JP4754922B2 - ワーム感染装置の検出装置 - Google Patents
ワーム感染装置の検出装置 Download PDFInfo
- Publication number
- JP4754922B2 JP4754922B2 JP2005287957A JP2005287957A JP4754922B2 JP 4754922 B2 JP4754922 B2 JP 4754922B2 JP 2005287957 A JP2005287957 A JP 2005287957A JP 2005287957 A JP2005287957 A JP 2005287957A JP 4754922 B2 JP4754922 B2 JP 4754922B2
- Authority
- JP
- Japan
- Prior art keywords
- processing
- worm
- infected
- program
- route
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークを介してワームに感染した装置の検出を行う装置に関する。
近年IP技術をもちいたネットワークの普及に伴い、利用者に多くの便利なサービス(メール、音声、画像のリアルタイム配信、インターネットの利用によるPCと固定網との相互通話、携帯電話とPCとの相互接続など)の提供が進んでいる。
それに伴い、このような、サービス、機能を提供するネットワークを構成する装置は、これまで以上に多様なソフトウェアにて実現される機能を搭載している。さまざまな機能を互換性を維持しながら実現するためには、各メーカに特有の仕様に従って構成された装置ではなく、特定の標準に従った構成の装置を使ってネットワークを構築する必要がある。したがって、ネットワークを構成する装置の構成が共通となるため、装置が同様の弱点を持つことになり、ネットワークの攻撃者に攻撃された場合、すべての装置が同様の攻撃を受ける可能性を生じている。特に、装置に搭載されるソフトウェアの脆弱性を突いたワーム攻撃の懸念が高まっている。
ネットワークの構成装置がワームに感染した場合は、
・利用者からのクレーム:アクセス遅延、異常なデータ受信、ウイルス感染など、
・ネットワークトラヒック観測結果:急激なトラヒック増加・減少、
・ネットワーク構成装置の監視:構成装置の処理能力の急激な変化、利用可能なメモリ量の激減、
などから、保守者が、調査、分析し、ワーム感染の有無を判断し、感染と判断されて場合は、被害の拡大を最小限に抑える為、サービスを停止し、感染した装置の特定を手動で行っている。
・利用者からのクレーム:アクセス遅延、異常なデータ受信、ウイルス感染など、
・ネットワークトラヒック観測結果:急激なトラヒック増加・減少、
・ネットワーク構成装置の監視:構成装置の処理能力の急激な変化、利用可能なメモリ量の激減、
などから、保守者が、調査、分析し、ワーム感染の有無を判断し、感染と判断されて場合は、被害の拡大を最小限に抑える為、サービスを停止し、感染した装置の特定を手動で行っている。
その為、処置完了まで、多くの時間と、多大な工数を要し、保守コストの増加を招くと共に、利用者の利益を大きく損なう事が懸念される。更に、ネットワーク運用体制に脆弱性があるとなった場合は、ネットワークビジネス自体の信頼を失い、ビジネスとして撤退と言う事態も懸念される。
昨今のSIP(Session Initiation Protocol)技術を活用したVoIP、IPセントレックスサービス、更には、IMS(IP Multimedia Subsystem)による携帯、無線LAN、ブロードバンド、PSTNネットワークを融合する動きも活発化してきている。
このようなネットワークを支える機器は、低価格で短期にネットワークを構成できるよう、機器に汎用製品を導入し、サービスを制御するソフトウェアも汎用品を使用する傾向が強く、ソフトウェアの脆弱性の懸念は、従来のネットワークより増すことが予想され、脆弱性を突いてくるワームに感染することも想定され、感染した場合の影響は、従来ネットワーク以上に、利用者へ多大な影響を与えるものと懸念される。
また、ネットワークが連携することで、更なる付加サービスを実現する事から、これまで、独自のネットワークを独自の装置、ソフトウェアで実現していた公共性の高いネットワーク(警察、消防、船舶、ハローワークなど)も被害の対象となることが予想される。
更に、多様なネットワークと融合する事から、感染装置の特定にはこれまで以上に時間を要するものと思われる。場合によっては、利用者からのクレームが上がらないワーム感染もありうると思われる。
そのようなことから、以下のような問題が生じる。
問題1)ワーム感染を早期に検出する必要があるし、処置することが必要となる。
問題2)感染装置が特定された場合は、被害の拡大を最小化するために、被疑装置をいち早く利用できなくする必要がある。
問題3)公共性の高い、警察、消防、船舶ネットワークへの影響は、人命に関わる事態となりやすいことからいち早くサービス開始を図る必要がある。
問題1)ワーム感染を早期に検出する必要があるし、処置することが必要となる。
問題2)感染装置が特定された場合は、被害の拡大を最小化するために、被疑装置をいち早く利用できなくする必要がある。
問題3)公共性の高い、警察、消防、船舶ネットワークへの影響は、人命に関わる事態となりやすいことからいち早くサービス開始を図る必要がある。
一般には、感染サーバからの違法アクセス、脆弱性情報の公開を元にした、脆弱ソフトへのアタックを契機に感染することが想定されるが、それ以外に、ネットワークの運用手番を突いて進入するケースが想定される。
すなわち、以下のような感染形態が考えられる。
1)保守端末より感染
保守端末が、何らかのウイルスに感染していて、若しくは悪意を持った保守者から意図的にウイルスを送り込まれ、ネットワークに接続され、FTP,SNMPなどの保守プロトコルを介在して感染するケース。
2)呼設定プロトコル悪用による感染
プロトコルのオプション設定にウイルスソフトを格納し、サーバに送りつけ、受け取ったサーバが、内容を解析する際に感染するケース。
1)保守端末より感染
保守端末が、何らかのウイルスに感染していて、若しくは悪意を持った保守者から意図的にウイルスを送り込まれ、ネットワークに接続され、FTP,SNMPなどの保守プロトコルを介在して感染するケース。
2)呼設定プロトコル悪用による感染
プロトコルのオプション設定にウイルスソフトを格納し、サーバに送りつけ、受け取ったサーバが、内容を解析する際に感染するケース。
このように、ワームに感染した場合、以下のような影響が考えられる。
1.サービス制御用ソフト部分に感染した場合。
1)ウイルスソフトが、感染した脆弱部分を持つ処理部を基点に独自に処理を行う事が想定される。その為、感染ソフトより前に実行される処理を偽った動作となることが想定される。よって、管理されない処理が、装置内に大量に発生し、装置内メモリを大量に使用されることから制御メモリの枯渇、性能の低下、装置外に向けた異常な処理要求の発生が、懸念される。
2)ウイルスソフトは、相手先の状態に関係なく処理開始要求を起動する事が想定される。通常着信は、相手先の状態をチェックして実行し、無駄な呼設定を抑止するのが一般的だが、システムへの影響を目的とするウイルスソフトの動作として、お構いなく通信が行われる事から、利用者装置の通信性能の低下、装置ダウンの発生が懸念される。
3)不特定多数へのサービス開始要求の通知
以下の仕組みを利用し、不特定多数の利用者に起動を掛ける。
(1)発着番号を機械的に生成し(たとえば、加入者番号0000から昇順に)、発信する。
(2)学習された特定の着番号宛に連続して発信する。
(3)ランダムな番号で大量発信の場合、サービス利用中の利用者の通信が妨害(切断)されたり、感染装置の輻輳を契機に、関連する装置の輻輳と、影響が伝播し、ネットワーク全体が輻輳する状態に陥ったりする可能性がある。
4)ウイルスソフトは、発信情報を詐称し、特定、並びに不特定多数の加入者に着信を試みる。このことから、成り済まし、警察、消防、船舶等の緊急性の高いサービスの麻痺などが発生する。
5)ウイルスソフトにより、外部からの全ての処理要求を受け付けなくしてしまう。したがって、一時的に利用者へのサービス停止、緊急性の高い要求ができなくなる。
2.保守制御ソフトに感染した場合。
1)ウイルスソフトは、保守コマンドを偽装し、コマンドイメージを生成し、大量コマンド投入を装い、システムリソースの枯渇、正常なコマンド投入の妨害を行う可能性がある。偽装の方法は、内部処理にて、保守端末の管理番号、ポート番号を偽装の可能性がある。
2)ウイルスソフトは、投入されたコマンドを勝手にコピーし、同時に複数回実行させ、保守動作を妨害することが可能である。更に、コピーした情報を元に自立で処理を実行し続ける事も想定される。IP関連コマンドの場合は、サーバがネットワークから切り離されることも想定される。処理を継続実施することで、正しい保守要求の受付がなされなくなる。保守機能が輻輳し、重要なシステム通知が、保守者に届かなくなり、保守業務停止となる事態を招く。
3)ウイルスソフトは、投入されたコマンドが、内部表現に変換される際、異常変換させる事で、投入コマンドを異常終了させ、保守動作を妨害する事が想定される。
4)ウイルスソフトは、保守を混乱させる為に、アラームを多量に発生させる事が想定される。
1.サービス制御用ソフト部分に感染した場合。
1)ウイルスソフトが、感染した脆弱部分を持つ処理部を基点に独自に処理を行う事が想定される。その為、感染ソフトより前に実行される処理を偽った動作となることが想定される。よって、管理されない処理が、装置内に大量に発生し、装置内メモリを大量に使用されることから制御メモリの枯渇、性能の低下、装置外に向けた異常な処理要求の発生が、懸念される。
2)ウイルスソフトは、相手先の状態に関係なく処理開始要求を起動する事が想定される。通常着信は、相手先の状態をチェックして実行し、無駄な呼設定を抑止するのが一般的だが、システムへの影響を目的とするウイルスソフトの動作として、お構いなく通信が行われる事から、利用者装置の通信性能の低下、装置ダウンの発生が懸念される。
3)不特定多数へのサービス開始要求の通知
以下の仕組みを利用し、不特定多数の利用者に起動を掛ける。
(1)発着番号を機械的に生成し(たとえば、加入者番号0000から昇順に)、発信する。
(2)学習された特定の着番号宛に連続して発信する。
(3)ランダムな番号で大量発信の場合、サービス利用中の利用者の通信が妨害(切断)されたり、感染装置の輻輳を契機に、関連する装置の輻輳と、影響が伝播し、ネットワーク全体が輻輳する状態に陥ったりする可能性がある。
4)ウイルスソフトは、発信情報を詐称し、特定、並びに不特定多数の加入者に着信を試みる。このことから、成り済まし、警察、消防、船舶等の緊急性の高いサービスの麻痺などが発生する。
5)ウイルスソフトにより、外部からの全ての処理要求を受け付けなくしてしまう。したがって、一時的に利用者へのサービス停止、緊急性の高い要求ができなくなる。
2.保守制御ソフトに感染した場合。
1)ウイルスソフトは、保守コマンドを偽装し、コマンドイメージを生成し、大量コマンド投入を装い、システムリソースの枯渇、正常なコマンド投入の妨害を行う可能性がある。偽装の方法は、内部処理にて、保守端末の管理番号、ポート番号を偽装の可能性がある。
2)ウイルスソフトは、投入されたコマンドを勝手にコピーし、同時に複数回実行させ、保守動作を妨害することが可能である。更に、コピーした情報を元に自立で処理を実行し続ける事も想定される。IP関連コマンドの場合は、サーバがネットワークから切り離されることも想定される。処理を継続実施することで、正しい保守要求の受付がなされなくなる。保守機能が輻輳し、重要なシステム通知が、保守者に届かなくなり、保守業務停止となる事態を招く。
3)ウイルスソフトは、投入されたコマンドが、内部表現に変換される際、異常変換させる事で、投入コマンドを異常終了させ、保守動作を妨害する事が想定される。
4)ウイルスソフトは、保守を混乱させる為に、アラームを多量に発生させる事が想定される。
このような、ワームあるいはウイルスの発生を検出する従来技術として、特許文献1がある。特許文献1では、通常は使用されない例外ポートの使用、不完全なパケットの発生、通信量の異常な増加、エラー量の異常な増加等を検出することによって、ウイルスの発生の可能性を検出する技術が開示されている。
特開2003−241989号公報
しかし、従来のワームあるいはウイルスの発生検出方法では、ウイルスがネットワークを介して、通信をしてしまい、障害が発生してからしか検出できていない。
本発明の課題は、いち早くワームへ感染した装置を検出することができ、他の装置への感染を防ぐことができるワーム感染装置の検出装置を提供することである。
本発明の課題は、いち早くワームへ感染した装置を検出することができ、他の装置への感染を防ぐことができるワーム感染装置の検出装置を提供することである。
本発明の検出装置は、プログラムを実行する装置にワームが感染したことを検出する検出装置において、プログラムの実行に際して、正しく処理が行われる場合の処理の流れる経路を格納する経路格納手段と、プログラムが実際に実行されている間に、実際に処理が流れた経路を記録する経路記録手段と、該経路記録手段が記録した経路と、該経路格納手段の格納する経路が一致するか否かにしたがって、装置がワームに感染したか否かを判断するワーム感染判断手段とを備えることを特徴とする。
本発明によれば、ネットワークを構成する装置がワームに感染したことをいち早く検出し、感染装置のネットワークからの切り離しを行う事でネットワーク全体の安定運用を実現することができる。
本発明の実施形態では、ソフトウェア制御によるネットワーク機器と、それらを用いて構成されるIP技術を基にした情報通信ネットワークを前提にする。ワームに感染する可能性のある装置としては、サーバやルータなどのネットワーク装置がある。
そして、ワーム感染に対し、以下のような対策を採る。
対処1:システム自律でワーム感染の有無を判断する機構を搭載し、検出の際は、保守者にその旨を通知する。
対処2:ワーム感染と特定された場合は、システム自律で、通信インフラであるIPネットワークから離脱し、その旨を保守者に通知する。
対処1:システム自律でワーム感染の有無を判断する機構を搭載し、検出の際は、保守者にその旨を通知する。
対処2:ワーム感染と特定された場合は、システム自律で、通信インフラであるIPネットワークから離脱し、その旨を保守者に通知する。
まず、ワームに感染する可能性のあるネットワーク装置内に、
・予め想定される処理経路情報を格納する経路情報データベース
・ワーム感染の通報を受け取り、サーバをネットワークから切り離す処理と保守者へ感染を通知する機能を有する、ワーム感染制御機能
を設ける。
・予め想定される処理経路情報を格納する経路情報データベース
・ワーム感染の通報を受け取り、サーバをネットワークから切り離す処理と保守者へ感染を通知する機能を有する、ワーム感染制御機能
を設ける。
装置上でソフトウェアが起動すると、モジュールで構成されるソフトウェアの動作を追跡し、処理動作がたどった処理経路の正常性を、予め格納された経路情報を基に分析する。分析の結果、異常と判断された場合は、保守端末に異常検出通知を行う為に、ワーム感染制御機能へ通知要求を行う。ワーム感染制御機能は、通知要求を基に、装置間の通信(たとえば、サーバーとルータの通信)に使用している通信ポートの遮断を実行し、保守端末に異常を通知する。
上記処理は、各ソフト制御部の先頭で行うことで、ワーム感染ソフトの拡大を抑える事も期待できる。ここで、経路情報として蓄積される情報は、処理の流れをトポロジー化し、トポロジーの開始、中継、分岐、完了に対応する処理を処理要求のパターン(呼処理手順による処理パターン、保守手順による処理パターン、再開処理手順による処理パターン、障害遭遇時の処理手順による処理パターン)に応じて、処理要求種別と組で管理される情報である。
図1は、本発明の第1の実施形態に従ったワーム感染装置の検出装置のブロック図である。
本発明の第1の実施形態に従った検出装置は、ワームの感染を監視したい装置にプログラムとしてインストールすることによって実現される。
本発明の第1の実施形態に従った検出装置は、ワームの感染を監視したい装置にプログラムとしてインストールすることによって実現される。
再開・障害受付部10は、システム監視処理部からワームに感染した装置の処理の再開や障害処理に関する指示を受け付ける。保守処理受付部11は、保守端末から保守処理に関する指示を受け付ける。処理受付処理部12は、再開・障害受付部10、保守処理受付部11からの指示を入力するとともに、SIPメッセージ受信・分析処理部19よりSIPメッセージよって送られてきた要求の内容を分析し、制御シナリオ部15に、どの処理を起動するか等の情報である起動シナリオ情報を通知し、起動テーブル情報を入手する。SIPメッセージ受信・分析処理部19は、SIPメッセージを受信し、受信メッセージの正常性を分析してから、該メッセージを処理受付処理部12に渡す。
処理実行部13は、処理受付処理部12で受信した起動テーブルに従い処理を実行する。処理実行部13が実行する対象は、B2BUA(Back-to-Back User Agent)着制御、B2BUA発制御、呼制御、サービス制御、コネクション制御、処理経過判定処理、処理最終判定処理のほか、後述する擬似処理分析部16−1、擬似処理生成部16−2の制御である。SIPメッセージ組み立て・送信処理部20は、B2BUA発制御の処理による要求に従い、SIPメッセージを組み立て、これを送信する。
処理経過判定処理と処理最終判定処理の実行結果にしたがって、ワーム感染制御部14は、通信ポートの遮断、保守端末へのワーム感染に関する通知を行う。制御シナリオ部15は、呼設定シナリオとして、処理起動テーブルを管理する。処理起動テーブルは、起動すべき処理の順序を記載したもので、図1の場合には、処理経過判定処理、B2BUA着制御、処理経過判定処理、呼制御、処理経過判定処理、サービス制御、処理経過判定処理、呼制御、処理経過判定処理、B2BUA発制御、処理最終判定処理を順に記載している。そのほか、制御シナリオ部15は、保守処理シナリオとして、保守処理の処理順序及び起動処理の管理を行うテーブル、再開・障害処理シナリオとして、ワームに感染した場合の処理の再開や障害処理の順序や起動処理の管理を行うテーブル、後述する擬似処理のシナリオとして、擬似処理生成部16−2と擬似処理分析部16−1の起動とその順序を記載したテーブルを保持する。
データベース17は、経路情報、異常経路情報、HOP情報を格納し、処理最終判定処理において、ワームに感染しているか否かを判断するためのデータを提供する。データベース18は、擬似処理監視情報と、擬似パターンを格納し、擬似処理分析部16−1、擬似処理生成部16−2に、擬似処理によるワームの検出試行のためのデータを提供する。
図2は、本発明の第1の実施形態に従った処理の流れの例を説明する図である。
図2(a)には、この例での処理の流れの経路パターン例を示している。一つ一つのブロックはそれぞれ処理単位を示し、以下のすべての実施形態の説明においても同様である。通常の処理の流れとして、SIPメッセージによる要求がB2BUA着制御処理に通知され、処理が、呼制御処理、サービス制御処理、呼制御処理、B2BUA発制御処理と流れていく例が示されている。また、サービス制御処理からは、処理がコネクション制御処理へも流れている。ここで、保守制御のための処理の流れが、処理受付処理を介して、サービス制御処理に行き、他の保守制御のための処理の流れが、再開/障害受付処理を介して、サービス制御処理に進んでいる。
図2(a)には、この例での処理の流れの経路パターン例を示している。一つ一つのブロックはそれぞれ処理単位を示し、以下のすべての実施形態の説明においても同様である。通常の処理の流れとして、SIPメッセージによる要求がB2BUA着制御処理に通知され、処理が、呼制御処理、サービス制御処理、呼制御処理、B2BUA発制御処理と流れていく例が示されている。また、サービス制御処理からは、処理がコネクション制御処理へも流れている。ここで、保守制御のための処理の流れが、処理受付処理を介して、サービス制御処理に行き、他の保守制御のための処理の流れが、再開/障害受付処理を介して、サービス制御処理に進んでいる。
図2(b)は、図2(a)における経路パターンの場合の経路情報の例を示す図である。図2(a)の処理の流れの場合、経路のパターンとして、6種類の流れがある。各制御処理には、識別子がもうけられており、識別子の連番で経路を表現する。各制御処理においては、対応する経路情報データベースが設けられている。識別子が「1」のB2BUA着制御処理においては、これが処理の流れの最初に当たるので、登録される識別子はない。同様に、識別子「10」の処理受付、識別子「20」の再開/障害受付に対応する経路情報データにも識別子は登録されていない。一方、識別子「2」の呼制御処理に対応する経路情報データベースでは、経路内の前の制御処理の識別子が「1」であるため、識別子「1」が登録される。以下同様にして、識別子「3」のサービス制御処理にいたるまでのすべての経路を示す識別子の連番がサービス制御用経路情報データベースに、同様の情報が、識別子「4」の呼制御処理の場合には、呼制御用経路データベース、識別子「6」のコネクション制御処理の場合には、コネクション制御用経路情報データベース、識別子「5」のB2BUA発制御処理の場合には、B2BUA発制御用経路データベースに設定される。そして、処理の流れの最後の出口に対応して、B2BUA着制御用処理最終確認用情報データベース、コネクション制御用処理最終確認用情報データベースが設けられる。
これらの経路情報データベースは、監視の対象となるプログラムが装置にインストールされた時点で、プログラムの設計者等の知識に基づき、予め設けられるべきものである。
図3は、本発明の第1の実施形態に従った経路経過判定処理の流れを説明する図である。
図3は、本発明の第1の実施形態に従った経路経過判定処理の流れを説明する図である。
図3においては、呼制御処理において、障害が発生したとした場合を示している。したがって、各処理の起動前に起動される本発明の処理は、サービス制御処理において起動する場合のみを示している。
通常処理が発生すると、識別子「1」のB2BUA着制御処理において、処理が正常に行われ、経路情報データベースに経路Cの経路情報として、識別子「1」が登録される。この経路情報データベースは、処理の流れに従って、順次経路情報を格納していく、処理の流れとともに制御処理間で受け渡されていくデータベースである。次の、識別子「2」の呼制御処理においては、障害が発生したものとする。この場合、ワームの影響により、経路情報データベースには、異常な経路情報が格納される。次の識別子「3」のサービス制御処理の前に、本発明の実施形態に従ったワーム感染の検出処理が行われる。まず、ステップS10において、識別子「2」の呼制御処理において更新された経路情報を読み出す。ステップS11において、サービス制御用経路情報データベースから経路情報パターンを読み出す。ステップS12において、識別子「2」の呼制御処理の処理によって生成された経路情報とサービス制御用経路情報データベースから読み出した経路情報を比較し、経路パターンを解析する。ステップS13において、経路パターンの分析結果を判定する。経路パターンが正常であった場合には、ステップS14において、経路情報データベースの経路情報を更新し(新たに、連番からなる経路情報に、自身の識別子を加える)、ステップS15において、サービス制御処理を起動する。ステップS13において、経路パターンが違反したパターンとなっている、すなわち、サービス制御用経路情報データベースに格納されている正常動作時のパターンと異なっていると判断された場合には、ステップS16において、違反経路パターン情報を編集し(違反経路パターンを正常な経路パターンに書き直し)、ステップS17において、ワームに感染しているとして、ワーム感染制御処理を起動する。ワーム感染制御処理では、ステップS18において、ワームに感染した自装置の通信ポートの遮断を実行し、ステップS19において、保守端末に異常を通知する。
図4は、本発明の第1の実施形態に従った処理最終判定処理の流れを説明する図である。
処理の流れが最後まで到達すると、識別子「5」のB2BUA発制御処理において、最終的な経路情報が生成される。これをステップS20において読み出し、ステップS21において、正常な場合の経路情報を格納するB2BUA着制御用処理最終確認用情報データベースを読み出す。ステップS22において、ステップS20とS21において読み出されたパターンを比較・分析し、ステップS23において、分析結果を判断する。分析結果が正常であった場合には、ステップS24において、正常終了する。分析結果がパターン違反であると判断された場合には、ステップS25において、違反経路パターン情報を編集し、ステップS26において、ワーム感染制御処理を起動する。ワーム感染制御処理では、ステップS27において、通信ポートの遮断を実行し、ステップS28において、保守端末に異常を通知する。
処理の流れが最後まで到達すると、識別子「5」のB2BUA発制御処理において、最終的な経路情報が生成される。これをステップS20において読み出し、ステップS21において、正常な場合の経路情報を格納するB2BUA着制御用処理最終確認用情報データベースを読み出す。ステップS22において、ステップS20とS21において読み出されたパターンを比較・分析し、ステップS23において、分析結果を判断する。分析結果が正常であった場合には、ステップS24において、正常終了する。分析結果がパターン違反であると判断された場合には、ステップS25において、違反経路パターン情報を編集し、ステップS26において、ワーム感染制御処理を起動する。ワーム感染制御処理では、ステップS27において、通信ポートの遮断を実行し、ステップS28において、保守端末に異常を通知する。
第2の実施形態においては、上記第1の実施形態において、被疑パターンを学習する「ワームパターンレコード機能」を有し、より短時間でワーム感染を検出するワーム感染装置の特定方法。
図5は、本発明の第2の実施形態に従った処理経過判定処理の流れを説明する図である。
図5においても、識別子「2」の呼制御処理において障害が発生しているとしている。第2の実施形態においても、各制御処理の前に本発明の第2の実施形態の検出処理が起動するが、識別子「3」のサービス制御処理に注目して説明をする。識別子「3」のサービス制御処理が起動される前に、本発明の第2の実施形態に従った検出処理が起動する。ステップS30において、処理の流れに伴って生成された経路情報を読み出し、ステップS31において、既知の異常パターンを格納しているサービス制御用経路異常情報データベースを読み出す。ステップS32において、経路パターンを分析し、ステップS30で読み込んだ経路情報が、ステップS31で読み込んだ経路異常パターンに一致するか否かを調べる。ステップS33において、分析結果を判定する。分析の結果、該当するパターンがあった場合には、ステップS39に進む。分析の結果、該当するパターンがなかった場合には、ステップS34において、正常時の経路パターンをサービス制御用経路情報データベースから読み出す。ステップS35において、経路パターンを分析し、ステップS36において、分析結果を判定する。判定の結果、正常であった場合には、ステップS37において、経路情報を更新し、ステップS38において、サービス制御処理を起動する。判定の結果、パターン違反が見つかった場合には、ステップS39において、違反経路パターン情報を編集し、ステップS40において、ワームに感染しているとして、ワーム感染制御処理を起動し、ステップS41において、異常経路パターンをサービス制御用経路異常情報データベースに格納する。ワーム感染制御処理においては、ステップS42において、ワームに感染した自装置の通信ポートの遮断を実行し、ステップS43において、保守端末に異常を通知する。
図5においても、識別子「2」の呼制御処理において障害が発生しているとしている。第2の実施形態においても、各制御処理の前に本発明の第2の実施形態の検出処理が起動するが、識別子「3」のサービス制御処理に注目して説明をする。識別子「3」のサービス制御処理が起動される前に、本発明の第2の実施形態に従った検出処理が起動する。ステップS30において、処理の流れに伴って生成された経路情報を読み出し、ステップS31において、既知の異常パターンを格納しているサービス制御用経路異常情報データベースを読み出す。ステップS32において、経路パターンを分析し、ステップS30で読み込んだ経路情報が、ステップS31で読み込んだ経路異常パターンに一致するか否かを調べる。ステップS33において、分析結果を判定する。分析の結果、該当するパターンがあった場合には、ステップS39に進む。分析の結果、該当するパターンがなかった場合には、ステップS34において、正常時の経路パターンをサービス制御用経路情報データベースから読み出す。ステップS35において、経路パターンを分析し、ステップS36において、分析結果を判定する。判定の結果、正常であった場合には、ステップS37において、経路情報を更新し、ステップS38において、サービス制御処理を起動する。判定の結果、パターン違反が見つかった場合には、ステップS39において、違反経路パターン情報を編集し、ステップS40において、ワームに感染しているとして、ワーム感染制御処理を起動し、ステップS41において、異常経路パターンをサービス制御用経路異常情報データベースに格納する。ワーム感染制御処理においては、ステップS42において、ワームに感染した自装置の通信ポートの遮断を実行し、ステップS43において、保守端末に異常を通知する。
以下の第3の実施形態においては、上記第1の実施形態において、処理の開始情報と処理ホップ数情報を用いる事で検出精度を上げ、加えて、ワーム感染を特定する。ホップは、各処理部にて更新処理を具備する事で、更新される。有効ホップ数の抽出は、経路情報を元に自動生成され、生成された最小値、最大値の範囲を有効性の判断を行う。
図6は、第2の実施形態における経路パターンの場合の経路情報の例を示す図である。
図6の処理の流れの場合、経路のパターンとして、6種類の流れがある。各制御処理には、識別子がもうけられており、識別子の連番で経路を表現する。各制御処理においては、対応する経路情報データベースが設けられている。識別子が「1」のB2BUA着制御処理においては、これが処理の流れの最初に当たるので、登録される識別子はないが、処理の流れの中で、いくつの制御処理を通過したかを示すHOP値が初期値に設定されている。HOP値は、各制御処理を処理の流れが通過するたびに、1から順に1ずつ加算されていくべきものである。同様に、識別子「10」の処理受付、識別子「20」の再開/障害受付に対応する経路情報データにも識別子は登録されていないが、HOP値が初期値に設定されている。一方、識別子「2」の呼制御処理に対応する経路情報データベースでは、経路内の前の制御処理の識別子が「1」であるため、識別子「1」が登録され、HOP値が「1」に設定される。以下同様にして、識別子「3」のサービス制御処理にいたるまでのすべての経路を示す識別子の連番及び、各経路のHOP値がサービス制御用経路情報データベースに、同様の情報が、識別子「4」の呼制御処理の場合は、呼制御用経路データベース、識別子「6」のコネクション制御処理の場合は、コネクション制御用経路情報データベース、識別子「5」のB2BUA発制御処理の場合は、B2BUA発制御用経路データベースに設定される。そして、処理の流れの最後の出口に対応して、B2BUA着制御用処理最終確認用情報データベース、コネクション制御用処理最終確認用情報データベースが設けられ、また、HOP値の範囲を設定する情報も格納される。
図6の処理の流れの場合、経路のパターンとして、6種類の流れがある。各制御処理には、識別子がもうけられており、識別子の連番で経路を表現する。各制御処理においては、対応する経路情報データベースが設けられている。識別子が「1」のB2BUA着制御処理においては、これが処理の流れの最初に当たるので、登録される識別子はないが、処理の流れの中で、いくつの制御処理を通過したかを示すHOP値が初期値に設定されている。HOP値は、各制御処理を処理の流れが通過するたびに、1から順に1ずつ加算されていくべきものである。同様に、識別子「10」の処理受付、識別子「20」の再開/障害受付に対応する経路情報データにも識別子は登録されていないが、HOP値が初期値に設定されている。一方、識別子「2」の呼制御処理に対応する経路情報データベースでは、経路内の前の制御処理の識別子が「1」であるため、識別子「1」が登録され、HOP値が「1」に設定される。以下同様にして、識別子「3」のサービス制御処理にいたるまでのすべての経路を示す識別子の連番及び、各経路のHOP値がサービス制御用経路情報データベースに、同様の情報が、識別子「4」の呼制御処理の場合は、呼制御用経路データベース、識別子「6」のコネクション制御処理の場合は、コネクション制御用経路情報データベース、識別子「5」のB2BUA発制御処理の場合は、B2BUA発制御用経路データベースに設定される。そして、処理の流れの最後の出口に対応して、B2BUA着制御用処理最終確認用情報データベース、コネクション制御用処理最終確認用情報データベースが設けられ、また、HOP値の範囲を設定する情報も格納される。
これらの経路情報データベースは、監視の対象となるプログラムが装置にインストールされた時点で、プログラムの設計者等の知識に基づき、予め設けられるべきものである。
図7は、本発明の第3の実施形態に従った処理経過判定処理の流れを説明する図である。
図7は、本発明の第3の実施形態に従った処理経過判定処理の流れを説明する図である。
図7においても、図3及び図5のように、識別子「2」の呼制御処理で障害が生じ、サービス制御処理の前に起動される検出処理で、障害が検出される場合を示している。
まず、ステップS50において、HOP情報を読み出す。そして、ステップS51において、HOP値が妥当か否か、すなわち、HOP値が規定の範囲内の数値となっているか否かを判断する。ステップS52において、HOP値の範囲が正常であると判断された場合には、ステップS53において、経路情報を読み出し、ステップS54において、サービス制御用経路情報データベースから経路情報パターンを読み出し、ステップS55において、経路パターンを分析する。ステップS56において、経路パターンが正常であると判定された場合には、ステップS57において、経路情報とHOP値を更新し、ステップS58において、サービス制御処理を起動する。ステップS56において、経路パターンが異常であると判断された場合には、ステップS59において、違反経路パターン情報を編集し、ステップS60において、ワームに感染しているとして、ワーム感染制御処理を起動する。ステップS52において、HOP値が規定の範囲内にないと判断された場合には、ステップS61において、違反経路パターン情報を編集し、ステップS62において、ワームに感染しているとして、ワーム感染制御処理を起動する。ワーム感染制御処理では、ステップS63において、ワームに感染している自装置の通信ポート遮断を実行し、ステップS64において、保守端末に異常を通知する。
まず、ステップS50において、HOP情報を読み出す。そして、ステップS51において、HOP値が妥当か否か、すなわち、HOP値が規定の範囲内の数値となっているか否かを判断する。ステップS52において、HOP値の範囲が正常であると判断された場合には、ステップS53において、経路情報を読み出し、ステップS54において、サービス制御用経路情報データベースから経路情報パターンを読み出し、ステップS55において、経路パターンを分析する。ステップS56において、経路パターンが正常であると判定された場合には、ステップS57において、経路情報とHOP値を更新し、ステップS58において、サービス制御処理を起動する。ステップS56において、経路パターンが異常であると判断された場合には、ステップS59において、違反経路パターン情報を編集し、ステップS60において、ワームに感染しているとして、ワーム感染制御処理を起動する。ステップS52において、HOP値が規定の範囲内にないと判断された場合には、ステップS61において、違反経路パターン情報を編集し、ステップS62において、ワームに感染しているとして、ワーム感染制御処理を起動する。ワーム感染制御処理では、ステップS63において、ワームに感染している自装置の通信ポート遮断を実行し、ステップS64において、保守端末に異常を通知する。
図8は、本発明の第3の実施形態に従った処理最終判定処理の流れを示す図である。
最終制御処理であるB2BUA発制御処理が終了した時点でのHOP情報を、ステップS70において読み出す。ステップS71において、HOP値が規定の範囲内にあるか否かを判断する。ステップS72において、HOP値が規定の範囲内にないと判断された場合には、ステップS78に進む。ステップS72で、HOP値が規定の範囲内にあると判断された場合には、ステップS73において、経路情報データベースから経路情報を読み出し、ステップS74において、B2BUA着制御用処理最終確認用情報データベースから、正常時の経路情報パターンを読み出し、ステップS75において、経路パターンを分析する。ステップS76において、分析の結果、経路情報が正常であると判断された場合には、ステップS77において、正常終了する。ステップS76において、経路情報が異常であると判断された場合には、ステップS78において、違反経路パターンを編集して、正常なものに書き換え、ステップS79において、ワーム感染制御処理を起動する。
最終制御処理であるB2BUA発制御処理が終了した時点でのHOP情報を、ステップS70において読み出す。ステップS71において、HOP値が規定の範囲内にあるか否かを判断する。ステップS72において、HOP値が規定の範囲内にないと判断された場合には、ステップS78に進む。ステップS72で、HOP値が規定の範囲内にあると判断された場合には、ステップS73において、経路情報データベースから経路情報を読み出し、ステップS74において、B2BUA着制御用処理最終確認用情報データベースから、正常時の経路情報パターンを読み出し、ステップS75において、経路パターンを分析する。ステップS76において、分析の結果、経路情報が正常であると判断された場合には、ステップS77において、正常終了する。ステップS76において、経路情報が異常であると判断された場合には、ステップS78において、違反経路パターンを編集して、正常なものに書き換え、ステップS79において、ワーム感染制御処理を起動する。
ワーム感染制御処理では、ステップS80において、自装置の通信ポートを遮断し、ステップS81において、保守端末に異常を通知する。
第4の実施形態では、第3の実施形態において、定期的に処理の正常性を監視する目的で擬似処理を走行させる、擬似処理生成部とその結果を判断する分析部を具備し、処理を破棄するワームに感染した場合の、ワーム感染を検出する。
第4の実施形態では、第3の実施形態において、定期的に処理の正常性を監視する目的で擬似処理を走行させる、擬似処理生成部とその結果を判断する分析部を具備し、処理を破棄するワームに感染した場合の、ワーム感染を検出する。
図9は、本発明の第4の実施形態に従った処理の流れを示す図である。
第4の実施形態では、ワームの検出を行う場合、実際の処理の流れを検査するのではなく、擬似的な処理を、ワームの感染を調べたいプログラムに実行させ、その結果を解析して、ワームの検出を行うものである。まず、擬似処理生成部16−2が擬似処理要求を最初の処理であるB2BUA着制御処理に発行する。まず、ステップS85において、擬似パターン設定をユーザが行う。擬似パターン設定は、ワームの感染を調べたいプログラムに実行させる処理内容を設定することである。次に、ステップS86において、擬似処理管理情報を更新する。擬似処理管理情報は、処理情報の設定、実施の有無、開始時間、擬似パターン、折り返しポイント情報などである。折り返しポイントとは、識別子「1」のB2BUA着制御から識別子「5」のB2BUA発制御までの処理をすべてやらずに、たとえば、識別子「3」のサービス制御処理で処理を中止して、それまでの処理結果を取得して、分析し、再び、その分析結果を基に、最初から処理を繰り返すための処理の中止場所のことである。擬似処理生成部16−2は、ステップS87で、B2BUA着制御処理を起動する。
第4の実施形態では、ワームの検出を行う場合、実際の処理の流れを検査するのではなく、擬似的な処理を、ワームの感染を調べたいプログラムに実行させ、その結果を解析して、ワームの検出を行うものである。まず、擬似処理生成部16−2が擬似処理要求を最初の処理であるB2BUA着制御処理に発行する。まず、ステップS85において、擬似パターン設定をユーザが行う。擬似パターン設定は、ワームの感染を調べたいプログラムに実行させる処理内容を設定することである。次に、ステップS86において、擬似処理管理情報を更新する。擬似処理管理情報は、処理情報の設定、実施の有無、開始時間、擬似パターン、折り返しポイント情報などである。折り返しポイントとは、識別子「1」のB2BUA着制御から識別子「5」のB2BUA発制御までの処理をすべてやらずに、たとえば、識別子「3」のサービス制御処理で処理を中止して、それまでの処理結果を取得して、分析し、再び、その分析結果を基に、最初から処理を繰り返すための処理の中止場所のことである。擬似処理生成部16−2は、ステップS87で、B2BUA着制御処理を起動する。
B2BUA着制御処理は、擬似処理生成部16−2から起動をかけられると、ステップS88において、処理要求種別を判定する。ステップS88で、擬似処理なしと判断された場合には、ステップS98において、呼制御処理を起動する。ステップS88で、擬似処理要求ありと判断された場合には、ステップS89において、折り返し情報を分析する。ステップS90において、自処理において、折り返し指定がなされているか否かを判断する。ステップS90で、自処理において折り返し指定がないと判断された場合には、ステップS98に進む。ステップS90において、折り返し指定がなされていると判断された場合には、ステップS91で、擬似処理分析部16−1を起動する。
擬似処理分析部16−1が、折り返し指定によって起動されると、ステップS95において、処理結果を分析し、ステップS96において、結果を判定し、異常がある場合には、ステップS97で、保守端末に異常を通知する。異常がない場合には、処理を終了する。
また、擬似処理分析部16−1は、折り返し指定がなくても、擬似処理パターンの実行を監視しており、どこかの処理において、指定時間以上処理が進まない場合には、ワームに感染したと判断する。ステップS92において、実施状況の監視、すなわち、各処理における監視タイマ(実行に係る時間にタイムアウトを設定するもの)を監視し、ステップS93において、監視タイマが満了したか否かを判断する。満了していない場合には、監視タイマの監視を続ける。満了した場合には、ステップS94において、保守端末に異常を通知する。
10 再開・障害受付部
11 保守処理受付部
12 処理受付処理部
13 処理実行部
14 ワーム感染制御部
15 制御シナリオ部
16−1 擬似処理分析部
16−2 擬似処理生成部
17、18 データベース
19 SIPメッセージ受信・分析処理部
20 SIPメッセージ組み立て・送信処理部
11 保守処理受付部
12 処理受付処理部
13 処理実行部
14 ワーム感染制御部
15 制御シナリオ部
16−1 擬似処理分析部
16−2 擬似処理生成部
17、18 データベース
19 SIPメッセージ受信・分析処理部
20 SIPメッセージ組み立て・送信処理部
Claims (9)
- プログラムを実行する装置にワームが感染したことを検出する検出装置において、
プログラムの実行に際して、正しく処理が行われる場合の処理の流れる経路を格納する経路格納手段と、
プログラムが実際に実行されている間に、実際に処理が流れた経路を記録する経路記録手段と、
該経路記録手段が記録した経路と、該経路格納手段の格納する経路が一致するか否かにしたがって、装置がワームに感染したか否かを判断するワーム感染判断手段と、
前記プログラムが実行されることによって行われる処理が、該処理を構成する処理単位をいくつ通過したかを示すHOP値を格納するHOP値格納手段とを備え、
前記ワーム感染判断手段は、該HOP値が所定の範囲内にない場合に、装置がワームに感染したと判断することを特徴とする検出装置。 - 装置がワームに感染したと判断された場合に、該装置の通信ポートを遮断する通信ポート遮断手段を更に備えることを特徴とする請求項1に記載の検出装置。
- 装置がワームに感染したと判断された場合に、該装置の保守端末に、該装置がワームに感染した旨を通知する通知手段を更に備えることを特徴とする請求項1に記載の検出装置。
- 装置がワームに感染した場合の処理の流れの経路を格納する異常経路格納手段を更に備え、
前記ワーム感染判断手段は、該異常経路格納手段に格納された経路と前記経路記録手段で記録された経路とが一致した場合に、装置が感染したと判断することを特徴とする請求項1に記載の検出装置。 - 前記プログラムに擬似的に処理要求を与える擬似処理要求手段を更に備え、
前記ワーム感染判断手段は、該擬似処理要求手段が該プログラムに与えた処理要求について、装置がワームに感染されているか否かを判断することを特徴とする請求項1に記載の検出装置。 - 前記プログラムが行う処理の処理単位ごとに、処理にかかる経過時間を計数するタイマを更に備え、
該タイマがタイムアウトした場合に、装置の保守端末に、該装置がワームに感染したことを通知することを特徴とする請求項5に記載の検出装置。 - 前記擬似的な処理要求は、前記プログラムが行う処理単位毎に、実行の中止を指定可能であり、実行中止前までの処理結果を取得して、分析することを特徴とする請求項5に記載の検出装置。
- プログラムを実行する装置にワームが感染したことを検出する検出方法において、
プログラムの実行に際して、正しく処理が行われる場合の処理の流れる経路を格納する経路格納手段を設け、
プログラムが実際に実行されている間に、実際に処理が流れた経路を記録し、
前記プログラムが実行されることによって行われる処理が、該処理を構成する処理単位をいくつ通過したかを示すHOP値を格納し、
該記録された経路と、該経路格納手段の格納する経路が一致するか否かにしたがって、該HOP値が所定の範囲内にない場合に、装置がワームに感染したと判断する、
ことを特徴とする検出方法。 - プログラムを実行する装置にワームが感染したことを検出する検出方法を実現させるプログラムにおいて、コンピュータに、
プログラムの実行に際して、正しく処理が行われる場合の処理の流れる経路を格納する経路格納手段を設けさせ、
プログラムが実際に実行されている間に、実際に処理が流れた経路を記録させ、
前記プログラムが実行されることによって行われる処理が、該処理を構成する処理単位をいくつ通過したかを示すHOP値を格納させ、
該記録された経路と、該経路格納手段の格納する経路が一致するか否かにしたがって、該HOP値が所定の範囲内にない場合に、装置がワームに感染したと判断させる、
ことを特徴とするプログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005287957A JP4754922B2 (ja) | 2005-09-30 | 2005-09-30 | ワーム感染装置の検出装置 |
| US11/300,661 US8015609B2 (en) | 2005-09-30 | 2005-12-12 | Worm infection detecting device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005287957A JP4754922B2 (ja) | 2005-09-30 | 2005-09-30 | ワーム感染装置の検出装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007102311A JP2007102311A (ja) | 2007-04-19 |
| JP4754922B2 true JP4754922B2 (ja) | 2011-08-24 |
Family
ID=37903416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005287957A Expired - Fee Related JP4754922B2 (ja) | 2005-09-30 | 2005-09-30 | ワーム感染装置の検出装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8015609B2 (ja) |
| JP (1) | JP4754922B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
| US8074281B2 (en) * | 2008-01-14 | 2011-12-06 | Microsoft Corporation | Malware detection with taint tracking |
| US20210168173A1 (en) * | 2019-12-03 | 2021-06-03 | Charter Communications Operating, Llc | Detection and remediation of malicious network traffic using tarpitting |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5313616A (en) * | 1990-09-18 | 1994-05-17 | 88Open Consortium, Ltd. | Method for analyzing calls of application program by inserting monitoring routines into the executable version and redirecting calls to the monitoring routines |
| JPH05342023A (ja) * | 1992-06-05 | 1993-12-24 | Fujitsu Commun Syst Ltd | リソース獲得時間を用いたシステム管理方法 |
| JPH09269930A (ja) * | 1996-04-03 | 1997-10-14 | Hitachi Ltd | ネットワークシステムの防疫方法及びその装置 |
| US5870607A (en) * | 1996-09-11 | 1999-02-09 | Brown University Research Foundation | Method and apparatus for selective replay of computer programs |
| US6275937B1 (en) * | 1997-11-06 | 2001-08-14 | International Business Machines Corporation | Collaborative server processing of content and meta-information with application to virus checking in a server network |
| US7069583B2 (en) * | 2000-07-14 | 2006-06-27 | Computer Associates Think, Inc. | Detection of polymorphic virus code using dataflow analysis |
| US7146305B2 (en) * | 2000-10-24 | 2006-12-05 | Vcis, Inc. | Analytical virtual machine |
| JP3692290B2 (ja) | 2000-11-24 | 2005-09-07 | 株式会社エヌ・ティ・ティ・ドコモ | データ取得方法および端末 |
| US6983380B2 (en) * | 2001-02-06 | 2006-01-03 | Networks Associates Technology, Inc. | Automatically generating valid behavior specifications for intrusion detection |
| US20030115479A1 (en) * | 2001-12-14 | 2003-06-19 | Jonathan Edwards | Method and system for detecting computer malwares by scan of process memory after process initialization |
| JP4088082B2 (ja) | 2002-02-15 | 2008-05-21 | 株式会社東芝 | 未知コンピュータウイルスの感染を防止する装置およびプログラム |
| US7934103B2 (en) * | 2002-04-17 | 2011-04-26 | Computer Associates Think, Inc. | Detecting and countering malicious code in enterprise networks |
| US7409717B1 (en) * | 2002-05-23 | 2008-08-05 | Symantec Corporation | Metamorphic computer virus detection |
| US7107585B2 (en) * | 2002-07-29 | 2006-09-12 | Arm Limited | Compilation of application code in a data processing apparatus |
| GB2391965B (en) * | 2002-08-14 | 2005-11-30 | Messagelabs Ltd | Method of, and system for, heuristically detecting viruses in executable code |
| JPWO2004075060A1 (ja) * | 2003-02-21 | 2006-06-01 | 田部井 光 | コンピュータウィルス判断方法 |
| WO2004077294A1 (ja) * | 2003-02-26 | 2004-09-10 | Secure Ware Inc. | 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
| US7281270B2 (en) * | 2003-04-01 | 2007-10-09 | Lockheed Martin Corporation | Attack impact prediction system |
| US20050108562A1 (en) * | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
| US20050204346A1 (en) * | 2004-03-09 | 2005-09-15 | Intel Corporation | Using sampling data for program phase detection |
| JP2006053788A (ja) * | 2004-08-12 | 2006-02-23 | Ntt Docomo Inc | ソフトウェア動作監視装置及びソフトウェア動作監視方法 |
-
2005
- 2005-09-30 JP JP2005287957A patent/JP4754922B2/ja not_active Expired - Fee Related
- 2005-12-12 US US11/300,661 patent/US8015609B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US8015609B2 (en) | 2011-09-06 |
| JP2007102311A (ja) | 2007-04-19 |
| US20070079378A1 (en) | 2007-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5745619B2 (ja) | 情報システムインフラストラクチャのセキュリティポリシーを適合させるための方法 | |
| JP2013525927A5 (ja) | ||
| KR101218253B1 (ko) | 보안 및 불법호 검출 시스템 및 방법 | |
| JP2009516266A (ja) | ネットワーク発見情報を用いた侵入イベント相関方法およびシステム | |
| JP2003533941A (ja) | インテリジェントフィードバックループプロセス制御システム | |
| JP5311630B2 (ja) | VoIP用の分散型状態表示侵入検知 | |
| CN105049441B (zh) | 防止链路型DDoS攻击的实现方法和*** | |
| JP5536320B2 (ja) | シグニチャ・フリーの侵入の検知 | |
| JP3928866B2 (ja) | DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体 | |
| CN105765942A (zh) | 经由边界网关进行信息安全性威胁中断的***和方法 | |
| JP4754922B2 (ja) | ワーム感染装置の検出装置 | |
| US7558216B2 (en) | Network connection control | |
| JP2009283990A (ja) | 呼制御装置および呼制御方法 | |
| EP2141885A1 (en) | Embedded firewall at a telecommunications endpoint | |
| JPWO2006035928A1 (ja) | Ip電話端末装置、呼制御サーバ、ワクチンサーバ、保守用装置、ip電話システム、これらの制御方法及びプログラム | |
| JP4878630B2 (ja) | 通信サーバおよびDoS攻撃防御方法 | |
| US7881189B1 (en) | Method for providing predictive maintenance using VoIP post dial delay information | |
| JP4002276B2 (ja) | 不正接続検知システム | |
| CN113596057B (zh) | 一种语音通话***、方法、装置、电子设备及存储介质 | |
| KR100469244B1 (ko) | Voip 게이트웨이 및 이를 위한 장애 처리 방법 | |
| KR102571147B1 (ko) | 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램 | |
| JP2005332152A (ja) | 不正アクセス検知及び拒否を行うシステム、サーバ、及び方法、並びにプログラム | |
| JP2006320024A (ja) | 不正接続検知システム | |
| Phit et al. | Protocol Specification-based Intrusion Detection System for VoIP | |
| JP4977646B2 (ja) | サーバ装置および通信制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080704 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110302 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110308 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110502 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110524 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110526 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140603 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |