WO2006043310A1 - 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム - Google Patents

Abstract

　本発明は、計算機やルータから収集されたネットワーク情報の管理情報を分析して不正アクセスプログラム（ワーム）の活動に特有な管理情報の変化を検出し、変化の検出にかかわる管理情報が収集された装置の種別やワームの活動が疑われる装置のアドレス情報を含むアラート情報を生成し、アラート情報の装置の種別が計算機である場合に、当該計算機に対する中継情報の削除指示を生成し、装置の種別がネットワーク接続装置である場合に、当該ネットワーク接続装置に対するワームの通信を遮断するフィルタの設定指示を生成し、これらの指示を送信する処理を行う。

Description

明 細 書

不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プロ グラムおよび不正アクセスプログラム対策プログラム

技術分野

[0001] 本発明は、ワーム検出'隔離方法およびプログラムに関し、既存のネットワーク管理 技術、例えば簡易ネットワーク管理プロトコル（SNMP : Simple Network Manag ement Protocol)のネットワーク管理技術を用いてネットワークに接続されたサー バゃ PCのウィルスやワームの感染を早期に検出し隔離することにより、ウィルスゃヮ ームによる被害を防止する技術に関する。

背景技術

[0002] 近年、インターネットや企業内イントラネットでは、ワーム、ウィルスと!/、つた不正ァク セスを行うプログラムの被害が問題となっている。図 9に、不正アクセスプログラムの検 出'隔離システムの例を示す。従来、不正アクセスプログラムの検出'隔離処理には、 エンドポイントの各計算機 901上に、アンチウィルスソフト 902を導入して感染を検出 したり、または、ネットワークでは、ネットワーク上に設置された不正アクセスプログラム 対策用（ワーム対策用）アプライアンス'ノヽードウエア 903を用いてネットワークのトラフ イツクのモニタリングを行ったりという方法がとられてきた (例えば、非特許文献 1参照）

[0003] 非特許文献 1

チェック ·ポイント ·ソフトウェア ·テクノロジーズ株式会社

「Check Point InterSpect カタログ」 2004年 1月

発明の開示

発明が解決しょうとする課題

[0004] アンチウィルスソフト 902は、不正アクセスプログラムが持つ特定のバイナリパターン の一致による検出処理を基本とするシグ-チヤベースのプログラムであるため、既知 のワームの検出には有効である。

[0005] しかし、既知の不正アクセスプログラムの亜種や新種のものに対しては、バイナリパ ターンが異なるために検出処理が困難であり、アンチウィルスソフト 902のベンダから 、不正アクセスプログラム検出用の最新のバイナリパターンを迅速にアップデートしな ければならな ヽと ヽぅ問題があった。

[0006] また、一部のアンチウィルスソフト 902は、未知の不正アクセスプログラムを検出して 感染を防止できる機能を備えるが、誤検知の問題があり、検出できるものが限られて いた。

[0007] 一方、ネットワークに設置されたワーム対策用アプライアンス'ノヽードウエア 903は、 ネットワーク上を流れる全てのパケットを収集解析するための専用のハードウェアを 用意し、プロトコル規約に従わない通信、脆弱性を狙うようなトラフィックなどを検出す ることによって、不正アクセスプログラムがネットワーク上で動作していることを検知す る。

[0008] し力し、ワーム対策用アプライアンス'ノヽードウエア 903は、亜種や新種の不正ァク セスプログラムの活動を検知できる力 不正アクセスのトラフィックを捕捉するために、 各ネットワーク 'セグメントにあるスィッチ.ルータ 904のミラーリングポート 905から、ィ ントラネット 906 (ネットワーク）のトラフィックの全てをモニタリングして、不正なトラフイツ クか否かの判定をしなければならない。このため、ソフトウェアやハードでの処理が重 くなり、ネットワークのトラフィックが増大すると処理が追いつかなくなるという欠点があ つた o

[0009] また、ネットワークの各セグメント上に専用のハードウェアを必要とするため、大規模 なネットワークでは複数の監視システム（ワーム対策用アプライアンス'ノヽードウエア 9 03)を設置しなければならない。そのため、管理対象となるシステム数が増加し、管 理工数が肥大するという問題があった。

[0010] 本発明の目的は、従来の各計算機上のシグ-チヤベースのアンチウィルスソフト、 ネットワーク ·セグメントごとのアプライアンス ·ハードウェアを用いることなく、不正ァク セスプログラムの活動を検出することができる処理方法およびプログラムを実現するこ とである。

[0011] また、本発明の目的は、不正アクセスプログラムの活動による感染拡大が生じない ように、検出された不正アクセスプログラムを隔離することができる処理方法およびプ ログラムを実現することである。

課題を解決するための手段

[0012] 本発明は、ネットワーク内の不正アクセスプログラムの活動を監視する処理方法で あって、計算機またはネットワーク接続装置力も収集されたネットワーク情報の管理情 報を分析して不正アクセスプログラムの活動に特有なネットワーク情報の管理情報の 変化を検出する管理情報監視過程と、前記変化の検出にかかわるネットワーク情報 の管理情報が収集された装置の種別および前記不正アクセスプログラムの活動が疑 われる装置のアドレス情報を含むアラート情報を生成するァラート生成過程とを備え る。

[0013] ネットワーク上に設置されるネットワーク機器、およびネットワークを用いた情報通信 を行う計算機には、多くの場合、ネットワーク情報管理機能を備えている。本発明は、 ネットワーク情報管理機能として使用されるネットワーク情報管理処理部によって提 供されるネットワーク情報の管理情報を用いて、不正アクセスプログラムの活動に特 有なネットワーク情報の管理情報の変化、すなわち不正な情報送受信処理によって 生じる特定の管理情報の変化を分析し、所定の変化力 不正アクセスプログラムの 活動の兆候を検出してァラートを生成する。

[0014] よって、ネットワーク情報管理を導入しているネットワークシステムにおいて、ネットヮ ークごとに不正アクセスプログラム対策用アプライアンス'ノヽードウエアを設定したり、 各計算機に特別なソフトウェアを導入したりすることなぐ不正アクセスプログラムの活 動を検出することができる。

[0015] また、本発明は、上記の処理過程を備えるものである場合に、前記ネットワーク情報 の管理情報を前記計算機または前記ネットワーク接続装置からリアルタイムで収集す る管理情報収集過程を備える。

[0016] 本発明は、収集され格納された静的なネットワーク情報の管理情報だけでなぐリア ルタイムで収集されたネットワーク情報の管理情報を用いて不正アクセスプログラム の活動を検出することができる。

[0017] さらに、本発明は、前記管理情報監視過程において、前記ネットワーク接続装置か ら収集された管理情報から送信先不明に伴うエラー通知情報を抽出し、前記エラー 通知情報の送信時量が所定の増加傾向を示す状態を前記変化として検出する。

[0018] または、前記計算機力も収集されたネットワーク情報の管理情報力も送信先不明に 伴うエラー通知情報を抽出し、前記エラー通知情報の受信情報量が所定の増加傾 向を示す状態を前記変化として検出する。

[0019] または、前記ネットワーク接続装置から収集された管理情報から送信先不明に伴つ て廃棄された情報量を抽出し、前記廃棄情報量が所定の増加傾向を示す状態を前 記変化として検出する。

[0020] または、前記計算機力 収集された管理情報を解析し、前記計算機にお!、てコネク シヨン確立中を示すエンドポイント数もしくはコネクション確立失敗を示すエンドポイン ト数のいずれかの数値が所定の増加傾向を示す状態を前記変化として検出する。

[0021] このような、計算機やネットワーク接続装置力もの送信先不明に伴うエラー通知情 報の情報量、送信先不明に伴う廃棄情報量、前記計算機におけるコネクション確立 中を示すエンドポイント数もしくはコネクション確立失敗を示すエンドポイント数などの 継続的な増加傾向は、不正なトラフィックの増加を意味するので、かかる増加傾向を 不正アクセスプログラムの活動の検出に利用するものである。

[0022] さらに、本発明は、前記アラート情報から、前記変化の検出にかかわるネットワーク 情報の管理情報が収集された装置の種別、前記不正アクセスプログラムの活動が疑 われる計算機またはネットワーク接続装置のアドレス情報を解析するァラート解析過 程と、前記装置の種別が計算機である場合に、前記アドレス情報によって特定される 計算機に対する中継情報の削除指示を生成し、前記装置の種別がネットワーク接続 装置である場合に、前記アドレス情報によって特定されるネットワーク接続装置に対 する前記不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する対 策指示生成過程と、前記中継情報の削除指示または前記フィルタの設定指示を送 信する対策指示過程とを備える。

[0023] 計算機のネットワーク情報管理処理部に対して他のネットワーク 'セグメントへの中 継情報の削除を指示することにより、または、ネットワーク接続装置のネットワーク情 報管理処理部に対して、他のネットワーク ·セグメントへの通信を遮断するフィルタ情 報の設定を指示することにより、ネットワーク 'セグメント内で活動する不正アクセスプ ログラムが外部への不正なアクセスを行うことを停止させることができ、不正アクセスプ ログラムを隔離して感染拡大を防止することができる。

[0024] また、本発明は、ネットワークの構成を示すネットワーク構成情報を管理するネットヮ ーク構成管理過程を備え、前記対策指示生成過程は、前記ネットワーク構成情報を 参照して前記不正アクセスプログラムの活動が疑われる計算機またはネットワーク ·セ グメントまたは前記ネットワーク 'セグメントを制御するネットワーク接続装置のアドレス 情報を解析する。

[0025] 1台の不正アクセスプログラム監視装置によって、大規模ネットワーク上のどこのネッ トワーク.セグメント（サブネットワーク）に所属するどの計算機力も不正アクセスプログ ラムが不正な通信を行って 、るかと 、うことを特定することができ、大規模ネットワーク 上での不正アクセスプログラムの感染拡大を防止することができる。

[0026] また、本発明は、上記の処理手段、構成要素などを備えて不正アクセスプログラム を検出する装置としてコンピュータを機能させるためのプログラム、および検出した不 正アクセスプログラムを隔離する装置としてコンピュータを機能させるためのプロダラ ムである。

発明の効果

[0027] 本発明によれば、ネットワーク管理処理を導入しているネットワークシステムにおい て、ネットワークおよび各システムに特別なソフトウェアを導入することなぐ計算機ま たはネットワーク接続装置のネットワーク管理情報を利用して不正アクセスを行う不正 アクセスプログラムの検出を行うことができる。

[0028] また、本発明によれば、計算機のネットワーク設定情報、または、ネットワーク接続 装置のフィルタリング機能の設定情報に対する指示を送出することにより、検出した 不正アクセスプログラムの隔離処理を行うことができる。

[0029] また、本発明によれば、 1台の監視システムによって、大規模ネットワークにおいて、 ネットワーク ·セグメントまたは計算機での不正アクセスプログラムの不正な通信を検 出でき、また検出した不正アクセスプログラムを隔離することができるため、大規模ネ ットワーク上での不正アクセスプログラムの感染の拡大を防止することができる。

図面の簡単な説明 [0030] [図 1]図 1は、本発明の実施の形態におけるシステム構成を示す図である。

[図 2]図 2は、ワーム検出部のブロック構成例を示す図である。

[図 3]図 3は、ワーム対策部のブロック構成例を示す図である。

圆 4]図 4は、計算機での接続開設関連のネットワーク管理情報の変化例を示す図で ある。

[図 5]図 5は、ネットワーク機器での中継情報の廃棄量の変化例を示す図である。

[図 6]図 6は、本発明の実施例における構成例を示す図である。

[図 7]図 7は、ワーム検出処理の処理フロー例を示す図である。

[図 8]図 8は、ワーム対策処理の処理フロー例を示す図である。

[図 9]図 9は、ワームの検出'隔離システムの例を示す図である。

符号の説明

[0031] 1 ワーム監視装置

11 ワーム検出部

12 ワーム対策部

13 管理情報収集部

14 管理情報データベース

2 ネットワーク接続装置 (ルータ）

21 フィルタリング部（フィルタ）

22 ネットワーク情報管理部（SNMPエージヱント）

3 計算機 (ホスト）

31 プロトコノレスタック咅

32 ネットワーク情報管理部（SNMPエージヱント）

111 項目抽出部

112 エラー情報監視部

113 廃棄情報監視部

114 エンドポイント情報監視部

115 ァラート生成部

121 ァラート解析部 122 対策指示生成部

123 ネットワーク構成管理部

124 対策指示部

発明を実施するための最良の形態

[0032] 図 1に、本発明の実施の形態におけるシステム構成を示す。

[0033] 不正アクセスプログラム監視装置 (ワーム監視装置） 1は、ネットワーク接続装置 (ル →) 2および計算機 (ホスト） 3から収集されたネットワーク情報の管理情報を用いて 、ウィルス、ワームのような不正アクセスを行うプログラム（以下、単に「ワーム」とする） を検出'隔離する装置である。

[0034] ワーム監視装置 1は、ネットワーク内のワームの活動を検出するワーム検出部 11、 検出されたワームの活動に対する所定の対策を行うワーム対策部 12、ネットワーク接 続装置 2または計算機 3からそれぞれのネットワーク情報の管理情報を収集する管理 情報収集部（SNMPマネージャ） 13、および収集されたネットワーク情報の管理情報 を蓄積する管理情報データベース 14を備える。

[0035] ネットワーク接続装置 2は、ネットワーク 'セグメント間の接続を制御する装置であつ て、例えばルータ、スィッチなどである。ネットワーク接続装置 2は、所定の条件に従 つてネットワーク情報を通過または遮断するフィルタリング部 21、および自機のネット ワーク情報を管理し、要求に応じてネットワーク情報の管理情報をワーム監視装置 1 の管理情報収集部 13に送信するネットワーク情報管理部 22を備える。

[0036] 計算機 3は、ネットワーク情報管理機能を備えたコンピュータ (PC)である。計算機 3 は、ネットワークプロトコルを階層的に処理するプロトコルスタック部 31、および自機の ネットワーク情報を管理し、要求に応じてネットワーク情報の管理情報をワーム監視 装置 1の管理情報収集部 13に送信するネットワーク情報管理部 32を備える。

[0037] 図 2に、ワーム監視装置 1のワーム検出部 11のブロック構成例を示す。

[0038] ワーム検出部 11は、項目抽出部 111、エラー情報監視部 112、廃棄情報監視部 1 13、エンドポイント情報監視部 114、およびァラート生成部 115を備える。

[0039] 項目抽出部 111は、管理情報データベース 14に蓄積されたネットワーク情報の管 理情報から、ワームを検出するために必要な項目として、ネットワークの送信先不明 によるエラー通知情報、送信先不明による廃棄された情報量、計算機 3のエンドボイ ント情報を抽出し、エラー情報監視部 112、廃棄情報監視部 113およびエンドポイン ト情報監視部 114の各情報監視部へ渡す処理手段である。

[0040] エラー情報監視部 112は、ネットワーク情報の管理情報のエラー通知情報から、ェ ラー通知数が継続的に増カロしている力否力を分析し、所定の閾値を超過して増加し ている場合に、その変化 (増加状態)を検出する処理手段である。エラー情報監視部 112は、ネットワーク接続装置 2または計算機 3のネットワーク情報の管理情報をもと に送信先不明エラー通知数を計測し、エラー通知の受信側であつたか送信側であつ たかを判定し、エラー通知数が所定の閾値を超過した場合にァラート生成部 115へ 通知する。

[0041] 廃棄情報監視部 113は、ネットワーク情報の管理情報の廃棄情報から、情報の廃 棄量を計測し、情報の廃棄量が継続的に増カロしている力否力を分析し、所定の閾値 を超過して増カロしている場合に、その変化 (増加状態)を検出する処理手段である。 廃棄情報監視部 113は、各ネットワーク接続装置 2を中継する際に送信先不明で中 継できず廃棄した情報量を分析し、廃棄情報量が所定の閾値を超過した場合にァラ ート生成部 115へ通知する。

[0042] エンドポイント情報監視部 114は、ネットワーク情報の管理情報のエンドポイント情 報カゝら接続途中のエンドポイント数を計測し、接続途中のエンドポイント数が継続的 に増加している力否かを分析し、所定の閾値を超過して増加している場合に、その変 ィ匕 (増加状態)を検出する処理手段である。エンドポイント情報監視部 114は、各計 算機 3が接続を開始する際に送信先不明で接続中状態となっているエンドポイント数 を計測し、接続中状態のエンドポイント数が増力 Πして所定の閾値を超過した場合にァ ラート生成部 115へ通知する。

[0043] ァラート生成部 115は、エラー情報監視部 112、廃棄情報監視部 113、またはェン ドポイント情報監視部 114のいずれかの手段力 監視対象情報の変化の通知を受け ると、ネットワーク内でワームが活動中であることを示すアラート情報を生成する処理 手段である。ァラート情報には、変化の原因となったネットワーク情報の管理情報を 生成した装置の種別 (計算機か、ネットワーク接続装置か)およびその装置のアドレス 情報などが含まれる。

[0044] 図 3に、ワーム対策部 12のブロック構成例を示す。

[0045] ワーム対策部 12は、ァラート解析部 121、対策指示生成部 122、ネットワーク構成 管理部 123,および対策指示部 124を備える。

[0046] ァラート解析部 121は、入力したァラート情報から、ネットワーク情報の管理情報が 収集された装置の種別および前記装置のアドレス情報を解析する処理手段である。 ァラート解析部 121は、解析した装置の種別およびアドレス情報を対策指示生成部 1

22へ渡す。

[0047] 対策指示生成部 122は、ァラート情報の解析結果にもとづいて、ワームの活動に対 する対策指示を生成する処理手段である。対策指示生成部 122は、ァラート解析部 121から渡された解析結果の装置の種別が"計算機"である場合に、ァラート情報の アドレス情報にもとづ 、て特定された計算機 3に対する中継情報の削除指示を生成 する。また、装置の種別が"ネットワーク接続装置"である場合に、ァラート情報のアド レス情報にもとづいて特定されたネットワーク接続装置 2に対する不正アクセスプログ ラムの通信を遮断するフィルタの設定指示を生成する。生成した中継情報の削除指 示またはフィルタの設定指示を対策指示部 124へ渡す。

[0048] 対策指示生成部 122は、上記の処理を、ネットワーク構成管理部 123と連携して行 う。ネットワーク構成管理部 123は、ワーム監視装置 1が監視対象とするネットワーク の構成を管理する処理手段である。

[0049] 管理情報収集部 13は、ネットワーク接続装置 2または計算機 3からネットワーク情報 の管理情報を収集し、管理情報データベース 14に蓄積する処理手段である。

[0050] 図 1に示す構成のネットワークにおいて、ワーム監視装置 1の管理情報収集部 13は 、一定間隔で各ネットワーク接続装置 2および計算機 3からネットワーク情報の管理情 報を収集し、管理情報データベース 14に蓄積しておく。

[0051] 計算機 3でワームが活動しているとする。ワームは感染を効率よく行うために広範囲 のアドレスへの接続を試みる。このため、送信先が存在しない大量の接続要求バケツ トが計算機 3から送出される。このため、計算機 3では送信先不明を示すエラー情報 の通知数 (受信数）が増加する。また、ワームがコネクション指向の通信を使用する場 合には、図 4に示すように、ワームの活動による接続要求数が増加して計算機 3全体 のエンドポイントのオープン総数が増加するにつれて、接続の相手先が存在しない ために再送タイムアウト待ちとなるまでの接続過程 (接続途中）の状態のエンドポイン ト総数が増加する。

[0052] そこで、ワーム監視装置 1のワーム検出部 11は、項目抽出部 111によって、計算機 3のネットワーク情報管理部 32から収集したネットワーク情報の管理情報から、計算 機 3での接続過程のエンドポイント数、あるいは送信先不明を示すエラー情報の通知 数を抽出する。そして、エラー情報監視部 112によって接続先不明のエラー情報の 通知量を分析し、エンドポイント情報監視部 114によって接続中のエンドポイント数を 分析する。これらの情報が所定の閾値を超過していると判定した場合に、ワームが活 動中であると検出する。そして、ァラート生成部 115によって、検出対象とした装置の 種別 (計算機を設定)、ワームが活動中すなわちワームに感染された計算機 3のアド レス情報を含むアラート情報を生成し、ワーム対策部 12へ渡す。

[0053] ワーム対策部 12は、ァラート解析部 121によって、ァラート生成部 115からアラート 情報を受け取り、ァラート情報によってワームに感染している装置が計算機 3であるこ とが通知されると、対策指示生成部 122によって、計算機 3のネットワーク情報管理部 32に対する、プロトコルスタック部 31の中継情報を削除する指示を生成する。

[0054] これにより、計算機 3では、プロトコルスタック部 31の処理において自機が所属する ネットワーク ·セグメント以外への通信が遮断されることになり、他のネットワーク ·セグ メントへのワームの感染拡大を防止することができる。

[0055] また、ネットワーク接続装置 2では、ワームに感染した計算機 3から広範囲の宛先ァ ドレスの付いた接続要求が送出されることによって、送信先が存在しない大量の接続 要求を受信することになる。このため、ネットワーク接続装置 2では、接続先不明を示 すエラー情報の通知数 (送出数)が増加する。また、図 5に示すように、ワームの活動 による中継情報数が増カロしてネットワーク接続装置 2全体の中継情報総数が増加す るにつれて、接続の相手先が存在しな 、ために送信先不明による中継情報の廃棄 情報総数が増加する。

[0056] そこで、ワーム監視装置 1のワーム検出部 11は、項目抽出部 111によって、ネットヮ ーク接続装置 2のネットワーク情報管理部 22から収集したネットワーク情報の管理情 報から、送信先不明による中継情報の廃棄情報数、あるいは送信先不明を示すエラ 一情報の通知数を抽出する。そして、エラー情報監視部 112によって接続先不明の エラー情報の通知量を分析し、廃棄情報監視部 113によって中継情報の廃棄情報 量を分析し、これらの情報が所定の閾値を超過していると判定した場合に、ネットヮ ーク接続装置 2の配下のネットワーク 'セグメント内でワームが活動中であると検出す る。そして、ァラート生成部 115によって、検出対象とした装置の種別 (ネットワーク接 続装置を設定)、ネットワーク接続装置 2のアドレス情報、ワームが活動中すなわちヮ ームに感染されているネットワーク接続装置 2配下のネットワーク 'セグメントのァドレ ス情報を含むアラート情報を生成し、ワーム対策部 12へ渡す。

[0057] ワーム対策部 12は、ァラート解析部 121によって、ァラート生成部 115からアラート 情報を受け取り、ァラート情報によってワームに感染しているネットワーク 'セグメントを 制御する装置がネットワーク接続装置 2であることが通知されると、対策指示生成部 1 22によって、ネットワーク接続装置 2のフィルタリング部 21に対し、ワームの活動によ り生成されたトラフィックを遮断するフィルタ設定指示を送出して、ネットワーク接続装 置 2のフィルタ機能の設定を変更する。

[0058] これにより、ネットワーク接続装置 2では、自機が制御するネットワーク 'セグメントか ら他のネットワーク ·セグメントへの通信が遮断されることになり、他のネットワーク ·セ グメントへのワームの感染拡大を防止することができる。

[0059] 図 6に、本発明の実施例を示す。

[0060] ワーム監視装置 1は、複数のネットワーク 'セグメント A— Dでのワームの活動を監視 するものとし、 1台のワーム監視装置 1をセグメント D内に設置する。ネットワーク接続 装置 2はルータ、計算機 3はホスト PCとする。ネットワーク接続装置 (ルータ） 2のネット ワーク情報管理部 22および計算機 (ホスト） 3のネットワーク情報管理部 32として、 S NMP (Simple Network Management Protocol)に対応した SNMPエージェ ントを実装し、ネットワーク情報の管理情報は、 MIB (Management Information Base)情報として管理されるものとする。また、ネットワークのプロトコルとして SNMP と TCP/IPとを使用する。 [0061] ワーム監視装置 1の管理情報収集部 13は、一定間隔でネットワーク内の各ホスト 3 やルータ 2に対して問 ヽ合わせを行 ヽ、 MIB情報を収集して管理情報データベース 14に蓄積する。または、異常が検出された場合に、各ルータ 2またはホスト 3の SNM Pエージェント 22、 32から管理情報収集部 13に対して、トラップによりネットワーク情 報の管理情報 (MIB情報）が送信されるようにする。

[0062] ワーム監視装置 1において、管理情報収集部 13によって収集された MIB情報はヮ ーム検出部 11に送られる。ワーム検出部 11は、各ルータ 2およびホスト 3についてヮ ーム検出処理を行い、ワームの活動の兆候がチェックされる。ワームの活動の兆候が 検出された場合に、ワーム対策部 12へ該当するルータ 2またはホスト 3のアドレスが 渡される。

[0063] 図 7に、ワーム検出処理の処理フローを示す。

[0064] ワーム検出部 11は、 MIB情報に付加されたアドレスがルータ 2であるかホスト 3であ るかを判定する (ステップ S1)。

[0065] MIB情報のアドレスがホスト 3である場合に（ステップ SI)、 MIB情報から、 ICMP、 TCPの各情報を抽出し、分析処理を行う (ステップ S2)。そして、 MIBオブジェクトの I CMPの宛先到達不能メッセージ受信数（icmpInDestUnreachs)が継続的に増加し、 かつ、当該エンティティでのコネクション確立試行の失敗数 (tcpAttemptFails)が継続 的に増加し、かつ、 TCPコネクション状態 (tcpConnState)が接続要求送信状態（ synSent)であるエンドポイント数が複数存在するかどうかを判定する（ステップ S3)。 すべての条件が当てはまる場合に (ステップ S 3)、ワーム対策部 12に該当ホスト 3の ネットワークアドレスを通知する（ステップ S4)。

[0066] 一方、 MIB情報のアドレスがルータ 2である場合に（ステップ SI)、 MIB情報から、 I CMP、 IPの各情報を抽出し、分析処理を行う（ステップ S5)。そして、 MIBオブジェク トの ICMPの宛先到達不能メッセージ送信数（icmpOutDestUnreachs)が継続的に増 加し、かつ、宛先へのルート検出不能による廃棄 IPデータグラム数（ipOutNoRoutes) の値が継続的に増加するかどうかを判定する (ステップ S6)。すべての条件が当ては まる場合に (ステップ S6)、ワーム対策部 12に該当ルータ 2のネットワークアドレスを 通知する（ステップ S 7)。 [0067] そして、ワーム対策部 12は、ワーム対策処理を行い、ワーム検出部 11から通知さ れたホスト 3のアドレスおよび装置情報をもとに、該当するホスト 3の SNMPエージェ ント 32にルーティングエントリの削除を指示する。また、ワーム検出部 11から通知され たルータ 2のアドレスおよび装置情報をもとに、該当するルータ 2の SNMPエージェ ント 22に対して、ワームの活動による通信を遮断するようなフィルタ設定を行う。

[0068] 図 8に、ワーム対策処理の処理フローを示す。

[0069] ワーム対策部 12は、ワーム検出部 11から該当するホスト 3またはルータ 2のネットヮ ークアドレスを受け取ると（ステップ S 10)、通知されたアドレスがルータ 2であるかホス ト 3であるかを判定する（ステップ S 11)。

[0070] 通知されたアドレスがルータ 2の場合に、該当ルータのフィルタリング部（フィルタ） 2 1に、ワームのトラフィックを遮断するフィルタの設定を行う（ステップ S12)。一方、通 知されたアドレスがホスト 3の場合に、該当ホスト 3の SNMPエージェント 32に対して 、ルーティング情報の削除を指示する (ステップ S 13)。

[0071] 以上、本発明をその実施の形態および実施例により説明したが、本発明はその主 旨の範囲において種々の変形が可能であることは当然である。

[0072] 例えば、本発明は、 SNMPと TCPZIPとを使用するものとして説明した力 同様の ネットワーク管理機能を使用してもよい。例えば、 SNA (Systems Network Arch itecture： IBM社）、 FNA (Fujitsu Network Architecture)のようなパケット通 信によっても実施することができる。

[0073] また、計算機 3は、ネットワーク情報管理機能を備えたコンピュータ端末 (PC)、ホス トによって実施されると説明したが、ネットワーク情報管理機能を備える携帯端末、情 報家電、プリンタなどであればよい。

[0074] また、ワーム監視装置 1のネットワーク管理情報データベース 14は静的な記憶手段 として説明した力 メモリ上のデータであってもよい。

[0075] また、本発明は、コンピュータにより読み取られ実行されるプログラムとして実施する ものとして説明した力 本発明を実現するプログラムは、コンピュータが読み取り可能 な、可搬媒体メモリ、半導体メモリ、ハードディスクなどの適当な記録媒体に格納する ことができ、これらの記録媒体に記録して提供され、または、通信インタフェースを介 してネットワークを利用した送受信により提供されるものである。

[0076] 本発明の形態および実施例の特徴を列記すると以下のとおりである。

[0077] (付記 1) ネットワーク内の不正アクセスプログラムの活動を監視する処理方法であ つて、

計算機またはネットワーク接続装置力も収集されたネットワーク情報の管理情報を 分析して不正アクセスプログラムの活動に特有なネットワーク情報の管理情報の変化 を検出する管理情報監視過程と、

前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別 、前記不正アクセスプログラムの活動が疑われる装置のアドレス情報を含むアラート 情報を生成するァラート生成過程とを備える

不正アクセスプログラム監視処理方法。

[0078] (付記 2) 前記ネットワーク情報の管理情報を前記計算機または前記ネットワーク 接続装置からリアルタイムで収集する管理情報収集過程を備える

前記付記 1記載の不正アクセスプログラム監視処理方法。

[0079] (付記 3) 前記管理情報監視過程では、前記ネットワーク接続装置から収集された 管理情報力 送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報の送 信時量が所定の増加傾向を示す状態を前記変化として検出する

前記付記 1または付記 2のいずれかに記載の不正アクセスプログラム監視処理方法

[0080] (付記 4) 前記管理情報監視過程では、前記計算機から収集されたネットワーク情 報の管理情報力 送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報 の受信情報量が所定の増加傾向を示す状態を前記変化として検出する

前記付記 1または付記 2のいずれかに記載の不正アクセスプログラム監視処理方法

[0081] (付記 5) 前記管理情報監視過程では、前記ネットワーク接続装置から収集された 管理情報から送信先不明に伴って廃棄された情報量を抽出し、前記廃棄情報量が 所定の増加傾向を示す状態を前記変化として検出する

前記付記 1または付記 2のいずれかに記載の不正アクセスプログラム監視処理方法 [0082] (付記 6) 前記管理情報監視過程では、前記計算機から収集された管理情報を解 祈し、前記計算機においてコネクション確立中を示すエンドポイント数もしくはコネク シヨン確立失敗を示すエンドポイント数のいずれかの数値が所定の増加傾向を示す 状態を前記変化として検出する

前記付記 1または付記 2のいずれかに記載の不正アクセスプログラム監視処理方法

[0083] (付記 7) 前記アラート情報から、前記変化の検出にかかわるネットワーク情報の管 理情報が収集された装置の種別、前記不正アクセスプログラムの活動が疑われる計 算機またはネットワーク接続装置のアドレス情報を解析するァラート解析過程と、 前記装置の種別が計算機である場合に、前記アドレス情報によって特定される計 算機に対する中継情報の削除指示を生成し、前記装置の種別がネットワーク接続装 置である場合に、前記アドレス情報によって特定されるネットワーク接続装置に対す る前記不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する対策 指示生成過程と、

前記中継情報の削除指示または前記フィルタの設定指示を送信する対策指示過 程とを備える

前記付記 1または付記 2のいずれかに記載の不正アクセスプログラム監視処理方法

[0084] (付記 8) ネットワークの構成を示すネットワーク構成情報を管理するネットワーク構 成管理過程を備え、

前記対策指示生成過程は、前記ネットワーク構成情報を参照して前記不正ァクセ スプログラムの活動が疑われる計算機またはネットワーク ·セグメントまたは前記ネット ワーク ·セグメントを制御するネットワーク接続装置のアドレス情報を解析する

前記付記 7記載の不正アクセスプログラム監視処理方法。

[0085] (付記 9) ネットワーク内の不正アクセスプログラムの活動を検出する装置としてコン ピュータを機能させるためのプログラムであって、

計算機またはネットワーク接続装置力も収集されたネットワーク情報の管理情報を 蓄積するネットワーク管理情報記憶手段と、

前記管理情報を分析して不正アクセスプログラムの活動に特有なネットワーク情報 の管理情報の変化を検出する管理情報監視手段と、

前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別 、前記不正アクセスプログラムの活動が疑われる装置のアドレス情報を含むアラート 情報を生成するァラート生成手段とを備える装置として、

前記コンピュータを機能させるための不正アクセスプログラム検出プログラム。

[0086] (付記 10) 前記ネットワーク情報の管理情報を前記計算機または前記ネットワーク 接続装置からリアルタイムで収集する管理情報収集手段を備える装置として、 前記コンピュータを機能させるための前記付記 9記載の不正アクセスプログラム検 出プログラム。

[0087] (付記 11) 前記管理情報監視手段は、前記ネットワーク接続装置から収集された 管理情報力 送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報の送 信時量が所定の増加傾向を示す状態を前記変化として検出する装置として、 前記コンピュータを機能させるための前記付記 9または前記付記 10のいずれかに 記載の不正アクセスプログラム検出プログラム。

[0088] (付記 12) 前記管理情報監視手段は、前記計算機から収集されたネットワーク情 報の管理情報力 送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報 の受信情報量が所定の増加傾向を示す状態を前記変化として検出する装置として、 前記コンピュータを機能させるための前記付記 9または前記付記 10のいずれかに 記載の不正アクセスプログラム検出プログラム。

[0089] (付記 13) 前記管理情報監視手段は、前記ネットワーク接続装置から収集された 管理情報から送信先不明に伴って廃棄された情報量を抽出し、前記廃棄情報量が 所定の増加傾向を示す状態を前記変化として検出する装置として、

前記コンピュータを機能させるための前記付記 9または前記付記 10のいずれかに 記載の不正アクセスプログラム検出プログラム。

[0090] (付記 14) 前記管理情報監視手段は、前記計算機から収集された管理情報を解 祈し、前記計算機においてコネクション確立中を示すエンドポイント数もしくはコネク シヨン確立失敗を示すエンドポイント数のいずれかの数値が所定の増加傾向を示す 状態を前記変化として検出する装置として、

前記コンピュータを機能させるための前記付記 9または前記付記 10のいずれかに 記載の不正アクセスプログラム検出プログラム。

[0091] (付記 15) ネットワーク内で検出された不正アクセスプログラムを隔離する装置とし てコンピュータを機能させるためのプログラムであって、

不正アクセスプログラムの活動が疑われる装置の種類およびアドレス情報を含むァ ラート情報を受信し、前記アラート情報から、前記変化の検出にかかわるネットワーク 情報の管理情報が収集された装置の種別、前記不正アクセスプログラムの活動が疑 われる計算機またはネットワーク接続装置のアドレス情報を解析するァラート解析手 段と、

前記装置の種別が計算機である場合に、前記アドレス情報によって特定される計 算機に対する中継情報の削除指示を生成し、前記装置の種別がネットワーク接続装 置である場合に、前記アドレス情報によって特定されるネットワーク接続装置に対す る前記不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する対策 指示生成手段と、

前記中継情報の削除指示または前記フィルタの設定指示を送信する対策指示手 段とを備える装置として、

前記コンピュータを機能させるための不正アクセスプログラム対策プログラム。

[0092] (付記 16) ネットワークの構成を示すネットワーク構成情報を記憶するネットワーク 構成情報記憶手段と、

ネットワークの構成を示すネットワーク構成情報を管理するネットワーク構成管理手 段とを備え、

前記対策指示生成手段は、前記ネットワーク構成情報を参照して前記不正ァクセ スプログラムの活動が疑われる計算機またはネットワーク ·セグメントまたは前記ネット ワーク ·セグメントを制御するネットワーク接続装置のアドレス情報を解析する装置とし て、

前記コンピュータを機能させるための前記付記 15記載の不正アクセスプログラム対 策プログラム。

[0093] (付記 17) ネットワーク内の不正アクセスプログラムの活動を監視し、検出した不正 アクセスプログラムを隔離するシステムであって、

計算機またはネットワーク接続装置力も収集されたネットワーク情報の管理情報を 蓄積するネットワーク管理情報記憶手段と、

前記管理情報を分析して不正アクセスプログラムの活動に特有なネットワーク情報 の管理情報の変化を検出する管理情報監視手段と、

前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別 、前記不正アクセスプログラムの活動が疑われる装置のアドレス情報を含むアラート 情報を生成するァラート生成手段と、

前記アラート情報から、前記変化の検出にかかわるネットワーク情報の管理情報が 収集された装置の種別、前記不正アクセスプログラムの活動が疑われる計算機また はネットワーク接続装置のアドレス情報を解析するァラート解析手段と、

前記装置の種別が計算機である場合に、前記アドレス情報によって特定される計 算機に対する中継情報の削除指示を生成し、前記装置の種別がネットワーク接続装 置である場合に、前記アドレス情報によって特定されるネットワーク接続装置に対す る前記不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する対策 指示生成手段と、

前記中継情報の削除指示または前記フィルタの設定指示を送信する対策指示手 段とを備える不正アクセスプログラム監視システム。

産業上の利用可能性

[0094] 本発明は、ネットワーク管理を導入しているネットワークシステムにおいて、ネットヮ ークおよび計算機ごとに特別なソフトウェアを導入することなぐ不正アクセスを行うプ ログラムの検出および対策を実現できる。

Claims

請求の範囲

[1] ネットワーク内の不正アクセスプログラムの活動を監視する処理方法であって、 計算機またはネットワーク接続装置力も収集されたネットワーク情報の管理情報を 分析して不正アクセスプログラムの活動に特有なネットワーク情報の管理情報の変化 を検出する管理情報監視過程と、

前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別 、前記不正アクセスプログラムの活動が疑われる装置のアドレス情報を含むアラート 情報を生成するァラート生成過程とを備える

不正アクセスプログラム監視処理方法。

[2] 前記ネットワーク情報の管理情報を前記計算機または前記ネットワーク接続装置か らリアルタイムで収集する管理情報収集過程を備える

第 1項記載の不正アクセスプログラム監視処理方法。

[3] 前記管理情報監視過程では、前記ネットワーク接続装置から収集された管理情報 力 送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報の送信時量が 所定の増加傾向を示す状態を前記変化として検出する

第 1項または第 2項のいずれかに記載の不正アクセスプログラム監視処理方法。

[4] 前記管理情報監視過程では、前記計算機から収集されたネットワーク情報の管理 情報力 送信先不明に伴うエラー通知情報を抽出し、前記エラー通知情報の受信情 報量が所定の増加傾向を示す状態を前記変化として検出する

第 1項または第 2項のいずれかに記載の不正アクセスプログラム監視処理方法。

[5] 前記管理情報監視過程では、前記ネットワーク接続装置から収集された管理情報 力 送信先不明に伴って廃棄された情報量を抽出し、前記廃棄情報量が所定の増 加傾向を示す状態を前記変化として検出する

第 1項または第 2項のいずれかに記載の不正アクセスプログラム監視処理方法。

[6] 前記管理情報監視過程では、前記計算機から収集された管理情報を解析し、前記 計算機においてコネクション確立中を示すエンドポイント数もしくはコネクション確立 失敗を示すエンドポイント数のいずれかの数値が所定の増加傾向を示す状態を前記 変化として検出する 第 1項または第 2項のいずれかに記載の不正アクセスプログラム監視処理方法。

[7] 前記アラート情報から、前記変化の検出にかかわるネットワーク情報の管理情報が 収集された装置の種別、前記不正アクセスプログラムの活動が疑われる計算機また はネットワーク接続装置のアドレス情報を解析するァラート解析過程と、

前記装置の種別が計算機である場合に、前記アドレス情報によって特定される計 算機に対する中継情報の削除指示を生成し、前記装置の種別がネットワーク接続装 置である場合に、前記アドレス情報によって特定されるネットワーク接続装置に対す る前記不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する対策 指示生成過程と、

前記中継情報の削除指示または前記フィルタの設定指示を送信する対策指示過 程とを備える

第 1項または第 2項のいずれかに記載の不正アクセスプログラム監視処理方法。

[8] ネットワークの構成を示すネットワーク構成情報を管理するネットワーク構成管理過 程を備え、

前記対策指示生成過程は、前記ネットワーク構成情報を参照して前記不正ァクセ スプログラムの活動が疑われる計算機またはネットワーク ·セグメントまたは前記ネット ワーク ·セグメントを制御するネットワーク接続装置のアドレス情報を解析する

第 7項記載の不正アクセスプログラム監視処理方法。

[9] ネットワーク内の不正アクセスプログラムの活動を検出する装置としてコンピュータを 機能させるためのプログラムであって、

計算機またはネットワーク接続装置力も収集されたネットワーク情報の管理情報を 蓄積するネットワーク管理情報記憶手段と、

前記管理情報を分析して不正アクセスプログラムの活動に特有なネットワーク情報 の管理情報の変化を検出する管理情報監視手段と、

前記変化の検出にかかわるネットワーク情報の管理情報が収集された装置の種別 、前記不正アクセスプログラムの活動が疑われる装置のアドレス情報を含むアラート 情報を生成するァラート生成手段とを備える装置として、

前記コンピュータを機能させるための不正アクセスプログラム検出プログラム。 ネットワーク内で検出された不正アクセスプログラムを隔離する装置としてコンビュ ータを機能させるためのプログラムであって、

不正アクセスプログラムの活動が疑われる装置の種類およびアドレス情報を含むァ ラート情報を受信し、前記アラート情報から、前記変化の検出にかかわるネットワーク 情報の管理情報が収集された装置の種別、前記不正アクセスプログラムの活動が疑 われる計算機またはネットワーク接続装置のアドレス情報を解析するァラート解析手 段と、

前記装置の種別が計算機である場合に、前記アドレス情報によって特定される計 算機に対する中継情報の削除指示を生成し、前記装置の種別がネットワーク接続装 置である場合に、前記アドレス情報によって特定されるネットワーク接続装置に対す る前記不正アクセスプログラムの通信を遮断するフィルタの設定指示を生成する対策 指示生成手段と、

前記中継情報の削除指示または前記フィルタの設定指示を送信する対策指示手 段とを備える装置として、

前記コンピュータを機能させるための不正アクセスプログラム対策プログラム。