ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ
【課題】各コンピュータの処理量を軽減してワームの感染源とその経路を特定することを可能とするワーム感染源特定システム等を提供する。
【解決手段】
エージェントコンピュータ21他が、通信パケットを検査して通信ログ一時テーブルとして記録するパケット検査手段251と、ワームによる通信を検出する条件とこれに対応するシグネチャIDを記憶するシグネチャ管理テーブル261と、通信ログ一時テーブルの内容の中から発信元、宛先ネットワーク、シグネチャIDが同一である通信を集約する通信ログ集約手段202〜203と、これを送信する通信ログ送信手段254とを有し、マネージャコンピュータ20が、エージェントコンピュータから受信した内容を通信ログ管理テーブルとして保存する通信ログ格納手段201と、この通信ログ管理テーブルに記録されたデータからワーム感染端末を特定するワーム感染源特定手段202とを有する。
【解決手段】
エージェントコンピュータ21他が、通信パケットを検査して通信ログ一時テーブルとして記録するパケット検査手段251と、ワームによる通信を検出する条件とこれに対応するシグネチャIDを記憶するシグネチャ管理テーブル261と、通信ログ一時テーブルの内容の中から発信元、宛先ネットワーク、シグネチャIDが同一である通信を集約する通信ログ集約手段202〜203と、これを送信する通信ログ送信手段254とを有し、マネージャコンピュータ20が、エージェントコンピュータから受信した内容を通信ログ管理テーブルとして保存する通信ログ格納手段201と、この通信ログ管理テーブルに記録されたデータからワーム感染端末を特定するワーム感染源特定手段202とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はコンピュータネットワーク上でワームの感染源とその経路を特定することに関し、特にその感染源および経路を特定する処理にかかるコンピュータ装置およびネットワークへの負荷を軽減することに関する。
【背景技術】
【0002】
コンピュータネットワークが社会や企業などにとって重要なインフラとなると同時に、ネットワークを介して感染を広げていく不正プログラム、即ち広義のコンピュータウィルスによる被害も深刻化している。本明細書では、広義のコンピュータウィルスの中で、宿主となるファイルを必要とせず、それ自体で独立して実行可能なプログラムファイルであるものを、ワームという。
【0003】
このワームにより、DoS攻撃(Denial of Service attack)や迷惑メールの送信、機密データの漏洩などのような不正な動作がなされ、その結果としてたとえば特定のウェブサーバや電子メールサーバなどに対して過大な負荷を生じさせられてネットワークの障害が起こるなどのような被害が実際に発生している。これは企業にとっては業務の支障、あるいは社会的信用の喪失などになるので、企業内のネットワークにワームに感染したコンピュータ装置(以後これを感染源という)が接続された場合、そのコンピュータ装置を速やかに特定し、適切な措置を執る必要がある。
【0004】
しかしながら、ワームは次々と亜種や新種が出現し、その感染を拡大する手口も年々巧妙になってきていることから、ワーム対策は「いたちごっこ」にならざるを得ない。また、セキュリティと利便性はトレードオフの関係にあり、さらに設定したセキュリティポリシーの欠陥をついてワームが感染することさえある。このため、ワームによる感染被害を完全に防止することは困難を極める。
【0005】
既存のアンチウィルスなどの技術で検出できないワームや、セキュリティ設定の欠陥部分をついて感染するワームについて、IPS(Intrusion Prevention System、侵入防止システム)を利用して、ネットワークに接続されたファイアウォールや端末などの通信ログをサーバコンピュータに集約し、相関分析などを行って異常な通信を検出し、その感染経路や感染源の特定を行うということが通常は行われている。
【0006】
これに関連して、次のような技術文献がある。特許文献1には、各端末の情報をIPノードスコープが収集し、そこで収集した情報からモニタシステムがワームを検出するという感染防止システムが記載されている。特許文献2には、通信ログのデータの中から所定の検出条件に該当する通信を検出することによりワームを検出するというワーム判定装置が記載されている。特許文献3には、不正な通信パケットを捕捉および記録し、その伝搬経路を特定するというワーム伝搬監視システムが記載されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2007−109247号公報
【特許文献2】特許4051020号公報
【特許文献3】特許4235907号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、ネットワークに接続された各機器に保存される通信ログはただでさえ膨大な量である。この中から、特定の条件を満たす通信を検出してワームの感染を検出するには、この処理を担当するコンピュータ装置に膨大な負荷を強いることになる。
【0009】
また、この膨大なログをネットワークを介して機器間を転送することも、ネットワーク全体に対して負荷を強いることとなる。ネットワーク上にワームに感染した機器があると、ただでさえその機器が異常な回数や容量の通信を行ってネットワークの帯域を圧迫して他の機器に過大な負荷を強いているので、その中で膨大なログを転送することは現実的であるとは言えない。
【0010】
前述の特許文献1〜3のいずれにも、転送されるデータ量および各コンピュータでの処理量を軽減することについては記載されていないので、これらの技術では上記の問題点を解決することはできない。
【0011】
本発明の目的は、ネットワーク上で転送されるデータ量、および検出処理に係る各コンピュータの処理量を軽減してワームの感染源とその経路を特定することを可能とするワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータを提供することにある。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明に係るワーム感染源特定システムは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するワーム感染源特定システムであって、ワーム感染端末に関する情報を収集するエージェントコンピュータと、エージェントコンピュータが収集した情報を受信してワーム感染端末を特定するマネージャコンピュータとを備え、エージェントコンピュータが、コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、通信ログ送信用テーブルをマネージャコンピュータに送信する通信ログ送信手段とを有することを特徴とする。
【0013】
上記目的を達成するため、本発明に係るエージェントコンピュータは、ワームに感染したコンピュータ装置であるワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータであって、コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、通信ログ送信用テーブルをマネージャコンピュータに送信する通信ログ送信手段とを有することを特徴とする。
【0014】
上記目的を達成するため、本発明に係るマネージャコンピュータは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータであって、同一のコンピュータネットワークに接続されたエージェントコンピュータから受信したワーム感染端末に関する情報を通信ログ管理テーブルとして保存する通信ログ格納手段と、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リストを作成するワーム感染源特定手段とを有することを特徴とする。
【0015】
上記目的を達成するため、本発明に係るワーム感染源特定方法は、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、エージェントコンピュータが、ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブルに予め記憶し、エージェントコンピュータが、コンピュータネットワーク上の通信パケットを検査し、エージェントコンピュータが、通信パケットをシグネチャ管理テーブルと照合してシグネチャIDを特定し、エージェントコンピュータが、通信パケットの検査結果を通信ログ一時テーブルとして記録し、エージェントコンピュータが、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成し、エージェントコンピュータが、通信ログ送信用テーブルをマネージャコンピュータに送信し、マネージャコンピュータが、エージェントコンピュータから受信した通信ログ送信用テーブルの内容を通信ログ管理テーブルとして保存し、マネージャコンピュータが、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リストを作成することを特徴とする。
【0016】
上記目的を達成するため、本発明に係るワーム感染源特定プログラムは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブルに予め記憶したエージェントコンピュータに、コンピュータネットワーク上の通信パケットを検査する手順と、通信パケットをシグネチャ管理テーブルと照合してシグネチャIDを特定する手順と、通信パケットの検査結果を通信ログ一時テーブルとして記録する手順と、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する手順と、通信ログ送信用テーブルをマネージャコンピュータに送信する手順とを実行させることを特徴とする。
【0017】
上記目的を達成するため、本発明に係る別のワーム感染源特定プログラムは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、マネージャコンピュータに、エージェントコンピュータから受信したワーム感染端末に関する情報を通信ログ管理テーブルとして保存する手順と、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リストを作成する手順とを実行させることを特徴とする。
【発明の効果】
【0018】
上述したように本発明は、エージェントコンピュータが通信ログを集約してマネージャコンピュータに送信し、マネージャコンピュータがそこからワーム感染端末を特定するように構成したので、エージェントコンピュータとマネージャコンピュータの双方で処理量を軽減して、さらに転送されるデータ量も削減できる。これによって、ネットワーク上で転送されるデータ量、および検出処理に係る各コンピュータの処理量を軽減してワームの感染源とその経路を特定することが可能であるという、優れた特徴を持つワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータを提供することができる。
【図面の簡単な説明】
【0019】
【図1】本発明の第1の実施形態に係るコンピュータネットワークの構成を示す説明図である。
【図2】図1に示した各コンピュータ装置のハードウェアとしての構成を示す説明図である。
【図3】図2に示したマネージャプログラムのソフトウェアとしての構成を示す説明図である。
【図4】図2に示したエージェントプログラムのソフトウェアとしての構成を示す説明図である。
【図5】図4に示したシグネチャ管理テーブルのデータ構成を示す説明図である。
【図6】図4に示した例外情報管理テーブルのデータ構成を示す説明図である。
【図7】図4に示したネットワーク管理テーブルのデータ構成を示す説明図である。
【図8】図4に示した通信ログ一時テーブルのデータ構成を示す説明図である。
【図9】図4に示した通信ログ集約テーブルおよび通信ログ送信用テーブルのデータ構成を示す説明図である。
【図10】図3に示したエージェントコンピュータ情報テーブルのデータ構成を示す説明図である。
【図11】図3に示した通信ログ管理テーブルのデータ構成を示す説明図である。
【図12】図4で示したパケット検査手段が受信パケットを検査して通信ログ一時テーブルに通信ログを格納する動作を示すフローチャートである。
【図13】図4で示した通信ログ1次集約手段が通信ログ一時テーブルを定期参照して通信ログ集約テーブルに通信ログを集約する動作を示すフローチャートである。
【図14】図4で示した通信ログ2次集約手段が通信ログ集約テーブルを定期参照して通信ログ送信用テーブルに通信ログを集約し、通信ログ送信手段が通信ログ送信用テーブルをマネージャコンピュータに送信する動作を示すフローチャートである。
【図15】図4に示した通信ログ送信用テーブルのデータ構成を示す説明図である。
【図16】図3で示した通信ログ格納手段が、エージェントコンピュータから送出された通信ログ送信用テーブルの内容を受信してこれを通信ログ管理テーブルに保存する動作を示すフローチャートである。
【図17】図11に示した通信ログ管理テーブルから、ワームの感染源および感染経路の特定に必要な情報を抽出した例である。
【図18】図3で示したワーム感染源特定手段202が抽出済通信ログ管理テーブルからNW到達リストを作成する動作を示すフローチャートである。
【図19】図17に示した抽出済通信ログ管理テーブルの通信ログIDの各々(1〜5)に対して作成されたNW到達リストを示す説明図である。
【図20】図3で示したワーム感染源特定手段がNW到達リストから感染経路リストを作成する動作を示すフローチャートである。
【図21】NW到達リストに対して図20に示した処理によって作成された感染経路リストを示す説明図である。
【図22】図3で示した感染経路図作成手段203が感染経路リストから感染経路リストを作成し、ワームの感染源と感染経路とを感染経路図に出力する動作を示すフローチャートである。
【図23】図22に示した処理によって図21に示した感染経路リストから作成された感染経路図を示す説明図である。
【図24】本発明の第2の実施形態に係るコンピュータネットワークの構成を示す説明図である。
【図25】図24に示した各エージェントコンピュータのソフトウェアとしての構成を示す説明図である。
【図26】図24に示したネットワーク管理テーブルのデータ構成を示す説明図である。
【発明を実施するための形態】
【0020】
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1〜4に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係るワーム感染源特定システムは、コンピュータネットワーク1にワームに感染したコンピュータ装置であるワーム感染端末が接続されたことを検出するワーム感染源特定システムである。このシステムは、ワーム感染端末に関する情報を収集するエージェントコンピュータ21、22、23と、エージェントコンピュータが収集した情報を受信してワーム感染端末を特定するマネージャコンピュータ20とを備える。エージェントコンピュータ21、22、23は、コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブル264として記録するパケット検査手段251と、ワームによる通信を検出する条件とこれに対応するシグネチャIDを記憶するシグネチャ管理テーブル261と、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブル266を作成する通信ログ集約手段202〜203と、通信ログ送信用テーブルをマネージャコンピュータに送信する通信ログ送信手段254とを有する。
【0021】
ここで、エージェントコンピュータの通信ログ集約手段は、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集計して宛先IP数をカウントし、通信ログ集約テーブルを作成する通信ログ第1次集約部(通信ログ1次集約手段252)と、通信ログ集約テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して宛先IP数を合計し、通信ログ送信用テーブルを作成する通信ログ第2次集約部(通信ログ2次集約手段253)とを含む。また、この通信ログ第1次集約部は、シグネチャ管理テーブルに予め記憶されたタイムアウト時間を経過したデータを通信ログ一時テーブルから削除する機能を有する。
【0022】
さらに、エージェントコンピュータは、ワーム感染端末の検出の対象としない通信内容について記憶している例外情報管理テーブル262を有し、パケット検査手段251が、通信パケットの検査結果の中から例外情報管理テーブルに記憶されている内容の通信を除外して通信ログ一時テーブルに記録する。
【0023】
一方のマネージャコンピュータ20は、エージェントコンピュータから受信した通信ログ送信用テーブルの内容を通信ログ管理テーブル212として保存する通信ログ格納手段201と、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リスト218を作成するワーム感染源特定手段202とを有する。
【0024】
このマネージャコンピュータのワーム感染源特定手段202は、通信ログ管理テーブル212に記録された通信パケットのユーザID数および宛先IP数のうち少なくとも1つ以上からワーム感染端末を特定する。そしてマネージャコンピュータは、感染経路リスト218からワームがコンピュータネットワーク内で感染を広げた日時と経路を図示する感染経路図219を作成して出力する感染経路図作成手段203を有する。
【0025】
以上の構成を備えることにより、このワーム感染源特定システムは、各コンピュータの処理量を軽減してワームの感染源とその感染経路を特定することが可能となる。
以下、これをより詳細に説明する。
【0026】
図1は、本発明の第1の実施形態に係るコンピュータネットワーク1の構成を示す説明図である。コンピュータネットワーク1は、各々のコンピュータ装置がイーサネット(登録商標)などの通信規格によって相互に接続されて構成された複数のLAN(Local Area Network)が、データを中継するネットワーク機器であるルータによってさらに相互に接続されて構成されている。
【0027】
コンピュータネットワーク1は、第1セグメント11、第2セグメント12、第3セグメント13という3つのLANに分けることができ、第1のルータ41は第1セグメント11と第2セグメント12との間でデータを中継する。第2のルータ42は第2セグメント12と第3セグメント13との間でデータを中継する。
【0028】
第3セグメント13には、コンピュータネットワーク1全体のワーム感染検出の動作を管理するコンピュータ装置であるマネージャコンピュータ20と、マネージャコンピュータ20からの制御に基づいてワーム感染検出の動作を行うコンピュータ装置であるエージェントコンピュータ23とが接続されている。
【0029】
第2セグメント12には、マネージャコンピュータ20からの制御に基づいてワーム感染検出の動作を行うコンピュータ装置であるエージェントコンピュータ22が接続されている。第1セグメント11には、やはりマネージャコンピュータ20からの制御に基づいてワーム感染検出の動作を行うコンピュータ装置であるエージェントコンピュータ21と、ワームに感染したコンピュータ装置であるワーム感染端末30が接続されている。また、各々のセグメントにはこれらのマネージャコンピュータ20、エージェントコンピュータ、ワーム感染端末30以外にも、複数台のコンピュータ装置であるクライアント31、32、…が接続されている。
【0030】
ここで、第1セグメント11に割り振られるIPアドレス範囲は「192.168.3.0/24」である。同様に第2セグメント12に割り振られるIPアドレス範囲は「192.168.4.0/24」であり、第3セグメント13に割り振られるIPアドレス範囲は「192.168.5.0/24」である。各セグメントに属する各々のコンピュータには、これらの範囲からIPアドレスが割り振られている。
【0031】
その中で、ワーム感染端末30のIPアドレスは「192.168.3.1」、エージェントコンピュータ21のIPアドレスは「192.168.3.254」、エージェントコンピュータ22のIPアドレスは「192.168.4.254」、エージェントコンピュータ23のIPアドレスは「192.168.5.254」、マネージャコンピュータ20のIPアドレスは「192.168.5.1」である。各々のクライアント31、32、…には、上記のアドレス範囲の中で、マネージャコンピュータ20、エージェントコンピュータ21、22、23、ワーム感染端末30に該当しないIPアドレスが割り振られている。
【0032】
本実施形態では、ルータによって区切られた各セグメントに、エージェントコンピュータを1台ずつ配置している。そしてマネージャコンピュータをコンピュータネットワーク1全体に対して1台配置している。また、マネージャコンピュータとエージェントコンピュータとの間の通信は、暗号化して行うことが望ましいが、この暗号化方法そのものは本発明の範囲ではないので、公知の暗号化方法を適用することができる。
【0033】
ただし、実際の運用についてはこの例の通りであるとは限らない。エージェントコンピュータは、該当ネットワークの通信をモニタすることおよびマネージャコンピュータとの通信が可能であれば、どの装置上に導入してもよい。また一台のコンピュータ装置が、複数のマネージャコンピュータに対応するエージェントコンピュータになることもできる。
【0034】
図2は、図1に示したマネージャコンピュータ20、エージェントコンピュータ21〜23のハードウェアとしての構成を示す説明図である。マネージャコンピュータ20およびエージェントコンピュータ21〜23は各々、コンピュータプログラムを実施する演算装置であるプロセッサ101と、プログラムやデータを記憶する記憶手段102と、コンピュータネットワーク1に接続して他のコンピュータ装置とのデータ通信を行う通信手段103、結果をユーザ向けに出力する出力手段104(ディスプレイやプリンタなど)とを備える。エージェントコンピュータ21〜23については、全て同一の構成であるので、エージェントコンピュータ21についてのみ詳しい構成を図示している。また、本実施形態ではエージェントコンピュータ21〜23の出力手段104を使用しないので、これについては図示していない。
【0035】
プロセッサ101で、後述する各プログラムが実行される。また、その動作で使用される各種データが、記憶手段102に記憶される。以後、マネージャコンピュータ20で実行されるプログラムをマネージャプログラム200という。また、エージェントコンピュータ21、22、23でそれぞれ実行されるプログラムをエージェントプログラム250という。
【0036】
図3は、図2に示したマネージャプログラム200のソフトウェアとしての構成を示す説明図である。マネージャプログラム200は、記憶手段102上のエージェントコンピュータ情報テーブル211に登録されたエージェントコンピュータからデータを定期的に取得して記憶手段102上の通信ログ管理テーブル212に格納する通信ログ格納手段201と、記憶手段102上の通信ログ管理テーブル212を定期的に参照してワームの感染源と感染経路を特定し、これらの特定結果を記憶手段102上の感染経路リスト218に格納するワーム感染源特定手段202と、そこから感染経路図219を作成して出力手段104に出力する感染経路図作成手段203とを有する。
【0037】
また、記憶手段102には、マネージャプログラム200の初期設定パラメータを記憶した初期設定ファイル271も記憶されている。ここでいう初期設定パラメータは、ワーム検出条件、およびワーム検出間隔である。
【0038】
ワーム検出条件は、ワーム感染源の特定を行うか否かを判断する条件となるユーザID数および宛先IP数の各々の数値である。通信ログ管理テーブル212のユーザID数および宛先IP数の各々について、ワーム感染源の特定を行うか否かを決定する閾値をここに設定する。初期値はユーザID数>1、宛先IP数>1とする。条件は複数指定可能であり、かつ条件毎に検査対象期間を指定可能である。ワーム検出間隔は、ワーム感染源特定手段202が通信ログ管理テーブル212を確認してワーム感染源の特定処理を行う間隔である。
【0039】
図4は、図2に示したエージェントプログラム250のソフトウェアとしての構成を示す説明図である。エージェントプログラム250は、通信手段103が他の装置から受信した通信パケットを検査するパケット検査手段251と、この通信パケットの検査結果を集約する通信ログ1次集約手段252と通信ログ2次集約手段253と、集約された通信ログをマネージャプログラム200に送信する通信ログ送信手段254とからなる。
【0040】
パケット検査手段251は、記憶手段102上のシグネチャ管理テーブル261および例外情報管理テーブル262を参照して通信パケットを検査し、その検査結果を記憶手段102上の通信ログ一時テーブル264に格納する。通信ログ1次集約手段252は、記憶手段102上のシグネチャ管理テーブル261およびネットワーク管理テーブル263を参照しつつ、記憶手段102上の通信ログ一時テーブル264を定期的に確認し、その中でシグネチャ管理テーブル261に設定された閾値を越えたものを記憶手段102上の通信ログ集約テーブル265に記録する。
【0041】
通信ログ1次集約手段252はさらに、記憶手段102上の通信ログ集約テーブル265に記録された中で、記憶手段102上のシグネチャ管理テーブル261に設定されたタイムアウト値を超えたものを削除する。そして通信ログ2次集約手段253は、通信ログ集約テーブル265をさらに集約した通信ログ送信用テーブル266を記憶手段102上に作成する。通信ログ送信手段254は、その通信ログ送信用テーブル266をマネージャプログラム200に送信する。
【0042】
また、記憶手段102には、エージェントプログラム250の初期設定パラメータを記憶した初期設定ファイル271も記憶されている。ここでいう初期設定パラメータは、通信ログ一時テーブルチェック間隔、および通信ログ集約テーブルチェック間隔である。
【0043】
通信ログ1次集約手段252は、通信ログ一時テーブルチェック間隔の値を基にして定期的に通信ログ一時テーブル264を確認し、シグネチャ管理テーブル261の閾値と検査タイムアウトのカラムを基にエントリの削除もしくは通信ログ集約テーブル265への集約を行う。参照したエントリを集約後に通信ログ一時テーブル264から削除することで、エージェントコンピュータのリソース消費を軽減する。
【0044】
通信ログ2次集約手段253は、通信ログ集約テーブルチェック間隔の値を基にして定期的に通信ログ集約テーブル265を確認して、通信ログ集約テーブル265のエントリをさらに集約して通信ログ送信用テーブル266とする。
【0045】
図5は、図4に示したシグネチャ管理テーブル261のデータ構成を示す説明図である。エージェントプログラム250は、シグネチャ管理テーブル261の記録データを必要に応じて変更できる権限を有している。また、マネージャプログラム200からも、各エージェントコンピュータに指令して、このシグネチャ管理テーブル261を参照および変更できる。
【0046】
シグネチャ管理テーブル261は、次に示す内容を記録している。シグネチャID261aは、ワームの種類、もしくはワームによる攻撃の種類(これをシグネチャという)を一意に特定するためのIDである。パケット検査手段251は、後述のプロトコル毎に、シグネチャID261aの小さいものから順に受信パケットと比較する。
【0047】
識別名261bは、各シグネチャの識別名である。これは任意に命名することができる。プロトコル261cは、検査対象のプロトコルの名称、たとえばTCP(Transmission Control Protocol)、UDP(User Datagram Protocol)、ICMP(Internet Control Message Protocol)などである。
【0048】
ルール261dは、検査対象とする通信内容のルールを示す。たとえば「宛先ポート=80」とあるものは、このポートに対する通信を検査対象とする。他にもプロトコル261cを「TCP」、ルール261dを「宛先ポート=25」でかつ「RCPT TO:%UNIQ_ID%」として、電子メール送信を検出することもできる。%UNIQ_ID%とは、受信パケットに含まれ、電子メール送信時に指定されるユーザ固有の識別情報をいう。これが、後述する通信ログ一時テーブル264などに含まれるユーザID(264c)となる。また、ここでプロトコル261cを「ICMP」として、ルール261dを「タイプ=8」とすれば、エコー要求(pingコマンド)を検出することができる。
【0049】
閾値261eは、ワームによる不正な攻撃であるか否かを判定する基準となる数値である。通信ログ1次集約手段252は、後述の通信ログ一時テーブル264を更新する時に、通信ログ一時テーブル264の該当行の攻撃数と閾値261eとを比較し、単位時間内に行われる攻撃数が閾値261eを超えているか否かを確認し、超えていればこれに該当する行のデータを通信ログ集約テーブル265に集約する。この動作について詳細は後述する。
【0050】
検査タイムアウト秒数261fは、通信ログ一時テーブル264に登録された通信が、そこから削除されるまでの秒数の設定値である。通信ログ1次集約手段252は、通信ログ一時テーブル264を更新する時に、通信ログ一時テーブル264の該当する行のデータ登録時刻と検査タイムアウト秒数261fとを比較し、データが登録されてからの経過時間が検査タイムアウト秒数261fを超えていた場合には通信ログ一時テーブル264から該当行を削除する。
【0051】
シグネチャ管理テーブル261の末尾には、パケット検査手段251が取りこぼしなくパケットを捕捉できるよう、次のようなエントリを登録しておくことが望ましい。識別名261bを「other${uniq_num}」、プロトコル261cを「TCP」、ルール261dを「宛先ポート=${dst_port}」、閾値261eを「1」、検査タイムアウト秒数261fを「1」とする。uniq_numは、ユニークな番号を表す変数であり、dst_portは宛先ポート番号を表す変数である。これと同様のルールを、プロトコル261cがUDPやICMPの場合についても設定しておくことが望ましい。
【0052】
未知のワームに対応するため、シグネチャ管理テーブル261に、ワームの動作として予め想定される通信を予めすべて登録しておいてもよいし、パケット検査手段251がシグネチャ管理テーブル261に登録されていない通信を検出したタイミングで、動的にIDと識別名を割り当てて新規エントリを追加するようにしてもよい。
【0053】
図6は、図4に示した例外情報管理テーブル262のデータ構成を示す説明図である。エージェントプログラム250は、例外情報管理テーブル262の記録データを必要に応じて変更できる権限を有している。例外情報管理テーブル262は、次に示す内容を記録している。ID262aは、登録されている例外情報を一意に特定するためのIDである。送信元アドレス262b、宛先アドレス262c、プロトコル262dは、例外扱いとする対象の通信の、各々送信元アドレス、宛先アドレス、プロトコルである。ルール262eは、例外扱いとする対象の通信の、上記した以外の属性を示す。
【0054】
例外情報管理テーブル262には、たとえばネットワークプリンタを使用して印刷を行う際に生じる通信など、明らかにワームとは無関係である通信について登録する。パケット検査手段251は、捕捉した通信とシグネチャ管理テーブル261のエントリとを比較する前に、捕捉した通信と例外情報管理テーブル262のエントリを比較し、この通信が例外情報管理テーブル262のエントリに該当する場合は、ここで捕捉した通信の検査を打ち切る。これによって、マシンリソースを節約することができる。
【0055】
図7は、図4に示したネットワーク管理テーブル263のデータ構成を示す説明図である。エージェントプログラム250は、ネットワーク管理テーブル263の記録データを必要に応じて変更できる権限を有している。また、マネージャプログラム200からも、各エージェントコンピュータに指令して、このネットワーク管理テーブル263を参照することができる。
【0056】
ネットワーク管理テーブル263は、次に示す内容を記録している。ネットワークID263aは、登録されているネットワークアドレスを一意に特定するためのIDである。ネットワークアドレス263bは、各々のネットワークID263aに属するIPアドレスの範囲を表す。
【0057】
第1セグメント11は、ネットワークID263a=「1」、ネットワークアドレス263b=「192.168.3.0/24」である。同様に第2セグメント12は、ネットワークID263a=「2」、ネットワークアドレス263b=「192.168.4.0/24」であり、第3セグメント13はネットワークID263a=「3」、ネットワークアドレス263b=「192.168.5.0/24」である。
【0058】
図8は、図4に示した通信ログ一時テーブル264のデータ構成を示す説明図である。エージェントプログラム250は、通信ログ一時テーブル264の記録データを必要に応じて変更できる権限を有している。通信ログ一時テーブル264は、次に示す内容を記録している。送信元IP264a、宛先IP264bは、パケット検査手段251が捕捉した通信の、各々送信元および宛先のIPアドレスを示す。
【0059】
ユーザID264cは、パケット検査手段251が捕捉した通信にユーザを示す文字列が含まれている場合、その文字列を示す。ユーザを示す文字列がなければ、空データ(null)となる。シグネチャID264dは、捕捉した通信に対応するシグネチャ管理テーブル261のシグネチャID261aを示す。
【0060】
登録時刻264eは、この行に該当するデータが通信ログ一時テーブル264に最初に登録された時刻を示す。攻撃数264fは、データが通信ログ一時テーブル264に最初に登録されてから、同一の送信元IP264a、宛先IP264b、ユーザID264c、シグネチャID264dの通信が行われた回数を示す。
【0061】
図9は、図4に示した通信ログ集約テーブル265および通信ログ送信用テーブル266のデータ構成を示す説明図である。エージェントプログラム250は、通信ログ集約テーブル265および通信ログ送信用テーブル266の記録データを必要に応じて変更できる権限を有している。
【0062】
通信ログ集約テーブル265は、次に示す内容を記録している。送信元IP265aは、パケット検査手段251が捕捉した通信の送信元IPアドレスである。宛先NW265bは、パケット検査手段251が捕捉した通信の宛先ネットワークアドレスを一意に特定可能なIDである。これは通信ログ1次集約手段252がネットワーク管理テーブル263を参照して、該当するネットワークID263aの値を登録する。なお、本明細書では「ネットワーク」を略して「NW」ということがある。
【0063】
宛先IP数265cは、パケット検査手段251が捕捉した通信に含まれていた宛先IPアドレスの数の合計を示す。これは通信ログ1次集約手段252が通信ログ一時テーブル264もしくは通信ログ集約テーブル265から通信ログを集約する際に、通信ログのユニークな宛先IPアドレスの数を集計して登録する。
【0064】
ユーザID数265dは、パケット検査手段251が捕捉した通信に含まれていたユーザを示すユニークな文字列の数を示す。これは通信ログ1次集約手段252が通信ログ一時テーブル264もしくは通信ログ集約テーブル265から通信ログを集約する際に、通信ログのユーザIDの数を集計して登録する。
【0065】
シグネチャID265eは、パケット検査手段251が捕捉した通信に対応するシグネチャ管理テーブル261のシグネチャIDである。検知時刻265fは、シグネチャID265eに示す通信が開始された時刻である。登録時刻265gは、通信ログ1次集約手段252が通信ログ一時テーブル264もしくは通信ログ集約テーブル265のエントリを集約して該当データを登録した時刻である。
【0066】
攻撃数265hは、シグネチャID265eに該当する通信が開始されてから登録時刻265gの時刻までに、同一の送信元IP265a、宛先NW265b、シグネチャID265eの通信が行われた回数を示す。
【0067】
通信ログ送信用テーブル266も、通信ログ集約テーブル265と同内容のデータ構成を有するので、これらを各々送信元IP266a、宛先NW266b、宛先IP数266c、ユーザID数266d、シグネチャID266e、検知時刻266f、登録時刻266g、攻撃数266hという。通信ログ送信用テーブル266の具体的なデータの例については後述する。
【0068】
図10は、図3に示したエージェントコンピュータ情報テーブル211のデータ構成を示す説明図である。マネージャプログラム200は、エージェントコンピュータ情報テーブル211の記録データを必要に応じて変更できる権限を有している。またマネージャプログラム200は、エージェントコンピュータ情報テーブル212に登録されたエージェントコンピュータからのみ通信ログを受け取る。
【0069】
エージェントコンピュータ情報テーブル211は、次に示す内容を記録している。エージェントコンピュータID211aは、登録されているエージェントコンピュータを一意に特定するためのIDである。エージェントコンピュータIP211bは、そのエージェントコンピュータのIPアドレスである。
【0070】
管理者メールアドレス211cは、そのエージェントコンピュータの管理者のメールアドレスである。監視対象NW211dは、監視対象ネットワークを一意に特定可能なIDである。これは、通信ログ格納手段201がネットワーク管理テーブル263を参照することによって、該当するネットワークID263aの値を登録する。
【0071】
図11は、図3に示した通信ログ管理テーブル212のデータ構成を示す説明図である。マネージャプログラム200は、通信ログ管理テーブル212の記録データを必要に応じて変更できる権限を有している。通信ログ格納手段201は、エージェントコンピュータから入手した通信ログにデータ入手元のエージェントコンピュータのIPアドレスを付加して、通信ログ管理テーブル212として記録する。
【0072】
通信ログ管理テーブル212は、次に示す内容を記録している。エージェントコンピュータIP212aは、該当するデータを送信したエージェントコンピュータのIPアドレスであり、前述のように通信ログ格納手段201が付加する。これ以外は、図9で示した通信ログ集約テーブル265と同一の内容のデータを有するので、これらを各々送信元IP212b、宛先NW212c、宛先IP数212d、ユーザID数212e、シグネチャID212f、検知時刻212g、登録時刻212h、攻撃数212iという。これらの各データが意味する内容も、通信ログ集約テーブル265における同名のデータと同一である。
【0073】
図3に示した感染経路リスト218は、ワーム感染源特定手段202が特定したワームによる通信の記録を格納するものであるが、このデータ構成については後述する。
【0074】
以後、本実施形態の説明においては、ワーム感染源とはコンピュータネットワーク1内にワームの感染が拡大する原因となったワーム感染端末30のことをいう。また、ワーム感染経路とは、ワームが発したと推測される通信がどの端末間、あるいはネットワーク間で行われたかを示す経路という意味でいう。
【0075】
(通信ログの格納と集約)
図12は、図4で示したパケット検査手段251が受信パケットを検査して通信ログ一時テーブル264に通信ログを格納する動作を示すフローチャートである。パケット検査手段251は、受信したパケットごとに図12で示す動作を行う。
【0076】
通信を受信したパケット検査手段251は(ステップS301)、まずこの受信したパケットが自ネットワークを起源(発信元)とするものか否かを判断する(ステップS302)。発信元が自ネットワークでない場合は、ここで処理を終了する。発信元が自ネットワークであればステップS303に進んで処理を継続する。送信元が自ネットワークの場合のみ受信パケットを検査する動作を行うので、これによってエージェントコンピュータのマシンリソースを節約することができる。
【0077】
発信元が自ネットワークの場合、パケット検査手段251は受信パケットと例外情報管理テーブル262とを比較して、受信パケットの内容に該当するエントリが例外情報として登録されているか否かを確認する(ステップS303)。例外情報として登録されている場合は、ここで処理を終了する。
【0078】
例外情報として登録されていなければ、パケット検査手段251はさらに受信パケットがシグネチャ情報テーブル261とを比較して、受信パケットの内容に該当するエントリが存在するか否かを確認する(ステップS304)。該当するエントリが存在しない場合は、ここで処理を終了する。
【0079】
該当するエントリが存在する場合、パケット検査手段251はシグネチャ管理テーブル261のルール261dを確認し、ユーザIDを含むルール(たとえば、図12に示した例でいえばシグネチャID261a=「4」でルール261dにユニークなユーザIDを示す「UNIQ_ID」が含まれていること)が定義されているか否かを確認する(ステップS305)。定義されていれば、そのルールに従ってユーザIDを取得し(ステップS306)、ステップS307に進む。定義されていなければ、そのままステップS307に進む。
【0080】
引き続いてパケット検査手段251は、受信パケットの送信元IPアドレス、宛先IPアドレス、ステップS306で取得したユーザID、ステップS304で取得したシグネチャIDをキーとして通信ログ一時テーブル264を検索し、同一内容のエントリが既に存在するか否かを確認する(ステップS307)。
【0081】
同一内容のエントリが存在しなければ、パケット検査手段251はその送信元IPアドレス264a、宛先IPアドレス264b、ユーザID264c、シグネチャID264dで新規エントリを通信ログ一時テーブル264に作成する(ステップS308)。その際、登録時刻264eおよび攻撃数264fの初期値は0とする。新規エントリの作成を完了したら、ステップS309に進む。同一内容のエントリが存在すれば、そのままステップS309に進む。
【0082】
引き続いてパケット検査手段251は、該当するエントリの攻撃数264fを+1して(ステップS309)、これで受信パケットの検査処理を終了する。ステップS308で新規エントリを作成した場合は、その新規エントリの攻撃数264f=「0」を「1」とすることになる。図8には、このパケット検査処理を実行した後の通信ログ一時テーブル264の例を示している。
【0083】
図13は、図4で示した通信ログ1次集約手段252が通信ログ一時テーブル264を定期参照して通信ログ集約テーブル265に通信ログを集約する動作を示すフローチャートである。通信ログ1次集約手段252は、通信ログ一時テーブル264を上から順に確認し、未参照のエントリに対してのみステップS402以後に示す通信ログ集約処理を行う(ステップS401)。
【0084】
通信ログ1次集約手段252はまず、通信ログ一時テーブル264の参照中のエントリと送信元IPアドレス264a、ユーザID264c、シグネチャID264dが同一で、かつ宛先IPアドレス264bが自らと同一ネットワークである(ネットワーク管理テーブル263を参照して判断する)エントリを抽出して(ステップS402)、通信ログ1次集約手段252はこれを上から順に確認し、ステップS404以後に示す通信ログ集約処理を行う(ステップS403)。
【0085】
通信ログ1次集約手段252は、参照中のエントリの攻撃数264fの値が、参照中のエントリのシグネチャID264d(261a)をキーにしてシグネチャ管理テーブル261を検索し、抽出された閾値261eと比較する(ステップS404)。攻撃数264f≧閾値261eであればステップS405に進み、攻撃数264f<閾値261eであればステップS409に進む。
【0086】
通信ログ1次集約手段252は、参照中のエントリの送信元IPアドレス264a、シグネチャID264dと宛先IPアドレス264bが属するネットワークアドレスをキーとして通信ログ集約テーブル265を検索し同一内容のエントリが存在するか否かを確認する(ステップS405)。同一内容のエントリが存在しなければステップS406に、同一内容のエントリが存在する場合はステップS407にそれぞれ進む。
【0087】
ステップS405で同一内容のエントリが存在しなければ、該当する内容の新規エントリを通信ログ集約テーブル265上に作成する(ステップS406)。その際、送信元IP265aは、通信ログ一時テーブル264で参照中のエントリの送信元IP264aを記録する。宛先NW265bは、通信ログ一時テーブル264で参照中のエントリの宛先IP264bが属するネットワークアドレスを記録する。
【0088】
宛先IP数265cは、ユニークな宛先IP264bをカウントした数(初期値は1)を記録する。ユーザID数265dは、ユニークなユーザID264cをカウントした数(初期値は、ユーザIDを取得している場合は1、取得していない場合は0)を記録する。シグネチャID265e、検知時刻265f、攻撃数265hは、通信ログ一時テーブル264で参照中のエントリのシグネチャID264d、登録時刻264e、攻撃数264fを各々記録する。登録時刻265gは、この処理を行っている時点の現在時刻である。
【0089】
ステップS405で同一内容のエントリが存在すれば、通信ログ1次集約手段252は通信ログ集約テーブル265上の該エントリの宛先IP数265c、ユーザID数265d、検知時刻265f、登録時刻265g、攻撃数265hを各々更新する(ステップS407)。これらのデータ更新の具体的な内容については、次の行から詳しく説明する。
【0090】
通信ログ一時テーブル264で参照中の宛先IP264bが未カウントの場合は、通信ログ集約テーブル265の該当行の宛先IP数265cを+1する。同様に、参照中のユーザID264cが未カウントの場合は、通信ログ集約テーブル265の該当行のユーザID数265dを+1する。その際、同一の宛先IP264bおよびユーザID264cを重複してカウントしないように、参照中の通信ログの宛先IPアドレスとユーザIDとをメモリ上などに適宜キャッシュしておくとよい。
【0091】
通信ログ集約テーブル265の該当行の検知時刻265fと通信ログ一時テーブル264で参照中の登録時刻264eとを比較して、古い方の時刻を検知時刻265fとする。また、該当行の登録時刻265gは、この処理を行っている時点の現在時刻とする。そして該当行の攻撃数265hに、参照中の通信ログの攻撃数264fを加算する。以上がステップS407の処理の詳細である。ステップS406またはステップS407の終了後、ステップS408に進む。
【0092】
一方、ステップS404で攻撃数264f<閾値261eの場合は、通信ログ1次集約手段252は参照中のエントリの登録時刻264eから現在までの経過時間と、参照中のエントリのシグネチャID264d(261a)をキーにしてシグネチャ管理テーブル261を検索して抽出した行の検査タイムアウト秒数261fの値を比較して、経過時間≧検査タイムアウト秒数261fであるか否かを判断する(ステップS408)。経過時間≧検査タイムアウト秒数261fであれば、タイムアウトしたことになるのでステップS409に進む。経過時間<検査タイムアウト秒数261fであれば、ステップS410に進む。
【0093】
ステップS408でタイムアウトしていた場合、または通信ログ集約テーブル265のエントリを追加もしくは更新した場合、参照中の通信ログ一時テーブル264の該当エントリを削除する(ステップS409)。
【0094】
図9に示した例では、図8に示した通信ログ一時テーブル264からこの処理を通じて集約された通信ログ集約テーブル265を示している。たとえば、図8の最初の6件のエントリは、図9の先頭の1件のエントリに集約される。即ち、宛先IPアドレス264bが異なる6回の通信は、同一の送信元IPアドレス264aから発せられた同一の内容の通信(攻撃)であると判断されて、宛先IP数265c=「6」である同内容の攻撃として1つのエントリにまとめられている。
【0095】
通信ログは、通常は膨大なデータ容量となり、これを参照してワームによる攻撃を検出するだけでもマシンリソースの浪費となる。本実施形態では、以上で説明した処理によって、通信ログを通信ログ一時テーブル264から通信ログ集約テーブル265に集約して、参照した通信ログを通信ログ一時テーブル264から削除する。これで、エージェントコンピュータのマシンリソースの消費を抑えることができる。
【0096】
図14は、図4で示した通信ログ2次集約手段253が通信ログ集約テーブル265を定期参照して通信ログ送信用テーブル266に通信ログを集約し、通信ログ送信手段254が通信ログ送信用テーブル266をマネージャコンピュータ20に送信する動作を示すフローチャートである。通信ログ2次集約手段253は、通信ログ集約テーブル265を上から順に確認し、未参照の通信ログに対してのみステップS502以後に示す通信ログ集約処理を行う(ステップS501)。
【0097】
通信ログ2次集約手段253は、通信ログ集約テーブル265の参照中のエントリと送信元IPアドレス265a、宛先NW265b、シグネチャID265eが同一である通信ログを抽出し(ステップS502)、通信ログ2次集約手段253はこれを上から順に確認し、ステップS504以後に示す通信ログ集約処理を行う(ステップS503)。
【0098】
通信ログ2次集約手段253は、通信ログ集約テーブル265の参照中のエントリの送信元IPアドレス265a、宛先NW265b、シグネチャID265eをキーとして通信ログ送信用テーブル265を検索し、同一内容のエントリが存在するか否かを確認する(ステップS504)。同一内容のエントリが存在しなければステップS505に進み、存在すればステップS506に進む。
【0099】
ステップS504で同一内容のエントリが存在しなければ、通信ログ2次集約手段253は通信ログ送信用テーブル266に新規エントリを作成する(ステップS505)。その際、送信元IPアドレス266a、宛先NW266b、宛先IP数266c、ユーザID数266d、シグネチャID266e、検知時刻266f、攻撃数266hは、通信ログ集約テーブル265の参照中のエントリの送信元IPアドレス265a、宛先NW265b、宛先IP数265c、ユーザID数265d、シグネチャID265e、検知時刻265f、攻撃数265hをそのまま記録する。登録時刻266gは、この処理を行っている時点の現在時刻である。
【0100】
ステップS504で同一内容のエントリが存在すれば、通信ログ2次集約手段253は通信ログ送信用テーブル266の該当行の宛先IP数266c、ユーザID数266d、検知時刻266f、登録時刻266g、攻撃数266hを各々更新する(ステップS506)。これらのデータ更新の具体的な内容については、次の行から詳しく説明する。
【0101】
宛先IP数266cとユーザID数266dに、通信ログ集約テーブル265の参照中のエントリの宛先IP数265cとユーザID数265dを各々加算する。検知時刻266fと、通信ログ集約テーブル265の参照中のエントリの検知時刻265fとを比較し、古い方の時刻を検知時刻266fとする。登録時刻266gは、この処理を行っている時点の現在時刻とする。そして攻撃数266hに、通信ログ集約テーブル265の参照中のエントリの攻撃数265hを加算する。
【0102】
ステップS505またはS506の処理が終了した後、通信ログ2次集約手段253は参照中の通信ログ集約テーブル265の該当エントリを削除する(ステップS507)。以上の処理を、全ての通信ログ集約テーブル265の全ての行に対して繰り返した後、通信ログ送信手段254は集約の完了した通信ログ送信用テーブル266をマネージャコンピュータ20に送信して、さらに送信が完了した通信ログ送信用テーブル266を削除し(ステップS508)、処理を完了する。
【0103】
図15は、図4に示した通信ログ送信用テーブル266のデータ構成を示す説明図である。図15に示した例では、図9に示した通信ログ集約テーブル265からこの処理を通じて集約された通信ログ送信用テーブル266を示している。
【0104】
前述のように、通信ログ送信用テーブル266は通信ログ集約テーブル265と同一のデータ項目を記憶しているが、たとえば図9で複数あったシグネチャID265e=「1」のエントリが、通信ログ送信用テーブル266では1行に集約されている。即ち、検知時刻265fが異なる複数の攻撃は、同一の送信元IPアドレス265aから発せられた同一の内容の攻撃であると判断されて、一つのデータにまとめられている。
【0105】
このように、本実施形態ではワーム感染源の特定に必要となるデータをエージェントコンピュータ21、22、23の側で3つのテーブル(通信ログ一時テーブル264、通信ログ集約テーブル265、通信ログ送信用テーブル266)に分けて管理し、各テーブルに対して保存期間を設定して管理しつつ2段階の工程を経て集約して、マネージャコンピュータ20に送信している。
【0106】
このことにより、本実施形態ではエージェントコンピュータおよびマネージャコンピュータのリソース(コンピュータ資源)の浪費を抑制し、双方の側で効率よくワーム感染源の特定に係る処理を行うことができる。
【0107】
(通信ログの受信とワーム感染源の特定)
図16は、図3で示した通信ログ格納手段201が、エージェントコンピュータ21、22、23から送出された通信ログ送信用テーブル266の内容を受信してこれを通信ログ管理テーブル212に保存する動作を示すフローチャートである。各エージェントコンピュータからの通信を受信した通信ログ格納手段201は(ステップS601)、受信した内容の先頭にその内容を送出したエージェントコンピュータのIPアドレスをエージェントコンピュータIP212aとして付加して、通信ログ管理テーブル212に保存する(ステップS602)。
【0108】
図11に示した例では、図15に示した通信ログ送信用テーブル266から図16の処理によってマネージャコンピュータ20の側に集約された通信ログ管理テーブル212を示している。前述のように通信ログ管理テーブル212は、通信ログ送信用テーブル266の内容を送出したエージェントコンピュータのIPアドレスが、エージェントコンピュータIP212aとして先頭に付加されている以外は、全て通信ログ送信用テーブル266(および通信ログ集約テーブル265)と同一のデータ項目を有する。
【0109】
図17は、図11に示した通信ログ管理テーブル212から、ワームの感染源および感染経路の特定に必要な情報を抽出した例である(以後これを抽出済通信ログ管理テーブル220という)。ワーム検出条件として、シグネチャID212f=4、かつ(ユーザID数212d≧100または宛先IP数212c≧10)という条件があらかじめ設定されている。シグネチャID212f(261a)=4をキーとしてシグネチャ管理テーブル261を検索すれば、ルール261dとして「宛先ポート番号がTCP/25番」が設定されている。ワーム感染源特定手段202は、この条件に従って通信ログ管理テーブル212から抽出済通信ログ管理テーブル220を抽出した。
【0110】
ワームは、大きく分けてソフトウェアの脆弱性を利用して感染拡大を図るものと、電子メールや共有フォルダを経由して感染拡大を図るものがある。前者のワームは、短期間に多数の宛先に対して特定の通信を行う。後者のワームは、特定の宛先に多数のIDを利用したアクセスを試みる。
【0111】
このため本実施形態では、図11および図17で説明したように、ワーム検出条件として「シグネチャID212f=4で、かつ(ユーザID数212d≧100または宛先IP数212c≧10)」という条件を設定している。前者のワームに対しては宛先IP数212cの条件を、後者のワームに対してはユーザID数212dの条件を設けて対応している。
【0112】
抽出済通信ログ管理テーブル220の各データ項目とその各々が示す内容は、図11と同一であり、ただ先頭にユニークな通信ログID220aが挿入されるだけであるので、以後それぞれエージェントコンピュータIP220b、送信元IP220c、宛先NW220d、宛先IP数220e、ユーザID数220f、シグネチャID220g、開始時刻(検知時刻)220h、終了時刻(登録時刻)220i、攻撃数220jという。図17に示した例では、開始時刻220hと終了時刻220iに記号を用いているが、これらはそれぞれS1<S2<S3<S4<S5、E1<E2<E3<E4<E5の関係にあるものとする。
【0113】
ワーム感染源特定手段202は、ワーム感染の疑いがあるネットワークのアドレスおよび各ネットワークへワームに感染した疑いのある端末からパケットが到達した時刻を格納するNW到達リスト213〜217と、ワームの感染経路を格納する感染経路リスト218とを作成する。
【0114】
NW到達リスト213〜217は、後述するように、通信(攻撃)の宛先となるネットワークアドレスを示す宛先NW213aと、そのネットワークアドレスにワームに感染した疑いのある端末からの通信(攻撃)が到達した時刻を示す到達時刻213bとが一対で登録されたリストである。
【0115】
図18は、図3で示したワーム感染源特定手段202が抽出済通信ログ管理テーブル220からNW到達リスト213〜217を作成する動作を示すフローチャートである。ワーム感染源特定手段202は、抽出済通信ログ管理テーブル220を上から順に確認し、それぞれの内容に対して図18に示す処理を行ってNW到達リスト213〜217を作成する。
【0116】
ワーム感染源特定手段202はまず、抽出済通信ログ管理テーブル220の宛先NW220dに記載されたネットワークアドレスをキーにしてNW到達リスト213を検索し、既に同じネットワークアドレスが登録されているか否かを確認する(ステップS701)。同じネットワークアドレスが登録されていればステップS702に進み、いなければステップS703に進む。
【0117】
ステップS701で、NW到達リスト213に同じネットワークアドレスが格納されていない場合、ワーム感染源特定手段202は、宛先NW220dと、抽出済通信ログ管理テーブル220でこの宛先NW220dに該当する開始時刻220hを到達時刻213bとして、この宛先NW220d(213a)と到達時刻213bとを組にしてNW到達リスト213に格納して(ステップS702)処理を終了する。
【0118】
ステップS701で、NW到達リスト213に同じネットワークアドレスが格納されている場合、ワーム感染源特定手段202は、NW到達リスト213上で宛先NW213a(220d)に該当する到達時刻213bと、抽出済通信ログ管理テーブル220上の開始時刻220hとを比較する(ステップS703)。到達時刻213b≧開始時刻220hであれば、ワーム感染源特定手段202は、到達時刻213bを開始時刻220hの値として登録して(ステップS704)該当する通信ログの確認処理を終了する。
【0119】
図19は、図17に示した抽出済通信ログ管理テーブル220の通信ログID220aの各々(1〜5)に対して作成されたNW到達リスト213〜217を示す説明図である。通信ログID=1から抽出されたNW到達リスト213は、宛先NW213aと、そこにワームが到達した到達時刻213bとを示す。通信ログID=2〜5から各々抽出されたその他のNW到達リスト214〜217も、同様のデータを示す。
【0120】
また図20は、図3で示したワーム感染源特定手段202がNW到達リスト213〜217から感染経路リスト218を作成する動作を示すフローチャートである。そして図21は、NW到達リスト213〜217に対して図20に示した処理によって作成された感染経路リスト218を示す説明図である。
【0121】
感染経路リスト218は、抽出済通信ログ管理テーブル220の通信ログID220aに対応する通信ログID218aと、これに対応する送信元IP218b、宛先NW218c、シグネチャID218d、開始時刻218e、終了時刻218f、攻撃数218g、感染源フラグ218hといった各データを格納する。これらの各データの内容は、図17に示した抽出済通信ログ管理テーブル220の同名のデータと同一である。感染源フラグ218hは、送信元IP218bに該当する機器がワームの感染元とであると考えられる場合は1、そうでない場合は0の値を持つ。
【0122】
ワーム感染源特定手段202はまず、感染経路リスト218に新規エントリを追加する(ステップS801)。通信ログID218a、送信元IP218b、宛先NW218c、シグネチャID218d、開始時刻218e、終了時刻218f、攻撃数218gは、各々抽出済通信ログ管理テーブル220の通信ログID220a、送信元IP220c、宛先NW220d、シグネチャID220g、開始時刻220h、終了時刻220i、攻撃数220jのデータを格納する。感染源フラグ218hの初期値はnullである。
【0123】
次にワーム感染源特定手段202は、送信元IP218bをキーにしてNW到達リスト213〜260を検索し、同一ネットワークに対するエントリがあるか否かを確認する(ステップS802)。同一ネットワークに対するエントリがあればステップS803に、なければステップS804にそれぞれ進む。
【0124】
ステップS802で、NW到達リスト213〜260に同一ネットワークに対するエントリがない場合、感染経路リスト218で該当するエントリの感染源フラグ218h=1として(ステップS803)処理を終了する。
【0125】
ステップS802で、同一ネットワークに対するエントリが存在する場合、NW到達リスト213〜260の該当するエントリの到達時刻213bと、感染経路リスト218で該当するエントリの開始時刻220hとを比較する(ステップS804)。到達時刻213b≦開始時刻220hであれば、前述のステップS803に進む。到達時刻213b>開始時刻220hであれば、感染経路リスト218で該当するエントリの感染源フラグ218h=0として(ステップS805)処理を終了する。
【0126】
(感染経路図の作成)
図22は、図3で示した感染経路図作成手段203が感染経路リスト218からワームの感染源と感染経路とを感染経路図219に出力する動作を示すフローチャートである。感染経路図作成手段203は、感染経路リスト218の内容を先頭から順番に確認し、各エントリに対して感染源と感染経路感染経路図219に出力する。
【0127】
感染経路図219は、縦軸に感染経路リスト218の通信ログID220aを、横軸に開始時刻218eまたは終了時刻218fを取り、開始時刻と終了時刻をそれぞれ○(白抜きの円)と◎(二重丸)として示す図である。感染経路図作成手段203は、感染経路リスト218の各々の通信ログID220aに対して、○と◎を出力する(ステップS901)。
【0128】
そして感染経路図作成手段203は、感染端末を意味する○と、感染端末から感染拡大目的のパケットが流れ込んでいるのでワーム感染の疑いがあるネットワークとして出力した◎とを、◎側に向いた太い矢印で結ぶ(ステップS902)。さらに○の上に送信元IP218bの値を、◎の上に宛先NW218cの値を、それぞれ出力する(ステップS903〜904)。
【0129】
次に感染経路図作成手段203は、感染源フラグ218hが1であるか否かを確認する(ステップS905)。0であればステップS906に、1であればステップS907にそれぞれ進む。ステップS905で感染源フラグ218h=0の場合、感染経路リスト218で送信元IP218bをキーとして検索し、感染源フラグ218h=1であるエントリが他に存在するか否かを確認する(ステップS906)。存在すればステップS907に、存在しなければステップS908に、それぞれ進む。
【0130】
該当するエントリの感染源フラグ218h=1、もしくは該当するエントリの感染源フラグ218h=0だが同一の送信元IP218bで感染源フラグ218h=1のエントリが存在する場合は、この送信元IP218bが感染源であると判断できるので、既に出力した○を●(黒丸)で上書きする(ステップS907)。●は感染源を意味するマークとして扱うことができる。
【0131】
感染源フラグ218h=1であるエントリが存在しない場合、感染経路リスト218の宛先NW218cをステップS903で出力した送信元IP218bをキーとして検索し、宛先NW218cに感染端末の属するネットワークが格納されたエントリが存在するか否かを確認する(ステップS908)。存在しなければ、それで処理を終了する。
【0132】
ステップS908で、ステップS903で出力した送信元IP218bに該当する宛先NW218cのエントリが存在する場合、その中に感染源フラグ218h=1であるエントリが存在するか否かを確認する(ステップS909)。存在しなければ、それで処理を終了する。
【0133】
ステップS909で、感染源フラグ218h=1であるエントリが存在した場合、その通信はワームによる攻撃であると考えられる。この通信がどの端末とネットワークとの間で行われたかを示す経路情報を出力するため、ステップS909で抽出した各々のエントリの◎とステップS901で出力した○とを○側に向いた細い矢印で結び(ステップS910)、これで処理を終了する。
【0134】
図23は、図22に示した処理によって図21に示した感染経路リスト218から作成された感染経路図219を示す説明図である。前述のように、○(白抜きの円)は感染端末、◎(二重丸)は感染の疑いのあるネットワーク、●(黒丸)は感染源を示す。またステップS902で描かれた太い矢印は、感染端末から感染拡大目的で送出されたパケットの向きを示し、ステップS910で描かれた細い矢印は、ワームの感染拡大目的で使用された可能性がある経路を示す。
【0135】
図23に示した感染経路図219では、IPアドレス「192.168.3.1」を持つ端末(ワーム感染端末30)は、IPアドレス「192.168.3.0/24」のネットワーク(第1セグメント11)に感染が広がった可能性がある時刻T3以前に、エージェントコンピュータ側でワーム感染が検出されている。このため、第1セグメント11ではワーム感染端末30がワームの感染源であると判断できる。
【0136】
また、これと同様に、第2セグメント12に属するIPアドレス「192.168.4.1」「192.168.4.2」の各クライアントは、IPアドレス「192.168.4.0/24」のネットワーク(第2セグメント12)に感染が広がった可能性がある時刻T4以前に、エージェントコンピュータ側でワーム感染が検出されている。このため、第2セグメント12ではこれらの端末がワームの感染源であると判断できる。
【0137】
ワームに感染したIPアドレス「192.168.4.2」のクライアントから送出された、感染を拡大する目的と考えられるパケットが、IPアドレス「192.168.4.0/24」のネットワーク(第2セグメント12)にT4の時刻で届いている。さらにその後に、ワームに感染したIPアドレス「192.168.4.5」のクライアントから送出された、感染を拡大する目的と考えられるパケットが、IPアドレス「192.168.4.0/24」(第2セグメント12)および「192.168.5.0/24」(第3セグメント13)のネットワークに届いている。
【0138】
このことから、第2セグメント12に属するIPアドレス「192.168.4.5」のクライアントのワーム感染が、同じセグメントに即するIPアドレス「192.168.4.2」のクライアントに引き起こされた可能性が高いと推測することもできる。
【0139】
(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本実施形態に係るワーム感染源特定方法は、コンピュータネットワークに接続され、コンピュータネットワークにワームに感染したコンピュータ装置であるワーム感染端末が接続されたことを検出するコンピュータ装置であるマネージャコンピュータ20と、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータ21、22、23とを含むコンピュータネットワークにあって、ワームの感染源を特定する方法である。まずエージェントコンピュータが、ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブル255に予め記憶し、コンピュータネットワーク上の通信パケットを検査し(図12・ステップS301)、通信パケットをシグネチャ管理テーブルと照合してシグネチャIDを特定し(図12・ステップS307〜308)、通信パケットの検査結果を通信ログ一時テーブルとして記録し(図12・ステップS309)、エージェントコンピュータが、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成し(図13・ステップS404〜408、および図14・ステップS504〜507)、通信ログ送信用テーブルをマネージャコンピュータに送信する(図14・ステップS508)。これに対してマネージャコンピュータが、エージェントコンピュータから受信した通信ログ送信用テーブルの内容を通信ログ管理テーブルとして保存し(図16・ステップS601〜602)、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定して感染経路リストを作成する(図20・ステップS801〜805)。
【0140】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するコンピュータであるマネージャコンピュータ20および各エージェントコンピュータ21,22,23に実行させるようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。
【0141】
本実施形態の第1の効果は、ワーム感染後に多くのマシンリソースを必要とせずに、ワームの感染源および感染経路の特定を行うことができることである。その理由は、通信ログの膨大なデータを2段階に分けて集約し、不要となったデータを削除することで、エージェントコンピュータおよびマネージャコンピュータが膨大なログの中から特定の条件を満たす通信を検出する処理にかかるリソース消費を抑えているためである。さらに、エージェントコンピュータとマネージャコンピュータとで役割を分担させて、一台あたりのマシンリソースの消費を抑制しているためでもある。
【0142】
本実施形態の第2の効果は、ログ収集時に生じるネットワークの帯域圧迫の問題を解決できることである。その理由は、前述したように通信ログのデータを集約してからエージェントコンピュータからマネージャコンピュータに送信しているためである。
【0143】
本実施形態の第3の効果は、各ネットワーク装置の膨大なログを1件ずつ確認する場合に比べて、特別なスキルを必要とせずにワームの感染源および感染経路を特定できることである。その理由は、通信ログ管理テーブル212にユーザID数212dおよび宛先IP数212cというデータ項目を設けて、ネットワーク経由で感染を拡大するワームの通信上の特徴を保持してそこからワームを検出するようにしているためである。
【0144】
(第2の実施形態)
本発明の第2の実施形態では、前述の第1の実施形態の構成に加えて、マネージャコンピュータおよびエージェントコンピュータを結ぶ管理専用ネットワークを、通常のネットワークとは別に設ける構成とした。これにより、ワームの感染によってネットワーク帯域が圧迫された場合でも、エージェントコンピュータとマネージャコンピュータとの間で通信が困難になることはないので、本発明にかかる動作をより確実に実行してワームを検出することができる。以下、これをより詳細に説明する。
【0145】
図24は、本発明の第2の実施形態に係るコンピュータネットワーク1001の構成を示す説明図である。コンピュータネットワーク1001は、前述の第1の実施形態に係るコンピュータネットワーク1と同一のコンピュータで構成されている。第1セグメント11に属するエージェントコンピュータをエージェントコンピュータ1021、第2セグメント12に属するエージェントコンピュータをエージェントコンピュータ1022、第3セグメント11に属するエージェントコンピュータをエージェントコンピュータ1023という。
【0146】
各エージェントコンピュータ1021、1022、1023と、マネージャコンピュータコンピュータ20とは、通常のネットワークとは別個の、破線で示す管理専用ネットワーク1002で結ばれている。管理専用ネットワーク1002は、データを中継するルータ1041および1042も、通常のネットワークとは別個に設けられている。
【0147】
図25は、図24に示した各エージェントコンピュータ121、122、123のソフトウェアとしての構成を示す説明図である。各エージェントコンピュータ121、122、123は、ハードウェアとしては、通信手段103が、通常のネットワークおよび管理専用ネットワーク1002の両方に接続されている点以外は、図2に示した第1の実施形態と同一の構成を持っている。ソフトウェアとしての構成も、記憶手段102に記憶されているネットワーク管理テーブル263がネットワーク管理テーブル1263に変更されている以外は、第1の実施形態と同一である。構成の中で第1の実施形態と同一の要素は、同一の名称および参照番号で呼ぶ。
【0148】
図26は、図24に示したネットワーク管理テーブル1263のデータ構成を示す説明図である。エージェントプログラム250は、ネットワーク管理テーブル1263の記録データを必要に応じて変更できる権限を有している。また、マネージャプログラム200からも、各エージェントコンピュータに指令して、このネットワーク管理テーブル1263を参照することができる。
【0149】
ネットワーク管理テーブル1263は、次に示す内容を記録している。ネットワークID1263aは、登録されているネットワークアドレスを一意に特定するためのIDである。ネットワークアドレス1263bは、通常のネットワークでの各セグメントのアドレス範囲、管理用アドレス1263cはこのセグメントに属するエージェントコンピュータの管理専用ネットワーク1002でのIPアドレスを表す。
【0150】
たとえば、第1セグメント11は、通常のネットワークではIPアドレス「192.168.3.0/24」であるが、これに属するエージェントコンピュータ121の管理専用ネットワーク1002のIPアドレスは「10.5.1.1」である。このように、ネットワーク管理テーブル1263は、通常のネットワークでの各セグメントのIPアドレスをネットワークアドレス1263b、このセグメントに属するエージェントコンピュータの管理専用ネットワーク1002でのIPアドレスを管理用アドレス1263cとして記憶し、相互に対応づけている。また、ネットワークID1263a=「M」として、マネージャコンピュータ20の管理用アドレス1263cも記憶している。
【0151】
この点以外は、コンピュータネットワーク1001は、前述の第1の実施形態に係るコンピュータネットワーク1と同一の機能を持ち、同一の動作をする。ただ、エージェントコンピュータとマネージャコンピュータとの間の通信は、ワームの侵入の心配がない管理専用ネットワーク1002を利用して行うことができる。このことにより、ワームがDoS攻撃などのようにネットワークの帯域を圧迫する動作をした場合でも、エージェントコンピュータとマネージャコンピュータとの間の通信が困難となることはなく、本発明にかかる動作を確実に行って、前述した通りの効果を確実に得ることができる。
【0152】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【産業上の利用可能性】
【0153】
本発明はコンピュータネットワークのセキュリティ向上に利用することができる。
【符号の説明】
【0154】
1、1001 コンピュータネットワーク
11 第1セグメント
12 第2セグメント
13 第3セグメント
20 各コンピュータ装置
21 プロセッサ
22 記憶手段
23 通信手段
24 出力手段
21、22、23、121、122、123 エージェントコンピュータ
30 ワーム感染端末
41、42、1041、1042 ルータ
20 マネージャコンピュータ
31 クライアント
200 エージェントプログラム
201 パケット検査手段
202 通信ログ1次集約手段
203 通信ログ2次集約手段
204 通信ログ送信手段
211、271 初期設定ファイル
211 エージェントコンピュータ情報テーブル
212 通信ログ管理テーブル
213、214、217 NW到達リスト
218 感染経路リスト
219 感染経路図
220 抽出済通信ログ管理テーブル
250 マネージャプログラム
251 通信ログ格納手段
252 ワーム感染源特定手段
253 感染経路図作成手段
261 シグネチャ管理テーブル
262 例外情報管理テーブル
263、1263 ネットワーク管理テーブル
264 通信ログ一時テーブル
265 通信ログ集約テーブル
266 通信ログ送信用テーブル
1002 管理専用ネットワーク
【技術分野】
【0001】
本発明はコンピュータネットワーク上でワームの感染源とその経路を特定することに関し、特にその感染源および経路を特定する処理にかかるコンピュータ装置およびネットワークへの負荷を軽減することに関する。
【背景技術】
【0002】
コンピュータネットワークが社会や企業などにとって重要なインフラとなると同時に、ネットワークを介して感染を広げていく不正プログラム、即ち広義のコンピュータウィルスによる被害も深刻化している。本明細書では、広義のコンピュータウィルスの中で、宿主となるファイルを必要とせず、それ自体で独立して実行可能なプログラムファイルであるものを、ワームという。
【0003】
このワームにより、DoS攻撃(Denial of Service attack)や迷惑メールの送信、機密データの漏洩などのような不正な動作がなされ、その結果としてたとえば特定のウェブサーバや電子メールサーバなどに対して過大な負荷を生じさせられてネットワークの障害が起こるなどのような被害が実際に発生している。これは企業にとっては業務の支障、あるいは社会的信用の喪失などになるので、企業内のネットワークにワームに感染したコンピュータ装置(以後これを感染源という)が接続された場合、そのコンピュータ装置を速やかに特定し、適切な措置を執る必要がある。
【0004】
しかしながら、ワームは次々と亜種や新種が出現し、その感染を拡大する手口も年々巧妙になってきていることから、ワーム対策は「いたちごっこ」にならざるを得ない。また、セキュリティと利便性はトレードオフの関係にあり、さらに設定したセキュリティポリシーの欠陥をついてワームが感染することさえある。このため、ワームによる感染被害を完全に防止することは困難を極める。
【0005】
既存のアンチウィルスなどの技術で検出できないワームや、セキュリティ設定の欠陥部分をついて感染するワームについて、IPS(Intrusion Prevention System、侵入防止システム)を利用して、ネットワークに接続されたファイアウォールや端末などの通信ログをサーバコンピュータに集約し、相関分析などを行って異常な通信を検出し、その感染経路や感染源の特定を行うということが通常は行われている。
【0006】
これに関連して、次のような技術文献がある。特許文献1には、各端末の情報をIPノードスコープが収集し、そこで収集した情報からモニタシステムがワームを検出するという感染防止システムが記載されている。特許文献2には、通信ログのデータの中から所定の検出条件に該当する通信を検出することによりワームを検出するというワーム判定装置が記載されている。特許文献3には、不正な通信パケットを捕捉および記録し、その伝搬経路を特定するというワーム伝搬監視システムが記載されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2007−109247号公報
【特許文献2】特許4051020号公報
【特許文献3】特許4235907号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、ネットワークに接続された各機器に保存される通信ログはただでさえ膨大な量である。この中から、特定の条件を満たす通信を検出してワームの感染を検出するには、この処理を担当するコンピュータ装置に膨大な負荷を強いることになる。
【0009】
また、この膨大なログをネットワークを介して機器間を転送することも、ネットワーク全体に対して負荷を強いることとなる。ネットワーク上にワームに感染した機器があると、ただでさえその機器が異常な回数や容量の通信を行ってネットワークの帯域を圧迫して他の機器に過大な負荷を強いているので、その中で膨大なログを転送することは現実的であるとは言えない。
【0010】
前述の特許文献1〜3のいずれにも、転送されるデータ量および各コンピュータでの処理量を軽減することについては記載されていないので、これらの技術では上記の問題点を解決することはできない。
【0011】
本発明の目的は、ネットワーク上で転送されるデータ量、および検出処理に係る各コンピュータの処理量を軽減してワームの感染源とその経路を特定することを可能とするワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータを提供することにある。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明に係るワーム感染源特定システムは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するワーム感染源特定システムであって、ワーム感染端末に関する情報を収集するエージェントコンピュータと、エージェントコンピュータが収集した情報を受信してワーム感染端末を特定するマネージャコンピュータとを備え、エージェントコンピュータが、コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、通信ログ送信用テーブルをマネージャコンピュータに送信する通信ログ送信手段とを有することを特徴とする。
【0013】
上記目的を達成するため、本発明に係るエージェントコンピュータは、ワームに感染したコンピュータ装置であるワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータであって、コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、通信ログ送信用テーブルをマネージャコンピュータに送信する通信ログ送信手段とを有することを特徴とする。
【0014】
上記目的を達成するため、本発明に係るマネージャコンピュータは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータであって、同一のコンピュータネットワークに接続されたエージェントコンピュータから受信したワーム感染端末に関する情報を通信ログ管理テーブルとして保存する通信ログ格納手段と、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リストを作成するワーム感染源特定手段とを有することを特徴とする。
【0015】
上記目的を達成するため、本発明に係るワーム感染源特定方法は、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、エージェントコンピュータが、ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブルに予め記憶し、エージェントコンピュータが、コンピュータネットワーク上の通信パケットを検査し、エージェントコンピュータが、通信パケットをシグネチャ管理テーブルと照合してシグネチャIDを特定し、エージェントコンピュータが、通信パケットの検査結果を通信ログ一時テーブルとして記録し、エージェントコンピュータが、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成し、エージェントコンピュータが、通信ログ送信用テーブルをマネージャコンピュータに送信し、マネージャコンピュータが、エージェントコンピュータから受信した通信ログ送信用テーブルの内容を通信ログ管理テーブルとして保存し、マネージャコンピュータが、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リストを作成することを特徴とする。
【0016】
上記目的を達成するため、本発明に係るワーム感染源特定プログラムは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブルに予め記憶したエージェントコンピュータに、コンピュータネットワーク上の通信パケットを検査する手順と、通信パケットをシグネチャ管理テーブルと照合してシグネチャIDを特定する手順と、通信パケットの検査結果を通信ログ一時テーブルとして記録する手順と、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する手順と、通信ログ送信用テーブルをマネージャコンピュータに送信する手順とを実行させることを特徴とする。
【0017】
上記目的を達成するため、本発明に係る別のワーム感染源特定プログラムは、ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、マネージャコンピュータに、エージェントコンピュータから受信したワーム感染端末に関する情報を通信ログ管理テーブルとして保存する手順と、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リストを作成する手順とを実行させることを特徴とする。
【発明の効果】
【0018】
上述したように本発明は、エージェントコンピュータが通信ログを集約してマネージャコンピュータに送信し、マネージャコンピュータがそこからワーム感染端末を特定するように構成したので、エージェントコンピュータとマネージャコンピュータの双方で処理量を軽減して、さらに転送されるデータ量も削減できる。これによって、ネットワーク上で転送されるデータ量、および検出処理に係る各コンピュータの処理量を軽減してワームの感染源とその経路を特定することが可能であるという、優れた特徴を持つワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータを提供することができる。
【図面の簡単な説明】
【0019】
【図1】本発明の第1の実施形態に係るコンピュータネットワークの構成を示す説明図である。
【図2】図1に示した各コンピュータ装置のハードウェアとしての構成を示す説明図である。
【図3】図2に示したマネージャプログラムのソフトウェアとしての構成を示す説明図である。
【図4】図2に示したエージェントプログラムのソフトウェアとしての構成を示す説明図である。
【図5】図4に示したシグネチャ管理テーブルのデータ構成を示す説明図である。
【図6】図4に示した例外情報管理テーブルのデータ構成を示す説明図である。
【図7】図4に示したネットワーク管理テーブルのデータ構成を示す説明図である。
【図8】図4に示した通信ログ一時テーブルのデータ構成を示す説明図である。
【図9】図4に示した通信ログ集約テーブルおよび通信ログ送信用テーブルのデータ構成を示す説明図である。
【図10】図3に示したエージェントコンピュータ情報テーブルのデータ構成を示す説明図である。
【図11】図3に示した通信ログ管理テーブルのデータ構成を示す説明図である。
【図12】図4で示したパケット検査手段が受信パケットを検査して通信ログ一時テーブルに通信ログを格納する動作を示すフローチャートである。
【図13】図4で示した通信ログ1次集約手段が通信ログ一時テーブルを定期参照して通信ログ集約テーブルに通信ログを集約する動作を示すフローチャートである。
【図14】図4で示した通信ログ2次集約手段が通信ログ集約テーブルを定期参照して通信ログ送信用テーブルに通信ログを集約し、通信ログ送信手段が通信ログ送信用テーブルをマネージャコンピュータに送信する動作を示すフローチャートである。
【図15】図4に示した通信ログ送信用テーブルのデータ構成を示す説明図である。
【図16】図3で示した通信ログ格納手段が、エージェントコンピュータから送出された通信ログ送信用テーブルの内容を受信してこれを通信ログ管理テーブルに保存する動作を示すフローチャートである。
【図17】図11に示した通信ログ管理テーブルから、ワームの感染源および感染経路の特定に必要な情報を抽出した例である。
【図18】図3で示したワーム感染源特定手段202が抽出済通信ログ管理テーブルからNW到達リストを作成する動作を示すフローチャートである。
【図19】図17に示した抽出済通信ログ管理テーブルの通信ログIDの各々(1〜5)に対して作成されたNW到達リストを示す説明図である。
【図20】図3で示したワーム感染源特定手段がNW到達リストから感染経路リストを作成する動作を示すフローチャートである。
【図21】NW到達リストに対して図20に示した処理によって作成された感染経路リストを示す説明図である。
【図22】図3で示した感染経路図作成手段203が感染経路リストから感染経路リストを作成し、ワームの感染源と感染経路とを感染経路図に出力する動作を示すフローチャートである。
【図23】図22に示した処理によって図21に示した感染経路リストから作成された感染経路図を示す説明図である。
【図24】本発明の第2の実施形態に係るコンピュータネットワークの構成を示す説明図である。
【図25】図24に示した各エージェントコンピュータのソフトウェアとしての構成を示す説明図である。
【図26】図24に示したネットワーク管理テーブルのデータ構成を示す説明図である。
【発明を実施するための形態】
【0020】
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1〜4に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係るワーム感染源特定システムは、コンピュータネットワーク1にワームに感染したコンピュータ装置であるワーム感染端末が接続されたことを検出するワーム感染源特定システムである。このシステムは、ワーム感染端末に関する情報を収集するエージェントコンピュータ21、22、23と、エージェントコンピュータが収集した情報を受信してワーム感染端末を特定するマネージャコンピュータ20とを備える。エージェントコンピュータ21、22、23は、コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブル264として記録するパケット検査手段251と、ワームによる通信を検出する条件とこれに対応するシグネチャIDを記憶するシグネチャ管理テーブル261と、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブル266を作成する通信ログ集約手段202〜203と、通信ログ送信用テーブルをマネージャコンピュータに送信する通信ログ送信手段254とを有する。
【0021】
ここで、エージェントコンピュータの通信ログ集約手段は、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集計して宛先IP数をカウントし、通信ログ集約テーブルを作成する通信ログ第1次集約部(通信ログ1次集約手段252)と、通信ログ集約テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して宛先IP数を合計し、通信ログ送信用テーブルを作成する通信ログ第2次集約部(通信ログ2次集約手段253)とを含む。また、この通信ログ第1次集約部は、シグネチャ管理テーブルに予め記憶されたタイムアウト時間を経過したデータを通信ログ一時テーブルから削除する機能を有する。
【0022】
さらに、エージェントコンピュータは、ワーム感染端末の検出の対象としない通信内容について記憶している例外情報管理テーブル262を有し、パケット検査手段251が、通信パケットの検査結果の中から例外情報管理テーブルに記憶されている内容の通信を除外して通信ログ一時テーブルに記録する。
【0023】
一方のマネージャコンピュータ20は、エージェントコンピュータから受信した通信ログ送信用テーブルの内容を通信ログ管理テーブル212として保存する通信ログ格納手段201と、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定してワームの感染経路を示す感染経路リスト218を作成するワーム感染源特定手段202とを有する。
【0024】
このマネージャコンピュータのワーム感染源特定手段202は、通信ログ管理テーブル212に記録された通信パケットのユーザID数および宛先IP数のうち少なくとも1つ以上からワーム感染端末を特定する。そしてマネージャコンピュータは、感染経路リスト218からワームがコンピュータネットワーク内で感染を広げた日時と経路を図示する感染経路図219を作成して出力する感染経路図作成手段203を有する。
【0025】
以上の構成を備えることにより、このワーム感染源特定システムは、各コンピュータの処理量を軽減してワームの感染源とその感染経路を特定することが可能となる。
以下、これをより詳細に説明する。
【0026】
図1は、本発明の第1の実施形態に係るコンピュータネットワーク1の構成を示す説明図である。コンピュータネットワーク1は、各々のコンピュータ装置がイーサネット(登録商標)などの通信規格によって相互に接続されて構成された複数のLAN(Local Area Network)が、データを中継するネットワーク機器であるルータによってさらに相互に接続されて構成されている。
【0027】
コンピュータネットワーク1は、第1セグメント11、第2セグメント12、第3セグメント13という3つのLANに分けることができ、第1のルータ41は第1セグメント11と第2セグメント12との間でデータを中継する。第2のルータ42は第2セグメント12と第3セグメント13との間でデータを中継する。
【0028】
第3セグメント13には、コンピュータネットワーク1全体のワーム感染検出の動作を管理するコンピュータ装置であるマネージャコンピュータ20と、マネージャコンピュータ20からの制御に基づいてワーム感染検出の動作を行うコンピュータ装置であるエージェントコンピュータ23とが接続されている。
【0029】
第2セグメント12には、マネージャコンピュータ20からの制御に基づいてワーム感染検出の動作を行うコンピュータ装置であるエージェントコンピュータ22が接続されている。第1セグメント11には、やはりマネージャコンピュータ20からの制御に基づいてワーム感染検出の動作を行うコンピュータ装置であるエージェントコンピュータ21と、ワームに感染したコンピュータ装置であるワーム感染端末30が接続されている。また、各々のセグメントにはこれらのマネージャコンピュータ20、エージェントコンピュータ、ワーム感染端末30以外にも、複数台のコンピュータ装置であるクライアント31、32、…が接続されている。
【0030】
ここで、第1セグメント11に割り振られるIPアドレス範囲は「192.168.3.0/24」である。同様に第2セグメント12に割り振られるIPアドレス範囲は「192.168.4.0/24」であり、第3セグメント13に割り振られるIPアドレス範囲は「192.168.5.0/24」である。各セグメントに属する各々のコンピュータには、これらの範囲からIPアドレスが割り振られている。
【0031】
その中で、ワーム感染端末30のIPアドレスは「192.168.3.1」、エージェントコンピュータ21のIPアドレスは「192.168.3.254」、エージェントコンピュータ22のIPアドレスは「192.168.4.254」、エージェントコンピュータ23のIPアドレスは「192.168.5.254」、マネージャコンピュータ20のIPアドレスは「192.168.5.1」である。各々のクライアント31、32、…には、上記のアドレス範囲の中で、マネージャコンピュータ20、エージェントコンピュータ21、22、23、ワーム感染端末30に該当しないIPアドレスが割り振られている。
【0032】
本実施形態では、ルータによって区切られた各セグメントに、エージェントコンピュータを1台ずつ配置している。そしてマネージャコンピュータをコンピュータネットワーク1全体に対して1台配置している。また、マネージャコンピュータとエージェントコンピュータとの間の通信は、暗号化して行うことが望ましいが、この暗号化方法そのものは本発明の範囲ではないので、公知の暗号化方法を適用することができる。
【0033】
ただし、実際の運用についてはこの例の通りであるとは限らない。エージェントコンピュータは、該当ネットワークの通信をモニタすることおよびマネージャコンピュータとの通信が可能であれば、どの装置上に導入してもよい。また一台のコンピュータ装置が、複数のマネージャコンピュータに対応するエージェントコンピュータになることもできる。
【0034】
図2は、図1に示したマネージャコンピュータ20、エージェントコンピュータ21〜23のハードウェアとしての構成を示す説明図である。マネージャコンピュータ20およびエージェントコンピュータ21〜23は各々、コンピュータプログラムを実施する演算装置であるプロセッサ101と、プログラムやデータを記憶する記憶手段102と、コンピュータネットワーク1に接続して他のコンピュータ装置とのデータ通信を行う通信手段103、結果をユーザ向けに出力する出力手段104(ディスプレイやプリンタなど)とを備える。エージェントコンピュータ21〜23については、全て同一の構成であるので、エージェントコンピュータ21についてのみ詳しい構成を図示している。また、本実施形態ではエージェントコンピュータ21〜23の出力手段104を使用しないので、これについては図示していない。
【0035】
プロセッサ101で、後述する各プログラムが実行される。また、その動作で使用される各種データが、記憶手段102に記憶される。以後、マネージャコンピュータ20で実行されるプログラムをマネージャプログラム200という。また、エージェントコンピュータ21、22、23でそれぞれ実行されるプログラムをエージェントプログラム250という。
【0036】
図3は、図2に示したマネージャプログラム200のソフトウェアとしての構成を示す説明図である。マネージャプログラム200は、記憶手段102上のエージェントコンピュータ情報テーブル211に登録されたエージェントコンピュータからデータを定期的に取得して記憶手段102上の通信ログ管理テーブル212に格納する通信ログ格納手段201と、記憶手段102上の通信ログ管理テーブル212を定期的に参照してワームの感染源と感染経路を特定し、これらの特定結果を記憶手段102上の感染経路リスト218に格納するワーム感染源特定手段202と、そこから感染経路図219を作成して出力手段104に出力する感染経路図作成手段203とを有する。
【0037】
また、記憶手段102には、マネージャプログラム200の初期設定パラメータを記憶した初期設定ファイル271も記憶されている。ここでいう初期設定パラメータは、ワーム検出条件、およびワーム検出間隔である。
【0038】
ワーム検出条件は、ワーム感染源の特定を行うか否かを判断する条件となるユーザID数および宛先IP数の各々の数値である。通信ログ管理テーブル212のユーザID数および宛先IP数の各々について、ワーム感染源の特定を行うか否かを決定する閾値をここに設定する。初期値はユーザID数>1、宛先IP数>1とする。条件は複数指定可能であり、かつ条件毎に検査対象期間を指定可能である。ワーム検出間隔は、ワーム感染源特定手段202が通信ログ管理テーブル212を確認してワーム感染源の特定処理を行う間隔である。
【0039】
図4は、図2に示したエージェントプログラム250のソフトウェアとしての構成を示す説明図である。エージェントプログラム250は、通信手段103が他の装置から受信した通信パケットを検査するパケット検査手段251と、この通信パケットの検査結果を集約する通信ログ1次集約手段252と通信ログ2次集約手段253と、集約された通信ログをマネージャプログラム200に送信する通信ログ送信手段254とからなる。
【0040】
パケット検査手段251は、記憶手段102上のシグネチャ管理テーブル261および例外情報管理テーブル262を参照して通信パケットを検査し、その検査結果を記憶手段102上の通信ログ一時テーブル264に格納する。通信ログ1次集約手段252は、記憶手段102上のシグネチャ管理テーブル261およびネットワーク管理テーブル263を参照しつつ、記憶手段102上の通信ログ一時テーブル264を定期的に確認し、その中でシグネチャ管理テーブル261に設定された閾値を越えたものを記憶手段102上の通信ログ集約テーブル265に記録する。
【0041】
通信ログ1次集約手段252はさらに、記憶手段102上の通信ログ集約テーブル265に記録された中で、記憶手段102上のシグネチャ管理テーブル261に設定されたタイムアウト値を超えたものを削除する。そして通信ログ2次集約手段253は、通信ログ集約テーブル265をさらに集約した通信ログ送信用テーブル266を記憶手段102上に作成する。通信ログ送信手段254は、その通信ログ送信用テーブル266をマネージャプログラム200に送信する。
【0042】
また、記憶手段102には、エージェントプログラム250の初期設定パラメータを記憶した初期設定ファイル271も記憶されている。ここでいう初期設定パラメータは、通信ログ一時テーブルチェック間隔、および通信ログ集約テーブルチェック間隔である。
【0043】
通信ログ1次集約手段252は、通信ログ一時テーブルチェック間隔の値を基にして定期的に通信ログ一時テーブル264を確認し、シグネチャ管理テーブル261の閾値と検査タイムアウトのカラムを基にエントリの削除もしくは通信ログ集約テーブル265への集約を行う。参照したエントリを集約後に通信ログ一時テーブル264から削除することで、エージェントコンピュータのリソース消費を軽減する。
【0044】
通信ログ2次集約手段253は、通信ログ集約テーブルチェック間隔の値を基にして定期的に通信ログ集約テーブル265を確認して、通信ログ集約テーブル265のエントリをさらに集約して通信ログ送信用テーブル266とする。
【0045】
図5は、図4に示したシグネチャ管理テーブル261のデータ構成を示す説明図である。エージェントプログラム250は、シグネチャ管理テーブル261の記録データを必要に応じて変更できる権限を有している。また、マネージャプログラム200からも、各エージェントコンピュータに指令して、このシグネチャ管理テーブル261を参照および変更できる。
【0046】
シグネチャ管理テーブル261は、次に示す内容を記録している。シグネチャID261aは、ワームの種類、もしくはワームによる攻撃の種類(これをシグネチャという)を一意に特定するためのIDである。パケット検査手段251は、後述のプロトコル毎に、シグネチャID261aの小さいものから順に受信パケットと比較する。
【0047】
識別名261bは、各シグネチャの識別名である。これは任意に命名することができる。プロトコル261cは、検査対象のプロトコルの名称、たとえばTCP(Transmission Control Protocol)、UDP(User Datagram Protocol)、ICMP(Internet Control Message Protocol)などである。
【0048】
ルール261dは、検査対象とする通信内容のルールを示す。たとえば「宛先ポート=80」とあるものは、このポートに対する通信を検査対象とする。他にもプロトコル261cを「TCP」、ルール261dを「宛先ポート=25」でかつ「RCPT TO:%UNIQ_ID%」として、電子メール送信を検出することもできる。%UNIQ_ID%とは、受信パケットに含まれ、電子メール送信時に指定されるユーザ固有の識別情報をいう。これが、後述する通信ログ一時テーブル264などに含まれるユーザID(264c)となる。また、ここでプロトコル261cを「ICMP」として、ルール261dを「タイプ=8」とすれば、エコー要求(pingコマンド)を検出することができる。
【0049】
閾値261eは、ワームによる不正な攻撃であるか否かを判定する基準となる数値である。通信ログ1次集約手段252は、後述の通信ログ一時テーブル264を更新する時に、通信ログ一時テーブル264の該当行の攻撃数と閾値261eとを比較し、単位時間内に行われる攻撃数が閾値261eを超えているか否かを確認し、超えていればこれに該当する行のデータを通信ログ集約テーブル265に集約する。この動作について詳細は後述する。
【0050】
検査タイムアウト秒数261fは、通信ログ一時テーブル264に登録された通信が、そこから削除されるまでの秒数の設定値である。通信ログ1次集約手段252は、通信ログ一時テーブル264を更新する時に、通信ログ一時テーブル264の該当する行のデータ登録時刻と検査タイムアウト秒数261fとを比較し、データが登録されてからの経過時間が検査タイムアウト秒数261fを超えていた場合には通信ログ一時テーブル264から該当行を削除する。
【0051】
シグネチャ管理テーブル261の末尾には、パケット検査手段251が取りこぼしなくパケットを捕捉できるよう、次のようなエントリを登録しておくことが望ましい。識別名261bを「other${uniq_num}」、プロトコル261cを「TCP」、ルール261dを「宛先ポート=${dst_port}」、閾値261eを「1」、検査タイムアウト秒数261fを「1」とする。uniq_numは、ユニークな番号を表す変数であり、dst_portは宛先ポート番号を表す変数である。これと同様のルールを、プロトコル261cがUDPやICMPの場合についても設定しておくことが望ましい。
【0052】
未知のワームに対応するため、シグネチャ管理テーブル261に、ワームの動作として予め想定される通信を予めすべて登録しておいてもよいし、パケット検査手段251がシグネチャ管理テーブル261に登録されていない通信を検出したタイミングで、動的にIDと識別名を割り当てて新規エントリを追加するようにしてもよい。
【0053】
図6は、図4に示した例外情報管理テーブル262のデータ構成を示す説明図である。エージェントプログラム250は、例外情報管理テーブル262の記録データを必要に応じて変更できる権限を有している。例外情報管理テーブル262は、次に示す内容を記録している。ID262aは、登録されている例外情報を一意に特定するためのIDである。送信元アドレス262b、宛先アドレス262c、プロトコル262dは、例外扱いとする対象の通信の、各々送信元アドレス、宛先アドレス、プロトコルである。ルール262eは、例外扱いとする対象の通信の、上記した以外の属性を示す。
【0054】
例外情報管理テーブル262には、たとえばネットワークプリンタを使用して印刷を行う際に生じる通信など、明らかにワームとは無関係である通信について登録する。パケット検査手段251は、捕捉した通信とシグネチャ管理テーブル261のエントリとを比較する前に、捕捉した通信と例外情報管理テーブル262のエントリを比較し、この通信が例外情報管理テーブル262のエントリに該当する場合は、ここで捕捉した通信の検査を打ち切る。これによって、マシンリソースを節約することができる。
【0055】
図7は、図4に示したネットワーク管理テーブル263のデータ構成を示す説明図である。エージェントプログラム250は、ネットワーク管理テーブル263の記録データを必要に応じて変更できる権限を有している。また、マネージャプログラム200からも、各エージェントコンピュータに指令して、このネットワーク管理テーブル263を参照することができる。
【0056】
ネットワーク管理テーブル263は、次に示す内容を記録している。ネットワークID263aは、登録されているネットワークアドレスを一意に特定するためのIDである。ネットワークアドレス263bは、各々のネットワークID263aに属するIPアドレスの範囲を表す。
【0057】
第1セグメント11は、ネットワークID263a=「1」、ネットワークアドレス263b=「192.168.3.0/24」である。同様に第2セグメント12は、ネットワークID263a=「2」、ネットワークアドレス263b=「192.168.4.0/24」であり、第3セグメント13はネットワークID263a=「3」、ネットワークアドレス263b=「192.168.5.0/24」である。
【0058】
図8は、図4に示した通信ログ一時テーブル264のデータ構成を示す説明図である。エージェントプログラム250は、通信ログ一時テーブル264の記録データを必要に応じて変更できる権限を有している。通信ログ一時テーブル264は、次に示す内容を記録している。送信元IP264a、宛先IP264bは、パケット検査手段251が捕捉した通信の、各々送信元および宛先のIPアドレスを示す。
【0059】
ユーザID264cは、パケット検査手段251が捕捉した通信にユーザを示す文字列が含まれている場合、その文字列を示す。ユーザを示す文字列がなければ、空データ(null)となる。シグネチャID264dは、捕捉した通信に対応するシグネチャ管理テーブル261のシグネチャID261aを示す。
【0060】
登録時刻264eは、この行に該当するデータが通信ログ一時テーブル264に最初に登録された時刻を示す。攻撃数264fは、データが通信ログ一時テーブル264に最初に登録されてから、同一の送信元IP264a、宛先IP264b、ユーザID264c、シグネチャID264dの通信が行われた回数を示す。
【0061】
図9は、図4に示した通信ログ集約テーブル265および通信ログ送信用テーブル266のデータ構成を示す説明図である。エージェントプログラム250は、通信ログ集約テーブル265および通信ログ送信用テーブル266の記録データを必要に応じて変更できる権限を有している。
【0062】
通信ログ集約テーブル265は、次に示す内容を記録している。送信元IP265aは、パケット検査手段251が捕捉した通信の送信元IPアドレスである。宛先NW265bは、パケット検査手段251が捕捉した通信の宛先ネットワークアドレスを一意に特定可能なIDである。これは通信ログ1次集約手段252がネットワーク管理テーブル263を参照して、該当するネットワークID263aの値を登録する。なお、本明細書では「ネットワーク」を略して「NW」ということがある。
【0063】
宛先IP数265cは、パケット検査手段251が捕捉した通信に含まれていた宛先IPアドレスの数の合計を示す。これは通信ログ1次集約手段252が通信ログ一時テーブル264もしくは通信ログ集約テーブル265から通信ログを集約する際に、通信ログのユニークな宛先IPアドレスの数を集計して登録する。
【0064】
ユーザID数265dは、パケット検査手段251が捕捉した通信に含まれていたユーザを示すユニークな文字列の数を示す。これは通信ログ1次集約手段252が通信ログ一時テーブル264もしくは通信ログ集約テーブル265から通信ログを集約する際に、通信ログのユーザIDの数を集計して登録する。
【0065】
シグネチャID265eは、パケット検査手段251が捕捉した通信に対応するシグネチャ管理テーブル261のシグネチャIDである。検知時刻265fは、シグネチャID265eに示す通信が開始された時刻である。登録時刻265gは、通信ログ1次集約手段252が通信ログ一時テーブル264もしくは通信ログ集約テーブル265のエントリを集約して該当データを登録した時刻である。
【0066】
攻撃数265hは、シグネチャID265eに該当する通信が開始されてから登録時刻265gの時刻までに、同一の送信元IP265a、宛先NW265b、シグネチャID265eの通信が行われた回数を示す。
【0067】
通信ログ送信用テーブル266も、通信ログ集約テーブル265と同内容のデータ構成を有するので、これらを各々送信元IP266a、宛先NW266b、宛先IP数266c、ユーザID数266d、シグネチャID266e、検知時刻266f、登録時刻266g、攻撃数266hという。通信ログ送信用テーブル266の具体的なデータの例については後述する。
【0068】
図10は、図3に示したエージェントコンピュータ情報テーブル211のデータ構成を示す説明図である。マネージャプログラム200は、エージェントコンピュータ情報テーブル211の記録データを必要に応じて変更できる権限を有している。またマネージャプログラム200は、エージェントコンピュータ情報テーブル212に登録されたエージェントコンピュータからのみ通信ログを受け取る。
【0069】
エージェントコンピュータ情報テーブル211は、次に示す内容を記録している。エージェントコンピュータID211aは、登録されているエージェントコンピュータを一意に特定するためのIDである。エージェントコンピュータIP211bは、そのエージェントコンピュータのIPアドレスである。
【0070】
管理者メールアドレス211cは、そのエージェントコンピュータの管理者のメールアドレスである。監視対象NW211dは、監視対象ネットワークを一意に特定可能なIDである。これは、通信ログ格納手段201がネットワーク管理テーブル263を参照することによって、該当するネットワークID263aの値を登録する。
【0071】
図11は、図3に示した通信ログ管理テーブル212のデータ構成を示す説明図である。マネージャプログラム200は、通信ログ管理テーブル212の記録データを必要に応じて変更できる権限を有している。通信ログ格納手段201は、エージェントコンピュータから入手した通信ログにデータ入手元のエージェントコンピュータのIPアドレスを付加して、通信ログ管理テーブル212として記録する。
【0072】
通信ログ管理テーブル212は、次に示す内容を記録している。エージェントコンピュータIP212aは、該当するデータを送信したエージェントコンピュータのIPアドレスであり、前述のように通信ログ格納手段201が付加する。これ以外は、図9で示した通信ログ集約テーブル265と同一の内容のデータを有するので、これらを各々送信元IP212b、宛先NW212c、宛先IP数212d、ユーザID数212e、シグネチャID212f、検知時刻212g、登録時刻212h、攻撃数212iという。これらの各データが意味する内容も、通信ログ集約テーブル265における同名のデータと同一である。
【0073】
図3に示した感染経路リスト218は、ワーム感染源特定手段202が特定したワームによる通信の記録を格納するものであるが、このデータ構成については後述する。
【0074】
以後、本実施形態の説明においては、ワーム感染源とはコンピュータネットワーク1内にワームの感染が拡大する原因となったワーム感染端末30のことをいう。また、ワーム感染経路とは、ワームが発したと推測される通信がどの端末間、あるいはネットワーク間で行われたかを示す経路という意味でいう。
【0075】
(通信ログの格納と集約)
図12は、図4で示したパケット検査手段251が受信パケットを検査して通信ログ一時テーブル264に通信ログを格納する動作を示すフローチャートである。パケット検査手段251は、受信したパケットごとに図12で示す動作を行う。
【0076】
通信を受信したパケット検査手段251は(ステップS301)、まずこの受信したパケットが自ネットワークを起源(発信元)とするものか否かを判断する(ステップS302)。発信元が自ネットワークでない場合は、ここで処理を終了する。発信元が自ネットワークであればステップS303に進んで処理を継続する。送信元が自ネットワークの場合のみ受信パケットを検査する動作を行うので、これによってエージェントコンピュータのマシンリソースを節約することができる。
【0077】
発信元が自ネットワークの場合、パケット検査手段251は受信パケットと例外情報管理テーブル262とを比較して、受信パケットの内容に該当するエントリが例外情報として登録されているか否かを確認する(ステップS303)。例外情報として登録されている場合は、ここで処理を終了する。
【0078】
例外情報として登録されていなければ、パケット検査手段251はさらに受信パケットがシグネチャ情報テーブル261とを比較して、受信パケットの内容に該当するエントリが存在するか否かを確認する(ステップS304)。該当するエントリが存在しない場合は、ここで処理を終了する。
【0079】
該当するエントリが存在する場合、パケット検査手段251はシグネチャ管理テーブル261のルール261dを確認し、ユーザIDを含むルール(たとえば、図12に示した例でいえばシグネチャID261a=「4」でルール261dにユニークなユーザIDを示す「UNIQ_ID」が含まれていること)が定義されているか否かを確認する(ステップS305)。定義されていれば、そのルールに従ってユーザIDを取得し(ステップS306)、ステップS307に進む。定義されていなければ、そのままステップS307に進む。
【0080】
引き続いてパケット検査手段251は、受信パケットの送信元IPアドレス、宛先IPアドレス、ステップS306で取得したユーザID、ステップS304で取得したシグネチャIDをキーとして通信ログ一時テーブル264を検索し、同一内容のエントリが既に存在するか否かを確認する(ステップS307)。
【0081】
同一内容のエントリが存在しなければ、パケット検査手段251はその送信元IPアドレス264a、宛先IPアドレス264b、ユーザID264c、シグネチャID264dで新規エントリを通信ログ一時テーブル264に作成する(ステップS308)。その際、登録時刻264eおよび攻撃数264fの初期値は0とする。新規エントリの作成を完了したら、ステップS309に進む。同一内容のエントリが存在すれば、そのままステップS309に進む。
【0082】
引き続いてパケット検査手段251は、該当するエントリの攻撃数264fを+1して(ステップS309)、これで受信パケットの検査処理を終了する。ステップS308で新規エントリを作成した場合は、その新規エントリの攻撃数264f=「0」を「1」とすることになる。図8には、このパケット検査処理を実行した後の通信ログ一時テーブル264の例を示している。
【0083】
図13は、図4で示した通信ログ1次集約手段252が通信ログ一時テーブル264を定期参照して通信ログ集約テーブル265に通信ログを集約する動作を示すフローチャートである。通信ログ1次集約手段252は、通信ログ一時テーブル264を上から順に確認し、未参照のエントリに対してのみステップS402以後に示す通信ログ集約処理を行う(ステップS401)。
【0084】
通信ログ1次集約手段252はまず、通信ログ一時テーブル264の参照中のエントリと送信元IPアドレス264a、ユーザID264c、シグネチャID264dが同一で、かつ宛先IPアドレス264bが自らと同一ネットワークである(ネットワーク管理テーブル263を参照して判断する)エントリを抽出して(ステップS402)、通信ログ1次集約手段252はこれを上から順に確認し、ステップS404以後に示す通信ログ集約処理を行う(ステップS403)。
【0085】
通信ログ1次集約手段252は、参照中のエントリの攻撃数264fの値が、参照中のエントリのシグネチャID264d(261a)をキーにしてシグネチャ管理テーブル261を検索し、抽出された閾値261eと比較する(ステップS404)。攻撃数264f≧閾値261eであればステップS405に進み、攻撃数264f<閾値261eであればステップS409に進む。
【0086】
通信ログ1次集約手段252は、参照中のエントリの送信元IPアドレス264a、シグネチャID264dと宛先IPアドレス264bが属するネットワークアドレスをキーとして通信ログ集約テーブル265を検索し同一内容のエントリが存在するか否かを確認する(ステップS405)。同一内容のエントリが存在しなければステップS406に、同一内容のエントリが存在する場合はステップS407にそれぞれ進む。
【0087】
ステップS405で同一内容のエントリが存在しなければ、該当する内容の新規エントリを通信ログ集約テーブル265上に作成する(ステップS406)。その際、送信元IP265aは、通信ログ一時テーブル264で参照中のエントリの送信元IP264aを記録する。宛先NW265bは、通信ログ一時テーブル264で参照中のエントリの宛先IP264bが属するネットワークアドレスを記録する。
【0088】
宛先IP数265cは、ユニークな宛先IP264bをカウントした数(初期値は1)を記録する。ユーザID数265dは、ユニークなユーザID264cをカウントした数(初期値は、ユーザIDを取得している場合は1、取得していない場合は0)を記録する。シグネチャID265e、検知時刻265f、攻撃数265hは、通信ログ一時テーブル264で参照中のエントリのシグネチャID264d、登録時刻264e、攻撃数264fを各々記録する。登録時刻265gは、この処理を行っている時点の現在時刻である。
【0089】
ステップS405で同一内容のエントリが存在すれば、通信ログ1次集約手段252は通信ログ集約テーブル265上の該エントリの宛先IP数265c、ユーザID数265d、検知時刻265f、登録時刻265g、攻撃数265hを各々更新する(ステップS407)。これらのデータ更新の具体的な内容については、次の行から詳しく説明する。
【0090】
通信ログ一時テーブル264で参照中の宛先IP264bが未カウントの場合は、通信ログ集約テーブル265の該当行の宛先IP数265cを+1する。同様に、参照中のユーザID264cが未カウントの場合は、通信ログ集約テーブル265の該当行のユーザID数265dを+1する。その際、同一の宛先IP264bおよびユーザID264cを重複してカウントしないように、参照中の通信ログの宛先IPアドレスとユーザIDとをメモリ上などに適宜キャッシュしておくとよい。
【0091】
通信ログ集約テーブル265の該当行の検知時刻265fと通信ログ一時テーブル264で参照中の登録時刻264eとを比較して、古い方の時刻を検知時刻265fとする。また、該当行の登録時刻265gは、この処理を行っている時点の現在時刻とする。そして該当行の攻撃数265hに、参照中の通信ログの攻撃数264fを加算する。以上がステップS407の処理の詳細である。ステップS406またはステップS407の終了後、ステップS408に進む。
【0092】
一方、ステップS404で攻撃数264f<閾値261eの場合は、通信ログ1次集約手段252は参照中のエントリの登録時刻264eから現在までの経過時間と、参照中のエントリのシグネチャID264d(261a)をキーにしてシグネチャ管理テーブル261を検索して抽出した行の検査タイムアウト秒数261fの値を比較して、経過時間≧検査タイムアウト秒数261fであるか否かを判断する(ステップS408)。経過時間≧検査タイムアウト秒数261fであれば、タイムアウトしたことになるのでステップS409に進む。経過時間<検査タイムアウト秒数261fであれば、ステップS410に進む。
【0093】
ステップS408でタイムアウトしていた場合、または通信ログ集約テーブル265のエントリを追加もしくは更新した場合、参照中の通信ログ一時テーブル264の該当エントリを削除する(ステップS409)。
【0094】
図9に示した例では、図8に示した通信ログ一時テーブル264からこの処理を通じて集約された通信ログ集約テーブル265を示している。たとえば、図8の最初の6件のエントリは、図9の先頭の1件のエントリに集約される。即ち、宛先IPアドレス264bが異なる6回の通信は、同一の送信元IPアドレス264aから発せられた同一の内容の通信(攻撃)であると判断されて、宛先IP数265c=「6」である同内容の攻撃として1つのエントリにまとめられている。
【0095】
通信ログは、通常は膨大なデータ容量となり、これを参照してワームによる攻撃を検出するだけでもマシンリソースの浪費となる。本実施形態では、以上で説明した処理によって、通信ログを通信ログ一時テーブル264から通信ログ集約テーブル265に集約して、参照した通信ログを通信ログ一時テーブル264から削除する。これで、エージェントコンピュータのマシンリソースの消費を抑えることができる。
【0096】
図14は、図4で示した通信ログ2次集約手段253が通信ログ集約テーブル265を定期参照して通信ログ送信用テーブル266に通信ログを集約し、通信ログ送信手段254が通信ログ送信用テーブル266をマネージャコンピュータ20に送信する動作を示すフローチャートである。通信ログ2次集約手段253は、通信ログ集約テーブル265を上から順に確認し、未参照の通信ログに対してのみステップS502以後に示す通信ログ集約処理を行う(ステップS501)。
【0097】
通信ログ2次集約手段253は、通信ログ集約テーブル265の参照中のエントリと送信元IPアドレス265a、宛先NW265b、シグネチャID265eが同一である通信ログを抽出し(ステップS502)、通信ログ2次集約手段253はこれを上から順に確認し、ステップS504以後に示す通信ログ集約処理を行う(ステップS503)。
【0098】
通信ログ2次集約手段253は、通信ログ集約テーブル265の参照中のエントリの送信元IPアドレス265a、宛先NW265b、シグネチャID265eをキーとして通信ログ送信用テーブル265を検索し、同一内容のエントリが存在するか否かを確認する(ステップS504)。同一内容のエントリが存在しなければステップS505に進み、存在すればステップS506に進む。
【0099】
ステップS504で同一内容のエントリが存在しなければ、通信ログ2次集約手段253は通信ログ送信用テーブル266に新規エントリを作成する(ステップS505)。その際、送信元IPアドレス266a、宛先NW266b、宛先IP数266c、ユーザID数266d、シグネチャID266e、検知時刻266f、攻撃数266hは、通信ログ集約テーブル265の参照中のエントリの送信元IPアドレス265a、宛先NW265b、宛先IP数265c、ユーザID数265d、シグネチャID265e、検知時刻265f、攻撃数265hをそのまま記録する。登録時刻266gは、この処理を行っている時点の現在時刻である。
【0100】
ステップS504で同一内容のエントリが存在すれば、通信ログ2次集約手段253は通信ログ送信用テーブル266の該当行の宛先IP数266c、ユーザID数266d、検知時刻266f、登録時刻266g、攻撃数266hを各々更新する(ステップS506)。これらのデータ更新の具体的な内容については、次の行から詳しく説明する。
【0101】
宛先IP数266cとユーザID数266dに、通信ログ集約テーブル265の参照中のエントリの宛先IP数265cとユーザID数265dを各々加算する。検知時刻266fと、通信ログ集約テーブル265の参照中のエントリの検知時刻265fとを比較し、古い方の時刻を検知時刻266fとする。登録時刻266gは、この処理を行っている時点の現在時刻とする。そして攻撃数266hに、通信ログ集約テーブル265の参照中のエントリの攻撃数265hを加算する。
【0102】
ステップS505またはS506の処理が終了した後、通信ログ2次集約手段253は参照中の通信ログ集約テーブル265の該当エントリを削除する(ステップS507)。以上の処理を、全ての通信ログ集約テーブル265の全ての行に対して繰り返した後、通信ログ送信手段254は集約の完了した通信ログ送信用テーブル266をマネージャコンピュータ20に送信して、さらに送信が完了した通信ログ送信用テーブル266を削除し(ステップS508)、処理を完了する。
【0103】
図15は、図4に示した通信ログ送信用テーブル266のデータ構成を示す説明図である。図15に示した例では、図9に示した通信ログ集約テーブル265からこの処理を通じて集約された通信ログ送信用テーブル266を示している。
【0104】
前述のように、通信ログ送信用テーブル266は通信ログ集約テーブル265と同一のデータ項目を記憶しているが、たとえば図9で複数あったシグネチャID265e=「1」のエントリが、通信ログ送信用テーブル266では1行に集約されている。即ち、検知時刻265fが異なる複数の攻撃は、同一の送信元IPアドレス265aから発せられた同一の内容の攻撃であると判断されて、一つのデータにまとめられている。
【0105】
このように、本実施形態ではワーム感染源の特定に必要となるデータをエージェントコンピュータ21、22、23の側で3つのテーブル(通信ログ一時テーブル264、通信ログ集約テーブル265、通信ログ送信用テーブル266)に分けて管理し、各テーブルに対して保存期間を設定して管理しつつ2段階の工程を経て集約して、マネージャコンピュータ20に送信している。
【0106】
このことにより、本実施形態ではエージェントコンピュータおよびマネージャコンピュータのリソース(コンピュータ資源)の浪費を抑制し、双方の側で効率よくワーム感染源の特定に係る処理を行うことができる。
【0107】
(通信ログの受信とワーム感染源の特定)
図16は、図3で示した通信ログ格納手段201が、エージェントコンピュータ21、22、23から送出された通信ログ送信用テーブル266の内容を受信してこれを通信ログ管理テーブル212に保存する動作を示すフローチャートである。各エージェントコンピュータからの通信を受信した通信ログ格納手段201は(ステップS601)、受信した内容の先頭にその内容を送出したエージェントコンピュータのIPアドレスをエージェントコンピュータIP212aとして付加して、通信ログ管理テーブル212に保存する(ステップS602)。
【0108】
図11に示した例では、図15に示した通信ログ送信用テーブル266から図16の処理によってマネージャコンピュータ20の側に集約された通信ログ管理テーブル212を示している。前述のように通信ログ管理テーブル212は、通信ログ送信用テーブル266の内容を送出したエージェントコンピュータのIPアドレスが、エージェントコンピュータIP212aとして先頭に付加されている以外は、全て通信ログ送信用テーブル266(および通信ログ集約テーブル265)と同一のデータ項目を有する。
【0109】
図17は、図11に示した通信ログ管理テーブル212から、ワームの感染源および感染経路の特定に必要な情報を抽出した例である(以後これを抽出済通信ログ管理テーブル220という)。ワーム検出条件として、シグネチャID212f=4、かつ(ユーザID数212d≧100または宛先IP数212c≧10)という条件があらかじめ設定されている。シグネチャID212f(261a)=4をキーとしてシグネチャ管理テーブル261を検索すれば、ルール261dとして「宛先ポート番号がTCP/25番」が設定されている。ワーム感染源特定手段202は、この条件に従って通信ログ管理テーブル212から抽出済通信ログ管理テーブル220を抽出した。
【0110】
ワームは、大きく分けてソフトウェアの脆弱性を利用して感染拡大を図るものと、電子メールや共有フォルダを経由して感染拡大を図るものがある。前者のワームは、短期間に多数の宛先に対して特定の通信を行う。後者のワームは、特定の宛先に多数のIDを利用したアクセスを試みる。
【0111】
このため本実施形態では、図11および図17で説明したように、ワーム検出条件として「シグネチャID212f=4で、かつ(ユーザID数212d≧100または宛先IP数212c≧10)」という条件を設定している。前者のワームに対しては宛先IP数212cの条件を、後者のワームに対してはユーザID数212dの条件を設けて対応している。
【0112】
抽出済通信ログ管理テーブル220の各データ項目とその各々が示す内容は、図11と同一であり、ただ先頭にユニークな通信ログID220aが挿入されるだけであるので、以後それぞれエージェントコンピュータIP220b、送信元IP220c、宛先NW220d、宛先IP数220e、ユーザID数220f、シグネチャID220g、開始時刻(検知時刻)220h、終了時刻(登録時刻)220i、攻撃数220jという。図17に示した例では、開始時刻220hと終了時刻220iに記号を用いているが、これらはそれぞれS1<S2<S3<S4<S5、E1<E2<E3<E4<E5の関係にあるものとする。
【0113】
ワーム感染源特定手段202は、ワーム感染の疑いがあるネットワークのアドレスおよび各ネットワークへワームに感染した疑いのある端末からパケットが到達した時刻を格納するNW到達リスト213〜217と、ワームの感染経路を格納する感染経路リスト218とを作成する。
【0114】
NW到達リスト213〜217は、後述するように、通信(攻撃)の宛先となるネットワークアドレスを示す宛先NW213aと、そのネットワークアドレスにワームに感染した疑いのある端末からの通信(攻撃)が到達した時刻を示す到達時刻213bとが一対で登録されたリストである。
【0115】
図18は、図3で示したワーム感染源特定手段202が抽出済通信ログ管理テーブル220からNW到達リスト213〜217を作成する動作を示すフローチャートである。ワーム感染源特定手段202は、抽出済通信ログ管理テーブル220を上から順に確認し、それぞれの内容に対して図18に示す処理を行ってNW到達リスト213〜217を作成する。
【0116】
ワーム感染源特定手段202はまず、抽出済通信ログ管理テーブル220の宛先NW220dに記載されたネットワークアドレスをキーにしてNW到達リスト213を検索し、既に同じネットワークアドレスが登録されているか否かを確認する(ステップS701)。同じネットワークアドレスが登録されていればステップS702に進み、いなければステップS703に進む。
【0117】
ステップS701で、NW到達リスト213に同じネットワークアドレスが格納されていない場合、ワーム感染源特定手段202は、宛先NW220dと、抽出済通信ログ管理テーブル220でこの宛先NW220dに該当する開始時刻220hを到達時刻213bとして、この宛先NW220d(213a)と到達時刻213bとを組にしてNW到達リスト213に格納して(ステップS702)処理を終了する。
【0118】
ステップS701で、NW到達リスト213に同じネットワークアドレスが格納されている場合、ワーム感染源特定手段202は、NW到達リスト213上で宛先NW213a(220d)に該当する到達時刻213bと、抽出済通信ログ管理テーブル220上の開始時刻220hとを比較する(ステップS703)。到達時刻213b≧開始時刻220hであれば、ワーム感染源特定手段202は、到達時刻213bを開始時刻220hの値として登録して(ステップS704)該当する通信ログの確認処理を終了する。
【0119】
図19は、図17に示した抽出済通信ログ管理テーブル220の通信ログID220aの各々(1〜5)に対して作成されたNW到達リスト213〜217を示す説明図である。通信ログID=1から抽出されたNW到達リスト213は、宛先NW213aと、そこにワームが到達した到達時刻213bとを示す。通信ログID=2〜5から各々抽出されたその他のNW到達リスト214〜217も、同様のデータを示す。
【0120】
また図20は、図3で示したワーム感染源特定手段202がNW到達リスト213〜217から感染経路リスト218を作成する動作を示すフローチャートである。そして図21は、NW到達リスト213〜217に対して図20に示した処理によって作成された感染経路リスト218を示す説明図である。
【0121】
感染経路リスト218は、抽出済通信ログ管理テーブル220の通信ログID220aに対応する通信ログID218aと、これに対応する送信元IP218b、宛先NW218c、シグネチャID218d、開始時刻218e、終了時刻218f、攻撃数218g、感染源フラグ218hといった各データを格納する。これらの各データの内容は、図17に示した抽出済通信ログ管理テーブル220の同名のデータと同一である。感染源フラグ218hは、送信元IP218bに該当する機器がワームの感染元とであると考えられる場合は1、そうでない場合は0の値を持つ。
【0122】
ワーム感染源特定手段202はまず、感染経路リスト218に新規エントリを追加する(ステップS801)。通信ログID218a、送信元IP218b、宛先NW218c、シグネチャID218d、開始時刻218e、終了時刻218f、攻撃数218gは、各々抽出済通信ログ管理テーブル220の通信ログID220a、送信元IP220c、宛先NW220d、シグネチャID220g、開始時刻220h、終了時刻220i、攻撃数220jのデータを格納する。感染源フラグ218hの初期値はnullである。
【0123】
次にワーム感染源特定手段202は、送信元IP218bをキーにしてNW到達リスト213〜260を検索し、同一ネットワークに対するエントリがあるか否かを確認する(ステップS802)。同一ネットワークに対するエントリがあればステップS803に、なければステップS804にそれぞれ進む。
【0124】
ステップS802で、NW到達リスト213〜260に同一ネットワークに対するエントリがない場合、感染経路リスト218で該当するエントリの感染源フラグ218h=1として(ステップS803)処理を終了する。
【0125】
ステップS802で、同一ネットワークに対するエントリが存在する場合、NW到達リスト213〜260の該当するエントリの到達時刻213bと、感染経路リスト218で該当するエントリの開始時刻220hとを比較する(ステップS804)。到達時刻213b≦開始時刻220hであれば、前述のステップS803に進む。到達時刻213b>開始時刻220hであれば、感染経路リスト218で該当するエントリの感染源フラグ218h=0として(ステップS805)処理を終了する。
【0126】
(感染経路図の作成)
図22は、図3で示した感染経路図作成手段203が感染経路リスト218からワームの感染源と感染経路とを感染経路図219に出力する動作を示すフローチャートである。感染経路図作成手段203は、感染経路リスト218の内容を先頭から順番に確認し、各エントリに対して感染源と感染経路感染経路図219に出力する。
【0127】
感染経路図219は、縦軸に感染経路リスト218の通信ログID220aを、横軸に開始時刻218eまたは終了時刻218fを取り、開始時刻と終了時刻をそれぞれ○(白抜きの円)と◎(二重丸)として示す図である。感染経路図作成手段203は、感染経路リスト218の各々の通信ログID220aに対して、○と◎を出力する(ステップS901)。
【0128】
そして感染経路図作成手段203は、感染端末を意味する○と、感染端末から感染拡大目的のパケットが流れ込んでいるのでワーム感染の疑いがあるネットワークとして出力した◎とを、◎側に向いた太い矢印で結ぶ(ステップS902)。さらに○の上に送信元IP218bの値を、◎の上に宛先NW218cの値を、それぞれ出力する(ステップS903〜904)。
【0129】
次に感染経路図作成手段203は、感染源フラグ218hが1であるか否かを確認する(ステップS905)。0であればステップS906に、1であればステップS907にそれぞれ進む。ステップS905で感染源フラグ218h=0の場合、感染経路リスト218で送信元IP218bをキーとして検索し、感染源フラグ218h=1であるエントリが他に存在するか否かを確認する(ステップS906)。存在すればステップS907に、存在しなければステップS908に、それぞれ進む。
【0130】
該当するエントリの感染源フラグ218h=1、もしくは該当するエントリの感染源フラグ218h=0だが同一の送信元IP218bで感染源フラグ218h=1のエントリが存在する場合は、この送信元IP218bが感染源であると判断できるので、既に出力した○を●(黒丸)で上書きする(ステップS907)。●は感染源を意味するマークとして扱うことができる。
【0131】
感染源フラグ218h=1であるエントリが存在しない場合、感染経路リスト218の宛先NW218cをステップS903で出力した送信元IP218bをキーとして検索し、宛先NW218cに感染端末の属するネットワークが格納されたエントリが存在するか否かを確認する(ステップS908)。存在しなければ、それで処理を終了する。
【0132】
ステップS908で、ステップS903で出力した送信元IP218bに該当する宛先NW218cのエントリが存在する場合、その中に感染源フラグ218h=1であるエントリが存在するか否かを確認する(ステップS909)。存在しなければ、それで処理を終了する。
【0133】
ステップS909で、感染源フラグ218h=1であるエントリが存在した場合、その通信はワームによる攻撃であると考えられる。この通信がどの端末とネットワークとの間で行われたかを示す経路情報を出力するため、ステップS909で抽出した各々のエントリの◎とステップS901で出力した○とを○側に向いた細い矢印で結び(ステップS910)、これで処理を終了する。
【0134】
図23は、図22に示した処理によって図21に示した感染経路リスト218から作成された感染経路図219を示す説明図である。前述のように、○(白抜きの円)は感染端末、◎(二重丸)は感染の疑いのあるネットワーク、●(黒丸)は感染源を示す。またステップS902で描かれた太い矢印は、感染端末から感染拡大目的で送出されたパケットの向きを示し、ステップS910で描かれた細い矢印は、ワームの感染拡大目的で使用された可能性がある経路を示す。
【0135】
図23に示した感染経路図219では、IPアドレス「192.168.3.1」を持つ端末(ワーム感染端末30)は、IPアドレス「192.168.3.0/24」のネットワーク(第1セグメント11)に感染が広がった可能性がある時刻T3以前に、エージェントコンピュータ側でワーム感染が検出されている。このため、第1セグメント11ではワーム感染端末30がワームの感染源であると判断できる。
【0136】
また、これと同様に、第2セグメント12に属するIPアドレス「192.168.4.1」「192.168.4.2」の各クライアントは、IPアドレス「192.168.4.0/24」のネットワーク(第2セグメント12)に感染が広がった可能性がある時刻T4以前に、エージェントコンピュータ側でワーム感染が検出されている。このため、第2セグメント12ではこれらの端末がワームの感染源であると判断できる。
【0137】
ワームに感染したIPアドレス「192.168.4.2」のクライアントから送出された、感染を拡大する目的と考えられるパケットが、IPアドレス「192.168.4.0/24」のネットワーク(第2セグメント12)にT4の時刻で届いている。さらにその後に、ワームに感染したIPアドレス「192.168.4.5」のクライアントから送出された、感染を拡大する目的と考えられるパケットが、IPアドレス「192.168.4.0/24」(第2セグメント12)および「192.168.5.0/24」(第3セグメント13)のネットワークに届いている。
【0138】
このことから、第2セグメント12に属するIPアドレス「192.168.4.5」のクライアントのワーム感染が、同じセグメントに即するIPアドレス「192.168.4.2」のクライアントに引き起こされた可能性が高いと推測することもできる。
【0139】
(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本実施形態に係るワーム感染源特定方法は、コンピュータネットワークに接続され、コンピュータネットワークにワームに感染したコンピュータ装置であるワーム感染端末が接続されたことを検出するコンピュータ装置であるマネージャコンピュータ20と、ワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータ21、22、23とを含むコンピュータネットワークにあって、ワームの感染源を特定する方法である。まずエージェントコンピュータが、ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブル255に予め記憶し、コンピュータネットワーク上の通信パケットを検査し(図12・ステップS301)、通信パケットをシグネチャ管理テーブルと照合してシグネチャIDを特定し(図12・ステップS307〜308)、通信パケットの検査結果を通信ログ一時テーブルとして記録し(図12・ステップS309)、エージェントコンピュータが、通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよびシグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成し(図13・ステップS404〜408、および図14・ステップS504〜507)、通信ログ送信用テーブルをマネージャコンピュータに送信する(図14・ステップS508)。これに対してマネージャコンピュータが、エージェントコンピュータから受信した通信ログ送信用テーブルの内容を通信ログ管理テーブルとして保存し(図16・ステップS601〜602)、通信ログ管理テーブルに記録されたデータからワーム感染端末を特定して感染経路リストを作成する(図20・ステップS801〜805)。
【0140】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するコンピュータであるマネージャコンピュータ20および各エージェントコンピュータ21,22,23に実行させるようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。
【0141】
本実施形態の第1の効果は、ワーム感染後に多くのマシンリソースを必要とせずに、ワームの感染源および感染経路の特定を行うことができることである。その理由は、通信ログの膨大なデータを2段階に分けて集約し、不要となったデータを削除することで、エージェントコンピュータおよびマネージャコンピュータが膨大なログの中から特定の条件を満たす通信を検出する処理にかかるリソース消費を抑えているためである。さらに、エージェントコンピュータとマネージャコンピュータとで役割を分担させて、一台あたりのマシンリソースの消費を抑制しているためでもある。
【0142】
本実施形態の第2の効果は、ログ収集時に生じるネットワークの帯域圧迫の問題を解決できることである。その理由は、前述したように通信ログのデータを集約してからエージェントコンピュータからマネージャコンピュータに送信しているためである。
【0143】
本実施形態の第3の効果は、各ネットワーク装置の膨大なログを1件ずつ確認する場合に比べて、特別なスキルを必要とせずにワームの感染源および感染経路を特定できることである。その理由は、通信ログ管理テーブル212にユーザID数212dおよび宛先IP数212cというデータ項目を設けて、ネットワーク経由で感染を拡大するワームの通信上の特徴を保持してそこからワームを検出するようにしているためである。
【0144】
(第2の実施形態)
本発明の第2の実施形態では、前述の第1の実施形態の構成に加えて、マネージャコンピュータおよびエージェントコンピュータを結ぶ管理専用ネットワークを、通常のネットワークとは別に設ける構成とした。これにより、ワームの感染によってネットワーク帯域が圧迫された場合でも、エージェントコンピュータとマネージャコンピュータとの間で通信が困難になることはないので、本発明にかかる動作をより確実に実行してワームを検出することができる。以下、これをより詳細に説明する。
【0145】
図24は、本発明の第2の実施形態に係るコンピュータネットワーク1001の構成を示す説明図である。コンピュータネットワーク1001は、前述の第1の実施形態に係るコンピュータネットワーク1と同一のコンピュータで構成されている。第1セグメント11に属するエージェントコンピュータをエージェントコンピュータ1021、第2セグメント12に属するエージェントコンピュータをエージェントコンピュータ1022、第3セグメント11に属するエージェントコンピュータをエージェントコンピュータ1023という。
【0146】
各エージェントコンピュータ1021、1022、1023と、マネージャコンピュータコンピュータ20とは、通常のネットワークとは別個の、破線で示す管理専用ネットワーク1002で結ばれている。管理専用ネットワーク1002は、データを中継するルータ1041および1042も、通常のネットワークとは別個に設けられている。
【0147】
図25は、図24に示した各エージェントコンピュータ121、122、123のソフトウェアとしての構成を示す説明図である。各エージェントコンピュータ121、122、123は、ハードウェアとしては、通信手段103が、通常のネットワークおよび管理専用ネットワーク1002の両方に接続されている点以外は、図2に示した第1の実施形態と同一の構成を持っている。ソフトウェアとしての構成も、記憶手段102に記憶されているネットワーク管理テーブル263がネットワーク管理テーブル1263に変更されている以外は、第1の実施形態と同一である。構成の中で第1の実施形態と同一の要素は、同一の名称および参照番号で呼ぶ。
【0148】
図26は、図24に示したネットワーク管理テーブル1263のデータ構成を示す説明図である。エージェントプログラム250は、ネットワーク管理テーブル1263の記録データを必要に応じて変更できる権限を有している。また、マネージャプログラム200からも、各エージェントコンピュータに指令して、このネットワーク管理テーブル1263を参照することができる。
【0149】
ネットワーク管理テーブル1263は、次に示す内容を記録している。ネットワークID1263aは、登録されているネットワークアドレスを一意に特定するためのIDである。ネットワークアドレス1263bは、通常のネットワークでの各セグメントのアドレス範囲、管理用アドレス1263cはこのセグメントに属するエージェントコンピュータの管理専用ネットワーク1002でのIPアドレスを表す。
【0150】
たとえば、第1セグメント11は、通常のネットワークではIPアドレス「192.168.3.0/24」であるが、これに属するエージェントコンピュータ121の管理専用ネットワーク1002のIPアドレスは「10.5.1.1」である。このように、ネットワーク管理テーブル1263は、通常のネットワークでの各セグメントのIPアドレスをネットワークアドレス1263b、このセグメントに属するエージェントコンピュータの管理専用ネットワーク1002でのIPアドレスを管理用アドレス1263cとして記憶し、相互に対応づけている。また、ネットワークID1263a=「M」として、マネージャコンピュータ20の管理用アドレス1263cも記憶している。
【0151】
この点以外は、コンピュータネットワーク1001は、前述の第1の実施形態に係るコンピュータネットワーク1と同一の機能を持ち、同一の動作をする。ただ、エージェントコンピュータとマネージャコンピュータとの間の通信は、ワームの侵入の心配がない管理専用ネットワーク1002を利用して行うことができる。このことにより、ワームがDoS攻撃などのようにネットワークの帯域を圧迫する動作をした場合でも、エージェントコンピュータとマネージャコンピュータとの間の通信が困難となることはなく、本発明にかかる動作を確実に行って、前述した通りの効果を確実に得ることができる。
【0152】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【産業上の利用可能性】
【0153】
本発明はコンピュータネットワークのセキュリティ向上に利用することができる。
【符号の説明】
【0154】
1、1001 コンピュータネットワーク
11 第1セグメント
12 第2セグメント
13 第3セグメント
20 各コンピュータ装置
21 プロセッサ
22 記憶手段
23 通信手段
24 出力手段
21、22、23、121、122、123 エージェントコンピュータ
30 ワーム感染端末
41、42、1041、1042 ルータ
20 マネージャコンピュータ
31 クライアント
200 エージェントプログラム
201 パケット検査手段
202 通信ログ1次集約手段
203 通信ログ2次集約手段
204 通信ログ送信手段
211、271 初期設定ファイル
211 エージェントコンピュータ情報テーブル
212 通信ログ管理テーブル
213、214、217 NW到達リスト
218 感染経路リスト
219 感染経路図
220 抽出済通信ログ管理テーブル
250 マネージャプログラム
251 通信ログ格納手段
252 ワーム感染源特定手段
253 感染経路図作成手段
261 シグネチャ管理テーブル
262 例外情報管理テーブル
263、1263 ネットワーク管理テーブル
264 通信ログ一時テーブル
265 通信ログ集約テーブル
266 通信ログ送信用テーブル
1002 管理専用ネットワーク
【特許請求の範囲】
【請求項1】
ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するワーム感染源特定システムであって、
前記ワーム感染端末に関する情報を収集するエージェントコンピュータと、前記エージェントコンピュータが収集した情報を受信して前記ワーム感染端末を特定するマネージャコンピュータとを備え、
前記エージェントコンピュータが、前記コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、前記ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、前記通信ログ送信用テーブルを前記マネージャコンピュータに送信する通信ログ送信手段とを有することを特徴とするワーム感染源特定システム。
【請求項2】
前記エージェントコンピュータの前記通信ログ集約手段が、
前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集計して宛先IP数をカウントし、通信ログ集約テーブルを作成する通信ログ第1次集約部と、
前記通信ログ集約テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して前記宛先IP数を合計し、前記通信ログ送信用テーブルを作成する通信ログ第2次集約部とを含むことを特徴とする、請求項1に記載のワーム感染源特定システム。
【請求項3】
前記エージェントコンピュータの前記通信ログ第1次集約部が、前記シグネチャ管理テーブルに予め記憶されたタイムアウト時間を経過したデータを前記通信ログ一時テーブルから削除する機能を有することを特徴とする、請求項2に記載のワーム感染源特定システム。
【請求項4】
前記エージェントコンピュータが、前記ワーム感染端末の検出の対象としない通信内容について記憶している例外情報管理テーブルを有し、
前記パケット検査手段が、前記通信パケットの前記検査結果の中から前記例外情報管理テーブルに記憶されている内容の通信を除外して前記通信ログ一時テーブルに記録することを特徴とする、請求項1に記載のワーム感染源特定システム。
【請求項5】
前記マネージャコンピュータが、前記エージェントコンピュータから受信した前記通信ログ送信用テーブルの内容を通信ログ管理テーブルとして保存する通信ログ格納手段と、前記通信ログ管理テーブルに記録されたデータから前記ワーム感染端末を特定して感染経路リストを出力するワーム感染源特定手段とを有することを特徴とする、請求項1に記載のワーム感染源特定システム。
【請求項6】
前記マネージャコンピュータの前記ワーム感染源特定手段が、前記通信ログ管理テーブルに記録された前記通信パケットに含まれる、特定ユーザを示すユーザIDの数であるユーザID数および宛先となるIPアドレスの数である宛先IP数のうち、少なくとも1つ以上から前記ワーム感染端末を特定することを特徴とする、請求項5に記載のワーム感染源特定システム。
【請求項7】
前記マネージャコンピュータが、前記感染経路リストから前記ワームが前記コンピュータネットワーク内で感染を広げた日時と経路を図示する感染経路図を作成して出力する感染経路図作成手段を有することを特徴とする、請求項5に記載のワーム感染源特定システム。
【請求項8】
前記マネージャコンピュータと前記エージェントコンピュータとの間が、前記コンピュータネットワークとは別系統の管理用ネットワークで接続されていることを特徴とする、請求項1ないし請求項7のうちいずれか1項に記載のワーム感染源特定システム。
【請求項9】
ワームに感染したコンピュータ装置であるワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータであって、
前記コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、
前記ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、
前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、
前記通信ログ送信用テーブルを前記マネージャコンピュータに送信する通信ログ送信手段と
を有することを特徴とするエージェントコンピュータ。
【請求項10】
ワームに感染したコンピュータ装置であるワーム感染端末がコンピュータネットワークに接続されたことを検出するマネージャコンピュータであって、
同一のコンピュータネットワークに接続されたエージェントコンピュータから受信した前記ワーム感染端末に関する情報を通信ログ管理テーブルとして保存する通信ログ格納手段と、
前記通信ログ管理テーブルに記録されたデータから前記ワーム感染端末を特定して前記ワームの感染経路を示す感染経路リストを作成するワーム感染源特定手段と
を有することを特徴とするマネージャコンピュータ。
【請求項11】
ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、前記ワーム感染端末に関する情報を収集して前記マネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、
前記エージェントコンピュータが、前記ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブルに予め記憶し、
前記エージェントコンピュータが、前記コンピュータネットワーク上の通信パケットを検査し、
前記エージェントコンピュータが、前記通信パケットを前記シグネチャ管理テーブルと照合して前記シグネチャIDを特定し、
前記エージェントコンピュータが、前記通信パケットの検査結果を通信ログ一時テーブルとして記録し、
前記エージェントコンピュータが、前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成し、
前記エージェントコンピュータが、前記通信ログ送信用テーブルを前記マネージャコンピュータに送信し、
前記マネージャコンピュータが、前記エージェントコンピュータから受信した前記通信ログ送信用テーブルの内容を通信ログ管理テーブルとして保存し、
前記マネージャコンピュータが、前記通信ログ管理テーブルに記録されたデータから前記ワーム感染端末を特定して前記ワームの感染経路を示す感染経路リストを作成する
ことを特徴とするワーム感染源特定方法。
【請求項12】
ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、前記ワーム感染端末に関する情報を収集して前記マネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、前記ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブルに予め記憶した前記エージェントコンピュータに、
前記コンピュータネットワーク上の通信パケットを検査する手順と、
前記通信パケットを前記シグネチャ管理テーブルと照合して前記シグネチャIDを特定する手順と、
前記通信パケットの検査結果を通信ログ一時テーブルとして記録する手順と、
前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する手順と、
前記通信ログ送信用テーブルを前記マネージャコンピュータに送信する手順と
を実行させることを特徴とするワーム感染源特定プログラム。
【請求項13】
ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、前記ワーム感染端末に関する情報を収集して前記マネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、前記マネージャコンピュータに、
前記エージェントコンピュータから受信した前記ワーム感染端末に関する情報を通信ログ管理テーブルとして保存する手順と、
前記通信ログ管理テーブルに記録されたデータから前記ワーム感染端末を特定して前記ワームの感染経路を示す感染経路リストを作成する手順と
を実行させることを特徴とするワーム感染源特定プログラム。
【請求項1】
ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するワーム感染源特定システムであって、
前記ワーム感染端末に関する情報を収集するエージェントコンピュータと、前記エージェントコンピュータが収集した情報を受信して前記ワーム感染端末を特定するマネージャコンピュータとを備え、
前記エージェントコンピュータが、前記コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、前記ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、前記通信ログ送信用テーブルを前記マネージャコンピュータに送信する通信ログ送信手段とを有することを特徴とするワーム感染源特定システム。
【請求項2】
前記エージェントコンピュータの前記通信ログ集約手段が、
前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集計して宛先IP数をカウントし、通信ログ集約テーブルを作成する通信ログ第1次集約部と、
前記通信ログ集約テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して前記宛先IP数を合計し、前記通信ログ送信用テーブルを作成する通信ログ第2次集約部とを含むことを特徴とする、請求項1に記載のワーム感染源特定システム。
【請求項3】
前記エージェントコンピュータの前記通信ログ第1次集約部が、前記シグネチャ管理テーブルに予め記憶されたタイムアウト時間を経過したデータを前記通信ログ一時テーブルから削除する機能を有することを特徴とする、請求項2に記載のワーム感染源特定システム。
【請求項4】
前記エージェントコンピュータが、前記ワーム感染端末の検出の対象としない通信内容について記憶している例外情報管理テーブルを有し、
前記パケット検査手段が、前記通信パケットの前記検査結果の中から前記例外情報管理テーブルに記憶されている内容の通信を除外して前記通信ログ一時テーブルに記録することを特徴とする、請求項1に記載のワーム感染源特定システム。
【請求項5】
前記マネージャコンピュータが、前記エージェントコンピュータから受信した前記通信ログ送信用テーブルの内容を通信ログ管理テーブルとして保存する通信ログ格納手段と、前記通信ログ管理テーブルに記録されたデータから前記ワーム感染端末を特定して感染経路リストを出力するワーム感染源特定手段とを有することを特徴とする、請求項1に記載のワーム感染源特定システム。
【請求項6】
前記マネージャコンピュータの前記ワーム感染源特定手段が、前記通信ログ管理テーブルに記録された前記通信パケットに含まれる、特定ユーザを示すユーザIDの数であるユーザID数および宛先となるIPアドレスの数である宛先IP数のうち、少なくとも1つ以上から前記ワーム感染端末を特定することを特徴とする、請求項5に記載のワーム感染源特定システム。
【請求項7】
前記マネージャコンピュータが、前記感染経路リストから前記ワームが前記コンピュータネットワーク内で感染を広げた日時と経路を図示する感染経路図を作成して出力する感染経路図作成手段を有することを特徴とする、請求項5に記載のワーム感染源特定システム。
【請求項8】
前記マネージャコンピュータと前記エージェントコンピュータとの間が、前記コンピュータネットワークとは別系統の管理用ネットワークで接続されていることを特徴とする、請求項1ないし請求項7のうちいずれか1項に記載のワーム感染源特定システム。
【請求項9】
ワームに感染したコンピュータ装置であるワーム感染端末に関する情報を収集してマネージャコンピュータに送信するエージェントコンピュータであって、
前記コンピュータネットワーク上の通信パケットを検査してその検査結果を通信ログ一時テーブルとして記録するパケット検査手段と、
前記ワームによる通信を検出する条件とこれに対応するシグネチャIDを予め記憶しているシグネチャ管理テーブルと、
前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する通信ログ集約手段と、
前記通信ログ送信用テーブルを前記マネージャコンピュータに送信する通信ログ送信手段と
を有することを特徴とするエージェントコンピュータ。
【請求項10】
ワームに感染したコンピュータ装置であるワーム感染端末がコンピュータネットワークに接続されたことを検出するマネージャコンピュータであって、
同一のコンピュータネットワークに接続されたエージェントコンピュータから受信した前記ワーム感染端末に関する情報を通信ログ管理テーブルとして保存する通信ログ格納手段と、
前記通信ログ管理テーブルに記録されたデータから前記ワーム感染端末を特定して前記ワームの感染経路を示す感染経路リストを作成するワーム感染源特定手段と
を有することを特徴とするマネージャコンピュータ。
【請求項11】
ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、前記ワーム感染端末に関する情報を収集して前記マネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、
前記エージェントコンピュータが、前記ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブルに予め記憶し、
前記エージェントコンピュータが、前記コンピュータネットワーク上の通信パケットを検査し、
前記エージェントコンピュータが、前記通信パケットを前記シグネチャ管理テーブルと照合して前記シグネチャIDを特定し、
前記エージェントコンピュータが、前記通信パケットの検査結果を通信ログ一時テーブルとして記録し、
前記エージェントコンピュータが、前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成し、
前記エージェントコンピュータが、前記通信ログ送信用テーブルを前記マネージャコンピュータに送信し、
前記マネージャコンピュータが、前記エージェントコンピュータから受信した前記通信ログ送信用テーブルの内容を通信ログ管理テーブルとして保存し、
前記マネージャコンピュータが、前記通信ログ管理テーブルに記録されたデータから前記ワーム感染端末を特定して前記ワームの感染経路を示す感染経路リストを作成する
ことを特徴とするワーム感染源特定方法。
【請求項12】
ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、前記ワーム感染端末に関する情報を収集して前記マネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、前記ワームによる通信を検出する条件とこれに対応するシグネチャIDをシグネチャ管理テーブルに予め記憶した前記エージェントコンピュータに、
前記コンピュータネットワーク上の通信パケットを検査する手順と、
前記通信パケットを前記シグネチャ管理テーブルと照合して前記シグネチャIDを特定する手順と、
前記通信パケットの検査結果を通信ログ一時テーブルとして記録する手順と、
前記通信ログ一時テーブルの内容の中から発信元、宛先ネットワークおよび前記シグネチャIDが同一である通信を集約して通信ログ送信用テーブルを作成する手順と、
前記通信ログ送信用テーブルを前記マネージャコンピュータに送信する手順と
を実行させることを特徴とするワーム感染源特定プログラム。
【請求項13】
ワームに感染したコンピュータ装置であるワーム感染端末が、コンピュータネットワークに接続されたことを検出するマネージャコンピュータと、前記ワーム感染端末に関する情報を収集して前記マネージャコンピュータに送信するエージェントコンピュータとを備えるワーム感染源特定システムにあって、前記マネージャコンピュータに、
前記エージェントコンピュータから受信した前記ワーム感染端末に関する情報を通信ログ管理テーブルとして保存する手順と、
前記通信ログ管理テーブルに記録されたデータから前記ワーム感染端末を特定して前記ワームの感染経路を示す感染経路リストを作成する手順と
を実行させることを特徴とするワーム感染源特定プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【公開番号】特開2011−101172(P2011−101172A)
【公開日】平成23年5月19日(2011.5.19)
【国際特許分類】
【出願番号】特願2009−254047(P2009−254047)
【出願日】平成21年11月5日(2009.11.5)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年5月19日(2011.5.19)
【国際特許分類】
【出願日】平成21年11月5日(2009.11.5)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]