JP4327698B2 - ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム - Google Patents

ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム Download PDF

Info

Publication number
JP4327698B2
JP4327698B2 JP2004304711A JP2004304711A JP4327698B2 JP 4327698 B2 JP4327698 B2 JP 4327698B2 JP 2004304711 A JP2004304711 A JP 2004304711A JP 2004304711 A JP2004304711 A JP 2004304711A JP 4327698 B2 JP4327698 B2 JP 4327698B2
Authority
JP
Japan
Prior art keywords
network
communication
network communication
virus activity
activity detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004304711A
Other languages
English (en)
Other versions
JP2006119754A (ja
Inventor
和成 面
正彦 武仲
悟 鳥居
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004304711A priority Critical patent/JP4327698B2/ja
Priority to US11/041,434 priority patent/US7752668B2/en
Publication of JP2006119754A publication Critical patent/JP2006119754A/ja
Application granted granted Critical
Publication of JP4327698B2 publication Critical patent/JP4327698B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3041Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is an input/output interface
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク型ウィルスによるゼロデイアタックを受けたクライアントPC(コンピュータ)がネットワークに対して感染活動を行った場合に、当該感染活動を検出・停止する処理をコンピュータに実行させるためのネットワーク型ウィルス活動検出プログラム、処理方法およびシステムに関する。
より詳しくは、ネットワーク型ウィルスによるゼロデイアタックと呼ばれる、ベンダが脆弱性情報やパッチプログラムを公開する前にその脆弱性を悪用して行われる攻撃を受けたクライアントPCがネットワークに対して感染活動とみなされるプロセスを実行している場合に、例えばシグネチャのようなウィルスを特定するための情報を使用せずに当該プロセスが不正なものであるか否かを自動的に判別し、停止するネットワーク型ウィルス活動検出プログラム、処理方法およびシステムに関する。
従来のネットワーク型ウィルス活動検出システムに関する技術として、以下のようなものが存在する。
(1)従来技術1
ジュピターテクノロジー株式会社の「ウィルス・ワーム除去ツール」は、ウィルスごとのユニークな一連の文字や数値などの情報であるシグネチャを利用してPCのOS(オペレーティングシステム)のメモリをスキャンし、ウィルスを検出すると当該プロセスを停止して、ウィルスの感染拡大を防止、または、当該プロセスを停止できない場合はその通信を停止するものである(非特許文献1参照)。
(2)従来技術2
シマンテック社の「Symantec Client Security 2.0 (SCS 2.0)」は、アンチウィルスソフト、パーソナルファイアウォール、侵入検知を備えるクライアントPC向けの統合セキュリティ対策ソフトであり、シグネチャを利用してウィルスを検出し、新しい通信を発生させたプロセスの存在をユーザに通知する。
ジュピターテクノロジー株式会社、"ウィルス・ワーム除去ツール"、[online]、[平成16年9月30日検索]、インターネット<URL:http://www.jtc-i.co.jp/avast/avast50-cleaner.htm>
しかし、従来技術1は、シグネチャを利用してウィルスを検出するものであるため、ゼロデイアタックによるウィルスの活動を検出したり停止したりすることができない。また、ウィルス検出処理においてウィルスごとのシグネチャを使用するために処理が重くなるという問題がある。
一方、従来技術2では、プロセスが新たな通信を発生させた場合に、当該プロセスが不正なものであるか否かを自動的に判別することができない。そのため、プロセスの正当性の判断をユーザ任せにせざるを得ない。
本発明は、かかる問題点に鑑みてなされたものであり、その目的は、未知のウィルスによる攻撃を受けたクライアントPCがネットワークに対して感染活動とみなされるプロセスを実行している場合に、ウィルスごとのシグネチャを使用せずに当該通信を行っているプロセスの正当性を自動的に判別し、不正なプロセスを停止して、ウィルス感染の拡大防止を図るシステム、処理方法およびプログラムを提供することである。
本発明は、ネットワークに接続されたコンピュータ内でのネットワーク型ウィルスの活動を検出するネットワーク型ウィルス活動検出処理方法を、プロセスのネットワーク通信に係る挙動であるプロセス通信挙動と、当該プロセスの上位プロセスのネットワーク通信に係る挙動である上位プロセス通信挙動とを対応づけて不正プロセスの定義として記録した不正プロセス判定テーブルを記憶部に格納したコンピュータに実行させるためのプログラムであって、プロセスがネットワーク通信を発生させた際、当該ネットワーク通信を発生させたプロセスのネットワーク通信の挙動をプロセスログとして記憶部に記録するログ取得ステップと、前記コンピュータ内で動作中のプロセスを管理するプロセス管理情報をオペレーティングシステムから取得し、当該プロセス管理情報に基づき、前記ネットワーク通信を発生させたプロセスの上位プロセスを特定する上位プロセス特定ステップと、前記プロセスログを参照して、前記特定した上位プロセスのネットワーク通信の挙動を特定するログ参照ステップと、前記プロセスが発生させたネットワーク通信の挙動と、前記特定した上位プロセスのネットワーク通信の挙動とが、前記不正プロセス判定テーブルにおいて対応づけられて格納されているプロセス通信挙動と上位プロセス通信挙動の組のいずれかに該当する場合に、前記判定対象プロセスが不正プロセスである判定する判定ステップとを、前記コンピュータに実行させるためのものである。
本発明では、コンピュータ内で動作中のプロセスがウィルス活動による不正プロセスであるかを判定するために、不正プロセスに共通する挙動を特定するために、プロセスのネットワーク通信に係る挙動であるプロセス通信挙動と、当該プロセスの上位プロセスのネットワーク通信に係る挙動である上位プロセス通信挙動とを対応づけて不正プロセスの定義として記録した不正プロセス判定テーブル記憶しておく。そして、プロセスがネットワーク通信を発生させた際、当該ネットワーク通信を発生させたプロセスのネットワーク通信の挙動をプロセスログとして記憶部に記録する。コンピュータのオペレーティングシステムから取得したプロセス管理情報をもとに、前記ネットワーク通信を発生させたプロセスの一または複数の上位プロセス(親プロセス、親プロセスと爺プロセスなど)を特定する。そして、プロセスログを参照して、特定した上位プロセスのネットワーク通信の挙動を特定し、プロセスが発生させたネットワーク通信の挙動と、前記特定した上位プロセスのネットワーク通信の挙動とが、前記不正プロセス判定テーブルにおいて対応づけられて格納されているプロセス通信挙動と上位プロセス通信挙動の組のいずれかに該当する場合に、その判定対象プロセスを不正プロセスであると判定する。
これにより、ウィルスごとのシグネチャ情報を用いることなく、動作中のプロセスがウィルスの活動による不正プロセスであるか否かを判定することができる。
また、本発明は、上記の構成をとる場合に、さらに、前記判定ステップにより不正プロセスと判定された前記プロセスを停止する停止ステップを、前記コンピュータに実行させるためのものである。
これにより、ウィルスの活動による不正プロセスを直ちに停止できるため、ウィルス感染の拡大を防止することができる。また、不正プロセスによるコンピュータのCPUパワーの消費を抑制することができる。
さらに、本発明は、前記判定ステップにより不正プロセスと判定された前記プロセスが行うネットワーク通信の遮断要求を出力する通信遮断要求ステップを、前記コンピュータに実行させるためのものである。
これにより、コンピュータ内に備えられたパーソナルファイアウォールプログラムや外部のルータなどのネットワーク接続機器と連携して、ウィルスの活動による不正なネットワーク通信を遮断することができ、ウィルス感染の拡大を防止することができる。
さらに、本発明は、前記判定ステップにより不正プロセスと判定された前記プロセスの停止をユーザに通知する通知ステップを、前記コンピュータに実行させるためのものである。
これにより、ユーザは、使用するコンピュータのウィルス感染を直ちに認知して、必要な対策をとることができる。
さらに、本発明は、前記ログ取得ステップにおいて、プロセスがアウトバウンドのネットワーク通信を発生させた際に、プロセスログを記録し、前記上位プロセス特定ステップにおいて、アウトバウンドのネットワーク通信新た生成したプロセスの上位プロセスを特定するものである。
また、本発明は、ロセスが発生させたポートのステータスを監視するポート監視ステップを、前記コンピュータに実行させると共に、前記上位プロセス特定ステップでは、ートがリッスン状態であるプロセスの上位プロセスを特定するものである。
これにより、感染拡大や内部情報漏洩などのネットワーク通信を悪用するウィルスの活動を、通信に関係するプロセスを絞り込むことにより効率的に検出することができる。
さらに、本発明は、上記の処理ステップを実現する処理方法である。また、前記処理ステップを実行する処理手段を備えるシステムである。
本発明は、ウィルスに共通の振舞いを不正プロセス判定ルールとして規定し利用するため、ウィルスごとのシグネチャを使用することなく、新たなプロセスによる通信がウィルスによるものかどうかを自動的に判断してプロセス停止を行うことができる。また、新たなプロセスによるポートの開放設定(リスン)がウィルスによるものかどうかを自動的に判断してプロセス停止を行うことができる。したがって、ネットワーク型ウィルスによるゼロディアタックの不正プロセスを自動的に判定および停止することができ、感染拡大を防止することができる。
また、不正プロセスの通信のみを停止する場合には、不正プロセスによるCPUパワーの消費を抑えることができないが、本発明によれば、不正なプロセス自体を停止するため、不正プロセスによるCPUパワーの消費を抑制することができる。
また、ウィルスごとにシグネチャを持つ場合には、発生した1つの通信に対して全てのシグネチャと照合する必要がある。しかし、本発明によれば、ウィルスごとにシグネチャを用意する必要がなく、ウィルス共通の挙動を示す情報を不正ルールファイルとして持ち、ルール数を少数に抑制できるため、システムの処理動作を軽くすることができる。
図1は、本発明の原理を説明するための図である。
本発明は、ネットワーク型ウィルスによるゼロデイアタックを受けたクライアントPC(コンピュータ)1内で動作中のプロセス2がネットワーク型ウィルスの活動による不審なプロセスであるか否かを判定するための判定ルール情報として、ウィルスに共通する挙動を示すいくつかのパターンを、プロセス間の階層関係によって示す判定ルール情報を設定しておく。例えば、不正ルールR1として、“プロセス2Xを呼び出した直近上位プロセス(親プロセス)がプロセス2S、さらにその上位プロセス(爺プロセス)がプロセス2Tである場合”を規定しておく。
そして、監視処理において、例えばネットワークインターフェースにおける外部への通信(アウトバウンド通信)を監視し、当該通信を生成したプロセスを判定対象とし、判定処理において、クライアントPC1のオペレーティングシステム(OS)で管理されるプロセスの管理情報などを用いて、判定対象をプロセス2Xと特定する。さらに、プロセス2X、その上位プロセス2A、プロセス2B、…とを特定したプロセスツリー情報を生成し、所定の判定ルール情報を参照して、プロセス2Xのプロセスツリー情報から、プロセス2Xが不正プロセスか否かを判定する。
ここで、プロセス2Xの上位プロセス(親プロセス)がプロセス2S、さらにその上位プロセス(爺プロセス)がプロセス2Tであれば、プロセス2Xは不正なプロセスと判定する。また、プロセス2Xの親プロセスがプロセス2A、爺プロセスがプロセス2Bであれば正当なプロセスと判定する。
さらに、判定処理において不正と判定されたプロセス2Xの動作を停止し、プロセス2Xの停止をユーザなどに通知するようにしてもよい。
図2は、本発明の実施の形態における構成例を示す図である。
ネットワーク型ウィルス活動検出システム10は、クライアントPC(コンピュータ)1に実装され、クライアントPC1で動作するプロセス2の中から、感染したネットワーク型ウィルスの活動によると考えられる不審なプロセスを検出し、その動作を停止する処理システムである。
ネットワーク型ウィルス活動検出システム10は、監視部11、プロセス特定部12、プロセスツリー取得部13、判定部14、プロセス停止部15、通知部16、通信遮断要求部17、不正ルールファイル18、およびプロセスログ19を備える。各処理手段は、プログラムとして構成される。
監視部11は、ネットワークインターフェース3の通信を監視し、プロセス2が発生させた所定の通信、例えばクライアントPC1から外部へのアウトバウンド通信を検出し、検出結果である通信情報を出力する処理手段である。通信情報は、通信時刻、送信ポート番号、宛先ポート番号、プロトコル情報などを含む情報である。
また、監視部11は、ポートのステータスを監視し、プロセス2が所定のステータスを設定したポート、例えば、リスン((listen)内部へのインバウンド通信のためにポートを開けた状態)されたポートを検出する。
プロセス特定部12は、監視部11から取得した通信情報をもとに、検出された通信またはポートのステータスを発生させたプロセス(判定対象プロセス2X)を、例えばクライアントPC1内で動作中のプロセス2を管理するプロセス管理情報をもとに特定し、判定対象プロセス2Xを示すプロセス情報を出力する処理手段である。プロセス情報は、判定対象プロセス2Xを特定するプロセス名、プロセス番号などの情報である。
プロセスツリー取得部13は、例えばプロセス管理情報をもとに、判定対象プロセス2Xの一または複数の上位プロセス(親プロセス、爺プロセス、…)2A、2B、2C、…を特定し、判定対象プロセス2Xと上位プロセス2A、2B、2C、…との階層関係を示すプロセスツリー情報を出力する処理手段である。
判定部14は、プロセスツリー情報および不正ルールファイル18を使用して、判定対象プロセス2Xが不正プロセスであるか否かを判定する処理手段である。
不正ルールファイル18は、動作中のプロセス2がネットワーク型ウィルスの活動による不審なプロセスであるか否かを判定するための判定ルール情報であって、ウィルスに共通する挙動を示すいくつかのパターンを、プロセス間の階層関係によって示す情報である。
不正ルールファイル18は、ウィルスに共通する振る舞いを規定したものであるため、ウィルスごとに用意する必要がない。
また、判定部14は、不正ルールファイル18が、プロセス間の階層関係を、判定対象プロセスと上位プロセスの宛先ポート番号との組み合わせによって定義している場合に、プロセスログ19をもとに上位プロセスの宛先ポート番号を特定し、判定対象プロセス2Xおよびその上位プロセスの宛先ポート番号の関係にもとづいて判定対象プロセス2Xが不正プロセスであるか否かを判定する。また、判定部14は、正当と判定したプロセス2に関する情報をプロセスログ19に格納する。
プロセスログ19は、クライアントPC1で過去に行われたすべての正当なプロセス2が行った通信について、少なくとも通信方向、宛先ポート番号および当該プロセス2の上位プロセス名を記録するログ情報を蓄積する記憶手段である。
判定部14は、判定対象プロセス2Xの親プロセスがどのようなサービスを行うプログラムであるかを特定するために、プロセスログ19を利用する。通常、宛先ポート番号と利用したサービスは対応するものであるため、特に、どのポート番号に対して通信を行ったかをチェックすることによって、親プロセスが何を行っているプログラムであるかを特定することができる。
プロセス停止部15は、判定部14によってプロセス2Xが不正プロセスと判定された場合に限り、判定対象プロセス2Xのプロセス情報をもとに、起動中のプロセス2Xを停止する処理手段である。
通知部16は、判定部14によって判定対象プロセス2Xが不正プロセスと判定されて停止された場合に限り、停止された判定対象プロセス2Xのプロセス情報および停止通知をクライアントPC1の表示画面に表示する処理手段である。
通信遮断要求部17は、判定部14によって不正プロセスと判定されたプロセス2Xが行う通信の遮断要求を、ネットワークインターフェース3またはクライアントPC1外部のネットワーク接続装置などに送出する処理手段である。
以下、本発明について、アウトバウンド通信を発生させたプロセスを判定対象とする場合の処理を説明する。
ネットワーク型ウィルス活動検出システム10の判定部14は、予め所定の不正ルールファイル18を備え、また、正当なプロセスによる通信に関するログ情報をプロセスログ19に蓄積しておく。
図3は、不正ルールファイル18の例を示す図である。不正ルールファイル18には、ルールごとに、ルール番号、監視対象宛先ポート番号、親プロセスの使用宛先ポート番号、および爺プロセス名が設定される。監視対象宛先ポート番号は、判定対象プロセス2Xが発生させる通信において設定される宛先ポート番号を示す。親プロセスの使用宛先ポート番号は、判定対象プロセス2Xを呼び出した直近上位プロセス(親プロセス)が発生させる通信において設定される宛先ポート番号を示す。爺プロセス名は、判定対象プロセスの親プロセスを呼び出した直近上位プロセス(爺プロセス)を特定する情報を示す。
例えば、ルール番号1は、通信を発生させた判定対象のプロセスが25番ポートに対して通信(メール送信)を行い、このプロセスの親プロセスが過去に110番ポートに対して通信を行っており(親プロセスはメール受信プログラムであると特定する)、さらに爺プロセスがアプリケーションを動作させるexplorer.exeというプロセス名である場合に限り、当該プロセスを不正プロセスとみなすルールである。
ルール番号1は、親プロセス(メール受信プログラム)が受信したメールの添付ファイルをユーザがダブルクリックなどによって実行することによって、当該プロセス(メール送信プロセス)が生成されて、メール送信を行っているという動作状況を意味する。
また、ルール番号2およびルール番号3は、いずれも、通信を発生させた判定対象プロセスが139番ポートに対して通信(ファイル共有サーバへのアクセス)を行い、この親プロセスが過去に80番ポートまたは8080番ポートに対して通信を行っており(親プロセスはWebブラウジングプログラムであると特定する)、さらに爺プロセスがアプリケーションを動作させるexplorer.exeというプロセス名である場合に限り、当該プロセスを不正プロセスとみなすルールである。
ルール番号2およびルール番号3のどちらも、親プロセス(Webブラウジングプログラム)がWebページをブラウジングしている場合に、親プロセスがどこかのWebページから実行プログラムをダウンロードかつ実行することによって当該プロセスが生成され、さらに当該プロセスが、例えば社内のファイル共有サーバへアクセスしたことを意味する。
図4は、プロセスログ19の例を示す図である。プロセスログ19には、正当なプロセスによる通信ごとに、プロセス名、最新時刻、親プロセス名、宛先ポート番号、および通信方向が記録される。プロセス名は、クライアントPC1で通信を発生させたプロセス名を示す。最新時刻は、発生した通信において、プロセス名、親プロセス名、宛先ポート番号、および通信方向が同一の通信が行われた最新時刻を示す。親プロセス名は、通信を発生させたプロセスの直近上位プロセスを示す。宛先ポート番号は、通信の宛先となったポート番号を示す。通信方向は、“out”=通信がアウトバウンド通信(外部への通信)、“in”=インバウンド(内部への通信)の区別を示す。
図4のプロセスログ19において、通信方向が“out”である宛先ポート番号は、以下のようなサービスを示すとする。
「25:メール送信、
110:メール受信、
80:Webブラウジング、
8080:プロキシを用いたWebブラウジング、
443:SSLによる暗号化されたWebブラウジング、
21:FTP、
515:印刷などプリンタへのアクセス、など。」
通信方向が“in”の通信は、ポートを監視して不正プロセスを検出する場合に利用する。通信方向が“in”の通信での宛先ポート番号は、クライアントPC1自身で宛先となるポート番号、すなわちリスンされたポート番号を示す。
監視部11は、クライアントPC1のネットワークインターフェース3において、クライアントPC1から出て行く通信の開始パケットを監視し、図5に示すような、通信時刻、送信元ポート番号、宛先ポート番号、プロトコル情報(プロトコル名)を含む監視結果を記憶する。そして、監視部11は、プロセス特定部12およびプロセスツリー取得部13に対して、当該通信開始パケットに関する通信情報を渡す。
プロセス特定部12は、監視部11の通信情報をもとに、クライアントPC1のOSによって管理されるプロセス管理情報から当該通信を発生させたプロセス2Xを特定し、判定部14に対して、通信情報と共に、特定したプロセス2Xに関するプロセス情報(プロセス名、プロセス番号)を渡す。
プロセスツリー取得部13は、プロセス情報をもとに、プロセス管理情報から、判定対象プロセス2Xの上位プロセス(親プロセス、爺プロセス)を特定してプロセスツリー情報を取得し、判定部14に対して、発生した通信情報とそのプロセスツリー情報を渡す。
判定部14は、通信情報およびプロセスツリー情報をもとに、図6に示すような、各通信を発生させたプロセスのプロセス特定結果(通信時刻、送信元ポート番号、宛先ポート番号、プロトコル名、判定対象のプロセス名およびプロセス番号、親プロセス名、爺プロセス名)を保持する。そして、プロセスログ19と照らし合わせることによって、判定対象プロセス2Xの親プロセスの内容を特定し、不正ルールファイル18に従って、親プロセスおよび爺プロセスのサービスの下で、判定対象プロセス2Xのプロセスが不正プロセスであるかどうかを判定する。
図7は、図6のプロセス特定結果に示すプロセスに対する判定結果を示す図である。
時刻10:16:44に発生した通信のプロセス“mail23312.exe”を判定対象プロセス2Xとすると、判定部14は、プロセスログ19から、このプロセス“mail23312.exe”の親プロセス“edmax.exe”の過去の通信における宛先ポート番号(25番、110番)を取得する。そして、図3の不正ルールファイル18を参照して、プロセス“mail23312.exe”の宛先ポート番号(25番)、親プロセスの宛先ポート番号(25番、110番)、爺プロセス名(explorer.exe)の組み合わせが不正ルールのいずれかに合致するかどうかを検索する。検索の結果、この組み合わせは、ルール番号1に合致するので、プロセス“mail23312.exe”を不正プロセスと判定する。
判定部14は、図7のプロセス判定結果において判定対象プロセス2Xを不正プロセスと判定したので、判定対象プロセス2X(mail23312.exe)についての判定情報(時刻10:16:44に発生した通信の通信情報およびプロセス“mail23312.exe”のプロセス情報)をプロセス停止部15、通信遮断要求部17に渡す。
プロセス停止部15は、判定情報(プロセス情報)をもとに、プロセス2X“mail23312.exe”を直ちに停止し、停止したプロセス2Xの判定情報(時刻10:16:44に発生した通信の通信情報およびプロセス“mail23312.exe”のプロセス情報)を通知部16に渡す。
通知部16は、プロセス2Xの判定情報から、図8に示すような検出結果をクライアントPC1の表示画面に表示して、ユーザに、プロセス“mail23312.exe”を不正プロセス(メールウィルス)として停止したことを通知する。
図9は、図6のプロセス特定結果の別プロセスに対する判定結果を示す図である。
時刻14:41:01に発生した通信のプロセス“cool.exe”を判定対象プロセス2Xとすると、判定部14は、プロセスログ19から、このプロセス“cool.exe”の親プロセス“iexplore.exe”の過去の通信における宛先ポート番号(80番、8080番、443番)を取得する。そして、図3の不正ルールファイル18を参照して、プロセス“cool.exe”の宛先ポート番号(139番)、親プロセスの宛先ポート番号(80番、8080番、443番)、爺プロセス名(explorer.exe)の組み合わせが不正ルールのいずれかに合致するかどうかを検索すると、この組み合わせは、ルール番号2およびルール番号3に合致するので、プロセス“cool.exe”を不正プロセスと判定する。
判定部14は、図9のプロセス判定結果において判定対象プロセス2Xを不正プロセスと判定したので、同様に、判定対象プロセス2X(cool.exe)の判定情報をプロセス停止部15に渡す。
また、判定部14は、判定対象のプロセス2を不正プロセスでないと判定した場合は、そのプロセス2に関する通信情報およびプロセスツリー情報から所定のログ情報(プロセス名、通信時刻の最新時刻、親プロセス名、宛先ポート番号、通信方向)をプロセスログ19に蓄積する。なお、プロセスログ19に、プロセス名、親プロセス名、宛先ポート番号、および通信方向が同一のログ情報が既に蓄積されている場合は、そのログ情報の最新時刻を、プロセス2Xの通信情報の通信時刻に更新する。
そして、プロセス停止部15は、判定情報(プロセス情報)をもとに、プロセス2X“cool.exe”を直ちに停止し、停止したプロセス2Xの判定情報を通知部16に渡す。さらに、通知部16は、プロセス2Xのプロセス判定結果から、図10に示すような検出結果をクライアントPC1の表示画面に表示して、ユーザに、プロセス“cool.exe”を不正プロセス(共有ファイルサーバへのアクセス)として停止したことを通知する。
さらに、通信遮断要求部17は、プロセス2Xの判定情報(時刻10:16:44に発生した通信の通信情報およびプロセス“mail23312.exe”のプロセス情報)から、プロセス“mail23312.exe”が発生させるアウトバウンド通信を遮断するために、図11に示すように、クライアントPC1内に備えられたパーソナルファイアウォールシステム5に対し、通信遮断要求を示す通知内容a(宛先ポート番号25、通信方向:out(アウトバウンド))を渡す。パーソナルファイアウォールシステム5は、通信遮断要求部17からの通知内容aに従って、宛先ポート番号25へのアウトバウンド通信を遮断する。
また、通信遮断要求部17は、クライアントPC1と接続するルータ6に対し、ネットワークインターフェース3を介して、通信遮断要求を示す通知内容b(クライアントPC1のIPアドレス(192.168.1.1)、宛先ポート番号25、通信方向:out(アウトバウンド))を送信する。ルータ6は、通信遮断要求部17からの通知内容aに従って、IPアドレス(192.168.1.1)から宛先ポート番号25へのアウトバウンド通信を遮断する。
図12は、アウトバウンド通信を発生させたプロセスを判定対象とする場合の処理の流れを示す図である。
ネットワーク型ウィルス活動検出システム10の監視部11は、ネットワークインターフェース3の通信情報を取得する(ステップS1)。プロセス特定部12は、プロセス管理情報を参照し、通信情報から、その通信を発生させたプロセス2Xを特定し、プロセス2Xに関するプロセス情報を出力する(ステップS2)。プロセスツリー取得部13は、プロセス情報から、そのプロセス2Xの上位プロセス(親プロセス、爺プロセス)を特定し、プロセスツリー情報を出力する(ステップS3)。
そして、判定部14は、不正ルールファイル18を参照し、通信情報、プロセス情報、プロセスツリー情報から、プロセス2Xが不正プロセスであるか否かを判定する(ステップS4)。プロセス2Xが不正プロセスであれば(ステップS5のYES)、プロセス停止部15は、プロセス2Xを停止し(ステップS6)、通知部16は、プロセス2Xの停止を通知する(ステップS7)。一方、プロセス2Xが不正プロセスでなければ(ステップS5のNO)、判定部14は、プロセス2Xのログ情報でプロセスログ19を更新する(ステップS8)。
次に、本発明について、リスンポートを発生させたプロセスを判定対象とする場合の処理を説明する。
ネットワーク型ウィルス活動検出システム10の判定部14は、図13に示すような不正ルールファイル18を設定しておく。
図13に示す不正ルールファイル18のルール番号11は、あるプロセスがあるポート(何番でもよい)をリスンさせてオープン状態にし、このプロセスの親プロセスが過去に110番ポートに対して通信を行っており(親プロセスはメール受信プログラムであると特定する)、さらに爺プロセスがアプリケーションを動作させるexplorer.exeというプロセス名である場合に限り、当該プロセスを不正プロセスとみなすルールである。
ルール番号11は、親プロセス(メール受信プログラム)が受信した添付ファイルをユーザがダブルクリックなどによって実行することによって当該プロセスが生成され、あるポートをリスンさせていることを意味し、かかる動作状況を不正として規定している。
また、ルール番号12およびルール番号13は、いずれも、あるプロセスがあるポートをリスンさせて、当該プロセスの親プロセスが過去に80番または8080番ポートに対して通信を行っており(親プロセスはWebブラウジングプログラムであると特定する)、さらに爺プロセスがアプリケーションを動作させるexplorer.exeというプロセス名である場合に限り、当該プロセスを不正プロセスとみなすルールである。
ルール番号12およびルール番号13のどちらも、親プロセスがどこかのWebページから実行プログラムをダウンロードかつ実行することによって当該プロセスが生成され、さらに当該プロセスがあるポートをリスンさせたことを意味し、かかる動作状況を不正として規定している。
ネットワーク型ウィルス活動検出システム10の監視部11は、クライアントPC1において新たに開かれた(リスンされた)ポートを監視し、リスンが設定された時刻、リスンされたポート番号、プロトコル情報(プロトコル名)を含むポート監視結果を記憶する。そして、監視部11は、プロセス特定部12およびプロセスツリー取得部13に対して、当該ポート監視結果を渡す。
プロセス特定部12は、監視部11のポート監視結果をもとに、クライアントPC1のOSによって管理されるプロセス管理情報から当該ポートをリスンさせたプロセス2Yを特定し、判定部14に対して、ポート監視結果と共に、特定したプロセス2Yに関するプロセス情報(プロセス名、プロセス番号)を渡す。
プロセスツリー取得部13は、プロセス情報をもとに、プロセス管理情報から、判定対象プロセス2Yの上位プロセス(親プロセス、爺プロセス)を特定してプロセスツリー情報(判定対象プロセスとの関係、各上位プロセスのプロセス名など)を取得し、判定部14に対して、ポート監視結果とそのプロセスツリー情報を渡す。
判定部14は、ポート監視結果およびプロセスツリー情報をもとに、ポートをリスンさせたプロセスのプロセス特定結果(設定時刻、ポート番号(宛先ポート番号)、プロトコル名、判定対象のプロセス名、親プロセス名、爺プロセス名)を保持する。そして、プロセスログ19の通信方向が“in”であるログ情報と照らし合わせることによって、判定対象プロセス2Yの親プロセスの内容を特定し、不正ルールファイル18に従って、親プロセスおよび爺プロセスのサービスの下で判定対象プロセス2Yのプロセスが不正プロセスであるかどうかを判定する。
そして、判定対象プロセス2Yが不正プロセスであると判定した場合に、判定対象プロセス2Yの判定情報をプロセス停止部15に渡す。そして、プロセス停止部15は、判定情報(プロセス情報)をもとに、プロセス2Yを直ちに停止し、停止したプロセス2Yの判定情報を通知部16に渡す。また、通知部16は、プロセス2Yのプロセス判定結果から、プロセス2Yがポートリスンを行った不正なプロセスである旨の検出結果をクライアントPC1の表示画面に表示し、ユーザに、プロセス2Yを停止したことを通知する。
図14は、リスンポートを発生させたプロセスを判定対象とする場合の処理の流れを示す図である。
ネットワーク型ウィルス活動検出システム10の監視部11は、クライアントPC1のポートを監視し(ステップS11)、プロセス特定部12は、新たにポートを開いた(リスンした)プロセス2Yを特定し、プロセス2Xに関するプロセス情報を出力する(ステップS12)。プロセスツリー取得部13は、プロセス情報から、そのプロセス2Yの上位プロセス(親プロセス、爺プロセス)を特定し、プロセスツリー情報を出力する(ステップS13)。
そして、判定部14は、不正ルールファイル18を参照して、通信情報、プロセス情報、プロセスツリー情報から、プロセス2Yが不正プロセスであるか否かを判定する(ステップS14)。プロセス2Yが不正プロセスであれば(ステップS15のYES)、プロセス停止部15は、プロセス2Yを停止し(ステップS16)、通知部16は、プロセス2Yの停止を通知する(ステップS17)。一方、プロセス2Yが不正プロセスでなければ(ステップS15のNO)、判定部14は、プロセス2Yのログ情報でプロセスログ19を更新する(ステップS18)。
以上、本発明をその実施の形態により説明したが、本発明はその主旨の範囲において種々の変形が可能であることは当然である。
また、本発明を構成する要素、処理手段などは、コンピュータにより読み取られ実行されるプログラムとして実施するものとして説明したが、本発明を実現するプログラムは、コンピュータが読み取り可能な、可搬媒体メモリ、半導体メモリ、ハードディスクなどの適当な記録媒体に格納することができ、これらの記録媒体に記録して提供され、または通信インタフェースを介して種々のネットワーク通信により提供されるものである。
本発明の形態および実施例の特徴を列記すると以下のとおりである。
(付記1) ネットワークに接続されたコンピュータ内でのネットワーク型ウィルスの活動を検出するネットワーク型ウィルス活動検出処理方法を、コンピュータに実行させるためのプログラムであって、
コンピュータ内で動作中のプロセスを管理する管理情報をもとに、判定対象のプロセスを特定し、前記判定対象プロセスの上位プロセスを特定したプロセスツリー情報を出力するプロセス特定過程と、
ウィルス活動による不正プロセスに共通する挙動をプロセス間の階層関係によって定義した判定ルール情報および前記プロセスツリー情報を使用して、前記判定対象プロセスが不正プロセスであるか否かを判定する判定過程とを、
前記コンピュータに実行させるためのネットワーク型ウィルス活動検出プログラム。
(付記2) 前記付記1記載のネットワーク型ウィルス活動検出プログラムにおいて、
前記判定過程により不正プロセスと判定された前記判定対象プロセスを停止する停止過程を、
前記コンピュータに実行させるためのネットワーク型ウィルス活動検出プログラム。
(付記3) 前記付記1記載のネットワーク型ウィルス活動検出プログラムにおいて、
前記判定過程により不正プロセスと判定された前記判定対象プロセスが行う通信の遮断要求を出力する通信遮断要求過程を、
前記コンピュータに実行させるためのネットワーク型ウィルス活動検出プログラム。
(付記4) 前記付記2記載のネットワーク型ウィルス活動検出プログラムにおいて、
前記判定過程により不正プロセスと判定された前記判定対象プロセスの停止をユーザに通知する通知過程を、
前記コンピュータに実行させるためのネットワーク型ウィルス活動検出プログラム。
(付記5) 前記付記1記載のネットワーク型ウィルス活動検出プログラムにおいて、
前記コンピュータのアウトバウンド通信を監視する通信監視過程を、前記コンピュータに実行させると共に、
前記判定過程では、前記アウトバウンド通信において新たな通信を生成したプロセスを判定対象プロセスとする
ことを特徴とするネットワーク型ウィルス活動検出プログラム。
(付記6) 前記付記1記載のネットワーク型ウィルス活動検出プログラムにおいて、
前記プロセスが発生させたポートのステータスを監視するポート監視過程を、前記コンピュータに実行させると共に、
前記判定過程では、前記ポートに所定のステータスを設定したプロセスを判定対象プロセスとする
ことを特徴とするネットワーク型ウィルス活動検出プログラム。
(付記7) 前記付記5または付記6のいずれかに記載のネットワーク型ウィルス活動検出プログラムにおいて、
正当なプロセスが行った通信について、少なくとも、通信方向、宛先ポート番号および当該プロセスの上位プロセスを記録するログ情報を蓄積するログ取得過程を、前記コンピュータに実行させると共に、
前記判定過程では、前記判定ルール情報が、判定対象プロセスおよび上位プロセスの宛先ポート番号の組み合わせによって不正プロセスを定義したものである場合に、前記ログ情報をもとに前記上位プロセスの宛先ポート番号を特定し、前記前判定対象プロセスおよび前記上位プロセスの宛先ポート番号の関係によって前記判定対象プロセスが不正プロセスであるか否かを判定する
ことを特徴とするネットワーク型ウィルス活動検出プログラム。
(付記8) ネットワークに接続されたコンピュータ内でのネットワーク型ウィルスの活動を検出するネットワーク型ウィルス活動検出処理方法であって、
コンピュータ内で動作中のプロセスを管理する管理情報をもとに、判定対象のプロセスを特定し、前記判定対象プロセスの上位プロセスを特定したプロセスツリー情報を出力するプロセス特定過程と、
ウィルス活動による不正プロセスに共通する挙動をプロセス間の階層関係によって定義した判定ルール情報および前記プロセスツリー情報を使用して、前記判定対象プロセスが不正プロセスであるか否かを判定する判定過程とを備える
ことを特徴とするネットワーク型ウィルス活動検出処理方法。
(付記9) 前記付記8記載のネットワーク型ウィルス活動検出処理方法において、
前記判定過程により不正プロセスと判定された前記判定対象プロセスを停止する停止過程を備える
ことを特徴とするネットワーク型ウィルス活動検出処理方法。
(付記10) ネットワークに接続されたコンピュータ内でのネットワーク型ウィルスの活動を検出するネットワーク型ウィルス活動検出システムであって、
ウィルス活動による不正プロセスに共通する挙動をプロセス間の階層関係によって定義した判定ルール情報を記憶する判定ルール記憶手段と、
コンピュータ内で動作中のプロセスを管理する管理情報をもとに、判定対象であるプロセスと前記判定対象プロセスの一または複数の上位プロセスとを特定し、前記判定対象プロセスおよび上位プロセスの関係を示すツリー情報を出力するプロセス特定手段と、
前記プロセスツリー情報および前記判定ルール情報を使用して前記判定対象プロセスが不正プロセスであるか否かを判定する判定手段を備える
ことを特徴とするネットワーク型ウィルス活動検出システム。
(付記11) 前記付記10記載のネットワーク型ウィルス活動検出システムにおいて、
前記判定手段により不正プロセスと判定された前記判定対象プロセスを停止する停止手段を備える
ことを特徴とするネットワーク型ウィルス活動検出システム。
(付記12) 前記付記10記載のネットワーク型ウィルス活動検出システムにおいて、
前記判定手段により不正プロセスと判定された前記判定対象プロセスが行う通信の遮断要求を出力する通信遮断要求手段を備える
ことを特徴とするネットワーク型ウィルス活動検出システム。
(付記13) 前記付記11記載のネットワーク型ウィルス活動検出システムにおいて、
前記判定手段により不正プロセスと判定された前記判定対象プロセスの停止をユーザに通知する通知手段を備える
ことを特徴とするネットワーク型ウィルス活動検出システム。
(付記14) 前記付記10記載のネットワーク型ウィルス活動検出システムにおいて、
前記コンピュータのアウトバウンド通信を監視する通信監視手段を備え、
前記判定手段は、前記アウトバウンド通信において新たな通信を生成したプロセスを判定対象プロセスとする
ことを特徴とするネットワーク型ウィルス活動検出システム。
(付記15) 前記付記10記載のネットワーク型ウィルス活動検出システムにおいて、
前記プロセスが発生させたポートのステータスを監視するポート監視手段を備え、
前記判定手段は、前記ポートに所定のステータスを設定したプロセスを判定対象プロセスとする
ことを特徴とするネットワーク型ウィルス活動検出システム。
(付記16) 前記付記14または付記15のいずれかに記載のネットワーク型ウィルス活動検出システムにおいて、
正当なプロセスが行った通信について、少なくとも、通信方向、宛先ポート番号および当該プロセスの上位プロセスを記録するログ情報を蓄積するログ取得手段を備え、
前記判定手段は、前記判定ルール情報が、判定対象プロセスおよび上位プロセスの宛先ポート番号の組み合わせによって不正プロセスを定義したものである場合に、前記ログ情報をもとに前記上位プロセスの宛先ポート番号を特定し、前記前判定対象プロセスおよび前記上位プロセスの宛先ポート番号の関係によって前記判定対象プロセスが不正プロセスであるか否かを判定する
ことを特徴とするネットワーク型ウィルス活動検出システム。
本発明の原理を説明するための図である。 本発明の実施の形態における構成例を示す図である。 不正ルールファイルの例を示す図である。 プロセスログの例を示す図である。 アウトバウンド通信の監視結果の例を示す図である。 プロセス特定結果の例を示す図である。 判定結果の例を示す図である。 検出結果の通知例を示す図である。 判定結果の例を示す図である。 検出結果の通知例を示す図である。 通知遮断要求の出力を説明するための図である。 アウトバウンド通信を発生させたプロセスを判定対象とする場合の処理の流れを示す図である。 リスンポートの監視結果の例を示す図である。 リスンポートを発生させたプロセスを判定対象とする場合の処理の流れを示す図である
符号の説明
1 クライアントPC(クライアントコンピュータ)
2 プロセス
3 ネットワークインターフェース
10 ネットワーク型ウィルス活動検出システム
11 監視部
12 プロセス特定部
13 プロセスツリー取得部
14 判定部
15 プロセス停止部
16 通知部
17 通信遮断要求部
18 不正ルールファイル
19 プロセスログ

Claims (10)

  1. ネットワークに接続されたコンピュータ内でのネットワーク型ウィルスの活動を検出するネットワーク型ウィルス活動検出処理方法を、コンピュータに実行させるためのプログラムであって、
    プロセスのネットワーク通信に係る挙動であるプロセス通信挙動と、当該プロセスの上位プロセスのネットワーク通信に係る挙動である上位プロセス通信挙動とを対応づけて不正プロセスの定義として記録した不正プロセス判定テーブルを記憶部に格納したコンピュータに、
    プロセスがネットワーク通信を発生させた際、当該ネットワーク通信を発生させたプロセスのネットワーク通信の挙動をプロセスログとして記憶部に記録するログ取得ステップと、
    前記コンピュータ内で動作中のプロセスを管理するプロセス管理情報をオペレーティングシステムから取得し、当該プロセス管理情報に基づき、前記ネットワーク通信を発生させたプロセスの上位プロセスを特定する上位プロセス特定ステップと、
    前記プロセスログを参照して、前記特定した上位プロセスのネットワーク通信の挙動を特定するログ参照ステップと、
    前記プロセスが発生させたネットワーク通信の挙動と、前記特定した上位プロセスのネットワーク通信の挙動とが、前記不正プロセス判定テーブルにおいて対応づけられて格納されているプロセス通信挙動と上位プロセス通信挙動の組のいずれかに該当する場合に、前記判定対象プロセスが不正プロセスである判定する判定ステップとを、
    行させるためのネットワーク型ウィルス活動検出プログラム。
  2. 請求項1記載のネットワーク型ウィルス活動検出プログラムにおいて、
    前記判定ステップにより不正プロセスと判定された前記プロセスを停止する停止ステップを、
    前記コンピュータに実行させるためのネットワーク型ウィルス活動検出プログラム。
  3. 請求項1記載のネットワーク型ウィルス活動検出プログラムにおいて、
    前記判定ステップにより不正プロセスと判定された前記プロセスが行うネットワーク通信の遮断要求を出力する通信遮断要求ステップを、
    前記コンピュータに実行させるためのネットワーク型ウィルス活動検出プログラム。
  4. 請求項2記載のネットワーク型ウィルス活動検出プログラムにおいて、
    前記判定ステップにより不正プロセスと判定された前記プロセスの停止をユーザに通知する通知ステップを、
    前記コンピュータに実行させるためのネットワーク型ウィルス活動検出プログラム。
  5. 請求項1記載のネットワーク型ウィルス活動検出プログラムにおいて、
    前記ログ取得ステップは、プロセスがアウトバウンドのネットワーク通信を発生させた際に、プロセスログを記録し、
    前記上位プロセス特定ステップは、アウトバウンドのネットワーク通信新た生成したプロセスの上位プロセスを特定する
    ことを特徴とするネットワーク型ウィルス活動検出プログラム。
  6. 請求項1記載のネットワーク型ウィルス活動検出プログラムにおいて、
    ロセスが発生させたポートのステータスを監視するポート監視ステップを、前記コンピュータに実行させると共に、
    前記上位プロセス特定ステップ、ポートがリッスン状態であるプロセスの上位プロセスを特定する
    ことを特徴とするネットワーク型ウィルス活動検出プログラム。
  7. 請求項記載のネットワーク型ウィルス活動検出プログラムにおいて、
    前記不正プロセス判定テーブルにおける前記プロセス通信挙動は、プロセスのネットワーク通信の宛先ポート番号を含み、前記上位プロセス通信挙動は上位プロセスのネットワーク通信の宛先ポート番号を含み、
    前記ログ取得ステップがプロセスログとして記録するプロセスのネットワーク通信の挙動は、ネットワーク通信の宛先ポート番号を含み、
    前記判定ステップは、前記プロセスが発生させたネットワーク通信の宛先ポート番号と、前記特定した上位プロセスのネットワーク通信の宛先ポート番号とが、前記不正プロセス判定テーブルにおいて対応づけられて格納されているプロセス通信挙動に含まれる宛先ポート番号と上位プロセス通信挙動に含まれる宛先ポート番号との組のいずれかに該当する場合に、前記判定対象プロセスが不正プロセスである判定する
    ことを特徴とするネットワーク型ウィルス活動検出プログラム。
  8. ネットワークに接続されたコンピュータ内でのネットワーク型ウィルスの活動を検出するネットワーク型ウィルス活動検出処理方法であって、
    プロセスのネットワーク通信に係る挙動であるプロセス通信挙動と、当該プロセスの上位プロセスのネットワーク通信に係る挙動である上位プロセス通信挙動とを対応づけて不正プロセスの定義として記録した不正プロセス判定テーブルを記憶部に格納したコンピュータが実行する、
    プロセスがネットワーク通信を発生させた際、当該ネットワーク通信を発生させたプロセスのネットワーク通信の挙動をプロセスログとして記憶部に記録するログ取得ステップと、
    前記コンピュータ内で動作中のプロセスを管理するプロセス管理情報をオペレーティングシステムから取得し、当該プロセス管理情報に基づき、前記ネットワーク通信を発生させたプロセスの上位プロセスを特定する上位プロセス特定ステップと、
    前記プロセスログを参照して、前記特定した上位プロセスのネットワーク通信の挙動を特定するログ参照ステップと、
    前記プロセスが発生させたネットワーク通信の挙動と、前記特定した上位プロセスのネットワーク通信の挙動とが、前記不正プロセス判定テーブルにおいて対応づけられて格納されているプロセス通信挙動と上位プロセス通信挙動の組のいずれかに該当する場合に、前記判定対象プロセスが不正プロセスである判定する判定ステップとを備える
    ことを特徴とするネットワーク型ウィルス活動検出処理方法。
  9. 請求項8記載のネットワーク型ウィルス活動検出処理方法において、
    前記判定ステップにより不正プロセスと判定された前記プロセスを停止する停止ステップを備える
    ことを特徴とするネットワーク型ウィルス活動検出処理方法。
  10. ネットワークに接続されたコンピュータ内でのネットワーク型ウィルスの活動を検出するネットワーク型ウィルス活動検出システムであって、
    プロセスのネットワーク通信に係る挙動であるプロセス通信挙動と、当該プロセスの上位プロセスのネットワーク通信に係る挙動である上位プロセス通信挙動とを対応づけて不正プロセスの定義として記録した不正プロセス判定テーブルを記憶する記憶手段と、
    プロセスがネットワーク通信を発生させた際、当該ネットワーク通信を発生させたプロセスのネットワーク通信の挙動をプロセスログとして記憶部に記録するログ取得手段と、
    前記コンピュータ内で動作中のプロセスを管理するプロセス管理情報をオペレーティングシステムから取得し、当該プロセス管理情報に基づき、前記ネットワーク通信を発生させたプロセスの上位プロセスを特定する上位プロセス特定手段と、
    前記プロセスログを参照して、前記特定した上位プロセスのネットワーク通信の挙動を特定するログ参照手段と、
    前記プロセスが発生させたネットワーク通信の挙動と、前記特定した上位プロセスのネットワーク通信の挙動とが、前記不正プロセス判定テーブルにおいて対応づけられて格納されているプロセス通信挙動と上位プロセス通信挙動の組のいずれかに該当する場合に、前記判定対象プロセスが不正プロセスである判定する判定手段とを備える
    ことを特徴とするネットワーク型ウィルス活動検出システム。
JP2004304711A 2004-10-19 2004-10-19 ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム Expired - Fee Related JP4327698B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004304711A JP4327698B2 (ja) 2004-10-19 2004-10-19 ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US11/041,434 US7752668B2 (en) 2004-10-19 2005-01-25 Network virus activity detecting system, method, and program, and storage medium storing said program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004304711A JP4327698B2 (ja) 2004-10-19 2004-10-19 ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム

Publications (2)

Publication Number Publication Date
JP2006119754A JP2006119754A (ja) 2006-05-11
JP4327698B2 true JP4327698B2 (ja) 2009-09-09

Family

ID=36182333

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004304711A Expired - Fee Related JP4327698B2 (ja) 2004-10-19 2004-10-19 ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム

Country Status (2)

Country Link
US (1) US7752668B2 (ja)
JP (1) JP4327698B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012046406A1 (ja) 2010-10-04 2012-04-12 パナソニック株式会社 情報処理装置およびアプリケーション不正連携防止方法

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7260845B2 (en) * 2001-01-09 2007-08-21 Gabriel Kedma Sensor for detecting and eliminating inter-process memory breaches in multitasking operating systems
GB0513375D0 (en) 2005-06-30 2005-08-03 Retento Ltd Computer security
JP4509904B2 (ja) * 2005-09-29 2010-07-21 富士通株式会社 ネットワークセキュリティ装置
US9055093B2 (en) * 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
US7870612B2 (en) * 2006-09-11 2011-01-11 Fujian Eastern Micropoint Info-Tech Co., Ltd Antivirus protection system and method for computers
US8959639B2 (en) * 2007-06-18 2015-02-17 Symantec Corporation Method of detecting and blocking malicious activity
US20090049547A1 (en) * 2007-08-13 2009-02-19 Yuan Fan System for real-time intrusion detection of SQL injection web attacks
CN101350052B (zh) * 2007-10-15 2010-11-03 北京瑞星信息技术有限公司 发现计算机程序的恶意行为的方法和装置
JP5029701B2 (ja) * 2008-01-09 2012-09-19 富士通株式会社 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
US8074281B2 (en) * 2008-01-14 2011-12-06 Microsoft Corporation Malware detection with taint tracking
JP5144488B2 (ja) * 2008-12-22 2013-02-13 Kddi株式会社 情報処理システムおよびプログラム
JP2011053893A (ja) * 2009-09-01 2011-03-17 Hitachi Ltd 不正プロセス検知方法および不正プロセス検知システム
US8578345B1 (en) * 2010-04-15 2013-11-05 Symantec Corporation Malware detection efficacy by identifying installation and uninstallation scenarios
EP2413257B1 (en) * 2010-07-26 2017-04-26 Sony DADC Austria AG Method for replacing an illegitimate copy of a software program with legitimate copy and corresponding system
US9413721B2 (en) 2011-02-15 2016-08-09 Webroot Inc. Methods and apparatus for dealing with malware
JP5944655B2 (ja) * 2011-02-17 2016-07-05 キヤノン電子株式会社 情報処理装置及びその制御方法、コンピュータプログラム
JP2012215994A (ja) * 2011-03-31 2012-11-08 Hitachi Ltd セキュリティレベル可視化装置
US20130185795A1 (en) * 2012-01-12 2013-07-18 Arxceo Corporation Methods and systems for providing network protection by progressive degradation of service
US9439077B2 (en) * 2012-04-10 2016-09-06 Qualcomm Incorporated Method for malicious activity detection in a mobile station
US9396082B2 (en) 2013-07-12 2016-07-19 The Boeing Company Systems and methods of analyzing a software component
US9852290B1 (en) 2013-07-12 2017-12-26 The Boeing Company Systems and methods of analyzing a software component
US20150222646A1 (en) * 2014-01-31 2015-08-06 Crowdstrike, Inc. Tagging Security-Relevant System Objects
EP2942728B1 (en) * 2014-04-30 2019-09-11 The Boeing Company Systems and methods of analyzing a software component
JP6282217B2 (ja) * 2014-11-25 2018-02-21 株式会社日立システムズ 不正プログラム対策システムおよび不正プログラム対策方法
JP6614980B2 (ja) * 2016-01-20 2019-12-04 キヤノン株式会社 情報処理装置及びその制御方法、プログラム
GB2563530B (en) * 2016-04-04 2019-12-18 Mitsubishi Electric Corp Process search apparatus and process search program
JP6731789B2 (ja) * 2016-06-03 2020-07-29 キヤノン株式会社 ネットワークデバイス及びその制御方法、プログラム
KR101883713B1 (ko) * 2016-09-22 2018-07-31 주식회사 위드네트웍스 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법
KR102569734B1 (ko) * 2016-10-05 2023-08-25 삼성전자주식회사 전자장치 및 그 제어방법
JP2018200641A (ja) * 2017-05-29 2018-12-20 富士通株式会社 異常検知プログラム、異常検知方法および情報処理装置
JP2020530624A (ja) * 2017-08-10 2020-10-22 アーガス サイバー セキュリティ リミテッド 車載ネットワークに接続された構成要素の悪用を検出するシステムおよび方法
JP7206980B2 (ja) * 2019-02-07 2023-01-18 日本電気株式会社 通信制御装置、通信制御方法及び通信制御プログラム
JP7039632B2 (ja) * 2020-01-24 2022-03-22 株式会社Kokusai Electric 基板処理装置、基板処理方法およびプログラム

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5655013A (en) * 1994-04-19 1997-08-05 Gainsboro; Jay L. Computer-based method and apparatus for controlling, monitoring, recording and reporting telephone access
US5867647A (en) * 1996-02-09 1999-02-02 Secure Computing Corporation System and method for securing compiled program code
US5822517A (en) * 1996-04-15 1998-10-13 Dotan; Eyal Method for detecting infection of software programs by memory resident software viruses
US6338141B1 (en) * 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US6499109B1 (en) * 1998-12-08 2002-12-24 Networks Associates Technology, Inc. Method and apparatus for securing software distributed over a network
US6405318B1 (en) * 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
US6775783B1 (en) * 1999-08-13 2004-08-10 Cisco Technology, Inc. Client security for networked applications
WO2001090838A2 (en) * 2000-05-24 2001-11-29 Voltaire Advanced Data Security Ltd. Filtered application-to-application communication
US6973577B1 (en) * 2000-05-26 2005-12-06 Mcafee, Inc. System and method for dynamically detecting computer viruses through associative behavioral analysis of runtime state
US7024694B1 (en) * 2000-06-13 2006-04-04 Mcafee, Inc. Method and apparatus for content-based instrusion detection using an agile kernel-based auditor
US7350204B2 (en) * 2000-07-24 2008-03-25 Microsoft Corporation Policies for secure software execution
US20020069370A1 (en) * 2000-08-31 2002-06-06 Infoseer, Inc. System and method for tracking and preventing illegal distribution of proprietary material over computer networks
GB0102518D0 (en) * 2001-01-31 2001-03-21 Hewlett Packard Co Trusted operating system
US7281267B2 (en) * 2001-02-20 2007-10-09 Mcafee, Inc. Software audit system
CN1147795C (zh) * 2001-04-29 2004-04-28 北京瑞星科技股份有限公司 检测和清除已知及未知计算机病毒的方法、系统
US6850943B2 (en) * 2002-10-18 2005-02-01 Check Point Software Technologies, Inc. Security system and methodology for providing indirect access control
FI20030104A0 (fi) * 2003-01-23 2003-01-23 Stonesoft Oyj Ilkivaltaisten yhteyksien ilmaisu ja estäminen
US20070107052A1 (en) * 2003-12-17 2007-05-10 Gianluca Cangini Method and apparatus for monitoring operation of processing systems, related network and computer program product therefor
US7555777B2 (en) * 2004-01-13 2009-06-30 International Business Machines Corporation Preventing attacks in a data processing system
US20050182958A1 (en) * 2004-02-17 2005-08-18 Duc Pham Secure, real-time application execution control system and methods

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012046406A1 (ja) 2010-10-04 2012-04-12 パナソニック株式会社 情報処理装置およびアプリケーション不正連携防止方法
US8566937B2 (en) 2010-10-04 2013-10-22 Panasonic Corporation Information processing apparatus and method for preventing unauthorized cooperation of applications

Also Published As

Publication number Publication date
US20060085857A1 (en) 2006-04-20
US7752668B2 (en) 2010-07-06
JP2006119754A (ja) 2006-05-11

Similar Documents

Publication Publication Date Title
JP4327698B2 (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
EP3127301B1 (en) Using trust profiles for network breach detection
US11775622B2 (en) Account monitoring
JP6894003B2 (ja) Apt攻撃に対する防御
US8516573B1 (en) Method and apparatus for port scan detection in a network
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US8869268B1 (en) Method and apparatus for disrupting the command and control infrastructure of hostile programs
US8302198B2 (en) System and method for enabling remote registry service security audits
US10581880B2 (en) System and method for generating rules for attack detection feedback system
KR102580898B1 (ko) Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법
WO2014129587A1 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
US20120005743A1 (en) Internal network management system, internal network management method, and program
US11856008B2 (en) Facilitating identification of compromised devices by network access control (NAC) or unified threat management (UTM) security services by leveraging context from an endpoint detection and response (EDR) agent
EP3509001B1 (en) Method and apparatus for detecting zombie feature
WO2015001969A1 (ja) 不正アクセス検知システム及び不正アクセス検知方法
JP2014086821A (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
JP2022037896A (ja) 脅威対応自動化方法
CN110581850A (zh) 一种基于网络流量基因检测方法
US20030084330A1 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
JP7161021B2 (ja) サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム
US8234503B2 (en) Method and systems for computer security
JP7172104B2 (ja) ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090310

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090511

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20090511

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090609

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090611

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120619

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120619

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130619

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130619

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees