Pw1 is transmitted to the transmission source, and a warning information packet Pw2 is transmitted by multicast to surrounding virus check routers. This will help detect viruses early and prevent their spread.
[0060]
The warning packet Pw1 sets the bit of the option area of the IP header similarly to the packet at the time of virus detection, and is delivered to the transmission source in the following format.
FIG. 12 is a diagram showing a format of the warning packet Pw1. First, the IHL field is incremented by one. Then, the option area is set as The Copied flag = 0, The option Classes = 3 (area for future reservation), The option Number = 2 (code indicating the warning packet Pw1), and Length = 3. Then, the unchecked / unchecked option described with reference to FIG. 11 is added. The destination address is the address of the infection source.
[0061]
Next, processing on the client side will be described. FIG. 13 is a diagram showing a configuration of the
[0062]
The
[0063]
Upon receiving the notification that the bit is set, the TCP /
[0064]
Next, the flow of bit monitoring in the
[S50] The packet is read.
[S51] It is determined whether the flow is a new flow. If it is a new flow, go to step S52, otherwise go to step S53.
[S52] Flow information is added.
[S53] It is determined whether the flow is an end flow. In the case of the end flow, the process proceeds to step S54, and otherwise, the process proceeds to step S55.
[S54] The corresponding flow is deleted from the flow information.
[S55] The bit is checked.
[S56] It is determined whether a hit has occurred. If there is a hit, go to step S58, otherwise go to step S57.
[S57] The process is passed to the TCP /
[S58] It is determined whether the packet is a warning packet Pw1. If it is a warning packet, go to step S59, otherwise go to step S60.
[S59] A warning message is displayed.
[S60] The right to execute the file is removed.
[S61] A warning message 20-1 is displayed.
[0065]
Next, the alert information packet Pw2 will be described. When a virus is detected by the virus check router, a warning information packet Pw2 is output to each virus check router by multicast. The alert information packet Pw2 has the serial number of the virus packet and the source IP address as information, and is distributed by multicast.
[0066]
Each virus check router that has received the alert information packet Pw2 increases the search priority of the virus pattern VP of the received serial number.
FIG. 16 is a diagram showing a format of the alert information packet Pw2. The alert information packet Pw2 has Ether Header and IP Header (Multicast) in the header Pw2-1.
[0067]
It has a code Pw2-2 indicating alert information, a serial number Pw2-3 indicating the type of virus, and its version (revision number) Pw2-4.
Further, a threat level Pw2-5 according to the degree of risk of the virus and an IP address Pw2-6 of the virus infection source are given.
[0068]
Next, a processing procedure of a search order when the alert information packet Pw2 is received will be described. FIG. 17 is a diagram illustrating a processing procedure of a search order when the alert information packet Pw2 is received.
[S70] The serial number is obtained from the alert information packet Pw2.
[S71] The search order of the first hierarchical level, the second hierarchical level,..., The nth hierarchical level is increased to the highest level.
[0069]
Next, the alert mode setting means 14 for interrupting communication with the infection source will be described. If the threat level is higher than a certain level, the virus check router interrupts communication with the host for a certain period of time to prevent its spread.
[0070]
Looking at the threat level in the alert information packet Pw2, if the threat level is higher than a certain level, the IP address is stored in a table, and the mode shifts to the alert mode.
In the alert mode, packets that come before normal processing are checked, and packets that come from the address in the table and packets that go to the address in the table are all discarded for a certain period of time.
[0071]
The time for discarding is such that the retransmission request times out, and a counter is set together when the data is stored in the table.
If no packet arrives within this time, it is deleted from the table and the alert mode is released. Conversely, when a packet arrives, the time (count value of the counter) is extended.
[0072]
FIG. 18 is a flowchart showing a procedure in the alert mode performed by the alert mode setting means 14.
[S80] It is determined whether the threat level is equal to or higher than a certain level. If the value is equal to or more than a certain value, the process proceeds to step S81;
[S81] An IP address and a counter value for counting the time to keep in the alert mode are set in the alert IP address table holding the alert IP address.
[S82] The packet is read.
[S83] It is determined whether or not the start / end addresses match the table. If they match, go to step S84, otherwise go to step S86.
[S84] The packet is discarded.
[S85] The counter value is extended. That is, the time for setting the alert mode is further extended.
[S86] The counter value is decreased. That is, the time for the alert mode is reduced.
[S87] It is determined whether to end the counter. If the processing has been completed, the process returns to step S88; otherwise, the process returns to step S82.
[S88] The IP address and the counter value are deleted from the alert IP address table.
[S89] Normal mode is set.
[0073]
Next, a description will be given of load balancing and improvement of check accuracy by cooperation of virus check routers. The binary data of the virus is small, and the binary may be divided across the packets. Therefore, the virus pattern VP assigned to each virus check router is shared differently and held.
[0074]
As a result, even if a virus binary is cut in the middle of a packet in a certain area, another packet is checked in another area.
[0075]
Each assignment of the virus pattern to the virus check router can be set manually or automatically. However, in the case of manual setting, the configuration is such that all areas are checked before the packet arrives at the destination, that is, the configuration is such that the packet passes at least once through the assigned virus check router. There is a need to.
[0076]
Next, the case of automatically setting will be described. FIG. 19 is a diagram showing the format of the assigned area request packet. Automatically set using the format shown in the figure.
[0077]
First, the new virus check router distributes the assigned area request packet 100 to all the virus check routers to which it can distribute.
In this case, it is necessary to set the ttl region to be small and to avoid applying an unnecessary load as much as possible.
[0078]
Also, based on its own routing information, it issues a packet in which the destination address is inserted to each virus check router to which it is connected.
The optional area is set as The Copied flag = 0, The option Classes = 3 (area for future reservation), The option Number = 3 (code indicating assigned charge area request packet 100), Length = 3, and “empty” .
[0079]
Each virus check router that has received the assigned area request packet 100 returns its assigned area in the assigned area request response packet 101 as follows to the transmission source. FIG. 20 is a diagram showing the format of the assigned assignment area request response packet 101.
[0080]
If ttl still remains, it broadcasts to all virus check routers within the deliverable range other than the virus check router received by itself.
The optional areas of the assigned assignment area request response packet 101 are The Copied flag = 0, The option Classes = 3 (area for future reservation), The option Number = 4 (code indicating the assigned assignment area request response packet 101), Length = 3, “assigned area” is set.
[0081]
Further, the virus check router on the transmitting side totals the number of routers in charge of each area from the returned assigned area request packet 101, and determines the area with the fewest routers in charge in its own area. And
[0082]
As described above, the virus check network of the present inventionsystem1 is that by installing a virus check function in a virus check router, a virus can be detected on the network side, and virus intrusion can be prevented for more clients and more reliably.
[0083]
In addition, the latest virus pattern information is always exchanged and notified between virus check routers by multicast, and the only update method is to issue multicast packets. Therefore, it is easy and quick to respond to new viruses. Can be. There is no need to update on the client side.
[0084]
Furthermore, each virus check router simultaneously issues a warning about the detected virus, thereby preventing early detection and preventing spread. Then, a virus packet can be notified to the transmission source by sending a warning packet.
[0085]
In addition, by sharing the virus check area with each virus check router, the load on each virus check router can be distributed, and even if a virus exists between frames, the virus that is in charge of one of them is assigned. The check can be performed by the check router, and the accuracy of the virus check is improved.
[0086]
Further, by setting a bit in the IP header and notifying the receiving side without dropping the packet in which the virus is detected, unnecessary increase in traffic due to retransmission or the like can be prevented. Since the communication is cut off in accordance with the threat level of the virus, the spread of infection can be prevented.
[0087]
【The invention's effect】
As described above, the virus check network of the present inventionsystemHas multiple virus checking devices, CThe virus check was performed. As a result, the virus can be prevented from occurring on the network side, so that the infection and spread of the virus can be prevented, and the efficiency of the virus check countermeasure can be improved.
[Brief description of the drawings]
FIG. 1 is a virus check network of the present invention.systemFIG.
FIG. 2 is a diagram showing an outline of a network in which a virus check router is arranged.
FIG. 3 is a diagram showing a format of a virus pattern VP.
FIG. 4 is a diagram showing a storage format of a virus pattern VP storage unit.
FIG. 5 is a flowchart showing a processing procedure when a virus pattern VP is newly registered in the virus pattern storage means.
FIG. 6 is a flowchart illustrating a processing procedure when a new branch is created in comparison with the n-th hierarchical level.
FIG. 7 is a diagram showing a configuration of a virus check router.
FIG. 8 is a diagram showing a configuration of an IP header.
FIG. 9 is a flowchart showing a virus check processing procedure.
FIG. 10 is a flowchart illustrating a processing procedure of a virus check routine.
FIG. 11 is a diagram showing a format of an IP packet of an infection indication packet.
FIG. 12 is a diagram showing a format of a warning packet.
