JPWO2004084063A1 - ウィルスの感染を阻止する方法およびシステム - Google Patents
ウィルスの感染を阻止する方法およびシステム Download PDFInfo
- Publication number
- JPWO2004084063A1 JPWO2004084063A1 JP2005503704A JP2005503704A JPWO2004084063A1 JP WO2004084063 A1 JPWO2004084063 A1 JP WO2004084063A1 JP 2005503704 A JP2005503704 A JP 2005503704A JP 2005503704 A JP2005503704 A JP 2005503704A JP WO2004084063 A1 JPWO2004084063 A1 JP WO2004084063A1
- Authority
- JP
- Japan
- Prior art keywords
- virus
- computer
- infection
- network
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
ネットワークでのウィルスの感染を検出して、ウィルスの感染を阻止するシステムが開示される。ネットワーク(1)を介してアクセスが可能なおとり手段(13,14,15)が記憶装置(12)上に設けられる。おとり手段(13,14,15)へのウィルスの侵入を検出し、かつ、ウィルスの侵入を検出した時、ウィルスの侵入時に取得した通信情報から当該ウィルスの送信元となっているコンピュータを検出する通信情報解析手段(16)と、ウィルス送信元コンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うコンピュータ攻撃手段(17)と、を備える。ウィルスに感染しているコンピュータ(5)を特定し、管理者がウィルスを除去する等の対策を終了するまでの間、監視コンピュータ(10)のコンピュータ攻撃手段(17)による攻撃を行う。
Description
本発明は、ネットワークに接続されたコンピュータがウィルスに感染したとき、感染源を突き止めて、同じネットワークに接続された他のコンピュータへの感染を阻止する技術に関する。
コンピュータウィルスには、サーバ等のコンピュータの共有フォルダに侵入して、所定のファイルやプログラムにアクセスをし、それを破壊したり、誤動作させるように書き換えたりするものがある。ウィルスの存在は、所定のプログラムを使って検出することができる。このプログラムは、ウィルスのファイル名、ウィルスの行動パタン等から、ウィルスであると判断をする。ウィルスを検出すると、コンピュータの管理者は必要な処置を施し、ウィルスを除去する。ウィルスを検出してワクチンを配布する技術は、各種紹介されている(特許文献1:特開2002−259149号公報参照)。
ところで、上記のような従来の技術には、次のような解決すべき課題があった。
ウィルスを検出したときは、すみやかにその存在場所を突き止めて、ネットワークから切離し、ワクチンを用いて駆除するという処理をしなければならない。しかしながら、ウィルスを検出してから対策処理を完了するまでの間に時間がかかる場合がある。時間がかかると、次々と被害が拡大して、ネットワークに重大な被害を及ぼす恐れもある。
また、ネットワーク上の別のコンピュータに潜んで、ネットワークを通じてファイルアクセスをしてくるようなウィルスは、活動を開始するまで検出が困難なことがある。そのウィルスが活動を開始し、ウィルスを検出したとしても、ウィルスの潜んでいるコンピュータを調べて、そのウィルスを駆除するまで時間がかかると、被害が拡大するという問題があった。
ところで、上記のような従来の技術には、次のような解決すべき課題があった。
ウィルスを検出したときは、すみやかにその存在場所を突き止めて、ネットワークから切離し、ワクチンを用いて駆除するという処理をしなければならない。しかしながら、ウィルスを検出してから対策処理を完了するまでの間に時間がかかる場合がある。時間がかかると、次々と被害が拡大して、ネットワークに重大な被害を及ぼす恐れもある。
また、ネットワーク上の別のコンピュータに潜んで、ネットワークを通じてファイルアクセスをしてくるようなウィルスは、活動を開始するまで検出が困難なことがある。そのウィルスが活動を開始し、ウィルスを検出したとしても、ウィルスの潜んでいるコンピュータを調べて、そのウィルスを駆除するまで時間がかかると、被害が拡大するという問題があった。
本発明は、ネットワークに接続されたコンピュータがウィルスに感染していることを突き止めると共に、同じネットワークに接続された他のコンピュータへの被害の拡大を阻止する技術を提供することを目的とする。
本発明の第1の態様によれば、
ネットワークでのウィルスの感染を検出して、ウィルスの感染を阻止する方法であって、
ネットワークを介してアクセス可能なおとりを、ウィルスの侵入を監視するコンピュータ上に設けて、ネットワークを介して前記おとりに対するアクセスを受け付けて、通信情報を取得すると共に、ウィルスの侵入を検出し、そのおとりにウィルスが侵入したとき、対応して取得した通信情報に基づいて、ウィルスの送信元となっているコンピュータを検出し、ウィルスの送信元となっているコンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うこと、を特徴とするウィルスの感染を阻止する方法が提供される。
本発明の第2の態様によれば、
ネットワークでのウィルスの感染を検出して、ウィルスの感染を阻止するシステムであって、
ネットワークを介してアクセスが可能なおとり手段と、
前記おとり手段へのウィルスの侵入を検出し、かつ、ウィルスの侵入を検出した時、ウィルスの侵入時に取得した通信情報から当該ウィルスの送信元となっているコンピュータを検出する通信情報解析手段と、
ウィルスの送信元となっているコンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うコンピュータ攻撃手段と、を備えることを特徴とするウィルスの感染を阻止するシステムが提供される。
本発明の第3の態様によれば、
ネットワークでのウィルスの感染を検出して、ウィルスの感染を阻止するシステムであって、
ウィルスの送信元となっているコンピュータに対してウィルス攻撃処理を行うことについての依頼を受ける手段と、
前記受けた依頼に基づいて、前記ウィルスの送信元となっているコンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うコンピュータ攻撃手段と、を備えることを特徴とするウィルスの感染を阻止するシステムが提供される。
本発明の第4の態様によれば、
ネットワークでのウィルスの感染を検出して、ウィルスの感染の阻止をコンピュータに実行させるプログラムであって、
予め設けられたネットワークを介してアクセスが可能なおとり手段へのウィルスの侵入を検出し、かつ、ウィルスの侵入を検出した時、ウィルスの侵入時に取得した通信情報から当該ウィルスの送信元となっているコンピュータを検出する通信情報解析手段と、
ウィルスの送信元となっているコンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うコンピュータ攻撃手段と、をコンピュータに構築させる、ウィルスの感染を阻止するプログラムが提供される。
また、本発明の第5の態様によれば、
ネットワークでのウィルスの感染を検出して、ウィルスの感染の阻止をコンピュータに実行させるプログラムであって、
ウィルスの送信元となっているコンピュータネットワークアドレスの通知を受けたとき、ウィルスの送信元となっているコンピュータからの通信を拒絶する処理を、コンピュータに実行させるウィルスの感染を阻止するプログラムが提供される。
本発明の第1の態様によれば、
ネットワークでのウィルスの感染を検出して、ウィルスの感染を阻止する方法であって、
ネットワークを介してアクセス可能なおとりを、ウィルスの侵入を監視するコンピュータ上に設けて、ネットワークを介して前記おとりに対するアクセスを受け付けて、通信情報を取得すると共に、ウィルスの侵入を検出し、そのおとりにウィルスが侵入したとき、対応して取得した通信情報に基づいて、ウィルスの送信元となっているコンピュータを検出し、ウィルスの送信元となっているコンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うこと、を特徴とするウィルスの感染を阻止する方法が提供される。
本発明の第2の態様によれば、
ネットワークでのウィルスの感染を検出して、ウィルスの感染を阻止するシステムであって、
ネットワークを介してアクセスが可能なおとり手段と、
前記おとり手段へのウィルスの侵入を検出し、かつ、ウィルスの侵入を検出した時、ウィルスの侵入時に取得した通信情報から当該ウィルスの送信元となっているコンピュータを検出する通信情報解析手段と、
ウィルスの送信元となっているコンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うコンピュータ攻撃手段と、を備えることを特徴とするウィルスの感染を阻止するシステムが提供される。
本発明の第3の態様によれば、
ネットワークでのウィルスの感染を検出して、ウィルスの感染を阻止するシステムであって、
ウィルスの送信元となっているコンピュータに対してウィルス攻撃処理を行うことについての依頼を受ける手段と、
前記受けた依頼に基づいて、前記ウィルスの送信元となっているコンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うコンピュータ攻撃手段と、を備えることを特徴とするウィルスの感染を阻止するシステムが提供される。
本発明の第4の態様によれば、
ネットワークでのウィルスの感染を検出して、ウィルスの感染の阻止をコンピュータに実行させるプログラムであって、
予め設けられたネットワークを介してアクセスが可能なおとり手段へのウィルスの侵入を検出し、かつ、ウィルスの侵入を検出した時、ウィルスの侵入時に取得した通信情報から当該ウィルスの送信元となっているコンピュータを検出する通信情報解析手段と、
ウィルスの送信元となっているコンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うコンピュータ攻撃手段と、をコンピュータに構築させる、ウィルスの感染を阻止するプログラムが提供される。
また、本発明の第5の態様によれば、
ネットワークでのウィルスの感染を検出して、ウィルスの感染の阻止をコンピュータに実行させるプログラムであって、
ウィルスの送信元となっているコンピュータネットワークアドレスの通知を受けたとき、ウィルスの送信元となっているコンピュータからの通信を拒絶する処理を、コンピュータに実行させるウィルスの感染を阻止するプログラムが提供される。
図1は、ウィルスの感染を阻止するシステムの具体例を示すブロック図である。
図2は、検出報告の例を示す説明図である。
図3は、複数のコンピュータにより感染コンピュータを攻撃する例を示す説明図である。
図4は、大規模なコンピュータネットワークの説明図である。
図5は、監視コンピュータの基本動作を示すフローチャートである。
図6は、監視コンピュータの協力動作を示すフローチャートである。
図2は、検出報告の例を示す説明図である。
図3は、複数のコンピュータにより感染コンピュータを攻撃する例を示す説明図である。
図4は、大規模なコンピュータネットワークの説明図である。
図5は、監視コンピュータの基本動作を示すフローチャートである。
図6は、監視コンピュータの協力動作を示すフローチャートである。
以下、発明を実施するための最良の形態について、その原理を含む概要について説明する。その後、詳細について説明する。
ネットワークを介してアクセス可能なおとりを、ウィルスの侵入を監視するコンピュータ(監視コンピュータ)上に設けて、ネットワークを介して前記おとりに対するアクセスを受け付けて、通信情報を取得すると共に、ウィルスの侵入を検出し、そのおとりにウィルスが侵入したとき、対応して取得した通信情報に基づいて、ウィルスの送信元となっているコンピュータを検出し、ウィルス送信元コンピュータ(感染コンピュータ)に対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行う。また、ウィルスの送信元となっているコンピュータの管理者宛に検出報告を送信する。
ここで、おとりには、セキュリティが低いものを用意して、ウィルスの侵入を促す。おとりのセキュリティを低くするには、ウィルスからの保護を想定している各種コンピュータにおけるセキュリティより、低くすることにより実現する。ただし、他のコンピュータよりセキュリティが低いかを調べることは必ずしも容易ではない。そこで、ウィルス対策の程度によって、セキュリティの差を付けることが考えられる。例えば、一般的に行うべきウィルス対策を全く採らないことが考えられる。具体的には、ウィルス対策ソフトウェアをインストールしないこと、または、インストールされているウィルス対策ソフトウェアを無効とすること、オペレーティングシステム、アプリケーション等に、セキュリティホールがある場合には、そのまま放置すること等が挙げられる。
なお、このウィルス対策を、特定のコンピュータ群のために行う場合には、対象となるコンピュータのセキュリティレベルが既知であることが多い。このような場合、対象となるコンピュータ群の中で、セキュリティの最も低いコンピュータより低いセキュリティとなるように、おとりのセキュリティを設定する。このようにすることで、おとりを、ウィルス対策を行うべきコンピュータ群の中で最もウィルスに侵入され易くすることができる。
おとりとしては、例えば、図1に示すように、おとりフォルダ14を設けること、おとりアプリケーション15を設けること、おとりサーバ13を設けること等が挙げられる。これらを単独で、または、2以上を併用することができる。おとりを複数のコンピュータに分散して設けることもできる。
おとりフォルダ13は、ネットワーク1に接続されたコンピュータ10の記憶装置12上に擬似的に形成した、おとりサーバ中に設けられたアプリケーションにより構成することができる。フォルダにおけるウィルスの侵入とは、ウィルスが、ネットワークを通じて、フォルダ中の任意のファイルを読み出したり、ファイルの書き替えを試みたりする状況をいう。ウィルスに感染するというのは、ウィルス自体がコンピュータの記憶装置のどこかに取り込まれていることをいう。
通信情報は、ウィルスがおとりフォルダに侵入をしたときにネットワークから受信した通信経路等の情報である。この通信情報中に、ウィルスの送信元となっているコンピュータのネットワークアドレス等が含まれる。ウィルスの送信元となっているコンピュータは、ウィルスに感染したコンピュータである。おとりフォルダで待ち受けるので、侵入してきたウィルスを検出できる。検出報告の内容は任意である。報告方法も任意である。感染したコンピュータの管理者に通知すると同時にその感染源のコンピュータを攻撃する。
探索の対象となるウィルスが、共有フォルダへ侵入する性質を持つウィルスであることもある。このような共有フォルダへ侵入するウィルスは、おとりフォルダを設けることで、その活動を検出できる。
おとりアプリケーション15は、ネットワークに接続されたコンピュータの記憶装置上に擬似的に形成した、おとりサーバ中に設けられたアプリケーションにより構成される。このおとりは、サーバへ侵入する性質を持つウィルス検出のための構成である。おとりフォルダの代わりにおとりアプリケーションを設けた例である。例えば、探索の対象となるウィルスがアプリケーションの誤動作を引き起こす性質を持つウィルスである場合、擬似的なおとりアプリケーションを設けることで、その活動を検出できる。
おとりサーバ13は、サーバへ侵入する性質を持つウィルスを検出する。おとりサーバは、擬似的なアプリケーションにより構成され、みかけ上サーバの構成を持つデータを有する。おとりサーバ13は、それに対してアクセスがあると、そのアクセスに対してサーバと同様の応答を返す機能を持つ。想定されるサーバの形式は、アクセスの対象となるサーバであればよい。例えば、ウェブサーバ、メールサーバ等がある。いずれであってもよい。このおとりサーバは、サーバ攻撃型のウィルスに対応するための構成である。コンピュータの記憶装置上に擬似的に形成した、おとりサーバ中に、おとりフォルダを設けた構成としているので、ウィルスの攻撃を受けてもその影響を受けない。すなわち、被害は発生しない。同時に、攻撃を受けながら、その出所を突き止めることができる。おとりサーバとおとりフォルダとは、全く別のものでも、一体化したアプリケーションにより構成されるものでもよい。
おとりに、ウィルスが侵入をしたとき、直ちに感染源を突き止めて、被害の拡大を阻止した上で対策を施す。すなわち、感染コンピュータに対し、ウィルスの活動を抑制するウィルス攻撃処理を行う。ウィルス攻撃処理としては、高負荷を与えるための情報を、ネットワークを介して送信することが挙げられる。攻撃は、ウィルスの駆除が完了するまで継続する。ウィルス対策とは、感染コンピュータをネットワークから切り離すこと、または、ウィルスを駆除することである。
主体から見た攻撃態様としては、単独攻撃、依頼攻撃、共同攻撃等がある。単独攻撃は、監視コンピュータが、単独で感染コンピュータを攻撃するものである。依頼攻撃は、監視コンピュータが、感染コンピュータの近くに所在する、攻撃能力を有するコンピュータに攻撃を依頼して、依頼されたコンピュータが感染コンピュータを攻撃するものである。共同攻撃は、複数のコンピュータにより感染コンピュータを攻撃するものである。これらの詳細については後述する。なお、依頼攻撃の際の攻撃方法、共同攻撃の場合の攻撃方法は、監視コンピュータが定めて、統一的に攻撃するようにすることができる。また、依頼先、共同の相手先の各コンピュータが有する攻撃能力に基づいて攻撃するよう依頼することもできる。
また、攻撃の内容としては、本発明では、前述したように、感染コンピュータにおいてウィルスの活動を抑圧するため、または、感染コンピュータ中のウィルスの活動を阻止するため、感染コンピュータに対して高い通信負荷をかける方法と、感染コンピュータのCPUに高い負荷をかける方法とを用いる。いずれか一方、または、両者を組み合わせて用いてもよい。攻撃の仕方の詳細については後述する。
ウィルスの送信元となっている感染コンピュータを検出した場合、まず、感染コンピュータの管理者宛の検出報告を発する。その上で、当該ウィルスへの対策が完了するまで攻撃を行う。
また、感染コンピュータを攻撃するに当たり、攻撃開始を予告するための、メッセージを送信して、コンピュータの使用者、管理者に注意を促す。さらに、攻撃開始時もしくは攻撃開始以後、攻撃元の端末装置で警報音を発生させる。これにより、感染コンピュータとネットワークを共有している他の端末装置の使用者に注意を促すことができる。警報音の種類は任意である。また、ディスプレイに攻撃動作中の表示をしてもよい。
攻撃を行うため、監視コンピュータはもとより、依頼先のコンピュータ、共同攻撃に参加するコンピュータには、それぞれウィルスの送信元となっているコンピュータに負荷を与える処理を当該コンピュータに実行させるための攻撃プログラム(ウィルス対策プログラム)を持たせておく。このウィルス対策プログラムを、必要に応じて監視コンピュータから、適宜、他のコンピュータにインストールする構成としてもよい。
また、監視コンピュータ以外の攻撃に参加するコンピュータは、攻撃機能を有すれば足りる。従って、監視機能を持っていなくてもよい。
一方、感染コンピュータ以外のコンピュータの防御策も用意しておく。例えば、ウィルスの送信元となっているコンピュータネットワークアドレスの通知を受けたとき、ウィルスの送信元となっているコンピュータからの通信を拒絶する処理を、コンピュータに実行させる。また、ネットワーク監視用のコンピュータから、感染コンピュータの通知を受けたとき、防御のためにウィルスの送信元となっているコンピュータからの通信を拒絶する処理を実行する。
次に、本発明の実施の形態について、それぞれ図面を参照して説明する。
図1は、ウィルス対策システムの具体例を示すブロック図である。ネットワーク1には、ネットワークインタフェース4を介してコンピュータ5が接続されている。このコンピュータ5には、記憶装置6が設けられている。この記憶装置6に、ウィルス7が感染しているものとする。このコンピュータ5を感染コンピュータと呼ぶことにする。
ネットワーク1には、監視コンピュータ10が接続されている。監視コンピュータ10は、ネットワークインタフェース11と、記憶装置12とを備える。記憶装置12には、おとりサーバ13と、おとりフォルダ14と、おとりアプリケーション15とが記憶されている。コンピュータ10は、それが実現する機能として、ネットワークインタフェース11で取得される通信情報を監視するために、通信情報解析手段16が設けられている。通信情報解析手段16の出力は、警報発生手段19を駆動する。さらに、通信情報解析手段16の出力に基づいて、コンピュータ攻撃手段17と検出報告送信手段18とが動作するように構成されている。通信情報解析手段16とコンピュータ攻撃手段17と検出報告送信手段18と警報発生手段19とは、いずれも、コンピュータ10の図示していないCPUにより実行されて、監視コンピュータ10に所定の処理を実行させるコンピュータプログラムである。これらのプログラムは、記憶装置12にインストールされ、実行時に図示していないCPUにロードされる。
この発明は、ウィルス7に感染しているコンピュータ5を特定し、そのコンピュータ5の管理者がウィルス7を除去するまでの間、そのコンピュータ5に高負荷を生じさせ、ウィルス7の活動を抑制する。ウィルス7に感染しているコンピュータ5を特定するために、おとりサーバ13、おとりフォルダ14およびおとりアプリケーション15をネットワーク1中に構築する。おとりサーバ13等は、監視コンピュータ10中に擬似的に生成する。おとりフォルダ14は、監視コンピュータ10の記憶装置12中の、任意の場所に生成するとよい。また、おとりサーバ13中に一体に生成する。
[おとりサーバ等]
おとりのサーバ13は、ネットワーク1上で最先にウィルス7が攻撃してくるような環境となるように環境設定を行うことが好ましい。セキュリティのレベルを最も低くするとともに、例えば、コンピュータ名は、ネットワークコンピュータリストの最も上位に表示されるような名称に選定する。また、ウィルスを受け入れるための共有フォルダ名は、ウィルスがアタックしやすい性質のフォルダ名とする。これも、共有フォルダリストの最も上位に表示されるような名称に選定するとよい。また、コンピュータ名もフォルダ名も、ウィルスの性質から最適なものを決定するとよい。例えば、おとりサーバ13は、ウィルス7が実在のサーバに対して侵入を試みた場合の応答と全く同様の応答をするように動作するアプリケーションプログラムからなる。実在のサーバとは異なるから、破壊活動に対しては何の影響もない。例えば、フォルダ14は、ウィルス7が実在のフォルダに対してアクセスした場合の応答と全く同様の応答をするように動作するアプリケーションプログラムからなる。実在のフォルダとは異なるからファイルの削除といった破壊活動に対して何の影響もない。おとりアプリケーション15は、実際のアプリケーションとは異なるから、誤動作を引き起こされる恐れはない。
[感染コンピュータの特定]
通信情報解析手段16には、ウィルスの侵入を検出すると、直ちにその通信情報中から発信源のコンピュータ名を解析して、特定する機能を持つ。この情報には、誰がログオンしたコンピュータか、そのコンピュータのアドレスは何か、コンピュータを使用している社員の社員コードは何か、といった情報が含まれる。
なお、コンピュータウィルスを発見した場合に、感染しているコンピュータを、無条件で直ちに攻撃すると、使用者がとまどって様々な弊害が生じる。そこで、警報発生手段19を設ける。警報発生手段19は、例えば、ポップアップメッセージなどの通知手段を使って、感染コンピュータに対し、「このコンピュータはウィルスに感染しています。早急にネットワークから切り離してください」といった対策開始を予告するメッセージを送信する機能を持つ。さらに、周辺のコンピュータ利用者に対し、ネットワークを通じて、ウィルス7が侵入する恐れがある旨の警告を発するために、例えば、スピーカ2を鳴らしたりディスプレイ3に警報画面を表示したりする機能を持つ。
図2(a)および図2(b)は、検出報告の例を示す説明図である。通信情報解析手段16(図1参照)は、通信情報から取得した送信元IPアドレス8を検出報告送信手段18に転送する。検出報告送信手段18は、感染コンピュータ5の管理者に対して、例えば、電子メールやファクシミリを利用して、検出報告を送信する。図2(a)は拡散型のウィルスを検出したときの検出報告例である。図2(b)は、ネットワーク共有型のウィルスを検出したときの検出報告例である。例えば、図2(a)では、IPアドレスが「192.168.10.15」のコンピュータに、同図のようなパタンのウィルスによる攻撃がされている。といった報告である。
[ウィルスの侵入と感染コンピュータの検出]
ウィルスが、ネットワーク上のいずれかのコンピュータに取り込まれると、所定のタイミングで活動を開始する。例えば、ウィルスは、ネットワークを通じて他のコンピュータの共有フォルダをアクセスして、そこに格納されたファイルを書き換えたり、破壊したりする。ウィルスが侵入するというのは、このように、共有フォルダをアクセスする行為のことをいう。ウィルスファイルが実際にコピーされるとは限らない。従って、ウィルスが侵入されたコンピュータでは、通常の状態では、ウィルスの侵入によるファイルのアクセスか、正常なファイルのアクセスかを区別できず、ウィルスを検出できないこともある。
そこで、おとりサーバ、および、おとりフォルダを設ける。通常のアプリケーションは、予め特定したサーバ、または、フォルダにのみアクセスする。擬似的に作成された、おとりサーバまたはおとりフォルダにアクセスするのは、ウィルスである確率が極めて高い。さらに、そのアクセスパターンを確認することで、ウィルスであるとの確証を得ることができる。その後は、その通信情報から、どのコンピュータがそのウィルスに感染したかを突き止める。感染コンピュータでのウィルスの活動を阻止しなければ、このウィルスがネットワークを通じて様々なコンピュータに被害を及ぼす。
[感染コンピュータに対する攻撃]
コンピュータ攻撃手段17(図1)は、感染コンピュータに対して所定の攻撃動作をする機能を持つ。このコンピュータ攻撃手段17は、感染コンピュータ5に対して、高い負荷をかける。感染コンピュータ中のウィルスの活動を阻止するためであるから、感染コンピュータ5に対して高い通信負荷をかける方法と、感染コンピュータのCPUに高い負荷をかける方法がある。
感染コンピュータ5に対して高い通信負荷をかけると、ネットワーク1と感染コンピュータ5との間を結ぶネットワークインタフェース11等の通信路でトラフィックが増大して、感染コンピュータ5からネットワーク1に対する通信の通信速度が著しく低下する。従って、感染コンピュータ5内部からネットワーク1を経由して他のコンピュータに向かうウィルスの侵入活動が抑制される。具体的には、100BASE−T程度の帯域を持つネットワークならば、5メガバイト程度もある大きなパケットを感染コンピュータ宛に送信するとよい。しかしながら、この場合、CPU自体にはさほどの負荷はかからない。
一方、感染コンピュータ5のCPUに高い負荷をかけると、感染コンピュータ5の内部でデータの破壊活動をしようとするウィルスの活動速度が著しく低下する。従って、感染コンピュータ5中にウィルス被害が広がることを防止できる。例えば、Pingパケットを大量に連続的に送信する。これにより、CPUが過負荷になるので、コンピュータの内部でのウィルスの活動を阻止し、被害の拡大を抑制できる。具体的には、2バイト程度のPingパケットを感染コンピュータ5に向けて大量に連続的に送信する。感染コンピュータ5のCPUは、パケットを受信する度に応答を返すための制御をしなければならないので、CPUが過負荷になる。
従って、上記の一方または両方の方法を併用するとよい。もちろん、上記以外の既知の任意の方法で、感染コンピュータに対して、高い負荷をかけるようにしてもよい。
[複数のコンピュータによる攻撃]
図3は、複数のコンピュータにより、感染コンピュータ5を攻撃する例を示す説明図である。図3のネットワーク1には、監視コンピュータ10および感染コンピュータ5と、端末装置20と、端末装置22と、端末装置24とが接続されている。端末装置20は、ネットワークインタフェース21を介してネットワーク1に接続されている。端末装置22は、ネットワークインタフェース23を介してネットワーク1に接続されている。端末装置24は、ネットワークインタフェース25を介してネットワーク1に接続されている。
端末装置20は、コンピュータ攻撃手段31を備えている。端末装置22は、コンピュータ攻撃手段32を備えている。端末装置24は、コンピュータ攻撃手段33を備えている。コンピュータ攻撃手段31、コンピュータ攻撃手段32およびコンピュータ攻撃手段33は、いずれも、監視コンピュータ10のコンピュータ攻撃手段17と同様の機能を持つ。
1台のコンピュータでは、感染コンピュータを攻撃するのが不十分な場合がある。この場合には、図3に示すように、監視コンピュータ10は、別のコンピュータ、例えば、端末装置20、22および24に対して、攻撃を依頼する。そして、複数台のコンピュータ10、20、22および24の協力によって、1台のコンピュータ5を共同で攻撃する。これによって、ウィルスが感染したコンピュータの機能を制限する。一方、その間に、管理者に通知して、ウィルスを削除するための時間を稼ぐ。
端末装置20等は、攻撃専用のコンピュータでもよいし、一般ユーザの使用しているコンピュータにコンピュータ攻撃手段31等をインストールしたものでもよい。監視コンピュータ10は、ネットワーク1中に1台だけ設けること、複数台設けることのいずれであってもよい。
なお、監視コンピュータ10からコンピュータ攻撃手段31等に送信する攻撃依頼には、感染コンピュータのIPアドレス(ネットワークアドレス)を含める。また、コンピュータ攻撃手段31等を起動するコマンドを含めるとよい。コンピュータ攻撃手段を持つコンピュータは、監視コンピュータと同様の機能を持つコンピュータでもよいし、攻撃手段のみを持つコンピュータでもよい。
図4は、大規模なコンピュータネットワークの説明図である。図4に示すように、ルータ50とルータ51とにより、相互に接続されたネットワーク52とネットワーク53とネットワーク54とには、それぞれ、多数のコンピュータが接続されている。ネットワーク52に接続されたコンピュータ61と62のうち、コンピュータ62は監視コンピュータである。ネットワーク53に接続されたコンピュータ63と64と65のうち、コンピュータ63は監視コンピュータである。ネットワーク54に接続されたコンピュータ66と67と68のうち、コンピュータ68は監視コンピュータである。
例えば、コンピュータ67が感染コンピュータであって、コンピュータ62がそのウィルスの侵入を検知することがある。このときは、コンピュータ62から攻撃をしても、ルータ50やルータ51がボトルネックになって、効果的な攻撃が難しい。そこで、コンピュータ62は、コンピュータ67の所属するネットワーク54に接続された最寄りのコンピュータ68に対して、コンピュータ67への攻撃を依頼する。コンピュータ68は、先に説明したスピーカ等による警報を発して、周囲のコンピュータ66等に注意を促してから、コンピュータ67への攻撃を開始する。こうして、大規模なネットワークにおける監視動作も可能になる。
[動作フローチャート]
図5は監視コンピュータの基本動作を示すフローチャートである。具体的には、監視コンピュータ10は、プログラムを実行して、各種機能を実現する。それによって、監視コンピュータ10は、通信情報解析手段16、コンピュータ攻撃手段17、検出報告手段18および警報発生手段19として機能する。
まず、監視コンピュータ10は、おとりサーバ13、おとりフォルダ14、および、おとりアプリケーション15を有効にする初期設定を行う(ステップS1)。この状態で、ウィルスの待ち受けを開始する(ステップS2)。通信情報解析手段16は、ネットワークインタフェース11の処理する通信情報を監視する。
ウィルスの侵入を検知すると、通信情報解析手段16は、通信情報の解析をして、送信元IPアドレス8を取得し、感染コンピュータを特定する(ステップS3、S4、S5)。検出報告送信手段18は、管理者へ検出報告をする(ステップS6)。
警報発生手段19は、スピーカ2による警報音を鳴らす(ステップ7)。また、攻撃中である旨の動画等を、監視コンピュータ10のディスプレイ3に表示する。さらに、警報発生手段19は、感染コンピュータ5に対して攻撃開始メッセージを送信する(ステップS8)。
コンピュータ攻撃手段17は、攻撃を開始する(ステップS9)。その後、任意のルートでウィルス対策が完了した旨の報告を受けかを判断する(ステップS10)。ウィルス対策が完了した旨の報告を受けた場合、コンピュータ攻撃手段17による攻撃を終了する(ステップS11)。
図6は、監視コンピュータの協力動作を示すフローチャートである。複数のコンピュータの協力を得て幹線コンピュータの攻撃を行う場合にも、前述した監視コンピュータ10の各種機能により、感染コンピュータの発見処理と、攻撃協力のための依頼処理と、強調攻撃処理とが行われる。
監視コンピュータ10は、まず、感染コンピュータを特定する(ステップS21−ステップS24)。この感染コンピュータを特定するための処理は、前述した図5に示す(ステップS2−ステップS5)の処理と同様である。
感染コンピュータを特定されたら、コンピュータ攻撃手段17が、ネットワークの調査をする(ステップS25)。最寄りの監視コンピュータを探すためである。最寄りの監視コンピュータを探すには、予め用意した監視コンピュータのリストから、感染コンピュータとIPアドレスの一部が共通している監視コンピュータを検索する(ステップS26)。
最寄りの監視コンピュータが、自分自身である場合と、図4で説明したように、ルータのような幾つかのネットワークコンポーネントを介して接続された監視コンピュータである場合とがある。そこで、最寄りの監視コンピュータが自分自身かどうかを判断する(ステップS27)。自分自身でなかったら、攻撃依頼先を決定する(ステップS28)。該当する監視コンピュータが複数ある場合は、複数の監視コンピュータに同報送信で攻撃依頼を発信すればよい。
続いて、該当する監視コンピュータに対して、攻撃依頼の発信をする(ステップS29)。その後は、攻撃依頼先において、図5のステップS6以降の処理が実行される。
[感染コンピュータの処置]
感染コンピュータは被害を受けている可能性が高いので、すみやかにネットワークから切り離すことが最も効果的な対策である。この対策が完了すれば、感染コンピュータへの攻撃は終了してよい。
感染コンピュータについては、その後、ウィルスの除去処理をして、被害があった部分を修復する。また、OS(オペレーティングシステム)、アプリケーション等の再インストールをして復旧させる。このために、図3に示すように、記憶装置6には、その旨のメッセージを含む画面40をディスプレイに表示する。この画面40は、必要な対応措置が終了後、ボタン41がクリックされるまで表示される。
この発明は、ネットワークを通じて拡散するタイプのウィルスの拡散スピードを低下させる機能を持つ。すなわち、ウィルスが感染したコンピュータに大きな負荷をかけることによって、ウィルスの拡散を阻止する。また、ウィルスが、あるコンピュータの共有ファイルに侵入しても、その動作だけでは侵入を直ちに確認することができない場合に適する。すなわち、ウィルスが活動したとき、そのウィルスの攻撃を真っ先に受けるようにおとりのコンピュータを設定する。これによって、ウィルスを発見し、ウィルスがどのコンピュータに感染しているかを確認し、該当する攻撃対象のコンピュータを特定する。すなわち、単にフォルダ内に侵入しただけでは、発見の難しいウィルスの検出と排除に有効である。
なお、上記のコンピュータプログラムは、それぞれ独立したプログラムモジュールを組み合わせて構成してもよいし、全体を一体化したプログラムにより構成してもよい。コンピュータプログラムにより制御される処理の全部または一部を同等の機能を備えるハードウエアで構成しても構わない。また、上記のコンピュータプログラムは、既存のアプリケーションプログラムに組み込んで使用してもよい。上記のような本発明を実現するためのコンピュータプログラムは、例えば、CD−ROMのようなコンピュータで読み取り可能な記録媒体に記録して、任意の情報処理装置にインストールして利用することができる。また、ネットワークを通じて任意のコンピュータのメモリ中にダウンロードして利用することもできる。
ネットワークを介してアクセス可能なおとりを、ウィルスの侵入を監視するコンピュータ(監視コンピュータ)上に設けて、ネットワークを介して前記おとりに対するアクセスを受け付けて、通信情報を取得すると共に、ウィルスの侵入を検出し、そのおとりにウィルスが侵入したとき、対応して取得した通信情報に基づいて、ウィルスの送信元となっているコンピュータを検出し、ウィルス送信元コンピュータ(感染コンピュータ)に対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行う。また、ウィルスの送信元となっているコンピュータの管理者宛に検出報告を送信する。
ここで、おとりには、セキュリティが低いものを用意して、ウィルスの侵入を促す。おとりのセキュリティを低くするには、ウィルスからの保護を想定している各種コンピュータにおけるセキュリティより、低くすることにより実現する。ただし、他のコンピュータよりセキュリティが低いかを調べることは必ずしも容易ではない。そこで、ウィルス対策の程度によって、セキュリティの差を付けることが考えられる。例えば、一般的に行うべきウィルス対策を全く採らないことが考えられる。具体的には、ウィルス対策ソフトウェアをインストールしないこと、または、インストールされているウィルス対策ソフトウェアを無効とすること、オペレーティングシステム、アプリケーション等に、セキュリティホールがある場合には、そのまま放置すること等が挙げられる。
なお、このウィルス対策を、特定のコンピュータ群のために行う場合には、対象となるコンピュータのセキュリティレベルが既知であることが多い。このような場合、対象となるコンピュータ群の中で、セキュリティの最も低いコンピュータより低いセキュリティとなるように、おとりのセキュリティを設定する。このようにすることで、おとりを、ウィルス対策を行うべきコンピュータ群の中で最もウィルスに侵入され易くすることができる。
おとりとしては、例えば、図1に示すように、おとりフォルダ14を設けること、おとりアプリケーション15を設けること、おとりサーバ13を設けること等が挙げられる。これらを単独で、または、2以上を併用することができる。おとりを複数のコンピュータに分散して設けることもできる。
おとりフォルダ13は、ネットワーク1に接続されたコンピュータ10の記憶装置12上に擬似的に形成した、おとりサーバ中に設けられたアプリケーションにより構成することができる。フォルダにおけるウィルスの侵入とは、ウィルスが、ネットワークを通じて、フォルダ中の任意のファイルを読み出したり、ファイルの書き替えを試みたりする状況をいう。ウィルスに感染するというのは、ウィルス自体がコンピュータの記憶装置のどこかに取り込まれていることをいう。
通信情報は、ウィルスがおとりフォルダに侵入をしたときにネットワークから受信した通信経路等の情報である。この通信情報中に、ウィルスの送信元となっているコンピュータのネットワークアドレス等が含まれる。ウィルスの送信元となっているコンピュータは、ウィルスに感染したコンピュータである。おとりフォルダで待ち受けるので、侵入してきたウィルスを検出できる。検出報告の内容は任意である。報告方法も任意である。感染したコンピュータの管理者に通知すると同時にその感染源のコンピュータを攻撃する。
探索の対象となるウィルスが、共有フォルダへ侵入する性質を持つウィルスであることもある。このような共有フォルダへ侵入するウィルスは、おとりフォルダを設けることで、その活動を検出できる。
おとりアプリケーション15は、ネットワークに接続されたコンピュータの記憶装置上に擬似的に形成した、おとりサーバ中に設けられたアプリケーションにより構成される。このおとりは、サーバへ侵入する性質を持つウィルス検出のための構成である。おとりフォルダの代わりにおとりアプリケーションを設けた例である。例えば、探索の対象となるウィルスがアプリケーションの誤動作を引き起こす性質を持つウィルスである場合、擬似的なおとりアプリケーションを設けることで、その活動を検出できる。
おとりサーバ13は、サーバへ侵入する性質を持つウィルスを検出する。おとりサーバは、擬似的なアプリケーションにより構成され、みかけ上サーバの構成を持つデータを有する。おとりサーバ13は、それに対してアクセスがあると、そのアクセスに対してサーバと同様の応答を返す機能を持つ。想定されるサーバの形式は、アクセスの対象となるサーバであればよい。例えば、ウェブサーバ、メールサーバ等がある。いずれであってもよい。このおとりサーバは、サーバ攻撃型のウィルスに対応するための構成である。コンピュータの記憶装置上に擬似的に形成した、おとりサーバ中に、おとりフォルダを設けた構成としているので、ウィルスの攻撃を受けてもその影響を受けない。すなわち、被害は発生しない。同時に、攻撃を受けながら、その出所を突き止めることができる。おとりサーバとおとりフォルダとは、全く別のものでも、一体化したアプリケーションにより構成されるものでもよい。
おとりに、ウィルスが侵入をしたとき、直ちに感染源を突き止めて、被害の拡大を阻止した上で対策を施す。すなわち、感染コンピュータに対し、ウィルスの活動を抑制するウィルス攻撃処理を行う。ウィルス攻撃処理としては、高負荷を与えるための情報を、ネットワークを介して送信することが挙げられる。攻撃は、ウィルスの駆除が完了するまで継続する。ウィルス対策とは、感染コンピュータをネットワークから切り離すこと、または、ウィルスを駆除することである。
主体から見た攻撃態様としては、単独攻撃、依頼攻撃、共同攻撃等がある。単独攻撃は、監視コンピュータが、単独で感染コンピュータを攻撃するものである。依頼攻撃は、監視コンピュータが、感染コンピュータの近くに所在する、攻撃能力を有するコンピュータに攻撃を依頼して、依頼されたコンピュータが感染コンピュータを攻撃するものである。共同攻撃は、複数のコンピュータにより感染コンピュータを攻撃するものである。これらの詳細については後述する。なお、依頼攻撃の際の攻撃方法、共同攻撃の場合の攻撃方法は、監視コンピュータが定めて、統一的に攻撃するようにすることができる。また、依頼先、共同の相手先の各コンピュータが有する攻撃能力に基づいて攻撃するよう依頼することもできる。
また、攻撃の内容としては、本発明では、前述したように、感染コンピュータにおいてウィルスの活動を抑圧するため、または、感染コンピュータ中のウィルスの活動を阻止するため、感染コンピュータに対して高い通信負荷をかける方法と、感染コンピュータのCPUに高い負荷をかける方法とを用いる。いずれか一方、または、両者を組み合わせて用いてもよい。攻撃の仕方の詳細については後述する。
ウィルスの送信元となっている感染コンピュータを検出した場合、まず、感染コンピュータの管理者宛の検出報告を発する。その上で、当該ウィルスへの対策が完了するまで攻撃を行う。
また、感染コンピュータを攻撃するに当たり、攻撃開始を予告するための、メッセージを送信して、コンピュータの使用者、管理者に注意を促す。さらに、攻撃開始時もしくは攻撃開始以後、攻撃元の端末装置で警報音を発生させる。これにより、感染コンピュータとネットワークを共有している他の端末装置の使用者に注意を促すことができる。警報音の種類は任意である。また、ディスプレイに攻撃動作中の表示をしてもよい。
攻撃を行うため、監視コンピュータはもとより、依頼先のコンピュータ、共同攻撃に参加するコンピュータには、それぞれウィルスの送信元となっているコンピュータに負荷を与える処理を当該コンピュータに実行させるための攻撃プログラム(ウィルス対策プログラム)を持たせておく。このウィルス対策プログラムを、必要に応じて監視コンピュータから、適宜、他のコンピュータにインストールする構成としてもよい。
また、監視コンピュータ以外の攻撃に参加するコンピュータは、攻撃機能を有すれば足りる。従って、監視機能を持っていなくてもよい。
一方、感染コンピュータ以外のコンピュータの防御策も用意しておく。例えば、ウィルスの送信元となっているコンピュータネットワークアドレスの通知を受けたとき、ウィルスの送信元となっているコンピュータからの通信を拒絶する処理を、コンピュータに実行させる。また、ネットワーク監視用のコンピュータから、感染コンピュータの通知を受けたとき、防御のためにウィルスの送信元となっているコンピュータからの通信を拒絶する処理を実行する。
次に、本発明の実施の形態について、それぞれ図面を参照して説明する。
図1は、ウィルス対策システムの具体例を示すブロック図である。ネットワーク1には、ネットワークインタフェース4を介してコンピュータ5が接続されている。このコンピュータ5には、記憶装置6が設けられている。この記憶装置6に、ウィルス7が感染しているものとする。このコンピュータ5を感染コンピュータと呼ぶことにする。
ネットワーク1には、監視コンピュータ10が接続されている。監視コンピュータ10は、ネットワークインタフェース11と、記憶装置12とを備える。記憶装置12には、おとりサーバ13と、おとりフォルダ14と、おとりアプリケーション15とが記憶されている。コンピュータ10は、それが実現する機能として、ネットワークインタフェース11で取得される通信情報を監視するために、通信情報解析手段16が設けられている。通信情報解析手段16の出力は、警報発生手段19を駆動する。さらに、通信情報解析手段16の出力に基づいて、コンピュータ攻撃手段17と検出報告送信手段18とが動作するように構成されている。通信情報解析手段16とコンピュータ攻撃手段17と検出報告送信手段18と警報発生手段19とは、いずれも、コンピュータ10の図示していないCPUにより実行されて、監視コンピュータ10に所定の処理を実行させるコンピュータプログラムである。これらのプログラムは、記憶装置12にインストールされ、実行時に図示していないCPUにロードされる。
この発明は、ウィルス7に感染しているコンピュータ5を特定し、そのコンピュータ5の管理者がウィルス7を除去するまでの間、そのコンピュータ5に高負荷を生じさせ、ウィルス7の活動を抑制する。ウィルス7に感染しているコンピュータ5を特定するために、おとりサーバ13、おとりフォルダ14およびおとりアプリケーション15をネットワーク1中に構築する。おとりサーバ13等は、監視コンピュータ10中に擬似的に生成する。おとりフォルダ14は、監視コンピュータ10の記憶装置12中の、任意の場所に生成するとよい。また、おとりサーバ13中に一体に生成する。
[おとりサーバ等]
おとりのサーバ13は、ネットワーク1上で最先にウィルス7が攻撃してくるような環境となるように環境設定を行うことが好ましい。セキュリティのレベルを最も低くするとともに、例えば、コンピュータ名は、ネットワークコンピュータリストの最も上位に表示されるような名称に選定する。また、ウィルスを受け入れるための共有フォルダ名は、ウィルスがアタックしやすい性質のフォルダ名とする。これも、共有フォルダリストの最も上位に表示されるような名称に選定するとよい。また、コンピュータ名もフォルダ名も、ウィルスの性質から最適なものを決定するとよい。例えば、おとりサーバ13は、ウィルス7が実在のサーバに対して侵入を試みた場合の応答と全く同様の応答をするように動作するアプリケーションプログラムからなる。実在のサーバとは異なるから、破壊活動に対しては何の影響もない。例えば、フォルダ14は、ウィルス7が実在のフォルダに対してアクセスした場合の応答と全く同様の応答をするように動作するアプリケーションプログラムからなる。実在のフォルダとは異なるからファイルの削除といった破壊活動に対して何の影響もない。おとりアプリケーション15は、実際のアプリケーションとは異なるから、誤動作を引き起こされる恐れはない。
[感染コンピュータの特定]
通信情報解析手段16には、ウィルスの侵入を検出すると、直ちにその通信情報中から発信源のコンピュータ名を解析して、特定する機能を持つ。この情報には、誰がログオンしたコンピュータか、そのコンピュータのアドレスは何か、コンピュータを使用している社員の社員コードは何か、といった情報が含まれる。
なお、コンピュータウィルスを発見した場合に、感染しているコンピュータを、無条件で直ちに攻撃すると、使用者がとまどって様々な弊害が生じる。そこで、警報発生手段19を設ける。警報発生手段19は、例えば、ポップアップメッセージなどの通知手段を使って、感染コンピュータに対し、「このコンピュータはウィルスに感染しています。早急にネットワークから切り離してください」といった対策開始を予告するメッセージを送信する機能を持つ。さらに、周辺のコンピュータ利用者に対し、ネットワークを通じて、ウィルス7が侵入する恐れがある旨の警告を発するために、例えば、スピーカ2を鳴らしたりディスプレイ3に警報画面を表示したりする機能を持つ。
図2(a)および図2(b)は、検出報告の例を示す説明図である。通信情報解析手段16(図1参照)は、通信情報から取得した送信元IPアドレス8を検出報告送信手段18に転送する。検出報告送信手段18は、感染コンピュータ5の管理者に対して、例えば、電子メールやファクシミリを利用して、検出報告を送信する。図2(a)は拡散型のウィルスを検出したときの検出報告例である。図2(b)は、ネットワーク共有型のウィルスを検出したときの検出報告例である。例えば、図2(a)では、IPアドレスが「192.168.10.15」のコンピュータに、同図のようなパタンのウィルスによる攻撃がされている。といった報告である。
[ウィルスの侵入と感染コンピュータの検出]
ウィルスが、ネットワーク上のいずれかのコンピュータに取り込まれると、所定のタイミングで活動を開始する。例えば、ウィルスは、ネットワークを通じて他のコンピュータの共有フォルダをアクセスして、そこに格納されたファイルを書き換えたり、破壊したりする。ウィルスが侵入するというのは、このように、共有フォルダをアクセスする行為のことをいう。ウィルスファイルが実際にコピーされるとは限らない。従って、ウィルスが侵入されたコンピュータでは、通常の状態では、ウィルスの侵入によるファイルのアクセスか、正常なファイルのアクセスかを区別できず、ウィルスを検出できないこともある。
そこで、おとりサーバ、および、おとりフォルダを設ける。通常のアプリケーションは、予め特定したサーバ、または、フォルダにのみアクセスする。擬似的に作成された、おとりサーバまたはおとりフォルダにアクセスするのは、ウィルスである確率が極めて高い。さらに、そのアクセスパターンを確認することで、ウィルスであるとの確証を得ることができる。その後は、その通信情報から、どのコンピュータがそのウィルスに感染したかを突き止める。感染コンピュータでのウィルスの活動を阻止しなければ、このウィルスがネットワークを通じて様々なコンピュータに被害を及ぼす。
[感染コンピュータに対する攻撃]
コンピュータ攻撃手段17(図1)は、感染コンピュータに対して所定の攻撃動作をする機能を持つ。このコンピュータ攻撃手段17は、感染コンピュータ5に対して、高い負荷をかける。感染コンピュータ中のウィルスの活動を阻止するためであるから、感染コンピュータ5に対して高い通信負荷をかける方法と、感染コンピュータのCPUに高い負荷をかける方法がある。
感染コンピュータ5に対して高い通信負荷をかけると、ネットワーク1と感染コンピュータ5との間を結ぶネットワークインタフェース11等の通信路でトラフィックが増大して、感染コンピュータ5からネットワーク1に対する通信の通信速度が著しく低下する。従って、感染コンピュータ5内部からネットワーク1を経由して他のコンピュータに向かうウィルスの侵入活動が抑制される。具体的には、100BASE−T程度の帯域を持つネットワークならば、5メガバイト程度もある大きなパケットを感染コンピュータ宛に送信するとよい。しかしながら、この場合、CPU自体にはさほどの負荷はかからない。
一方、感染コンピュータ5のCPUに高い負荷をかけると、感染コンピュータ5の内部でデータの破壊活動をしようとするウィルスの活動速度が著しく低下する。従って、感染コンピュータ5中にウィルス被害が広がることを防止できる。例えば、Pingパケットを大量に連続的に送信する。これにより、CPUが過負荷になるので、コンピュータの内部でのウィルスの活動を阻止し、被害の拡大を抑制できる。具体的には、2バイト程度のPingパケットを感染コンピュータ5に向けて大量に連続的に送信する。感染コンピュータ5のCPUは、パケットを受信する度に応答を返すための制御をしなければならないので、CPUが過負荷になる。
従って、上記の一方または両方の方法を併用するとよい。もちろん、上記以外の既知の任意の方法で、感染コンピュータに対して、高い負荷をかけるようにしてもよい。
[複数のコンピュータによる攻撃]
図3は、複数のコンピュータにより、感染コンピュータ5を攻撃する例を示す説明図である。図3のネットワーク1には、監視コンピュータ10および感染コンピュータ5と、端末装置20と、端末装置22と、端末装置24とが接続されている。端末装置20は、ネットワークインタフェース21を介してネットワーク1に接続されている。端末装置22は、ネットワークインタフェース23を介してネットワーク1に接続されている。端末装置24は、ネットワークインタフェース25を介してネットワーク1に接続されている。
端末装置20は、コンピュータ攻撃手段31を備えている。端末装置22は、コンピュータ攻撃手段32を備えている。端末装置24は、コンピュータ攻撃手段33を備えている。コンピュータ攻撃手段31、コンピュータ攻撃手段32およびコンピュータ攻撃手段33は、いずれも、監視コンピュータ10のコンピュータ攻撃手段17と同様の機能を持つ。
1台のコンピュータでは、感染コンピュータを攻撃するのが不十分な場合がある。この場合には、図3に示すように、監視コンピュータ10は、別のコンピュータ、例えば、端末装置20、22および24に対して、攻撃を依頼する。そして、複数台のコンピュータ10、20、22および24の協力によって、1台のコンピュータ5を共同で攻撃する。これによって、ウィルスが感染したコンピュータの機能を制限する。一方、その間に、管理者に通知して、ウィルスを削除するための時間を稼ぐ。
端末装置20等は、攻撃専用のコンピュータでもよいし、一般ユーザの使用しているコンピュータにコンピュータ攻撃手段31等をインストールしたものでもよい。監視コンピュータ10は、ネットワーク1中に1台だけ設けること、複数台設けることのいずれであってもよい。
なお、監視コンピュータ10からコンピュータ攻撃手段31等に送信する攻撃依頼には、感染コンピュータのIPアドレス(ネットワークアドレス)を含める。また、コンピュータ攻撃手段31等を起動するコマンドを含めるとよい。コンピュータ攻撃手段を持つコンピュータは、監視コンピュータと同様の機能を持つコンピュータでもよいし、攻撃手段のみを持つコンピュータでもよい。
図4は、大規模なコンピュータネットワークの説明図である。図4に示すように、ルータ50とルータ51とにより、相互に接続されたネットワーク52とネットワーク53とネットワーク54とには、それぞれ、多数のコンピュータが接続されている。ネットワーク52に接続されたコンピュータ61と62のうち、コンピュータ62は監視コンピュータである。ネットワーク53に接続されたコンピュータ63と64と65のうち、コンピュータ63は監視コンピュータである。ネットワーク54に接続されたコンピュータ66と67と68のうち、コンピュータ68は監視コンピュータである。
例えば、コンピュータ67が感染コンピュータであって、コンピュータ62がそのウィルスの侵入を検知することがある。このときは、コンピュータ62から攻撃をしても、ルータ50やルータ51がボトルネックになって、効果的な攻撃が難しい。そこで、コンピュータ62は、コンピュータ67の所属するネットワーク54に接続された最寄りのコンピュータ68に対して、コンピュータ67への攻撃を依頼する。コンピュータ68は、先に説明したスピーカ等による警報を発して、周囲のコンピュータ66等に注意を促してから、コンピュータ67への攻撃を開始する。こうして、大規模なネットワークにおける監視動作も可能になる。
[動作フローチャート]
図5は監視コンピュータの基本動作を示すフローチャートである。具体的には、監視コンピュータ10は、プログラムを実行して、各種機能を実現する。それによって、監視コンピュータ10は、通信情報解析手段16、コンピュータ攻撃手段17、検出報告手段18および警報発生手段19として機能する。
まず、監視コンピュータ10は、おとりサーバ13、おとりフォルダ14、および、おとりアプリケーション15を有効にする初期設定を行う(ステップS1)。この状態で、ウィルスの待ち受けを開始する(ステップS2)。通信情報解析手段16は、ネットワークインタフェース11の処理する通信情報を監視する。
ウィルスの侵入を検知すると、通信情報解析手段16は、通信情報の解析をして、送信元IPアドレス8を取得し、感染コンピュータを特定する(ステップS3、S4、S5)。検出報告送信手段18は、管理者へ検出報告をする(ステップS6)。
警報発生手段19は、スピーカ2による警報音を鳴らす(ステップ7)。また、攻撃中である旨の動画等を、監視コンピュータ10のディスプレイ3に表示する。さらに、警報発生手段19は、感染コンピュータ5に対して攻撃開始メッセージを送信する(ステップS8)。
コンピュータ攻撃手段17は、攻撃を開始する(ステップS9)。その後、任意のルートでウィルス対策が完了した旨の報告を受けかを判断する(ステップS10)。ウィルス対策が完了した旨の報告を受けた場合、コンピュータ攻撃手段17による攻撃を終了する(ステップS11)。
図6は、監視コンピュータの協力動作を示すフローチャートである。複数のコンピュータの協力を得て幹線コンピュータの攻撃を行う場合にも、前述した監視コンピュータ10の各種機能により、感染コンピュータの発見処理と、攻撃協力のための依頼処理と、強調攻撃処理とが行われる。
監視コンピュータ10は、まず、感染コンピュータを特定する(ステップS21−ステップS24)。この感染コンピュータを特定するための処理は、前述した図5に示す(ステップS2−ステップS5)の処理と同様である。
感染コンピュータを特定されたら、コンピュータ攻撃手段17が、ネットワークの調査をする(ステップS25)。最寄りの監視コンピュータを探すためである。最寄りの監視コンピュータを探すには、予め用意した監視コンピュータのリストから、感染コンピュータとIPアドレスの一部が共通している監視コンピュータを検索する(ステップS26)。
最寄りの監視コンピュータが、自分自身である場合と、図4で説明したように、ルータのような幾つかのネットワークコンポーネントを介して接続された監視コンピュータである場合とがある。そこで、最寄りの監視コンピュータが自分自身かどうかを判断する(ステップS27)。自分自身でなかったら、攻撃依頼先を決定する(ステップS28)。該当する監視コンピュータが複数ある場合は、複数の監視コンピュータに同報送信で攻撃依頼を発信すればよい。
続いて、該当する監視コンピュータに対して、攻撃依頼の発信をする(ステップS29)。その後は、攻撃依頼先において、図5のステップS6以降の処理が実行される。
[感染コンピュータの処置]
感染コンピュータは被害を受けている可能性が高いので、すみやかにネットワークから切り離すことが最も効果的な対策である。この対策が完了すれば、感染コンピュータへの攻撃は終了してよい。
感染コンピュータについては、その後、ウィルスの除去処理をして、被害があった部分を修復する。また、OS(オペレーティングシステム)、アプリケーション等の再インストールをして復旧させる。このために、図3に示すように、記憶装置6には、その旨のメッセージを含む画面40をディスプレイに表示する。この画面40は、必要な対応措置が終了後、ボタン41がクリックされるまで表示される。
この発明は、ネットワークを通じて拡散するタイプのウィルスの拡散スピードを低下させる機能を持つ。すなわち、ウィルスが感染したコンピュータに大きな負荷をかけることによって、ウィルスの拡散を阻止する。また、ウィルスが、あるコンピュータの共有ファイルに侵入しても、その動作だけでは侵入を直ちに確認することができない場合に適する。すなわち、ウィルスが活動したとき、そのウィルスの攻撃を真っ先に受けるようにおとりのコンピュータを設定する。これによって、ウィルスを発見し、ウィルスがどのコンピュータに感染しているかを確認し、該当する攻撃対象のコンピュータを特定する。すなわち、単にフォルダ内に侵入しただけでは、発見の難しいウィルスの検出と排除に有効である。
なお、上記のコンピュータプログラムは、それぞれ独立したプログラムモジュールを組み合わせて構成してもよいし、全体を一体化したプログラムにより構成してもよい。コンピュータプログラムにより制御される処理の全部または一部を同等の機能を備えるハードウエアで構成しても構わない。また、上記のコンピュータプログラムは、既存のアプリケーションプログラムに組み込んで使用してもよい。上記のような本発明を実現するためのコンピュータプログラムは、例えば、CD−ROMのようなコンピュータで読み取り可能な記録媒体に記録して、任意の情報処理装置にインストールして利用することができる。また、ネットワークを通じて任意のコンピュータのメモリ中にダウンロードして利用することもできる。
Claims (19)
- ネットワークでのウィルスの感染を検出して、ウィルスの感染を阻止する方法であって、
ネットワークを介してアクセス可能なおとりを、ウィルスの侵入を監視するコンピュータ上に設けて、ネットワークを介して前記おとりに対するアクセスを受け付けて、通信情報を取得すると共に、ウィルスの侵入を検出し、そのおとりにウィルスが侵入したとき、対応して取得した通信情報に基づいて、ウィルスの送信元となっているコンピュータを検出し、ウィルスの送信元となっているコンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うこと、を特徴とするウィルスの感染を阻止する方法。 - 請求項1に記載のウィルスの感染を阻止する方法において、
前記おとりは、おとりフォルダを記憶装置に記憶させたもの、おとりアプリケーションを記憶装置に記憶させたもの、および、記憶装置に擬似的に形成したサーバ、のうち1以上であるウィルスの感染を阻止する方法。 - 請求項1に記載のウィルスの感染を阻止する方法において、
前記ウィルス攻撃は、前記ウィルスの送信元となっているコンピュータに高負荷を与えるものであるウィルスの感染を阻止する方法。 - 請求項3に記載のウィルスの感染を阻止する方法において、
前記ウィルスの送信元となっているコンピュータに与える高負荷は、当該コンピュータのトラフィックを増大させることであるウィルスの感染を阻止する方法。 - 請求項3に記載のウィルスの感染を阻止する方法において、
前記ウィルスの送信元となっているコンピュータに与える高負荷は、当該コンピュータのCPUが応答動作をすべき処理を大量に要求することであるウィルスの感染を阻止する方法。 - ネットワークでのウィルスの感染を検出して、ウィルスの感染を阻止するシステムであって、
ネットワークを介してアクセスが可能なおとり手段と、
前記おとり手段へのウィルスの侵入を検出し、かつ、ウィルスの侵入を検出した時、ウィルスの侵入時に取得した通信情報から当該ウィルスの送信元となっているコンピュータを検出する通信情報解析手段と、
ウィルスの送信元となっているコンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うコンピュータ攻撃手段と、を備えることを特徴とするウィルスの感染を阻止するシステム。 - 請求項6に記載のウィルスの感染を阻止するシステムにおいて、
前記おとり手段は、おとりフォルダを記憶装置に記憶させたもの、おとりアプリケーションを記憶装置に記憶させたもの、および、記憶装置に擬似的に形成したサーバ、のうち1以上であるウィルスの感染を阻止するシステム。 - 請求項6に記載のウィルスの感染を阻止するシステムにおいて、
前記コンピュータ攻撃手段は、前記ウィルスの送信元となっているコンピュータに高負荷を与えるものであるウィルスの感染を阻止するシステム。 - 請求項8に記載のウィルスの感染を阻止するシステムにおいて、
前記コンピュータ攻撃手段は、前記ウィルスの送信元となっているコンピュータのトラフィックを増大させて、当該コンピュータ高負荷を与えることであるウィルスの感染を阻止する方法。 - 請求項8に記載のウィルスの感染を阻止するシステムにおいて、
前記コンピュータ攻撃手段は、前記ウィルスの送信元となっているコンピュータのCPUが応答動作をすべき処理を大量に要求して、当該コンピュータに高負荷を与えることであるウィルスの感染を阻止するシステム。 - 請求項8、9および10のいずれか一項に記載のウィルスの感染を阻止するシステムにおいて、
ウィルスの送信元となっているコンピュータの管理者宛の検出報告を発する手段をさらに備え、
前記コンピュータ攻撃手段は、当該ウィルスへの対策が完了するまで、当該コンピュータへの攻撃を継続するウィルスの感染を阻止するシステム。 - 請求項6に記載のウィルスの感染を阻止するシステムにおいて、
前記おとり手段は、ネットワークに接続されたコンピュータの記憶装置上に擬似的に形成した、おとりサーバ中に設けられたアプリケーションにより構成されるおとりフォルダであるウィルスの感染を阻止するシステム。 - 請求項6に記載のウィルスの感染を阻止するシステムにおいて、
前記おとり手段は、ネットワークに接続されたコンピュータの記憶装置上に擬似的に形成した、おとりサーバ中に設けられたアプリケーションにより構成されるおとりアプリケーションであるウィルスの感染を阻止するシステム。 - 請求項8、9および10のいずれか一項に記載のウィルスの感染を阻止するシステムにおいて、
感染したコンピュータに対して、高負荷を与える攻撃開始を予告するためのメッセージを送信する手段をさらに備えるウィルスの感染を阻止するシステム。 - 請求項8、9および10のいずれか一項に記載のウィルスの感染を阻止するシステムにおいて、
攻撃開始時もしくは攻撃開始以後、攻撃元の端末装置で警報音を発生する手段をさらに備えるウィルスの感染を阻止するシステム。 - 請求項8、9および10のいずれか一項に記載のウィルスの感染を阻止するシステムにおいて、
ネットワークに接続された別のコンピュータに対して、ウィルス送信元となっているコンピュータのネットワークアドレスを通知するとともに、ウィルスの送信元となっているコンピュータに対してウィルス攻撃処理を行うことを依頼する手段をさらに備えるウィルスの感染を阻止するシステム。 - ネットワークでのウィルスの感染を検出して、ウィルスの感染を阻止するシステムであって、
ウィルスの送信元となっているコンピュータに対してウィルス攻撃処理を行うことについての依頼を受ける手段と、
前記受けた依頼に基づいて、前記ウィルスの送信元となっているコンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うコンピュータ攻撃手段と、を備えることを特徴とするウィルスの感染を阻止するシステム。 - ネットワークでのウィルスの感染を検出して、ウィルスの感染の阻止をコンピュータに実行させるプログラムであって、
予め設けられたネットワークを介してアクセスが可能なおとり手段へのウィルスの侵入を検出し、かつ、ウィルスの侵入を検出した時、ウィルスの侵入時に取得した通信情報から当該ウィルスの送信元となっているコンピュータを検出する通信情報解析手段と、
ウィルス送信元コンピュータに対して、ネットワークを介してウィルスの活動を抑制するウィルス攻撃処理を行うコンピュータ攻撃手段とをコンピュータに構築させる、ウィルスの感染を阻止するプログラム。 - ネットワークでのウィルスの感染を検出して、ウィルスの感染の阻止をコンピュータに実行させるプログラムであって、
ウィルスの送信元となっているコンピュータネットワークアドレスの通知を受けたとき、ウィルスの送信元となっているコンピュータからの通信を拒絶する処理を、コンピュータに実行させるウィルスの感染を阻止するプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003072371 | 2003-03-17 | ||
| JP2003072371 | 2003-03-17 | ||
| PCT/JP2004/003520 WO2004084063A1 (ja) | 2003-03-17 | 2004-03-17 | ウィルスの感染を阻止する方法およびシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2004084063A1 true JPWO2004084063A1 (ja) | 2006-06-22 |
| JP4196989B2 JP4196989B2 (ja) | 2008-12-17 |
Family
ID=33027717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005503704A Expired - Fee Related JP4196989B2 (ja) | 2003-03-17 | 2004-03-17 | ウィルスの感染を阻止する方法およびシステム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20060288414A1 (ja) |
| JP (1) | JP4196989B2 (ja) |
| CN (1) | CN1761939A (ja) |
| WO (1) | WO2004084063A1 (ja) |
Families Citing this family (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9154511B1 (en) | 2004-07-13 | 2015-10-06 | Dell Software Inc. | Time zero detection of infectious messages |
| US7343624B1 (en) * | 2004-07-13 | 2008-03-11 | Sonicwall, Inc. | Managing infectious messages as identified by an attachment |
| US8131804B2 (en) * | 2004-11-19 | 2012-03-06 | J Michael Greata | Method and apparatus for immunizing data in computer systems from corruption |
| US20060112430A1 (en) * | 2004-11-19 | 2006-05-25 | Deisenroth Jerrold M | Method and apparatus for immunizing data in computer systems from corruption |
| US7571483B1 (en) * | 2005-08-25 | 2009-08-04 | Lockheed Martin Corporation | System and method for reducing the vulnerability of a computer network to virus threats |
| EP1999925B1 (en) * | 2006-03-27 | 2011-07-06 | Telecom Italia S.p.A. | A method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor |
| US8429746B2 (en) * | 2006-05-22 | 2013-04-23 | Neuraliq, Inc. | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems |
| US20140373144A9 (en) * | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
| US8191140B2 (en) * | 2006-05-31 | 2012-05-29 | The Invention Science Fund I, Llc | Indicating a security breach of a protected set of files |
| US8640247B2 (en) * | 2006-05-31 | 2014-01-28 | The Invention Science Fund I, Llc | Receiving an indication of a security breach of a protected set of files |
| US8209755B2 (en) * | 2006-05-31 | 2012-06-26 | The Invention Science Fund I, Llc | Signaling a security breach of a protected set of files |
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
| US20080115215A1 (en) * | 2006-10-31 | 2008-05-15 | Jeffrey Scott Bardsley | Methods, systems, and computer program products for automatically identifying and validating the source of a malware infection of a computer system |
| US8898276B1 (en) * | 2007-01-11 | 2014-11-25 | Crimson Corporation | Systems and methods for monitoring network ports to redirect computing devices to a protected network |
| CN101316171B (zh) * | 2008-06-30 | 2010-12-08 | 成都市华为赛门铁克科技有限公司 | 病毒防范方法和装置 |
| US8255997B2 (en) | 2008-09-29 | 2012-08-28 | At&T Intellectual Property I, L.P. | Contextual alert of an invasion of a computer system |
| US8356001B2 (en) * | 2009-05-19 | 2013-01-15 | Xybersecure, Inc. | Systems and methods for application-level security |
| US8650215B2 (en) * | 2010-05-04 | 2014-02-11 | Red Hat, Inc. | Decoy application servers |
| US9106697B2 (en) | 2010-06-24 | 2015-08-11 | NeurallQ, Inc. | System and method for identifying unauthorized activities on a computer system using a data structure model |
| US8789189B2 (en) | 2010-06-24 | 2014-07-22 | NeurallQ, Inc. | System and method for sampling forensic data of unauthorized activities using executability states |
| RU2454705C1 (ru) * | 2011-04-19 | 2012-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения |
| US8719938B2 (en) * | 2012-04-09 | 2014-05-06 | Landis+Gyr Innovations, Inc. | Detecting network intrusion using a decoy cryptographic key |
| CN103679015A (zh) * | 2012-09-04 | 2014-03-26 | 江苏中科慧创信息安全技术有限公司 | 一种保护内核系统的攻击控制方法 |
| JP2016033690A (ja) * | 2012-12-26 | 2016-03-10 | 三菱電機株式会社 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
| US9152808B1 (en) * | 2013-03-25 | 2015-10-06 | Amazon Technologies, Inc. | Adapting decoy data present in a network |
| US9794275B1 (en) * | 2013-06-28 | 2017-10-17 | Symantec Corporation | Lightweight replicas for securing cloud-based services |
| CN104484605A (zh) * | 2014-12-10 | 2015-04-01 | 央视国际网络无锡有限公司 | 云存储环境病毒源检测方法 |
| JP2016115072A (ja) * | 2014-12-12 | 2016-06-23 | Necフィールディング株式会社 | 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 |
| WO2016112219A1 (en) | 2015-01-07 | 2016-07-14 | CounterTack, Inc. | System and method for monitoring a computer system using machine interpretable code |
| CN106598788B (zh) * | 2015-10-20 | 2020-08-28 | 鸿富锦精密电子(天津)有限公司 | 服务器管理装置 |
| GB2544309B (en) * | 2015-11-12 | 2020-01-22 | F Secure Corp | Advanced local-network threat response |
| CN109145599B (zh) * | 2017-06-27 | 2022-01-07 | 关隆股份有限公司 | 恶意病毒的防护方法 |
| JP2019096223A (ja) * | 2017-11-27 | 2019-06-20 | 東芝三菱電機産業システム株式会社 | 制御システム用マルウェア対策システムおよび制御システム用マルウェアチェックコンピュータ |
| JP2019198978A (ja) * | 2018-05-14 | 2019-11-21 | 東芝テック株式会社 | プリンタ |
| JP7135870B2 (ja) * | 2019-01-07 | 2022-09-13 | 富士通株式会社 | 検知装置、検知方法、および、検知プログラム |
| JP7120030B2 (ja) * | 2019-01-09 | 2022-08-17 | 富士通株式会社 | 検知装置、検知方法、および、検知プログラム |
| CN111079137A (zh) * | 2019-11-19 | 2020-04-28 | 泰康保险集团股份有限公司 | 一种防病毒处理方法和装置 |
| CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1992021087A1 (en) * | 1991-05-13 | 1992-11-26 | Hill, William, Stanley | Method and apparatus for preventing 'disease' damage in computer systems |
| US5440723A (en) * | 1993-01-19 | 1995-08-08 | International Business Machines Corporation | Automatic immune system for computers and computer networks |
| US7093239B1 (en) * | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| US20020108778A1 (en) * | 2000-12-07 | 2002-08-15 | Intel Corporation | Apparatus for shielding transmission line effects on a printed circuit board |
| JP3731111B2 (ja) * | 2001-02-23 | 2006-01-05 | 三菱電機株式会社 | 侵入検出装置およびシステムならびにルータ |
| US7603709B2 (en) * | 2001-05-03 | 2009-10-13 | Computer Associates Think, Inc. | Method and apparatus for predicting and preventing attacks in communications networks |
| US8438241B2 (en) * | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
-
2004
- 2004-03-17 JP JP2005503704A patent/JP4196989B2/ja not_active Expired - Fee Related
- 2004-03-17 CN CN200480007290.7A patent/CN1761939A/zh active Pending
- 2004-03-17 US US10/549,892 patent/US20060288414A1/en not_active Abandoned
- 2004-03-17 WO PCT/JP2004/003520 patent/WO2004084063A1/ja active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| JP4196989B2 (ja) | 2008-12-17 |
| CN1761939A (zh) | 2006-04-19 |
| WO2004084063A1 (ja) | 2004-09-30 |
| US20060288414A1 (en) | 2006-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4196989B2 (ja) | ウィルスの感染を阻止する方法およびシステム | |
| US7457965B2 (en) | Unauthorized access blocking apparatus, method, program and system | |
| TWI362196B (en) | Network isolation techniques suitable for virus protection | |
| US9325725B2 (en) | Automated deployment of protection agents to devices connected to a distributed computer network | |
| US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
| US11856008B2 (en) | Facilitating identification of compromised devices by network access control (NAC) or unified threat management (UTM) security services by leveraging context from an endpoint detection and response (EDR) agent | |
| TWI407328B (zh) | 網路病毒防護方法及系統 | |
| CN111786964B (zh) | 网络安全检测方法、终端及网络安全设备 | |
| CN113014571B (zh) | 一种访问请求处理的方法、装置及存储介质 | |
| US20170070518A1 (en) | Advanced persistent threat identification | |
| JP2008278272A (ja) | 電子システム、電子機器、中央装置、プログラム、および記録媒体 | |
| CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
| US8087083B1 (en) | Systems and methods for detecting a network sniffer | |
| KR20070008804A (ko) | 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법 | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
| JP2008165601A (ja) | 通信監視システム、通信監視装置、及び通信制御装置 | |
| CN110198298A (zh) | 一种信息处理方法、装置及存储介质 | |
| Gheorghe et al. | Attack evaluation and mitigation framework | |
| KR100587612B1 (ko) | 침입 탐지 시스템에서 중복 이벤트 제거 방법 | |
| JP2005057522A (ja) | ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム | |
| CN117134935A (zh) | 业务访问方法、装置、网关设备及存储介质 | |
| CN116074031A (zh) | 一种Webshell检测方法、装置及相关系统 | |
| CN117955675A (zh) | 一种网络攻击的防御方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071009 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071210 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080909 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080922 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111010 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4196989 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121010 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121010 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131010 Year of fee payment: 5 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |