電子システム、電子機器、中央装置、プログラム、および記録媒体
【課題】異常な通信の検知をより確実に行うことができる電子システム、電子機器、中央装置、プログラム、および記録媒体を提供する。
【解決手段】中央装置1は、ネットワーク3を介して行われる通信の監視結果に基づいて異常な通信の検知(異常検知)を実行する。異常な通信を検知した場合、中央装置1は、異常な通信の特徴パターンを示す異常通信パターン情報を端末2に通知する。端末2は、自身が行った通信の特徴パターンを示す通信パターン情報を記録しており、中央装置1から通知された異常通信パターン情報と通信パターン情報に基づいて、過去に異常な通信を行ったか否かを判定する。
【解決手段】中央装置1は、ネットワーク3を介して行われる通信の監視結果に基づいて異常な通信の検知(異常検知)を実行する。異常な通信を検知した場合、中央装置1は、異常な通信の特徴パターンを示す異常通信パターン情報を端末2に通知する。端末2は、自身が行った通信の特徴パターンを示す通信パターン情報を記録しており、中央装置1から通知された異常通信パターン情報と通信パターン情報に基づいて、過去に異常な通信を行ったか否かを判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、異常な通信を検知する電子システム、電子機器、および中央装置に関する。また、本発明は、本電子機器および本中央装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。
【背景技術】
【0002】
コンピュータが有する情報を漏洩させたりスパムメール等を多量に発信させたりするスパイウェアと呼ばれるコンピュータウィルスによる被害が広がる中、コンピュータのユーザから検知を逃れる隠蔽性を有するウィルスに対する脅威が高まっている。未知のウィルスや隠蔽型のウィルスを検知する手法として、無操作状態のコンピュータから自動的に発信されるパケットの異常性に注目したウィルス感染検知手法が提案されている(例えば非特許文献1参照)。このウィルス感染検知手法では、正常なコンピュータから自動的に発信される通信のパターンをデータベース化しておき、無操作状態のコンピュータから発信される通信のパターンがデータベースに記録されていない場合に異常が発生していると判定し、ウィルス感染を検知する。
【非特許文献1】竹森、山田、三宅、“無操作ホストから発信されるパケットに注目した攻撃検知”、電子情報通信学会、2006年ソサイエティ大会、情報ネットワーク、B-7-99、2006年9月
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、従来のウィルス感染検知手法では、コンピュータから発信されるパケットの頻度が極端に少ない場合等には、異常な通信を検知することができないという問題があった。また、もし異常な通信を検知することができたとしても、その通信の原因となる攻撃の発信元を特定することまではできないという問題があった。
【0004】
本発明は、上述した課題に鑑みてなされたものであって、異常な通信の検知をより確実に行うことができる電子システム、電子機器、中央装置、プログラム、および記録媒体を提供することを第1の目的とする。また、本発明は、異常な通信の原因となる攻撃の発信元を特定することができる電子システム、電子機器、中央装置、プログラム、および記録媒体を提供することを第2の目的とする。
【課題を解決するための手段】
【0005】
本発明は、上記の課題を解決するためになされたもので、電子機器および中央装置を備えた電子システムにおいて、前記電子機器は、異常な通信の特徴を示す異常通信特徴情報を前記中央装置から受信する異常通信特徴情報受信手段と、前記電子機器が行った通信の特徴を示す第1の通信特徴情報を記憶する第1の記憶手段と、前記異常通信特徴情報と前記第1の通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段とを有し、前記中央装置は、ネットワークを介して行われた通信の特徴を示す第2の通信特徴情報を記憶する第2の記憶手段と、前記第2の通信特徴情報に基づいて、異常な通信が行われたか否かを判定する異常判定手段と、異常な通信が行われたと判定された場合に、前記第2の通信特徴情報から前記異常通信特徴情報を抽出する情報抽出手段と、前記異常通信特徴情報を前記電子機器へ送信する異常通信特徴情報送信手段とを有することを特徴とする電子システムである。
【0006】
また、本発明の電子システムにおいて、前記電子機器は、前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに有し、前記中央装置は、前記判定結果情報を前記電子機器から受信する判定結果情報受信手段をさらに有することを特徴とする。
【0007】
また、本発明は、第1の電子機器、第2の電子機器、および中央装置を備えた電子システムにおいて、前記第1の電子機器は、前記中央装置から送信される、異常な通信の特徴を示す異常通信特徴情報を受信する第1の異常通信特徴情報受信手段と、前記第1の電子機器が行った通信の特徴を示す第1の通信特徴情報を記憶する第1の記憶手段と、前記異常通信特徴情報と前記第1の通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段とを有し、前記第2の電子機器は、前記第2の電子機器が行った通信の特徴を示す第2の通信特徴情報を記憶する第2の記憶手段と、前記第2の通信特徴情報に基づいて、前記第2の電子機器が異常な通信を行ったか否かを判定する異常判定手段と、異常な通信が行われたと判定された場合に、前記第2の通信特徴情報から、異常な通信の特徴を示す異常通信特徴情報を抽出する情報抽出手段と、前記異常通信特徴情報を前記中央装置へ送信する異常通信特徴情報送信手段とを有し、前記中央装置は、前記異常通信特徴情報を前記第2の電子機器から受信する第2の異常通信特徴情報受信手段と、前記異常通信特徴情報を前記第1の電子機器へ送信する第2の異常通信特徴情報送信手段とを有することを特徴とする電子システムである。
【0008】
また、本発明の電子システムにおいて、前記第1の電子機器は、前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに有し、前記中央装置は、前記判定結果情報を前記第1の電子機器から受信する判定結果情報受信手段をさらに有することを特徴とする。
【0009】
また、本発明は、異常な通信の特徴を示す異常通信特徴情報を中央装置から受信する異常通信特徴情報受信手段と、自身の電子機器が行った通信の特徴を示す通信特徴情報を記憶する記憶手段と、前記異常通信特徴情報と前記通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段とを備えたことを特徴とする電子機器である。
【0010】
また、本発明の電子機器において、前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに備えたことを特徴とする。
【0011】
また、本発明の電子機器は、前記通信特徴情報に基づいて、自身の電子機器が異常な通信を行ったか否かを判定する異常判定手段と、異常な通信が行われたと判定された場合に、前記通信特徴情報から前記異常通信特徴情報を抽出する情報抽出手段と、前記情報抽出手段によって抽出された前記異常通信特徴情報を前記中央装置へ送信する異常通信特徴情報送信手段とをさらに備えたことを特徴とする。
【0012】
また、本発明は、ネットワークを介して行われた通信の特徴を示す第1の通信特徴情報を記憶する記憶手段と、前記第1の通信特徴情報に基づいて、異常な通信が行われたか否かを判定する異常判定手段と、異常な通信が行われたと判定された場合に、前記第1の通信特徴情報から、異常な通信の特徴を示す異常通信特徴情報を抽出する情報抽出手段と、前記異常通信特徴情報を電子機器へ送信する異常通信特徴情報送信手段とを備えたことを特徴とする中央装置である。
【0013】
また、本発明の中央装置において、前記電子機器が行った通信の特徴を示す第2の通信特徴情報と前記異常通信特徴情報を比較して前記異常通信特徴情報と一致する前記第1の通信特徴情報が存在するか否かを判定した結果を示す判定結果情報を前記電子機器から受信する判定結果情報受信手段をさらに備えたことを特徴とする。
【0014】
また、本発明は、異常な通信の特徴を示す異常通信特徴情報を第1の電子機器から受信する異常通信特徴情報受信手段と、前記異常通信特徴情報を第2の電子機器へ送信する異常通信特徴情報送信手段とを備えたことを特徴とする中央装置である。
【0015】
また、本発明の中央装置において、前記第2の電子機器が行った通信の特徴を示す第1の通信特徴情報と前記異常通信特徴情報を比較して前記異常通信特徴情報と一致する前記第1の通信特徴情報が存在するか否かを判定した結果を示す判定結果情報を前記第2の電子機器から受信する判定結果情報受信手段をさらに備えたことを特徴とする。
【0016】
また、本発明は、上記の電子機器としてコンピュータを機能させるためのプログラムである。
【0017】
また、本発明は、上記の中央装置としてコンピュータを機能させるためのプログラムである。
【0018】
また、本発明は、上記のプログラムを記載したコンピュータ読み取り可能な記録媒体である。
【発明の効果】
【0019】
本発明によれば、中央装置からの異常通信特徴情報を受信した電子機器において、異常通信特徴情報と一致する通信特徴情報が存在するか否かが判定される。異常通信特徴情報と一致する通信特徴情報が存在すると判定された場合には、電子機器において異常な通信が検知されたことになる。したがって、通信特徴情報からは異常な通信を検知することができない場合でも、通信特徴情報と異常通信特徴情報の一致・不一致を判定することによって、異常な通信の検知をより確実に行うことができる。
【0020】
また、本発明によれば、異常通信特徴情報と一致する通信特徴情報が存在するか否かを判定した結果を示す判定結果情報が電子機器から中央装置へ送信される。したがって、異常通信特徴情報と一致する通信特徴情報が存在すると判定された場合には、判定結果情報を送信した電子機器が、異常な通信の原因となる攻撃の発信元であると特定することができる。
【発明を実施するための最良の形態】
【0021】
以下、図面を参照し、本発明の実施形態を説明する。
【0022】
(第1の実施形態)
まず、本発明の第1の実施形態を説明する。図1は、本実施形態による電子システムの構成を示している。本電子システムは、電子機器たる中央装置1および端末2を備え、これらがネットワーク3で接続されている。ネットワーク3には、図示していない端末やネットワーク機器等も接続されているものとする。
【0023】
中央装置1は、ネットワーク3を介して行われる通信を監視する。端末2は、ユーザが所持する端末(PC等)である。ネットワーク3は有線あるいは無線のLAN(Local Area Network)等の小ネットワーク、および小ネットワークどうしを結ぶ基幹ネットワークの集合体としてのネットワークである。
【0024】
本実施形態において、中央装置1は、ネットワーク3を介して行われる通信の監視結果に基づいて異常な通信の検知(異常検知)を実行する。例えばネットワーク3上に攻撃が蔓延した場合には、異常な通信による大量のパケットがネットワーク3上を伝送するようになるので、中央装置1による異常検知が可能となる。異常な通信を検知した場合、中央装置1は、異常な通信の特徴パターンを示す異常通信パターン情報(本発明の異常通信特徴情報に対応)を端末2に通知する。後述するように、異常通信パターン情報は、パケットの送受信に係るIPアドレスやPort番号等である。
【0025】
一方、端末2は、自身が行った通信の特徴パターンを示す通信パターン情報(本発明の通信特徴情報に対応)を記録しており、中央装置1から通知された異常通信パターン情報と通信パターン情報に基づいて、自身が過去に異常な通信を行ったか否かを判定する。端末2は、この判定の結果を示す判定結果情報を中央装置1に通知する。もし、端末2が所持する通信パターン情報の中に、中央装置1から通知された異常通信パターン情報と一致する情報があった場合、端末2が異常な通信を行った(すなわち、攻撃パケットを発信した)ことが分かる。本実施形態では、端末2が判定結果情報を中央装置1へ送信するようにしているが、判定結果情報の送信は必須でなくてもよい。
【0026】
以下、中央装置1の構成を説明する。通信部10は、ネットワーク3を介して端末2と通信を行う。通信監視部11は、ネットワーク3上を伝送するパケットを、通信部10を介して取得し、そのパケットに基づいて通信パターン情報を生成する。通信パターン記憶部12は通信パターン情報を記憶する。異常検知部13は、通信パターン情報に基づいて異常検知を実行する。異常な通信を検知した場合、異常検知部13は、通信パターン情報から異常な通信に係る異常通信パターン情報を抽出し、異常通信パターン通知部14へ出力する。
【0027】
異常通信パターン通知部14は異常通信パターン情報を保持し、端末2が受信可能となったら異常通信パターン情報を通信部10へ出力し、端末2へ送信させる。異常通信パターン情報の送信方法に関しては、例えばウィルスに見られるパターンの有無を検出するAV(Anti Virus)と連動させる場合、ウィルスを検知するのに用いるウィルスパターンの送信と同時に行えばよい。判定結果受付部15は、端末2から判定結果情報が送信された場合に、通信部10によって受信された判定結果情報を受け取る。
【0028】
以下、端末2の構成を説明する。通信部20は、ネットワーク3を介して中央装置1および他の端末2と通信を行う。通信記録部21は、通信部20で送受信されるパケットを取得し、そのパケットに基づいて、自身の端末2が行った通信に係る通信パターン情報を生成する。また、通信記録部21は、生成した通信パターン情報を通信パターン記憶部22に記録する。通信パターン記憶部22は通信パターン情報を記憶する。
【0029】
異常通信パターン受付部23は、異常通信パターン情報が中央装置1から送信された場合に、通信部20によって受信された異常通信パターン情報を受け取り、異常通信判定部24へ出力する。本実施形態では、端末2の起動状態やIPアドレスが不明な環境に適用するため、端末2が中央装置1へ定期的にポーリングを行い、端末2が主体となって異常通信パターン情報を取得するが、これに限られるわけではない。異常通信判定部24は、中央装置1から受信された異常通信パターン情報と、通信パターン記憶部22に格納されている通信パターン情報とを比較し、両者が一致するか否か判定する。判定結果報告部25は、異常通信判定部24による判定の結果を示す判定結果情報を生成し、中央装置1へ送信するため、判定結果情報を通信部20へ出力する。
【0030】
次に、通信パターン情報および異常通信パターン情報として利用可能な情報を説明する。本実施形態では以下の情報などが利用可能である。
(1)通信の送信/受信IPアドレス
(2)通信の送信/受信Port番号
(3)送受信されるパケットのハッシュ値
(4)メール通信の情報
(5)攻撃シグネチャ
(6)上記の通信パラメータの統計量
【0031】
(1)、(2)の送信/受信IPアドレスおよび送信/受信Port番号は、送受信されるパケットのヘッダから抽出される。(3)のハッシュ値は、送受信されるパケットからMD5やSHA−1等のハッシュ関数を利用して算出される。(4)のメール通信の情報はメールのデータ自体やプロトコルの情報等である。(5)の攻撃シグネチャは、IDS(Intrusion Detection System:侵入検知システム)が攻撃パケットを検知するときに利用するパターンや、AVがウィルスを検知するときに利用するパターンであり、攻撃シグネチャと一致するパターンがパケットから検知された場合に、そのパターンが通信パターン情報として記録される。(6)の通信パラメータの統計量は、例えば通信パラメータの単位時間当たりの頻度である(図2参照)。
【0032】
次に、図3を参照しながら、本実施形態による中央装置1の動作を説明する。図3(a)は、ネットワーク3を介して行われる通信の監視と異常検知の手順を示している。図3(a)に示す処理は定期的に実行される。通信監視部11は、ネットワーク3上を伝送するパケットを、通信部10を介して取得し、そのパケットからIPアドレスやPort番号等の特徴的な通信パターン情報を抽出する(ステップS100)。通信監視部11は、抽出した通信パターン情報を通信パターン記憶部12に格納する(ステップS110)。異常検知の開始タイミングとなるまで、ステップS100とS110の処理が繰り返し実行される。
【0033】
異常検知の開始タイミングとなった場合(ステップS120でYESの場合)、異常検知部13は、通信パターン記憶部12に蓄積されている通信パターン情報を読み出し、通信パターン情報を用いた公知の方法による異常検知処理を実行する(ステップS130)。この異常検知の手法として、例えば特開2004−318552号公報、特開2005−128947号公報、および特開2005−151289号公報に記載されている手法を本実施形態に適用することが可能である。
【0034】
特開2004−318552号公報には、IDSから出力されるログに含まれるAttack Signature、Source/Destination IP、Destination Port等のパラメータについて、単位時間当たりの頻度が急増する程度を、過去の統計分布を用いて評価する手法が記載されている。この手法により、攻撃頻度の変化量に着目して、ログに含まれる多数のイベントの中から、注目すべき異常なイベントを抽出することが可能となる。
【0035】
特開2005−128947号公報には、Source/Destination IPやDestination Portの広がりの程度(分散度)を情報エントロピーとして算出し、上記の特開2004−318552号公報に記載の手法により異常を検知する手法が記載されている。この手法により、ウィルス感染の拡大や、DDos(Distributed Denial of Service)攻撃による通信の集中の程度を簡易に算出することが可能となる。
【0036】
特開2005−151289号公報には、Attack Signature、Source/Destination IP、Destination Port等のパラメータの検知頻度の周期性に注目して異常を検知する手法が記載されている。この手法により、上記の特開2004−318552号公報に記載の手法で検知できないような、ゆっくり増加する攻撃や、頻度が小さく隠れがちな攻撃を検知することが可能となる。
【0037】
ステップS130の異常検知処理の結果、異常な通信が検知された場合(ステップS140においてYESの場合)、異常検知部13は異常な通信に係る異常通信パターン情報を全体の通信パターン情報から抽出し、異常通信パターン通知部14へ出力する。異常通信パターン通知部14は、異常通信パターン情報を保持する(ステップS150)。また、ステップS130の異常検知処理の結果、異常な通信が検知されなかった場合(ステップS140においてNOの場合)、一連の処理が終了する。
【0038】
図3(b)は、異常通信パターン情報を端末2へ送信し、判定結果情報を端末2から受信する動作の手順を示している。端末2からの受信可能通知があった場合、異常通信パターン通知部14は異常通信パターン情報を通信部10へ出力する。通信部10は異常通信パターン情報を端末2へ送信する(ステップS200)。複数の端末2から受信可能通知があれば、異常通信パターン情報はそれら全ての端末2へ送信される。
【0039】
異常通信パターン情報を受信した端末2は、後述する処理を実行し、過去に異常な通信を行ったか否かを判定した結果を示す判定結果情報を中央装置1へ送信する。中央装置1の通信部10は端末2からの判定結果情報を受信し、判定結果受付部15へ出力する(ステップS210)。判定結果受付部15は、この判定結果情報に基づいて攻撃の発信元を特定する。すなわち、判定結果情報が、異常な通信を行ったという判定結果を示している場合、判定結果受付部15は、その判定結果情報を送信した端末2が攻撃の発信元であると認識する(ステップS220)。
【0040】
続いて、判定結果受付部15は、ネットワークインフラの安定運用のためネットワーク3に流布させる情報(ウィルス感染等の異常が発生している端末2の台数等)を生成し保持する。保持された情報は適宜、通信部10へ出力され、通信部10によって周囲のネットワーク機器等へ送信される(ステップS230)。
【0041】
次に、図4を参照しながら、端末2の動作を説明する。図4(a)は、端末2自身による通信の監視手順を示している。図4(a)に示す処理は繰り返し実行される。通信部20がパケットの送信または受信を行った場合、通信記録部21は、そのパケットから、自身の端末2が行った通信に係る通信パターン情報を抽出する(ステップS300)。また、通信記録部21は、抽出した通信パターン情報を通信パターン記憶部22に記録する(ステップS310)。図示していないが、通信パターン記憶部22の記憶容量を削減するため、記録後一定期間が経過した通信パターン情報は適宜削除される。
【0042】
図4(b)は、中央装置1で検知された異常な通信に係る異常通信パターン情報と一致する通信パターン情報を検索する手順を示している。異常通信パターン受付部23は、異常通信パターン情報が中央装置1から送信された場合に、通信部20によって受信された異常通信パターン情報を受け取り、異常通信判定部24へ出力する(ステップS400)。異常通信判定部24は、通信パターン記憶部22から通信パターン情報を読み出して異常通信パターン情報と比較し、異常通信パターン情報と一致する通信パターン情報を検索する(ステップS410)。
【0043】
続いて、異常通信判定部24は、異常通信パターン情報と一致する通信パターン情報が存在したか否かを判定する(ステップS420)。異常通信パターン情報と一致する通信パターン情報が存在しなかった場合には、処理がステップS440に進む。また、異常通信パターン情報と一致する通信パターン情報が存在した場合には、自身の端末2がウィルスに感染している、あるいは自身の端末2に他者が侵入したことが分かるので、異常通信判定部24は、それらの異常に対応した処理(ウィルス感染等の旨を表示する処理等)を適宜実行する(ステップS430)。
【0044】
続いて、異常通信判定部24はステップS420での判定結果を判定結果報告部25に通知する。判定結果報告部25は、異常通信判定部24による判定の結果を示す判定結果情報を生成し、通信部20へ出力する。通信部20は判定結果情報を中央装置1へ送信する(ステップS440)。
【0045】
上記の変形例として、中央装置1から端末2へ送信される異常通信パターン情報に対して、その異常通信パターン情報と関係する攻撃やウィルスの情報を付加してもよい。攻撃やウィルスの情報が付加された異常通信パターン情報と一致する通信パターン情報が端末2で検知された場合には、侵入やウィルス感染の疑いがあることがより明確となる。
【0046】
上述したように、本実施形態によれば、中央装置1において異常な通信が検知された場合に、異常通信パターン情報が端末2へ送信され、異常通信パターン情報を受信した端末2において、異常通信パターン情報と一致する通信パターン情報が存在するか否かが判定される。異常通信パターン情報と一致する通信パターン情報が存在すると判定された場合には、端末2において異常な通信が検知されたことになる。したがって、攻撃パケットの到着頻度が極端に低かったり、攻撃パケットに特徴的な周期性がなかったり等の理由により、端末2において、通信パターン情報からは異常な通信を検知することができない場合でも、通信パターン情報と異常通信パターン情報の一致・不一致を判定することによって、異常な通信の検知をより確実に行うことができる。
【0047】
また、異常通信パターン情報と一致する通信パターン情報が存在するか否かを判定した結果を示す判定結果情報が端末2から中央装置1へ送信される。したがって、異常通信パターン情報と一致する通信パターン情報が存在すると判定された場合には、判定結果情報を送信した端末2が、異常な通信の原因となる攻撃の発信元であると特定することができる。
【0048】
本実施形態で示した、異常な通信を検知する手法は、ウィルスに感染したコンピュータに悪質な動作を実行させるボットと呼ばれるウィルスの検知にも有効である。以下のように、通常ではボットの発信元の特定は困難である。
【0049】
すなわち、ボットはワームのように爆発的に感染活動を行うことはなく、普段は潜んでいるため、通信トラフィックのアノマリ検知ではボットを検出することができない。また、ボットに感染したコンピュータからスパムメールの送信が行われるが、ボットに感染したコンピュータ1台当たりから送信されるスパムメールは数通程度であり、メール送信頻度のアノマリ検知ではボットを検出することができない。ボットに感染したコンピュータがターゲットサーバにDDos攻撃を仕掛ける場合にも、ボットに感染したコンピュータ1台当たりから送信される攻撃パケットは数個程度であり、通信トラフィックのアノマリ検知ではボットを検出することができない。
【0050】
また、亜種が多いため、ウィルス検知用のパターンを記録した定義ファイルの作成が追いつかない。比較的中小規模のノード数でボットネットワークが構成されることが一般的であるため、定義ファイルを作成できたとしても、駆除効果の期待できる範囲が限定的となる。
【0051】
上記の理由から、ボットの検知には従来のマルウェア検知技術が全く役に立たない。しかし、本実施形態によれば、中央装置1において、ボットへの感染や、ボットに感染したコンピュータからのスパムメールの受信、ボットに感染したコンピュータによるDDos攻撃のいずれかの被害が検知された場合に、それらの被害の元となる通信を行ったコンピュータを特定することができる。
【0052】
(第2の実施形態)
次に、本発明の第2の実施形態を説明する。図5は、本実施形態による電子システムの構成を示している。本実施形態の端末2は、自身が行った通信の結果に基づいて異常な通信の検知(異常検知)を実行する。例えば端末2が攻撃の標的となった場合には、異常な通信による大量のパケットが端末2に到着するようになるので、端末2による異常検知が可能となる。また、端末2がスパムメールの受信を検知した場合にも、端末2で異常な通信が検知されたことになる。異常な通信を検知した場合、端末2は、異常な通信の特徴パターンを示す異常通信パターン情報を中央装置1に通知する。
【0053】
一方、中央装置1は、端末2からの異常報告情報に基づいて、異常な通信が行われたことを認識し、異常な通信に係る異常通信パターン情報と同じ通信パターン情報がその他の端末2でも記録されているか否かを確認するための処理を実行する。すなわち、中央装置1は異常通信パターン情報を他の端末2へ送信する。本実施形態でも、端末2の起動状態やIPアドレスが不明な環境に適用するため、第1の実施形態と同様に端末2が中央装置1へ定期的にポーリングを行い、端末2が主体となって異常通信パターン情報を取得するが、これに限られるわけではない。
【0054】
異常通信パターン情報を受信した端末2では、第1の実施形態と同様の処理が実行され、判定結果情報が中央装置1に通知される。もし、端末2が所持する通信パターン情報の中に、中央装置1から通知された異常通信パターン情報と一致する情報があった場合、その端末2が異常な通信を行った(すなわち、攻撃パケットを発信した)ことが分かる。本実施形態でも、端末2が判定結果情報を中央装置1へ送信するようにしているが、判定結果情報の送信は必須でなくてもよい。
【0055】
上記の処理を実現するため、端末2において異常検知部26と異常報告部27が設けられている。これらを除く構成は第1の実施形態と同様である。異常検知部26は、通信パターン記憶部22に格納されている通信パターン情報に基づいて異常検知を実行する。異常な通信を検知した場合、異常検知部26は、通信パターン情報から異常な通信に係る異常通信パターン情報を抽出し、異常報告部27へ出力する。異常報告部27は、異常な通信を行ったことを中央装置1に報告するため、異常通信パターン情報を含む異常報告情報を生成し、中央装置1へ送信するため、異常報告情報を通信部20へ出力する。
【0056】
また、中央装置1において、異常報告受付部16と異常通信パターン記憶部17が設けられており、図1に示した通信監視部11、通信パターン記憶部12、および異常検知部13は設けられていない。これらを除く構成は第1の実施形態と同様である。異常報告受付部16は、端末2から異常報告情報が送信された場合に、通信部10によって受信された異常報告情報を受け取り、異常報告情報に含まれる異常通信パターン情報を異常通信パターン記憶部17に格納する。異常通信パターン記憶部17は異常通信パターン情報を記憶する。
【0057】
本実施形態における通信パターン情報および異常通信パターン情報は第1の実施形態と同様であるが、プロセス名(プログラム名)やファイルパスも利用可能である。プロセス名は、侵入時やウィルス感染時に端末2に送り込まれて起動されるプロセスであり、ファイルパスはそのプロセスの実行プログラムの格納場所である。ウィルスに感染すると、通信時に特定のプロセスが起動されるので、通信時における特定のプロセスの起動の有無を判定することにより、ウィルス感染の有無を判定することが可能となる。
【0058】
次に、図6を参照しながら、本実施形態による中央装置1の動作を説明する。図6(a)は、端末2からの異常報告を受け付ける動作の手順を示している。図6(a)に示す処理は繰り返し実行される。異常報告受付部16は、異常報告情報が端末2から送信された場合に、通信部20によって受信された異常報告情報を受け取る(ステップS500)。続いて、異常報告受付部16は、異常報告情報に含まれる異常通信パターン情報と、異常通信パターン記憶部17に格納されている異常通信パターンとが一致するか否かを判定することにより、端末2からの異常報告が新規な異常に関するものであるか否かを判定する(ステップS510)。
【0059】
異常報告情報に含まれる異常通信パターン情報が、異常通信パターン記憶部17に格納されているいずれかの異常通信パターンと一致した場合(ステップS510でNOの場合)、端末2からの異常報告は新規な異常に関するものではないため、異常報告受付部16は次の異常報告に備えて待機する。また、異常報告情報に含まれる異常通信パターン情報が、異常通信パターン記憶部17に格納されているどの異常通信パターンとも一致しなかった場合(ステップS510でYESの場合)、端末2からの異常報告は新規な異常に関するものであるため、異常報告受付部16は、異常報告情報に含まれる異常通信パターン情報を異常通信パターン記憶部17に格納する(ステップS520)。
【0060】
図6(b)は、異常通信パターン情報を端末2へ送信し、判定結果情報を端末2から受信する動作の手順を示している。端末2からの受信可能通知があった場合、異常通信パターン通知部14は異常通信パターン記憶部17から異常通信パターン情報を読み出して通信部10へ出力する。通信部10は異常通信パターン情報を端末2へ送信する(ステップS600)。複数の端末2から受信可能通知があれば、異常通信パターン情報はそれら全ての端末2へ送信される。これ以降のステップS610〜S630の処理は、図3に示したステップS210〜S230の処理と同様であるため、説明を省略する。
【0061】
次に、本実施形態による端末2の動作を説明する。中央装置1からの異常通信パターン情報を受信した端末2が、中央装置1で検知された異常な通信に係る異常通信パターン情報と一致する通信パターン情報を検索する動作は、図4(b)に示した動作と同様であるので、説明を省略する。以下、図7を参照しながら、端末2による異常検知の手順を説明する。
【0062】
通信部20がパケットの送信または受信を行った場合、通信記録部21は、そのパケットから、自身の端末2が行った通信に係る通信パターン情報を抽出する(ステップS700)。また、通信記録部21は、抽出した通信パターン情報を通信パターン記憶部22に記録する(ステップS710)。図示していないが、通信パターン記憶部22の記憶容量を削減するため、記録後一定期間が経過した通信パターン情報は適宜削除される。異常検知の開始タイミングとなるまで、ステップS700とS710の処理が繰り返し実行される。
【0063】
異常検知の開始タイミングとなった場合(ステップS720でYESの場合)、異常検知部26は、通信パターン記憶部22に蓄積されている通信パターン情報を読み出し、通信パターン情報を用いた公知の方法による異常検知処理を実行する(ステップS730)。異常検知の手法は前述した通りである。
【0064】
ステップS730の異常検知処理の結果、異常な通信が検知されなかった場合(ステップS740においてNOの場合)、一連の処理が終了する。また、ステップS730の異常検知処理の結果、異常な通信が検知された場合(ステップS740においてYESの場合)、異常検知部26は異常な通信に係る異常通信パターン情報を全体の通信パターン情報から抽出し、異常報告部27へ出力する(ステップS750)。
【0065】
異常報告部27は、異常通信パターン情報を含む異常報告情報を生成し、通信部20へ出力する(ステップS760)。通信部20は異常報告情報を中央装置1へ送信する(ステップS770)。また、異常な通信が検知された場合には、自身の端末2がウィルスに感染している、あるいは自身の端末2に他者が侵入したことが分かるので、異常通信判定部24は、それらの異常に対応した処理(ウィルス感染等の旨を表示する処理等)を適宜実行する(ステップS780)。
【0066】
上記の変形例として、異常報告情報の送信により異常通信パターン情報を中央装置1に通知した端末2に対して、その異常通信パターン情報と関係する攻撃やウィルスの情報を中央装置1が通知するようにしてもよい。攻撃やウィルスの情報が異常通信パターン情報と一致する通信パターン情報が端末2で検知された場合には、侵入やウィルス感染の疑いがあることがより明確となる。
【0067】
上述したように、本実施形態によれば、いずれかの端末2において異常な通信が検知された場合に、異常通信パターン情報を含む異常報告情報が中央装置1へ送信され、中央装置1からさらに別の端末2へ異常通信パターン情報が送信される。この異常通信パターン情報を受信した端末2において、異常通信パターン情報と一致する通信パターン情報が存在するか否かが判定される。異常通信パターン情報と一致する通信パターン情報が存在すると判定された場合には、端末2において異常な通信が検知されたことになる。したがって、攻撃パケットの到着頻度が極端に低かったり、攻撃パケットに特徴的な周期性がなかったり等の理由により、端末2において、通信パターン情報からは異常な通信を検知することができない場合でも、通信パターン情報と異常通信パターン情報の一致・不一致を判定することによって、異常な通信の検知をより確実に行うことができる。
【0068】
また、異常通信パターン情報と一致する通信パターン情報が存在するか否かを判定した結果を示す判定結果情報が端末2から中央装置1へ送信される。したがって、異常通信パターン情報と一致する通信パターン情報が存在すると判定された場合には、判定結果情報を送信した端末2が、異常な通信の原因となる攻撃の発信元であると特定することができる。さらに、本実施形態で示した、異常な通信を検知する手法はボットの検知にも有効である。
【0069】
また、上述した2つの実施形態によれば、Security Operation Center(SOC)が監視するネットワーク上で異常な通信パターンを発信した端末の特定や、未知ウィルスに感染した端末の特定が可能となる。そして、端末で異常と判定された不明な通信パターンをSOCに問い合わせて異常性を判定してもらえるようになる。
【0070】
上述した異常な通信を検知する手法を既存のアンチウィルスソフトの追加機能として実装することも可能である。また、端末2が有する機能をイントラネットのゲートウェイ等に実装することも可能である。
【0071】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による中央装置1や端末2の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
【0072】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0073】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【図面の簡単な説明】
【0074】
【図1】本発明の第1の実施形態による電子システムの構成を示すブロック図である。
【図2】本発明の第1の実施形態における通信パターン情報および異常通信パターン情報として利用可能な情報を示す参考図である。
【図3】本発明の第1の実施形態による電子システムが備える中央装置の動作の手順を示すフローチャートである。
【図4】本発明の第1の実施形態による電子システムが備える端末の動作の手順を示すフローチャートである。
【図5】本発明の第2の実施形態による電子システムの構成を示すブロック図である。
【図6】本発明の第2の実施形態による電子システムが備える中央装置の動作の手順を示すフローチャートである。
【図7】本発明の第2の実施形態による電子システムが備える端末の動作の手順を示すフローチャートである。
【符号の説明】
【0075】
1・・・中央装置、2・・・端末、10,20・・・通信部、11・・・通信監視部、12,22・・・通信パターン記憶部(記憶手段)、13,26・・・異常検知部(異常判定手段、情報抽出手段)、14・・・異常通信パターン通知部、15・・・判定結果受付部、16・・・異常報告受付部、17・・・異常通信パターン記憶部、21・・・通信記録部、23・・・異常通信パターン受付部、24・・・異常通信判定部(比較判定手段)、25・・・判定結果報告部、27・・・異常報告部
【技術分野】
【0001】
本発明は、異常な通信を検知する電子システム、電子機器、および中央装置に関する。また、本発明は、本電子機器および本中央装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。
【背景技術】
【0002】
コンピュータが有する情報を漏洩させたりスパムメール等を多量に発信させたりするスパイウェアと呼ばれるコンピュータウィルスによる被害が広がる中、コンピュータのユーザから検知を逃れる隠蔽性を有するウィルスに対する脅威が高まっている。未知のウィルスや隠蔽型のウィルスを検知する手法として、無操作状態のコンピュータから自動的に発信されるパケットの異常性に注目したウィルス感染検知手法が提案されている(例えば非特許文献1参照)。このウィルス感染検知手法では、正常なコンピュータから自動的に発信される通信のパターンをデータベース化しておき、無操作状態のコンピュータから発信される通信のパターンがデータベースに記録されていない場合に異常が発生していると判定し、ウィルス感染を検知する。
【非特許文献1】竹森、山田、三宅、“無操作ホストから発信されるパケットに注目した攻撃検知”、電子情報通信学会、2006年ソサイエティ大会、情報ネットワーク、B-7-99、2006年9月
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、従来のウィルス感染検知手法では、コンピュータから発信されるパケットの頻度が極端に少ない場合等には、異常な通信を検知することができないという問題があった。また、もし異常な通信を検知することができたとしても、その通信の原因となる攻撃の発信元を特定することまではできないという問題があった。
【0004】
本発明は、上述した課題に鑑みてなされたものであって、異常な通信の検知をより確実に行うことができる電子システム、電子機器、中央装置、プログラム、および記録媒体を提供することを第1の目的とする。また、本発明は、異常な通信の原因となる攻撃の発信元を特定することができる電子システム、電子機器、中央装置、プログラム、および記録媒体を提供することを第2の目的とする。
【課題を解決するための手段】
【0005】
本発明は、上記の課題を解決するためになされたもので、電子機器および中央装置を備えた電子システムにおいて、前記電子機器は、異常な通信の特徴を示す異常通信特徴情報を前記中央装置から受信する異常通信特徴情報受信手段と、前記電子機器が行った通信の特徴を示す第1の通信特徴情報を記憶する第1の記憶手段と、前記異常通信特徴情報と前記第1の通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段とを有し、前記中央装置は、ネットワークを介して行われた通信の特徴を示す第2の通信特徴情報を記憶する第2の記憶手段と、前記第2の通信特徴情報に基づいて、異常な通信が行われたか否かを判定する異常判定手段と、異常な通信が行われたと判定された場合に、前記第2の通信特徴情報から前記異常通信特徴情報を抽出する情報抽出手段と、前記異常通信特徴情報を前記電子機器へ送信する異常通信特徴情報送信手段とを有することを特徴とする電子システムである。
【0006】
また、本発明の電子システムにおいて、前記電子機器は、前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに有し、前記中央装置は、前記判定結果情報を前記電子機器から受信する判定結果情報受信手段をさらに有することを特徴とする。
【0007】
また、本発明は、第1の電子機器、第2の電子機器、および中央装置を備えた電子システムにおいて、前記第1の電子機器は、前記中央装置から送信される、異常な通信の特徴を示す異常通信特徴情報を受信する第1の異常通信特徴情報受信手段と、前記第1の電子機器が行った通信の特徴を示す第1の通信特徴情報を記憶する第1の記憶手段と、前記異常通信特徴情報と前記第1の通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段とを有し、前記第2の電子機器は、前記第2の電子機器が行った通信の特徴を示す第2の通信特徴情報を記憶する第2の記憶手段と、前記第2の通信特徴情報に基づいて、前記第2の電子機器が異常な通信を行ったか否かを判定する異常判定手段と、異常な通信が行われたと判定された場合に、前記第2の通信特徴情報から、異常な通信の特徴を示す異常通信特徴情報を抽出する情報抽出手段と、前記異常通信特徴情報を前記中央装置へ送信する異常通信特徴情報送信手段とを有し、前記中央装置は、前記異常通信特徴情報を前記第2の電子機器から受信する第2の異常通信特徴情報受信手段と、前記異常通信特徴情報を前記第1の電子機器へ送信する第2の異常通信特徴情報送信手段とを有することを特徴とする電子システムである。
【0008】
また、本発明の電子システムにおいて、前記第1の電子機器は、前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに有し、前記中央装置は、前記判定結果情報を前記第1の電子機器から受信する判定結果情報受信手段をさらに有することを特徴とする。
【0009】
また、本発明は、異常な通信の特徴を示す異常通信特徴情報を中央装置から受信する異常通信特徴情報受信手段と、自身の電子機器が行った通信の特徴を示す通信特徴情報を記憶する記憶手段と、前記異常通信特徴情報と前記通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段とを備えたことを特徴とする電子機器である。
【0010】
また、本発明の電子機器において、前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに備えたことを特徴とする。
【0011】
また、本発明の電子機器は、前記通信特徴情報に基づいて、自身の電子機器が異常な通信を行ったか否かを判定する異常判定手段と、異常な通信が行われたと判定された場合に、前記通信特徴情報から前記異常通信特徴情報を抽出する情報抽出手段と、前記情報抽出手段によって抽出された前記異常通信特徴情報を前記中央装置へ送信する異常通信特徴情報送信手段とをさらに備えたことを特徴とする。
【0012】
また、本発明は、ネットワークを介して行われた通信の特徴を示す第1の通信特徴情報を記憶する記憶手段と、前記第1の通信特徴情報に基づいて、異常な通信が行われたか否かを判定する異常判定手段と、異常な通信が行われたと判定された場合に、前記第1の通信特徴情報から、異常な通信の特徴を示す異常通信特徴情報を抽出する情報抽出手段と、前記異常通信特徴情報を電子機器へ送信する異常通信特徴情報送信手段とを備えたことを特徴とする中央装置である。
【0013】
また、本発明の中央装置において、前記電子機器が行った通信の特徴を示す第2の通信特徴情報と前記異常通信特徴情報を比較して前記異常通信特徴情報と一致する前記第1の通信特徴情報が存在するか否かを判定した結果を示す判定結果情報を前記電子機器から受信する判定結果情報受信手段をさらに備えたことを特徴とする。
【0014】
また、本発明は、異常な通信の特徴を示す異常通信特徴情報を第1の電子機器から受信する異常通信特徴情報受信手段と、前記異常通信特徴情報を第2の電子機器へ送信する異常通信特徴情報送信手段とを備えたことを特徴とする中央装置である。
【0015】
また、本発明の中央装置において、前記第2の電子機器が行った通信の特徴を示す第1の通信特徴情報と前記異常通信特徴情報を比較して前記異常通信特徴情報と一致する前記第1の通信特徴情報が存在するか否かを判定した結果を示す判定結果情報を前記第2の電子機器から受信する判定結果情報受信手段をさらに備えたことを特徴とする。
【0016】
また、本発明は、上記の電子機器としてコンピュータを機能させるためのプログラムである。
【0017】
また、本発明は、上記の中央装置としてコンピュータを機能させるためのプログラムである。
【0018】
また、本発明は、上記のプログラムを記載したコンピュータ読み取り可能な記録媒体である。
【発明の効果】
【0019】
本発明によれば、中央装置からの異常通信特徴情報を受信した電子機器において、異常通信特徴情報と一致する通信特徴情報が存在するか否かが判定される。異常通信特徴情報と一致する通信特徴情報が存在すると判定された場合には、電子機器において異常な通信が検知されたことになる。したがって、通信特徴情報からは異常な通信を検知することができない場合でも、通信特徴情報と異常通信特徴情報の一致・不一致を判定することによって、異常な通信の検知をより確実に行うことができる。
【0020】
また、本発明によれば、異常通信特徴情報と一致する通信特徴情報が存在するか否かを判定した結果を示す判定結果情報が電子機器から中央装置へ送信される。したがって、異常通信特徴情報と一致する通信特徴情報が存在すると判定された場合には、判定結果情報を送信した電子機器が、異常な通信の原因となる攻撃の発信元であると特定することができる。
【発明を実施するための最良の形態】
【0021】
以下、図面を参照し、本発明の実施形態を説明する。
【0022】
(第1の実施形態)
まず、本発明の第1の実施形態を説明する。図1は、本実施形態による電子システムの構成を示している。本電子システムは、電子機器たる中央装置1および端末2を備え、これらがネットワーク3で接続されている。ネットワーク3には、図示していない端末やネットワーク機器等も接続されているものとする。
【0023】
中央装置1は、ネットワーク3を介して行われる通信を監視する。端末2は、ユーザが所持する端末(PC等)である。ネットワーク3は有線あるいは無線のLAN(Local Area Network)等の小ネットワーク、および小ネットワークどうしを結ぶ基幹ネットワークの集合体としてのネットワークである。
【0024】
本実施形態において、中央装置1は、ネットワーク3を介して行われる通信の監視結果に基づいて異常な通信の検知(異常検知)を実行する。例えばネットワーク3上に攻撃が蔓延した場合には、異常な通信による大量のパケットがネットワーク3上を伝送するようになるので、中央装置1による異常検知が可能となる。異常な通信を検知した場合、中央装置1は、異常な通信の特徴パターンを示す異常通信パターン情報(本発明の異常通信特徴情報に対応)を端末2に通知する。後述するように、異常通信パターン情報は、パケットの送受信に係るIPアドレスやPort番号等である。
【0025】
一方、端末2は、自身が行った通信の特徴パターンを示す通信パターン情報(本発明の通信特徴情報に対応)を記録しており、中央装置1から通知された異常通信パターン情報と通信パターン情報に基づいて、自身が過去に異常な通信を行ったか否かを判定する。端末2は、この判定の結果を示す判定結果情報を中央装置1に通知する。もし、端末2が所持する通信パターン情報の中に、中央装置1から通知された異常通信パターン情報と一致する情報があった場合、端末2が異常な通信を行った(すなわち、攻撃パケットを発信した)ことが分かる。本実施形態では、端末2が判定結果情報を中央装置1へ送信するようにしているが、判定結果情報の送信は必須でなくてもよい。
【0026】
以下、中央装置1の構成を説明する。通信部10は、ネットワーク3を介して端末2と通信を行う。通信監視部11は、ネットワーク3上を伝送するパケットを、通信部10を介して取得し、そのパケットに基づいて通信パターン情報を生成する。通信パターン記憶部12は通信パターン情報を記憶する。異常検知部13は、通信パターン情報に基づいて異常検知を実行する。異常な通信を検知した場合、異常検知部13は、通信パターン情報から異常な通信に係る異常通信パターン情報を抽出し、異常通信パターン通知部14へ出力する。
【0027】
異常通信パターン通知部14は異常通信パターン情報を保持し、端末2が受信可能となったら異常通信パターン情報を通信部10へ出力し、端末2へ送信させる。異常通信パターン情報の送信方法に関しては、例えばウィルスに見られるパターンの有無を検出するAV(Anti Virus)と連動させる場合、ウィルスを検知するのに用いるウィルスパターンの送信と同時に行えばよい。判定結果受付部15は、端末2から判定結果情報が送信された場合に、通信部10によって受信された判定結果情報を受け取る。
【0028】
以下、端末2の構成を説明する。通信部20は、ネットワーク3を介して中央装置1および他の端末2と通信を行う。通信記録部21は、通信部20で送受信されるパケットを取得し、そのパケットに基づいて、自身の端末2が行った通信に係る通信パターン情報を生成する。また、通信記録部21は、生成した通信パターン情報を通信パターン記憶部22に記録する。通信パターン記憶部22は通信パターン情報を記憶する。
【0029】
異常通信パターン受付部23は、異常通信パターン情報が中央装置1から送信された場合に、通信部20によって受信された異常通信パターン情報を受け取り、異常通信判定部24へ出力する。本実施形態では、端末2の起動状態やIPアドレスが不明な環境に適用するため、端末2が中央装置1へ定期的にポーリングを行い、端末2が主体となって異常通信パターン情報を取得するが、これに限られるわけではない。異常通信判定部24は、中央装置1から受信された異常通信パターン情報と、通信パターン記憶部22に格納されている通信パターン情報とを比較し、両者が一致するか否か判定する。判定結果報告部25は、異常通信判定部24による判定の結果を示す判定結果情報を生成し、中央装置1へ送信するため、判定結果情報を通信部20へ出力する。
【0030】
次に、通信パターン情報および異常通信パターン情報として利用可能な情報を説明する。本実施形態では以下の情報などが利用可能である。
(1)通信の送信/受信IPアドレス
(2)通信の送信/受信Port番号
(3)送受信されるパケットのハッシュ値
(4)メール通信の情報
(5)攻撃シグネチャ
(6)上記の通信パラメータの統計量
【0031】
(1)、(2)の送信/受信IPアドレスおよび送信/受信Port番号は、送受信されるパケットのヘッダから抽出される。(3)のハッシュ値は、送受信されるパケットからMD5やSHA−1等のハッシュ関数を利用して算出される。(4)のメール通信の情報はメールのデータ自体やプロトコルの情報等である。(5)の攻撃シグネチャは、IDS(Intrusion Detection System:侵入検知システム)が攻撃パケットを検知するときに利用するパターンや、AVがウィルスを検知するときに利用するパターンであり、攻撃シグネチャと一致するパターンがパケットから検知された場合に、そのパターンが通信パターン情報として記録される。(6)の通信パラメータの統計量は、例えば通信パラメータの単位時間当たりの頻度である(図2参照)。
【0032】
次に、図3を参照しながら、本実施形態による中央装置1の動作を説明する。図3(a)は、ネットワーク3を介して行われる通信の監視と異常検知の手順を示している。図3(a)に示す処理は定期的に実行される。通信監視部11は、ネットワーク3上を伝送するパケットを、通信部10を介して取得し、そのパケットからIPアドレスやPort番号等の特徴的な通信パターン情報を抽出する(ステップS100)。通信監視部11は、抽出した通信パターン情報を通信パターン記憶部12に格納する(ステップS110)。異常検知の開始タイミングとなるまで、ステップS100とS110の処理が繰り返し実行される。
【0033】
異常検知の開始タイミングとなった場合(ステップS120でYESの場合)、異常検知部13は、通信パターン記憶部12に蓄積されている通信パターン情報を読み出し、通信パターン情報を用いた公知の方法による異常検知処理を実行する(ステップS130)。この異常検知の手法として、例えば特開2004−318552号公報、特開2005−128947号公報、および特開2005−151289号公報に記載されている手法を本実施形態に適用することが可能である。
【0034】
特開2004−318552号公報には、IDSから出力されるログに含まれるAttack Signature、Source/Destination IP、Destination Port等のパラメータについて、単位時間当たりの頻度が急増する程度を、過去の統計分布を用いて評価する手法が記載されている。この手法により、攻撃頻度の変化量に着目して、ログに含まれる多数のイベントの中から、注目すべき異常なイベントを抽出することが可能となる。
【0035】
特開2005−128947号公報には、Source/Destination IPやDestination Portの広がりの程度(分散度)を情報エントロピーとして算出し、上記の特開2004−318552号公報に記載の手法により異常を検知する手法が記載されている。この手法により、ウィルス感染の拡大や、DDos(Distributed Denial of Service)攻撃による通信の集中の程度を簡易に算出することが可能となる。
【0036】
特開2005−151289号公報には、Attack Signature、Source/Destination IP、Destination Port等のパラメータの検知頻度の周期性に注目して異常を検知する手法が記載されている。この手法により、上記の特開2004−318552号公報に記載の手法で検知できないような、ゆっくり増加する攻撃や、頻度が小さく隠れがちな攻撃を検知することが可能となる。
【0037】
ステップS130の異常検知処理の結果、異常な通信が検知された場合(ステップS140においてYESの場合)、異常検知部13は異常な通信に係る異常通信パターン情報を全体の通信パターン情報から抽出し、異常通信パターン通知部14へ出力する。異常通信パターン通知部14は、異常通信パターン情報を保持する(ステップS150)。また、ステップS130の異常検知処理の結果、異常な通信が検知されなかった場合(ステップS140においてNOの場合)、一連の処理が終了する。
【0038】
図3(b)は、異常通信パターン情報を端末2へ送信し、判定結果情報を端末2から受信する動作の手順を示している。端末2からの受信可能通知があった場合、異常通信パターン通知部14は異常通信パターン情報を通信部10へ出力する。通信部10は異常通信パターン情報を端末2へ送信する(ステップS200)。複数の端末2から受信可能通知があれば、異常通信パターン情報はそれら全ての端末2へ送信される。
【0039】
異常通信パターン情報を受信した端末2は、後述する処理を実行し、過去に異常な通信を行ったか否かを判定した結果を示す判定結果情報を中央装置1へ送信する。中央装置1の通信部10は端末2からの判定結果情報を受信し、判定結果受付部15へ出力する(ステップS210)。判定結果受付部15は、この判定結果情報に基づいて攻撃の発信元を特定する。すなわち、判定結果情報が、異常な通信を行ったという判定結果を示している場合、判定結果受付部15は、その判定結果情報を送信した端末2が攻撃の発信元であると認識する(ステップS220)。
【0040】
続いて、判定結果受付部15は、ネットワークインフラの安定運用のためネットワーク3に流布させる情報(ウィルス感染等の異常が発生している端末2の台数等)を生成し保持する。保持された情報は適宜、通信部10へ出力され、通信部10によって周囲のネットワーク機器等へ送信される(ステップS230)。
【0041】
次に、図4を参照しながら、端末2の動作を説明する。図4(a)は、端末2自身による通信の監視手順を示している。図4(a)に示す処理は繰り返し実行される。通信部20がパケットの送信または受信を行った場合、通信記録部21は、そのパケットから、自身の端末2が行った通信に係る通信パターン情報を抽出する(ステップS300)。また、通信記録部21は、抽出した通信パターン情報を通信パターン記憶部22に記録する(ステップS310)。図示していないが、通信パターン記憶部22の記憶容量を削減するため、記録後一定期間が経過した通信パターン情報は適宜削除される。
【0042】
図4(b)は、中央装置1で検知された異常な通信に係る異常通信パターン情報と一致する通信パターン情報を検索する手順を示している。異常通信パターン受付部23は、異常通信パターン情報が中央装置1から送信された場合に、通信部20によって受信された異常通信パターン情報を受け取り、異常通信判定部24へ出力する(ステップS400)。異常通信判定部24は、通信パターン記憶部22から通信パターン情報を読み出して異常通信パターン情報と比較し、異常通信パターン情報と一致する通信パターン情報を検索する(ステップS410)。
【0043】
続いて、異常通信判定部24は、異常通信パターン情報と一致する通信パターン情報が存在したか否かを判定する(ステップS420)。異常通信パターン情報と一致する通信パターン情報が存在しなかった場合には、処理がステップS440に進む。また、異常通信パターン情報と一致する通信パターン情報が存在した場合には、自身の端末2がウィルスに感染している、あるいは自身の端末2に他者が侵入したことが分かるので、異常通信判定部24は、それらの異常に対応した処理(ウィルス感染等の旨を表示する処理等)を適宜実行する(ステップS430)。
【0044】
続いて、異常通信判定部24はステップS420での判定結果を判定結果報告部25に通知する。判定結果報告部25は、異常通信判定部24による判定の結果を示す判定結果情報を生成し、通信部20へ出力する。通信部20は判定結果情報を中央装置1へ送信する(ステップS440)。
【0045】
上記の変形例として、中央装置1から端末2へ送信される異常通信パターン情報に対して、その異常通信パターン情報と関係する攻撃やウィルスの情報を付加してもよい。攻撃やウィルスの情報が付加された異常通信パターン情報と一致する通信パターン情報が端末2で検知された場合には、侵入やウィルス感染の疑いがあることがより明確となる。
【0046】
上述したように、本実施形態によれば、中央装置1において異常な通信が検知された場合に、異常通信パターン情報が端末2へ送信され、異常通信パターン情報を受信した端末2において、異常通信パターン情報と一致する通信パターン情報が存在するか否かが判定される。異常通信パターン情報と一致する通信パターン情報が存在すると判定された場合には、端末2において異常な通信が検知されたことになる。したがって、攻撃パケットの到着頻度が極端に低かったり、攻撃パケットに特徴的な周期性がなかったり等の理由により、端末2において、通信パターン情報からは異常な通信を検知することができない場合でも、通信パターン情報と異常通信パターン情報の一致・不一致を判定することによって、異常な通信の検知をより確実に行うことができる。
【0047】
また、異常通信パターン情報と一致する通信パターン情報が存在するか否かを判定した結果を示す判定結果情報が端末2から中央装置1へ送信される。したがって、異常通信パターン情報と一致する通信パターン情報が存在すると判定された場合には、判定結果情報を送信した端末2が、異常な通信の原因となる攻撃の発信元であると特定することができる。
【0048】
本実施形態で示した、異常な通信を検知する手法は、ウィルスに感染したコンピュータに悪質な動作を実行させるボットと呼ばれるウィルスの検知にも有効である。以下のように、通常ではボットの発信元の特定は困難である。
【0049】
すなわち、ボットはワームのように爆発的に感染活動を行うことはなく、普段は潜んでいるため、通信トラフィックのアノマリ検知ではボットを検出することができない。また、ボットに感染したコンピュータからスパムメールの送信が行われるが、ボットに感染したコンピュータ1台当たりから送信されるスパムメールは数通程度であり、メール送信頻度のアノマリ検知ではボットを検出することができない。ボットに感染したコンピュータがターゲットサーバにDDos攻撃を仕掛ける場合にも、ボットに感染したコンピュータ1台当たりから送信される攻撃パケットは数個程度であり、通信トラフィックのアノマリ検知ではボットを検出することができない。
【0050】
また、亜種が多いため、ウィルス検知用のパターンを記録した定義ファイルの作成が追いつかない。比較的中小規模のノード数でボットネットワークが構成されることが一般的であるため、定義ファイルを作成できたとしても、駆除効果の期待できる範囲が限定的となる。
【0051】
上記の理由から、ボットの検知には従来のマルウェア検知技術が全く役に立たない。しかし、本実施形態によれば、中央装置1において、ボットへの感染や、ボットに感染したコンピュータからのスパムメールの受信、ボットに感染したコンピュータによるDDos攻撃のいずれかの被害が検知された場合に、それらの被害の元となる通信を行ったコンピュータを特定することができる。
【0052】
(第2の実施形態)
次に、本発明の第2の実施形態を説明する。図5は、本実施形態による電子システムの構成を示している。本実施形態の端末2は、自身が行った通信の結果に基づいて異常な通信の検知(異常検知)を実行する。例えば端末2が攻撃の標的となった場合には、異常な通信による大量のパケットが端末2に到着するようになるので、端末2による異常検知が可能となる。また、端末2がスパムメールの受信を検知した場合にも、端末2で異常な通信が検知されたことになる。異常な通信を検知した場合、端末2は、異常な通信の特徴パターンを示す異常通信パターン情報を中央装置1に通知する。
【0053】
一方、中央装置1は、端末2からの異常報告情報に基づいて、異常な通信が行われたことを認識し、異常な通信に係る異常通信パターン情報と同じ通信パターン情報がその他の端末2でも記録されているか否かを確認するための処理を実行する。すなわち、中央装置1は異常通信パターン情報を他の端末2へ送信する。本実施形態でも、端末2の起動状態やIPアドレスが不明な環境に適用するため、第1の実施形態と同様に端末2が中央装置1へ定期的にポーリングを行い、端末2が主体となって異常通信パターン情報を取得するが、これに限られるわけではない。
【0054】
異常通信パターン情報を受信した端末2では、第1の実施形態と同様の処理が実行され、判定結果情報が中央装置1に通知される。もし、端末2が所持する通信パターン情報の中に、中央装置1から通知された異常通信パターン情報と一致する情報があった場合、その端末2が異常な通信を行った(すなわち、攻撃パケットを発信した)ことが分かる。本実施形態でも、端末2が判定結果情報を中央装置1へ送信するようにしているが、判定結果情報の送信は必須でなくてもよい。
【0055】
上記の処理を実現するため、端末2において異常検知部26と異常報告部27が設けられている。これらを除く構成は第1の実施形態と同様である。異常検知部26は、通信パターン記憶部22に格納されている通信パターン情報に基づいて異常検知を実行する。異常な通信を検知した場合、異常検知部26は、通信パターン情報から異常な通信に係る異常通信パターン情報を抽出し、異常報告部27へ出力する。異常報告部27は、異常な通信を行ったことを中央装置1に報告するため、異常通信パターン情報を含む異常報告情報を生成し、中央装置1へ送信するため、異常報告情報を通信部20へ出力する。
【0056】
また、中央装置1において、異常報告受付部16と異常通信パターン記憶部17が設けられており、図1に示した通信監視部11、通信パターン記憶部12、および異常検知部13は設けられていない。これらを除く構成は第1の実施形態と同様である。異常報告受付部16は、端末2から異常報告情報が送信された場合に、通信部10によって受信された異常報告情報を受け取り、異常報告情報に含まれる異常通信パターン情報を異常通信パターン記憶部17に格納する。異常通信パターン記憶部17は異常通信パターン情報を記憶する。
【0057】
本実施形態における通信パターン情報および異常通信パターン情報は第1の実施形態と同様であるが、プロセス名(プログラム名)やファイルパスも利用可能である。プロセス名は、侵入時やウィルス感染時に端末2に送り込まれて起動されるプロセスであり、ファイルパスはそのプロセスの実行プログラムの格納場所である。ウィルスに感染すると、通信時に特定のプロセスが起動されるので、通信時における特定のプロセスの起動の有無を判定することにより、ウィルス感染の有無を判定することが可能となる。
【0058】
次に、図6を参照しながら、本実施形態による中央装置1の動作を説明する。図6(a)は、端末2からの異常報告を受け付ける動作の手順を示している。図6(a)に示す処理は繰り返し実行される。異常報告受付部16は、異常報告情報が端末2から送信された場合に、通信部20によって受信された異常報告情報を受け取る(ステップS500)。続いて、異常報告受付部16は、異常報告情報に含まれる異常通信パターン情報と、異常通信パターン記憶部17に格納されている異常通信パターンとが一致するか否かを判定することにより、端末2からの異常報告が新規な異常に関するものであるか否かを判定する(ステップS510)。
【0059】
異常報告情報に含まれる異常通信パターン情報が、異常通信パターン記憶部17に格納されているいずれかの異常通信パターンと一致した場合(ステップS510でNOの場合)、端末2からの異常報告は新規な異常に関するものではないため、異常報告受付部16は次の異常報告に備えて待機する。また、異常報告情報に含まれる異常通信パターン情報が、異常通信パターン記憶部17に格納されているどの異常通信パターンとも一致しなかった場合(ステップS510でYESの場合)、端末2からの異常報告は新規な異常に関するものであるため、異常報告受付部16は、異常報告情報に含まれる異常通信パターン情報を異常通信パターン記憶部17に格納する(ステップS520)。
【0060】
図6(b)は、異常通信パターン情報を端末2へ送信し、判定結果情報を端末2から受信する動作の手順を示している。端末2からの受信可能通知があった場合、異常通信パターン通知部14は異常通信パターン記憶部17から異常通信パターン情報を読み出して通信部10へ出力する。通信部10は異常通信パターン情報を端末2へ送信する(ステップS600)。複数の端末2から受信可能通知があれば、異常通信パターン情報はそれら全ての端末2へ送信される。これ以降のステップS610〜S630の処理は、図3に示したステップS210〜S230の処理と同様であるため、説明を省略する。
【0061】
次に、本実施形態による端末2の動作を説明する。中央装置1からの異常通信パターン情報を受信した端末2が、中央装置1で検知された異常な通信に係る異常通信パターン情報と一致する通信パターン情報を検索する動作は、図4(b)に示した動作と同様であるので、説明を省略する。以下、図7を参照しながら、端末2による異常検知の手順を説明する。
【0062】
通信部20がパケットの送信または受信を行った場合、通信記録部21は、そのパケットから、自身の端末2が行った通信に係る通信パターン情報を抽出する(ステップS700)。また、通信記録部21は、抽出した通信パターン情報を通信パターン記憶部22に記録する(ステップS710)。図示していないが、通信パターン記憶部22の記憶容量を削減するため、記録後一定期間が経過した通信パターン情報は適宜削除される。異常検知の開始タイミングとなるまで、ステップS700とS710の処理が繰り返し実行される。
【0063】
異常検知の開始タイミングとなった場合(ステップS720でYESの場合)、異常検知部26は、通信パターン記憶部22に蓄積されている通信パターン情報を読み出し、通信パターン情報を用いた公知の方法による異常検知処理を実行する(ステップS730)。異常検知の手法は前述した通りである。
【0064】
ステップS730の異常検知処理の結果、異常な通信が検知されなかった場合(ステップS740においてNOの場合)、一連の処理が終了する。また、ステップS730の異常検知処理の結果、異常な通信が検知された場合(ステップS740においてYESの場合)、異常検知部26は異常な通信に係る異常通信パターン情報を全体の通信パターン情報から抽出し、異常報告部27へ出力する(ステップS750)。
【0065】
異常報告部27は、異常通信パターン情報を含む異常報告情報を生成し、通信部20へ出力する(ステップS760)。通信部20は異常報告情報を中央装置1へ送信する(ステップS770)。また、異常な通信が検知された場合には、自身の端末2がウィルスに感染している、あるいは自身の端末2に他者が侵入したことが分かるので、異常通信判定部24は、それらの異常に対応した処理(ウィルス感染等の旨を表示する処理等)を適宜実行する(ステップS780)。
【0066】
上記の変形例として、異常報告情報の送信により異常通信パターン情報を中央装置1に通知した端末2に対して、その異常通信パターン情報と関係する攻撃やウィルスの情報を中央装置1が通知するようにしてもよい。攻撃やウィルスの情報が異常通信パターン情報と一致する通信パターン情報が端末2で検知された場合には、侵入やウィルス感染の疑いがあることがより明確となる。
【0067】
上述したように、本実施形態によれば、いずれかの端末2において異常な通信が検知された場合に、異常通信パターン情報を含む異常報告情報が中央装置1へ送信され、中央装置1からさらに別の端末2へ異常通信パターン情報が送信される。この異常通信パターン情報を受信した端末2において、異常通信パターン情報と一致する通信パターン情報が存在するか否かが判定される。異常通信パターン情報と一致する通信パターン情報が存在すると判定された場合には、端末2において異常な通信が検知されたことになる。したがって、攻撃パケットの到着頻度が極端に低かったり、攻撃パケットに特徴的な周期性がなかったり等の理由により、端末2において、通信パターン情報からは異常な通信を検知することができない場合でも、通信パターン情報と異常通信パターン情報の一致・不一致を判定することによって、異常な通信の検知をより確実に行うことができる。
【0068】
また、異常通信パターン情報と一致する通信パターン情報が存在するか否かを判定した結果を示す判定結果情報が端末2から中央装置1へ送信される。したがって、異常通信パターン情報と一致する通信パターン情報が存在すると判定された場合には、判定結果情報を送信した端末2が、異常な通信の原因となる攻撃の発信元であると特定することができる。さらに、本実施形態で示した、異常な通信を検知する手法はボットの検知にも有効である。
【0069】
また、上述した2つの実施形態によれば、Security Operation Center(SOC)が監視するネットワーク上で異常な通信パターンを発信した端末の特定や、未知ウィルスに感染した端末の特定が可能となる。そして、端末で異常と判定された不明な通信パターンをSOCに問い合わせて異常性を判定してもらえるようになる。
【0070】
上述した異常な通信を検知する手法を既存のアンチウィルスソフトの追加機能として実装することも可能である。また、端末2が有する機能をイントラネットのゲートウェイ等に実装することも可能である。
【0071】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による中央装置1や端末2の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
【0072】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0073】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【図面の簡単な説明】
【0074】
【図1】本発明の第1の実施形態による電子システムの構成を示すブロック図である。
【図2】本発明の第1の実施形態における通信パターン情報および異常通信パターン情報として利用可能な情報を示す参考図である。
【図3】本発明の第1の実施形態による電子システムが備える中央装置の動作の手順を示すフローチャートである。
【図4】本発明の第1の実施形態による電子システムが備える端末の動作の手順を示すフローチャートである。
【図5】本発明の第2の実施形態による電子システムの構成を示すブロック図である。
【図6】本発明の第2の実施形態による電子システムが備える中央装置の動作の手順を示すフローチャートである。
【図7】本発明の第2の実施形態による電子システムが備える端末の動作の手順を示すフローチャートである。
【符号の説明】
【0075】
1・・・中央装置、2・・・端末、10,20・・・通信部、11・・・通信監視部、12,22・・・通信パターン記憶部(記憶手段)、13,26・・・異常検知部(異常判定手段、情報抽出手段)、14・・・異常通信パターン通知部、15・・・判定結果受付部、16・・・異常報告受付部、17・・・異常通信パターン記憶部、21・・・通信記録部、23・・・異常通信パターン受付部、24・・・異常通信判定部(比較判定手段)、25・・・判定結果報告部、27・・・異常報告部
【特許請求の範囲】
【請求項1】
電子機器および中央装置を備えた電子システムにおいて、
前記電子機器は、
異常な通信の特徴を示す異常通信特徴情報を前記中央装置から受信する異常通信特徴情報受信手段と、
前記電子機器が行った通信の特徴を示す第1の通信特徴情報を記憶する第1の記憶手段と、
前記異常通信特徴情報と前記第1の通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段とを有し、
前記中央装置は、
ネットワークを介して行われた通信の特徴を示す第2の通信特徴情報を記憶する第2の記憶手段と、
前記第2の通信特徴情報に基づいて、異常な通信が行われたか否かを判定する異常判定手段と、
異常な通信が行われたと判定された場合に、前記第2の通信特徴情報から前記異常通信特徴情報を抽出する情報抽出手段と、
前記異常通信特徴情報を前記電子機器へ送信する異常通信特徴情報送信手段とを有する
ことを特徴とする電子システム。
【請求項2】
前記電子機器は、前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに有し、
前記中央装置は、前記判定結果情報を前記電子機器から受信する判定結果情報受信手段をさらに有する
ことを特徴とする請求項1に記載の電子システム。
【請求項3】
第1の電子機器、第2の電子機器、および中央装置を備えた電子システムにおいて、
前記第1の電子機器は、
前記中央装置から送信される、異常な通信の特徴を示す異常通信特徴情報を受信する第1の異常通信特徴情報受信手段と、
前記第1の電子機器が行った通信の特徴を示す第1の通信特徴情報を記憶する第1の記憶手段と、
前記異常通信特徴情報と前記第1の通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段とを有し、
前記第2の電子機器は、
前記第2の電子機器が行った通信の特徴を示す第2の通信特徴情報を記憶する第2の記憶手段と、
前記第2の通信特徴情報に基づいて、前記第2の電子機器が異常な通信を行ったか否かを判定する異常判定手段と、
異常な通信が行われたと判定された場合に、前記第2の通信特徴情報から、異常な通信の特徴を示す異常通信特徴情報を抽出する情報抽出手段と、
前記異常通信特徴情報を前記中央装置へ送信する異常通信特徴情報送信手段とを有し、
前記中央装置は、
前記異常通信特徴情報を前記第2の電子機器から受信する第2の異常通信特徴情報受信手段と、
前記異常通信特徴情報を前記第1の電子機器へ送信する第2の異常通信特徴情報送信手段とを有する
ことを特徴とする電子システム。
【請求項4】
前記第1の電子機器は、前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに有し、
前記中央装置は、前記判定結果情報を前記第1の電子機器から受信する判定結果情報受信手段をさらに有する
ことを特徴とする請求項3に記載の電子システム。
【請求項5】
異常な通信の特徴を示す異常通信特徴情報を中央装置から受信する異常通信特徴情報受信手段と、
自身の電子機器が行った通信の特徴を示す通信特徴情報を記憶する記憶手段と、
前記異常通信特徴情報と前記通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段と、
を備えたことを特徴とする電子機器。
【請求項6】
前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに備えたことを特徴とする請求項5に記載の電子機器。
【請求項7】
前記通信特徴情報に基づいて、自身の電子機器が異常な通信を行ったか否かを判定する異常判定手段と、
異常な通信が行われたと判定された場合に、前記通信特徴情報から前記異常通信特徴情報を抽出する情報抽出手段と、
前記情報抽出手段によって抽出された前記異常通信特徴情報を前記中央装置へ送信する異常通信特徴情報送信手段と、
をさらに備えたことを特徴とする請求項5または請求項6に記載の電子機器。
【請求項8】
ネットワークを介して行われた通信の特徴を示す第1の通信特徴情報を記憶する記憶手段と、
前記第1の通信特徴情報に基づいて、異常な通信が行われたか否かを判定する異常判定手段と、
異常な通信が行われたと判定された場合に、前記第1の通信特徴情報から、異常な通信の特徴を示す異常通信特徴情報を抽出する情報抽出手段と、
前記異常通信特徴情報を電子機器へ送信する異常通信特徴情報送信手段と、
を備えたことを特徴とする中央装置。
【請求項9】
前記電子機器が行った通信の特徴を示す第2の通信特徴情報と前記異常通信特徴情報を比較して前記異常通信特徴情報と一致する前記第1の通信特徴情報が存在するか否かを判定した結果を示す判定結果情報を前記電子機器から受信する判定結果情報受信手段をさらに備えたことを特徴とする請求項8に記載の中央装置。
【請求項10】
異常な通信の特徴を示す異常通信特徴情報を第1の電子機器から受信する異常通信特徴情報受信手段と、
前記異常通信特徴情報を第2の電子機器へ送信する異常通信特徴情報送信手段と、
を備えたことを特徴とする中央装置。
【請求項11】
前記第2の電子機器が行った通信の特徴を示す第1の通信特徴情報と前記異常通信特徴情報を比較して前記異常通信特徴情報と一致する前記第1の通信特徴情報が存在するか否かを判定した結果を示す判定結果情報を前記第2の電子機器から受信する判定結果情報受信手段をさらに備えたことを特徴とする請求項10に記載の中央装置。
【請求項12】
請求項5〜請求項7のいずれかに記載の電子機器としてコンピュータを機能させるためのプログラム。
【請求項13】
請求項8〜請求項11のいずれかに記載の中央装置としてコンピュータを機能させるためのプログラム。
【請求項14】
請求項12または請求項13に記載のプログラムを記載したコンピュータ読み取り可能な記録媒体。
【請求項1】
電子機器および中央装置を備えた電子システムにおいて、
前記電子機器は、
異常な通信の特徴を示す異常通信特徴情報を前記中央装置から受信する異常通信特徴情報受信手段と、
前記電子機器が行った通信の特徴を示す第1の通信特徴情報を記憶する第1の記憶手段と、
前記異常通信特徴情報と前記第1の通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段とを有し、
前記中央装置は、
ネットワークを介して行われた通信の特徴を示す第2の通信特徴情報を記憶する第2の記憶手段と、
前記第2の通信特徴情報に基づいて、異常な通信が行われたか否かを判定する異常判定手段と、
異常な通信が行われたと判定された場合に、前記第2の通信特徴情報から前記異常通信特徴情報を抽出する情報抽出手段と、
前記異常通信特徴情報を前記電子機器へ送信する異常通信特徴情報送信手段とを有する
ことを特徴とする電子システム。
【請求項2】
前記電子機器は、前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに有し、
前記中央装置は、前記判定結果情報を前記電子機器から受信する判定結果情報受信手段をさらに有する
ことを特徴とする請求項1に記載の電子システム。
【請求項3】
第1の電子機器、第2の電子機器、および中央装置を備えた電子システムにおいて、
前記第1の電子機器は、
前記中央装置から送信される、異常な通信の特徴を示す異常通信特徴情報を受信する第1の異常通信特徴情報受信手段と、
前記第1の電子機器が行った通信の特徴を示す第1の通信特徴情報を記憶する第1の記憶手段と、
前記異常通信特徴情報と前記第1の通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段とを有し、
前記第2の電子機器は、
前記第2の電子機器が行った通信の特徴を示す第2の通信特徴情報を記憶する第2の記憶手段と、
前記第2の通信特徴情報に基づいて、前記第2の電子機器が異常な通信を行ったか否かを判定する異常判定手段と、
異常な通信が行われたと判定された場合に、前記第2の通信特徴情報から、異常な通信の特徴を示す異常通信特徴情報を抽出する情報抽出手段と、
前記異常通信特徴情報を前記中央装置へ送信する異常通信特徴情報送信手段とを有し、
前記中央装置は、
前記異常通信特徴情報を前記第2の電子機器から受信する第2の異常通信特徴情報受信手段と、
前記異常通信特徴情報を前記第1の電子機器へ送信する第2の異常通信特徴情報送信手段とを有する
ことを特徴とする電子システム。
【請求項4】
前記第1の電子機器は、前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに有し、
前記中央装置は、前記判定結果情報を前記第1の電子機器から受信する判定結果情報受信手段をさらに有する
ことを特徴とする請求項3に記載の電子システム。
【請求項5】
異常な通信の特徴を示す異常通信特徴情報を中央装置から受信する異常通信特徴情報受信手段と、
自身の電子機器が行った通信の特徴を示す通信特徴情報を記憶する記憶手段と、
前記異常通信特徴情報と前記通信特徴情報を比較し、前記異常通信特徴情報と一致する前記通信特徴情報が存在するか否かを判定する比較判定手段と、
を備えたことを特徴とする電子機器。
【請求項6】
前記比較判定手段による判定の結果を示す判定結果情報を前記中央装置へ送信する判定結果情報送信手段をさらに備えたことを特徴とする請求項5に記載の電子機器。
【請求項7】
前記通信特徴情報に基づいて、自身の電子機器が異常な通信を行ったか否かを判定する異常判定手段と、
異常な通信が行われたと判定された場合に、前記通信特徴情報から前記異常通信特徴情報を抽出する情報抽出手段と、
前記情報抽出手段によって抽出された前記異常通信特徴情報を前記中央装置へ送信する異常通信特徴情報送信手段と、
をさらに備えたことを特徴とする請求項5または請求項6に記載の電子機器。
【請求項8】
ネットワークを介して行われた通信の特徴を示す第1の通信特徴情報を記憶する記憶手段と、
前記第1の通信特徴情報に基づいて、異常な通信が行われたか否かを判定する異常判定手段と、
異常な通信が行われたと判定された場合に、前記第1の通信特徴情報から、異常な通信の特徴を示す異常通信特徴情報を抽出する情報抽出手段と、
前記異常通信特徴情報を電子機器へ送信する異常通信特徴情報送信手段と、
を備えたことを特徴とする中央装置。
【請求項9】
前記電子機器が行った通信の特徴を示す第2の通信特徴情報と前記異常通信特徴情報を比較して前記異常通信特徴情報と一致する前記第1の通信特徴情報が存在するか否かを判定した結果を示す判定結果情報を前記電子機器から受信する判定結果情報受信手段をさらに備えたことを特徴とする請求項8に記載の中央装置。
【請求項10】
異常な通信の特徴を示す異常通信特徴情報を第1の電子機器から受信する異常通信特徴情報受信手段と、
前記異常通信特徴情報を第2の電子機器へ送信する異常通信特徴情報送信手段と、
を備えたことを特徴とする中央装置。
【請求項11】
前記第2の電子機器が行った通信の特徴を示す第1の通信特徴情報と前記異常通信特徴情報を比較して前記異常通信特徴情報と一致する前記第1の通信特徴情報が存在するか否かを判定した結果を示す判定結果情報を前記第2の電子機器から受信する判定結果情報受信手段をさらに備えたことを特徴とする請求項10に記載の中央装置。
【請求項12】
請求項5〜請求項7のいずれかに記載の電子機器としてコンピュータを機能させるためのプログラム。
【請求項13】
請求項8〜請求項11のいずれかに記載の中央装置としてコンピュータを機能させるためのプログラム。
【請求項14】
請求項12または請求項13に記載のプログラムを記載したコンピュータ読み取り可能な記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2008−278272(P2008−278272A)
【公開日】平成20年11月13日(2008.11.13)
【国際特許分類】
【出願番号】特願2007−120328(P2007−120328)
【出願日】平成19年4月27日(2007.4.27)
【出願人】(000208891)KDDI株式会社 (2,700)
【出願人】(304023318)国立大学法人静岡大学 (416)
【Fターム(参考)】
【公開日】平成20年11月13日(2008.11.13)
【国際特許分類】
【出願日】平成19年4月27日(2007.4.27)
【出願人】(000208891)KDDI株式会社 (2,700)
【出願人】(304023318)国立大学法人静岡大学 (416)
【Fターム(参考)】
[ Back to top ]