米国特許情報 | 欧州特許情報 | 国際公開(PCT)情報 | Google の米国特許検索
 
     特許分類
A 農業
B 衣類
C 家具
D 医学
E スポ−ツ;娯楽
F 加工処理操作
G 机上付属具
H 装飾
I 車両
J 包装;運搬
L 化学;冶金
M 繊維;紙;印刷
N 固定構造物
O 機械工学
P 武器
Q 照明
R 測定; 光学
S 写真;映画
T 計算機;電気通信
U 核技術
V 電気素子
W 発電
X 楽器;音響


  ホーム -> 計算機;電気通信 -> 松下電器産業株式会社

発明の名称 シグネチャ配布装置およびシグネチャ配布システム
発行国 日本国特許庁(JP)
公報種別 公開特許公報(A)
公開番号 特開2007−11628(P2007−11628A)
公開日 平成19年1月18日(2007.1.18)
出願番号 特願2005−190720(P2005−190720)
出願日 平成17年6月29日(2005.6.29)
代理人 【識別番号】100081813
【弁理士】
【氏名又は名称】早瀬 憲一
発明者 堀部 千壽
要約 課題
現在のシグネチャ型の不正アクセス検知やウィルス検知では、検知を行う機器が必要な全てのシグネチャをもつ必要があり、ネット家電などCPUおよびメモリリソースの少ない機器では実施が困難であるという課題を解決する。

解決手段
コンピュータウィルスもしくは不正アクセスに対するシグネチャを配布するシグネチャ配布装置4000において、通信を行うための通信制御部4001と、コンピュータウィルスもしくは不正アクセスを検知したことを示す検知結果メッセージA000に含まれる検知元アドレスA001に基づいて、シグネチャの配布先を決定する配布端末決定部4002とを備えた。
特許請求の範囲
【請求項1】
コンピュータウィルスもしくは不正アクセスを検知する情報解析装置から、該情報解析装置のアドレスである検知元アドレス、及び該情報解析装置が検知したコンピュータウィルスもしくは不正アクセスに関する情報を含む検知結果をネットワークを介して受け取り、前記コンピュータウィルスを検知・駆除もしくは不正アクセスを検知・防御するためのシグネチャをネットワークを介して配布するシグネチャ配布装置であって、
ネットワーク上の端末と通信を行うための通信制御部と、
前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置から検知結果を受け取り、該検知結果に含まれる検知元アドレスを元に、シグネチャの配布先である単数または複数のエンド機器を決定する配布端末決定部と、を備え、
前記通信制御部は、前記配布端末決定部によりシグネチャの配布先として決定した前記単数または複数のエンド機器に対し、シグネチャを配信する、
ことを特徴とするシグネチャ配布装置。
【請求項2】
請求項1に記載のシグネチャ配布装置において、
前記情報解析装置を含むネットワークに近隣するネットワークの情報を記憶する近隣ネットワーク情報記憶部をさらに備え、
前記配布端末決定部は、前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置を含むネットワークに近隣するネットワークを、前記近隣ネットワーク情報記憶部から検索し、該検索した近隣ネットワークに含まれる単数または複数のエンド機器を、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。
【請求項3】
請求項2に記載のシグネチャ配布装置において、
前記検知したコンピュータウィルスの感染力もしくは前記検知した不正アクセスの影響度に応じて、前記シグネチャの配布すべきネットワーク上での範囲を判定する影響範囲判定部をさらに備え、
前記配布端末決定部は、前記影響範囲判定部により判定したネットワーク上の範囲内の前記エンド機器を、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。
【請求項4】
請求項2に記載のシグネチャ配布装置において、
ネットワーク上の各エンド機器の固有の機器構成を示す機器固有情報を記憶するエンド機器情報記憶部をさらに備え、
前記検知結果は、前記検知したコンピュータウィルスの感染もしくは不正アクセスの影響を受ける機器構成を示す前記エンド機器の影響機器情報をも含むものであり、
前記配布端末決定部は、前記コンピュータウィルスもしくは不正アクセスを検知した前記情報解析装置にネットワーク上で近い前記エンド機器のうちの、前記検知結果中の影響機器情報が示す機器構成を有するエンド機器を前記エンド機器情報記憶部から検索し、該検索した単数または複数のエンド機器を、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。
【請求項5】
請求項1に記載のシグネチャ配布装置において、
特定のサービスに加入しているエンド機器を示す機器指示情報を記録するサービス登録端末記憶部をさらに備え、
前記配布端末決定部は、前記サービス登録端末記憶部に記憶されている機器指定情報が示すエンド機器の中から、シグネチャを配布すべき単数または複数のエンド機器を決定する、
ことを特徴とするシグネチャ配布装置。
【請求項6】
請求項1に記載のシグネチャ配布装置において、
指定されたアドレスを持つエンド機器で稼動しているサービスを検知する機器スキャン部をさらに備え、
前記検知結果は、前記検知したコンピュータウィルスもしくは不正アクセスの影響を受けるサービスを示す影響サービス情報をも含むものであり、
前記配布端末決定部は、前記機器スキャン部により検知した各エンド機器が行っているサービスのうちで、前記検知結果中の影響サービス情報が示すサービスと一致するサービスを行っている単数または複数のエンド機器を、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。
【請求項7】
請求項4に記載のシグネチャ配布装置において、
前記エンド機器情報記憶部は、前記エンド機器の物理的な位置情報を記憶するエンド機器物理位置情報記憶部を有し、
前記検知結果は、前記情報解析装置の物理的位置情報をも含むものであり、
前記配布端末決定部は、前記検知結果中に含まれる前記情報解析装置の物理的位置情報に基づいて、該情報解析装置に物理的に近い位置にある単数または複数のエンド機器を、前記エンド機器物理位置情報記憶部から検索し、該検索した単数または複数のエンド機器を、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。
【請求項8】
請求項1に記載のシグネチャ配布装置において、
前記検知結果は、前記コンピュータウィルスに感染している端末、あるいは前記不正アクセスの攻撃を受けている端末を特定するための感染・侵入端末情報をも含むものであり、
前記配布端末決定部は、前記検知結果に含まれる前記感染・侵入端末情報に基づいて、コンピュータウィルスに感染している、もしくは不正アクセスの攻撃を受けている単数または複数のエンド機器、及びその近隣のエンド機器を特定し、シグネチャの配布先として決定する、
ことを特徴とするシグネチャ配布装置。
【請求項9】
請求項2に記載のシグネチャ配布装置において、
前記エンド機器のリソース情報を記憶するエンド機器リソース情報記憶部を備え、
前記配布端末決定部は、前記エンド機器リソース情報記憶部に記憶されているリソース情報に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、リソースの少ないエンド機器に対しては簡易シグネチャを、リソースが十分なエンド機器に対しては詳細シグネチャを配布することを決定する、
ことを特徴とするシグネチャ配布装置。
【請求項10】
請求項2に記載のシグネチャ配布装置において、
前記エンド機器に対し該機器のリソースを測定するパケットを1回以上送信し、その応答結果及び応答時間によりエンド機器までのネットワークの状況を含んだエンド機器のリソースを測定する機器リソース測定部をさらに備え、
前記配布端末決定部は、前記機器リソース測定部による測定の結果に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、リソースが少ないエンド機器に対しては簡易シグネチャを、リソースが十分であるエンド機器に対しては詳細シグネチャを配布することを決定する、
ことを特徴とするシグネチャ配布装置。
【請求項11】
請求項2に記載のシグネチャ配布装置において、
前記エンド機器の通信の頻度および通信データ量を測定するエンド機器通信量測定部をさらに備え、
前記配布端末決定部は、前記エンド機器通信量測定部による測定の結果に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、通信量が少ないエンド機器に対しては簡易シグネチャを、通信量の多いエンド機器に対しては詳細シグネチャを配布することを決定する、
ことを特徴とするシグネチャ配布装置。
【請求項12】
請求項1に記載のシグネチャ配布装置において、
前記配布端末決定部は、配布済みのシグネチャの中で消去すべきシグネチャを決定し、該決定したシグネチャを持つ単数または複数のエンド機器を特定し、
前記通信制御部は、前記配布端末決定部により特定した単数または複数のエンド機器に対し、前記シグネチャの消去を指示するメッセージを送信する、
ことを特徴とするシグネチャ配布装置。
【請求項13】
コンピュータウィルスもしくは不正アクセスを検知し、検知元アドレス及び検知したコンピュータウィルスもしくは不正アクセスに関する情報を含む検知結果をネットワークを介して送信する情報解析装置と、
コンピュータウィルスの検知・駆除を行う、あるいは不正アクセスの検知・防御を行うための配布用シグネチャを記憶する配布用シグネチャ記憶部と、
前記情報解析装置の検知結果に含まれる、検知したコンピュータウィルス若しくは不正アクセスに関する情報に基づいて、前記配布用シグネチャ記憶部から配布用シグネチャを選択する情報収集装置と、
前記情報解析装置の検知結果に含まれる検知元アドレスに基づいて、前記情報収集装置により選択された配布用シグネチャの送信先を決定するシグネチャ配布装置と、
前記シグネチャ配布装置から前記配布用シグネチャを受け取り、該配布用シグネチャを使用してコンピュータウィルスを検知・駆除及び不正アクセスの検知・防御を行う複数のエンド機器とを備え、
前記シグネチャ配布装置は、
ネットワーク上の端末と通信を行うための通信制御部と、
前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置から前記検知結果を受け取り、該検知結果に含まれる検知元アドレスを元に、シグネチャの配布先である単数または複数のエンド機器を決定する配布端末決定部とを備え、
前記通信制御部は、前記配布端末決定部によりシグネチャの配布先として決定した前記単数または複数のエンド機器に対し、シグネチャを配信する、
ことを特徴としたシグネチャ配布システム。
発明の詳細な説明
【技術分野】
【0001】
本発明は、シグネチャ配布装置およびシグネチャ配布システムに関し、特に、ネットワークに接続可能な機器に対してIDSやウィルススキャンプログラムで使用するシグネチャファイルを配布する方法に関するものである。
【背景技術】
【0002】
近年、ADSL網や光ファイバ網の整備や、各種ネットワークサービスの充実を背景にして、ネットワークに接続される機器の数が飛躍的に増加している。
【0003】
特に、今までのようなワークステーションやパーソナルコンピュータ以外にも携帯電話を初めとするモバイル端末やゲーム専用機、家電がネットワーク機能を持ったネット家電などもネットワークに接続され、データ通信を行うようになってきている。
【0004】
このようなネットワーク機器の増加により、発見されるネットワーク機器の脆弱性の数も飛躍的に増加している。
【0005】
また、ネットワークにネットワークセキュリティ機能が搭載されていない機器が接続されていたり、各機器のユーザがネットワークセキュリティに関する知識を持たずにネットワーク機器の設定や操作を行ってしまったりするため、これらに起因するネットワークセキュリティの問題が顕著になってきている。
【0006】
ネットワークセキュリティの問題として挙げられるものとして、ネットワーク機器の脆弱性を突いて機器に感染・増殖するコンピュータウィルスや、機器の脆弱性とユーザの設定ミスなどにつけこんでネットワーク機器の制御を奪ったり、機器内に記録されているデータの窃盗や破壊を行ったりする不正アクセスがある。
【0007】
現在、このようなセキュリティ問題に対しては、ルータやファイアウォール、侵入検知システムなどのネットワークの途中に位置する機器により検知やフィルタリングが行われている場合が多くなっている。これらはプロバイダなどのサービス会社がサービスとして提供することもある。
【0008】
しかし、最近はP2P(Peer to Peer)の普及や暗号化通信の増加、IPv6(Internet Protocol version 6)によるエンド機器同士の通信の増加が見込まれることから、エンド機器でもコンピュータウィルスの検知・駆除や不正アクセスの検知・防御を行う必要がある。
【0009】
ワークステーションやパーソナルコンピュータなどリソースが豊富なエンド機器では、ウィルススキャンプログラムなどによりエンド機器側でも対策が行われることもある。
【0010】
特開2002−189643号公報(特許文献1)には、現在一般的に使用されているコンピュータウィルスや不正アクセスを検知する方法が開示されている。
【0011】
この文献では、あらかじめコンピュータウィルスや不正アクセスを特徴付けるシグネチャデータ(文献内ではワードリストと呼ばれている)のテーブルを持つ。そして、装置がネットワークからデータを受信した際に、受信データに対してテーブル内のシグネチャデータと一致するデータが存在するかを走査する。もし、テーブル内のシグネチャデータと一致するものがあれば、セキュリティ警告を生成し、一致するものが無ければ問題なしと判定する。
【特許文献1】特開2002−189643号公報
【発明の開示】
【発明が解決しようとする課題】
【0012】
上で述べた特許文献1で開示されている方法を用いた場合、テーブル内に登録されているシグネチャデータに関しては検知が可能であるが、テーブル内に含まれるもの以外のコンピュータウィルスや不正アクセスに関してはセキュリティ警告が生成できないという問題がある。そのため、この検知漏れを少なくするために多量のシグネチャデータをテーブルに登録する必要があった。
【0013】
しかし、ネット家電などを含むエンド機器の一部は、ワークステーションやパーソナルコンピュータなどとは異なり、非常に少ないメモリや記憶媒体上で動作するため、多量のシグネチャデータを持つことが困難であり、検知漏れが非常に多くなってしまうという問題があった。
【0014】
また、たとえ検知のためのテーブルに多くのストレージを割くことができたとしても、受信したデータとテーブル内のシグネチャデータの走査には、テーブル内全てのシグネチャデータに対して走査を行わなければならず、非常に多くの計算リソースを必要とする。
【0015】
ネット家電などを含むエンド機器の一部は、計算能力が乏しい演算装置で構成されることが多く、この走査のためにほとんどすべての計算リソースをつぎ込む事となり、ネット家電本来の機能や通信機能にさえも多大な影響を及ぼすという問題点もあった。
【0016】
これらの問題点を解決するため、エンド機器で持つシグネチャデータを常に必要最低限にしなければならないという課題があった。
【0017】
また、従来のウィルススキャナなどで採用されているシグネチャの配布方法は、サーバからありとあらゆるシグネチャが配信される構成となっており、エンド機器の種類によっては感染などの影響を及ぼさないコンピュータウィルスに関するシグネチャも記憶している。このため、エンド機器自身には関係ないシグネチャも保持することになり、無駄に記憶リソースを消費するという課題があった。
【0018】
本発明は、上記問題点を解消するためになされたものであり、コンピュータウィルスの検知・駆除、あるいは不正アクセスの検知・防御をするためのシグネチャデータの配布を必要最小限にすることができるシグネチャ配布装置を提供することを目的とする。
【課題を解決するための手段】
【0019】
上記課題を解決するために、本発明の請求項1にかかるシグネチャ配布装置は、コンピュータウィルスもしくは不正アクセスを検知する情報解析装置から、該情報解析装置のアドレスである検知元アドレス、及び該情報解析装置が検知したコンピュータウィルスもしくは不正アクセスに関する情報を含む検知結果をネットワークを介して受け取り、前記コンピュータウィルスを検知・駆除もしくは不正アクセスを検知・防御するためのシグネチャをネットワークを介して配布するシグネチャ配布装置であって、ネットワーク上の端末と通信を行うための通信制御部と、前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置から検知結果を受け取り、該検知結果に含まれる検知元アドレスを元に、シグネチャの配布先である単数または複数のエンド機器を決定する配布端末決定部と、を備え、前記通信制御部は、前記配布端末決定部によりシグネチャの配布先として決定した前記単数または複数のエンド機器に対し、シグネチャを配信する、ことを特徴とする。
【0020】
これにより、コンピュータウィルスもしくは不正アクセスが一度以上検知されたエンド機器に対してシグネチャを配布することが可能となり、このため、コンピュータウィルスの検知・駆除、あるいは不正アクセスの検知・防御をするためのシグネチャデータの配布を必要最小限にすることができ、その結果、エンド機器が持つシグネチャを少なく抑え、エンド機器本来の機能に対する負荷を軽減させることができる。
【0021】
また、本発明の請求項2にかかるシグネチャ配布装置は、請求項1に記載のシグネチャ配布装置において、前記情報解析装置を含むネットワークに近隣するネットワークの情報を記憶する近隣ネットワーク情報記憶部をさらに備え、前記配布端末決定部は、前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置を含むネットワークに近隣するネットワークを、前記近隣ネットワーク情報記憶部から検索し、該検索した近隣ネットワークに含まれる単数または複数のエンド機器を、シグネチャの配布先として決定する、ことを特徴とする。
【0022】
これにより、エンド機器における効率的にコンピュータウィルスの検知・駆除、もしくは不正アクセスの検知・防御を行うことができる。つまり、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置にネットワーク上で近いエンド機器においても、検知されたコンピュータウィルスもしくは不正アクセスが残留していることが予想されるが、前記情報解析装置にネットワーク上で近いエンド機器群に対してシグネチャを配布することにより、配布したシグネチャを利用して効率的にコンピュータウィルスの検知・駆除、もしくは不正アクセスの検知・防御を行うことができる。
【0023】
また、本発明の請求項3にかかるシグネチャ配布装置は、請求項2に記載のシグネチャ配布装置において、前記検知したコンピュータウィルスの感染力もしくは前記検知した不正アクセスの影響度に応じて、前記シグネチャの配布すべきネットワーク上での範囲を判定する影響範囲判定部をさらに備え、前記配布端末決定部は、前記影響範囲判定部により判定したネットワーク上の範囲内の前記エンド機器を、シグネチャの配布先として決定する、ことを特徴とする。
【0024】
これにより、検知されたコンピュータウィルスもしくは不正アクセスの影響度に応じてシグネチャの配布範囲を決定するため、必要度が高い位置にあるエンド機器に対してはシグネチャを配布し、必要ではないエンド機器にシグネチャの配布を行わないようにすることができる。その結果、エンド機器では必要度の高い場合のみシグネチャを記憶すれば良いこととなるため、エンド機器が持つシグネチャを最小限に抑えることができる。
【0025】
また、本発明の請求項4にかかるシグネチャ配布装置は、請求項2に記載のシグネチャ配布装置において、ネットワーク上の各エンド機器の固有の機器構成を示す機器固有情報を記憶するエンド機器情報記憶部をさらに備え、前記検知結果は、前記検知したコンピュータウィルスの感染もしくは不正アクセスの影響を受ける機器構成を示す前記エンド機器の影響機器情報をも含むものであり、前記配布端末決定部は、前記コンピュータウィルスもしくは不正アクセスを検知した前記情報解析装置にネットワーク上で近い前記エンド機器のうちの、前記検知結果中の影響機器情報が示す機器構成を有するエンド機器を前記エンド機器情報記憶部から検索し、該検索した単数または複数のエンド機器を、シグネチャの配布先として決定する、ことを特徴とする。
【0026】
これにより、検知されたコンピュータウィルスもしくは不正アクセスによる影響を受けやすいOSやハードウェアなどの機器構成を持つエンド機器に対してのみシグネチャを配布することができる。
【0027】
また、本発明の請求項5にかかるシグネチャ配布装置は、請求項1に記載のシグネチャ配布装置において、特定のサービスに加入しているエンド機器を示す機器指示情報を記録するサービス登録端末記憶部をさらに備え、前記配布端末決定部は、前記サービス登録端末記憶部に記憶されている機器指定情報が示すエンド機器の中から、シグネチャを配布すべき単数または複数のエンド機器を決定する、ことを特徴とする。
【0028】
これにより、特定のサービスに加入しているエンド機器に対してのみシグネチャを配布することができる。
【0029】
また、本発明の請求項6にかかるシグネチャ配布装置は、請求項1に記載のシグネチャ配布装置において、指定されたアドレスを持つエンド機器で稼動しているサービスを検知する機器スキャン部をさらに備え、前記検知結果は、前記検知したコンピュータウィルスもしくは不正アクセスの影響を受けるサービスを示す影響サービス情報をも含むものであり、前記配布端末決定部は、前記機器スキャン部により検知した各エンド機器が行っているサービスのうちで、前記検知結果中の影響サービス情報が示すサービスと一致するサービスを行っている単数または複数のエンド機器を、シグネチャの配布先として決定する、ことを特徴とする。
【0030】
これにより、検知されたコンピュータウィルスもしくは不正アクセスの影響を受けやすいサービスを行っているエンド機器に対してのみシグネチャを配布することができる。
【0031】
また、本発明の請求項7にかかるシグネチャ配布装置は、請求項4に記載のシグネチャ配布装置において、前記エンド機器情報記憶部は、前記エンド機器の物理的な位置情報を記憶するエンド機器物理位置情報記憶部を有し、前記検知結果は、前記情報解析装置の物理的位置情報をも含むものであり、前記配布端末決定部は、前記検知結果中に含まれる前記情報解析装置の物理的位置情報に基づいて、該情報解析装置に物理的に近い位置にある単数または複数のエンド機器を、前記エンド機器物理位置情報記憶部から検索し、該検索した単数または複数のエンド機器を、シグネチャの配布先として決定する、ことを特徴とする。
【0032】
これにより、検知結果に含まれる検知元アドレスからシグネチャの配布先として決定した単数または複数のエンド機器に物理的に近いエンド機器に対してもシグネチャを配布することができる。
【0033】
また、本発明の請求項8にかかるシグネチャ配布装置は、請求項1に記載のシグネチャ配布装置において、前記検知結果は、前記コンピュータウィルスに感染している端末、あるいは前記不正アクセスの攻撃を受けている端末を特定するための感染・侵入端末情報をも含むものであり、前記配布端末決定部は、前記検知結果に含まれる前記感染・侵入端末情報に基づいて、コンピュータウィルスに感染している、もしくは不正アクセスの攻撃を受けている単数または複数のエンド機器、及びその近隣のエンド機器を特定し、シグネチャの配布先として決定する、ことを特徴とする。
【0034】
これにより、すでにコンピュータウィルスに感染もしくは不正アクセスされてしまったエンド機器とその近隣のエンド機器にシグネチャを配布するため、コンピュータウィルスや不正アクセスの封じ込めを行うことができる。また、感染したエンド機器とその近隣のエンド機器で封じ込めを行うことで、それ以外のエンド機器に対してはシグネチャを配布する必要がないため、エンド機器のリソースを効率的に使用することができる。
【0035】
また、本発明の請求項9にかかるシグネチャ配布装置は、前記エンド機器のリソース情報を記憶するエンド機器リソース情報記憶部を備え、前記配布端末決定部は、前記エンド機器リソース情報記憶部に記憶されているリソース情報に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、リソースの少ないエンド機器に対しては簡易シグネチャを、リソースが十分なエンド機器に対しては詳細シグネチャを配布することを決定する、ことを特徴とする。
【0036】
これにより、リソースが少ないエンド機器に対しては機器への負担が少ないシグネチャを配布することができるため、エンド機器本来の機能を損なうことなく、エンド機器側でコンピュータウィルスの検知・駆除もしくは不正アクセスの検知・防御を行うことができる。
【0037】
また、本発明の請求項10にかかるシグネチャ配布装置は、前記エンド機器に対し該機器のリソースを測定するパケットを1回以上送信し、その応答結果及び応答時間によりエンド機器までのネットワークの状況を含んだエンド機器のリソースを測定する機器リソース測定部をさらに備え、前記配布端末決定部は、前記機器リソース測定部による測定の結果に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、リソースが少ないエンド機器に対しては簡易シグネチャを、リソースが十分であるエンド機器に対しては詳細シグネチャを配布することを決定する、ことを特徴とする。
【0038】
これにより、エンド機器側で機器のアップグレードやダウングレード、機器自体のリプレイスなどが発生しても、シグネチャ配布装置側でデータの変更作業を行うことなく、機器のリソースに基づいたシグネチャを配布することができる。
【0039】
また、本発明の請求項11にかかるシグネチャ配布装置は、請求項2に記載のシグネチャ配布装置において、前記エンド機器の通信の頻度および通信データ量を測定するエンド機器通信量測定部をさらに備え、前記配布端末決定部は、前記エンド機器通信量測定部による測定の結果に基づいて、前記シグネチャの配布先として決定した前記単数または複数のエンド機器のうち、通信量が少ないエンド機器に対しては簡易シグネチャを、通信量の多いエンド機器に対しては詳細シグネチャを配布することを決定する、ことを特徴とする。
【0040】
これにより、データの送受信が多く、その分コンピュータウィルスや不正アクセスに対するリスクが高いと思われる通信量が多いエンド機器に対し、詳細なシグネチャを配布することができる。
【0041】
また、本発明の請求項12にかかるシグネチャ配布装置は、請求項1に記載のシグネチャ配布装置において、前記配布端末決定部は、配布済みのシグネチャの中で消去すべきシグネチャを決定し、該決定したシグネチャを持つ単数または複数のエンド機器を特定し、前記通信制御部は、前記配布端末決定部により特定した単数または複数のエンド機器に対し、前記シグネチャの消去を指示するメッセージを送信する、ことを特徴とする。
【0042】
これにより、エンド機器が持つシグネチャを必要最小限に抑えることができ、エンド機器のリソースをより効率的に使用することができる。
【0043】
また、本発明の請求項13にかかるシグネチャ配布システムは、コンピュータウィルスもしくは不正アクセスを検知し、検知元アドレス及び検知したコンピュータウィルスもしくは不正アクセスに関する情報を含む検知結果をネットワークを介して送信する情報解析装置と、コンピュータウィルスの検知・駆除を行う、あるいは不正アクセスの検知・防御を行うための配布用シグネチャを記憶する配布用シグネチャ記憶部と、前記情報解析装置の検知結果に含まれる、検知したコンピュータウィルス若しくは不正アクセスに関する情報に基づいて、前記配布用シグネチャ記憶部から配布用シグネチャを選択する情報収集装置と、前記情報解析装置の検知結果に含まれる検知元アドレスに基づいて、前記情報収集装置により選択された配布用シグネチャの送信先を決定するシグネチャ配布装置と、前記シグネチャ配布装置から前記配布用シグネチャを受け取り、該配布用シグネチャを使用してコンピュータウィルスを検知・駆除及び不正アクセスの検知・防御を行う複数のエンド機器とを備え、前記シグネチャ配布装置は、ネットワーク上の端末と通信を行うための通信制御部と、前記コンピュータウィルスもしくは不正アクセスを検知した情報解析装置から前記検知結果を受け取り、該検知結果に含まれる検知元アドレスを元に、シグネチャの配布先である単数または複数のエンド機器を決定する配布端末決定部とを備え、前記通信制御部は、前記配布端末決定部によりシグネチャの配布先として決定した前記単数または複数のエンド機器に対し、シグネチャを配信する、ことを特徴とする。
【0044】
これにより、コンピュータウィルスもしくは不正アクセスが一度以上検知されたエンド機器に対してシグネチャを配布することが可能となり、このため、コンピュータウィルスの検知・駆除、あるいは不正アクセスの検知・防御をするためのシグネチャデータの配布を必要最小限にすることができ、その結果、エンド機器が持つシグネチャを少なく抑え、エンド機器本来の機能に対する負荷を軽減させることができる。
【発明の効果】
【0045】
本発明のシグネチャ配布システムによれば、コンピュータウィルスや不正アクセスを検知・駆除・防御するためにエンド機器自身が持つシグネチャデータを少なく抑えることができ、エンド機器の本来の機能に対する負荷を軽減させることができる。
【0046】
また、情報解析装置により一度以上検知されたコンピュータウィルスもしくは不正アクセスに対するシグネチャデータがエンド機器に配布されるため、エンド機器において無駄に記憶されるシグネチャが無くなり、検知漏れも少なくなる。
【0047】
また、コンピュータウィルスや不正アクセスが検知された場所や、コンピュータウィルスや不正アクセスの種類、エンド機器の環境などの要因を考慮に入れたシグネチャの配布を行うため、各エンド機器で必要なシグネチャのみを選択的に持つことができ、エンド機器のリソースへの影響を最小限にすることができる。
【0048】
また、エンド機器でのシグネチャの削除を、コンピュータウィルスや不正アクセスの検知実績や、その検知に関する時間要因を考慮して行うことで、エンド機器でのシグネチャの削除を、エンド機器の環境がより安全な状態になってから行うことができる。
【発明を実施するための最良の形態】
【0049】
以下、本発明の実施の形態について、図面を参照しながら説明する。なお、この実施の形態により本発明が限定されるものではない。
(実施の形態1)
以下に、本発明の実施の形態1によるシグネチャ配布システムについて説明する。
【0050】
図1に、本実施の形態1によるシグネチャ配布システムの基本的な構成について示す。
本実施の形態1のシグネチャ配布システムは、コンピュータウィルスもしくは不正アクセスを検知する情報解析装置1000と、情報解析装置1000の検知内容に基づいて配布用シグネチャを選択する情報収集装置2000と、コンピュータウィルスの検知・駆除、もしくは不正アクセスの検知・防御をするための配布用シグネチャを記憶する配布用シグネチャ記憶部3000と、情報収集装置2000により選択された配布用シグネチャの配布先を決定するシグネチャ配布装置4000と、シグネチャ配布装置4000から送信されたシグネチャを使用して、コンピュータウィルスを検知・駆除、あるいは不正アクセスの検知・防御を行うエンド機器5000とを備えたものである。
【0051】
以下に、各構成要素について詳細に説明する。
まず、情報解析装置1000について図3を用いて説明する。
【0052】
図3に示す情報解析装置1000は、外部のネットワークとの通信を行う通信制御部1001と、コンピュータウィルスや不正アクセスを検知するためのデータ(検知用シグネチャ)を記録する感染・攻撃検知用シグネチャ記憶部1003と、感染・攻撃検知用シグネチャ記憶部に記憶されているデータを用いて通信制御部で受信したデータにコンピュータウィルスや不正アクセスが含まれていないかの検知を行う感染・攻撃判定部1002とを備えている。
【0053】
このような構成の情報解析装置1000の動作について説明する。
通信制御部1001により通信データを受信すると、受信した通信データは、感染・攻撃判定部1002に出力される。
【0054】
感染・攻撃判定部1002では、受信した通信データと感染・攻撃検知用シグネチャ記憶部1003に記憶されているデータとを比較し、コンピュータウィルスや不正アクセスの検知を行う。その結果、感染・攻撃判定部1002においてコンピュータウィルスや不正アクセスが検知された場合、通信制御部1001から情報収集装置2000に向けて検知結果メッセージA000を送信する。
【0055】
この検知結果メッセージA000は、図2に示すように、検知元アドレスA001と検知情報A002とを含むものである。
【0056】
検知元アドレスA001は、コンピュータウィルスや不正アクセスを検知した情報解析装置1000のIPアドレスとサブネットマスク情報を含み、該情報解析装置1000のネットワークアドレスを示す。
【0057】
また、検知情報A002は、感染・攻撃判定部1002が検知したコンピュータウィルスや不正アクセスの種類を表す符号である。なお、検知情報A002は、コンピュータウィルスや不正アクセスの種類を表す符号が複数含まれていても良い。
【0058】
次に、配布用シグネチャ記憶部3000について図4を用いて説明する。
配布用シグネチャ記憶部3000は、シグネチャデータを記憶するデータベースであり、図4に示す構造のデータレコードをもつデータベースである。
【0059】
上記データレコードは、シグネチャを一意に識別できるシグネチャIDを記憶するシグネチャIDフィールド3001と、コンピュータウィルスの検知・駆除を行うためのデータもしくはプログラムコード、あるいは不正アクセスの検知・防御を行うためのデータもしくはプログラムコードを記憶するシグネチャデータフィールド3003と、シグネチャデータが検知・駆除可能なコンピュータウィルスもしくは検知・防御可能な不正アクセスの情報を記憶するシグネチャ対応情報フィールド3002を持つレコードの集合で構成される。
【0060】
このような構成のデータレコードを持つ配布用シグネチャ記憶部3000の動作について説明する。
情報収集装置2000から配布用シグネチャの検索要求があると、その検索要求に応じてデータベース内の検索を行う。このとき、検索キーとしてはシグネチャ対応情報が主キーとなる。検索の結果、合致するレコードを情報収集装置2000に応答する。
【0061】
なお、シグネチャ対応情報フィールド3002に、複数のコンピュータウィルスや不正アクセスに関する情報が、シグネチャデータフィールド3003に、複数のシグネチャデータが記録されていても良い。また、配布用シグネチャ記憶部3000のデータベース内の検索の結果、複数のレコードが検索された場合、全てのレコードの情報を情報収集装置2000に応答するようにしても良い。
【0062】
次に、情報収集装置2000について図5を用いて説明する。
図5に示す情報収集装置2000は、通信を行うための通信制御部2001と、配布用シグネチャ記憶部3000内のデータを検索する配布用シグネチャ判定部2002とを備えている。
【0063】
このような構成の情報収集装置2000の動作について図8を用いて説明する。図8は、本発明のシグネチャ配布システムの具体例を示す。
【0064】
通信制御部2001では、情報解析手段1000から検知結果メッセージA000を受信し、配布用シグネチャ判定部2002に出力する。
【0065】
配布用シグネチャ判定部2002では、検知結果メッセージA000に含まれる、コンピュータウィルスもしくは不正アクセスの検知情報A002に基づいて、対応するコンピュータウィルスの検知・駆除、もしくは不正アクセスの検知・防御するための配布用シグネチャデータを配布用シグネチャ記憶部3000から検索する。そして、検索したシグネチャデータと検知結果メッセージA000をシグネチャ配布装置4000に通知する。
【0066】
次に、シグネチャ配布装置4000について図6を用いて説明する。
図6に示すシグネチャ配布装置4000は、通信を行うための通信制御部4001と、情報収集装置2000より受け取った配布用シグネチャデータの配布先を決定する配布端末決定部4002とを備えている。
【0067】
このような構成のシグネチャ配布装置4000の動作について説明する。
配布用端末決定部4002では、情報収集装置2000から検知結果メッセージA000、及びシグネチャデータを受信し、検知結果メッセージA000に含まれる検知元アドレスA001に基づいて、シグネチャデータの配布先を決定する。
【0068】
通信制御部4001では、配布用端末決定部4002によりシグネチャの配布先として決定したエンド機器5000に対し、シグネチャデータを送信する。
【0069】
なお、検知結果メッセージA000は、情報収集装置2000からではなく、情報解析装置1000から直接受信しても良い。
【0070】
次に、エンド機器5000について図7を用いて説明する。
図7に示すエンド機器5000は、通信を行うための通信制御部5001と、コンピュータウィルスを検知・駆除、もしくは不正アクセスを検知・防御するためのシグネチャデータを記憶するシグネチャ記憶部5003と、シグネチャ記憶部5003のデータの制御を行うシグネチャ制御部5002と、シグネチャ記憶部5003に記憶されているコンピュータウィルスを検知・駆除するためのシグネチャデータを使用してコンピュータウィルスを検知・駆除するコンピュータウィルス検知・駆除部5004と、シグネチャ記憶部5003に記憶されている不正アクセスを検知・防御するためのシグネチャデータを使用して不正アクセスを検知・防御する侵入検知・防御部5005とを備えている。
【0071】
このような構成のエンド機器5000の動作について説明する。
通信制御部5001では、シグネチャ配布装置4000から配布されてきたシグネチャデータを受け取る。受け取ったシグネチャデータは、シグネチャ制御部5002の制御によりシグネチャ記憶部5003に記憶される。
【0072】
コンピュータウィルス検知・駆除部5004では、シグネチャ記憶部5003に記憶されているコンピュータウィルスを検知・駆除するためのシグネチャデータを使用して、エンド機器5000でのコンピュータウィルスの検知および駆除を行う。
【0073】
また、侵入検知・防御部5005では、シグネチャ記憶部5003に記憶されている不正アクセスを検知・防御するためのシグネチャデータを使用して、エンド機器5000での不正アクセスの検知及び防御を行う。
【0074】
そして、コンピュータウィルスの駆除もしくは不正アクセスの防御を行った後、シグネチャ制御部5002により必要が無いと判断したシグネチャ記憶部5003内のデータを削除する。
【0075】
なお、コンピュータウィルス検知・駆除部5004と侵入検知・防御部5005は、どちらか一方のみを備えている構成としても良い。
【0076】
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、外部装置からの削除メッセージをトリガにしても良い。
【0077】
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、FIFO(記憶された順で削除する方式)で削除しても良い。
【0078】
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、LRU(最も使用されていないものから削除する方式)で削除しても良い。
【0079】
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、一定時間が経過したら削除する方式で削除しても良い。
【0080】
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、コンピュータウィルス検知・駆除部5004での処理が終わった(該当シグネチャデータによりウィルスが駆除された)のをトリガとして削除しても良い。
【0081】
また、シグネチャ制御部5002によるシグネチャ記憶部5003内のデータの削除は、侵入検知・防御部5005での処理が終わった(該当シグネチャデータにより侵入を検知・防御した)のをトリガとして削除しても良い。
【0082】
以下に、本実施の形態1のシグネチャ配布システムの全体の流れを説明する。
情報解析装置1000がコンピュータウィルスもしくは不正アクセスを検知して検知結果メッセージA000を情報収集装置2000に送信する。
【0083】
情報収集装置2000は、情報解析装置1000から送信された検知結果メッセージA000をもとに、配布用シグネチャ記憶部3000から検索した対応するシグネチャデータをシグネチャ配布装置4000に送信する。
【0084】
そして、シグネチャ配布装置4000は、情報収集装置2000から送信されたシグネチャデータと検知結果メッセージA000を受信し、検知結果メッセージA000に含まれる検知元アドレスA001から、シグネチャデータの配布先となるエンド機器5000を決定する。このとき、シグネチャ配布装置4000内の配布端末決定部4002では、検知元アドレスA001に含まれるIPアドレスとサブネットマスクの情報を組み合わせて、シグネチャの配布先アドレスを決定する。例えば、IPアドレス=xxx.xxx.xxx.100、サブネットマスク=255.255.255.0である場合、シグネチャ配布先アドレスは、xxx.xxx.xxx.1〜xxx.xxx.xxx.254の範囲となる。なお、xxx.xxx.xxx.0とxxx.xxx.xxx.255は特殊なアドレスであるため、配布対象には含まれない。
【0085】
シグネチャデータを受信したエンド機器5000は、受信したシグネチャデータをシグネチャ記憶部5003に記憶し、該記憶したシグネチャデータを元に、コンピュータウィルスの検知・駆除および不正アクセスの検知・防御を行う。そして、必要が無くなれば、受信したシグネチャデータをシグネチャ記憶部5003から削除する。シグネチャの削除を行うタイミングとしては、シグネチャ記憶部に記憶されてから一定時間が経過した場合、該シグネチャによるコンピュータウィルスや不正アクセスが検知されなくなってから一定時間が経過した場合などがある。これにより、エンド機器5000自身が持つシグネチャデータ3003を少なく抑えることができるため、エンド機器5000の本来の機能に対する負荷を軽減することができる。また、情報解析装置1000により一度以上検知されたコンピュータウィルスもしくは不正アクセスに対するシグネチャデータ3003が配布されるため、エンド機器5000において無駄に記憶されるシグネチャが無くなり、検知漏れも少なくなる。
【0086】
ここで、図8にネットワークの構成の一例を示す。このような構成のネットワークにおける、シグネチャ配布システムについて以下に説明する。
【0087】
図8に示すネットワークは、サーバ6000、ルータ7000、7100、7200、7300、7400、情報解析装置1000、およびエンド機器5000を備えている。また、サーバ6000は、上述した情報収集装置2000、配布用シグネチャ記憶部3000、シグネチャ配布装置4000を含むものである。
【0088】
このような構成のネットワークにおいて、例えば、ルータ7100に接続された情報解析装置1000が、該ルータ7200に接続されているエンド機器5000のいずれかがコンピュータウィルスに感染している、もしくは不正アクセスの攻撃を受けていることを検知した場合、検知結果をルータ7100およびルータ7000を介してサーバ6000に通知する。
【0089】
サーバ6000では、通知された検知結果を元に、ルータ7100が属するネットワークA内のエンド機器5000に対してシグネチャを配布する。
【0090】
このような実施の形態1のシグネチャ配布システムでは、コンピュータウィルスもしくは不正アクセスを検知し、検知結果メッセージA000を通知する情報解析装置1000と、検知結果メッセージA000を元に、配布用シグネチャ記憶部3000から対応するシグネチャを検索する情報収集装置2000と、検知結果メッセージA000に含まれる検知元アドレスを元に、情報収集装置2000により検索されたシグネチャの配布先を決定し、配布先として決定された単数または複数のエンド機器にシグネチャを送信するシグネチャ配布装置4000とを備えているため、情報解析装置により一度以上検知されたコンピュータウィルスもしくは不正アクセスに対するシグネチャデータがエンド機器に配布される。このため、エンド機器において無駄に記憶されるシグネチャが無くなり、検知漏れも少なくなる。
【0091】
また、エンド機器5000において、記憶しているシグネチャを元にコンピュータウィルスの検知・駆除、及び不正アクセスの検知・防御を行い、必要が無くなれば記憶しているシグネチャを削除するようにしたので、エンド機器が持つシグネチャデータを少なく抑えることにより、エンド機器の本来の機能に対する負荷をより軽減することができる。
【0092】
(実施の形態2)
以下に、本発明の実施の形態2のシグネチャ配布システムについて説明する。
本実施の形態2のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、シグネチャ配布装置4000に代えて、図9に示すシグネチャ配布装置4100を備えたものである。
【0093】
シグネチャ配布装置4100の構成を図9に示す。図において、図6と同一の構成要素については同一符号を付している。
【0094】
図9に示すシグネチャ配布装置4100は、通信制御部4001、配布端末決定部4101、及び近隣ネットワーク情報記憶部4102を備えたものである。
【0095】
配布端末決定部4101は、情報収集装置2000から通知された検知結果メッセージA000、およびシグネチャデータを受け取り、該シグネチャデータの配布先を決定する。
【0096】
近隣ネットワーク情報記憶部4102は、情報解析装置1000を含むネットワークに近隣するネットワークの情報を記憶する。
【0097】
このような構成のシグネチャ配布装置4100の動作について説明する。
配布端末決定部4101では、情報収集装置2000から検知結果メッセージA000とシグネチャデータを受信する。そして、検知結果メッセージA000に含まれる検知元アドレスA001を元に、シグネチャデータの配布先となるエンド機器を決定する。さらに、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置1000を含むネットワークの近隣のネットワークを、近隣ネットワーク情報記憶部4102から検索し、検索した近隣のネットワークに含まれる単数または複数のエンド機器を、シグネチャデータの配布先として決定する。ここで決定したエンド機器5000のアドレスに対し、通信制御部4001を介してシグネチャデータを送信する。
【0098】
なお、近隣ネットワーク情報記憶部4102から検索される近隣ネットワークは複数であっても良く、この場合、コンピュータウィルスや不正アクセスを検知した情報解析装置1000を含むネットワークに近隣する複数のネットワークに含まれる複数のエンド機器に対し、シグネチャデータを配布することになる。
【0099】
ここで、近隣ネットワーク情報について図8を用いて説明する。
例えば、ルータ7200に接続されている情報解析装置1000が、該ルータ7200に接続されているエンド機器5000のいずれかがコンピュータウィルスに感染している、もしくは不正アクセスの攻撃を受けていることを検知した場合、ルータ7100およびルータ7000を介してサーバ6000に通知する。
【0100】
サーバ6000では、ルータ7200に接続されている情報解析装置1000から通知された検知結果を元に、ルータ7200が属するネットワークBだけでなく、該ルータ7200から1ホップ以内で到達可能であるような該ネットワークBに近隣するネットワーク、例えば、ネットワークCあるいはネットワークDに含まれるエンド機器5000に対してもシグネチャを配布する。
【0101】
これにより、コンピュータウィルスや不正アクセスを検知し情報解析装置1000にネットワーク上で近いエンド機器においても、上記コンピュータウィルスや不正アクセスが残留していることが予想されるが、配布したシグネチャを利用して、効率的に駆除・防御を行うことができる。
【0102】
このような本実施の形態2のシグネチャ配布システムでは、シグネチャ配布装置4100が情報収集装置2000から検知結果とシグネチャを受信した時、検知結果メッセージA000に含まれる検知元アドレスA001に近隣するネットワークを近隣ネットワーク記憶部4102から検索し、検索した近隣ネットワークに含まれる単数または複数のエンド機器を、シグネチャの配布先として決定するようにしたので、コンピュータウィルスや不正アクセスを検知した前記情報解析装置にネットワーク上で近いエンド機器群に対し、シグネチャを配布することができる。また、コンピュータウィルスや不正アクセスを検知した情報解析装置1000にネットワーク上で近いエンド機器群では、検知されたコンピュータウィルスや不正アクセスが残留していることが予想されるが、配布されたシグネチャを利用して効率的に検知や駆除・防御を行うことができる。
【0103】
(実施の形態3)
以下に、本発明の実施の形態3のシグネチャ配布システムについて説明する。
本実施の形態3のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、配布用シグネチャ記憶部3000及びシグネチャ配布装置4000に代えて、図10に示す配布用シグネチャ記憶部3100及び図11に示すシグネチャ配布装置4200を備えたものである。
【0104】
配布用シグネチャ記憶部3100は、図10に示す構造のデータレコードをもつデータベースであり、該データレコードは、シグネチャIDフィールド3001、シグネチャ対応情報フィールド3002、シグネチャデータフィールド3003、及び感染力・影響度情報フィールド3101をもつレコードの集合で構成される。図において、図4と同一構成要素については同一符号を付している。
【0105】
感染力・影響度情報フィールド3101は、シグネチャ対応情報フィールド3002に記載されているコンピュータウィルスの感染力や影響度もしくは不正アクセスの成功しやすさや影響度に関する情報を記憶する。例えば、低中高など数段階で表現されるアンチウィルスソフトベンダが公開しているコンピュータウィルスの危険度・感染力・ダメージ・感染報告数やOSベンダやセキュリティベンダ、公的機関が公開しているセキュリティホールの危険度・ダメージなどである。
【0106】
この実施の形態3のシグネチャ配布装置4200の構成を図11に示す。図において、図9と同一構成要素については同一符号を付している。
【0107】
図11に示すシグネチャ配布装置4200は、通信制御部4001、近隣ネットワーク情報記憶部4102、配布端末決定部4201、及び影響範囲判定部4202を備えたものである。
【0108】
配布端末決定部4201は、情報収集装置2000から通知された検知結果メッセージA000、感染力・影響度情報、及びシグネチャデータを受け取り、該シグネチャデータの配布先を決定する。
【0109】
影響範囲判定部4202は、感染力・影響度情報3101から、前記シグネチャを配布すべき範囲を決定する。
【0110】
次に、動作について説明する。
配布端末決定部4201は、情報収集装置2000から送信された、検知結果メッセージA000、感染力・影響度情報、およびシグネチャデータを受信する。そして、影響範囲判定部4202は、受信した感染力・影響度情報を元に、コンピュータウィルスの感染力もしくは不正アクセスの影響の及ぶ範囲を判定する。影響範囲判定部4202により判定した、コンピュータウィルスの感染力もしくは不正アクセスの影響の及ぶ範囲内のエンド機器を、ネットワークにおける、シグネチャを配布すべきエンド機器と決定する。
【0111】
そして、通信制御部4001では、配布端末決定部4201により配布先として決定したエンド機器5000に対し、シグネチャを送信する。
【0112】
ここで、シグネチャの配布範囲について図8を用いて説明する。
例えば、ルータ7400に接続されている情報解析装置1000がコンピュータウィルスもしくは不正アクセスを検知した場合を考える。検知したコンピュータウィルスの感染力もしくは不正アクセスの影響が及ぶ範囲が狭いと判定したときは、ルータ7400に接続されているエンド機器5000に対してシグネチャを配布する。一方、検知したコンピュータウィルスの感染力もしくは不正アクセスの影響が及ぶ範囲が広いと判定したときは、ルータ7400に接続されているエンド機器5000だけでなく、ルータ7400が属するネットワークDに近いネットワーク、例えば、ネットワークDの1つ上の階層に相当する、ルータ7200が属するネットワークBに含まれるエンド機器5000に対してもシグネチャを配布する。例えば、ネットワークDで検出したコンピュータウィルスの感染力が低である場合は、ネットワークDに属するエンド機器5000に対してのみシグネチャを配布する。また、ネットワークDで検出したコンピュータウィルスの感染力が中である場合は、ネットワークDに属するエンド端末5000だけでなく、ルータ4700が属するネットワークBに属するエンド機器5000に対してもシグネチャを配布する。さらに、ネットワークDで検出したコンピュータウィルスの感染力が高である場合は、ネットワークAからネットワークDまで、全てのネットワークに属するエンド機器5000に対してシグネチャを配布する。
【0113】
このような実施の形態3のシグネチャ配布システムでは、情報解析装置1000が検知したコンピュータウィルスもしくは不正アクセスの感染力や影響の及ぶ範囲に応じてシグネチャを配布する範囲を変更するようにしたので、影響力が大きければより広範囲のエンド機器に、影響力が小さければ狭い範囲のエンド機器に対してシグネチャデータを配布することができる。これにより、検知されたコンピュータウィルスもしくは不正アクセスに応じて必要度が高い位置にあるエンド機器にシグネチャを配布し、必要ではないエンド機器に対してはシグネチャの配布を行わないため、各エンド機器では必要であるシグネチャを効率的に記憶することができる。
【0114】
(実施の形態4)
以下に、本発明の実施の形態4によるシグネチャ配布システムについて説明する。
本実施の形態4のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、配布用シグネチャ記憶部3000およびシグネチャ配布装置4000に代えて、図12に示す配布用シグネチャ記憶部3200および図13に示すシグネチャ配布装置4300を備えたものである。
【0115】
配布用シグネチャ記憶部3200は、図12に示す構造のデータレコードをもつデータベースであり、該データレコードは、シグネチャIDフィールド3001、シグネチャ対応情報フィールド3002、シグネチャデータフィールド3003、及び影響機器情報フィールド3201を持つレコードの集合で構成される。図において、図4と同一構成要素については同一符号を付している。
【0116】
影響機器情報フィールド3201は、シグネチャ対応情報に記載されているコンピュータウィルスもしくは不正アクセスの影響を受けるOSやそのバージョンもしくはアーキテクチャなどの影響機器情報を記憶する。
【0117】
シグネチャ配布装置4300の構成を図13に示す。図において、図9と同一構成要素については同一符号を付している。
【0118】
図13に示すシグネチャ配布装置4300は、通信制御部4001、近隣ネットワーク情報記憶部4102、配布端末決定部4301、及びエンド機器情報記憶部4310を備えたものである。
【0119】
配布端末決定部4301は、情報収集装置2000から通知された検知結果メッセージA000、影響機器情報、およびシグネチャデータを受け取り、該シグネチャデータの配布先を決定する。
【0120】
エンド機器情報記憶部4310は、エンド機器のOSやそのバージョン、アーキテクチャなどの機器固有情報を記憶する。このエンド機器情報記憶部4310に記憶されるエンド機器情報は、図14に示すように、エンド機器を一意に識別できるエンド機器ID4311、OS情報4312、及びアーキテクチャ情報4313を含むものである。
【0121】
次に、動作について説明する。
配布端末決定部4301は、情報収集装置2000から、検知結果メッセージA000、影響機器情報、およびシグネチャデータを受信する。そして、受信した検知結果メッセージA000に含まれる検知元アドレスA001を元に、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置1000にネットワーク上で近いエンド機器群を特定する。さらに、特定したエンド機器群の中で、エンド機器情報記憶部4310に記録されている機器固有情報と上記影響機器情報とに基づいて、コンピュータウィルスもしくは不正アクセスの影響を受けるエンド機器を検索し、検索したエンド機器をシグネチャの配布先として決定する。
【0122】
通信制御部4001では、配布端末決定部4201により配布先として決定したエンド機器5000に対し、シグネチャを送信する。
【0123】
このような実施の形態4のシグネチャ配布システムでは、コンピュータウィルスや不正アクセスを検知した情報解析装置1000にネットワーク上で近い単数または複数のエンド機器の中で、コンピュータウィルスや不正アクセスの影響を受けるOSやハードウェアを有するエンド機器5000を検索し、検索の結果得られたエンド機器5000に対してのみ、シグネチャを配布するようにしたので、エンド機器は、必要最小限のシグネチャを持つだけで、感染や侵入を防止することができ、エンド機器のリソースが効率的に使用できる。
【0124】
(実施の形態5)
以下に、本発明の実施の形態5によるシグネチャ配布システムについて説明する。
本実施の形態5のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、シグネチャ配布装置4000に代えて、図15に示すシグネチャ配布装置4400を備えたものである。
【0125】
シグネチャ配布装置4400の構成を図15に示す。図において、図9と同一構成要素については同一符号を付している。
【0126】
図15に示すシグネチャ配布装置4400は、通信制御部4001、配布端末決定部4401、及びサービス登録情報記憶部4410を備えたものである。
【0127】
配布端末決定部4401は、情報収集装置2000から検知結果メッセージA000、シグネチャデータを受信し、該シグネチャデータの配布先を決定する。
【0128】
サービス登録端末記憶部4410は、特定のサービスに加入しているエンド機器のネットワークアドレスなどの情報を記録する。
【0129】
なお、図15では、サービス登録情報記憶部4410をシグネチャ配布装置4400内に備えている場合について示しているが、シグネチャ配布装置4400外部に備えるようにしても良い。
【0130】
次に、動作について説明する。
配布端末決定部4401では、情報収集装置2000から検知結果メッセージA000、およびシグネチャデータを受信する。そして、受信した検知結果メッセージA000に含まれる検知元アドレスA001を元に、サービス登録端末記憶部4410に記憶されている情報に基づいて、上記特定のサービスに加入しているエンド機器のうちで、コンピュータウィルスや不正アクセスを検知した情報解析装置1000と同じネットワークアドレスを有する単数または複数のエンド機器を判定し、判定した単数または複数のエンド機器を、シグネチャデータの配布先として決定する。
【0131】
通信制御部4001では、配布端末決定部4401により配布先として決定した前記エンド機器に対し、シグネチャデータを送信する。
【0132】
このような実施の形態5のシグネチャ配布システムでは、シグネチャ配布装置4400内の配布端末決定部4401によりシグネチャの配布先を決定する際に、特定のサービスに加入しているエンド機器の中から、シグネチャを配布すべき単数または複数のエンド機器を決定するようにしたので、ISPやASPなどでサービスを提供し、そのサービスの加入者のみにシグネチャ配布のサービスを行うことができる。
【0133】
(実施の形態6)
以下に、本発明の実施の形態6によるシグネチャ配布システムについて説明する。
本実施の形態6のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、配布用シグネチャ記憶部3000およびシグネチャ配布装置4000に代えて、図16に示す配布用シグネチャ記憶部3300および図17に示すシグネチャ配布装置4500を備えたものである。
【0134】
配布用シグネチャ記憶部3300は、図16に示す構造のデータレコードをもつデータベースであり、該データレコードは、シグネチャIDフィールド3001、シグネチャ対応情報フィールド3002、シグネチャデータフィールド3003、及び影響サービス情報フィールド3301を持つレコードの集合で構成される。図において、図4と同一構成要素については同一符号を付している。
【0135】
影響サービス情報フィールド3301は、シグネチャ対応情報に記載されているコンピュータウィルスもしくは不正アクセスの影響を受けるサービスやそのバージョンを示す影響サービス情報を記憶する。
【0136】
シグネチャ配布装置4500の構成を図17に示す。図において、図8と同一構成要素については同一符号を付している。
【0137】
図17に示すシグネチャ配布装置4500は、通信制御部4001、配布端末決定部4501、及び機器スキャン部4502を備えたものである。
【0138】
配布端末決定部4501は、情報収集装置2000から通知された検知結果メッセージA000、影響サービス情報、およびシグネチャデータを受け取り、該シグネチャデータの配布先を決定する。
【0139】
機器スキャン部4502は、配布端末決定部4501により決定したアドレスを持つエンド機器に対しポートスキャンなど該エンド機器が行っているサービスを検知する。
【0140】
次に、動作について説明する。
配布端末決定部4501では、情報収集装置2000から、検知結果メッセージA000、影響サービス情報、およびシグネチャデータを受信し、検知結果メッセージA000に含まれる検知元アドレスを元に、シグネチャデータの配布先を特定する。
【0141】
そして、機器スキャン部4502では、配布端末決定部4501により特定したエンド機器の各々が行っているサービスを検出し、影響サービス情報が示すサービスと一致するサービスを行っている単数または複数のエンド機器を検索する。
【0142】
通信制御部4001では、機器スキャン部4502により検索した単数または複数のエンド機器に対して、シグネチャを配布する。
【0143】
このような実施の形態6のシグネチャ配布システムでは、配布端末決定部4501によりシグネチャの配布先として決定した単数または複数のエンド機器5000の各々が行っているサービスを検索し、情報収集装置200から受け取った影響サービス情報が示すサービスと一致するサービスを行っている単数または複数のエンド機器に対してのみシグネチャを配布するようにしたので、情報解析装置1000が検知したコンピュータウィルスや不正アクセスが本当に影響を受けるサービスを行っているエンド機器のみにシグネチャデータを配布することになる。これにより、エンド機器は、さらに効率よく必要なシグネチャのみを持つことになる。
【0144】
(実施の形態7)
以下に、本発明の実施の形態7によるシグネチャ配布システムについて説明する。
本実施の形態7のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、シグネチャ配布装置4000に代えて、図18に示すシグネチャ配布装置4600を備えたものである。
【0145】
シグネチャ配布装置4600の構成を図18に示す。図において、図9と同一構成要素については同一符号を付している。
【0146】
図18に示すシグネチャ配布装置4600は、通信制御部4001、近隣ネットワーク情報記憶部4102、配布端末決定部4601、及びエンド機器物理位置情報記憶部4610を備えたものである。
【0147】
配布端末決定部4601は、情報収集装置2000から検知結果メッセージA100、およびシグネチャデータを受信し、該シグネチャデータの配布先を決定する。
【0148】
エンド機器物理位置情報記憶部4610は、エンド機器の物理的な位置を示す情報を記憶する。
【0149】
図19に、情報解析装置1000から情報収集装置2000に通知される検知結果メッセージA100を示す。この検知結果メッセージA100は、検知元アドレスA001、検知情報A002、検知元物理座標A101を含むものである。
【0150】
図20に、エンド機器物理位置情報記憶部4610に記憶されているエンド機器情報を示す。このエンド機器情報は、エンド機器ID4311、OS情報4312、アーキテクチャ情報4313、物理的位置情報4611を含むものである。
【0151】
物理的位置情報4611は、エンド機器の物理的な位置情報を表すものである。例えば、エンド機器が設置されている場所の住所やGPSから得られる緯度経度情報である。なお、エンド機器ID4311、OS情報4312、アーキテクチャ情報4313は、図14に示すエンド機器情報におけるものと同一のものである。
【0152】
次に、動作について説明する。
配布端末決定部4601では、情報収集装置2000から、検知結果メッセージA100、およびシグネチャデータを受信する。そして、受信した検知結果メッセージA100に含まれる検知元物理座標A101を元に、エンド機器物理位置情報記憶部4610から、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置1000に物理的に近い単数または複数のエンド機器を検索し、検索した単数または複数のエンド機器を、シグネチャの配布先として決定する。
【0153】
通信制御部4001では、配布端末決定部4601により配布先として決定したエンド機器に対し、シグネチャデータを送信する。
【0154】
例えば、パソコンがコンピュータウィルスに感染した場合に、このパソコンと同一住所で登録されている携帯電話に対しシグネチャを配布する。このようにすることで、パソコンと携帯電話との間でメモリカードを用いてデータのやりとりを行う際に、パソコンからメモリカード経由で携帯電話にコンピュータウィルスが感染してしまうのを防止することができる。
【0155】
このような実施の形態7のシグネチャ配布システムでは、情報解析装置1000から情報収集装置2000に対して送信される検知結果に該情報解析装置1000の物理的位置情報を加えて送信し、シグネチャの配布先を決定する際に検知元アドレスに物理的に近い単数または複数のエンド機器に対してシグネチャを配布するようにしたので、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置1000の近隣で蔓延しているコンピュータウィルスや不正アクセスに対するシグネチャを、該情報解析装置1000に物理的に近いエンド機器が持つ事になり、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置にネットワーク上では遠いが物理的に近いエンド機器がフロッピー(登録商標)ディスクやメモリカード、CD‐Rなどの物理メディアを介してコンピュータウィルス感染もしくは不正アクセスされるのを防止することができる。
【0156】
(実施の形態8)
以下に、本発明の実施の形態8によるシグネチャ配布システムについて説明する。
本実施の形態8のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、情報解析装置1000に代えて、図22に示す情報解析装置1100を備えたものである。
【0157】
情報解析装置1100の構成を図22に示す。図において、図3と同一構成要素については同一符号を付している。
【0158】
図22に示す情報解析装置1100は、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003、および感染・攻撃端末特定部1101を備えている。
【0159】
感染・攻撃端末特定部1101は、感染・攻撃判定部1002においてコンピュータウィルスもしくは不正アクセスを検知したときに、コンピュータウィルスに感染している、もしくは不正アクセスの攻撃を受けている単数または複数のエンド機器、及びその近隣のエンド機器を特定する。
【0160】
情報解析装置1100から情報収集装置2000に通知される検知結果メッセージは、図21に示すような構成となる。図において、図2と同一構成要素については同一符号を付している。
【0161】
図21に示す検知結果メッセージA200は、検知元アドレスA001、検知情報A002、および感染・侵入端末情報A201を含むものである。感染・端末情報A201は、感染・攻撃端末特定部1101により特定した端末に関する情報を示している。
【0162】
次に、動作について説明する。
感染・攻撃端末特定部1101では、感染・攻撃判定部1002によるコンピュータウィルスもしくは不正アクセスの検知と連動して、該コンピュータウィルスに感染した端末もしくは不正アクセスの攻撃を受けた端末を特定する。そして、特定した端末情報を感染・侵入端末情報A201と、コンピュータウィルスもしくは不正アクセスの検知結果に関する情報A001,A002とを含む検知結果メッセージA200を情報収集装置2000に送信する。
【0163】
情報収集装置2000では、検知結果メッセージA200に含まれる検知情報A002を元にウィルスの除去もしくはルートキットの削除や端末機能のロックなど侵入に対する対策を行うためのシグネチャを配布用シグネチャ記憶部3000から検索し、検索したシグネチャを、検知元アドレスA001及び感染・侵入端末情報A201と共にシグネチャ配布装置4000に送信する。
【0164】
シグネチャ配布装置4000では、情報収集装置2000から受け取った検知アドレスを元に感染・侵入端末及びその近隣のエンド機器を特定し、該特定したエンド機器に対し、情報収集装置2000から受け取ったシグネチャを配布する。
【0165】
このような実施の形態8のシグネチャ配布システムでは、すでに感染・侵入されてしまった単数または複数のエンド機器とその近隣のエンド機器に対してシグネチャを配布するようにしたので、コンピュータウィルスや不正アクセスの封じ込め(感染・拡散の防止)を行うことができる。
【0166】
さらに、感染したエンド機器とその近隣端末で封じ込めを行うことで、それ以外のエンド機器に対してはシグネチャを配布する必要が無く、エンド機器のリソースを効率的に使用することができる。
【0167】
(実施の形態9)
以下に、本発明の実施の形態9によるシグネチャ配布システムについて説明する。
本実施の形態9のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、配布用シグネチャ記憶部3000およびシグネチャ配布装置4000に代えて、図23に示す配布用シグネチャ記憶部3400および図24に示すシグネチャ配布装置4700を備えたものである。
【0168】
配布用シグネチャ記憶部3400は、図23に示す構造のデータレコードをもつデータベースであり、該データレコードは、シグネチャID3001、シグネチャ対応情報3002、影響機器情報フィールド3201、簡易シグネチャ情報フィールド3401、及び詳細シグネチャ情報フィールド3402を持つレコードの集合で構成される。図において、図12と同一構成要素については同一符号を付している。
【0169】
簡易シグネチャ情報フィールド3401は、該当のコンピュータウィルスもしくは不正アクセスに対して検知のみを行うような、メモリリソースやCPUリソースを消費しない簡易シグネチャデータを記憶する。
【0170】
詳細シグネチャ情報フィールド3402は、該当のコンピュータウィルスもしくは不正アクセスに対して駆除や防御までを行うような、メモリリソースやCPUリソースを消費するがより高度な処理を行う詳細シグネチャデータを記憶する。
【0171】
シグネチャ配布装置4700の構成を図24に示す。図において、図9と同一構成要素については同一符号を付している。
【0172】
図24に示すシグネチャ配布装置4700は、通信制御部4001、近隣ネットワーク情報記憶部4102、配布端末決定部4701、及びエンド機器リソース情報記憶部4710を備えたものである。
【0173】
配布端末決定部4701は、情報収集装置2000から通知された検知結果メッセージA000、影響機器情報、及びシグネチャデータを受信し、該シグネチャデータの配布先を決定する。
【0174】
エンド機器リソース情報記憶部4710は、エンド機器の搭載メモリやCPUの処理能力などのリソース情報を記憶する。このエンド機器リソース情報記憶部4710に記憶されるエンド機器情報は、図25に示すように、エンド機器を一意に識別できるエンド機器ID4311、OS情報4312、アーキテクチャ情報4313、及び機器リソース情報4711を含むものである。
【0175】
機器リソース情報4711は、エンド機器の搭載メモリやCPUの処理能力などのリソースを示す情報である。例えば、CPUのMIPS値や動作クロック周波数、搭載メモリの容量やキャッシュ容量などの情報が格納される。なお、エンド機器ID4311、OS情報4312、アーキテクチャ情報4313は、図14におけるものと同一のものである。
【0176】
次に、動作について説明する。
配布端末決定部4701では、情報収集装置2000から、検知結果メッセージA000、影響機器情報、簡易シグネチャデータ、および詳細シグネチャデータを受信する。そして、受信した検知結果メッセージA000に含まれる検知元アドレスA001を元に、コンピュータウィルスもしくは不正アクセスを検知した情報解析装置1000にネットワーク上で近いエンド機器群を特定する。さらに、特定したエンド機器群の中で、エンド機器リソース情報記憶部4710に記憶されているリソース情報を元に、簡易シグネチャデータもしくは詳細シグネチャデータの配布先を決定する。リソースの少ないエンド機器に対しては簡易シグネチャデータを、リソースが十分であるエンド機器に対しては詳細シグネチャデータを配布することを決定する。例えば、使用可能なメモリ容量が1メガバイト以下のように少ない場合や、CPUの処理能力が乏しい場合エンド機器に対しては簡易シグネチャデータを送信し、使用可能なメモリが数百メガバイト以上でCPUの処理能力も余裕がある場合のエンド機器に対しては詳細シグネチャデータを送信する。
【0177】
通信制御部4001では、配布端末決定部4701の決定に基づいて、配布先であるエンド機器に対し、簡易シグネチャデータあるいは詳細シグネチャデータを送信する。
【0178】
このような実施の形態9のシグネチャ配布システムでは、配布端末決定部4701はエンド機器5000のリソース情報を元に、リソースの少ないエンド機器に対しては簡易シグネチャデータフィールドに記憶されているデータを配布し、リソースが十分なエンド機器に対しては詳細シグネチャデータフィールドに記憶されているデータを配布することを決定するので、エンド機器本来の機能を損なうことなくエンド機器上でコンピュータウィルスの検知や駆除、不正アクセスの検知や防御ができる。
【0179】
(実施の形態10)
以下に、本発明の実施の形態10によるシグネチャ配布システムについて説明する。
本実施の形態10のシグネチャ配布システムは、上記実施の形態9のシグネチャ配布システムにおける、シグネチャ配布装置4700に代えて、図26に示すシグネチャ配布装置4800を備えたものである。
【0180】
シグネチャ配布装置4800の構成を図26に示す。
図26に示すシグネチャ配布装置4800は、通信制御部4001、配布端末決定部4801、及び機器リソース測定部4802を備えたものである。
【0181】
配布端末決定部4801は、情報収集装置2000から検知結果メッセージA000、およびシグネチャデータを受信し、該シグネチャデータの配布先を決定する。
機器リソース測定部4802は、エンド機器のリソースを測定する。
【0182】
次に、動作について説明する。
配布端末決定部4801では、情報収集装置2000から、検知結果メッセージA000、およびシグネチャデータを受信する。そして、受信した検知結果メッセージA000に含まれる検知元アドレスA001を元に、シグネチャデータの配布先を決定する。
【0183】
機器リソース測定部4802では、配布端末決定部4801により配布先として決定したエンド機器に対し、該エンド機器のリソースを測定するパケットを一回以上送信し、その応答結果及び応答時間によりエンド機器までのネットワークの状況を含んだエンド機器のリソースを測定する。
【0184】
通信制御部4001では、機器リソース測定部4802によるリソースの測定の結果、リソースが少ないエンド機器に対しては簡易シグネチャデータを、リソースが十分であるエンド機器に対しては詳細シグネチャデータを送信する。例えばリソース測定の結果、使用可能なメモリ容量が1メガバイト以下のように少ない場合や、一定の処理に標準の数倍以上の時間がかかる場合エンド機器に対しては簡易シグネチャデータを送信し、使用可能なメモリが数百メガバイト以上で一定の処理に標準の数分の1以下の時間で済むようなエンド機器に対しては詳細シグネチャデータを送信する。
【0185】
このような実施の形態10のシグネチャ配布システムにおいて、配布先として決定したエンド機器に対して、機器リソース測定部4802によるリソースの測定を行い、その結果、リソースが少ないエンド機器に対しては簡易シグネチャデータを配布し、リソースが十分なエンド機器に対しては詳細シグネチャデータを配布するようにしたので、エンド機器側で機器のアップデートやダウングレード、機器自体のリプレイスなどが発生しても、シグネチャ配布装置側でデータの変更作業を行うことなく機器のリソースに基づいたシグネチャの配布を行うことができる。
【0186】
(実施の形態11)
以下に、本発明の実施の形態11によるシグネチャ配布システムについて説明する。
本実施の形態11のシグネチャ配布システムは、上記実施の形態9のシグネチャ配布システムにおける、シグネチャ配布装置4700に代えて、図27に示すシグネチャ配布装置4900を備えたものである。
【0187】
シグネチャ配布装置4900の構成を図27に示す。
図27に示すシグネチャ配布装置4900は、通信制御部4001、配布端末決定部4901、機器通信量測定部4902を備えたものである。
【0188】
配布端末決定部4901は、情報収集装置2000から検知結果メッセージA000、およびシグネチャデータを受信し、該シグネチャデータの配布先を決定する。
機器通信量測定部4902は、エンド機器の通信量を測定する。
【0189】
次に、動作について説明する。
配布端末決定部4901は、情報収集装置2000から、検知結果メッセージA000、およびシグネチャデータを受信する。そして、受信した検知結果メッセージA000に含まれる検知元アドレスA001を元に、シグネチャデータの配布先と決定する。
【0190】
機器通信量測定部4902は、配布端末決定部4901により配布先として決定したエンド機器に対し、該エンド機器の通信量を測定する。
【0191】
通信制御部4001は、機器通信量測定部4902による通信量の測定の結果、通信量の少ないエンド機器に対しては簡易シグネチャデータを、通信量の多いエンド機器に対しては詳細シグネチャデータを送信する。例えば、1日に数回程度の通信しか行なわず、通信データのサイズも数十キロバイト程度のエンド機器に対しては簡易シグネチャデータを送信し、1時間に何回も通信を行うようなエンド機器や、1回の通信で非常に大きなデータを通信する、もしくは通信を維持するようなエンド機器に対しては詳細なシグネチャデータを送信するようにする。
【0192】
このような実施の形態11のシグネチャ配布システムでは、配布先として決定したエンド機器に対し、機器通信量測定部4902による通信量の測定を行い、その結果、通信量の多いエンド機器に対しては詳細シグネチャデータを、通信量が少ないエンド機器に対しては簡易シグネチャデータを配布するようにしたので、データの送受信が多くその分コンピュータウィルスや不正アクセスに対するリスクが高いと思われる通信量が多いエンド機器に対し、コンピュータウィルスもしくは不正アクセスに対して駆除や防御までを行うシグネチャを配布することができる。
【0193】
(実施の形態12)
以下に、本発明の実施の形態11によるシグネチャ配布システムについて説明する。
本実施の形態11のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、情報解析装置1000に代えて、図28に示す情報解析装置1200を備えたものである。
【0194】
情報解析装置1200の構成を図28に示す。
図28に示す情報解析装置1200は、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003、及びシグネチャ消去判定部1201を備えている。
【0195】
シグネチャ消去判定部1201は、コンピュータウィルスもしくは不正アクセスに対するシグネチャを使用する必要が有るか否かを判定する。なお、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003は、図3に示すものと同一のものである。
【0196】
次に、動作について説明する。
情報解析装置1200では、シグネチャ消去判定部1201において、以前に配布されたシグネチャを使用する必要があるか否かを判定する。そして、判定の結果、感染・攻撃判定部1002により検知されなくなるなどして必要がないと判定したシグネチャを消去する旨の消去メッセージを、通信制御部1001を介して情報収集装置2000に送信する。
【0197】
情報収集装置2000では、上記消去メッセージを受け取ると、シグネチャ配布装置4000に送信する。
【0198】
シグネチャ配布装置4000では、上記消去メッセージに含まれる消去すべきシグネチャを記憶しているエンド機器5000を特定し、上記消去メッセージを送信する。
【0199】
エンド機器5000では、上記消去メッセージを受け取ると、受信した消去メッセージに含まれるシグネチャをシグネチャ記憶部5003から消去する。
【0200】
このような実施の形態12のシグネチャ配布システムでは、情報解析装置1200のシグネチャ消去判定部1201により不要と判定したシグネチャを、エンド機器5000のシグネチャ記憶部5003から削除するようにしたので、エンド機器5000が持つシグネチャを必要最小限に抑え、エンド機器のリソースをより効率的に使用することができる。
【0201】
(実施の形態13)
以下に、本発明の実施の形態13によるシグネチャ配布システムについて説明する。
本実施の形態13のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、情報解析装置1000に代えて、図29に示す情報解析装置1300を備えたものである。
【0202】
情報解析装置1300の構成を図29に示す。図において、図3と同一構成要素については同一符号を付している。
【0203】
図29に示す情報解析装置1300は、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003、シグネチャ消去判定部1301、および継続検知判定部1302を備えたものである。
【0204】
シグネチャ消去判定部1301は、コンピュータウィルスもしくは不正アクセスに対するシグネチャを使用する必要が有るか否かを判定する。
【0205】
継続検知判定部1302は、感染・攻撃判定部1002がコンピュータウィルスもしくは不正アクセスを継続的に検知しているか否かを判定する。
【0206】
次に、動作について、説明する。
情報解析装置1300では、継続検知判定部1302において、以前に感染・攻撃判定部1002により検知されていたコンピュータウィルスおよび不正アクセスが継続的に検知されているか否かを判定する。判定の結果、継続的に検知されていないと判定した場合、シグネチャ消去判定部1301では、該当のコンピュータウィルスもしくは不正アクセスに関するシグネチャを削除する旨の消去メッセージを、通信制御部1001を介して情報収集装置2000に送信する。
【0207】
情報収集装置2000では、上記消去メッセージを受け取ると、シグネチャ配布装置4000に送信する。
【0208】
シグネチャ配布装置4000では、上記消去メッセージに含まれる、消去すべきシグネチャを記憶しているエンド機器5000を特定し、上記消去メッセージを送信する。
【0209】
エンド機器5000では、上記消去メッセージを受け取ると、受信した消去メッセージに含まれるシグネチャをシグネチャ記憶部5003から消去する。
【0210】
このような実施の形態13のシグネチャ配布システムでは、コンピュータウィルスもしくは不正アクセスが継続的に検知されず、不必要となったシグネチャを消去するようにしたので、エンド機器がより安全な状態で、エンド機器でのシグネチャの削除を行うことができる。また、エンド機器5000が持つシグネチャを必要最小限に抑え、エンド機器のリソースをより効率的に使用することができる。
【0211】
(実施の形態14)
以下に、本発明の実施の形態14によるシグネチャ配布システムについて説明する。
本実施の形態14のシグネチャ配布システムは、上記実施の形態1のシグネチャ配布システムにおける、情報解析装置1000に代えて、図30に示す情報解析装置1400を備えたものである。
【0212】
情報解析装置1400の構成を図30に示す。図において、図29と同一構成要素については同一符号を付している。
【0213】
図30に示す情報解析装置1400は、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003、継続検知判定部1302、シグネチャ消去判定部1401、および消去判定タイマー1402を備えたものである。
【0214】
シグネチャ消去判定部1401は、コンピュータウィルスもしくは不正アクセスに対するシグネチャを使用する必要が有るか否かを判定する。
【0215】
消去判定タイマー1402は、感染・攻撃判定部1002がコンピュータウィルスもしくは不正アクセスを検知してからの経過時間を計測する。この消去判定タイマー1402に対しては、該タイマーの計測時間と比較される一定の参照時間が設定されている。
【0216】
次に、動作について説明する。
情報解析装置1400では、感染・攻撃判定部1002によりコンピュータウィルスおよび不正アクセスを検知すると、検知してからの経過時間を消去判定タイマー1402で計測する。また、継続検知判定部1302において、感染・攻撃判定部1002によりコンピュータおよび不正アクセスが継続的に検知されているか否かを判定する。
【0217】
そして、シグネチャ消去判定部1401は、継続検知判定部1302により、コンピュータウィルスもしくは不正アクセスが継続的に検知されていないと判定されている状態で、消去判定タイマー1402により計測した、該コンピュータウィルスもしくは該不正アクセスを検知してからの経過時間が、該タイマーに対して設定されている参照時間以上となった場合、該当のコンピュータウィルスもしくは不正アクセスに関するシグネチャを削除する旨の消去メッセージを、通信制御部1001を介して情報収集装置2000に送信する。
【0218】
情報収集装置2000では、上記消去メッセージを受け取ると、シグネチャ配布装置4000に送信する。
【0219】
シグネチャ配布装置4000では、上記消去メッセージに含まれる、消去すべきシグネチャを記憶しているエンド機器5000を特定し、上記消去メッセージを送信する。
【0220】
エンド機器5000では、上記消去メッセージを受け取ると、受信した消去メッセージに含まれるシグネチャをシグネチャ記憶部5003から消去する。
【0221】
このような実施の形態14のシグネチャ配布システムでは、潜伏期間を持つようなコンピュータウィルスや時限発症式のコンピュータウィルスに関しても、検知から安全となる時間間隔をあけた上でシグネチャの削除を行うので、エンド機器がより安全な状態でエンド機器でのシグネチャの削除を行うことができる。
【0222】
(実施の形態15)
以下に、本発明の実施の形態15によるシグネチャ配布システムについて説明する。
本実施の形態15のシグネチャ配布システムは、上記実施の形態9のシグネチャ配布システムにおける、情報解析装置1000に代えて、図31に示す情報解析装置1500を備えたものである。
【0223】
情報解析装置1500の構成を図31に示す。図において、図30と同一構成要素については同一符号を付している。
【0224】
図31に示す情報解析装置1500は、通信制御部1001、感染・攻撃判定部1002、感染・攻撃検知用シグネチャ記憶部1003、継続検知判定部1302、消去判定タイマー1402、シグネチャ消去判定部1501、及び警戒判定タイマー1502を備えたものである。
【0225】
シグネチャ消去判定部1501は、コンピュータウィルスもしくは不正アクセスに対するシグネチャを使用する必要が無いことを判定する。
【0226】
警戒判定タイマー1502は、感染・攻撃判定部1002がコンピュータウィルスもしくは不正アクセスを検知してからの経過時間を計測する。なお、この警戒判定タイマー1502に対しては、該タイマーの計測時間と比較される一定の参照時間が設定されており、該タイマー1502に対する参照時間は、消去判定タイマー1402に対して設定されている参照時間より短い時間である。
【0227】
次に、動作について説明する。
この実施の形態のシステムでは、情報解析装置1500が、感染・攻撃判定部1002によりコンピュータウィルスおよび不正アクセスを検知すると、検知結果メッセージを情報収集装置2000に通知し、シグネチャ配布装置4000はエンド機器5000に対して詳細シグネチャデータを配布する。
【0228】
そして、情報解析装置1500は、継続検知判定部1302により、感染・攻撃判定部1002によりコンピュータおよび不正アクセスが継続的に検知されているか否かを判定する。また、検知してからの経過時間を消去判定タイマー1402及び警戒判定タイマー1502で計測する。シグネチャ消去判定部1501では、継続検知判定部1302により、継続的に検知されていないと判定されている状態で、警戒判定タイマー1502により計測した、該コンピュータウィルスもしくは該不正アクセスを検知してからの経過時間が、該タイマーに対して設定されている参照時間以上となった場合、詳細シグネチャデータの必要が無くなったと判断し、簡易シグネチャデータと入れ替える旨の警戒メッセージを情報収集装置2000に通知する。
【0229】
情報収集装置2000では、上記警戒メッセージを受け取ると、該当する簡易シグネチャデータを配布用シグネチャ記憶部3000より検索し、シグネチャ配布装置4000に送信する。
【0230】
シグネチャ配布装置4000では、情報収集装置2000から受信した簡易シグネチャデータの配布先を、上記警戒メッセージに基づいて決定し、決定したエンド機器5000に上記簡易シグネチャデータを配布する。
【0231】
エンド機器5000は、簡易シグネチャデータを受け取ると、現在記憶している詳細シグネチャデータを消去した上で、簡易シグネチャデータを記憶する。
【0232】
また、情報解析装置1500では、シグネチャ消去判定部1501において、継続検知判定部1302により、継続的に検知されていないと判定されている状態で、消去判定タイマー1402により計測した、該コンピュータウィルスもしくは該不正アクセスを検知してからの経過時間が、該タイマーに対して設定されている参照時間以上となった場合、該当のコンピュータウィルスもしくは不正アクセスに関するシグネチャを削除する旨の消去メッセージを、通信制御部1001を介して情報収集装置2000に送信する。
【0233】
情報収集装置2000では、上記消去メッセージを受け取ると、シグネチャ配布装置4000に送信する。
【0234】
シグネチャ配布装置4000では、上記消去メッセージに含まれる、消去すべきシグネチャを記憶しているエンド機器5000を特定し、上記消去メッセージを送信する。
【0235】
エンド機器5000では、上記消去メッセージを受け取ると、受信した消去メッセージに含まれるシグネチャをシグネチャ記憶部5003から消去する。
【0236】
このような実施の形態15のシグネチャ配布システムでは、危険が遠のいたエンド機器に関しては、簡単なシグネチャでの検知を行い、危険度が高いエンド機器に関しては今までどおり詳細なシグネチャで検知・駆除・防御を行うため、より効率的にリソースを使用でき且つ安全にエンド機器を使用することができる。
【0237】
なお、上記実施の形態1〜15では、エンド機器側で該エンド機器が有するシグネチャが不必要であるか否かを判断し、不必要であると判断したシグネチャを消去する場合について示しているが、シグネチャ配布装置4000が、配布済みのシグネチャの中で消去すべきシグネチャを決定し、該決定したシグネチャを持つ単数または複数のエンド機器を特定し、前記シグネチャの消去を指示するメッセージを送信することにより、エンド機器がシグネチャの消去をするようにしても良い。
【産業上の利用可能性】
【0238】
本発明にかかるシグネチャ配布システムは、ネットワーク機器へのウィルススキャナの配布や侵入検知システムへのシグネチャ配布を、効率的なシグネチャの配布とできるものであり、ネット家電などを含むエンド機器をコンピュータウィルスや不正アクセスから防御する上で有用なものである。
【0239】
また、ネットワーク機器が持つシグネチャの選択方法とし、機器の消費リソースを最小にする方法としても有用である。
【図面の簡単な説明】
【0240】
【図1】本発明の実施の形態1のシグネチャ配布システムの基本的な構成図である。
【図2】本発明の実施の形態1のシグネチャ配布システムにおいて、情報解析装置から出力される検知結果メッセージを示す。
【図3】本発明の実施の形態1のシグネチャ配布システムにおける、情報解析装置の構成を示す図である。
【図4】本発明の実施の形態1のシグネチャ配布システムにおける、配布用シグネチャ記憶部を構成するデータベースを示す図である。
【図5】本発明の実施の形態1のシグネチャ配布システムにおける、情報収集装置の構成を示す図である。
【図6】本発明の実施の形態1のシグネチャ配布システムにおける、シグネチャ配布装置の構成を示す図である。
【図7】本発明の実施の形態1のシグネチャ配布システムにおける、エンド機器の構成を示す図である。
【図8】本発明の実施の形態1のシグネチャ配布システムの具体例を示す図である。
【図9】本発明の実施の形態2のシグネチャ配布システムにおける、シグネチャ配布装置の構成を示す図である。
【図10】本発明の実施の形態3のシグネチャ配布システムにおける、配布用シグネチャ記憶部を構成するデータベースを示す図である。
【図11】本発明の実施の形態3のシグネチャ配布システムにおける、シグネチャ配布装置の構成を示す図である。
【図12】本発明の実施の形態4のシグネチャ配布システムにおける、配布用シグネチャ記憶部を構成するデータベースを示す図である。
【図13】本発明の実施の形態4のシグネチャ配布システムにおける、シグネチャ配布装置の構成を示す図である。
【図14】本発明の実施の形態4のシグネチャ配布装置を構成するエンド機器情報記憶部に記憶される、エンド機器情報を示す図である。
【図15】本発明の実施の形態5のシグネチャ配布システムにおける、シグネチャ配布装置の構成を示す図である。
【図16】本発明の実施の形態6のシグネチャ配布システムにおける、配布用シグネチャ記憶部を構成するデータベースを示す図である。
【図17】本発明の実施の形態6のシグネチャ配布システムにおける、シグネチャ配布装置の構成を示す図である。
【図18】本発明の実施の形態7のシグネチャ配布システムにおける、シグネチャ配布装置の構成を示す図である。
【図19】本発明の実施の形態7のシグネチャ配布システムにおいて、情報解析装置から出力される検知結果メッセージを示す図である。
【図20】本発明の実施の形態7のシグネチャ配布装置を構成するエンド機器物理位置情報記憶部に記憶される、エンド機器情報を示す図である。
【図21】本発明の実施の形態8のシグネチャ配布システムにおいて、情報解析装置から出力される検知結果メッセージを示す図である。
【図22】本発明の実施の形態8のシグネチャ配布システムにおける、情報解析装置の構成を示す図である。
【図23】本発明の実施の形態9のシグネチャ配布システムにおける、配布用シグネチャ記憶部を構成するデータベースを示す図である。
【図24】本発明の実施の形態9のシグネチャ配布システムにおける、シグネチャ配布装置の構成を示す図である。
【図25】本発明の実施の形態9のシグネチャ配布装置を構成するエンド機器リソース情報記憶部に記憶される、エンド機器情報を示す図である。
【図26】本発明の実施の形態10のシグネチャ配布システムにおける、シグネチャ配布装置の構成を示す図である。
【図27】本発明の実施の形態11のシグネチャ配布システムにおける、シグネチャ配布装置の構成を示す図である。
【図28】本発明の実施の形態12のシグネチャ配布システムにおける、情報解析装置の構成を示す図である。
【図29】本発明の実施の形態13のシグネチャ配布システムにおける、情報解析装置の構成を示す図である。
【図30】本発明の実施の形態14のシグネチャ配布システムにおける、情報解析装置の構成を示す図である。
【図31】本発明の実施の形態15のシグネチャ配布システムにおける、情報解析装置の構成を示す図である。
【符号の説明】
【0241】
1000 情報解析装置
1001 通信制御部
1002 感染・攻撃判定部
1003 感染・攻撃検知用シグネチャ記憶部
1100 感染済み機器を考慮に入れた配布を行うための情報解析装置
1101 感染・攻撃端末特定部
1200 シグネチャの削除を行うための情報解析装置
1201 シグネチャ消去判定部
1300 継続検知結果によりシグネチャの削除を行うための情報解析装置
1301 継続検知結果によりシグネチャの削除を行うためのシグネチャ消去判定部
1302 継続検知判定部
1400 タイマーによりシグネチャの削除を行うための情報解析装置
1401 タイマーによりシグネチャの削除を行うためのシグネチャ消去判定部
1402 消去判定タイマー
1500 段階的タイマーによりシグネチャの削除を行うための情報解析装置
1501 段階的タイマーによりシグネチャの削除を行うためのシグネチャ消去判定部
1502 警戒判定タイマー
2000 情報収集装置
2001 通信制御部
2002 配布用シグネチャ判定部
3000 配布用シグネチャ記憶部
3001 シグネチャID
3002 シグネチャ対応情報
3003 シグネチャデータ
3100 検知結果の影響を考慮した配布を行うための配布用シグネチャ記憶部
3101 感染力・影響度情報
3200 検知結果の影響機器を考慮した配布を行うための配布用シグネチャ記憶部
3201 影響機器情報
3300 機器での稼動サービスを考慮に入れた配布を行うための配布用シグネチャ記憶部
3301 影響サービス情報
3400 機器リソースを考慮に入れた配布を行うための配布用シグネチャ記憶部
3401 簡易シグネチャデータ
3402 詳細シグネチャデータ
4000 シグネチャ配布装置
4001 通信制御部
4002 配布端末決定部
4100 検知元の近隣に配布を行うためのシグネチャ配布装置
4101 検知元の近隣に配布を行う配布端末決定部
4102 近隣ネットワーク情報記憶部
4200 検知結果の影響を考慮した配布を行うためのシグネチャ配布装置
4201 検知結果の影響を考慮した配布を行うための配布端末決定部
4202 影響範囲判定部
4300 検知結果の影響機器を考慮した配布を行うためのシグネチャ配布装置
4301 検知結果の影響機器を考慮した配布を行うための配布端末決定部
4310 エンド機器情報記憶部
4311 エンド機器ID
4312 OS情報
4313 アーキテクチャ情報
4400 登録サービスを考慮に入れた配布を行うためのシグネチャ配布装置
4401 登録サービスを考慮に入れた配布を行うための配布端末決定部
4410 サービス登録端末記憶部
4500 機器での稼動サービスを考慮に入れた配布を行うためのシグネチャ配布装置
4501 機器での稼動サービスを考慮に入れた配布を行うための配布端末決定部
4502 機器スキャン部
4600 物理位置を考慮に入れた配布を行うためのシグネチャ配布装置
4601 物理位置を考慮に入れた配布を行うための配布端末決定部
4610 物理位置を考慮に入れた配布を行うためのエンド機器情報記憶部
4611 物理的位置情報
4700 機器リソースを考慮に入れた配布を行うためのシグネチャ配布装置
4701 機器リソースを考慮に入れた配布を行うための配布端末決定部
4710 機器リソースを考慮に入れた配布を行うためのエンド機器情報記憶部
4711 機器リソース情報
4800 機器リソースを考慮に入れた配布を行うためのシグネチャ配布装置その2
4801 機器リソースを考慮に入れた配布を行うための配布端末決定部その2
4802 機器リソース測定部
5000 エンド機器
5001 通信制御部
5002 シグネチャ制御部
5003 シグネチャ記憶部
5004 コンピュータウィルス検知・駆除部
5005 侵入検知・防御部
A000 検知結果メッセージ
A001 検知元アドレス
A002 検知情報
A100 物理位置を考慮に入れた配布を行うための検知結果メッセージ
A101 検知元物理座標
A200 感染済み機器を考慮に入れた配布を行うための検知結果メッセージ
A201 感染・侵入端末情報




 

 


     NEWS
会社検索順位 特許の出願数の順位が発表

URL変更
平成6年
平成7年
平成8年
平成9年
平成10年
平成11年
平成12年
平成13年


 
   お問い合わせ info@patentjp.com patentjp.com   Copyright 2007-2013