JP5050781B2 - マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 - Google Patents

マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 Download PDF

Info

Publication number
JP5050781B2
JP5050781B2 JP2007281904A JP2007281904A JP5050781B2 JP 5050781 B2 JP5050781 B2 JP 5050781B2 JP 2007281904 A JP2007281904 A JP 2007281904A JP 2007281904 A JP2007281904 A JP 2007281904A JP 5050781 B2 JP5050781 B2 JP 5050781B2
Authority
JP
Japan
Prior art keywords
node
malware
nodes
request information
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007281904A
Other languages
English (en)
Other versions
JP2009110270A (ja
Inventor
芳樹 東角
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2007281904A priority Critical patent/JP5050781B2/ja
Priority to US12/258,915 priority patent/US8375445B2/en
Publication of JP2009110270A publication Critical patent/JP2009110270A/ja
Application granted granted Critical
Publication of JP5050781B2 publication Critical patent/JP5050781B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

この発明は、マルウエアに感染したノードを特定するマルウエア検出装置、マルウエア検出プログラム、およびマルウエア検出方法に関する。
近年、ワームのように、ネットワーク上で目立った感染活動を行わないで潜在するタイプのマルウエアが増加している。これらの潜在タイプのマルウエアは、指令系サーバからの感染活動指示を待って活動するため、エンドユーザが気がつかない間にPCに感染して潜伏していることが多く、SPAMやDDOS(Distributed Denial of Service)攻撃の踏み台などの様々な不正アクセスの温床となっている。
そこで、これらの潜在タイプのマルウエアを早期に発見するための技術が必要とされている。これらのマルウエアは、インターネットなどで様々な形でソースプログラムが公開されており、攻撃者は、比較的簡単にマルウエアのソースを入手し、カスタマイズしたマルウエアを作成することができるため、亜種が多いという特徴を持っている。
PCにインストールされたアンチウイルスソフトによるパターンマッチングにおいては、大規模に蔓延するマルウエアの検体をアンチウイルスベンダが収集、解析し、マルウエアの検出パターンを作成している。しかし、潜在タイプのマルウエアは、大規模な蔓延を起こさないことから検体の収集に手間がかかり、検出パターンの作成が困難である。
また、特定のマルウエアの亜種が数多く出回ることから、アンチウイルスによるパターンマッチによるマルウエアの検出が困難である。これに対して、マルウエアのネットワーク上の挙動に基づいてマルウエアに感染したノードを特定するマルウエア検出技術が提案されている(たとえば、下記特許文献1,2参照。)。たとえば、従来の技術では、各ノードの通信量を監視し、通信量がしきい値を超えるノードを感染ノードとして特定する。
特開2005−134974号公報 特開2007−150613号公報
しかしながら、上述した従来技術では、高速に感染を広げるマルウエアを検出対象としていたため、感染活動の遅い潜在タイプのマルウエアを、通常の通信と区別して検出することが困難であった。このため、感染ノードを特定できなかったり、感染していないノードを感染ノードとして誤特定してしまったりする問題があった。
たとえば、通信量がしきい値を超えるノードを感染ノードとして特定する技術では、マルウエアの感染活動による通信と通常の通信とを区別するためのしきい値の設定が困難である。また、マルウエアの感染活動による通信量と通常の通信量とがほとんど同じである場合には、マルウエアの検出が不可能である。
この発明は、上述した従来技術による問題点を解消するため、潜在タイプのマルウエアに感染したノードを精度よく特定することができる装置、プログラム、方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、この装置、プログラム、方法は、監視対象ノード群の中から、共通する第1の宛先へ接続要求情報を送信した複数のノードを検出する第1検出手段と、前記監視対象ノード群の中の各ノードが接続要求情報を送信した第2の宛先の数を検出する第2検出手段と、前記第1検出手段によって検出された複数のノードと前記第2検出手段によって検出された第2の宛先の数とに基づいて、マルウエアに感染したノードを特定する特定手段と、前記特定手段によって特定された特定結果を出力する出力手段と、を備えることを要件とする。
この装置、プログラム、方法によれば、第1検出手段によって検出された感染ノードの第1候補と、第2検出手段によって検出された感染ノードの第2候補と、の両方に含まれるノードを特定することによって、潜在タイプのマルウエアに感染したノードの2種類の特徴を両方満たすノードを特定することができる。
また、この装置、プログラム、方法において、前記第1検出手段は、前記第1の宛先のうち接続要求情報を送信したノードの数が第1のしきい値以上である宛先に対して接続要求情報を送信した複数のノードを検出し、前記第2検出手段は、前記監視対象ノード群の中から前記第2の宛先の数が第2のしきい値以上であるノードを検出し、前記特定手段は、前記第1検出手段によって検出され、かつ、前記第2検出手段によって検出されたノードを前記マルウエアに感染したノードとして特定することを要件とする。
この装置、プログラム、方法によれば、第1のしきい値および第2のしきい値の調節により、マルウエアに感染していない通常のノードを除外しつつ、感染活動の遅い潜在タイプのマルウエアに感染したノードを精度よく検出することができる。
また、この装置、プログラム、方法において、前記第2検出手段は、前記第2のしきい値以上であるノードの中から、前記第2の宛先のうち存在しない宛先に接続要求情報を送信したノードを検出することを要件とする。
この装置、プログラム、方法によれば、マルウエアに感染していないノードが複数の宛先に対して通信を行った場合に、このノードを感染ノードの第2候補として検出してしまう確率を低くすることができる。
また、この装置、プログラム、方法は、前記マルウエアの指令系サーバではない宛先を記憶する記憶手段を備え、前記第1検出手段は、前記監視対象ノード群の中から、前記第1の宛先のうち前記記憶手段に記憶されていない宛先へ接続要求情報を送信した複数のノードを検出することを要件とする。
この装置、プログラム、方法によれば、マルウエアの指令系サーバではないことが判明している宛先を第1の宛先から除外してマルウエアに感染したノードを検出することで、マルウエアに感染していないノードを感染ノードの第1候補として検出してしまう確率を低くすることができる。
また、この装置、プログラム、方法において、前記第1検出手段は、前記監視対象ノード群の中から、前記第1の宛先へ切断要求情報を送信していない複数のノードを検出することを要件とする。
この装置、プログラム、方法によれば、監視対象ノード群の中のノードから、第1の宛先へ切断要求情報を送信したノードを除外してマルウエアに感染したノードを検出することで、マルウエアに感染していないノードを感染ノードの第1候補として検出してしまう確率を低くすることができる。
この装置、プログラム、方法によれば、潜在タイプのマルウエアに感染したノードを精度よく特定することができるという効果を奏する。
以下に添付図面を参照して、この装置、プログラム、方法の好適な実施の形態を詳細に説明する。
(実施の形態1)
まず、この発明の実施の形態1にかかるマルウエア検出装置の概要について説明する。図1は、実施の形態1にかかるマルウエア検出装置の概要図(その1)である。図1に示すように、たとえば、実施の形態1にかかるマルウエア検出装置100は、複数のノードA〜Gが接続されたネットワークシステムのルータに適用される。
ノードD〜Gは、マルウエア検出装置100の監視対象ノード群である。ここでは、マルウエア検出装置100は、ノードD〜Gが互いに送受信する各パケットや、ノードD〜GがノードA〜Cとの間で送受信する各パケットのルーティングを行う。また、マルウエア検出装置100は、ルーティングする各パケットを監視する。
ここで、ノードAがマルウエアの指令系サーバであり、ノードEがマルウエアの感染ノードであるとする。マルウエアに感染したノードEは、指令系サーバであるノードAに接続要求情報を送信し、ノードAからの感染活動指示を待つ。ノードAからノードEへ感染活動指示が送信されると、ノードEは、ネットワークシステム上のノードB〜D,F,Gのうちの複数のノードへ接続要求情報を送信して感染活動を行う。
図2は、実施の形態1にかかるマルウエア検出装置の概要図(その2)である。テーブル210は、マルウエア検出装置100が監視した各パケット(接続要求情報)の送信元ノードおよび宛先ノードを記憶している。マルウエアを感染させる指令系サーバは、多数の感染ノードに対して感染活動指示を送信するため、アクセスノード数が多いと、そのサーバは感染指令を出している指令系サーバである可能性が高いと考えられる。
このため、マルウエア検出装置100の指令系検出部121は、テーブル210に基づいて、第1のしきい値以上(ここでは3以上)のノードからパケットを受信したノードAを、マルウエアの指令系サーバの候補として検出する。また、指令系検出部121は、指令系サーバ候補として検出したノードAへパケットを送信したノードC,D,Eを感染ノードの第1候補として検出する。
感染活動検出部122は、テーブル210に基づいて、しきい値以上(ここでは3以上)のノードへパケットを送信したノードE,Gを感染ノードの第2候補として検出する。
特定部130は、指令系検出部121によって検出された感染ノードの第1候補(ノードC,D,E)と、感染活動検出部122によって検出された感染ノードの第2候補(ノードE,G)と、の両方に含まれるノードEをマルウエアの感染ノードとして特定する。このように、マルウエア検出装置100は、2通りの検出方法によって感染ノードの候補を検出し、2通りの検出方法の両方で検出されたノードを感染ノードとして特定する。
マルウエアに感染したノードが感染活動を行う場合は、通常、存在しない宛先に対してもパケットを送信する。一方、マルウエアに感染していないノードが複数の宛先へメールを送信する場合などは、通常、送信するパケットのすべての宛先が存在する。このため、感染活動検出部122は、しきい値以上のノードへパケットを送信したノードであっても、パケットの宛先がすべて存在するノードは第1候補から除外するようにしてもよい。
また、マルウエアの指令系サーバでないことが判明している宛先をホワイトリストとして備えていてもよい。この場合は、指令系検出部121は、しきい値以上のノードからパケットを受信したノードであっても、ホワイトリストに含まれているノードは指令系サーバの候補から除外するようにしてもよい。
また、マルウエアに感染したノードは、通常、マルウエアの指令系サーバに対して接続要求情報を送信し続け、マルウエア指令系サーバからの感染活動指示を待つ。このため、指令系検出部121は、指令系サーバの候補へ接続要求情報を送信したノードであっても、指令系サーバの候補へ切断要求情報を送信したノードは感染ノードの第1候補から除外するようにしてもよい。
(マルウエア検出装置のハードウェア構成)
つぎに、この発明の実施の形態1にかかるマルウエア検出装置100のハードウェア構成について説明する。図3は、実施の形態1にかかるマルウエア検出装置のハードウェア構成を示す説明図である。図3に示すように、マルウエア検出装置100は、CPU310,メモリ320,インターフェース330(I/F)を有する。
CPU310は、マルウエア検出装置100の全体の制御を司る。メモリ320は、ROM(Read Only Memory),RAM(Random Access Memory),HD(Hard Disk),光ディスク,フラッシュメモリなどから構成される。メモリ320はCPU310のワークエリアとして使用される。
また、メモリ320には各種プログラムが格納されており、CPU310からの命令に応じてロードされる。インターフェース330は、ネットワーク340を介してノードA〜G(図1参照)と間でパケットの送受信を行う。インターフェース330は、NIC(Network Interface Card)などから構成される。
(マルウエア検出装置の機能的構成)
つぎに、マルウエア検出装置100の機能的構成について説明する。図4は、マルウエア検出装置の機能的構成を示すブロック図である。図4において、図2に示した構成と同様の構成については同一の符号を付す。マルウエア検出装置100は、パケット受信部110と、検出部120と、特定部130と、出力部140と、を備えている。
パケット受信部110および出力部140は、インターフェース330により実現することができる。検出部120および特定部130は、上述したメモリ320に記憶された検出部120および特定部130に関するプログラムをCPU310に実行させることにより実現することができる。
また、パケット受信部110、検出部120、特定部130および出力部140の各機能からの出力データはメモリ320に保持される。また、図4中矢印で示した接続先の機能は、接続元の機能からの出力データをメモリ320から読み込んで、当該機能に関するプログラムをCPU310に実行させるものとする。
パケット受信部110は、監視対象ノード群が送受信する各パケットを分岐して受信する。パケット受信部110は、受信したパケットを指令系検出部121および感染活動検出部122へそれぞれ出力する。検出部120は、指令系検出部121と、感染活動検出部122と、記憶部123と、を備えている。
指令系検出部121は、パケット受信部110から出力されたパケットに基づいて、監視対象ノード群の中から、共通する第1の宛先へ接続要求情報を送信した複数のノードを検出する。宛先とは、接続要求情報の送信先のコンピュータであり、送信元とは、接続要求情報を送信したコンピュータである。宛先および送信元は、具体的には、たとえば、IPアドレスやMACアドレスで特定される。以下、監視対象ノード群の中の複数のノードが接続要求情報を送信した共通の第1の宛先を単に「第1の宛先」と称する。
第1の宛先は、監視対象ノード群のアクセス状況によって、1つだけ存在する場合もあるし、複数存在する場合もある。たとえば、監視対象ノード群の中のノードa,b,c,d,e,fが共通のサーバxへ接続要求情報を送信してアクセスしている場合には、サーバxは第1の宛先に該当し、ノードb,d,eが共通のサーバyへ接続要求情報を送信してアクセスしている場合には、サーバyも第1の宛先に該当する。
指令系検出部121は、具体的には、第1の宛先のうち接続要求情報を送信したノードの数が第1のしきい値以上である宛先をマルウエアの指令系サーバ候補として検出する。第1の宛先のうち接続要求情報を送信したノードの数が第1のしきい値以上である宛先とは、たとえば、ある期間内に、監視対象ノード群の中の第1のしきい値以上の数のノードから接続要求情報を受信したノードの宛先である。
たとえば、上記の例では、サーバxは6つのノードa,b,c,d,e,fとアクセスしており、サーバyは3つのノードb,d,eとアクセスしているが、第1のしきい値が4であるとすると、第1の宛先x、yのうちxがマルウエアの指令系サーバ候補として絞り込まれることとなる。
そして、指令系検出部121は、指令系サーバ候補として検出した宛先に対して接続要求情報を送信した複数のノードを感染ノードの第1候補として検出する。第1の宛先は、マルウエア検出装置100が監視するパケットの各送信先のうちの共通の宛先であり、マルウエア検出装置100の監視対象ノード群(図1のノードD〜G)に限らず、監視対象外のノード(図1のA〜C)であってもよい。
記憶部123は、ホワイトリストを記憶している。ホワイトリストは、指令系サーバではない宛先のリストである。指令系検出部121は、監視対象ノード群の中から、第1の宛先のうち記憶部123のホワイトリストに含まれていない宛先を指令系サーバ候補として検出してもよい。この場合は、指令系検出部121は、第1の宛先のうちホワイトリストに含まれていない宛先へ接続要求情報を送信した複数のノードを検出する。
ホワイトリストには、マルウエアの指令系サーバでないことが判明している既知のプロキシサーバ、DNSサーバまたはWEBサーバなどの宛先をあらかじめ記憶しておく。これにより、指令系検出部121は、指令系サーバからの感染活動指示を待っているノードをマルウエアに感染していないノードと区別して検出することができる。
また、指令系検出部121は、監視対象ノード群の中から、第1の宛先へ切断要求情報を送信していない複数のノードを検出してもよい。具体的には、指令系検出部121は、指令系サーバ候補として検出した宛先に対して接続要求情報を送信した複数のノードのうち、指令系サーバ候補として検出した宛先に対して切断要求情報も送信したノードを感染ノードの第1候補から除外する。
感染活動検出部122は、監視対象ノード群の中の各ノードが接続要求情報を送信した第2の宛先の数を検出する。感染活動検出部122は、接続要求情報を送信した宛先の数を、監視対象ノード群のノードごとに検出する。感染活動検出部122は、監視対象ノード群の中から、接続要求情報を送信した宛先の数が第2のしきい値以上であるノードを感染ノードの第2候補として検出する。
接続要求情報を送信した宛先の数が第2のしきい値以上であるノードとは、ある期間内に接続要求情報を送信した宛先の数が第2のしきい値以上であるノードであってもよいし、送信した接続要求情報に指定された宛先の数が第2のしきい値以上であるノードであってもよいし、これらの条件の少なくとも一方を満たすノードであってもよい。
また、感染活動検出部122は、接続要求情報を送信した宛先の数が第2のしきい値以上であるノードの中から、第2の宛先のうち存在しない宛先に接続要求情報を送信したノードを検出してもよい。たとえば、感染活動検出部122は、第2のしきい値以上の複数の宛先へ接続要求情報を送信したノードの中の、送信した複数の宛先の中の少なくとも一つが存在しないノードを検出する。
特定部130は、指令系検出部121によって検出された複数のノードと、感染活動検出部122によって検出された宛先の数とに基づいて、マルウエアの感染ノードを特定する。具体的には、特定部130は、指令系検出部121によって検出され、かつ、感染活動検出部122によって検出されたノードを感染ノードとして特定する。
感染活動検出部122の第2のしきい値を小さめに設定することで、感染速度が遅い潜在タイプのマルウエアの感染ノードの候補を検出することができる。この場合は、マルウエアに感染していないノードも同時に検出されることもありうるが、マルウエアに感染していないノードは指令系検出部121の検出によって除外されるため、マルウエアに感染していないノードが特定部130によって特定される確率を低くすることができる。
特定部130は、特定した宛先を出力部140へ出力する。出力部140は、特定部130から出力された宛先がマルウエアの感染ノードである旨の警告情報を外部へ出力する。出力部140が警告情報を出力する宛先は、ネットワークに接続された各ノードまたはネットワークシステムの管理サーバなど、マルウエアの感染情報を必要とするノードである。または、出力部140は、特定部130から出力された宛先がマルウエアの感染ノードである旨の警告情報をユーザに通知するディスプレイやスピーカなどであってもよい。
図5は、検出部120による感染ノードの候補の検出例を示す図である。図5に示すように、指令系検出部121は、パケット受信部110から出力された接続開始要求情報のパケット121aの情報を第1テーブル121bに追加する。感染活動検出部122は、パケット受信部110から出力された接続開始要求情報のパケット122a(パケット121aと同じパケット)の情報を第2テーブル122bに追加する。
パケット122aは、接続開始要求である旨の情報TCP(Transmission Control Protocol) Synと、送信元IPの情報Src(ソースアドレス)と、Dst(ディスティネーションアドレス)と、宛先ポートPortと、継続時間と、の情報を含んでいる。パケット122aは、TCP Synと、Srcと、Dstと、Portと、の情報を含んでいる。
指令系検出部121は、テーブル121bに、宛先IPが同一で送信元IPが異なるパケットが第1のしきい値以上存在する場合に、これらのパケットのそれぞれの送信元IPを検出する。指令系検出部121は、検出した各送信元IPを、感染ノードの第1候補として特定部130へ出力する。
ここでは、第1のしきい値を3とする。同一の宛先IP「10.25.10.1」へ送信され、送信元IPが異なるパケットが3つあるため、指令系検出部121は、各パケットの送信元IP「10.25.1.1」,「10.25.1.2」,「10.25.1.4」を感染ノードの第1候補として検出する。
このとき、継続時間が短いパケットは、感染ノードから送信された接続要求情報である可能性が低いため、継続時間がしきい値以下のパケットはテーブル121bから除外してもよい。また、「10.25.10.1」へ接続要求情報を送信した送信元IPであっても、この送信元IPから「10.25.10.1」へ切断要求情報が送信された場合は、この送信元IPテーブル121bから除外してもよい。
感染活動検出部122は、第2テーブル122bに含まれる各パケットの情報に基づいて、送信元IPが同一であり宛先IPが異なるパケットの数を、送信元IP毎に検出する。また、感染活動検出部122は、検出した宛先数の数が第2のしきい値以上の送信元IPを検出する。感染活動検出部122は、検出した送信元IPを、感染ノードの第2候補として検出する。
ここでは、第2のしきい値を3とする。同一の送信元IP「10.25.1.1」から送信され、各宛先IP(「10.25.10.2」,「10.25.10.3」,「10.25.20.4」)が異なるパケットが3つあるため、感染活動検出部122は、各パケットの送信元IP「10.25.1.1」を感染ノードの第2候補として検出する。
また、感染活動検出部122は、検出した送信元IPへ送信された各パケットの各宛先IPが示すノードのすべてが存在する場合は、その送信元IPを感染ノードの第2候補から除外するようにしてもよい。この場合は、3つのパケットのうちの一つのパケットの宛先IP「10.25.10.3」が存在しないため、3つのパケットの送信元IP「10.25.1.1」を感染ノードの第2候補として検出する。
ここでは、検出した送信元IPへ送信された各パケットの各宛先IPが示すノードのすべてが存在する場合は、その送信元IPを感染ノードの第2候補から除外する場合について説明したが、各宛先IPが示すノードのすべてが存在する場合に限らず、各宛先IPが示すノードのうちのしきい値以上のノードが存在する場合に、その送信元IPを感染ノードの第2候補から除外するようにしてもよい。
図6は、指令系検出部121の動作の一例を示すフローチャートである。まず、指令系検出部121は、パケット受信部110から出力されたパケットを取得して(ステップS601)、取得したパケットが接続要求情報か否かを判断する(ステップS602)。パケットが接続要求情報である場合(ステップS602:Yes)は、このパケットの情報を第1テーブル121bに追加する(ステップS603)。
つぎに、第1テーブル121bに基づいて、宛先IPが同一で送信元IPが異なるパケットがしきい値以上存在するか否かを判断する(ステップS604)。宛先IPが同一で送信元IPが異なるパケットがしきい値以上存在する場合(ステップS604:Yes)は、これらのパケットの各送信元IPを感染ノードの第1候補として特定部130へ出力する(ステップS605)。
つぎに、指令系検出部121の動作の終了条件を満たしているか否かを判断し(ステップS606)、終了条件を満たしている場合(ステップS606:Yes)は一連の指令系検出部121の動作を終了する。
ステップS602において、ステップS601によって取得したパケットが接続要求情報でない場合(ステップS602:No)は、このパケットが切断要求情報か否かを判断する(ステップS607)。ステップS601によって取得したパケットが切断要求情報である場合(ステップS607:Yes)は、このパケットの情報を第1テーブル121bから削除して(ステップS608)、ステップS601に戻って処理を続行する。
ステップS604において宛先IPが同一で送信元IPが異なるパケットがしきい値以上存在しない場合(ステップS604:No)、ステップS606において終了条件を満たしていない場合(ステップS606:No)およびステップS607においてパケットが切断要求情報でない場合(ステップS607:No)は、ステップS601に戻って処理を続行する。以上の指令系検出部121の動作によって、複数の送信元IPが感染ノードの第1候補として特定部130へ出力される。
ここでは、指令系検出部121が接続開始要求情報のパケットを取得するたびに感染ノードの第1候補の検出(ステップS604)を行う動作について説明したが、取得したパケットを第1テーブル121bに蓄積しつつ、パケットが一定数蓄積するごと、または一定時間ごとに感染ノードの第1候補の検出(ステップS604)を行ってもよい。
図7は、感染活動検出部122の動作の一例を示すフローチャートである。まず、感染活動検出部122は、パケット受信部110から出力されたパケットを取得して(ステップS701)、取得したパケットが接続要求情報か否かを判断する(ステップS702)。取得したパケットが接続要求情報である場合(ステップS702:Yes)は、このパケットの情報を第2テーブル122bに追加する(ステップS703)。
つぎに、第2テーブル122bに基づいて、送信元IPが同一で宛先IPが異なるパケットがしきい値以上存在するか否かを判断する(ステップS704)。送信元IPが同一で宛先IPが異なるパケットがしきい値以上存在する場合(ステップS704:Yes)は、これらのパケットの各宛先IPが示すすべての宛先が存在するか否かを判断する(ステップS705)。
ステップS705において、宛先の中の少なくとも一つが存在しない場合(ステップS705:No)は、この各パケットの送信元IPを感染ノードの第2候補として特定部130へ出力する(ステップS706)。つぎに、感染活動検出部122の動作の終了条件を満たしているか否かを判断し(ステップS707)、終了条件を満たしている場合(ステップS707:Yes)は一連の指令系検出部121の動作を終了する。
ステップS705において、宛先がすべて存在する場合(ステップS705:Yes)は、この各パケットの情報を第2テーブル122bから削除して(ステップS708)、ステップS701に戻って処理を続行する。
ステップS702においてパケットが接続要求情報でない場合(ステップS702:No)、ステップS704において送信元IPが同一で宛先IPが異なるパケットがしきい値以上存在しない場合(ステップS704:No)およびステップS707において終了条件を満たしていない場合(ステップS707:No)は、ステップS701に戻って処理を続行する。以上の感染活動検出部122の動作によって、1または複数の送信元IPが感染ノードの第2候補として特定部130へ出力される。
ここでは、感染活動検出部122が接続開始要求情報のパケットを取得するたびに感染ノードの第2候補の検出(ステップS704)を行う動作について説明したが、取得したパケットを第2テーブル122bに蓄積しつつ、パケットが一定数蓄積するごと、または一定時間ごとに感染ノードの第2候補の検出(ステップS704)を行ってもよい。
図8は、特定部130による感染ノードの特定例を示す図である。図8に示すように、特定部130は、指令系検出部121から出力された送信元IPを感染ノードの第1候補として第3テーブル131へ追加する。また、特定部130は、感染活動検出部122から出力された送信元IPを感染ノードの第2候補として第3テーブル131へ追加する。
特定部130は、第3テーブル131において、第1候補として追加され、かつ、第2候補としても追加された送信元IPをマルウエアの感染ノードとして特定する。ここでは、送信元IP「10.25.1.1」が第1候補および第2候補の両方に含まれているため、送信元IP「10.25.1.1」をマルウエアの感染ノードとして特定する。
図9は、特定部130の動作の一例を示すフローチャートである。まず、特定部130は、指令系検出部121または感染活動検出部122から出力される送信元IPを取得する(ステップS901)。つぎに、ステップS901により取得した送信元IPが感染活動検出部122によって検出された送信元IPか否かを判断する(ステップS902)。
ステップS902において、取得した送信元IPが感染活動検出部122によって検出された送信元IPである場合(ステップS902:Yes)は、この送信元IPを感染ノードの第2候補として第3テーブル131に追加する(ステップS903)。
つぎに、ステップS903によって第3テーブル131に追加された送信元IPが、第1候補としても第3テーブル131に追加されているか否かを判断する(ステップS904)。送信元IPが第1候補としても第3テーブル131に追加されている場合(ステップS904:Yes)は、ステップS903によって第3テーブル131に追加された送信元IPを、感染ノードの情報として出力部140へ出力する(ステップS905)。
ステップS902において、送信元IPが指令系検出部121によって検出された送信元IPである場合(ステップS902:No)は、この送信元IPを感染ノードの第1候補として第3テーブル131に追加し(ステップS906)、ステップS901に戻って処理を続行する。
ステップS904において、送信元IPが第1候補として第3テーブル131に追加されていない場合(ステップS904:No)は、ステップS901に戻って処理を続行する。以上の特定部130の動作によって、マルウエアの感染ノードが特定され、特定された感染ノードを示す送信元IPが出力部140へ出力される。
感染ノードは、指令系サーバへ接続要求情報を送信して感染活動指示を待ち、感染活動指示が指令系サーバから送信された後に他のノードに対して感染活動を行う。したがって、一連の感染活動があると、まず、指令系検出部121によって感染ノードの第1候補が検出され、その後に感染活動検出部122によって感染ノードの第2候補が検出される。
このため、一連の感染活動があったとき、特定部130が感染活動検出部122によって検出された送信元IPを取得した時点で、すでに特定部130が指令系検出部121によって検出された送信元IPを取得している可能性が高い。このため、特定部130が感染活動検出部122によって検出された送信元IPを取得した時点で感染ノードの特定(ステップS904)を行うことで、感染ノードの効率的に特定することができる。
また、ここでは、特定部130が送信元IPを取得するたびに感染ノードの特定(ステップS904)を行う動作について説明したが、取得した送信元IPを第3テーブル131に蓄積しつつ、パケットが一定数蓄積するごと、または一定時間ごとに感染ノードの特定(ステップS904)を行ってもよい。
このように、実施の形態1にかかるマルウエア検出装置100によれば、指令系検出部121によって検出された感染ノードの第1候補と感染活動検出部122によって検出された感染ノードの第2候補との両方に含まれるノードを特定することで、潜在タイプのマルウエアに感染したノードの2種類の特徴を両方満たすノードを特定することができる。このため、潜在タイプのマルウエアに感染したノードを精度よく特定することができる。
また、第1のしきい値および第2のしきい値の調節により、マルウエアに感染していない通常のノードを除外しつつ、感染活動の遅い潜在タイプのマルウエアに感染したノードを精度よく検出することができる。
また、感染活動検出部122が、第2のしきい値以上であるノードの中から、第2の宛先のうち存在しない宛先に接続要求情報を送信したノードを検出することによって、マルウエアに感染していないノードが複数の宛先に対して通信を行った場合に、このノードを感染ノードの第2候補として検出してしまう確率を低くすることができる。このため、潜在タイプのマルウエアに感染したノードを精度よく特定することができる。
また、指令系検出部121が、監視対象ノード群の中から、第1の宛先のうちホワイトリストに含まれていない宛先へ接続要求情報を送信した複数のノードを検出することによって、マルウエアに感染していないノードを感染ノードの第1候補として検出してしまう確率を低くすることができる。このため、潜在タイプのマルウエアに感染したノードを精度よく特定することができる。
また、指令系検出部121が、監視対象ノード群の中から、第1の宛先へ切断要求情報を送信していない複数のノードを検出することによって、マルウエアに感染していないノードを感染ノードの第1候補として検出してしまう確率を低くすることができる。このため、潜在タイプのマルウエアに感染したノードを精度よく特定することができる。
(実施の形態2)
つぎに、実施の形態2にかかるネットワークシステムの概要について説明する。上述した実施の形態1では、ネットワークシステムのルータなどに適用されるマルウエア検出装置100によってマルウエアの感染ノードを特定する構成であったが、実施の形態2では、実施の形態1にかかるマルウエア検出装置100の検出部120を、ネットワークシステムの各セグメントに対応して設けられたエッジルータが備えている。
また、実施の形態1にかかるマルウエア検出装置100の特定部130および出力部140を、ネットワークシステムの各エッジルータと通信可能な集中管理サーバが備えている。これにより、各セグメントのエッジルータのそれぞれが検出した感染ノードの第1候補および第2候補に基づいて、集中管理サーバが感染ノードを特定することができる。
このため、複数のセグメントにおける各検出結果を総合して感染ノードを特定することができる。したがって、あるセグメントのノードがマルウエアの指令系サーバであり、他のセグメントのノードがマルウエアに感染している場合でも、マルウエアに感染しているノードを精度よく特定することができる。
図10は、実施の形態2にかかるネットワークシステムを示すブロック図である。ネットワークシステム1000は、複数のセグメント1011〜1016と、複数のエッジルータ1021〜1026と、ルータ1030と、ネットワークシステム1000におけるパケットの送受信を管理する集中管理サーバ1040と、を備えている。セグメント1011には、6個のノードが含まれている。
エッジルータ1021は、セグメント1011に対応して設けられている。エッジルータ1021は、集中管理サーバ1040と通信可能な監視装置である。エッジルータ1021は、監視対象ノード群であるセグメント1011の各ノードが送受信するパケットのルーティングを行うとともに、これらのパケットを監視する。エッジルータ1022〜1026は、それぞれセグメント1012〜1016に対応して設けられている。
ルータ1030は、複数のエッジルータ1021〜1026間で送受信するパケットをルーティングする。集中管理サーバ1040は、エッジルータ1021〜1026とルータ1030を介して通信可能なマルウエア検出装置である。集中管理サーバ1040は、セグメント1011〜1016の各ノードからマルウエアに感染したノードを特定する。
図11は、集中管理サーバ1040による感染ノードの検出例を示す図である。図11において、図4に示した構成と同様の構成については同一の符号を付して説明を省略する。エッジルータ1021は、パケット受信部110(不図示)と、指令系検出部121と、感染活動検出部122と、データ送信プログラム1101と、を備えている。
ここでは、第1のしきい値および第2のしきい値を2として説明する。エッジルータ1021のパケット受信部110は、セグメント1011に含まれる各ノードが送受信する各パケットを分岐して受信する。パケット受信部110は、受信したパケットを指令系検出部121および感染活動検出部122へそれぞれ出力する。
エッジルータ1021の検出部120の指令系検出部121の動作は、図6に示した動作とほぼ同じである。具体的には、図6に示したステップS605において、感染ノードの第1候補として検出したパケットの送信元IPを、データ送信プログラム1101を介して集中管理サーバ1040へ送信する。この他の動作は、図6に示した各ステップと同様であるため説明を省略する。
エッジルータ1021の検出部120の感染活動検出部122の動作は、図7に示した動作とほぼ同じである。具体的には、図7に示したステップS706において、感染ノードの第2候補として検出したパケットの送信元IPを、データ送信プログラム1101を介して集中管理サーバ1040へ送信する。この他の動作は、図7に示した各ステップと同様であるため説明を省略する。エッジルータ1022〜1026の構成および動作はエッジルータ1021と同様であるため説明を省略する。
ここでは、エッジルータ1021の指令系検出部121は、第1テーブル121bにおいて、共通の第1の宛先「10.0.1.5」へ送信されたパケットの情報が2つあるため、これらのパケットの送信元IP「10.0.2.2」と「10.0.2.4」を感染ノードの第1候補として集中管理サーバ1040へ送信する。
エッジルータ1021の感染活動検出部122は、第2テーブル122bにおいて、同一の送信元IP「10.0.2.2」から異なる宛先へ送信されたパケットの情報が4つあるため、送信元IP「10.0.2.2」を感染ノードの第2候補として集中管理サーバ1040へ送信する。
エッジルータ1026の指令系検出部121は、第1テーブル121bにおいて、共通の第1の宛先「10.0.1.5」へ送信されたパケットの情報が2つあるため、これらのパケットの送信元IP「10.0.3.2」と「10.0.3.4」を感染ノードの第1候補として集中管理サーバ1040へ送信する。
エッジルータ1026の感染活動検出部122は、第2テーブル122bにおいて、同一の送信元IP「10.0.2.2」から異なる宛先へ送信されたパケットの情報が4つあるため、送信元IP「10.0.2.2」を感染ノードの第2候補として集中管理サーバ1040へ送信する。
また、エッジルータ1026の感染活動検出部122は、第2テーブル122bにおいて、同一の送信元IP「10.0.3.4」から異なる宛先へ送信されたパケットの情報が2つあるため、送信元IP「10.0.3.4」を感染ノードの第2候補として集中管理サーバ1040へ送信する。
集中管理サーバ1040は、データ受信プログラム1102と、特定部130と、出力部140と、を備えている。データ受信プログラム1102は、エッジルータ1021〜1026の指令系検出部121から送信された感染ノードの第1候補の送信元IPを受信する第1受信手段と、エッジルータ1021〜1026の感染活動検出部122から送信された感染ノードの第2候補の送信元IPを受信する第2受信手段との機能を有する。
特定部130は、エッジルータ1021〜1026から送信された送信元IPをデータ受信プログラム1102を介して取得する。集中管理サーバ1040の特定部130の動作は、図9に示した動作とほぼ同じである。具体的には、図9に示したステップS901において、エッジルータ1021〜1026から送信される送信元IPを、データ受信プログラム1102を介して取得する。
ステップS902においては、取得した送信元IPがエッジルータ1021〜1026のいずれから送信された送信元IPかは区別せず、取得した送信元IPが感染活動検出部122によって検出された送信元IPか否かを判断する。この他の動作は、図9に示した各ステップと同様であるため説明を省略する。
ここでは、集中管理サーバ1040の特定部130は、第3テーブル131において、送信元IP「10.0.2.2」,「10.0.3.2」,「10.0.3.4」が第1候補および第2候補の両方に含まれているため、これらの送信元IPをマルウエアの感染ノードとして特定する。
このように、実施の形態2にかかるネットワークシステム1000によれば、実施の形態1にかかるマルウエア検出装置100の効果を奏するとともに、各セグメントに対応したエッジルータ1022〜1026のそれぞれが検出した感染ノードの第1候補および第2候補に基づいて集中管理サーバ1040が感染ノードを特定することができる。これにより、複数のセグメント1011〜1016における各検出結果を総合して感染ノードを特定することができる。
以上説明したように、本実施の形態によれば、潜在タイプのマルウエアに感染したノードを精度よく特定することができる。
なお、本実施の形態で説明したマルウエア検出方法は、あらかじめ用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。またこのプログラムは、インターネット等のネットワークを介して配布することが可能な伝送媒体であってもよい。
また、本実施の形態で説明したマルウエア検出装置100は、スタンダードセルやストラクチャードASIC(Application Specific Integrated Circuit)などの特定用途向けIC(以下、単に「ASIC」と称する。)やFPGAなどのPLD(Programmable Logic Device)によっても実現することができる。具体的には、たとえば、上述したマルウエア検出装置100の機能(110,120,130,140)をHDL記述によって機能定義し、そのHDL記述を論理合成してASICやPLDに与えることにより、マルウエア検出装置100を製造することができる。
上述した実施の形態に関し、さらに以下の付記を開示する。
(付記1)監視対象ノード群の中から、共通する第1の宛先へ接続要求情報を送信した複数のノードを検出する第1検出手段と、
前記監視対象ノード群の中の各ノードが接続要求情報を送信した第2の宛先の数を検出する第2検出手段と、
前記第1検出手段によって検出された複数のノードと前記第2検出手段によって検出された第2の宛先の数とに基づいて、マルウエアに感染したノードを特定する特定手段と、
前記特定手段によって特定された特定結果を出力する出力手段と、
を備えることを特徴とするマルウエア検出装置。
(付記2)前記第1検出手段は、
前記第1の宛先のうち接続要求情報を送信したノードの数が第1のしきい値以上である宛先に対して接続要求情報を送信した複数のノードを検出し、
前記第2検出手段は、
前記監視対象ノード群の中から前記第2の宛先の数が第2のしきい値以上であるノードを検出し、
前記特定手段は、
前記第1検出手段によって検出され、かつ、前記第2検出手段によって検出されたノードを前記マルウエアに感染したノードとして特定することを特徴とする付記1に記載のマルウエア検出装置。
(付記3)前記第2検出手段は、
前記第2のしきい値以上であるノードの中から、前記第2の宛先のうち存在しない宛先に接続要求情報を送信したノードを検出することを特徴とする付記2に記載のマルウエア検出装置。
(付記4)前記マルウエアの指令系サーバではない宛先を記憶する記憶手段を備え、
前記第1検出手段は、
前記監視対象ノード群の中から、前記第1の宛先のうち前記記憶手段に記憶されていない宛先へ接続要求情報を送信した複数のノードを検出することを特徴とする付記1〜3のいずれか一つに記載のマルウエア検出装置。
(付記5)前記第1検出手段は、
前記監視対象ノード群の中から、前記第1の宛先へ切断要求情報を送信していない複数のノードを検出することを特徴とする付記1〜4のいずれか一つに記載のマルウエア検出装置。
(付記6)マルウエアに感染したノードを特定するサーバと通信可能な監視装置であって、
監視対象ノード群の中から、共通する第1の宛先へ接続要求情報を送信した複数のノードを検出する第1検出手段と、
前記監視対象ノード群の中の各ノードが接続要求情報を送信した第2の宛先の数を検出する第2検出手段と、
前記第1検出手段によって検出された複数のノードに関する情報と前記第2検出手段によって検出された第2の宛先の数に関する情報とを、前記サーバに送信する送信手段と、
を備えることを特徴とする監視装置。
(付記7)監視対象ノード群の通信を監視する監視装置と通信可能なマルウエア検出装置であって、
前記監視対象ノード群の中の、共通する第1の宛先へ接続要求情報を送信した複数のノードに関する情報を、前記監視装置から受信する第1受信手段と、
前記監視対象ノード群の中の各ノードが接続要求情報を送信した第2の宛先の数に関する情報を、前記監視装置から受信する第2受信手段と、
前記第1受信手段によって受信された複数のノードに関する情報と前記第2受信手段によって受信された第2の宛先の数に関する情報とに基づいて、マルウエアに感染したノードを特定する特定手段と、
前記特定手段によって特定された特定結果を出力する出力手段と、
を備えることを特徴とするマルウエア検出装置。
(付記8)コンピュータを、
監視対象ノード群の中から、共通する第1の宛先へ接続要求情報を送信した複数のノードを検出する第1検出手段、
前記監視対象ノード群の中の各ノードが接続要求情報を送信した第2の宛先の数を検出する第2検出手段、
前記第1検出手段によって検出された複数のノードと前記第2検出手段によって検出された第2の宛先の数とに基づいて、マルウエアに感染したノードを特定する特定手段、
前記特定手段によって特定された特定結果を出力する出力手段、
として機能させることを特徴とするマルウエア検出プログラム。
(付記9)マルウエアに感染したノードを特定するサーバと通信可能なコンピュータを、
監視対象ノード群の中から、共通する第1の宛先へ接続要求情報を送信した複数のノードを検出する第1検出手段、
前記監視対象ノード群の中の各ノードが接続要求情報を送信した第2の宛先の数を検出する第2検出手段、
前記第1検出手段によって検出された複数のノードに関する情報と前記第2検出手段によって検出された第2の宛先の数に関する情報とを、前記サーバに送信する送信手段、
として機能させることを特徴とする監視プログラム。
(付記10)監視対象ノード群の通信を監視する監視装置と通信可能なコンピュータを、
前記監視対象ノード群の中の、共通する第1の宛先へ接続要求情報を送信した複数のノードに関する情報を、前記監視装置から受信する第1受信手段、
前記監視対象ノード群の中の各ノードが接続要求情報を送信した第2の宛先の数に関する情報を、前記監視装置から受信する第2受信手段、
前記第1受信手段によって受信された複数のノードに関する情報と前記第2受信手段によって受信された第2の宛先の数に関する情報とに基づいて、マルウエアに感染したノードを特定する特定手段、
前記特定手段によって特定された特定結果を出力する出力手段、
として機能させることを特徴とするマルウエア検出プログラム。
(付記11)監視対象ノード群の中から、共通する第1の宛先へ接続要求情報を送信した複数のノードを検出する第1検出工程と、
前記監視対象ノード群の中の各ノードが接続要求情報を送信した第2の宛先の数を検出する第2検出工程と、
前記第1検出工程によって検出された複数のノードと前記第2検出工程によって検出された第2の宛先の数とに基づいて、マルウエアに感染したノードを特定する特定工程と、
前記特定工程によって特定された特定結果を出力する出力工程と、
を含んだことを特徴とするマルウエア検出方法。
(付記12)マルウエアに感染したノードを特定するサーバと通信可能な監視装置により監視対象ノード群を監視する監視方法であって、
前記監視対象ノード群の中から、共通する第1の宛先へ接続要求情報を送信した複数のノードを検出する第1検出工程と、
前記監視対象ノード群の中の各ノードが接続要求情報を送信した第2の宛先の数を検出する第2検出工程と、
前記第1検出工程によって検出された複数のノードに関する情報と前記第2検出工程によって検出された第2の宛先の数に関する情報とを、前記サーバに送信する送信工程と、
を含んだことを特徴とする監視方法。
(付記13)監視対象ノード群の通信を監視する監視装置と通信可能なマルウエア検出装置によりマルウエアに感染したノードを特定するマルウエア検出方法であって、
前記監視対象ノード群の中の、共通する第1の宛先へ接続要求情報を送信した複数のノードに関する情報を、前記監視装置から受信する第1受信工程と、
前記監視対象ノード群の中の各ノードが接続要求情報を送信した第2の宛先の数に関する情報を、前記監視装置から受信する第2受信工程と、
前記第1受信工程によって受信された複数のノードに関する情報と前記第2受信工程によって受信された第2の宛先の数に関する情報とに基づいて、前記マルウエアに感染したノードを特定する特定工程と、
前記特定工程によって特定された特定結果を出力する出力工程と、
を含んだことを特徴とするマルウエア検出方法。
以上のように、この装置、プログラム、方法は、マルウエアに感染したノードの特定に有用であり、特に、潜在タイプのマルウエアに感染したノードの特定に適している。
実施の形態1にかかるマルウエア検出装置の概要図(その1)である。 実施の形態1にかかるマルウエア検出装置の概要図(その2)である。 実施の形態1にかかるマルウエア検出装置のハードウェア構成を示す説明図である。 マルウエア検出装置の機能的構成を示すブロック図である。 検出部120による感染ノードの候補の検出例を示す図である。 指令系検出部121の動作の一例を示すフローチャートである。 感染活動検出部122の動作の一例を示すフローチャートである。 特定部130による感染ノードの特定例を示す図である。 特定部130の動作の一例を示すフローチャートである。 実施の形態2にかかるネットワークシステムを示すブロック図である。 集中管理サーバ1040による感染ノードの検出例を示す図である。
符号の説明
100 マルウエア検出装置
121a,122a パケット
1000 ネットワークシステム
1011〜1016 セグメント
1021〜1026 エッジルータ
1030 ルータ
1040 集中管理サーバ

Claims (7)

  1. 監視対象ノード群の中の第1のしきい値以上の複数のノードから接続要求情報が送信された第1の宛先を検出し、前記第1の宛先へ接続要求情報を送信した複数のノードを検出する第1検出手段と、
    前記監視対象ノード群の中から、接続要求情報を送信した第2の宛先の数が第2のしきい値以上であるノードを検出する第2検出手段と、
    前記第1検出手段によって検出され、かつ、前記第2検出手段によって検出されたノードを、マルウエアに感染したノードとして特定する特定手段と、
    前記特定手段によって特定された特定結果を出力する出力手段と、
    を備えることを特徴とするマルウエア検出装置。
  2. 前記第2検出手段は、
    前記第2のしきい値以上であるノードの中から、前記第2の宛先のうち存在しない宛先に接続要求情報を送信したノードを検出することを特徴とする請求項1に記載のマルウエア検出装置。
  3. 前記マルウエアの指令系サーバではない宛先を記憶する記憶手段を備え、
    前記第1検出手段は、
    前記監視対象ノード群の中から、前記第1の宛先のうち前記記憶手段に記憶されていない宛先へ接続要求情報を送信した複数のノードを検出することを特徴とする請求項1または2に記載のマルウエア検出装置。
  4. 前記第1検出手段は、
    前記監視対象ノード群の中から、前記第1の宛先へ切断要求情報を送信していない複数のノードを検出することを特徴とする請求項1〜3のいずれか一つに記載のマルウエア検出装置。
  5. マルウエアに感染したノードを特定するサーバと通信可能な監視装置であって、
    監視対象ノード群の中の第1のしきい値以上の複数のノードから接続要求情報が送信された第1の宛先を検出し、前記第1の宛先へ接続要求情報を送信した複数のノードを検出する第1検出手段と、
    前記監視対象ノード群の中から、接続要求情報を送信した第2の宛先の数が第2のしきい値以上であるノードを検出する第2検出手段と、
    前記第1検出手段によって検出された複数のノードに関する情報と前記第2検出手段によって検出されたノードに関する情報とを、前記サーバに送信する送信手段と、
    を備えることを特徴とする監視装置。
  6. コンピュータを、
    監視対象ノード群の中の第1のしきい値以上の複数のノードから接続要求情報が送信された第1の宛先を検出し、前記第1の宛先へ接続要求情報を送信した複数のノードを検出する第1検出手段、
    前記監視対象ノード群の中から、接続要求情報を送信した第2の宛先の数が第2のしきい値以上であるノードを検出する第2検出手段、
    前記第1検出手段によって検出され、かつ、前記第2検出手段によって検出されたノードを、マルウエアに感染したノードとして特定する特定手段、
    前記特定手段によって特定された特定結果を出力する出力手段、
    として機能させることを特徴とするマルウエア検出プログラム。
  7. コンピュータが、
    監視対象ノード群の中の第1のしきい値以上の複数のノードから接続要求情報が送信された第1の宛先を検出し、前記第1の宛先へ接続要求情報を送信した複数のノードを検出する第1検出工程と、
    前記監視対象ノード群の中から、接続要求情報を送信した第2の宛先の数が第2のしきい値以上であるノードを検出する第2検出工程と、
    前記第1検出工程によって検出され、かつ、前記第2検出工程によって検出されたノードを、マルウエアに感染したノードとして特定する特定工程と、
    前記特定工程によって特定された特定結果を出力する出力工程と、
    を実行することを特徴とするマルウエア検出方法。
JP2007281904A 2007-10-30 2007-10-30 マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 Expired - Fee Related JP5050781B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007281904A JP5050781B2 (ja) 2007-10-30 2007-10-30 マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US12/258,915 US8375445B2 (en) 2007-10-30 2008-10-27 Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007281904A JP5050781B2 (ja) 2007-10-30 2007-10-30 マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法

Publications (2)

Publication Number Publication Date
JP2009110270A JP2009110270A (ja) 2009-05-21
JP5050781B2 true JP5050781B2 (ja) 2012-10-17

Family

ID=40584666

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007281904A Expired - Fee Related JP5050781B2 (ja) 2007-10-30 2007-10-30 マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法

Country Status (2)

Country Link
US (1) US8375445B2 (ja)
JP (1) JP5050781B2 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8479284B1 (en) * 2007-12-20 2013-07-02 Symantec Corporation Referrer context identification for remote object links
US8180761B1 (en) 2007-12-27 2012-05-15 Symantec Corporation Referrer context aware target queue prioritization
JP5345492B2 (ja) * 2009-09-29 2013-11-20 日本電信電話株式会社 Dnsトラフィックデータを利用したボット感染者検知方法
US8364811B1 (en) 2010-06-30 2013-01-29 Amazon Technologies, Inc. Detecting malware
US8935750B2 (en) * 2011-10-03 2015-01-13 Kaspersky Lab Zao System and method for restricting pathways to harmful hosts in computer networks
KR101896503B1 (ko) * 2012-03-12 2018-09-07 삼성전자주식회사 디바이스 정보자원이 유출되는지 여부를 탐지하는 방법 및 장치
US9853995B2 (en) 2012-11-08 2017-12-26 AO Kaspersky Lab System and method for restricting pathways to harmful hosts in computer networks
US9537888B1 (en) 2013-04-08 2017-01-03 Amazon Technologies, Inc. Proxy server-based malware detection
US10397261B2 (en) * 2014-10-14 2019-08-27 Nippon Telegraph And Telephone Corporation Identifying device, identifying method and identifying program
US10412106B2 (en) * 2015-03-02 2019-09-10 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information
JP2016181191A (ja) * 2015-03-25 2016-10-13 富士通株式会社 管理プログラム、管理装置及び管理方法
US10430442B2 (en) * 2016-03-09 2019-10-01 Symantec Corporation Systems and methods for automated classification of application network activity
US10757121B2 (en) * 2016-03-25 2020-08-25 Cisco Technology, Inc. Distributed anomaly detection management
US10834056B2 (en) * 2018-07-31 2020-11-10 Ca, Inc. Dynamically controlling firewall ports based on server transactions to reduce risks
US11611580B1 (en) 2020-03-02 2023-03-21 Amazon Technologies, Inc. Malware infection detection service for IoT devices
US12058148B2 (en) 2020-05-01 2024-08-06 Amazon Technologies, Inc. Distributed threat sensor analysis and correlation
US11489853B2 (en) 2020-05-01 2022-11-01 Amazon Technologies, Inc. Distributed threat sensor data aggregation and data export
US12041094B2 (en) 2020-05-01 2024-07-16 Amazon Technologies, Inc. Threat sensor deployment and management
US11989627B1 (en) 2020-06-29 2024-05-21 Amazon Technologies, Inc. Automated machine learning pipeline generation

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3903969B2 (ja) * 2003-08-06 2007-04-11 セイコーエプソン株式会社 ワームの感染防止システム
JP4051020B2 (ja) * 2003-10-28 2008-02-20 富士通株式会社 ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
JP2006025096A (ja) * 2004-07-07 2006-01-26 Japan Telecom Co Ltd ネットワークシステム
JP4170301B2 (ja) * 2005-02-23 2008-10-22 日本電信電話株式会社 DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム
JP2006350561A (ja) * 2005-06-14 2006-12-28 Matsushita Electric Ind Co Ltd 攻撃検出装置
JP2007013262A (ja) * 2005-06-28 2007-01-18 Fujitsu Ltd ワーム判定プログラム、ワーム判定方法およびワーム判定装置
JP2007013343A (ja) * 2005-06-28 2007-01-18 Fujitsu Ltd ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置
US7971256B2 (en) * 2005-10-20 2011-06-28 Cisco Technology, Inc. Mechanism to correlate the presence of worms in a network
JP3976058B2 (ja) 2005-11-25 2007-09-12 松下電工株式会社 ネットワーク装置
US7712134B1 (en) * 2006-01-06 2010-05-04 Narus, Inc. Method and apparatus for worm detection and containment in the internet core
JP2007323428A (ja) * 2006-06-01 2007-12-13 Hitachi Ltd ボット検出装置、ボット検出方法、およびプログラム
US8159948B2 (en) * 2007-07-11 2012-04-17 Hewlett-Packard Development Company, L.P. Methods and apparatus for many-to-one connection-rate monitoring

Also Published As

Publication number Publication date
US20090113547A1 (en) 2009-04-30
JP2009110270A (ja) 2009-05-21
US8375445B2 (en) 2013-02-12

Similar Documents

Publication Publication Date Title
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
EP2612488B1 (en) Detecting botnets
EP1742416B1 (en) Method, computer readable medium and system for analyzing and management of application traffic on networks
CN103609070B (zh) 网络流量检测方法、系统、设备及控制器
KR102580898B1 (ko) Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법
JP5242775B2 (ja) 低速および/または分散型のスキャニングマルウェアに感染した企業ネットワークホストを識別するための方法およびシステム
US7684339B2 (en) Communication control system
KR20060013491A (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
US12021836B2 (en) Dynamic filter generation and distribution within computer networks
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
WO2019043804A1 (ja) ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
JP4825767B2 (ja) 異常検知装置、プログラム、および記録媒体
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP2009302625A (ja) ネットワーク構成情報収集分析システム及びネットワーク構成情報収集分析サーバ及びネットワーク構成情報収集分析方法
US20120110665A1 (en) Intrusion Detection Within a Distributed Processing System
JP6476853B2 (ja) ネットワーク監視システム及び方法
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
JP6629174B2 (ja) 通信監視装置、通信監視方法及び通信監視プログラム
KR20110040152A (ko) 공격자 패킷 역추적 방법 및 이를 위한 시스템
JP4361570B2 (ja) パケット制御命令管理方法
JP2006135885A (ja) 攻撃経路解析装置及び攻撃経路解析方法及びプログラム
JP2007335951A (ja) 通信監視装置、通信監視方法およびプログラム
JP2005175993A (ja) ワーム伝播監視システム
JP2016170651A (ja) 不正アクセス検出方法、装置、及びプログラム
JP4489714B2 (ja) パケット集約方法、装置、およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100715

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120328

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120403

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120604

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120626

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120709

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150803

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees