感染シミュレーションシステム及び擬似感染プログラム
【課題】ネットワーク構成を色々変化させることによって、擬似的なネットワーク型ウィルスやネットワーク型ワームのネットワーク上での伝播状況をシミュレーションすることにより、ネットワーク構成の違いによる伝播状況のシミュレーション結果から伝播の広がりが遅く被害が最小となるネットワーク構成を発見する。
【解決手段】複数の端末装置のそれぞれは、不正プログラムを模擬する擬似攻撃データを受信すると前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成し、新たな擬似攻撃データを所定の規則に従い他の前記端末装置に送信し、感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の状態を返信し、擬似攻撃管理装置51は、前記感染状態確認要求を生成して各端末装置に送信するとともに、各端末装置から前記感染状態確認要求に応答する前記端末装置の前記状態を受信する。
【解決手段】複数の端末装置のそれぞれは、不正プログラムを模擬する擬似攻撃データを受信すると前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成し、新たな擬似攻撃データを所定の規則に従い他の前記端末装置に送信し、感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の状態を返信し、擬似攻撃管理装置51は、前記感染状態確認要求を生成して各端末装置に送信するとともに、各端末装置から前記感染状態確認要求に応答する前記端末装置の前記状態を受信する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、不正プログラムによるネットワークの感染をシミュレーションする感染シミュレーションシステム及び擬似感染プログラムに関する。
【背景技術】
【0002】
従来のネットワークの擬似攻撃生成方式(例えば、特許文献1)は、監視対象ネットワークに対する不正侵入や、攻撃を、センサ系により感知し、不正侵入や攻撃により停止したあるネットワーク要素を起点に、当該ネットワークサービス管理情報データベースを検索することにより、被害関連範囲における被害評価を行う。被害評価装置は、被害が及ぶ関連範囲を関連範囲における各ネットワーク要素をノードとした依存関係に基づく被害グラフの形態で表現し、この被害グラフに示される依存関係をたどることにより、各ノードに定義された被害関係ルールに従い、あらかじめ定義された想定被害数値を累積演算している。
【0003】
また、例えば、特許文献2では、ネットワークの状態を管理装置で監視し、管理装置がワームに感染した各端末の動作をルータから収集し、ワームの攻撃種別に一致した防御方法をいち早く適用するシステムが提案されている。
【0004】
また、例えば、非特許文献1では、事前にウィルスの感染状況を評価する方法として、シミュレーションを用いた方法を示している。
【特許文献1】特開2002−328893号公報 第3頁〜7頁、第1図
【特許文献2】特開2006−67078号公報 第3頁〜6頁、第1図
【非特許文献1】日本ソフトウェア科学会第21回大会(2004年度)論文集 「天敵への防衛概念を取り入れたワームの捕食モデルの提案」著者 小泉、他
【発明の開示】
【発明が解決しようとする課題】
【0005】
特許文献1の場合、ネットワークの擬似攻撃生成方式は、不正侵入や攻撃を受けた端末が、時間経過に伴って他の端末にどのように攻撃を実行し、ネットワーク型ウィルスやネットワーク型ワームがどのようにネットワーク上を広がっていくのかを事前予測し、ネットワーク設計に役立てることが出来ないという課題があった。
【0006】
また、特許文献2の場合、未知のワームや未知のウィルスについては、事前に対処方法が全く知られておらず、管理装置で状態を収集しても最適な対策を講ずることができなかった。さらに特許文献2では、実際のワームやウィルスによりどの程度の被害があるかを事前に評価できないという課題があった。
【0007】
また、非特許文献1では、事前に評価する方法として、シミュレーションを用いた方法ではネットワーク構成の違いによる感染の経過を得ることができなかった。
【0008】
この発明は、ネットワーク構成を色々変化させることによって、擬似的なネットワーク型ウィルスやネットワーク型ワームのネットワーク上での伝播状況をシミュレーションすることにより、ネットワーク構成の違いによる伝播状況のシミュレーション結果から伝播の広がりが遅く被害が最小となるネットワーク構成を発見し、実際のネットワークに適用可能な感染シミュレーションシステムの提供を目的とする。
【課題を解決するための手段】
【0009】
この発明の感染シミュレーションシステムは、
不正プログラムによる感染シミュレーションの対象となる擬似ネットワークを構成する複数の端末装置と、前記複数の端末装置の感染状態を管理する管理装置とを備えた感染シミュレーションシステムにおいて、
前記複数の端末装置のそれぞれは、
前記不正プログラムを模擬する擬似攻撃データを受信すると未感染の状態から前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成し、生成した前記新たな擬似攻撃データを所定の規則にしたがって自装置以外の少なくとも1台の前記端末装置に送信するとともに、感染状態の確認を求める感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の遷移履歴を返信し、
前記管理装置は、
前記感染状態確認要求を生成し、生成した前記感染状態確認要求をそれぞれの前記端末装置に送信するとともに、それぞれの前記端末装置から前記感染状態確認要求に応答する前記端末装置の前記遷移履歴を受信することを特徴とする。
【発明の効果】
【0010】
この発明により、擬似的なネットワーク型ウィルスやネットワーク型ワームのネットワーク上での伝播状況を試験することができる。
【発明を実施するための最良の形態】
【0011】
実施の形態1.
図1〜図14を用いて実施の形態1を説明する。実施の形態1は、ネットワーク構成を色々と変化させることにより、「ネットワーク型のウィルスやワーム」(不正プログラムの一例)のネットワーク上における伝播をシミュレーションする感染シミュレーションシステムに関する。この感染シミュレーションシステムによって、ワームなどの伝播の広がりが遅く、被害が小さいネットワーク構成を見出し、実際のネットワークに適用することができる。
【0012】
図1は、実施の形態1の感染シミュレーションシステム1000のシミュレーション対象となる擬似的なネットワークの論理構成を示すネットワーク構成図である。
図1において、
(1)外部ネットワーク1は、組織AのLAN(Local Area Network)外のTCP/IP(Transmission Control Protocol/Internet Protocol)公衆網である。
(2)ファイアウォール11は、通信データを設定に従って透過中継するか廃棄するフィルター装置である。
(3)ルータ12とルータ13とは、いわゆるルーティング情報によって経路を決め透過中継するIPルータである。
(4)サーバ21は、組織Aの社外用の公開サーバである。
(5)proxyサーバ22は、組織A内のネットワークから組織Aの社外サーバ宛てアクセスのためのプロキシサーバである。
(5)擬似攻撃用パッチサーバ23(擬似プログラム更新サーバ)は、ネットワーク型ウィルスやネットワーク型ワームに対するプログラム更新用のサーバである。
(6)端末31と端末32と端末33と端末34は、パーソナルコンピュータなどの端末装置である。端末装置31等は、以下、端末という。
(7)端末シミュレータ41と端末シミュレータ42は、複数台の端末を模擬する端末シミュレータ(端末装置の一例)である。
(8)擬似攻撃管理装置51(管理装置)は、ネットワークの擬似攻撃生成を制御するための装置である。
【0013】
図2は、端末、端末シミュレータ、あるいは擬似攻撃管理装置の外観の一例を示す図である。これらはいずれもコンピュータである。
【0014】
図2は端末31を想定して説明するが、端末シミュレータ41、及び擬似攻撃管理装置51もコンピュータであり、同様である。図2において、端末31は、システムユニット830、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置813、キーボード814(Key・Board:K/B)、マウス815、FDD817(Flexible・Disk・ Drive)、コンパクトディスク装置818(CDD:Compact Disk Drive)、プリンタ装置819などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。システムユニット830は、コンピュータであり、また、LANに接続されている。
【0015】
図3は、図2の端末31のハードウェア資源の一例を示す図である。図3において、端末31は、プログラムを実行するCPU810(中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、FDD817、CDD818、プリンタ装置819、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
【0016】
RAM812は、揮発性メモリの一例である。ROM811、FDD817、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部の一例である。通信ボード816、キーボード814、FDD817などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813、プリンタ装置819などは、出力部、出力装置の一例である。通信ボード816は、LANに接続されている。
【0017】
磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。
【0018】
上記プログラム群823には、以下に述べる実施の形態の説明において「〜部」、及び「プロトコルスタック」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
【0019】
ファイル群824には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明する情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0020】
また、以下に述べる実施の形態の説明においては、データや信号値は、RAM812のメモリ、FDD817のフレキシブルディスク、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0021】
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
【0022】
図4は、図1のネットワーク構成図にIPアドレスを付与したものである。
図4において、
IPサブネットワークには
「10.74.1.0/255.255.255.0」
の表現のように、
「IPサブネットワークアドレス/IPアドレスマスク」
を記述した。
(1)サーバ21が接続しているIPサブネットワークアドレスは、
「133.141.0.0/255.255.0.0」
である。
(2)ルータ12とルータ13とが接続しているIPサブネットワークアドレスは、
「10.74.1.0/255.255.255.0」
である。
(3)端末31が接続しているIPサブネットワークアドレスは、
「10.74.5.0/255.255.255.0」
である。
(4)端末33が接続しているIPサブネットワークアドレスは、
「10.74.6.0/255.255.255.0」である。
(5)端末シミュレータ41は
「10.74.5.3」から「10.74.5.255」までのIPアドレスの端末の動作を一台で実行する。
(6)端末シミュレータ42は
「10.74.6.3」から「10.74.6.255」までのIPアドレスの端末の動作を一台で実行する。
【0023】
図5は、端末31の内部モジュール構造を示す。端末32と端末33と端末34の内部モジュール構造は、端末31と同様である。
(1)LAN制御部311は、LAN(Local Area Network)の回線を制御するモジュールである。
(2)プロトコルスタック312は、端末に備わっているTCP/UDP/IPの通信プログラムである。
(3)擬似攻撃プログラム313は、TCP/UDPのソケットを利用した擬似攻撃を実行するプログラムである。
【0024】
図6は、端末シミュレータ41の内部モジュール構造を示す。端末シミュレータ42の内部モジュール構造は端末シミュレータ41と同様である。
(1)LAN制御部411は、LANの回線を制御するモジュールである。
(2)プロトコルスタック412は、端末シミュレータに備わっているTCP/UDP/IPの通信プログラムである。プロトコルスタック412の自局IPアドレスは、いわゆるマルチアサインにより複数のIPアドレスを設定する。
(3)端末シミュレータ用擬似攻撃プログラム413は、TCP/UDPのソケットを利用した複数台の擬似攻撃を同時に実行するプログラムである。
【0025】
図7は、各々の端末がネットワーク型ワームに感染した場合の状態の遷移を示す状態遷移図である。図7に示すように、各端末は、「未感染状態S1」、「更新なし感染状態S2」、「更新あり感染状態S3」、「免疫状態S4」のいずれかの状態を有する。全ての端末は、初期状態として、「未感染状態S1」である。端末は、ネットワーク上でワームに感染すると「更新なし感染状態S2」へ遷移する。また、「未感染状態S1」で障害のあるプログラムを更新してセキュリティホールをふさいだ時(パッチ適用時)は、「免疫状態S4」へ遷移する。
【0026】
「更新なし感染状態S2」からは、次の(1)、(2)の二つの事象が発生した時に、「未感染状態S1」、あるいは「更新あり感染状態S3」のいずれかの状態に遷移する。
(1)最初の事象は、障害のあるプログラムを更新しセキュリティホールをふさいだ時(パッチ適用時)である。この場合は、「更新なし感染状態S2」から「更新あり感染状態S3」へ遷移する。「更新あり感染状態S3」は、障害のあるプログラムを更新しセキュリティホールをふさいでいる。しかし、ワームに感染した状態であるので、他の端末へワーム送信の攻撃を実行している状態である。「更新あり感染状態S3」でワーム駆除の事象が発生すると、「免疫状態S4」に遷移する。
(2)もうひとつの事象は、ワームを駆除した時であり、この場合は、「更新なし感染状態S2」から「未感染状態S1」へ遷移し、元の状態に戻る。
【0027】
図7の感染状態の遷移図は、異なる種類のそれぞれのワームに対して適用される。感染シミュレーションでは、ワームを識別するためにワーム番号ごとに状態遷移図を適用する。
【0028】
(動作の説明)
次に図8を参照して、感染シミュレーションの動作を説明する。図8は感染シミュレーションの動作を説明するシーケンス図である。図8において、端末31と、端末32と、端末33と、端末34と、端末シミュレータ41内の仮想端末と、端末シミュレータ42内の仮想端末とのワーム感染状態は、全て初期化時「未感染状態S1」であるとする。端末31がワーム種別としてワーム番号#1に感染したと仮定して感染シミュレーションを開始する。
【0029】
(S101)
擬似攻撃管理装置51は、端末31をワーム種別としてワーム番号#1に感染させる契機(トリガ)として、図9に示す「ワーム種別=ワーム番号#1」であるワーム攻撃データ60(擬似攻撃データの一例)を、端末31へ送信する。端末31は、このワーム攻撃データ60を受信すると、ワーム番号#1に関して、「更新なし感染状態S2」へ遷移する。
【0030】
図9のワーム攻撃データ60を説明する。ワーム攻撃データ60は、MACヘッダ61、IPヘッダ62、TCPヘッダ63(あるいはUDPヘッダ)、コマンドコード64、ワーム種別65のデータを含む。コマンドコード64は、「0x00000001」の場合、ワーム攻撃データである。また、ワーム種別65は、ワームの種別を示す。
【0031】
ワーム攻撃データ60および以下で後述するプログラム更新指示70、修正プログラム更新データ80、ワーム駆除指示90、試験結果収集100などの感染シミュレーションの通信データは、一般的なTCP/UDP/IPのデータであり、TCPとUDPのどちらのプロトコルを用いても良い。また、TCPとUDPのそれぞれの送信元ポート番号とあて先ポート番号とは、システムとして固定で良く、通常のアプリケーションデータとして通信させれば良い。
【0032】
(S102)
端末31は「更新なし感染状態S2」へ遷移すると「ワーム種別=ワーム番号#1」であるワーム攻撃データ60を、まず、端末31のIPアドレスが属するIPサブネットワークの端末へ送信する。すなわち端末31はワーム攻撃データ60を、「10.74.5.0」、及び「10.74.5.2」から「10.74.5.255」までのIPアドレスの端末へ送りつけて攻撃する。
【0033】
(S103)
例えば端末32は、端末31が発信した「ワーム種別=ワーム番号#1」のワーム攻撃データ60を受信すると、「更新なし感染状態S2」へ遷移し、端末31と同様の攻撃を開始する。
【0034】
(S104)
端末シミュレータ41内の「10.74.5.3」から「10.74.5.255」までのIPアドレスの仮想端末も、「ワーム種別=ワーム番号#1」のワーム攻撃データ60を受信すると、「更新なし感染状態S2」へ遷移し、端末31と同様の攻撃を開始する。
【0035】
(S105)
次に、端末31は、あて先IPアドレスとしてIPアドレスマスク長を短くした範囲に該当するIPアドレスに対して攻撃するべく、攻撃するIPアドレスの範囲を拡大する。IPアドレスマスク長を短くする方法としては、端末31は、ビット幅を何ビットか短くする。
例えば、端末31は、マスク長を最初の
「255.255.255.0」
より8ビット短くして
「255.255.0.0」
のマスク長まで攻撃範囲を広げる。これにより端末31は、「ワーム種別=ワーム番号#1」のワーム攻撃データ60を
「10.74.0.0」
から
「10.74.255.255」
までのIPアドレスの端末へ送りつけて攻撃する。
【0036】
(S106)
さらに、端末31は、IPアドレスマスク長をさらに8ビット短くして、すなわち、IPアドレスマスクを
「255.0.0.0」
として攻撃する。
すなわち、端末31は、「ワーム種別=ワーム番号#1」のワーム攻撃データ60を
「10.0.0.0」
から
「10.255.255.255」までのIPアドレスの端末へ送りつけて攻撃する。
【0037】
「更新なし感染状態S2」である端末32や、端末シミュレータ41内の「10.74.5.3」から「10.74.5.255」までのIPアドレスの仮想端末も、「ワーム種別=ワーム番号#1」のワーム攻撃データ60を、端末31と同様に送りつける攻撃を開始する。
【0038】
この状態遷移により、「ワーム種別=ワーム番号#1」のワームに関して、ネットワーク上で感染した端末の分布が分かる。
【0039】
(S110〜S112:擬似攻撃管理装置の指示によるプログラム更新)
例えば、端末32は、一定時間経過後、擬似攻撃管理装置51から、図10に示す「ワーム種別=ワーム番号#1」のプログラム更新指示70(送信指示の一例)を受信する(S110)。なお、擬似攻撃管理装置51から送信する他、プログラム更新指示70は手動により端末32に直接入力してもよい。図10のプログラム更新指示70を説明する。図10に示すプログラム更新指示70に含まれるデータは図9のワーム攻撃データ60と同様にMACヘッダ61〜ワーム種別65を含む。ただしプログラム更新指示70は、ワーム攻撃データ60に対して、コマンドコード64が「0x00000002」であり、プログラム更新指示であることを示している。端末32は、擬似攻撃管理装置51からこのプログラム更新指示70(送信指示)を受信すると、図11に示すような、更新要求通知フラグ81=「0x00000001」(更新要求)である「修正プログラム更新データ80」(更新データ要求の一例)を、予め設定されている擬似攻撃用パッチサーバ23宛てのIPアドレスへ送信する(S111)。
【0040】
図11の「修正プログラム更新データ80」を説明する。「修正プログラム更新データ80」はMACヘッダ61〜ワーム種別65、及び更新要求通知フラグ81を含む。「修正プログラム更新データ80」は、コマンドコード64=「0x00000003」であり、「修正プログラム更新データ80」自体が、修正プログラム更新データであることを示す。また、「修正プログラム更新データ80」は、端末から擬似攻撃用パッチサーバ23に送信される場合は更新要求であるので、更新要求通知フラグ81=「0x00000001」である。また、「修正プログラム更新データ80」は、擬似攻撃用パッチサーバ23から端末に送信される場合には、更新データを模擬するため、更新要求通知フラグ81=「0x00000002」となる。
【0041】
擬似攻撃用パッチサーバ23は、端末32からの修正プログラム更新データ80(更新要求通知フラグ=1)を受信すると、図11の修正プログラム更新データ80(更新要求通知フラグ=2)(擬似プログラム更新データの一例)を端末32へ応答する(S112)。
【0042】
(S113)
端末32は、図11の修正プログラム更新データ80(更新要求通知フラグ=2)を受信すると、「更新なし感染状態S2」から「更新あり感染状態S3」へ遷移する。
【0043】
図8のS110、図10に示した擬似攻撃管理装置51から送信されるプログラム更新指示70(ワーム番号#1)は、実際のネットワーク環境では、メールや人の口頭伝達によるプログラム更新の指示を模擬したものである。端末と擬似攻撃用パッチサーバ23間の往復の通信である図8の修正プログラム更新データ80の1往復(S111,S112)は、windows(登録商標) updateなどのプログラム更新の通信を模擬したものである。
【0044】
(S114:ワーク駆除)
端末32は、さらに一定時間経過後、擬似攻撃管理装置51から、図12に示す、「ワーム種別=ワーム番号#1」であるワーム駆除指示90(駆除指令の一例)を受信する(S114)。なお、擬似攻撃管理装置51から送信する他、ワーム駆除指示90は手動により端末32に直接入力してもよい。図12のワーム駆除指示90を説明する。図12に示すワーム駆除指示90に含まれるデータは、図9のワーム攻撃データ60と同様にMACヘッダ61〜ワーム種別65を含む。ただし、ワーム駆除指示90は、ワーム攻撃データ60に対して、コマンドコード64が「0x00000004」であり、ワーム駆除指示であることを示している。端末32は、図12の「ワーム種別=ワーム番号#1」であるワーム駆除指示90を受信すると、受信後のワーム駆除の定期チェックにより、「ワーム種別=ワーム番号#1」のワームを駆除し(S115)、「更新あり感染状態S3」から「免疫状態S4」へ遷移する(S116)。ワームを駆除した端末32は、今まで実行していたワーム攻撃データ60を生成して他の端末へワーム攻撃データ60を送信する動作を停止する。
【0045】
(S120,S121:擬似攻撃用パッチサーバ23からの定期更新または自動更新)
一定時間経過後、擬似攻撃用パッチサーバ23は、図11の「ワーム種別=ワーム番号#1、かつ、更新要求通知フラグ=2」である修正プログラム更新データ80(更新データ)を、送信先として予め設定されている端末31へ送信する(S120)。この修正プログラム更新データ80(更新データ)を受信した端末31は、「更新なし感染状態S2」から「更新あり感染状態S3」へ遷移する(S121)。S120及びS121は、擬似攻撃用パッチサーバ23からの定期更新または自動更新を示す。すなわちS120及びS121における、端末を擬似攻撃用パッチサーバ23から定期更新または自動更新する処理は、人の手を介さないで端末のプログラムを自動更新する場合を模擬している。予め、擬似攻撃用パッチサーバ23から定期更新または自動更新によってプログラム更新する端末(この例では端末31)を、擬似攻撃用パッチサーバ23に設定しておいてからシミュレーションを開始する。
【0046】
(S122〜S124:ワーム駆除指令)
端末31は、さらに一定時間経過後、擬似攻撃管理装置51からの図12に示す「ワーム種別=ワーム番号#1」のワーム駆除指示90を受信する(S122)。端末31は、このワーム駆除指示90を受信すると、受信後のワーム駆除の定期チェックにより「ワーム種別=ワーム番号#1」のワームを駆除し(S123)、「更新あり感染状態S3」から「免疫状態S4」へ遷移する(S124)。ワームを駆除した端末31は、今まで実行していた擬似攻撃データを生成して他の端末へ擬似攻撃データを送信する動作を停止する。
【0047】
端末シミュレータ41は、「10.74.5.3」から「10.74.5.255」までのIPアドレスの端末の動作を一台で実行しているが、個々の端末と同一の動作をIPアドレスごとに行う。端末シミュレータ42は、「10.74.6.3」から「10.74.6.255」までのIPアドレスの端末の動作を一台で実行しているが、個々の端末と同一の動作をIPアドレスごとに行う。
【0048】
端末32に対して、擬似攻撃管理装置51は、S110においてプログラム更新指示70を送信し、ついで、S114においてワーム駆除指示90を送信したが、逆の順番でも良い。逆の順場の場合、端末32は、「更新なし感染状態S2」から「未感染状態S1」へ遷移し、次いで、「免疫状態S4」へ遷移することとなる。
【0049】
これらそれぞれの端末の状態遷移により、「ワーム種別=ワーム番号#1」のワームに関してのネットワーク上で感染した端末の分布と免疫駆除した端末の分布が分かる。端末の状態の情報収集については、図13、図14の説明で後述する。
【0050】
「更新なし感染状態S2」と「更新あり感染状態S3」の端末は、ワームに感染している状態を模擬している。このため、これらの状態にある端末は、他の端末に図9のワーム攻撃データ60を送信して攻撃を続ける。攻撃する速度としては、実際の端末では、単一パケットの送信だけでは終了しないので、単位時間あたりで攻撃する端末の数に制限を加えても良い。例えば、1秒間あたり100台まで攻撃するなどの制限を設けても良い。
【0051】
図13は、擬似攻撃管理装置51が端末から試験経過収集するための試験結果収集100の要求と、その応答を示す図である。図13の試験結果収集100を説明する。図12に示す試験結果収集100に含まれるデータは、図9のワーム攻撃データ60と同様にMACヘッダ61〜コマンドコード64、これに加えて要求応答フラグ101及び試験結果データ102を含む。試験結果収集100は、コマンドコード64が「0x00000005」であり、試験結果収集データであることを示している。「要求応答フラグ101=収集要求」の試験結果収集100(感染状態確認要求の一例)は、擬似攻撃管理装置51から端末へ送信する。また、「要求応答フラグ101=収集応答」の試験結果収集は、端末から擬似攻撃管理装置51へ試験結果データを付加して返される。なお、図13に示すように、試験結果データ102は、「要求応答フラグ101=収集応答」の場合にのみ有効である。
【0052】
図14(a)は、図8の場合において、擬似攻撃管理装置51が端末32から収集した試験結果データ102(遷移履歴の一例)の例である。アスキー文字で返され、各イベントごとに、時刻、ワーム番号、ワーム感染状態、内容説明が記載されている。
(1)内容説明の「ATTACK from 10.74.5.1」は、端末32が端末31からワーム攻撃データを受信したイベント(S102)である。
(2)内容説明の「COMMAND UPDATE from 133.141.13.100」は、端末32が、擬似攻撃管理装置51からプログラム更新指示70を受信したイベント(S110)である。
(3)内容説明の「RECEIVE UPDATE from 10.74.6.23」は、端末32が、擬似攻撃用パッチサーバ23から更新データである修正プログラム更新データ80を受信したイベント(S113)である。
(4)内容説明の「COMMAND REMOVING from 133.141.13.100」は、端末32が、擬似攻撃管理装置51からワーム駆除指示90を受信したイベント(S114)である。
(5)内容説明の「DO REMOVING by self」は、端末32が、ワーム駆除を実行したイベント(S116)である。
【0053】
同様に、図14(b)は、擬似攻撃管理装置51が端末31から収集した試験結果データ102の例を示している。
【0054】
なお、実施の形態1の感染シミュレーションシステムは、複数の端末(端末シミュレータの仮想端末装置を含む)と擬似攻撃管理装置51とが行う感染シミュレーション方法として把握することも可能である。すなわち、複数の端末装置のそれぞれは、不正プログラムを模擬する擬似攻撃データの受信を契機として未感染の状態から前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成し、生成した前記新たな擬似攻撃データを所定の規則にしたがって自装置以外の少なくとも1台の前記端末装置に送信するとともに、感染状態の確認を求める感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の遷移履歴を返信し、擬似攻撃管理装置は、前記感染状態確認要求をそれぞれの前記端末装置に送信し、それぞれの前記端末装置から前記感染状態確認要求に応答する前記遷移履歴を受信する感染シミュレーション方法として把握することができる。
【0055】
また、実施の形態1で説明した端末装置(端末シミュレータの仮想端末を含む)の動作は、コンピュータである端末装置に実行させる擬似感染プログラムとして把握することができる。すなわち、不正プログラムによる感染シミュレーションの対象となる擬似ネットワークを構成するコンピュータである端末装置に以下の処理を実行させる擬似感染プログラムとして把握可能である。
(1)不正プログラムを模擬する擬似攻撃データの受信を契機として、前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成する処理
(2)前記擬似攻撃データの受信を契機として前記新たな擬似攻撃データを生成した場合に前記新たな擬似攻撃データを所定の規則にしたがって前記擬似ネットワークを構成する他の複数の端末装置のうち少なくとも1台の端末装置に送信するとともに、感染状態の確認を求める感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の状態を返信する処理
【0056】
以上のように、ネットワーク型ワームに感染した端末の分布を時間経過とともに検証し、ネットワークワームの免疫駆除した端末の分布を時間経過とともに検証するようにしているので、ネットワーク構成の違いによる伝播状況の試験結果から伝播の広がりが遅く被害が最小となるネットワーク構成を実際のネットワークに適用することができ、ネットワークのセキュリティを強化(設定変更やネットワーク構成変更)することができる。
【0057】
実施の形態2.
次に図15を用いて実施の形態2を説明する。実施の形態2は、ワーム種別がワーム番号#2の場合について説明する。ワーム番号#2のワームは、他の端末を攻撃する手法がワーム番号#1のワームとは異なる。システム構成は、実施の形態1と同様である。
【0058】
(動作の説明)
次に、図15を用いて動作を説明する。図15は、図9のワーム攻撃データ60においてワーム種別65がワーム番号#2の場合の感染シミュレーションのシーケンスを示す図である。
【0059】
端末31、端末32、端末33、端末34、端末シミュレータ41内の仮想端末、端末シミュレータ42内の仮想端末のワーム感染状態は、ワーム番号#2に関して全て初期化時の「未感染状態S1」であるものとする。実施の形態1の図8の場合に対して、端末31がワーム種別として「ワーム番号#2」に感染するものとする。
【0060】
(S201、S202)
擬似攻撃管理装置51は、端末31をワーム種別として「ワーム番号#2」に感染させる契機(トリガ)として、図9において「ワーム種別65=ワーム番号#2」のワーム攻撃データ60を、端末31へ送信する(S201)。端末31は、このワーム攻撃データ60を受信すると、ワーム番号#2に関して、「更新なし感染状態S2」へ遷移する(S202)。
【0061】
(S203)
端末31は、「ワーム種別=ワーム番号#2」のワーム攻撃データ60を受信することにより「更新なし感染状態S2」へ遷移すると、端末31内部で乱数を発生させ、発生させた乱数から宛先IPアドレスを決定し(S203)、決定した宛先IPアドレスの端末へ「ワーム種別=ワーム番号#2」のワーム攻撃データ60を送りつけて攻撃する。端末31は、図9に記載している「ワーム種別=ワーム番号#2」のワーム攻撃データ60を、乱数を発生させて決定した宛先IPアドレスへ次々と送信して攻撃する。図4に示すネットワーク上の端末へ偶然に端末31からワーム攻撃データ60が届いた場合には、その端末はワームに感染する。
【0062】
(S204〜S207)
例えば、偶然に、端末31からのワーム攻撃データ60(ワーム番号#2)が、端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末に届いたとする(S204)。端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、「ワーム種別=ワーム番号#2」に関して「更新なし感染状態S2」へ遷移する(S205)。そして、IPアドレス「10.74.6.49」の仮想端末は、端末シミュレータ42内で乱数を発生させ、発生させた乱数からIPアドレスを決定し(S206)、この決定したIPアドレスの端末に対して、図9に記載している「ワーム種別=ワーム番号#2」のワーム攻撃データ60を送信し攻撃する(S207)。
【0063】
図9に記載している「ワーム種別=ワーム番号#2」のワーム攻撃データ60を受信し、「更新なし感染状態S2」へ遷移した全ての端末は、内部で乱数を発生し、宛先IPアドレスを算出し、攻撃を開始する。
【0064】
(S208〜S211:プログラム更新)
端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、一定時間経過後、擬似攻撃管理装置51から図10記載の「ワーム種別=ワーム番号#2」であるプログラム更新指示70を受信する(S208)。端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、このプログラム更新指示70を受信すると、図11記載の「ワーム種別=ワーム番号#2、かつ、更新要求通知フラグ=更新要求」である修正プログラム更新データ80を、予め設定してある擬似攻撃用パッチサーバ23宛てのIPアドレスへ送信する(S209)。擬似攻撃用パッチサーバ23は、端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末からの修正プログラム更新データを受信すると、図11において、「ワーム種別=ワーム番号#2、かつ、更新要求通知フラグ=更新データ」である修正プログラム更新データ80を、端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末へ応答する(S210)。端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、この修正プログラム更新データ80を受信すると、「更新なし感染状態S2」から「更新あり感染状態S3」へ遷移する(S211)。
【0065】
(S212〜S214:ワーム駆除)
端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、さらに一定時間経過後、擬似攻撃管理装置51から、図12における、「ワーム種別=ワーム番号#2」のワーム駆除指示90を受信する(S212)。このワーム駆除指示90を受信すると、端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、受信後のワーム駆除の定期チェックにより、「ワーム種別=ワーム番号#2」のワームを駆除し(S213)、「更新あり感染状態S3」から「免疫状態S4」へ遷移する(S214)。
【0066】
図4のネットワーク上の端末や端末シミュレータ内の仮想端末が、「免疫状態S4」へ遷移する動作については、実施の形態1と同じである。
【0067】
本実施の形態2では、ネットワークワームの攻撃のアルゴリズムが異なる場合を模擬したが、ネットワークワームの攻撃のアルゴリズムは、多数考えられる。例えば、ARP(Address Resolution Protocol)キャッシュなどの情報の通信履歴から、ワームに感染した端末と通信している端末を攻撃するのを最優先で行うアルゴリズムもシミュレーション可能である。
【0068】
擬似攻撃管理装置51は、端末から試験経過収集する。擬似攻撃管理装置51は、図13における、「要求応答フラグ101=収集要求」の試験結果収集100を、各端末と端末シミュレータ内の仮想端末へ送信する(S215)。、各端末と端末シミュレータ内の仮想端末は、図13における、「要求応答フラグ101=収集応答」の試験結果収集100を擬似攻撃管理装置51へ応答する(S216)。擬似攻撃管理装置51は、時刻経過とともに各端末と端末シミュレータ内の仮想端末の感染状態を取得する。
【0069】
以上のように、ネットワーク型ワームの攻撃の特徴を加味して感染した端末の分布を時間経過とともに検証し、ネットワークワームの免疫駆除した端末の分布を時間経過とともに検証するようにしているので、ネットワーク構成の違いによる伝播状況の試験結果から伝播の広がりが遅く被害が最小となるネットワーク構成を実際のネットワークに適用することができ、ネットワークのセキュリティを強化(設定変更やネットワーク構成変更)することができる。
【0070】
以上の実施の形態では、以下の手段を備えたネットワークの擬似攻撃生成方式を説明した。
(a)ネットワーク型ウィルスやネットワーク型ワームに擬似的に感染した状態の端末が擬似攻撃データを生成し、他の端末へ擬似攻撃データを送信する手段;
(b)他の端末から擬似攻撃データを受信すると感染した状態へ遷移し、上記(a)の擬似攻撃を開始する手段;
(c)管理装置が各端末の感染状態を収集するデータを送信し、各端末が感染状態の記録を管理装置へ返す手段;
【0071】
以上の実施の形態では、以下の手段を備えたネットワークの擬似攻撃生成方式を説明した。
(a)擬似攻撃データによる感染の開始後一定時間経過後、各端末は管理装置からの指示あるいは人の指示により、擬似のプログラム更新サーバへ擬似プログラム更新データ(更新要求)を送信する手段;
(b)プログラム更新データ(更新要求)を受信したプログラム更新サーバは擬似プログラム更新データ(更新要求)を応答する手段;
(c)擬似プログラム更新データ(更新要求)を受信した端末はプログラムが更新された状態へ遷移する手段;
【0072】
以上の実施の形態では、以下の手段を備えたネットワークの擬似攻撃生成方式を説明した。
(a)擬似攻撃データによる感染の開始後一定時間経過後、擬似プログラム更新サーバは擬似プログラム更新データ(更新要求)を予め決められた各端末へ送信する手段;
(b)擬似プログラム更新データ(更新要求)を受信した端末はプログラムが更新された状態へ遷移する手段;
【0073】
以上の実施の形態では、以下の手段を備えたネットワークの擬似攻撃生成方式を説明した。
(a)擬似攻撃データによる感染の開始後一定時間経過後、各端末は管理装置からの指示あるいは人の指示により、擬似ワームを駆除する手段;
(b)擬似ワームを駆除した端末はワームを駆除した状態へ遷移し、擬似攻撃データを生成し他の端末へ擬似攻撃データの送信を停止する手段;
【図面の簡単な説明】
【0074】
【図1】実施の形態1における感染シミュレーションシステム1000の構成を示す図。
【図2】実施の形態1における端末装置31、管理装置51等の外観を示す図。
【図3】実施の形態1における端末装置31、管理装置51等のハードウェア構成を示す図。
【図4】実施の形態1における感染シミュレーションシステム1000のIPアドレス構成を示す図。
【図5】実施の形態1における端末31の構成ブロック図。
【図6】実施の形態1における端末シミュレータ41の構成ブロック図。
【図7】実施の形態1における端末の状態遷移を示す図。
【図8】実施の形態1における感染シミュレーションシステム1000のシーケンスを示す図。
【図9】実施の形態1におけるワーム攻撃データ60を示す図。
【図10】実施の形態1におけるプログラム更新指示70を示す図。
【図11】実施の形態1における修正プログラム更新データ80を示す図。
【図12】実施の形態1におけるワーム駆除指示90を示す図。
【図13】実施の形態1における試験結果収集100を示す図。
【図14】実施の形態1における試験結果データ102の例を示す図。
【図15】実施の形態2における感染シミュレーションシステム1000のシーケンスを示す図。
【符号の説明】
【0075】
A 組織、1 外部ネットワーク、11 ファイアウォール、12,13 ルータ、21 サーバ、22 proxyサーバ、23 擬似攻撃用パッチサーバ、31,32,33,34 端末、41,42 端末シミュレータ、51 擬似攻撃管理装置、60 ワーム攻撃データ、61 MACヘッダ、62 IPヘッダ、63 TCPヘッダ、64 コマンドコード、65 ワーム種別、70 プログラム更新指示、80 修正プログラム更新データ、81 更新要求通知フラグ、90 ワーム駆除指示、100 試験結果収集、101 要求応答フラグ、102 試験結果データ、311 LAN制御部、312 プロトコルスタック、313 擬似攻撃プログラム、411 LAN制御部、412 プロトコルスタック、413 端末シミュレータ用擬似攻撃プログラム、810 CPU、811 ROM、812 RAM、813 表示装置、814 K/B、815 マウス、816 通信ボード、817 FDD、818 CDD、819 プリンタ装置、820 磁気ディスク装置、821 OS、822 ウィンドウシステム、823 プログラム群、824 ファイル群、825 バス、830 システムユニット、1000 感染シミュレーションシステム。
【技術分野】
【0001】
この発明は、不正プログラムによるネットワークの感染をシミュレーションする感染シミュレーションシステム及び擬似感染プログラムに関する。
【背景技術】
【0002】
従来のネットワークの擬似攻撃生成方式(例えば、特許文献1)は、監視対象ネットワークに対する不正侵入や、攻撃を、センサ系により感知し、不正侵入や攻撃により停止したあるネットワーク要素を起点に、当該ネットワークサービス管理情報データベースを検索することにより、被害関連範囲における被害評価を行う。被害評価装置は、被害が及ぶ関連範囲を関連範囲における各ネットワーク要素をノードとした依存関係に基づく被害グラフの形態で表現し、この被害グラフに示される依存関係をたどることにより、各ノードに定義された被害関係ルールに従い、あらかじめ定義された想定被害数値を累積演算している。
【0003】
また、例えば、特許文献2では、ネットワークの状態を管理装置で監視し、管理装置がワームに感染した各端末の動作をルータから収集し、ワームの攻撃種別に一致した防御方法をいち早く適用するシステムが提案されている。
【0004】
また、例えば、非特許文献1では、事前にウィルスの感染状況を評価する方法として、シミュレーションを用いた方法を示している。
【特許文献1】特開2002−328893号公報 第3頁〜7頁、第1図
【特許文献2】特開2006−67078号公報 第3頁〜6頁、第1図
【非特許文献1】日本ソフトウェア科学会第21回大会(2004年度)論文集 「天敵への防衛概念を取り入れたワームの捕食モデルの提案」著者 小泉、他
【発明の開示】
【発明が解決しようとする課題】
【0005】
特許文献1の場合、ネットワークの擬似攻撃生成方式は、不正侵入や攻撃を受けた端末が、時間経過に伴って他の端末にどのように攻撃を実行し、ネットワーク型ウィルスやネットワーク型ワームがどのようにネットワーク上を広がっていくのかを事前予測し、ネットワーク設計に役立てることが出来ないという課題があった。
【0006】
また、特許文献2の場合、未知のワームや未知のウィルスについては、事前に対処方法が全く知られておらず、管理装置で状態を収集しても最適な対策を講ずることができなかった。さらに特許文献2では、実際のワームやウィルスによりどの程度の被害があるかを事前に評価できないという課題があった。
【0007】
また、非特許文献1では、事前に評価する方法として、シミュレーションを用いた方法ではネットワーク構成の違いによる感染の経過を得ることができなかった。
【0008】
この発明は、ネットワーク構成を色々変化させることによって、擬似的なネットワーク型ウィルスやネットワーク型ワームのネットワーク上での伝播状況をシミュレーションすることにより、ネットワーク構成の違いによる伝播状況のシミュレーション結果から伝播の広がりが遅く被害が最小となるネットワーク構成を発見し、実際のネットワークに適用可能な感染シミュレーションシステムの提供を目的とする。
【課題を解決するための手段】
【0009】
この発明の感染シミュレーションシステムは、
不正プログラムによる感染シミュレーションの対象となる擬似ネットワークを構成する複数の端末装置と、前記複数の端末装置の感染状態を管理する管理装置とを備えた感染シミュレーションシステムにおいて、
前記複数の端末装置のそれぞれは、
前記不正プログラムを模擬する擬似攻撃データを受信すると未感染の状態から前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成し、生成した前記新たな擬似攻撃データを所定の規則にしたがって自装置以外の少なくとも1台の前記端末装置に送信するとともに、感染状態の確認を求める感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の遷移履歴を返信し、
前記管理装置は、
前記感染状態確認要求を生成し、生成した前記感染状態確認要求をそれぞれの前記端末装置に送信するとともに、それぞれの前記端末装置から前記感染状態確認要求に応答する前記端末装置の前記遷移履歴を受信することを特徴とする。
【発明の効果】
【0010】
この発明により、擬似的なネットワーク型ウィルスやネットワーク型ワームのネットワーク上での伝播状況を試験することができる。
【発明を実施するための最良の形態】
【0011】
実施の形態1.
図1〜図14を用いて実施の形態1を説明する。実施の形態1は、ネットワーク構成を色々と変化させることにより、「ネットワーク型のウィルスやワーム」(不正プログラムの一例)のネットワーク上における伝播をシミュレーションする感染シミュレーションシステムに関する。この感染シミュレーションシステムによって、ワームなどの伝播の広がりが遅く、被害が小さいネットワーク構成を見出し、実際のネットワークに適用することができる。
【0012】
図1は、実施の形態1の感染シミュレーションシステム1000のシミュレーション対象となる擬似的なネットワークの論理構成を示すネットワーク構成図である。
図1において、
(1)外部ネットワーク1は、組織AのLAN(Local Area Network)外のTCP/IP(Transmission Control Protocol/Internet Protocol)公衆網である。
(2)ファイアウォール11は、通信データを設定に従って透過中継するか廃棄するフィルター装置である。
(3)ルータ12とルータ13とは、いわゆるルーティング情報によって経路を決め透過中継するIPルータである。
(4)サーバ21は、組織Aの社外用の公開サーバである。
(5)proxyサーバ22は、組織A内のネットワークから組織Aの社外サーバ宛てアクセスのためのプロキシサーバである。
(5)擬似攻撃用パッチサーバ23(擬似プログラム更新サーバ)は、ネットワーク型ウィルスやネットワーク型ワームに対するプログラム更新用のサーバである。
(6)端末31と端末32と端末33と端末34は、パーソナルコンピュータなどの端末装置である。端末装置31等は、以下、端末という。
(7)端末シミュレータ41と端末シミュレータ42は、複数台の端末を模擬する端末シミュレータ(端末装置の一例)である。
(8)擬似攻撃管理装置51(管理装置)は、ネットワークの擬似攻撃生成を制御するための装置である。
【0013】
図2は、端末、端末シミュレータ、あるいは擬似攻撃管理装置の外観の一例を示す図である。これらはいずれもコンピュータである。
【0014】
図2は端末31を想定して説明するが、端末シミュレータ41、及び擬似攻撃管理装置51もコンピュータであり、同様である。図2において、端末31は、システムユニット830、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置813、キーボード814(Key・Board:K/B)、マウス815、FDD817(Flexible・Disk・ Drive)、コンパクトディスク装置818(CDD:Compact Disk Drive)、プリンタ装置819などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。システムユニット830は、コンピュータであり、また、LANに接続されている。
【0015】
図3は、図2の端末31のハードウェア資源の一例を示す図である。図3において、端末31は、プログラムを実行するCPU810(中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、FDD817、CDD818、プリンタ装置819、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
【0016】
RAM812は、揮発性メモリの一例である。ROM811、FDD817、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部の一例である。通信ボード816、キーボード814、FDD817などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813、プリンタ装置819などは、出力部、出力装置の一例である。通信ボード816は、LANに接続されている。
【0017】
磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。
【0018】
上記プログラム群823には、以下に述べる実施の形態の説明において「〜部」、及び「プロトコルスタック」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
【0019】
ファイル群824には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明する情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0020】
また、以下に述べる実施の形態の説明においては、データや信号値は、RAM812のメモリ、FDD817のフレキシブルディスク、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0021】
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
【0022】
図4は、図1のネットワーク構成図にIPアドレスを付与したものである。
図4において、
IPサブネットワークには
「10.74.1.0/255.255.255.0」
の表現のように、
「IPサブネットワークアドレス/IPアドレスマスク」
を記述した。
(1)サーバ21が接続しているIPサブネットワークアドレスは、
「133.141.0.0/255.255.0.0」
である。
(2)ルータ12とルータ13とが接続しているIPサブネットワークアドレスは、
「10.74.1.0/255.255.255.0」
である。
(3)端末31が接続しているIPサブネットワークアドレスは、
「10.74.5.0/255.255.255.0」
である。
(4)端末33が接続しているIPサブネットワークアドレスは、
「10.74.6.0/255.255.255.0」である。
(5)端末シミュレータ41は
「10.74.5.3」から「10.74.5.255」までのIPアドレスの端末の動作を一台で実行する。
(6)端末シミュレータ42は
「10.74.6.3」から「10.74.6.255」までのIPアドレスの端末の動作を一台で実行する。
【0023】
図5は、端末31の内部モジュール構造を示す。端末32と端末33と端末34の内部モジュール構造は、端末31と同様である。
(1)LAN制御部311は、LAN(Local Area Network)の回線を制御するモジュールである。
(2)プロトコルスタック312は、端末に備わっているTCP/UDP/IPの通信プログラムである。
(3)擬似攻撃プログラム313は、TCP/UDPのソケットを利用した擬似攻撃を実行するプログラムである。
【0024】
図6は、端末シミュレータ41の内部モジュール構造を示す。端末シミュレータ42の内部モジュール構造は端末シミュレータ41と同様である。
(1)LAN制御部411は、LANの回線を制御するモジュールである。
(2)プロトコルスタック412は、端末シミュレータに備わっているTCP/UDP/IPの通信プログラムである。プロトコルスタック412の自局IPアドレスは、いわゆるマルチアサインにより複数のIPアドレスを設定する。
(3)端末シミュレータ用擬似攻撃プログラム413は、TCP/UDPのソケットを利用した複数台の擬似攻撃を同時に実行するプログラムである。
【0025】
図7は、各々の端末がネットワーク型ワームに感染した場合の状態の遷移を示す状態遷移図である。図7に示すように、各端末は、「未感染状態S1」、「更新なし感染状態S2」、「更新あり感染状態S3」、「免疫状態S4」のいずれかの状態を有する。全ての端末は、初期状態として、「未感染状態S1」である。端末は、ネットワーク上でワームに感染すると「更新なし感染状態S2」へ遷移する。また、「未感染状態S1」で障害のあるプログラムを更新してセキュリティホールをふさいだ時(パッチ適用時)は、「免疫状態S4」へ遷移する。
【0026】
「更新なし感染状態S2」からは、次の(1)、(2)の二つの事象が発生した時に、「未感染状態S1」、あるいは「更新あり感染状態S3」のいずれかの状態に遷移する。
(1)最初の事象は、障害のあるプログラムを更新しセキュリティホールをふさいだ時(パッチ適用時)である。この場合は、「更新なし感染状態S2」から「更新あり感染状態S3」へ遷移する。「更新あり感染状態S3」は、障害のあるプログラムを更新しセキュリティホールをふさいでいる。しかし、ワームに感染した状態であるので、他の端末へワーム送信の攻撃を実行している状態である。「更新あり感染状態S3」でワーム駆除の事象が発生すると、「免疫状態S4」に遷移する。
(2)もうひとつの事象は、ワームを駆除した時であり、この場合は、「更新なし感染状態S2」から「未感染状態S1」へ遷移し、元の状態に戻る。
【0027】
図7の感染状態の遷移図は、異なる種類のそれぞれのワームに対して適用される。感染シミュレーションでは、ワームを識別するためにワーム番号ごとに状態遷移図を適用する。
【0028】
(動作の説明)
次に図8を参照して、感染シミュレーションの動作を説明する。図8は感染シミュレーションの動作を説明するシーケンス図である。図8において、端末31と、端末32と、端末33と、端末34と、端末シミュレータ41内の仮想端末と、端末シミュレータ42内の仮想端末とのワーム感染状態は、全て初期化時「未感染状態S1」であるとする。端末31がワーム種別としてワーム番号#1に感染したと仮定して感染シミュレーションを開始する。
【0029】
(S101)
擬似攻撃管理装置51は、端末31をワーム種別としてワーム番号#1に感染させる契機(トリガ)として、図9に示す「ワーム種別=ワーム番号#1」であるワーム攻撃データ60(擬似攻撃データの一例)を、端末31へ送信する。端末31は、このワーム攻撃データ60を受信すると、ワーム番号#1に関して、「更新なし感染状態S2」へ遷移する。
【0030】
図9のワーム攻撃データ60を説明する。ワーム攻撃データ60は、MACヘッダ61、IPヘッダ62、TCPヘッダ63(あるいはUDPヘッダ)、コマンドコード64、ワーム種別65のデータを含む。コマンドコード64は、「0x00000001」の場合、ワーム攻撃データである。また、ワーム種別65は、ワームの種別を示す。
【0031】
ワーム攻撃データ60および以下で後述するプログラム更新指示70、修正プログラム更新データ80、ワーム駆除指示90、試験結果収集100などの感染シミュレーションの通信データは、一般的なTCP/UDP/IPのデータであり、TCPとUDPのどちらのプロトコルを用いても良い。また、TCPとUDPのそれぞれの送信元ポート番号とあて先ポート番号とは、システムとして固定で良く、通常のアプリケーションデータとして通信させれば良い。
【0032】
(S102)
端末31は「更新なし感染状態S2」へ遷移すると「ワーム種別=ワーム番号#1」であるワーム攻撃データ60を、まず、端末31のIPアドレスが属するIPサブネットワークの端末へ送信する。すなわち端末31はワーム攻撃データ60を、「10.74.5.0」、及び「10.74.5.2」から「10.74.5.255」までのIPアドレスの端末へ送りつけて攻撃する。
【0033】
(S103)
例えば端末32は、端末31が発信した「ワーム種別=ワーム番号#1」のワーム攻撃データ60を受信すると、「更新なし感染状態S2」へ遷移し、端末31と同様の攻撃を開始する。
【0034】
(S104)
端末シミュレータ41内の「10.74.5.3」から「10.74.5.255」までのIPアドレスの仮想端末も、「ワーム種別=ワーム番号#1」のワーム攻撃データ60を受信すると、「更新なし感染状態S2」へ遷移し、端末31と同様の攻撃を開始する。
【0035】
(S105)
次に、端末31は、あて先IPアドレスとしてIPアドレスマスク長を短くした範囲に該当するIPアドレスに対して攻撃するべく、攻撃するIPアドレスの範囲を拡大する。IPアドレスマスク長を短くする方法としては、端末31は、ビット幅を何ビットか短くする。
例えば、端末31は、マスク長を最初の
「255.255.255.0」
より8ビット短くして
「255.255.0.0」
のマスク長まで攻撃範囲を広げる。これにより端末31は、「ワーム種別=ワーム番号#1」のワーム攻撃データ60を
「10.74.0.0」
から
「10.74.255.255」
までのIPアドレスの端末へ送りつけて攻撃する。
【0036】
(S106)
さらに、端末31は、IPアドレスマスク長をさらに8ビット短くして、すなわち、IPアドレスマスクを
「255.0.0.0」
として攻撃する。
すなわち、端末31は、「ワーム種別=ワーム番号#1」のワーム攻撃データ60を
「10.0.0.0」
から
「10.255.255.255」までのIPアドレスの端末へ送りつけて攻撃する。
【0037】
「更新なし感染状態S2」である端末32や、端末シミュレータ41内の「10.74.5.3」から「10.74.5.255」までのIPアドレスの仮想端末も、「ワーム種別=ワーム番号#1」のワーム攻撃データ60を、端末31と同様に送りつける攻撃を開始する。
【0038】
この状態遷移により、「ワーム種別=ワーム番号#1」のワームに関して、ネットワーク上で感染した端末の分布が分かる。
【0039】
(S110〜S112:擬似攻撃管理装置の指示によるプログラム更新)
例えば、端末32は、一定時間経過後、擬似攻撃管理装置51から、図10に示す「ワーム種別=ワーム番号#1」のプログラム更新指示70(送信指示の一例)を受信する(S110)。なお、擬似攻撃管理装置51から送信する他、プログラム更新指示70は手動により端末32に直接入力してもよい。図10のプログラム更新指示70を説明する。図10に示すプログラム更新指示70に含まれるデータは図9のワーム攻撃データ60と同様にMACヘッダ61〜ワーム種別65を含む。ただしプログラム更新指示70は、ワーム攻撃データ60に対して、コマンドコード64が「0x00000002」であり、プログラム更新指示であることを示している。端末32は、擬似攻撃管理装置51からこのプログラム更新指示70(送信指示)を受信すると、図11に示すような、更新要求通知フラグ81=「0x00000001」(更新要求)である「修正プログラム更新データ80」(更新データ要求の一例)を、予め設定されている擬似攻撃用パッチサーバ23宛てのIPアドレスへ送信する(S111)。
【0040】
図11の「修正プログラム更新データ80」を説明する。「修正プログラム更新データ80」はMACヘッダ61〜ワーム種別65、及び更新要求通知フラグ81を含む。「修正プログラム更新データ80」は、コマンドコード64=「0x00000003」であり、「修正プログラム更新データ80」自体が、修正プログラム更新データであることを示す。また、「修正プログラム更新データ80」は、端末から擬似攻撃用パッチサーバ23に送信される場合は更新要求であるので、更新要求通知フラグ81=「0x00000001」である。また、「修正プログラム更新データ80」は、擬似攻撃用パッチサーバ23から端末に送信される場合には、更新データを模擬するため、更新要求通知フラグ81=「0x00000002」となる。
【0041】
擬似攻撃用パッチサーバ23は、端末32からの修正プログラム更新データ80(更新要求通知フラグ=1)を受信すると、図11の修正プログラム更新データ80(更新要求通知フラグ=2)(擬似プログラム更新データの一例)を端末32へ応答する(S112)。
【0042】
(S113)
端末32は、図11の修正プログラム更新データ80(更新要求通知フラグ=2)を受信すると、「更新なし感染状態S2」から「更新あり感染状態S3」へ遷移する。
【0043】
図8のS110、図10に示した擬似攻撃管理装置51から送信されるプログラム更新指示70(ワーム番号#1)は、実際のネットワーク環境では、メールや人の口頭伝達によるプログラム更新の指示を模擬したものである。端末と擬似攻撃用パッチサーバ23間の往復の通信である図8の修正プログラム更新データ80の1往復(S111,S112)は、windows(登録商標) updateなどのプログラム更新の通信を模擬したものである。
【0044】
(S114:ワーク駆除)
端末32は、さらに一定時間経過後、擬似攻撃管理装置51から、図12に示す、「ワーム種別=ワーム番号#1」であるワーム駆除指示90(駆除指令の一例)を受信する(S114)。なお、擬似攻撃管理装置51から送信する他、ワーム駆除指示90は手動により端末32に直接入力してもよい。図12のワーム駆除指示90を説明する。図12に示すワーム駆除指示90に含まれるデータは、図9のワーム攻撃データ60と同様にMACヘッダ61〜ワーム種別65を含む。ただし、ワーム駆除指示90は、ワーム攻撃データ60に対して、コマンドコード64が「0x00000004」であり、ワーム駆除指示であることを示している。端末32は、図12の「ワーム種別=ワーム番号#1」であるワーム駆除指示90を受信すると、受信後のワーム駆除の定期チェックにより、「ワーム種別=ワーム番号#1」のワームを駆除し(S115)、「更新あり感染状態S3」から「免疫状態S4」へ遷移する(S116)。ワームを駆除した端末32は、今まで実行していたワーム攻撃データ60を生成して他の端末へワーム攻撃データ60を送信する動作を停止する。
【0045】
(S120,S121:擬似攻撃用パッチサーバ23からの定期更新または自動更新)
一定時間経過後、擬似攻撃用パッチサーバ23は、図11の「ワーム種別=ワーム番号#1、かつ、更新要求通知フラグ=2」である修正プログラム更新データ80(更新データ)を、送信先として予め設定されている端末31へ送信する(S120)。この修正プログラム更新データ80(更新データ)を受信した端末31は、「更新なし感染状態S2」から「更新あり感染状態S3」へ遷移する(S121)。S120及びS121は、擬似攻撃用パッチサーバ23からの定期更新または自動更新を示す。すなわちS120及びS121における、端末を擬似攻撃用パッチサーバ23から定期更新または自動更新する処理は、人の手を介さないで端末のプログラムを自動更新する場合を模擬している。予め、擬似攻撃用パッチサーバ23から定期更新または自動更新によってプログラム更新する端末(この例では端末31)を、擬似攻撃用パッチサーバ23に設定しておいてからシミュレーションを開始する。
【0046】
(S122〜S124:ワーム駆除指令)
端末31は、さらに一定時間経過後、擬似攻撃管理装置51からの図12に示す「ワーム種別=ワーム番号#1」のワーム駆除指示90を受信する(S122)。端末31は、このワーム駆除指示90を受信すると、受信後のワーム駆除の定期チェックにより「ワーム種別=ワーム番号#1」のワームを駆除し(S123)、「更新あり感染状態S3」から「免疫状態S4」へ遷移する(S124)。ワームを駆除した端末31は、今まで実行していた擬似攻撃データを生成して他の端末へ擬似攻撃データを送信する動作を停止する。
【0047】
端末シミュレータ41は、「10.74.5.3」から「10.74.5.255」までのIPアドレスの端末の動作を一台で実行しているが、個々の端末と同一の動作をIPアドレスごとに行う。端末シミュレータ42は、「10.74.6.3」から「10.74.6.255」までのIPアドレスの端末の動作を一台で実行しているが、個々の端末と同一の動作をIPアドレスごとに行う。
【0048】
端末32に対して、擬似攻撃管理装置51は、S110においてプログラム更新指示70を送信し、ついで、S114においてワーム駆除指示90を送信したが、逆の順番でも良い。逆の順場の場合、端末32は、「更新なし感染状態S2」から「未感染状態S1」へ遷移し、次いで、「免疫状態S4」へ遷移することとなる。
【0049】
これらそれぞれの端末の状態遷移により、「ワーム種別=ワーム番号#1」のワームに関してのネットワーク上で感染した端末の分布と免疫駆除した端末の分布が分かる。端末の状態の情報収集については、図13、図14の説明で後述する。
【0050】
「更新なし感染状態S2」と「更新あり感染状態S3」の端末は、ワームに感染している状態を模擬している。このため、これらの状態にある端末は、他の端末に図9のワーム攻撃データ60を送信して攻撃を続ける。攻撃する速度としては、実際の端末では、単一パケットの送信だけでは終了しないので、単位時間あたりで攻撃する端末の数に制限を加えても良い。例えば、1秒間あたり100台まで攻撃するなどの制限を設けても良い。
【0051】
図13は、擬似攻撃管理装置51が端末から試験経過収集するための試験結果収集100の要求と、その応答を示す図である。図13の試験結果収集100を説明する。図12に示す試験結果収集100に含まれるデータは、図9のワーム攻撃データ60と同様にMACヘッダ61〜コマンドコード64、これに加えて要求応答フラグ101及び試験結果データ102を含む。試験結果収集100は、コマンドコード64が「0x00000005」であり、試験結果収集データであることを示している。「要求応答フラグ101=収集要求」の試験結果収集100(感染状態確認要求の一例)は、擬似攻撃管理装置51から端末へ送信する。また、「要求応答フラグ101=収集応答」の試験結果収集は、端末から擬似攻撃管理装置51へ試験結果データを付加して返される。なお、図13に示すように、試験結果データ102は、「要求応答フラグ101=収集応答」の場合にのみ有効である。
【0052】
図14(a)は、図8の場合において、擬似攻撃管理装置51が端末32から収集した試験結果データ102(遷移履歴の一例)の例である。アスキー文字で返され、各イベントごとに、時刻、ワーム番号、ワーム感染状態、内容説明が記載されている。
(1)内容説明の「ATTACK from 10.74.5.1」は、端末32が端末31からワーム攻撃データを受信したイベント(S102)である。
(2)内容説明の「COMMAND UPDATE from 133.141.13.100」は、端末32が、擬似攻撃管理装置51からプログラム更新指示70を受信したイベント(S110)である。
(3)内容説明の「RECEIVE UPDATE from 10.74.6.23」は、端末32が、擬似攻撃用パッチサーバ23から更新データである修正プログラム更新データ80を受信したイベント(S113)である。
(4)内容説明の「COMMAND REMOVING from 133.141.13.100」は、端末32が、擬似攻撃管理装置51からワーム駆除指示90を受信したイベント(S114)である。
(5)内容説明の「DO REMOVING by self」は、端末32が、ワーム駆除を実行したイベント(S116)である。
【0053】
同様に、図14(b)は、擬似攻撃管理装置51が端末31から収集した試験結果データ102の例を示している。
【0054】
なお、実施の形態1の感染シミュレーションシステムは、複数の端末(端末シミュレータの仮想端末装置を含む)と擬似攻撃管理装置51とが行う感染シミュレーション方法として把握することも可能である。すなわち、複数の端末装置のそれぞれは、不正プログラムを模擬する擬似攻撃データの受信を契機として未感染の状態から前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成し、生成した前記新たな擬似攻撃データを所定の規則にしたがって自装置以外の少なくとも1台の前記端末装置に送信するとともに、感染状態の確認を求める感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の遷移履歴を返信し、擬似攻撃管理装置は、前記感染状態確認要求をそれぞれの前記端末装置に送信し、それぞれの前記端末装置から前記感染状態確認要求に応答する前記遷移履歴を受信する感染シミュレーション方法として把握することができる。
【0055】
また、実施の形態1で説明した端末装置(端末シミュレータの仮想端末を含む)の動作は、コンピュータである端末装置に実行させる擬似感染プログラムとして把握することができる。すなわち、不正プログラムによる感染シミュレーションの対象となる擬似ネットワークを構成するコンピュータである端末装置に以下の処理を実行させる擬似感染プログラムとして把握可能である。
(1)不正プログラムを模擬する擬似攻撃データの受信を契機として、前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成する処理
(2)前記擬似攻撃データの受信を契機として前記新たな擬似攻撃データを生成した場合に前記新たな擬似攻撃データを所定の規則にしたがって前記擬似ネットワークを構成する他の複数の端末装置のうち少なくとも1台の端末装置に送信するとともに、感染状態の確認を求める感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の状態を返信する処理
【0056】
以上のように、ネットワーク型ワームに感染した端末の分布を時間経過とともに検証し、ネットワークワームの免疫駆除した端末の分布を時間経過とともに検証するようにしているので、ネットワーク構成の違いによる伝播状況の試験結果から伝播の広がりが遅く被害が最小となるネットワーク構成を実際のネットワークに適用することができ、ネットワークのセキュリティを強化(設定変更やネットワーク構成変更)することができる。
【0057】
実施の形態2.
次に図15を用いて実施の形態2を説明する。実施の形態2は、ワーム種別がワーム番号#2の場合について説明する。ワーム番号#2のワームは、他の端末を攻撃する手法がワーム番号#1のワームとは異なる。システム構成は、実施の形態1と同様である。
【0058】
(動作の説明)
次に、図15を用いて動作を説明する。図15は、図9のワーム攻撃データ60においてワーム種別65がワーム番号#2の場合の感染シミュレーションのシーケンスを示す図である。
【0059】
端末31、端末32、端末33、端末34、端末シミュレータ41内の仮想端末、端末シミュレータ42内の仮想端末のワーム感染状態は、ワーム番号#2に関して全て初期化時の「未感染状態S1」であるものとする。実施の形態1の図8の場合に対して、端末31がワーム種別として「ワーム番号#2」に感染するものとする。
【0060】
(S201、S202)
擬似攻撃管理装置51は、端末31をワーム種別として「ワーム番号#2」に感染させる契機(トリガ)として、図9において「ワーム種別65=ワーム番号#2」のワーム攻撃データ60を、端末31へ送信する(S201)。端末31は、このワーム攻撃データ60を受信すると、ワーム番号#2に関して、「更新なし感染状態S2」へ遷移する(S202)。
【0061】
(S203)
端末31は、「ワーム種別=ワーム番号#2」のワーム攻撃データ60を受信することにより「更新なし感染状態S2」へ遷移すると、端末31内部で乱数を発生させ、発生させた乱数から宛先IPアドレスを決定し(S203)、決定した宛先IPアドレスの端末へ「ワーム種別=ワーム番号#2」のワーム攻撃データ60を送りつけて攻撃する。端末31は、図9に記載している「ワーム種別=ワーム番号#2」のワーム攻撃データ60を、乱数を発生させて決定した宛先IPアドレスへ次々と送信して攻撃する。図4に示すネットワーク上の端末へ偶然に端末31からワーム攻撃データ60が届いた場合には、その端末はワームに感染する。
【0062】
(S204〜S207)
例えば、偶然に、端末31からのワーム攻撃データ60(ワーム番号#2)が、端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末に届いたとする(S204)。端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、「ワーム種別=ワーム番号#2」に関して「更新なし感染状態S2」へ遷移する(S205)。そして、IPアドレス「10.74.6.49」の仮想端末は、端末シミュレータ42内で乱数を発生させ、発生させた乱数からIPアドレスを決定し(S206)、この決定したIPアドレスの端末に対して、図9に記載している「ワーム種別=ワーム番号#2」のワーム攻撃データ60を送信し攻撃する(S207)。
【0063】
図9に記載している「ワーム種別=ワーム番号#2」のワーム攻撃データ60を受信し、「更新なし感染状態S2」へ遷移した全ての端末は、内部で乱数を発生し、宛先IPアドレスを算出し、攻撃を開始する。
【0064】
(S208〜S211:プログラム更新)
端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、一定時間経過後、擬似攻撃管理装置51から図10記載の「ワーム種別=ワーム番号#2」であるプログラム更新指示70を受信する(S208)。端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、このプログラム更新指示70を受信すると、図11記載の「ワーム種別=ワーム番号#2、かつ、更新要求通知フラグ=更新要求」である修正プログラム更新データ80を、予め設定してある擬似攻撃用パッチサーバ23宛てのIPアドレスへ送信する(S209)。擬似攻撃用パッチサーバ23は、端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末からの修正プログラム更新データを受信すると、図11において、「ワーム種別=ワーム番号#2、かつ、更新要求通知フラグ=更新データ」である修正プログラム更新データ80を、端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末へ応答する(S210)。端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、この修正プログラム更新データ80を受信すると、「更新なし感染状態S2」から「更新あり感染状態S3」へ遷移する(S211)。
【0065】
(S212〜S214:ワーム駆除)
端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、さらに一定時間経過後、擬似攻撃管理装置51から、図12における、「ワーム種別=ワーム番号#2」のワーム駆除指示90を受信する(S212)。このワーム駆除指示90を受信すると、端末シミュレータ42内のIPアドレス「10.74.6.49」の仮想端末は、受信後のワーム駆除の定期チェックにより、「ワーム種別=ワーム番号#2」のワームを駆除し(S213)、「更新あり感染状態S3」から「免疫状態S4」へ遷移する(S214)。
【0066】
図4のネットワーク上の端末や端末シミュレータ内の仮想端末が、「免疫状態S4」へ遷移する動作については、実施の形態1と同じである。
【0067】
本実施の形態2では、ネットワークワームの攻撃のアルゴリズムが異なる場合を模擬したが、ネットワークワームの攻撃のアルゴリズムは、多数考えられる。例えば、ARP(Address Resolution Protocol)キャッシュなどの情報の通信履歴から、ワームに感染した端末と通信している端末を攻撃するのを最優先で行うアルゴリズムもシミュレーション可能である。
【0068】
擬似攻撃管理装置51は、端末から試験経過収集する。擬似攻撃管理装置51は、図13における、「要求応答フラグ101=収集要求」の試験結果収集100を、各端末と端末シミュレータ内の仮想端末へ送信する(S215)。、各端末と端末シミュレータ内の仮想端末は、図13における、「要求応答フラグ101=収集応答」の試験結果収集100を擬似攻撃管理装置51へ応答する(S216)。擬似攻撃管理装置51は、時刻経過とともに各端末と端末シミュレータ内の仮想端末の感染状態を取得する。
【0069】
以上のように、ネットワーク型ワームの攻撃の特徴を加味して感染した端末の分布を時間経過とともに検証し、ネットワークワームの免疫駆除した端末の分布を時間経過とともに検証するようにしているので、ネットワーク構成の違いによる伝播状況の試験結果から伝播の広がりが遅く被害が最小となるネットワーク構成を実際のネットワークに適用することができ、ネットワークのセキュリティを強化(設定変更やネットワーク構成変更)することができる。
【0070】
以上の実施の形態では、以下の手段を備えたネットワークの擬似攻撃生成方式を説明した。
(a)ネットワーク型ウィルスやネットワーク型ワームに擬似的に感染した状態の端末が擬似攻撃データを生成し、他の端末へ擬似攻撃データを送信する手段;
(b)他の端末から擬似攻撃データを受信すると感染した状態へ遷移し、上記(a)の擬似攻撃を開始する手段;
(c)管理装置が各端末の感染状態を収集するデータを送信し、各端末が感染状態の記録を管理装置へ返す手段;
【0071】
以上の実施の形態では、以下の手段を備えたネットワークの擬似攻撃生成方式を説明した。
(a)擬似攻撃データによる感染の開始後一定時間経過後、各端末は管理装置からの指示あるいは人の指示により、擬似のプログラム更新サーバへ擬似プログラム更新データ(更新要求)を送信する手段;
(b)プログラム更新データ(更新要求)を受信したプログラム更新サーバは擬似プログラム更新データ(更新要求)を応答する手段;
(c)擬似プログラム更新データ(更新要求)を受信した端末はプログラムが更新された状態へ遷移する手段;
【0072】
以上の実施の形態では、以下の手段を備えたネットワークの擬似攻撃生成方式を説明した。
(a)擬似攻撃データによる感染の開始後一定時間経過後、擬似プログラム更新サーバは擬似プログラム更新データ(更新要求)を予め決められた各端末へ送信する手段;
(b)擬似プログラム更新データ(更新要求)を受信した端末はプログラムが更新された状態へ遷移する手段;
【0073】
以上の実施の形態では、以下の手段を備えたネットワークの擬似攻撃生成方式を説明した。
(a)擬似攻撃データによる感染の開始後一定時間経過後、各端末は管理装置からの指示あるいは人の指示により、擬似ワームを駆除する手段;
(b)擬似ワームを駆除した端末はワームを駆除した状態へ遷移し、擬似攻撃データを生成し他の端末へ擬似攻撃データの送信を停止する手段;
【図面の簡単な説明】
【0074】
【図1】実施の形態1における感染シミュレーションシステム1000の構成を示す図。
【図2】実施の形態1における端末装置31、管理装置51等の外観を示す図。
【図3】実施の形態1における端末装置31、管理装置51等のハードウェア構成を示す図。
【図4】実施の形態1における感染シミュレーションシステム1000のIPアドレス構成を示す図。
【図5】実施の形態1における端末31の構成ブロック図。
【図6】実施の形態1における端末シミュレータ41の構成ブロック図。
【図7】実施の形態1における端末の状態遷移を示す図。
【図8】実施の形態1における感染シミュレーションシステム1000のシーケンスを示す図。
【図9】実施の形態1におけるワーム攻撃データ60を示す図。
【図10】実施の形態1におけるプログラム更新指示70を示す図。
【図11】実施の形態1における修正プログラム更新データ80を示す図。
【図12】実施の形態1におけるワーム駆除指示90を示す図。
【図13】実施の形態1における試験結果収集100を示す図。
【図14】実施の形態1における試験結果データ102の例を示す図。
【図15】実施の形態2における感染シミュレーションシステム1000のシーケンスを示す図。
【符号の説明】
【0075】
A 組織、1 外部ネットワーク、11 ファイアウォール、12,13 ルータ、21 サーバ、22 proxyサーバ、23 擬似攻撃用パッチサーバ、31,32,33,34 端末、41,42 端末シミュレータ、51 擬似攻撃管理装置、60 ワーム攻撃データ、61 MACヘッダ、62 IPヘッダ、63 TCPヘッダ、64 コマンドコード、65 ワーム種別、70 プログラム更新指示、80 修正プログラム更新データ、81 更新要求通知フラグ、90 ワーム駆除指示、100 試験結果収集、101 要求応答フラグ、102 試験結果データ、311 LAN制御部、312 プロトコルスタック、313 擬似攻撃プログラム、411 LAN制御部、412 プロトコルスタック、413 端末シミュレータ用擬似攻撃プログラム、810 CPU、811 ROM、812 RAM、813 表示装置、814 K/B、815 マウス、816 通信ボード、817 FDD、818 CDD、819 プリンタ装置、820 磁気ディスク装置、821 OS、822 ウィンドウシステム、823 プログラム群、824 ファイル群、825 バス、830 システムユニット、1000 感染シミュレーションシステム。
【特許請求の範囲】
【請求項1】
不正プログラムによる感染シミュレーションの対象となる擬似ネットワークを構成する複数の端末装置と、前記複数の端末装置の感染状態を管理する管理装置とを備えた感染シミュレーションシステムにおいて、
前記複数の端末装置のそれぞれは、
前記不正プログラムを模擬する擬似攻撃データを受信すると未感染の状態から前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成し、生成した前記新たな擬似攻撃データを所定の規則にしたがって自装置以外の少なくとも1台の前記端末装置に送信するとともに、感染状態の確認を求める感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の遷移履歴を返信し、
前記管理装置は、
前記感染状態確認要求を生成し、生成した前記感染状態確認要求をそれぞれの前記端末装置に送信するとともに、それぞれの前記端末装置から前記感染状態確認要求に応答する前記端末装置の前記遷移履歴を受信することを特徴とする感染シミュレーションシステム。
【請求項2】
前記端末装置が前記新たな擬似攻撃データを送信する場合の前記所定の規則は、
前記端末装置が受信した前記擬似攻撃データに応じて定まることを特徴とする請求項1記載の感染シミュレーションシステム。
【請求項3】
前記感染シミュレーションシステムは、さらに、
更新プログラムを模擬する擬似プログラム更新データを要求する更新データ要求に応答して前記擬似プログラム更新データを送信する擬似プログラム更新サーバを備え、
前記複数の端末装置のそれぞれは、
前記更新データ要求の送信を指示する送信指示を受け付け、前記送信指示を受け付けると、受け付けた前記送信指示にしたがって前記更新データ要求を前記擬似プログラム更新サーバに送信し、
前記擬似プログラム更新サーバは、
前記更新データ要求を受信すると、受信した前記更新データ要求に応答して前記擬似プログラム更新データを前記更新データ要求を送信した前記端末装置である要求端末に送信し、
前記要求端末は、
前記擬似プログラム更新サーバから前記擬似プログラム更新データを受信すると、感染状態からプログラムが更新された状態に遷移するとともに、前記管理装置から前記感染状態確認要求を受信した場合には、自装置の前記遷移履歴に、前記プログラムが更新された状態を含めて返信することを特徴とする請求項1記載の感染シミュレーションシステム。
【請求項4】
前記感染シミュレーションシステムは、さらに、
更新プログラムを模擬する擬似プログラム更新データを前記複数の端末装置のうち予め定められた所定の端末装置に送信する擬似プログラム更新サーバを備え、
前記予め定められた所定の端末装置は、
前記擬似プログラム更新サーバから前記擬似プログラム更新データを受信すると、感染状態からプログラムが更新された状態に遷移するとともに、前記管理装置から前記感染状態確認要求を受信した場合には、自装置の前記遷移履歴に、前記プログラムが更新された状態を含めて返信することを特徴とする請求項1に記載の感染シミュレーションシステム。
【請求項5】
前記複数の端末装置のそれぞれは、
前記不正プログラムの駆除を指令する駆除指令を受け付け、前記駆除指令を受け付けると、感染状態から前記不正プログラムが駆除された状態に遷移するとともに、前記管理装置から前記感染状態確認要求を受信した場合には、自装置の前記遷移履歴に、前記不正プログラムが駆除された状態を含めて返信することを特徴とする請求項1記載の感染シミュレーションシステム。
【請求項6】
不正プログラムによる感染シミュレーションの対象となる擬似ネットワークを構成するコンピュータである端末装置に以下の処理を実行させる擬似感染プログラム
(1)不正プログラムを模擬する擬似攻撃データの受信を契機として、未感染の状態から前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成する処理
(2)前記擬似攻撃データの受信を契機として前記新たな擬似攻撃データを生成した場合に前記新たな擬似攻撃データを所定の規則にしたがって前記擬似ネットワークを構成する他の複数の端末装置のうち少なくとも1台の端末装置に送信するとともに、感染状態の確認を求める感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の遷移履歴を返信する処理
【請求項1】
不正プログラムによる感染シミュレーションの対象となる擬似ネットワークを構成する複数の端末装置と、前記複数の端末装置の感染状態を管理する管理装置とを備えた感染シミュレーションシステムにおいて、
前記複数の端末装置のそれぞれは、
前記不正プログラムを模擬する擬似攻撃データを受信すると未感染の状態から前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成し、生成した前記新たな擬似攻撃データを所定の規則にしたがって自装置以外の少なくとも1台の前記端末装置に送信するとともに、感染状態の確認を求める感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の遷移履歴を返信し、
前記管理装置は、
前記感染状態確認要求を生成し、生成した前記感染状態確認要求をそれぞれの前記端末装置に送信するとともに、それぞれの前記端末装置から前記感染状態確認要求に応答する前記端末装置の前記遷移履歴を受信することを特徴とする感染シミュレーションシステム。
【請求項2】
前記端末装置が前記新たな擬似攻撃データを送信する場合の前記所定の規則は、
前記端末装置が受信した前記擬似攻撃データに応じて定まることを特徴とする請求項1記載の感染シミュレーションシステム。
【請求項3】
前記感染シミュレーションシステムは、さらに、
更新プログラムを模擬する擬似プログラム更新データを要求する更新データ要求に応答して前記擬似プログラム更新データを送信する擬似プログラム更新サーバを備え、
前記複数の端末装置のそれぞれは、
前記更新データ要求の送信を指示する送信指示を受け付け、前記送信指示を受け付けると、受け付けた前記送信指示にしたがって前記更新データ要求を前記擬似プログラム更新サーバに送信し、
前記擬似プログラム更新サーバは、
前記更新データ要求を受信すると、受信した前記更新データ要求に応答して前記擬似プログラム更新データを前記更新データ要求を送信した前記端末装置である要求端末に送信し、
前記要求端末は、
前記擬似プログラム更新サーバから前記擬似プログラム更新データを受信すると、感染状態からプログラムが更新された状態に遷移するとともに、前記管理装置から前記感染状態確認要求を受信した場合には、自装置の前記遷移履歴に、前記プログラムが更新された状態を含めて返信することを特徴とする請求項1記載の感染シミュレーションシステム。
【請求項4】
前記感染シミュレーションシステムは、さらに、
更新プログラムを模擬する擬似プログラム更新データを前記複数の端末装置のうち予め定められた所定の端末装置に送信する擬似プログラム更新サーバを備え、
前記予め定められた所定の端末装置は、
前記擬似プログラム更新サーバから前記擬似プログラム更新データを受信すると、感染状態からプログラムが更新された状態に遷移するとともに、前記管理装置から前記感染状態確認要求を受信した場合には、自装置の前記遷移履歴に、前記プログラムが更新された状態を含めて返信することを特徴とする請求項1に記載の感染シミュレーションシステム。
【請求項5】
前記複数の端末装置のそれぞれは、
前記不正プログラムの駆除を指令する駆除指令を受け付け、前記駆除指令を受け付けると、感染状態から前記不正プログラムが駆除された状態に遷移するとともに、前記管理装置から前記感染状態確認要求を受信した場合には、自装置の前記遷移履歴に、前記不正プログラムが駆除された状態を含めて返信することを特徴とする請求項1記載の感染シミュレーションシステム。
【請求項6】
不正プログラムによる感染シミュレーションの対象となる擬似ネットワークを構成するコンピュータである端末装置に以下の処理を実行させる擬似感染プログラム
(1)不正プログラムを模擬する擬似攻撃データの受信を契機として、未感染の状態から前記不正プログラムに感染した状態に遷移して前記不正プログラムを模擬する新たな擬似攻撃データを生成する処理
(2)前記擬似攻撃データの受信を契機として前記新たな擬似攻撃データを生成した場合に前記新たな擬似攻撃データを所定の規則にしたがって前記擬似ネットワークを構成する他の複数の端末装置のうち少なくとも1台の端末装置に送信するとともに、感染状態の確認を求める感染状態確認要求を受信すると前記感染状態確認要求に応答して自装置の遷移履歴を返信する処理
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2008−107869(P2008−107869A)
【公開日】平成20年5月8日(2008.5.8)
【国際特許分類】
【出願番号】特願2006−287133(P2006−287133)
【出願日】平成18年10月23日(2006.10.23)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成20年5月8日(2008.5.8)
【国際特許分類】
【出願日】平成18年10月23日(2006.10.23)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]