FIG. 13 is a diagram illustrating a configuration of a client terminal.
FIG. 14 is a flowchart illustrating a bit monitoring processing procedure of the client terminal.
FIG. 15 is a flowchart illustrating a bit monitoring process performed by a client terminal;
FIG. 16 is a diagram showing a format of an alert information packet.
FIG. 17 is a diagram showing a processing procedure of a search order when an alert information packet is received.
FIG. 18 is a flowchart illustrating a processing procedure in the alert mode.
FIG. 19 is a diagram showing a format of a charge sharing area request packet.
FIG. 20 is a diagram showing a format of a charge sharing area request response packet.
[Explanation of symbols]
1 virus check networksystem
10a-10n virus check device
11 Virus pattern storage means
12 Virus checking means
13 Packet transmission means
20a-20m Client terminal
21 Infected packet detection means
22 File execution control means
30 Virus Information Management Bureau
31 Virus pattern information distribution means
32 Virus pattern information management means
Pa infection packet
Pb infection indication packet
Claims (8)
ウィルスパターンを格納するウィルスパターン格納手段と、受信したパケットを前記ウィルスパターンにもとづいて、ウィルスに感染している感染パケットか否かの前記ウィルスチェックを行い、前記ウィルスチェックを行う領域を複数設けて、装置毎に担当するウィルスチェック領域を分担し、ネットワーク上新規に置かれた場合には、他装置から前記ウィルスチェックの担当領域情報を収集して担当領域を決定するウィルスチェック手段と、前記感染パケットを検知した場合は、感染を示すパケット内のビットを立てて感染表示パケットとして送信するパケット送信手段と、から構成される複数のウィルスチェック装置と、
前記ビットにもとづいて、前記感染パケットを検出する感染パケット検出手段と、前記感染パケットに対応するファイルを実行不可にするファイル実行制御手段と、から構成されるクライアント端末と、
ウィルスパターン情報をマルチキャストで前記ウィルスチェック装置に配布するウィルスパターン情報配布手段と、前記ウィルスパターン情報を一元管理するウィルスパターン情報管理手段と、から構成されるウィルス情報管理局と、
を有することを特徴とするウィルスチェックネットワークシステム。In a virus check network system that performs virus check and prevents virus intrusion,
And virus pattern storage means for storing a virus pattern, based on the received packet to the virus pattern, have rows the virus check whether infectious packets that are infected with a virus, a plurality of areas for performing the virus check Te, share the virus check area in charge for each device, when placed on the network novel, and virus checking means for determining the coverage area to collect charge area information of the virus checking from another device, A plurality of virus check devices, comprising: a packet transmitting unit that sets a bit in a packet indicating infection and transmits the packet as an infection indication packet when detecting the infected packet;
A client terminal comprising: an infected packet detection unit that detects the infected packet based on the bit; and a file execution control unit that disables execution of a file corresponding to the infected packet.
A virus information management station comprising: virus pattern information distribution means for distributing virus pattern information to the virus check device by multicast; and virus pattern information management means for centrally managing the virus pattern information;
A virus check network system comprising:
ウィルスパターンを格納するウィルスパターン格納手段と、
受信したパケットを前記ウィルスパターンにもとづいて、ウィルスに感染している感染パケットか否かの前記ウィルスチェックを行い、前記ウィルスチェックを行う領域を複数設けて、装置毎に担当するウィルスチェック領域を分担し、ネットワーク上新規に置かれた場合には、他装置から前記ウィルスチェックの担当領域情報を収集して担当領域を決定するウィルスチェック手段と、
前記感染パケットの場合は、感染を示すパケット内のビットを立てて感染表示パケットとして送信するパケット送信手段と、
を有することを特徴するウィルスチェック装置。In a virus check device that performs virus check and prevents virus intrusion,
Virus pattern storage means for storing a virus pattern;
Based the received packet to the virus pattern, have rows the virus check whether infectious packet infected with a virus, by providing a plurality of areas for performing the virus check, a virus check area in charge for each device sharing and, when placed on the network novel, and virus checking means for determining the coverage area to collect charge area information of the virus checking from another device,
In the case of the infected packet, a packet transmitting unit that sets a bit in the packet indicating the infection and transmits the packet as an infected indication packet;
A virus check device comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP33140997A JP3597686B2 (en) | 1997-12-02 | 1997-12-02 | Virus check network system and virus check device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP33140997A JP3597686B2 (en) | 1997-12-02 | 1997-12-02 | Virus check network system and virus check device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11167487A JPH11167487A (en) | 1999-06-22 |
| JP3597686B2 true JP3597686B2 (en) | 2004-12-08 |
Family
ID=18243372
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP33140997A Expired - Fee Related JP3597686B2 (en) | 1997-12-02 | 1997-12-02 | Virus check network system and virus check device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3597686B2 (en) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6721721B1 (en) * | 2000-06-15 | 2004-04-13 | International Business Machines Corporation | Virus checking and reporting for computer database search results |
| TW584801B (en) * | 2000-12-11 | 2004-04-21 | Ntt Docomo Inc | Terminal and repeater |
| US7269649B1 (en) | 2001-08-31 | 2007-09-11 | Mcafee, Inc. | Protocol layer-level system and method for detecting virus activity |
| JP4567275B2 (en) * | 2002-02-28 | 2010-10-20 | 株式会社エヌ・ティ・ティ・ドコモ | Mobile communication terminal, information processing apparatus, relay server apparatus, information processing system, and information processing method |
| WO2004075056A1 (en) * | 2003-02-21 | 2004-09-02 | National Institute Of Advanced Industrial Science And Technology | Virus check device and system |
| WO2004077295A1 (en) * | 2003-02-26 | 2004-09-10 | Secure Ware Inc. | Unauthorized processing judgment method, data processing device, computer program, and recording medium |
| WO2004077294A1 (en) * | 2003-02-26 | 2004-09-10 | Secure Ware Inc. | Unauthorized processing judgment method, data processing device, computer program, and recording medium |
| US8225392B2 (en) | 2005-07-15 | 2012-07-17 | Microsoft Corporation | Immunizing HTML browsers and extensions from known vulnerabilities |
| US8239939B2 (en) | 2005-07-15 | 2012-08-07 | Microsoft Corporation | Browser protection module |
| US7761915B2 (en) | 2005-12-28 | 2010-07-20 | Zyxel Communications Corp. | Terminal and related computer-implemented method for detecting malicious data for computer network |
| JP4774307B2 (en) * | 2006-02-06 | 2011-09-14 | アラクサラネットワークス株式会社 | Unauthorized access monitoring device and packet relay device |
| KR101303643B1 (en) | 2007-01-31 | 2013-09-11 | 삼성전자주식회사 | Apparatus for detecting intrusion code and method using the same |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09128336A (en) * | 1995-11-06 | 1997-05-16 | Hitachi Ltd | Network security system |
| JPH09269930A (en) * | 1996-04-03 | 1997-10-14 | Hitachi Ltd | Method and device for preventing virus of network system |
-
1997
- 1997-12-02 JP JP33140997A patent/JP3597686B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH11167487A (en) | 1999-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7120934B2 (en) | System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network | |
| JP3597686B2 (en) | Virus check network system and virus check device | |
| US7808897B1 (en) | Fast network security utilizing intrusion prevention systems | |
| US7562390B1 (en) | System and method for ARP anti-spoofing security | |
| EP1806888B1 (en) | Denial-of-service attack detecting system, and denial-of-service attack detecting method | |
| US11552961B2 (en) | System, method and computer readable medium for processing unsolicited electronic mail | |
| US20060198322A1 (en) | Method and apparatus for BGP peer prefix limits exchange with multi-level control | |
| CN105850083B (en) | Congestion management in a multicast communication network | |
| US7079491B2 (en) | Method and node apparatus for filtering ICMP data frame | |
| CN106059934B (en) | Routing information processing method and device | |
| EP4030720A1 (en) | Information reporting method, and data processing method and device | |
| US20170322862A1 (en) | Information processing apparatus, method, and medium | |
| CN112350988A (en) | Method and device for counting byte number and connection number of security policy | |
| CN115361310A (en) | Link detection method and device of firewall | |
| CN110417874B (en) | Method and device for acquiring patch data | |
| CN111314347A (en) | Illegal traffic processing method, device, system and storage medium | |
| KR20210066432A (en) | Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN) | |
| US20230051016A1 (en) | Systems and methods for network monitoring, reporting, and risk mitigation | |
| JP4074990B2 (en) | Statistical information processing system and statistical information processing control method | |
| CN115766195A (en) | Method, device, system, equipment and storage medium for processing flow data packet | |
| WO2005109153A2 (en) | Method and apparatus for bgp peer prefix limits exchange with multi-level control | |
| Rawlins et al. | RFC3571: Framework Policy Information Base for Usage Feedback |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040224 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040426 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040629 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040810 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040907 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040909 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080917 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080917 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090917 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090917 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100917 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100917 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110917 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |