JP4051020B2 - ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 - Google Patents

ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 Download PDF

Info

Publication number
JP4051020B2
JP4051020B2 JP2003367272A JP2003367272A JP4051020B2 JP 4051020 B2 JP4051020 B2 JP 4051020B2 JP 2003367272 A JP2003367272 A JP 2003367272A JP 2003367272 A JP2003367272 A JP 2003367272A JP 4051020 B2 JP4051020 B2 JP 4051020B2
Authority
JP
Japan
Prior art keywords
worm
communication
network segment
determination
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003367272A
Other languages
English (en)
Other versions
JP2005134974A (ja
Inventor
和成 面
悟 鳥居
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2003367272A priority Critical patent/JP4051020B2/ja
Priority to US10/812,622 priority patent/US20050091533A1/en
Publication of JP2005134974A publication Critical patent/JP2005134974A/ja
Application granted granted Critical
Publication of JP4051020B2 publication Critical patent/JP4051020B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware

Description

この発明は、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置に関し、特に、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができるワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置に関するものである。
近年、自己増殖を繰り返しながらコンピュータに次々と感染し、コンピュータに悪影響を及ぼすワームと呼ばれるコンピュータウィルスによる被害が拡大してきている。古くは、ワームは、フレキシブルディスク(FD)やCD−ROMなどを介してコンピュータに感染していたため感染力がそれほど大きくはなかったが、最近は、インターネットが普及するにつれワームの感染力が加速度的に大きくなり、ワームに対する防御をいかにおこなうかが大きな問題となっている。
そのため、特許文献1には、ワームを含んでいるかどうかを検査する検査対象を仮想的に構築したコンピュータ環境に導入し、その検査対象が仮想的なコンピュータ環境における所定のファイルを変更するか否かを監視することにより、ワームであるか否かを判定するワームの検査方法が開示されている。
また、非特許文献1には、ワームにより攻撃された場合に必ず生じるサーバ装置の振る舞い(データI/Oやシステムコールなどの系列)をあらかじめ監視ルールとして定義しておき、ワームを含んでいるかどうかを検査する検査対象をアクセス検査サーバ装置に導入して、その動作を監視することによりワームによる攻撃を検出するWebサーバ防御システムが開示されている。
特開2002−342106号公報 日本電気株式会社、"プレスリリース"、[online]、2003年4月11日、[平成15年10月28日検索]、インターネット<URL:http://www.nec.co.jp/press/ja/0304/1101.html>
しかしながら、上記特許文献1の従来技術では、通信をおこなう度に検査対象をあらかじめ構築しておいた仮想的なコンピュータ環境に導入し、その仮想的なコンピュータ環境に対する感染の有無を検査する必要があるため、すべての通信に関してワームの検出をおこなうのは効率的でなく、ワームを含んでいる危険性のある通信のみに対して検査をおこなうにしても、その危険性を判定する基準を定めることが難しいという問題があった。
また、非特許文献2の従来技術では、ワームにより攻撃された場合に必ず生じるサーバ装置の振る舞いを監視ルールとして定義しておくこととしているが、多くの用途に使用され、さまざまな振る舞いを示すクライアント装置に対して、ワーム攻撃による振る舞いと通常使用による振る舞いとを区別する監視ルールを定義することが難しいという問題があった。
この発明は、上述した従来技術による問題点を解消するためになされたものであり、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができるワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置を提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、ネットワークに接続されたネットワークセグメントに係る通信を監視してネットワークセグメント内外におけるワーム感染の有無を判定するワーム判定プログラムであって、ネットワークセグメント内から外部へ送信される通信パケットの通信量および当該通信パケットの通信アドレスに係る情報を取得する取得工程と、前記取得工程にて取得された通信パケットの通信量が所定量以上となり、かつ、前記取得工程にて取得された通信アドレス数が所定数以上となった場合に、ネットワークセグメント内外のいずれかにおいてワーム感染があると判定する第1判定工程と、前記第1判定工程にてネットワークセグメント内にワーム感染があると判定され、かつ、前記取得工程にて取得された通信アドレス数のうち宛先アドレス数が過去の判定結果の履歴における宛先アドレス数の所定数倍以上である場合に、ネットワークセグメント内の複数のコンピュータにワームが感染したと判定する第2判定工程とをコンピュータに実行させることを特徴とする。
また、本発明は、前記第2判定工程は、前記第1判定工程にてワーム感染があると判定され、かつ、過去の判定結果の履歴においてネットワークセグメント外部のワーム感染がある場合に、ネットワークセグメント外部からのパケット通信によってネットワークセグメント内のワーム感染が発生したと判定することを特徴とする。
また、本発明は、前記第2判定工程は、前記第1判定工程にてワーム感染があると判定され、かつ、過去の判定結果の履歴においてネットワークセグメント外部のワーム感染がない場合に、パケット通信以外の原因によってネットワークセグメント内のワーム感染が発生したと判定することを特徴とする。
また、本発明は、前記第2判定工程は、前記第1判定工程にてワーム感染があると判定された時点から所定時間以内の過去の判定結果を参照することを特徴とする。
また、本発明は、前記第1判定工程は、ネットワークセグメント内から外部へ送信される通信パケットの通信量が所定量以上となり、かつ、通信パケットの宛先アドレス数が所定数以上となった場合に、ネットワークセグメント内においてワーム感染があると判定することを特徴とする。
また、本発明は、前記第1判定工程は、外部からネットワークセグメント内へ送信される通信パケットに対する応答通信パケットの通信量が所定量以上となり、かつ、通信パケットの送信元アドレス数が所定数以上となった場合に、ネットワークセグメント外部においてワーム感染があると判定することを特徴とする。
また、本発明は、ネットワークに接続されたネットワークセグメントに係る通信を監視してネットワークセグメント内外におけるワーム感染の有無を判定するワーム判定方法であって、ネットワークセグメント内から外部へ送信される通信パケットの通信量および当該通信パケットの通信アドレスに係る情報を取得する取得工程と、前記取得工程にて取得された通信パケットの通信量が所定量以上となり、かつ、前記取得工程にて取得された通信アドレス数が所定数以上となった場合に、ネットワークセグメント内外のいずれかにおいてワーム感染があると判定する第1判定工程と、前記第1判定工程にてネットワークセグメント内にワーム感染があると判定され、かつ、前記取得工程にて取得された通信アドレス数のうち宛先アドレス数が過去の判定結果の履歴における宛先アドレス数の所定数倍以上である場合に、ネットワークセグメント内の複数のコンピュータにワームが感染したと判定する第2判定工程とを有することを特徴とする。
また、本発明は、ネットワークに接続されたネットワークセグメントに係る通信を監視してネットワークセグメント内外におけるワーム感染の有無を判定するワーム判定装置であって、ネットワークセグメント内から外部へ送信される通信パケットの通信量および当該通信パケットの通信アドレスに係る情報を取得する取得手段と、前記取得手段によって取得された通信パケットの通信量が所定量以上となり、かつ、前記取得手段によって取得された通信アドレス数が所定数以上となった場合に、ネットワークセグメント内外のいずれかにおいてワーム感染があると判定する第1判定手段と、前記第1判定手段によってネットワークセグメント内にワーム感染があると判定され、かつ、前記取得手段によって取得された通信アドレス数のうち宛先アドレス数が過去の判定結果の履歴における宛先アドレス数の所定数倍以上である場合に、ネットワークセグメント内の複数のコンピュータにワームが感染したと判定する第2判定手段とを有することを特徴とする。
本発明によれば、情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得し、取得された情報および通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて通信がワームによりなされた通信か否かを判定することとしたので、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができるという効果を奏する。
また、本発明によれば、通信がワームによりなされた通信と判定された場合に、情報の取得に係る設定情報を変更し、変更された情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得することとしたので、通信がワームによりなされた通信と判定された場合に情報の取得に係る設定情報を変更することにより、さらに詳細にワームの挙動を監視することができるという効果を奏する。
また、本発明によれば、通信がワームによりなされた通信と判定された場合に、判定基準に係る情報を変更し、取得された情報および変更された判定基準に係る情報に基づいて通信がワームによりなされた通信か否かを判定することとしたので、通信がワームによりなされた通信と判定された場合に判定基準に係る情報を変更することにより、さらに厳密に通信がワームによりなされた通信か否かを判定することができるという効果を奏する。
また、本発明によれば、通信を監視する監視対象である所定のネットワークセグメントからその所定のネットワークセグメント外部に送信される通信パケットのパケット量が増加し、かつ、通信パケットの宛先アドレス数が増加した場合に、所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメント内のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができるという効果を奏する。
また、本発明によれば、通信を監視する監視対象である所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると以前に判定され、所定のネットワークセグメントからその所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数が、通信がワームによりなされた通信であると判定する際に取得された所定のネットワークセグメントからその所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数より増加した場合に、所定のネットワークセグメント内のコンピュータからの通信が複数のコンピュータに感染したワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメント内の複数のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができるという効果を奏する。
また、本発明によれば、通信を監視する監視対象である所定のネットワークセグメントに対してその所定のネットワークセグメント外部から送信された通信パケットに対する応答通信パケットのパケット量が増加し、かつ、通信パケットの送信元アドレス数が増加した場合に、所定のネットワークセグメント外部のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメント外のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができるという効果を奏する。
また、本発明によれば、通信をワームによりなされた通信と判定した場合に、通信をおこなったコンピュータもしくは通信状況に係る情報をさらに出力することとしたので、出力されたコンピュータに係る情報を基にしてワームに感染している可能性のあるコンピュータを特定することができるという効果を奏する。
また、本発明によれば、通信をワームによりなされた通信と判定した場合に、ワームによりなされる通信に係るあらかじめ登録された特徴とワームによりなされたと判定した通信に係る特徴とを比較することによりワームの種類を推定することとしたので、推定されたワームの種類の情報を基にしてワームの攻撃に適切に対応することができるという効果を奏する。
また、本発明によれば、通信がワームによりなされた通信と判定された場合に、ワームによりなされる通信を遮断することとしたので、ワームの増殖を効果的に抑制することができるという効果を奏する。
また、本発明によれば、ワームにより起動されたプロセスを停止することによりワームによりなされる通信を遮断することとしたので、ワームがおこなう処理自体を停止させることにより、ワームの増殖を効果的に抑制することができるという効果を奏する。
また、本発明によれば、ワームによりなされる通信をワームが存在していると判定されるコンピュータのファイアウォール機能を有効にすることにより遮断することとしたので、ワームによりなされる通信をワームに感染しているコンピュータに遮断させることにより、ワームの増殖を効果的に抑制することができるという効果を奏する。
以下に添付図面を参照して、この発明に係るワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置の好適な実施の形態を詳細に説明する。
まず、本実施例に係るネットワークセグメントの概念について説明する。図16は、本実施例に係るネットワークセグメントの概念を説明する概念図である。図16に示すように、本実施例におけるネットワークセグメントは、複数の階層からなる構造を有している。
たとえば、最も小規模なネットワークセグメント16aは、ワーム判定プログラムが導入されたコンピュータを1台だけ含むものである。この場合、そのコンピュータがネットワークセグメント16aに係る通信を監視してワーム判定処理をおこなう。それよりもやや大きい規模のネットワークセグメント16bは、部署のイントラネット単位で構成されるセグメントであり、そのネットワークセグメント16bに対してワーム判定装置17aが接続され、そのワーム判定装置17aが、ワークセグメント16bに係る通信を監視してワーム判定処理をおこなう。
さらに大きい規模であるネットワークセグメント16cは、企業のイントラネット単位で構成されるセグメントであり、そのネットワークセグメント16cに対してワーム判定装置17bが接続され、そのワーム判定装置17bが、ワークセグメント16cに係る通信を監視してワーム判定処理をおこなう。そして、より大規模のネットワークセグメント16dは、ISP(Internet Service Provider)単位で構成されるセグメントであり、そのネットワークセグメント16dに対してワーム判定装置17cが接続され、そのワーム判定装置17cが、ワークセグメント16dに係る通信を監視してワーム判定処理をおこなう。
このように、ネットワークセグメントの規模および形態には様々なものが考えられ、そのさまざまな規模および形態のネットワークセグメントに対して、本発明に係るワーム判定システムの適用をおこなうことができる。
つぎに、本実施例に係るワーム判定システムの概念について説明する。図1は、本実施例に係るワーム判定システムの概念について説明する概念図である。図1に示すように、このワーム判定システムは、サーバ装置やクライアント装置などを少なくとも1台以上含むネットワークセグメント10a〜10dが、ワーム判定装置20a〜20dを介してネットワーク11に接続された構成となっている。ここで、ネットワーク11とは、インターネット、イントラネット、ISPのネットワークなどを指している。
このワーム判定装置20a〜20dは、各ネットワークセグメント10a〜10dに他のネットワークセグメント10a〜10dから送信される通信パケットと、各ネットワークセグメント10a〜10dが他のネットワークセグメント10a〜10dに送信する通信パケットとを監視して、その通信パケットによる通信がワームによりなされた通信であるか否かを判定する処理をおこなう。
具体的には、通信パケットの単位時間当たりのパケット数、各通信パケットの送信元IPアドレスおよび宛先IPアドレスの情報などを取得し、取得した情報に基づいて監視対象としているネットワークセグメント10a〜10d外からのワームの攻撃があるか否かや、そのネットワークセグメント10a〜10d内から他のネットワークセグメント10a〜10d内のコンピュータに対してワームの攻撃がなされているか否か等を判定する。
ここで、ワームに感染した場合に生じる通信パケットの単位時間当たりのパケット数、各通信パケットの送信元IPアドレスおよび宛先IPアドレスの情報の変化は、サーバ装置やクライアント装置などのコンピュータの種類に依らず顕著に現れるため、このワーム判定システムにおいては、サーバ装置かクライアント装置かに拘らず容易にかつ効率的にワームを検出することができる。
また、ワームの特徴をあらかじめ登録しておき、その特徴を参照してワームによる通信を検出するのではなく、通信パケットの単位時間当たりのパケット数、各通信パケットの送信元IPアドレスおよび宛先IPアドレスの情報の変化を基にしてワームによる通信か否かを判定するので、未知のワームに対しても適切に対処することができる。
つぎに、本実施例に係るワーム判定装置20a〜20dの機能的構成について説明する。図2は、本実施例に係るワーム判定装置20a〜20dの機能的構成について説明する機能ブロック図である。各ワーム判定装置20a〜20dは、同様の機能を有するので、ここでは、ワーム判定装置20aの機能的構成について説明する。
図2に示すように、このワーム判定装置20aは、ネットワークセグメントA10aおよびネットワークセグメントA10aを除いたネットワーク12にLAN21およびネットワーク21を介して接続されている。ここで、LAN21は、イントラネットなどのネットワークである。
ワーム判定装置20aは、本発明に係る装置であり、情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得し、取得した情報と、通信がワームによりなされた通信か否かを規定する判定基準に係る情報とに基づいて通信がワームによりなされた通信か否かを判定する判定装置である。
このワーム判定装置20aは、インターフェース部200、入力部210、表示部220、記憶部230および制御部240を有する。インターフェース部200は、ネットワークセグメントA10aとネットワークセグメントAを除くネットワーク12との間の通信データの授受を、LAN21およびネットワーク21を介して中継するネットワークインターフェースである。
入力部210は、キーボードやマウスなどの入力デバイスであり、表示部220は、ディスプレイなどの表示デバイスである。記憶部230は、ハードディスク装置などの記憶デバイスであり、この記憶部230には、設定データ230a、通信ログデータ230bおよびワームデータ230cが記憶されている。
設定データ230aは、通信パケットの通信量および通信パケットの通信アドレスに係る情報の取得に係る設定情報や、監視している通信がワームによりなされた通信か否かを規定する判定基準に係る情報など、さまざまな設定情報を記憶したデータである。
図3は、図2に示した設定データ230aの一例を示す図である。この設定データ230aは、設定項目、初期設定およびSYNパケット異常検知後の設定の各項目を有する。設定項目は、設定データ230aにおいて設定される各項目であり、初期設定は、通常監視時に参照される設定情報であり、SYNパケット異常検知後の設定は、監視していたSYNパケットに異常が検知された場合に、初期設定の代わりに参照される設定情報である。このSYNパケットの異常は、後に説明するように、単位時間内に計測したSYNパケットの数が所定の閾値以上で、宛先IPアドレス数が所定の閾値以上となった場合を意味している。
上記設定項目には、具体的には、SYNパケットの計測単位時間、SYN ACKパケットの計測単位時間、UDPパケットの計測単位時間、ICMP(request)パケットの計測単位時間、ICMP(reply)パケットの計測単位時間、宛先IPアドレスの計測単位時間、送信元IPアドレスの計測単位時間、宛先ポート番号の参照、SYNパケット数の閾値、SYN ACKパケット数の閾値、UDPパケットの閾値、ICMP(request)パケットの閾値、ICMP(reply)パケットの閾値、宛先IPアドレス数の閾値、送信元IPアドレス数の閾値、監視場所、監視するネットワークの方向、遮断および検知から遮断までの時間が登録されている。
SYNパケットの計測単位時間、SYN ACKパケットの計測単位時間、UDPパケットの計測単位時間、ICMP(request)パケットの計測単位時間およびICMP(reply)パケットの計測単位時間は、それぞれ、TCP(Transmission Control Protocol)ベースのパケットであるSYNパケット、SYNパケットをコンピュータが受信した際の応答として送信されるSYN ACKパケット、UDP(User Datagram Protocol)ベースのパケットであるUDPパケット、相手コンピュータの動作確認メッセージを送信するICMP(Internet Control Message Protocol)(request)パケット、そのICPM(request)パケットの応答として送信されるICMP(reply)パケットの数を計測する単位時間である。たとえば、この単位時間が1secであるということは、1秒間の上記パケットの送信数または受信数を1秒ごとに計測することを意味する。
また、宛先IPアドレスの計測単位時間および送信元IPアドレスの計測単位時間は、上記各パケットの宛先IPアドレスおよび送信元IPアドレスを計測する単位時間である。たとえば、この単位時間が1secであるということは、1秒間の上記パケットの宛先IPアドレスおよび送信元IPアドレスを1秒ごとに計測することを意味する。宛先ポート番号の参照は、上記各パケットの宛先ポート番号をリアルタイムで参照するか否かを設定する項目であり、「ON」または「OFF」のいずれかに設定される。
SYNパケット数の閾値、SYN ACKパケット数の閾値、UDPパケットの閾値、ICMP(request)パケットの閾値、ICMP(reply)パケットの閾値は、ワームによりなされた通信がおこなわれているか否かを判定する際に使用されるパケット数の閾値情報である。宛先IPアドレス数の閾値および送信元IPアドレス数の閾値は、ワームによりなされた通信がおこなわれているか否かを判定する際に使用される宛先IPアドレス数および送信元IPアドレス数の閾値情報である。ここで、宛先IPアドレス数または送信元IPアドレス数は、宛先IPアドレスの計測単位時間または送信元IPアドレスの計測単位時間内に計測された異なる宛先IPアドレスまたは送信元IPアドレスの数である。
監視場所は、パケットを監視するネットワークドライバを設定する項目であり、たとえば、ネットワークドライバ「Eth0」などと設定する。監視するネットワークの方向は、監視するパケット通信の方向を設定する項目である。たとえば、ワーム判定装置20aが接続されているネットワークセグメントA10aから外に送信されるパケットのみを監視する場合には、「Outgoing」に設定され、ネットワークセグメントAを除くネットワーク12からネットワークセグメントA10aに対して送信されるパケットを監視する場合には、「incoming」に設定され、それら両方のパケットを監視する場合には、「both」に設定される。
遮断は、パケット通信がワームによりなされた通信と判定された場合に、通信の遮断をおこなうか否かを設定する項目であり、「ON」または「OFF」のいずれかに設定される。検知から遮断までの時間は、ワームによりなされたパケット通信を検知した場合に、パケット通信を遮断するまでの待ち時間を設定する項目であり、たとえば、「5sec」などと設定される。
図2の説明に戻ると、通信ログデータ230bは、パケット通信の通信記録を記憶したデータである。具体的には、図3で示した設定データ230aに基づいて取得された通信パケットのパケット数やIPアドレス数の情報、ワームによりなされた通信か否かを判定した判定結果の情報などを記憶している。
図4は、図2に示した通信ログデータ230bの一例を示す図である。図4に示すように、この通信ログデータ230bは、計測時間、パケット数およびIPアドレス数の各項目を有する。計測時間は、計測をおこなった時間であり、パケット数は、各計測時間において計測されたパケット数である。このパケット数は、さらに、SYNパケット数、SYN ACKパケット数、UDPパケット数、ICMP(request)パケット数およびICMP(reply)パケット数の項目を有し、各パケットの種類ごとに計測されたパケット数が記憶される。
IPアドレス数は、各計測時間において計測されたIPアドレス数である。このIPアドレス数は、さらに、宛先IPアドレス数および送信元IPアドレス数の項目を有し、各計測時間における通信パケットの宛先IPアドレス数および送信元IPアドレス数の情報が記憶される。
また、図3に示した設定データ230aの「宛先ポート番号の参照」の項目が「ON」である場合には、通信ログデータ230bに、通信情報取得部240aにより取得された最頻出宛先ポート番号の情報が各計測時間ごとに記憶される(図4には、図示せず。)。さらに、この通信ログデータ230bには、ワームによる通信がおこなわれたと判定された場合に、ワームの通信方法や通信速度、通信特徴が類似しているワームの情報などとともにその判定結果が記憶される(図4には、図示せず。)。
図2の説明に戻ると、ワームデータ230cは、ワームによりなされる通信の特徴を記憶したデータである。具体的には、このワームデータ230cは、過去に発見されたワームが単位時間内に他のコンピュータのスキャンをおこなうスキャン速度の情報や、攻撃する宛先ポート番号などのワームの特徴情報を記憶する。
制御部240は、ワーム判定装置20aを全体制御する制御部である。この制御部240は、通信情報取得部240a、ワーム判定部240b、設定データ変更部240cおよび通信遮断部240dを有する。
通信情報取得部240aは、記憶部230に記憶された設定データ230aに基づいて、通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得する取得部である。具体的には、この通信情報取得部240aは、通信パケットのパケット数を計測するとともに、通信パケットのヘッダから宛先IPアドレスや送信元IPアドレスの情報を取得し、宛先IPアドレス数や送信元IPアドレス数を計測したり、通信パケットの宛先ポート番号などの情報から最頻出宛先ポート番号の情報を取得したりして、通信ログデータ230bに記憶する処理などをおこなう。
ワーム判定部240bは、通信情報取得部240aにより取得された情報、および、記憶部230に記憶された設定データ230aに基づいて、監視対象としているパケット通信がワームによりなされた通信か否かを判定する判定部である。つぎに、この判定処理の内容を具体的に説明する。
図5は、図2に示したワーム判定部240bがおこなうパケットの種類ごとのワーム判定処理の例を示す図である。図5では、ワーム判定部240bがおこなう判定処理の内容を3つのケースに分けて示している。ケース1は、Outgoing通信を監視している際に、SYNパケット数が増加し、かつ、宛先IPアドレス数が増加したという状況が観測された場合である。
この状況は、ネットワークセグメントA10a外のさまざまなコンピュータにSYNパケットが多数送信されていることを意味するので、ワーム判定部240bは、TCPベースのワームがネットワークセグメントA10a内のコンピュータに感染しており、ネットワークセグメントA10a外のコンピュータに対してランダムスキャンをおこなっていると判定する。この場合、ワーム判定部240bは、さらに宛先ポート番号を計測し、最頻出宛先ポート番号からどのサービスを狙ったワームかを検出する。たとえば、計測された最頻出宛先ポート番号が80番であれば、Webサービスを狙ったワームであると判定できる。
ケース2は、Outgoing通信を監視している際に、UDPパケット数が増加し、かつ、宛先IPアドレス数が増加したという状況が観測された場合である。この状況は、ネットワークセグメントA10a外のさまざまなコンピュータにUDPパケットが多数送信されていることを意味するので、ワーム判定部240bは、UDPベースのワームがネットワークセグメントA10a内のコンピュータに感染しており、ネットワークセグメントA10a外のコンピュータに対してランダムスキャンをおこなっていると判定する。この場合、ワーム判定部240bは、さらに宛先ポート番号を計測し、最頻出宛先ポート番号からどのサービスを狙ったワームかを検出する。たとえば、計測された最頻出宛先ポート番号が53番であれば、DNSサービスを狙ったワームであると判定できる。
ケース3は、Outgoing通信を監視している際に、ICMP(request)パケット数が増加し、かつ、宛先IPアドレス数が増加したという状況が観測された場合である。この状況は、ネットワークセグメントA10a外のさまざまなコンピュータにICMP(request)パケットが多数送信されていることを意味する。この場合、ワーム判定部240bは、パケットの送信がワームによるものか否かの判定を一時保留する。これは、ICMP(request)パケットは、相手コンピュータの動作確認メッセージを送信するパケットであり、ICMP(request)パケットのパケット数および宛先IPアドレス数が増加しただけでは、ワームによるランダムスキャンがおこなわれているのかどうかが不明なためである。
この場合、ワーム判定部240bは、その後送信されるSYNパケットあるいはUDPパケットを監視して、ケース1または2のように状況を判定することによりTCPベースのワームか、あるいはUDPベースのワームかを判定し、さらに宛先ポート番号を計測して、その最頻出宛先ポート番号からどのサービスを狙ったワームかを検出する処理をおこなう。ここでは、ケース1〜3の3つの場合について説明したが、さらにさまざまな状況を追加することにより、各パケットの種類に対してワームによる通信か否かを詳細に判定することができる。
図6は、図2に示したワーム判定部240bがおこなうネットワークセグメント外からのワームスキャンの有無を判定する処理の一例を示す図である。ここでは、SYN ACKパケットに異常が検出された場合を示している。図6に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。たとえば、ワーム判定部240bは、SYN ACKパケット数の閾値が「10」、送信元IPアドレス数の閾値が「10」である場合には、計測時間「10:00:35〜10:00:36」においてSYN ACKパケット数「30」が閾値「10」以上であり、かつ、送信元IPアドレス数「36」が閾値「10」以上であるので、SYN ACKパケットの異常を検出する。
また、ワーム判定部240bは、通信情報取得部240aにより取得されたSYN ACKパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図6の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報が示されている。最頻出宛先ポート番号の欄に示されている百分率の情報(「90%」および「92%」)は、計測時間内に「SYN ACKパケット数」および「送信元IPアドレス数」の監視をおこなった全パケットのうち、最頻出宛先ポート番号が「80」番であったパケットの割合を示したものである。
その後、ワーム判定部240bは、上記情報を基にしてワームスキャンの有無を判定し、ワーム判定結果60を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYNパケットを受信した際の応答であるSYN ACKパケットがネットワークセグメントA10a内から閾値より多く送信され、かつ、SYN ACKパケットの送信元IPアドレス数が閾値より多いため、ネットワークセグメントAを除くネットワーク12のコンピュータからネットワークセグメントA10a内のコンピュータに対してワームによるランダムスキャンがなされていると判定し、そのワーム判定結果60を出力する。
このワーム判定結果60は、スキャン方法、スキャン元IPアドレス、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、スキャン元IPアドレスは、ランダムスキャンに使用されているパケットを送信しているコンピュータのIPアドレスである。このスキャン元IPアドレスの情報は、パケットのヘッダより取得することができる。最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号であり、警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージである。図6の例では、ネットワークセグメントAを除くネットワーク12のコンピュータからのランダムスキャンが検出されたので、Webサービスの脆弱性を狙うワームが外部から進入する可能性があることをユーザに通知する。
図7は、図2に示したワーム判定部240bがおこなうワーム感染の有無を判定する処理の一例を示す図である。ここでは、SYNパケットに異常が検出された場合を示している。図7に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。たとえば、ワーム判定部240bは、SYNパケット数の閾値が「10」、宛先IPアドレス数の閾値が「10」である場合には、計測時間「10:00:37〜10:00:38」においてSYNパケット数「22」が閾値「10」以上であり、かつ、宛先IPアドレス数「28」が閾値「10」以上であるので、SYNパケットの異常を検出する。
また、ワーム判定部240bは、通信情報取得部240aにより取得されたSYNパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図7の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報と、監視をおこなった全パケットのうち最頻出宛先ポート番号が「80」番であったパケットの割合の情報(「94%」および「89%」)とが、SYNパケット数および宛先IPアドレス数のそれぞれの計測項目ごとに示されている。
その後、ワーム判定部240bは、上記情報を基にしてワーム感染の有無を判定し、ワーム判定結果70を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYNパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYNパケットの宛先IPアドレス数が閾値より多いため、ネットワークセグメントA10a内のコンピュータからネットワークセグメントAを除くネットワーク12のコンピュータに対してワームによるランダムスキャンがなされていると判定し、そのワーム判定結果70を出力する。
このワーム判定結果70は、スキャン方法、スキャン速度、感染台数、感染コンピュータ名、感染コンピュータIPアドレス、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、スキャン速度は、1秒間にスキャンがなされた速度の情報である。感染台数は、ワームに感染した可能性のあるコンピュータの台数であり、感染コンピュータ名は、ワームに感染した可能性のあるコンピュータの名称である。感染コンピュータIPアドレスは、ワームに感染した可能性のあるコンピュータのIPアドレスである。
スキャン速度の情報は、単位時間当たりにSYNパケットが送信されたコンピュータ数(宛先IPアドレス数)の情報から算出することができる。また、感染コンピュータIPアドレスは、SYNパケットのヘッダから取得することができ、感染台数の情報は、その感染コンピュータIPアドレスの数から取得することができる。感染コンピュータ名は、IPアドレスとコンピュータ名とを対応付けて記憶したデータベース(図2には、図示していない。)を用意しておくことで取得することができる。最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号であり、警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージである。
図7の例では、ワーム判定部240bは、ネットワークセグメントA10a内からのランダムスキャンが検出され、さらに最頻出宛先ポート番号が「80」番であるので、ネットワークセグメントA10a内のWebサーバが感染した可能性があることをユーザに通知する。また、ワーム判定部240bは、記憶部230のワームデータ230cに記憶されたワームの特徴を参照した結果、類似していると判定されたワームの情報や、ランダムスキャンの対象となったネットワークの情報などをユーザに通知する。
図8は、図2に示したワーム判定部240bがおこなうネットワークセグメントA10a外からの攻撃によるワーム感染の有無を判定する処理の一例を示す図である。ここでは、SYN ACKパケットに異常が検出された後、SYNパケットにも異常が検出された場合を示している。図8に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。
たとえば、ワーム判定部240bは、SYN ACKパケット数の閾値が「10」、送信元IPアドレス数の閾値が「10」である場合には、計測時間「10:00:35〜10:00:36」においてSYN ACKパケット数「30」が閾値「10」以上であり、かつ、送信元IPアドレス数「36」が閾値「10」以上であるので、SYN ACKパケットの異常を検出する。また、ワーム判定部240bは、SYNパケット数の閾値が「10」、宛先IPアドレス数の閾値が「10」である場合には、計測時間「10:00:37〜10:00:38」においてSYNパケット数「22」が閾値「10」以上であり、かつ、宛先IPアドレス数「28」が閾値「10」以上であるので、SYNパケットの異常を検出する。
さらに、ワーム判定部240bは、通信情報取得部240aにより取得されたSYN ACKパケットおよびSYNパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図8の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報と、監視をおこなった全パケットのうち最頻出宛先ポート番号が「80」番であったパケットの割合の情報(「87%」、「87%」、「89%」および「86%」)とが、SYNパケット数、SYN ACKパケット数、宛先IPアドレス数および送信元IPアドレス数のそれぞれの計測項目ごとに示されている。
その後、ワーム判定部240bは、上記情報を基にしてワーム感染の有無を判定し、ワーム判定結果80を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYN ACKパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYN ACKパケットの送信元IPアドレス数が閾値より多いことから、ネットワークセグメントAを除くネットワーク12のコンピュータからネットワークセグメントA10a内のコンピュータに対してワームによるランダムスキャンがなされていたと判定する。
さらに、ワーム判定部240bは、SYNパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYNパケットの宛先IPアドレス数が閾値より多いことから、上記ランダムスキャンによりネットワークセグメントA10a内のコンピュータがワームに感染し、そのワームに感染したコンピュータからネットワークセグメントAを除くネットワーク12のコンピュータに対してランダムスキャンがなされていると判定し、そのワーム判定結果80を出力する。
このワーム判定結果80は、スキャン方法、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号である。警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージであり、ネットワークセグメントA10a内のWebサーバが外部からのワーム攻撃により感染した可能性があることをユーザに通知する。
図9は、図2に示したワーム判定部がおこなう複数コンピュータのワーム感染の有無を判定する処理の一例を示す図である。ここでは、SYNパケットに異常が検出された後、再度SYNパケットに異常が検出された場合に、再度SYNパケットに異常が検出された際の宛先IPアドレス数が、前回SYNパケットに異常が検出された際の宛先IPアドレス数に比べて増加した状況を示している。
図9に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。たとえば、ワーム判定部240bは、SYNパケット数の閾値が「10」、送信元IPアドレス数の閾値が「10」である場合に、計測時間「10:00:37〜10:00:38」においてSYNパケット数「22」が閾値「10」以上であり、かつ、宛先IPアドレス数「28」が閾値「10」以上であるので、SYNパケットの異常を検出する。また、ワーム判定部240bは、計測時間「10:00:39〜10:00:40」においてSYNパケット数「49」が閾値「10」以上であり、かつ、宛先IPアドレス数「60」が閾値「10」以上であるので、SYNパケットの異常を再度検出する。
さらに、ワーム判定部240bは、通信情報取得部240aにより取得されたSYNパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図9の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報と、監視をおこなった全パケットのうち最頻出宛先ポート番号が「80」番であったパケットの割合の情報(「92%」および「95%」)とが、SYNパケット数および宛先IPアドレス数のそれぞれの計測項目ごとに示されている。
その後、ワーム判定部240bは、上記情報を基にしてワーム感染の有無を判定し、ワーム判定結果90を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYNパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYNパケットの宛先IPアドレス数が閾値より多いことから、ネットワークセグメントA10a内のコンピュータがワームに感染し、そのワームに感染したコンピュータからネットワークセグメントAを除くネットワーク12のコンピュータに対してランダムスキャンがなされていると判定する。
また、ワーム判定部240bは、最頻出宛先ポート番号が「80」番であり、今回SYNパケットに異常が検出された際の宛先IPアドレス数が、前回SYNパケットに異常が検出された際の宛先IPアドレス数に比べて2倍以上増加したので、ネットワークセグメントA10a内の複数のWebサーバがワームに感染したと判定し、そのワーム判定結果90を出力する。ここでは、宛先IPアドレス数が2倍以上増加した場合に複数のWebサーバが感染したと判定したが、この倍数は任意に設定できる。
このワーム判定結果90は、スキャン方法、スキャン速度、感染台数、感染コンピュータ名、感染コンピュータIPアドレス、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、スキャン速度は、1秒間にスキャンがなされた速度の情報である。感染台数は、ワームに感染したコンピュータの台数であり、感染コンピュータ名は、ワームに感染した可能性のあるコンピュータの名称である。感染コンピュータIPアドレスは、ワームに感染した可能性のあるコンピュータのIPアドレスである。図9の例では、ワームに感染した可能性のある2台分のWebサーバの感染コンピュータ名および感染コンピュータIPアドレスの情報が示されている。
最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号であり、警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージである。図9の例では、ワーム判定結果90は、ネットワークセグメントA10a内の複数のWebサーバがワームに感染した可能性があることを警告メッセージとしてユーザに通知する。
図2の説明に戻ると、設定データ変更部240cは、通信情報取得部240a、ワーム判定部240bまたは通信遮断部240cにより参照される設定データ230aに変更がある場合に、ユーザにより入力された新規の設定を受け付け、設定項目の新たな追加や設定項目の更新、あるいはすでに設定されている設定項目の削除などをおこなって設定データ230aを変更する変更部である。また、設定データ変更部240cは、監視していたSYNパケットに異常が検知された場合に、設定データ230aの設定を、初期設定からSYNパケット異常検知後の設定に変更する処理をおこなう。
通信遮断部240dは、ワーム判定部240bによりパケット通信がワームによりなされたパケット通信であると判定された場合に、ワームによりなされるパケット通信を遮断する遮断部である。この遮断処理は、図3の設定データ230aにおいて設定項目「遮断」が「ON」である場合におこなわれる。また、この通信遮断部240dは、図3の設定データ230aの設定項目「検知から遮断までの時間」を参照し、そこに設定された時間だけ待機した後、遮断処理を開始する。
通信遮断部240dは、具体的には、3通りの方法でワームによるパケット通信を遮断する。図10は、図2に示した通信遮断部240dがおこなうワームによりなされる通信を遮断する遮断処理の例を示す図である。図10に示すように、方法1は、通信遮断部240dが、ワームに感染したと判定されたコンピュータを含んだネットワークセグメントA10a内のすべてのコンピュータからの特定のOutgoing通信(ランダムスキャン)を遮断する方法である。この方法1では、ワームにより送信される通信パケットのプロトコルがTCPベースかUDPベースかの情報や、通信パケットの最頻出宛先ポート番号の情報などを参照してOutgoing通信の遮断をおこなう。その際、通信遮断部240dは、上記情報から特定される通信パケット以外の通信パケットに対しては遮断をおこなわなず、通信障害を最小限に抑制する。
方法2は、通信遮断部240dが、ネットワークセグメントA10a内のワームに感染したと判定されたコンピュータからの特定のOutgoing通信(ランダムスキャン)を遮断する方法である。この方法2では、ワームにより送信される通信パケットのプロトコルがTCPベースかUDPベースかの情報や、ワームに感染したと判定されたコンピュータを特定する送信元IPアドレス、通信パケットの最頻出宛先ポート番号の情報などを参照してOutgoing通信の遮断をおこなう。その際、通信遮断部240dは、上記情報から特定される通信パケット以外の通信パケットに対しては遮断をおこなわず、通信障害を最小限に抑制する。
図11は、ワームによりなされた通信をワーム判定装置20aが遮断する遮断処理を説明する説明図である。図11は、方法1または2によりOutgoing通信の遮断をおこなう場合を示している。図11に示すように、通信遮断部240dは、監視対象としているネットワークセグメントA10aからワームによりなされたOutgoing通信を、ワーム判定装置20aにおいて遮断し、ネットワークセグメントAを除くネットワーク21にワームにより送信された通信パケットが到達するのを防止する。ワームにより送信された通信パケット以外の通信パケットは、通信遮断部240dは、ワーム判定装置20aを通過させ、通信障害を回避する。
図10の説明に戻ると、方法3は、方法1または方法2による遮断処理の後、通信遮断部240dが、ワームに感染したと判定されたコンピュータのランダムスキャンを遠隔操作で停止する方法である。具体的には、通信遮断部240dは、ワームに感染したと判定されたコンピュータにアクセスし、ランダムスキャンをおこなっているプロセスを停止させたり、ワームに感染したと判定されたコンピュータのパーソナルファイアウォール等の機能をアクティブに設定し、自装置がおこなっているランダムスキャンを自装置に遮断させる。この方法3では、ワームにより送信される通信パケットのプロトコルがTCPベースかUDPベースかの情報や、ワームに感染したと判定されたコンピュータを特定する送信元IPアドレス、通信パケットの最頻出宛先ポート番号の情報などを参照して、遠隔操作によりランダムスキャンの遮断をおこなう。その際、通信遮断部240dは、上記情報から特定される通信パケット以外の通信パケットに対する遮断を、ワームに感染したと判定されたコンピュータがおこなわないように操作し、通信障害を最小限に抑制する。
図12は、ワームによりなされた通信を感染コンピュータ自体に遮断させる遮断処理を説明する説明図である。図12は、方法3によりランダムスキャンの遮断をおこなう場合を示している。図12に示すように、通信遮断部240dは、監視対象としているネットワークセグメントA10aからのランダムスキャンを、ワームに感染していると判定されたコンピュータ自体に遮断させ、ネットワークセグメントAを除くネットワーク21にワームにより送信された通信パケットが到達するのを防止する。ワームにより送信された通信パケット以外の通信パケットに対しては、通信遮断部240dは、ワームに感染したと判定されたコンピュータが遮断をおこなわないようにそのコンピュータを操作し、通信障害を回避する。なお、ここでは、方法1または2による遮断処理の後に方法3による遮断処理をおこなうこととしたが、方法3による遮断処理を単独でおこなうこととしてもよい。
ここで、特許請求の範囲または後述の付記における「通信情報取得手段」および「通信情報取得手順」・「通信情報取得工程」は、図2に示した通信情報取得部240aおよび通信情報取得部240aがおこなう手順・工程に対応し、「ワーム判定手段」および「ワーム判定手順」・「ワーム判定工程」は、ワーム判定部240bおよびワーム判定部240bがおこなう手順・工程に対応し、「設定情報変更手順」は、設定データ変更部240cがおこなう手順に対応し、「通信遮断手段」および「通信遮断手順」・「通信遮断工程」は、通信遮断部240dおよび通信遮断部240dがおこなう手順・工程に対応する。
また、特許請求の範囲または後述の付記における「情報の取得に係る設定情報」は、図3に示した「SYNパケットの計測単位時間」、「SYN ACKパケットの計測単位時間」、「UDPパケットの計測単位時間」、「ICMP(request)パケットの計測単位時間」、「ICMP(reply)パケットの計測単位時間」、「宛先IPアドレスの計測単位時間」、「送信元IPアドレスの計測単位時間」、「宛先ポート番号の参照」、「監視場所」、「監視するネットワークの方向」の各設定項目の情報に対応し、「通信がワームによりなされた通信か否かを規定する判定基準」は、「SYNパケット数の閾値」、「SYN ACKパケット数の閾値」、「UDPパケットの閾値」、「ICMP(request)パケットの閾値」、「ICMP(reply)パケットの閾値」、「宛先IPアドレス数の閾値」、「送信元IPアドレス数の閾値」に対応する。
また、特許請求の範囲または後述の付記における「コンピュータに係る情報」は、図6、図7または図9に示したワーム判定結果60、70または90における「スキャン元IPアドレス」、「感染台数」、「感染コンピュータ名」および「感染コンピュータIPアドレス」などに対応し、「通信状況に係る情報」は、図6〜図9に示したワーム判定結果60、70、80または90における「スキャン方法」、「最頻出宛先ポート番号」、警告メッセージ、「スキャン速度」などに対応し、「ログ」は、図2に示した通信ログデータ230bに対応する。
つぎに、本実施例に係るワーム判定装置20aのハードウェア構成について説明する。図13は、本実施例に係るワーム判定装置20aのハードウェア構成について説明するブロック図である。図13に示すように、このワーム判定装置20aは、キーボード130、ディスプレイ131、CPU132、RAM133、HDD134、ROM136、ネットワークI/F137をバス138で接続した構成となる。
ネットワークI/F137は、ネットワークセグメントA10aまたはネットワークセグメントAを除くネットワーク12とワーム判定装置20aとの間での、LAN21またはネットワーク11を介した通信処理をおこなう。
また、HDD134が格納および読み出し制御する記憶媒体であるハードディスク(HD)135には、本実施例で示されるワーム判定方法をコンピュータで実行することにより実現するワーム判定プログラム135aが記憶され、実行時にRAM133に読み込まれた後、CPU132によりプログラムが解析され、ワーム判定プロセスの実行がおこなわれる。
このワーム判定プロセスが、図2に示した制御部240内の通信情報取得部240a、ワーム判定部240b、設定データ変更部240cおよび通信遮断部240dの各部の機能に対応する。また、設定データ240a、通信ログデータ240bおよびワームデータ240cもHD135に記憶され、RAM133に読み込まれてCPU132により参照される。
なお、このワーム判定プログラム135aは、インターネットなどのネットワークを介して配布することができる。また、ワーム判定プログラム135aは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
つぎに、本実施例に係るワーム判定処理の処理手順について説明する。図14は、本実施例に係るワーム判定処理の処理手順を示すフローチャートである。図14に示すように、まず、ワーム判定装置20aの設定データ変更部240cは、設定データ230aの変更がある場合に、ユーザにより入力された設定を受け付ける(ステップS1401)。
続いて、通信情報取得部240aは、ネットワークセグメントA10a内のコンピュータとネットワークセグメントAを除くネットワーク12内のコンピュータとの間のネットワーク通信を監視し(ステップS1402)、設定データ230aに設定された計測単位時間に基づいてパケットを計測する計測時刻になったか否かを調べる(ステップS1403)。
パケットを計測する計測時刻にまだなっていない場合には(ステップS1403,No)、ステップS1402に移行してそれ以降の処理を継続する。パケットを計測する計測時刻になった場合には(ステップS1403,Yes)、通信情報取得部240aは、パケット情報を取得し、取得した情報を通信ログデータ230bに記憶する(ステップS1404)。
その後、ワーム判定部240bは、通信情報取得部240aにより取得され、通信ログデータ230bに記憶された情報を基にして、ワームによるパケット通信がなされたか否かの状況を判定する処理をおこなう(ステップS1405)。この状況判定処理については、のちに図15−1および図15−2で詳細に説明する。
そして、ワーム判定部240bが、監視対象としているパケット通信がワームによるものではないと判定した場合には(ステップS1406,No)、ステップS1402に移行してそれ以降の処理を継続する。パケット通信がワームによるものと判定した場合には(ステップS1406,Yes)、ワーム判定部240bは、ワームのスキャン方法やスキャン速度、スキャン特徴が類似しているワームの情報などを取得して、出力する処理をおこなう(ステップS1407)。
その後、通信遮断部240dは、図10〜図12で説明したような方法で、ワームによりなされたと判定されるパケット通信を遮断する処理をおこない(ステップS1408)、このワーム判定処理を終了する。
つぎに、図14に示した状況判定処理の処理手順について説明する。図15−1および図15−2は、図14に示した状況判定処理の処理手順を示すフローチャート(1)および(2)である。図15−1に示すように、まず、ワーム判定部240bは、通信情報取得部240aが取得したSYN ACKパケット数が設定データ230aに設定されたSYN ACKパケット数の閾値よりも大きく、かつ、送信元IPアドレス数が設定データ230aに設定された送信元IPアドレス数の閾値よりも大きいか否かを調べる(ステップS1501)。
そして、ワーム判定部240bは、SYN ACKパケット数がSYN ACKパケット数の閾値よりも大きく、かつ、送信元IPアドレス数が送信元IPアドレス数の閾値よりも大きい場合には(ステップS1501,Yes)、ネットワークセグメントA10a外からのワームスキャンがあると判定し(ステップS1502)、図15−2に示されるように、判定結果を通信ログデータ230bに記憶して(ステップS1511)、この状況判定処理を終了する。
ステップS1501において、SYN ACKパケット数がSYN ACKパケット数の閾値よりも大きいという条件、または、送信元IPアドレス数が送信元IPアドレス数の閾値よりも大きいという条件のいずれかが満足されない場合には(ステップS1501,No)、ワーム判定部240bは、通信情報取得部240aが取得したSYNパケット数が設定データ230aに設定されたSYNパケット数の閾値よりも大きく、かつ、宛先IPアドレス数が設定データ230aに設定された宛先IPアドレス数の閾値よりも大きいか否かを調べる(ステップS1503)。
そして、SYNパケット数がSYNパケット数の閾値よりも大きいという条件、または、宛先IPアドレス数が宛先IPアドレス数の閾値よりも大きいという条件のいずれかが満足されない場合には(ステップS1503,No)、ネットワークセグメントA10a外からのワームスキャンはないと判定し(ステップS1504)、図15−2に示されるように、判定結果を通信ログデータ230bに記憶して(ステップS1511)、この状況判定処理を終了する。
SYNパケット数がSYNパケット数の閾値よりも大きく、かつ、宛先IPアドレス数が宛先IPアドレス数の閾値よりも大きい場合には(ステップS1503,Yes)、ワーム判定部240bは、ネットワークセグメントA10a外からのワームスキャンがあると過去の所定の時間内に判定されたか否かを調べる(ステップS1505)。過去の所定の時間内とは、たとえば、5分前から現時点までの間などである。
ネットワークセグメントA10a外からのワームスキャンがあると過去の所定の時間内に判定された場合には(ステップS1505,Yes)、ワーム判定部240bは、図15−2に示されるように、ネットワークセグメントA10a内のコンピュータがネットワークセグメントA10a外からのパケット通信によりワームに感染したと判定する(ステップS1506)。
ネットワークセグメントA10a外からのワームスキャンがあると過去の所定の時間内に判定されなかった場合には(ステップS1505,No)、ワーム判定部240bは、図15−2に示されるように、ネットワークセグメントA10a内のコンピュータがネットワークセグメントA10a外からのパケット通信以外の原因でワームに感染したと判定する(ステップS1507)。ここで、ネットワークセグメントA10a外からのパケット通信以外の原因とは、ネットワークセグメントA10a内のコンピュータが、フレキシブルディスク(FD)やCD−ROMなどの記憶媒体からワームに感染した場合などである。
ステップS1506またはステップS1507の判定処理ののち、ワーム判定部240bは、今回検出した宛先IPアドレス数が、過去の所定の時間内に検出した宛先IPアドレス数の最大値を2倍した数以上であるか否かを調べる(ステップS1508)。そして、今回検出した宛先IPアドレス数が、過去の所定の時間内に検出した宛先IPアドレス数の最大値を2倍した数以上である場合には(ステップS1508,Yes)、ネットワークセグメントA10a内の複数のコンピュータがワームに感染したと判定し(ステップS1509)、設定データ変更部240cは、通信情報取得部240a、ワーム判定部240bまたは通信遮断部240dにより参照される設定データ230aの設定を、初期設定からSYNパケット異常検知後の設定に変更する処理をおこなう(ステップS1510)。
ステップS1508において、今回検出した宛先IPアドレス数が、過去の所定の時間内に検出した宛先IPアドレス数の最大値を2倍した数以上でない場合には(ステップS1510)、ステップS1510に移行して、設定データ変更部240cは、設定データ230aの設定を、初期設定からSYNパケット異常検知後の設定に変更する処理をおこなう。その後、ワーム判定部240bは、判定結果を通信ログデータ230bに記憶し、この状況判定処理を終了する。
上述してきたように、本実施例では、通信情報取得部240aが、設定データ230aに記憶された情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得し、ワーム判定部240bが、通信情報取得部240aにより取得された情報および通信がワームによりなされた通信か否かを規定する、設定データ230aに記憶された判定基準に係る情報に基づいて、通信がワームによりなされた通信か否かを判定することとしたので、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができる。
また、本実施例では、通信がワームによりなされた通信と判定された場合に、設定データ変更部240cが、設定データ230aに記憶された情報の取得に係る設定情報を変更し、通信情報取得部240aは、変更された情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得することとしたので、通信がワームによりなされた通信と判定された場合に情報の取得に係る設定情報を変更することにより、さらに詳細にワームの挙動を監視することができる。
また、本実施例では、設定データ変更部240cが、設定データ230aに記憶された情報の取得に係る設定情報に新たに設定する情報の追加、または、すでに情報の取得に係る設定情報に設定されている情報の削除をおこなうこととしたので、情報の取得に係る設定情報を適宜更新することにより、ワームの挙動を適切に監視することができる。
また、本実施例では、通信がワームによりなされた通信と判定された場合に、設定データ変更部240cが、設定データ230aに記憶された判定基準に係る情報を変更し、通信情報取得部240aにより取得された情報および変更された判定基準に係る情報に基づいて通信がワームによりなされた通信か否かを判定することとしたので、通信がワームによりなされた通信と判定された場合に判定基準に係る情報を変更することにより、さらに厳密に通信がワームによりなされた通信か否かを判定することができる。
また、本実施例では、設定データ変更部240cが、設定データ230aに記憶された判定基準に係る情報に新たに設定する情報の追加、または、すでに判定基準に係る情報に設定されている情報の削除をおこなうこととしたので、判定基準に係る情報を適宜更新することにより、通信がワームによりなされたものか否かを適切に判定できる。
また、本実施例では、ワーム判定部240bが、通信を監視する監視対象であるネットワークセグメントA10aからネットワークセグメントAを除くネットワーク12に送信される通信パケットのパケット量が増加し、かつ、通信パケットの宛先アドレス数が増加した場合に、ネットワークセグメントA10a内のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信がネットワークセグメントA10a内のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができる。
また、本実施例では、ワーム判定部240bが、通信を監視する監視対象であるネットワークセグメントA10a内のコンピュータからの通信がワームによりなされた通信であると以前に判定され、ネットワークセグメントA10aからネットワークセグメントA10aを除くネットワーク12に送信される通信パケットの宛先アドレス数が、通信がワームによりなされた通信であると判定する際に、通信情報取得部240aにより取得されたネットワークセグメントA10aからネットワークセグメントA10aを除くネットワーク12に送信される通信パケットの宛先アドレス数より増加した場合に、ネットワークセグメントA10a内のコンピュータからの通信が複数のコンピュータに感染したワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメントA10a内の複数のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができる。
また、本実施例では、ワーム判定部240bが、通信を監視する監視対象であるネットワークセグメントA10aに対してネットワークセグメントAを除くネットワーク12から送信された通信パケットに対する応答通信パケットのパケット量が増加し、かつ、通信パケットの送信元アドレス数が増加した場合に、ネットワークセグメントA10a外のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメントA10a外のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができる。
また、本実施例では、ワーム判定部240bが、通信をワームによりなされた通信と判定した場合に、通信をおこなったコンピュータに係る情報をさらに出力することとしたので、出力されたコンピュータに係る情報を基にしてワームに感染している可能性のあるコンピュータを特定することができる。
また、本実施例では、ワーム判定部240bが、通信をワームによりなされた通信と判定した場合に、通信の通信状況に係る情報をさらに出力することとしたので、出力された通信状況に係る情報を基にしてワームの活動状況を知ることができる。
また、本実施例では、ワーム判定部240bが、通信がワームによりなされた通信か否かを判定した結果を通信ログデータ230bとして記憶することとしたので、過去のワームによりなされた通信の状況をいつでも調べることができる。
また、本実施例では、ワーム判定部240bが、通信をワームによりなされた通信と判定した場合に、ワームによりなされる通信に係るワームデータ230cに記憶された特徴とワームによりなされたと判定した通信に係る特徴とを比較することによりワームの種類を推定することとしたので、推定されたワームの種類の情報を基にしてワームの攻撃に適切に対応することができる。
また、本実施例では、通信遮断部240dが、通信がワームによりなされた通信と判定された場合に、ワームによりなされる通信を遮断することとしたので、ワームの増殖を効果的に抑制することができる。
また、本実施例では、通信遮断部240dが、ワームにより起動されたプロセスを停止することによりワームによりなされる通信を遮断することとしたので、ワームがおこなう処理自体を停止させることにより、ワームの増殖を効果的に抑制することができる。
また、本実施例では、通信遮断部240dが、ワームによりなされる通信をワームが存在していると判定されるコンピュータのファイアウォール機能を有効にすることにより遮断することとしたので、ワームによりなされる通信をワームに感染しているコンピュータに遮断させることにより、ワームの増殖を効果的に抑制することができる。
さて、これまで本発明の実施の形態について説明したが、本発明は上述した実施の形態以外にも、上記特許請求の範囲に記載した技術的思想の範囲内において種々の異なる実施例にて実施されてもよいものである。
例えば、本実施例では、ここでは、ワーム判定装置20aをネットワークセグメントA10aにLAN21を介して接続することとしたが、本発明はこれに限定されるものではなく、ワーム判定装置20aをネットワークセグメントA10a内のコンピュータに直結することとしてもよい。また、ネットワークセグメントA10aがコンピュータを一台のみ含む場合に、ワーム判定プログラムをそのコンピュータに導入し、そのコンピュータがネットワークセグメントA10aに係る通信を監視してワーム判定処理をおこなうこととしてもよい。
また、SYNパケットとSYN ACKパケットとを監視する監視する通信パケットの種類として主に取り上げて説明したが、本発明はこれに限定されるものではなく、UDPパケットやICMPパケット、あるいはその他のプロトコルによるパケットにも本発明を同様に適用することができる。
また、本実施例では、図5〜図9に示したような判定方法に基づいて、通信がワームによりなされた通信か否かを判定することとしたが、本発明はこれに限定されるものではなく、通信パケットの通信量および通信パケットの通信アドレスに係る情報を用いた他のさまざまな判定方法を適用することとしてもよい。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、ワーム判定装置20a〜20dの分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、ワーム判定装置20a〜20dによりおこなわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(付記1)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラムであって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、
前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、
をコンピュータに実行させることを特徴とするワーム判定プログラム。
(付記2)前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、前記情報の取得に係る設定情報を変更する設定情報変更手順をさらに含み、前記通信情報取得手順は、前記情報取得設定変更手順により変更された情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得することを特徴とする付記1に記載のワーム判定プログラム。
(付記3)前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、前記判定基準に係る情報を変更する判定基準情報変更手順をさらに含み、前記ワーム判定手順は、前記通信情報取得手順により取得された情報および前記判定基準情報変更手順により変更された判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定することを特徴とする付記1または2に記載のワーム判定プログラム。
(付記4)前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットのパケット量が増加し、かつ、該通信パケットの宛先アドレス数が増加した場合に、前記所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると判定することを特徴とする付記1、2または3に記載のワーム判定プログラム。
(付記5)前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると以前に判定され、該所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数が、前記通信がワームによりなされた通信であると判定する際に前記通信情報取得手段により取得された該所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数より増加した場合に、該所定のネットワークセグメント内のコンピュータからの通信が複数のコンピュータに感染したワームによりなされた通信であると判定することを特徴とする付記4に記載のワーム判定プログラム。
(付記6)前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメントに対して該所定のネットワークセグメント外部から送信された通信パケットに対する応答通信パケットのパケット量が増加し、かつ、該通信パケットの送信元アドレス数が増加した場合に、前記所定のネットワークセグメント外部のコンピュータからの通信がワームによりなされた通信であると判定することを特徴とする付記1〜5のいずれか1つに記載のワーム判定プログラム。
(付記7)前記ワーム判定手順は、前記通信をワームによりなされた通信と判定した場合に、該通信をおこなったコンピュータもしくは通信状況に係る情報をさらに出力することを特徴とする付記1〜6のいずれか1つに記載のワーム判定プログラム。
(付記8)前記ワーム判定手順は、前記通信をワームによりなされた通信と判定した場合に、ワームによりなされる通信に係るあらかじめ登録された特徴とワームによりなされたと判定した通信に係る特徴とを比較することにより前記ワームの種類を推定することを特徴とする付記1〜7のいずれか1つに記載のワーム判定プログラム。
(付記9)前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、該ワームによりなされる通信を遮断する通信遮断手順を含んだことを特徴とする付記1〜8のいずれか1つに記載のワーム判定プログラム。
(付記10)前記通信遮断手順は、ワームにより起動されたプロセスを停止することによりワームによりなされる通信を遮断することを特徴とする付記9に記載のワーム判定プログラム。
(付記11)前記通信遮断手順は、ワームによりなされる通信を該ワームが存在していると判定されるコンピュータのファイアウォール機能を有効にすることにより遮断することを特徴とする付記9に記載のワーム判定プログラム。
(付記12)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、
前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、
をコンピュータに実行させるワーム判定プログラムを記録したことを特徴とするコンピュータ読み取り可能な記録媒体。
(付記13)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定方法であって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得工程と、
前記通信情報取得工程により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定工程と、
を含んだことを特徴とするワーム判定方法。
(付記14)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定装置であって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手段と、
前記通信情報取得手段により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手段と、
を備えたことを特徴とするワーム判定装置。
以上のように、本発明に係るワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置は、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することが必要なワーム判定システムに有用である。
本実施例に係るワーム判定システムの概念について説明する概念図である。 本実施例に係るワーム判定装置の機能的構成について説明する機能ブロック図である。 図2に示した設定データの一例を示す図である。 図2に示した通信ログデータの一例を示す図である。 図2に示したワーム判定部がおこなうパケットの種類ごとのワーム判定処理の例を示す図である。 図2に示したワーム判定部がおこなうネットワークセグメントA外からのワームスキャンの有無を判定する処理の一例を示す図である。 図2に示したワーム判定部がおこなうワーム感染の有無を判定する処理の一例を示す図である。 図2に示したワーム判定部がおこなうネットワークセグメントA外からの攻撃によるワーム感染の有無を判定する処理の一例を示す図である。 図2に示したワーム判定部がおこなう複数コンピュータのワーム感染の有無を判定する処理の一例を示す図である。 図2に示した通信遮断部がおこなうワームによりなされる通信を遮断する遮断処理の例を示す図である。 ワームによりなされた通信をワーム判定装置が遮断する遮断処理を説明する説明図である。 ワームによりなされた通信を感染コンピュータ自体に遮断させる遮断処理を説明する説明図である。 本実施例に係るワーム判定装置のハードウェア構成について説明するブロック図である。 本実施例に係るワーム判定処理の処理手順を示すフローチャートである。 図14に示した状況判定処理の処理手順を示すフローチャート(1)である。 図14に示した状況判定処理の処理手順を示すフローチャート(2)である。 ネットワークセグメントの概念を説明する概念図である。
符号の説明
10a〜10d、16a〜16d ネットワークセグメント
11 ネットワーク
130 キーボード
131 ディスプレイ
132 CPU
133 RAM
134 HDD
135 HD
135a ワーム判定プログラム
136 ROM
137 ネットワークI/F
138 バス
17a〜17c、20a〜20d ワーム判定装置
200 インターフェース部
21 LAN
210 入力部
220 表示部
230 記憶部
230a 設定データ
230b 通信ログデータ
230c ワームデータ
240 制御部
240a 通信情報取得部
240b ワーム判定部
240c 設定データ変更部
240d 通信遮断部
60、70、80、90 ワーム判定結果

Claims (8)

  1. ネットワークに接続されたネットワークセグメントに係る通信を監視してネットワークセグメント内外におけるワーム感染の有無を判定するワーム判定プログラムであって、
    ネットワークセグメント内から外部へ送信される通信パケットの通信量および当該通信パケットの通信アドレスに係る情報を取得する取得工程と、
    前記取得工程にて取得された通信パケットの通信量が所定量以上となり、かつ、前記取得工程にて取得された通信アドレス数が所定数以上となった場合に、ネットワークセグメント内外のいずれかにおいてワーム感染があると判定する第1判定工程と、
    前記第1判定工程にてネットワークセグメント内にワーム感染があると判定され、かつ、前記取得工程にて取得された通信アドレス数のうち宛先アドレス数が過去の判定結果の履歴における宛先アドレス数の所定数倍以上である場合に、ネットワークセグメント内の複数のコンピュータにワームが感染したと判定する第2判定工程と
    をコンピュータに実行させることを特徴とするワーム判定プログラム。
  2. 前記第2判定工程は、
    前記第1判定工程にてワーム感染があると判定され、かつ、過去の判定結果の履歴においてネットワークセグメント外部のワーム感染がある場合に、ネットワークセグメント外部からのパケット通信によってネットワークセグメント内のワーム感染が発生したと判定することを特徴とする請求項1記載のワーム判定プログラム。
  3. 前記第2判定工程は、
    前記第1判定工程にてワーム感染があると判定され、かつ、過去の判定結果の履歴においてネットワークセグメント外部のワーム感染がない場合に、パケット通信以外の原因によってネットワークセグメント内のワーム感染が発生したと判定することを特徴とする請求項1記載のワーム判定プログラム。
  4. 前記第2判定工程は、
    前記第1判定工程にてワーム感染があると判定された時点から所定時間以内の過去の判定結果を参照することを特徴とする請求項1記載のワーム判定プログラム。
  5. 前記第1判定工程は、
    ネットワークセグメント内から外部へ送信される通信パケットの通信量が所定量以上となり、かつ、通信パケットの宛先アドレス数が所定数以上となった場合に、ネットワークセグメント内においてワーム感染があると判定することを特徴とする請求項1記載のワーム判定プログラム。
  6. 前記第1判定工程は、
    外部からネットワークセグメント内へ送信される通信パケットに対する応答通信パケットの通信量が所定量以上となり、かつ、通信パケットの送信元アドレス数が所定数以上となった場合に、ネットワークセグメント外部においてワーム感染があると判定することを特徴とする請求項1記載のワーム判定プログラム。
  7. ネットワークに接続されたネットワークセグメントに係る通信を監視してネットワークセグメント内外におけるワーム感染の有無を判定するワーム判定方法であって、
    ネットワークセグメント内から外部へ送信される通信パケットの通信量および当該通信パケットの通信アドレスに係る情報を取得する取得工程と、
    前記取得工程にて取得された通信パケットの通信量が所定量以上となり、かつ、前記取得工程にて取得された通信アドレス数が所定数以上となった場合に、ネットワークセグメント内外のいずれかにおいてワーム感染があると判定する第1判定工程と、
    前記第1判定工程にてネットワークセグメント内にワーム感染があると判定され、かつ、前記取得工程にて取得された通信アドレス数のうち宛先アドレス数が過去の判定結果の履歴における宛先アドレス数の所定数倍以上である場合に、ネットワークセグメント内の複数のコンピュータにワームが感染したと判定する第2判定工程と
    を有することを特徴とするワーム判定方法。
  8. ネットワークに接続されたネットワークセグメントに係る通信を監視してネットワークセグメント内外におけるワーム感染の有無を判定するワーム判定装置であって、
    ネットワークセグメント内から外部へ送信される通信パケットの通信量および当該通信パケットの通信アドレスに係る情報を取得する取得手段と、
    前記取得手段によって取得された通信パケットの通信量が所定量以上となり、かつ、前記取得手段によって取得された通信アドレス数が所定数以上となった場合に、ネットワークセグメント内外のいずれかにおいてワーム感染があると判定する第1判定手段と、
    前記第1判定手段によってネットワークセグメント内にワーム感染があると判定され、かつ、前記取得手段によって取得された通信アドレス数のうち宛先アドレス数が過去の判定結果の履歴における宛先アドレス数の所定数倍以上である場合に、ネットワークセグメント内の複数のコンピュータにワームが感染したと判定する第2判定手段と
    を有することを特徴とするワーム判定装置。
JP2003367272A 2003-10-28 2003-10-28 ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 Expired - Fee Related JP4051020B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003367272A JP4051020B2 (ja) 2003-10-28 2003-10-28 ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置
US10/812,622 US20050091533A1 (en) 2003-10-28 2004-03-30 Device and method for worm detection, and computer product

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003367272A JP4051020B2 (ja) 2003-10-28 2003-10-28 ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置

Related Child Applications (4)

Application Number Title Priority Date Filing Date
JP2006266091A Division JP4303741B2 (ja) 2006-09-28 2006-09-28 通信遮断装置、通信遮断プログラムおよび通信遮断方法
JP2006266089A Division JP2007074738A (ja) 2006-09-28 2006-09-28 ワーム判定装置、ワーム判定プログラムおよびワーム判定方法
JP2006266088A Division JP2007082241A (ja) 2006-09-28 2006-09-28 通信遮断装置、通信遮断プログラムおよび通信遮断方法
JP2006266090A Division JP4441517B2 (ja) 2006-09-28 2006-09-28 ワーム判定装置、ワーム判定プログラムおよびワーム判定方法

Publications (2)

Publication Number Publication Date
JP2005134974A JP2005134974A (ja) 2005-05-26
JP4051020B2 true JP4051020B2 (ja) 2008-02-20

Family

ID=34510288

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003367272A Expired - Fee Related JP4051020B2 (ja) 2003-10-28 2003-10-28 ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置

Country Status (2)

Country Link
US (1) US20050091533A1 (ja)
JP (1) JP4051020B2 (ja)

Families Citing this family (172)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8407798B1 (en) 2002-10-01 2013-03-26 Skybox Secutiry Inc. Method for simulation aided security event management
US8359650B2 (en) * 2002-10-01 2013-01-22 Skybox Secutiry Inc. System, method and computer readable medium for evaluating potential attacks of worms
WO2005057345A2 (en) * 2003-12-05 2005-06-23 Cambia Security, Inc. Real-time change detection for network systems
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8528086B1 (en) * 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
JP2006072684A (ja) * 2004-09-02 2006-03-16 Hitachi Ltd ストレージネットワークシステム及び管理サーバ、ホストとストレージ装置
JP4547342B2 (ja) * 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 ネットワーク制御装置と制御システム並びに制御方法
US7860006B1 (en) * 2005-04-27 2010-12-28 Extreme Networks, Inc. Integrated methods of performing network switch functions
US20060294588A1 (en) * 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions
JP2007013263A (ja) * 2005-06-28 2007-01-18 Fujitsu Ltd ワーム判定プログラム、ワーム判定方法およびワーム判定装置
JP2007013343A (ja) * 2005-06-28 2007-01-18 Fujitsu Ltd ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置
CN101069164B (zh) * 2005-09-30 2010-04-14 株式会社Ntt都科摩 信息通信装置和消息显示方法
US7881700B2 (en) 2005-09-30 2011-02-01 Ntt Docomo, Inc. Information communication apparatus and message displaying method
US7971256B2 (en) * 2005-10-20 2011-06-28 Cisco Technology, Inc. Mechanism to correlate the presence of worms in a network
JP4725724B2 (ja) * 2005-10-27 2011-07-13 日本電気株式会社 クラスタ障害推定システム
US8255996B2 (en) 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation
JP2007249579A (ja) * 2006-03-15 2007-09-27 Fujitsu Ltd ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システム
US20080028180A1 (en) * 2006-07-31 2008-01-31 Newman Alex P Inappropriate access detector based on system segmentation faults
KR100789722B1 (ko) * 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법
JP2008129707A (ja) * 2006-11-17 2008-06-05 Lac Co Ltd プログラム分析装置、プログラム分析方法、及びプログラム
JP4883409B2 (ja) * 2007-01-22 2012-02-22 独立行政法人情報通信研究機構 データ類似性検査方法及び装置
US20080295153A1 (en) * 2007-05-24 2008-11-27 Zhidan Cheng System and method for detection and communication of computer infection status in a networked environment
JP5050781B2 (ja) 2007-10-30 2012-10-17 富士通株式会社 マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
US9191399B2 (en) * 2012-09-11 2015-11-17 The Boeing Company Detection of infected network devices via analysis of responseless outgoing network traffic
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9507935B2 (en) 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL152502A0 (en) * 2000-04-28 2003-05-29 Internet Security Systems Inc Method and system for managing computer security information
JP2002063084A (ja) * 2000-08-21 2002-02-28 Toshiba Corp パケット転送装置、パケット転送方法、及びそのプログラムが格納された記憶媒体
US20060265746A1 (en) * 2001-04-27 2006-11-23 Internet Security Systems, Inc. Method and system for managing computer security information
US20030056116A1 (en) * 2001-05-18 2003-03-20 Bunker Nelson Waldo Reporter
US20030084321A1 (en) * 2001-10-31 2003-05-01 Tarquini Richard Paul Node and mobile device for a mobile telecommunications network providing intrusion detection
JP4088082B2 (ja) * 2002-02-15 2008-05-21 株式会社東芝 未知コンピュータウイルスの感染を防止する装置およびプログラム
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
US7159149B2 (en) * 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks

Also Published As

Publication number Publication date
JP2005134974A (ja) 2005-05-26
US20050091533A1 (en) 2005-04-28

Similar Documents

Publication Publication Date Title
JP4051020B2 (ja) ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置
US7752668B2 (en) Network virus activity detecting system, method, and program, and storage medium storing said program
CN105721461B (zh) 利用专用计算机安全服务的系统和方法
JP4709160B2 (ja) サービス不能攻撃検知システムおよびサービス不能攻撃検知方法
JP4827972B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
JP6291135B2 (ja) コネクション制御装置、コネクション制御方法およびコネクション制御プログラム
JP4429218B2 (ja) ネットワーク遮断制御プログラム及びネットワーク遮断装置
US8966630B2 (en) Generating and distributing a malware countermeasure
JP2006319982A (ja) 通信ネットワーク内ワーム特定及び不活化方法及び装置
US8539581B2 (en) Efficient distribution of a malware countermeasure
JP4303741B2 (ja) 通信遮断装置、通信遮断プログラムおよび通信遮断方法
JP5286018B2 (ja) 情報処理装置、プログラム、および記録媒体
JP2008278272A (ja) 電子システム、電子機器、中央装置、プログラム、および記録媒体
EP1754348B1 (en) Using address ranges to detect malicious activity
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP4161989B2 (ja) ネットワーク監視システム
JP4437107B2 (ja) コンピュータシステム
US20130346602A1 (en) System, method, and computer program product for selecting a wireless network based on security information
JP4441517B2 (ja) ワーム判定装置、ワーム判定プログラムおよびワーム判定方法
JP2007082241A (ja) 通信遮断装置、通信遮断プログラムおよび通信遮断方法
CN113783892B (zh) 反射攻击检测方法、系统、设备及计算机可读存储介质
JP2007074738A (ja) ワーム判定装置、ワーム判定プログラムおよびワーム判定方法
JP5952220B2 (ja) ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム
JP2008165601A (ja) 通信監視システム、通信監視装置、及び通信制御装置
CN107733927B (zh) 一种僵尸网络文件检测的方法、云服务器、装置及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050413

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070420

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070612

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070810

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071102

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071127

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071130

R150 Certificate of patent or registration of utility model

Ref document number: 4051020

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101207

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111207

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111207

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121207

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121207

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131207

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees