JP4680931B2 - 不正アクセスプログラム監視処理方法、不正アクセスプログラム監視プログラムおよび不正アクセスプログラム監視装置 - Google Patents

不正アクセスプログラム監視処理方法、不正アクセスプログラム監視プログラムおよび不正アクセスプログラム監視装置 Download PDF

Info

Publication number
JP4680931B2
JP4680931B2 JP2006542129A JP2006542129A JP4680931B2 JP 4680931 B2 JP4680931 B2 JP 4680931B2 JP 2006542129 A JP2006542129 A JP 2006542129A JP 2006542129 A JP2006542129 A JP 2006542129A JP 4680931 B2 JP4680931 B2 JP 4680931B2
Authority
JP
Japan
Prior art keywords
information
network
unauthorized access
access program
management information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006542129A
Other languages
English (en)
Other versions
JPWO2006043310A1 (ja
Inventor
芳樹 東角
悟 鳥居
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2006043310A1 publication Critical patent/JPWO2006043310A1/ja
Application granted granted Critical
Publication of JP4680931B2 publication Critical patent/JP4680931B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • H04L41/0856Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information by backing up or archiving configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • H04L41/0869Validating the configuration within one network element
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ワーム検出・隔離方法およびプログラムに関し、既存のネットワーク管理技術、例えば簡易ネットワーク管理プロトコル(SNMP:Simple Network Management Protocol)のネットワーク管理技術を用いてネットワークに接続されたサーバやPCのウイルスやワームの感染を早期に検出し隔離することにより、ウイルスやワームによる被害を防止する技術に関する。
近年、インターネットや企業内イントラネットでは、ワーム、ウイルスといった不正アクセスを行うプログラムの被害が問題となっている。図9に、不正アクセスプログラムの検出・隔離システムの例を示す。従来、不正アクセスプログラムの検出・隔離処理には、エンドポイントの各計算機901上に、アンチウイルスソフト902を導入して感染を検出したり、または、ネットワークでは、ネットワーク上に設置された不正アクセスプログラム対策用(ワーム対策用)アプライアンス・ハードウエア903を用いてネットワークのトラフィックのモニタリングを行ったりという方法がとられてきた(例えば、非特許文献1参照)。
非特許文献1
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
「Check Point InterSpect カタログ」 2004年1月
アンチウイルスソフト902は、不正アクセスプログラムが持つ特定のバイナリパターンの一致による検出処理を基本とするシグニチャベースのプログラムであるため、既知のワームの検出には有効である。
しかし、既知の不正アクセスプログラムの亜種や新種のものに対しては、バイナリパターンが異なるために検出処理が困難であり、アンチウイルスソフト902のベンダから、不正アクセスプログラム検出用の最新のバイナリパターンを迅速にアップデートしなければならないという問題があった。
また、一部のアンチウイルスソフト902は、未知の不正アクセスプログラムを検出して感染を防止できる機能を備えるが、誤検知の問題があり、検出できるものが限られていた。
一方、ネットワークに設置されたワーム対策用アプライアンス・ハードウエア903は、ネットワーク上を流れる全てのパケットを収集解析するための専用のハードウエアを用意し、プロトコル規約に従わない通信、脆弱性を狙うようなトラフィックなどを検出することによって、不正アクセスプログラムがネットワーク上で動作していることを検知する。
しかし、ワーム対策用アプライアンス・ハードウエア903は、亜種や新種の不正アクセスプログラムの活動を検知できるが、不正アクセスのトラフィックを捕捉するために、各ネットワーク・セグメントにあるスイッチ・ルータ904のミラーリングポート905から、イントラネット906(ネットワーク)のトラフィックの全てをモニタリングして、不正なトラフィックか否かの判定をしなければならない。このため、ソフトウエアやハードでの処理が重くなり、ネットワークのトラフィックが増大すると処理が追いつかなくなるという欠点があった。
また、ネットワークの各セグメント上に専用のハードウエアを必要とするため、大規模なネットワークでは複数の監視システム(ワーム対策用アプライアンス・ハードウエア903)を設置しなければならない。そのため、管理対象となるシステム数が増加し、管理工数が肥大するという問題があった。
本発明の目的は、従来の各計算機上のシグニチャベースのアンチウイルスソフト、ネットワーク・セグメントごとのアプライアンス・ハードウエアを用いることなく、不正アクセスプログラムの活動を検出することができる処理方法およびプログラムを実現することである。
また、本発明の目的は、不正アクセスプログラムの活動による感染拡大が生じないように、検出された不正アクセスプログラムを隔離することができる処理方法およびプログラムを実現することである。
本発明は、その一態様において、ネットワーク内の不正アクセスプログラムの活動を監視する処理方法であって、ネットワーク接続装置から収集されたネットワーク情報の管理情報からルート検出不能に伴うエラー通知情報を抽出し、前記ネットワーク接続装置から収集された管理情報から前記ルート検出不能に伴って廃棄された情報量を抽出し、前記エラー通知情報の送信情報量が所定の増加傾向を示し、かつ、前記廃棄された情報量が所定の増加傾向を示す状態を、管理情報の変化として検出する管理情報監視過程と、前記変化の検出にかかわるネットワーク情報の管理情報が収集された、前記不正アクセスプログラムの活動が疑われるネットワーク装置のアドレス情報を含むアラート情報を生成するアラート生成過程とを備える。
また、本発明は、別の態様において、ネットワーク内の不正アクセスプログラムの活動を監視する処理方法であって、計算機から収集されたネットワーク情報の管理情報から宛先到達不能に伴うエラー通知情報を抽出し、前記エラー通知情報の受信情報量が所定の増加傾向を示し、コネクション確立試行の失敗数が継続的に増加し、かつ、接続要求送信状態であるエンドポイント数が複数存在する状態を、管理情報の変化として検出する管理情報監視過程と、前記変化の検出にかかわるネットワーク情報の管理情報が収集された、前記不正アクセスプログラムの活動が疑われる計算機のアドレス情報を含むアラート情報を生成するアラート生成過程とを備える。
ネットワーク上に設置されるネットワーク機器、およびネットワークを用いた情報通信を行う計算機には、多くの場合、ネットワーク情報管理機能を備えている。本発明は、ネットワーク情報管理機能として使用されるネットワーク情報管理処理部によって提供されるネットワーク情報の管理情報を用いて、不正アクセスプログラムの活動に特有なネットワーク情報の管理情報の変化、すなわち不正な情報送受信処理によって生じる特定の管理情報の変化を分析し、所定の変化から不正アクセスプログラムの活動の兆候を検出してアラートを生成する。
よって、ネットワーク情報管理を導入しているネットワークシステムにおいて、ネットワークごとに不正アクセスプログラム対策用アプライアンス・ハードウエアを設定したり、各計算機に特別なソフトウエアを導入したりすることなく、不正アクセスプログラムの活動を検出することができる。
また、本発明は、上記の処理過程を備えるものである場合に、前記ネットワーク情報の管理情報を前記計算機または前記ネットワーク接続装置からリアルタイムで収集する管理情報収集過程を備える。
本発明は、収集され格納された静的なネットワーク情報の管理情報だけでなく、リアルタイムで収集されたネットワーク情報の管理情報を用いて不正アクセスプログラムの活動を検出することができる。
さらに、本発明は、前記管理情報監視過程において、前記ネットワーク接続装置から収集された管理情報から送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報の送信時量が所定の増加傾向を示す状態を前記変化として検出する。
または、前記計算機から収集されたネットワーク情報の管理情報から送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報の受信情報量が所定の増加傾向を示す状態を前記変化として検出する。
または、前記ネットワーク接続装置から収集された管理情報から送信先不明に伴って廃棄された情報量を抽出し、前記廃棄情報量が所定の増加傾向を示す状態を前記変化として検出する。
または、前記計算機から収集された管理情報を解析し、前記計算機においてコネクション確立中を示すエンドポイント数もしくはコネクション確立失敗を示すエンドポイント数のいずれかの数値が所定の増加傾向を示す状態を前記変化として検出する。
このような、計算機やネットワーク接続装置からの送信先不明に伴うエラー通知情報の情報量、送信先不明に伴う廃棄情報量、前記計算機におけるコネクション確立中を示すエンドポイント数もしくはコネクション確立失敗を示すエンドポイント数などの継続的な増加傾向は、不正なトラフィックの増加を意味するので、かかる増加傾向を不正アクセスプログラムの活動の検出に利用するものである。
さらに、本発明は、前記アラート情報から、前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別、前記不正アクセスプログラムの活動が疑われる計算機またはネットワーク接続装置のアドレス情報を解析するアラート解析過程と、前記装置の種別が計算機である場合に、前記アドレス情報によって特定される計算機に対する中継情報の削除指示を生成し、前記装置の種別がネットワーク接続装置である場合に、前記アドレス情報によって特定されるネットワーク接続装置に対する前記不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する対策指示生成過程と、前記中継情報の削除指示または前記フィルタの設定指示を送信する対策指示過程とを備える。
計算機のネットワーク情報管理処理部に対して他のネットワーク・セグメントへの中継情報の削除を指示することにより、または、ネットワーク接続装置のネットワーク情報管理処理部に対して、他のネットワーク・セグメントへの通信を遮断するフィルタ情報の設定を指示することにより、ネットワーク・セグメント内で活動する不正アクセスプログラムが外部への不正なアクセスを行うことを停止させることができ、不正アクセスプログラムを隔離して感染拡大を防止することができる。
また、本発明は、ネットワークの構成を示すネットワーク構成情報を管理するネットワーク構成管理過程を備え、前記対策指示生成過程は、前記ネットワーク構成情報を参照して前記不正アクセスプログラムの活動が疑われる計算機またはネットワーク・セグメントまたは前記ネットワーク・セグメントを制御するネットワーク接続装置のアドレス情報を解析する。
1台の不正アクセスプログラム監視装置によって、大規模ネットワーク上のどこのネットワーク・セグメント(サブネットワーク)に所属するどの計算機から不正アクセスプログラムが不正な通信を行っているかということを特定することができ、大規模ネットワーク上での不正アクセスプログラムの感染拡大を防止することができる。
また、本発明は、上記の処理手段、構成要素などを備えて不正アクセスプログラムを検出する装置としてコンピュータを機能させるためのプログラム、および検出した不正アクセスプログラムを隔離する装置としてコンピュータを機能させるためのプログラムである。
本発明によれば、ネットワーク管理処理を導入しているネットワークシステムにおいて、ネットワークおよび各システムに特別なソフトウエアを導入することなく、計算機またはネットワーク接続装置のネットワーク管理情報を利用して不正アクセスを行う不正アクセスプログラムの検出を行うことができる。
また、本発明によれば、計算機のネットワーク設定情報、または、ネットワーク接続装置のフィルタリング機能の設定情報に対する指示を送出することにより、検出した不正アクセスプログラムの隔離処理を行うことができる。
また、本発明によれば、1台の監視システムによって、大規模ネットワークにおいて、ネットワーク・セグメントまたは計算機での不正アクセスプログラムの不正な通信を検出でき、また検出した不正アクセスプログラムを隔離することができるため、大規模ネットワーク上での不正アクセスプログラムの感染の拡大を防止することができる。
図1は、本発明の実施の形態におけるシステム構成を示す図である。 図2は、ワーム検出部のブロック構成例を示す図である。 図3は、ワーム対策部のブロック構成例を示す図である。 図4は、計算機での接続開設関連のネットワーク管理情報の変化例を示す図である。 図5は、ネットワーク機器での中継情報の廃棄量の変化例を示す図である。 図6は、本発明の実施例における構成例を示す図である。 図7は、ワーム検出処理の処理フロー例を示す図である。 図8は、ワーム対策処理の処理フロー例を示す図である。 図9は、ワームの検出・隔離システムの例を示す図である。
符号の説明
1 ワーム監視装置
11 ワーム検出部
12 ワーム対策部
13 管理情報収集部
14 管理情報データベース
2 ネットワーク接続装置(ルータ)
21 フィルタリング部(フィルタ)
22 ネットワーク情報管理部(SNMPエージェント)
3 計算機(ホスト)
31 プロトコルスタック部
32 ネットワーク情報管理部(SNMPエージェント)
111 項目抽出部
112 エラー情報監視部
113 廃棄情報監視部
114 エンドポイント情報監視部
115 アラート生成部
121 アラート解析部
122 対策指示生成部
123 ネットワーク構成管理部
124 対策指示部
図1に、本発明の実施の形態におけるシステム構成を示す。
不正アクセスプログラム監視装置(ワーム監視装置)1は、ネットワーク接続装置(ルータ)2および計算機(ホスト)3から収集されたネットワーク情報の管理情報を用いて、ウイルス、ワームのような不正アクセスを行うプログラム(以下、単に「ワーム」とする)を検出・隔離する装置である。
ワーム監視装置1は、ネットワーク内のワームの活動を検出するワーム検出部11、検出されたワームの活動に対する所定の対策を行うワーム対策部12、ネットワーク接続装置2または計算機3からそれぞれのネットワーク情報の管理情報を収集する管理情報収集部(SNMPマネージャ)13、および収集されたネットワーク情報の管理情報を蓄積する管理情報データベース14を備える。
ネットワーク接続装置2は、ネットワーク・セグメント間の接続を制御する装置であって、例えばルータ、スイッチなどである。ネットワーク接続装置2は、所定の条件に従ってネットワーク情報を通過または遮断するフィルタリング部21、および自機のネットワーク情報を管理し、要求に応じてネットワーク情報の管理情報をワーム監視装置1の管理情報収集部13に送信するネットワーク情報管理部22を備える。
計算機3は、ネットワーク情報管理機能を備えたコンピュータ(PC)である。計算機3は、ネットワークプロトコルを階層的に処理するプロトコルスタック部31、および自機のネットワーク情報を管理し、要求に応じてネットワーク情報の管理情報をワーム監視装置1の管理情報収集部13に送信するネットワーク情報管理部32を備える。
図2に、ワーム監視装置1のワーム検出部11のブロック構成例を示す。
ワーム検出部11は、項目抽出部111、エラー情報監視部112、廃棄情報監視部113、エンドポイント情報監視部114、およびアラート生成部115を備える。
項目抽出部111は、管理情報データベース14に蓄積されたネットワーク情報の管理情報から、ワームを検出するために必要な項目として、ネットワークの送信先不明によるエラー通知情報、送信先不明による廃棄された情報量、計算機3のエンドポイント情報を抽出し、エラー情報監視部112、廃棄情報監視部113およびエンドポイント情報監視部114の各情報監視部へ渡す処理手段である。
エラー情報監視部112は、ネットワーク情報の管理情報のエラー通知情報から、エラー通知数が継続的に増加しているか否かを分析し、所定の閾値を超過して増加している場合に、その変化(増加状態)を検出する処理手段である。エラー情報監視部112は、ネットワーク接続装置2または計算機3のネットワーク情報の管理情報をもとに送信先不明エラー通知数を計測し、エラー通知の受信側であったか送信側であったかを判定し、エラー通知数が所定の閾値を超過した場合にアラート生成部115へ通知する。
廃棄情報監視部113は、ネットワーク情報の管理情報の廃棄情報から、情報の廃棄量を計測し、情報の廃棄量が継続的に増加しているか否かを分析し、所定の閾値を超過して増加している場合に、その変化(増加状態)を検出する処理手段である。廃棄情報監視部113は、各ネットワーク接続装置2を中継する際に送信先不明で中継できず廃棄した情報量を分析し、廃棄情報量が所定の閾値を超過した場合にアラート生成部115へ通知する。
エンドポイント情報監視部114は、ネットワーク情報の管理情報のエンドポイント情報から接続途中のエンドポイント数を計測し、接続途中のエンドポイント数が継続的に増加しているか否かを分析し、所定の閾値を超過して増加している場合に、その変化(増加状態)を検出する処理手段である。エンドポイント情報監視部114は、各計算機3が接続を開始する際に送信先不明で接続中状態となっているエンドポイント数を計測し、接続中状態のエンドポイント数が増加して所定の閾値を超過した場合にアラート生成部115へ通知する。
アラート生成部115は、エラー情報監視部112、廃棄情報監視部113、またはエンドポイント情報監視部114のいずれかの手段から監視対象情報の変化の通知を受けると、ネットワーク内でワームが活動中であることを示すアラート情報を生成する処理手段である。アラート情報には、変化の原因となったネットワーク情報の管理情報を生成した装置の種別(計算機か、ネットワーク接続装置か)およびその装置のアドレス情報などが含まれる。
図3に、ワーム対策部12のブロック構成例を示す。
ワーム対策部12は、アラート解析部121、対策指示生成部122、ネットワーク構成管理部123,および対策指示部124を備える。
アラート解析部121は、入力したアラート情報から、ネットワーク情報の管理情報が収集された装置の種別および前記装置のアドレス情報を解析する処理手段である。アラート解析部121は、解析した装置の種別およびアドレス情報を対策指示生成部122へ渡す。
対策指示生成部122は、アラート情報の解析結果にもとづいて、ワームの活動に対する対策指示を生成する処理手段である。対策指示生成部122は、アラート解析部121から渡された解析結果の装置の種別が“計算機”である場合に、アラート情報のアドレス情報にもとづいて特定された計算機3に対する中継情報の削除指示を生成する。また、装置の種別が“ネットワーク接続装置”である場合に、アラート情報のアドレス情報にもとづいて特定されたネットワーク接続装置2に対する不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する。生成した中継情報の削除指示またはフィルタの設定指示を対策指示部124へ渡す。
対策指示生成部122は、上記の処理を、ネットワーク構成管理部123と連携して行う。ネットワーク構成管理部123は、ワーム監視装置1が監視対象とするネットワークの構成を管理する処理手段である。
管理情報収集部13は、ネットワーク接続装置2または計算機3からネットワーク情報の管理情報を収集し、管理情報データベース14に蓄積する処理手段である。
図1に示す構成のネットワークにおいて、ワーム監視装置1の管理情報収集部13は、一定間隔で各ネットワーク接続装置2および計算機3からネットワーク情報の管理情報を収集し、管理情報データベース14に蓄積しておく。
計算機3でワームが活動しているとする。ワームは感染を効率よく行うために広範囲のアドレスへの接続を試みる。このため、送信先が存在しない大量の接続要求パケットが計算機3から送出される。このため、計算機3では送信先不明を示すエラー情報の通知数(受信数)が増加する。また、ワームがコネクション指向の通信を使用する場合には、図4に示すように、ワームの活動による接続要求数が増加して計算機3全体のエンドポイントのオープン総数が増加するにつれて、接続の相手先が存在しないために再送タイムアウト待ちとなるまでの接続過程(接続途中)の状態のエンドポイント総数が増加する。
そこで、ワーム監視装置1のワーム検出部11は、項目抽出部111によって、計算機3のネットワーク情報管理部32から収集したネットワーク情報の管理情報から、計算機3での接続過程のエンドポイント数、あるいは送信先不明を示すエラー情報の通知数を抽出する。そして、エラー情報監視部112によって接続先不明のエラー情報の通知量を分析し、エンドポイント情報監視部114によって接続中のエンドポイント数を分析する。これらの情報が所定の閾値を超過していると判定した場合に、ワームが活動中であると検出する。そして、アラート生成部115によって、検出対象とした装置の種別(計算機を設定)、ワームが活動中すなわちワームに感染された計算機3のアドレス情報を含むアラート情報を生成し、ワーム対策部12へ渡す。
ワーム対策部12は、アラート解析部121によって、アラート生成部115からアラート情報を受け取り、アラート情報によってワームに感染している装置が計算機3であることが通知されると、対策指示生成部122によって、計算機3のネットワーク情報管理部32に対する、プロトコルスタック部31の中継情報を削除する指示を生成する。
これにより、計算機3では、プロトコルスタック部31の処理において自機が所属するネットワーク・セグメント以外への通信が遮断されることになり、他のネットワーク・セグメントへのワームの感染拡大を防止することができる。
また、ネットワーク接続装置2では、ワームに感染した計算機3から広範囲の宛先アドレスの付いた接続要求が送出されることによって、送信先が存在しない大量の接続要求を受信することになる。このため、ネットワーク接続装置2では、接続先不明を示すエラー情報の通知数(送出数)が増加する。また、図5に示すように、ワームの活動による中継情報数が増加してネットワーク接続装置2全体の中継情報総数が増加するにつれて、接続の相手先が存在しないために送信先不明による中継情報の廃棄情報総数が増加する。
そこで、ワーム監視装置1のワーム検出部11は、項目抽出部111によって、ネットワーク接続装置2のネットワーク情報管理部22から収集したネットワーク情報の管理情報から、送信先不明による中継情報の廃棄情報数、あるいは送信先不明を示すエラー情報の通知数を抽出する。そして、エラー情報監視部112によって接続先不明のエラー情報の通知量を分析し、廃棄情報監視部113によって中継情報の廃棄情報量を分析し、これらの情報が所定の閾値を超過していると判定した場合に、ネットワーク接続装置2の配下のネットワーク・セグメント内でワームが活動中であると検出する。そして、アラート生成部115によって、検出対象とした装置の種別(ネットワーク接続装置を設定)、ネットワーク接続装置2のアドレス情報、ワームが活動中すなわちワームに感染されているネットワーク接続装置2配下のネットワーク・セグメントのアドレス情報を含むアラート情報を生成し、ワーム対策部12へ渡す。
ワーム対策部12は、アラート解析部121によって、アラート生成部115からアラート情報を受け取り、アラート情報によってワームに感染しているネットワーク・セグメントを制御する装置がネットワーク接続装置2であることが通知されると、対策指示生成部122によって、ネットワーク接続装置2のフィルタリング部21に対し、ワームの活動により生成されたトラフィックを遮断するフィルタ設定指示を送出して、ネットワーク接続装置2のフィルタ機能の設定を変更する。
これにより、ネットワーク接続装置2では、自機が制御するネットワーク・セグメントから他のネットワーク・セグメントへの通信が遮断されることになり、他のネットワーク・セグメントへのワームの感染拡大を防止することができる。
図6に、本発明の実施例を示す。
ワーム監視装置1は、複数のネットワーク・セグメントA〜Dでのワームの活動を監視するものとし、1台のワーム監視装置1をセグメントD内に設置する。ネットワーク接続装置2はルータ、計算機3はホストPCとする。ネットワーク接続装置(ルータ)2のネットワーク情報管理部22および計算機(ホスト)3のネットワーク情報管理部32として、SNMP(Simple Network Management Protocol)に対応したSNMPエージェントを実装し、ネットワーク情報の管理情報は、MIB(Management Information Base)情報として管理されるものとする。また、ネットワークのプロトコルとしてSNMPとTCP/IPとを使用する。
ワーム監視装置1の管理情報収集部13は、一定間隔でネットワーク内の各ホスト3やルータ2に対して問い合わせを行い、MIB情報を収集して管理情報データベース14に蓄積する。または、異常が検出された場合に、各ルータ2またはホスト3のSNMPエージェント22、32から管理情報収集部13に対して、トラップによりネットワーク情報の管理情報(MIB情報)が送信されるようにする。
ワーム監視装置1において、管理情報収集部13によって収集されたMIB情報はワーム検出部11に送られる。ワーム検出部11は、各ルータ2およびホスト3についてワーム検出処理を行い、ワームの活動の兆候がチェックされる。ワームの活動の兆候が検出された場合に、ワーム対策部12へ該当するルータ2またはホスト3のアドレスが渡される。
図7に、ワーム検出処理の処理フローを示す。
ワーム検出部11は、MIB情報に付加されたアドレスがルータ2であるかホスト3であるかを判定する(ステップS1)。
MIB情報のアドレスがホスト3である場合に(ステップS1)、MIB情報から、ICMP、TCPの各情報を抽出し、分析処理を行う(ステップS2)。そして、MIBオブジェクトのICMPの宛先到達不能メッセージ受信数(icmpInDestUnreachs)が継続的に増加し、かつ、当該エンティティでのコネクション確立試行の失敗数(tcpAttemptFails)が継続的に増加し、かつ、TCPコネクション状態(tcpConnState)が接続要求送信状態(synSent)であるエンドポイント数が複数存在するかどうかを判定する(ステップS3)。すべての条件が当てはまる場合に(ステップS3)、ワーム対策部12に該当ホスト3のネットワークアドレスを通知する(ステップS4)。
一方、MIB情報のアドレスがルータ2である場合に(ステップS1)、MIB情報から、ICMP、IPの各情報を抽出し、分析処理を行う(ステップS5)。そして、MIBオブジェクトのICMPの宛先到達不能メッセージ送信数(icmpOutDestUnreachs)が継続的に増加し、かつ、宛先へのルート検出不能による廃棄IPデータグラム数(ipOutNoRoutes)の値が継続的に増加するかどうかを判定する(ステップS6)。すべての条件が当てはまる場合に(ステップS6)、ワーム対策部12に該当ルータ2のネットワークアドレスを通知する(ステップS7)。
そして、ワーム対策部12は、ワーム対策処理を行い、ワーム検出部11から通知されたホスト3のアドレスおよび装置情報をもとに、該当するホスト3のSNMPエージェント32にルーティングエントリの削除を指示する。また、ワーム検出部11から通知されたルータ2のアドレスおよび装置情報をもとに、該当するルータ2のSNMPエージェント22に対して、ワームの活動による通信を遮断するようなフィルタ設定を行う。
図8に、ワーム対策処理の処理フローを示す。
ワーム対策部12は、ワーム検出部11から該当するホスト3またはルータ2のネットワークアドレスを受け取ると(ステップS10)、通知されたアドレスがルータ2であるかホスト3であるかを判定する(ステップS11)。
通知されたアドレスがルータ2の場合に、該当ルータのフィルタリング部(フィルタ)21に、ワームのトラフィックを遮断するフィルタの設定を行う(ステップS12)。一方、通知されたアドレスがホスト3の場合に、該当ホスト3のSNMPエージェント32に対して、ルーティング情報の削除を指示する(ステップS13)。
以上、本発明をその実施の形態および実施例により説明したが、本発明はその主旨の範囲において種々の変形が可能であることは当然である。
例えば、本発明は、SNMPとTCP/IPとを使用するものとして説明したが、同様のネットワーク管理機能を使用してもよい。例えば、SNA(Systems Network Architecture:IBM社)、FNA(Fujitsu Network Architecture)のようなパケット通信によっても実施することができる。
また、計算機3は、ネットワーク情報管理機能を備えたコンピュータ端末(PC)、ホストによって実施されると説明したが、ネットワーク情報管理機能を備える携帯端末、情報家電、プリンタなどであればよい。
また、ワーム監視装置1のネットワーク管理情報データベース14は静的な記憶手段として説明したが、メモリ上のデータであってもよい。
また、本発明は、コンピュータにより読み取られ実行されるプログラムとして実施するものとして説明したが、本発明を実現するプログラムは、コンピュータが読み取り可能な、可搬媒体メモリ、半導体メモリ、ハードディスクなどの適当な記録媒体に格納することができ、これらの記録媒体に記録して提供され、または、通信インタフェースを介してネットワークを利用した送受信により提供されるものである。
本発明の形態および実施例の特徴を列記すると以下のとおりである。
(付記1) ネットワーク内の不正アクセスプログラムの活動を監視する処理方法であって、
計算機またはネットワーク接続装置から収集されたネットワーク情報の管理情報を分析して不正アクセスプログラムの活動に特有なネットワーク情報の管理情報の変化を検出する管理情報監視過程と、
前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別、前記不正アクセスプログラムの活動が疑われる装置のアドレス情報を含むアラート情報を生成するアラート生成過程とを備える
不正アクセスプログラム監視処理方法。
(付記2) 前記ネットワーク情報の管理情報を前記計算機または前記ネットワーク接続装置からリアルタイムで収集する管理情報収集過程を備える
前記付記1記載の不正アクセスプログラム監視処理方法。
(付記3) 前記管理情報監視過程では、前記ネットワーク接続装置から収集された管理情報から送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報の送信時量が所定の増加傾向を示す状態を前記変化として検出する
前記付記1または付記2のいずれかに記載の不正アクセスプログラム監視処理方法。
(付記4) 前記管理情報監視過程では、前記計算機から収集されたネットワーク情報の管理情報から送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報の受信情報量が所定の増加傾向を示す状態を前記変化として検出する
前記付記1または付記2のいずれかに記載の不正アクセスプログラム監視処理方法。
(付記5) 前記管理情報監視過程では、前記ネットワーク接続装置から収集された管理情報から送信先不明に伴って廃棄された情報量を抽出し、前記廃棄情報量が所定の増加傾向を示す状態を前記変化として検出する
前記付記1または付記2のいずれかに記載の不正アクセスプログラム監視処理方法。
(付記6) 前記管理情報監視過程では、前記計算機から収集された管理情報を解析し、前記計算機においてコネクション確立中を示すエンドポイント数もしくはコネクション確立失敗を示すエンドポイント数のいずれかの数値が所定の増加傾向を示す状態を前記変化として検出する
前記付記1または付記2のいずれかに記載の不正アクセスプログラム監視処理方法。
(付記7) 前記アラート情報から、前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別、前記不正アクセスプログラムの活動が疑われる計算機またはネットワーク接続装置のアドレス情報を解析するアラート解析過程と、
前記装置の種別が計算機である場合に、前記アドレス情報によって特定される計算機に対する中継情報の削除指示を生成し、前記装置の種別がネットワーク接続装置である場合に、前記アドレス情報によって特定されるネットワーク接続装置に対する前記不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する対策指示生成過程と、
前記中継情報の削除指示または前記フィルタの設定指示を送信する対策指示過程とを備える
前記付記1または付記2のいずれかに記載の不正アクセスプログラム監視処理方法。
(付記8) ネットワークの構成を示すネットワーク構成情報を管理するネットワーク構成管理過程を備え、
前記対策指示生成過程は、前記ネットワーク構成情報を参照して前記不正アクセスプログラムの活動が疑われる計算機またはネットワーク・セグメントまたは前記ネットワーク・セグメントを制御するネットワーク接続装置のアドレス情報を解析する
前記付記7記載の不正アクセスプログラム監視処理方法。
(付記9) ネットワーク内の不正アクセスプログラムの活動を検出する装置としてコンピュータを機能させるためのプログラムであって、
計算機またはネットワーク接続装置から収集されたネットワーク情報の管理情報を蓄積するネットワーク管理情報記憶手段と、
前記管理情報を分析して不正アクセスプログラムの活動に特有なネットワーク情報の管理情報の変化を検出する管理情報監視手段と、
前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別、前記不正アクセスプログラムの活動が疑われる装置のアドレス情報を含むアラート情報を生成するアラート生成手段とを備える装置として、
前記コンピュータを機能させるための不正アクセスプログラム検出プログラム。
(付記10) 前記ネットワーク情報の管理情報を前記計算機または前記ネットワーク接続装置からリアルタイムで収集する管理情報収集手段を備える装置として、
前記コンピュータを機能させるための前記付記9記載の不正アクセスプログラム検出プログラム。
(付記11) 前記管理情報監視手段は、前記ネットワーク接続装置から収集された管理情報から送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報の送信時量が所定の増加傾向を示す状態を前記変化として検出する装置として、
前記コンピュータを機能させるための前記付記9または前記付記10のいずれかに記載の不正アクセスプログラム検出プログラム。
(付記12) 前記管理情報監視手段は、前記計算機から収集されたネットワーク情報の管理情報から送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報の受信情報量が所定の増加傾向を示す状態を前記変化として検出する装置として、
前記コンピュータを機能させるための前記付記9または前記付記10のいずれかに記載の不正アクセスプログラム検出プログラム。
(付記13) 前記管理情報監視手段は、前記ネットワーク接続装置から収集された管理情報から送信先不明に伴って廃棄された情報量を抽出し、前記廃棄情報量が所定の増加傾向を示す状態を前記変化として検出する装置として、
前記コンピュータを機能させるための前記付記9または前記付記10のいずれかに記載の不正アクセスプログラム検出プログラム。
(付記14) 前記管理情報監視手段は、前記計算機から収集された管理情報を解析し、前記計算機においてコネクション確立中を示すエンドポイント数もしくはコネクション確立失敗を示すエンドポイント数のいずれかの数値が所定の増加傾向を示す状態を前記変化として検出する装置として、
前記コンピュータを機能させるための前記付記9または前記付記10のいずれかに記載の不正アクセスプログラム検出プログラム。
(付記15) ネットワーク内で検出された不正アクセスプログラムを隔離する装置としてコンピュータを機能させるためのプログラムであって、
不正アクセスプログラムの活動が疑われる装置の種類およびアドレス情報を含むアラート情報を受信し、前記アラート情報から、前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別、前記不正アクセスプログラムの活動が疑われる計算機またはネットワーク接続装置のアドレス情報を解析するアラート解析手段と、
前記装置の種別が計算機である場合に、前記アドレス情報によって特定される計算機に対する中継情報の削除指示を生成し、前記装置の種別がネットワーク接続装置である場合に、前記アドレス情報によって特定されるネットワーク接続装置に対する前記不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する対策指示生成手段と、
前記中継情報の削除指示または前記フィルタの設定指示を送信する対策指示手段とを備える装置として、
前記コンピュータを機能させるための不正アクセスプログラム対策プログラム。
(付記16) ネットワークの構成を示すネットワーク構成情報を記憶するネットワーク構成情報記憶手段と、
ネットワークの構成を示すネットワーク構成情報を管理するネットワーク構成管理手段とを備え、
前記対策指示生成手段は、前記ネットワーク構成情報を参照して前記不正アクセスプログラムの活動が疑われる計算機またはネットワーク・セグメントまたは前記ネットワーク・セグメントを制御するネットワーク接続装置のアドレス情報を解析する装置として、
前記コンピュータを機能させるための前記付記15記載の不正アクセスプログラム対策プログラム。
(付記17) ネットワーク内の不正アクセスプログラムの活動を監視し、検出した不正アクセスプログラムを隔離するシステムであって、
計算機またはネットワーク接続装置から収集されたネットワーク情報の管理情報を蓄積するネットワーク管理情報記憶手段と、
前記管理情報を分析して不正アクセスプログラムの活動に特有なネットワーク情報の管理情報の変化を検出する管理情報監視手段と、
前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別、前記不正アクセスプログラムの活動が疑われる装置のアドレス情報を含むアラート情報を生成するアラート生成手段と、
前記アラート情報から、前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別、前記不正アクセスプログラムの活動が疑われる計算機またはネットワーク接続装置のアドレス情報を解析するアラート解析手段と、
前記装置の種別が計算機である場合に、前記アドレス情報によって特定される計算機に対する中継情報の削除指示を生成し、前記装置の種別がネットワーク接続装置である場合に、前記アドレス情報によって特定されるネットワーク接続装置に対する前記不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する対策指示生成手段と、
前記中継情報の削除指示または前記フィルタの設定指示を送信する対策指示手段とを備える不正アクセスプログラム監視システム。
本発明は、ネットワーク管理を導入しているネットワークシステムにおいて、ネットワークおよび計算機ごとに特別なソフトウエアを導入することなく、不正アクセスを行うプログラムの検出および対策を実現できる。

Claims (11)

  1. ネットワーク内の不正アクセスプログラムの活動を監視する処理方法であって、
    ネットワーク接続装置から収集されたネットワーク情報の管理情報からルート検出不能に伴うエラー通知情報を抽出し、前記ネットワーク接続装置から収集された管理情報から前記ルート検出不能に伴って廃棄された情報量を抽出し、前記エラー通知情報の送信情報量が所定の増加傾向を示し、かつ、前記廃棄された情報量が所定の増加傾向を示す状態を、管理情報の変化として検出する管理情報監視過程と、
    前記変化の検出にかかわるネットワーク情報の管理情報が収集された、前記不正アクセスプログラムの活動が疑われるネットワーク装置のアドレス情報を含むアラート情報を生成するアラート生成過程とを備える
    不正アクセスプログラム監視処理方法。
  2. ネットワーク内の不正アクセスプログラムの活動を監視する処理方法であって、
    計算機から収集されたネットワーク情報の管理情報から宛先到達不能に伴うエラー通知情報を抽出し、前記エラー通知情報の受信情報量が所定の増加傾向を示し、コネクション確立試行の失敗数が継続的に増加し、かつ、接続要求送信状態であるエンドポイント数が複数存在する状態を、管理情報の変化として検出する管理情報監視過程と、
    前記変化の検出にかかわるネットワーク情報の管理情報が収集された、前記不正アクセスプログラムの活動が疑われる計算機のアドレス情報を含むアラート情報を生成するアラート生成過程とを備える
    不正アクセスプログラム監視処理方法。
  3. 前記アラート情報から、前記変化の検出にかかわるネットワーク情報の管理情報が収集されたネットワーク装置のアドレス情報を解析するアラート解析過程と、
    前記アラート情報に含まれるアドレス情報によって特定されるネットワーク接続装置に対する前記不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する対策指示生成過程と、
    前記中継情報の削除指示または前記フィルタの設定指示を送信する対策指示過程とを備える
    請求項1に記載の不正アクセスプログラム監視処理方法。
  4. 前記アラート情報から、前記変化の検出にかかわるネットワーク情報の管理情報が収集された計算機のアドレス情報を解析するアラート解析過程と、
    前記計算機のアドレス情報によって特定される計算機に対する中継情報の削除指示を生成する対策指示生成過程と、
    前記中継情報の削除指示または前記フィルタの設定指示を送信する対策指示過程とを備える
    請求項2に記載の不正アクセスプログラム監視処理方法。
  5. ネットワークの構成を示すネットワーク構成情報を管理するネットワーク構成管理過程を備え、
    前記対策指示生成過程は、前記ネットワーク構成情報を参照して、前記不正アクセスプログラムの活動が疑われる、ネットワーク・セグメントまたは前記ネットワーク・セグメントを制御するネットワーク接続装置のアドレス情報を解析する
    請求項3に記載の不正アクセスプログラム監視処理方法。
  6. ネットワークの構成を示すネットワーク構成情報を管理するネットワーク構成管理過程を備え、
    前記対策指示生成過程は、前記ネットワーク構成情報を参照して、前記不正アクセスプログラムの活動が疑われる、計算機またはネットワーク・セグメントのアドレス情報を解析する
    請求項4に記載の不正アクセスプログラム監視処理方法。
  7. 前記ネットワーク情報の管理情報を前記計算機または前記ネットワーク接続装置からリアルタイムで収集する管理情報収集過程を備える
    請求項1または請求項2に記載の不正アクセスプログラム監視処理方法。
  8. ネットワーク内の不正アクセスプログラムの活動を検出する機能をコンピュータに実現させるためのプログラムであって、前記コンピュータに、
    ネットワーク接続装置から収集されたネットワーク情報の管理情報からルート検出不能に伴うエラー通知情報を抽出し、前記ネットワーク接続装置から収集された管理情報から前記ルート検出不能に伴って廃棄された情報量を抽出し、前記エラー通知情報の送信情報量が所定の増加傾向を示し、かつ、前記廃棄された情報量が所定の増加傾向を示す状態を、管理情報の変化として検出する管理情報監視機能と、
    前記変化の検出にかかわるネットワーク情報の管理情報が収集された、前記不正アクセスプログラムの活動が疑われるネットワーク装置のアドレス情報を含むアラート情報を生成するアラート生成機能とを実現させるための
    不正アクセスプログラム監視プログラム。
  9. ネットワーク内の不正アクセスプログラムの活動を検出する機能をコンピュータに実現させるためのプログラムであって、前記コンピュータに、
    計算機から収集されたネットワーク情報の管理情報から宛先到達不能に伴うエラー通知情報を抽出し、前記エラー通知情報の受信情報量が所定の増加傾向を示し、コネクション確立試行の失敗数が継続的に増加し、かつ、接続要求送信状態であるエンドポイント数が複数存在する状態を、管理情報の変化として検出する管理情報監視機能と、
    前記変化の検出にかかわるネットワーク情報の管理情報が収集された、前記不正アクセスプログラムの活動が疑われる計算機のアドレス情報を含むアラート情報を生成するアラート生成機能とを実現させるための
    不正アクセスプログラム監視プログラム。
  10. ネットワーク内の不正アクセスプログラムの活動を監視する処理装置であって、
    ネットワーク接続装置から収集されたネットワーク情報の管理情報からルート検出不能に伴うエラー通知情報を抽出し、前記ネットワーク接続装置から収集された管理情報から前記ルート検出不能に伴って廃棄された情報量を抽出し、前記エラー通知情報の送信情報量が所定の増加傾向を示し、かつ、前記廃棄された情報量が所定の増加傾向を示す状態を、管理情報の変化として検出する管理情報監視手段と、
    前記変化の検出にかかわるネットワーク情報の管理情報が収集された、前記不正アクセスプログラムの活動が疑われるネットワーク装置のアドレス情報を含むアラート情報を生成するアラート生成手段とを備える
    不正アクセスプログラム監視装置。
  11. ネットワーク内の不正アクセスプログラムの活動を監視する処理装置であって、
    計算機から収集されたネットワーク情報の管理情報から宛先到達不能に伴うエラー通知情報を抽出し、前記エラー通知情報の受信情報量が所定の増加傾向を示し、コネクション確立試行の失敗数が継続的に増加し、かつ、接続要求送信状態であるエンドポイント数が複数存在する状態を、管理情報の変化として検出する管理情報監視手段と、
    前記変化の検出にかかわるネットワーク情報の管理情報が収集された、前記不正アクセスプログラムの活動が疑われる計算機のアドレス情報を含むアラート情報を生成するアラート生成手段とを備える
    不正アクセスプログラム監視装置。
JP2006542129A 2004-10-19 2004-10-19 不正アクセスプログラム監視処理方法、不正アクセスプログラム監視プログラムおよび不正アクセスプログラム監視装置 Expired - Fee Related JP4680931B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2004/015406 WO2006043310A1 (ja) 2004-10-19 2004-10-19 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム

Publications (2)

Publication Number Publication Date
JPWO2006043310A1 JPWO2006043310A1 (ja) 2008-05-22
JP4680931B2 true JP4680931B2 (ja) 2011-05-11

Family

ID=36202735

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006542129A Expired - Fee Related JP4680931B2 (ja) 2004-10-19 2004-10-19 不正アクセスプログラム監視処理方法、不正アクセスプログラム監視プログラムおよび不正アクセスプログラム監視装置

Country Status (3)

Country Link
US (1) US7832010B2 (ja)
JP (1) JP4680931B2 (ja)
WO (1) WO2006043310A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120096548A1 (en) * 2005-03-24 2012-04-19 International Business Machines Corporation Network attack detection
EP2132628A1 (en) * 2007-04-05 2009-12-16 International Business Machines Corporation Method, system and computer program for configuring firewalls
US9230213B2 (en) 2013-03-15 2016-01-05 Extreme Networks, Inc. Device and related method for scoring applications running on a network
US9130826B2 (en) 2013-03-15 2015-09-08 Enterasys Networks, Inc. System and related method for network monitoring and control based on applications
US9584393B2 (en) 2013-03-15 2017-02-28 Extreme Networks, Inc. Device and related method for dynamic traffic mirroring policy
US9813447B2 (en) 2013-03-15 2017-11-07 Extreme Networks, Inc. Device and related method for establishing network policy based on applications
US9172627B2 (en) 2013-03-15 2015-10-27 Extreme Networks, Inc. Device and related method for dynamic traffic mirroring
US9256636B2 (en) 2013-03-15 2016-02-09 Extreme Networks, Inc. Device and related method for application identification
US11212255B2 (en) * 2015-10-30 2021-12-28 Melih Abdulhayoglu System and method of protecting a network
JP6276207B2 (ja) * 2015-02-10 2018-02-07 日本電信電話株式会社 検出システム、検出方法および検出プログラム
US20160253501A1 (en) * 2015-02-26 2016-09-01 Dell Products, Lp Method for Detecting a Unified Extensible Firmware Interface Protocol Reload Attack and System Therefor
JP2016181191A (ja) * 2015-03-25 2016-10-13 富士通株式会社 管理プログラム、管理装置及び管理方法
JP6441725B2 (ja) * 2015-03-26 2018-12-19 株式会社エヌ・ティ・ティ・データ ネットワーク情報出力システム及びネットワーク情報出力方法
JP6851211B2 (ja) * 2017-02-09 2021-03-31 Sky株式会社 ネットワーク監視システム
SG11202100631VA (en) * 2018-09-14 2021-02-25 Toshiba Kk Communication control device
JP6603782B2 (ja) * 2018-11-22 2019-11-06 株式会社エヌ・ティ・ティ・データ ネットワーク情報出力システム及びネットワーク情報出力方法
US11651089B2 (en) * 2021-07-13 2023-05-16 Graphcore Ltd. Terminating distributed trusted execution environment via self-isolation

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003188986A (ja) * 2001-12-17 2003-07-04 Fujitsu Ltd ゲートウェイ装置
JP2003241989A (ja) * 2002-02-15 2003-08-29 Toshiba Corp コンピュータウイルス発生検出装置、方法、およびプログラム
JP2004164270A (ja) * 2002-11-13 2004-06-10 Nec System Technologies Ltd ウイルス感染警告通知システム及び方法
JP2004259060A (ja) * 2003-02-26 2004-09-16 Canon Inc データ受信方法及び画像形成装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
JP4077336B2 (ja) * 2003-02-26 2008-04-16 富士通株式会社 異常検出方法、異常検出プログラム、サーバ、コンピュータ

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003188986A (ja) * 2001-12-17 2003-07-04 Fujitsu Ltd ゲートウェイ装置
JP2003241989A (ja) * 2002-02-15 2003-08-29 Toshiba Corp コンピュータウイルス発生検出装置、方法、およびプログラム
JP2004164270A (ja) * 2002-11-13 2004-06-10 Nec System Technologies Ltd ウイルス感染警告通知システム及び方法
JP2004259060A (ja) * 2003-02-26 2004-09-16 Canon Inc データ受信方法及び画像形成装置

Also Published As

Publication number Publication date
WO2006043310A1 (ja) 2006-04-27
JPWO2006043310A1 (ja) 2008-05-22
US7832010B2 (en) 2010-11-09
US20070256119A1 (en) 2007-11-01

Similar Documents

Publication Publication Date Title
US7832010B2 (en) Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus
JP5518594B2 (ja) 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
JP4072150B2 (ja) ホストベースのネットワーク侵入検出システム
US8291498B1 (en) Computer virus detection and response in a wide area network
US7624447B1 (en) Using threshold lists for worm detection
US8161554B2 (en) System and method for detection and mitigation of network worms
US7564837B2 (en) Recording medium recording a network shutdown control program, and network shutdown device
JP4327698B2 (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US20060230456A1 (en) Methods and apparatus to maintain telecommunication system integrity
US10798061B2 (en) Automated learning of externally defined network assets by a network security device
JP6168977B2 (ja) 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法
JP6256773B2 (ja) セキュリティシステム
WO2002013486A2 (en) System and method for processing network accounting information
JP2014123996A (ja) ネットワーク監視装置及びプログラム
US20090276852A1 (en) Statistical worm discovery within a security information management architecture
JP4398316B2 (ja) ネットワーク管理装置、ネットワーク管理方法、およびプログラム
US20040093514A1 (en) Method for automatically isolating worm and hacker attacks within a local area network
KR20030049853A (ko) 네트워크 보호 시스템 및 그 운영 방법
JP2008165601A (ja) 通信監視システム、通信監視装置、及び通信制御装置
JP4084317B2 (ja) ワーム検出方法
JP4526566B2 (ja) ネットワーク装置、データ中継方法およびプログラム
JP2018129712A (ja) ネットワーク監視システム
WO2008079103A2 (en) System and method for detection and mitigation of network worms
JP6581053B2 (ja) フロー解析装置、トラフィック解析システム、及びフロー解析方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070426

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100906

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20100906

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100906

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110104

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20110107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110201

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110203

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140210

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees