JPH09128336A - ネットワークセキュリティシステム - Google Patents

ネットワークセキュリティシステム

Info

Publication number
JPH09128336A
JPH09128336A JP7287003A JP28700395A JPH09128336A JP H09128336 A JPH09128336 A JP H09128336A JP 7287003 A JP7287003 A JP 7287003A JP 28700395 A JP28700395 A JP 28700395A JP H09128336 A JPH09128336 A JP H09128336A
Authority
JP
Japan
Prior art keywords
computer
computers
network
data
parity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP7287003A
Other languages
English (en)
Inventor
Masaharu Akatsu
雅晴 赤津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP7287003A priority Critical patent/JPH09128336A/ja
Publication of JPH09128336A publication Critical patent/JPH09128336A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】コンピュータ・ネットワークにおいて、不正行
為に対して、その影響部分を除去して、元の状態を維持
するという生物体の免疫機構の特徴を実現する。 【解決手段】ログ採取部101で採取したログを、LA
N6に接続されたコンピュータ1〜5に送り、各コンピ
ュータは、ログ診断部103で、知識ベース105を用
い、集めたログを診断し、不正を検出した場合、ネット
ワーク管理部104で、ネットワーク管理情報106を
更新し、あらかじめ決められたしきい値以上のコンピュ
ータで不正ありと判断したコンピュータが生じた場合、
そのコンピュータとの通信を中止する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、コンピュータ・ネ
ットワークのセキュリティシステムに関し、特に、情報
の不正な更新を防止するのに好適なネットワークセキュ
リティシステムに関する。
【0002】
【従来の技術】「インフォメーション・セキュリティ」
(日経マグロウヒル社、1987年)243ページ〜2
49ページに記載されているように、コンピュータのオ
ペレーティングシステムには、セキュリティのための様
々なアクセス制御、ファイル保護、監査機能が備わって
いる。具体的には、パスワードを用いることにより、不
当なログインを防いだり、アクセス権限を設定すること
により、不当なファイル参照、更新を防いだりしてい
る。
【0003】また、「エイズ型コンピュータウイルス」
(日刊工業新聞社、1994年)1045ページ〜10
67ページに記載されているように、コンピュータウイ
ルス対策に関しても、ウイルス対応に様々なワクチンソ
フトが開発されている。
【0004】これらの技術は、いずれも一台のコンピュ
ータを対象にしたセキュリティ保全のための技術であ
る。
【0005】
【発明が解決しようとする課題】上記で述べたように、
従来のセキュリティの考え方は未然防止が基本である。
すなわち、処理実行やファイルアクセスを開始する前に
チェックすることにより、不正行為を未然に防ぐことを
目的としていた。このため、そのチェックをたまたま通
過してしまった不正に関しては、これを有効に除去でき
ないという問題があった。
【0006】また、コンピュータウイルス対策に関して
は、先に述べたように様々なワクチンソフトが開発され
ているが、これらは基本的に個別のウイルス対応である
ため、知られているウイルスすべてに対処するために
は、それぞれに有効なすべてのワクチンソフトを実行さ
せることになる。したがって、ウイルスチェックを1台
のコンピュータで完全に実行させようとすると負荷が大
きくなるという問題があった。
【0007】本発明は上記各問題点に鑑み、コンピュー
タ・ネットワークにおいて、不正侵入者がネットワーク
に入り込んだ後でも、不正によって改変された部分をネ
ットワークから切り離して元の正常な状態を回復できる
ネットワークセキュリティシステムの提供を目的とす
る。また、1台のコンピュータにかかるウイルスチェッ
クの負荷が軽いネットワークセキュリティシステムの提
供を目的とする。
【0008】
【課題を解決するための手段】上記目的を達成するた
め、本発明は、生物体の免疫機構に着目する。生物体の
免疫機構では、異物を体内に入れないようにするのでは
なく、一度体内に取り入れて、それを認識した後、除去
して、元の状態を維持する。また、ある特定の異物に反
応する細胞は、通常時、体内にそれほど多く存在するわ
けではないが、ひとたび異物が体内に侵入したことを認
識すると、大量に生成される。このような生物体の免疫
機構に着目し、本発明は以下のように構成される。
【0009】すなわち、本発明のネットワークセキュリ
ティシステムは、複数のコンピュータと各コンピュータ
間の通信のための通信手段とを有するコンピュータ・ネ
ットワークにおける不正行為を防止するネットワークセ
キュリティシステムにおいて、各コンピュータは、動作
の来歴であるログを記録する手段と、ログをネットワー
ク上の他のコンピュータに通知する手段と、ログに基づ
きネットワーク上の各コンピュータでの各動作が不正で
あるか否かを判断するための知識ベースとを有し、各コ
ンピュータは、他のコンピュータからログが送られる度
に、知識ベースを参照してネットワーク上の各コンピュ
ータでの不正行為の有無を検査し、検査の結果各コンピ
ュータのうちのあるコンピュータで不正行為があったと
判断した場合、そのコンピュータにおいて不正行為のあ
った旨を表すメッセージを他のコンピュータに送信し、
そのメッセージを受信した各コンピュータは、所定の期
間内に所定のしきい値を超える台数のコンピュータが不
正行為に係るコンピュータに対して不正行為ありと判断
したことを検知したとき、以後、不正行為ありと判断さ
れたコンピュータとの通信を絶つことを特徴とする。
【0010】ここで、上記のネットワークセキュリティ
システムにおいて、各コンピュータは、自コンピュータ
においてログイン、ログアウト、およびファイルアクセ
スが行われる度に、その時刻およびユーザ名をログとし
て採取し、各コンピュータが各自について採取したログ
をそれぞれ収集し、収集されたログに基づき、ログイ
ン、ログアウト、およびファイルアクセスの日時または
頻度について各コンピュータを相互に比較したとき、各
コンピュータのうちのあるコンピュータが他のコンピュ
ータに比して所定の基準より顕著な特徴を有する場合、
そのコンピュータに不正行為があったと判断するように
してもよい。
【0011】また、本発明のネットワークセキュリティ
システムは、複数のコンピュータと各コンピュータ間の
通信のための通信手段とを有するコンピュータ・ネット
ワークにおける不正行為を防止するネットワークセキュ
リティシステムにおいて、各コンピュータは、動作の来
歴であるログを記録する手段と、ログをネットワーク上
の他のコンピュータに通知する手段とを有し、ネットワ
ークは複数のサブネットワークに分割され、各サブネッ
トワークは1台の代表コンピュータを有し、各代表コン
ピュータは、自らが所属するサブネットワーク上の全コ
ンピュータのログを収集し、所定のしきい値以上のコン
ピュータに共通するログを抽出し、抽出されたログをも
ってそのサブネットワークのログとみなしてそのログを
他のサブネットワークの代表コンピュータに通知すると
ともに、他のサブネットワークの代表コンピュータから
通知されたログを収集し、収集されたログに基づき、ロ
グイン、ログアウト、およびファイルアクセスの日時ま
たは頻度について各サブネットワークを相互に比較した
とき、各サブネットワークのうちのあるサブネットワー
クが他のサブネットワークに比して所定の基準より顕著
な特徴を有する場合、そのサブネットワーク全体に不正
行為があったと判断することを特徴とする。
【0012】ここで、上記のネットワークセキュリティ
システムにおいて、各代表コンピュータは、サブネット
ワーク全体に不正行為があったと判断した場合、不正行
為があった旨を表すメッセージを他の代表コンピュータ
に送信し、そのメッセージを受信した各代表コンピュー
タは、所定の期間内に所定のしきい値を超える台数の代
表コンピュータが不正行為に係るサブネットワークに対
して不正行為ありと判断したことを検知したとき、以
後、自らの所属するサブネットワークのすべてのコンピ
ュータに対して、不正行為ありと判断されたサブネット
ワークに属するすべてのコンピュータとの通信を禁止す
る旨を通知するようにしてもよい。
【0013】また、本発明のネットワークセキュリティ
システムは、複数のコンピュータと各コンピュータ間の
通信のための通信手段とを有するコンピュータ・ネット
ワークにおける不正行為を防止するネットワークセキュ
リティシステムにおいて、各コンピュータに属する各デ
ータは、それぞれそのデータを所定のサイズで分割して
できる複数のデータブロックから各コンピュータにつき
1つずつ選択されたデータブロックを組み合わせてなる
複数のパリティグループとして管理され、各パリティグ
ループは、それぞれ自グループに属するすべての単位デ
ータから作成されたパリティブロックを含み、パリティ
ブロックはネットワーク上のコンピュータのうちの1つ
に格納され、各コンピュータは自らに属するデータを更
新した後、その更新に係るデータブロックが属するパリ
ティグループのパリティブロックを保持するコンピュー
タに対して、更新前後の新旧データブロックを渡してパ
リティ更新を指示し、パリティ更新を指示されたコンピ
ュータは、自分の保持するパリティブロックと新旧デー
タブロックとから新パリティブロックを計算してパリテ
ィブロックを更新し、データの更新の日時または頻度の
情報に基づき、その更新が不正であるか否かを判断し、
不正であると判断した場合は、送られた旧データブロッ
クを保持しておき、不正更新があった旨を表すメッセー
ジを他のコンピュータに送信し、そのメッセージを受信
した各コンピュータは、不正更新を検出したコンピュー
タの台数が所定の期間内に所定のしきい値を超えなかっ
た場合は、保持しておいた旧データブロックを破棄し、
そのしきい値を超えた場合は、以後、不正更新に係るコ
ンピュータとの通信を絶つとともに、そのコンピュータ
に属する各データブロックについて、それぞれ対応する
パリティブロックを有するコンピュータが、旧データブ
ロックを保持していた場合は、その旧データブロックを
そのパリティブロックと置き換え、旧データブロックを
保持していない場合は、そのパリティブロックの属する
パリティグループの全データブロックから不正更新に係
るコンピュータの保持していたデータブロックを復元
し、復元されたデータブロックをそのパリティブロック
と置き換えることによって、不正更新に係るコンピュー
タとの通信を絶った状態でそのコンピュータが保持して
いたデータブロックをネットワーク上で修復することを
特徴とする。
【0014】ここで、上記のネットワークセキュリティ
システムにおいて、各コンピュータは、他のコンピュー
タの保持しているデータを参照する場合、そのデータの
参照に係るデータブロックに対応するパリティブロック
を併せて参照し、そのデータブロックおよびそのパリテ
ィブロックの最終更新時刻を比較して、そのパリティブ
ロックの最終更新時刻がそのデータブロックの最終更新
時刻より古ければ、各コンピュータのうちのいずれかの
コンピュータに不正があったと判断して、参照しようと
したデータを保持しているコンピュータに属する他のデ
ータブロックについて、参照に係るデータブロックの場
合と同様の比較を行い、所定の基準値を超える割合のデ
ータブロックについて、対応するパリティブロックがそ
のデータブロックより古ければ、そのデータブロックを
保持するコンピュータでの不正、そうでなければ、その
パリティブロックを保持するコンピュータでの不正と判
断するとともに、他のコンピュータに対して、同様の比
較をするように指示し、比較した結果に基づく判断が所
定のしきい値を超えるコンピュータ間で一致したことを
検知したとき、不正と判断されたコンピュータとの通信
を絶つとともに、そのコンピュータが保持していたデー
タブロックを修復するようにしてもよい。
【0015】また、本発明のネットワークセキュリティ
システムは、複数のコンピュータと各コンピュータ間の
通信のための通信手段とを有するコンピュータ・ネット
ワークにおける不正行為を防止するネットワークセキュ
リティシステムにおいて、各コンピュータは、それぞれ
異なったコンピュータウイルスに効果のある異なったワ
クチンソフトを有し、ネットワーク上のコンピュータの
うちの1台以上に対して自分の保持するファイルを送信
し、そのファイルを受信したコンピュータは、自分の保
持するワクチンソフトを用いてウイルスチェックを行
い、そのファイルについてウイルス感染を検出した場
合、そのファイルの送信元のコンピュータにそのワクチ
ンソフトを送信することを特徴とする。
【0016】ここで、上記のネットワークセキュリティ
システムにおいて、各コンピュータは、ファイルを更新
する度にネットワーク上のコンピュータから1台以上の
コンピュータを選択し、選択されたコンピュータに対し
てファイルのウイルスチェックを依頼するようにしても
よい。また、ウイルス感染を検出したコンピュータは、
検出に用いたワクチンソフトをネットワーク上のすべて
のコンピュータに送信し、そのワクチンソフトを受信し
た各コンピュータは、そのワクチンソフトを実行させて
各自コンピュータに属するファイルに対してウイルスチ
ェックを行うようにしてもよい。
【0017】本発明のネットワークセキュリティシステ
ムでは、各コンピュータの動作が不正であるか否かを判
断するための知識ベースを持ち、それによって各コンピ
ュータで不正が行われていないかを監視するので、ネッ
トワーク内のあるコンピュータが不正侵入されても、そ
れを検出できる。しかも、各コンピュータに関する知識
ベースは、ネットワーク上の別コンピュータが保持して
いるので、不正侵入を許したコンピュータの持つ知識ベ
ースが盗み見られたり、破壊されたりして、チェックを
無効にされることを防ぐことができる。また、不正を検
出したとき、そのコンピュータとの通信を行わなくなる
ので、あるコンピュータを通じて不正な侵入が行われて
も、ネットワークとしてのセキュリティを保つことがで
きる。
【0018】また、本発明のネットワークセキュリティ
システムでは、ネットワーク上の全コンピュータのログ
情報を比較して、その相対的な差から不正検出を行う。
ネットワークとして、大学や企業の中のある一部署のコ
ンピュータを集めたものを考えた場合、各コンピュータ
での作業が行われる時間帯やファイルアクセス頻度には
ある程度同じような傾向がみられるのが普通である。従
って、絶対的な時刻や頻度では不正行為が行われている
か否か判断がつかないような場合でも、全コンピュータ
のログ情報を比較して、全体の傾向とは大きく逸脱した
ものを見つけることによって、より強固な不正検出機能
を構築できる。
【0019】また、本発明のネットワークセキュリティ
システムでは、サブネットワークを定義して、その範囲
内で共通するログ情報を抜き出して、各サブネットワー
クの情報を比較して、不正の検出を行うので、万が一、
複数のコンピュータがまとめて不正な侵入を許してしま
っても、それを検出して、その影響範囲を局所化でき、
ネットワーク全体のセキュリティを確保できる。
【0020】また、本発明のネットワークセキュリティ
システムでは、ネットワーク上でパリティグループを形
成して、データに冗長性を持たせているので、あるコン
ピュータの保持しているデータが不正改竄されたり、破
壊された時でも、その不正を検出した時点で、その不正
コンピュータのすべてのデータをネットワーク上の残り
のコンピュータ上に修復できる。従って、その不正コン
ピュータとの通信を絶っても、ネットワーク全体として
は、元の状態を維持することができる。
【0021】また、本発明のネットワークセキュリティ
システムでは、データ更新の際にパリティ更新を他コン
ピュータに依頼するという、上記第4の観点による本発
明のデータ更新プロトコルを守らずにデータを更新する
という不正が行われても、データとパリティの最終更新
時刻を比較することにより、その不正を検出できる。ま
た、あるコンピュータの持つデータに対応するパリティ
データは、ネットワーク上のコンピュータに分散して存
在するので、あるデータに関して上記最終更新時刻チェ
ックによって不正検出されたときに、他のデータについ
てもチェックすることにより、データが不正に更新され
たのか、それともパリティが不正に更新されなかったの
かを識別することができる。これにより、あるコンピュ
ータが不正に侵入されて、パリティ更新を実行しないよ
うな細工をされても、的確にそれを検出できる。
【0022】また、本発明のネットワークセキュリティ
システムでは、各コンピュータがそれぞれ異なったコン
ピュータウイルスに効果のあるワクチンソフトを有し、
各自の保持するファイルを定期的にネットワーク上の任
意のコンピュータでウイルスチェックしてもらうので、
ネットワーク上の全コンピュータで一通りチェックして
もらえば、ネットワーク上で対策している複数のウイル
スに対して防御できる。しかも、そのための複数のワク
チンソフトを一台のコンピュータで保持して、一度にま
とめてチェックする必要はなく、ウイルスチェックの負
荷分散を実現できる。
【0023】また、本発明のネットワークセキュリティ
システムでは、ファイル更新を契機にウイルス感染のチ
ェックを行う。コンピュータウイルスがファイルに感染
したときには、必ずファイルが更新されるはずであるか
ら、そのタイミングでチェックをかけることにより、よ
り効率的なチェックが可能になる。
【0024】また、本発明のネットワークセキュリティ
システムでは、あるコンピュータがあるウイルスに感染
したことがわかったとき、ネットワーク内のすべてのコ
ンピュータに対して、そのウイルスに感染していないか
をチェックする。あるコンピュータがウイルスに感染し
た場合、ネットワークでつながれた他のコンピュータに
も広まっている確率が高いので、すべてのコンピュータ
を調べることにより、一時的に負荷は大きくなるもの
の、確実にネットワークからそのウイルスを駆逐するこ
とができる。
【0025】
【発明の実施の形態】以下、本発明の実施の形態(以下
「実施例」という)を図面により詳細に説明する。な
お、本発明は以下の各実施例により限定されるものでは
ない。
【0026】<第1の実施例>図1は、本発明の第1の
実施例にかかるネットワークセキュリティシステムの構
成図である。本システムは、コンピュータ1〜5および
LAN6から構成されている。本実施例では、コンピュ
ータが5台であるが、2台以上であれば、この台数に制
約はない。また、各コンピュータはLAN6により相互
通信が可能であるが、通信を実現する手段もLANに限
定されるわけではない。以下では、コンピュータ1の動
作を中心に説明するが、他のコンピュータ2〜5の動作
も同様である。
【0027】コンピュータ1内にある四角で囲まれた各
部101〜104は、コンピュータ1に組み込まれたソ
フトウェアによって実現される機能を表している。ま
た、コンピュータ1は、ログ診断のための知識ベース1
05と、ネットワーク管理情報106を持つ。ログ採取
部101は、コンピュータ1へのログイン、ログアウ
ト、およびファイルアクセスに関して、その日時、ユー
ザ名、および成否を記録する。
【0028】図2はログ採取部101が採取するログの
一例を示す図である。ログ20はレコード201、20
2、203、204、…から構成される。例えば、レコ
ード202は、ユーザ“usr2”が1月1日10時05分
25秒にログインしようとして拒否されたことを表す。
また、レコード203は、ユーザ“usr1”が1月1日1
0時10分25秒にファイル“fileA”を参照しようと
アクセスして受理されたことを表す。
【0029】通信部102は、ログ採取部101が採取
したログ20を一定の周期、例えば、一日に一回、所定
の時刻に他のコンピュータ2〜5に送信する。また、通
信部102は、他のコンピュータ2〜5が送信した各コ
ンピュータのログ(ログ20と同様につき、図示せず)
を受信し、それをログ診断部103に渡す。送受信に際
しては、ネットワーク管理情報106を参照するが、そ
れについては後述する。
【0030】ログ診断部103は、知識ベース105を
参照して、各コンピュータ2〜5のログをチェックし、
不正行為が行われていないかどうかを診断する。
【0031】図3はログ診断部103が参照する知識ベ
ース105の一例を示す図である。知識ベース105
は、知識ベース105を有するコンピュータ1のログ2
0のみを不正行為の判断の根拠としてコンピュータ1を
不正有無判断の対象とするルールの集合(図3(a))
と、コンピュータ1〜5の複数のログを互いに比較して
他のログにはみられない1台だけの特徴を抽出し、それ
を不正行為の判断の根拠としてLAN6上のすべてのコ
ンピュータ1〜5を不正有無判断の対象とするルールの
集合(図3(b))とを有する。例えば、rule1301
は、深夜1時から5時までという通常の業務形態では発
生し得ない時間帯にコンピュータ1でファイル更新が発
生した場合、コンピュータ1において不正更新があった
と判断するというルールである。また、rule2302
は、コンピュータ1でのログインに対する拒絶が10分
間に5回以上発生、つまり不成功に終わった処理が連続
的に続いた場合、コンピュータ1において不正アクセス
があったと判断するというルールである。一方、rule11
311は、コンピュータ1〜5のうちの1台にログイン
ユーザが1名おり、かつ、それ以外のコンピュータには
いずれもログインユーザがいない、という状態が1時間
以上継続した場合、ログインユーザがいるそのコンピュ
ータに不正アクセスがあったと判断するというルールで
ある。また、rule12312は、コンピュータ1〜5のう
ちの1台で時刻τに構成情報のファイル更新があり、か
つ、それ以外のいずれのコンピュータにおいても時刻τ
を含む所定の幅の時間内に構成情報のファイル更新がな
かった場合、その1台のコンピュータにおいて発生した
ファイル更新は不正更新であると判断するというルール
である。以上のルールは、経験則に基づき不正行為であ
る蓋然性が高いと認められる事象を基に、ネットワーク
管理者等が予め設定しておく。
【0032】ログ診断部103は、不正行為があると判
断した場合、そのコンピュータのID(ここでは、符号
1〜5をIDとする)を、ネットワーク管理部104に
報告するとともに、他のコンピュータ2〜5に通知する
ように、通信部102に依頼する。その際、不正行為が
あると判断されたコンピュータに対しての通知は行う必
要はない。むしろ、セキュリティの観点から、行わない
方が望ましい。
【0033】ネットワーク管理部104は、コンピュー
タ1が検出した不正行為に関してはログ診断部103か
ら、他のコンピュータ2〜5が検出した不正行為に関し
ては通信部102から、それぞれ報告を受ける。そし
て、ネットワーク管理情報106を更新する。
【0034】図11はネットワーク管理情報106の内
容を示す図である。ネットワーク管理情報106は、診
断結果マトリクス1061、通信可否ビットマップ10
62、および不正検出時刻マップ1063からなる。
【0035】診断結果マトリクス1061は、診断を行
ったコンピュータを行に、診断を受けたコンピュータを
列に、それぞれ配した表であり、各要素は‘0’または
‘1’の値を取り、‘0’は不正なし、‘1’は不正あ
りを表す。例えば、要素1065の‘1’は、コンピュ
ータ1がコンピュータ3を「不正あり」と診断したこと
を表す。ここで、上述のようにコンピュータ1について
の診断結果をコンピュータ1自身に報告しないように設
定した場合には、斜線部分1064は診断結果マトリク
ス1061に表示されない。
【0036】通信可否ビットマップ1062は、コンピ
ュータ1と各コンピュータ2〜5との通信可否を表すも
ので、コンピュータ1台につき1ビットが対応し、
‘0’は通信可、‘1’は通信不可を表す。診断結果マ
トリクス1061における場合と同様に、斜線部分10
66は表示させないようにすることができるが、表示さ
せるようにした場合は、コンピュータ1同士の通信可否
を表すことになるので、常に‘0’が表示される。
【0037】不正検出時刻マップ1063は、コンピュ
ータ1が各コンピュータ2〜5の不正を検出した時刻を
記録する。例えば、要素1068は、6月10日15時
にコンピュータ1がコンピュータ3の不正を検出したこ
とを表す。システムが立ち上がってから現在まで各コン
ピュータ2〜5に不正が検出されていないときは、それ
ぞれの要素に‘0’が表示される。診断結果マトリクス
1061における場合と同様に、斜線部分1067は表
示させないようにすることができるが、表示させるよう
にした場合は、コンピュータ1によるコンピュータ1自
身についての不正検出の有無に応じて‘0’または検出
時刻が表示される。
【0038】システム立ち上げ時には、診断結果マトリ
クス1061、通信可否ビットマップ1062、および
不正検出時刻マップ1063のすべての要素をゼロクリ
アしておく。ネットワーク管理部104は、不正検出の
報告を受けると、まず、診断結果マトリクス1061の
対応する要素を‘1’にセットする。このとき、コンピ
ュータ1による他のコンピュータ2〜5についての不正
検出の報告の場合は、上記の診断結果マトリクス106
1の更新を行うとともに、不正検出時刻マップ1063
の対応する要素に現在時刻を記録する。そして、‘1’
をセットした要素の属する列をサーチして、‘1’の数
をカウントし、その数が所定のしきい値を超えた場合、
そのコンピュータに対応する、通信可否ビットマップ1
062上のビットを‘1’にセットする。
【0039】例えば、既にコンピュータ4および5がコ
ンピュータ3を「不正あり」と診断したことにより診断
結果マトリクス1061の該当要素に‘1’が記録され
ていたとする。コンピュータ1〜3はまだコンピュータ
3についての不正を検出しておらず、診断結果マトリク
ス1061の該当要素には依然として‘0’が記録され
ていたとする。このとき、診断結果マトリクス1061
の第3列は上から‘0’‘0’‘0’‘1’‘1’とな
っている。いま、コンピュータ1がコンピュータ3の不
正を検出したとの報告をネットワーク管理部104が受
けたとすると、診断結果マトリクス1061の要素10
65の‘0’は‘1’に更新され、それとともに不正検
出時刻マップ1063の要素1068に現在時刻「Jun.
10 15:00」が記録される。そして、診断結果マトリクス
1061中の先の更新に係る要素1065の属する列、
すなわち第3列をサーチして‘1’の数をカウントし、
所定のしきい値と比較する。例えばしきい値が2に設定
されていたとすると、上記のカウント結果は3なので、
しきい値を超えていることになる。そこで、通信可否ビ
ットマップ1062の第3列のビットを‘1’にセット
し、コンピュータ1はコンピュータ3との通信を絶つ。
こうして更新されたネットワーク管理情報106は、図
11のようになる。
【0040】通信部102は、他のコンピュータ2〜5
との送受信を行う前に、通信可否ビットマップ1062
を参照して、通信相手のコンピュータに対応するビット
が‘1’であれば、そのコンピュータとの通信を中止す
る。
【0041】ところで、ネットワーク管理部104は、
不正検出の報告を受けたとき以外にも、一定周期ごとに
機能させることができる。周期起動の場合は、通信可否
ビットマップ1062上のビットが‘0’で、かつ、診
断結果マトリクス1061上のコンピュータ1による診
断結果が‘1’であるコンピュータに関して、不正検出
時刻マップ1063に記録されている不正検出の時刻と
現在時刻とを比較して、所定の期間以上時間が経過して
いる場合には、そのコンピュータに対応する診断結果マ
トリクス1061の列のビットをすべて‘0’にクリア
する。これにより、一定期間で不正検出件数がしきい値
を超えなかった場合、その診断が誤りであったと判断し
てその誤診断を取り消すことができ、外乱により不必要
にネットワークが縮小するのを避けることができる。
【0042】以上説明した第1の実施例によれば、ネッ
トワーク内のあるコンピュータへの不正侵入を許して
も、その不正を検出して、そのコンピュータとの通信を
絶つことにより、不正の影響がネットワーク全体に広が
ることを防ぐことができる。
【0043】<第2の実施例>第1の実施例では、ネッ
トワーク内の全コンピュータ間で相互監視を行っていた
が、ネットワーク内のコンピュータ数が多くなると、全
コンピュータ間で相互監視を行っていたのでは各コンピ
ュータにかかる負荷が大きくなり、また、複数のコンピ
ュータがまとめて不正侵入されたときに不正の検出が困
難になる。そこで、第2の実施例では、サブネットワー
クの概念を導入し、不正監視負荷の軽減および複数コン
ピュータへの同時不正侵入に対する効率的検出を図る。
【0044】図4は、本発明の第2の実施例に係るネッ
トワークセキュリティシステムの構成図である。本実施
例では、ネットワークを5つのサブネットワーク100
0〜5000に分割し、各サブネットワーク1000〜
5000にそれぞれ5台ずつのコンピュータが属するよ
うにする。なお、分割数や各サブネットワークに属する
コンピュータの台数はこれに限定されるものではない。
各サブネットワーク1000〜5000には、それぞれ
1台ずつの代表コンピュータを設ける。サブネットワー
ク1000では、コンピュータ1Bが代表コンピュータ
である。
【0045】図5はサブネットワーク1000の代表コ
ンピュータであるコンピュータ1Bの構成図である。コ
ンピュータ1Bは、第1の実施例で説明した各機能に加
えて、共通ログ抽出部107、および共通ログ抽出のた
めの知識ベース108を有する。機能101〜104は
第1の実施例と同様の構成であるが、知識ベース105
Bおよびネットワーク管理情報106Bについては、本
実施例のネットワーク構成が第1の実施例のそれとは異
なるため、知識ベース105およびネットワーク管理情
報106とは格納されているデータの内容が異なる。な
お、代表コンピュータ1B以外のコンピュータ2B〜5
Bは、ログ採取部101、通信部102、およびネット
ワーク管理情報106の中の通信可否ビットマップ10
62だけを有すればよい。サブネットワーク1000に
属する各コンピュータ1B〜5Bは、ログを採取した
ら、これをコンピュータ1Bへ送信する。コンピュータ
1Bは、各コンピュータ1B〜5Bからのログを受け取
ると、共通ログ抽出部107で、知識ベース108を用
いて、サブネットワーク1000に共通するログを抽出
する。
【0046】図6は、共通ログ抽出の際用いられる知識
ベース108の一例を示す図である。知識ベース108
の各ルールは、サブネットワーク1000内のコンピュ
ータの台数に関するしきい値に基づき、そのしきい値以
上の台数のコンピュータがそのルールの条件を満たして
いるならば、サブネットワーク1000は所定の共通ロ
グをもつとみなす、というルールである。例えば、rule
21601は、ログインしているユーザがしきい値n以上
の台数のコンピュータに存在する時間帯[t1,t2]
を抽出し、1台のコンピュータに見立てたサブネットワ
ーク1000において、時刻t1にログインが受理さ
れ、時刻t2にログアウトが受理されたとみなす、とい
うルールである。また、rule22602は、ネットワーク
構成情報ファイルに対する更新処理がしきい値n以上の
台数のコンピュータで行われた時間帯[t1,t2]を
抽出し、1台のコンピュータに見立てたサブネットワー
ク1000において、時間[t1,t2]でのネットワ
ーク構成情報ファイルに対する更新処理が受理されたと
みなす、というルールである。
【0047】通信部102では、採取したログを一定の
周期、例えば、一日に一回、所定の時刻に他のサブネッ
トワーク2000〜5000のそれぞれの代表コンピュ
ータに送信する。また、通信部102は、他のサブネッ
トワーク2000〜5000の各代表コンピュータが送
信した各サブネットワーク2000〜5000の共通ロ
グを受信し、それをログ診断部103に渡す。
【0048】ログ診断部103は、知識ベース105B
を参照して、各サブネットワーク2000〜5000の
共通ログをチェックして、サブネットワーク全体で不正
行為が行われているものがないかどうかを診断する。知
識ベース105Bの内容としては、サブネットワーク2
000〜5000をそれぞれ1台のコンピュータと見立
てて図3(b)と同様のルールの集合を用意すればよ
い。このルール集合を参照することにより、ログ診断部
103は、渡された複数のログを比較して他のログには
見られない特徴のあるログを抽出し、これに対応するサ
ブネットワークを不正のあったサブネットワークと判断
する。
【0049】ログ診断部103は、不正行為があると判
断した場合、そのサブネットワークのID(ここでは、
符号1000〜5000をIDとする)を、ネットワー
ク管理部104に報告するとともに、他のサブネットワ
ーク2000〜5000のそれぞれの代表コンピュータ
に通知するように、通信部102に依頼する。その際、
不正行為があると判断されたサブネットワークの代表コ
ンピュータに対しての通知は行う必要はない。むしろ、
セキュリティの観点から、行わない方が望ましい。
【0050】ネットワーク管理部104は、コンピュー
タ1Bが検出した不正行為に関してはログ診断部103
から、他のサブネットワーク2000〜5000のそれ
ぞれの代表コンピュータが検出した不正行為に関しては
通信部102から、それぞれ報告を受ける。そして、ネ
ットワーク管理情報106Bを更新する。ネットワーク
管理情報106Bの内容は、基本的には図11に示した
ネットワーク管理情報106と同様であるが、診断結果
マトリクス1061の行および列、ならびに不正検出時
刻マップ1063の列にサブネットワークのID100
0〜5000を配置する点が異なる。その他、通信可否
ビットマップ1062等については、図11の通信可否
ビットマップ1062と同様である。
【0051】システム立ち上げ時には、診断結果マトリ
クス1061、通信可否ビットマップ1062、および
不正検出時刻マップ1063のすべての要素をゼロクリ
アしておく。ネットワーク管理部104は、不正検出の
報告を受けると、まず、診断結果マトリクス1061の
対応する要素を‘1’にセットする。このとき、コンピ
ュータ1Bによる他のサブネットワーク2000〜50
00についての不正検出の報告の場合は、上記の診断結
果マトリクス1061の更新を行うとともに、不正検出
時刻マップ1063の対応する要素に現在時刻を記録す
る。そして、‘1’をセットした要素の属する列をサー
チして、‘1’の数をカウントし、その数が所定のしき
い値を超えた場合、そのサブネットワークに属するすべ
てのコンピュータに対応する、通信可否ビットマップ1
062上のビットを‘1’にセットする。そして、通信
部102を通じて、サブネットワーク1000内の全コ
ンピュータ2B〜5Bに対して、上記サブネットワーク
との通信を中止するように通知する。これを受けた各コ
ンピュータ2B〜5Bは、各自の通信可否ビットマップ
1062を更新する。こうして、不正ありと判断された
サブネットワーク内のコンピュータとの通信はすべてス
トップする。
【0052】なお、本実施例における各サブネットワー
ク1000〜5000内で、第1の実施例に示したネッ
トワークセキュリティシステムを構築して、第1と第2
の実施例を併用することも可能である。こうすることに
より、全ネットワーク内のコンピュータ台数が多くて
も、セキュリティのための負荷を軽減することができ
る。
【0053】以上述べた第2の実施例によれば、サブネ
ットワーク内の多数のコンピュータがまとめて不正侵入
されても、ネットワーク全体でそれを検出して、そのサ
ブネットワークとの通信を絶つことにより、不正の影響
がネットワーク全体に広がることを防ぐことができる。
【0054】<第3の実施例>第1および第2の実施例
では、不正が検出されたコンピュータとの通信を絶った
後は、そのコンピュータの保持するファイルをアクセス
することができなくなるが、第3の実施例ではこれを解
決し、不正が検出されたコンピュータとの通信を絶った
状態でそのコンピュータの保持するファイルと同一内容
の情報を利用できるようにする。本実施例のネットワー
ク構成に関しては、第1の実施例と同様である。
【0055】図7は、本実施例のネットワークを構成す
る一コンピュータ1Cの構成を示す図である。コンピュ
ータ1Cは、第1の実施例で説明した通信部102、ネ
ットワーク管理部104に加えて、パリティ更新部10
9およびファイル修復部110を有する。また、不正更
新を検出するための知識ベース105C、ネットワーク
管理情報106に加えて、パリティグループ構成管理表
111を有する。通信部102、ネットワーク管理部1
04、およびネットワーク管理情報106は第1の実施
例と同様の構成であるが、知識ベース105Cについて
は、パリティ更新およびファイル修復に関する知識が格
納されている点で第1および第2の実施例の知識ベース
105および知識ベース105Bとは異なる。
【0056】ネットワーク間で相互に参照可能とするフ
ァイルについては、あらかじめ、パリティグループを形
成しておく。その手順を以下に示す。
【0057】まず、取り扱うファイルの集合を所定のサ
イズに分割しておく。このサイズには特に制約はない。
例えば、4Kバイトなど、実際の物理的なデータ収納単
位(セクタ単位)にあわせたり、取り扱うファイルの中
で容量が最大のものに設定したりする。当然、後者の場
合はファイル分割は必要なくなる。以下では、上記所定
サイズごとのデータの固まりをデータブロックと呼ぶ。
【0058】次に、5台のうちの4台のコンピュータか
ら1つずつデータブロックを集めて、その4つのデータ
からパリティデータを作り、それをパリティブロックと
して残りの1台に格納しておく。1つのパリティグルー
プは、以上の5つのブロックから構成される。なお、コ
ンピュータ間で、対象となるブロック数にアンバランス
がある場合は、ダミーのデータブロックを用意して、数
をそろえる。そして、各パリティグループには、そのグ
ループ番号をつけておく。
【0059】図12は、パリティグループを管理するた
めのパリティグループ構成管理表111の一例を示す図
である。構成され付番された各パリティグループは、こ
のパリティグループ構成管理表111に登録される。本
実施例では、各コンピュータ1C〜5Cがそれぞれデー
タブロックを4つずつ有し、そのサイズは、各コンピュ
ータの持つファイルF11〜F55がそれぞれ1つのデ
ータブロックに収まるような大きさとする。また、取り
扱うファイルもコンピュータ1C〜5Cのそれぞれにつ
き4つずつとする。ここで、FxyはコンピュータxC
に属するy番目のファイルを意味する。例えば、F23
はコンピュータ2Cに属する3番目のファイルを意味す
る。パリティグループ構成管理表111は、パリティグ
ループ番号1111、パリティグループの構成ファイル
1112、およびデータ保持情報1113からなる。
【0060】構成ファイル1112は、行に配置された
各パリティグループについて、列に配置された各コンピ
ュータ1C〜5Cがそのパリティグループ中のどのブロ
ックを保持しているかを表す。例えば、要素11121
は、コンピュータ3Cがパリティグループ#5に関して
そのデータブロックの1つであるファイルF35を保持
していることを表す。また、要素11122は、コンピ
ュータ2Cがパリティグループ#4に関してそのパリテ
ィブロックを保持していることを表す。
【0061】データ保持情報1113は、行に配置され
た各パリティグループについて、そのパリティブロック
を保持しているコンピュータにとって有効な情報で、当
該パリティグループの各データを自コンピュータ1Cが
保持しているか否かを表す。各要素はそれぞれ1ビット
の情報で、‘0’が保持なし、‘1’が保持を示す。例
えば、要素11133の‘1’は、パリティグループ#
5のデータのうちコンピュータ3Cに属するものをコン
ピュータ1Cが保持していることを表す。システム立ち
上げ時には、自コンピュータ1Cは自コンピュータ1C
に属するデータを保持しているだけであり、他のコンピ
ュータ2C〜5Cに属するデータは保持していないの
で、自コンピュータ1Cの対応ビット11131は
‘1’で、その他のビット11132はすべて‘0’に
設定しておく。
【0062】以下、コンピュータ1Cの動作を説明す
る。コンピュータ1Cは、自分に属するファイルF11
〜F14のいずれかを更新した場合、パリティグループ
構成管理表111の構成ファイル1112を参照して、
当該ファイルが属するパリティグループのバリティブロ
ックを保持するコンピュータを見つける。そして、通信
部102を通じて、そのコンピュータに対して、更新前
後のデータを送り、パリティの更新を依頼する。例え
ば、F13を更新した場合、構成ファイル1112を参
照すると、F13が属するパリティグループ#3のパリ
ティブロックを保持しているのはコンピュータ3Cであ
ることが分かるので、コンピュータ1Cは通信部102
を通じて、コンピュータ3Cに更新前後のF13のデー
タを送り、パリティグループ#3のパリティブロックの
更新を依頼する。
【0063】一方、コンピュータ1Cは、パリティグル
ープ#5のパリティブロックを保持しているので、パリ
ティグループ#5に属するファイルの更新が各コンピュ
ータで発生する度に、パリティ更新の依頼を受ける。例
えば、コンピュータ4CにおいてF45の更新が発生し
た場合、コンピュータ1Cはコンピュータ4Cからパリ
ティグループ#5のパリティブロックの更新の依頼を受
ける。この依頼は、通信部102を通じて、パリティ更
新部109に渡される。
【0064】図8は、パリティ更新部109の処理手順
を示すフローチャートである。パリティ更新部109
は、まず新しいパリティを計算して、パリティを更新す
る(ステップS100)。具体的には、次式 新パリティ=旧パリティ XOR 新データ XOR 旧データ (ただし、XORは排他的論理和を表す) で計算できるが、本発明はこれに限定されるものではな
く、パリティとしては、元のデータを復元するために利
用できるビット列であれば、いかなる方法で生成された
ものでもよい。そして、パリティを更新したことを依頼
元のコンピュータに報告する(ステップS105)。次
に、データ保持情報1113を参照して、自分が当該デ
ータの旧データをすでに保持しているか否かを調べる
(ステップS110)。保持している場合には、以下に
述べるように、すでにその依頼元コンピュータでのデー
タの不正更新をコンピュータ1Cが検出済みであること
を示すので、そこで処理を終了する(ステップS16
0)。
【0065】保持していない場合には、知識ベース10
5Cを用いて、そのデータ更新に不正がないかどうかを
診断する(ステップS120)。ここで、知識ベース1
05Cは、第1の実施例で示したようにアクセス時間や
ユーザ名に関するものに加え、更新内容に関するものも
含む。例えば、ファイルがコンピュータウイルスに感染
した場合、その更新内容には特定のバイトパターンを含
むケースが多い。そこで、そのバイトパターンが含まれ
ていないかをチェックする。
【0066】診断の結果が「不正更新あり」か否かを調
べ(ステップS125)、不正更新がないと判断した場
合は、そこで処理を終了する(ステップS160)。不
正があると判断した場合は、送られた旧データを保存し
ておく(ステップS130)とともに、データ保持情報
1113の対応するビットを‘1’にセットする。そし
て、依頼元コンピュータのIDをネットワーク管理部1
04に報告し(ステップS140)、依頼元コンピュー
タを除く他のコンピュータにこのIDを通知するよう
に、通信部102に依頼し(ステップS150)、処理
を終了する(ステップS160)。
【0067】報告を受けたネットワーク管理部104
は、まず、ネットワーク管理情報106を更新する。こ
れに関しては、第1の実施例と同様である。そして、そ
の不正に係るコンピュータに対して不正ありと判断を下
した他のコンピュータの台数が所定のしきい値を超えた
場合、第1の実施例と同様に、そのコンピュータに対応
する通信可否ビットマップ1062上のビットを‘1’
にセットする。それと同時に、ファイル修復部110
で、その不正に係るコンピュータの保持していたデータ
(不正更新を行う前のデータ)を修復する。
【0068】図9はファイル修復部110が行うデータ
修復処理の手順を示すフローチャートである。パリティ
グループ番号の若い順に、パリティグループ#1から
(ステップS200)、まず、パリティグループ構成管
理表111の構成ファイル1112を参照して当該パリ
ティグループのパリティデータを自分が保持しているか
否かを調べる(ステップS210)。
【0069】パリティデータを保持していない場合は、
そのままステップS260へ移る。パリティデータを保
持している場合は、修復対象のデータを自分が保持して
いるか否かを調べる(ステップS220)。先に述べた
ように、パリティ更新の際に、不正更新ありと判断した
場合、コンピュータ1Cはその不正に係る旧データを保
持している。これが修復対象データとなる。従って、ス
テップS220は、パリティグループ構成管理表111
のデータ保持情報1113を参照することにより行う。
【0070】修復対象のデータを保持している場合は、
そのデータをパリティブロックと置き換え(ステップS
230)、ステップS260に移る。修復対象のデータ
を保持していない場合は、当該パリティグループの修復
対象データを除く全データを各コンピュータから読み出
してくる(ステップS240)。そして、集めたデータ
及びパリティから不正コンピュータが保持していたデー
タを修復して、パリティブロックと置き換え(ステップ
S250)、ステップS260に移る。以上の処理をす
べてのパリティグループに対して行う(ステップS26
0、S270、およびS280)。
【0071】以上の処理が各コンピュータで行われる
と、不正コンピュータの保持していたデータは、その対
応するパリティを保持していたコンピュータ上で修復さ
れる。そこで、その後は、不正コンピュータの保持して
いたデータを参照したい場合には、パリティグループ構
成管理表111から、対応するパリティを保持していた
コンピュータを調べて、そのコンピュータに対して要求
を出せばよい。
【0072】ところで、一定期間内に不正検出がしきい
値を超えなかった場合には、第1の実施例で述べた、不
正検出の情報をクリアする処理に加えて、保持していた
旧データを破棄して、パリティグループ構成管理表11
1のデータ保持情報1113の対応する要素をゼロクリ
アする。
【0073】次に、上記のパリティ更新処理の手順(以
下、「パリティ更新プロトコル」という)に違反して、
ファイル更新時にパリティ更新を依頼しなかったり、パ
リティ更新を実行しなかったりというような不正の検出
について述べる。
【0074】まず、データを更新してから、パリティ更
新依頼に対する完了報告が来るまでの間は、当該データ
の参照を禁止する。これにより、上記パリティ更新プロ
トコルを守る限り、データを参照したときには、そのデ
ータの更新時刻は、対応するパリティの更新時刻より古
いはずである。
【0075】そこで、他コンピュータの保持しているデ
ータを参照するときには、対応するパリティも読み出
し、それぞれの更新時刻を比較する。もし、パリティの
更新時刻の方がデータの更新時刻より古ければ、明らか
に不正が行われていることになる。その不正は、データ
が不正に更新されたか、あるいはパリティが不正に更新
されなかったかのいずれかである。
【0076】これを識別するために、参照しようとした
データを保持するコンピュータの他のデータに関しても
同様のチェックを行う。そして、所定の割合を超えるデ
ータに関してパリティの方が古ければ、参照しようとし
たデータを保持するコンピュータでの不正と判断する。
また、超えなければ、参照しようとしたデータに対応す
るパリティを保持するコンピュータでの不正と判断す
る。不正と判断した後の処理に関しては、上述のものと
同様である。
【0077】なお、本実施例では、ファイルの更新内容
または更新時刻に基づきそのファイルの不正更新を検出
していたが、本発明はこれに限定されるものではなく、
第1の実施例で述べたような、採取したログから不正を
検出する仕掛けと組み合わせてもよい。
【0078】以上述べた第3の実施例によれば、不正を
行ったコンピュータとの通信を絶っても、そのコンピュ
ータが保持していたデータをネットワーク上で修復する
ことができる。
【0079】<第4の実施例>不正としてコンピュータ
ウイルスに絞った実施例を述べる。ネットワーク構成に
関しては、第1の実施例と同様である。
【0080】図10は、ネットワークを構成する一コン
ピュータ1Dの構成を示す図である。コンピュータ1D
は、通信部102と、コンピュータウイルスチェック部
112、ウイルスチェック指示部113、およびウイル
スチェック表114を有する。通信部102について
は、第1の実施例と同様の構成である。コンピュータウ
イルスチェック部112は、具体的には、コンピュータ
ウイルスの感染を検出し、データを修復する機能を持つ
コンピュータワクチンソフトである。そのワクチンソフ
トは、各コンピュータ1D〜5Dで、それぞれ異なった
ものが格納されている。
【0081】図13はウイルスチェック表114を示す
図である。この表は、行に自コンピュータ1Dの保持す
るファイル名、列にネットワーク上のコンピュータ1D
〜5Dを配置し、各ファイルが各コンピュータでウイル
スチェックを行ったか否かを示す。各要素は‘0’また
は‘1’の値を取り、‘0’はチェック未済み、‘1’
はチェック済みを表す。立ち上げ時には、これらの要素
をゼロクリアしておく。
【0082】コンピュータ1Dは、所定の周期ごとに、
ウイルスチェック指示部113に制御を渡す。ウイルス
チェック指示部113は、ウイルスチェック表114の
中から、‘0’の要素を一つ抜き出し、その対応するフ
ァイルを対応するコンピュータに送り、ウイルスチェッ
クを依頼する。そして、それが完了すれば、対応する要
素を‘1’にセットする。なお、すべての要素が‘1’
になったら、再び表全体をゼロクリアする。
【0083】一方、ウイルスチェック指示を受けたら、
コンピュータウイルスチェック部112で、ワクチンソ
フトを起動してウイルスチェックを行う。もし、ウイル
スに感染していることを検出したら、ウイルスチェック
指示を送信してきたコンピュータに対して、そのファイ
ルがウイルスに感染していることを報告するとともに、
その検出を行ったワクチンソフトを送る。そして、上記
報告を受けたコンピュータは、併せて送られたワクチン
ソフトを用いて、自分の持つすべてのファイルについ
て、ウイルスチェックおよび修復処理を行う。
【0084】なお、本実施例では、ウイルスチェックを
指示するのは、所定の一定周期ごとであったが、本発明
はこれに限定されるものではなく、ファイルを更新する
度に、そのファイルをチェック対象として選んでもよ
い。
【0085】また、本実施例では、ウイルス感染を検出
したとき、そのワクチンソフトを指示のあったコンピュ
ータだけに送っているが、本発明はこれに限定されるも
のではなく、そのワクチンソフトをネットワーク上のす
べてのコンピュータに送ってもよい。
【0086】以上述べた第4の実施例によれば、ネット
ワーク上の全コンピュータ上でファイルを一通りウイル
スチェックさせることにより、ネットワーク上で対策し
ている複数のウイルスに対して防御できる上、そのため
の複数のワクチンソフトを一台のコンピュータが保持し
て一度にまとめてチェックする必要はなく、ウイルスチ
ェックの負荷分散を実現できる。
【0087】
【発明の効果】本発明のネットワークセキュリティシス
テムによれば、ネットワーク内のあるコンピュータで、
不正侵入、データ改竄、あるいはウイルス感染等の異常
が発生したとき、ネットワーク全体で協調してそれを検
出し、その異常部分を除去して元の正常な状態に回復さ
せることが可能である。
【図面の簡単な説明】
【図1】本発明の第1の実施例のネットワークセキュリ
ティシステムの構成図である。
【図2】本発明のログ採取の一例を示す図である。
【図3】本発明の第1の実施例の知識ベースの一例を示
す図である。
【図4】本発明の第2の実施例のネットワークセキュリ
ティシステムの構成図である。
【図5】本発明の第2の実施例のネットワークセキュリ
ティシステムを構成する代表コンピュータの構成図であ
る。
【図6】本発明の第2の実施例の知識ベースの一例を示
す図である。
【図7】本発明の第3の実施例のネットワークセキュリ
ティシステムを構成する一コンピュータの構成図であ
る。
【図8】本発明の第3の実施例におけるパリティ更新手
順を示すフローチャートである。
【図9】本発明の第3の実施例におけるデータ修復手順
を示すフローチャートである。
【図10】本発明の第4の実施例のネットワークセキュ
リティシステムを構成する一コンピュータの構成図であ
る。
【図11】本発明のネットワーク管理情報の内容を示す
図である。
【図12】本発明の第3の実施例におけるパリティグル
ープ構成管理表を示す図である。
【図13】本発明の第4の実施例におけるウイルスチェ
ック表を示す図である。
【符号の説明】
1〜5 コンピュータ 6 LAN 101 ログ採取部 102 通信部 103 ログ診断部 104 ネットワーク管理部 105 知識ベース 106 ネットワーク管理情報 1061 診断結果マトリクス 1062 通信可否ビットマップ 1063 不正検出時刻マップ 107 共通ログ抽出部 108 知識ベース 109 パリティ更新部 110 ファイル修復部 111 パリティグループ構成管理表 112 コンピュータウイルスチェック部 113 ウイルスチェック指示部 114 ウイルスチェック表

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】複数のコンピュータと上記各コンピュータ
    間の通信のための通信手段とを有するコンピュータ・ネ
    ットワークにおける不正行為を防止するネットワークセ
    キュリティシステムにおいて、 上記各コンピュータは、動作の来歴であるログを記録す
    る手段と、上記ログを上記ネットワーク上の他のコンピ
    ュータに通知する手段と、上記ログに基づき上記ネット
    ワーク上の各コンピュータでの各動作が不正であるか否
    かを判断するための知識ベースとを有し、 上記各コンピュータは、上記他のコンピュータから上記
    ログが送られる度に、上記知識ベースを参照して上記ネ
    ットワーク上の各コンピュータでの不正行為の有無を検
    査し、検査の結果上記各コンピュータのうちのあるコン
    ピュータで不正行為があったと判断した場合、該コンピ
    ュータにおいて不正行為のあった旨を表すメッセージを
    上記他のコンピュータに送信し、 該メッセージを受信した上記各コンピュータは、所定の
    期間内に所定のしきい値を超える台数の上記コンピュー
    タが上記不正行為に係るコンピュータに対して不正行為
    ありと判断したことを検知したとき、以後、不正行為あ
    りと判断されたコンピュータとの通信を絶つことを特徴
    とするネットワークセキュリティシステム。
  2. 【請求項2】請求項1に記載のネットワークセキュリテ
    ィシステムにおいて、 上記各コンピュータは、自コンピュータにおいてログイ
    ン、ログアウト、およびファイルアクセスが行われる度
    に、その時刻およびユーザ名をログとして採取し、上記
    各コンピュータが各自について採取したログをそれぞれ
    収集し、 収集されたログに基づき、ログイン、ログアウト、およ
    びファイルアクセスの日時または頻度について上記各コ
    ンピュータを相互に比較したとき、上記各コンピュータ
    のうちのあるコンピュータが他のコンピュータに比して
    所定の基準より顕著な特徴を有する場合、該コンピュー
    タに不正行為があったと判断することを特徴とするネッ
    トワークセキュリティシステム。
  3. 【請求項3】複数のコンピュータと上記各コンピュータ
    間の通信のための通信手段とを有するコンピュータ・ネ
    ットワークにおける不正行為を防止するネットワークセ
    キュリティシステムにおいて、 上記各コンピュータは、動作の来歴であるログを記録す
    る手段と、上記ログを上記ネットワーク上の他のコンピ
    ュータに通知する手段とを有し、上記ネットワークは複
    数のサブネットワークに分割され、上記各サブネットワ
    ークは1台の代表コンピュータを有し、 上記各代表コンピュータは、自らが所属するサブネット
    ワーク上の全コンピュータの上記ログを収集し、所定の
    しきい値以上のコンピュータに共通するログを抽出し、
    抽出されたログをもって該サブネットワークのログとみ
    なして該ログを上記他のサブネットワークの代表コンピ
    ュータに通知するとともに、上記他のサブネットワーク
    の代表コンピュータから通知された上記ログを収集し、
    収集されたログに基づき、ログイン、ログアウト、およ
    びファイルアクセスの日時または頻度について上記各サ
    ブネットワークを相互に比較したとき、上記各サブネッ
    トワークのうちのあるサブネットワークが他のサブネッ
    トワークに比して所定の基準より顕著な特徴を有する場
    合、該サブネットワーク全体に不正行為があったと判断
    することを特徴とするネットワークセキュリティシステ
    ム。
  4. 【請求項4】請求項3に記載のネットワークセキュリテ
    ィシステムにおいて、 上記各代表コンピュータは、上記サブネットワーク全体
    に不正行為があったと判断した場合、不正行為があった
    旨を表すメッセージを上記他の代表コンピュータに送信
    し、 該メッセージを受信した上記各代表コンピュータは、所
    定の期間内に所定のしきい値を超える台数の代表コンピ
    ュータが上記不正行為に係るサブネットワークに対して
    不正行為ありと判断したことを検知したとき、以後、自
    らの所属するサブネットワークのすべてのコンピュータ
    に対して、上記不正行為ありと判断されたサブネットワ
    ークに属するすべてのコンピュータとの通信を禁止する
    旨を通知することを特徴とするネットワークセキュリテ
    ィシステム。
  5. 【請求項5】複数のコンピュータと上記各コンピュータ
    間の通信のための通信手段とを有するコンピュータ・ネ
    ットワークにおける不正行為を防止するネットワークセ
    キュリティシステムにおいて、 上記各コンピュータに属する各データは、それぞれ該デ
    ータを所定のサイズで分割してできる複数のデータブロ
    ックから上記各コンピュータにつき1つずつ選択された
    データブロックを組み合わせてなる複数のパリティグル
    ープとして管理され、 上記各パリティグループは、それぞれ自グループに属す
    るすべての単位データから作成されたパリティブロック
    を含み、 上記パリティブロックは上記ネットワーク上のコンピュ
    ータのうちの1つに格納され、 上記各コンピュータは自らに属するデータを更新した
    後、該更新に係るデータブロックが属するパリティグル
    ープのパリティブロックを保持するコンピュータに対し
    て、更新前後の新旧データブロックを渡してパリティ更
    新を指示し、 上記パリティ更新を指示されたコンピュータは、自分の
    保持するパリティブロックと上記新旧データブロックと
    から新パリティブロックを計算してパリティブロックを
    更新し、上記データの更新の日時または頻度の情報に基
    づき、該更新が不正であるか否かを判断し、不正である
    と判断した場合は、送られた旧データブロックを保持し
    ておき、不正更新があった旨を表すメッセージを他のコ
    ンピュータに送信し、 該メッセージを受信した上記各コンピュータは、上記不
    正更新を検出したコンピュータの台数が所定の期間内に
    所定のしきい値を超えなかった場合は、保持しておいた
    上記旧データブロックを破棄し、該しきい値を超えた場
    合は、以後、上記不正更新に係るコンピュータとの通信
    を絶つとともに、該コンピュータに属する各データブロ
    ックについて、それぞれ対応するパリティブロックを有
    するコンピュータが、上記旧データブロックを保持して
    いた場合は、該旧データブロックを該パリティブロック
    と置き換え、上記旧データブロックを保持していない場
    合は、該パリティブロックの属するパリティグループの
    全データブロックから上記不正更新に係るコンピュータ
    の保持していたデータブロックを復元し、復元されたデ
    ータブロックを該パリティブロックと置き換えることに
    よって、不正更新に係るコンピュータとの通信を絶った
    状態で該コンピュータが保持していたデータブロックを
    上記ネットワーク上で修復することを特徴とするネット
    ワークセキュリティシステム。
  6. 【請求項6】請求項5に記載のネットワークセキュリテ
    ィシステムにおいて、 上記各コンピュータは、上記他のコンピュータの保持し
    ているデータを参照する場合、該データの参照に係るデ
    ータブロックに対応するパリティブロックを併せて参照
    し、該データブロックおよび該パリティブロックの最終
    更新時刻を比較して、該パリティブロックの最終更新時
    刻が該データブロックの最終更新時刻より古ければ、上
    記各コンピュータのうちのいずれかのコンピュータに不
    正があったと判断して、参照しようとしたデータを保持
    しているコンピュータに属する他のデータブロックにつ
    いて、上記参照に係るデータブロックの場合と同様の比
    較を行い、所定の基準値を超える割合のデータブロック
    について、対応するパリティブロックが該データブロッ
    クより古ければ、該データブロックを保持するコンピュ
    ータでの不正、そうでなければ、該パリティブロックを
    保持するコンピュータでの不正と判断するとともに、他
    のコンピュータに対して、同様の比較をするように指示
    し、比較した結果に基づく判断が所定のしきい値を超え
    るコンピュータ間で一致したことを検知したとき、不正
    と判断されたコンピュータとの通信を絶つとともに、該
    コンピュータが保持していたデータブロックを修復する
    ことを特徴とするネットワークセキュリティシステム。
  7. 【請求項7】複数のコンピュータと上記各コンピュータ
    間の通信のための通信手段とを有するコンピュータ・ネ
    ットワークにおける不正行為を防止するネットワークセ
    キュリティシステムにおいて、 上記各コンピュータは、それぞれ異なったコンピュータ
    ウイルスに効果のある異なったワクチンソフトを有し、
    上記ネットワーク上のコンピュータのうちの1台以上に
    対して自分の保持するファイルを送信し、 該ファイルを受信したコンピュータは、自分の保持する
    ワクチンソフトを用いてウイルスチェックを行い、該フ
    ァイルについてウイルス感染を検出した場合、該ファイ
    ルの送信元のコンピュータに該ワクチンソフトを送信す
    ることを特徴とするネットワークセキュリティシステ
    ム。
  8. 【請求項8】請求項7に記載のネットワークセキュリテ
    ィシステムにおいて、 上記各コンピュータは、ファイルを更新する度に上記ネ
    ットワーク上のコンピュータから1台以上のコンピュー
    タを選択し、選択されたコンピュータに対して上記ファ
    イルのウイルスチェックを依頼することを特徴とするネ
    ットワークセキュリティシステム。
  9. 【請求項9】請求項7に記載のネットワークセキュリテ
    ィシステムにおいて、 上記ウイルス感染を検出したコンピュータは、検出に用
    いたワクチンソフトを上記ネットワーク上のすべてのコ
    ンピュータに送信し、 該ワクチンソフトを受信した各コンピュータは、該ワク
    チンソフトを実行させて各自コンピュータに属するファ
    イルに対して上記ウイルスチェックを行うことを特徴と
    するネットワークセキュリティシステム。
JP7287003A 1995-11-06 1995-11-06 ネットワークセキュリティシステム Pending JPH09128336A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP7287003A JPH09128336A (ja) 1995-11-06 1995-11-06 ネットワークセキュリティシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP7287003A JPH09128336A (ja) 1995-11-06 1995-11-06 ネットワークセキュリティシステム

Publications (1)

Publication Number Publication Date
JPH09128336A true JPH09128336A (ja) 1997-05-16

Family

ID=17711772

Family Applications (1)

Application Number Title Priority Date Filing Date
JP7287003A Pending JPH09128336A (ja) 1995-11-06 1995-11-06 ネットワークセキュリティシステム

Country Status (1)

Country Link
JP (1) JPH09128336A (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11110211A (ja) * 1997-09-30 1999-04-23 Brother Ind Ltd コンピュータシステム及びコンピュータウィルス対抗方法並びにコンピュータウィルス対抗プログラムが記録された記録媒体
JPH11167487A (ja) * 1997-12-02 1999-06-22 Fujitsu Ltd ウィルスチェックネットワーク、ウィルスチェック装置、クライアント端末及びウィルス情報管理局
JPH11205305A (ja) * 1998-01-12 1999-07-30 Sony Corp 情報処理装置および方法、情報処理システム、並びに提供媒体
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
JP2002222094A (ja) * 2001-01-26 2002-08-09 Nec Software Kyushu Ltd ネットワーク上のウィルスを検出消去するシステム及びプログラム
JP2003524925A (ja) * 1998-12-09 2003-08-19 ネットワーク アイス コーポレイション ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置
JP2004126854A (ja) * 2002-10-01 2004-04-22 Mitsubishi Electric Corp 攻撃対策装置
JP2006065515A (ja) * 2004-08-25 2006-03-09 Ntt Docomo Inc クライアント装置、サーバ装置及び権限制御方法
JP2008269619A (ja) * 2008-05-07 2008-11-06 Sony Corp 暗号化コンテンツ送信装置
JP2011134252A (ja) * 2009-12-25 2011-07-07 Yahoo Japan Corp 不正利用判定サーバ及び方法
JP2019205005A (ja) * 2018-05-21 2019-11-28 コニカミノルタ株式会社 情報処理システム、管理装置およびプログラム

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11110211A (ja) * 1997-09-30 1999-04-23 Brother Ind Ltd コンピュータシステム及びコンピュータウィルス対抗方法並びにコンピュータウィルス対抗プログラムが記録された記録媒体
JPH11167487A (ja) * 1997-12-02 1999-06-22 Fujitsu Ltd ウィルスチェックネットワーク、ウィルスチェック装置、クライアント端末及びウィルス情報管理局
JPH11205305A (ja) * 1998-01-12 1999-07-30 Sony Corp 情報処理装置および方法、情報処理システム、並びに提供媒体
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
JP2003524925A (ja) * 1998-12-09 2003-08-19 ネットワーク アイス コーポレイション ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置
JP2002222094A (ja) * 2001-01-26 2002-08-09 Nec Software Kyushu Ltd ネットワーク上のウィルスを検出消去するシステム及びプログラム
JP2004126854A (ja) * 2002-10-01 2004-04-22 Mitsubishi Electric Corp 攻撃対策装置
JP2006065515A (ja) * 2004-08-25 2006-03-09 Ntt Docomo Inc クライアント装置、サーバ装置及び権限制御方法
JP4643204B2 (ja) * 2004-08-25 2011-03-02 株式会社エヌ・ティ・ティ・ドコモ サーバ装置
JP2008269619A (ja) * 2008-05-07 2008-11-06 Sony Corp 暗号化コンテンツ送信装置
JP4496506B2 (ja) * 2008-05-07 2010-07-07 ソニー株式会社 暗号化コンテンツ送信装置
JP2011134252A (ja) * 2009-12-25 2011-07-07 Yahoo Japan Corp 不正利用判定サーバ及び方法
JP2019205005A (ja) * 2018-05-21 2019-11-28 コニカミノルタ株式会社 情報処理システム、管理装置およびプログラム

Similar Documents

Publication Publication Date Title
US6347374B1 (en) Event detection
JP3351318B2 (ja) 計算機システムの監視方法
EP3068095B1 (en) Monitoring apparatus and method
KR100838799B1 (ko) 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
US20080201778A1 (en) Intrusion detection using system call monitors on a bayesian network
US11829472B2 (en) Anomalous vehicle detection server and anomalous vehicle detection method
US20040093510A1 (en) Event sequence detection
CN107147627A (zh) 一种基于大数据平台的网络安全防护方法及系统
JPH09128336A (ja) ネットワークセキュリティシステム
CN108462714A (zh) 一种基于系统弹性的apt防御系统及其防御方法
US20070204345A1 (en) Method of detecting computer security threats
CN109409087B (zh) 防提权检测方法及设备
KR20080047261A (ko) 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템
WO2014103115A1 (ja) 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体
KR101576632B1 (ko) 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
TW201901514A (zh) 程式異動監控與應變系統及方法
CN109992963A (zh) 一种电力终端及其嵌入式系统的信息安全防护方法与体系
WO2021144859A1 (ja) 侵入経路分析装置および侵入経路分析方法
JP4843546B2 (ja) 情報漏洩監視システムおよび情報漏洩監視方法
KR101940864B1 (ko) 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체
KR102338998B1 (ko) 로그 무결성 검사 및 이를 통한 로그 위변조 행위 증빙 시스템 및 그 방법
JP2005202664A (ja) 不正アクセス統合対応システム
JPH10107795A (ja) ネットワーク管理システム
CN113923036A (zh) 一种持续免疫安全系统的区块链信息管理方法及装置
CN112784274A (zh) 基于Linux平台的恶意样本检测收集方法及系统、存储介质、设备