JP4705961B2 - Virus damage range prediction system - Google Patents
Virus damage range prediction system Download PDFInfo
- Publication number
- JP4705961B2 JP4705961B2 JP2008015226A JP2008015226A JP4705961B2 JP 4705961 B2 JP4705961 B2 JP 4705961B2 JP 2008015226 A JP2008015226 A JP 2008015226A JP 2008015226 A JP2008015226 A JP 2008015226A JP 4705961 B2 JP4705961 B2 JP 4705961B2
- Authority
- JP
- Japan
- Prior art keywords
- virus
- client terminal
- file
- operation log
- damage range
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 241000700605 Viruses Species 0.000 title claims description 181
- 238000001514 detection method Methods 0.000 claims description 61
- 230000009385 viral infection Effects 0.000 claims description 45
- 238000000034 method Methods 0.000 claims description 31
- 230000008569 process Effects 0.000 claims description 15
- 230000000903 blocking effect Effects 0.000 claims description 12
- 230000006870 function Effects 0.000 description 16
- 208000015181 infectious disease Diseases 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000007480 spreading Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- LWCVWGNRFYSORH-UHFFFAOYSA-N BBBBBBB Chemical compound BBBBBBB LWCVWGNRFYSORH-UHFFFAOYSA-N 0.000 description 1
- 208000036142 Viral infection Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Images
Description
本発明は、企業などの組織で使用しているコンピュータ端末にコンピュータウィルスが感染した場合、その被害範囲を予測するウィルス被害範囲予測システムに関する。更には、感染していると予測されるコンピュータ端末を、ネットワークから切り離すウィルス被害範囲予測システムに関する。
The present invention relates to a virus damage range prediction system for predicting the damage range when a computer virus is infected to a computer terminal used in an organization such as a company. Furthermore, the present invention relates to a virus damage range prediction system that separates a computer terminal that is predicted to be infected from a network.
企業などの組織ではその業務遂行のために多数のコンピュータ端末を使用している。しかし何らかの理由により、一部のコンピュータ端末がコンピュータウィルス(本明細書では「ウィルス」と呼ぶ。またウィルスとは、「自らまたはほかのコンピュータ端末に対して何らかの被害をもたらす不正なプログラムまたはプログラム断片(ほかのアプリケーションプログラム上で起動するプログラムの一部)」であればよく、いわゆる電子メールやウェブブラウザなどを介して感染するコンピュータウィルスのほかにも、ワーム、ボット、ルートキットなど様々なものが含まれる。本明細書ではそれらを総称して「ウィルス」と称する)に感染してしまう場合もある。このような場合、システム管理者は、感染したコンピュータ端末からほかのコンピュータ端末へのウィルス感染を防止するために、ウィルス感染を検出したコンピュータ端末を直ちにネットワークから遮断するとともに、その感染経路を特定し、新たな感染を防止することが求められる。 An organization such as a company uses a large number of computer terminals to perform its business. However, for some reason, some computer terminals are referred to as computer viruses (referred to herein as “viruses.” Viruses are also defined as “unauthorized programs or program fragments that cause some damage to themselves or other computer terminals ( Other than computer viruses that can be transmitted via e-mail or web browsers, various programs such as worms, bots, and rootkits are included. In the present specification, they may be collectively referred to as “viruses”. In such a case, in order to prevent virus infection from an infected computer terminal to another computer terminal, the system administrator immediately shuts off the computer terminal that detected the virus infection from the network and specifies the infection route. There is a need to prevent new infections.
下記特許文献1にウィルスの感染経路を特定するシステムの一例が記載されている。また特許文献2にはウィルスや不正アクセスがあった場合に、それを通知するシステムの一例が記載されている。
The following Patent Document 1 describes an example of a system for specifying a virus infection route.
上記特許文献1の発明を用いた場合、どのような経路でコンピュータがウィルスに感染したか、その経路を特定することが出来る点で有益である。そしてシステム管理者は、特定した感染経路をたどることによって、ほかに感染している可能性のあるコンピュータ端末が存在しないか、を特定する作業を行う。 When the invention of Patent Document 1 is used, it is advantageous in that it is possible to specify the route by which the computer is infected by the virus. Then, the system administrator performs an operation of identifying whether there is any other computer terminal that may be infected by following the identified infection route.
つまり感染経路を特定するような従来のシステムの場合、コンピュータ端末がウィルスに感染した経路を特定できたとしても、感染している可能性のあるほかのコンピュータ端末、つまりウィルス感染の被害範囲の予測を行うことは出来ない。そのため上述のように、システム管理者が、特定した感染経路をたどることによって、ほかに感染している可能性のあるコンピュータ端末が存在するかを、特定する必要がある。 In other words, in the case of a conventional system that specifies the infection route, even if the computer terminal can identify the virus-infected route, it predicts the other computer terminals that may be infected, that is, the damage range of the virus infection. Cannot be done. Therefore, as described above, the system administrator needs to specify whether there is another computer terminal that may be infected by following the specified infection route.
ところがウィルスの場合、感染したコンピュータ端末が利用したファイルなどを、ほかのコンピュータ端末が利用することによって、ほかのコンピュータ端末へ感染し、被害が拡大することも多い。従って、ウィルス感染の経路を特定したのちに、システム管理者がその経路をたどることで、ほかに感染しているコンピュータ端末を特定し、そのコンピュータ端末のネットワーク接続を遮断する、といったプロセスを経ていたのでは時間を要してしまい、ほかのコンピュータ端末へ被害が拡大するおそれがある。 However, in the case of a virus, when a file used by an infected computer terminal is used by another computer terminal, the other computer terminal is often infected and the damage spreads. Therefore, after identifying the path of virus infection, the system administrator followed the path to identify other infected computer terminals and blocked the network connection of the computer terminals. However, it takes time, and there is a risk of damage spreading to other computer terminals.
そこで被害拡大防止のために、上述の特許文献2のように、ウィルス感染や不正アクセスなどがあった場合、システム管理者が利用する所定の電話番号などにFAXで通知するシステムがある。しかしこのシステムを用いたとしても、被害の可能性のある範囲を予測することは出来ない。そのため結局は従来と同様に、システム管理者が、逐次、ほかに感染している可能性のあるコンピュータ端末が存在するかを、特定する必要がある。
In order to prevent damage from spreading, there is a system that notifies a predetermined telephone number or the like used by a system administrator by FAX when there is a virus infection or unauthorized access, as in
また被害拡大防止のためには、ウィルス感染を検出した段階で、ほかのすべてのコンピュータ端末のネットワーク接続を遮断することで、被害拡大を防止することが出来るが、全く関係のないコンピュータ端末までネットワーク接続が遮断されてしまうと、日常業務に著しい支障を来してしまう。 In addition, in order to prevent damage from spreading, it is possible to prevent damage spreading by blocking the network connection of all other computer terminals when a virus infection is detected. If the connection is interrupted, it will cause a significant hindrance to daily work.
そのため、一台のコンピュータ端末でウィルス感染を検出した場合、速やかにその感染範囲を適切に予測することが出来るシステムが望まれている。そして、予測した範囲のコンピュータ端末のネットワーク接続を遮断することで、被害拡大を防止するシステムが望まれている。 Therefore, when a virus infection is detected with one computer terminal, a system that can promptly and appropriately predict the infection range is desired. There is a demand for a system that prevents the spread of damage by blocking the network connection of computer terminals in the predicted range.
本発明者は上記課題に鑑み、本発明のウィルス被害範囲予測システムを発明した。 In view of the above problems, the present inventors have invented the virus damage range prediction system of the present invention.
第1の発明は、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルスを検出したクライアント端末に記憶しているファイルにアクセスしたクライアント端末を、前記操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、を有するウィルス被害範囲予測システムである。 A first invention is a virus damage range prediction system for predicting a damage range due to infection with a computer virus, the virus damage range prediction system including an operation log information storage unit that stores operation log information of a client terminal, a client Based on the operation log information, a virus detection information acquisition unit that acquires virus detection information indicating that a virus has been detected from the terminal and a client terminal that has accessed a file stored in the client terminal that has detected the virus are identified. Thus, a virus damage range prediction system having a damage range prediction processing unit for predicting the damage range of virus infection.
ウィルスに感染する可能性の第一は、ほかのクライアント端末が、ウィルス感染したクライアント端末に記憶しているファイルにアクセスする場合である。そのため本発明のように構成することで、ウィルスを検出したクライアント端末に記憶するファイルにアクセスしたほかのクライアント端末を、ウィルス感染の可能性がある被害範囲として予測することが可能となる。 The first possibility of virus infection is when another client terminal accesses a file stored in a virus-infected client terminal. Therefore, by configuring as in the present invention, it is possible to predict another client terminal that has accessed a file stored in the client terminal that has detected a virus as a damage range that may cause virus infection.
また上述の発明において、前記被害範囲予測処理部は、前記感染したクライアント端末のクライアント端末識別情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、ウィルス被害範囲予測システムのように構成することが出来る。 In the above-described invention, the damage range prediction processing unit searches for operation log information stored in the operation log information storage unit based on client terminal identification information of the infected client terminal and operation contents indicating file access. And extracting the client terminal identification information from the operation log information specified by the search so as to identify the client terminal that has accessed the file stored in the infected client terminal. I can do it.
上述の発明は、以下の発明のように構成することも出来る。すなわち、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末で記憶しているファイルのファイル識別情報を少なくとも記憶しているファイル情報記憶部と、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルス検出情報を取得すると、そのクライアント端末が記憶しているファイルを、前記ファイル情報記憶部に基づいて特定するファイル特定部と、前記ファイル特定部で特定したファイルに対してアクセスしたクライアント端末を、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う端末特定部と、を有するウィルス被害範囲予測システムのように構成することも出来る。 The above-described invention can also be configured as the following invention. That is, a virus damage range prediction system that predicts a damage range due to a computer virus infection, the virus damage range prediction system storing an operation log information storage unit that stores operation log information of a client terminal and a client terminal. A file information storage unit that stores at least file identification information of a file being detected, a virus detection information acquisition unit that acquires virus detection information indicating that a virus has been detected from a client terminal, and acquiring the virus detection information, A file specifying unit that specifies a file stored in the client terminal based on the file information storage unit, and a client terminal that accesses the file specified by the file specifying unit in the operation log information storage unit Based on the operation log information stored By constant, a terminal identifying unit that performs the damage range prediction of viral infection can also be configured as viral damage range prediction system with.
また上述の発明において、前記ファイル特定部は、前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報に基づいて、そのクライアント端末で記憶するファイルのファイル識別情報を、前記ファイル情報記憶部から特定し、前記端末特定部は、前記ファイル特定部で特定したファイル識別情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、ウィルス被害範囲予測システムのように構成することも出来る。 In the above-described invention, when the file specifying unit acquires the virus detection information, based on the client terminal identification information of the virus detection information, the file identification unit stores the file identification information of the file stored in the client terminal. The terminal specifying unit searches the operation log information stored in the operation log information storage unit based on the file identification information specified by the file specifying unit and the operation content indicating file access, By extracting the client terminal identification information of the operation log information specified by the search, it can be configured as a virus damage range prediction system that identifies the client terminal that has accessed the file stored in the infected client terminal.
更に、上述の発明では、ウィルス感染したクライアント端末に記憶するファイルにアクセスしたほかのクライアント端末を特定することで、ウィルス感染の被害範囲を予測したが、以下の発明のように構成しても、ウィルス感染の被害範囲を予測することも出来る。すなわち、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、各クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルスを検出したクライアント端末がアクセスしたファイルに、アクセスしたクライアント端末を前記操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、を有するウィルス被害範囲予測システムのように構成しても良い。 Furthermore, in the above-mentioned invention, the damage range of the virus infection is predicted by specifying another client terminal that has accessed the file stored in the client terminal infected by the virus. It is also possible to predict the damage range of virus infection. That is, a virus damage range prediction system that predicts a damage range due to computer virus infection, the virus damage range prediction system including an operation log information storage unit that stores operation log information of each client terminal, A virus detection information acquisition unit for acquiring virus detection information indicating that the virus has been detected, and a file accessed by the client terminal that has detected the virus, by identifying the client terminal that has accessed the virus based on the operation log information. You may comprise like the virus damage range prediction system which has a damage range prediction process part which performs the damage range prediction of infection.
ウィルス感染したクライアント端末がアクセスしたファイルに、ほかのクライアント端末がアクセスしたことによって、そのほかのクライアント端末がウィルスに感染することもある。そこで本発明のように構成することで、ウィルスを検出したクライアント端末がアクセスしたファイルに、アクセスしたほかのクライアント端末を、ウィルス感染の可能性がある被害範囲として予測することが可能となる。 When another client terminal accesses a file accessed by a virus-infected client terminal, the other client terminal may be infected with a virus. Therefore, by configuring as in the present invention, it is possible to predict other client terminals that have accessed a file accessed by a client terminal that has detected a virus as a damage range that may cause virus infection.
上述の発明は、以下の発明のように構成することも出来る。すなわち、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルス検出情報を取得すると、そのクライアント端末がアクセスしたファイルを、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定するファイル特定部と、前記ファイル特定部で特定したファイルに対してアクセスしたクライアント端末を、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う端末特定部と、を有するウィルス被害範囲予測システムのように構成することも出来る。 The above-described invention can also be configured as the following invention. That is, a virus damage range prediction system for predicting a damage range due to computer virus infection, wherein the virus damage range prediction system includes an operation log information storage unit for storing operation log information of a client terminal, and a virus from the client terminal. Based on the operation log information stored in the operation log information storage unit, the virus detection information acquisition unit that acquires virus detection information indicating detection, and when the virus detection information is acquired, the file accessed by the client terminal By identifying the file identification unit to be identified and the client terminal that has accessed the file identified by the file identification unit based on the operation log information stored in the operation log information storage unit, it is possible to predict the damage range of virus infection And a virus identification having a terminal identification unit It can also be configured as a range prediction system.
また上述の発明において、前記ファイル特定部は、前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報とファイルアクセスを示す操作内容とに基づいて、そのクライアント端末がアクセスしたファイルのファイル識別情報とその保存場所の情報とを、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定し、前記端末特定部は、前記ファイル特定部で特定したファイル識別情報とその保存場所の情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、ウィルス被害範囲予測システムのように構成することも出来る。 In the above-described invention, when the file specifying unit acquires the virus detection information, a file of the file accessed by the client terminal based on the client terminal identification information of the virus detection information and the operation content indicating file access. The identification information and the storage location information are specified based on the operation log information stored in the operation log information storage unit, and the terminal specification unit is configured to identify the file identification information specified by the file specification unit and the storage location thereof. Based on the information and the operation content indicating the file access, the operation log information stored in the operation log information storage unit is searched, and the client terminal identification information of the operation log information specified by the search is extracted, thereby being infected. Specify the client terminal that accessed the file stored in the client terminal. It can also be configured as pulse damage range prediction system.
ウィルスに感染していると予測したクライアント端末については、その被害の拡大を防止するためにも、ネットワーク接続を遮断することが好ましい。そこで以下の発明のように構成することで、ネットワーク接続を遮断させることが可能となる。すなわち、前記ウィルス被害範囲予測システムは、更に、前記ウィルス感染の被害が予測されるとして特定されたクライアント端末について、ネットワーク接続の遮断処理を実行するネットワーク接続遮断処理部、を有するウィルス被害範囲予測システムのように構成しても良い。 For a client terminal predicted to be infected with a virus, it is preferable to block the network connection in order to prevent the damage from spreading. Therefore, the network connection can be blocked by configuring as in the following invention. That is, the virus damage range prediction system further includes a network connection cut-off processing unit that executes a network connection cut-off process for a client terminal identified as being predicted to be damaged by the virus infection. You may comprise as follows.
本発明のプログラムをコンピュータ端末に読み込ませて実行することで、上述のシステムが構成できる。すなわち、クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、前記ウィルスを検出したクライアント端末に記憶しているファイルにアクセスしたクライアント端末を前記記憶装置に記憶した操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、として機能させるウィルス被害範囲予測プログラムのように構成しても良い。 The above-described system can be configured by causing a computer terminal to read and execute the program of the present invention. That is, a computer terminal that stores operation log information of a client terminal in a storage device is stored in a virus detection information acquisition unit that acquires virus detection information indicating that a virus has been detected from the client terminal, and is stored in the client terminal that has detected the virus. A virus damage range prediction program that functions as a damage range prediction processing unit that predicts a damage range of a virus infection by identifying a client terminal that has accessed a file based on operation log information stored in the storage device You may comprise.
更に、本発明のプログラムをコンピュータ端末に読み込ませて実行することで、上述のシステムを構成できる。すなわち、クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、前記ウィルスを検出したクライアント端末がアクセスしたファイルに、アクセスしたクライアント端末を前記記憶装置に記憶した操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、として機能させるウィルス被害範囲予測プログラムのように構成しても良い。 Furthermore, the above-described system can be configured by causing a computer terminal to read and execute the program of the present invention. That is, a computer terminal that stores operation log information of a client terminal in a storage device is accessed by a virus detection information acquisition unit that acquires virus detection information indicating that a virus has been detected from the client terminal, or a client terminal that has detected the virus Like a virus damage range prediction program that functions as a damage range prediction processing unit that predicts the damage range of a virus infection by specifying the client terminal that accessed the file based on the operation log information stored in the storage device It may be configured.
本発明のウィルス被害範囲予測システムを用いることによって、従来のように単に感染経路を特定するのではなく、ウィルスに感染していそうなほかのコンピュータ端末が存在していないかを特定し、つまり被害範囲を予測し、その範囲内のコンピュータ端末のネットワーク接続を遮断することが可能となる。これによって、被害拡大を防止することが出来るとともに、ウィルスに感染していないコンピュータ端末のネットワーク接続はそのまま維持することが出来る。そのため日常業務にも著しい支障は来さない。
By using the virus damage range prediction system of the present invention, it is not simply specified the infection route as in the past, but it is specified whether there are other computer terminals that are likely to be infected with the virus. It is possible to predict the range and block the network connection of computer terminals within the range. As a result, it is possible to prevent the damage from spreading and to maintain the network connection of the computer terminal not infected with the virus as it is. Therefore, there will be no significant hindrance to daily work.
本発明のウィルス被害範囲予測システム1の全体の概念図を図1に示す。またウィルス被害範囲予測システム1のシステム構成の一例の概念図を図2に示す。 An overall conceptual diagram of the virus damage range prediction system 1 of the present invention is shown in FIG. A conceptual diagram of an example of the system configuration of the virus damage range prediction system 1 is shown in FIG.
本発明のウィルス被害範囲予測システム1は、各クライアント端末4を監視する管理者が利用するコンピュータ端末またはサーバ(以下、「管理サーバ2」という)において、所定のプログラムやモジュールが処理されることにより実現される。管理サーバ2は、複数のクライアント端末4においてどのようなファイルやプログラムが実行されているか、を記録、監視することが好ましい。そのため、各クライアント端末4には、当該クライアント端末4において実行されているプログラム名、ファイル名などの情報を定期的に、あるいは新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングで、クライアント端末4から管理サーバ2にそのプログラム名やファイル名の情報を送信する機能を備えていることが好ましい。プログラム名やファイル名の情報を送信する機能は、クライアント端末4の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出して送信すればよい。つまりいわゆる操作ログ情報をクライアント端末4から管理サーバ2に送信すればよい。
The virus damage range prediction system 1 of the present invention is configured by processing a predetermined program or module in a computer terminal or server (hereinafter referred to as “
またクライアント端末4には、定期的にまたは所定のタイミング(たとえば電子メールを受信した場合やウェブブラウザでウェブサイトを閲覧した場合、などネットワーク経由で何らかのデータを受信した場合、USBメモリなどの記憶装置21をクライアント端末4に接続した場合など)において、ウィルスに感染していないかをウィルススキャンするウィルス検出機能を備えている。このウィルス検出機能は公知の様々な製品を適用することが出来る。 In addition, the client terminal 4 includes a storage device such as a USB memory at regular or predetermined timing (for example, when receiving e-mail or browsing a website with a web browser, or when receiving some data via a network) And a virus detection function that scans for viruses in the client terminal 4). Various known products can be applied to this virus detection function.
なお本明細書において「クライアント端末4」との記載には、ユーザが操作するコンピュータ端末のほか、「ファイルサーバ」なども含まれる。 In the present specification, the term “client terminal 4” includes “file server” in addition to a computer terminal operated by a user.
管理者端末3は、管理サーバ2を利用するシステム管理者が利用するコンピュータ端末であって、管理サーバ2からの所定の通知などを受信し、また管理サーバ2に対して何らかの制御指示を送信することを可能にしてもよい。なお管理者端末3は管理サーバ2とは一体的に設けられていても良いし、別のコンピュータ端末として設けられていても良い。
The administrator terminal 3 is a computer terminal used by a system administrator who uses the
管理サーバ2、クライアント端末4、管理者端末3は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶装置21に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24とを有している。またクライアント端末4、管理者端末3では、更に、ディスプレイなどの表示装置22を有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該コンピュータには、キーボードやマウスやテンキーなどの入力装置23を有していても良い。図3に管理サーバ2のハードウェア構成の一例を模式的に示す。また、管理サーバ2は、複数のコンピュータ端末またはサーバに、その機能が分散配置されていても良い。
The
本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。 Each means in the present invention is only logically distinguished in function, and may be physically or practically the same area.
ウィルス被害範囲予測システム1は、操作ログ情報取得部5と操作ログ情報記憶部6とファイル情報取得部7とファイル情報記憶部8とウィルス検出情報取得部9と被害範囲予測処理部10とネットワーク接続遮断処理部11とを有する。 The virus damage range prediction system 1 includes an operation log information acquisition unit 5, an operation log information storage unit 6, a file information acquisition unit 7, a file information storage unit 8, a virus detection information acquisition unit 9, a damage range prediction processing unit 10, and a network connection. And a blocking processing unit 11.
操作ログ情報取得部5は、各クライアント端末4から定期的にまたは不定期に、当該クライアント端末4における操作ログ情報を取得する。取得した操作ログ情報は、後述する操作ログ情報記憶部6に、その日時、どのクライアント端末4における操作ログ情報であるかを識別する情報と共に、記憶させる。なお操作ログ情報としては、各クライアント端末4における操作内容やそのクライアント端末4における処理内容などを示す情報であればよく、例えば「ファイルコピー」、「ファイル選択」、「ファイルアクセス」など、当該クライアント端末4の操作者の操作を示す情報が該当する。また、管理サーバ2が各クライアント端末4から操作ログ情報を取得する際にはネットワークを介して取得しても良いし、操作ログ情報がクライアント端末4においてDVDなどの記録媒体に記録され、その記録媒体が管理サーバ2に読み取られ、そこから操作ログ情報を読み込むことによって取得しても良い。
The operation log information acquisition unit 5 acquires operation log information in the client terminal 4 from each client terminal 4 regularly or irregularly. The acquired operation log information is stored in an operation log information storage unit 6 (to be described later) together with the date and time and information for identifying which client terminal 4 is the operation log information. The operation log information may be information indicating the operation content in each client terminal 4 and the processing content in the client terminal 4, for example, the client such as “file copy”, “file selection”, “file access”, etc. This corresponds to information indicating the operation of the operator of the terminal 4. Further, when the
操作ログ情報記憶部6は、操作ログ情報取得部5で各クライアント端末4から取得した操作ログ情報を記憶する。操作ログ情報には、クライアント端末4を識別する情報、操作内容を示す情報、操作内容の操作対象となったファイルやアプリケーションの名称、当該ファイルやアプリケーションの所在位置を示す情報、日時または日時を数値化した情報などが含まれている。図6に操作ログ情報の一例を示す。なお操作ログ情報は、各クライアント端末4またはそのユーザ(ログイン名など)ごとに記憶することが好ましい。なお操作内容を示す情報を日時などに対応づける場合には、クライアント端末4で行っても良いし、操作ログ情報を管理サーバ2で取得した際に行っても良いし、或いは操作ログ情報記憶部6で記憶した際に行っても良い。また図7に操作ログ情報記憶部6の概念図の一例を模式的に示す。
The operation log information storage unit 6 stores the operation log information acquired from each client terminal 4 by the operation log information acquisition unit 5. The operation log information includes information for identifying the client terminal 4, information indicating the operation content, the name of the file or application that is the operation target of the operation content, information indicating the location of the file or application, date and time, and numerical values. Information is included. FIG. 6 shows an example of operation log information. The operation log information is preferably stored for each client terminal 4 or for each user (login name or the like). In addition, when associating the information indicating the operation content with the date and time, it may be performed at the client terminal 4, may be performed when the operation log information is acquired by the
ファイル情報取得部7は、各クライアント端末4などで記憶しているファイル情報を、クライアント端末4などから取得して後述するファイル情報記憶部8に記憶させる。 The file information acquisition unit 7 acquires the file information stored in each client terminal 4 or the like from the client terminal 4 or the like and stores it in the file information storage unit 8 described later.
これは定期的に各クライアント端末4に、それらで記憶しているファイルの、ファイル識別情報(ファイル名など)、保存場所などの情報を問い合わせて、その結果を取得すればよい。またほかにも、操作ログ情報取得部5や操作ログ情報記憶部6における操作ログ情報を監視し、その操作内容が「ファイル作成」などを含む操作ログ情報であると、そのファイル名と保存場所の情報とを取得することによって、それを後述するファイル情報記憶部8に記憶させる。更に操作内容が「ファイル名変更」などの場合にはファイル名(変更前と変更後のファイル名)と保存場所の情報とに基づいて、ファイル名を変更してもよいし、「ファイル削除」の場合にはファイル名と保存場所の情報とに基づいて、ファイル名を削除してもよい。更に「ファイル貼り付け」などの場合には、操作内容が「ファイルコピー」である操作ログ情報(「ファイル貼り付け」に対応する操作ログ情報)を特定し、そのファイル名と、「ファイル貼り付け」の保存場所の情報とに基づいてファイル情報をファイル情報記憶部8に記憶させてもよい。 This may be done by periodically inquiring each client terminal 4 about information such as file identification information (file name, etc.) and storage location of the file stored in them, and obtaining the result. In addition, if the operation log information in the operation log information acquisition unit 5 or the operation log information storage unit 6 is monitored and the operation content is operation log information including “file creation”, the file name and storage location Is stored in the file information storage unit 8 to be described later. Furthermore, when the operation content is “change file name” or the like, the file name may be changed based on the file name (the file name before and after the change) and the storage location information, or “delete file”. In this case, the file name may be deleted based on the file name and the storage location information. Furthermore, in the case of “paste file”, the operation log information whose operation content is “file copy” (operation log information corresponding to “paste file”) is identified, the file name and “paste file” The file information may be stored in the file information storage unit 8 based on the storage location information.
すなわちファイル情報取得部7は様々な方法により、各クライアント端末4などで記憶しているファイル情報、少なくともウィルス感染しているクライアント端末4に記憶しているファイル情報をファイル情報記憶部8に記憶させればよい。 That is, the file information acquisition unit 7 stores the file information stored in each client terminal 4 and the like, at least the file information stored in the client terminal 4 infected with the virus, in the file information storage unit 8 by various methods. Just do it.
ファイル情報記憶部8は、各クライアント端末4に記憶しているファイル情報を記憶している。このファイル情報としては、少なくともファイル識別情報を、ファイルを記憶しているクライアント端末4ごとに記憶していることが好ましい。またファイル識別情報のほかに、ファイルが作成された日時などを記憶していてもよい。図8にファイル情報記憶部8の一例の概念図を模式的に示す。 The file information storage unit 8 stores file information stored in each client terminal 4. As this file information, at least file identification information is preferably stored for each client terminal 4 storing the file. In addition to the file identification information, the date and time when the file was created may be stored. FIG. 8 schematically shows an example of a conceptual diagram of the file information storage unit 8.
なおファイル情報取得部7、ファイル情報記憶部8をウィルス被害範囲予測システム1に備えずに、後述するウィルス検出情報取得部9でウィルス検出の情報を取得したのちに、当該クライアント端末4に記憶されていたファイル情報を取得してもよい。 The file information acquisition unit 7 and the file information storage unit 8 are not provided in the virus damage range prediction system 1, but are stored in the client terminal 4 after the virus detection information acquisition unit 9 described later acquires virus detection information. The file information that has been stored may be acquired.
ウィルス検出情報取得部9は、クライアント端末4でウィルスを検出した場合に、そのウィルス検出情報を取得する。ウィルス検出情報としては、ウィルスが検出されたことの通知とどのクライアント端末4で検出したかを識別するクライアント端末識別情報などが含まれる。また場合によっては検出日時の情報、ウィルス感染を検出したファイルのファイル識別情報などが含まれてもよい。 The virus detection information acquisition unit 9 acquires virus detection information when a virus is detected by the client terminal 4. The virus detection information includes a notification that a virus has been detected and client terminal identification information that identifies which client terminal 4 has detected the virus. In some cases, information on detection date and time, file identification information of a file in which virus infection is detected, and the like may be included.
被害範囲予測処理部10は、ウィルス検出情報取得部9でウィルス検出情報を取得すると、ウィルス感染したクライアント端末4以外のほかのクライアント端末4で感染している可能性のあるクライアント端末4を予測する、つまりウィルス感染の被害範囲の予測を行う。被害範囲予測処理部10は、ファイル特定部101と端末特定部102とを有する。
When the virus detection information acquisition unit 9 acquires the virus detection information, the damage range prediction processing unit 10 predicts a client terminal 4 that may be infected by another client terminal 4 other than the virus-infected client terminal 4. In other words, the damage range of virus infection is predicted. The damage range prediction processing unit 10 includes a
ファイル特定部101は、ウィルス感染したクライアント端末4で記憶しているファイル、またはウィルス感染したクライアント端末4がアクセスしたファイルを特定する。
The
まず前者(第一の方法)の場合、ウィルス検出情報取得部9で取得したウィルス検出情報に基づいて、ウィルス感染したクライアント端末4の識別情報を取得しているので、そのクライアント端末識別情報を用いて、当該ウィルス感染したクライアント端末4で記憶しているファイルのファイル識別情報をファイル情報記憶部8から特定する。つまりウィルス感染したクライアント端末4のクライアント端末識別情報に基づいてファイル情報記憶部8を検索し、当該クライアント端末4が記憶しているファイル識別情報を特定する。 First, in the former case (first method), since identification information of the client terminal 4 infected with the virus is acquired based on the virus detection information acquired by the virus detection information acquisition unit 9, the client terminal identification information is used. Thus, the file identification information of the file stored in the client terminal 4 infected with the virus is specified from the file information storage unit 8. That is, the file information storage unit 8 is searched based on the client terminal identification information of the client terminal 4 infected with the virus, and the file identification information stored in the client terminal 4 is specified.
また後者(第二の方法)の場合、ウィルス検出情報取得部9で取得したウィルス検出情報に基づいて、ウィルス感染したクライアント端末4の識別情報を取得しているので、そのクライアント端末識別情報を用いて、当該ウィルス感染したクライアント端末4がアクセスしたファイルのファイル識別情報を操作ログ情報記憶部6から特定する。つまりウィルス感染したクライアント端末4のクライアント端末識別情報に基づいて操作ログ情報記憶部6を検索し、当該クライアント端末識別情報と「ファイルアクセス」を示す操作内容とを含む操作ログ情報を特定し、その特定した操作ログ情報から、ファイル識別情報を抽出することで、当該クライアント端末4がアクセスしたファイル識別情報とそのファイルの保存場所を特定する。なおこの場合、当該操作から一定期間前までの操作ログ情報を検索対象とすることがよい。一定期間は任意に設定できるが、たとえばクライアント端末4におけるウィルス検出機能によるウィルススキャンのタイミングの間隔(3日ごとにウィルススキャンをするのであれば、3日を一定期間とする。あるいは前回のウィルス検索のタイミング以降などとしても良い)としてもよいし、24時間、48時間、72時間といったように、適宜設定してもよい。 In the latter case (second method), since the identification information of the client terminal 4 infected with the virus is acquired based on the virus detection information acquired by the virus detection information acquisition unit 9, the client terminal identification information is used. Then, the file identification information of the file accessed by the client terminal 4 infected with the virus is specified from the operation log information storage unit 6. That is, the operation log information storage unit 6 is searched based on the client terminal identification information of the client terminal 4 infected with the virus, and the operation log information including the client terminal identification information and the operation content indicating “file access” is specified. By extracting the file identification information from the identified operation log information, the file identification information accessed by the client terminal 4 and the storage location of the file are identified. In this case, it is preferable to search operation log information from the operation to a certain period before. Although the fixed period can be set arbitrarily, for example, the virus scanning timing interval by the virus detection function in the client terminal 4 (if virus scanning is performed every three days, the fixed period is three days, or the previous virus scan. May be set later, or may be set as appropriate, such as 24 hours, 48 hours, 72 hours, or the like.
端末特定部102は、ファイル特定部101で特定したファイル識別情報のファイルに対して、所定時間内にアクセスしたほかのクライアント端末4の識別情報を、操作ログ情報記憶部6に基づいて特定する。
The
たとえばファイル特定部101で第一の方法を用いた場合であって、ウィルス感染したクライアント端末4の識別情報が「ABC12345678」であり、そこに記憶しているファイルのファイル識別情報が「AAAAAAA」、「BBBBBBB」、「CCCCCCC」、「DDDDDDD」であったとする。この場合、操作ログ情報記憶部6に記憶する操作ログ情報が図7であり、所定期間前(たとえば72時間前)までの操作ログ情報を処理対象とすると、ファイル識別情報「AAAAAAA」、「BBBBBBB」、「CCCCCCC」、「DDDDDDD」にアクセスしたクライアント端末識別情報「ABC12345678」以外のクライアント端末4を、操作ログ情報に基づいて特定する。これは、たとえば72時間前までの操作ログ情報のうち、「ファイルアクセス」を示す操作内容であり、ファイル識別情報「AAAAAAA」、「BBBBBBB」、「CCCCCCC」、「DDDDDDD」のいずれかであって、そのファイルの保存場所がウィルス感染したクライアント端末4の識別情報「ABC12345678」である操作ログ情報を特定し、特定した操作ログ情報のクライアント端末識別情報を、抽出することで行える。この処理を図9に示す。
For example, when the
従って図9の場合、クライアント端末識別情報が「DEF33334444」、「GHI45698733」、「SDF12333211」、「YUI4565444」の各クライアント端末4がウィルス感染の被害範囲であると予測する。 Therefore, in the case of FIG. 9, it is predicted that the client terminal 4 whose client terminal identification information is “DEF33334444”, “GHI45698733”, “SDF123332111”, “YUI4565444” is the damage range of virus infection.
なおファイル識別情報により特定するのではなく、ウィルス感染したクライアント端末4のクライアント端末識別情報と「ファイルアクセス」を示す操作内容とに基づいて、所定期間前までの操作ログ情報を検索することで、それらにアクセスしたほかのクライアント端末4を特定するように構成しても良い。 It is not specified by the file identification information, but by searching operation log information up to a predetermined period based on the client terminal identification information of the client terminal 4 infected with the virus and the operation content indicating “file access”, You may comprise so that the other client terminal 4 which accessed them may be specified.
またファイル特定部101で第二の方法を用いた場合であって、ウィルス感染したクライアント端末4の識別情報が「ABC12345678」であり、そのクライアント端末4が一定期間内にアクセスしたファイルのファイル識別情報が「AAAAAAA」(保存場所「クライアント端末ABC12345678」)、「BBBBBBB」(保存場所「File server3」)、「CCCCCCC」(保存場所「File server4」)、「DDDDDDD」(保存場所「File server2」)であったとする。この場合、操作ログ情報記憶部6に記憶する操作ログ情報が図10であり、所定期間前(たとえば72時間前)までの操作ログ情報を処理対象とすると、「AAAAAAA」(保存場所「クライアント端末ABC12345678」)、「BBBBBBB」(保存場所「File server3」)、「CCCCCCC」(保存場所「File server4」)、「DDDDDDD」(保存場所「File server2」)にアクセスしたクライアント端末識別情報「ABC12345678」以外のクライアント端末4を、操作ログ情報に基づいて特定する。これは、たとえば72時間前までの操作ログ情報のうち、「ファイルアクセス」を示す操作内容であり、ファイル識別情報「AAAAAAA」(保存場所「クライアント端末ABC12345678」)、「BBBBBBB」(保存場所「File server3」)、「CCCCCCC」(保存場所「File server4」)、「DDDDDDD」(保存場所「File server2」)のいずれかであって、そのファイルの保存場所がウィルス感染したクライアント端末4がアクセスしたファイルの保存場所である操作ログ情報を特定し、特定した操作ログ情報のクライアント端末識別情報を、抽出することで行える。この処理を図11に示す。
In addition, when the second method is used in the
従って図11の場合、クライアント端末識別情報が「DEF33334444」、「GHI45698733」、「SDF12333211」、「YUI4565444」の各クライアント端末4がウィルス感染の被害範囲であると予測する。 Therefore, in the case of FIG. 11, it is predicted that each client terminal 4 whose client terminal identification information is “DEF333334444”, “GHI45698733”, “SDF12333211”, and “YUI4565444” is the damage range of virus infection.
なお被害範囲予測処理部10において第一の方法、第二の方法のいずれを用いてもよいし、あるいは双方を用いてもよい。 In the damage range prediction processing unit 10, either the first method or the second method may be used, or both may be used.
更に被害範囲予測処理部10は、ファイル特定部101、端末特定部102の双方を用いずとも良い。すなわち、被害範囲予測処理部10は、上述のファイル特定部101における第一の方法により、ウィルス感染したクライアント端末4で記憶しているファイルを特定し、あるいは第二の方法により、ウィルス感染したクライアント端末がアクセスしたファイルを特定している。この際に、ファイルは操作ログ情報により特定しているが、この操作ログ情報には、そのファイルの保存場所の情報も記憶されている。従って、このファイルの保存場所の情報により、ウィルス感染している可能性のあるクライアント端末4を特定することも出来る。この場合、ファイル特定部101及び端末特定部102の処理を実質的にワンプロセスで行ってしまうので、処理の簡略化が図れる。
Further, the damage range prediction processing unit 10 may not use both the
ネットワーク接続遮断処理部11は、被害範囲予測処理部10においてウィルス感染の被害範囲であると予測したクライアント端末4について、そのネットワーク接続を遮断する。例えば予測したクライアント端末識別情報のクライアント端末4に対して、ネットワーク接続を遮断させる制御指示を送信する。ネットワーク接続の遮断方法としては、当該クライアント端末4のネットワークドライバの動作を停止させる、ARP(アドレスレゾリューションプロトコル)応答パケットを偽装することにより、ネットワークにおいて当該クライアント端末4を認識できなくする、IPアドレスを強制的に放棄させ、IPアドレスの割り当てを停止する、などの方法がある。またほかにもウィルス感染していないと予測されるクライアント端末4(被害範囲予測処理部10で予測したクライアント端末識別情報のクライアント端末4以外のクライアント端末4)に対して、予測したクライアント端末4からのネットワーク接続要求をすべて拒否する制御指示を送信する、DNSサーバに対して、被害範囲予測処理部10で予測したクライアント端末4を、現在参加しているドメインから強制的にログオフさせ、以降はログイン不可とする制御指示を送信する、などにより行うことも出来る。 The network connection cut-off processing unit 11 cuts off the network connection of the client terminal 4 predicted by the damage range prediction processing unit 10 as a virus infection damage range. For example, a control instruction for blocking the network connection is transmitted to the client terminal 4 having the predicted client terminal identification information. As a method for blocking the network connection, the client terminal 4 cannot be recognized in the network by impersonating an ARP (address resolution protocol) response packet that stops the operation of the network driver of the client terminal 4. There are methods such as forcibly giving up the address and stopping the assignment of the IP address. In addition, from the predicted client terminal 4 to the client terminal 4 predicted to be free of virus infection (the client terminal 4 other than the client terminal 4 of the client terminal identification information predicted by the damage range prediction processing unit 10). The client terminal 4 predicted by the damage range prediction processing unit 10 is forcibly logged off from the currently participating domain to the DNS server that transmits a control instruction for rejecting all network connection requests. It can also be performed by transmitting a control instruction for disabling.
またネットワーク接続を遮断した場合には、ネットワーク接続遮断処理部11は、遮断したクライアント端末4について、ネットワーク接続を遮断したことを管理者端末3に通知しても良い。 When the network connection is cut off, the network connection cut-off processing unit 11 may notify the administrator terminal 3 that the cut-off client terminal 4 has been cut off.
なおネットワーク接続が遮断された各クライアント端末4については、ウィルス感染の確認、ウィルスの除去処理などが完了後、システム管理者の管理者端末3からの所定の制御指示により、ネットワーク接続が復活できるようにすることが好ましい。 For each client terminal 4 that has been disconnected from the network, the network connection can be restored by a predetermined control instruction from the administrator terminal 3 of the system administrator after completion of virus infection confirmation, virus removal processing, and the like. It is preferable to make it.
次に本発明のウィルス被害範囲予測システム1の処理プロセスの一例を図4及び図5のフローチャート、図2の概念図を用いて説明する。 Next, an example of the processing process of the virus damage range prediction system 1 of the present invention will be described with reference to the flowcharts of FIGS. 4 and 5 and the conceptual diagram of FIG.
各クライアント端末4から管理サーバ2に、当該クライアント端末4の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報については操作ログ情報取得部5で取得する。
The operation log information of the client terminal 4 is transmitted from each client terminal 4 to the
操作ログ情報取得部5で取得した操作ログ情報は、操作ログ情報記憶部6に記憶させる。操作ログ情報には、当該クライアント端末4を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて取得することによって、対応づけて操作ログ情報記憶部6に記憶させる。 The operation log information acquired by the operation log information acquisition unit 5 is stored in the operation log information storage unit 6. In general, the operation log information includes information for identifying the client terminal 4 and date and time information. If the operation log information is not included, the operation log information is acquired together. And store them in the operation log information storage unit 6 in association with each other.
また各クライアント端末4では、定期的にまたは所定のタイミングでウィルス検出機能を用いてウィルススキャンの処理が実行される。このウィルススキャンの処理において、何らかのウィルスが検出されると(S100)、当該クライアント端末4は、管理サーバ2に対して、ウィルスが検出されたことを示す情報と当該クライアント端末4の識別情報とを含むウィルス検出情報を送信する(S110)。
Each client terminal 4 executes a virus scan process using a virus detection function periodically or at a predetermined timing. In this virus scanning process, when any virus is detected (S100), the client terminal 4 sends information indicating that a virus has been detected and identification information of the client terminal 4 to the
このウィルス検出情報は、管理サーバ2のウィルス検出情報取得部9で取得する。そして被害範囲予測処理部10のファイル特定部101は、上述の第一の方法により、ウィルス感染しているクライアント端末4に記憶しているファイルのファイル識別情報を特定し、または上述の第二の方法により、ウィルス感染しているクライアント端末4がアクセスしたファイルのファイル識別情報を特定する(S120)。
This virus detection information is acquired by the virus detection information acquisition unit 9 of the
被害範囲予測処理部10の端末特定部102は、ファイル特定部101が特定したファイル識別情報のファイルにアクセスした、ウィルスに感染したクライアント端末4以外のクライアント端末4の識別情報を、操作ログ情報記憶部6に記憶する操作ログ情報に基づいて特定する(S130)。
The
このようにして特定したクライアント端末識別情報のクライアント端末4は、ウィルス感染の被害が予測されるクライアント端末4であるので、ネットワーク接続遮断処理部11は、端末特定部102で特定したクライアント端末識別情報のクライアント端末4について、ネットワーク接続を遮断する制御を実行する(S140)。例えば特定したクライアント端末4に対して、ネットワーク接続を遮断する制御指示を送信したり、DNSサーバに対して、当該クライアント端末4のドメインからの強制ログオフの制御指示を送信したり、特定したクライアント端末4以外のクライアント端末4に対して、当該特定したクライアント端末4からのネットワーク接続を拒否する制御指示を送信するなどがある。
Since the client terminal 4 of the client terminal identification information specified in this way is a client terminal 4 that is predicted to be damaged by virus infection, the network connection cutoff processing unit 11 uses the client terminal identification information specified by the
以上のような処理を実行することで、ウィルス感染を検出したクライアント端末4のみならず、その被害が予測されるほかのクライアント端末4についても、速やかにネットワーク接続を遮断することが出来る。一方で、その被害が予測されないクライアント端末4については従前通り、そのままネットワーク接続が維持されたままなので、日常業務にも支障を来さない。 By executing the processing as described above, not only the client terminal 4 that has detected the virus infection but also the other client terminals 4 that are predicted to be damaged can be quickly disconnected from the network. On the other hand, as for the client terminal 4 whose damage is not predicted, since the network connection is maintained as it is, the daily work is not hindered.
上述の実施例では管理サーバ2においてその処理の一部または全部が実行される場合を説明したが、これらの機能がクライアント端末4、管理サーバ2、管理者端末3において適宜、分散配置していても良い。
In the above-described embodiment, the case where part or all of the processing is executed in the
なお分散配置のバリエーションには様々なパターンがあり、如何なる配置形態であっても良い。これらの場合、各クライアント端末4や管理者端末3における処理の際に、管理サーバ2の各機能を利用する場合にはその問い合わせを当該クライアント端末4や管理者端末3から管理サーバ2に対して行い、その結果を当該クライアント端末4や管理者端末3における処理に用いる。そしてその処理結果をクライアント端末4や管理者端末3で実行することとなる。
Note that there are various patterns of variations in the distributed arrangement, and any arrangement form may be used. In these cases, when each function of the
上述の各機能がクライアント端末4に備えられていても良い。すなわち操作ログ情報取得部5、操作ログ情報記憶部6、ファイル情報取得部7、ファイル情報記憶部8、ウィルス検出情報取得部9、被害範囲予測処理部10、ネットワーク接続遮断処理部11をクライアント端末4に備えていても良い。 Each function described above may be provided in the client terminal 4. That is, the operation log information acquisition unit 5, the operation log information storage unit 6, the file information acquisition unit 7, the file information storage unit 8, the virus detection information acquisition unit 9, the damage range prediction processing unit 10, and the network connection cutoff processing unit 11 are connected to the client terminal. 4 may be provided.
この場合、当該クライアント端末4は、ほかのクライアント端末4がウィルスに感染した場合、その情報をウィルス検出情報取得部9で取得する。そして被害範囲予測処理部10は、上述の各実施例の処理を実行することにより、当該クライアント端末4が、ウィルスに感染したクライアント端末4(ウィルス検出情報を送信したクライアント端末4)にアクセスしたかを判定する。そしてウィルス感染したクライアント端末4に当該クライアント端末4がアクセスしていた場合には、当該クライアント端末4もウィルスに感染している可能性があるので、ネットワーク接続遮断処理部11が当該クライアント端末4のネットワーク接続を遮断する制御処理を実行したり、あるいはほかのクライアント端末4または所定のサーバなどに、ネットワーク接続を遮断させる制御指示を送信する。この制御指示を受け取ったほかのクライアント端末4や所定のサーバは、制御指示に従って、ウィルス感染が予測されるクライアント端末4とのネットワーク接続を遮断したり、ネットワーク接続要求を拒否するなどの処理を実行する。 In this case, when the other client terminal 4 is infected with a virus, the client terminal 4 acquires the information by the virus detection information acquisition unit 9. Then, the damage range prediction processing unit 10 executes the processing of each of the above-described embodiments, so that the client terminal 4 accesses the client terminal 4 infected with the virus (the client terminal 4 that transmitted the virus detection information). Determine. If the client terminal 4 is accessing the virus-infected client terminal 4, the client terminal 4 may also be infected with the virus. A control process for blocking the network connection is executed, or a control instruction for blocking the network connection is transmitted to another client terminal 4 or a predetermined server. The other client terminal 4 or the predetermined server that has received this control instruction executes processing such as blocking the network connection with the client terminal 4 that is predicted to be infected with the virus or rejecting the network connection request in accordance with the control instruction. To do.
また上述の各機能がクライアント端末4に備えられている場合に、自らの端末がウィルスに感染する場合もある(自らの端末でウィルスを検出した場合)。この場合、当該クライアント端末4にアクセスしてきたほかのクライアント端末4を、上述の各実施例の処理を実行することにより、被害範囲予測処理部10が判定する。そしてウィルス感染が予測されるクライアント端末4や所定のサーバに対して、ウィルス感染が予測されることの通知を送信したり、ネットワーク接続遮断処理部11によるネットワーク接続の遮断処理を実行させるための制御指示を送信する。 Further, when the client terminal 4 is provided with the above functions, the terminal itself may be infected with a virus (when a virus is detected by the terminal itself). In this case, the damage range prediction processing unit 10 determines the other client terminals 4 that have accessed the client terminal 4 by executing the processes of the above-described embodiments. Then, a control for transmitting a notification that a virus infection is predicted to the client terminal 4 or a predetermined server where a virus infection is predicted, or for executing a network connection blocking process by the network connection blocking processing unit 11. Send instructions.
これにより、自らのクライアント端末4がウィルスに感染した場合でも、その端末にアクセスしたほかのクライアント端末4がウィルス感染が予測されることを判定し、対応することが可能となる。 As a result, even when the client terminal 4 is infected with a virus, it is possible to determine that another client terminal 4 that has accessed the terminal is predicted to be infected with the virus, and take action.
上述の各発明を用いることによって、従来のように単に感染経路を特定するのではなく、ウィルスに感染していそうなほかのコンピュータ端末が存在していないかを特定し、つまり被害範囲を予測し、その範囲内のコンピュータ端末のネットワーク接続を遮断することが可能となる。これによって、とりあえずの被害拡大を防止することが出来るとともに、ウィルスに感染していないコンピュータ端末のネットワーク接続はそのまま維持することが出来る。そのため日常業務にも著しい支障は来さない。
By using each of the above-mentioned inventions, the infection route is not simply identified as in the past, but it is identified whether there are other computer terminals that are likely to be infected with the virus, that is, the damage range is predicted. The network connection of the computer terminal within the range can be cut off. As a result, the expansion of damage can be prevented for the time being, and the network connection of the computer terminal not infected with the virus can be maintained as it is. Therefore, there will be no significant hindrance to daily work.
1:ウィルス被害範囲予測システム
2:管理サーバ
3:管理者端末
4:クライアント端末
5:操作ログ情報取得部
6:操作ログ情報記憶部
7:ファイル情報取得部
8:ファイル情報記憶部
9:ウィルス検出情報取得部
10:被害範囲予測処理部
101:ファイル特定部
102:端末特定部
11:ネットワーク接続遮断処理部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
1: Virus damage range prediction system 2: Management server 3: Administrator terminal 4: Client terminal 5: Operation log information acquisition unit 6: Operation log information storage unit 7: File information acquisition unit 8: File information storage unit 9: Virus detection Information acquisition unit 10: Damage range prediction processing unit 101: File identification unit 102: Terminal identification unit 11: Network connection cutoff processing unit 20: Computing device 21: Storage device 22: Display device 23: Input device 24: Communication device
Claims (10)
前記ウィルス被害範囲予測システムは、
クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルスを検出したクライアント端末に記憶しているファイルにアクセスしたクライアント端末を、前記操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、
を有することを特徴とするウィルス被害範囲予測システム。 A virus damage range prediction system for predicting the damage range due to computer virus infection,
The virus damage range prediction system is:
An operation log information storage unit for storing operation log information of the client terminal;
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from a client terminal;
A damage range prediction processing unit for predicting a damage range of a virus infection by identifying a client terminal that has accessed a file stored in the client terminal that has detected the virus based on the operation log information;
A virus damage range prediction system characterized by comprising:
前記感染したクライアント端末のクライアント端末識別情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、
前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、
ことを特徴とする請求項1に記載のウィルス被害範囲予測システム。 The damage range prediction processing unit
Based on the client terminal identification information of the infected client terminal and the operation content indicating file access, search the operation log information stored in the operation log information storage unit,
By identifying the client terminal identification information of the operation log information specified by the search, the client terminal that has accessed the file stored in the infected client terminal is specified.
The virus damage range prediction system according to claim 1.
前記ウィルス被害範囲予測システムは、
クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末で記憶しているファイルのファイル識別情報を少なくとも記憶しているファイル情報記憶部と、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルス検出情報を取得すると、そのクライアント端末が記憶しているファイルを、前記ファイル情報記憶部に基づいて特定するファイル特定部と、
前記ファイル特定部で特定したファイルに対してアクセスしたクライアント端末を、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う端末特定部と、
を有することを特徴とするウィルス被害範囲予測システム。 A virus damage range prediction system for predicting the damage range due to computer virus infection,
The virus damage range prediction system is:
An operation log information storage unit for storing operation log information of the client terminal;
A file information storage unit storing at least file identification information of a file stored in the client terminal;
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from a client terminal;
Upon obtaining the virus detection information, a file specifying unit for specifying a file stored in the client terminal based on the file information storage unit,
A terminal identifying unit that predicts a damage range of a virus infection by identifying a client terminal that has accessed the file identified by the file identifying unit based on operation log information stored in the operation log information storage unit;
A virus damage range prediction system characterized by comprising:
前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報に基づいて、そのクライアント端末で記憶するファイルのファイル識別情報を、前記ファイル情報記憶部から特定し、
前記端末特定部は、
前記ファイル特定部で特定したファイル識別情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、
前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、
ことを特徴とする請求項3に記載のウィルス被害範囲予測システム。 The file specifying unit
When the virus detection information is acquired, based on the client terminal identification information of the virus detection information, the file identification information of the file stored in the client terminal is specified from the file information storage unit,
The terminal specifying unit
Based on the file identification information specified by the file specifying unit and the operation content indicating file access, search operation log information stored in the operation log information storage unit,
By identifying the client terminal identification information of the operation log information specified by the search, the client terminal that has accessed the file stored in the infected client terminal is specified.
The virus damage range prediction system according to claim 3.
前記ウィルス被害範囲予測システムは、
各クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルスを検出したクライアント端末がアクセスしたファイルに、アクセスしたクライアント端末を前記操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、
を有することを特徴とするウィルス被害範囲予測システム。 A virus damage range prediction system for predicting the damage range due to computer virus infection,
The virus damage range prediction system is:
An operation log information storage unit for storing operation log information of each client terminal;
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from a client terminal;
A damage range prediction processing unit for predicting a damage range of virus infection by identifying the accessed client terminal based on the operation log information in a file accessed by the client terminal that has detected the virus;
A virus damage range prediction system characterized by comprising:
前記ウィルス被害範囲予測システムは、
クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルス検出情報を取得すると、そのクライアント端末がアクセスしたファイルを、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定するファイル特定部と、
前記ファイル特定部で特定したファイルに対してアクセスしたクライアント端末を、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う端末特定部と、
を有することを特徴とするウィルス被害範囲予測システム。 A virus damage range prediction system for predicting the damage range due to computer virus infection,
The virus damage range prediction system is:
An operation log information storage unit for storing operation log information of the client terminal;
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from a client terminal;
When acquiring the virus detection information, a file specifying unit for specifying a file accessed by the client terminal based on operation log information stored in the operation log information storage unit;
A terminal identifying unit that predicts a damage range of a virus infection by identifying a client terminal that has accessed the file identified by the file identifying unit based on operation log information stored in the operation log information storage unit;
A virus damage range prediction system characterized by comprising:
前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報とファイルアクセスを示す操作内容とに基づいて、そのクライアント端末がアクセスしたファイルのファイル識別情報とその保存場所の情報とを、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定し、
前記端末特定部は、
前記ファイル特定部で特定したファイル識別情報とその保存場所の情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、
前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、
ことを特徴とする請求項6に記載のウィルス被害範囲予測システム。 The file specifying unit
When acquiring the virus detection information, based on the client terminal identification information of the virus detection information and the operation content indicating the file access, the file identification information of the file accessed by the client terminal and the storage location information are Based on the operation log information stored in the operation log information storage unit,
The terminal specifying unit
Based on the file identification information specified in the file specifying unit, the information on the storage location and the operation content indicating the file access, search the operation log information stored in the operation log information storage unit,
By identifying the client terminal identification information of the operation log information specified by the search, the client terminal that has accessed the file stored in the infected client terminal is specified.
The virus damage range prediction system according to claim 6.
前記ウィルス感染の被害が予測されるとして特定されたクライアント端末について、ネットワーク接続の遮断処理を実行するネットワーク接続遮断処理部、
を有することを特徴とする請求項1から請求項7のいずれかに記載のウィルス被害範囲予測システム。 The virus damage range prediction system further includes:
A network connection blocking processing unit for performing a network connection blocking process on the client terminal identified as being predicted to be damaged by the virus infection;
The virus damage range prediction system according to any one of claims 1 to 7, characterized by comprising:
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、
前記ウィルスを検出したクライアント端末に記憶しているファイルにアクセスしたクライアント端末を前記記憶装置に記憶した操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、
として機能させることを特徴とするウィルス被害範囲予測プログラム。 A computer terminal for storing operation log information of a client terminal in a storage device,
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from the client terminal;
A damage range prediction processing unit that performs damage range prediction of virus infection by specifying a client terminal that has accessed a file stored in the client terminal that has detected the virus based on operation log information stored in the storage device,
Virus damage range prediction program characterized by functioning as
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、
前記ウィルスを検出したクライアント端末がアクセスしたファイルに、アクセスしたクライアント端末を前記記憶装置に記憶した操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、
として機能させることを特徴とするウィルス被害範囲予測プログラム。 A computer terminal for storing operation log information of a client terminal in a storage device,
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from the client terminal;
A damage range prediction processing unit for predicting a damage range of a virus infection by specifying the accessed client terminal based on operation log information stored in the storage device in a file accessed by the client terminal that has detected the virus,
Virus damage range prediction program characterized by functioning as
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008015226A JP4705961B2 (en) | 2008-01-25 | 2008-01-25 | Virus damage range prediction system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008015226A JP4705961B2 (en) | 2008-01-25 | 2008-01-25 | Virus damage range prediction system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009176132A JP2009176132A (en) | 2009-08-06 |
JP4705961B2 true JP4705961B2 (en) | 2011-06-22 |
Family
ID=41031130
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008015226A Active JP4705961B2 (en) | 2008-01-25 | 2008-01-25 | Virus damage range prediction system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4705961B2 (en) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6590481B2 (en) | 2012-12-07 | 2019-10-16 | キヤノン電子株式会社 | Virus intrusion route specifying device, virus intrusion route specifying method and program |
JP6461992B2 (en) | 2014-11-05 | 2019-01-30 | キヤノン電子株式会社 | Specific device, control method thereof, and program |
CN104766006B (en) * | 2015-03-18 | 2019-03-12 | 百度在线网络技术(北京)有限公司 | A kind of method and apparatus of behavioural information corresponding to determining dangerous file |
JP2016181191A (en) * | 2015-03-25 | 2016-10-13 | 富士通株式会社 | Management program, management unit and management method |
JP6490502B2 (en) * | 2015-06-10 | 2019-03-27 | 株式会社日立システムズ | Cyber attack countermeasure range prioritization system, cyber attack countermeasure range prioritization method |
JP6978662B2 (en) * | 2017-03-23 | 2021-12-08 | 富士通株式会社 | Output program, information processing device, and output method |
JP2019164566A (en) * | 2018-03-19 | 2019-09-26 | 株式会社リコー | Remote management system, management device, remote management method, and remote management program |
US10938839B2 (en) | 2018-08-31 | 2021-03-02 | Sophos Limited | Threat detection with business impact scoring |
WO2020170345A1 (en) * | 2019-02-20 | 2020-08-27 | 日本電気株式会社 | History output device, control method, and program |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06110718A (en) * | 1992-09-30 | 1994-04-22 | Toshiba Corp | Virus protection system |
JP4162099B2 (en) * | 1995-06-02 | 2008-10-08 | 富士通株式会社 | Device having function to cope with virus infection and storage device thereof |
JP3871163B2 (en) * | 1998-02-13 | 2007-01-24 | 株式会社日立情報システムズ | Server transfer / editing method of virus check result and program recording medium thereof |
JP2004086241A (en) * | 2002-08-22 | 2004-03-18 | Hitachi Information Systems Ltd | Computer virus infection source detection system |
JP2004258777A (en) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | Security monitoring device, its system, its method and its program |
JP2006330791A (en) * | 2005-05-23 | 2006-12-07 | Seiko Epson Corp | Client server system, computer, program, and log information management method for client server system |
-
2008
- 2008-01-25 JP JP2008015226A patent/JP4705961B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2009176132A (en) | 2009-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4705961B2 (en) | Virus damage range prediction system | |
US11647043B2 (en) | Identifying security actions based on computing asset relationship data | |
EP3430560B1 (en) | Using private threat intelligence in public cloud | |
US10021129B2 (en) | Systems and methods for malware detection and scanning | |
US10257224B2 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
US10395031B2 (en) | Systems and methods for malware detection and scanning | |
US7574740B1 (en) | Method and system for intrusion detection in a computer network | |
EP2452287B1 (en) | Anti-virus scanning | |
KR102580898B1 (en) | System and method for selectively collecting computer forensics data using DNS messages | |
TW201723914A (en) | Detection of advanced persistent threat attack on a private computer network | |
CN102799811B (en) | Scanning method and device | |
US10560452B2 (en) | Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network | |
Wang et al. | NetSpy: Automatic generation of spyware signatures for NIDS | |
US20070006311A1 (en) | System and method for managing pestware | |
JP2016146114A (en) | Management method of blacklist | |
CN111818073B (en) | Method, device, equipment and medium for detecting defect host | |
US20180026986A1 (en) | Data loss prevention system and data loss prevention method | |
CN113849820A (en) | Vulnerability detection method and device | |
JP2009176137A (en) | Virus suffering range prediction system | |
TW201928746A (en) | Method and apparatus for detecting malware | |
JP7074187B2 (en) | Monitoring equipment, monitoring methods and programs | |
US9544328B1 (en) | Methods and apparatus for providing mitigations to particular computers | |
CN109800568B (en) | Security protection method, client, system and storage medium for document file | |
JP2015219859A (en) | Network control system and network control method | |
JP2020107019A (en) | Information processor, information processing method, information processing system, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110223 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110308 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110314 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4705961 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140318 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |