JP3971353B2 - ウィルス隔離システム - Google Patents
ウィルス隔離システム Download PDFInfo
- Publication number
- JP3971353B2 JP3971353B2 JP2003270558A JP2003270558A JP3971353B2 JP 3971353 B2 JP3971353 B2 JP 3971353B2 JP 2003270558 A JP2003270558 A JP 2003270558A JP 2003270558 A JP2003270558 A JP 2003270558A JP 3971353 B2 JP3971353 B2 JP 3971353B2
- Authority
- JP
- Japan
- Prior art keywords
- resource
- virus
- resources
- monitoring
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
情報処理装置に存在する複数の資源の使用量を監視し、使用量の変化に基づいて、情報処理装置のウィルス感染を他の装置へ通知するウィルス感染通知方法であって、
コンピュータが、
各資源の所定時間当たりの使用量を監視し、特定の資源の所定時間当たり使用量が所定値に達した場合に、各資源に対応付けて、資源の状態を示す状態情報が登録できる資源状況テーブルに対して、特定の資源に対応付けて資源が異常であることを示す異常状態情報を登録するステップと、
複数の資源の内、少なくとも2以上の資源を対応付けた組合せ条件テーブルを参照し、対応付けられた複数の資源を識別した上で、資源状況テーブルを参照し、識別した全ての資源について、異常情報が対応付けられているか否かを判定する判定ステップと、
判定ステップによる判定の結果、識別した全ての資源に異常状態情報が対応付けられている場合は、資源が存在する情報処理装置がウィルスに感染したことを警告するウィルス発生警告通知を他の装置に送信する通知ステップと、を備えたことを特徴とする。
各資源の所定時間当たりの使用量を監視し、特定の資源の該所定時間当たりの使用量が所定値に達した場合に、各資源に対応付けて、該資源の状態を示す状態情報が登録できる資源状況テーブルに対して、該特定の資源に対応付けて該資源が異常であることを示す異常状態情報を登録する登録機能と
前記複数の資源の内、少なくと2以上の資源を対応付けた組合せ条件テーブルを参照し、対応付けられた該複数の資源を識別した上で、前記資源状況テーブルを参照し、該識別した全ての資源について、前記異常状態情報が対応付けられているか否かを判定する判定機能と、
前記判定機能による判定の結果、前記識別した全ての資源に前記異常状態情報が対応付けられている場合は、該資源が存在する前記情報処理装置がウィルスに感染したことを警告するウィルス発生敬告通知を前記他の装置に送信する通知機能と、
を実行させることを特徴とする。
(1)測定単位時間
ネットワーク転送量Xを測定する単位時間を設定し、例えば1秒を設定する。
(2)異常判定閾値。
単位時間当たりのネットワーク転送する。
(3)警告判定閾値回数
監視周期で異常判定閾値Xthを超えるネットワーク転送量Xが何回連続したら警告対象とするかの閾値回数Cth1を設定し、例えばCth1=3回を設定する。
(4)監視周期
監視処理を実行する時間間隔を設定する。例えば監視周期として3秒を設定する。
(1)測定単位時間
CPU負荷Y(%)を測定する単位時間を設定するもので、例えば1秒を設定する。
(2)異常判定閾値
単位時間当たりのCPU負荷Y(%)を異常と判定する閾値Yth(%)を設定する。例えば閾値Yth=90%を設定する。
(3)警告判定閾値回数
監視周期で異常判定閾値Ythを超えるCPU負荷Ythが何回連続したら警告対象とするかの閾値回数Cth2を設定する。例えば閾値回数Cth2=3回を設定する。
(4)監視周期
監視処理を実行する時間間隔設定であり、例えば3秒を設定している。
(1)測定単位時間
I/O負荷Z(入出力回数)を測定する単位時間を例えば1秒と設定する。
(2)異常判定閾値
単位時間当たりのI/O負荷Zを異常と判定する閾値Zthを設定する。例えば閾値Zth=200回を設定する。
(3)警告判定閾値回数
監視周期で異常判定閾値Zthを超えるI/O負荷が何回連続したら警告対象とするかの閾値回数Cth3を設定する。この例ではCth3=3回としている。
(4)監視周期
監視処理を実行する時間間隔を設定するもので、例えば3秒を設定する。
ステップS1:図4のような監視条件定義ファイル30の登録内容に示すように、監視対象とするリソースと監視対象から除外するリソースを登録し、監視対象としたリソースについては測定単位時間、異常判定閾値、警告判定閾値回数、監視周期などの条件を事前登録する。
ステップS2:監視条件定義ファイル30に設定した監視周期に達したかどうか判断し、達した場合にはステップS3に進む。
ステップS3:監視対象とするリソースの監視パラメータ、例えばネットワークリソースであればネットワーク転送量、CPUリソースであればCPU負荷、またI/Oリソースであれば単位時間当たりの入出力回数を測定する。
ステップS4:リソースの急激な変化の有無を判定する。急激な変化があればステップS5に進み、なければステップS7に進む。
ステップS5:リソースの急激な変化が継続しているか否か判定する。継続している場合にはステップS6に進み、継続していなければステップS7に進む。
ステップS6:リソースの急激な変化が判別され且つ継続している場合であり、ウィルス発生警告を、自分をネットワークに接続しているネットワーク装置に通知する。
ステップS7:リソースの急激な変化がなかった場合であり、リソース正常使用を、自分をネットワークに接続しているネットワーク装置に通知する。
ステップS1:図4の監視条件定義ファイル30のように、監視条件の事前登録を行う。
ステップS2:監視周期か否か判別し、監視周期に達すればステップS3に進む。
ステップS3:リソースの監視パラメータを測定する。
ステップS4:ネットワークリソースにおけるネットワーク転送量Xの異常判定を行う。即ち、ネットワーク転送量Xが異常判定閾値Xth以上か否か判別し、以上であればステップS5に進み、Xth未満であればステップS8に進む。
ステップS5:ネットワークリソースにつき設けている異常カウンタC1を1つカウントアップする。
ステップS6:異常継続を判定する。即ち、異常カウンタの値C1が警告判定閾値回数Cth1以上か否か判別する。警告判定閾値回数Cth1以上であればステップS7に進み、そうでなければステップS8に進む。
ステップS7:ネットワークリソースのリソース状態フラグを異常にセットする。
ステップS8:CPU負荷Yの測定結果を取得する。
ステップS9:CPU負荷Y(%)の異常判定を行う。即ちCPU負荷Y(%)が異常判定閾値Yth(%)以上か否か判別し、Yth以上であればステップS10に進み、そうでなければ図9のステップS13に進む。
ステップS10:CPUリソースに対応して設けている異常カウンタC2を1つカウントアップする。
ステップS11:異常カウンタの値C2と警告判定閾値回数Cth2とを比較し、警告判定閾値回数Cth2以上であればステップS12に進み、Cth未満であれば図9のステップS13に進む。
ステップS12:CPUリソースのリソース状態フラグを異常フラグにセットする。
ステップS13:入出力負荷Zの測定結果を取得する。
ステップS14:入出力負荷Zが異常判定閾値Zth以上かどうかの異常判定を行う。Zth以上であればステップS15に進み、そうでなければステップS18に進む。
ステップS15:入出力リソースに対応した異常カウンタC3の値を1つカウントアップする。
ステップS16:異常カウンタの値C3が警告判定閾値回数Cth3以上か否か判定し、Cth3以上であればステップS17に進み、Cth3未満であればステップS18に進む。
ステップS17:入出力リソースのリソース状態フラグを異常フラグにセットする。
ステップS18:ステップS17までの処理でリソース状態フラグの中に異常フラグがあるか否か判定し、異常フラグがあればステップS19に進み、異常フラグがなければステップS20に進む。
ステップS19:ウィルスの発生警告を、自分をネットワークに接続しているネットワーク装置に通知する。
ステップS20:リソースの正常使用を、自分をネットワークに接続しているネットワーク装置に通知する。
ステップS1:イベント受信の有無をチェックしており、受信があればステップS2に進む。
ステップS2:受信したイベントの送信元を認識する。
ステップS3:受信内容はリソース正常使用通知か否か判別する。正常使用通知でなければステップS4に進み、そうであればステップS6に進む。
ステップS4:受信内容がウィルス発生警告通知か否か判別する。そうであればステップS5に進み、違っていればステップS7に進む。
ステップS5:ウィルス発生警告通知であることから、送信元をネットワークから切り離す遮断処理を行う。
ステップS6:リソース正常使用通知であることから、送信元の割当タイマをリセットスタートする。
ステップS7:既にリセットスタートしているタイマの中にタイムアウトしたものがあるか否か判別し、あればステップS8に進み、なければステップS1に戻る。
ステップS8:タイムアウトした割当タイマの送信元がウィルス感染によりリソース正常使用通知を定期的に送ることができなくなったことから、ウィルス感染と判定し、送信元をネットワークから切り離す遮断処理を実行する。
(1)ネットワークリソースとCPUリソース
(2)CPUリソースとI/Oリソース
(3)ネットワークリソースとI/Oリソース
といった組合せ条件をセットしている。
ステップS19:図11のリソース組合せ条件テーブル42から警告リソースの組合せ条件を取得する。
ステップS20:組合せリソースの全てのリソース状態フラグに異常フラグがあればステップS21に進み、なければステップS22に進む。
ステップS21:ウィルス発生警告をネットワーク装置側に通知する。
ステップS22:リソースの正常使用をネットワーク装置側に通知する。
(付記)
(付記1)
ネットワーク装置を介してネットワークに接続した情報処理装置に設けられ、資源の使用状況を監視し、資源の使用量が急激に増加した場合にウィルス感染と判定して外部に通知するウィルス監視部と、
前記ネットワーク装置に設けられ、前記ウィルス監視部からの通知を受信した際に、通知元の情報処理装置をネットワークから遮断する遮断部と、
を備えたことを特徴とするウィルス隔離システム。(1)
付記1のウィルス隔離システムに於いて、前記ウィルス監視部は、前記情報処理装置で使用している複数種類の資源毎にウィルス感染を判定し、所定の組合せに対応した複数の資源の使用量が急激に増加した場合に、ウィルス感染と判定して通知することを特徴とするウィルス隔離システム。(2)
付記1のウィルス隔離システムに於いて、前記ウィルス監視部は、前記情報処理装置で監視対象とする資源とウィルス監視対象から除外する資源を事前登録することを特徴とするウィルス隔離システム。(3)
ネットワーク装置を介してネットワークに接続された情報処理装置の資源の使用状況を監視し、資源の使用量が急激に増加した場合にウィルス感染と判定して外部に通知するウィルス監視ステップと、
ウィルス感染通知を前記ネットワーク装置から受信した際に、通知元の情報処理装置をネットワークから遮断する遮断ステップと、
を備えたことを特徴とするウィルス隔離方法。
ネットワーク装置を介してネットワークに接続されたコンピュータに、
前記コンピュータ内の監視対象とする資源と監視対象から除外する資源を事前登録する事前登録ステップと、
監視対象とした資源の使用状況を定期的に監視し、資源の使用量が急激に増加した場合にウィルス感染と判定して前記ネットワーク装置にネットワークからの遮断要求を通知し、ウィルス感染を判定しない場合は、正常使用を通知するウィルス監視ステップと、
を実行させることを特徴とするプログラム。
12:サーバ
14:LAN
16−1〜16−3:ネットワーク装置
18:ウィルス監視部
20:資源
22:ネットワークリソース
24:CPUリソース
26:入出力リソース
28:事前登録部
30:監視条件定義ファイル
32:測定データファイル
34:遮断部
36:ウィルス判定部
38:リソース使用状況判定テーブル
40:リソース組合せ条件テーブル
Claims (3)
- 情報処理装置に存在する複数の資源の使用量を監視し、該使用量の変化に基づいて、該情報処理装置のウィルス感染を他の装置へ通知するウィルス感染通知方法であって、
コンピュータが、
前記各資源の所定時間当たりの使用量を監視し、特定の資源の該所定時間当たりの使用量が所定値に達した場合に、各資源に対応付けて、該資源の状態を示す状態情報が登録できる資源状況テーブルに対して、該特定の資源に対応付けて該資源が異常であることを示す異常状態情報を登録するステップと、
前記複数の資源の内、少なくとも2以上の資源を対応付けた組合せ条件テーブルを参照し、対応付けられた該複数の資源を識別した上で、前記資源状況テーブルを参照し、該識別した全ての資源について、前記異常情報が対応付けられているか否かを判定する判定ステップと、
前記判定ステップによる判定の結果、前記識別した全ての資源に前記異常状態情報が対応付けられている場合は、該資源が存在する前記情報処理装置がウィルスに感染したことを警告するウィルス発生警告通知を前記他の装置に送信する通知ステップと、
を備えたことを特徴とするウィルス感染通知方法。
- 請求項1記載のウィルス感染通知方法に於いて、
前記登録ステップにおいて、前記コンピュータは、監視対象とする対象資源が指定されている監視定義テーブルを参照し、該対象資源を識別し、該対象資源の所定時問当たりの使用量を監視する
ことを特徴とするウィルス感染通知方法。
- コンピュータに、
各資源の所定時間当たりの使用量を監視し、特定の資源の該所定時間当たりの使用量が所定値に達した場合に、各資源に対応付けて、該資源の状態を示す状態情報が登録できる資源状況テーブルに対して、該特定の資源に対応付けて該資源が異常であることを示す異常状態情報を登録する登録機能と
前記複数の資源の内、少なくと2以上の資源を対応付けた組合せ条件テーブルを参照し、対応付けられた該複数の資源を識別した上で、前記資源状況テーブルを参照し、該識別した全ての資源について、前記異常状態情報が対応付けられているか否かを判定する判定機能と、
前記判定機能による判定の結果、前記識別した全ての資源に前記異常状態情報が対応付けられている場合は、該資源が存在する前記情報処理装置がウィルスに感染したことを警告するウィルス発生警告通知を前記他の装置に送信する通知機能と、
を実行させることを特徴とするウィルス感染通知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003270558A JP3971353B2 (ja) | 2003-07-03 | 2003-07-03 | ウィルス隔離システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003270558A JP3971353B2 (ja) | 2003-07-03 | 2003-07-03 | ウィルス隔離システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005025679A JP2005025679A (ja) | 2005-01-27 |
JP3971353B2 true JP3971353B2 (ja) | 2007-09-05 |
Family
ID=34190478
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003270558A Expired - Fee Related JP3971353B2 (ja) | 2003-07-03 | 2003-07-03 | ウィルス隔離システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3971353B2 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7685149B2 (en) * | 2005-03-28 | 2010-03-23 | Microsoft Corporation | Identifying and removing potentially unwanted software |
US8516583B2 (en) * | 2005-03-31 | 2013-08-20 | Microsoft Corporation | Aggregating the knowledge base of computer systems to proactively protect a computer from malware |
JP4725724B2 (ja) * | 2005-10-27 | 2011-07-13 | 日本電気株式会社 | クラスタ障害推定システム |
JP4739962B2 (ja) * | 2006-01-16 | 2011-08-03 | 日本電信電話株式会社 | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
US9280662B2 (en) * | 2006-04-21 | 2016-03-08 | Hewlett Packard Enterprise Development Lp | Automatic isolation of misbehaving processes on a computer system |
US20120167218A1 (en) * | 2010-12-23 | 2012-06-28 | Rajesh Poornachandran | Signature-independent, system behavior-based malware detection |
JP6574332B2 (ja) * | 2015-03-26 | 2019-09-11 | 株式会社日立システムズ | データ分析システム |
JP2019003349A (ja) * | 2017-06-13 | 2019-01-10 | ロゴヴィスタ株式会社 | 個別命令の処理時間計測によるウィルスの監視方法 |
-
2003
- 2003-07-03 JP JP2003270558A patent/JP3971353B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005025679A (ja) | 2005-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7441272B2 (en) | Techniques for self-isolation of networked devices | |
US8154987B2 (en) | Self-isolating and self-healing networked devices | |
US8489755B2 (en) | Technique of detecting denial of service attacks | |
TWI474213B (zh) | 具攻擊防護機制的雲端系統及其防護方法 | |
EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
US20140101489A1 (en) | Method, Apparatus, and System for Handling Virtual Machine Internal Fault | |
US8326974B2 (en) | Typicality filtering of event indicators for information technology resources | |
EP2843878A1 (en) | A monitoring arrangement | |
CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
JP2011526126A (ja) | 監視システムにおけるメッセージ管理及び抑制 | |
US7444450B2 (en) | Method and system for detecting excessive interrupt processing for a processor | |
KR20130085570A (ko) | 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치 | |
JP2007234006A (ja) | パフォーマンスの監視を動的に調整する装置、システム及び方法 | |
JP3971353B2 (ja) | ウィルス隔離システム | |
US9094450B2 (en) | Method and apparatus for a centrally managed network virus detection and outbreak protection | |
US9661016B2 (en) | Data center infrastructure management system incorporating security for managed infrastructure devices | |
JP2006237892A (ja) | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム | |
US7657793B2 (en) | Accelerating software rejuvenation by communicating rejuvenation events | |
US20060025960A1 (en) | Sensor signal debouncing | |
JP2006268167A (ja) | セキュリティシステム、セキュリティ方法及びそのプログラム | |
JP3796401B2 (ja) | ノード監視方法、ノード監視システム、および記録媒体 | |
JP2003348113A (ja) | スイッチおよびlan | |
CN109462503B (zh) | 一种数据检测方法和装置 | |
CN100484043C (zh) | 网络防syn洪流攻击检测方法 | |
EP2646917B1 (en) | Change message broadcast error detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051026 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070306 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070419 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070515 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070607 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110615 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120615 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120615 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130615 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130615 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |