JP4303741B2 - Communication interruption device, communication interruption program, and communication interruption method - Google Patents
Communication interruption device, communication interruption program, and communication interruption method Download PDFInfo
- Publication number
- JP4303741B2 JP4303741B2 JP2006266091A JP2006266091A JP4303741B2 JP 4303741 B2 JP4303741 B2 JP 4303741B2 JP 2006266091 A JP2006266091 A JP 2006266091A JP 2006266091 A JP2006266091 A JP 2006266091A JP 4303741 B2 JP4303741 B2 JP 4303741B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- worm
- packet
- address
- network segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
Description
この発明は、所定のネットワークセグメントと、該所定のネットワークセグメント外部との間でなされる通信を監視して、ワームによりなされた通信を遮断する通信遮断装置、通信遮断プログラムおよび通信遮断方法に関し、特に、ワームの増殖を効果的に抑制することができる通信遮断装置、通信遮断プログラムおよび通信遮断方法に関するものである。 The present invention relates to a communication cut-off device, a communication cut-off program, and a communication cut-off method for monitoring communication between a predetermined network segment and the outside of the predetermined network segment and blocking communication performed by a worm. The present invention relates to a communication cut-off device, a communication cut-off program, and a communication cut-off method that can effectively suppress the proliferation of worms.
また、この発明は、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置に関し、特に、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができるワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置に関するものである。 The present invention also provides a worm determination program for monitoring communication related to a predetermined network segment connected to a network and determining whether the communication is communication performed by a worm, or a computer-readable computer storing the worm determination program In particular, a worm determination program and a worm that can easily and efficiently determine whether communication is performed by a worm regardless of whether it is a server device or a client device. The present invention relates to a computer-readable storage medium storing a determination program, a worm determination method, and a worm determination device.
近年、自己増殖を繰り返しながらコンピュータに次々と感染し、コンピュータに悪影響を及ぼすワームと呼ばれるコンピュータウィルスによる被害が拡大してきている。古くは、ワームは、フレキシブルディスク(FD)やCD−ROMなどを介してコンピュータに感染していたため感染力がそれほど大きくはなかったが、最近は、インターネットが普及するにつれワームの感染力が加速度的に大きくなり、ワームに対する防御をいかにおこなうかが大きな問題となっている。 In recent years, computers have been infected one after another while repeating self-replication, and the damage caused by computer viruses called worms that adversely affect computers has been increasing. In the old days, worms were not so infectious because they were infected to computers via flexible disks (FD) and CD-ROMs. Recently, the worm's infectivity has accelerated as the Internet has spread. The problem is how to protect against worms.
そのため、特許文献1には、ワームを含んでいるかどうかを検査する検査対象を仮想的に構築したコンピュータ環境に導入し、その検査対象が仮想的なコンピュータ環境における所定のファイルを変更するか否かを監視することにより、ワームであるか否かを判定するワームの検査方法が開示されている。
For this reason,
また、非特許文献1には、ワームにより攻撃された場合に必ず生じるサーバ装置の振る舞い(データI/Oやシステムコールなどの系列)をあらかじめ監視ルールとして定義しておき、ワームを含んでいるかどうかを検査する検査対象をアクセス検査サーバ装置に導入して、その動作を監視することによりワームによる攻撃を検出するWebサーバ防御システムが開示されている。
Also, in Non-Patent
しかしながら、上記特許文献1の従来技術では、通信をおこなう度に検査対象をあらかじめ構築しておいた仮想的なコンピュータ環境に導入し、その仮想的なコンピュータ環境に対する感染の有無を検査する必要があるため、すべての通信に関してワームの検出をおこなうのは効率的でなく、ワームを含んでいる危険性のある通信のみに対して検査をおこなうにしても、その危険性を判定する基準を定めることが難しいという問題があった。
However, in the prior art disclosed in
また、非特許文献2の従来技術では、ワームにより攻撃された場合に必ず生じるサーバ装置の振る舞いを監視ルールとして定義しておくこととしているが、多くの用途に使用され、さまざまな振る舞いを示すクライアント装置に対して、ワーム攻撃による振る舞いと通常使用による振る舞いとを区別する監視ルールを定義することが難しいという問題があった。
Further, in the prior art of Non-Patent
この発明は、上述した従来技術による問題点を解消するためになされたものであり、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができるワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置を提供することを目的とする。 The present invention has been made to solve the above-described problems of the prior art, and easily and efficiently determines whether communication is performed by a worm regardless of whether it is a server device or a client device. It is an object to provide a worm determination program, a computer-readable storage medium storing the worm determination program, a worm determination method, and a worm determination device.
また、この発明は、ワームの増殖を効果的に抑制することができる通信遮断装置、通信遮断プログラムおよび通信遮断方法を提供することを目的とする。 Another object of the present invention is to provide a communication interruption device, a communication interruption program, and a communication interruption method that can effectively suppress the proliferation of worms.
上述した課題を解決し、目的を達成するため、本発明は、所定のネットワークセグメントと、該所定のネットワークセグメント外部との間でなされる通信を監視して、ワームによりなされた通信を遮断する通信遮断装置であって、該通信がワームによりなされた通信か否かを判定するワーム判定手段と、前記ワーム判定手段により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから特定種別の通信パケットを取得して、該取得した通信パケットの送信元IPアドレスを感染コンピュータIPアドレスとして抽出する感染コンピュータIPアドレス抽出手段と、前記感染コンピュータIPアドレス抽出手段で抽出されたIPアドレスにより特定される感染コンピュータにアクセスしてワームによりなされる通信を遮断する通信遮断手段と、を備えたことを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention monitors communication performed between a predetermined network segment and the outside of the predetermined network segment and blocks communication performed by the worm. Included in the shut-off device, the worm determination means for determining whether or not the communication is a communication made by a worm, and the communication when the worm determination means determines that the communication is a communication made by a worm An infected computer IP address extracting unit that acquires a communication packet of a specific type from the communication packet to be extracted, and extracts a transmission source IP address of the acquired communication packet as an infected computer IP address, and is extracted by the infected computer IP address extracting unit. By accessing the infected computer identified by the IP address A communication interrupting means for interrupting the communication that is, characterized by comprising a.
また、本発明は、前記通信遮断手段は、前記感染コンピュータにてワームにより起動されたプロセスを停止させることによりワームによりなされる通信を遮断することを特徴とする。 Further, the present invention is characterized in that the communication blocking means blocks communication performed by the worm by stopping a process started by the worm on the infected computer.
また、本発明は、前記通信遮断手段は、前記感染コンピュータのファイアウォール機能を有効にすることによりワームによりなされる通信を遮断することを特徴とする。 Further, the present invention is characterized in that the communication blocking means blocks communication performed by a worm by enabling a firewall function of the infected computer.
また、本発明は、所定のネットワークセグメントと、該所定のネットワークセグメント外部との間でなされる通信を監視して、ワームによりなされた通信を遮断する通信遮断プログラムであって、該通信がワームによりなされた通信か否かを判定するワーム判定手順と、前記ワーム判定手順により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから特定種別の通信パケットを取得して、該取得した通信パケットの送信元IPアドレスを感染コンピュータIPアドレスとして抽出する感染コンピュータIPアドレス抽出手順と、前記感染コンピュータIPアドレス抽出手順で抽出されたIPアドレスにより特定される感染コンピュータにアクセスしてワームによりなされる通信を遮断する通信遮断手順と、をコンピュータに実行させることを特徴とする。 The present invention also relates to a communication blocking program for monitoring communication between a predetermined network segment and the outside of the predetermined network segment, and blocking communication performed by the worm. A worm determination procedure for determining whether or not the communication has been made, and obtaining a communication packet of a specific type from a communication packet included in the communication when the worm determination procedure determines that the communication is communication performed by the worm Then, an infected computer IP address extraction procedure for extracting the transmission source IP address of the acquired communication packet as an infected computer IP address, and an access to the infected computer identified by the IP address extracted in the infected computer IP address extraction procedure Communication blocking to block communication made by the worm Characterized in that to execute the order, to the computer.
また、本発明は、所定のネットワークセグメントと、該所定のネットワークセグメント外部との間でなされる通信を監視して、ワームによりなされた通信を遮断する通信遮断方法であって、該通信がワームによりなされた通信か否かを判定するワーム判定工程と、前記ワーム判定工程により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから特定種別の通信パケットを取得して、該取得した通信パケットの送信元IPアドレスを感染コンピュータIPアドレスとして抽出する感染コンピュータIPアドレス抽出工程と、前記感染コンピュータIPアドレス抽出工程で抽出されたIPアドレスにより特定される感染コンピュータにアクセスしてワームによりなされる通信を遮断する通信遮断工程と、を含んだことを特徴とする。 The present invention also relates to a communication blocking method for monitoring communication performed between a predetermined network segment and the outside of the predetermined network segment and blocking communication performed by the worm, wherein the communication is performed by the worm. A worm determination step for determining whether or not the communication is made, and obtaining a communication packet of a specific type from a communication packet included in the communication when the worm determination step determines that the communication is made by the worm Then, an infected computer IP address extracting step of extracting the acquired source IP address of the communication packet as an infected computer IP address, and an access to the infected computer specified by the IP address extracted in the infected computer IP address extracting step And a communication blocking process for blocking communication performed by the worm Characterized in that it contains.
また、本発明は、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラムであって、情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、をコンピュータに実行させることを特徴とする。 Further, the present invention is a worm determination program for monitoring communication related to a predetermined network segment connected to a network and determining whether the communication is communication performed by a worm, and includes setting information related to information acquisition Communication information acquisition procedure for acquiring information relating to the communication amount of the communication packet and the communication address of the communication packet based on the communication information, information acquired by the communication information acquisition procedure and whether the communication is a communication made by a worm A worm determination procedure for determining whether or not the communication is a communication performed by a worm based on information relating to a predetermined determination criterion is executed by a computer.
また、本発明は、前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、前記情報の取得に係る設定情報を変更する設定情報変更手順をさらに含み、前記通信情報取得手順は、前記情報取得設定変更手順により変更された情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得することを特徴とする。 In addition, the present invention further includes a setting information change procedure for changing setting information related to acquisition of the information when the communication is determined to be communication performed by a worm by the worm determination procedure, and the communication information acquisition procedure Is characterized in that the information related to the communication amount of the communication packet and the information related to the communication address of the communication packet is acquired based on the setting information related to the acquisition of the information changed by the information acquisition setting change procedure.
また、本発明は、前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、前記判定基準に係る情報を変更する判定基準情報変更手順をさらに含み、前記ワーム判定手順は、前記通信情報取得手順により取得された情報および前記判定基準情報変更手順により変更された判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定することを特徴とする。 The present invention further includes a determination criterion information change procedure for changing information related to the determination criterion when the communication is determined to be communication performed by a worm according to the worm determination procedure, and the worm determination procedure includes: It is characterized in that it is determined whether or not the communication is made by a worm based on the information acquired by the communication information acquisition procedure and the information on the determination criterion changed by the determination criterion information change procedure.
また、本発明は、前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットのパケット量が増加し、かつ、該通信パケットの宛先アドレス数が増加した場合に、前記所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると判定することを特徴とする。 According to the present invention, in the worm determination procedure, the amount of communication packets transmitted from the predetermined network segment to be monitored to monitor communication to the outside of the predetermined network segment increases, and the communication packet When the number of destination addresses increases, it is determined that communication from the computer in the predetermined network segment is communication performed by a worm.
また、本発明は、前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると以前に判定され、該所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数が、前記通信がワームによりなされた通信であると判定する際に前記通信情報取得手段により取得された該所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数より増加した場合に、該所定のネットワークセグメント内のコンピュータからの通信が複数のコンピュータに感染したワームによりなされた通信であると判定することを特徴とする。 In the present invention, the worm determination procedure may have previously determined that the communication from the computer in the predetermined network segment that is a monitoring target for monitoring communication is communication performed by the worm, and the predetermined network segment From the predetermined network segment acquired by the communication information acquisition means when determining that the destination address of the communication packet transmitted to the outside of the predetermined network segment is communication performed by a worm. When the number of destination addresses of communication packets transmitted outside a predetermined network segment is increased, it is determined that the communication from the computer in the predetermined network segment is a communication made by a worm that has infected multiple computers. It is characterized by.
また、本発明は、前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメントに対して該所定のネットワークセグメント外部から送信された通信パケットに対する応答通信パケットのパケット量が増加し、かつ、該通信パケットの送信元アドレス数が増加した場合に、前記所定のネットワークセグメント外部のコンピュータからの通信がワームによりなされた通信であると判定することを特徴とする。 Further, according to the present invention, the worm determination procedure increases a packet amount of a response communication packet for a communication packet transmitted from outside the predetermined network segment with respect to the predetermined network segment to be monitored. When the number of transmission source addresses of the communication packet increases, it is determined that communication from a computer outside the predetermined network segment is communication performed by a worm.
また、本発明は、前記ワーム判定手順は、前記通信をワームによりなされた通信と判定した場合に、該通信をおこなったコンピュータもしくは通信状況に係る情報をさらに出力することを特徴とする。 Further, the present invention is characterized in that, when the worm determination procedure determines that the communication is a communication made by a worm, information relating to a computer or communication status that has performed the communication is further output.
また、本発明は、前記ワーム判定手順は、前記通信をワームによりなされた通信と判定した場合に、ワームによりなされる通信に係るあらかじめ登録された特徴とワームによりなされたと判定した通信に係る特徴とを比較することにより前記ワームの種類を推定することを特徴とする。 Further, the present invention is characterized in that, when the worm determination procedure determines that the communication is communication performed by a worm, a pre-registered characteristic related to communication performed by the worm and a characteristic related to communication determined to be performed by the worm The type of the worm is estimated by comparing.
また、本発明は、前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、該ワームによりなされる通信を遮断する通信遮断手順を含んだことを特徴とする。 In addition, the present invention includes a communication blocking procedure for blocking communication performed by the worm when the communication is determined to be performed by the worm according to the worm determination procedure.
また、本発明は、前記通信遮断手順は、ワームにより起動されたプロセスを停止することによりワームによりなされる通信を遮断することを特徴とする。 Further, the present invention is characterized in that the communication blocking procedure blocks communication performed by the worm by stopping a process started by the worm.
また、本発明は、前記通信遮断手順は、ワームによりなされる通信を該ワームが存在していると判定されるコンピュータのファイアウォール機能を有効にすることにより遮断することを特徴とする。 Further, the present invention is characterized in that the communication blocking procedure blocks communication performed by a worm by enabling a firewall function of a computer determined to have the worm.
また、本発明は、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラムを記録したコンピュータ読み取り可能な記録媒体であって、情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、をコンピュータに実行させるワーム判定プログラムを記録したことを特徴とする。 The present invention is also a computer-readable recording medium that records a worm determination program that monitors communication related to a predetermined network segment connected to a network and determines whether the communication is performed by a worm. Communication information acquisition procedure for acquiring information related to the communication amount of the communication packet and the communication address of the communication packet based on the setting information related to acquisition of information, and the information acquired by the communication information acquisition procedure and the communication Recording a worm determination program for causing a computer to execute a worm determination procedure for determining whether or not the communication is a communication performed by a worm based on information relating to a determination standard that defines whether or not the communication is performed by a worm It is characterized by.
また、本発明は、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定方法であって、情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得工程と、前記通信情報取得工程により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定工程と、を含んだことを特徴とする。 The present invention is also a worm determination method for monitoring communication related to a predetermined network segment connected to a network and determining whether the communication is communication performed by a worm, wherein the setting information related to information acquisition Communication information acquisition step of acquiring information related to the communication amount of the communication packet and the communication address of the communication packet based on the information, whether the information acquired by the communication information acquisition step and the communication is communication made by a worm And a worm determination step of determining whether or not the communication is a communication made by a worm based on information relating to a predetermined determination criterion.
また、本発明は、ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定装置であって、情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手段と、前記通信情報取得手段により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手段と、を備えたことを特徴とする。 The present invention is also a worm determination device that monitors communication related to a predetermined network segment connected to a network and determines whether the communication is communication performed by a worm, and includes setting information related to information acquisition Communication information acquisition means for acquiring information related to the communication amount of the communication packet and the communication address of the communication packet based on the information, whether the information acquired by the communication information acquisition means and the communication is a communication made by a worm Worm determination means for determining whether or not the communication is a communication made by a worm based on information relating to a predetermined determination criterion.
本発明によれば、通信がワームによりなされた通信か否かを判定し、該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから特定種別の通信パケットを取得して、該取得した通信パケットの送信元IPアドレスを感染コンピュータIPアドレスとして抽出し、抽出されたIPアドレスにより特定される感染コンピュータにアクセスしてワームによりなされる通信を遮断することとしたので、ワームの増殖を効果的に抑制することができるという効果を奏する。 According to the present invention, it is determined whether or not the communication is performed by a worm, and when it is determined that the communication is performed by a worm, a communication packet of a specific type is selected from the communication packets included in the communication. Because the transmission source IP address of the acquired communication packet is extracted as an infected computer IP address, the infected computer specified by the extracted IP address is accessed and communication performed by the worm is blocked. The effect that the proliferation of a worm can be effectively suppressed is achieved.
また、本発明によれば、感染コンピュータにてワームにより起動されたプロセスを停止させることによりワームによりなされる通信を遮断することとしたので、ワームがおこなう処理自体を停止させることにより、ワームの増殖を効果的に抑制することができるという効果を奏する。 Further, according to the present invention, since the communication performed by the worm is blocked by stopping the process started by the worm on the infected computer, the propagation of the worm is stopped by stopping the processing itself performed by the worm. The effect that it can suppress effectively is produced.
また、本発明によれば、感染コンピュータのファイアウォール機能を有効にすることによりワームによりなされる通信を遮断することとしたので、ワームによりなされる通信をワームに感染しているコンピュータに遮断させることにより、ワームの増殖を効果的に抑制することができるという効果を奏する。 Further, according to the present invention, since the communication performed by the worm is blocked by enabling the firewall function of the infected computer, the computer infected by the worm is blocked by the computer infected by the worm. The effect that the proliferation of a worm can be effectively suppressed is achieved.
また、本発明によれば、情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得し、取得された情報および通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて通信がワームによりなされた通信か否かを判定することとしたので、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができるという効果を奏する。 Further, according to the present invention, information related to the communication amount of the communication packet and the communication address of the communication packet is acquired based on the setting information related to the acquisition of the information, and whether the acquired information and communication are communication made by the worm Whether or not the communication is made by the worm is determined based on the information related to the determination criteria for specifying whether the communication is made by the worm regardless of the server device or the client device. There exists an effect that it can determine easily and efficiently.
また、本発明によれば、通信がワームによりなされた通信と判定された場合に、情報の取得に係る設定情報を変更し、変更された情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得することとしたので、通信がワームによりなされた通信と判定された場合に情報の取得に係る設定情報を変更することにより、さらに詳細にワームの挙動を監視することができるという効果を奏する。 Further, according to the present invention, when it is determined that the communication is performed by the worm, the setting information related to the information acquisition is changed, and the communication packet communication is performed based on the setting information related to the acquisition of the changed information. Since it is decided to acquire information related to the amount and communication address of the communication packet, the behavior of the worm can be further detailed by changing the setting information related to the acquisition of information when it is determined that the communication is made by the worm. There is an effect that can be monitored.
また、本発明によれば、通信がワームによりなされた通信と判定された場合に、判定基準に係る情報を変更し、取得された情報および変更された判定基準に係る情報に基づいて通信がワームによりなされた通信か否かを判定することとしたので、通信がワームによりなされた通信と判定された場合に判定基準に係る情報を変更することにより、さらに厳密に通信がワームによりなされた通信か否かを判定することができるという効果を奏する。 Further, according to the present invention, when it is determined that the communication is performed by a worm, the information related to the determination criterion is changed, and the communication is performed based on the acquired information and the information related to the changed determination criterion. Since it was decided whether or not the communication was made by the worm, if the communication is judged to be made by the worm, the information related to the judgment criteria is changed, so that the communication is made more strictly by the worm. There is an effect that it can be determined whether or not.
また、本発明によれば、通信を監視する監視対象である所定のネットワークセグメントからその所定のネットワークセグメント外部に送信される通信パケットのパケット量が増加し、かつ、通信パケットの宛先アドレス数が増加した場合に、所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメント内のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができるという効果を奏する。 Further, according to the present invention, the amount of communication packets transmitted from a predetermined network segment to be monitored to the outside of the predetermined network segment increases, and the number of destination addresses of the communication packets increases. In such a case, it is determined that the communication from the computer in the predetermined network segment is a communication made by the worm. Therefore, when the communication by the worm is performed from the computer in the predetermined network segment, it is easy to do so. In addition, there is an effect that the determination can be made efficiently and efficiently.
また、本発明によれば、通信を監視する監視対象である所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると以前に判定され、所定のネットワークセグメントからその所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数が、通信がワームによりなされた通信であると判定する際に取得された所定のネットワークセグメントからその所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数より増加した場合に、所定のネットワークセグメント内のコンピュータからの通信が複数のコンピュータに感染したワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメント内の複数のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができるという効果を奏する。 In addition, according to the present invention, it is previously determined that communication from a computer in a predetermined network segment to be monitored is communication performed by a worm, and the predetermined network segment is determined from the predetermined network segment. The destination address of the communication packet transmitted outside the predetermined network segment from the predetermined network segment acquired when it is determined that the destination address of the communication packet transmitted to the outside is the communication made by the worm If the number exceeds the number, it is determined that the communication from the computer in the predetermined network segment is a communication made by a worm infected with a plurality of computers. From the computer If it is, an effect that it can be determined easily and efficiently.
また、本発明によれば、通信を監視する監視対象である所定のネットワークセグメントに対してその所定のネットワークセグメント外部から送信された通信パケットに対する応答通信パケットのパケット量が増加し、かつ、通信パケットの送信元アドレス数が増加した場合に、所定のネットワークセグメント外部のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメント外のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができるという効果を奏する。 Further, according to the present invention, the packet amount of a response communication packet for a communication packet transmitted from outside the predetermined network segment is increased for a predetermined network segment to be monitored, and the communication packet When the number of source addresses increases, it is determined that the communication from the computer outside the predetermined network segment is a communication performed by the worm. Therefore, the communication by the worm is performed from a computer outside the predetermined network segment. In this case, it is possible to determine it easily and efficiently.
また、本発明によれば、通信をワームによりなされた通信と判定した場合に、通信をおこなったコンピュータもしくは通信状況に係る情報をさらに出力することとしたので、出力されたコンピュータに係る情報を基にしてワームに感染している可能性のあるコンピュータを特定することができるという効果を奏する。 Further, according to the present invention, when it is determined that the communication is performed by the worm, information related to the computer or the communication status that has performed communication is further output. Therefore, based on the information related to the output computer. In this way, it is possible to identify a computer that may be infected with the worm.
また、本発明によれば、通信をワームによりなされた通信と判定した場合に、ワームによりなされる通信に係るあらかじめ登録された特徴とワームによりなされたと判定した通信に係る特徴とを比較することによりワームの種類を推定することとしたので、推定されたワームの種類の情報を基にしてワームの攻撃に適切に対応することができるという効果を奏する。 Further, according to the present invention, when it is determined that the communication is performed by the worm, the characteristics registered in advance related to the communication performed by the worm are compared with the characteristics related to the communication determined to be performed by the worm. Since the type of worm is estimated, there is an effect that it is possible to appropriately cope with the attack of the worm based on the information on the estimated type of worm.
また、本発明によれば、通信がワームによりなされた通信と判定された場合に、ワームによりなされる通信を遮断することとしたので、ワームの増殖を効果的に抑制することができるという効果を奏する。 In addition, according to the present invention, when communication is determined to be communication performed by a worm, the communication performed by the worm is blocked, so that the effect of effectively suppressing the proliferation of the worm can be achieved. Play.
また、本発明によれば、ワームにより起動されたプロセスを停止することによりワームによりなされる通信を遮断することとしたので、ワームがおこなう処理自体を停止させることにより、ワームの増殖を効果的に抑制することができるという効果を奏する。 In addition, according to the present invention, since the communication performed by the worm is cut off by stopping the process started by the worm, the process itself performed by the worm is stopped to effectively propagate the worm. There exists an effect that it can control.
また、本発明によれば、ワームによりなされる通信をワームが存在していると判定されるコンピュータのファイアウォール機能を有効にすることにより遮断することとしたので、ワームによりなされる通信をワームに感染しているコンピュータに遮断させることにより、ワームの増殖を効果的に抑制することができるという効果を奏する。 In addition, according to the present invention, the communication performed by the worm is blocked by enabling the firewall function of the computer that is determined that the worm exists, so that the communication performed by the worm is infected with the worm. By causing the computer to shut off, it is possible to effectively suppress the proliferation of the worm.
以下に添付図面を参照して、この発明に係る通信遮断装置、通信遮断プログラム、通信遮断方法、ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置の好適な実施の形態を詳細に説明する。 Referring to the accompanying drawings, a communication blocking device, a communication blocking program, a communication blocking method, a worm determination program, a computer-readable storage medium storing a worm determination program, a worm determination method, and a worm determination device according to the present invention will be described below. A preferred embodiment will be described in detail.
まず、本実施例に係るネットワークセグメントの概念について説明する。図16は、本実施例に係るネットワークセグメントの概念を説明する概念図である。図16に示すように、本実施例におけるネットワークセグメントは、複数の階層からなる構造を有している。 First, the concept of the network segment according to the present embodiment will be described. FIG. 16 is a conceptual diagram illustrating the concept of the network segment according to the present embodiment. As shown in FIG. 16, the network segment in the present embodiment has a structure composed of a plurality of hierarchies.
たとえば、最も小規模なネットワークセグメント16aは、ワーム判定プログラムが導入されたコンピュータを1台だけ含むものである。この場合、そのコンピュータがネットワークセグメント16aに係る通信を監視してワーム判定処理をおこなう。それよりもやや大きい規模のネットワークセグメント16bは、部署のイントラネット単位で構成されるセグメントであり、そのネットワークセグメント16bに対してワーム判定装置17aが接続され、そのワーム判定装置17aが、ワークセグメント16bに係る通信を監視してワーム判定処理をおこなう。
For example, the smallest network segment 16a includes only one computer in which a worm determination program is installed. In this case, the computer monitors communication related to the network segment 16a and performs worm determination processing. The
さらに大きい規模であるネットワークセグメント16cは、企業のイントラネット単位で構成されるセグメントであり、そのネットワークセグメント16cに対してワーム判定装置17bが接続され、そのワーム判定装置17bが、ワークセグメント16cに係る通信を監視してワーム判定処理をおこなう。そして、より大規模のネットワークセグメント16dは、ISP(Internet Service Provider)単位で構成されるセグメントであり、そのネットワークセグメント16dに対してワーム判定装置17cが接続され、そのワーム判定装置17cが、ワークセグメント16dに係る通信を監視してワーム判定処理をおこなう。
The
このように、ネットワークセグメントの規模および形態には様々なものが考えられ、そのさまざまな規模および形態のネットワークセグメントに対して、本発明に係るワーム判定システムの適用をおこなうことができる。 As described above, there are various network segment sizes and forms, and the worm determination system according to the present invention can be applied to the network segments of various sizes and forms.
つぎに、本実施例に係るワーム判定システムの概念について説明する。図1は、本実施例に係るワーム判定システムの概念について説明する概念図である。図1に示すように、このワーム判定システムは、サーバ装置やクライアント装置などを少なくとも1台以上含むネットワークセグメント10a〜10dが、ワーム判定装置20a〜20dを介してネットワーク11に接続された構成となっている。ここで、ネットワーク11とは、インターネット、イントラネット、ISPのネットワークなどを指している。
Next, the concept of the worm determination system according to the present embodiment will be described. FIG. 1 is a conceptual diagram illustrating the concept of the worm determination system according to the present embodiment. As shown in FIG. 1, this worm determination system has a configuration in which
このワーム判定装置20a〜20dは、各ネットワークセグメント10a〜10dに他のネットワークセグメント10a〜10dから送信される通信パケットと、各ネットワークセグメント10a〜10dが他のネットワークセグメント10a〜10dに送信する通信パケットとを監視して、その通信パケットによる通信がワームによりなされた通信であるか否かを判定する処理をおこなう。
The
具体的には、通信パケットの単位時間当たりのパケット数、各通信パケットの送信元IPアドレスおよび宛先IPアドレスの情報などを取得し、取得した情報に基づいて監視対象としているネットワークセグメント10a〜10d外からのワームの攻撃があるか否かや、そのネットワークセグメント10a〜10d内から他のネットワークセグメント10a〜10d内のコンピュータに対してワームの攻撃がなされているか否か等を判定する。
Specifically, the number of communication packets per unit time, information on the source IP address and destination IP address of each communication packet, etc. are acquired, and the
ここで、ワームに感染した場合に生じる通信パケットの単位時間当たりのパケット数、各通信パケットの送信元IPアドレスおよび宛先IPアドレスの情報の変化は、サーバ装置やクライアント装置などのコンピュータの種類に依らず顕著に現れるため、このワーム判定システムにおいては、サーバ装置かクライアント装置かに拘らず容易にかつ効率的にワームを検出することができる。 Here, the number of packets per unit time of communication packets generated when a worm is infected and the change in the information of the source IP address and destination IP address of each communication packet depend on the type of computer such as a server device or a client device. In this worm determination system, it is possible to easily and efficiently detect a worm regardless of whether it is a server device or a client device.
また、ワームの特徴をあらかじめ登録しておき、その特徴を参照してワームによる通信を検出するのではなく、通信パケットの単位時間当たりのパケット数、各通信パケットの送信元IPアドレスおよび宛先IPアドレスの情報の変化を基にしてワームによる通信か否かを判定するので、未知のワームに対しても適切に対処することができる。 Rather than registering the characteristics of the worm in advance and detecting communication by the worm with reference to the characteristics, the number of communication packets per unit time, the source IP address and the destination IP address of each communication packet Therefore, it is possible to appropriately deal with an unknown worm.
つぎに、本実施例に係るワーム判定装置20a〜20dの機能的構成について説明する。図2は、本実施例に係るワーム判定装置20a〜20dの機能的構成について説明する機能ブロック図である。各ワーム判定装置20a〜20dは、同様の機能を有するので、ここでは、ワーム判定装置20aの機能的構成について説明する。
Next, the functional configuration of the
図2に示すように、このワーム判定装置20aは、ネットワークセグメントA10aおよびネットワークセグメントA10aを除いたネットワーク12にLAN21およびネットワーク21を介して接続されている。ここで、LAN21は、イントラネットなどのネットワークである。
As shown in FIG. 2, the
ワーム判定装置20aは、本発明に係る装置であり、情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得し、取得した情報と、通信がワームによりなされた通信か否かを規定する判定基準に係る情報とに基づいて通信がワームによりなされた通信か否かを判定する判定装置である。
The
このワーム判定装置20aは、インターフェース部200、入力部210、表示部220、記憶部230および制御部240を有する。インターフェース部200は、ネットワークセグメントA10aとネットワークセグメントAを除くネットワーク12との間の通信データの授受を、LAN21およびネットワーク21を介して中継するネットワークインターフェースである。
The
入力部210は、キーボードやマウスなどの入力デバイスであり、表示部220は、ディスプレイなどの表示デバイスである。記憶部230は、ハードディスク装置などの記憶デバイスであり、この記憶部230には、設定データ230a、通信ログデータ230bおよびワームデータ230cが記憶されている。
The
設定データ230aは、通信パケットの通信量および通信パケットの通信アドレスに係る情報の取得に係る設定情報や、監視している通信がワームによりなされた通信か否かを規定する判定基準に係る情報など、さまざまな設定情報を記憶したデータである。
The setting
図3は、図2に示した設定データ230aの一例を示す図である。この設定データ230aは、設定項目、初期設定およびSYNパケット異常検知後の設定の各項目を有する。設定項目は、設定データ230aにおいて設定される各項目であり、初期設定は、通常監視時に参照される設定情報であり、SYNパケット異常検知後の設定は、監視していたSYNパケットに異常が検知された場合に、初期設定の代わりに参照される設定情報である。このSYNパケットの異常は、後に説明するように、単位時間内に計測したSYNパケットの数が所定の閾値以上で、宛先IPアドレス数が所定の閾値以上となった場合を意味している。
FIG. 3 is a diagram illustrating an example of the setting
上記設定項目には、具体的には、SYNパケットの計測単位時間、SYN ACKパケットの計測単位時間、UDPパケットの計測単位時間、ICMP(request)パケットの計測単位時間、ICMP(reply)パケットの計測単位時間、宛先IPアドレスの計測単位時間、送信元IPアドレスの計測単位時間、宛先ポート番号の参照、SYNパケット数の閾値、SYN ACKパケット数の閾値、UDPパケットの閾値、ICMP(request)パケットの閾値、ICMP(reply)パケットの閾値、宛先IPアドレス数の閾値、送信元IPアドレス数の閾値、監視場所、監視するネットワークの方向、遮断および検知から遮断までの時間が登録されている。 Specifically, the setting items include a SYN packet measurement unit time, a SYN ACK packet measurement unit time, a UDP packet measurement unit time, an ICMP (request) packet measurement unit time, and an ICMP (reply) packet measurement. Unit time, destination IP address measurement unit time, source IP address measurement unit time, destination port number reference, SYN packet count threshold, SYN ACK packet count threshold, UDP packet threshold, ICMP (request) packet The threshold value, the ICMP (reply) packet threshold value, the destination IP address number threshold value, the source IP address number threshold value, the monitoring location, the network direction to be monitored, and the time from blocking and detection to blocking are registered.
SYNパケットの計測単位時間、SYN ACKパケットの計測単位時間、UDPパケットの計測単位時間、ICMP(request)パケットの計測単位時間およびICMP(reply)パケットの計測単位時間は、それぞれ、TCP(Transmission Control Protocol)ベースのパケットであるSYNパケット、SYNパケットをコンピュータが受信した際の応答として送信されるSYN ACKパケット、UDP(User Datagram Protocol)ベースのパケットであるUDPパケット、相手コンピュータの動作確認メッセージを送信するICMP(Internet Control Message Protocol)(request)パケット、そのICPM(request)パケットの応答として送信されるICMP(reply)パケットの数を計測する単位時間である。たとえば、この単位時間が1secであるということは、1秒間の上記パケットの送信数または受信数を1秒ごとに計測することを意味する。 The measurement unit time of the SYN packet, the measurement unit time of the SYN ACK packet, the measurement unit time of the UDP packet, the measurement unit time of the ICMP (request) packet, and the measurement unit time of the ICMP (reply) packet are respectively TCP (Transmission Control Protocol). ) Send a base packet SYN packet, a SYN ACK packet sent as a response when the computer receives the SYN packet, a UDP (User Datagram Protocol) based packet, and an operation confirmation message of the other computer ICMP (Internet Control Message Protocol) (request) packet, its ICPM (requests) ) Is a unit for measuring the number of ICMP (reply) packet sent in reply packet time. For example, this unit time of 1 sec means that the number of transmissions or receptions of the packet per second is measured every second.
また、宛先IPアドレスの計測単位時間および送信元IPアドレスの計測単位時間は、上記各パケットの宛先IPアドレスおよび送信元IPアドレスを計測する単位時間である。たとえば、この単位時間が1secであるということは、1秒間の上記パケットの宛先IPアドレスおよび送信元IPアドレスを1秒ごとに計測することを意味する。宛先ポート番号の参照は、上記各パケットの宛先ポート番号をリアルタイムで参照するか否かを設定する項目であり、「ON」または「OFF」のいずれかに設定される。 The measurement unit time of the destination IP address and the measurement unit time of the source IP address are unit times for measuring the destination IP address and the source IP address of each packet. For example, this unit time of 1 sec means that the destination IP address and the source IP address of the packet for 1 second are measured every second. The reference of the destination port number is an item for setting whether or not to refer to the destination port number of each packet in real time, and is set to either “ON” or “OFF”.
SYNパケット数の閾値、SYN ACKパケット数の閾値、UDPパケットの閾値、ICMP(request)パケットの閾値、ICMP(reply)パケットの閾値は、ワームによりなされた通信がおこなわれているか否かを判定する際に使用されるパケット数の閾値情報である。宛先IPアドレス数の閾値および送信元IPアドレス数の閾値は、ワームによりなされた通信がおこなわれているか否かを判定する際に使用される宛先IPアドレス数および送信元IPアドレス数の閾値情報である。ここで、宛先IPアドレス数または送信元IPアドレス数は、宛先IPアドレスの計測単位時間または送信元IPアドレスの計測単位時間内に計測された異なる宛先IPアドレスまたは送信元IPアドレスの数である。 The threshold of the number of SYN packets, the threshold of the number of SYN ACK packets, the threshold of the UDP packet, the threshold of the ICMP (request) packet, and the threshold of the ICMP (reply) packet determine whether or not communication performed by the worm is performed. Threshold information on the number of packets used at the time. The threshold value for the number of destination IP addresses and the threshold value for the number of transmission source IP addresses are threshold information on the number of destination IP addresses and the number of transmission source IP addresses used when determining whether or not communication performed by the worm is performed. is there. Here, the number of destination IP addresses or the number of transmission source IP addresses is the number of different destination IP addresses or transmission source IP addresses measured within the measurement unit time of the destination IP address or the measurement unit time of the transmission source IP address.
監視場所は、パケットを監視するネットワークドライバを設定する項目であり、たとえば、ネットワークドライバ「Eth0」などと設定する。監視するネットワークの方向は、監視するパケット通信の方向を設定する項目である。たとえば、ワーム判定装置20aが接続されているネットワークセグメントA10aから外に送信されるパケットのみを監視する場合には、「Outgoing」に設定され、ネットワークセグメントAを除くネットワーク12からネットワークセグメントA10aに対して送信されるパケットを監視する場合には、「incoming」に設定され、それら両方のパケットを監視する場合には、「both」に設定される。
The monitoring location is an item for setting a network driver for monitoring a packet. For example, the monitoring location is set as a network driver “Eth0” or the like. The network direction to be monitored is an item for setting the direction of packet communication to be monitored. For example, when monitoring only packets transmitted outside from the network segment A10a to which the
遮断は、パケット通信がワームによりなされた通信と判定された場合に、通信の遮断をおこなうか否かを設定する項目であり、「ON」または「OFF」のいずれかに設定される。検知から遮断までの時間は、ワームによりなされたパケット通信を検知した場合に、パケット通信を遮断するまでの待ち時間を設定する項目であり、たとえば、「5sec」などと設定される。 Blocking is an item for setting whether or not to block communication when packet communication is determined to be communication performed by a worm, and is set to either “ON” or “OFF”. The time from detection to blocking is an item for setting a waiting time until the packet communication is blocked when the packet communication performed by the worm is detected. For example, “5 sec” is set.
図2の説明に戻ると、通信ログデータ230bは、パケット通信の通信記録を記憶したデータである。具体的には、図3で示した設定データ230aに基づいて取得された通信パケットのパケット数やIPアドレス数の情報、ワームによりなされた通信か否かを判定した判定結果の情報などを記憶している。
Returning to the description of FIG. 2, the
図4は、図2に示した通信ログデータ230bの一例を示す図である。図4に示すように、この通信ログデータ230bは、計測時間、パケット数およびIPアドレス数の各項目を有する。計測時間は、計測をおこなった時間であり、パケット数は、各計測時間において計測されたパケット数である。このパケット数は、さらに、SYNパケット数、SYN ACKパケット数、UDPパケット数、ICMP(request)パケット数およびICMP(reply)パケット数の項目を有し、各パケットの種類ごとに計測されたパケット数が記憶される。
FIG. 4 is a diagram illustrating an example of the
IPアドレス数は、各計測時間において計測されたIPアドレス数である。このIPアドレス数は、さらに、宛先IPアドレス数および送信元IPアドレス数の項目を有し、各計測時間における通信パケットの宛先IPアドレス数および送信元IPアドレス数の情報が記憶される。 The number of IP addresses is the number of IP addresses measured at each measurement time. The number of IP addresses further includes items of the number of destination IP addresses and the number of source IP addresses, and information on the number of destination IP addresses and the number of source IP addresses of communication packets at each measurement time is stored.
また、図3に示した設定データ230aの「宛先ポート番号の参照」の項目が「ON」である場合には、通信ログデータ230bに、通信情報取得部240aにより取得された最頻出宛先ポート番号の情報が各計測時間ごとに記憶される(図4には、図示せず。)。さらに、この通信ログデータ230bには、ワームによる通信がおこなわれたと判定された場合に、ワームの通信方法や通信速度、通信特徴が類似しているワームの情報などとともにその判定結果が記憶される(図4には、図示せず。)。
3 is “ON” in the setting
図2の説明に戻ると、ワームデータ230cは、ワームによりなされる通信の特徴を記憶したデータである。具体的には、このワームデータ230cは、過去に発見されたワームが単位時間内に他のコンピュータのスキャンをおこなうスキャン速度の情報や、攻撃する宛先ポート番号などのワームの特徴情報を記憶する。
Returning to the description of FIG. 2, the
制御部240は、ワーム判定装置20aを全体制御する制御部である。この制御部240は、通信情報取得部240a、ワーム判定部240b、設定データ変更部240cおよび通信遮断部240dを有する。
The
通信情報取得部240aは、記憶部230に記憶された設定データ230aに基づいて、通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得する取得部である。具体的には、この通信情報取得部240aは、通信パケットのパケット数を計測するとともに、通信パケットのヘッダから宛先IPアドレスや送信元IPアドレスの情報を取得し、宛先IPアドレス数や送信元IPアドレス数を計測したり、通信パケットの宛先ポート番号などの情報から最頻出宛先ポート番号の情報を取得したりして、通信ログデータ230bに記憶する処理などをおこなう。
The communication
ワーム判定部240bは、通信情報取得部240aにより取得された情報、および、記憶部230に記憶された設定データ230aに基づいて、監視対象としているパケット通信がワームによりなされた通信か否かを判定する判定部である。つぎに、この判定処理の内容を具体的に説明する。
Based on the information acquired by the communication
図5は、図2に示したワーム判定部240bがおこなうパケットの種類ごとのワーム判定処理の例を示す図である。図5では、ワーム判定部240bがおこなう判定処理の内容を3つのケースに分けて示している。ケース1は、Outgoing通信を監視している際に、SYNパケット数が増加し、かつ、宛先IPアドレス数が増加したという状況が観測された場合である。
FIG. 5 is a diagram illustrating an example of a worm determination process for each type of packet performed by the
この状況は、ネットワークセグメントA10a外のさまざまなコンピュータにSYNパケットが多数送信されていることを意味するので、ワーム判定部240bは、TCPベースのワームがネットワークセグメントA10a内のコンピュータに感染しており、ネットワークセグメントA10a外のコンピュータに対してランダムスキャンをおこなっていると判定する。この場合、ワーム判定部240bは、さらに宛先ポート番号を計測し、最頻出宛先ポート番号からどのサービスを狙ったワームかを検出する。たとえば、計測された最頻出宛先ポート番号が80番であれば、Webサービスを狙ったワームであると判定できる。
Since this situation means that many SYN packets are transmitted to various computers outside the network segment A10a, the
ケース2は、Outgoing通信を監視している際に、UDPパケット数が増加し、かつ、宛先IPアドレス数が増加したという状況が観測された場合である。この状況は、ネットワークセグメントA10a外のさまざまなコンピュータにUDPパケットが多数送信されていることを意味するので、ワーム判定部240bは、UDPベースのワームがネットワークセグメントA10a内のコンピュータに感染しており、ネットワークセグメントA10a外のコンピュータに対してランダムスキャンをおこなっていると判定する。この場合、ワーム判定部240bは、さらに宛先ポート番号を計測し、最頻出宛先ポート番号からどのサービスを狙ったワームかを検出する。たとえば、計測された最頻出宛先ポート番号が53番であれば、DNSサービスを狙ったワームであると判定できる。
ケース3は、Outgoing通信を監視している際に、ICMP(request)パケット数が増加し、かつ、宛先IPアドレス数が増加したという状況が観測された場合である。この状況は、ネットワークセグメントA10a外のさまざまなコンピュータにICMP(request)パケットが多数送信されていることを意味する。この場合、ワーム判定部240bは、パケットの送信がワームによるものか否かの判定を一時保留する。これは、ICMP(request)パケットは、相手コンピュータの動作確認メッセージを送信するパケットであり、ICMP(request)パケットのパケット数および宛先IPアドレス数が増加しただけでは、ワームによるランダムスキャンがおこなわれているのかどうかが不明なためである。
この場合、ワーム判定部240bは、その後送信されるSYNパケットあるいはUDPパケットを監視して、ケース1または2のように状況を判定することによりTCPベースのワームか、あるいはUDPベースのワームかを判定し、さらに宛先ポート番号を計測して、その最頻出宛先ポート番号からどのサービスを狙ったワームかを検出する処理をおこなう。ここでは、ケース1〜3の3つの場合について説明したが、さらにさまざまな状況を追加することにより、各パケットの種類に対してワームによる通信か否かを詳細に判定することができる。
In this case, the
図6は、図2に示したワーム判定部240bがおこなうネットワークセグメント外からのワームスキャンの有無を判定する処理の一例を示す図である。ここでは、SYN ACKパケットに異常が検出された場合を示している。図6に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。たとえば、ワーム判定部240bは、SYN ACKパケット数の閾値が「10」、送信元IPアドレス数の閾値が「10」である場合には、計測時間「10:00:35〜10:00:36」においてSYN ACKパケット数「30」が閾値「10」以上であり、かつ、送信元IPアドレス数「36」が閾値「10」以上であるので、SYN ACKパケットの異常を検出する。
FIG. 6 is a diagram illustrating an example of processing for determining the presence / absence of a worm scan from outside the network segment performed by the
また、ワーム判定部240bは、通信情報取得部240aにより取得されたSYN ACKパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図6の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報が示されている。最頻出宛先ポート番号の欄に示されている百分率の情報(「90%」および「92%」)は、計測時間内に「SYN ACKパケット数」および「送信元IPアドレス数」の監視をおこなった全パケットのうち、最頻出宛先ポート番号が「80」番であったパケットの割合を示したものである。
In addition, the
その後、ワーム判定部240bは、上記情報を基にしてワームスキャンの有無を判定し、ワーム判定結果60を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYNパケットを受信した際の応答であるSYN ACKパケットがネットワークセグメントA10a内から閾値より多く送信され、かつ、SYN ACKパケットの送信元IPアドレス数が閾値より多いため、ネットワークセグメントAを除くネットワーク12のコンピュータからネットワークセグメントA10a内のコンピュータに対してワームによるランダムスキャンがなされていると判定し、そのワーム判定結果60を出力する。
Thereafter, the
このワーム判定結果60は、スキャン方法、スキャン元IPアドレス、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、スキャン元IPアドレスは、ランダムスキャンに使用されているパケットを送信しているコンピュータのIPアドレスである。このスキャン元IPアドレスの情報は、パケットのヘッダより取得することができる。最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号であり、警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージである。図6の例では、ネットワークセグメントAを除くネットワーク12のコンピュータからのランダムスキャンが検出されたので、Webサービスの脆弱性を狙うワームが外部から進入する可能性があることをユーザに通知する。
The
図7は、図2に示したワーム判定部240bがおこなうワーム感染の有無を判定する処理の一例を示す図である。ここでは、SYNパケットに異常が検出された場合を示している。図7に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。たとえば、ワーム判定部240bは、SYNパケット数の閾値が「10」、宛先IPアドレス数の閾値が「10」である場合には、計測時間「10:00:37〜10:00:38」においてSYNパケット数「22」が閾値「10」以上であり、かつ、宛先IPアドレス数「28」が閾値「10」以上であるので、SYNパケットの異常を検出する。
FIG. 7 is a diagram illustrating an example of processing for determining the presence / absence of a worm infection performed by the
また、ワーム判定部240bは、通信情報取得部240aにより取得されたSYNパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図7の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報と、監視をおこなった全パケットのうち最頻出宛先ポート番号が「80」番であったパケットの割合の情報(「94%」および「89%」)とが、SYNパケット数および宛先IPアドレス数のそれぞれの計測項目ごとに示されている。
In addition, the
その後、ワーム判定部240bは、上記情報を基にしてワーム感染の有無を判定し、ワーム判定結果70を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYNパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYNパケットの宛先IPアドレス数が閾値より多いため、ネットワークセグメントA10a内のコンピュータからネットワークセグメントAを除くネットワーク12のコンピュータに対してワームによるランダムスキャンがなされていると判定し、そのワーム判定結果70を出力する。
Thereafter, the
このワーム判定結果70は、スキャン方法、スキャン速度、感染台数、感染コンピュータ名、感染コンピュータIPアドレス、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、スキャン速度は、1秒間にスキャンがなされた速度の情報である。感染台数は、ワームに感染した可能性のあるコンピュータの台数であり、感染コンピュータ名は、ワームに感染した可能性のあるコンピュータの名称である。感染コンピュータIPアドレスは、ワームに感染した可能性のあるコンピュータのIPアドレスである。
The
スキャン速度の情報は、単位時間当たりにSYNパケットが送信されたコンピュータ数(宛先IPアドレス数)の情報から算出することができる。また、感染コンピュータIPアドレスは、SYNパケットのヘッダから取得することができ、感染台数の情報は、その感染コンピュータIPアドレスの数から取得することができる。感染コンピュータ名は、IPアドレスとコンピュータ名とを対応付けて記憶したデータベース(図2には、図示していない。)を用意しておくことで取得することができる。最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号であり、警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージである。
The information on the scan speed can be calculated from information on the number of computers (destination IP addresses) to which SYN packets are transmitted per unit time. Further, the infected computer IP address can be obtained from the header of the SYN packet, and the information on the number of infected computers can be obtained from the number of infected computer IP addresses. The infected computer name can be acquired by preparing a database (not shown in FIG. 2) that stores the IP address and the computer name in association with each other. The most frequent destination port number is the most frequent destination port number included in the
図7の例では、ワーム判定部240bは、ネットワークセグメントA10a内からのランダムスキャンが検出され、さらに最頻出宛先ポート番号が「80」番であるので、ネットワークセグメントA10a内のWebサーバが感染した可能性があることをユーザに通知する。また、ワーム判定部240bは、記憶部230のワームデータ230cに記憶されたワームの特徴を参照した結果、類似していると判定されたワームの情報や、ランダムスキャンの対象となったネットワークの情報などをユーザに通知する。
In the example of FIG. 7, since the
図8は、図2に示したワーム判定部240bがおこなうネットワークセグメントA10a外からの攻撃によるワーム感染の有無を判定する処理の一例を示す図である。ここでは、SYN ACKパケットに異常が検出された後、SYNパケットにも異常が検出された場合を示している。図8に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。
FIG. 8 is a diagram illustrating an example of processing for determining the presence / absence of a worm infection due to an attack from outside the network segment A10a performed by the
たとえば、ワーム判定部240bは、SYN ACKパケット数の閾値が「10」、送信元IPアドレス数の閾値が「10」である場合には、計測時間「10:00:35〜10:00:36」においてSYN ACKパケット数「30」が閾値「10」以上であり、かつ、送信元IPアドレス数「36」が閾値「10」以上であるので、SYN ACKパケットの異常を検出する。また、ワーム判定部240bは、SYNパケット数の閾値が「10」、宛先IPアドレス数の閾値が「10」である場合には、計測時間「10:00:37〜10:00:38」においてSYNパケット数「22」が閾値「10」以上であり、かつ、宛先IPアドレス数「28」が閾値「10」以上であるので、SYNパケットの異常を検出する。
For example, when the threshold value for the number of SYN ACK packets is “10” and the threshold value for the number of transmission source IP addresses is “10”, the
さらに、ワーム判定部240bは、通信情報取得部240aにより取得されたSYN ACKパケットおよびSYNパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図8の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報と、監視をおこなった全パケットのうち最頻出宛先ポート番号が「80」番であったパケットの割合の情報(「87%」、「87%」、「89%」および「86%」)とが、SYNパケット数、SYN ACKパケット数、宛先IPアドレス数および送信元IPアドレス数のそれぞれの計測項目ごとに示されている。
Further, the
その後、ワーム判定部240bは、上記情報を基にしてワーム感染の有無を判定し、ワーム判定結果80を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYN ACKパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYN ACKパケットの送信元IPアドレス数が閾値より多いことから、ネットワークセグメントAを除くネットワーク12のコンピュータからネットワークセグメントA10a内のコンピュータに対してワームによるランダムスキャンがなされていたと判定する。
Thereafter, the
さらに、ワーム判定部240bは、SYNパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYNパケットの宛先IPアドレス数が閾値より多いことから、上記ランダムスキャンによりネットワークセグメントA10a内のコンピュータがワームに感染し、そのワームに感染したコンピュータからネットワークセグメントAを除くネットワーク12のコンピュータに対してランダムスキャンがなされていると判定し、そのワーム判定結果80を出力する。
Further, since the
このワーム判定結果80は、スキャン方法、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号である。警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージであり、ネットワークセグメントA10a内のWebサーバが外部からのワーム攻撃により感染した可能性があることをユーザに通知する。
The
図9は、図2に示したワーム判定部がおこなう複数コンピュータのワーム感染の有無を判定する処理の一例を示す図である。ここでは、SYNパケットに異常が検出された後、再度SYNパケットに異常が検出された場合に、再度SYNパケットに異常が検出された際の宛先IPアドレス数が、前回SYNパケットに異常が検出された際の宛先IPアドレス数に比べて増加した状況を示している。 FIG. 9 is a diagram illustrating an example of a process for determining the presence or absence of worm infection in a plurality of computers performed by the worm determination unit illustrated in FIG. 2. Here, after an abnormality is detected in the SYN packet, if an abnormality is detected again in the SYN packet, the number of destination IP addresses when an abnormality is detected in the SYN packet again is detected in the previous SYN packet. The situation shows an increase compared to the number of destination IP addresses at that time.
図9に示すように、ワーム判定部240bは、通信ログデータ230bを参照し、各パケットのパケット数およびIPアドレス数が設定データ230aに記憶されている閾値以上であるか否かを調べる。たとえば、ワーム判定部240bは、SYNパケット数の閾値が「10」、送信元IPアドレス数の閾値が「10」である場合に、計測時間「10:00:37〜10:00:38」においてSYNパケット数「22」が閾値「10」以上であり、かつ、宛先IPアドレス数「28」が閾値「10」以上であるので、SYNパケットの異常を検出する。また、ワーム判定部240bは、計測時間「10:00:39〜10:00:40」においてSYNパケット数「49」が閾値「10」以上であり、かつ、宛先IPアドレス数「60」が閾値「10」以上であるので、SYNパケットの異常を再度検出する。
As illustrated in FIG. 9, the
さらに、ワーム判定部240bは、通信情報取得部240aにより取得されたSYNパケットの最頻出宛先ポート番号の情報から、どのサービスを狙ったワームかを検出する処理をおこなう。図9の通信ログデータ230bには、取得された最頻出宛先ポート番号「80」の情報と、監視をおこなった全パケットのうち最頻出宛先ポート番号が「80」番であったパケットの割合の情報(「92%」および「95%」)とが、SYNパケット数および宛先IPアドレス数のそれぞれの計測項目ごとに示されている。
Further, the
その後、ワーム判定部240bは、上記情報を基にしてワーム感染の有無を判定し、ワーム判定結果90を出力する処理をおこなう。具体的には、ワーム判定部240bは、SYNパケットが、ネットワークセグメントA10a内から閾値より多く送信され、かつ、SYNパケットの宛先IPアドレス数が閾値より多いことから、ネットワークセグメントA10a内のコンピュータがワームに感染し、そのワームに感染したコンピュータからネットワークセグメントAを除くネットワーク12のコンピュータに対してランダムスキャンがなされていると判定する。
Thereafter, the
また、ワーム判定部240bは、最頻出宛先ポート番号が「80」番であり、今回SYNパケットに異常が検出された際の宛先IPアドレス数が、前回SYNパケットに異常が検出された際の宛先IPアドレス数に比べて2倍以上増加したので、ネットワークセグメントA10a内の複数のWebサーバがワームに感染したと判定し、そのワーム判定結果90を出力する。ここでは、宛先IPアドレス数が2倍以上増加した場合に複数のWebサーバが感染したと判定したが、この倍数は任意に設定できる。
Also, the
このワーム判定結果90は、スキャン方法、スキャン速度、感染台数、感染コンピュータ名、感染コンピュータIPアドレス、最頻出宛先ポート番号および警告メッセージの情報を含んでいる。スキャン方法は、ワームがランダムスキャンをおこなう際に使用するパケットの種類を示しており、スキャン速度は、1秒間にスキャンがなされた速度の情報である。感染台数は、ワームに感染したコンピュータの台数であり、感染コンピュータ名は、ワームに感染した可能性のあるコンピュータの名称である。感染コンピュータIPアドレスは、ワームに感染した可能性のあるコンピュータのIPアドレスである。図9の例では、ワームに感染した可能性のある2台分のWebサーバの感染コンピュータ名および感染コンピュータIPアドレスの情報が示されている。
The
最頻出宛先ポート番号は、通信ログデータ230bに含まれる最頻出宛先ポート番号であり、警告メッセージは、ユーザに判定結果を通知して注意を促すメッセージである。図9の例では、ワーム判定結果90は、ネットワークセグメントA10a内の複数のWebサーバがワームに感染した可能性があることを警告メッセージとしてユーザに通知する。
The most frequent destination port number is the most frequent destination port number included in the
図2の説明に戻ると、設定データ変更部240cは、通信情報取得部240a、ワーム判定部240bまたは通信遮断部240cにより参照される設定データ230aに変更がある場合に、ユーザにより入力された新規の設定を受け付け、設定項目の新たな追加や設定項目の更新、あるいはすでに設定されている設定項目の削除などをおこなって設定データ230aを変更する変更部である。また、設定データ変更部240cは、監視していたSYNパケットに異常が検知された場合に、設定データ230aの設定を、初期設定からSYNパケット異常検知後の設定に変更する処理をおこなう。
Returning to the description of FIG. 2, the setting
通信遮断部240dは、ワーム判定部240bによりパケット通信がワームによりなされたパケット通信であると判定された場合に、ワームによりなされるパケット通信を遮断する遮断部である。この遮断処理は、図3の設定データ230aにおいて設定項目「遮断」が「ON」である場合におこなわれる。また、この通信遮断部240dは、図3の設定データ230aの設定項目「検知から遮断までの時間」を参照し、そこに設定された時間だけ待機した後、遮断処理を開始する。
The communication blocking unit 240d is a blocking unit that blocks packet communication performed by the worm when the
通信遮断部240dは、具体的には、3通りの方法でワームによるパケット通信を遮断する。図10は、図2に示した通信遮断部240dがおこなうワームによりなされる通信を遮断する遮断処理の例を示す図である。図10に示すように、方法1は、通信遮断部240dが、ワームに感染したと判定されたコンピュータを含んだネットワークセグメントA10a内のすべてのコンピュータからの特定のOutgoing通信(ランダムスキャン)を遮断する方法である。この方法1では、ワームにより送信される通信パケットのプロトコルがTCPベースかUDPベースかの情報や、通信パケットの最頻出宛先ポート番号の情報などを参照してOutgoing通信の遮断をおこなう。その際、通信遮断部240dは、上記情報から特定される通信パケット以外の通信パケットに対しては遮断をおこなわなず、通信障害を最小限に抑制する。
Specifically, the communication blocking unit 240d blocks packet communication by the worm in three ways. FIG. 10 is a diagram illustrating an example of a blocking process for blocking communication performed by the worm performed by the communication blocking unit 240d illustrated in FIG. As shown in FIG. 10, in the
方法2は、通信遮断部240dが、ネットワークセグメントA10a内のワームに感染したと判定されたコンピュータからの特定のOutgoing通信(ランダムスキャン)を遮断する方法である。この方法2では、ワームにより送信される通信パケットのプロトコルがTCPベースかUDPベースかの情報や、ワームに感染したと判定されたコンピュータを特定する送信元IPアドレス、通信パケットの最頻出宛先ポート番号の情報などを参照してOutgoing通信の遮断をおこなう。その際、通信遮断部240dは、上記情報から特定される通信パケット以外の通信パケットに対しては遮断をおこなわず、通信障害を最小限に抑制する。
図11は、ワームによりなされた通信をワーム判定装置20aが遮断する遮断処理を説明する説明図である。図11は、方法1または2によりOutgoing通信の遮断をおこなう場合を示している。図11に示すように、通信遮断部240dは、監視対象としているネットワークセグメントA10aからワームによりなされたOutgoing通信を、ワーム判定装置20aにおいて遮断し、ネットワークセグメントAを除くネットワーク21にワームにより送信された通信パケットが到達するのを防止する。ワームにより送信された通信パケット以外の通信パケットは、通信遮断部240dは、ワーム判定装置20aを通過させ、通信障害を回避する。
FIG. 11 is an explanatory diagram illustrating a blocking process in which the
図10の説明に戻ると、方法3は、方法1または方法2による遮断処理の後、通信遮断部240dが、ワームに感染したと判定されたコンピュータのランダムスキャンを遠隔操作で停止する方法である。具体的には、通信遮断部240dは、ワームに感染したと判定されたコンピュータにアクセスし、ランダムスキャンをおこなっているプロセスを停止させたり、ワームに感染したと判定されたコンピュータのパーソナルファイアウォール等の機能をアクティブに設定し、自装置がおこなっているランダムスキャンを自装置に遮断させる。この方法3では、ワームにより送信される通信パケットのプロトコルがTCPベースかUDPベースかの情報や、ワームに感染したと判定されたコンピュータを特定する送信元IPアドレス、通信パケットの最頻出宛先ポート番号の情報などを参照して、遠隔操作によりランダムスキャンの遮断をおこなう。その際、通信遮断部240dは、上記情報から特定される通信パケット以外の通信パケットに対する遮断を、ワームに感染したと判定されたコンピュータがおこなわないように操作し、通信障害を最小限に抑制する。
Returning to the description of FIG. 10, after the blocking process according to the
図12は、ワームによりなされた通信を感染コンピュータ自体に遮断させる遮断処理を説明する説明図である。図12は、方法3によりランダムスキャンの遮断をおこなう場合を示している。図12に示すように、通信遮断部240dは、監視対象としているネットワークセグメントA10aからのランダムスキャンを、ワームに感染していると判定されたコンピュータ自体に遮断させ、ネットワークセグメントAを除くネットワーク21にワームにより送信された通信パケットが到達するのを防止する。ワームにより送信された通信パケット以外の通信パケットに対しては、通信遮断部240dは、ワームに感染したと判定されたコンピュータが遮断をおこなわないようにそのコンピュータを操作し、通信障害を回避する。なお、ここでは、方法1または2による遮断処理の後に方法3による遮断処理をおこなうこととしたが、方法3による遮断処理を単独でおこなうこととしてもよい。
FIG. 12 is an explanatory diagram for explaining a blocking process for blocking the communication performed by the worm to the infected computer itself. FIG. 12 shows a case where random scan is blocked by
ここで、特許請求の範囲または後述の付記における「通信情報取得手段」および「通信情報取得手順」・「通信情報取得工程」は、図2に示した通信情報取得部240aおよび通信情報取得部240aがおこなう手順・工程に対応し、「ワーム判定手段」および「ワーム判定手順」・「ワーム判定工程」は、ワーム判定部240bおよびワーム判定部240bがおこなう手順・工程に対応し、「設定情報変更手順」は、設定データ変更部240cがおこなう手順に対応し、「通信遮断手段」および「通信遮断手順」・「通信遮断工程」は、通信遮断部240dおよび通信遮断部240dがおこなう手順・工程に対応する。
Here, “communication information acquisition means” and “communication information acquisition procedure” / “communication information acquisition step” in the claims or the appendix described later are the communication
また、特許請求の範囲または後述の付記における「情報の取得に係る設定情報」は、図3に示した「SYNパケットの計測単位時間」、「SYN ACKパケットの計測単位時間」、「UDPパケットの計測単位時間」、「ICMP(request)パケットの計測単位時間」、「ICMP(reply)パケットの計測単位時間」、「宛先IPアドレスの計測単位時間」、「送信元IPアドレスの計測単位時間」、「宛先ポート番号の参照」、「監視場所」、「監視するネットワークの方向」の各設定項目の情報に対応し、「通信がワームによりなされた通信か否かを規定する判定基準」は、「SYNパケット数の閾値」、「SYN ACKパケット数の閾値」、「UDPパケットの閾値」、「ICMP(request)パケットの閾値」、「ICMP(reply)パケットの閾値」、「宛先IPアドレス数の閾値」、「送信元IPアドレス数の閾値」に対応する。 In addition, “setting information related to information acquisition” in the claims or the appendix described later includes “measurement unit time of SYN packet”, “measurement unit time of SYN ACK packet”, and “UDP packet “Measurement unit time”, “Measurement unit time of ICMP (request) packet”, “Measurement unit time of ICMP (reply) packet”, “Measurement unit time of destination IP address”, “Measurement unit time of source IP address”, Corresponding to the information of each setting item of “reference to destination port number”, “monitoring location”, and “direction of network to be monitored”, “determination criteria for specifying whether communication is made by a worm” is “ “Threshold of SYN packet count”, “Threshold of SYN ACK packet count”, “Threshold of UDP packet”, “Threshold of ICMP (request) packet” ”,“ ICMP (reply) packet threshold ”,“ destination IP address number threshold ”, and“ source IP address number threshold ”.
また、特許請求の範囲または後述の付記における「コンピュータに係る情報」は、図6、図7または図9に示したワーム判定結果60、70または90における「スキャン元IPアドレス」、「感染台数」、「感染コンピュータ名」および「感染コンピュータIPアドレス」などに対応し、「通信状況に係る情報」は、図6〜図9に示したワーム判定結果60、70、80または90における「スキャン方法」、「最頻出宛先ポート番号」、警告メッセージ、「スキャン速度」などに対応し、「ログ」は、図2に示した通信ログデータ230bに対応する。
In addition, “information about the computer” in the claims or the appendix to be described later is “scanning IP address”, “number of infected” in the
つぎに、本実施例に係るワーム判定装置20aのハードウェア構成について説明する。図13は、本実施例に係るワーム判定装置20aのハードウェア構成について説明するブロック図である。図13に示すように、このワーム判定装置20aは、キーボード130、ディスプレイ131、CPU132、RAM133、HDD134、ROM136、ネットワークI/F137をバス138で接続した構成となる。
Next, a hardware configuration of the
ネットワークI/F137は、ネットワークセグメントA10aまたはネットワークセグメントAを除くネットワーク12とワーム判定装置20aとの間での、LAN21またはネットワーク11を介した通信処理をおこなう。
The network I /
また、HDD134が格納および読み出し制御する記憶媒体であるハードディスク(HD)135には、本実施例で示されるワーム判定方法をコンピュータで実行することにより実現するワーム判定プログラム135aが記憶され、実行時にRAM133に読み込まれた後、CPU132によりプログラムが解析され、ワーム判定プロセスの実行がおこなわれる。
A hard disk (HD) 135, which is a storage medium that the
このワーム判定プロセスが、図2に示した制御部240内の通信情報取得部240a、ワーム判定部240b、設定データ変更部240cおよび通信遮断部240dの各部の機能に対応する。また、設定データ240a、通信ログデータ240bおよびワームデータ240cもHD135に記憶され、RAM133に読み込まれてCPU132により参照される。
This worm determination process corresponds to the functions of the communication
なお、このワーム判定プログラム135aは、インターネットなどのネットワークを介して配布することができる。また、ワーム判定プログラム135aは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
The
つぎに、本実施例に係るワーム判定処理の処理手順について説明する。図14は、本実施例に係るワーム判定処理の処理手順を示すフローチャートである。図14に示すように、まず、ワーム判定装置20aの設定データ変更部240cは、設定データ230aの変更がある場合に、ユーザにより入力された設定を受け付ける(ステップS1401)。
Next, a processing procedure of worm determination processing according to the present embodiment will be described. FIG. 14 is a flowchart illustrating the procedure of the worm determination process according to the present embodiment. As shown in FIG. 14, first, the setting
続いて、通信情報取得部240aは、ネットワークセグメントA10a内のコンピュータとネットワークセグメントAを除くネットワーク12内のコンピュータとの間のネットワーク通信を監視し(ステップS1402)、設定データ230aに設定された計測単位時間に基づいてパケットを計測する計測時刻になったか否かを調べる(ステップS1403)。
Subsequently, the communication
パケットを計測する計測時刻にまだなっていない場合には(ステップS1403,No)、ステップS1402に移行してそれ以降の処理を継続する。パケットを計測する計測時刻になった場合には(ステップS1403,Yes)、通信情報取得部240aは、パケット情報を取得し、取得した情報を通信ログデータ230bに記憶する(ステップS1404)。
If the measurement time for measuring the packet is not yet reached (step S1403, No), the process proceeds to step S1402 and the subsequent processing is continued. When the measurement time for measuring the packet comes (step S1403, Yes), the communication
その後、ワーム判定部240bは、通信情報取得部240aにより取得され、通信ログデータ230bに記憶された情報を基にして、ワームによるパケット通信がなされたか否かの状況を判定する処理をおこなう(ステップS1405)。この状況判定処理については、のちに図15−1および図15−2で詳細に説明する。
Thereafter, the
そして、ワーム判定部240bが、監視対象としているパケット通信がワームによるものではないと判定した場合には(ステップS1406,No)、ステップS1402に移行してそれ以降の処理を継続する。パケット通信がワームによるものと判定した場合には(ステップS1406,Yes)、ワーム判定部240bは、ワームのスキャン方法やスキャン速度、スキャン特徴が類似しているワームの情報などを取得して、出力する処理をおこなう(ステップS1407)。
If the
その後、通信遮断部240dは、図10〜図12で説明したような方法で、ワームによりなされたと判定されるパケット通信を遮断する処理をおこない(ステップS1408)、このワーム判定処理を終了する。 Thereafter, the communication blocking unit 240d performs a process of blocking packet communication determined to be performed by the worm by the method described with reference to FIGS. 10 to 12 (step S1408), and ends the worm determination process.
つぎに、図14に示した状況判定処理の処理手順について説明する。図15−1および図15−2は、図14に示した状況判定処理の処理手順を示すフローチャート(1)および(2)である。図15−1に示すように、まず、ワーム判定部240bは、通信情報取得部240aが取得したSYN ACKパケット数が設定データ230aに設定されたSYN ACKパケット数の閾値よりも大きく、かつ、送信元IPアドレス数が設定データ230aに設定された送信元IPアドレス数の閾値よりも大きいか否かを調べる(ステップS1501)。
Next, the procedure of the situation determination process shown in FIG. 14 will be described. FIGS. 15A and 15B are flowcharts (1) and (2) illustrating the procedure of the situation determination process illustrated in FIG. As illustrated in FIG. 15A, first, the
そして、ワーム判定部240bは、SYN ACKパケット数がSYN ACKパケット数の閾値よりも大きく、かつ、送信元IPアドレス数が送信元IPアドレス数の閾値よりも大きい場合には(ステップS1501,Yes)、ネットワークセグメントA10a外からのワームスキャンがあると判定し(ステップS1502)、図15−2に示されるように、判定結果を通信ログデータ230bに記憶して(ステップS1511)、この状況判定処理を終了する。
When the number of SYN ACK packets is larger than the threshold value for the number of SYN ACK packets and the number of transmission source IP addresses is larger than the threshold value for the number of transmission source IP addresses, the
ステップS1501において、SYN ACKパケット数がSYN ACKパケット数の閾値よりも大きいという条件、または、送信元IPアドレス数が送信元IPアドレス数の閾値よりも大きいという条件のいずれかが満足されない場合には(ステップS1501,No)、ワーム判定部240bは、通信情報取得部240aが取得したSYNパケット数が設定データ230aに設定されたSYNパケット数の閾値よりも大きく、かつ、宛先IPアドレス数が設定データ230aに設定された宛先IPアドレス数の閾値よりも大きいか否かを調べる(ステップS1503)。
In step S1501, if either the condition that the number of SYN ACK packets is larger than the threshold value for the number of SYN ACK packets or the condition that the number of source IP addresses is larger than the threshold value for the number of source IP addresses is not satisfied (No in step S1501), the
そして、SYNパケット数がSYNパケット数の閾値よりも大きいという条件、または、宛先IPアドレス数が宛先IPアドレス数の閾値よりも大きいという条件のいずれかが満足されない場合には(ステップS1503,No)、ネットワークセグメントA10a外からのワームスキャンはないと判定し(ステップS1504)、図15−2に示されるように、判定結果を通信ログデータ230bに記憶して(ステップS1511)、この状況判定処理を終了する。
If either the condition that the number of SYN packets is larger than the threshold value for the number of SYN packets or the condition that the number of destination IP addresses is larger than the threshold value for the number of destination IP addresses is not satisfied (No in step S1503). Then, it is determined that there is no worm scan from outside the network segment A10a (step S1504), and as shown in FIG. 15-2, the determination result is stored in the
SYNパケット数がSYNパケット数の閾値よりも大きく、かつ、宛先IPアドレス数が宛先IPアドレス数の閾値よりも大きい場合には(ステップS1503,Yes)、ワーム判定部240bは、ネットワークセグメントA10a外からのワームスキャンがあると過去の所定の時間内に判定されたか否かを調べる(ステップS1505)。過去の所定の時間内とは、たとえば、5分前から現時点までの間などである。
When the number of SYN packets is larger than the threshold value for the number of SYN packets and the number of destination IP addresses is larger than the threshold value for the number of destination IP addresses (step S1503, Yes), the
ネットワークセグメントA10a外からのワームスキャンがあると過去の所定の時間内に判定された場合には(ステップS1505,Yes)、ワーム判定部240bは、図15−2に示されるように、ネットワークセグメントA10a内のコンピュータがネットワークセグメントA10a外からのパケット通信によりワームに感染したと判定する(ステップS1506)。
If it is determined that there is a worm scan from outside the network segment A10a within the past predetermined time (step S1505, Yes), the
ネットワークセグメントA10a外からのワームスキャンがあると過去の所定の時間内に判定されなかった場合には(ステップS1505,No)、ワーム判定部240bは、図15−2に示されるように、ネットワークセグメントA10a内のコンピュータがネットワークセグメントA10a外からのパケット通信以外の原因でワームに感染したと判定する(ステップS1507)。ここで、ネットワークセグメントA10a外からのパケット通信以外の原因とは、ネットワークセグメントA10a内のコンピュータが、フレキシブルディスク(FD)やCD−ROMなどの記憶媒体からワームに感染した場合などである。
If it is not determined that there is a worm scan from outside the network segment A10a within the past predetermined time (step S1505, No), the
ステップS1506またはステップS1507の判定処理ののち、ワーム判定部240bは、今回検出した宛先IPアドレス数が、過去の所定の時間内に検出した宛先IPアドレス数の最大値を2倍した数以上であるか否かを調べる(ステップS1508)。そして、今回検出した宛先IPアドレス数が、過去の所定の時間内に検出した宛先IPアドレス数の最大値を2倍した数以上である場合には(ステップS1508,Yes)、ネットワークセグメントA10a内の複数のコンピュータがワームに感染したと判定し(ステップS1509)、設定データ変更部240cは、通信情報取得部240a、ワーム判定部240bまたは通信遮断部240dにより参照される設定データ230aの設定を、初期設定からSYNパケット異常検知後の設定に変更する処理をおこなう(ステップS1510)。
After the determination process in step S1506 or step S1507, the
ステップS1508において、今回検出した宛先IPアドレス数が、過去の所定の時間内に検出した宛先IPアドレス数の最大値を2倍した数以上でない場合には(ステップS1510)、ステップS1510に移行して、設定データ変更部240cは、設定データ230aの設定を、初期設定からSYNパケット異常検知後の設定に変更する処理をおこなう。その後、ワーム判定部240bは、判定結果を通信ログデータ230bに記憶し、この状況判定処理を終了する。
In step S1508, if the number of destination IP addresses detected this time is not equal to or more than twice the maximum number of destination IP addresses detected in the past predetermined time (step S1510), the process proceeds to step S1510. The setting
上述してきたように、本実施例では、通信情報取得部240aが、設定データ230aに記憶された情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得し、ワーム判定部240bが、通信情報取得部240aにより取得された情報および通信がワームによりなされた通信か否かを規定する、設定データ230aに記憶された判定基準に係る情報に基づいて、通信がワームによりなされた通信か否かを判定することとしたので、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することができる。
As described above, in the present embodiment, the communication
また、本実施例では、通信がワームによりなされた通信と判定された場合に、設定データ変更部240cが、設定データ230aに記憶された情報の取得に係る設定情報を変更し、通信情報取得部240aは、変更された情報の取得に係る設定情報に基づいて通信パケットの通信量および通信パケットの通信アドレスに係る情報を取得することとしたので、通信がワームによりなされた通信と判定された場合に情報の取得に係る設定情報を変更することにより、さらに詳細にワームの挙動を監視することができる。
In this embodiment, when it is determined that the communication is performed by the worm, the setting
また、本実施例では、設定データ変更部240cが、設定データ230aに記憶された情報の取得に係る設定情報に新たに設定する情報の追加、または、すでに情報の取得に係る設定情報に設定されている情報の削除をおこなうこととしたので、情報の取得に係る設定情報を適宜更新することにより、ワームの挙動を適切に監視することができる。
Further, in the present embodiment, the setting
また、本実施例では、通信がワームによりなされた通信と判定された場合に、設定データ変更部240cが、設定データ230aに記憶された判定基準に係る情報を変更し、通信情報取得部240aにより取得された情報および変更された判定基準に係る情報に基づいて通信がワームによりなされた通信か否かを判定することとしたので、通信がワームによりなされた通信と判定された場合に判定基準に係る情報を変更することにより、さらに厳密に通信がワームによりなされた通信か否かを判定することができる。
In this embodiment, when it is determined that the communication is performed by a worm, the setting
また、本実施例では、設定データ変更部240cが、設定データ230aに記憶された判定基準に係る情報に新たに設定する情報の追加、または、すでに判定基準に係る情報に設定されている情報の削除をおこなうこととしたので、判定基準に係る情報を適宜更新することにより、通信がワームによりなされたものか否かを適切に判定できる。
In the present embodiment, the setting
また、本実施例では、ワーム判定部240bが、通信を監視する監視対象であるネットワークセグメントA10aからネットワークセグメントAを除くネットワーク12に送信される通信パケットのパケット量が増加し、かつ、通信パケットの宛先アドレス数が増加した場合に、ネットワークセグメントA10a内のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信がネットワークセグメントA10a内のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができる。
In this embodiment, the
また、本実施例では、ワーム判定部240bが、通信を監視する監視対象であるネットワークセグメントA10a内のコンピュータからの通信がワームによりなされた通信であると以前に判定され、ネットワークセグメントA10aからネットワークセグメントA10aを除くネットワーク12に送信される通信パケットの宛先アドレス数が、通信がワームによりなされた通信であると判定する際に、通信情報取得部240aにより取得されたネットワークセグメントA10aからネットワークセグメントA10aを除くネットワーク12に送信される通信パケットの宛先アドレス数より増加した場合に、ネットワークセグメントA10a内のコンピュータからの通信が複数のコンピュータに感染したワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメントA10a内の複数のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができる。
Further, in this embodiment, the
また、本実施例では、ワーム判定部240bが、通信を監視する監視対象であるネットワークセグメントA10aに対してネットワークセグメントAを除くネットワーク12から送信された通信パケットに対する応答通信パケットのパケット量が増加し、かつ、通信パケットの送信元アドレス数が増加した場合に、ネットワークセグメントA10a外のコンピュータからの通信がワームによりなされた通信であると判定することとしたので、ワームによる通信が所定のネットワークセグメントA10a外のコンピュータからなされた場合に、それを容易にかつ効率的に判定することができる。
In this embodiment, the
また、本実施例では、ワーム判定部240bが、通信をワームによりなされた通信と判定した場合に、通信をおこなったコンピュータに係る情報をさらに出力することとしたので、出力されたコンピュータに係る情報を基にしてワームに感染している可能性のあるコンピュータを特定することができる。
Further, in this embodiment, when the
また、本実施例では、ワーム判定部240bが、通信をワームによりなされた通信と判定した場合に、通信の通信状況に係る情報をさらに出力することとしたので、出力された通信状況に係る情報を基にしてワームの活動状況を知ることができる。
Further, in this embodiment, when the
また、本実施例では、ワーム判定部240bが、通信がワームによりなされた通信か否かを判定した結果を通信ログデータ230bとして記憶することとしたので、過去のワームによりなされた通信の状況をいつでも調べることができる。
In this embodiment, since the
また、本実施例では、ワーム判定部240bが、通信をワームによりなされた通信と判定した場合に、ワームによりなされる通信に係るワームデータ230cに記憶された特徴とワームによりなされたと判定した通信に係る特徴とを比較することによりワームの種類を推定することとしたので、推定されたワームの種類の情報を基にしてワームの攻撃に適切に対応することができる。
In the present embodiment, when the
また、本実施例では、通信遮断部240dが、通信がワームによりなされた通信と判定された場合に、ワームによりなされる通信を遮断することとしたので、ワームの増殖を効果的に抑制することができる。 In the present embodiment, the communication blocking unit 240d blocks the communication performed by the worm when the communication is determined to be performed by the worm, so that the propagation of the worm is effectively suppressed. Can do.
また、本実施例では、通信遮断部240dが、ワームにより起動されたプロセスを停止することによりワームによりなされる通信を遮断することとしたので、ワームがおこなう処理自体を停止させることにより、ワームの増殖を効果的に抑制することができる。 Further, in this embodiment, the communication blocking unit 240d blocks the communication performed by the worm by stopping the process started by the worm. Therefore, by stopping the processing itself performed by the worm, Proliferation can be effectively suppressed.
また、本実施例では、通信遮断部240dが、ワームによりなされる通信をワームが存在していると判定されるコンピュータのファイアウォール機能を有効にすることにより遮断することとしたので、ワームによりなされる通信をワームに感染しているコンピュータに遮断させることにより、ワームの増殖を効果的に抑制することができる。 Further, in this embodiment, the communication blocking unit 240d blocks communication by enabling the firewall function of the computer that is determined that the worm is present because communication performed by the worm is performed. By blocking communication with a computer infected with the worm, the propagation of the worm can be effectively suppressed.
さて、これまで本発明の実施の形態について説明したが、本発明は上述した実施の形態以外にも、上記特許請求の範囲に記載した技術的思想の範囲内において種々の異なる実施例にて実施されてもよいものである。 Although the embodiments of the present invention have been described so far, the present invention can be implemented in various different embodiments within the scope of the technical idea described in the claims other than the above-described embodiments. It may be done.
例えば、本実施例では、ここでは、ワーム判定装置20aをネットワークセグメントA10aにLAN21を介して接続することとしたが、本発明はこれに限定されるものではなく、ワーム判定装置20aをネットワークセグメントA10a内のコンピュータに直結することとしてもよい。また、ネットワークセグメントA10aがコンピュータを一台のみ含む場合に、ワーム判定プログラムをそのコンピュータに導入し、そのコンピュータがネットワークセグメントA10aに係る通信を監視してワーム判定処理をおこなうこととしてもよい。
For example, in this embodiment, the
また、SYNパケットとSYN ACKパケットとを監視する監視する通信パケットの種類として主に取り上げて説明したが、本発明はこれに限定されるものではなく、UDPパケットやICMPパケット、あるいはその他のプロトコルによるパケットにも本発明を同様に適用することができる。 In addition, although mainly described as a type of communication packet to be monitored for monitoring a SYN packet and a SYN ACK packet, the present invention is not limited to this, and is based on a UDP packet, an ICMP packet, or another protocol. The present invention can be similarly applied to packets.
また、本実施例では、図5〜図9に示したような判定方法に基づいて、通信がワームによりなされた通信か否かを判定することとしたが、本発明はこれに限定されるものではなく、通信パケットの通信量および通信パケットの通信アドレスに係る情報を用いた他のさまざまな判定方法を適用することとしてもよい。 Further, in this embodiment, based on the determination method as shown in FIGS. 5 to 9, it is determined whether or not the communication is performed by a worm, but the present invention is not limited to this. Instead, various other determination methods using information relating to the communication amount of the communication packet and the communication address of the communication packet may be applied.
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 In addition, among the processes described in this embodiment, all or part of the processes described as being performed automatically can be performed manually, or the processes described as being performed manually can be performed. All or a part can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、ワーム判定装置20a〜20dの分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、ワーム判定装置20a〜20dによりおこなわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
Each component of each illustrated device is functionally conceptual and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of the
(付記1)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラムであって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、
前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、
をコンピュータに実行させることを特徴とするワーム判定プログラム。
(Appendix 1) A worm determination program for monitoring communication related to a predetermined network segment connected to a network and determining whether the communication is communication performed by a worm,
A communication information acquisition procedure for acquiring information related to a communication amount of a communication packet and a communication address of the communication packet based on setting information related to acquisition of information;
Worm determination procedure for determining whether the communication is a communication made by a worm based on the information acquired by the communication information acquisition procedure and information relating to a determination criterion for specifying whether the communication is a communication made by a worm When,
A worm determination program for causing a computer to execute.
(付記2)前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、前記情報の取得に係る設定情報を変更する設定情報変更手順をさらに含み、前記通信情報取得手順は、前記情報取得設定変更手順により変更された情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得することを特徴とする付記1に記載のワーム判定プログラム。
(Additional remark 2) When it is determined by the worm determination procedure that the communication is performed by a worm, the communication information acquisition procedure further includes a setting information change procedure for changing setting information related to the acquisition of the information. The worm determination according to
(付記3)前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、前記判定基準に係る情報を変更する判定基準情報変更手順をさらに含み、前記ワーム判定手順は、前記通信情報取得手順により取得された情報および前記判定基準情報変更手順により変更された判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定することを特徴とする付記1または2に記載のワーム判定プログラム。
(Supplementary note 3) When the communication is determined to be communication made by a worm according to the worm determination procedure, the information processing method further includes a determination criterion information change procedure for changing information related to the determination criterion, and the worm determination procedure includes the
(付記4)前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットのパケット量が増加し、かつ、該通信パケットの宛先アドレス数が増加した場合に、前記所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると判定することを特徴とする付記1、2または3に記載のワーム判定プログラム。
(Supplementary Note 4) The worm determination procedure includes a step of increasing a packet amount of communication packets transmitted from the predetermined network segment to be monitored to monitor communication to the outside of the predetermined network segment, and a destination of the communication packet The worm determination program according to
(付記5)前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメント内のコンピュータからの通信がワームによりなされた通信であると以前に判定され、該所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数が、前記通信がワームによりなされた通信であると判定する際に前記通信情報取得手段により取得された該所定のネットワークセグメントから該所定のネットワークセグメント外部に送信される通信パケットの宛先アドレス数より増加した場合に、該所定のネットワークセグメント内のコンピュータからの通信が複数のコンピュータに感染したワームによりなされた通信であると判定することを特徴とする付記4に記載のワーム判定プログラム。
(Supplementary Note 5) The worm determination procedure determines that communication from a computer in the predetermined network segment that is a monitoring target for monitoring communication is communication performed by a worm before, and from the predetermined network segment When the number of destination addresses of a communication packet transmitted outside a predetermined network segment is determined that the communication is communication performed by a worm, the predetermined address from the predetermined network segment acquired by the communication information acquisition unit is determined. When the number of destination addresses of communication packets transmitted outside the network segment is increased, it is determined that communication from a computer in the predetermined network segment is communication made by a worm infected with a plurality of computers. The worm determination program described in
(付記6)前記ワーム判定手順は、通信を監視する監視対象である前記所定のネットワークセグメントに対して該所定のネットワークセグメント外部から送信された通信パケットに対する応答通信パケットのパケット量が増加し、かつ、該通信パケットの送信元アドレス数が増加した場合に、前記所定のネットワークセグメント外部のコンピュータからの通信がワームによりなされた通信であると判定することを特徴とする付記1〜5のいずれか1つに記載のワーム判定プログラム。
(Additional remark 6) The said worm determination procedure increases the packet amount of the response communication packet with respect to the communication packet transmitted from the outside of the predetermined network segment with respect to the predetermined network segment to be monitored. Any one of
(付記7)前記ワーム判定手順は、前記通信をワームによりなされた通信と判定した場合に、該通信をおこなったコンピュータもしくは通信状況に係る情報をさらに出力することを特徴とする付記1〜6のいずれか1つに記載のワーム判定プログラム。 (Appendix 7) When the worm determination procedure determines that the communication is performed by a worm, the computer further performs communication or information related to the communication status is output. The worm determination program according to any one of the above.
(付記8)前記ワーム判定手順は、前記通信をワームによりなされた通信と判定した場合に、ワームによりなされる通信に係るあらかじめ登録された特徴とワームによりなされたと判定した通信に係る特徴とを比較することにより前記ワームの種類を推定することを特徴とする付記1〜7のいずれか1つに記載のワーム判定プログラム。
(Supplementary Note 8) When the worm determination procedure determines that the communication is a communication made by a worm, the pre-registered feature related to the communication made by the worm is compared with the feature related to the communication determined to be made by the worm. The worm determination program according to any one of
(付記9)前記ワーム判定手順により前記通信がワームによりなされた通信と判定された場合に、該ワームによりなされる通信を遮断する通信遮断手順を含んだことを特徴とする付記1〜8のいずれか1つに記載のワーム判定プログラム。
(Supplementary note 9) Any one of
(付記10)前記通信遮断手順は、ワームにより起動されたプロセスを停止することによりワームによりなされる通信を遮断することを特徴とする付記9に記載のワーム判定プログラム。
(Additional remark 10) The said communication interruption | blocking procedure interrupts | blocks the communication made by a worm by stopping the process started by the worm, The worm determination program of
(付記11)前記通信遮断手順は、ワームによりなされる通信を該ワームが存在していると判定されるコンピュータのファイアウォール機能を有効にすることにより遮断することを特徴とする付記9に記載のワーム判定プログラム。
(Appendix 11) The worm according to
(付記12)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手順と、
前記通信情報取得手順により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手順と、
をコンピュータに実行させるワーム判定プログラムを記録したことを特徴とするコンピュータ読み取り可能な記録媒体。
(Supplementary note 12) A computer-readable recording medium recording a worm determination program for monitoring communication related to a predetermined network segment connected to a network and determining whether the communication is communication performed by a worm,
A communication information acquisition procedure for acquiring information related to a communication amount of a communication packet and a communication address of the communication packet based on setting information related to acquisition of information;
Worm determination procedure for determining whether the communication is a communication made by a worm based on the information acquired by the communication information acquisition procedure and information relating to a determination criterion for specifying whether the communication is a communication made by a worm When,
A computer-readable recording medium on which a worm determination program for causing a computer to execute is recorded.
(付記13)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定方法であって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得工程と、
前記通信情報取得工程により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定工程と、
を含んだことを特徴とするワーム判定方法。
(Supplementary note 13) A worm determination method for monitoring communication related to a predetermined network segment connected to a network and determining whether the communication is communication performed by a worm,
A communication information acquisition step of acquiring information related to a communication amount of a communication packet and a communication address of the communication packet based on setting information related to acquisition of information;
Worm determination step for determining whether or not the communication is a communication made by a worm based on the information acquired by the communication information acquisition step and information relating to a determination criterion for specifying whether or not the communication is a communication made by a worm When,
A method for determining a worm characterized by including:
(付記14)ネットワークに接続された所定のネットワークセグメントに係る通信を監視して該通信がワームによりなされた通信か否かを判定するワーム判定装置であって、
情報の取得に係る設定情報に基づいて通信パケットの通信量および該通信パケットの通信アドレスに係る情報を取得する通信情報取得手段と、
前記通信情報取得手段により取得された情報および前記通信がワームによりなされた通信か否かを規定する判定基準に係る情報に基づいて前記通信がワームによりなされた通信か否かを判定するワーム判定手段と、
を備えたことを特徴とするワーム判定装置。
(Supplementary note 14) A worm determination device that monitors communication related to a predetermined network segment connected to a network and determines whether the communication is communication made by a worm,
Communication information acquisition means for acquiring information relating to the communication amount of the communication packet and the communication address of the communication packet based on the setting information relating to the acquisition of information;
Worm determination means for determining whether or not the communication is made by a worm based on the information acquired by the communication information acquisition means and information on a criterion for specifying whether or not the communication is made by a worm When,
A worm determination device comprising:
以上のように、本発明に係る通信遮断装置、通信遮断プログラムおよび通信遮断方法は、ワームの増殖を効果的に抑制するワーム判定システムに有用である。 As described above, the communication cutoff device, the communication cutoff program, and the communication cutoff method according to the present invention are useful for a worm determination system that effectively suppresses the proliferation of worms.
以上のように、本発明に係るワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置は、サーバ装置かクライアント装置かに拘らず通信がワームによりなされたものか否かを容易にかつ効率的に判定することが必要なワーム判定システムに有用である。 As described above, the worm determination program, the computer-readable storage medium storing the worm determination program, the worm determination method, and the worm determination device according to the present invention communicated by the worm regardless of whether it is a server device or a client device. This is useful for a worm determination system that needs to easily and efficiently determine whether or not it is a thing.
10a〜10d、16a〜16d ネットワークセグメント
11 ネットワーク
130 キーボード
131 ディスプレイ
132 CPU
133 RAM
134 HDD
135 HD
135a ワーム判定プログラム
136 ROM
137 ネットワークI/F
138 バス
17a〜17c、20a〜20d ワーム判定装置
200 インターフェース部
21 LAN
210 入力部
220 表示部
230 記憶部
230a 設定データ
230b 通信ログデータ
230c ワームデータ
240 制御部
240a 通信情報取得部
240b ワーム判定部
240c 設定データ変更部
240d 通信遮断部
60、70、80、90 ワーム判定結果
10a to 10d, 16a to
133 RAM
134 HDD
135 HD
135a
137 Network I / F
138
210
Claims (6)
該通信がワームによりなされた通信か否かを判定するワーム判定手段と、
前記ワーム判定手段により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから特定種別の通信パケットを取得して、該取得した通信パケットの送信元IPアドレスを感染コンピュータIPアドレスとして抽出する感染コンピュータIPアドレス抽出手段と、
前記感染コンピュータIPアドレス抽出手段で抽出されたIPアドレスにより特定される感染コンピュータにアクセスし、該感染コンピュータにてワームにより起動されたプロセスを停止させることにより、ワームによりなされる通信を遮断する通信遮断手段と、
を備えたことを特徴とする通信遮断装置。 A communication blocking device that monitors communication performed between a predetermined network segment and the outside of the predetermined network segment and blocks communication performed by the worm,
Worm determination means for determining whether the communication is made by a worm;
When it is determined by the worm determination means that the communication is a communication made by a worm, a specific type of communication packet is acquired from a communication packet included in the communication, and a transmission source IP address of the acquired communication packet is set. An infected computer IP address extracting means for extracting as an infected computer IP address;
Blocking communication that blocks communication performed by the worm by accessing the infected computer specified by the IP address extracted by the infected computer IP address extracting means and stopping the process started by the worm on the infected computer Means,
A communication cut-off device comprising:
該通信がワームによりなされた通信か否かを判定するワーム判定手段と、
前記ワーム判定手段により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから特定種別の通信パケットを取得して、該取得した通信パケットの送信元IPアドレスを感染コンピュータIPアドレスとして抽出する感染コンピュータIPアドレス抽出手段と、
前記感染コンピュータIPアドレス抽出手段で抽出されたIPアドレスにより特定される感染コンピュータにアクセスし、該感染コンピュータのファイアウォール機能を有効にすることにより、ワームによりなされる通信を遮断する通信遮断手段と、
を備えたことを特徴とする通信遮断装置。 A communication blocking device that monitors communication performed between a predetermined network segment and the outside of the predetermined network segment and blocks communication performed by the worm,
Worm determination means for determining whether the communication is made by a worm;
When it is determined by the worm determination means that the communication is a communication made by a worm, a specific type of communication packet is acquired from a communication packet included in the communication, and a transmission source IP address of the acquired communication packet is set. An infected computer IP address extracting means for extracting as an infected computer IP address;
Communication blocking means for blocking communication performed by the worm by accessing the infected computer specified by the IP address extracted by the infected computer IP address extracting means and enabling the firewall function of the infected computer;
A communication cut-off device comprising:
該通信がワームによりなされた通信か否かを判定するワーム判定手順と、
前記ワーム判定手順により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから特定種別の通信パケットを取得して、該取得した通信パケットの送信元IPアドレスを感染コンピュータIPアドレスとして抽出する感染コンピュータIPアドレス抽出手順と、
前記感染コンピュータIPアドレス抽出手順で抽出されたIPアドレスにより特定される感染コンピュータにアクセスし、該感染コンピュータにてワームにより起動されたプロセスを停止させることにより、ワームによりなされる通信を遮断する通信遮断手順と、
をコンピュータに実行させることを特徴とする通信遮断プログラム。 A communication blocking program that monitors communication performed between a predetermined network segment and outside the predetermined network segment, and blocks communication performed by the worm,
A worm determination procedure for determining whether the communication is performed by a worm;
When it is determined by the worm determination procedure that the communication is communication performed by the worm, a specific type of communication packet is acquired from the communication packet included in the communication, and the source IP address of the acquired communication packet is set An infected computer IP address extraction procedure for extracting as an infected computer IP address;
Blocking communication that blocks communication performed by the worm by accessing the infected computer specified by the IP address extracted in the infected computer IP address extraction procedure and stopping the process started by the worm on the infected computer Procedure and
A communication blocking program for causing a computer to execute .
該通信がワームによりなされた通信か否かを判定するワーム判定手順と、
前記ワーム判定手順により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから特定種別の通信パケットを取得して、該取得した通信パケットの送信元IPアドレスを感染コンピュータIPアドレスとして抽出する感染コンピュータIPアドレス抽出手順と、
前記感染コンピュータIPアドレス抽出手順で抽出されたIPアドレスにより特定される感染コンピュータにアクセスし、該感染コンピュータのファイアウォール機能を有効にすることにより、ワームによりなされる通信を遮断する通信遮断手順と、
をコンピュータに実行させることを特徴とする通信遮断プログラム。 A communication blocking program that monitors communication performed between a predetermined network segment and outside the predetermined network segment, and blocks communication performed by the worm,
A worm determination procedure for determining whether the communication is performed by a worm;
When it is determined by the worm determination procedure that the communication is communication performed by the worm, a specific type of communication packet is acquired from the communication packet included in the communication, and the source IP address of the acquired communication packet is set An infected computer IP address extraction procedure for extracting as an infected computer IP address;
A communication blocking procedure for blocking communication performed by the worm by accessing the infected computer identified by the IP address extracted in the infected computer IP address extraction procedure and enabling the firewall function of the infected computer ;
A communication blocking program for causing a computer to execute.
該通信がワームによりなされた通信か否かを判定するワーム判定工程と、
前記ワーム判定工程により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから特定種別の通信パケットを取得して、該取得した通信パケットの送信元IPアドレスを感染コンピュータIPアドレスとして抽出する感染コンピュータIPアドレス抽出工程と、
前記感染コンピュータIPアドレス抽出工程で抽出されたIPアドレスにより特定される感染コンピュータにアクセスし、該感染コンピュータにてワームにより起動されたプロセスを停止させることにより、ワームによりなされる通信を遮断する通信遮断工程と、
を含んだことを特徴とする通信遮断方法。 A communication blocking method for monitoring communication between a predetermined network segment and outside the predetermined network segment and blocking communication performed by the worm,
A worm determination step of determining whether the communication is a communication made by a worm;
When it is determined in the worm determination step that the communication is a communication made by a worm, a specific type of communication packet is acquired from the communication packet included in the communication, and a source IP address of the acquired communication packet is set. An infected computer IP address extracting step of extracting as an infected computer IP address;
Communication blocking for blocking communication performed by the worm by accessing the infected computer specified by the IP address extracted in the infected computer IP address extraction step and stopping the process started by the worm on the infected computer Process,
A communication blocking method comprising:
該通信がワームによりなされた通信か否かを判定するワーム判定工程と、
前記ワーム判定工程により該通信がワームによりなされた通信であると判定された場合に該通信に含まれる通信パケットから特定種別の通信パケットを取得して、該取得した通信パケットの送信元IPアドレスを感染コンピュータIPアドレスとして抽出する感染コンピュータIPアドレス抽出工程と、
前記感染コンピュータIPアドレス抽出工程で抽出されたIPアドレスにより特定される感染コンピュータにアクセスし、該感染コンピュータのファイアウォール機能を有効にすることにより、ワームによりなされる通信を遮断する通信遮断工程と、
を含んだことを特徴とする通信遮断方法。 A communication blocking method for monitoring communication between a predetermined network segment and outside the predetermined network segment and blocking communication performed by the worm,
A worm determination step of determining whether the communication is a communication made by a worm;
When it is determined in the worm determination step that the communication is a communication made by a worm, a specific type of communication packet is acquired from the communication packet included in the communication, and a source IP address of the acquired communication packet is set. An infected computer IP address extracting step of extracting as an infected computer IP address;
A communication blocking step of blocking communication performed by the worm by accessing the infected computer specified by the IP address extracted in the infected computer IP address extracting step and enabling a firewall function of the infected computer;
A communication blocking method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006266091A JP4303741B2 (en) | 2006-09-28 | 2006-09-28 | Communication interruption device, communication interruption program, and communication interruption method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006266091A JP4303741B2 (en) | 2006-09-28 | 2006-09-28 | Communication interruption device, communication interruption program, and communication interruption method |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003367272A Division JP4051020B2 (en) | 2003-10-28 | 2003-10-28 | Worm determination program, computer-readable storage medium storing worm determination program, worm determination method, and worm determination device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007082242A JP2007082242A (en) | 2007-03-29 |
JP4303741B2 true JP4303741B2 (en) | 2009-07-29 |
Family
ID=37941942
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006266091A Expired - Fee Related JP4303741B2 (en) | 2006-09-28 | 2006-09-28 | Communication interruption device, communication interruption program, and communication interruption method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4303741B2 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008269420A (en) * | 2007-04-23 | 2008-11-06 | Sky Kk | Risk management method and risk management program in computer, and risk management system for executing the method |
JP5009200B2 (en) * | 2008-03-10 | 2012-08-22 | Kddi株式会社 | Network attack detection device and defense device |
JP4995170B2 (en) * | 2008-10-06 | 2012-08-08 | 日本電信電話株式会社 | Fraud detection method, fraud detection device, fraud detection program, and information processing system |
JP6581053B2 (en) * | 2016-09-01 | 2019-09-25 | 日本電信電話株式会社 | Flow analysis apparatus, traffic analysis system, and flow analysis method |
CN109802973A (en) * | 2019-03-15 | 2019-05-24 | 北京百度网讯科技有限公司 | Method and apparatus for detection flows |
JP7363503B2 (en) | 2020-01-16 | 2023-10-18 | 富士通株式会社 | Information processing device, information processing method, and information processing system |
-
2006
- 2006-09-28 JP JP2006266091A patent/JP4303741B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007082242A (en) | 2007-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4051020B2 (en) | Worm determination program, computer-readable storage medium storing worm determination program, worm determination method, and worm determination device | |
US7752668B2 (en) | Network virus activity detecting system, method, and program, and storage medium storing said program | |
JP4429218B2 (en) | Network cutoff control program and network cutoff device | |
JP5003556B2 (en) | Communication detection device, communication detection method, and communication detection program | |
JP6291135B2 (en) | Connection control device, connection control method, and connection control program | |
KR101607951B1 (en) | Dynamic cleaning for malware using cloud technology | |
JP4827972B2 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
JP4303741B2 (en) | Communication interruption device, communication interruption program, and communication interruption method | |
US8966630B2 (en) | Generating and distributing a malware countermeasure | |
JP5920169B2 (en) | Unauthorized connection detection method, network monitoring apparatus and program | |
JP6086423B2 (en) | Unauthorized communication detection method by collating observation information of multiple sensors | |
JP4296184B2 (en) | Attack detection apparatus, attack detection method, and attack detection program | |
JP5980968B2 (en) | Information processing apparatus, information processing method, and program | |
JP5286018B2 (en) | Information processing apparatus, program, and recording medium | |
JP2008278272A (en) | Electronic system, electronic equipment, central apparatus, program, and recording medium | |
JP2011188071A (en) | Intrusion detection/prevention system, client computer, intrusion detection/prevention apparatus and method, and program | |
US20050259657A1 (en) | Using address ranges to detect malicious activity | |
JP5531064B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
US10462158B2 (en) | URL selection method, URL selection system, URL selection device, and URL selection program | |
KR20130116418A (en) | Apparatus, method and computer readable recording medium for analyzing a reputation of an internet protocol | |
US8572745B2 (en) | System, method, and computer program product for selecting a wireless network based on security information | |
JP4441517B2 (en) | Worm determination device, worm determination program, and worm determination method | |
JP2007082241A (en) | Communication interrupting apparatus, communication interrupting program, and communication interrupting method | |
KR100772177B1 (en) | Method and apparatus for generating intrusion detection event to test security function | |
JP2007074738A (en) | Apparatus, program and method for determinating worm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080925 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081209 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090209 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090421 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090424 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120501 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120501 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130501 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130501 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |