JP3971353B2 - ウィルス隔離システム - Google Patents
ウィルス隔離システム Download PDFInfo
- Publication number
- JP3971353B2 JP3971353B2 JP2003270558A JP2003270558A JP3971353B2 JP 3971353 B2 JP3971353 B2 JP 3971353B2 JP 2003270558 A JP2003270558 A JP 2003270558A JP 2003270558 A JP2003270558 A JP 2003270558A JP 3971353 B2 JP3971353 B2 JP 3971353B2
- Authority
- JP
- Japan
- Prior art keywords
- resource
- virus
- resources
- monitoring
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、ウィルスが侵入した装置のネットワークからの遮断によりウィルスを隔離するウィルス隔離システム、方法及びプログラムに関し、特に、ウィルスパターンファイルを必要とすることなくウィルスの侵入を発見して隔離するウィルス隔離システムに関する。
従来、LANなどのローカルネットワークに接続されているコンピュータは、インターネットなどの外部から侵入したウィルスの被害を受ける危険性が高い。特に、大量にメールを配信したり、ファイルを作成するウィルスは、ネットワーク内のコンピュータのリソースを食いつぶし、ネットワークシステム全体を機能停止に追い込むことになる。
従来のウィルス対策は、ネットワークに接続している各コンピュータにウィルス対策ソフトをインストールし、予め登録されているウィルスパターンと照合してウィルスを発見し、捕獲するようにしている。
特開平11−161517号公報
しかしながら、このような従来のウィルス対策ソフトを使用した場合にあっては、新種のウィルスが発生すると、パターンファイルが登録されるまでに、ウィルスが蔓延してしまう危険があった。また、急激なウィルス増殖を前に、それぞれの管理者が手動でウィルスの拡散を防がなければならない大変さがあった。
本発明は、パターンファイルの登録を必要とすることなくウィルスを発見してネットワーク内への蔓延を確実に阻止するようにしたウィルス隔離システム、方法及びプログラムを提供することを目的とする。
本発明はウィルス感染通知方法を提供する。このウィルス感染通知方法は、
情報処理装置に存在する複数の資源の使用量を監視し、使用量の変化に基づいて、情報処理装置のウィルス感染を他の装置へ通知するウィルス感染通知方法であって、
コンピュータが、
各資源の所定時間当たりの使用量を監視し、特定の資源の所定時間当たり使用量が所定値に達した場合に、各資源に対応付けて、資源の状態を示す状態情報が登録できる資源状況テーブルに対して、特定の資源に対応付けて資源が異常であることを示す異常状態情報を登録するステップと、
複数の資源の内、少なくとも2以上の資源を対応付けた組合せ条件テーブルを参照し、対応付けられた複数の資源を識別した上で、資源状況テーブルを参照し、識別した全ての資源について、異常情報が対応付けられているか否かを判定する判定ステップと、
判定ステップによる判定の結果、識別した全ての資源に異常状態情報が対応付けられている場合は、資源が存在する情報処理装置がウィルスに感染したことを警告するウィルス発生警告通知を他の装置に送信する通知ステップと、を備えたことを特徴とする。
情報処理装置に存在する複数の資源の使用量を監視し、使用量の変化に基づいて、情報処理装置のウィルス感染を他の装置へ通知するウィルス感染通知方法であって、
コンピュータが、
各資源の所定時間当たりの使用量を監視し、特定の資源の所定時間当たり使用量が所定値に達した場合に、各資源に対応付けて、資源の状態を示す状態情報が登録できる資源状況テーブルに対して、特定の資源に対応付けて資源が異常であることを示す異常状態情報を登録するステップと、
複数の資源の内、少なくとも2以上の資源を対応付けた組合せ条件テーブルを参照し、対応付けられた複数の資源を識別した上で、資源状況テーブルを参照し、識別した全ての資源について、異常情報が対応付けられているか否かを判定する判定ステップと、
判定ステップによる判定の結果、識別した全ての資源に異常状態情報が対応付けられている場合は、資源が存在する情報処理装置がウィルスに感染したことを警告するウィルス発生警告通知を他の装置に送信する通知ステップと、を備えたことを特徴とする。
このように本発明は、既存のウィルスパターンによる照合ではなく、複数のリソースの組合せに対してリソース使用量が異常増加したときにウィルス感染と判断しているため、新種のウィルスに対しても効力を発揮する。
本発明は、前記登録ステップにおいて、前記コンピュータは、監視対象とする対象資源が指定されている監視定義テーブルを参照し、該対象資源を識別し、該対象資源の所定時問当たりの使用量を監視することを特徴とする。
本発明は、コンピュータに、
各資源の所定時間当たりの使用量を監視し、特定の資源の該所定時間当たりの使用量が所定値に達した場合に、各資源に対応付けて、該資源の状態を示す状態情報が登録できる資源状況テーブルに対して、該特定の資源に対応付けて該資源が異常であることを示す異常状態情報を登録する登録機能と
前記複数の資源の内、少なくと2以上の資源を対応付けた組合せ条件テーブルを参照し、対応付けられた該複数の資源を識別した上で、前記資源状況テーブルを参照し、該識別した全ての資源について、前記異常状態情報が対応付けられているか否かを判定する判定機能と、
前記判定機能による判定の結果、前記識別した全ての資源に前記異常状態情報が対応付けられている場合は、該資源が存在する前記情報処理装置がウィルスに感染したことを警告するウィルス発生敬告通知を前記他の装置に送信する通知機能と、
を実行させることを特徴とする。
各資源の所定時間当たりの使用量を監視し、特定の資源の該所定時間当たりの使用量が所定値に達した場合に、各資源に対応付けて、該資源の状態を示す状態情報が登録できる資源状況テーブルに対して、該特定の資源に対応付けて該資源が異常であることを示す異常状態情報を登録する登録機能と
前記複数の資源の内、少なくと2以上の資源を対応付けた組合せ条件テーブルを参照し、対応付けられた該複数の資源を識別した上で、前記資源状況テーブルを参照し、該識別した全ての資源について、前記異常状態情報が対応付けられているか否かを判定する判定機能と、
前記判定機能による判定の結果、前記識別した全ての資源に前記異常状態情報が対応付けられている場合は、該資源が存在する前記情報処理装置がウィルスに感染したことを警告するウィルス発生敬告通知を前記他の装置に送信する通知機能と、
を実行させることを特徴とする。
本発明によれば、資源の組合せを定義しておき、その組合せの各資源が全て異常増加した時点で初めてウィルス感染と判定するようにしているので、ウィルス感染の判断精度を高めることができ、例えばデータの大きい画像・映像情報を再生/加工編集する場合にCPU負荷が極端に大きくなるが、このような場合でもウィルス感染とは判断せず、判断精度を向上させることができる。
図1は本発明のウィルス隔離処理が適用されるネットワーク構成の説明図である。図1において、情報処理装置として使用されるパーソナルコンピュータ10−1〜10−6及びサーバ12は、ネットワーク装置16−1〜16−3によりLAN14などのネットワークに接続されている。
ネットワーク装置16−1〜16−3としてはネットワークスイッチやルータが使用される。この例では、ネットワーク装置16−1にパーソナルコンピュータ10−1〜10−4が接続され、ネットワーク装置16−2にパーソナルコンピュータ10−5が接続され、ネットワーク装置16−3にパーソナルコンピュータ10−6とサーバ12が接続されている。もちろんLAN14は、図示しない系統により外部のインターネットに接続されている。
図2は図1のパーソナルコンピュータとネットワーク装置に設けられる本発明のウィルス隔離処理のための機能構成を示したブロック図である。この例では、ネットワーク装置16−1に接続したパーソナルコンピュータ10−1〜10−3を例にとっており、パーソナルコンピュータ10−1について代表して示すように、そこにはウィルス監視部18、事前登録部28、監視条件定義ファイル30、更に測定データファイル32が設けられている。
パーソナルコンピュータ10−1は、そのハードウェア構成による資源20を備えており、本発明のウィルス隔離処理にあっては、このパーソナルコンピュータの資源20をネットワークリソース22、CPUリソース24、更に入出力リソース(I/Oリソース)26の3つの資源に分けて監視するようにしている。
一方、パーソナルコンピュータ10−1をLAN14に接続するネットワーク装置16−1には、遮断部34とウィルス判定部36が設けられている。パーソナルコンピュータ10−1に設けたウィルス監視部18は、資源20の使用状況を監視し、資源の使用が急激に増加した場合にウィルスの感染と判定して、ネットワーク装置16−1にウィルス発生警告を通知する。
ネットワーク装置16−1に設けた遮断部34は、パーソナルコンピュータ10−1のウィルス監視部18からのウィルス感染通知を受信した際に、通知元となるパーソナルコンピュータ10−1をLAN14から遮断する。
この実施形態において、ウィルス監視部18は資源20の中をネットワークリソース22、CPUリソース24及び入出力リソース26の3つに分けてリソースの使用状態を監視し、少なくともいずれか1つで急激に使用量が増加した場合にウィルス感染と判定して、ネットワーク装置16−1にウィルス感染警告通知を送信する。
ウィルス監視部18によるネットワークリソース22の監視は、単位時間当たりのデータ転送量を監視し、このデータ転送量が所定の閾値を超えたときに異常と判断し、この異常が監視周期により決まる所定時間継続したときにウィルス感染と判定して、ウィルス感染警告をネットワーク装置16−1に送信する。
またウィルス監視部18は、CPUリソース24についてはCPUの負荷(%)を監視しており、CPU負荷が所定の閾値を超え、且つ監視周期で決まる所定時間継続したときに、ウィルス感染と判定してネットワーク装置16−1にウィルス感染警告通知を送信する。
更にウィルス監視部18は、入出力リソース26の単位時間当たりの負荷として入出力回数を監視しており、入出力回数が所定の閾値を超え、且つ監視周期で決まる一定時間継続したときに、ウィルス感染と判定してネットワーク装置16−1にウィルス感染警告を通知する。
ウィルス監視部18からネットワーク装置16−1に対するウィルス警告通知は、遮断部34でポートに対するパーソナルコンピュータのLANへの接続を遮断するネットワーク装置16−1の制御コマンドを送ってもよいし、特定のメッセージを送ることでネットワーク装置16−1側でメッセージを解読し、ポート接続を切り離す遮断用の制御コマンドを実行するようにしてもよい。
ここでウィルス監視部18は、予め定めた監視周期例えば3秒間隔で資源20の使用状況を判断する監視処理を実行しており、ウィルス感染を判定しないときには、リソースの正常使用をネットワーク装置16−1に通知している。
ネットワーク装置16−1のウィルス判定部36は、パーソナルコンピュータ10−1からの定期的に行われる正常使用通知を受信して、各パーソナルコンピュータごとに対応して設けたタイマをリセットスタートしている。
そして、パーソナルコンピュータ10−1でウィルス感染により動作不能となって定期的な正常使用通知が送れなくなった場合、ウィルス判定部36はタイマの設定時間経過によるタイムアウトに基づき、定期的な正常使用通知が断たれたパーソナルコンピュータ10−1がウィルスに感染して正常に動作できなくなったものとして、遮断部34に対しウィルス感染警告通知を行い、パーソナルコンピュータ10−1をLAN14から遮断する。
更に、パーソナルコンピュータ10−1に設けた事前登録部28は、パーソナルコンピュータ10−1で監視対象とする資源20について、ウィルス監視対象とする資源とウィルス監視対象から除外する資源を事前に登録し、これを監視条件定義ファイル30として作成している。
このためウィルス監視部18は、事前登録部28により設定された監視条件定義ファイル30の定義情報に従って、資源20の各リソースを対象にウィルス監視処理を実行することになる。
このようなパーソナルコンピュータ10−1における本発明のウィルス監視機能は、図1における他のパーソナルコンピュータ10−2〜10−6及びサーバ12にも同様に設けられている。
図1におけるパーソナルコンピュータ10−1〜10−6及びサーバ12は、例えば図3のようなコンピュータのハードウェア資源により実現される。
図3のコンピュータにおいて、CPU100のバス101にはRAM102、ハードディスクコントローラ(ソフト)104、フロッピィディスクドライバ(ソフト)110、CD−ROMドライバ(ソフト)114、マウスコントローラ118、キーボードコントローラ122、ディスプレイコントローラ126、通信用ボード130が接続される。
ハードディスクコントローラ104はハードディスクドライブ106を接続し、本発明のウィルス監視処理を実行するプログラムをローディングしており、コンピュータの起動時にハードディスクドライブ106から必要なプログラムを呼び出して、RAM102上に展開し、CPU100により実行する。
フロッピィディスクドライバ110にはフロッピィディスクドライブ(ハード)112が接続され、フロッピィディスク(R)に対する読み書きができる。CD−ROMドライバ114に対しては、CDドライブ(ハード)116が接続され、CDに記憶されたデータやプログラムを読み込むことができる。
マウスコントローラ118はマウス120の入力操作をCPU100に伝える。キーボードコントローラ122はキーボード124の入力操作をCPU100に伝える。ディスプレイコントローラ126は表示部128に対して表示を行う。通信用ボード130は無線を含む通信回線132を使用し、LAN14を介してネットワーク内の装置や外部のインターネット上の装置との間で通信を行う。
図4は、図2のパーソナルコンピュータ10−1に設けた監視条件定義ファイル30の説明図である。図4において、監視条件定義ファイル30は監視対象として、ネットワークリソース、CPUリソース及びI/Oリソースの3つに分けている。ネットワークリソースについては、監視項目の「監視ポート」として例えば設定例に示すように、ポート番号25番を監視対象となるポートとして設定している。
このポート番号25番となるTCP−IPポートはメールアドレスの使用ポートである。この監視ポートとして設定したメール用のポート番号25番につき、監視項目として
(1)測定単位時間
ネットワーク転送量Xを測定する単位時間を設定し、例えば1秒を設定する。
(2)異常判定閾値。
単位時間当たりのネットワーク転送する。
(3)警告判定閾値回数
監視周期で異常判定閾値Xthを超えるネットワーク転送量Xが何回連続したら警告対象とするかの閾値回数Cth1を設定し、例えばCth1=3回を設定する。
(4)監視周期
監視処理を実行する時間間隔を設定する。例えば監視周期として3秒を設定する。
(1)測定単位時間
ネットワーク転送量Xを測定する単位時間を設定し、例えば1秒を設定する。
(2)異常判定閾値。
単位時間当たりのネットワーク転送する。
(3)警告判定閾値回数
監視周期で異常判定閾値Xthを超えるネットワーク転送量Xが何回連続したら警告対象とするかの閾値回数Cth1を設定し、例えばCth1=3回を設定する。
(4)監視周期
監視処理を実行する時間間隔を設定する。例えば監視周期として3秒を設定する。
このような監視対象の設定項目に続いて、この例では3つの監視除外ポートを設定可能としており、設定例に示すようにポート番号23番のテレネットポート、ポート番号21番のftpポートを監視除外ポートとしている。
次のCPUリソースについては、ネットワークリソースの監視対象となるポート番号25番の場合と同様、
(1)測定単位時間
CPU負荷Y(%)を測定する単位時間を設定するもので、例えば1秒を設定する。
(2)異常判定閾値
単位時間当たりのCPU負荷Y(%)を異常と判定する閾値Yth(%)を設定する。例えば閾値Yth=90%を設定する。
(3)警告判定閾値回数
監視周期で異常判定閾値Ythを超えるCPU負荷Ythが何回連続したら警告対象とするかの閾値回数Cth2を設定する。例えば閾値回数Cth2=3回を設定する。
(4)監視周期
監視処理を実行する時間間隔設定であり、例えば3秒を設定している。
(1)測定単位時間
CPU負荷Y(%)を測定する単位時間を設定するもので、例えば1秒を設定する。
(2)異常判定閾値
単位時間当たりのCPU負荷Y(%)を異常と判定する閾値Yth(%)を設定する。例えば閾値Yth=90%を設定する。
(3)警告判定閾値回数
監視周期で異常判定閾値Ythを超えるCPU負荷Ythが何回連続したら警告対象とするかの閾値回数Cth2を設定する。例えば閾値回数Cth2=3回を設定する。
(4)監視周期
監視処理を実行する時間間隔設定であり、例えば3秒を設定している。
次のI/Oリソースについても、次の4つの監視項目が設定される。
(1)測定単位時間
I/O負荷Z(入出力回数)を測定する単位時間を例えば1秒と設定する。
(2)異常判定閾値
単位時間当たりのI/O負荷Zを異常と判定する閾値Zthを設定する。例えば閾値Zth=200回を設定する。
(3)警告判定閾値回数
監視周期で異常判定閾値Zthを超えるI/O負荷が何回連続したら警告対象とするかの閾値回数Cth3を設定する。この例ではCth3=3回としている。
(4)監視周期
監視処理を実行する時間間隔を設定するもので、例えば3秒を設定する。
(1)測定単位時間
I/O負荷Z(入出力回数)を測定する単位時間を例えば1秒と設定する。
(2)異常判定閾値
単位時間当たりのI/O負荷Zを異常と判定する閾値Zthを設定する。例えば閾値Zth=200回を設定する。
(3)警告判定閾値回数
監視周期で異常判定閾値Zthを超えるI/O負荷が何回連続したら警告対象とするかの閾値回数Cth3を設定する。この例ではCth3=3回としている。
(4)監視周期
監視処理を実行する時間間隔を設定するもので、例えば3秒を設定する。
図5は、図2のパーソナルコンピュータ10−1に設けた測定データファイル32の説明図である。測定データファイル32は、監視対象としてネットワークリソース、CPUリソース及びI/Oリソースの3つを持ち、それぞれ取得時刻と測定データ内容を設けている。
この測定データファイル32の内容は、図4の監視条件定義ファイル30の設定に従って行われている。即ちネットワークリソースについては、監視周期として設定した3秒間隔でポート番号25番の単位時間当りのネットワーク転送量X(Mbps)を測定して格納している。なお、ネットワーク転送量の数値の左側には監視対象となるポート番号25番が示されている。
CPUリソースについては、同じく監視周期3秒ごとに作成されたCPU負荷Y(%)の値が格納されている。更にI/Oリソースについては、同じく監視周期3秒で測定された1秒当たりのI/O負荷Z(回/s)を格納している。
図6は、図5の測定データファイル32の測定データ内容から、急激な使用量の増加についての判定結果が格納されたリソース使用状況判定テーブル38の説明図である。
リソース使用状況判定テーブル38は、監視対象としてのネットワークリソース、CPUリソース、I/Oリソースのそれぞれについて、図2の監視条件定義ファイル30で設定した異常判定閾値Xth,Yth,Zthによる図5の測定データファイル32の測定データ内容との比較による判定結果を登録している。
例えばネットワークリソースを例に取ると、図5にあっては単位時間当りの異常判定閾値Xth=4.0Mbpsを超える測定結果が4周期連続している。したがって、リソース使用状況判定テーブル38の異常カウンタには、異常判定閾値Xth=4.0Mbpsとなった異常判定結果のカウンタによる値即ち異常カウンタの値として「4回」が格納されている。
この異常カウンタの値をC1とすると、リソース状態フラグはカウンタ回数C=4回が、図4の監視条件定義ファイル30に設定している警告判定閾値回数Cth1=3回を超えたときに、リソース状態フラグとして異常フラグをセットする。
次のCPUリソースにあっては、図5の測定データファイル32の測定データ内容から、異常判定閾値Yth=90%を超えた測定結果は1回であり、これが異常カウンタのカウンタ値C2となり、異常カウンタ値C2は図4の監視条件定義ファイル30で設定した警告判定閾値回数Cth2未満であることから、リソース状態フラグは正常フラグがセットされている。
次のI/Oリソースにあっては、図5の測定データファイル32における測定データ内容は全て図4の監視条件データファイル30に設定した異常判定閾値Zth=200回/s未満であり、このときの異常カウンタ値C3はC3=0回であることから、当然に警告判定閾値回数Cth3=3回に達しておらず、リソース状態フラグは正常フラグが登録されている。
このため、図5の測定データファイル32における監視時刻「2003.01.01.10:00:12」の時刻にあっては、図6のリソース使用状況判定テーブル38の異常フラグが設定されているネットワークリソースにおいてウィルス感染が発生したものと判定し、ネットワーク装置16−1に対しウィルス発生警告を通知し、ネットワークとの接続を遮断させる。
図7は、本発明のパーソナルコンピュータにおけるウィルス監視処理の基本処理のフローチャートであり、次の処理手順からなる。
ステップS1:図4のような監視条件定義ファイル30の登録内容に示すように、監視対象とするリソースと監視対象から除外するリソースを登録し、監視対象としたリソースについては測定単位時間、異常判定閾値、警告判定閾値回数、監視周期などの条件を事前登録する。
ステップS2:監視条件定義ファイル30に設定した監視周期に達したかどうか判断し、達した場合にはステップS3に進む。
ステップS3:監視対象とするリソースの監視パラメータ、例えばネットワークリソースであればネットワーク転送量、CPUリソースであればCPU負荷、またI/Oリソースであれば単位時間当たりの入出力回数を測定する。
ステップS4:リソースの急激な変化の有無を判定する。急激な変化があればステップS5に進み、なければステップS7に進む。
ステップS5:リソースの急激な変化が継続しているか否か判定する。継続している場合にはステップS6に進み、継続していなければステップS7に進む。
ステップS6:リソースの急激な変化が判別され且つ継続している場合であり、ウィルス発生警告を、自分をネットワークに接続しているネットワーク装置に通知する。
ステップS7:リソースの急激な変化がなかった場合であり、リソース正常使用を、自分をネットワークに接続しているネットワーク装置に通知する。
ステップS1:図4のような監視条件定義ファイル30の登録内容に示すように、監視対象とするリソースと監視対象から除外するリソースを登録し、監視対象としたリソースについては測定単位時間、異常判定閾値、警告判定閾値回数、監視周期などの条件を事前登録する。
ステップS2:監視条件定義ファイル30に設定した監視周期に達したかどうか判断し、達した場合にはステップS3に進む。
ステップS3:監視対象とするリソースの監視パラメータ、例えばネットワークリソースであればネットワーク転送量、CPUリソースであればCPU負荷、またI/Oリソースであれば単位時間当たりの入出力回数を測定する。
ステップS4:リソースの急激な変化の有無を判定する。急激な変化があればステップS5に進み、なければステップS7に進む。
ステップS5:リソースの急激な変化が継続しているか否か判定する。継続している場合にはステップS6に進み、継続していなければステップS7に進む。
ステップS6:リソースの急激な変化が判別され且つ継続している場合であり、ウィルス発生警告を、自分をネットワークに接続しているネットワーク装置に通知する。
ステップS7:リソースの急激な変化がなかった場合であり、リソース正常使用を、自分をネットワークに接続しているネットワーク装置に通知する。
図8及び図9は、本発明におけるウィルス監視処理の詳細な処理手順を示したフローチャートであり、このフローチャートの内容が図1のパーソナルコンピュータ10−1〜10−6及びサーバ12にインストールして実行されるウィルス監視用のプログラムとしての内容を持つ。このウィルス監視処理の詳細は次の処理手順で行われる。
ステップS1:図4の監視条件定義ファイル30のように、監視条件の事前登録を行う。
ステップS2:監視周期か否か判別し、監視周期に達すればステップS3に進む。
ステップS3:リソースの監視パラメータを測定する。
ステップS4:ネットワークリソースにおけるネットワーク転送量Xの異常判定を行う。即ち、ネットワーク転送量Xが異常判定閾値Xth以上か否か判別し、以上であればステップS5に進み、Xth未満であればステップS8に進む。
ステップS5:ネットワークリソースにつき設けている異常カウンタC1を1つカウントアップする。
ステップS6:異常継続を判定する。即ち、異常カウンタの値C1が警告判定閾値回数Cth1以上か否か判別する。警告判定閾値回数Cth1以上であればステップS7に進み、そうでなければステップS8に進む。
ステップS7:ネットワークリソースのリソース状態フラグを異常にセットする。
ステップS8:CPU負荷Yの測定結果を取得する。
ステップS9:CPU負荷Y(%)の異常判定を行う。即ちCPU負荷Y(%)が異常判定閾値Yth(%)以上か否か判別し、Yth以上であればステップS10に進み、そうでなければ図9のステップS13に進む。
ステップS10:CPUリソースに対応して設けている異常カウンタC2を1つカウントアップする。
ステップS11:異常カウンタの値C2と警告判定閾値回数Cth2とを比較し、警告判定閾値回数Cth2以上であればステップS12に進み、Cth未満であれば図9のステップS13に進む。
ステップS12:CPUリソースのリソース状態フラグを異常フラグにセットする。
ステップS13:入出力負荷Zの測定結果を取得する。
ステップS14:入出力負荷Zが異常判定閾値Zth以上かどうかの異常判定を行う。Zth以上であればステップS15に進み、そうでなければステップS18に進む。
ステップS15:入出力リソースに対応した異常カウンタC3の値を1つカウントアップする。
ステップS16:異常カウンタの値C3が警告判定閾値回数Cth3以上か否か判定し、Cth3以上であればステップS17に進み、Cth3未満であればステップS18に進む。
ステップS17:入出力リソースのリソース状態フラグを異常フラグにセットする。
ステップS18:ステップS17までの処理でリソース状態フラグの中に異常フラグがあるか否か判定し、異常フラグがあればステップS19に進み、異常フラグがなければステップS20に進む。
ステップS19:ウィルスの発生警告を、自分をネットワークに接続しているネットワーク装置に通知する。
ステップS20:リソースの正常使用を、自分をネットワークに接続しているネットワーク装置に通知する。
ステップS1:図4の監視条件定義ファイル30のように、監視条件の事前登録を行う。
ステップS2:監視周期か否か判別し、監視周期に達すればステップS3に進む。
ステップS3:リソースの監視パラメータを測定する。
ステップS4:ネットワークリソースにおけるネットワーク転送量Xの異常判定を行う。即ち、ネットワーク転送量Xが異常判定閾値Xth以上か否か判別し、以上であればステップS5に進み、Xth未満であればステップS8に進む。
ステップS5:ネットワークリソースにつき設けている異常カウンタC1を1つカウントアップする。
ステップS6:異常継続を判定する。即ち、異常カウンタの値C1が警告判定閾値回数Cth1以上か否か判別する。警告判定閾値回数Cth1以上であればステップS7に進み、そうでなければステップS8に進む。
ステップS7:ネットワークリソースのリソース状態フラグを異常にセットする。
ステップS8:CPU負荷Yの測定結果を取得する。
ステップS9:CPU負荷Y(%)の異常判定を行う。即ちCPU負荷Y(%)が異常判定閾値Yth(%)以上か否か判別し、Yth以上であればステップS10に進み、そうでなければ図9のステップS13に進む。
ステップS10:CPUリソースに対応して設けている異常カウンタC2を1つカウントアップする。
ステップS11:異常カウンタの値C2と警告判定閾値回数Cth2とを比較し、警告判定閾値回数Cth2以上であればステップS12に進み、Cth未満であれば図9のステップS13に進む。
ステップS12:CPUリソースのリソース状態フラグを異常フラグにセットする。
ステップS13:入出力負荷Zの測定結果を取得する。
ステップS14:入出力負荷Zが異常判定閾値Zth以上かどうかの異常判定を行う。Zth以上であればステップS15に進み、そうでなければステップS18に進む。
ステップS15:入出力リソースに対応した異常カウンタC3の値を1つカウントアップする。
ステップS16:異常カウンタの値C3が警告判定閾値回数Cth3以上か否か判定し、Cth3以上であればステップS17に進み、Cth3未満であればステップS18に進む。
ステップS17:入出力リソースのリソース状態フラグを異常フラグにセットする。
ステップS18:ステップS17までの処理でリソース状態フラグの中に異常フラグがあるか否か判定し、異常フラグがあればステップS19に進み、異常フラグがなければステップS20に進む。
ステップS19:ウィルスの発生警告を、自分をネットワークに接続しているネットワーク装置に通知する。
ステップS20:リソースの正常使用を、自分をネットワークに接続しているネットワーク装置に通知する。
図10は本発明におけるネットワーク装置の処理のフローチャートであり、このフローチャートの内容がネットワーク装置側で実行されるプログラムの内容に対応している。このネットワーク装置の処理手順は次のようになる。
ステップS1:イベント受信の有無をチェックしており、受信があればステップS2に進む。
ステップS2:受信したイベントの送信元を認識する。
ステップS3:受信内容はリソース正常使用通知か否か判別する。正常使用通知でなければステップS4に進み、そうであればステップS6に進む。
ステップS4:受信内容がウィルス発生警告通知か否か判別する。そうであればステップS5に進み、違っていればステップS7に進む。
ステップS5:ウィルス発生警告通知であることから、送信元をネットワークから切り離す遮断処理を行う。
ステップS6:リソース正常使用通知であることから、送信元の割当タイマをリセットスタートする。
ステップS7:既にリセットスタートしているタイマの中にタイムアウトしたものがあるか否か判別し、あればステップS8に進み、なければステップS1に戻る。
ステップS8:タイムアウトした割当タイマの送信元がウィルス感染によりリソース正常使用通知を定期的に送ることができなくなったことから、ウィルス感染と判定し、送信元をネットワークから切り離す遮断処理を実行する。
ステップS1:イベント受信の有無をチェックしており、受信があればステップS2に進む。
ステップS2:受信したイベントの送信元を認識する。
ステップS3:受信内容はリソース正常使用通知か否か判別する。正常使用通知でなければステップS4に進み、そうであればステップS6に進む。
ステップS4:受信内容がウィルス発生警告通知か否か判別する。そうであればステップS5に進み、違っていればステップS7に進む。
ステップS5:ウィルス発生警告通知であることから、送信元をネットワークから切り離す遮断処理を行う。
ステップS6:リソース正常使用通知であることから、送信元の割当タイマをリセットスタートする。
ステップS7:既にリセットスタートしているタイマの中にタイムアウトしたものがあるか否か判別し、あればステップS8に進み、なければステップS1に戻る。
ステップS8:タイムアウトした割当タイマの送信元がウィルス感染によりリソース正常使用通知を定期的に送ることができなくなったことから、ウィルス感染と判定し、送信元をネットワークから切り離す遮断処理を実行する。
図11は複数種類のリソースを組み合わせてウィルス感染を監視する組合せ条件テーブル42の説明図である。即ち図6のリソース使用状況判定テーブル38にあっては、ネットワークリソース、CPUリソース、I/Oリソースというそれぞれのリソースにつき、単独でリソース状態フラグに異常がセットされると、これに基づき直ちにウィルス発生と判断してネットワーク装置側にウィルス発生警告を通知してネットワークから遮断させているが、ウィルスの性質から確実にウィルス感染を判断するため、異なったリソースの組合せによりウィルス感染を判断すれば、ウィルス感染の判断精度を高めることができる。
これは、ウィルスの中にはメールを多量に配信するウィルスやハードディスクドライブをファイルコピーの多発により占拠してしまうといったものがあり、このようなウィルスの性質を判別するため、例えば図11のリソース組合せ条件テーブル42にあっては、
(1)ネットワークリソースとCPUリソース
(2)CPUリソースとI/Oリソース
(3)ネットワークリソースとI/Oリソース
といった組合せ条件をセットしている。
(1)ネットワークリソースとCPUリソース
(2)CPUリソースとI/Oリソース
(3)ネットワークリソースとI/Oリソース
といった組合せ条件をセットしている。
そして、このような2種類のリソースに対するウィルス監視処理で、組み合せた両方のリソースについてリソース状態フラグに異常フラグが割り当てられた場合に、リソース組合せ条件テーブル42の組合せリソース状態フラグに異常をセットし、ネットワーク装置側にウィルス発生警告を通知してネットワークから遮断させる。
図12は、図11のリソース組合せ条件テーブルに従った図8に続くウィルス監視処理のフローチャートである。図12において、ステップS13〜S18は図9の場合と同じであるが、それ以降の処理が次のようにリソース組合せ条件テーブル42に従った固有の処理となる。
ステップS19:図11のリソース組合せ条件テーブル42から警告リソースの組合せ条件を取得する。
ステップS20:組合せリソースの全てのリソース状態フラグに異常フラグがあればステップS21に進み、なければステップS22に進む。
ステップS21:ウィルス発生警告をネットワーク装置側に通知する。
ステップS22:リソースの正常使用をネットワーク装置側に通知する。
ステップS19:図11のリソース組合せ条件テーブル42から警告リソースの組合せ条件を取得する。
ステップS20:組合せリソースの全てのリソース状態フラグに異常フラグがあればステップS21に進み、なければステップS22に進む。
ステップS21:ウィルス発生警告をネットワーク装置側に通知する。
ステップS22:リソースの正常使用をネットワーク装置側に通知する。
なお図11のリソース組合せ条件テーブル42にあっては、図6のように各リソースごとに異常カウンタをカウントし、カウンタの値が警告判定閾値回数以上となったときに、リソース状態フラグに異常フラグをセットし、この結果に基づき、リソース組合せ条件を得ているが、警告リソースの組合せ条件に対応した測定値の両方が異常判定閾値を超えたときに異常カウンタをカウントアップし、異常カウンタの値が警告判定閾値回数以上となったときにウィルス感染を判定してネットワーク装置側に通知するようにしてもよい。
また本発明は上記の実施形態に限定されず、その目的と利点を損なうことのない適宜の変形を含む。また本発明は上記の実施形態に示した数値による限定は受けない。
ここで本発明の特徴をまとめて列挙すると次の付記のようになる。
(付記)
(付記1)
ネットワーク装置を介してネットワークに接続した情報処理装置に設けられ、資源の使用状況を監視し、資源の使用量が急激に増加した場合にウィルス感染と判定して外部に通知するウィルス監視部と、
前記ネットワーク装置に設けられ、前記ウィルス監視部からの通知を受信した際に、通知元の情報処理装置をネットワークから遮断する遮断部と、
を備えたことを特徴とするウィルス隔離システム。(1)
(付記)
(付記1)
ネットワーク装置を介してネットワークに接続した情報処理装置に設けられ、資源の使用状況を監視し、資源の使用量が急激に増加した場合にウィルス感染と判定して外部に通知するウィルス監視部と、
前記ネットワーク装置に設けられ、前記ウィルス監視部からの通知を受信した際に、通知元の情報処理装置をネットワークから遮断する遮断部と、
を備えたことを特徴とするウィルス隔離システム。(1)
(付記2)
付記1のウィルス隔離システムに於いて、前記ウィルス監視部は、前記情報処理装置で使用している複数種類の資源毎にウィルス感染を判定し、所定の組合せに対応した複数の資源の使用量が急激に増加した場合に、ウィルス感染と判定して通知することを特徴とするウィルス隔離システム。(2)
付記1のウィルス隔離システムに於いて、前記ウィルス監視部は、前記情報処理装置で使用している複数種類の資源毎にウィルス感染を判定し、所定の組合せに対応した複数の資源の使用量が急激に増加した場合に、ウィルス感染と判定して通知することを特徴とするウィルス隔離システム。(2)
(付記3)
付記1のウィルス隔離システムに於いて、前記ウィルス監視部は、前記情報処理装置で監視対象とする資源とウィルス監視対象から除外する資源を事前登録することを特徴とするウィルス隔離システム。(3)
付記1のウィルス隔離システムに於いて、前記ウィルス監視部は、前記情報処理装置で監視対象とする資源とウィルス監視対象から除外する資源を事前登録することを特徴とするウィルス隔離システム。(3)
(付記4)
ネットワーク装置を介してネットワークに接続された情報処理装置の資源の使用状況を監視し、資源の使用量が急激に増加した場合にウィルス感染と判定して外部に通知するウィルス監視ステップと、
ウィルス感染通知を前記ネットワーク装置から受信した際に、通知元の情報処理装置をネットワークから遮断する遮断ステップと、
を備えたことを特徴とするウィルス隔離方法。
ネットワーク装置を介してネットワークに接続された情報処理装置の資源の使用状況を監視し、資源の使用量が急激に増加した場合にウィルス感染と判定して外部に通知するウィルス監視ステップと、
ウィルス感染通知を前記ネットワーク装置から受信した際に、通知元の情報処理装置をネットワークから遮断する遮断ステップと、
を備えたことを特徴とするウィルス隔離方法。
(付記5)
ネットワーク装置を介してネットワークに接続されたコンピュータに、
前記コンピュータ内の監視対象とする資源と監視対象から除外する資源を事前登録する事前登録ステップと、
監視対象とした資源の使用状況を定期的に監視し、資源の使用量が急激に増加した場合にウィルス感染と判定して前記ネットワーク装置にネットワークからの遮断要求を通知し、ウィルス感染を判定しない場合は、正常使用を通知するウィルス監視ステップと、
を実行させることを特徴とするプログラム。
ネットワーク装置を介してネットワークに接続されたコンピュータに、
前記コンピュータ内の監視対象とする資源と監視対象から除外する資源を事前登録する事前登録ステップと、
監視対象とした資源の使用状況を定期的に監視し、資源の使用量が急激に増加した場合にウィルス感染と判定して前記ネットワーク装置にネットワークからの遮断要求を通知し、ウィルス感染を判定しない場合は、正常使用を通知するウィルス監視ステップと、
を実行させることを特徴とするプログラム。
10−1〜10−6:パーソナルコンピュータ
12:サーバ
14:LAN
16−1〜16−3:ネットワーク装置
18:ウィルス監視部
20:資源
22:ネットワークリソース
24:CPUリソース
26:入出力リソース
28:事前登録部
30:監視条件定義ファイル
32:測定データファイル
34:遮断部
36:ウィルス判定部
38:リソース使用状況判定テーブル
40:リソース組合せ条件テーブル
12:サーバ
14:LAN
16−1〜16−3:ネットワーク装置
18:ウィルス監視部
20:資源
22:ネットワークリソース
24:CPUリソース
26:入出力リソース
28:事前登録部
30:監視条件定義ファイル
32:測定データファイル
34:遮断部
36:ウィルス判定部
38:リソース使用状況判定テーブル
40:リソース組合せ条件テーブル
Claims (3)
- 情報処理装置に存在する複数の資源の使用量を監視し、該使用量の変化に基づいて、該情報処理装置のウィルス感染を他の装置へ通知するウィルス感染通知方法であって、
コンピュータが、
前記各資源の所定時間当たりの使用量を監視し、特定の資源の該所定時間当たりの使用量が所定値に達した場合に、各資源に対応付けて、該資源の状態を示す状態情報が登録できる資源状況テーブルに対して、該特定の資源に対応付けて該資源が異常であることを示す異常状態情報を登録するステップと、
前記複数の資源の内、少なくとも2以上の資源を対応付けた組合せ条件テーブルを参照し、対応付けられた該複数の資源を識別した上で、前記資源状況テーブルを参照し、該識別した全ての資源について、前記異常情報が対応付けられているか否かを判定する判定ステップと、
前記判定ステップによる判定の結果、前記識別した全ての資源に前記異常状態情報が対応付けられている場合は、該資源が存在する前記情報処理装置がウィルスに感染したことを警告するウィルス発生警告通知を前記他の装置に送信する通知ステップと、
を備えたことを特徴とするウィルス感染通知方法。
- 請求項1記載のウィルス感染通知方法に於いて、
前記登録ステップにおいて、前記コンピュータは、監視対象とする対象資源が指定されている監視定義テーブルを参照し、該対象資源を識別し、該対象資源の所定時問当たりの使用量を監視する
ことを特徴とするウィルス感染通知方法。
- コンピュータに、
各資源の所定時間当たりの使用量を監視し、特定の資源の該所定時間当たりの使用量が所定値に達した場合に、各資源に対応付けて、該資源の状態を示す状態情報が登録できる資源状況テーブルに対して、該特定の資源に対応付けて該資源が異常であることを示す異常状態情報を登録する登録機能と
前記複数の資源の内、少なくと2以上の資源を対応付けた組合せ条件テーブルを参照し、対応付けられた該複数の資源を識別した上で、前記資源状況テーブルを参照し、該識別した全ての資源について、前記異常状態情報が対応付けられているか否かを判定する判定機能と、
前記判定機能による判定の結果、前記識別した全ての資源に前記異常状態情報が対応付けられている場合は、該資源が存在する前記情報処理装置がウィルスに感染したことを警告するウィルス発生警告通知を前記他の装置に送信する通知機能と、
を実行させることを特徴とするウィルス感染通知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003270558A JP3971353B2 (ja) | 2003-07-03 | 2003-07-03 | ウィルス隔離システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003270558A JP3971353B2 (ja) | 2003-07-03 | 2003-07-03 | ウィルス隔離システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005025679A JP2005025679A (ja) | 2005-01-27 |
| JP3971353B2 true JP3971353B2 (ja) | 2007-09-05 |
Family
ID=34190478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003270558A Expired - Fee Related JP3971353B2 (ja) | 2003-07-03 | 2003-07-03 | ウィルス隔離システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3971353B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7685149B2 (en) * | 2005-03-28 | 2010-03-23 | Microsoft Corporation | Identifying and removing potentially unwanted software |
| US8516583B2 (en) * | 2005-03-31 | 2013-08-20 | Microsoft Corporation | Aggregating the knowledge base of computer systems to proactively protect a computer from malware |
| JP4725724B2 (ja) * | 2005-10-27 | 2011-07-13 | 日本電気株式会社 | クラスタ障害推定システム |
| JP4739962B2 (ja) * | 2006-01-16 | 2011-08-03 | 日本電信電話株式会社 | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
| US9280662B2 (en) * | 2006-04-21 | 2016-03-08 | Hewlett Packard Enterprise Development Lp | Automatic isolation of misbehaving processes on a computer system |
| US20120167218A1 (en) * | 2010-12-23 | 2012-06-28 | Rajesh Poornachandran | Signature-independent, system behavior-based malware detection |
| JP6574332B2 (ja) * | 2015-03-26 | 2019-09-11 | 株式会社日立システムズ | データ分析システム |
| JP2019003349A (ja) * | 2017-06-13 | 2019-01-10 | ロゴヴィスタ株式会社 | 個別命令の処理時間計測によるウィルスの監視方法 |
-
2003
- 2003-07-03 JP JP2003270558A patent/JP3971353B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005025679A (ja) | 2005-01-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7441272B2 (en) | Techniques for self-isolation of networked devices | |
| US8154987B2 (en) | Self-isolating and self-healing networked devices | |
| US8489755B2 (en) | Technique of detecting denial of service attacks | |
| TWI474213B (zh) | 具攻擊防護機制的雲端系統及其防護方法 | |
| EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
| US20140101489A1 (en) | Method, Apparatus, and System for Handling Virtual Machine Internal Fault | |
| US8326974B2 (en) | Typicality filtering of event indicators for information technology resources | |
| EP2843878A1 (en) | A monitoring arrangement | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| JP2011526126A (ja) | 監視システムにおけるメッセージ管理及び抑制 | |
| US7444450B2 (en) | Method and system for detecting excessive interrupt processing for a processor | |
| KR20130085570A (ko) | 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치 | |
| JP2007234006A (ja) | パフォーマンスの監視を動的に調整する装置、システム及び方法 | |
| JP3971353B2 (ja) | ウィルス隔離システム | |
| US9094450B2 (en) | Method and apparatus for a centrally managed network virus detection and outbreak protection | |
| US9661016B2 (en) | Data center infrastructure management system incorporating security for managed infrastructure devices | |
| JP2006237892A (ja) | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム | |
| US7657793B2 (en) | Accelerating software rejuvenation by communicating rejuvenation events | |
| US20060025960A1 (en) | Sensor signal debouncing | |
| JP2006268167A (ja) | セキュリティシステム、セキュリティ方法及びそのプログラム | |
| JP3796401B2 (ja) | ノード監視方法、ノード監視システム、および記録媒体 | |
| JP2003348113A (ja) | スイッチおよびlan | |
| CN109462503B (zh) | 一种数据检测方法和装置 | |
| CN100484043C (zh) | 网络防syn洪流攻击检测方法 | |
| EP2646917B1 (en) | Change message broadcast error detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051026 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070306 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070419 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070515 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070607 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110615 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120615 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120615 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130615 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130615 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |