JPH11282673A - Method for detecting computer virus infection route and recording medium for recording trace virus to be used for the method - Google Patents
Method for detecting computer virus infection route and recording medium for recording trace virus to be used for the methodInfo
- Publication number
- JPH11282673A JPH11282673A JP10101933A JP10193398A JPH11282673A JP H11282673 A JPH11282673 A JP H11282673A JP 10101933 A JP10101933 A JP 10101933A JP 10193398 A JP10193398 A JP 10193398A JP H11282673 A JPH11282673 A JP H11282673A
- Authority
- JP
- Japan
- Prior art keywords
- virus
- trace
- document
- infection
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、情報処理の分野に
おけるコンピュータウィルスの感染経路検出方法とその
方法に用いるトレースウィルスを記録する記録媒体に関
するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method for detecting a computer virus infection route in the field of information processing and a recording medium for recording a trace virus used in the method.
【0002】[0002]
【従来の技術】近年、コンピュータウィルスの感染によ
るデータ破壊や、業務停止などコンピュータシステムへ
の被害が増加し社会的な問題となってきている。2. Description of the Related Art In recent years, damage to computer systems, such as data destruction due to computer virus infection and business suspension, has increased and has become a social problem.
【0003】コンピュータウィルスとは、第三者のプロ
グラムやデータなどのファイルに対して、意図的に何ら
かの被害を及ぼすように作られたプログラムであり、以
下の(1)〜(3)の特徴を一つ以上有するものであ
る。 (1) 自己伝染(感染) 自分を他のプログラムにコピーすることにより、他に伝
染する。 (2) 潜伏 発病するための特定時刻、一定時間、処理時間等の条件
を記憶させて、発病するまで症状を出さない。 (3) 発病 プログラムやデータなどのファイルの破壊を行ったり、
設計者の意図しない動作をする。以上の(1)〜(3)
の出典は情報処理振興事業協会(IPA)によるもので
ある。[0003] A computer virus is a program designed to intentionally cause some damage to files such as programs and data of third parties, and has the following features (1) to (3). It has one or more. (1) Self-infection (infection) It spreads itself by copying itself to other programs. (2) Latency The conditions such as the specific time, the fixed time, and the processing time for the onset of the disease are stored, and no symptoms are displayed until the onset of the disease. (3) Attack Destruction of files such as programs and data,
Behaves unintended by the designer. The above (1) to (3)
Is from the Information Processing Promotion Agency (IPA).
【0004】コンピュータウィルスの種類 (1) 機械語ウィルス a) システム感染型(ブートセクタ型) HDD中のIPL(ブートセクタ、パーティションテー
ブル)に感染し、起動後には既に感染状態になってい
る。 b) ファイル感染型(アプリケーション感染型) 感染したプログラム/データを実行すると、他のプログ
ラム/データに感染する場合と、実行の際に日付や実行
回数などの条件が満足されていると発病する場合があ
る。 (2) マクロウィルス 文書ファイル(例、Word、Excel)に感染する
タイプで、同一マクロ体系の機種やOSの違いを越える
マルチプラツトホーム型である。文書ファイルオープン
時に他の同一ファイル形式のマクロに感染する。Types of Computer Virus (1) Machine Language Virus a) System Infection Type (Boot Sector Type) The computer virus infects the IPL (boot sector, partition table) in the HDD and is already infected after booting. b) File infection type (application infection type) When the infected program / data is executed, it is infected with other programs / data, and when the program becomes sick if the conditions such as date and number of executions are satisfied at the time of execution. There is. (2) Macro virus A type that infects document files (eg, Word, Excel) and is a multi-platform type that exceeds the model and OS of the same macro system. Infects other macros of the same file format when opening a document file.
【0005】コンピュータウィルスの感染経路には以下
の様なケースが考えられる。 1)FDやCD−ROM配布により感染 2)パソコン通信、WWWサーバ、ファイルサーバ等か
らダウンロードしたプログラムやデータから感染 3)電子メールやグループウェア等の添付ファイルから
感染[0005] The following cases are conceivable as computer virus infection routes. 1) Infected by distribution of FD or CD-ROM 2) Infected by programs and data downloaded from personal computer communication, WWW server, file server, etc. 3) Infected by attached files such as e-mail and groupware
【0006】特に、最近は、ネットワーク環境の広まり
により、上記(2)(3)のケースによる被害がクロー
ズアップされている。その一方、ウィルスチェックソフ
トやワクチンソフトの進歩も著しく、相応の準備さえ行
っていれば、ウィルス感染の早期発見、被害拡大の防止
はかなりの程度行うことができるようになってきてい
る。In particular, recently, due to the spread of the network environment, damages caused by the above cases (2) and (3) have been highlighted. On the other hand, virus check software and vaccine software have made remarkable progress, and if appropriate preparations have been made, early detection of virus infection and prevention of the spread of damage can be performed to a considerable extent.
【0007】[0007]
【発明が解決しようとする課題】しかし、現在の技術で
は、ウィルスチェックソフトによるウィルス感染の発見
後、又は、不幸にして発病による感染の発覚後に、それ
以上の被害拡大を防ぐ処置はできても、そのウィルスが
どの様な経路で感染してきたかの特定が困難なため、感
染源を追求し、再感染の防止や根絶を行うことができな
いという問題がある。However, according to the current technology, after a virus infection is detected by virus check software, or unfortunately, after infection is detected due to the onset of the disease, measures can be taken to prevent further spread of the damage. However, since it is difficult to identify the route by which the virus has transmitted, there is a problem that it is not possible to pursue the source of the infection and to prevent or eliminate re-infection.
【0008】そこで、本発明の目的は、従来技術の持つ
このような問題点の解決、すなわち、コンピュータウィ
ルスが発見されたときに、そのウィルスがどういう経路
で感染してきたかを明らかにするコンピュータウィルス
の感染経路検出方法とその方法に用いるトレースウィル
スを記録する記録媒体を提供することにある。Accordingly, an object of the present invention is to solve such a problem of the prior art, that is, when a computer virus is found, a computer virus which clarifies the path through which the virus has been transmitted is disclosed. It is an object of the present invention to provide an infection route detection method and a recording medium for recording a trace virus used in the method.
【0009】[0009]
【課題を解決するための手段】請求項1の発明は、特定
の情報処理領域内に外部から侵入し、マシン、プログラ
ム、データファイル等の文書等へ自己複製し感染するコ
ンピュータウィルスの感染ルートを追跡して検出するコ
ンピュータウィルスの感染経路検出方法であって、コン
ピュータウィルスと同様の自己複製機能を有し、コンピ
ュータウィルスと同様の感染経路をとると想定される感
染履歴情報を記録するコンピュータウィルスと無関係の
トレースウィルスを特定の調査領域内に蔓延させ、コン
ピュータウィルスが発見されたとき、発見された文書等
に存在するトレースウィルスを起点にして特定の調査領
域内のトレースウィルスの感染履歴情報を順次調べて、
感染履歴情報に基づいてトレースウィルスの感染ルート
を探索して特定し、特定されたトレースウィルスの感染
ルートに基づいてコンピュータウィルスの感染ルートを
推定して特定の調査領域への侵入箇所を検出するように
したものである。この手段によれば、トレースウィルス
の感染履歴を順次調べて、トレースウィルスの感染ルー
トに基づいてコンピュータウィルスの感染ルートを推定
し、特定の調査領域へのコンピュータウィルスの侵入箇
所が検出される。この結果、コンピュータウィルスが発
見でき、駆除できても、感染経路の追跡ができないとい
う従来の問題点が解決でき、感染の予防による感染の未
然防止によって感染を根絶することができる。According to the first aspect of the present invention, there is provided a computer virus infection route which intrudes into a specific information processing area from the outside, copies itself to a document such as a machine, a program, a data file, etc. and infects it. A method for detecting an infection route of a computer virus to be tracked and detected, the computer virus having a self-replication function similar to the computer virus and recording infection history information assumed to take an infection route similar to the computer virus. Unrelated trace viruses are spread in a specific investigation area, and when a computer virus is found, trace virus infection history information in the specific investigation area is sequentially transmitted starting from the trace virus present in the found document, etc. Check,
Based on the infection history information, trace virus infection routes are searched and specified, and computer virus infection routes are estimated based on the specified trace virus infection routes to detect intrusions into specific investigation areas. It was made. According to this means, the infection history of the trace virus is sequentially examined, the infection route of the computer virus is estimated based on the infection route of the trace virus, and the entry point of the computer virus into a specific investigation area is detected. As a result, even if a computer virus can be found and removed, the conventional problem that the infection route cannot be traced can be solved, and the infection can be eradicated by preventing the infection by preventing the infection.
【0010】請求項2の発明は、請求項1記載のコンピ
ュータウィルスの感染経路検出方法において、文書等の
感染元である親トレースウィルスと文書等の感染先であ
る子トレースウィルスとの関係において、子トレースウ
ィルスの感染履歴情報に親トレースウィルスの存する文
書を特定する文書情報を記憶させ、コンピュータウィル
スが発見されたとき、発見されたコンピュータウィルス
に存在する文書のトレースウィルスの履歴情報によって
親トレースウィルスの存する文書情報を順次特定してト
レースウィルスの感染ルートを探索して特定しコンピュ
ータウィルスの侵入箇所を検出するようにしたものであ
る。この手段によれば、順次親トレースウィルスの文書
情報に基づいて順次親文書に存在するコンピュータウィ
ルスを確かめて、コンピュータウィルスの感染源である
侵入箇所を検出するので、コンピュータウィルスの追跡
が効率的にできる。According to a second aspect of the present invention, in the method for detecting an infection route of a computer virus according to the first aspect, the relationship between a parent trace virus as a source of infection of a document and the like and a child trace virus as a destination of infection of a document and the like, Document information specifying the document containing the parent trace virus is stored in the infection history information of the child trace virus, and when a computer virus is found, the parent trace virus is used based on the trace virus history information of the document present in the found computer virus. Are sequentially identified, the route of trace virus infection is searched for and identified, and a computer virus intrusion is detected. According to this means, the computer virus sequentially present in the parent document is sequentially confirmed based on the document information of the parent trace virus, and an intrusion point which is a source of the computer virus is detected. it can.
【0011】請求項3の発明は、請求項1記載のコンピ
ュータウィルスの感染経路検出方法において、文書等の
感染元である親トレースウィルスと文書等の感染先であ
る子トレースウィルスとの関係において、親トレースウ
ィルスの感染履歴情報に親トレースウィルスの存する文
書を特定する子文書情報を記憶させ、コンピュータウィ
ルスの侵入が検出されたとき、検出されたコンピュータ
ウィルスに存在する文書のトレースウィルスの感染履歴
情報によって子トレースウィルスの存する子文書情報を
順次探索して特定し特定された文書等にコンピュータウ
ィルスが存在するか検出して子文書の追跡によってコン
ピュータウィルスの侵入状況を検出するようにしたもの
である。この手段によれば、子トレースウィルスの文書
情報に基づいて順次子文書を追跡し、コンピュータウィ
ルスの感染を調べるので、全体の侵入状況が漏れなく確
実に調べられる。According to a third aspect of the present invention, there is provided the computer virus infection route detecting method according to the first aspect, wherein a relationship between the parent trace virus that is the source of infection of the document and the like and the child trace virus that is the destination of infection of the document and the like is provided. The parent trace virus infection history information stores child document information identifying the document containing the parent trace virus, and when a computer virus intrusion is detected, the trace virus infection history information of the document present in the detected computer virus Child document information in which a child trace virus exists is sequentially searched and specified, and whether a computer virus is present in the specified document or the like is detected, and the intrusion status of the computer virus is detected by tracking the child document. . According to this means, the child documents are sequentially traced based on the document information of the child trace virus, and the infection of the computer virus is checked, so that the entire intrusion state can be checked without fail.
【0012】請求項4の発明は、請求項1記載のコンピ
ュータウィルスの感染経路検出方法において、特定の調
査領域内の管理サーバーへ各トレースウィルスの感染履
歴を報告し、あるいは、管理サーバーからの問合せに応
答し、各トレースウィルスの感染履歴から管理サーバー
によってコンピュータウィルスの感染ルートを推定して
検出するようにしたものである。この手段によれば、ト
レースウィルスが管理サーバーへ履歴情報を報告し、管
理サーバーがトレースウィルスの感染ルートを特定し、
コンピュータウィルスの侵入箇所を特定するので、ルー
トの探索が短時間に人手を要することなく効率的にでき
る。According to a fourth aspect of the present invention, in the method for detecting an infection route of a computer virus according to the first aspect, an infection history of each trace virus is reported to a management server in a specific investigation area, or an inquiry from the management server is made. The management server estimates the route of infection of the computer virus from the infection history of each trace virus and detects it. According to this means, the trace virus reports history information to the management server, and the management server identifies a trace virus infection route,
Since the entry point of the computer virus is specified, the route search can be efficiently performed in a short time without requiring human intervention.
【0013】請求項5の発明は、請求項1乃至請求項3
記載のいずれかのコンピュータウィルスの感染経路検出
方法において、トレースウィルスは、マシン、プログラ
ム、データファイルなどの文書等の自己複製で感染する
ウィルス本体と、自己複製の環境情報、日付、親子の情
報などの履歴情報を記録する機能部分と、この記録機能
部分によって履歴情報として各種情報を書き込む情報エ
リアを有することを特徴とする。この手段によれば、ト
レースウィルスの感染の日時、感染元等の履歴情報を有
するので、トレースウィルスの感染の経路探索ができ
る。[0013] The invention of claim 5 is the invention of claims 1 to 3.
In any of the computer virus infection route detection methods described above, the trace virus is the virus itself that is transmitted by self-replication of documents such as machines, programs, and data files, and the self-replication environment information, date, parent and child information, etc. And a data area for writing various types of information as history information by the recording function part. According to this means, since it has history information such as the date and time of the infection of the trace virus and the source of the infection, it is possible to search for the route of the infection of the trace virus.
【0014】請求項6の発明は、請求項5記載のコンピ
ュータウィルスの感染経路検出方法において、文書等の
トレースウィルスの感染元である親トレースウィルスと
文書等の感染先である子トレースウィルスとの関係にお
いて、トレースウィルスの履歴情報は、文書等の感染先
の文書等の情報を子文書情報として有し、あるいは、文
書等の感染元の親文書情報を家系文書情報として有する
ものである。この手段によれば、トレースウィルスが感
染先の子文書情報、あるいは、家系文書情報を持つの
で、トレースウィルスの感染の経路探索が効率的にでき
る。According to a sixth aspect of the present invention, there is provided the computer virus infection route detecting method according to the fifth aspect, wherein the parent trace virus which is the source of the trace virus such as a document and the child trace virus which is the destination of the document etc. are infected. In relation to this, the history information of the trace virus has information such as a document of an infected destination such as a document as child document information, or has parent document information of an infection source such as a document as family document information. According to this means, since the trace virus has the child document information of the infection destination or the family document information, the route search for the infection of the trace virus can be efficiently performed.
【0015】請求項7の発明は、請求項5または請求項
6記載のコンピュータウィルスの感染経路検出方法にお
いて、トレースウィルスは、トレースウィルスを管理す
る管理サーバーへ履歴情報を送信する情報送信機能、あ
るいは、情報送信機能に加えて管理サーバーへの応答機
能を有するものである。この手段によれば、履歴情報を
管理サーバーへ送るので、人手を介して文書等のトレー
スウィルスの履歴情報を調べる手間が削除され効率的に
できる。According to a seventh aspect of the present invention, in the method for detecting an infection route of a computer virus according to the fifth or sixth aspect, the trace virus has an information transmission function of transmitting history information to a management server which manages the trace virus, or , A function of responding to the management server in addition to the information transmission function. According to this means, since the history information is sent to the management server, the trouble of manually checking the history information of the trace virus such as a document is eliminated and the efficiency can be improved.
【0016】請求項8の発明は、請求項5乃至請求項7
記載のコンピュータウィルスの感染経路検出方法におい
て、トレースウィルスは、トレースウィルスを管理する
管理サーバーと連絡がとれなくなると自己無効化、自己
消去、あるいは、親文書ごと消去する機能を有するもの
である。この手段によれば、トレースウィルス等が不用
意に管理区域外へ流出する前に消去するので、トレース
ウィルスの管理が徹底できる。The invention according to claim 8 is the invention according to claims 5 to 7.
In the method for detecting a computer virus infection route described above, the trace virus has a function of self-invalidating, self-erasing, or erasing the entire parent document when contact with the management server that manages the trace virus is lost. According to this means, since the trace virus or the like is erased before inadvertently flowing out of the management area, the trace virus can be thoroughly managed.
【0017】請求項9の発明は、マシン、プログラム、
データファイルなどの文書等の自己複製で感染するウィ
ルス本体と、自己複製の環境情報、日付、親子の情報な
どの履歴情報を記録する機能部分と、この記録機能部分
によって履歴情報として各種情報を書き込む情報エリア
を有するトレースウィルスを記録する記録媒体。According to a ninth aspect of the present invention, a machine, a program,
The virus itself that is infected by self-replication of documents such as data files, a function part that records history information such as self-replication environment information, date, parent and child information, and writes various information as history information by this recording function part A recording medium for recording a trace virus having an information area.
【0018】[0018]
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照して説明する。Embodiments of the present invention will be described below with reference to the drawings.
【0019】図1は、本発明の第1実施の形態を示すコ
ンピュータウィルスの感染経路検出方法の流れ図であ
る。FIG. 1 is a flowchart of a computer virus infection route detection method according to the first embodiment of the present invention.
【0020】まず、特殊なコンピュータウィルス(以
下、本物のコンピュータウィルスと区別するため“トレ
ースウィルス”と呼称する)を用意する(S1)。First, a special computer virus (hereinafter referred to as a "trace virus" to distinguish it from a real computer virus) is prepared (S1).
【0021】図2は、トレースウィルスの構成図であ
る。FIG. 2 is a configuration diagram of the trace virus.
【0022】図中、100はトレースウィルス、101
は自己複製機能を有するトレースウィルス本体、102
は自己複製・感染時点の環境情報、日時、親子の情報な
どを記録する機能部分、103は履歴情報として上記機
能部分に書き込まれる情報エリアである。In the figure, 100 is a trace virus, 101
Is a trace virus body having a self-replication function, 102
Is a function part for recording environmental information, date and time, parent and child information at the time of self-replication / infection, and 103 is an information area written in the function part as history information.
【0023】また、図3は、トレースウィルス100の
情報エリア103の構成図であって、201は日時部、
202はマシンID部、203は文書ID部、204は
親文書ID部である。FIG. 3 is a configuration diagram of the information area 103 of the trace virus 100.
202 is a machine ID part, 203 is a document ID part, and 204 is a parent document ID part.
【0024】次に、社内(組織内)に、トレースウィル
ス100を蔓延させておく(S2)。社内で作成される
コンピュータ文書(データファイル、プログラムファイ
ルなど)は、作成時点で、このトレースウィルスに意図
的こ感染させることを原則とするが、もし、それを怠っ
ても(組織内に本トレースウィルスが蔓延しているた
め)ただちに感染する。また、外部から本組織内に新た
なコンピュータ文書が入ってきた場合にも、ただちに感
染する。従って、原則として社内(組織内)には、トレ
ースウィルス100の未感染のコンピュータ文書が存在
しない状態が保たれる。Next, the trace virus 100 is spread in the company (in the organization) (S2). In principle, computer documents (data files, program files, etc.) created in-house should be intentionally infected with this trace virus at the time of creation. Infect immediately (because the virus is spreading). Also, when a new computer document comes into the organization from outside, it is immediately infected. Therefore, in principle, a state in which there is no uninfected computer document of the trace virus 100 in the company (within the organization) is maintained.
【0025】ここで、トレースウィルス100が新たな
文書に感染する場合のトレースウィルス100の情報記
録機能(102)の作用について説明する。Here, the operation of the information recording function (102) of the trace virus 100 when the trace virus 100 infects a new document will be described.
【0026】親トレースウィルス100は、図4に示す
ように、トレースウィルス本体(101)の自己複製機
能により、子のトレースウィルスを生む場合、親トレー
スウィルス100の情報記録部(102)は、子トレー
スウィルス100Aの情報エリア(103)へ以下のよ
うに情報を記録する。As shown in FIG. 4, when the parent trace virus 100 produces a child trace virus by the self-replication function of the trace virus body (101), the information recording section (102) of the parent trace virus 100 Information is recorded in the information area (103) of the trace virus 100A as follows.
【0027】すなわち、図3に示す情報エリア103の
(1) 201の日時部へは、子を生んだ日時を記録す
る。 (2) 202のマシンID部へは、子を生んだ時点で
の所在のマシンのID(例えばIPアドレスなど)を記
録する。 (3) 203の文書ID部へは、(子のトレースウィ
ルスが寄生(感染)している)宿主の文書名と、トレー
ス感染が発生した時点で、宿主の文書が存在していたデ
ィレクトリパスを記録する。 (4) 204の親文書ID部へは、感染時点で、親の
トレースウィルスから、上記203の文書IDを引継
ぎ、記録する。That is, the date and time when the child was born is recorded in the date and time portion of (1) 201 in the information area 103 shown in FIG. (2) In the machine ID part 202, the ID (for example, IP address or the like) of the machine at the time when the child was born is recorded. (3) In the document ID portion of 203, the document name of the host (the parasite is infected (infected) by the trace virus of the child) and the directory path where the document of the host existed when the trace infection occurred. Record. (4) At the time of infection, the document ID of 203 is taken over from the parent trace virus and recorded in the parent document ID of 204.
【0028】すなわち、トレースウィルス100が親か
ら子へと順次感染して行く過程では、図5に示すよう
に、例えば、左側のトレースウィルス100Aから中央
のトレースウィルス100Bが感染して発生したとす
る。この場合、中央のトレースウィルス100Bの情報
エリア103には、左側のトレースウィルス100Aの
102の情報記録機能によってトレースウィルス100
Bの固有の201(日時)H,10,4,26、202
(マシンID)ID,A006、203(文書ID)I
D,B006が記録される。That is, in the process where the trace virus 100 sequentially infects from the parent to the child, as shown in FIG. 5, for example, it is assumed that the trace virus 100A on the left side is infected and the trace virus 100B on the center is infected. . In this case, the information area 103 of the trace virus 100A on the left is recorded in the information area 103 of the trace virus 100B at the center by the trace virus 100B.
B unique 201 (date and time) H, 10, 4, 26, 202
(Machine ID) ID, A006, 203 (Document ID) I
D and B006 are recorded.
【0029】さらに、トレースウィルス100Bの20
4(親子書)は、感染源であるトレースウィルス100
Aの203(文書ID)ID,B004がスライドして
記録される(図示斜線矢印)。同様に、トレースウィル
ス100Bが他の文書へ感染させトレースウィルス10
0Cが発生したとき、トレースウィルス100Cの情報
エリア103の内で201〜203は、トレースウィル
ス100Cの個別値が記録され、204(親文書)に
は、親側に当たるトレースウィルス100Bの203
(文書ID)ID,B006がスライドして記録され
る。これによって、下流(子側)から上流(親側)への
追跡が可能となる。Further, 20 of the trace virus 100B
4 (Parent and child book) is trace virus 100, the source of infection
A 203 (document ID) ID and B004 are slid and recorded (hatched arrow in the figure). Similarly, the trace virus 100B infects another document and causes the trace virus 10
When 0C occurs, 201 to 203 in the information area 103 of the trace virus 100C record the individual values of the trace virus 100C, and 204 (parent document) contains the 203 of the trace virus 100B corresponding to the parent.
(Document ID) ID and B006 are recorded by sliding. This enables tracking from the downstream (child side) to the upstream (parent side).
【0030】次に、本物のコンピュータウィルスが発見
されたとき、トレースウィルス100の記録を調べる
(S3)。Next, when a genuine computer virus is found, the record of the trace virus 100 is checked (S3).
【0031】この場合、図6に示すように、親文書の感
染経路の追跡がされる。まず、発見されたコンピュータ
ウィルスの感染文書に同時に感染しているトレースウィ
ルスの情報を取り出す(S11)。続いて、トレースウ
ィルス100の情報エリア204の親文書IDと一致す
る文書ID(203)を持つ文書を探し出す。その場
合、202のマシンIDで示された同じマシン内の文書
から着手することで、追跡は効率化できる。In this case, as shown in FIG. 6, the infection route of the parent document is tracked. First, information on the trace virus that is simultaneously infected with the found infected document of the computer virus is extracted (S11). Subsequently, a document having a document ID (203) that matches the parent document ID in the information area 204 of the trace virus 100 is searched for. In that case, tracking can be made more efficient by starting from a document in the same machine indicated by the machine ID 202.
【0032】例えば、図5の例では、発見されたコンピ
ュータウィルスの感染文書に同時にトレースウィルス1
00Cがあった場合、トレースウィルス100Cの情報
エリア103の204(親文書ID)ID,B006か
ら同じ(文書ID)のトレースウィルス100Bが親側
と特定される。さらに、同様にトレースウィルス100
Bの204(親文書ID)から親側のトレースウィルス
100Aが順次特定される。For example, in the example of FIG. 5, the trace virus 1 is simultaneously added to the detected infected document of the computer virus.
If there is 00C, the trace virus 100B having the same (document ID) is specified as the parent from the 204 (parent document ID) ID and B006 in the information area 103 of the trace virus 100C. In addition, trace virus 100
The parent trace virus 100A is sequentially identified from B 204 (parent document ID).
【0033】ただし、感染後、文書名が変更されたり、
文書が移動されている場合も考えられる。この場合、文
書名や、文書の存在するディレクトリパスとトレースウ
ィルスの情報部とが一致しないため、他のディレクト
リ、マシン内の“トレースウィルスの情報”の中から一
致するものを探し出す必要がある。探し出された親文書
が、発見されたコンピュータウィルスに感染しているか
調べる(S13)。この場合、コンピュータウィルスに
感染していない親文書をみつけるか、社内(組織内)へ
のコンピュータウィルスの侵入点にたどりつくまで続け
る(S14)。However, after the infection, the document name is changed,
It is also possible that the document has been moved. In this case, since the document name or the directory path where the document exists does not match the trace virus information section, it is necessary to find a match from other directories and "trace virus information" in the machine. It is checked whether the found parent document is infected with the found computer virus (S13). In this case, the process is continued until a parent document that is not infected with the computer virus is found or the computer virus enters the company (inside the organization) (S14).
【0034】次に、以上で辿られた経路から、逆に、図
7に示すように、子文書の感染を追跡する。Next, the infection of the child document is traced from the route traced as described above, as shown in FIG.
【0035】具体的には、起点となるトレースウィルス
の情報エリア203の文書IDと一致する親文書ID
(204)を持った文書を探し出す(S21)。Specifically, a parent document ID that matches the document ID of the trace virus information area 203 serving as the starting point
A document having (204) is searched for (S21).
【0036】例えば、図5の例によれば、起点となるト
レースウィルス100として左側のトレースウィルス1
00Aが特定された場合、情報エリア103の203
(文書ID)ID,B004と同じID,B004を情
報エリア103の204(親文書)を有するトレースウ
ィルス100を探し出す。例えば、中央のトレースウィ
ルス100Bであるが複数存在することが考えられる。For example, according to the example of FIG. 5, the trace virus 1 on the left side is used as the trace virus 100 serving as the starting point.
If 00A is specified, 203 of the information area 103
(Document ID) The trace virus 100 having 204 (parent document) in the information area 103 with the same ID and B004 as the ID and B004 is searched for. For example, it is conceivable that there is a plurality of the central trace virus 100B.
【0037】ただし、感染後、文書名が変更されたり、
文書が移動されている場合も考えられる。この場合、文
書名や、文書の存在するディレクトリーパスとトレース
ウィルスの情報部とが一致しないため、他のディレクト
リー、マシン内の“トレースウィルスの情報”の中から
一致するものを探し出す必要がある。However, after the infection, the document name is changed,
It is also possible that the document has been moved. In this case, since the document name or the directory path where the document exists does not match the information part of the trace virus, it is necessary to find a match from other directories and “information of the trace virus” in the machine.
【0038】また、親のトレースウィルスの日時情報
(201)以降の作成・変更日時を持つ文書を絞り込む
ことにより、探索を効率化することもできる。さらに、
探し出された子文書が、発見されたウィルスに感染して
いるか調べる(S22)。S21,S22を図6の処理
S11〜S15で発見された感染経路から派生するすべ
ての経路に対してウィルスに感染していない文書をみつ
けるまで続ける(S23)。Further, by narrowing down documents having a creation / change date and time after the date and time information (201) of the parent trace virus, the search can be made more efficient. further,
It is checked whether the found child document is infected with the found virus (S22). S21 and S22 are continued until a virus-free document is found for all routes derived from the infection routes found in the processes S11 to S15 in FIG. 6 (S23).
【0039】図8に示す簡単な例では、文書J(図示太
線矢印)で本物のコンピュータウィルスが発見されたと
仮定し、図6に示す手順で、トレースウィルス100の
情報エリア103の親文書IDと一致する文書IDを持
つ文書が順次探し出す。そして、それぞれ親文書がコン
ピュータウィルスで感染しているか調べる。この結果、
J−I−F−E−Aの順で文書が探し出され、文書Aに
は、本物のコンピュータウィルスが存在しなかった。そ
こで、文書Eから本物のコンピュータウィルスが侵入し
たと推定できる。In the simple example shown in FIG. 8, it is assumed that a genuine computer virus has been found in the document J (the thick arrow in the figure), and the parent document ID of the information area 103 of the trace virus 100 is determined by the procedure shown in FIG. Documents having matching document IDs are sequentially searched. Then, it checks whether the parent document is infected with a computer virus. As a result,
Documents were searched in the order of JIFEA, and no real computer virus was found in document A. Therefore, it can be estimated from the document E that a real computer virus has entered.
【0040】このように、本物のコンピュータウィルス
が検出された場合、同時に感染しているトレースウィル
スの記録情報をたどることによりコンピュータウィルス
の感染経路を追跡することが可能となる。As described above, when a genuine computer virus is detected, it is possible to trace the infection route of the computer virus by simultaneously following the record information of the trace virus that has been infected.
【0041】このように本発明の第1実施の形態によれ
ば、この特殊なトレースウィルス100は、通常のコン
ピュータウィルスと同様に自己複製による感染機能を有
するとともに、感染時点での環境情報、親子情報などを
記録している。従って、社内(組織内)のすべてのコン
ピュータ文書は、この感染時点での環境情報、親子情報
などを追跡することにより、感染経路の追跡が可能であ
る。(例外的にトレース未感染の文書群乃至その文書群
の流通経路が存在したとしても、トレース感染文書から
の排他関係から逆に経路を追うことが可能である)以
下、とくにことわらずに文書という場合はコンピュータ
文書を指す。As described above, according to the first embodiment of the present invention, this special trace virus 100 has an infection function by self-replication like an ordinary computer virus, and has environmental information, parent-child information at the time of infection. Records information, etc. Therefore, all computer documents in the company (in the organization) can track the infection route by tracking environmental information, parent-child information, and the like at the time of the infection. (Even if there is an exceptionally uninfected document group or a distribution route of the document group, it is possible to follow the route in reverse from the exclusive relationship from the trace infected document.) Refers to a computer document.
【0042】このような状況下に外部からコンピュータ
ウィルスを持つ文書が入ってきた場合を考える。第1実
施の形態によるトレースウィルスと本物のウィルスと
は、相互に関係していない。ただし、前述のようにトレ
ースウィルスが未感染の文書は、社内(組織内)に入る
と、ただちにトレースウィルスに感染するため、以降本
物のコンピュータウィルスの感染経路とトレースウィル
スの感染経路とは一致していると考えられる。従って、
コンピュータウィルス検出ソフトや、あるいは不幸にし
てコンピュータウィルスの発病によりコンピュータウィ
ルスが発見された場合、同じ文書に必ず感染しているは
ずの本発明によるトレースウィルスの記録を調べれば、
感染経路を追跡する事が可能となる。Consider a case where a document containing a computer virus comes in from such an environment. The trace virus according to the first embodiment and the real virus are not related to each other. However, as described above, documents that have not been infected by the trace virus are immediately infected by the trace virus when they enter the company (organization), so that the infection route of the real computer virus and the infection route of the trace virus match thereafter. It is thought that it is. Therefore,
If a computer virus detection software or, unfortunately, a computer virus is found due to the onset of the computer virus, if you check the trace virus record according to the present invention which must infect the same document,
It is possible to track the route of infection.
【0043】なお、トレースウィルス100は1種類で
はなく、前述のコンピュータウィルスの種類に対応して
複数種類準備する。このトレースウィルスは、独自に開
発しても良いが、発見された本物のウィルスを解析し、
無害化したものを用いても良い。すべての感染経路をカ
バーするために複数種類のトレースウィルス本体を使用
するが、後に、カバーされていない経路で感染するウィ
ルスが見つかった場合に、そのコンピュータウィルスを
解析・無害化してトレースウィルスの本体として使用す
ることにより、本発明の実施の形態の効果を暫時向上さ
せていくことができる。It should be noted that the trace virus 100 is not one type, but a plurality of types are prepared corresponding to the types of the computer viruses described above. This trace virus may be developed independently, but it analyzes the real virus found,
Detoxified ones may be used. Multiple types of trace virus bodies are used to cover all routes of infection, but if a virus that spreads through an uncovered route is later found, the computer virus is analyzed and rendered harmless, and the trace virus body is used. By using this, the effect of the embodiment of the present invention can be improved temporarily.
【0044】次に、本発明の第2実施の形態について説
明する。Next, a second embodiment of the present invention will be described.
【0045】第2実施の形態は、トレースウィルス10
0の情報エリア103Aに図9に示すように子文書ID
(205)を持たせて、子を探す処理を容易にするもの
である。In the second embodiment, the trace virus 10
0 in the information area 103A as shown in FIG.
(205) to facilitate the process of searching for a child.
【0046】図9の情報エリア103Aは、図3に示す
日時(201)、マシンID(202)、文書ID(2
03)、親文書ID(204)に加えて子文書ID(2
05)のエリアを有し、子は複数存在するため領域は可
変である。The information area 103A of FIG. 9 includes the date and time (201), machine ID (202), and document ID (2) shown in FIG.
03), parent document ID (204) and child document ID (2)
05), and the area is variable because there are a plurality of children.
【0047】この構成で、トレースウィルス100がウ
ィルス本体(101)の自己複製機能により、子のトレ
ースウィルスを生む場合、親の情報記録部(102)
は、子の情報エリア(103A)へ前述の情報を記録す
ると同時に“自身の”情報エリア(103A)へ下記の
情報を記録する。In this configuration, when the trace virus 100 generates a child trace virus by the self-replication function of the virus main body (101), the parent information recording unit (102)
Records the above information in the child information area (103A) and simultaneously records the following information in the "own" information area (103A).
【0048】205の子文書ID部へ、(子のトレース
ウィルスが寄生(感染)している)宿主の文書名と、ト
レースウィルスの感染が発生した時点で、宿主の文書が
存在していたディレクトリパス(すなわち、子のトレー
スウィルスの203の文書IDエリアの情報)を記録す
る。例えば、図8の例では、Eを親文書とすればF,G
は子文書として親文書とのトレースウィルス100の子
文書ID(205)にF,Gが記録される。これによ
り、親から子への経路探索が容易となる効果がある。In the child document ID portion 205, the host document name (parasitic (infected) by the child trace virus) and the directory where the host document existed when the trace virus infection occurred The path (that is, information on the document ID area of the child trace virus 203) is recorded. For example, in the example of FIG. 8, if E is a parent document, F, G
F and G are recorded as child documents in the child document ID (205) of the trace virus 100 with the parent document. This has the effect of facilitating a route search from the parent to the child.
【0049】次に、本発明の第3実施の形態について説
明する。Next, a third embodiment of the present invention will be described.
【0050】第3実施の形態は、トレースウィルスの情
報エリアに図10に示す家系ID部を持たせ経路探索を
容易にするものである。In the third embodiment, the trace virus information area is provided with the family ID shown in FIG. 10 to facilitate route search.
【0051】図10の情報エリア(103B)は、日時
(201)、マシンID(202)に加え、家系ID部
(206)を追加している。The information area (103B) of FIG. 10 has a family ID section (206) in addition to the date and time (201) and the machine ID (202).
【0052】家系は理論上無限に続くことが考えられる
が、領域は固定である。第3実施の形態では5世代前ま
での祖先のIDを持つ。トレースウィルス100がウィ
ルス本体(101)の自己複製機能により、子のトレー
スウィルスを生む場合、親の情報記録部(102)は、
子の情報エリア(103B)へ以下のように情報を記録
する。Although it is conceivable that a family tree may continue indefinitely, the area is fixed. In the third embodiment, ancestor IDs up to five generations ago are provided. When the trace virus 100 generates a child trace virus by the self-replication function of the virus body (101), the parent information recording unit (102)
Information is recorded in the child information area (103B) as follows.
【0053】まず、図11に示すように201の日時部
へは、子を生んだ日時を記録する。202のマシンID
部へは、子を生んだ時点での所在のマシンのID(例え
ばIPアドレスなど)を記録する。そして、図11に示
すように206の家系ID部の最下段の領域へは、(子
のトレースウィルスが寄生(感染)している)宿主の文
書名と、トレースウィルス感染が発生した時点で、宿主
の文書が存在していたディレクトリパスを記録する。2
06の家系ID部の残りの部分へは、図11に示すよう
に自身の家系ID部の最下段から、5世代前までの情報
を複写する。例えば、図8の例では、文書Jのトレース
ウィルス100の情報エリア103Bの106(家系I
D)には、A,E,F,I,Jが記憶される。これによ
り、子から祖先への経路探索が容易となる効果がある。First, as shown in FIG. 11, the date and time when the child was born is recorded in the date and time portion 201. 202 machine ID
In the section, the ID (for example, IP address or the like) of the machine at the time when the child was born is recorded. Then, as shown in FIG. 11, at the bottom area of the family ID section 206, the document name of the host (where the child trace virus is parasitized (infected)) and the time when the trace virus infection occurs, Record the directory path where the host documentation was located. 2
In the remaining part of the family ID part 06, information from the bottom of the family ID part up to five generations before is copied as shown in FIG. For example, in the example of FIG. 8, 106 (the family I
D) stores A, E, F, I, and J. Thereby, there is an effect that a route search from a child to an ancestor becomes easy.
【0054】次に、本発明の第4実施の形態について説
明する。Next, a fourth embodiment of the present invention will be described.
【0055】図12は管理サーバー300へ情報送信機
(104)を付加したトレースウィルス100の構成
と、管理サーバー300への報告の状況を表した模式図
である。FIG. 12 is a schematic diagram showing the configuration of the trace virus 100 in which the information transmitter (104) is added to the management server 300, and the status of the report to the management server 300.
【0056】管理サーバー300は、トレースウィルス
100との通信を行い、トレースウィルスからの情報を
蓄積したり、(後の実施の形態で説明する)トレースウ
ィルス100へ所在を問い合わせたりする機能を有する
ソフトウェアをインストールしたシステムである。The management server 300 communicates with the trace virus 100, stores information from the trace virus, and has a function of inquiring about the location of the trace virus 100 (described later in the embodiment). It is a system with installed.
【0057】トレースウィルス100がウィルス本体
(101)の自己複製機能により、子のトレースウィル
スを生む場合、親の情報記録部(102)は、子の情報
エリア(103)へ前述の実施の形態のように情報を記
録する。その後、子の情報エリア(103)へ記録され
た情報を、情報送信機能(104)の作用で管理サーバ
ー300へ送信する。これにより、経路探索は管理サー
バーに蓄積された上記情報を元に行えばよいため、短時
間で探索を行えるという効果がある。同時に、たとえ、
トレースウィルス100の持つ情報エリアやトレースウ
ィルス100そのものが、他のウィルスにより破壊され
たとしても、それまでの報告情報は管理サーバー300
に残っているため、経路探索が途切れることはない。When the trace virus 100 generates a child trace virus by the self-replication function of the virus main body (101), the parent information recording unit (102) transfers the child information virus (103) to the child information area (103). Record the information as follows. Thereafter, the information recorded in the child information area (103) is transmitted to the management server 300 by the operation of the information transmission function (104). Thus, since the route search may be performed based on the information stored in the management server, the search can be performed in a short time. At the same time, even if
Even if the information area of the trace virus 100 or the trace virus 100 itself is destroyed by another virus, the report information up to that point is stored in the management server 300.
, The route search is not interrupted.
【0058】このように第4実施の形態によれば、第1
実施の形態乃至第3実施の形態では、いずれも、経路探
索を複数箇所のマシン上で、トレースウィルスの情報を
追跡しながら実行しなければならないため、非常に時間
がかかる。また、トレースウィルスの持つ情報エリアや
トレースウィルスそのものが、他のウィルスにより破壊
されたり、書き替えられてしまう危険も存在している。
そこで、前述の各実施の形態における記録情報を社内
(組織内)の管理サーバーへ都度報告するようにしたの
で、短時間に経路の探索ができる。As described above, according to the fourth embodiment, the first
In all of the embodiments to the third embodiment, it takes a very long time since the route search must be executed on a plurality of machines while tracking the information of the trace virus. There is also a danger that the information area of the trace virus or the trace virus itself may be destroyed or rewritten by another virus.
Therefore, the record information in each of the above embodiments is reported to the management server in the company (in the organization) each time, so that the route can be searched in a short time.
【0059】次に、本発明の第5実施の形態について説
明する。Next, a fifth embodiment of the present invention will be described.
【0060】図13は管理サーバー300への応答機能
(105)を付加したトレースウィルスの構成と、管理
サーバー300からの問い合わせへの応答の状況を表し
た模式図である。FIG. 13 is a schematic diagram showing the configuration of a trace virus to which a response function (105) to the management server 300 is added, and the status of a response to an inquiry from the management server 300.
【0061】トレースウィルス100がウィルス本体
(101)の自己複製機能により、子のトレースウィル
スを生む場合、親の情報記録部(102)は、子の情報
エリア(103)へ前述の実施の形態のように情報を記
録する。その後、子の情報エリア(103)へ記録され
た情報を、情報送信機能(104)の作用で管理サーバ
ー300へ送信する。When the trace virus 100 generates a child trace virus by the self-replication function of the virus main body (101), the parent information recording unit (102) transfers the child information area (103) to the child information area (103). Record the information as follows. Thereafter, the information recorded in the child information area (103) is transmitted to the management server 300 by the operation of the information transmission function (104).
【0062】次に、応答機能(105)により、管理サ
ーバー300からの所在確認問い合わせがあるかどうか
を調べる。もし、自身のIDに一致する所在確認問い合
わせがあれば、現在、自身が存在するマシンIDと文書
名、ディレクトリパスを管理サーバー300へ報告す
る。これにより、トレースウィルス100に感染後に、
文書名が変更されたり、移動されたりした場合の探索が
容易になる。また、管理サーバー300に、本物のコン
ピュータウィルスに感染されたと思われる文書のIDを
登録しておけば、起動時点で、その所在を確認して処置
することが可能となる。Next, the response function (105) checks whether or not there is a location confirmation inquiry from the management server 300. If there is a location confirmation inquiry that matches the own ID, the current machine ID, the document name, and the directory path where the self is present are reported to the management server 300. Thus, after being infected with the trace virus 100,
Searching when the document name is changed or moved is facilitated. Further, if the ID of a document which is considered to be infected with a genuine computer virus is registered in the management server 300, it is possible to confirm the location of the document at the time of activation and to take action.
【0063】このように第5実施の形態によれば、社内
のサーバーからの呼びかけに応じて、対応する親子情報
または、家系情報を持つ場合に自身の所在を報告する機
能を持たせたので、トレースウィルスに感染後に文書名
が変更されたり、移動したりしても探索が容易にでき
る。As described above, according to the fifth embodiment, the function of reporting the location of the user in the case of having corresponding parent-child information or family information in response to a call from a server in the company is provided. Searching can be easily performed even if the document name is changed or moved after the infection with the trace virus.
【0064】次に、本発明の第6実施の形態について説
明する。Next, a sixth embodiment of the present invention will be described.
【0065】図14は、トレースウィルス100に自己
無効化(機能停止)または自己消去する機能(106)
を持たせて、トレースウィルス100が社外(組織外)
に出た場合、無効化または消去するようにしたものであ
る。FIG. 14 shows a function of self-inactivating (suspending) or self-erasing the trace virus 100 (106).
Trace virus 100 is outside (outside the organization)
In the case of, it is made invalid or deleted.
【0066】第4実施の形態または第5実施の形態のト
レースウィルス構成に更に自己無効化(機能停止)また
は自己消去する機能(106)を持たせる。このトレー
スウィルス100が社外(組織外)に出た場合、社内
(組織内)と社外(組織外)との境界に設けられたゲー
トウェー、プロキシサーバー、ファイアーウオール40
0などにより、トレースウィルスの情報送信機能(10
4)と管理サーバー300との通信ができなくなる。こ
れにより、トレースウィルスは自己無効化(機能停止)
または自己消去する機能により、自身を無効化または消
去する。なお、この実施の形態においては、親は子の複
製を開始する前に管理サーバー300との通信を確認す
る動作を行う必要がある。The trace virus configuration of the fourth embodiment or the fifth embodiment is further provided with a function (106) of self-invalidation (stop function) or self-erasure. When the trace virus 100 goes outside the company (outside the organization), a gateway, proxy server, firewall 40 provided at the boundary between the inside (inside the organization) and the outside (outside the organization)
0, etc., the trace virus information transmission function (10
4) and communication with the management server 300 cannot be performed. As a result, the trace virus self-deactivated (function stopped)
Alternatively, the self-erasing function invalidates or erases itself. Note that in this embodiment, the parent needs to perform an operation of confirming communication with the management server 300 before starting copying of the child.
【0067】このように第6実施の形態によれば、社内
(組織内)に蔓延されたトレースウィルスは、いかに無
害なウィルスとはいえ、これが社外(組織外)に出てし
まうのは問題である。従って、社外に文書を送る場合に
は、意図的にトレースウィルスを駆除することを原則と
するが、誤ってトレースウィルスが流出することを阻止
できる。As described above, according to the sixth embodiment, the trace virus spread in the company (inside the organization) is a harmless virus, but it is a problem that the virus is transmitted outside the company (outside the organization). is there. Therefore, when a document is sent outside the company, it is basically intended to remove the trace virus, but it is possible to prevent the trace virus from leaking out by mistake.
【0068】次に、本発明の第7実施の形態について説
明する。Next, a seventh embodiment of the present invention will be described.
【0069】第7実施の形態は、自己無効化(機能停
止)または自己消去する機能を強化し、トレースウィル
ス100のみではなく、宿主の文書も消去する機能(1
07)を持たせたものである。その動作は、第6実施の
形態と同じであるが、トレースウィルス100の無効
化、消去のみではなく、宿主の文書をも消去してしまう
点が異なる。The seventh embodiment enhances the function of self-invalidating (stopping function) or self-erasing, and erasing not only the trace virus 100 but also the host document (1).
07). The operation is the same as that of the sixth embodiment, except that not only the trace virus 100 is invalidated and deleted, but also the host document is deleted.
【0070】本実施の形態によれば、トレースウィルス
の駆除の手段を管理することにより、文書(情報)の無
断持ち出しの防止が可能となる。特に、ハッカ一の侵入
によりネットワーク経由で文書が持ち出される場合に有
効である。According to the present embodiment, it is possible to prevent unauthorized removal of documents (information) by managing the means for removing trace viruses. This is particularly effective when a document is taken out via a network due to intrusion of a hacker.
【0071】以上説明した作用により、従来技術の持
つ、コンピュータウィルスを発見・駆除できても、感染
経路を追跡できないという問題点を解決し、感染を根絶
する道を開くことができる。The above-described operation can solve the problem of the prior art that the computer virus cannot be traced even if the computer virus can be detected and removed, and a path to eradicate the infection can be opened.
【0072】[0072]
【発明の効果】以上説明したように請求項1の発明によ
れば、トレースウィルスの感染履歴を順次調べて、トレ
ースウィルスの感染ルートに基づいてコンピュータウィ
ルスの感染ルートを推定し、特定の調査領域へのコンピ
ュータウィルス侵入箇所を検出される。この結果、コン
ピュータウィルスが発見でき、駆除できても、感染経路
の追跡ができないという従来の問題点が解決でき感染の
予防による感染の未然防止によって感染を根絶すること
ができる。As described above, according to the first aspect of the present invention, the infection history of the trace virus is sequentially examined, and the infection route of the computer virus is estimated based on the infection route of the trace virus. Computer virus intrusion is detected. As a result, even if a computer virus can be found and removed, the conventional problem that the infection route cannot be traced even if it can be solved can be solved, and the infection can be eradicated by preventing the infection by preventing the infection.
【0073】また、請求項2の発明によれば、順次親ト
レースウィルスの文書情報に基づいて順次親文書にコン
ピュータウィルスの存在を確かめて、コンピュータウィ
ルスの侵入箇所を検出するので、コンピュータウィルス
の追跡が効率的にできる。According to the second aspect of the present invention, the presence of a computer virus in the parent document is sequentially confirmed based on the document information of the parent trace virus, and the entry point of the computer virus is detected. Can be done efficiently.
【0074】また、請求項3の発明によれば、子トレー
スウィルスの文書情報に基づいて順次子文書を追跡し、
コンピュータウィルスの感染を調べるので、全体の侵入
状況が漏れなく確実に調べられる。According to the third aspect of the present invention, the child documents are sequentially traced based on the document information of the child trace virus,
By checking for computer virus infections, the entire intrusion status can be checked without fail.
【0075】また、請求項4の発明によれば、トレース
ウィルスが管理サーバーへ履歴情報を報告し、管理サー
バーからの問合せに対して応答するのでトレースウィル
スの感染ルートを特定し、コンピュータウィルスの侵入
箇所のルートの探索が短時間に人手を要することなく効
率的にできる。According to the fourth aspect of the present invention, the trace virus reports history information to the management server and responds to an inquiry from the management server. It is possible to efficiently search for a route of a location without requiring human intervention in a short time.
【0076】また、請求項5の発明によれば、トレース
ウィルスが感染の日時、感染元等の履歴情報を有するの
で、トレースウィルスの感染の経路探索ができる。According to the fifth aspect of the present invention, since the trace virus has history information such as the date and time of infection and the source of infection, it is possible to search for the route of infection of the trace virus.
【0077】また、請求項6の発明によれば、トレース
ウィルスが感染先の子文書情報、あるいは、家系文書情
報を持つので、トレースウィルスの感染の経路探索が効
率的にできる。Further, according to the invention of claim 6, since the trace virus has the child document information of the infection destination or the family document information, the route search of the infection of the trace virus can be efficiently performed.
【0078】また、請求項7の発明によれば、履歴情報
を管理サーバーへ送るので、人手を介して文書等のトレ
ースウィルスの履歴情報を調べる手間が不要で効率的に
できる。According to the seventh aspect of the present invention, since the history information is sent to the management server, it is not necessary to manually check the history information of the trace virus such as a document, so that the efficiency can be reduced.
【0079】また、請求項8の発明によれば、トレース
ウィルス等が不用意に管理区域外へ流出する前に消去す
るので、トレースウィルスの管理が徹底できる。Further, according to the invention of claim 8, since the trace virus or the like is erased before inadvertently flowing out of the management area, the trace virus can be thoroughly managed.
【図1】本発明の第1実施の形態を示すコンピュータウ
ィルスの感染経路検出方法の流れ図である。FIG. 1 is a flowchart of a method for detecting a computer virus infection route according to a first embodiment of the present invention.
【図2】本発明の第1実施の形態に用いるトレースウィ
ルスの構成図である。FIG. 2 is a configuration diagram of a trace virus used in the first embodiment of the present invention.
【図3】図2の情報エリアの構成図である。FIG. 3 is a configuration diagram of an information area of FIG. 2;
【図4】図2の感染元の親トレースウィルスと感染先の
子トレースウィルスの作用を示す説明図である。FIG. 4 is an explanatory diagram showing the action of the parent trace virus of the infection source and the child trace virus of the infection destination of FIG. 2;
【図5】図2のトレースウィルスの情報エリアについて
具体例を示す説明図である。FIG. 5 is an explanatory diagram showing a specific example of an information area of a trace virus in FIG. 2;
【図6】図1のコンピュータウィルスの感染経路検出方
法において、親文書の感染経路追跡の手順を示す流れ図
である。FIG. 6 is a flowchart showing a procedure of tracking the infection route of a parent document in the method of detecting the infection route of a computer virus in FIG. 1;
【図7】図1のコンピュータウィルスの感染経路検出方
法において、子文書の感染経路追跡の手順を示す流れ図
である。FIG. 7 is a flowchart showing a procedure for tracking an infection route of a child document in the method of detecting an infection route of a computer virus in FIG. 1;
【図8】図1のコンピュータウィルスの感染経路検出方
法において、具体例でコンピュータウィルスを探索する
説明図である。FIG. 8 is an explanatory diagram for searching for a computer virus in a specific example in the method of detecting a computer virus infection route in FIG. 1;
【図9】本発明の第2実施の形態を示すトレースウィル
スの情報エリアの構成図である。FIG. 9 is a configuration diagram of a trace virus information area according to the second embodiment of the present invention.
【図10】本発明の第3実施の形態を示すトレースウィ
ルスの情報エリアの構成図である。FIG. 10 is a configuration diagram of a trace virus information area according to the third embodiment of the present invention.
【図11】図10の情報エリアへ複写する作用を示す説
明図である。FIG. 11 is an explanatory diagram showing an operation of copying to the information area of FIG. 10;
【図12】本発明の第4実施の形態を示す図である。FIG. 12 is a diagram showing a fourth embodiment of the present invention.
【図13】本発明の第5実施の形態を示す図である。FIG. 13 is a diagram showing a fifth embodiment of the present invention.
【図14】本発明の第6実施の形態を示す図である。FIG. 14 is a diagram showing a sixth embodiment of the present invention.
101 トレースウィルス本体 102 情報記録機能 103 情報エリア 104 情報送信機能 105 応答機能 106 自己消去機能 300 管理サーバー 400 ファイアーウォール等 Reference Signs List 101 Trace virus main body 102 Information recording function 103 Information area 104 Information transmission function 105 Response function 106 Self-deletion function 300 Management server 400 Firewall, etc.
Claims (9)
し、マシン、プログラム、データファイル等の文書等へ
自己複製し感染するコンピュータウィルスの感染ルート
を追跡して検出するコンピュータウィルスの感染経路検
出方法であって、 前記コンピュータウィルスと同様の自己複製機能を有
し、前記コンピュータウィルスと同様の感染経路をとる
と想定される感染履歴情報を記録する前記コンピュータ
ウィルスと無関係のトレースウィルスを特定の調査領域
内に蔓延させ、前記コンピュータウィルスが発見された
とき、発見された文書等に存在する前記トレースウィル
スを起点にして特定の調査領域内のトレースウィルスの
感染履歴情報を順次調べて、感染履歴情報に基づいてト
レースウィルスの感染ルートを探索して特定し、特定さ
れたトレースウィルスの感染ルートに基づいて前記コン
ピュータウィルスの感染ルートを推定して特定の調査領
域への侵入箇所を検出することを特徴とするコンピュー
タウィルスの感染経路検出方法。1. A computer virus infection route detection method that traces the infection route of a computer virus that intrudes into a specific information processing area from the outside, self-replicates into a document such as a machine, a program, or a data file and infects the document. A method for identifying a trace virus unrelated to the computer virus, which has a self-replication function similar to the computer virus and records infection history information assumed to take the same infection route as the computer virus. When the computer virus is found, the infection history information of the trace virus in a specific investigation area is sequentially examined starting from the trace virus present in the found document or the like. Search and identify the route of trace virus infection based on the Transmission-detection method of the computer virus and detecting the intrusion point to a specific study area by estimating the infection route of the computer virus based on the infection route of the race virus.
スと文書等の感染先である子トレースウィルスとの関係
において、子トレースウィルスの感染履歴情報に親トレ
ースウィルスの存する文書を特定する文書情報を記憶さ
せ、コンピュータウィルスが発見されたとき、発見され
たコンピュータウィルスに存在する文書のトレースウィ
ルスの履歴情報によって親トレースウィルスの存する文
書情報を順次特定してトレースウィルスの感染ルートを
探索して特定しコンピュータウィルスの侵入箇所を検出
することを特徴とする請求項1記載のコンピュータウィ
ルスの感染経路検出方法。2. In a relationship between a parent trace virus as a source of infection of a document or the like and a child trace virus as a destination of infection of a document or the like, document information for specifying a document in which the parent trace virus exists in the infection history information of the child trace virus. When a computer virus is found, the document information containing the parent trace virus is sequentially identified based on the trace virus history information of the document existing in the found computer virus, and the infection route of the trace virus is searched for and identified. 2. The computer virus infection route detecting method according to claim 1, wherein the computer virus intrusion point is detected.
スと文書等の感染先である子トレースウィルスとの関係
において、親トレースウィルスの感染履歴情報に親トレ
ースウィルスの存する文書を特定する子文書情報を記憶
させ、前記コンピュータウィルスの侵入が検出されたと
き、検出されたコンピュータウィルスに存在する文書の
トレースウィルスの感染履歴情報によって子トレースウ
ィルスの存する子文書情報を順次探索して特定し特定さ
れた文書等にコンピュータウィルスが存在するか検出し
て子文書の追跡によってコンピュータウィルスの侵入状
況を検出することを特徴とする請求項1記載のコンピュ
ータウィルスの感染経路検出方法。3. A child document that specifies a document in which the parent trace virus exists in the infection history information of the parent trace virus in relation to the parent trace virus that is the source of infection of the document and the child trace virus that is the destination of infection of the document. Information is stored, and when the intrusion of the computer virus is detected, the child document information in which the child trace virus exists is sequentially searched and specified by the trace history of the trace virus infection of the document present in the detected computer virus. 2. The computer virus infection route detection method according to claim 1, wherein the computer virus is detected in the document or the like, and the intrusion status of the computer virus is detected by tracking the child document.
レースウィルスの感染履歴を報告し、あるいは、管理サ
ーバーからの問合せに応答し、各トレースウィルスの感
染履歴から前記管理サーバーによってコンピュータウィ
ルスの感染ルートを推定して検出することを特徴とする
請求項1記載のコンピュータウィルスの感染経路検出方
法。4. An infection history of each trace virus is reported to a management server in a specific investigation area, or a response to an inquiry from the management server is made. 2. The method according to claim 1, wherein the route is estimated and detected.
グラム、データファイルなどの文書等の自己複製で感染
するウィルス本体と、自己複製の環境情報、日付、親子
の情報などの履歴情報を記録する機能部分と、この記録
機能部分によって履歴情報として各種情報を書き込む情
報エリアを有することを特徴とする請求項1乃至請求項
3記載のいずれかのコンピュータウィルスの感染経路検
出方法。5. The function of the trace virus to record a virus itself that is transmitted by self-replication of a document such as a machine, a program, or a data file, and history information such as self-replication environment information, date, and parent-child information. 4. The method according to claim 1, further comprising an information area for writing various information as history information by the recording function part.
る親トレースウィルスと文書等の感染先である子トレー
スウィルスとの関係において、前記トレースウィルスの
前記履歴情報は、文書等の感染先の文書等の情報を子文
書情報として有し、あるいは、文書等の感染元の親文書
情報を家系文書情報として有することを特徴とする請求
項5記載のコンピュータウィルスの感染経路検出方法。6. In the relationship between a parent trace virus that is a source of a trace virus such as a document and a child trace virus that is a destination of a document or the like, the history information of the trace virus is a document of a destination such as a document. 6. The method of detecting a computer virus infection route according to claim 5, wherein information such as document information is included as child document information, or parent document information of an infection source such as a document is included as family document information.
ウィルスを管理する管理サーバーへ履歴情報を送信する
情報送信機能、あるいは、前記情報送信機能に加えて管
理サーバーへの応答機能を有することを特徴とする請求
項5または請求項6記載のコンピュータウィルスの感染
経路検出方法。7. The trace virus has an information transmission function of transmitting history information to a management server that manages the trace virus, or a function of responding to the management server in addition to the information transmission function. A method for detecting a computer virus infection route according to claim 5.
ウィルスを管理する管理サーバーと連絡がとれなくなる
と自己無効化、自己消去、あるいは、親文書ごと消去す
る機能を有することを特徴とする請求項5乃至請求項7
記載のコンピュータウィルスの感染経路検出方法。8. The trace virus has a function of self-invalidating, self-erasing, or erasing the entire parent document when contact with a management server managing the trace virus is lost. Claim 7
A method for detecting a computer virus infection route according to the above.
どの文書等の自己複製で感染するウィルス本体と、自己
複製の環境情報、日付、親子の情報などの履歴情報を記
録する機能部分と、この記録機能部分によって履歴情報
として各種情報を書き込む情報エリアを有するトレース
ウィルスを記録する記録媒体。9. A virus, which is transmitted by self-replication of a document such as a machine, a program, a data file or the like, a function part for recording history information such as self-replication environment information, date, parent-child information, and a recording function for the function A recording medium for recording a trace virus having an information area for writing various types of information as history information in parts.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10101933A JPH11282673A (en) | 1998-03-31 | 1998-03-31 | Method for detecting computer virus infection route and recording medium for recording trace virus to be used for the method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10101933A JPH11282673A (en) | 1998-03-31 | 1998-03-31 | Method for detecting computer virus infection route and recording medium for recording trace virus to be used for the method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH11282673A true JPH11282673A (en) | 1999-10-15 |
Family
ID=14313725
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10101933A Pending JPH11282673A (en) | 1998-03-31 | 1998-03-31 | Method for detecting computer virus infection route and recording medium for recording trace virus to be used for the method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH11282673A (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003062990A1 (en) * | 2002-01-25 | 2003-07-31 | Japan Science And Technology Agency | Computer virus extermination method and computer virus detection display method |
| KR20030063949A (en) * | 2002-01-24 | 2003-07-31 | 박정현 | The method and system for preventing and curing computer virus |
| US6813712B1 (en) | 1999-05-27 | 2004-11-02 | International Business Machines Corporation | Viral replication detection using a counter virus |
| US7010696B1 (en) | 2001-03-30 | 2006-03-07 | Mcafee, Inc. | Method and apparatus for predicting the incidence of a virus |
| US8103543B1 (en) | 2006-09-19 | 2012-01-24 | Gere Dev. Applications, LLC | Click fraud detection |
| KR101405831B1 (en) * | 2013-01-29 | 2014-06-11 | 주식회사 잉카인터넷 | system and method for detecting host file of malicious execution code |
| CN110557511A (en) * | 2018-05-30 | 2019-12-10 | 柯尼卡美能达株式会社 | Image processing apparatus, control method thereof, and recording medium |
| JP2021081910A (en) * | 2019-11-18 | 2021-05-27 | コニカミノルタ株式会社 | Control module |
-
1998
- 1998-03-31 JP JP10101933A patent/JPH11282673A/en active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6813712B1 (en) | 1999-05-27 | 2004-11-02 | International Business Machines Corporation | Viral replication detection using a counter virus |
| US7010696B1 (en) | 2001-03-30 | 2006-03-07 | Mcafee, Inc. | Method and apparatus for predicting the incidence of a virus |
| KR20030063949A (en) * | 2002-01-24 | 2003-07-31 | 박정현 | The method and system for preventing and curing computer virus |
| WO2003062990A1 (en) * | 2002-01-25 | 2003-07-31 | Japan Science And Technology Agency | Computer virus extermination method and computer virus detection display method |
| US9152977B2 (en) | 2006-06-16 | 2015-10-06 | Gere Dev. Applications, LLC | Click fraud detection |
| US8103543B1 (en) | 2006-09-19 | 2012-01-24 | Gere Dev. Applications, LLC | Click fraud detection |
| US8682718B2 (en) | 2006-09-19 | 2014-03-25 | Gere Dev. Applications, LLC | Click fraud detection |
| KR101405831B1 (en) * | 2013-01-29 | 2014-06-11 | 주식회사 잉카인터넷 | system and method for detecting host file of malicious execution code |
| WO2014119869A1 (en) * | 2013-01-29 | 2014-08-07 | (주)잉카인터넷 | System for detecting host file of malicious executable code and method therefor |
| CN110557511A (en) * | 2018-05-30 | 2019-12-10 | 柯尼卡美能达株式会社 | Image processing apparatus, control method thereof, and recording medium |
| CN110557511B (en) * | 2018-05-30 | 2021-08-31 | 柯尼卡美能达株式会社 | Image processing apparatus, control method thereof, and recording medium |
| JP2021081910A (en) * | 2019-11-18 | 2021-05-27 | コニカミノルタ株式会社 | Control module |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7188368B2 (en) | Method and apparatus for repairing damage to a computer system using a system rollback mechanism | |
| US20110047618A1 (en) | Method, System, and Computer Program Product for Malware Detection, Analysis, and Response | |
| RU2434267C2 (en) | Merging virus scanning and replicative filtering | |
| US8370931B1 (en) | Multi-behavior policy matching for malware detection | |
| JP4828199B2 (en) | System and method for integrating knowledge base of anti-virus software applications | |
| JP6088714B2 (en) | Specific apparatus, specific method, and specific program | |
| US7725735B2 (en) | Source code management method for malicious code detection | |
| US6311277B1 (en) | Method and device for managing computer network | |
| US20110276578A1 (en) | Obtaining file system view in block-level data storage systems | |
| JPH10501354A (en) | Computer virus trap device | |
| JP2003196112A (en) | Virus check method for virus check software | |
| JP2001500295A (en) | Anti-virus agent for use with databases and mail servers | |
| KR20060069255A (en) | System and method for utilizing a search engine to prevent contamination | |
| Chen et al. | Detecting filter list evasion with event-loop-turn granularity javascript signatures | |
| CN101243400A (en) | Information protection method and system | |
| JP2010182019A (en) | Abnormality detector and program | |
| CN103428212A (en) | Malicious code detection and defense method | |
| Subramanya et al. | Computer viruses | |
| US7086090B1 (en) | Method and system for protecting pervasive devices and servers from exchanging viruses | |
| JPH11282673A (en) | Method for detecting computer virus infection route and recording medium for recording trace virus to be used for the method | |
| JP2005165874A (en) | System environment convention violation detecting method for client device | |
| CN104484605A (en) | Method of detecting viral sources in cloud storage environment | |
| Yin et al. | Automatic malware analysis: an emulator based approach | |
| Mahmoud et al. | APTHunter: Detecting advanced persistent threats in early stages | |
| JP2007164676A (en) | Information collecting software management system, management server, and management program |