JP4705961B2 - Virus damage range prediction system - Google Patents

Virus damage range prediction system Download PDF

Info

Publication number
JP4705961B2
JP4705961B2 JP2008015226A JP2008015226A JP4705961B2 JP 4705961 B2 JP4705961 B2 JP 4705961B2 JP 2008015226 A JP2008015226 A JP 2008015226A JP 2008015226 A JP2008015226 A JP 2008015226A JP 4705961 B2 JP4705961 B2 JP 4705961B2
Authority
JP
Japan
Prior art keywords
virus
client terminal
file
operation log
damage range
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008015226A
Other languages
Japanese (ja)
Other versions
JP2009176132A (en
Inventor
功 篠原
Original Assignee
Sky株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sky株式会社 filed Critical Sky株式会社
Priority to JP2008015226A priority Critical patent/JP4705961B2/en
Publication of JP2009176132A publication Critical patent/JP2009176132A/en
Application granted granted Critical
Publication of JP4705961B2 publication Critical patent/JP4705961B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、企業などの組織で使用しているコンピュータ端末にコンピュータウィルスが感染した場合、その被害範囲を予測するウィルス被害範囲予測システムに関する。更には、感染していると予測されるコンピュータ端末を、ネットワークから切り離すウィルス被害範囲予測システムに関する。
The present invention relates to a virus damage range prediction system for predicting the damage range when a computer virus is infected to a computer terminal used in an organization such as a company. Furthermore, the present invention relates to a virus damage range prediction system that separates a computer terminal that is predicted to be infected from a network.

企業などの組織ではその業務遂行のために多数のコンピュータ端末を使用している。しかし何らかの理由により、一部のコンピュータ端末がコンピュータウィルス(本明細書では「ウィルス」と呼ぶ。またウィルスとは、「自らまたはほかのコンピュータ端末に対して何らかの被害をもたらす不正なプログラムまたはプログラム断片(ほかのアプリケーションプログラム上で起動するプログラムの一部)」であればよく、いわゆる電子メールやウェブブラウザなどを介して感染するコンピュータウィルスのほかにも、ワーム、ボット、ルートキットなど様々なものが含まれる。本明細書ではそれらを総称して「ウィルス」と称する)に感染してしまう場合もある。このような場合、システム管理者は、感染したコンピュータ端末からほかのコンピュータ端末へのウィルス感染を防止するために、ウィルス感染を検出したコンピュータ端末を直ちにネットワークから遮断するとともに、その感染経路を特定し、新たな感染を防止することが求められる。   An organization such as a company uses a large number of computer terminals to perform its business. However, for some reason, some computer terminals are referred to as computer viruses (referred to herein as “viruses.” Viruses are also defined as “unauthorized programs or program fragments that cause some damage to themselves or other computer terminals ( Other than computer viruses that can be transmitted via e-mail or web browsers, various programs such as worms, bots, and rootkits are included. In the present specification, they may be collectively referred to as “viruses”. In such a case, in order to prevent virus infection from an infected computer terminal to another computer terminal, the system administrator immediately shuts off the computer terminal that detected the virus infection from the network and specifies the infection route. There is a need to prevent new infections.

下記特許文献1にウィルスの感染経路を特定するシステムの一例が記載されている。また特許文献2にはウィルスや不正アクセスがあった場合に、それを通知するシステムの一例が記載されている。   The following Patent Document 1 describes an example of a system for specifying a virus infection route. Patent Document 2 describes an example of a system that notifies when there is a virus or unauthorized access.

特開2002−287991号公報JP 2002-287991 A 特開2007−206750号公報JP 2007-206750 A

上記特許文献1の発明を用いた場合、どのような経路でコンピュータがウィルスに感染したか、その経路を特定することが出来る点で有益である。そしてシステム管理者は、特定した感染経路をたどることによって、ほかに感染している可能性のあるコンピュータ端末が存在しないか、を特定する作業を行う。   When the invention of Patent Document 1 is used, it is advantageous in that it is possible to specify the route by which the computer is infected by the virus. Then, the system administrator performs an operation of identifying whether there is any other computer terminal that may be infected by following the identified infection route.

つまり感染経路を特定するような従来のシステムの場合、コンピュータ端末がウィルスに感染した経路を特定できたとしても、感染している可能性のあるほかのコンピュータ端末、つまりウィルス感染の被害範囲の予測を行うことは出来ない。そのため上述のように、システム管理者が、特定した感染経路をたどることによって、ほかに感染している可能性のあるコンピュータ端末が存在するかを、特定する必要がある。   In other words, in the case of a conventional system that specifies the infection route, even if the computer terminal can identify the virus-infected route, it predicts the other computer terminals that may be infected, that is, the damage range of the virus infection. Cannot be done. Therefore, as described above, the system administrator needs to specify whether there is another computer terminal that may be infected by following the specified infection route.

ところがウィルスの場合、感染したコンピュータ端末が利用したファイルなどを、ほかのコンピュータ端末が利用することによって、ほかのコンピュータ端末へ感染し、被害が拡大することも多い。従って、ウィルス感染の経路を特定したのちに、システム管理者がその経路をたどることで、ほかに感染しているコンピュータ端末を特定し、そのコンピュータ端末のネットワーク接続を遮断する、といったプロセスを経ていたのでは時間を要してしまい、ほかのコンピュータ端末へ被害が拡大するおそれがある。   However, in the case of a virus, when a file used by an infected computer terminal is used by another computer terminal, the other computer terminal is often infected and the damage spreads. Therefore, after identifying the path of virus infection, the system administrator followed the path to identify other infected computer terminals and blocked the network connection of the computer terminals. However, it takes time, and there is a risk of damage spreading to other computer terminals.

そこで被害拡大防止のために、上述の特許文献2のように、ウィルス感染や不正アクセスなどがあった場合、システム管理者が利用する所定の電話番号などにFAXで通知するシステムがある。しかしこのシステムを用いたとしても、被害の可能性のある範囲を予測することは出来ない。そのため結局は従来と同様に、システム管理者が、逐次、ほかに感染している可能性のあるコンピュータ端末が存在するかを、特定する必要がある。   In order to prevent damage from spreading, there is a system that notifies a predetermined telephone number or the like used by a system administrator by FAX when there is a virus infection or unauthorized access, as in Patent Document 2 described above. However, even if this system is used, it is impossible to predict the possible range of damage. Therefore, as in the past, the system administrator must eventually identify whether there are other computer terminals that may be infected.

また被害拡大防止のためには、ウィルス感染を検出した段階で、ほかのすべてのコンピュータ端末のネットワーク接続を遮断することで、被害拡大を防止することが出来るが、全く関係のないコンピュータ端末までネットワーク接続が遮断されてしまうと、日常業務に著しい支障を来してしまう。   In addition, in order to prevent damage from spreading, it is possible to prevent damage spreading by blocking the network connection of all other computer terminals when a virus infection is detected. If the connection is interrupted, it will cause a significant hindrance to daily work.

そのため、一台のコンピュータ端末でウィルス感染を検出した場合、速やかにその感染範囲を適切に予測することが出来るシステムが望まれている。そして、予測した範囲のコンピュータ端末のネットワーク接続を遮断することで、被害拡大を防止するシステムが望まれている。   Therefore, when a virus infection is detected with one computer terminal, a system that can promptly and appropriately predict the infection range is desired. There is a demand for a system that prevents the spread of damage by blocking the network connection of computer terminals in the predicted range.

本発明者は上記課題に鑑み、本発明のウィルス被害範囲予測システムを発明した。   In view of the above problems, the present inventors have invented the virus damage range prediction system of the present invention.

第1の発明は、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルスを検出したクライアント端末に記憶しているファイルにアクセスしたクライアント端末を、前記操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、を有するウィルス被害範囲予測システムである。   A first invention is a virus damage range prediction system for predicting a damage range due to infection with a computer virus, the virus damage range prediction system including an operation log information storage unit that stores operation log information of a client terminal, a client Based on the operation log information, a virus detection information acquisition unit that acquires virus detection information indicating that a virus has been detected from the terminal and a client terminal that has accessed a file stored in the client terminal that has detected the virus are identified. Thus, a virus damage range prediction system having a damage range prediction processing unit for predicting the damage range of virus infection.

ウィルスに感染する可能性の第一は、ほかのクライアント端末が、ウィルス感染したクライアント端末に記憶しているファイルにアクセスする場合である。そのため本発明のように構成することで、ウィルスを検出したクライアント端末に記憶するファイルにアクセスしたほかのクライアント端末を、ウィルス感染の可能性がある被害範囲として予測することが可能となる。   The first possibility of virus infection is when another client terminal accesses a file stored in a virus-infected client terminal. Therefore, by configuring as in the present invention, it is possible to predict another client terminal that has accessed a file stored in the client terminal that has detected a virus as a damage range that may cause virus infection.

また上述の発明において、前記被害範囲予測処理部は、前記感染したクライアント端末のクライアント端末識別情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、ウィルス被害範囲予測システムのように構成することが出来る。   In the above-described invention, the damage range prediction processing unit searches for operation log information stored in the operation log information storage unit based on client terminal identification information of the infected client terminal and operation contents indicating file access. And extracting the client terminal identification information from the operation log information specified by the search so as to identify the client terminal that has accessed the file stored in the infected client terminal. I can do it.

上述の発明は、以下の発明のように構成することも出来る。すなわち、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末で記憶しているファイルのファイル識別情報を少なくとも記憶しているファイル情報記憶部と、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルス検出情報を取得すると、そのクライアント端末が記憶しているファイルを、前記ファイル情報記憶部に基づいて特定するファイル特定部と、前記ファイル特定部で特定したファイルに対してアクセスしたクライアント端末を、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う端末特定部と、を有するウィルス被害範囲予測システムのように構成することも出来る。   The above-described invention can also be configured as the following invention. That is, a virus damage range prediction system that predicts a damage range due to a computer virus infection, the virus damage range prediction system storing an operation log information storage unit that stores operation log information of a client terminal and a client terminal. A file information storage unit that stores at least file identification information of a file being detected, a virus detection information acquisition unit that acquires virus detection information indicating that a virus has been detected from a client terminal, and acquiring the virus detection information, A file specifying unit that specifies a file stored in the client terminal based on the file information storage unit, and a client terminal that accesses the file specified by the file specifying unit in the operation log information storage unit Based on the operation log information stored By constant, a terminal identifying unit that performs the damage range prediction of viral infection can also be configured as viral damage range prediction system with.

また上述の発明において、前記ファイル特定部は、前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報に基づいて、そのクライアント端末で記憶するファイルのファイル識別情報を、前記ファイル情報記憶部から特定し、前記端末特定部は、前記ファイル特定部で特定したファイル識別情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、ウィルス被害範囲予測システムのように構成することも出来る。   In the above-described invention, when the file specifying unit acquires the virus detection information, based on the client terminal identification information of the virus detection information, the file identification unit stores the file identification information of the file stored in the client terminal. The terminal specifying unit searches the operation log information stored in the operation log information storage unit based on the file identification information specified by the file specifying unit and the operation content indicating file access, By extracting the client terminal identification information of the operation log information specified by the search, it can be configured as a virus damage range prediction system that identifies the client terminal that has accessed the file stored in the infected client terminal.

更に、上述の発明では、ウィルス感染したクライアント端末に記憶するファイルにアクセスしたほかのクライアント端末を特定することで、ウィルス感染の被害範囲を予測したが、以下の発明のように構成しても、ウィルス感染の被害範囲を予測することも出来る。すなわち、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、各クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルスを検出したクライアント端末がアクセスしたファイルに、アクセスしたクライアント端末を前記操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、を有するウィルス被害範囲予測システムのように構成しても良い。   Furthermore, in the above-mentioned invention, the damage range of the virus infection is predicted by specifying another client terminal that has accessed the file stored in the client terminal infected by the virus. It is also possible to predict the damage range of virus infection. That is, a virus damage range prediction system that predicts a damage range due to computer virus infection, the virus damage range prediction system including an operation log information storage unit that stores operation log information of each client terminal, A virus detection information acquisition unit for acquiring virus detection information indicating that the virus has been detected, and a file accessed by the client terminal that has detected the virus, by identifying the client terminal that has accessed the virus based on the operation log information. You may comprise like the virus damage range prediction system which has a damage range prediction process part which performs the damage range prediction of infection.

ウィルス感染したクライアント端末がアクセスしたファイルに、ほかのクライアント端末がアクセスしたことによって、そのほかのクライアント端末がウィルスに感染することもある。そこで本発明のように構成することで、ウィルスを検出したクライアント端末がアクセスしたファイルに、アクセスしたほかのクライアント端末を、ウィルス感染の可能性がある被害範囲として予測することが可能となる。   When another client terminal accesses a file accessed by a virus-infected client terminal, the other client terminal may be infected with a virus. Therefore, by configuring as in the present invention, it is possible to predict other client terminals that have accessed a file accessed by a client terminal that has detected a virus as a damage range that may cause virus infection.

上述の発明は、以下の発明のように構成することも出来る。すなわち、コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、前記ウィルス被害範囲予測システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、前記ウィルス検出情報を取得すると、そのクライアント端末がアクセスしたファイルを、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定するファイル特定部と、前記ファイル特定部で特定したファイルに対してアクセスしたクライアント端末を、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う端末特定部と、を有するウィルス被害範囲予測システムのように構成することも出来る。   The above-described invention can also be configured as the following invention. That is, a virus damage range prediction system for predicting a damage range due to computer virus infection, wherein the virus damage range prediction system includes an operation log information storage unit for storing operation log information of a client terminal, and a virus from the client terminal. Based on the operation log information stored in the operation log information storage unit, the virus detection information acquisition unit that acquires virus detection information indicating detection, and when the virus detection information is acquired, the file accessed by the client terminal By identifying the file identification unit to be identified and the client terminal that has accessed the file identified by the file identification unit based on the operation log information stored in the operation log information storage unit, it is possible to predict the damage range of virus infection And a virus identification having a terminal identification unit It can also be configured as a range prediction system.

また上述の発明において、前記ファイル特定部は、前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報とファイルアクセスを示す操作内容とに基づいて、そのクライアント端末がアクセスしたファイルのファイル識別情報とその保存場所の情報とを、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定し、前記端末特定部は、前記ファイル特定部で特定したファイル識別情報とその保存場所の情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、ウィルス被害範囲予測システムのように構成することも出来る。   In the above-described invention, when the file specifying unit acquires the virus detection information, a file of the file accessed by the client terminal based on the client terminal identification information of the virus detection information and the operation content indicating file access. The identification information and the storage location information are specified based on the operation log information stored in the operation log information storage unit, and the terminal specification unit is configured to identify the file identification information specified by the file specification unit and the storage location thereof. Based on the information and the operation content indicating the file access, the operation log information stored in the operation log information storage unit is searched, and the client terminal identification information of the operation log information specified by the search is extracted, thereby being infected. Specify the client terminal that accessed the file stored in the client terminal. It can also be configured as pulse damage range prediction system.

ウィルスに感染していると予測したクライアント端末については、その被害の拡大を防止するためにも、ネットワーク接続を遮断することが好ましい。そこで以下の発明のように構成することで、ネットワーク接続を遮断させることが可能となる。すなわち、前記ウィルス被害範囲予測システムは、更に、前記ウィルス感染の被害が予測されるとして特定されたクライアント端末について、ネットワーク接続の遮断処理を実行するネットワーク接続遮断処理部、を有するウィルス被害範囲予測システムのように構成しても良い。   For a client terminal predicted to be infected with a virus, it is preferable to block the network connection in order to prevent the damage from spreading. Therefore, the network connection can be blocked by configuring as in the following invention. That is, the virus damage range prediction system further includes a network connection cut-off processing unit that executes a network connection cut-off process for a client terminal identified as being predicted to be damaged by the virus infection. You may comprise as follows.

本発明のプログラムをコンピュータ端末に読み込ませて実行することで、上述のシステムが構成できる。すなわち、クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、前記ウィルスを検出したクライアント端末に記憶しているファイルにアクセスしたクライアント端末を前記記憶装置に記憶した操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、として機能させるウィルス被害範囲予測プログラムのように構成しても良い。   The above-described system can be configured by causing a computer terminal to read and execute the program of the present invention. That is, a computer terminal that stores operation log information of a client terminal in a storage device is stored in a virus detection information acquisition unit that acquires virus detection information indicating that a virus has been detected from the client terminal, and is stored in the client terminal that has detected the virus. A virus damage range prediction program that functions as a damage range prediction processing unit that predicts a damage range of a virus infection by identifying a client terminal that has accessed a file based on operation log information stored in the storage device You may comprise.

更に、本発明のプログラムをコンピュータ端末に読み込ませて実行することで、上述のシステムを構成できる。すなわち、クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、前記ウィルスを検出したクライアント端末がアクセスしたファイルに、アクセスしたクライアント端末を前記記憶装置に記憶した操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、として機能させるウィルス被害範囲予測プログラムのように構成しても良い。   Furthermore, the above-described system can be configured by causing a computer terminal to read and execute the program of the present invention. That is, a computer terminal that stores operation log information of a client terminal in a storage device is accessed by a virus detection information acquisition unit that acquires virus detection information indicating that a virus has been detected from the client terminal, or a client terminal that has detected the virus Like a virus damage range prediction program that functions as a damage range prediction processing unit that predicts the damage range of a virus infection by specifying the client terminal that accessed the file based on the operation log information stored in the storage device It may be configured.

本発明のウィルス被害範囲予測システムを用いることによって、従来のように単に感染経路を特定するのではなく、ウィルスに感染していそうなほかのコンピュータ端末が存在していないかを特定し、つまり被害範囲を予測し、その範囲内のコンピュータ端末のネットワーク接続を遮断することが可能となる。これによって、被害拡大を防止することが出来るとともに、ウィルスに感染していないコンピュータ端末のネットワーク接続はそのまま維持することが出来る。そのため日常業務にも著しい支障は来さない。
By using the virus damage range prediction system of the present invention, it is not simply specified the infection route as in the past, but it is specified whether there are other computer terminals that are likely to be infected with the virus. It is possible to predict the range and block the network connection of computer terminals within the range. As a result, it is possible to prevent the damage from spreading and to maintain the network connection of the computer terminal not infected with the virus as it is. Therefore, there will be no significant hindrance to daily work.

本発明のウィルス被害範囲予測システム1の全体の概念図を図1に示す。またウィルス被害範囲予測システム1のシステム構成の一例の概念図を図2に示す。   An overall conceptual diagram of the virus damage range prediction system 1 of the present invention is shown in FIG. A conceptual diagram of an example of the system configuration of the virus damage range prediction system 1 is shown in FIG.

本発明のウィルス被害範囲予測システム1は、各クライアント端末4を監視する管理者が利用するコンピュータ端末またはサーバ(以下、「管理サーバ2」という)において、所定のプログラムやモジュールが処理されることにより実現される。管理サーバ2は、複数のクライアント端末4においてどのようなファイルやプログラムが実行されているか、を記録、監視することが好ましい。そのため、各クライアント端末4には、当該クライアント端末4において実行されているプログラム名、ファイル名などの情報を定期的に、あるいは新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングで、クライアント端末4から管理サーバ2にそのプログラム名やファイル名の情報を送信する機能を備えていることが好ましい。プログラム名やファイル名の情報を送信する機能は、クライアント端末4の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出して送信すればよい。つまりいわゆる操作ログ情報をクライアント端末4から管理サーバ2に送信すればよい。   The virus damage range prediction system 1 of the present invention is configured by processing a predetermined program or module in a computer terminal or server (hereinafter referred to as “management server 2”) used by an administrator who monitors each client terminal 4. Realized. The management server 2 preferably records and monitors what files and programs are executed in the plurality of client terminals 4. Therefore, each client terminal 4 is provided with information such as the program name and file name executed in the client terminal 4 periodically, or when a new program or file is executed or terminated. It is preferable to have a function of transmitting information on the program name and file name from the client terminal 4 to the management server 2 at the timing. The function of transmitting program name and file name information can be obtained by extracting the program name and file name being executed by the arithmetic unit 20 of the client terminal 4 or extracting and transmitting the program name and file name in the memory. Good. That is, so-called operation log information may be transmitted from the client terminal 4 to the management server 2.

またクライアント端末4には、定期的にまたは所定のタイミング(たとえば電子メールを受信した場合やウェブブラウザでウェブサイトを閲覧した場合、などネットワーク経由で何らかのデータを受信した場合、USBメモリなどの記憶装置21をクライアント端末4に接続した場合など)において、ウィルスに感染していないかをウィルススキャンするウィルス検出機能を備えている。このウィルス検出機能は公知の様々な製品を適用することが出来る。   In addition, the client terminal 4 includes a storage device such as a USB memory at regular or predetermined timing (for example, when receiving e-mail or browsing a website with a web browser, or when receiving some data via a network) And a virus detection function that scans for viruses in the client terminal 4). Various known products can be applied to this virus detection function.

なお本明細書において「クライアント端末4」との記載には、ユーザが操作するコンピュータ端末のほか、「ファイルサーバ」なども含まれる。   In the present specification, the term “client terminal 4” includes “file server” in addition to a computer terminal operated by a user.

管理者端末3は、管理サーバ2を利用するシステム管理者が利用するコンピュータ端末であって、管理サーバ2からの所定の通知などを受信し、また管理サーバ2に対して何らかの制御指示を送信することを可能にしてもよい。なお管理者端末3は管理サーバ2とは一体的に設けられていても良いし、別のコンピュータ端末として設けられていても良い。   The administrator terminal 3 is a computer terminal used by a system administrator who uses the management server 2, receives a predetermined notification from the management server 2, and transmits some control instruction to the management server 2. May be possible. The administrator terminal 3 may be provided integrally with the management server 2, or may be provided as a separate computer terminal.

管理サーバ2、クライアント端末4、管理者端末3は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶装置21に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24とを有している。またクライアント端末4、管理者端末3では、更に、ディスプレイなどの表示装置22を有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該コンピュータには、キーボードやマウスやテンキーなどの入力装置23を有していても良い。図3に管理サーバ2のハードウェア構成の一例を模式的に示す。また、管理サーバ2は、複数のコンピュータ端末またはサーバに、その機能が分散配置されていても良い。   The management server 2, the client terminal 4, and the administrator terminal 3 include a calculation device 20 such as a CPU that executes program calculation processing, a storage device 21 such as a RAM or a hard disk that stores information, and processing results of the calculation device 20. And a communication device 24 that transmits and receives information stored in the storage device 21 via a network such as the Internet or a LAN. Further, the client terminal 4 and the administrator terminal 3 further have a display device 22 such as a display. Each function (each unit) realized on the computer is executed when a unit (program, module, etc.) for executing the process is read into the arithmetic unit 20. When using the information stored in the storage device 21 in the processing, each function reads the corresponding information from the storage device 21 and uses the read information for processing in the arithmetic device 20 as appropriate. The computer may include an input device 23 such as a keyboard, a mouse, or a numeric keypad. FIG. 3 schematically shows an example of the hardware configuration of the management server 2. Further, the management server 2 may have its functions distributed in a plurality of computer terminals or servers.

本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。   Each means in the present invention is only logically distinguished in function, and may be physically or practically the same area.

ウィルス被害範囲予測システム1は、操作ログ情報取得部5と操作ログ情報記憶部6とファイル情報取得部7とファイル情報記憶部8とウィルス検出情報取得部9と被害範囲予測処理部10とネットワーク接続遮断処理部11とを有する。   The virus damage range prediction system 1 includes an operation log information acquisition unit 5, an operation log information storage unit 6, a file information acquisition unit 7, a file information storage unit 8, a virus detection information acquisition unit 9, a damage range prediction processing unit 10, and a network connection. And a blocking processing unit 11.

操作ログ情報取得部5は、各クライアント端末4から定期的にまたは不定期に、当該クライアント端末4における操作ログ情報を取得する。取得した操作ログ情報は、後述する操作ログ情報記憶部6に、その日時、どのクライアント端末4における操作ログ情報であるかを識別する情報と共に、記憶させる。なお操作ログ情報としては、各クライアント端末4における操作内容やそのクライアント端末4における処理内容などを示す情報であればよく、例えば「ファイルコピー」、「ファイル選択」、「ファイルアクセス」など、当該クライアント端末4の操作者の操作を示す情報が該当する。また、管理サーバ2が各クライアント端末4から操作ログ情報を取得する際にはネットワークを介して取得しても良いし、操作ログ情報がクライアント端末4においてDVDなどの記録媒体に記録され、その記録媒体が管理サーバ2に読み取られ、そこから操作ログ情報を読み込むことによって取得しても良い。   The operation log information acquisition unit 5 acquires operation log information in the client terminal 4 from each client terminal 4 regularly or irregularly. The acquired operation log information is stored in an operation log information storage unit 6 (to be described later) together with the date and time and information for identifying which client terminal 4 is the operation log information. The operation log information may be information indicating the operation content in each client terminal 4 and the processing content in the client terminal 4, for example, the client such as “file copy”, “file selection”, “file access”, etc. This corresponds to information indicating the operation of the operator of the terminal 4. Further, when the management server 2 acquires operation log information from each client terminal 4, it may be acquired via a network, or the operation log information is recorded on a recording medium such as a DVD in the client terminal 4, and the recording is performed. The medium may be read by the management server 2 and read by reading operation log information therefrom.

操作ログ情報記憶部6は、操作ログ情報取得部5で各クライアント端末4から取得した操作ログ情報を記憶する。操作ログ情報には、クライアント端末4を識別する情報、操作内容を示す情報、操作内容の操作対象となったファイルやアプリケーションの名称、当該ファイルやアプリケーションの所在位置を示す情報、日時または日時を数値化した情報などが含まれている。図6に操作ログ情報の一例を示す。なお操作ログ情報は、各クライアント端末4またはそのユーザ(ログイン名など)ごとに記憶することが好ましい。なお操作内容を示す情報を日時などに対応づける場合には、クライアント端末4で行っても良いし、操作ログ情報を管理サーバ2で取得した際に行っても良いし、或いは操作ログ情報記憶部6で記憶した際に行っても良い。また図7に操作ログ情報記憶部6の概念図の一例を模式的に示す。   The operation log information storage unit 6 stores the operation log information acquired from each client terminal 4 by the operation log information acquisition unit 5. The operation log information includes information for identifying the client terminal 4, information indicating the operation content, the name of the file or application that is the operation target of the operation content, information indicating the location of the file or application, date and time, and numerical values. Information is included. FIG. 6 shows an example of operation log information. The operation log information is preferably stored for each client terminal 4 or for each user (login name or the like). In addition, when associating the information indicating the operation content with the date and time, it may be performed at the client terminal 4, may be performed when the operation log information is acquired by the management server 2, or an operation log information storage unit This may be done when storing in step 6. FIG. 7 schematically shows an example of a conceptual diagram of the operation log information storage unit 6.

ファイル情報取得部7は、各クライアント端末4などで記憶しているファイル情報を、クライアント端末4などから取得して後述するファイル情報記憶部8に記憶させる。   The file information acquisition unit 7 acquires the file information stored in each client terminal 4 or the like from the client terminal 4 or the like and stores it in the file information storage unit 8 described later.

これは定期的に各クライアント端末4に、それらで記憶しているファイルの、ファイル識別情報(ファイル名など)、保存場所などの情報を問い合わせて、その結果を取得すればよい。またほかにも、操作ログ情報取得部5や操作ログ情報記憶部6における操作ログ情報を監視し、その操作内容が「ファイル作成」などを含む操作ログ情報であると、そのファイル名と保存場所の情報とを取得することによって、それを後述するファイル情報記憶部8に記憶させる。更に操作内容が「ファイル名変更」などの場合にはファイル名(変更前と変更後のファイル名)と保存場所の情報とに基づいて、ファイル名を変更してもよいし、「ファイル削除」の場合にはファイル名と保存場所の情報とに基づいて、ファイル名を削除してもよい。更に「ファイル貼り付け」などの場合には、操作内容が「ファイルコピー」である操作ログ情報(「ファイル貼り付け」に対応する操作ログ情報)を特定し、そのファイル名と、「ファイル貼り付け」の保存場所の情報とに基づいてファイル情報をファイル情報記憶部8に記憶させてもよい。   This may be done by periodically inquiring each client terminal 4 about information such as file identification information (file name, etc.) and storage location of the file stored in them, and obtaining the result. In addition, if the operation log information in the operation log information acquisition unit 5 or the operation log information storage unit 6 is monitored and the operation content is operation log information including “file creation”, the file name and storage location Is stored in the file information storage unit 8 to be described later. Furthermore, when the operation content is “change file name” or the like, the file name may be changed based on the file name (the file name before and after the change) and the storage location information, or “delete file”. In this case, the file name may be deleted based on the file name and the storage location information. Furthermore, in the case of “paste file”, the operation log information whose operation content is “file copy” (operation log information corresponding to “paste file”) is identified, the file name and “paste file” The file information may be stored in the file information storage unit 8 based on the storage location information.

すなわちファイル情報取得部7は様々な方法により、各クライアント端末4などで記憶しているファイル情報、少なくともウィルス感染しているクライアント端末4に記憶しているファイル情報をファイル情報記憶部8に記憶させればよい。   That is, the file information acquisition unit 7 stores the file information stored in each client terminal 4 and the like, at least the file information stored in the client terminal 4 infected with the virus, in the file information storage unit 8 by various methods. Just do it.

ファイル情報記憶部8は、各クライアント端末4に記憶しているファイル情報を記憶している。このファイル情報としては、少なくともファイル識別情報を、ファイルを記憶しているクライアント端末4ごとに記憶していることが好ましい。またファイル識別情報のほかに、ファイルが作成された日時などを記憶していてもよい。図8にファイル情報記憶部8の一例の概念図を模式的に示す。   The file information storage unit 8 stores file information stored in each client terminal 4. As this file information, at least file identification information is preferably stored for each client terminal 4 storing the file. In addition to the file identification information, the date and time when the file was created may be stored. FIG. 8 schematically shows an example of a conceptual diagram of the file information storage unit 8.

なおファイル情報取得部7、ファイル情報記憶部8をウィルス被害範囲予測システム1に備えずに、後述するウィルス検出情報取得部9でウィルス検出の情報を取得したのちに、当該クライアント端末4に記憶されていたファイル情報を取得してもよい。   The file information acquisition unit 7 and the file information storage unit 8 are not provided in the virus damage range prediction system 1, but are stored in the client terminal 4 after the virus detection information acquisition unit 9 described later acquires virus detection information. The file information that has been stored may be acquired.

ウィルス検出情報取得部9は、クライアント端末4でウィルスを検出した場合に、そのウィルス検出情報を取得する。ウィルス検出情報としては、ウィルスが検出されたことの通知とどのクライアント端末4で検出したかを識別するクライアント端末識別情報などが含まれる。また場合によっては検出日時の情報、ウィルス感染を検出したファイルのファイル識別情報などが含まれてもよい。   The virus detection information acquisition unit 9 acquires virus detection information when a virus is detected by the client terminal 4. The virus detection information includes a notification that a virus has been detected and client terminal identification information that identifies which client terminal 4 has detected the virus. In some cases, information on detection date and time, file identification information of a file in which virus infection is detected, and the like may be included.

被害範囲予測処理部10は、ウィルス検出情報取得部9でウィルス検出情報を取得すると、ウィルス感染したクライアント端末4以外のほかのクライアント端末4で感染している可能性のあるクライアント端末4を予測する、つまりウィルス感染の被害範囲の予測を行う。被害範囲予測処理部10は、ファイル特定部101と端末特定部102とを有する。   When the virus detection information acquisition unit 9 acquires the virus detection information, the damage range prediction processing unit 10 predicts a client terminal 4 that may be infected by another client terminal 4 other than the virus-infected client terminal 4. In other words, the damage range of virus infection is predicted. The damage range prediction processing unit 10 includes a file specifying unit 101 and a terminal specifying unit 102.

ファイル特定部101は、ウィルス感染したクライアント端末4で記憶しているファイル、またはウィルス感染したクライアント端末4がアクセスしたファイルを特定する。   The file specifying unit 101 specifies a file stored in the virus infected client terminal 4 or a file accessed by the virus infected client terminal 4.

まず前者(第一の方法)の場合、ウィルス検出情報取得部9で取得したウィルス検出情報に基づいて、ウィルス感染したクライアント端末4の識別情報を取得しているので、そのクライアント端末識別情報を用いて、当該ウィルス感染したクライアント端末4で記憶しているファイルのファイル識別情報をファイル情報記憶部8から特定する。つまりウィルス感染したクライアント端末4のクライアント端末識別情報に基づいてファイル情報記憶部8を検索し、当該クライアント端末4が記憶しているファイル識別情報を特定する。   First, in the former case (first method), since identification information of the client terminal 4 infected with the virus is acquired based on the virus detection information acquired by the virus detection information acquisition unit 9, the client terminal identification information is used. Thus, the file identification information of the file stored in the client terminal 4 infected with the virus is specified from the file information storage unit 8. That is, the file information storage unit 8 is searched based on the client terminal identification information of the client terminal 4 infected with the virus, and the file identification information stored in the client terminal 4 is specified.

また後者(第二の方法)の場合、ウィルス検出情報取得部9で取得したウィルス検出情報に基づいて、ウィルス感染したクライアント端末4の識別情報を取得しているので、そのクライアント端末識別情報を用いて、当該ウィルス感染したクライアント端末4がアクセスしたファイルのファイル識別情報を操作ログ情報記憶部6から特定する。つまりウィルス感染したクライアント端末4のクライアント端末識別情報に基づいて操作ログ情報記憶部6を検索し、当該クライアント端末識別情報と「ファイルアクセス」を示す操作内容とを含む操作ログ情報を特定し、その特定した操作ログ情報から、ファイル識別情報を抽出することで、当該クライアント端末4がアクセスしたファイル識別情報とそのファイルの保存場所を特定する。なおこの場合、当該操作から一定期間前までの操作ログ情報を検索対象とすることがよい。一定期間は任意に設定できるが、たとえばクライアント端末4におけるウィルス検出機能によるウィルススキャンのタイミングの間隔(3日ごとにウィルススキャンをするのであれば、3日を一定期間とする。あるいは前回のウィルス検索のタイミング以降などとしても良い)としてもよいし、24時間、48時間、72時間といったように、適宜設定してもよい。   In the latter case (second method), since the identification information of the client terminal 4 infected with the virus is acquired based on the virus detection information acquired by the virus detection information acquisition unit 9, the client terminal identification information is used. Then, the file identification information of the file accessed by the client terminal 4 infected with the virus is specified from the operation log information storage unit 6. That is, the operation log information storage unit 6 is searched based on the client terminal identification information of the client terminal 4 infected with the virus, and the operation log information including the client terminal identification information and the operation content indicating “file access” is specified. By extracting the file identification information from the identified operation log information, the file identification information accessed by the client terminal 4 and the storage location of the file are identified. In this case, it is preferable to search operation log information from the operation to a certain period before. Although the fixed period can be set arbitrarily, for example, the virus scanning timing interval by the virus detection function in the client terminal 4 (if virus scanning is performed every three days, the fixed period is three days, or the previous virus scan. May be set later, or may be set as appropriate, such as 24 hours, 48 hours, 72 hours, or the like.

端末特定部102は、ファイル特定部101で特定したファイル識別情報のファイルに対して、所定時間内にアクセスしたほかのクライアント端末4の識別情報を、操作ログ情報記憶部6に基づいて特定する。   The terminal specifying unit 102 specifies the identification information of another client terminal 4 that has accessed the file identification information file specified by the file specifying unit 101 within a predetermined time based on the operation log information storage unit 6.

たとえばファイル特定部101で第一の方法を用いた場合であって、ウィルス感染したクライアント端末4の識別情報が「ABC12345678」であり、そこに記憶しているファイルのファイル識別情報が「AAAAAAA」、「BBBBBBB」、「CCCCCCC」、「DDDDDDD」であったとする。この場合、操作ログ情報記憶部6に記憶する操作ログ情報が図7であり、所定期間前(たとえば72時間前)までの操作ログ情報を処理対象とすると、ファイル識別情報「AAAAAAA」、「BBBBBBB」、「CCCCCCC」、「DDDDDDD」にアクセスしたクライアント端末識別情報「ABC12345678」以外のクライアント端末4を、操作ログ情報に基づいて特定する。これは、たとえば72時間前までの操作ログ情報のうち、「ファイルアクセス」を示す操作内容であり、ファイル識別情報「AAAAAAA」、「BBBBBBB」、「CCCCCCC」、「DDDDDDD」のいずれかであって、そのファイルの保存場所がウィルス感染したクライアント端末4の識別情報「ABC12345678」である操作ログ情報を特定し、特定した操作ログ情報のクライアント端末識別情報を、抽出することで行える。この処理を図9に示す。   For example, when the file identification unit 101 uses the first method, the identification information of the client terminal 4 infected with the virus is “ABC12345678”, and the file identification information of the file stored therein is “AAAAAAA”. It is assumed that “BBBBBBBB”, “CCCCCCC”, and “DDDDDDD”. In this case, if the operation log information stored in the operation log information storage unit 6 is FIG. 7 and the operation log information up to a predetermined period (for example, 72 hours before) is to be processed, the file identification information “AAAAAAA”, “BBBBBBBB” ”,“ CCCCCCCC ”, and“ DDDDDDDD ”, the client terminal 4 other than the client terminal identification information“ ABC12345678 ”is identified based on the operation log information. This is, for example, the operation content indicating “file access” in the operation log information up to 72 hours ago, and is one of the file identification information “AAAAAAA”, “BBBBBBB”, “CCCCCCCC”, “DDDDDDD”. The operation log information whose identification information “ABC12345678” is the identification information “ABC12345678” of the virus-infected client terminal 4 is stored, and the client terminal identification information of the specified operation log information is extracted. This process is shown in FIG.

従って図9の場合、クライアント端末識別情報が「DEF33334444」、「GHI45698733」、「SDF12333211」、「YUI4565444」の各クライアント端末4がウィルス感染の被害範囲であると予測する。   Therefore, in the case of FIG. 9, it is predicted that the client terminal 4 whose client terminal identification information is “DEF33334444”, “GHI45698733”, “SDF123332111”, “YUI4565444” is the damage range of virus infection.

なおファイル識別情報により特定するのではなく、ウィルス感染したクライアント端末4のクライアント端末識別情報と「ファイルアクセス」を示す操作内容とに基づいて、所定期間前までの操作ログ情報を検索することで、それらにアクセスしたほかのクライアント端末4を特定するように構成しても良い。   It is not specified by the file identification information, but by searching operation log information up to a predetermined period based on the client terminal identification information of the client terminal 4 infected with the virus and the operation content indicating “file access”, You may comprise so that the other client terminal 4 which accessed them may be specified.

またファイル特定部101で第二の方法を用いた場合であって、ウィルス感染したクライアント端末4の識別情報が「ABC12345678」であり、そのクライアント端末4が一定期間内にアクセスしたファイルのファイル識別情報が「AAAAAAA」(保存場所「クライアント端末ABC12345678」)、「BBBBBBB」(保存場所「File server3」)、「CCCCCCC」(保存場所「File server4」)、「DDDDDDD」(保存場所「File server2」)であったとする。この場合、操作ログ情報記憶部6に記憶する操作ログ情報が図10であり、所定期間前(たとえば72時間前)までの操作ログ情報を処理対象とすると、「AAAAAAA」(保存場所「クライアント端末ABC12345678」)、「BBBBBBB」(保存場所「File server3」)、「CCCCCCC」(保存場所「File server4」)、「DDDDDDD」(保存場所「File server2」)にアクセスしたクライアント端末識別情報「ABC12345678」以外のクライアント端末4を、操作ログ情報に基づいて特定する。これは、たとえば72時間前までの操作ログ情報のうち、「ファイルアクセス」を示す操作内容であり、ファイル識別情報「AAAAAAA」(保存場所「クライアント端末ABC12345678」)、「BBBBBBB」(保存場所「File server3」)、「CCCCCCC」(保存場所「File server4」)、「DDDDDDD」(保存場所「File server2」)のいずれかであって、そのファイルの保存場所がウィルス感染したクライアント端末4がアクセスしたファイルの保存場所である操作ログ情報を特定し、特定した操作ログ情報のクライアント端末識別情報を、抽出することで行える。この処理を図11に示す。   In addition, when the second method is used in the file specifying unit 101, the identification information of the client terminal 4 infected with the virus is “ABC12345678”, and the file identification information of the file accessed by the client terminal 4 within a certain period of time. Are “AAAAAAA” (storage location “client terminal ABC12345678”), “BBBBBBBB” (storage location “File server3”), “CCCCCCCC” (storage location “File server4”), “DDDDDDDD” (storage location “File server2”) Suppose there was. In this case, if the operation log information stored in the operation log information storage unit 6 is FIG. 10 and the operation log information up to a predetermined period (for example, 72 hours before) is to be processed, “AAAAAAA” (storage location “client terminal” ABC12345678 ”),“ BBBBBBBB ”(storage location“ File server3 ”),“ CCCCCCCC ”(storage location“ File server4 ”),“ DDDDDD ”(storage location“ File server2 ”) other than client terminal identification information“ ABC123345678 ” The client terminal 4 is specified based on the operation log information. This is the operation content indicating “file access” in the operation log information up to 72 hours ago, for example, file identification information “AAAAAAA” (storage location “client terminal ABC12345678”), “BBBBBBBB” (storage location “File” server3 ”),“ CCCCCCCC ”(storage location“ File server4 ”), or“ DDDDDDD ”(storage location“ File server2 ”), and the file storage location accessed by the virus-infected client terminal 4 The operation log information, which is the storage location, is specified, and the client terminal identification information of the specified operation log information is extracted. This process is shown in FIG.

従って図11の場合、クライアント端末識別情報が「DEF33334444」、「GHI45698733」、「SDF12333211」、「YUI4565444」の各クライアント端末4がウィルス感染の被害範囲であると予測する。   Therefore, in the case of FIG. 11, it is predicted that each client terminal 4 whose client terminal identification information is “DEF333334444”, “GHI45698733”, “SDF12333211”, and “YUI4565444” is the damage range of virus infection.

なお被害範囲予測処理部10において第一の方法、第二の方法のいずれを用いてもよいし、あるいは双方を用いてもよい。   In the damage range prediction processing unit 10, either the first method or the second method may be used, or both may be used.

更に被害範囲予測処理部10は、ファイル特定部101、端末特定部102の双方を用いずとも良い。すなわち、被害範囲予測処理部10は、上述のファイル特定部101における第一の方法により、ウィルス感染したクライアント端末4で記憶しているファイルを特定し、あるいは第二の方法により、ウィルス感染したクライアント端末がアクセスしたファイルを特定している。この際に、ファイルは操作ログ情報により特定しているが、この操作ログ情報には、そのファイルの保存場所の情報も記憶されている。従って、このファイルの保存場所の情報により、ウィルス感染している可能性のあるクライアント端末4を特定することも出来る。この場合、ファイル特定部101及び端末特定部102の処理を実質的にワンプロセスで行ってしまうので、処理の簡略化が図れる。   Further, the damage range prediction processing unit 10 may not use both the file specifying unit 101 and the terminal specifying unit 102. In other words, the damage range prediction processing unit 10 specifies the file stored in the virus-infected client terminal 4 by the first method in the file specifying unit 101 described above, or the virus-infected client by the second method. The file accessed by the terminal is specified. At this time, the file is specified by the operation log information. The operation log information also stores information on the storage location of the file. Therefore, it is possible to identify the client terminal 4 that may be infected with the virus based on the information on the storage location of the file. In this case, since the processing of the file specifying unit 101 and the terminal specifying unit 102 is substantially performed in one process, the processing can be simplified.

ネットワーク接続遮断処理部11は、被害範囲予測処理部10においてウィルス感染の被害範囲であると予測したクライアント端末4について、そのネットワーク接続を遮断する。例えば予測したクライアント端末識別情報のクライアント端末4に対して、ネットワーク接続を遮断させる制御指示を送信する。ネットワーク接続の遮断方法としては、当該クライアント端末4のネットワークドライバの動作を停止させる、ARP(アドレスレゾリューションプロトコル)応答パケットを偽装することにより、ネットワークにおいて当該クライアント端末4を認識できなくする、IPアドレスを強制的に放棄させ、IPアドレスの割り当てを停止する、などの方法がある。またほかにもウィルス感染していないと予測されるクライアント端末4(被害範囲予測処理部10で予測したクライアント端末識別情報のクライアント端末4以外のクライアント端末4)に対して、予測したクライアント端末4からのネットワーク接続要求をすべて拒否する制御指示を送信する、DNSサーバに対して、被害範囲予測処理部10で予測したクライアント端末4を、現在参加しているドメインから強制的にログオフさせ、以降はログイン不可とする制御指示を送信する、などにより行うことも出来る。   The network connection cut-off processing unit 11 cuts off the network connection of the client terminal 4 predicted by the damage range prediction processing unit 10 as a virus infection damage range. For example, a control instruction for blocking the network connection is transmitted to the client terminal 4 having the predicted client terminal identification information. As a method for blocking the network connection, the client terminal 4 cannot be recognized in the network by impersonating an ARP (address resolution protocol) response packet that stops the operation of the network driver of the client terminal 4. There are methods such as forcibly giving up the address and stopping the assignment of the IP address. In addition, from the predicted client terminal 4 to the client terminal 4 predicted to be free of virus infection (the client terminal 4 other than the client terminal 4 of the client terminal identification information predicted by the damage range prediction processing unit 10). The client terminal 4 predicted by the damage range prediction processing unit 10 is forcibly logged off from the currently participating domain to the DNS server that transmits a control instruction for rejecting all network connection requests. It can also be performed by transmitting a control instruction for disabling.

またネットワーク接続を遮断した場合には、ネットワーク接続遮断処理部11は、遮断したクライアント端末4について、ネットワーク接続を遮断したことを管理者端末3に通知しても良い。   When the network connection is cut off, the network connection cut-off processing unit 11 may notify the administrator terminal 3 that the cut-off client terminal 4 has been cut off.

なおネットワーク接続が遮断された各クライアント端末4については、ウィルス感染の確認、ウィルスの除去処理などが完了後、システム管理者の管理者端末3からの所定の制御指示により、ネットワーク接続が復活できるようにすることが好ましい。   For each client terminal 4 that has been disconnected from the network, the network connection can be restored by a predetermined control instruction from the administrator terminal 3 of the system administrator after completion of virus infection confirmation, virus removal processing, and the like. It is preferable to make it.

次に本発明のウィルス被害範囲予測システム1の処理プロセスの一例を図4及び図5のフローチャート、図2の概念図を用いて説明する。   Next, an example of the processing process of the virus damage range prediction system 1 of the present invention will be described with reference to the flowcharts of FIGS. 4 and 5 and the conceptual diagram of FIG.

各クライアント端末4から管理サーバ2に、当該クライアント端末4の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報については操作ログ情報取得部5で取得する。   The operation log information of the client terminal 4 is transmitted from each client terminal 4 to the management server 2 periodically or at a predetermined timing. The operation log information is acquired by the operation log information acquisition unit 5.

操作ログ情報取得部5で取得した操作ログ情報は、操作ログ情報記憶部6に記憶させる。操作ログ情報には、当該クライアント端末4を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて取得することによって、対応づけて操作ログ情報記憶部6に記憶させる。   The operation log information acquired by the operation log information acquisition unit 5 is stored in the operation log information storage unit 6. In general, the operation log information includes information for identifying the client terminal 4 and date and time information. If the operation log information is not included, the operation log information is acquired together. And store them in the operation log information storage unit 6 in association with each other.

また各クライアント端末4では、定期的にまたは所定のタイミングでウィルス検出機能を用いてウィルススキャンの処理が実行される。このウィルススキャンの処理において、何らかのウィルスが検出されると(S100)、当該クライアント端末4は、管理サーバ2に対して、ウィルスが検出されたことを示す情報と当該クライアント端末4の識別情報とを含むウィルス検出情報を送信する(S110)。   Each client terminal 4 executes a virus scan process using a virus detection function periodically or at a predetermined timing. In this virus scanning process, when any virus is detected (S100), the client terminal 4 sends information indicating that a virus has been detected and identification information of the client terminal 4 to the management server 2. The included virus detection information is transmitted (S110).

このウィルス検出情報は、管理サーバ2のウィルス検出情報取得部9で取得する。そして被害範囲予測処理部10のファイル特定部101は、上述の第一の方法により、ウィルス感染しているクライアント端末4に記憶しているファイルのファイル識別情報を特定し、または上述の第二の方法により、ウィルス感染しているクライアント端末4がアクセスしたファイルのファイル識別情報を特定する(S120)。   This virus detection information is acquired by the virus detection information acquisition unit 9 of the management server 2. Then, the file specifying unit 101 of the damage range prediction processing unit 10 specifies the file identification information of the file stored in the client terminal 4 infected with the virus by the above-described first method, or the above-described second method. By the method, the file identification information of the file accessed by the client terminal 4 infected with the virus is specified (S120).

被害範囲予測処理部10の端末特定部102は、ファイル特定部101が特定したファイル識別情報のファイルにアクセスした、ウィルスに感染したクライアント端末4以外のクライアント端末4の識別情報を、操作ログ情報記憶部6に記憶する操作ログ情報に基づいて特定する(S130)。   The terminal identification unit 102 of the damage range prediction processing unit 10 stores the identification information of the client terminal 4 other than the client terminal 4 infected with the virus that has accessed the file of the file identification information identified by the file identification unit 101, and stores the operation log information. It specifies based on the operation log information memorize | stored in the part 6 (S130).

このようにして特定したクライアント端末識別情報のクライアント端末4は、ウィルス感染の被害が予測されるクライアント端末4であるので、ネットワーク接続遮断処理部11は、端末特定部102で特定したクライアント端末識別情報のクライアント端末4について、ネットワーク接続を遮断する制御を実行する(S140)。例えば特定したクライアント端末4に対して、ネットワーク接続を遮断する制御指示を送信したり、DNSサーバに対して、当該クライアント端末4のドメインからの強制ログオフの制御指示を送信したり、特定したクライアント端末4以外のクライアント端末4に対して、当該特定したクライアント端末4からのネットワーク接続を拒否する制御指示を送信するなどがある。   Since the client terminal 4 of the client terminal identification information specified in this way is a client terminal 4 that is predicted to be damaged by virus infection, the network connection cutoff processing unit 11 uses the client terminal identification information specified by the terminal specification unit 102. The client terminal 4 is controlled to block the network connection (S140). For example, a control instruction for cutting off the network connection is transmitted to the specified client terminal 4, a control instruction for forced logoff from the domain of the client terminal 4 is transmitted to the DNS server, or the specified client terminal For example, a control instruction for rejecting the network connection from the identified client terminal 4 is transmitted to the client terminals 4 other than 4.

以上のような処理を実行することで、ウィルス感染を検出したクライアント端末4のみならず、その被害が予測されるほかのクライアント端末4についても、速やかにネットワーク接続を遮断することが出来る。一方で、その被害が予測されないクライアント端末4については従前通り、そのままネットワーク接続が維持されたままなので、日常業務にも支障を来さない。   By executing the processing as described above, not only the client terminal 4 that has detected the virus infection but also the other client terminals 4 that are predicted to be damaged can be quickly disconnected from the network. On the other hand, as for the client terminal 4 whose damage is not predicted, since the network connection is maintained as it is, the daily work is not hindered.

上述の実施例では管理サーバ2においてその処理の一部または全部が実行される場合を説明したが、これらの機能がクライアント端末4、管理サーバ2、管理者端末3において適宜、分散配置していても良い。   In the above-described embodiment, the case where part or all of the processing is executed in the management server 2 has been described. However, these functions are appropriately distributed in the client terminal 4, the management server 2, and the administrator terminal 3. Also good.

なお分散配置のバリエーションには様々なパターンがあり、如何なる配置形態であっても良い。これらの場合、各クライアント端末4や管理者端末3における処理の際に、管理サーバ2の各機能を利用する場合にはその問い合わせを当該クライアント端末4や管理者端末3から管理サーバ2に対して行い、その結果を当該クライアント端末4や管理者端末3における処理に用いる。そしてその処理結果をクライアント端末4や管理者端末3で実行することとなる。   Note that there are various patterns of variations in the distributed arrangement, and any arrangement form may be used. In these cases, when each function of the management server 2 is used at the time of processing in each client terminal 4 or the administrator terminal 3, the inquiry is sent from the client terminal 4 or the administrator terminal 3 to the management server 2. The result is used for processing in the client terminal 4 and the administrator terminal 3. The processing result is executed by the client terminal 4 or the administrator terminal 3.

上述の各機能がクライアント端末4に備えられていても良い。すなわち操作ログ情報取得部5、操作ログ情報記憶部6、ファイル情報取得部7、ファイル情報記憶部8、ウィルス検出情報取得部9、被害範囲予測処理部10、ネットワーク接続遮断処理部11をクライアント端末4に備えていても良い。   Each function described above may be provided in the client terminal 4. That is, the operation log information acquisition unit 5, the operation log information storage unit 6, the file information acquisition unit 7, the file information storage unit 8, the virus detection information acquisition unit 9, the damage range prediction processing unit 10, and the network connection cutoff processing unit 11 are connected to the client terminal. 4 may be provided.

この場合、当該クライアント端末4は、ほかのクライアント端末4がウィルスに感染した場合、その情報をウィルス検出情報取得部9で取得する。そして被害範囲予測処理部10は、上述の各実施例の処理を実行することにより、当該クライアント端末4が、ウィルスに感染したクライアント端末4(ウィルス検出情報を送信したクライアント端末4)にアクセスしたかを判定する。そしてウィルス感染したクライアント端末4に当該クライアント端末4がアクセスしていた場合には、当該クライアント端末4もウィルスに感染している可能性があるので、ネットワーク接続遮断処理部11が当該クライアント端末4のネットワーク接続を遮断する制御処理を実行したり、あるいはほかのクライアント端末4または所定のサーバなどに、ネットワーク接続を遮断させる制御指示を送信する。この制御指示を受け取ったほかのクライアント端末4や所定のサーバは、制御指示に従って、ウィルス感染が予測されるクライアント端末4とのネットワーク接続を遮断したり、ネットワーク接続要求を拒否するなどの処理を実行する。   In this case, when the other client terminal 4 is infected with a virus, the client terminal 4 acquires the information by the virus detection information acquisition unit 9. Then, the damage range prediction processing unit 10 executes the processing of each of the above-described embodiments, so that the client terminal 4 accesses the client terminal 4 infected with the virus (the client terminal 4 that transmitted the virus detection information). Determine. If the client terminal 4 is accessing the virus-infected client terminal 4, the client terminal 4 may also be infected with the virus. A control process for blocking the network connection is executed, or a control instruction for blocking the network connection is transmitted to another client terminal 4 or a predetermined server. The other client terminal 4 or the predetermined server that has received this control instruction executes processing such as blocking the network connection with the client terminal 4 that is predicted to be infected with the virus or rejecting the network connection request in accordance with the control instruction. To do.

また上述の各機能がクライアント端末4に備えられている場合に、自らの端末がウィルスに感染する場合もある(自らの端末でウィルスを検出した場合)。この場合、当該クライアント端末4にアクセスしてきたほかのクライアント端末4を、上述の各実施例の処理を実行することにより、被害範囲予測処理部10が判定する。そしてウィルス感染が予測されるクライアント端末4や所定のサーバに対して、ウィルス感染が予測されることの通知を送信したり、ネットワーク接続遮断処理部11によるネットワーク接続の遮断処理を実行させるための制御指示を送信する。   Further, when the client terminal 4 is provided with the above functions, the terminal itself may be infected with a virus (when a virus is detected by the terminal itself). In this case, the damage range prediction processing unit 10 determines the other client terminals 4 that have accessed the client terminal 4 by executing the processes of the above-described embodiments. Then, a control for transmitting a notification that a virus infection is predicted to the client terminal 4 or a predetermined server where a virus infection is predicted, or for executing a network connection blocking process by the network connection blocking processing unit 11. Send instructions.

これにより、自らのクライアント端末4がウィルスに感染した場合でも、その端末にアクセスしたほかのクライアント端末4がウィルス感染が予測されることを判定し、対応することが可能となる。   As a result, even when the client terminal 4 is infected with a virus, it is possible to determine that another client terminal 4 that has accessed the terminal is predicted to be infected with the virus, and take action.

上述の各発明を用いることによって、従来のように単に感染経路を特定するのではなく、ウィルスに感染していそうなほかのコンピュータ端末が存在していないかを特定し、つまり被害範囲を予測し、その範囲内のコンピュータ端末のネットワーク接続を遮断することが可能となる。これによって、とりあえずの被害拡大を防止することが出来るとともに、ウィルスに感染していないコンピュータ端末のネットワーク接続はそのまま維持することが出来る。そのため日常業務にも著しい支障は来さない。
By using each of the above-mentioned inventions, the infection route is not simply identified as in the past, but it is identified whether there are other computer terminals that are likely to be infected with the virus, that is, the damage range is predicted. The network connection of the computer terminal within the range can be cut off. As a result, the expansion of damage can be prevented for the time being, and the network connection of the computer terminal not infected with the virus can be maintained as it is. Therefore, there will be no significant hindrance to daily work.

本発明の全体の概念を示す概念図である。It is a conceptual diagram which shows the whole concept of this invention. 本発明のシステム構成の一例を示す概念図である。It is a conceptual diagram which shows an example of the system configuration | structure of this invention. ハードウェア構成の一例を示す概念図である。It is a conceptual diagram which shows an example of a hardware configuration. 本発明の全体的な処理プロセスの一例を示すフローチャートである。It is a flowchart which shows an example of the whole processing process of this invention. ウィルス感染の被害範囲を予測する処理プロセスの一例を示すフローチャートである。It is a flowchart which shows an example of the processing process which estimates the damage range of virus infection. 操作ログ情報の一例を模式的に示す図である。It is a figure which shows an example of operation log information typically. 操作ログ情報記憶部の一例を模式的に示す図である。It is a figure which shows an example of an operation log information storage part typically. ファイル情報記憶部の一例を模式的に示す図である。It is a figure which shows an example of a file information storage part typically. ファイル特定部における第一の方法を模式的に示す図である。It is a figure which shows typically the 1st method in a file specific | specification part. 操作ログ情報記憶部のほかの一例を模式的に示す図である。It is a figure which shows typically another example of the operation log information storage part. ファイル特定部における第二の方法を模式的に示す図である。It is a figure which shows the 2nd method in a file specific part typically.

符号の説明Explanation of symbols

1:ウィルス被害範囲予測システム
2:管理サーバ
3:管理者端末
4:クライアント端末
5:操作ログ情報取得部
6:操作ログ情報記憶部
7:ファイル情報取得部
8:ファイル情報記憶部
9:ウィルス検出情報取得部
10:被害範囲予測処理部
101:ファイル特定部
102:端末特定部
11:ネットワーク接続遮断処理部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置 1: Virus damage range prediction system 2: Management server 3: Administrator terminal 4: Client terminal 5: Operation log information acquisition unit 6: Operation log information storage unit 7: File information acquisition unit 8: File information storage unit 9: Virus detection Information acquisition unit 10: Damage range prediction processing unit 101: File identification unit 102: Terminal identification unit 11: Network connection cutoff processing unit 20: Computing device 21: Storage device 22: Display device 23: Input device 24: Communication device

Claims (10)

コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、
前記ウィルス被害範囲予測システムは、
クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルスを検出したクライアント端末に記憶しているファイルにアクセスしたクライアント端末を、前記操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、
を有することを特徴とするウィルス被害範囲予測システム。 A virus damage range prediction system for predicting the damage range due to computer virus infection,
The virus damage range prediction system is:
An operation log information storage unit for storing operation log information of the client terminal;
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from a client terminal;
A damage range prediction processing unit for predicting a damage range of a virus infection by identifying a client terminal that has accessed a file stored in the client terminal that has detected the virus based on the operation log information;
A virus damage range prediction system characterized by comprising: 前記被害範囲予測処理部は、
前記感染したクライアント端末のクライアント端末識別情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、
前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、
ことを特徴とする請求項1に記載のウィルス被害範囲予測システム。 The damage range prediction processing unit
Based on the client terminal identification information of the infected client terminal and the operation content indicating file access, search the operation log information stored in the operation log information storage unit,
By identifying the client terminal identification information of the operation log information specified by the search, the client terminal that has accessed the file stored in the infected client terminal is specified.
The virus damage range prediction system according to claim 1. コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、
前記ウィルス被害範囲予測システムは、
クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末で記憶しているファイルのファイル識別情報を少なくとも記憶しているファイル情報記憶部と、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルス検出情報を取得すると、そのクライアント端末が記憶しているファイルを、前記ファイル情報記憶部に基づいて特定するファイル特定部と、
前記ファイル特定部で特定したファイルに対してアクセスしたクライアント端末を、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う端末特定部と、
を有することを特徴とするウィルス被害範囲予測システム。 A virus damage range prediction system for predicting the damage range due to computer virus infection,
The virus damage range prediction system is:
An operation log information storage unit for storing operation log information of the client terminal;
A file information storage unit storing at least file identification information of a file stored in the client terminal;
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from a client terminal;
Upon obtaining the virus detection information, a file specifying unit for specifying a file stored in the client terminal based on the file information storage unit,
A terminal identifying unit that predicts a damage range of a virus infection by identifying a client terminal that has accessed the file identified by the file identifying unit based on operation log information stored in the operation log information storage unit;
A virus damage range prediction system characterized by comprising: 前記ファイル特定部は、
前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報に基づいて、そのクライアント端末で記憶するファイルのファイル識別情報を、前記ファイル情報記憶部から特定し、
前記端末特定部は、
前記ファイル特定部で特定したファイル識別情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、
前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、
ことを特徴とする請求項3に記載のウィルス被害範囲予測システム。 The file specifying unit
When the virus detection information is acquired, based on the client terminal identification information of the virus detection information, the file identification information of the file stored in the client terminal is specified from the file information storage unit,
The terminal specifying unit
Based on the file identification information specified by the file specifying unit and the operation content indicating file access, search operation log information stored in the operation log information storage unit,
By identifying the client terminal identification information of the operation log information specified by the search, the client terminal that has accessed the file stored in the infected client terminal is specified.
The virus damage range prediction system according to claim 3. コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、
前記ウィルス被害範囲予測システムは、
各クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルスを検出したクライアント端末がアクセスしたファイルに、アクセスしたクライアント端末を前記操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部と、
を有することを特徴とするウィルス被害範囲予測システム。 A virus damage range prediction system for predicting the damage range due to computer virus infection,
The virus damage range prediction system is:
An operation log information storage unit for storing operation log information of each client terminal;
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from a client terminal;
A damage range prediction processing unit for predicting a damage range of virus infection by identifying the accessed client terminal based on the operation log information in a file accessed by the client terminal that has detected the virus;
A virus damage range prediction system characterized by comprising: コンピュータウィルスの感染による被害範囲を予測するウィルス被害範囲予測システムであって、
前記ウィルス被害範囲予測システムは、
クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部と、
前記ウィルス検出情報を取得すると、そのクライアント端末がアクセスしたファイルを、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定するファイル特定部と、
前記ファイル特定部で特定したファイルに対してアクセスしたクライアント端末を、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う端末特定部と、
を有することを特徴とするウィルス被害範囲予測システム。 A virus damage range prediction system for predicting the damage range due to computer virus infection,
The virus damage range prediction system is:
An operation log information storage unit for storing operation log information of the client terminal;
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from a client terminal;
When acquiring the virus detection information, a file specifying unit for specifying a file accessed by the client terminal based on operation log information stored in the operation log information storage unit;
A terminal identifying unit that predicts a damage range of a virus infection by identifying a client terminal that has accessed the file identified by the file identifying unit based on operation log information stored in the operation log information storage unit;
A virus damage range prediction system characterized by comprising: 前記ファイル特定部は、
前記ウィルス検出情報を取得すると、そのウィルス検出情報のクライアント端末識別情報とファイルアクセスを示す操作内容とに基づいて、そのクライアント端末がアクセスしたファイルのファイル識別情報とその保存場所の情報とを、前記操作ログ情報記憶部に記憶する操作ログ情報に基づいて特定し、
前記端末特定部は、
前記ファイル特定部で特定したファイル識別情報とその保存場所の情報とファイルアクセスを示す操作内容とに基づいて、前記操作ログ情報記憶部に記憶する操作ログ情報を検索し、
前記検索により特定した操作ログ情報のクライアント端末識別情報を抽出することで、感染したクライアント端末に記憶するファイルにアクセスしたクライアント端末を特定する、
ことを特徴とする請求項6に記載のウィルス被害範囲予測システム。 The file specifying unit
When acquiring the virus detection information, based on the client terminal identification information of the virus detection information and the operation content indicating the file access, the file identification information of the file accessed by the client terminal and the storage location information are Based on the operation log information stored in the operation log information storage unit,
The terminal specifying unit
Based on the file identification information specified in the file specifying unit, the information on the storage location and the operation content indicating the file access, search the operation log information stored in the operation log information storage unit,
By identifying the client terminal identification information of the operation log information specified by the search, the client terminal that has accessed the file stored in the infected client terminal is specified.
The virus damage range prediction system according to claim 6. 前記ウィルス被害範囲予測システムは、更に、
前記ウィルス感染の被害が予測されるとして特定されたクライアント端末について、ネットワーク接続の遮断処理を実行するネットワーク接続遮断処理部、
を有することを特徴とする請求項1から請求項7のいずれかに記載のウィルス被害範囲予測システム。 The virus damage range prediction system further includes:
A network connection blocking processing unit for performing a network connection blocking process on the client terminal identified as being predicted to be damaged by the virus infection;
The virus damage range prediction system according to any one of claims 1 to 7, characterized by comprising: クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、
前記ウィルスを検出したクライアント端末に記憶しているファイルにアクセスしたクライアント端末を前記記憶装置に記憶した操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、
として機能させることを特徴とするウィルス被害範囲予測プログラム。 A computer terminal for storing operation log information of a client terminal in a storage device,
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from the client terminal;
A damage range prediction processing unit that performs damage range prediction of virus infection by specifying a client terminal that has accessed a file stored in the client terminal that has detected the virus based on operation log information stored in the storage device,
Virus damage range prediction program characterized by functioning as クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、
クライアント端末からウィルスを検出したことを示すウィルス検出情報を取得するウィルス検出情報取得部、
前記ウィルスを検出したクライアント端末がアクセスしたファイルに、アクセスしたクライアント端末を前記記憶装置に記憶した操作ログ情報に基づいて特定することで、ウィルス感染の被害範囲予測を行う被害範囲予測処理部、
として機能させることを特徴とするウィルス被害範囲予測プログラム。 A computer terminal for storing operation log information of a client terminal in a storage device,
A virus detection information acquisition unit for acquiring virus detection information indicating that a virus has been detected from the client terminal;
A damage range prediction processing unit for predicting a damage range of a virus infection by specifying the accessed client terminal based on operation log information stored in the storage device in a file accessed by the client terminal that has detected the virus,
Virus damage range prediction program characterized by functioning as
JP2008015226A 2008-01-25 2008-01-25 Virus damage range prediction system Active JP4705961B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008015226A JP4705961B2 (en) 2008-01-25 2008-01-25 Virus damage range prediction system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008015226A JP4705961B2 (en) 2008-01-25 2008-01-25 Virus damage range prediction system

Publications (2)

Publication Number Publication Date
JP2009176132A JP2009176132A (en) 2009-08-06
JP4705961B2 true JP4705961B2 (en) 2011-06-22

Family

ID=41031130

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008015226A Active JP4705961B2 (en) 2008-01-25 2008-01-25 Virus damage range prediction system

Country Status (1)

Country Link
JP (1) JP4705961B2 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6590481B2 (en) 2012-12-07 2019-10-16 キヤノン電子株式会社 Virus intrusion route specifying device, virus intrusion route specifying method and program
JP6461992B2 (en) 2014-11-05 2019-01-30 キヤノン電子株式会社 Specific device, control method thereof, and program
CN104766006B (en) * 2015-03-18 2019-03-12 百度在线网络技术(北京)有限公司 A kind of method and apparatus of behavioural information corresponding to determining dangerous file
JP2016181191A (en) * 2015-03-25 2016-10-13 富士通株式会社 Management program, management unit and management method
JP6490502B2 (en) * 2015-06-10 2019-03-27 株式会社日立システムズ Cyber attack countermeasure range prioritization system, cyber attack countermeasure range prioritization method
JP6978662B2 (en) * 2017-03-23 2021-12-08 富士通株式会社 Output program, information processing device, and output method
JP2019164566A (en) * 2018-03-19 2019-09-26 株式会社リコー Remote management system, management device, remote management method, and remote management program
US10938839B2 (en) 2018-08-31 2021-03-02 Sophos Limited Threat detection with business impact scoring
WO2020170345A1 (en) * 2019-02-20 2020-08-27 日本電気株式会社 History output device, control method, and program

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06110718A (en) * 1992-09-30 1994-04-22 Toshiba Corp Virus protection system
JP4162099B2 (en) * 1995-06-02 2008-10-08 富士通株式会社 Device having function to cope with virus infection and storage device thereof
JP3871163B2 (en) * 1998-02-13 2007-01-24 株式会社日立情報システムズ Server transfer / editing method of virus check result and program recording medium thereof
JP2004086241A (en) * 2002-08-22 2004-03-18 Hitachi Information Systems Ltd Computer virus infection source detection system
JP2004258777A (en) * 2003-02-24 2004-09-16 Fujitsu Ltd Security monitoring device, its system, its method and its program
JP2006330791A (en) * 2005-05-23 2006-12-07 Seiko Epson Corp Client server system, computer, program, and log information management method for client server system

Also Published As

Publication number Publication date
JP2009176132A (en) 2009-08-06

Similar Documents

Publication Publication Date Title
JP4705961B2 (en) Virus damage range prediction system
US11647043B2 (en) Identifying security actions based on computing asset relationship data
EP3430560B1 (en) Using private threat intelligence in public cloud
US10021129B2 (en) Systems and methods for malware detection and scanning
US10257224B2 (en) Method and apparatus for providing forensic visibility into systems and networks
US10395031B2 (en) Systems and methods for malware detection and scanning
US7574740B1 (en) Method and system for intrusion detection in a computer network
EP2452287B1 (en) Anti-virus scanning
KR102580898B1 (en) System and method for selectively collecting computer forensics data using DNS messages
TW201723914A (en) Detection of advanced persistent threat attack on a private computer network
CN102799811B (en) Scanning method and device
US10560452B2 (en) Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network
Wang et al. NetSpy: Automatic generation of spyware signatures for NIDS
US20070006311A1 (en) System and method for managing pestware
JP2016146114A (en) Management method of blacklist
CN111818073B (en) Method, device, equipment and medium for detecting defect host
US20180026986A1 (en) Data loss prevention system and data loss prevention method
CN113849820A (en) Vulnerability detection method and device
JP2009176137A (en) Virus suffering range prediction system
TW201928746A (en) Method and apparatus for detecting malware
JP7074187B2 (en) Monitoring equipment, monitoring methods and programs
US9544328B1 (en) Methods and apparatus for providing mitigations to particular computers
CN109800568B (en) Security protection method, client, system and storage medium for document file
JP2015219859A (en) Network control system and network control method
JP2020107019A (en) Information processor, information processing method, information processing system, and program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110223

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110308

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110314

R150 Certificate of patent or registration of utility model

Ref document number: 4705961

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140318

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250