JP3597686B2 - ウィルスチェックネットワークシステム及びウィルスチェック装置 - Google Patents
ウィルスチェックネットワークシステム及びウィルスチェック装置 Download PDFInfo
- Publication number
- JP3597686B2 JP3597686B2 JP33140997A JP33140997A JP3597686B2 JP 3597686 B2 JP3597686 B2 JP 3597686B2 JP 33140997 A JP33140997 A JP 33140997A JP 33140997 A JP33140997 A JP 33140997A JP 3597686 B2 JP3597686 B2 JP 3597686B2
- Authority
- JP
- Japan
- Prior art keywords
- virus
- packet
- check
- virus check
- infected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
【発明の属する技術分野】
本発明はウィルスチェックネットワークシステム及びウィルスチェック装置に関し、特にウィルスチェックを行って、ウィルス侵入を防止するウィルスチェックネットワークシステム及びウィルスチェックを行って、ウィルス侵入を防止するウィルスチェック装置に関する。
【0002】
【従来の技術】
近年、マルチメディア通信などの情報通信ネットワーク技術が急速に進歩している。また、インターネット等の流行により、企業のみならず一般家庭に対しても、ネットワークが提供するサービスが幅広く利用されている。
【0003】
この反面、コンピュータウィルスの増加と感染のスピードは、ネットワークの普及と共に加速しており、多くの企業ユーザがウィルスの被害に遭っている現状が報告されている。
【0004】
従来、ネットワークをウィルスの感染から守るには、クライアントやプロキシサーバ等にワクチン・ソフトを導入していた。このワクチン・ソフトを用いることにより、ウィルスに感染しているファイルからウィルスを取り去って、ファイルを修復することができる。
【0005】
【発明が解決しようとする課題】
しかし、上記のような従来のウィルス対策は、クライアント側で行っているため、感染防止にはクライアントすべてに対して、個々にワクチン・ソフトを導入しなければならない。
【0006】
このため、新種ウィルスに対しては、バージョンアップしたワクチン・ソフトを最初から逐一導入しなければならず、時間が非常にかかり効率が悪いといった問題があった。
【0007】
また、従来のクライアント側でのウィルス対策では、新種ウィルス発見時のパターンファイルの更新などをはじめとする運用管理等は、各自ユーザに任されるため、ウィルス監視を徹底させることが難しいといった問題があった。
【0008】
本発明はこのような点に鑑みてなされたものであり、ネットワーク側でウィルスを未然に防ぎ、ウィルス対策効率の向上を図ったウィルスチェックネットワークシステムを提供することを目的とする。
【0009】
また、本発明の他の目的は、ネットワーク側でウィルスを未然に防ぎ、ウィルス対策効率の向上を図ったウィルスチェック装置を提供することである。
【0011】
【課題を解決するための手段】
本発明では上記課題を解決するために、図1に示すような、ウィルスチェックを行って、ウィルス侵入を防止するウィルスチェックネットワークシステム1において、ウィルスパターンを格納するウィルスパターン格納手段11と、受信したパケットをウィルスパターンにもとづいて、ウィルスに感染している感染パケットPaか否かのウィルスチェックを行い、ウィルスチェックを行う領域を複数設けて、装置毎に担当するウィルスチェック領域を分担し、ネットワーク上新規に置かれた場合には、他装置からウィルスチェックの担当領域情報を収集して担当領域を決定するウィルスチェック手段12と、感染パケットPaを検知した場合は、感染を示すパケット内のビットを立てて感染表示パケットPbとして送信するパケット送信手段13と、から構成される複数のウィルスチェック装置10a〜10nと、ビットにもとづいて、感染パケットPaを検出する感染パケット検出手段21と、感染パケットPaに対応するファイルを実行不可にするファイル実行制御手段22と、から構成されるクライアント端末20a〜20mと、ウィルスパターン情報をマルチキャストでウィルスチェック装置10a〜10nに配布するウィルスパターン情報配布手段31と、ウィルスパターン情報を一元管理するウィルスパターン情報管理手段32と、から構成されるウィルス情報管理局30と、を有することを特徴とするウィルスチェックネットワークシステム1が提供される。
【0012】
ここで、ウィルスパターン格納手段11は、ウィルスパターンを格納する。ウィルスチェック手段12は、受信したパケットをウィルスパターンにもとづいて、ウィルスに感染している感染パケットPaか否かのウィルスチェックを行い、ウィルスチェックを行う領域を複数設けて、装置毎に担当するウィルスチェック領域を分担し、ネットワーク上新規に置かれた場合には、他装置からウィルスチェックの担当領域情報を収集して担当領域を決定する。パケット送信手段13は、感染パケットPaを検知した場合は、感染を示すパケット内のビットを立てて感染表示パケットPbとして送信する。感染パケット検出手段21は、ビットにもとづいて、感染パケットPaを検出する。ファイル実行制御手段22は、感染パケットPaに対応するファイルを実行不可にする。ウィルスパターン情報配布手段31は、ウィルスパターン情報をマルチキャストでウィルスチェック装置10a〜10nに配布する。ウィルスパターン情報管理手段32は、ウィルスパターン情報を一元管理する。
【0013】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照して説明する。図1は本発明のウィルスチェックネットワークシステムの原理図である。
【0014】
ウィルスチェックネットワークシステム1は、ウィルスチェック装置10a〜10nと、クライアント端末20a〜20mと、ウィルス情報管理局30と、から構成され、ウィルスチェックを行って、ウィルス侵入を防止する。
【0015】
ウィルスパターン格納手段11は、ウィルスパターンを格納する。ウィルスチェック手段12は、受信したパケットと、格納してあるウィルスパターンと、を比較し、パケットがウィルスに感染している感染パケットPaか否かのウィルスチェックを行う。
【0016】
パケット送信手段13は、感染パケットPaを検知した場合は、感染パケットPa内のあらかじめ設定した感染を示すビットを立てて、感染表示パケットPbとして送信する。
【0017】
感染パケット検出手段21は、感染表示パケットPbのビットにもとづいて、それが感染パケットPaと検出する。ファイル実行制御手段22は、感染パケットPaに対応するファイルを実行不可にする。
【0018】
ウィルスパターン情報配布手段31は、最新のウィルスパターン情報をマルチキャストでウィルスチェック装置10a〜10nに配布する。配布されたウィルスパターンは、ウィルスパターン格納手段11で格納される。
【0019】
ウィルスパターン情報管理手段32は、ウィルスパターン情報の新規設定、更新等の管理を一元的に行う。
次に本発明のウィルスチェックネットワークシステム1を、ルータで構成されているインターネット上のネットワークに適用した場合の実施の形態について以降説明する。本発明のウィルスチェック装置10a〜10nをいくつかのルータに配置させ、ウィルスチェックを行う。
【0020】
なお、ウィルスチェック装置を配置したルータを以降では、ウィルスチェックルータと呼ぶ。
図2はウィルスチェックルータを配置したネットワークの概要を示す図である。ネットワーク1は、ルータR1〜R8と、クライアント端末20a〜20mと、ウィルス情報管理局30と、から構成される。
【0021】
図ではルータR1、R2、R3、R4がウィルスチェックルータであり、その他は通常のルータ機能のみを持つ。ウィルスチェックルータR2にウィルス情報管理局30が接続し、ウィルスチェックルータR4にクライアント端末20a〜20mが接続する。
【0022】
ウィルスチェックルータR1〜R4はウィルスのどの部分(先頭部、中間部、終端部)をチェックをするかを分担させており、各担当を最低1回は通過するように配置させる。
【0023】
各ウィルスチェックルータR1〜R4は、ウィルス情報管理局30からマルチキャストで配布されるウィルスパターンVPを受け取り、常に最新のウィルス情報を保持させておく。
【0024】
受信したパケットに対し、ウィルスチェックルータR1〜R4は保持してあるウィルスパターンVPと比較する。もし感染している場合にはパケットにビットを立てる。
【0025】
その際同時に送信元に対しては警告パケットPw1を返し、各ウィルスチェックルータR1〜R4に対しては、警戒情報パケットPw2をマルチキャストで配布する。
【0026】
警戒情報パケットPw2を受け取った各ウィルスチェックルータR1〜R4は、そのウィルスを優先的に検出、あるいは感染元との通信の遮断を行う。
クライアント端末20a〜20mでは、パケットを常に監視しており、感染を示すビットが立っている場合、あるいは警告パケットPw1だった場合にはユーザにメッセージを表示し、受け取ったファイルの削除を促す。
【0027】
次にウィルスパターンVPについて説明する。ウィルスパターンVPは、マルチキャストにのせて定期的に配布される。また新種のウィルスが発見されたら、ウィルス情報管理局30は新たに作成したウィルスパターンVPをマルチキャストで各ウィルスチェックルータ10a〜10nに送り、各ウィルスチェックルータ10a〜10nは変更があればウィルスパターンを更新する。
【0028】
図3はウィルスパターンVPのフォーマットを示す図である。ウィルスパターンVPは、ヘッダVP−1にEther HedderとIP Hedder(Multicast)とを持つ。
そして、ウィルスパターン配布を示すコードVP−2と、ウィルスの種類を示すシリアル番号VP−3と、そのバージョン(改版番号)VP−4を持つ。
【0029】
これらのあとに、実際のウィルスのバイナリから先頭部分(第1領域のウィルスパターン)VP−6、中間部分(第2領域のウィルスパターン)VP−7、終端部分(第3領域のウィルスパターン)VP−7を固定長バイトごと抽出したものをつける。
【0030】
なお、抽出部分はウィルス情報管理局30によって任意に決められ、定期的に変更してバージョンVP−4を更新する。
また、ウィルスの危険度に応じて脅威レベルVP−5をウィルス情報管理局側30で決定しておく。これにより危険度に応じた対応を可能にする。
【0031】
ウィルスチェックルータ10a〜10nでは、受け取ったデータを元に自分の持つウィルスパターンVPを後述の検索テ−ブルに追加する。その際、各ウィルスチェックルータ10a〜10nはどの領域を分担するか決められており、受信したパケットから自分の担当するパターンのみを受け取る。
【0032】
次にウィルスパターンVPの格納形式について説明する。図4はウィルスパターン格納手段11の格納形式を示す図である。
ウィルスパターン格納手段11は、ウィルスパターンVPを検索テ−ブル11aと、シリアル番号保持情報11bと、に分けて格納する。
【0033】
検索テ−ブル11aは、階層木構造をとる。それぞれ木の深さに応じて第1次階層、第2次階層、第3次階層…と呼ぶ。また、それぞれの枝部分とシリアル番号を対応させておく。
【0034】
シリアル番号保持情報11bは、現在自分の持っているシリアル番号とバージョンと脅威レベルを保持しており、ウィルスパターンVPのマルチキャストパケットが来た際、これと比較して変更が必要かどうかを判断する。
【0035】
次に検索テ−ブル11aに新規にウィルスパケットVPを追加する場合の処理について説明する。各ウィルスチェックルータ10a〜10nは、自分の保持しているウィルスパターンVPのシリアル番号と、バージョン番号と、をシリアル番号保持情報11bに検索テ−ブル11aとは別に保管している。
【0036】
マルチキャストによる新規のウィルスパターンVPから自分の担当分を受け取ると、ウィルスパターンVP情報を記録したシリアル番号保持情報11bをもとにウィルスパターンVPの検索テ−ブル11aを更新する。
【0037】
まず、シリアル番号とバージョンをチェックして変更が必要か判断する。変更が必要と判断すると検索テ−ブル11aの第1次階層、第2次階層、…と比較していって重ならなくなる部分を探し、そこから新規に枝を伸ばす。その後、新規追加した枝を最上位に移動させ、登録を終了する。
【0038】
図5はウィルスパターン格納手段11でのウィルスパターンVPを新規登録する際の処理手順を示すフローチャートである。
〔S1〕シリアル番号を自分のウィルスチェックルータ内に持っているかどうかを判断する。持っている場合はステップS2へ、持っていない場合はステップS4へ行く。
〔S2〕バージョン更新かどうかを判断する。更新ならばステップS3へ、更新でなければ終了する。
〔S3〕対象のシリアル番号の枝を削除する。
〔S4〕第1次階層と比較する。ステップS4の詳細は図6で説明する。
【0039】
図6は第n次階層と比較して、新たに枝を作成する際の処理手順を示すフローチャートである。
〔S10〕ウィルスパターンから1文字とる。
〔S11〕既存の検索テ−ブル11aの第n次階層と比較する。
〔S12〕ヒットした場合はステップS13へ、そうでなければステップS14へ行く。
〔S13〕次の第n+1次階層と比較する。
〔S14〕枝を追加する。
〔S15〕枝の優先順位を上にもってくる。
【0040】
以上説明したような処理手順で、新種のウィルスパターンVPに対して対応する枝を作成していき格納しておく。
次にウィルスチェックルータ10の構成について説明する。図7はウィルスチェックルータ10の構成を示す図である。
【0041】
図に示す通常のパケットは、本発明のウィルスチェック手段12に該当するウィルスチェックフィルタ12でウィルスチェックが行われる。
ここでウィルスチェックを行うべきパケットは、パケットの中身がTCPかつftp、http、smtpのいずれかのパケットで、かつまだチェックが完了していないパケットである。
【0042】
ただし、それ以外のパケットは、負荷軽減のためウィルスチェックフィルタ12をウィルスチェックせずに通過させる。また、オフセット値がある一定以上のパケット、つまりフローの後ろの方のパケットも通過させる。なお、この際ウィルスチェック済みのビットを立てる。
【0043】
一方、マルチキャストのパケットは、シリアル番号保持情報11bでウィルスパターンの更新処理が行われ、検索テ−ブル11aに階層木構造形式で格納される。
【0044】
そして、経路計算部13aで経路計算をした後、パケット生成送信部13bは、ウィルスチェックに引っかかったパケットに対して、後述のIPヘッダのオプションのフィールドにビットを立てた感染表示パケットPbを生成する。以降の同一のフローのパケットに対してもビットを立てる。
【0045】
また、パケット生成送信部13bは、IPパケットの送信元に向けて警告パケットPw1を生成する。その後、感染表示パケットPb、警告パケットPw1を送信する。
【0046】
なお、警戒モードに設定して、感染元との通信を遮断する警戒モード設定手段14については後述する。
一方、クライアント端末20では、ソフトウェアによってIPヘッダのウィルス感染を示すビットを監視している。ビットが立った感染表示パケットPb及び警告パケットPw1を受け取ったクライアント端末20は,ユーザに対してウィルスに感染した旨のメッセージ表示を行う。
【0047】
次にIPヘッダの構成について説明する。図8はIPヘッダの構成を示す図である。
バージョンは4ビットで、インターネットヘッダの形式を示す。IHL(Internet Header Length) は4ビットで、ヘッダ長が32ビットワード単位で示される。サービスタイプは8ビットで、スループット等のサービス品質が示される。全長は16ビットで、オクテット単位で図った長さを示す。なお、全長にはヘッダとデータとを含む。
【0048】
識別番号は16ビットで、送信側を識別するために割り当てられた値でデータグラムのフラグメントを組み立てる際に使用される。Flagは3ビットで、フラグメントの分割許可または継続等の制御を示す。フラグメントオフセットは13ビットで、データグラム内でフラグメントの占める位置を示す。
【0049】
ttlは8ビットでデータグラムがインターネットのシステムに留まっていられる時間の最小値を示す。プロトコルは8ビットで、データグラムのデータ部を渡すべきトランスポートレイヤプロトコルを示す。ヘッダチェックサムは16ビットでヘッダに対するチェックサムを示す。
【0050】
始点アドレスは32ビットで、始点のIPアドレスを示す。終点アドレスは32ビットで終点のIPアドレスを示す。オプションは可変長で、ユーザが任意に定義できる。本発明ではこのオプション領域を利用して感染表示パケットPb、、警告パケットPw1及び警戒情報パケットPw2を生成する。
【0051】
次にウィルスチェック手段12について説明する。図9はウィルスチェックの処理手順を示すフローチャートである。
〔S20〕すでに別のウィルスチェックルータでチェック済みかどうかを判断する。チェック済みならステップS30へ、そうでない場合はステップS21へ行く。
〔S21〕オフセット値が一定以上かどうかを判断する。一定以上の場合はステップS30へ、そうでなければステップS22へ行く。
〔S22〕TCPパケットでかつhttp、ftp、smtpのいずれかのパケットかどうかを判断する。その場合はステップS23へ、そうでなければステップS30へ行く。
〔S23〕ウィルスチェックを行う。なお、詳細は図10で説明する。
〔S24〕感染しているかどうかを判断する。感染している場合はステップS28へ、そうでなければステップS25へ行く。
〔S25〕次のパケットの1バイトをとる。
〔S26〕終了かどうかを判断する。終了の場合はステップS27へ、そうでなければステップS23へ戻る。
〔S27〕チェック済みのビットを立てる。
〔S28〕IPヘッダのオプションフィールドにビットを立てる。
〔S29〕警告パケットPw1、警戒情報パケットPw2を発行する。
〔S30〕経路計算を行う。
【0052】
次に上記のステップS23のウィルスチェックルーティンについて説明する。パケット内の1バイトをとり、まず検索テ−ブル11a内の第1次階層と比較する。同じものがあった場合は、パケットから次の1バイトをとり、一致した枝の配下の第2次階層と比較する。
【0053】
もし当てはまらなくなったらパケットの次の1バイトを取り出して最初から比較をやり直す。これを繰り返し最後まで当てはまる場合は、このバイトはウィルスに感染したと判断しIPヘッダのオプションのフィールドのビットを立てる。
【0054】
また、もし検索の途中でパケットが終了した場合は感染していないものとみなし、代わりに別の領域を担当しているウィルスチェックルータにまかせる。
図10はウィルスチェックルーティンの処理手順を示すフローチャートである。
〔S40〕パケットから1バイトを取り出す。
〔S41〕パケット完了かどうかを判断する。パケット完了の場合は終了し、そうでなければステップS42へ行く。
〔S42〕ウィルスパターン第n次階層と比較する。
〔S43〕ヒットしたかどうかを判断する。ヒットした場合はステップS46へ、そうでなければステップS44へ行く。
〔S44〕階層を1次に戻す。
〔S45〕第1次階層をチェックする。
〔S46〕階層をn+1次にする。
〔S47〕ウィルスチェック完了かどうかを判断する。完了の場合はステップS49へ、そうでなければステップS48へ行く。
〔S48〕第n+1次階層をチェックする。
〔S49〕ウィルス感染と判断する。
【0055】
次にウィルスチェック時に立てるビットについて説明する。ウィルスチェックルータでウィルスチェックを実施すると、まずIHLフィールドを1増加してオプション領域を確保する。そして、確保されたオプション領域にビットを立てる。
【0056】
図11は感染表示パケットPbのIPパケットのフォーマットを示す図である。まず、IHLフィールドを1増加する。そして、オプション領域をThe Copied flag=0 、The option Classes=3(将来の予約用領域)、 The option Number=1(感染表示パケットPb:ウィルスチェックをしたことを示すコード)、 Length=5 と設定する。
【0057】
また、Option Valueとして第1ビットは第1領域チェック未/済、第2ビットは第2領域チェック未/済、第3ビットは第3領域チェック未/済と割り当てる。すなわち、ウィルスチェックをしたかどうかの情報を記す。
【0058】
そして、第4ビットはウィルス未感染/感染を示し、未感染なら0、感染している場合は1を立てて、感染表示パケットPbを表す。なお、第5ビット以降はシリアル番号である。
【0059】
次に警告パケットPw1について説明する。ウィルスチェックルータでウィルスを検知した際に送信元には警告パケットPw1を送信し、周囲のウィルスチェックルータには警戒情報パケットPw2をマルチキャストで送信する。これによってウィルスの早期発見、拡大防止をはかる。
【0060】
警告パケットPw1は、ウィルス検知時のパケットと同様にIPヘッダのオプション領域のビットを立て、以下のフォーマットで送信元に配送される。
図12は警告パケットPw1のフォーマットを示す図である。まず、IHLフィールドを1増加する。そして、オプション領域をThe Copied flag=0 、The option Classes=3(将来の予約用領域)、 The option Number=2(警告パケットPw1を示すコード)、 Length=3 と設定する。そして、図11で説明したチェック未/済のオプションを付加する。また、終点アドレスが感染元のアドレスとなる。
【0061】
次にクライアント側の処理について説明する。図13はクライアント端末20の構成を示す図である。本発明の感染パケット検出手段21はLANドライバ21aに、ファイル実行制御手段22はTCP/IPドライバ22bに含まれる。
【0062】
LANドライバ21aは、送られてくる各フローについて、各パケットのウィルスチェックビットを見る。そして、ビットが立っているかどうかを判断し、その結果をTCP/IPドライバ22bに通知する。
【0063】
TCP/IPドライ22bは、ビットが立っている旨の通知を受けると、対応するファイルを実行不可にした後、ファイルを削除する旨のメッセージ20−1を表示する。
【0064】
次にクライアント端末20でのビット監視の流れについて説明する。図14、図15はクライアント端末20のビット監視の処理手順を示すフローチャートである。
〔S50〕パケットを読み込む。
〔S51〕新規のフローかどうかを判断する。新規のフローの場合はステップS52へ、そうでなければステップS53へ行く。
〔S52〕フロー情報を追加する。
〔S53〕終了フローかどうかを判断する。終了フローの場合はステップS54へ、そうでなければステップS55へ行く。
〔S54〕フロー情報から該当フローを削除する。
〔S55〕ビットをチェックする。
〔S56〕ヒットしたかどうかを判断する。ヒットした場合はステップS58へ、そうでなければステップS57へ行く。
〔S57〕TCP/IPドライバ22bに処理を渡す。
〔S58〕警告パケットPw1かどうかを判断する。警告パケットの場合はステップS59へ、そうでなければステップS60へ行く。
〔S59〕警告の旨のメッセージを表示する。
〔S60〕ファイルの実行権をなくす。
〔S61〕警告メッセージ20−1の表示を行う。
【0065】
次に警戒情報パケットPw2について説明する。ウィルスチェックルータでウィルス検知された際、各ウィルスチェックルータにはマルチキャストで警戒情報パケットPw2を出す。警戒情報パケットPw2はウィルスパケットのシリアル番号と送信元IPアドレスを情報として持ち、マルチキャストで配布される。
【0066】
警戒情報パケットPw2を受け取った各ウィルスチェックルータは受け取ったシリアル番号のウィルスパターンVPの検索の優先順位を上げる。
図16は警戒情報パケットPw2のフォーマットを示す図である。警戒情報パケットPw2は、ヘッダPw2−1にEther HedderとIP Hedder(Multicast)とを持つ。
【0067】
そして、警戒情報を示すコードPw2−2と、ウィルスの種類を示すシリアル番号Pw2−3と、そのバージョン(改版番号)Pw2−4を持つ。
さらに、ウィルスの危険度に応じた脅威レベルPw2−5と、ウィルス感染元のIPアドレスPw2−6をつける。
【0068】
次に警戒情報パケットPw2を受け取った際の検索順番の処理手順について説明する。図17は警戒情報パケットPw2を受け取った際の検索順番の処理手順を示す図である。
〔S70〕警戒情報パケットPw2からシリアル番号を取得する。
〔S71〕第1次階層、第2次階層、…第n次階層、の検索順位を最上位に上げる。
【0069】
次に感染元との通信遮断を行うための警戒モード設定手段14について説明する。脅威レベルがある一定以上の場合、拡大を防止するためウィルスチェックルータ側でホストとの通信を一定時間遮断させる。
【0070】
警戒情報パケットPw2の中の脅威レベルを見て、ある一定以上の場合はIPアドレスをテ−ブルに保存し、警戒モードに移行する。
警戒モードでは通常の処理の前にくるパケットをチェックし、テ−ブルにあるアドレスから来たパケットと、テ−ブルにあるアドレスに向かうパケットと、を一定時間だけすべて廃棄する。
【0071】
廃棄させる時間は、再送要求がタイムアウトする程度の時間とし、テ−ブルに保存された時にカウンタが一緒に設定される。
もしこの時間内にパケットが来なかったらテ−ブルから削除し、警戒モードを解除する。逆にパケットが来たら時間(カウンタのカウント値)を延長させる。
【0072】
図18は警戒モード設定手段14が行う警戒モードの処理手順を示すフローチャートである。
〔S80〕脅威レベルは一定以上かどうかを判断する。一定以上の場合は、ステップS81へ、そうでなければステップS89へ行く。
〔S81〕警戒IPアドレスを保持する警戒IPアドレステ−ブルにIPアドレスと、警戒モードにしておく時間をカウントするカウンタ値と、を設定する。
〔S82〕パケットを読み込む。
〔S83〕始点/終点のアドレスがテ−ブルと一致するかどうかを判断する。一致する場合はステップS84へ、そうでなければステップS86へ行く。
〔S84〕パケットを廃棄する。
〔S85〕カウンタ値を延長する。すなわち、警戒モードにする時間をさらに長くする。
〔S86〕カウンタ値を減少する。すなわち、警戒モードにする時間を短くする。
〔S87〕カウンタを終了するかどうかを判断する。終了の場合はステップS88へ、終了しない場合はステップS82へ戻る。
〔S88〕警戒IPアドレステ−ブルからIPアドレスと、カウンタ値を削除する。
〔S89〕通常モードにする。
【0073】
次にウィルスチェックルータの協調による負荷分散及びチェック精度向上について説明する。ウィルスのバイナリデータは小さく、パケットをまたがってバイナリが分割してしまう場合がある。したがって、各ウィルスチェックルータ毎に担当するウィルスパターンVPを異なるように分担させ保持させる。
【0074】
これにより、もしある領域で仮りにパケットの途中でウィルスのバイナリが切れてしまった場合でも、別なパケットでは別の領域のチェックにかかるようになる。
【0075】
ウィルスチェックルータに対するウィルスパターンの各分担は、手動でも自動でも設定可能とする。ただし、手動で設定する場合は、パケットは受信先に到着するまでにはすべての領域がチェックされるような構成、つまりそれぞれ分担しているウィルスチェックルータを最低1回ずつは通るような構成にする必要がある。
【0076】
次に自動で設定する場合について説明する。図19は担当分担領域要求パケットのフォーマットを示す図である。図に示すフォーマットを用いて自動設定する。
【0077】
まず、新規のウィルスチェックルータは担当分担領域要求パケット100を自分が配布可能な全てのウィルスチェックルータに配布する。
この場合ttl領域は小さく設定して,余計な負荷は極力かけないようにしておく必要がある。
【0078】
また、自分が持つルーティング情報から自分の接続している全ウィルスチェックルータそれぞれに対して、終点アドレスを挿入したパケットを発行する。
オプション領域は、The Copied flag=0 、The option Classes=3(将来の予約用領域)、 The option Number=3(担当分担領域要求パケット100を示すコード)、 Length=3 、「空き」と設定する。
【0079】
この担当分担領域要求パケット100を受け取った各ウィルスチェックルータは、送信元に対して自分の担当領域を以下のような担当領域要求応答パケット101にのせて返送する。図20は担当分担領域要求応答パケット101のフォーマットを示す図である。
【0080】
ttlがまだ残っていれば、自分が受け取ったウィルスチェックルータ以外の配送できる範囲の全てのウィルスチェックルータに対して同報する。
担当分担領域要求応答パケット101のオプション領域は、The Copied flag=0 、The option Classes=3(将来の予約用領域)、 The option Number=4(担当分担領域要求応答パケット101を示すコード)、 Length=3 、「担当領域」と設定する。
【0081】
また、送信側のウィルスチェックルータは、返ってきた担当分担領域要求応答パケット101から各領域を担当しているルータの台数を集計して、最も担当しているルータの少ない領域を自分の担当領域とする。
【0082】
以上説明したように、本発明のウィルスチェックネットワークシステム1は、ウィルスチェックルータにウィルスチェック機能を搭載させることにより、ネットワーク側でウィルスを検知させることができ、ウィルス侵入防止をより多くのクライアントに対して、またより確実に行うことができる。
【0083】
また、常に最新のウィルスパターン情報をウィルスチェックルータ間でマルチキャストにより交換通知し、またその更新方法もマルチキャストのパケットを発行するだけであるので、新たなウィルスへの対応が簡単にかつ迅速に行うことができる。またクライアント側で更新をかける必要がない。
【0084】
さらに、検知したウィルスに対する警告を各ウィルスチェックルータが同時に行うことで早期発見、拡大防止を図る。そして、送信元に対しても警告パケットを送ることでウィルス感染を通知することができる。
【0085】
また、各ウィルスチェックルータでウィルスチェック領域を分担することで、各々ウィルスチェックルータにかかる負荷を分散することができ、フレーム間にまたがってウィルスが存在する場合においてもいずれかを担当しているウィルスチェックルータでチェックすることができ、ウィルスチェックの精度が向上する。
【0086】
さらに、ウィルスが検知されたパケットを落とすことはせずに、IPヘッダにビットを立てて受信側に通知することで再送などによる余計なトラヒックの増加を防ぐことができる。そして、ウィルスの脅威レベルに応じて通信を遮断させるため、感染の拡大を防止させることができる。
【0087】
【発明の効果】
以上説明したように、本発明のウィルスチェックネットワークシステムは、複数のウィルスチェック装置を設けて、ウィルスチェックを行う構成とした。これにより、ネットワーク側でウィルスを未然に防ぐことができるので、ウィルスの感染及び拡大を防止でき、ウィルスチェック対策効率の向上を図ることが可能になる。
【図面の簡単な説明】
【図1】本発明のウィルスチェックネットワークシステムの原理図である。
【図2】ウィルスチェックルータを配置したネットワークの概要を示す図である。
【図3】ウィルスパターンVPのフォーマットを示す図である。
【図4】ウィルスパターンVP格納手段の格納形式を示す図である。
【図5】ウィルスパターン格納手段でのウィルスパターンVPを新規登録する際の処理手順を示すフローチャートである。
【図6】第n次階層と比較して、新たに枝を作成する際の処理手順を示すフローチャートである。
【図7】ウィルスチェックルータの構成を示す図である。
【図8】IPヘッダの構成を示す図である。
【図9】ウィルスチェックの処理手順を示すフローチャートである。
【図10】ウィルスチェックルーティンの処理手順を示すフローチャートである。
【図11】感染表示パケットのIPパケットのフォーマットを示す図である。
【図12】警告パケットのフォーマットを示す図である。
【図13】クライアント端末の構成を示す図である。
【図14】クライアント端末のビット監視の処理手順を示すフローチャートである。
【図15】クライアント端末のビット監視の処理手順を示すフローチャートである。
【図16】警戒情報パケットのフォーマットを示す図である。
【図17】警戒情報パケットを受け取った際の検索順番の処理手順を示す図である。
【図18】警戒モードの処理手順を示すフローチャートである。
【図19】担当分担領域要求パケットのフォーマットを示す図である。
【図20】担当分担領域要求応答パケットのフォーマットを示す図である。
【符号の説明】
1 ウィルスチェックネットワークシステム
10a〜10n ウィルスチェック装置
11 ウィルスパターン格納手段
12 ウィルスチェック手段
13 パケット送信手段
20a〜20m クライアント端末
21 感染パケット検出手段
22 ファイル実行制御手段
30 ウィルス情報管理局
31 ウィルスパターン情報配布手段
32 ウィルスパターン情報管理手段
Pa 感染パケット
Pb 感染表示パケット
Claims (8)
- ウィルスチェックを行って、ウィルス侵入を防止するウィルスチェックネットワークシステムにおいて、
ウィルスパターンを格納するウィルスパターン格納手段と、受信したパケットを前記ウィルスパターンにもとづいて、ウィルスに感染している感染パケットか否かの前記ウィルスチェックを行い、前記ウィルスチェックを行う領域を複数設けて、装置毎に担当するウィルスチェック領域を分担し、ネットワーク上新規に置かれた場合には、他装置から前記ウィルスチェックの担当領域情報を収集して担当領域を決定するウィルスチェック手段と、前記感染パケットを検知した場合は、感染を示すパケット内のビットを立てて感染表示パケットとして送信するパケット送信手段と、から構成される複数のウィルスチェック装置と、
前記ビットにもとづいて、前記感染パケットを検出する感染パケット検出手段と、前記感染パケットに対応するファイルを実行不可にするファイル実行制御手段と、から構成されるクライアント端末と、
ウィルスパターン情報をマルチキャストで前記ウィルスチェック装置に配布するウィルスパターン情報配布手段と、前記ウィルスパターン情報を一元管理するウィルスパターン情報管理手段と、から構成されるウィルス情報管理局と、
を有することを特徴とするウィルスチェックネットワークシステム。 - 前記ウィルスチェック手段は、前記パケットのヘッダを見て前記ウィルスチェックすべき前記パケットを選定することを特徴とする請求項1記載のウィルスチェックネットワークシステム。
- 前記ウィルスチェック装置は、ルータに配置されることを特徴とする請求項1記載のウィルスチェックネットワークシステム。
- 前記ウィルスチェック装置は、前記ウィルスパターン情報を前記マルチキャストで互いに通知することを特徴とする請求項1記載のウィルスチェックネットワークシステム。
- 前記ウィルスチェック装置は、前記ウィルスの脅威レベルに応じて警戒モードを設定し、ホストとの通信を一定時間遮断させる警戒モード設定手段をさらに含むことを特徴とする請求項1記載のウィルスチェックネットワークシステム。
- 前記パケット送信手段は、前記感染表示パケットの送信と共に、前記感染パケットの送信元に警告パケットを送信し、かつ他の前記ウィルスチェック装置に警戒すべき前記感染パケットの情報が記された警戒情報パケットをマルチキャストで配布することを特徴とする請求項1記載のウィルスチェックネットワークシステム。
- 前記ウィルスチェック手段は、前記警戒情報パケットに記された前記感染パケットの前記ウィルスパターンの優先順位を上げて、前記ウィルスチェックを行うことを特徴とする請求項6記載のウィルスチェックネットワークシステム。
- ウィルスチェックを行って、ウィルス侵入を防止するウィルスチェック装置において、
ウィルスパターンを格納するウィルスパターン格納手段と、
受信したパケットを前記ウィルスパターンにもとづいて、ウィルスに感染している感染パケットか否かの前記ウィルスチェックを行い、前記ウィルスチェックを行う領域を複数設けて、装置毎に担当するウィルスチェック領域を分担し、ネットワーク上新規に置かれた場合には、他装置から前記ウィルスチェックの担当領域情報を収集して担当領域を決定するウィルスチェック手段と、
前記感染パケットの場合は、感染を示すパケット内のビットを立てて感染表示パケットとして送信するパケット送信手段と、
を有することを特徴するウィルスチェック装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP33140997A JP3597686B2 (ja) | 1997-12-02 | 1997-12-02 | ウィルスチェックネットワークシステム及びウィルスチェック装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP33140997A JP3597686B2 (ja) | 1997-12-02 | 1997-12-02 | ウィルスチェックネットワークシステム及びウィルスチェック装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH11167487A JPH11167487A (ja) | 1999-06-22 |
JP3597686B2 true JP3597686B2 (ja) | 2004-12-08 |
Family
ID=18243372
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP33140997A Expired - Fee Related JP3597686B2 (ja) | 1997-12-02 | 1997-12-02 | ウィルスチェックネットワークシステム及びウィルスチェック装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3597686B2 (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6721721B1 (en) * | 2000-06-15 | 2004-04-13 | International Business Machines Corporation | Virus checking and reporting for computer database search results |
TW584801B (en) | 2000-12-11 | 2004-04-21 | Ntt Docomo Inc | Terminal and repeater |
US7269649B1 (en) | 2001-08-31 | 2007-09-11 | Mcafee, Inc. | Protocol layer-level system and method for detecting virus activity |
JP4567275B2 (ja) | 2002-02-28 | 2010-10-20 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信端末、情報処理装置、中継サーバ装置、情報処理システム及び情報処理方法 |
US20060242686A1 (en) * | 2003-02-21 | 2006-10-26 | Kenji Toda | Virus check device and system |
WO2004077294A1 (ja) * | 2003-02-26 | 2004-09-10 | Secure Ware Inc. | 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
WO2004077295A1 (ja) * | 2003-02-26 | 2004-09-10 | Secure Ware Inc. | 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
US8225392B2 (en) * | 2005-07-15 | 2012-07-17 | Microsoft Corporation | Immunizing HTML browsers and extensions from known vulnerabilities |
US8239939B2 (en) | 2005-07-15 | 2012-08-07 | Microsoft Corporation | Browser protection module |
US7761915B2 (en) * | 2005-12-28 | 2010-07-20 | Zyxel Communications Corp. | Terminal and related computer-implemented method for detecting malicious data for computer network |
JP4774307B2 (ja) * | 2006-02-06 | 2011-09-14 | アラクサラネットワークス株式会社 | 不正アクセス監視装置及びパケット中継装置 |
KR101303643B1 (ko) | 2007-01-31 | 2013-09-11 | 삼성전자주식회사 | 침입 코드 탐지 장치 및 그 방법 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09128336A (ja) * | 1995-11-06 | 1997-05-16 | Hitachi Ltd | ネットワークセキュリティシステム |
JPH09269930A (ja) * | 1996-04-03 | 1997-10-14 | Hitachi Ltd | ネットワークシステムの防疫方法及びその装置 |
-
1997
- 1997-12-02 JP JP33140997A patent/JP3597686B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JPH11167487A (ja) | 1999-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7120934B2 (en) | System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network | |
JP3597686B2 (ja) | ウィルスチェックネットワークシステム及びウィルスチェック装置 | |
US7808897B1 (en) | Fast network security utilizing intrusion prevention systems | |
US7562390B1 (en) | System and method for ARP anti-spoofing security | |
EP1806888B1 (en) | Denial-of-service attack detecting system, and denial-of-service attack detecting method | |
US11552961B2 (en) | System, method and computer readable medium for processing unsolicited electronic mail | |
US20060198322A1 (en) | Method and apparatus for BGP peer prefix limits exchange with multi-level control | |
CN105850083B (zh) | 多播通信网络中的拥塞管理 | |
US7079491B2 (en) | Method and node apparatus for filtering ICMP data frame | |
CN106059934B (zh) | 一种路由信息处理方法及装置 | |
EP4030720A1 (en) | Information reporting method, and data processing method and device | |
US20170322862A1 (en) | Information processing apparatus, method, and medium | |
CN115361310A (zh) | 一种防火墙的链路探测方法及装置 | |
CN110417874B (zh) | 一种获取补丁数据的方法及装置 | |
CN111314347A (zh) | 一种非法流量的处理方法、装置、***和存储介质 | |
KR20210066432A (ko) | 이름 데이터 네트워킹(ndn) 에서 인터레스트 플러딩 공격, 검출 방법 및 방어 방법 | |
US20230051016A1 (en) | Systems and methods for network monitoring, reporting, and risk mitigation | |
JP4901231B2 (ja) | リソース管理装置 | |
JP4074990B2 (ja) | 統計情報処理システム及び統計情報処理制御方法 | |
CN115766195A (zh) | 流量数据包的处理方法、装置、***、设备及存储介质 | |
WO2005109153A2 (en) | Method and apparatus for bgp peer prefix limits exchange with multi-level control | |
Rawlins et al. | RFC3571: Framework Policy Information Base for Usage Feedback |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040224 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040426 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040629 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040810 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040907 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040909 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080917 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080917 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090917 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090917 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100917 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100917 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110917 Year of fee payment: 7 |
|
LAPS | Cancellation because of no payment of annual fees |