JP4084317B2 - ワーム検出方法 - Google Patents
ワーム検出方法 Download PDFInfo
- Publication number
- JP4084317B2 JP4084317B2 JP2004038279A JP2004038279A JP4084317B2 JP 4084317 B2 JP4084317 B2 JP 4084317B2 JP 2004038279 A JP2004038279 A JP 2004038279A JP 2004038279 A JP2004038279 A JP 2004038279A JP 4084317 B2 JP4084317 B2 JP 4084317B2
- Authority
- JP
- Japan
- Prior art keywords
- worm
- infected
- information
- response information
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークにおいて、不正に機器に感染するワームを検出及び防御する方法に関するものである
インターネット等のパブリックなIPネットワークの普及に伴い、ネットワークを経由して感染及び増殖するワームの問題が生じている。このワームにより、不正盗聴、破壊、改竄等が行われる脅威や、ネットワーク、サーバ等に異常負荷が与えられ、ネットワーク機器やサーバシステム等を事実上動作不能にする脅威も急増している。
そのため、これらの脅威に対処するため、ネットワークに流れるデータの内容や送信元のユーザ権限により通信を制御するアクセス制御方式が採用されている。この制御方式は、一般に、ファイヤウォールの機能をパケット処理装置に実装して実現するものである。このパケット処理装置は、インターネット等の外部ネットワークとイントラネット等の内部ネットワークとの境界に設置され、セキュリティポリシーに従った必要最小限の通信データのみを通過させるアクセス制御を行うように構成されている。
ファイヤウォールが行うアクセス制御機能には、IPフィルタリングによるIPレベルでのアクセス制御機能、TCP(Transport Control Protocol)レベルでのTCPポート毎のアクセス制御機能、通信の内容に応じてアクセス制御を行うアプリケーションレベルでのアクセス制御機能がある。これらの機能を備えた通信システムでは、通信の種別、内容及び方向により、通信のアクセスを制御することが可能となる。また、セキュリティポリシーに基づいた設計でアクセス制御方式を決定すると共にアクセス制御の各種パラメータを規定し、ファイヤウォール機能を有するパケット処理装置にこれらのパラメータを設定することにより、セキュリティポリシーに従ったネットワークの運用を行うことが可能となる。
しかし、上記のファイヤウォール機能では、セキュリティポリシーに従った通信データについて、パケット処理装置がネットワークの通過を許可してしまうため、この通過が許可された通信サービスを悪用することが可能になる。従って、このパケット処理装置では、ワームの攻撃を完全に分別することは困難であるという問題があった(特許文献1を参照。)。
この問題に対処するために、IDS(Intrusion Detection System)として知られている、不正侵入の検知を目的としたセキュリティ監視装置が一般に採用されている。この監視装置は、ファイヤウォールを通過する全ての通信データを監視し、不正な通信の有無を常時監視する方式を採用している。例えば、既知の侵入の不正行為に関するデータをデータベース化し、受信データとデータベースに予め記憶された不正データとを比較し、両者が一致する場合に、トラヒックシェーピングによって不正アクセスのトラヒックを減少させるネットワークアタック制御システムを実現する(非特許文献1を参照)。
しかし、このような知識ベースのIDSでは、過去の攻撃データに基づいて不正アクセスを検知するため、未知の攻撃を阻止することが困難であるという問題があった。これに対して、未知の攻撃を検知可能な振る舞いベースのIDSが存在する(非特許文献2を参照。)。しかし、振る舞いベースのIDSでは、通常状態の定義が難しいため手法として確立しておらず、検知率が上がらないという問題があった。
本発明は、上記の問題を解決するためになされたものであり、その目的は、未知のワームにより発生したトラフィックと通常のトラフィックとの区別を人手によらず自動的に行い、ワームにより発生したトラフィックのみを検出し、その発生源を特定することが可能なワーム検出方法を提供することにある。
本発明は、ワームがネットワーク上に送出した情報に対するネットワーク上の通信機器からの応答情報を観測することにより、ワームを検出することを特徴とする。従来はワームが送出する情報のみを検査対象としているのに対し、本発明は応答情報を検査対象としている点において相違する。
以下、応答情報の観測によりワームを検出する原理について説明する。ワームは、ネットワーク上の機器に感染し増殖する機能を有する。これは、通常のプログラムには存在しない機能であるため、この機能の有無によって正規なプログラムとワームが感染したプログラムとを分別することが可能となる。ワームが他の機器に対して感染を行うには、その機器のIPアドレスを知り、そのIPアドレスの機器に対して感染を行うための情報を送出する必要がある。この場合、従来は、この感染を行う情報のパケットを検出することを主眼としており、既知のワーム情報に基づいてこの感染を行うパケットを検出するようになっていた。従って、未知のワームによる感染を行うパケットの検出は、そのパケットの特徴も未知であるため、困難であった。
ワームは、感染可能な機器のIPアドレスや、実際に使用されているIPアドレスのリストを容易に取得することはできないが、感染対象のIPアドレスのリストをプログラムにより自動生成することができる。これにより生成されたリストのIPアドレスには、実際に使用されていないIPアドレスを多数含んでいる。従って、ワームは、自動生成したIPアドレスの宛先に感染を行うパケットを送出するが、その宛先の多数は存在しないため、送出したパケットの多数は宛先まで到達することはない。
これに対し、通常のプログラムでは、メールアドレスやURL等を用いてより上位のレイヤで通信相手を特定して通信を行うため、送出したパケットの宛先アドレスが存在しない確率はワームのそれに比べて極めて低い。
これにより、存在しないIPアドレスの機器に対して大量に通信を行うプログラムはワームであると判断することが可能となる。パケットの送出に対して、その宛先であるIPアドレスの機器が存在した場合と存在しなかった場合とでは、ネットワークにおいて応答の違いが顕著に現れる。そこで、ワームが送出したパケットを観測するのではなく、その応答を観測することにより、ワームの検出が可能となる。
上記目的を達成するために、請求項1の発明は、ワームに感染した感染機器と、ネットワーク上で何らかの機能を有する0台以上の対象機器と、ワームの感染を検出する検出機器とがネットワークに接続され、前記検出機器が、感染機器から送出された情報に対する応答情報を観測し、前記応答情報の観測に基づいて、ワームに感染した感染機器を特定するワーム検出方法であって、前記検出機器が、感染機器から送出された情報に対して到達すべき宛先が存在しないことを示す宛先到達不可能の応答情報を検出するステップと、当該応答情報を検出した場合に、対象機器が存在することを示すダミーの応答情報を前記感染機器へ返答するステップと、前記感染機器からダミーの応答情報に基づいて送出された情報を検出し、記録するステップとを有することを特徴とする。ここで、ワームは、一般に、ネットワーク機器内のハードウェアやソフトウェアに寄生し、自らの複製をネットワークを介して複写し自己増殖を行なうソフトウェアである。また、ワームに感染した感染機器はハードウェア及びソフトウェアを含み、ワームの感染を検出する検出機器もハードウェア及びソフトウェアを含む概念である。
請求項2の発明は、請求項1に記載のワーム検出方法において、前記検出機器が、特定した感染機器から送出される情報に対して、フィルタリング、リダイレクション、情報量観測、帯域制御または記録のうちの少なくとも1つを行うように、ネットワーク上の通信機器に指示し、当該通信機器にワームの感染を防止させるステップを有することを特徴とする。
請求項3の発明は、ワームに感染した感染機器と、ネットワーク上で何らかの機能を有する0台以上の対象機器と、ワームの感染を検出する検出機器とがネットワークに接続され、前記検出機器が、感染機器から送出された情報に対する応答情報を観測し、前記応答情報の観測に基づいて、ワームに感染した感染機器を特定するワーム検出方法であって、前記検出機器が、感染機器から送出された情報に対する応答情報を、中継するネットワーク経路上の機器から当該検出機器へ転送させるステップと、前記転送された応答情報の中から、到達すべき宛先が存在しないことを示す宛先到達不可能の第1の応答情報を検出するステップと、当該検出した第1の応答情報の数に基づいて、感染機器を第1の応答情報の宛先と特定するステップと、特定した感染機器から送出された情報を、中継するネットワーク経路上の通信機器から当該検出機器へ転送させるステップと、前記転送された情報を記録し、当該情報を本来の宛先へ転送するステップと、前記情報に対して到達すべき宛先が存在しないことを示す宛先到達不可能の第2の応答情報を検出するステップと、前記第2の応答情報を検出した場合に、対象機器が存在することを示すダミーの応答情報を前記特定した感染機器へ返答するステップと、前記特定した感染機器からダミーの応答情報に基づいて送出された情報を検出し、記録するステップとを有することを特徴とする。
請求項4の発明は、請求項3に記載のワーム検出方法において、前記検出機器が、特定した感染機器から送出される情報に対して、フィルタリング、リダイレクション、情報量観測、帯域制御または記録のうちの少なくとも1つを行うように、ネットワーク上の通信機器に指示し、当該通信機器にワームの感染を防止させるステップを有することを特徴とする。
請求項5の発明は、請求項3または4に記載のワーム検出方法において、前記感染機器から送出された情報をTCPによるSynパケットとし、前記第1および第2の応答情報をICMPによるタイプ3の宛先到達不可能メッセージのパケットとし、前記ダミーの応答情報をTCPによるSyn及びAckパケットとすることを特徴とする。
本発明によれば、ネットワーク上にトラフィックを発生するワームの発生源を、ワームに対する応答情報を観測することにより自動的に特定するようにした。これにより、既知のワームだけでなく新たな未知のワームの検出も可能となる。また、ワームが送出する情報をフィルタリング等することにより、ワームの感染拡大を自動的に防御することが可能となる。
以下、本発明の実施の形態について、図面を参照して説明する。
図1は、本発明のワーム検出方法及びワーム防御方法が適用されるネットワークを説明する概略構成図である。この通信システムは、サーバ11、ルータ12〜15及びユーザ端末16を備えている。サーバ11及びルータ12,13は、ネットワーク10を介して接続される。ユーザ端末16とルータ14とは、ルータ15、ルータ12、ネットワーク10及びルータ13を介して接続される。また、ユーザ端末16は、ワームに感染しているものとし、ルータ14は、ユーザ端末16のワームにより送出される通信データの宛先までの系路上に存在するものとする。本発明のワーム検出方法及び防御方法は、サーバ11、ルータ12及びルータ13により実現される。以下、図1に示した通信システムを具現化した実施例を用いて、本発明のワーム検出方法及びワーム防御方法について具体的に説明する。
図1は、本発明のワーム検出方法及びワーム防御方法が適用されるネットワークを説明する概略構成図である。この通信システムは、サーバ11、ルータ12〜15及びユーザ端末16を備えている。サーバ11及びルータ12,13は、ネットワーク10を介して接続される。ユーザ端末16とルータ14とは、ルータ15、ルータ12、ネットワーク10及びルータ13を介して接続される。また、ユーザ端末16は、ワームに感染しているものとし、ルータ14は、ユーザ端末16のワームにより送出される通信データの宛先までの系路上に存在するものとする。本発明のワーム検出方法及び防御方法は、サーバ11、ルータ12及びルータ13により実現される。以下、図1に示した通信システムを具現化した実施例を用いて、本発明のワーム検出方法及びワーム防御方法について具体的に説明する。
図2は、本発明の第1の実施例を説明するための通信システムの概略構成図である。この通信システムは、ユーザ端末21〜24、スイッチ25及びサーバ26を備えている。ユーザ端末21〜24とサーバ26とは、スイッチ25を介して接続される。スイッチ25は、スイッチング動作を行ってユーザ端末21〜24及びサーバ26を接続し、サーバ26は、スイッチ25のミラーポートに接続されている。また、図示しないユーザ端末を含めた全てのユーザ端末において、ユーザ端末21は、ワームに感染しており、他のユーザ端末等への感染活動を開始しているものとする。
ユーザ端末21上のワームは、他のユーザ端末やサーバ等に対して感染を行うため、プログラムにより、感染対象となるユーザ端末等のアドレスを作成し、当該作成したアドレスのユーザ端末等に対し、感染を行うための情報を含む通信データを送出する。ここで、感染対象となるユーザ端末等が同一のIPサブネット上に存在する場合には、そのユーザ端末等のIPアドレスに対応するMACアドレスを知る必要がある。そのため、ユーザ端末21は、ARP(Adress Resolution Protocol/アドレス解決プロトコル)要求をスイッチ25に送出する。このARP要求は、ブロードキャスト通信要求であるため、スイッチ25を経由して、当該スイッチ25に接続されているユーザ端末22〜25及びサーバ26に送出される。
同一サブネット上に感染対象となるユーザ端末等のIPアドレスを有するホストが存在する場合には、そのユーザ端末等のホストは、ARP要求を受信し、これに対応するARP応答を返答する。これに対して、同一サブネット上に感染対象となるユーザ端末等のIPアドレスを有するホストが存在しない場合には、ARP応答の返答は無い。
サーバ26は、スイッチ25のミラーポートに接続されているため、ARP要求だけでなくARP応答も観測することができる。そこで、サーバ26は、同一のサブネット上に送出されるARP要求と、この要求に対応するARP応答とを観測し、対となるARP応答が無いARP要求を記録する。サーバ26は、対となるARP応答が無いARP要求の数をカウントし、当該カウント値と予め定められた設定値とを比較し、カウント値が設定値以上になったことを判断した場合には、そのARP要求の送信元であるユーザ端末をワームに感染したユーザ端末であると判定し、当該判定結果を記録し、ネットワーク管理者へ通知する。
図3は、本発明の第2の実施例を説明するための通信システムの概略構成図である。この通信システムは、ユーザ端末31〜34、スイッチ35〜37及びサーバ38を備えている。ユーザ端末31,32とサーバ38とは、スイッチ36、スイッチ35及びスイッチ37を介して接続される。ユーザ端末33,34とサーバ38とは、スイッチ37を介して接続される。スイッチ35〜37は、スイッチング動作を行ってユーザ端末31〜34及びサーバ38を接続する。サーバ38は、図2に示した実施例1と異なり、必ずしもスイッチ37のミラーポートに接続されている必要はない。また、ユーザ端末31は、ワームに感染しており、他のユーザ端末等への感染活動を開始しているものとする。
ユーザ端末31上のワームは、他のユーザ端末やサーバ等に対して感染を行うため、プログラムにより、感染対象となるユーザ端末等のアドレスを作成し、当該作成したアドレスのユーザ端末等に対し、感染を行うための情報を含む通信データを送出する。ここで、感染対象となるユーザ端末等が同一のIPサブネット上に存在する場合には、そのユーザ端末等のIPアドレスに対応するMACアドレスを知る必要がある。そのため、ユーザ端末31は、ARP要求をスイッチ36に送出する。このARP要求は、ブロードキャスト通信要求であるため、スイッチ36を経由してユーザ端末32に送出されると共に、スイッチ36、スイッチ35及びスイッチ37を経由して、ユーザ端末33,34及びサーバ38にも送出される。
サーバ38は、ブロードキャストのARP要求を受信すると、そのARP要求の宛先と同一の宛先に対して、スイッチ37経由でARP要求を新たに送出する。これにより、同一サブネット上の何れかのユーザ端末がARP応答を感染ホストであるユーザ端末31に返答した場合には、そのユーザ端末は、サーバ38により送出された新たなARP要求を受信し、サーバ38にもARP応答を返答することになる。逆に、同一サブネット上の全てのユーザ端末がARP応答を感染ホストであるユーザ端末31に返答しない場合には、新たなARP要求に対してサーバ38にもARP応答を返答しない。
ユーザ端末31により送出されるARP要求はブロードキャスト通信要求であるから、サーバ38は、ユーザ端末31により送出される全てのARP要求を受信することができる。しかし、これに対する全てのARP応答を必ずしも受信するはできない。従って、サーバ38は、自らが送出した新たなARP要求と、この要求に対応するARP応答とを観測し、対となるARP応答が無いARP要求を記録する。サーバ38は、対となるARP応答が無いARP要求の数をカウントし、当該カウント値と予め定められた設定値とを比較し、カウント値が設定値以上になったことを判断した場合には、そのARP要求の送信元であるユーザ端末をワームに感染したユーザ端末であると判定し、当該判定結果を記録し、ネットワーク管理者へ通知する。
本実施例2において、同一サブネット上に複数のサーバが存在する場合には、各サーバは、他のサーバにより送出された新たなARR要求を受信すると、さらに新たなARP要求を送出し、このARP要求に対するARP応答がない場合には、ARP要求の送信元である他のサーバがワームに感染しているものと誤って判定してしまう可能性がある。このような誤判定を避けるため、各サーバは、互いにワーム検出機能を備えたサーバであることを識別する手段が必要になる。すなわち、各サーバは、ワーム検出機能を備えたサーバからARP要求を受信したことを判断し、更に新たなARP要求を送出しないようにすることにより、誤判定を避けることができる。
また、IPレイヤで中継するルータ等の装置により送出されるARP要求は、ルータを経由するトラフィックによって引き起こされるものが大半である。ワームに感染したユーザ端末から送出された通信データが、サーバが接続されているサブネットに接続されているルータを経由して到着している場合には、当該通信データに対応するARP要求はルータから送出されることになり、サーバは、そのルータがワームに感染していると誤って判定してしまう可能性がある。この場合、サーバは、誤検出される可能性のあるルータのアドレスを予め設定しておき、ワームの感染元からそのルータを除外することにより、誤判定を避けることができる。
図4は、本発明の第3の実施例を説明するための通信システムの概略構成図である。この通信システムは、ユーザ端末41、ルータ42,43及びファイヤウォール45を備えている。ファイヤウォール45とルータ43とは、ネットワーク44を介して接続され、ユーザ端末41とルータ43とは、ルータ42、ファイヤウォール45及びネットワーク44を介して接続される。また、図示しないユーザ端末を含めた全てのユーザ端末において、ユーザ端末41は、ワームに感染しており、他のユーザ端末等への感染活動を開始しているものとする。
ユーザ端末41上のワームは、他のユーザ端末やサーバ等に対して感染を行うため、プログラムにより、感染対象となるユーザ端末等のアドレスを作成し、当該作成したアドレスのユーザ端末等に対し、感染を行うための情報を含む通信データを送出する。ここで、感染対象となるユーザ端末等が他のIPサブネット上に存在する場合には、ルータ42を経由して通信データを送出する。
この通信データは、ルータ42、ファイヤウォール45及びネットワーク44を経由してルータ43に到着する。ここで、ルータ43は、ユーザ端末41により送出された通信データの宛先への経路が存在しないと判断できる、経路上の最初のルータであるとする。ルータ43は、ユーザ端末41により送出された通信データを受信し、当該通信データの宛先への経路が存在しないことを判断すると、宛先到達不可能(ICMP(Internet Control Message Protocol) Destination Unreachable)メッセージをユーザ端末41へ送信する。この宛先到達不可能メッセージは、ネットワーク44を経由してファイヤウォール45に到着する。
ファイヤウォール45は、通過する宛先到達不可能メッセージを監視し、記録する。すなわち、ファイヤウォール45は、通過する宛先到達不可能メッセージの数をカウントし、当該カウント値と予め定められた設定値とを比較し、カウント値が設定値以上になったことを判断した場合には、その宛先到達不可能メッセージの宛先であるユーザ端末をワームに感染したユーザ端末であると判定し、当該判定結果を記録し、ネットワーク管理者へ通知する。また、ファイヤウォール45は、ワームに感染していると判定したユーザ端末から送出される通信データ等のパケットを廃棄(フィルタリング)し、他のユーザ端末等に対するワームの感染を防ぐ。
図5は、本発明の第4の実施例を説明するための通信システムの概略構成図である。この通信システムは、ユーザ端末51、ルータ52〜55及びサーバ57を備えている。ルータ53,54及びサーバ57は、ネットワーク56を介して接続される。ユーザ端末51とルータ55とは、ルータ52、ルータ53、ネットワーク56及びルータ54を介して、ユーザ端末51とサーバ57とは、ルータ52、ルータ53及びネットワーク56を介して、ルータ55とサーバ57とは、ルータ54及びネットワーク56を介してそれぞれ接続される。また、図示しないユーザ端末を含めた全てのユーザ端末において、ユーザ端末51は、ワームに感染しており、他のユーザ端末等への感染活動を開始しているものとする。また、ルータ53,54は、ネットワーク56に送出するパケットのうち、宛先到達不可能メッセージを含むICMPパケットをその宛先アドレスにかかわらず、サーバ57へ転送(リダイレクション)するように設定されているものとする。
ユーザ端末51上のワームは、他のユーザ端末やサーバ等に対して感染を行うため、プログラムにより、感染対象となるユーザ端末等のアドレスを作成し、当該作成したアドレスのユーザ端末等に対し、感染を行うための情報を含む通信データを送出する。ここで、感染対象となるユーザ端末等が他のIPサブネット上に存在する場合には、ルータ52を経由して通信データを送出する。
この通信データは、ルータ52,53、ネットワーク56及びルータ54を経由して、ルータ55に到着する。ここで、ルータ55は、ユーザ端末51により送出された通信データの宛先への経路が存在しないと判断できる、経路上の最初のルータであるとする。ルータ55は、ユーザ端末51により送出された通信データを受信し、当該通信データの宛先への経路が存在しないと判断すると、ICMPによる宛先到達不可能メッセージをユーザ端末51へ送信する。この宛先到達不可能メッセージがルータ54に到着すると、ルータ54は、予めなされた設定に従って、当該メッセージをネットワーク56を経由してサーバ57へ転送する。
サーバ57は、宛先到達不可能メッセージを受信すると、当該メッセージを記録し、本来の宛先であるユーザ端末51へ転送する。宛先到達不可能メッセージは、ネットワーク56、ルータ53及びルータ52を経由してユーザ端末51に到着する。サーバ57は、宛先到達不可能メッセージの受信を監視し、記録する。すなわち、サーバ57は、本来の宛先に転送する宛先到達不可能メッセージの数をカウントし、当該カウント値と予め定められた設定値とを比較し、カウント値が設定値以上になったことを判断した場合には、その宛先到達不可能メッセージの宛先であるユーザ端末をワームに感染したユーザ端末であると判定し、当該判定結果を記録し、ネットワーク管理者へ通知する。また、サーバ57は、ワームに感染していると判定したユーザ端末から送出される通信データ等のパケットを廃棄するように、ルータ53,54へ指示する。ルータ53,54は、そのユーザ端末により送出されたパケットを廃棄することにより、他のユーザ端末等に対するワームの感染を防ぐ。
尚、上記実施例では、ルータ53,54は、ICMPパケットをサーバ57へ転送するようにしたが、ICMPパケットの中から、タイプ3の宛先到達不可能メッセージ(Type3 Destination Unreachable)を識別し、当該メッセージのみをサーバ57へ転送するようにしてもよい。この場合、サーバ57は、タイプ3の宛先到達不可能メッセージの数をカウントし、当該カウント値と予め定められた設定値とを比較し、カウント値が設定値以上になったことを判断した場合には、そのタイプ3の宛先到達不可能メッセージの宛先であるユーザ端末をワームに感染したユーザ端末であると判定し、当該判定結果を記録し、ネットワーク管理者へ通知する。また、サーバ57は、ワームに感染していると判定したユーザ端末から送出される通信データ等のパケットを廃棄するように、ルータ53,54へ指示する。ルータ53,54は、そのユーザ端末により送出されたパケットを廃棄することにより、他のユーザ端末等に対するワームの感染を防ぐ。
次に、上記の実施例4を基本とした変形例について説明する。サーバ57は、上記のように、宛先到達不可能メッセージを受信し、ユーザ端末51を当該メッセージの本来の宛先であると判断した場合、送信元がユーザ端末51である全てのパケットをサーバ57に転送するように、ルータ53,54へ指示する。ユーザ端末51上のワームが感染を行うための情報を含む通信データを送出すると、ルータ53は、受信した通信データを、本来の宛先に送信しないで、ネットワーク56を経由してサーバ57へ転送する。
サーバ57は、受信した通信データを記録し、ネットワーク56を経由して通信データを本来の宛先へ転送する。ルータ54は、当該通信データに対するICMPによる宛先到達不可能メッセージを受信した場合には、本来の宛先であるユーザ端末51へ送信しないで、サーバ57へ転送する。サーバ57は、当該メッセージを記録する。
サーバ57は、宛先到達不可能メッセージに対応する通信データ(ユーザ端末51により送出された通信データ)がTCPによる通信データであったと判断した場合には、宛先到達不可能メッセージを本来の宛先であるユーザ端末51へ転送しないで、TCPによる通信データに対する正常な応答情報を含む通信データをユーザ端末51に返答するようにしてもよい。この場合、ユーザ端末51は、既に送出した通信データの宛先が存在していると判断し、更に、ワームの感染を行う情報を含む通信データをその宛先へ送出する可能性が高い。サーバ57は、ユーザ端末51により送出され、ルータ53により転送された通信データを引き続き受信し、記録する。これにより、サーバ57は、ワームに感染したユーザ端末51が送出した情報を記録することが可能となり、その情報に基づいてワームの解析や防御を行うことが可能となる。
上記に説明したサーバ11、サーバ26、サーバ38、ファイヤウォール45、サーバ57は、中央処理装置(Central Processing Unit/CPU)、RAM等の揮発性の記憶媒体、ROM(Read Only Memory)等の不揮発性の記憶媒体、キーボード等の入力装置、データを表示するモニタ装置、及び外部の装置と通信をするためのインターフェースを備えたコンピュータ装置によって構成される。サーバ11、サーバ26、サーバ38、ファイヤウォール45、サーバ57の各機能は、当該機能を記述したプログラムをCPUに実行させることにより実現される。また、これらのプログラムは、磁気ディスク(フロッピィーディスク、ハードディスク等)、光ディスク(CD−ROM、DVD等)、半導体メモリ等の記憶媒体に格納して頒布することもできる。
以上、実施例を挙げて本発明を説明したが、本発明は上記実施例に限定されるものではなく、本発明の精神及び意図を逸脱しない限り、種々変形が可能である。例えば、上記実施例では、ワームの感染を防御するために、ワームの感染を行うパケットを廃棄、転送または記録するようにしたが、ワームの感染を防御する手段はこれに限定されるものではない。例えば、ワームの感染を行うパケットの量を観測(流量観測)したり、帯域制御したりする手段であってもよい。流量制御する場合には、ワームに関してさらに詳細な調査が可能となる。また、帯域制御する場合には、例えば帯域を変更したり狭めたりすることにより、ワームの感染スピードを制御することが可能となる。
10,44,56 ネットワーク
11,26,38,57 サーバ
12〜15,42,43,52〜55 ルータ
16,21〜24,31〜34,41,51 ユーザ端末
25,35〜37 スイッチ
45 ファイヤウォール
11,26,38,57 サーバ
12〜15,42,43,52〜55 ルータ
16,21〜24,31〜34,41,51 ユーザ端末
25,35〜37 スイッチ
45 ファイヤウォール
Claims (5)
- ワームに感染した感染機器と、ネットワーク上で何らかの機能を有する0台以上の対象機器と、ワームの感染を検出する検出機器とがネットワークに接続され、前記検出機器が、感染機器から送出された情報に対する応答情報を観測し、前記応答情報の観測に基づいて、ワームに感染した感染機器を特定するワーム検出方法であって、
前記検出機器が、感染機器から送出された情報に対して到達すべき宛先が存在しないことを示す宛先到達不可能の応答情報を検出するステップと、
当該応答情報を検出した場合に、対象機器が存在することを示すダミーの応答情報を前記感染機器へ返答するステップと、
前記感染機器からダミーの応答情報に基づいて送出された情報を検出し、記録するステップとを有することを特徴とするワーム検出方法。 - 請求項1に記載のワーム検出方法において、
前記検出機器が、特定した感染機器から送出される情報に対して、フィルタリング、リダイレクション、情報量観測、帯域制御または記録のうちの少なくとも1つを行うように、ネットワーク上の通信機器に指示し、当該通信機器にワームの感染を防止させるステップを有することを特徴とするワーム検出方法。 - ワームに感染した感染機器と、ネットワーク上で何らかの機能を有する0台以上の対象機器と、ワームの感染を検出する検出機器とがネットワークに接続され、前記検出機器が、感染機器から送出された情報に対する応答情報を観測し、前記応答情報の観測に基づいて、ワームに感染した感染機器を特定するワーム検出方法であって、
前記検出機器が、
感染機器から送出された情報に対する応答情報を、中継するネットワーク経路上の機器から当該検出機器へ転送させるステップと、
前記転送された応答情報の中から、到達すべき宛先が存在しないことを示す宛先到達不可能の第1の応答情報を検出するステップと、
当該検出した第1の応答情報の数に基づいて、感染機器を第1の応答情報の宛先と特定するステップと、
特定した感染機器から送出された情報を、中継するネットワーク経路上の通信機器から当該検出機器へ転送させるステップと、
前記転送された情報を記録し、当該情報を本来の宛先へ転送するステップと、
前記情報に対して到達すべき宛先が存在しないことを示す宛先到達不可能の第2の応答情報を検出するステップと、
前記第2の応答情報を検出した場合に、対象機器が存在することを示すダミーの応答情報を前記特定した感染機器へ返答するステップと、
前記特定した感染機器からダミーの応答情報に基づいて送出された情報を検出し、記録するステップとを有することを特徴とするワーム検出方法。 - 請求項3に記載のワーム検出方法において、
前記検出機器が、特定した感染機器から送出される情報に対して、フィルタリング、リダイレクション、情報量観測、帯域制御または記録のうちの少なくとも1つを行うように、ネットワーク上の通信機器に指示し、当該通信機器にワームの感染を防止させるステップを有することを特徴とするワーム検出方法。 - 請求項3または4に記載のワーム検出方法において、
前記感染機器から送出された情報をTCPによるSynパケットとし、前記第1および第2の応答情報をICMPによるタイプ3の宛先到達不可能メッセージのパケットとし、前記ダミーの応答情報をTCPによるSyn及びAckパケットとすることを特徴とするワーム検出方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004038279A JP4084317B2 (ja) | 2004-02-16 | 2004-02-16 | ワーム検出方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004038279A JP4084317B2 (ja) | 2004-02-16 | 2004-02-16 | ワーム検出方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005228230A JP2005228230A (ja) | 2005-08-25 |
| JP4084317B2 true JP4084317B2 (ja) | 2008-04-30 |
Family
ID=35002872
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004038279A Expired - Fee Related JP4084317B2 (ja) | 2004-02-16 | 2004-02-16 | ワーム検出方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4084317B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101345643B (zh) * | 2007-07-09 | 2011-09-21 | 珠海金山软件有限公司 | 对网络设备进行预警的方法及装置 |
| JP5328283B2 (ja) * | 2008-10-07 | 2013-10-30 | Kddi株式会社 | 情報処理装置、プログラム、および記録媒体 |
| JP5286018B2 (ja) * | 2008-10-07 | 2013-09-11 | Kddi株式会社 | 情報処理装置、プログラム、および記録媒体 |
| US10063348B2 (en) | 2013-07-30 | 2018-08-28 | Mitsubishi Electric Corporation | Retransmission data processing device, retransmission data communication device, retransmission data communication system, retransmission data processing method, retransmission data communication method, and non-transitory computer readable medium for detecting abnormality by comparing retransmission data to transmission data |
-
2004
- 2004-02-16 JP JP2004038279A patent/JP4084317B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005228230A (ja) | 2005-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| US10587636B1 (en) | System and method for bot detection | |
| US8204984B1 (en) | Systems and methods for detecting encrypted bot command and control communication channels | |
| US8438241B2 (en) | Detecting and protecting against worm traffic on a network | |
| US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
| Weaver et al. | Very fast containment of scanning worms, revisited | |
| KR100663546B1 (ko) | 악성 봇 대응 방법 및 그 시스템 | |
| US9088581B2 (en) | Methods and apparatus for authenticating an assertion of a source | |
| US8117657B1 (en) | Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming | |
| US20060212572A1 (en) | Protecting against malicious traffic | |
| US20040047356A1 (en) | Network traffic monitoring | |
| US7617533B1 (en) | Self-quarantining network | |
| WO2003032571A1 (en) | Method and apparatus for providing node security in a router of a packet network | |
| JP2006319982A (ja) | 通信ネットワーク内ワーム特定及び不活化方法及び装置 | |
| EP1595193B1 (en) | Detecting and protecting against worm traffic on a network | |
| US20040250158A1 (en) | System and method for protecting an IP transmission network against the denial of service attacks | |
| WO2002025402A2 (en) | Systems and methods that protect networks and devices against denial of service attacks | |
| WO2003050644A2 (en) | Protecting against malicious traffic | |
| EP1461704B1 (en) | Protecting against malicious traffic | |
| JP4084317B2 (ja) | ワーム検出方法 | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| JP2005005927A (ja) | ネットワークシステムと不正アクセス制御方法およびプログラム | |
| KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
| JP2008165601A (ja) | 通信監視システム、通信監視装置、及び通信制御装置 | |
| KR20070114155A (ko) | 네트워크 공격 검출 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060405 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20070615 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070615 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071107 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071120 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080117 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080214 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110222 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110222 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120222 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130222 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |