JP2005242876A - ウイルス対策システム、プログラム、コンピュータ、及びそれを用いるウイルス対策方法 - Google Patents
ウイルス対策システム、プログラム、コンピュータ、及びそれを用いるウイルス対策方法 Download PDFInfo
- Publication number
- JP2005242876A JP2005242876A JP2004054411A JP2004054411A JP2005242876A JP 2005242876 A JP2005242876 A JP 2005242876A JP 2004054411 A JP2004054411 A JP 2004054411A JP 2004054411 A JP2004054411 A JP 2004054411A JP 2005242876 A JP2005242876 A JP 2005242876A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- virus
- countermeasure
- antivirus
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】
対策コンピュータから被対策コンピュータを遠隔操作して該被対策コンピュータにウイルス対策を施している最中に、該被対策コンピュータが、セキュリティホールを感染経路とするウイルスに感染することを防止したい。
【解決手段】
第2手段002は、被対策コンピュータH100への入力データD001を第1手段001に与えて検査させ、検査結果D006がウイルス感染経路となり得る通信を構成するときは入力データD001を破棄し、そうでないときは被対策コンピュータH100による処理に付する。
【選択図】図3
対策コンピュータから被対策コンピュータを遠隔操作して該被対策コンピュータにウイルス対策を施している最中に、該被対策コンピュータが、セキュリティホールを感染経路とするウイルスに感染することを防止したい。
【解決手段】
第2手段002は、被対策コンピュータH100への入力データD001を第1手段001に与えて検査させ、検査結果D006がウイルス感染経路となり得る通信を構成するときは入力データD001を破棄し、そうでないときは被対策コンピュータH100による処理に付する。
【選択図】図3
Description
本発明は、被対策コンピュータを遠隔操作して、コンピュータウイルス(以下「ウイルス」とする)の検査、予防及び修復をするためのコンピュータシステムに関するものである。
インターネットが整備されたことに伴って、ウイルスは、急速に深刻な被害をもたらすようになった。そして、エンドユーザの管理能力を補ったり、システムを効率よく管理したりするために、遠隔操作を用いたウイルス対策システムが求められている。
そこで、従来より、サーバマシンから多数のクライアントマシンに対してウイルス検査のためのコマンドを送り、その結果を一括管理することによって、ネットワークのウイルス対策を効率よく行うシステムが提案されている(例えば、特許文献1参照)。
また、遠隔操作による対策とは別に、ネットワーク境界でデータの透過を制限する手段としてファイアウォールが知られており(例えば、非特許文献1参照)、これも、ある種のウイルスの感染を予防するために用いることができた。
特開平9−260262号公報
Gene+伊藤将人『基本ネットワーク技術』236頁(翔泳社、2004)
しかしながら、ネットワークプログラムのセキュリティ上の脆弱性を用いて感染するようなウイルスの場合においては、該脆弱性を有するコンピュータは、ネットワークに接続しただけで感染の危険に曝される。そのため、従来の遠隔操作では、予防のための操作を行っている最中に、被対策コンピュータが感染して予防に失敗したり、検査から修復までの間にウイルスがバージョンアップして修復に失敗したりする恐れがあった。
もっとも、この種のウイルスはファイアウォールを適切に構築すれば予防し得る。しかし、適切に構築するのはまさに困難であり、感染経路を遮断する一方で、遠隔操作のための通信を透過させるには高い技術を要した。この問題は、遠隔操作によって、エンドユーザの管理能力を補ったり管理を効率化させたりすることを、大きく妨げていた。
そこで、本発明は、ユーザがその都度難しい設定をしなくても、遠隔操作中に被対策コンピュータが感染することを自動的に回避できる、遠隔操作を用いたウイルス対策システムを提供することを解決課題とする。
本発明のウイルス対策システムは、対策コンピュータと被対策コンピュータが接続されたネットワーク(もちろん、他のコンピュータが接続されていてもよい)において、該対策コンピュータから該被対策コンピュータを遠隔操作して、該被対策コンピュータにウイルス対策を施すためのシステムであって、
ウイルスの感染経路となり得る通信を認識する第1手段を備え、被対策コンピュータの通信のうちウイルスの感染経路となり得る通信を妨げる第2手段を備えていることを特徴とする。
ウイルスの感染経路となり得る通信を認識する第1手段を備え、被対策コンピュータの通信のうちウイルスの感染経路となり得る通信を妨げる第2手段を備えていることを特徴とする。
これによって、ウイルスは該被対策コンピュータの脆弱性を用いて感染することができなくなるため、ユーザが難しい設定を行わなくても、遠隔操作中にウイルスに感染してしまう事態が自動的に回避され得る。
また、被対策コンピュータにウイルスを伝染させ得るコンピュータの機能を、停止させる手段を備えていることを特徴とする、ウイルス対策システムによっても、同様に課題を解決し得る。
本発明によれば、被対策コンピュータのユーザに高い管理能力を要することなく、ウイルス対策が可能となる。
また、遠隔地からのウイルス対策が可能となるため、管理の効率化が図れる。ことに大規模なネットワークでは顕著である。
以下、本発明に係る実施形態を添付図面に従って説明する。
まず、本発明の一実施形態としてのウイルス対策システムの外観を、図1と図2に従って説明する。
図1は、本実施形態におけるネットワーク構成図である。本実施形態のネットワークH1000は、被対策コンピュータH100、対策コンピュータH200、コンピュータH001〜H003等を、相互に接続したものである。
図2に、本実施形態のウイルス対策システムを用いて、被対策コンピュータへウイルス対策を施す方法を例示する。ユーザP200は、対策コンピュータH200を通して被対策コンピュータH100を遠隔操作する。そして、H100を構成する情報記憶媒体H101内のファイルをリストアップし(ReadDir)、ファイルの内容を読み取り(Read)、ファイルがウイルスであるときは該ファイルを削除する(Delete)。また、必要なときは脆弱性を除去ためのパッチをインストールする。なお、一連の遠隔操作は、ユーザP200が手動で行ってもよいし、スケジューリングに従って対策コンピュータH200に自動的に行わせる等してもよい。
つぎに、図3のデータフローダイアグラムに従って、本発明の一実施形態としてのウイルス対策システムにおける各手段の連携を説明する。
本実施形態において、他のコンピュータHE01は、被対策コンピュータH100へ入力データD001を送る。第2手段002は、入力データD001を、第1手段001へ検査対象D005として与え、検査結果D006を受け取る。そして、検査結果D006をもとに、入力データD001のうちからウイルスの感染経路となり得るものを破棄し、それ以外のデータは検査済み入力データD002として、H100のアプリケーションの処理003に与える。
本発明の課題を解決するためには、入力データのみを制限すれば十分である。しかし、本実施形態では、より確実を期するために、H100のアプリケーションの処理003の出力データD003についても同様に検査する。そして、ウイルスの感染経路となり得るものを破棄し、それ以外を検査済み出力データD004として他のコンピュータHE01に送る。
続いて、図4と図5のフローチャートに従って、本発明の一実施形態としてのウイルス対策システムにおける各手段の処理の流れを説明する。
図4に、本実施形態における第2手段の処理を示す。まず、入力データD001または出力データD003を、検査対象D005に代入し、第1手段の処理に渡す(S00201〜S00202)。そして、検査結果D006を受け取り、第1手段によって検査対象D005がウイルスの感染経路になり得ないと判断されたときは、検査対象D005をH100のアプリケーションの処理003または他のコンピュータHE01に送る(S00203〜S00206)。
図5に、本実施形態における第1手段の処理を示す。まず、検査対象D005を受け取り、D005が、本システムの被遠隔操作プログラムの入力であるか否かを判断する(S00101〜S00102)。具体的な判断方法としては、TCP/IPの場合、パケットのヘッダを参照し、送り先ポート番号が被遠隔操作プログラムのものと同一であるときは真、そうでないときは偽とすればよい。その他の判断方法として、データの内容を参照し、正当な署名がある時は真、ない時は偽とする等の方法をとってもよい。
判断の結果が真の場合、検査結果D006に感染経路になり得ないとの値を代入し、戻り値として返す(S00103)。偽の場合、検査結果D006に、感染経路になり得るとの値を代入し、戻り値とする(S00104)。
最後に、図6の配置図にしたがって、本実施形態における主要なプログラムの配置例を説明する。対策コンピュータH200には、遠隔操作プログラム004を配置する。遠隔操作プログラム004は、被対策コンピュータH100に指令を送るためのプログラムである。被対策コンピュータH100には、コンピュータを第1手段及び第2手段として機能させるためのプログラム、および被遠隔操作プログラムを配置する。被遠隔操作プログラム005は、被対策コンピュータH100に、遠隔操作プログラム004の指令にしたがった処理をさせるためのプログラムである。
本実施形態の効果は、次のとおりである。被対策コンピュータが自律的に防御を行うため、防御のための機器を必ずしも追加しなくてもよい。したがって、ネットワークを複雑化させず、しかも安価に、ウイルス対策システムを構築し得る。
また、自律的防御ができることから、遠隔操作指令をブロードキャストしてウイルス対策を一括に行う等も可能となる。この特長は、管理効率を飛躍的に向上させる可能性に富んでいる。
発明を実施するための最良の形態では、被対策コンピュータの自律的防御によって、遠隔操作中のウイルス感染を回避するシステムを提案した。しかしながら、セキュリティ上の脆弱性が、第2手段の処理よりも下層に存在する場合、防御が不十分になる可能性がないではない。たとえば、第2手段の処理をネットワーク層で行う場合、データリンク層の処理の問題までは回避できないかもしれない。
そこで、本実施例では、この点を解決して、より確実な防御が可能なウイルス対策システムを提案する。方針としては、図7のように、被対策コンピュータH100と他のコンピュータH001〜H003等との間に対策コンピュータH200を置き、遠隔操作に必要なデータのみを被対策コンピュータH200へ中継するものである。
本実施例のウイルス対策システムは、第1手段及び第2手段に加えて、ウイルスの種類に応じて、被対策コンピュータH100に行わせるべき処理と、当該処理のために必要な通信の特徴とを定義する、第3手段を備えていることを特徴とする。該通信の特徴は、適正な署名の有無によって記述してもよいし、TCP/IPの場合はパケットの宛先アドレスとポートなどによって記述してもよい。本実施例では、プロトコルとアクセスするリソースのURIの組み合わせによって記述する。
まず、図8のデータフローダイアグラムに従って、本実施例における各手段の連携を説明する。
第1手段001、第2手段002、他のコンピュータHE01、及び、H100のアプリケーションの処理003の関係は、発明を実施するための最良の形態におけるものと同様とする。
第3手段の処理006は、対策手順ストアR001から、ウイルスの種類に応じた対策手順データD010を読み込む。そして、第1手段001に、必要な通信の特徴D007を与える。遠隔操作プログラム004には、ウイルス対策プログラムD008を与える。
遠隔操作プログラム004は、ウイルス対策プログラムD008の記述に従って、H100のアプリケーションの処理003に指令D009を与える。こうして、被対策コンピュータH100を遠隔操作して、ウイルスの検査、予防および修復を行う。
つぎに、図9と図10のフローチャートに従って、主要な各手段の処理のうち、発明を実施するための最良の形態と本実施例とで異なるものについて説明する。
図9に、第1手段の処理を示す。まず、検査対象D005受け取る(S00101)。そして、第3手段の処理006から通信の特徴D007受け取り、検査対象D005が、通信の特徴D007備えているか判断する(S00102.1〜S00102.2)。本実施例では、次のように通信の特徴D007を定義する。すなわち、検査対象D005がHTTPリクエストまたはHTTPレスポンスを構成するものであり、かつ、一定のURIにアクセスするときは、遠隔操作に必要な通信とみなす。
図10に、第3手段の処理を示す。まず、本実施例のウイルス対策システムで対策をしようとするウイルスの種類を取得し、その種類に応じた対策手順データD010を、対策手順ストアR001から読み込む(S00301〜S00302)。そして、第1手段001には通信の特徴D007を与え、遠隔操作プログラム004にはウイルス対策プログラムD008を与える(S00303〜S00304)。ウイルス対策プログラムD008は、遠隔操作プログラム004によって解釈され、これに従って被対策コンピュータH100は遠隔操作される。
最後に、図11の配置図にしたがって、本実施例における主要なプログラムの配置例を説明する。対策コンピュータH200には、遠隔操作プログラム004、コンピュータを第1手段001、第2手段002及び第3手段006として機能させるためのプログラムを配置する。被対策コンピュータH100には、被遠隔操作プログラム005を配置する。
本実施形態の効果は、次のとおりである。本実施例によれば、脆弱性がOSI基本参照モデルのどの階層で生じているかにかかわらず、すべてのウイルス感染から被対策コンピュータを保護し得る。また、感染を防御する手段を、対策コンピュータのユーザの管理下に置くこともできる。そのため、被対策コンピュータのユーザの管理能力を補うという目的を達しやすい。
さらに、本実施例によれば、遠隔操作による検査、予防、修復と遠隔操作中の防御を容易に自動化できる。したがって、管理効率を大きく向上させる可能性がある。
実施例1のウイルス対策システムは、図12のように、対策コンピュータH200と被対策コンピュータH100が異なるネットワークに属し、被対策コンピュータH100側のローカルエリアネットワークに複数のコンピュータが接続されているような環境では、防御力を発揮することが難しいこともあり得る。本実施例のウイルス対策システムは、この点を解決し得る。方針としては、被対策コンピュータH100への感染源となり得るコンピュータの機能を停止させるものである。
図13のネットワーク構成を一例として、本実施例のウイルス対策システムの構成を説明する。
ネットワークH2000は、被対策コンピュータH100、コンピュータH001、H002及びルータH010を接続するものである。このうち、被対策コンピュータH100とコンピュータH001は、ウイルスに感染している可能性がある。他のコンピュータはその可能性がない。
ネットワークH3000は、ルータH010と実施例1に示した対策コンピュータH200を接続したものである。
ネットワークH4000では、対策コンピュータH200とコンピュータH003、その他いくつかのコンピュータが接続されている。このうち、コンピュータH003は、ウイルスに感染している可能性がある。
本発明の解決課題を本実施例に当てはめると、コンピュータH002やコンピュータH003のウイルスが、遠隔操作中に被対策コンピュータH100へ感染することを、自動的に回避しなければならない。そのために、本実施例のシステムは、被対策コンピュータへウイルスを伝染させ得るコンピュータの機能を停止させる手段を備える。
その具体的方法として、本実施例では、対策コンピュータH200からコンピュータH001を遠隔操作し、一定時間、電源を停止させる。なお、ウイルスが他のコンピュータと通信できなくなる程度に機能を停止させれば十分なので、通信制御装置の機能のみを停止させてもよいし、ウイルスに感染するおそれのないBIOSなどの処理を続けさせたまま、他の機能を停止させる等してもよい。
なお、ウイルスを伝染させ得るコンピュータを認識する方法としては、事前に各コンピュータのシステム情報を記録する等してもよいし、すべてのコンピュータを被対策コンピュータとしてウイルス検査をし、未検査のコンピュータは、他のコンピュータにウイルスを伝染させ得るものとみなす等でもよい。
こうして、コンピュータH001に感染しているウイルスが、他のコンピュータと通信できなくなっている間に、対策コンピュータH200から被対策コンピュータH100へ指令を送り、被対策コンピュータH100にウイルス対策を施す。
本実施形態の効果は次のとおりである。本実施例によれば、対策コンピュータと被対策コンピュータを接続するネットワークは、より自由に構成できる。そのため、対策コンピュータと被対策コンピュータが異なる人に管理されていても、遠隔操作を用いたウイルス対策の利便を享受しやすい。
そのような状況は、インターネットサービスプロバイダーが対策コンピュータを設置し、顧客に対してサービスを提供するような場合には、大変多く生じると思われる。したがって、本実施例が提案する方法は、遠隔操作を用いた効率的なウイルス対策を広く利用できるようにし、ひいては産業基盤の整備に大きく貢献するであろう。
H100 被対策コンピュータ
H101 被対策コンピュータH100の情報記憶媒体
H200 対策コンピュータ
HE01 他のコンピュータ
H001〜H003 コンピュータ
H010 ルータ
H1000、H2000、H3000、H4000 ネットワーク
P200 ユーザ
001、002 第1手段、第2手段の処理
003 被対策コンピュータH100のアプリケーションの処理
004 遠隔操作プログラム
005 被遠隔操作プログラム
006 第3手段の処理
D001 入力データ
D002 検査済み入力データ
D003 出力データ
D004 検査済み出力データ
D005 検査対象
D006 検査結果
D007 通信の特徴
D008 ウイルス対策プログラム
D009 被対策コンピュータを遠隔操作するための指令
D010 対策手順データ
R001 対策手順ストア
S00101〜S00103、S00201〜S00206、S00301〜S00304 第1手段、第2手段、第3手段の処理の各ステップ
H101 被対策コンピュータH100の情報記憶媒体
H200 対策コンピュータ
HE01 他のコンピュータ
H001〜H003 コンピュータ
H010 ルータ
H1000、H2000、H3000、H4000 ネットワーク
P200 ユーザ
001、002 第1手段、第2手段の処理
003 被対策コンピュータH100のアプリケーションの処理
004 遠隔操作プログラム
005 被遠隔操作プログラム
006 第3手段の処理
D001 入力データ
D002 検査済み入力データ
D003 出力データ
D004 検査済み出力データ
D005 検査対象
D006 検査結果
D007 通信の特徴
D008 ウイルス対策プログラム
D009 被対策コンピュータを遠隔操作するための指令
D010 対策手順データ
R001 対策手順ストア
S00101〜S00103、S00201〜S00206、S00301〜S00304 第1手段、第2手段、第3手段の処理の各ステップ
Claims (5)
- 対策コンピュータと被対策コンピュータが接続されたネットワークにおいて、該対策コンピュータから該被対策コンピュータを遠隔操作して、該被対策コンピュータにウイルス対策を施すためのシステムであって、
ウイルスの感染経路となり得る通信を認識する第1手段を備え、該被対策コンピュータの通信のうちウイルスの感染経路となり得る通信を妨げる第2手段を備えていることを特徴とするウイルス対策システム。 - 前記第1手段は、対策コンピュータが被対策コンピュータを遠隔操作するための通信以外を、ウイルスの感染経路となり得る通信として認識することを特徴とする、請求項1に記載のウイルス対策システム。
- ウイルスの種類に応じて、ウイルス対策のために被対策コンピュータが行うべき処理と、該処理のために必要な通信の特徴を、定義する第3手段を備え、前記対策コンピュータは、第3手段の定義するところにしたがって被対策コンピュータにウイルス対策のための処理を行わせ、前記第1手段は、第3手段によって定義された特徴を備えていない通信はウイルスの感染経路となり得る通信として認識することを特徴とする、請求項1に記載のウイルス対策システム。
- 対策コンピュータと被対策コンピュータが接続されたネットワークにおいて、該対策コンピュータから該被対策コンピュータを遠隔操作して、該被対策コンピュータにウイルス対策を施すためのシステムであって、
該被対策コンピュータにウイルスを伝染させ得るコンピュータの機能を停止させる手段を備えていることを特徴とするウイルス対策システム。 - 請求項1から請求項4のいずれかに記載のウイルス対策システムを用いるウイルス対策方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004054411A JP2005242876A (ja) | 2004-02-27 | 2004-02-27 | ウイルス対策システム、プログラム、コンピュータ、及びそれを用いるウイルス対策方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004054411A JP2005242876A (ja) | 2004-02-27 | 2004-02-27 | ウイルス対策システム、プログラム、コンピュータ、及びそれを用いるウイルス対策方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005242876A true JP2005242876A (ja) | 2005-09-08 |
Family
ID=35024527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004054411A Pending JP2005242876A (ja) | 2004-02-27 | 2004-02-27 | ウイルス対策システム、プログラム、コンピュータ、及びそれを用いるウイルス対策方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005242876A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
-
2004
- 2004-02-27 JP JP2004054411A patent/JP2005242876A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230388349A1 (en) | Policy enforcement using host information profile | |
| US10693899B2 (en) | Traffic enforcement in containerized environments | |
| US8302198B2 (en) | System and method for enabling remote registry service security audits | |
| US9954873B2 (en) | Mobile device-based intrusion prevention system | |
| EP2715540B1 (en) | Malware analysis system | |
| CN101558384B (zh) | 软件漏洞利用防护 | |
| US20230362205A1 (en) | Cyber-Security in Heterogeneous Networks | |
| JP2017538376A (ja) | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 | |
| CN113228585A (zh) | 具有基于反馈回路的增强流量分析的网络安全系统 | |
| EP3111330A1 (en) | System and method for verifying and detecting malware | |
| US11588852B2 (en) | Vulnerability validation using attack payloads | |
| CN109688153B (zh) | 使用主机应用/程序到用户代理的映射的零日威胁检测 | |
| JP6086423B2 (ja) | 複数センサの観測情報の突合による不正通信検知方法 | |
| CN104202206A (zh) | 报文处理装置及方法 | |
| US20080320581A1 (en) | Systems, methods, and media for firewall control via process interrogation | |
| JP6092759B2 (ja) | 通信制御装置、通信制御方法、および通信制御プログラム | |
| US9332023B1 (en) | Uploading signatures to gateway level unified threat management devices after endpoint level behavior based detection of zero day threats | |
| US9705898B2 (en) | Applying group policies | |
| JP2005242876A (ja) | ウイルス対策システム、プログラム、コンピュータ、及びそれを用いるウイルス対策方法 | |
| JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| GB2606137A (en) | Controlling command execution in a computer network | |
| Sørensen et al. | Automatic profile-based firewall for iot devices | |
| TWI761122B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
| KR102082889B1 (ko) | 프로토콜 분석 장치 및 방법 | |
| JP2006094377A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |