Embed Size (px)
Citation preview
筑波大学大学院博士課程
システム情報工学研究科修士論文
イントラネットにおける
ウイルス感染制御戦略の動的解析
金 海龍
(社会システム工学専攻)
指導教官 住田 潮
2006年1月
概要概要概要概要
情報技術は、今や産業・経済活動から国民生活、行政活動に必要不可欠な社会基盤として
の地位を占めるまでに浸透・発展した。もし、情報システムが破壊されたり、インターネッ
トが停止したりすることがあれば、それは、われわれの生活や産業活動を麻痺させるほどの
一大事となる。しかし、現実にインターネットの急速な普及に伴い、コンピュータウイルス
に感染する被害が増えている。
今までのコンピュータウイルス対策としては、アンチウイルスソフトやファイアウォール
などが使われてきた。アンチウイルスソフトにおいては、既知ウイルススキャン(Known Virus
Scanning ,KVS)と呼ばれる識別パターンに基づいてウイルスを検出するパターンマッチング
方式が中小企業、個人ユーザーを中心に使われ、現在主流となっている。しかし、新種・亜
種の発生から最新のパターンファイルが入手されるまでにウイルスに感染してしまう可能性
がある、或いはウイルス蔓延時多くのユーザーがパターン更新するためサーバーの負荷増大
により新規パターンファイルの入手が困難になってしまう、など新たな問題を引き起こして
いる。
こうした問題に対処するため、本研究では動的にワクチンを投入する三つのアンチウイル
スシステム:①IP 方式、②PV 方式及び③CV 方式を提案する。本研究で取り扱うワクチンは
自ら繁殖能力を持ち、ウイルスの動きによってネット上に拡散して侵入したウイルスを駆除
する特徴を持つ。ここで、ウイルスを駆除する過程において増殖したワクチンとウイルスが
かける通信負荷コスト及びウイルスに感染されることによるコストの総和をシステム総コス
トとして、3 方式それぞれについて比較分析し、最終的に IP 方式と PV 方式による連立方式
を新たに第 4 の方式として提案した。数値実験によって IP,PV,CV 各 3 方式及び連立方式の性
能評価を行ったが、その結果、連立方式はそれを構成する互いの方式の短所を補うことがで
きるために 4 方式の中でコストを最も低く抑えられるということが明らかとなった。
i
目次
第 1章 序論���������������������������������������������������������������������������������������������������1
1.1 研究背景������������������������������������������������������������������������������������������������1
1.2 用語の定義���������������������������������������������������������������������������������������������2
1.3 研究目的������������������������������������������������������������������������������������������������3
1.4 論文の構成���������������������������������������������������������������������������������������������3
第 2章 先行研究���������������������������������������������������������������������������������������������4
第 3章 主動アンチウイルスシステムモデル ���������������������������������������������������������5
3.1 CV(counterattack as be infected with virus)方式 ��������������������������������������6
3.2 PV(propagate as be infected with virus)方式��������������������������������������������9
3.3 IP(independence propagation)方式������������������������������������������������������� 14
第 4章 連立システムの提案 ���������������������������������������������������������������������������� 21
第 5章 結論������������������������������������������������������������������������������������������������� 29
謝辞���������������������������������������������������������������������������������������������������������������� 30
参考文献���������������������������������������������������������������������������������������������������������� 31
ii
図目次
グラフ 3-1������������������������������������������������������������������������������������������������� 18
グラフ 3-2������������������������������������������������������������������������������������������������� 19
グラフ 3-3������������������������������������������������������������������������������������������������� 19
グラフ 3-4������������������������������������������������������������������������������������������������� 20
グラフ 3-5������������������������������������������������������������������������������������������������� 20
グラフ 4-1������������������������������������������������������������������������������������������������� 27
グラフ 4-2������������������������������������������������������������������������������������������������� 28
1
第1章 序論
1.1 研究背景
インターネットの急速な普及に伴い、コンピュータウイルスによる被害がますます深刻に
なってきている。電子メールや Web サイトの閲覧を通じてコンピュータウイルスの感染被害
が広がる一方、システムのセキュリティホールを悪用しユーザーや管理者が全く気づかない
うちに感染させるネットワーク・ワームも近年猛威を振るっている。2003 年 1 月には、SQL
Slammer ワームにより、韓国のインターネットが一時停止している。日本におけるウイルス
届出件数1の年別推移を見ると、1999 年の届出件数合計 3,645 件に対し 2004 年は 52,151 件
となっており、5 年間で約 14 倍に増加している。
ウイルスは、その挙動によって感染型と拡散型に大別できる。感染型は感染活動を行って
増殖するウイルスで宿主を必要とし、感染対象によってさらに細分化される。拡散型(ワー
ム)は宿主が不要であり、電子メール、共有ファイル、パケット通信などによって拡散する。
他のタイプのウイルスとしては、単体行動型のトロイの木馬、論理爆弾、時限爆弾などが考
えられ、自身では感染も拡散もしないが単体で不正な処理を行う。
従来のウイルス対策では、主にアンチウイルスソフトの導入や一般ユーザーへの啓蒙など
の受動的防御手段を採ってきた。アンチウイルスの方式はジェネリック方式とパターンマッ
チング方式の二つに大別される[1]。ジェネリック方式はウイルスコードの推定に基づいてア
クセスを監視し、疑わしいアクセスがあった場合には警報を鳴らす方式である。新種・亜種
発見の際にスキャナを更新する必要がないので、更新までの間もしくはネットダウン時に、
ウイルスに対して無防備となることがない。しかし、ウイルスでないものをウイルスと検知
したりウイルスを検知できず通過させてしまう誤検知が起こるなどの問題がある。パターン
マッチング方式は、既知ウイルススキャン(Known Virus Scanning ,KVS)と呼ばれるもので、
識別パターンに基づいてウイルスを検出する方式であり、現在主流となっている。新種のウ
イルスや亜種が発見された時には、分析によって適合する識別パターンを抽出し、次にスキ
ャナを修正することでその特定が可能となる。これが新種・亜種ウイルスへの対応となる。
しかし、新種・亜種の発生から最新のパターンファイルが入手されるまでの間にウイルスに
感染してしまう、或いはウイルス蔓延時のネットワーク負荷増大(ネットダウン)により新
規パターンファイルの入手が困難になってしまう、また、パターンファイルの更新は、ユー
ザーに頼って行っているため、ユーザーはパターンファイルの更新をしない、或いは、更新
するとしても、定期的かつ自動的には更新しない2ということが問題となる。
インターネットはTCP/IPを共通のプロトコルとするネットワークの連合体で、インターネ
ット全体を中央管理するシステムは存在しない。従って、ウイルスに対する防御策を講じる
責任は、各イントラネットが負うことになる。イントラネット内へのウイルス感染を防ぐ効
果的な方法の一つとして、イントラネットのゲートでのアンチウイルスソフトによるウイル
ス感染有無のチェックが考えられる。しかし、パソコンの持ち込みやファイルの交換などに
より、イントラネット内にも感染が広がる可能性がある。一旦、イントラネット内で感染が
起こると、ゲートでのアンチウイルスソフトによる防御のみでは、感染の拡大を防ぎきれな
1 「ウイルス届出件数の推移」情報処理推進機構 IPA http://www.ipa.go.jp
2 調査会社の株式会社サイバーブレインズ 2004年「ウイルス対策ソフトの利用状況」より、ウイルス対策ソフトのパターン
ファイルの更新率は85.6%、定期または自動更新率は67.8%となっている。
2
い。そこで、イントラネット上のコンピュータが相互配信による新しいパターンファイルを
イントラネット上で拡散させ、イントラネット全体を防御する方式が有効になると考えられ
る。
1.2 用語の定義
本論文で使用する用語を、[2,3,4]を参考にして以下の通り定義する。
コンピュータウイルスコンピュータウイルスコンピュータウイルスコンピュータウイルス:::: ((((以下以下以下以下「「「「ウイルスウイルスウイルスウイルス」」」」とするとするとするとする。。。。))))
第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られた
プログラムであり、次の機能を一つ以上有するもの。
(1) 自己伝染機能
自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他
のシステムにコピーすることにより、他のシステムに伝染する機能。
(2) 潜伏機能
特定時刻、一定経過時間、処理回数等の条件を記憶させて、発病するまで存在を隠す機能。
(3) 発病機能
プログラム、データ等の破壊を行ったり、設計者の意図しない動作をする機能。
ワクチンワクチンワクチンワクチン::::
ウイルスを検出・駆除するためのソフトウェア。ウイルススキャナ、アンチウイルスなどと
も呼ばれる。
感染感染感染感染::::
ウイルスが他のファイルやシステムに自分自身をコピーすること。通常、それらのファイル
やシステムが実行される際にウイルスのコピーが動作するよう対象を改変する。この感染機
能を持つ不正プログラムが狭義のウイルスであり、感染動作を行わず、単独で伝搬、拡散す
るものをワームと呼ぶ。
ウイルスウイルスウイルスウイルス検出検出検出検出::::
あるファイルやシステムがウイルスに感染しているか、あるいはウイルスファイルそのもの
かどうかを判断すること。
ウイルスウイルスウイルスウイルス対策対策対策対策::::
ウイルスの検出・駆除や、ウイルスの感染を防止するための方策。一般的にはワクチンを用
いる。
駆除駆除駆除駆除::::
ウイルスに感染しているファイルやシステムから、ウイルスのみをきれいに取り除くこと。
ウイルスによっては感染の際に対象のファイルに上書きするなど、元のファイルを壊してし
まうことがあるが、その場合はウイルス部分のみを安全に取り除くことはできないため、フ
ァイル全体を削除したり、原本のファイルを再インストールするなどして復旧する必要があ
る。
3
未知未知未知未知ウイルスウイルスウイルスウイルス::::
新種、または既存のウイルスを改変した亜種または変種と呼ばれるウイルスで、その機能が
未分析のもの。機能が分析済みで、命名され、検出方法が確立されたウイルスは既知ウイル
スと呼ばれる。
1.3 研究目的
本研究では、アンチウイルスソフトに関して、以下の三つの仮定を考える。①侵入したウ
イルスの源を捜索できる、②新規パターンはウイルスと同じ手法によりイントラネット上で
拡散する、③新規パターン3を更新すれば、新種ウイルスに対応できる。従来のパターンマッ
チング方式の欠点を克服し、システム負荷と新種ウイルスに感染する可能性の低減を目指し
てイントラネット全体を防御するために、動的にワクチンを投入する三つのアンチウイルス
方式を提案する。すなわち、①IP 方式、②PV 方式及び③CV 方式の三方式である。本研究の
特徴は、ワクチンが自ら繁殖能力を持ち、ネット上に拡散して侵入したウイルスを駆除する
ことができる点にある。ここで、ウイルスを駆除する過程において増殖したワクチンとウイ
ルスがかける通信負荷コスト及びウイルスに感染されることによるコストの総和をシステム
コストと捉え、数理的に解析することによって三つの方式それぞれに対して評価を行う。さ
らに、IP 方式と PV方式の連立による新方式(IP-PV 方式)を第 4 の方式として提案し、数値
実験によって IP,PV,CV,IP-PV の 4 方式について性能比較評価を行う。
1.4 論文の構成
本論文は、以下のように構成されている。第二章では、パターンマッチング方式における
先行研究を紹介する。第三章では、アンチウイルスシステムの三つの方式(IP,PV,CV)を定
義し、それぞれについてシステムコストの評価式を確立する。第四章では、第三章で提案し
た三方式に基づいて新たに連立方式 IP-PV を提案し、分析する。第五章で本研究の結論を述
べる。
3 以下から、新規パターンをワクチンと呼ぶ
4
第2章 先行研究 現在、アンチウイルスを題材にした、様々な研究が行われている。
[5,6,7,8]はコンピュータウイルスなどのmalicious mobile codeのインターネット上での拡
散を分析、防御する研究をした。[9,10,11]日立、NTT DATA、IBMが提案したアンチウイル
スソリューションでは、外部のコンピュータが社内イントラネットに接続する場合は、まず
検疫エリアに接続され、検疫エリア内に設置された専用の認証サーバー、検疫サーバー、ウ
イルスファイル配布サーバーなどによる診断を受ける。ここでウイルスの有無、ウイルス対
策、セキュリティホールの有無などが詳しくチェックされ、基準に適合したコンピュータだ
けがイントラネットへの接続を許可される仕組みである。ただし、コストなどが原因で、中
小企業での普及は困難である。
[12]は、感染源の発見を困難にするコンピュータウイルスへの対策を提唱している。その
コンピュータウイルスは、発信元アドレスの偽装により感染源を発見され難くすることによ
って感染拡大をはかっている。感染メールの観測サーバーへの到着間隔や到着数を観測する
ことによって、ウイルスの感染源がサーバーからどの程度の距離があるかを推定する分析方
法を提案した。ただし、具体的なアンチウイルス対策は提案していない。
またパターンマッチング方式とは、ウイルスの特徴的なコード列(パターン)が検査対象
プラグラム内に存在するかどうかを調べる方式である。近年は、検出手法について研究が盛
んである。[13]はすべてのファイル、ディスク及びネットワーク送信中の何万ものディジタ
ル指紋を探索することにより、悪意のあるコードを検知する検出手法を提案した。各指紋と
は特定のウイルス検体から抽出された短いコード列である。与えられた指紋を発見した場合、
その指紋を含むファイルが感染していることが報告される。この方式では、的中率、処理ス
ピードなどの課題がある。
[14]はウイルスのインターネット上での蔓延に対して、自ら繁殖できるワクチンの投入ア
ンチウイルスシステムを提案した。ワクチンはネットを監視し、ウイルスを発見すると自ら
増殖し、ウイルスに感染しているコンピュータへ送信され、そのウイルスを駆除する。そし
て、ワクチン自らがまた増殖し、そのコンピュータに繋がっている他のコンピュータへ送信
される。最終的にはワクチンの増殖により、インターネット上のウイルスを完全に駆除する。
しかし、ワクチンのインターネット配信では、信頼性が低いため、配信先のコンピュータに
拒否される可能性がある。また、大量の配信は、インターネットへの通信負荷になり兼ねな
い。
5
第3章 主動アンチウイルスシステムモデル 本研究では、従来のパターンマッチング方式の欠点を克服するために、新たな主動アンチ
ウイルスシステムを提案する。今までのパターンマッチング方式では、新しいパターンを更
新するか否かは、ユーザーに依存している。本研究では、新しいパターンが作られると、サ
ーバーが少数のユーザーへ送信し、そして、イントラネット上のコンピュータも互いに送信
することによって、最新パターンをイントラネット上に普及させるという方式を扱う。
図 3.1 主動パターンマッチング方式と従来パターンマッチング方式の比較
主動アンチウイルスシステムとして、ワクチンの投入方法の違いによる三つの方式を提案
する。
� CV(counterattack as be infected with virus)方式:ウイルスに感染した場合に
のみ、ワクチンは自ら繁殖する。繁殖したワクチンはウイルスの送信元へ転送され
る。
� PV(propagate as be infected with virus)方式:ウイルスに感染した場合に、繁
殖したワクチンはウイルスの送信元に転送される。転送されたワクチンはウイルス
の送信元でもまた繁殖し、そこで再び繁殖したワクチンはウイルスの送信元に繋が
っている他のコンピュータへランダムに転送される。
� IP(independence propagation)方式:ワクチンはウイルスのような繁殖過程をも
つが、その繁殖過程はウイルスのそれとは独立である。
本研究では、ウイルスの感染被害によって生起するコスト、そしてワクチンとウイルスが
増殖し他のコンピュータへ送信することによる通信コストを用いて、新しいモデルのシステ
ム・コストを評価する。
1. ウイルスの感染被害コスト は、t 期においてウイルスに感
染しているコンピュータの数を とするとき、次の通り定義する。
2. ウイルスとワクチンがネット上に拡散することによる通信負荷コストを次の通りに定
義する。
ユーザー
アンチウイルスサービスを提供するサーバー
ユーザーのアップデート請求
新しいパターンファイルの配布
従来のパターンマッチング方式 主動パターンマッチング方式
で表す)( by virus)(cost :)(tCv)(txv)1( ))(()( txhtC vvv =
6
このコストは、t-1 期~t 期の間に、生まれたウイルスとワクチンの総数である。(本
研究はウイルスとワクチンのサイズが同じであると設定する)
従って、システム総コストは、(1)と(2)の和として、
によって与えられる。各方式に共同使われる関数を、以下のように定義する
K : イントラネットに設置されているコンピュータの総数
:t期において、ウイルスに感染しているコンピュータの数
:t-1 期~t期の間に繁殖したウイルスの数
:t期において、ワクチンを導入しているコンピュータの数
:t-1 期~t期の間に繁殖したワクチンの数
:ウイルスの繁殖率
:ワクチンの繁殖率、本研究では調整可能とする
β:繁殖したウイルスとワクチンがネット上のコンピュータに転送される確率
:t 期におけるシステム総コスト
:t 期におけるウイルス感染被害コスト
:t-1 期~t 期の間に発生するウイルス・ワクチン通信負荷コスト
本研究では、ウイルスの増殖率 が与えられたとき、システム総コストを最小にするよう
な最適なワクチンの増殖率 を決定することを目指す。
3.1 CV(counterattack as be infected with virus)方式
CV 方式において、以下の事柄を仮定する。
I. ウイルスに感染した場合のみ、ワクチンを繁殖させる。
II. 感染したウイルスの送信元をワクチンは探索できる。
III. 探索したアドレスへ増殖したワクチンを送り返す。
IV. 転送されたワクチンは転送先のウイルスを駆除する。また、同時にパターンファイル
は更新される。
V. ワクチンを装備したコンピュータはウイルスに感染されることがない。
VI. ウイルスの繁殖過程は制御できない。(死滅しない限り繁殖し続ける)
VII. このプロセスは、ネット上のウイルスが絶滅するまで続けられる。
CV 方式におけるウイルス駆除プロセスを次ページの図 3.2 で示す。
t:0t:0t:0t:0 期期期期
初期は、イントラネット内ワクチンを装備したコンピュータとウイルスに感染したコンピ
ュータの数はそれぞれ , とする。
t:1t:1t:1t:1 期期期期
ワクチンワクチンワクチンワクチン::::
t:0~t:1 の間にワクチンは繁殖しないため、 が成立する。
ウイルスウイルスウイルスウイルス::::
t:0~t:1 の間に繁殖するウイルスは となる。現存するウイルスは、その送
)2( ))()(()( tytyhtC wvwcom +=
)3( )( )( )( tCtCtCost comv +=
)(txv
)(tyv
)(txw
)(tyw
vr
wr
)0(0 vv xx = )0(0 ww xx =
)(tCost
)( tCv)( tCcom
vr
wr
CV
w
CV
w xx 0)0( = CV
v
CV
v xx 0)0( =
0)1(, )0()1( == CV
w
CV
w
CV
w yxx
)0()1( CV
vv
CV
v xry =
7
図 3.2 CV 方式におけるウイルス駆除プロセス
信先によって結果が 3 つに異なる。まず、ワクチンのいるコンピュータ(最新パターンをも
らって、アンチウイルスをアップデートしたので、新種ウイルスに対応できるようになって
いる)に送信された場合には、すぐに駆除されるからこのコンピュータを感染されたものと
してはカウントしない。次に既にウイルスに感染したコンピュータに送信された場合には、
新たな感染とはならないので、感染されたコンピュータとしてカウントしない。最後にウイ
ルスもワクチンもいないところに送信された場合には、そのコンピュータを感染されたもの
としてカウントする。したがって t:1 期にウイルスに感染されているコンピュータの総数は
となる。これは、t:0 期に感染されたコンピュータの数と t:1 期に増殖したウイルスに感染
したコンピュータを合わせた結果である。ここで、τ期に、ワクチンとウイルスいずれもい
ないところに送られたウイルスを で表すとすると
と書ける。(図 3.2 参照のこと)
図 3.2
コストコストコストコスト::::
t:1 期にウイルスとワクチンがネット上に拡散することによる通信負荷コストは、
t期にワクチンを導入しているコンピュータ。
t期にウイルスに感染しているコンピュータ。
t:0 t:1 t:2
t期の図にある は、tからt+1期のワクチンのアクションです。
t期の図にある は、tからt+1期のウイルスのアクションです。
)0())0()0(
1)(0()1( CV
v
CV
w
CV
vCV
vv
CV
v xK
xxxrx +
+−= β
empty) (virus )( →→ τCV
evL
))1()1(
1)(1()(K
xxxrL
CV
w
CV
vCV
vv
CV
ev
−+−−−=→
τττβτ
)0()1()1( CV
v
CV
ev
CV
v xLx += →
)1( ))1()1(( )1( CV
v
CV
w
CV
w
CV
v
CV
w
CV
com yhyyhC =+=
τ期にウイルスに感染しているコンピュータ。
)(τCV
evL →
τ期にワクチンを導入しているコンピュータ。
:ワクチンとウイルス何れもいないところに送られたウイルス
8
となる。
t:1 期におけるウイルス感染被害コストは
で与えられる。
tttt:2:2:2:2 期期期期
ワクチンワクチンワクチンワクチン::::
ウイルスに感染すると、ワクチンが自ら繁殖し、増殖したワクチンをウイルスの送信元へ送
信する。その数は、t:1 期にワクチンがいるところに送られたウイルスと同じである。よっ
て
が成立する。τ 期に汚染されたウイルスの源に送り返されたワクチンは τ-1 期にワクチン
を装備しているコンピュータに送られたウイルスの数と同じである。
それを で表すと
と書ける。これは、t:2 期に繁殖したワクチンの数でもある。よって
が成立する。
ウイルスウイルスウイルスウイルス::::
t:1 期~t:2 期の間に繁殖されたウイルスの数は である。増殖したウイルスに
感染したコンピュータは であり、ワクチンの増殖よりワクチンに駆除されたウイルス4
は であるので、t:2 期にウイルスに感染しているコンピュータの総数は
となる。
コストコストコストコスト::::
t:2 期の通信コストは
となる。
t:2 期におけるウイルス感染被害コストは
となる。
まとめまとめまとめまとめ((((CVCVCVCV 方式方式方式方式))))
ワクチンワクチンワクチンワクチン::::
t:0,t:1,t:2 期におけるワクチンを導入しているコンピュータの総数は
実際にはワクチンを装備するコンピュータの数はイントラネットにあるコンピュータの総数
Kを超えないので、τ 期においてワクチンを導入しているコンピュータの数は
4 繁殖したワクチンがウイルスに感染したコンピュータに送られ、そのコンピュータにいるウイルスを駆除するよるウイルス
に感染しているコンピュータの数を減る。以下と同じ。
)1()0(
)0()2( CV
w
CV
wCV
vv
CV
w xK
xxrx += β
vaccine)(virus )( →→ τCV
wvL
)0)1()0(()2(
)2()( ==−
−= →→→CV
wv
CV
wv
CV
wCV
vv
CV
wv LLK
xxrL
ττβτ
)1()2()2( CV
w
CV
wv
CV
w xLx += →
))1(()1( CV
v
CV
v
CV
v xhC =
)2()2( CV
wv
CV
w Ly →=
)2(CV
evL →
)2(CV
wvL →
)1()2()2()2( CV
v
CV
wv
CV
ev
CV
v xLLx +−= →→
))2()1(( ))2()2(()2( CV
wv
CV
vvwwvwcom LxrhyyhC →+=+=
))2(()2( CV
v
CV
v
CV
v xhC =
})),((min{)( Kxfx CV
w
CV
w
CV
w ττ =
)1()2( CV
vv
CV
v xry =
CV
w
CV
w xx 0)0( =
)0()1( CV
w
CV
w xx =
)1()2()1()0(
)0()2( CV
w
CV
wv
CV
w
CV
wCV
vv
CV
w xLxK
xxrx +=+= →β
9
となる。
ウイルスウイルスウイルスウイルス::::
t:0,t:1,t:2 期におけるウイルスに感染しているコンピュータの数は
である。実際にはウイルスに感染しているコンピュータの数は を超えないので、
τ 期におけるウイルスに感染しているコンピュータの数は
となる。
コストコストコストコスト::::
τ 期に発生した通信負荷コストは
、
τ 期におけるウイルス感染被害コストは
と与えられる。従ってシステム総コストは
となる。
全部をまとめると以下の通りとなる。
CVCVCVCV 方式方式方式方式
3.2 PV(propagate as be infected with virus)方式
PV 方式において、以下の事柄を仮定する
I. ワクチンを装備したコンピュータでは、ウイルスに感染した場合に、ワクチンを繁殖
させる。
II. 感染したウイルスの送信元をワクチンは探索できる。
)(τCV
wxK −
)1()())(( −+= → τττ CV
w
CV
wv
CV
w
CV
w xLxfwhere
))}(()),((min{)( τττ CV
w
CV
v
CV
v
CV
v xKxfx −=
)1()()())(( −+−= →→ ττττ CV
v
CV
wv
CV
ev
CV
v
CV
v xLLxfwhere
))()(( )( τττ CV
w
CV
v
CV
w
CV
com yyhC +=
))()1(( ττ CV
wv
CV
vv
CV
w Lxrh →+−=
))(( )( ττ CV
v
CV
v
CV
v xhC =
)( )( )( τττ CV
com
CV
v
CV CCCost +=
))()1(( ))(( τττ CV
wv
CV
vv
CV
w
CV
v
CV
v Lxrhxh →+−+=
))()(( ))(( )( )7( ττττ CV
w
CV
v
CV
w
CV
v
CV
v
CV yyhxhCost ++=
)1()2()2()2( CV
v
CV
wv
CV
ev
CV
v xLLx +−= →→
CV
v
CV
v xx 0)0( =
)0()1()1( CV
v
CV
ev
CV
v xLx += →
)1()( )1( −= ττ CV
vv
CV
v xry
K
xyy
CV
wCV
v
CV
w
)2()1()( )2(
−−=
ττβτ
))1()1(
1)(1( )( )3(K
xxyL
CV
w
CV
vCV
vevCV −+−
−−=→ττ
τβτ
)( )( )4( ττ CV
wwvCV yL =→
))}(()),((min{)( )5( τττ CV
w
CV
v
CV
v
CV
v xKxfx −=
)1()()())(( −+−= →→ ττττ CV
v
CV
wv
CV
ev
CV
v
CV
v xLLxfwhere
})),(( min{)( )6( Kxfx CV
w
CV
w
CV
w ττ =
)1()())(( −+= → τττ CV
w
CV
wv
CV
w
CV
w xLxfwhere
10
III. 探索したアドレスへ増殖したワクチンを送り返す。
IV. 転送されたワクチンは転送先のウイルスを駆除する。また、同時にパターンファイル
を更新する。さらに、ワクチンは一定の増殖率に従ってランダムに他のコンピュータ
へ送り込まれる。
V. 転送されたワクチンは、転送先のコンピュータがウイルスに感染している場合のみ増
殖し、再びランダムに他のコンピュータへ転送される。
VI. ワクチンを装備したコンピュータはウイルスに感染することはない。
VII. ウイルスの繁殖過程は制御できない。(死滅しなければ繁殖し続ける)
VIII. このプロセスは、ネット上のウイルスが絶滅するまで続けられる。
PV 方式のウイルス駆除するプロセスを下図で示す。時間0でのウイルスに感染したコンピュ
ータの数量とウイルスの繁殖率が与えられたとき、システム総コストを最小化するワクチン
の繁殖率を決定することが主要な問題となる。
図 3.3 PV 方式のウイルス駆除するプロセス
t:0t:0t:0t:0 期期期期
初期は、イントラネット内ワクチンを導入しているコンピュータとウイルスに感染したコン
ピュータの数はそれぞれ とする。
t:1t:1t:1t:1 期期期期
ワクチン:
t:0~t:1 の間にワクチンは繁殖しないため が成立する。
ウイルス:
t:0~t:1 の間に繁殖するウイルスは となる。繁殖したウイルスは、ワクチ
ンを導入したコンピュータ(最新パターンをもらって、アンチウイルスをアップデートした
ので、新種ウイルスに対応できるようになっている)に送られると、すぐに駆除される。ま
た、既にウイルスに感染したコンピュータに送られると、新たな感染被害にならないので、
t:1 期にウイルスに感染されているコンピュータの総数は
となる。これは t:0 期にウイルスに感染されたコンピュータの数と t:1 期に増殖したウイル
スに感染されたコンピュータの数を合わせた結果である。ここで、CV 方式と同じように、τ
t:0 t:1 t:2 t:3
t期にワクチンを導入しているコンピュータ。
t期にウイルスに感染しているコンピュータ。
t期の図にある は、tからt+1期のワクチンのアクションです。
t期の図にある は、tからt+1期のウイルスのアクションです。
)0()1( PV
w
PV
w xx = 0)1( =PV
wy
)0()1( PV
vv
PV
v xry β=
)0())0()0(
1)(0()1( PV
v
PV
w
PV
vPV
vv
PV
v xK
xxxrx +
+−= β
PV
w
PV
w xx 0)0( = PV
v
PV
v xx 0)0( =
11
期にワクチンとウイルスのどちらもないコンピュータに送られたウイルスを
で表すとすると
と書ける。
コストコストコストコスト
t:1 期の通信負荷コストは
となる。
t:1 期におけるウイルス感染被害コストは
と与えられる。
t:2t:2t:2t:2 期期期期
ワクチンワクチンワクチンワクチン::::
ワクチンが導入されたコンピュータに、ウイルスが感染しようとすると、逆にワクチンを繁
殖させ、それをウイルスの源へ送信する。その数は、t:1 期にワクチンがいるところに送ら
れたウイルスと同じである。よって
が成立する。τ 期に汚染されたウイルスの源に送り返されたワクチンは τ-1 期にワクチン
がいたところに送られたウイルスの数と同じである。 CV 方式と同じように
それを で表すと
と書ける。
これは、t:2 期に繁殖したワクチンの数でもあり、よって
が成立する。
ウイルスウイルスウイルスウイルス::::
t:1 期~t:2 期の間に繁殖されたウイルスの数は である。
増殖したウイルスに感染したコンピュータは であり、ワクチンの増殖により駆除され
たウイルスは であるので、t:2 期にウイルスに感染しているコンピュータの総数は
となる。
コストコストコストコスト::::
t:2 期の通信負荷コストは
となる。
t:2 期におけるウイルス感染被害コストは
となる。
t:3t:3t:3t:3 期期期期
ワクチンワクチンワクチンワクチン::::
)(τPV
evL →
))1()1(
1)(1()(K
xxxrL
PV
w
PV
vPV
vv
PV
ev
−+−−−=→
τττβτ )0)0(( =→
PV
evL
)0()1()1( PV
v
PV
ev
PV
v xLx += →
))0(())1()1(( )1( PV
vv
PV
w
PV
w
PV
v
PV
w
PV
com xrhyyhC β=+=
))0()1(())1(()1( PV
v
PV
ev
PV
v
PV
v
PV
v
PV
v xLhxhC +== →
)1()0(
)0()2( PV
w
PV
wPV
vv
PV
w xK
xxrx += β
vaccine)(virus )( →→ τPV
wvL
)0)1()0(()2(
)2()( ==−
−= →→→
PV
wv
PV
wv
PV
wPV
vv
PV
wv LLK
xxrL
ττβτ
)1()2()2( PV
w
PV
wv
PV
w xLx += →
)2()2( PV
wv
PV
w Ly →=
)1()2( CV
vv
PV
v xry =
)2(PV
evL →
)2(PV
wvL →
)1()2()2()2( PV
v
PV
wv
PV
ev
PV
v xLLx +−= →→
))2()1(())2()2(( )2( PV
wv
PV
vv
PV
w
PV
w
PV
v
PV
w
PV
com LxrhyyhC →+=+= β
))1()2()2(())2(()2( PV
v
PV
wv
PV
ev
PV
v
PV
v
PV
v
PV
v xLLhxhC +−== →→
empty) (virus →
12
以外、t:2 期にウイルスの送信元に送り返されたワクチンは自ら繁殖させることよっ
て、その数は となる。この内、まだワクチンを装備していないコンピュータに送ら
れる数は
))2(
1)(2(K
xLr
PV
wPV
wvw −→β
である。よって
が成立する。
ウイルスウイルスウイルスウイルス::::
t:2 期~t:3 期の間に繁殖されたウイルスの数は である。
t:3 期に新たにウイルスに感染したコンピュータは である。
また、t:3 期にワクチンに駆除された数は
である。よって
が成立する。
τ期に、駆除された全てウイルスを で表すとすると、上記の計算によって、以下の通
りになる。
従って
が成立する。これを に代入すると
となる。
コストコストコストコスト::::
t:3 期の通信負荷コストは
となる。
t:3 期におけるウイルス感染被害コストは
となる。
t:4t:4t:4t:4 期期期期
ワクチンワクチンワクチンワクチン::::
繁殖して他のコンピュータへ転送されるワクチンは、転送先がウイルスに感染したコンピュ
ータである場合のみ繁殖し続ける。よって、t:3 期においてウイルスに感染しているコンピ
ュータに送られたワクチンのみ繁殖する。従って、
)3(PV
wvL →
)2(PV
wvwLr →
)2()3()3(PV
wvw
PV
wv
PV
w LrLy →→ +=
)2())2(
1)(2()3()3(PV
w
PV
wPV
wvw
PV
wv
PV
w xK
xLrLx +−+= →→ β
)2()3( CV
vv
PV
v xry =
)3(PV
evL →
K
xLrL
PV
vPV
wvw
PV
wv
)2()2()3( →→ + β
)2()2(
)2()3()3()3( PV
v
PV
vPV
wvw
PV
wv
PV
ev
PV
v xK
xLrLLx +−−= →→→ β
)(τPV
killL
K
xLrLL
PV
vPV
killw
PV
wv
PV
kill
)1()1()()(
−−+= →
ττβττ
)2()3()3()3( PV
v
PV
kill
PV
ev
PV
v xLLx +−= →
)3(PV
vx
))2()3()2(())3()3(( )3( PV
wvw
PV
wv
PV
vv
PV
w
PV
w
PV
v
PV
w
PV
com LrLxrhyyhC →→ ++=+= β
))2()3()3(())3(()3( PV
v
PV
kill
PV
ev
PV
v
PV
v
PV
v
PV
v xLLhxhC +−== →
)3())2(
1)(3()4()4( PV
w
PV
wPV
killw
PV
wv
PV
w xK
xLrLx +−+= → β
)3()4()4( PV
killw
PV
wv
PV
w LrLy += →
))2()3()2(( PV
killw
PV
wv
PV
vv
PV
w LrLxrh ++= →β
0)0( =PV
killL
0)1( =PV
killL
)2()2( PV
wv
PV
kill LL →=
K
xLrL
K
xLrLL
PV
vPV
killw
PV
wv
PV
vPV
wvw
PV
wv
PV
kill
)2()2()3(
)2()2()3()3( ββ +=+= →→→
13
が成立する。τ-1~τ期の間に繁殖し、ワクチンをまだ装備していないコンピュータに転送
されるワクチンの数を で表すと、以上の計算を踏まえて、
となる。まとめると
となる。 に代入すると
となる。
ウイルスウイルスウイルスウイルス::::
t:3 期~t:4 期の間に繁殖されたウイルスの数は である。t:4 期に新たにウイ
ルスに感染したコンピュータは である。そして、t:4 期にワクチンに駆除されたのは
である。故に
が成立する。
コストコストコストコスト::::
t:4 期の通信負荷コストは
となる。
t:4 期におけるウイルス感染被害コストは
と与えられる。
まとめまとめまとめまとめ((((PVPVPVPV 方式方式方式方式))))
ワクチン:
t:0,t:1,t:2,t:3,t:4 期におけるワクチンを装備しているコンピュータの数は
実際にはワクチンを装備するコンピュータの数はイントラネットにあるコンピュータの総数
Kを超えないので、τ期においてワクチンを装備しているコンピュータの数は
となる。
ウイルス:
t:0,t:1,t:2,t:3,t:4 期におけるウイルスに感染しているコンピュータの数は
vaccine)no (vaccine )( →→ τPV
nwL
))2(
1)(2())2(
1)(2()3(K
xLr
K
xLrL
PV
wPV
killw
PV
wPV
wvw
PV
nw −=−= →→ ββ
0)2()1()0( === →→→
PV
nw
PV
nw
PV
nw LLL
))3(
1)(3()4(K
xLrL
PV
wPV
killw
PV
nw −=→ β
))1(
1)(1()(K
xLrL
PV
wPV
killw
PV
nw
−−−=→
ττβτ
)3()4()4()4( PV
w
PV
nw
PV
wv
PV
w xLLx ++= →→
)4(PV
wx
)4(PV
evL →
)3()4( CV
vv
PV
v xry =
K
xLrLL
PV
vPV
killw
PV
wv
PV
kill
)3()3()4()4( β+= →
)3()4()4()4( PV
v
PV
kill
PV
evv xLLx ++= →
))3()4()3(())4()4(( )4( PV
kill
PV
wv
PV
vv
PV
w
PV
w
PV
v
PV
w
PV
com LLxrhyyhC ++=+= →β
))3()4()4(())3(()3( PV
v
PV
kill
PV
ev
PV
v
PV
v
PV
v
PV
v xLLhxhC ++== →
)1()()())(( where −++= →→ ττττ PV
w
PV
nw
PV
wv
PV
w
PV
w xLLxf
})),(( min{)( Kxfx PV
w
PV
w
PV
w ττ =
PV
w
PV
w xx 0)0( =
)0()1( PV
w
PV
w xx =
)1()2()1()0(
)0()2(PV
w
PV
wv
PV
w
PV
wPV
vv
PV
w xLxK
xxrx +=+= →β
)2()3()3()2())2(
1)(2()3()3(PV
w
PV
nw
PV
wv
PV
w
PV
wPV
wvw
PV
wv
PV
w xLLxK
xLrLx ++=+−+= →→→→ β
)3()4()4()4( PV
w
PV
nw
PV
wv
PV
w xLLx ++= →→
PV
v
PV
v xx 0)0( =
14
実際にはウイルスに感染しているコンピュータの数は を超えないので、τ期にお
けるウイルスに感染しているコンピュータの数は
で与えられる。
コストコストコストコスト::::
τ 期に発生した通信負荷コストは
、
τ 期におけるウイルス感染被害コストは
となる。従ってシステム総コストは
となる。
全部をまとめると以下の通りとなる。
PVPVPVPV 方式方式方式方式
3.3 IP(independence propagation)方式
IP 方式において、以下の事柄を仮定する
I. ワクチンはウイルスとは独立した繁殖過程として取り扱う。
II. ネット上で蔓延するウイルスはワクチンが装備されたコンピュータに送られたら、そ
のワクチンに駆除される。
)(τPV
wxK −
))}(()),((min{)( τττ PV
w
PV
v
PV
v
PV
v xKxfx −=
)1()()())(( −+−= → ττττ PV
v
PV
kill
PV
ev
PV
v
PV
v xLLxfwhere
))()(( )( τττ PV
w
PV
v
PV
w
PV
com yyhC +=
)1()()1(( −++−= → τττ PV
killw
PV
wv
PV
vv
PV
w LrLxrh
))(()( ττ PV
v
PV
v
PV
v xhC =
))()( )( τττ PV
com
PV
v
PVCCCost +=
))1()()1(( ))(( −++−+= → ττττ PV
killw
PV
wv
PV
vv
PV
w
PV
v
PV
v LrLxrhxh
)2()3()3()2()2(
)2()3()3()3( PV
v
PV
kill
PV
ev
PV
v
PV
vPV
wvw
PV
wv
PV
ev
PV
v xLLxK
xLrLLx +−=+−−= →→→→ β
)1()2()2()2( PV
v
PV
wv
PV
ev
PV
v xLLx +−= →→
))1(
1)(1()( )6(K
xLrL
PV
wPV
killw
PV
nw
−−−=→
ττβτ
)1()2(
)2()( )3( −+−
−= ττ
τβτ PV
killw
PV
wPV
vv
PV
w LrK
xxry
)0)1()0(( )1(
)1()2(
)1()( )2( ==−
−+−
−= PV
kill
PV
kill
PV
vPV
killw
PV
wv
PVPV
kill LLK
xLr
K
xyL
ττβ
ττβτ
))1()1(
1)(( )( )4(K
xxyL
PV
w
PV
vPV
v
PV
ev
−+−−=→
τττβτ
K
xyL
PV
wv
PVPV
wv
)2()1( )( )5(
−−=→
ττβτ
)1()( )1( −= ττ PV
vv
PV
v xry
))}(()),((min{)( )7( τττ PV
w
PV
v
PV
v
PV
v xKxfx −=
)1()()())(( −+−= → ττττ PV
v
PV
kill
PV
ev
PV
v
PV
v xLLxfwhere
})),(( min{)( )8( Kxfx PV
w
PV
w
PV
w ττ =
)1()()())(( −++= →→ ττττ PV
w
PV
nw
PV
wv
PV
w
PV
w xLLxfwhere
))()(( ))(( )( )9( ττττ PV
w
PV
v
PV
w
PV
v
PV
v
PVyyhxhCost ++=
)0()1()1( PV
v
PV
ev
PV
v xLx += →
)3()4()4()4( PV
v
PV
kill
PV
ev
PV
v xLLx +−= →
15
III. ネット上で拡散するワクチンがウイルスに感染したコンピュータに送り込まれると、
そこにいるウイルスを駆除する。
IV. ウイルスの繁殖過程は制御できない。(ワクチンがあっても、死滅しなければ繁殖)
IP 方式のウイルス駆除するプロセスを下図で示す。ワクチンの繁殖過程は自動的に止ま
らないので、適当な時期に中止させる制御方式が必要となる。
図 3.4 IP 方式のウイルス駆除するプロセス
t:0t:0t:0t:0 期期期期
初期は、イントラネット内ワクチンを装備したコンピュータとウイルスに感染したコンピュ
ータの数をそれぞれ , とする。
t:1t:1t:1t:1 期期期期
ワクチンワクチンワクチンワクチン::::
t:0~t:1 の間にワクチンが独立的に繁殖し、ネット上に拡散する。
が成立する。
τ-1~τ期の間に繁殖し、ワクチンをまだ装備していないコンピュータに転送されるワクチ
ンは PV 方式と同じように で表すと
と書ける。
IP 方式では、ワクチンはウイルスと独立して増殖することから、各ステップの繁殖方式は
同じものとなり、
である。従って
が成立する。
ウイルスウイルスウイルスウイルス::::
ウイルスは独立に繁殖し、ネット上で蔓延する。しかし、ワクチンが導入されたコンピュー
タに送られると、駆除される。前の二つ方式と同じように、τ 期にワクチンとウイルス何れ
t期にワクチンを導入しているコンピュータ。
t期にウイルスに感染しているコンピュータ。
t:0 t:1 t:2
t期の図にある は、tからt+1期のワクチンのアクションです。
t期の図にある は、tからt+1期のウイルスのアクションです。
IP
w
IP
w xx 0)0( = IP
v
IP
v xx 0)0( =
)0()1( IP
ww
IP
w xry =
)0())0(
1)(0()1( IP
w
IP
wIP
ww
IP
w xK
xxrx +−= β
vaccine)no (vaccine )( →→ τIP
nwL
)0()1()1( n
IP
w
IP
w
IP
w xLx += →
))1(
1)(1()(nK
xxrL
IP
wIP
ww
IP
w
−−−=→
ττβτ
0)0(n =→
IP
wL
))0(
1)(0( )1(nK
xxrL
IP
wIP
ww
IP
w −=→ β
16
もいないコンピュータに送られたウイルスを で表すとすると
となる。
τ 期にネット上での拡散するワクチンに駆除されるウイルスを で表
すと
と書ける。
IP 方式では、ワクチンとウイルスは独立して増殖するので、各ステップの繁殖、駆除プロセ
スは同じである。よって
となる。よって
が成立する。
コストコストコストコスト::::
t:1 期の通信負荷コストは
、
t:1 期におけるウイルス感染被害コストは
となる。
t:2t:2t:2t:2 期期期期
ワクチンワクチンワクチンワクチン::::
1 期と同様に 2期でも独立に繁殖し、ネット上に拡散する。従って、
となる。
ウイルスウイルスウイルスウイルス::::
前期のステップと変わっていないので
となる。
コストコストコストコスト::::
t:2 期の通信コストは
、
t:2 期にウイルスに感染被害コストは
となる。
)0()0(
)0()1()1( IP
v
IP
vIP
ww
IP
ev
IP
v xK
xxrLx +−= → β
))(( emptyvirusLIP ev →→ τ
K
xxrL
IP
vIP
ww
IP
vw
)0()0( )1( β=→
K
xxrL
IP
vIP
ww
IP
vw
)1()1()(
−−=→
ττβτ
)0()1( IP
vv
IP
v xry =
)0()1()1()1( IP
v
IP
vw
IP
ev
IP
v xLLx +−= →→
))0()1()1(( IP
v
IP
vw
IP
ev
IP
v xLLh +−= →→
))1(()1( IP
v
IP
v
IP
v xhC =
))(( virusvaccineLIP vw →→ τ
0)0( =→
IP
vwL
)1()2()2()2( IP
v
IP
vw
IP
ev
IP
v xLLx +−= →→
)0()1( IP
vv
IP
v xry =
))2(()2( IP
v
IP
v
IP
v xhC =
))1()2()2((IP
v
IP
vw
IP
ev
IP
v xLLh +−= →→
)1()2()2( n
IP
w
IP
w
IP
w xLx += →
))1(
1)(1()2(nK
xxrL
IP
wIP
ww
IP
w −=→ β
)1()2( IP
ww
IP
w xry =
))0()0(( IP
ww
IP
vv
IP
w xrxrh +=
))2()2(( )2( IP
w
IP
v
IP
w
IP
com yyhC +=
))1()1(( IP
ww
IP
vv
IP
w xrxrh +=
))1()1(( )1(IP
w
IP
v
IP
w
IP
com yyhC +=
17
まとめまとめまとめまとめ((((IPIPIPIP 方式方式方式方式))))
ワクチンワクチンワクチンワクチン::::
t:0,t:1,t:2 期におけるワクチンを装備しているコンピュータの数は
である。実際にはワクチンを装備するコンピュータの数はイントラネットにあるコンピュー
タの総数Kを超えないので、τ 期においてワクチンを導入しているコンピュータの総数は
となる。
ウイルスウイルスウイルスウイルス::::
t:0,t:1,t:2 期におけるウイルスに感染しているコンピュータの数は
である。実際にはウイルスに感染しているコンピュータの数は を超えないので、τ
期におけるウイルスに感染しているコンピュータの総数は
となる
コストコストコストコスト::::
τ 期に発生した通信負荷コストは
、
τ 期におけるウイルス感染被害コストは
となる。従ってシステム総コストは
となる。
全部まとめると以下の通りとなる
IPIPIPIP 方式方式方式方式
)(τIP
wxK −
))(()( ττ IP
v
IP
v
IP
v xhC =
))1()()(( −+−= →→ τττ IP
v
IP
vw
IP
ev
IP
v xLLh
)1()())(( n −+= → τττ IP
w
IP
w
IP
w
IP
w xLxfwhere
})),((min{)( Kxfx IP
w
IP
w
IP
w ττ =
))1()1(( −+−= ττ IP
ww
IP
vv
IP
w xrxrh
))()(( )( τττ IP
w
IP
v
IP
w
IP
com yyhC +=
)1()( )2( −= ττ IP
vv
IP
v xry
)1()2()2( n
IP
w
IP
w
IP
w xLx += →
)0()1( )1( n
IP
w
IP
w
IP
w xLx += →
IP
w
IP
w xx 0)0( =
IP
v
IP
v xx 0)0( =
)0()1()1()1( IP
v
IP
vw
IP
ev
IP
v xLLx +−= →→
)1()2()2()2( IP
v
IP
vw
IP
ev
IP
v xLLx +−= →→
)1()()())(( −+−= →→ ττττ IP
v
IP
vw
IP
ev
IP
v
IP
v xLLxf
)( )( )( τττ IP
com
IP
v
IP CCCost +=
))()(( ))(( τττ IP
w
IP
v
IP
w
IP
v
IP
v yyhxh ++=
))1()1(( ))(( −+−+= τττ IP
ww
IP
vv
IP
w
IP
v
IP
v xrxrhxh
))}(()),((min{)( where τττ IP
w
IP
v
IP
v
IP
v xKxfx −=
)1()( )1( −= ττ IP
ww
IP
w xrx
))1()1(
1)(( )( )3(K
xxyL
IP
w
IP
vIP
v
IP
ev
−+−−=→
τττβτ
))1(
1)(()( )4( nK
xyL
IP
wIP
w
IP
w
−−=→
ττβτ
K
xyL
IP
vIP
w
IP
vw
)1()()( )5(
−=→
ττβτ
18
三つの方式に対して数値計算を行い、システム総コストを中心に比較分析を行った(グラ
フ 3.1~グラフ 3.5 参照)。イントラネット上の全てのコンピュータは相互に繋がっており、
任意のコンピュータは、イントラネット上にある全てのコンピュータへ直接送信できると仮
定する。また、イントラネット内の全てのコンピュータは使用されている(ON 状態にある)
システム環境と仮定する。各パラメータの初期値は、グラフ別に示す。IP方式は、イントラ
ネットがウイルスに感染する初期(ネット上のウイルスに感染しているコンピュータの割合
が低い場合)においては、ウイルスの駆除と通信負荷の抑制の両面で優れており、そのシス
テム総コストは CV 方式や PV 方式よりかなり低い。しかし、CV 方式と PV 方式はウイルスが
絶滅すると、ワクチンの動きも自動的に止まるのに対し、IP 方式は独立増殖よるため自動的
に停止できない。その結果、ワクチンがネット上にある程度増殖すれば、PV 方式と CV 方式
のコストは IP 方式より低くなることが判明した。言葉を変えると、環境条件に対応して各方
式独自の強み、弱みがあることが分かった。
0
2000
4000
6000
8000
10000
12000
t=0
t=2
t=4
t=6
t=8
t=10
t=12
t=14
t=16
t=18
t期に
ウイ
ルス
に侵
害さ
れて
いる
コン
ピュ
ータ
CV
PV
IP
グラフ 3-1
初期状態においてウイルスに感染しているコンピュータが少ない場合、イントラネット上のウイルス
に感染したコンピュータの数の推移を CV,PV,IP の 3 方式で比較した。ただし、初期状態は 3方式共に
同一、ワクチンの繁殖率は PV、IP 方式共に同一とした。そして、初期状態をそれぞれ
と設定した。 2,7.0,000,10,10)0(,100)0( ===== wwv rKxx β
})),((min{)( )6( Kxfx IP
w
IP
w
IP
w ττ =
)1()())(( n −+= → τττ IP
w
IP
w
IP
w
IP
w xLxfwhere
))}(()),((min{)( )7( τττ IP
w
IP
v
IP
v
IP
v xKxfx −=
)1()()())(( e −+−= →→ ττττ IP
v
IP
vw
IP
v
IP
v
IP
v xLLxfwhere
))()(( ))(()( )8( ττττ IP
w
IP
v
IP
w
IP
v
IP
v
IP yyhxhCost ++=
,2=vr
19
0
5000
10000
15000
20000
25000
30000
35000
t=0
t=2
t=4
t=6
t=8
t=10
t=12
t=14
t=16
t=18
t期に
発生
した
コス
ト
CV
PV
IP
グラフ 3-2
初期状態でウイルスに感染しているコンピュータが少ない場合、イントラネット上において CV、PV、
IP3 方式のシステム総コストの推移を比較した。ただし、初期状態は 3 方式共に同一、ワクチンの繁
殖率は PV、IP 方式共に同一とした。そして、システム総コストと初期状態をそれぞれ
と設定
した。
0
2000
4000
6000
8000
10000
12000
t=0
t=1
t=2
t=3
t=4
t=5
t=6
t=7
t=8
t=9
t=10
t=11
t=12
t=13
t=14
t期に
ウイ
ルス
に侵
害さ
れて
いる
コン
ピュ
ータ
CV
PV
IP
グラフグラフグラフグラフ 3333----3333
)( )( )( tCtCtCost comv += 2,7.0,000,10,10)0(,100)0(,2 ====== wwvv rKxxr β
20
初期状態でウイルスに感染しているコンピュータが多い場合、イントラネット上においてウイルスに
感染したコンピュータの数の推移を CV、PV、IP の 3 方式で比較した。ただし、初期状態は 3方式共に
同一、ワクチンの繁殖率は PV、IP 方式共に同一とした。そして、初期状態をそれぞれ
と設定した。
0
5000
10000
15000
20000
25000
30000
35000
t=0
t=1
t=2
t=3
t=4
t=5
t=6
t=7
t=8
t=9
t=10
t=11
t=12
t=13
t=14
t期に
発生
した
シス
テム
総コ
スト
CV
PV
IP
グラフ 3-4
初期状態でウイルスに感染しているコンピュータが多い場合、イントラネット上においてコストの推
移を CV,PV,IP の 3 方式の比較。ただし、初期状態は 3 方式共に同一、ワクチンの繁殖率は PV、IP 方
式共に同一とした。そして、コストと初期状態をそれぞれ ,
と設定した
0
50000
100000
150000
200000
250000
xw(0
)=10
0
xw(0
)=50
0
xw(0
)=10
00
xw(0
)=15
00
xw(0
)=20
00
xw(0
)=25
00
xw(0
)=30
00
xw(0
)=35
00
xw(0
)=40
00
xw(0
)=45
00
xw(0
)=50
00
xw(0
)=55
00
xw(0
)=60
00
xw(0
)=65
00
xw(0
)=70
00
最小
トー
タル
コス
ト
CV
PV
IP
グラフ 3-5
を変化させる時の最小トータルコストを CV,PV,IP の 3 方式で比較した。トータルコストは
、 である。初期状態はそれぞれ
と設定した。
)( )( )( tCtCtCost comv +=
)0(wx
)( )( )( tCtCtCost comv += ∑ ==T
v txtTCost0
}0)( :min{
2,7.0,000,10,10)0(,2 ===== wwv rKxr β
2,7.0,000,10,5000)0( ==== wv rKx β
2,7.0,000,10,10)0(,2 ===== wwv rKxr β
100)0( =vx
10)0(,2 == wv xr
,5000)0( =vx
21
第4章 連立システムの提案 第3章までの議論より、ウイルス感染の初期においては IP方式が CV 方式や PV 方式よりは
るかに優れているが、ワクチンが増殖するに従い、その優位性がどんどん失われ、ある水準
を超えると逆転することが明らかになった。本章では、各方式の利点を引き出し、より効率
的にウイルスを駆除するために、ウイルス駆除プロセスを単体方式ではなく、環境の変化に
従って方式を切り替える連立方式を提案する。この連立方式は、二段階で構成される。第一
段階では、IP 方式を採用する。第二段階では、ワクチンの増殖に伴い適切な時点で PV 方式
に切り替える。
連立方式を実現するためには、まず、IP 方式から PV 方式への切替時期( とする)を
決定する必要がある。さらに、IP方式(第一段階)と PV方式(第二段階)におけるワクチン
の増殖率をそれぞれ選択しなければならない。この課題を克服するために、以下の四つのア
ルゴリズムを導入する。
IPIPIPIP――――PVPVPVPV方式方式方式方式のののの構成構成構成構成
まず、 を予測する。本研究ではイントラネットがウイルスに感染し始めた時期、つ
まりネット上のコンピュータの総数に対してウイルスに感染したコンピュータの割合が低い
状態を仮定する。
Algorithm1
このアルゴリズムでは、ある )1 ,0(∈vα に対して、 期にウイルスに感染しているコンピュ
ータの総数が必ず 以下となるように を決定する。
Algorithm2
このアルゴリズムでは、ある ) ,0( K∈λ に対して、PV方式切替後、 期から 期ま
でのウイルスの増加数がλを超えないように を決定する。
Algorithm3
このアルゴリズムでは、 が与えられたとき、 が Algorithm2 の結果と
一致するように を決定する。
Algorithm4
このアルゴリズムでは、 期から T期まで PV方式を実施するとき、そのシステム総コスト
が最小になるように を決定する。
以下に、各アルゴリズムの詳細を記す。
)0( IP
vx
** )( NKNx v
IP
v ⇒≤ α
)( )1()2( *** NxNxNx IP
w
PV
v
PV
v ⇒≤+−+ λ
IP
w
IP
w
IP
w rNxNx ⇒)(,),0( **
PV
wv
PV
w
PV
v rrNxNx ),(),( ** ⇒
*N
Kvα
*N
*N
*N
2* +N
)( *Nx IPw
IPwr
1* +N
) ),0(( *Nx IPw )( *Nx IPw
PV
wr
22
AAAAlgorithmlgorithmlgorithmlgorithm 1111
Procedure
最後の不等式を満たす最大の を求める。
AAAAlgorithmlgorithmlgorithmlgorithm2222
Procedure
PV方式の定義に従って
それぞれを に代入し、結果として得られる
不等式を満たす最小の )( *NxPVw を決定する。
Kx v
IP
v α),0(Input
KxrNx v
IP
v
N
v
IP
v αβ ≤+= )0()1()(**
KxrN v
IP
vv αβ log)0(log)1log(* ≤++⇒
)1log(
)0(log)log(*
β
α
v
IP
vv
r
xKN
+
−≤⇒
)1()2( ** λ≤+−+ NxNx PV
v
PV
v
λ≤+−+= )1()2())(( *** NxNxNxg PV
v
PV
v
PV
w
)())()(
1)(()1( ***
** NxK
NxNxNxrNx PV
v
PV
w
PV
vPV
vv
PV
v ++
−=+ β
))(( * KNx v
PV
v α=
)1()(
)())1()1(
1)(1( *
*
*
**
* ++−+++
−+= NxK
NxNxr
K
NxNxNxr PV
v
PV
wPV
vv
PV
w
PV
vPV
vv ββ
λ),(Input *Nx IPv
)(Output * NxPVw
*Output N
*N
)1()2()2()2( **** +++−+=+ → NxNLNLNx PV
v
PV
kill
PV
ev
PV
v
23
AAAAlgorithmlgorithmlgorithmlgorithm3333
Procedure
アルゴリズムアルゴリズムアルゴリズムアルゴリズム3333ののののフローチャートフローチャートフローチャートフローチャート
KrNw w
IP
w α<),( *
1
IP
w
IP
w rr ←
ε<− 21 ww rr
)(2
1 ,, 2121
IP
w
IP
w
IP
w
IP
w
IP
w rrrnrmr +←←←
wr
IP
w
IP
w NxrNw |)(),( ** =
No Yes
No
Yes
Stop
2
IP
w
IP
w rr ←
)(2
121 www rrr +←
)( ,Input nrmnm IP
w ≤≤
IP
wrOutput
)(2
1 ,,set given :)0( )1( 2121 wwwwww rrrnrmrx +←←←
wrww NxrNw |)(),( compute)2( ** =
Loop2 toGo set ),( )3( 2
*
wwww rrKrNwIf ←>α
set ),( )4( 1
*
wwww rrKrNwIf ←<α
:Loop2 )5(
stoprrIf ww 21 ε<−
)(2
1 21 www rrrelse +←
loop1 togo
:1loop
24
AAAAlgorithmlgorithmlgorithmlgorithm4444
Procedure
アルゴリズムアルゴリズムアルゴリズムアルゴリズム4444ののののフロフロフロフローチャートーチャートーチャートーチャート
),,C(),,C( 2
*
1
* PV
w
PV
w rTNrTN >
ε<− PV
w
PV
w rr 21
)(2
121
PV
w
PV
w
PV
w rrr +←
)(2
1 ,, 2121
PV
w
PV
w
PV
w
PV
w
PV
w rrrnrmr +←←←
No
Yes
No
Yes
PV
w
PV
w rr ←1set ),C( *
wrNMinCost←
Stop
PVw
PVw r
T
N
PV
vr
PVPV
w txtTCostrTN1
*1
|}0)( :min{ | (t)),,C( 1
* ∑ ===
PVw
PVw r
T
N
PV
vr
PVPV
w txtTCostrTN2
*2
|}0)( :min{ | (t)),,C( 2
* ∑ ===
PV
wrOutput
)(,Input nrmnm PV
w ≤≤
:1loop
loop1 togo
)(2
1 ,,set given :)(ost )1( 2121
* PV
w
PV
w
PV
w
PV
w
PV
w rrrnrmrNC +←←←
PVw
PVw r
T
N
PV
vr
PVPV
w txtTCostrTN1
*1
|}0)( :min{ | (t)),,C( compute )2( 1
* ∑ ===
PVw
PVw r
T
N
PV
vr
PVPV
w txtTCostrTN2
*2
|}0)( :min{ | (t)),,C( compute 2
* ∑ ===
Loop2 toGo set ),,C(),,C( )3( 12
*
1
* PV
w
PV
w
PV
w
PV
w rrrTNrTNIf ←>
set ),,C(),,C( )4( 22
*
1
* PV
w
PV
w
PV
w
PV
w rrrTNrTNIf ←<
:2loop
stoprrIf PV
w
PV
w 21 ε<−
)(2
1 21
PV
w
PV
w
PV
w rrrelse +←
25
IP-PV 方式と前章で提案した三つの方式に対して数値計算を行い、システム総コストを中
心に比較分析を行った。ネットワーク構造は第3章で述べたのと同じであり、四つのアルゴ
リズムに必要とされるパラメータの値を表4.1に、アルゴリズムから導出される結果を表4.2
にまとめておく。グラフ 4-1 では、イントラネット内全てのコンピュータが使用されている
システム環境と仮定し、ウイルスを全て駆除するまでに必要となる時間と発生したシステム
総コストを、四方式のそれぞれについて示す。PV方式と CV方式は 10 期までに全てのウイル
スを駆除することはできなかったが、IP方式は 4 期、IP-PV 方式では 6期までにウイルスを
全て駆除することができた。システム総コストを比較すると、CV 方式および PV 方式は 10期
までにそれぞれ 18 万、10 万、IP 方式および IP-PV 方式はウイルスを全部駆除するまでにそ
れぞれ 3 万、4 万となった。この結果から、IP方式と IP-PV 方式は、コストとウイルスを全
部駆除するまでに費やす時間両方ともに関して、CV 方式と PV 方式より優れていることが分
かった。
以上の分析は、イントラネットに接続された全てのコンピュータが常にオンの状態にある
ことを前提としているが、これは必ずしも現実的ではない。イントラネット上の全てのコン
ピュータにワクチンが投入されるためには、全てのコンピュータが少なくとも 1 度以上使用
される必要があり、それには少なくとも 10 時間が必要であると仮定し、再度数値計算を行っ
た。前者ではワクチン増殖率を8と設定し、後者ではそれを2と設定した。グラフ 4-2 に結
果を示す。システム総コストを見ると、IP-PV 方式が 4 万くらいでほぼ変化してないのに比
べ、IP 方式は 13万と大幅に増加した。その原因は、IP 方式が独立増殖することによって、
環境の変化に対応できないことにある。IP―PV 方式では、PV方式に切り替えるとイントラネ
ット上のウイルスが少なくなるにつれ、ワクチンの増殖も少なくなる。これに対し、IP 方式
では、ウイルスの数量が変化しても変わらず、一貫して増殖し続ける。よって、ウイルスの
駆除過程(或いはワクチンの普及過程)が長期化すると、IP方式のトータルコストはさらに
大幅に増加する。よって、IP-PV 方式は現実的には最も実行性の高い方式であると言える。
四つのアルゴリズムに必要とされるパラメータ
vα 0.1
K 10000
λ 100
)0(vx 100
10
vr 2
ε 0.5
m 1
n 10
表 4.1
表 4.2
四つのアルゴリズムから求めたパラメータ
10
8 *N 4
5130
)0(IPwx
IP
wr
PV
wr
)( *Nr IPw
26
本研究提案した各方式の比較
特徴 長所 短所
CV ウイルスに感染した場合の
み繁殖し、ウイルスの源へ
送り返す。
ワクチンよる無駄な通信コ
ストが低い。
ウイルスが絶滅したら、ワ
クチンの増殖も停止する。
ワクチンとウイル
ス共に少ない場合
は、ウイルスの蔓延
に対して、無力であ
る。
PV ウイルスに感染した場合繁
殖し、ウイルスの源へ送り
返す。そして送信先のコン
ピュータで繁殖し、他のコ
ンピュータへ送信する。送
られたワクチンは、送信先
のコンピュータがウイルス
に感染している場合のみ、
繁殖し続ける。
ワクチンよる無駄な通信コ
ストが低い。ウイルスが絶
滅したら、ワクチンの増殖
も停止する。
ワクチンとウイル
ス共に少ない場合
は、ウイルスの蔓延
に対して、無力であ
る。
IP ウイルスと独立して増殖す
る。
ワクチンが導入初期でも迅
速にウイルスを駆除でき
る。ウイルスを全部駆除す
るまでに費やす時間が短
い。
自動的に停止でき
ない。ワクチンの増
殖に従って、ワクチ
ンよる通信コスト
は大幅に増える。
IP-PV 初期は IP方式で行う、適当
な時期で PV 方式に切り替
える。
ワクチンが導入し始めの初
期でも迅速でウイルスを駆
除できる。ウイルスが絶滅
したら、ワクチンの増殖も
停止する。
ネット上にすべて
のコンピュータが
使用されている状
態において、ウイル
スを全部駆除する
まで費やす時間は
IP方式より長い。
27
0
20000
40000
60000
80000
100000
120000
140000
160000
180000
200000
t=1
t=2
t=3
t=4
t=5
t=6
t=7
t=8
t=9
t=10
t期ま
での
シス
テム
総コ
スト
CV
PV
IP
IP-PV
グラフグラフグラフグラフ 4444----1111
イントラネット内全てのコンピュータが使用されている状態を仮定し、数値計算した結果
である。ウイルスが完全に駆除されるまでに掛かる時間はIP方式が4期、IP-PV方式が6期、
PV、CV 方式では 10 期までにウイルスを完全に駆除することができなかった。仮定された条
件の下では IP 方式、IP-PV 方式の順に優れていることが明らかになった。初期条件では表 IP
-PV 方式は表 1、表 2を参照する、CV、PV、IP 方式の初期状態はそれぞれ
と設定した。 と設定した理
由は、イントラネット内全てのコンピュータが使用されている状態で、システム総コストを
最小化するためである。
8 ,5.7,7.0,000,10,10)0( ===== PV
w
IP
ww rrKx β
100)0(,2 == vv xr
8, 5.7 == PV
w
IP
w rr
28
0
20000
40000
60000
80000
100000
120000
140000
160000
180000
200000
t=1
t=2
t=3
t=4
t=5
t=6
t=7
t=8
t=9
t=10
t期ま
での
シス
テム
総コ
スト
CV
PV
IP
IP-PV
グラフグラフグラフグラフ 4444----2222
イントラネット上全てのコンピュータがワクチンを投入できる状態になるには少なくとも
10 時間が必要と仮定し、数値計算を行った結果である。さらに IP 方式の最大稼動時間は 10
期と設定する。PV,CV 両方式は、またウイルス駆除プロセスが未完成である。IP 方式では、
駆除時間が長期化するにつれて、システム総コストを大幅に増加させることが明らかになっ
た。これに対して、IP-PV 方式は、PV 方式に切り替えると、ウイルスの動きに従って増殖す
るので、ウイルスが少なくなるにつれて、ワクチンの増殖も少なくなる。さらにウイルスが
絶滅すると、ワクチンの増殖も停止する。イントラネット上全てのコンピュータが使用され
ているという状態は現実的には考えられないので、そのような状況においては IP-PV 方式が
IP 方式より優れると結論付けられる。初期条件では表 IP-PV 方式は表1、表2を参照する、
CV、PV、IP 方式の初期状態は
と設定した。 と設定した理由は、IP方式の最大稼動時間を 10
期としたとき、システム総コストを最小化するためである。
,7.0,000,10,10)0(,100)0(,2 ===== βKxxr wvv
8, 2 == PV
w
PV
w rr 8, 2 == PV
w
PV
w rr
29
第5章 結論 本研究では、従来のパターンマッチング方式の欠点を補うために、動的にワクチンを投入
するアンチウイルスシステムを提案した。第 3章は、ワクチン投入方式より、三つの方式を
提案し、数値計算を行った。従来のユーザーに依存したパターンマッチング方式では、最新
パターンの更新率が85%であるが、我々が提案した各方式ではワクチンが主動的に増殖す
るため短時間でのイントラネット全般配布が可能である。そして、最新パターンの更新は、
イントラネット上で行うので、パターン提供サーバーへの負荷が低減し、多くのユーザーが
一斉にパターン更新することによるネットの混雑を回避できる。また提案した各方式につい
てお互いの利点、欠点をまとめた。第4章では IP-PV 方式の連立システムを提案した。数値
計算を行い、各方式の特徴、長所、短所を述べた。最終的に、連立システムは、現実的に最
も実行性のある方式であることが明らかとなった。
30
謝辞
本研究を行うにあたって、多くの方々にお世話になりました。指導教官の住田教授からは、
普段のゼミなど研究に対する直接的なご指導に加え、勉強会、合宿、食事会などでもお世話
になり、全人的な教育を受けました。心より感謝しています。また多くの懇切な指導を頂い
た有馬先生にも深く感謝いたします。普段の交流を通じて貴重な意見やアドバイスを頂いた
安達氏、並川氏、高橋君をはじめ住田研究室のメンバーにも深く感謝しています。
31
参考文献 [1] David Harley, Robert Slade and Urs E.Gattiker: Viruses Revealed Understand and
Counter Malicious Software. McGraw-Hill Companies,2001
[2]経済産業省「コンピュータウイルス対策基準」
http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm
[3] IPA「ウイルス検出技術関する調査」独立行政法人 情報処理推進機構 2004
[4] 早稲田大学メディアネットワークセンター「セキュリティ用語集」
http://www.waseda.jp/mnc/GUIDE/security.pdf
[5] Roger A.Grimes Malicious Mobile code. O’REILLY,2001
[6] Carey Nachenberg. Computer virus-antivirus coevolution. Commun. ACM, Vol. 40, No.
1, pp. 46-51, 1997.
[7] Prabhat K. Singh and Arun Lakhotia. Analysis and detection of computer viruses and
worms: an annotated bibliography. SIGPLAN Not., Vol. 37, No. 2,pp. 29-35, 2002.
[8] Harold Thimbleby, Stuart Anderson, and Paul Cairns. A framework for modelling
Trojans and computer virus infection. The Computer Journal, Vol. 41, No. 7, pp.
445-458, 1998.
[9] HITACHI「ネットワーク世界の安全を支える先進のセキュリティ・ソリューション」
Hitachi Cable News VOL.359 FEBRUARY 2005
[10] NTTデータ「NTTデータが提案するワーム対策ソリューション」2005.2
http://www.nttdata.co.jp/netcom/pdf/nc04_ss_03.pdf
[11] IBM 「自己防御型セキュリティー・ソリューション」2004.12
http://www-1.ibm.com/services/jp/index.wss/offering/ns/a1010066
[12]豊泉 洋「発信元偽装メール型ウイルスの感染源分析法」
http://www.f.waseda.jp/toyoizumi/research/papers/Toyoizumi2004a.pdf
[13] SecurityFocus Behavior Blocking: The Next Step in Anti-Virus Protection
http://www.securityfocus.com/infocus/1557
[14] Hiroshi Toyoizumi and Atsuhi Kara. Predators:good will mobile codes combat against
computer viruses. In Proceedings of the 2002 workshop on New security paradigms, pp.
11-17. ACM Press, 2002.
