特許

J-GLOBAL ID：201203053539576108

マルウェア検出方法、およびマルウェア検出装置

発明者： 川口 信隆 ,  大河内 一弥 ,  鍛 忠司 ,  川口 龍之進
出願人/特許権者： 株式会社日立製作所
代理人 (1件)： ポレール特許業務法人
公報種別：公開公報
出願番号（国際出願番号）：特願2010-227653
公開番号（公開出願番号）：特開2012-084994
出願日： 2010年10月07日
公開日（公表日）： 2012年04月26日
要約：

【課題】ネットワークにマルウェア感染端末が存在することを検出する。【解決手段】内部ネットワークの内部端末と他の内部端末との間に既定された通常内部通信、及び、内部端末と外部ネットワークに接続する外部端末との間に既定された通常外部通信を予め記憶装置に記憶する。ネットワーク接続装置から、内部端末の通信情報を取得して、通常内部通信および通常外部通信を参照して、通信情報から、内部端末と他の内部端末との間に既定されない異常内部通信、及び、内部端末と外部端末との間に既定されない異常外部通信とを取得して記憶装置に記憶する。記憶した異常外部通信を所定期間内に行った回数に基いて、内部端末が不審端末であることを検知する。不審端末と他の不審端末との間の、記憶した異常内部通信が所定期間内に発生した回数に基いて、内部ネットワーク内にマルウェアに感染した内部端末が存在すると検知する。【選択図】図4

請求項（抜粋）：

外部ネットワークと接続している内部ネットワークに接続されたネットワーク接続装置にさらに接続された検出装置におけるマルウェア検出方法であって、前記検出装置は、 (1)前記内部ネットワークに接続する内部端末と前記内部ネットワークに接続する他の内部端末との間に既定された通信である通常内部通信、および、(2)前記内部端末と前記外部ネットワークに接続する外部端末との間に既定された通信である通常外部通信を予め記憶し、 前記ネットワーク接続装置から、前記内部ネットワークに接続する前記内部端末の通信情報を取得して、前記通常内部通信および前記通常外部通信を参照して、取得した前記通信情報から、(3)前記内部端末と前記内部ネットワークに接続する前記他の内部端末との間に既定されない、前記通常内部通信以外の通信である異常内部通信、および、(4)前記内部端末と前記外部ネットワークに接続する前記外部端末との間に既定されない、前記通常外部通信以外の通信である異常外部通信とを取得して記憶し、 記憶した前記異常外部通信を所定期間内に行った回数に基いて、前記内部端末が不審端末であることを検知し、 前記不審端末と他の不審端末との間の、記憶した前記異常内部通信が所定期間内に発生した回数に基いて、前記内部ネットワーク内にマルウェアに感染した前記内部端末が存在すると検知することを特徴とするマルウェア検出方法。

IPC (4件)：

H04L 12/66 ,  G06F 21/22 ,  G06F 21/20 ,  G06F 13/00

FI (4件)：

H04L12/66 B ,  G06F9/06 660N ,  G06F15/00 330A ,  G06F13/00 351Z

Fターム (22件)：

5B089GA21 ,  5B089GB02 ,  5B089KA17 ,  5B089KC31 ,  5B089KC53 ,  5B089MC07 ,  5B276FD08 ,  5B285AA04 ,  5B285AA05 ,  5B285AA06 ,  5B285AA07 ,  5B285BA01 ,  5B285BA07 ,  5B285CA32 ,  5B285CA37 ,  5B285DA05 ,  5B285DA06 ,  5K030GA15 ,  5K030HA08 ,  5K030HD03 ,  5K030JA10 ,  5K030LC13

引用特許：

出願人引用 (1件)

• ネットワークシステム、マルウェア検出装置、マルウェア検出方法、プログラム及び記録媒体
  公報種別：公開公報   出願番号：特願2008-120845   出願人：株式会社ネットワーク応用技術研究所, 九州電力株式会社