JP4730409B2 - 処理装置 - Google Patents
処理装置 Download PDFInfo
- Publication number
- JP4730409B2 JP4730409B2 JP2008189032A JP2008189032A JP4730409B2 JP 4730409 B2 JP4730409 B2 JP 4730409B2 JP 2008189032 A JP2008189032 A JP 2008189032A JP 2008189032 A JP2008189032 A JP 2008189032A JP 4730409 B2 JP4730409 B2 JP 4730409B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- unit
- virus
- summary information
- generated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
本発明は、ウイルス検出装置を含む処理装置に関するものである。
弊害をもたらすプログラムが示されたファイルはウイルスと称されており、例えばネットワークを介して処理装置にウイルスが取込まれる(以降、感染と称す)と、該処理装置からネットワークに接続する他の処理装置にウイルスが搬送され、搬送されたウイルスにより感染した他の処理装置から更に別の処理装置にウイルスが搬送される。すなわち、ネットワークに接続する多くの処理装置に連鎖的にウイルスが搬送されて感染し、これによりネットワーク中にウイルスが氾濫してしまい、これが大きな問題となっていた。
前記したウイルスを検出するためのウイルス検出装置がワクチンソフトとして例えばトレンドマイクロ株式会社から発売されている。このワクチンソフトは、予め登録されているウイルスのファイル名に基づいてファイル検索を行うことでウイルスの検出を行っている。
また、特許文献1には、オペレーティングシステムが提供する機能をプロセス(タスク)から呼出すためのシステムコールの正当性を判断することにより、ウイルスの検出を行うことが開示されている。
更に、パーソナルファイアウォールと称されるウイルス検出装置では、処理装置で許可されたプロセス以外でのネットワーク通信を制限することでウイルス感染を防止している。
特開2004−126854号公報
ところでワクチンソフトは、予め登録されているファイル名に基づいてウイルスの検出を行うことから、既知のウイルスに対する検出は行えても、未知のウイルスを検出することができない。従って未知のウイルスに対応した新たなワクチンソフトが作成されるまで、ウイルスを容易に検出することができなかった。また、従来のワクチンソフトでは、電子メールによるウイルス検出以外は対応しておらず、これも問題となっていた。
また、特許文献1に開示されたウイルス検出装置では、システムに対して重大な障害を与えないようなウイルスは正当であると判断することから、このようなウイルスを検出することができず、これも問題となっていた。
また、パーソナルファイアウォールでは、プロセス名に基づいて判別していることから、プロセス名が偽装されると、ウイルス感染してしまう恐れがあり、これも問題となっていた。
また、パーソナルファイアウォールでは、プロセス名に基づいて判別していることから、プロセス名が偽装されると、ウイルス感染してしまう恐れがあり、これも問題となっていた。
ところで、前記した従来のウイルス検出装置で検出できないウイルスの多くは、ネットワークを介して連鎖的に感染する送信機能を備えたウイルスが多く、該送信機能を備えたウイルスを的確に検出する装置が望まれていた。
従って、本発明は前記した課題に鑑みて成されており、従来のウイルス検出装置で検出できないウイルスや、従来の検出装置に対応して巧妙化されたウイルスに対してもウイルス検出が可能であり、特にネットワークを介して連鎖的に感染するウイルスの拡散を防止すべく、送信機能を備えたウイルスを的確に検出し得るウイルス検出装置を提供することにある。
本発明は、以上の点を解決するために、次の構成を採用する。
複数の他の処理装置にネットワークを介して接続され、記憶部のいずれかの送信ファイル情報を前記他の処理装置に送信する処理装置において、前記送信ファイル情報の送信時に該送信ファイル情報を要約処理して要約情報を生成する要約部と、保持部に格納済みの要約情報と生成された前記要約情報とを比較し、一致する前記格納済みの要約情報が存在するとその生成回数を設定すると共に一致する要約情報が存在しないと該生成した要約情報を前記保持部に格納する要約情報管理部と、所定時間内に生成された要約情報の生成回数が基準値より大きいと対応する送信ファイル情報にウィルスが含まれると判定する判定部とを含むことを特徴とする。
複数の他の処理装置にネットワークを介して接続され、記憶部のいずれかの送信ファイル情報を前記他の処理装置に送信する処理装置において、前記送信ファイル情報の送信時に該送信ファイル情報を要約処理して要約情報を生成する要約部と、保持部に格納済みの要約情報と生成された前記要約情報とを比較し、一致する前記格納済みの要約情報が存在するとその生成回数を設定すると共に一致する要約情報が存在しないと該生成した要約情報を前記保持部に格納する要約情報管理部と、所定時間内に生成された要約情報の生成回数が基準値より大きいと対応する送信ファイル情報にウィルスが含まれると判定する判定部とを含むことを特徴とする。
前記判定された送信ファイル情報を選別する選別部と、該選別した送信ファイル情報を前記記憶部から除去する駆除部とを更に有することを特徴とする。
本発明は、送信ファイル情報を要約した要約情報を生成し、同一の要約情報が所定時間内に基準値以上生成されるか否かを判断し、生成されていると送信ファイル情報にウイルスが含まれていると判定することから、同一内容の送信を繰返す特性を有する送信機能を備えたウイルスを的確に検出することができる。
以下、本発明の実施形態について、図を用いて詳細に説明する。以下の説明では、各実施の形態に用いる図面について同一の構成要素は同一の符号を付し、かつ重複する説明は可能な限り省略する。
本発明のウイルス検出装置10は、例えばパーソナルコンピュータやクライアント・サーバなどの処理装置に組み込まれている。このように処理装置に組み込まれたウイルス検出装置は、図1に示すようにネットワーク2に接続されており、該ネットワーク2には、複数の他の処理装置3、処理装置4および処理装置5が接続されている。
ネットワーク2に接続する各処理装置は、他の処理装置と通信が可能であり、このようなネットワークを構築するための一例としてTCP/IP(Transmission Contorl Protocol/Internet Protocol)と称される通信プロトコルが用いられている。尚、本実施例は前記したTCP/IPによりネットワーク通信可能のIPネットワークを例に以降の説明を行う。
ウイルス検出装置10は、ネットワーク2と接続するためのネットワークインタフェース20と、各種情報を保持する記憶部30と、該記憶部30で保持す情報にウイルスが含まれていないか検出するウイルス検出部40と、該ウイルス検出部40で検出したウイルスをフィルタリングするための選別部50と、該選別部50で選別するウイルスの駆除を行う駆除部60とを備える。
ネットワークインタフェース20は、ネットワーク2に接続した各処理装置とTCP/IPでデータ通信するための通信制御を行う。
記憶部30が保持する情報は、ネットワーク2を介して取得した電子メールや電子メールに添付されたファイル(プログラム)、また図示しない入力デバイスなどを介して取得したファイルや、プログラム、更にアプリケーションやオペレーティングシステムなどである。これらの情報の中には、アプリケーションやオペレーティングシステムに弊害をもたらすウイルスが含まれているおそれがあり、このような害をもたらすウイルスは、ネットワーク2を介して他の処理装置に連鎖的に感染する特徴を有している。
ところで、前記したウイルスが処理装置(ウイルス検出装置)に感染しても、当該処理装置の利用者は、ウイルスの感染認識が低く、然るに使用している処理装置がウイルスを媒介する伝播媒体になっている認識も低い。従って、利用者が知らない間に、感染したウイルスにより、勝手に新たなウイルスが生成され、生成されたウイルスが当該処理装置からネットワークに接続する他の処理装置に伝播してしまう。
ウイルス検出部40は、ウイルスが作成する送信ファイルに関連付けられた送信相手先を示す送信先情報が不特定であるか否かを判定している。この判定を行うために、ウイルス検出部40は、送信先情報としてのネットワークアドレスのランダム性を監視するランダム監視部41と、FQDN(Fully Qualified Domain Name)に対応するネットワークアドレスを管理するDNSサーバに対し、ネットワークアドレスの取得要求を行うか否かを監視する取得要求監視部42と、IPアドレスの取得要求を受けたDNSサーバからのステータスを監視する取得状況監視部43と、前記各監視部からの情報に重み付けを行って得た情報と、ウイルス判定基準情報とに基づいてウイルス判定を行う判定部44とを備える。
ランダム監視部41は、送信先情報に示された送信相手先を示すネットワークアドレス(以降、IPアドレスと称す)のランダム性を監視しており、監視内容が示されたランダム情報を生成する。
具体的には、ランダム監視部41は、送信相手先を示すIPアドレスが、所定の時間内にランダム的に生成されていないか監視している。すなわち、一般的なIP通信では、通常、所定の処理装置(ノード)に対して頻繁にアクセスを繰返すことが多く、従ってアクセスの度にノードの異なる送信相手先を示すIPアドレスは不自然である。また人間によるIPアドレスの指定や生成が極めて困難な極短時間に、送信相手先が異なるIPアドレスが生成されることも不自然であり、このようなランダム的にIPアドレスが生成されていないかランダム監視部41は監視する。ランダム監視部41は、監視結果を数値化したランダム情報を生成する。
ところで、送信先情報には、IPアドレス以外に、FQDNと称される情報が示されている。IPアドレスは人間が覚え難い数値化された情報であるのが、FQDN(完全修飾ドメイン名)は人間にとって覚え易いように文字表記されており、ドメイン名を省略することなくトップレベルからの全てのドメイン名が示された情報である。
前記したFQDNおよびIPアドレスは対でDNSサーバ(図示せず)で管理されており、例えばアプリケーションで入力されたFQDNに基づいて該FQDNに対応するIPアドレスをDNSサーバから取得し、送信相手先を示すIPアドレスに基づいてIP通信を行う。
ところで、ウイルスは、少なくともIPアドレスさえ生成してしまえばIP通信を行うことがきるため、人間にとって覚えやすいFQDNを必要としない。換言すると、ウイルスはIPアドレスを自動生成することから、FQDNに基づくIPアドレスの取得要求をDNSサーバに対し行わないと考えられる。
従って、送信先情報にFQDNが示されているにも拘わらず、取得要求を行わずにIPアドレスが示されていることは不自然であり、このような場合には、ウイルスによりIPアドレスのみが自動生成されたと考えられ、これを監視すべく、取得要求監視部42は、FQDNに基づくIPアドレスの取得要求がDNSサーバに対し行われるか否かを監視している。
取得要求監視部42は、監視結果を数値化した取得要求情報を生成する。
取得要求監視部42は、監視結果を数値化した取得要求情報を生成する。
取得状況監視部43は、FQDNに基づくIPアドレスの取得要求を行ったDNSサーバからのステータス監視を行っており、監視結果を数値化した取得状況情報を生成する。
ところで、ウイルスがランダム的に生成するFQDNに基づいてDNSサーバにIPアドレスの取得要求を行っても、ランダム的に生成されたFQDNに対応するIPアドレスがDNSサーバで管理されてない場合があり、その場合にはDNSサーバからウイルス検出装置10へエラーステータス(DNSエラー)が通知される。このDNSエラーを取得状況監視部43は監視している。
判定部44は、前記したランダム情報、取得要求情報および取得状況情報に対し、それぞれ重みの異なる重み付けを行い、重み付けした各情報の合算値と、ウイルス判定基準情報に示される基準値との比較を行って、基準値以上である場合には、送信先情報に関係付けられた送信ファイルをウイルスであると判定し、該送信ファイルを示すフィルタリング情報を生成する。
重み付けの一例として、ランダム情報に対する重み付け値が1番高く、取得要求情報および取得状況情報をランダム情報の重み付け値より低い重み付け値に設定する。
尚、この重み付け値は変更可能であり、ウイルス検出装置の設計仕様に基づいて適宜変更される。
また、ウイルス判定基準値もウイルス検出装置の設計仕様に基づいて適宜変更される。
尚、この重み付け値は変更可能であり、ウイルス検出装置の設計仕様に基づいて適宜変更される。
また、ウイルス判定基準値もウイルス検出装置の設計仕様に基づいて適宜変更される。
選別部50は、ウイルス検出部40からのフィルタリング情報に基づいて、記憶部30で保持されている情報からウイルス検出部40で検知されたウイルス(送信ファイル)の選別を行う。
駆除部60は、選別部50で選別されたウイルスの駆除を行うべく、利用者に駆除を行うか否かを確認する通知部61を備えている。この通知部61は、画面表示や音声案内などの機能を備えており、これらの機能を用いてウイルスを検出したこと利用者に通知する。
通知部61によるウイルス検出通知を受けた利用者は、ウイルス駆除を図示しない入力部で指示すると、検出したウイルスが記憶部30から削除される。
次に、本発明のウイルス検出装置10の動作を図2のフローチャートに沿って説明する。
尚、ウイルスが感染したことを前提にウイルス検出装置10の動作説明を行う。
送信フィアルが生成されて送信先情報が生成される(ステップS1)。通常、送信先情報はアプリケーションにより生成されるが、ウイルス感染すると当該ウイルスにより送信先情報が自動生成される。
尚、ウイルスが感染したことを前提にウイルス検出装置10の動作説明を行う。
送信フィアルが生成されて送信先情報が生成される(ステップS1)。通常、送信先情報はアプリケーションにより生成されるが、ウイルス感染すると当該ウイルスにより送信先情報が自動生成される。
ところで、ウイルス検出部40は生成される送信先情報が不特定の通信相手先であるとき、送信先情報に対応付けられた送信ファイルをウイルスと判断する。
具体的には、ウイルス検出部40のランダム監視部41が、送信先情報に示されたIPアドレスのランダム性を監視し、監視結果としてランダム性を示すランダム情報を生成する(ステップS2)。
具体的には、ウイルス検出部40のランダム監視部41が、送信先情報に示されたIPアドレスのランダム性を監視し、監視結果としてランダム性を示すランダム情報を生成する(ステップS2)。
また、送信先情報にFQDNが示されているとき(ステップS3)、取得要求監視部42はFQDNに基づいてIPアドレスの取得をDNSサーバに対し行うか監視しており、該監視結果を示す取得要求情報を生成する(ステップS4)。
FQDNに基づいてDNSサーバに対しIPアドレスの取得要求を行った後、取得状況監視部43は、DNSサーバからのステータスを監視する。すなわち取得状況監視部43は、DNSサーバからのDNSエラーを監視し、該監視結果を示す取得状況情報を生成する(ステップS5)。
判定部44は、各監視部で生成される情報に所定の重み付けを行い(ステップS6)、重み付けした各情報と、所定のウイルス判定基準値との比較判定を行い(ステップS7)、重み付けした情報がウイルス判定基準値以上であるとき、当該送信先情報に対応付けられた送信ファイルをウイルスであると判断し、該送信ファイルを示すフィルタリング情報を生成する。
生成されたフィルタリング情報は選別部50へ送られると、該選別部50はフィルタリング情報に示される送信ファイルを記憶部30で保持するファイル群から選別する(ステップS8)。
その後、駆除部60の通知部61により、利用者にウイルス検出を通知して警告する(ステップS9)。
ところで、ウイルス検出を行うための判定基準が低く設定されていると、利用者が送信しようとする送信ファイルがウイルスであると判断される場合もあり、このような場合に対処すべく、ウイルスであると仮検出した送信ファイルが利用者の意思で送信しようとしているか否か利用者に確認を行う(ステップS10)。
その後、駆除部60の通知部61により、利用者にウイルス検出を通知して警告する(ステップS9)。
ところで、ウイルス検出を行うための判定基準が低く設定されていると、利用者が送信しようとする送信ファイルがウイルスであると判断される場合もあり、このような場合に対処すべく、ウイルスであると仮検出した送信ファイルが利用者の意思で送信しようとしているか否か利用者に確認を行う(ステップS10)。
この確認で利用者の意思で送信しようとしていない送信ファイルであるとき、選別部50で選別した送信ファイルが駆除部60で駆除されるべく、記憶部30から削除される(ステップS11)。
前記したように、実施例1のウイルス検出装置10によれば、送信相手先をランダム監視部41、取得要求監視部42および取得状況監視部43で監視し、各監視結果に基づいて判定部で不特定の送信先に対する送信であるか否かを判定することにより、不特定の送信先に対する送信ファイルをウイルスとして検出することができる。更に、ウイルス検出したことを利用者に警告することにより、警告を受けた利用者は自身が意図する送信でない送信ファイルの駆除を駆除部60に指示し、該駆除部60で検出したウイルスの駆除を行うことができ、ネットワーク2を介してウイルス感染することを未然に防止することができる。
次に、同じ送信内容での送信を繰返すウイルス特性に着目したウイルス検出装置100を説明する。
実施例2のウイルス検出装置100は、図3に示すように、実施例1と同様にネットワーク2を介して複数の他の処理装置3、処理装置4および処理装置5と接続されている。
実施例2のウイルス検出装置100は、ネットワーク2を介して通信するための制御を行うネットワークインタフェース20と、各種情報を保持する記憶部30と、検出したウイルスをフィルタリングするための選別部50と、ウイルスの駆除を行う駆除部60とを備えており、更に送信ファイルの要約情報に基づいてウイルス検出を行うウイルス検出部70とを備える。
ウイルス検出部70以外の各構成は、前記した実施例1と同様であることからその説明を割愛し、実施例2の特徴であるウイルス検出部70を詳細に説明する。
ウイルス検出部70は、送信ファイルを要約する要約部71と、該要約部71で作成された要約情報を管理する要約情報管理部72と、該要約情報管理部72で管理する要約管理情報に基づいてウイルス判定を行う判定部73とを備える。
要約部71は、従来から知られたハッシュ関数やCRC(Cyclic Redundancy Check)と称される巡回冗長検査用関数などのメッセージ要約関数を用いて送信ファイルを要約して要約情報を生成する。
ハッシュ関数は、メッセージ ダイジェスト(圧縮)と称される計算関数であり、送信ファイルの要約を行い、不可逆性の要約情報を生成する。
ハッシュ関数は、メッセージ ダイジェスト(圧縮)と称される計算関数であり、送信ファイルの要約を行い、不可逆性の要約情報を生成する。
ハッシュ関数としては、例えばMD5やHMACと称さる処理アルゴリズムがあり、これらの処理アルゴリズムを用いてファイル内容を要約し、32ビットの情報を生成する。ハッシュ関数により生成される32ビットの情報が要約情報である。
ところで、ハッシュ関数の処理アルゴリズムは規則性があり、該処理アルゴリズムに従って生成される要約情報は、ファイルが同一であれば同一となる。即ち、ハッシュ関数は同一フィアルを一義的に要約して同一の要約情報を生成する。
ところで、ウイルスは、該ウイルスを複写して生成した送信ファイルまたは自己生成したウイルスの送信ファイルの送信を繰返す特性を有している。従って、ウイルス特性に着目し、送信に先立ち生成される送信ファイルの要約情報を生成することにより、該同一の要約情報が所定の時間内に頻繁に作成される場合、当該送信ファイルはウイルスであると判断することができる。
要約情報管理部72はウイルス判定に必要な情報を要約管理情報として生成し管理しており、該要約管理情報を保持するための要約管理情報保持部720を備えている。
要約情報管理部72は、要約部71で生成された要約情報が同一であるか否か判定し、同一の要約情報を所定時間内においてカウントする。つまり要約情報管理部72は、所定時間内で生成される送信ファイルに基づいて生成される要約情報の生成数をカウントする。要約情報管理部72は、要約情報の生成数をカウントして管理するための要約管理情報を生成する。
要約管理情報は、図4に示すように、要約部71で求めた要約情報と、カウント値と、カウント値の保持時間とで構成されている。要約情報は、要約関数で求めたハッシュ値と、該ハッシュ値の生成元の送信ファイルのファイルサイズとで構成されている。
図4におけるハッシュ値は、32ビットの情報を16進8桁で示されている。送信ファイルのファイルサイズは、互いに異なる送信ファイルにもかかわらず、要約部71で同一のハシュ値が生成されるおそれがあり、これを峻別するための情報である。従って、同一のハッシュ値であるがファイルサイズが異なる場合、新たな要約情報(ハッシュ値+送信ファイルサイズ)が要約管理情報に生成されて、当該要約情報におけるカウント管理が要約情報管理部72で行われる。
カウント値は、同一のハッシュ値であり、かつファイルサイズの同一となるハッシュ値が生成される度に加算される値である。
残り保持時間は、要約管理情報において、要約情報(ハッシュ値や送信ファイルサイズ)やカウンタなどを保持し続ける残り時間である。残り保持時間は、カウント値の加算が行われると初期化、つまり所定の時間がセットされる。また新規な要約情報がエントリされたときにも、残り保持時間は初期化される。
ところで、前記した残り保持時間は図示しない計時部に対応しており、要約情報管理部72は計時部で1秒の時間経過があると、残り保持時間が1秒少なくなるように要約管理情報を管理する。要約情報管理部72は、設定された残り保持時間内に、カウンタ値の加算が行われない場合、すなわち設定された残り保持時間内に同一送信ファイルの送信繰返しがないとき、当該要約情報を要約管理情報から削除する。
判定部73は、要約情報管理部72の要約管理情報保持部720で保持する要約管理情報に基づいて、各要約情報のカウント値がウイルス判断基準値以上であるか否か判定する。判定部73は、判定でウイルス判断基準値以上のカウントされた要約情報に対応する送信ファイルはウイルスであると判断し、該送信ファイルを示すフィルタリング情報を生成する。
次に、実施例2のウイルス検出装置100の動作を図5のフローチャートに沿って説明する。
尚、ウイルスが感染したことを前提にウイルス検出装置100の動作説明を行う。
尚、ウイルスが感染したことを前提にウイルス検出装置100の動作説明を行う。
送信に先立ち送信ファイルが生成されると(ステップS21)、該送信ファイルに基づいて要約部71は要約情報を生成する(ステップS22)。要約情報が生成されると、要約情報管理部72は、生成された要約情報は新規な要約情報であるか、既に管理している要約情報であるか否か要約管理情報に基づいて判断する(ステップS23)。
既に管理している要約情報である場合には、要約情報管理部72は要約管理情報で管理するカウンタ値をカウントアップすると共に残り保存時間の初期化を行う(ステップS24)。
判定部73は、要約管理情報保持部720で保持する要約管理情報に基づいて、カウンタ値とウイルス判断基準値との比較を行い(ステップS25)、カウンタ値がウイルス判断基準値以上であるとき、当該カウンタ値に対応する要約情報に対応する送信ファイルがウイルスであると判断し、該送信フィアルを示すフィルタリング情報を生成する。
判定部73は、要約管理情報保持部720で保持する要約管理情報に基づいて、カウンタ値とウイルス判断基準値との比較を行い(ステップS25)、カウンタ値がウイルス判断基準値以上であるとき、当該カウンタ値に対応する要約情報に対応する送信ファイルがウイルスであると判断し、該送信フィアルを示すフィルタリング情報を生成する。
選別部50はフィルタリング情報に示される送信ファイルを記憶部30で保持するファイル群から選別する(ステップS26)。その後、駆除部60の通知部61により、利用者にウイルス検出の通知警告が行われる(ステップS27)。
その後駆除部60は、ウイルス警告を受けた利用者に対し、当該利用者の意思で送信しようとしている送信ファイルであるか否か利用者に確認する(ステップS28)。
その後駆除部60は、ウイルス警告を受けた利用者に対し、当該利用者の意思で送信しようとしている送信ファイルであるか否か利用者に確認する(ステップS28)。
この確認で利用者の意思で送信しようとしていない送信ファイルであるとき、選別部50で選別した送信ファイルをウイルスとして駆除すべく、当該送信ファイルを駆除部60は記憶部30から削除する(ステップS29)。
一方、前記したステップS23において、新規な要約情報である場合には、要約情報管理部72は、新規な要約情報の管理を開始すべく、要約管理情報に新規な要約情報をセットし残り保持時間を初期化し(ステップS30)、前記したステップS25からの処理を行う。
ところで、前記した各処理を行っている間にも、残り保持時間のタイマ制御が要約情報管理部72で行われており、残り保持時間の値がゼロになると、要約管理情報から残り保持時間の値がゼロの要約情報が削除され、当該要約情報の管理が終了する。
前記したように、実施例2のウイルス検出装置100によれば、送信ファイルに基づいて要約部71で要約された要約情報の生成のカウントを要約情報管理部72で行い、判定部73で所定の時間内に生成される同一の要約情報のカウント値がウイルス判断基準値以上であるとき、要約情報の生成元である送信ファイルをウイルスと判断し、ウイルス検出したことを利用者に警告することにより、警告を受けた利用者は自身が意図する送信でない送信ファイルの駆除を駆除部60に指示し、該駆除部60で検出したウイルスの駆除を行うことができ、ネットワーク2を介してウイルス感染することを未然に防止することができる。
前記した実施例1では、ランダム監視部41、取得要求監視部42および取得状況監視部43でそれぞれ生成される情報に重み付けを行って判定を行ったが、前記した各監視部の少なくとも一つ以上の監視部での監視結果に基づいて、ウイルス検出の判定を行うようにしてもよい。
2 ネットワーク
3、4、5 処理装置
10、100 ウイルス検出装置
20 ネットワークインタフェース
30 記憶部
40、70 ウイルス検出部
41 ランダム監視部
42 取得要求監視部
43 取得状況監視部
50 選別部
60 駆除部
61 通知部
71 要約部
72 要約情報管理部
720 要約管理情報保持部
3、4、5 処理装置
10、100 ウイルス検出装置
20 ネットワークインタフェース
30 記憶部
40、70 ウイルス検出部
41 ランダム監視部
42 取得要求監視部
43 取得状況監視部
50 選別部
60 駆除部
61 通知部
71 要約部
72 要約情報管理部
720 要約管理情報保持部
Claims (2)
- 複数の他の処理装置にネットワークを介して接続され、記憶部のいずれかの送信ファイル情報を前記他の処理装置に送信する処理装置において、
前記送信ファイル情報の送信時に該送信ファイル情報を要約処理して要約情報を生成する要約部と、
保持部に格納済みの要約情報と生成された前記要約情報とを比較し、一致する前記格納済みの要約情報が存在するとその生成回数を設定すると共に一致する要約情報が存在しないと該生成した要約情報を前記保持部に格納する要約情報管理部と、
所定時間内に生成された要約情報の生成回数が基準値より大きいと対応する送信ファイル情報にウィルスが含まれると判定する判定部と、
を含むことを特徴とする処理装置。 - 前記判定された送信ファイル情報を選別する選別部と、
該選別した送信ファイル情報を前記記憶部から除去する駆除部とを更に有することを特徴とする請求項1記載の処理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008189032A JP4730409B2 (ja) | 2008-07-22 | 2008-07-22 | 処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008189032A JP4730409B2 (ja) | 2008-07-22 | 2008-07-22 | 処理装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004345190A Division JP4412156B2 (ja) | 2004-11-30 | 2004-11-30 | 処理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008293526A JP2008293526A (ja) | 2008-12-04 |
| JP4730409B2 true JP4730409B2 (ja) | 2011-07-20 |
Family
ID=40168118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008189032A Active JP4730409B2 (ja) | 2008-07-22 | 2008-07-22 | 処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4730409B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8774761B2 (en) * | 2012-01-27 | 2014-07-08 | Qualcomm Incorporated | Mobile device to detect unexpected behaviour |
| JP5978944B2 (ja) * | 2012-11-20 | 2016-08-24 | 日産自動車株式会社 | 車載機及びセキュリティシステム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3945438B2 (ja) * | 2003-03-28 | 2007-07-18 | コニカミノルタビジネステクノロジーズ株式会社 | 制御プログラムおよび制御装置 |
| JP3903969B2 (ja) * | 2003-08-06 | 2007-04-11 | セイコーエプソン株式会社 | ワームの感染防止システム |
-
2008
- 2008-07-22 JP JP2008189032A patent/JP4730409B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008293526A (ja) | 2008-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10664602B2 (en) | Determining malware prevention based on retrospective content scan | |
| EP2739003B1 (en) | Systems and methods to detect and respond to distributed denial of service (DDoS) attacks | |
| JP4688420B2 (ja) | 電子セキュリティを強化するシステムおよび方法 | |
| JP5886422B2 (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
| US6851058B1 (en) | Priority-based virus scanning with priorities based at least in part on heuristic prediction of scanning risk | |
| EP2401849B1 (en) | Detecting malicious behaviour on a computer network | |
| JP4072150B2 (ja) | ホストベースのネットワーク侵入検出システム | |
| JP4392461B2 (ja) | コンピュータウイルス検査装置及びアクセス制限装置並びに半導体集積回路 | |
| JP4489676B2 (ja) | 通信システム | |
| US9268628B2 (en) | Image forming apparatus, control method for image forming apparatus, and storage medium | |
| WO2007062086A2 (en) | Domain name system security network | |
| JP2013242869A (ja) | 惡性コード遮断システム | |
| US20150033335A1 (en) | SYSTEMS AND METHODS TO DETECT AND RESPOND TO DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACKS | |
| JP4412156B2 (ja) | 処理装置 | |
| JP4170301B2 (ja) | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム | |
| JP4730409B2 (ja) | 処理装置 | |
| JP2007179523A (ja) | 悪意データを検出する端末装置及び関連方法 | |
| WO2019240054A1 (ja) | 通信装置、パケット処理方法及びプログラム | |
| US20160337394A1 (en) | Newborn domain screening of electronic mail messages | |
| CN109462503B (zh) | 一种数据检测方法和装置 | |
| JP2017092755A (ja) | ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。 | |
| CN114329602B (zh) | 一种访问控制方法、服务器、电子设备及存储介质 | |
| US20220239676A1 (en) | Cyber-safety threat detection system | |
| JP4441517B2 (ja) | ワーム判定装置、ワーム判定プログラムおよびワーム判定方法 | |
| JP2005197959A (ja) | ルータ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110316 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110322 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110404 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140428 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4730409 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140428 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140428 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |