ワームの動きを「見える化」すると……(2/2 ページ)

» 2007年04月28日 21時14分 公開
[高橋睦美,ITmedia]
前のページへ 1|2       

 HIRTが公開した「ワームノード探索活動の可視化ツール」では、このうち「規則性」の部分を、同心円状の図形にマッピングして示す。IPアドレスを構成する4つのオクテットを、円周上に表示される4つのラインとして表現し、各オクテットの値を回転角に置き換えることで、探索活動を「グラフ化」してみたものだ。

 例えば、CodeRedやSQL Slammerといったワームの場合は、無作為にIPアドレスを生成し、次なる感染先を探し求める。一方BlasterやZotobはランダムではなく「近場狙い」で、感染元と同一ネットワークに属するIPアドレスを決めうちで探索する。この様子をツールで可視化すると、違いは一目瞭然だ。

SQL Slammerの探索活動は、360度全方向にまたがるランダムなもの
Blasterの場合は、1〜3オクテット目までが固定で、残る第4オクテットのみを規則正しく探索する近隣探索型

 HIRTではこのようにワームの探索活動を可視化することにより、個々のワームの特徴を視覚的に確認できるとしている。さらに、これを定量化することにより、ワームの検出や種類の特定を行うための判断材料の1つとして活用できるのではないかとしている。

 脅威を可視化する方法はこれだけではなく、ほかにもいろいろな方法が考えられるだろう。いずれにせよ、自分に見えないもの、把握できないものに効果的に対処することはできない。今後もさまざまな形で、脅威を見せていく工夫が求められるだろう。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