JP2000354036A - Protection method for operation history file - Google Patents

Protection method for operation history file

Info

Publication number
JP2000354036A
JP2000354036A JP11164816A JP16481699A JP2000354036A JP 2000354036 A JP2000354036 A JP 2000354036A JP 11164816 A JP11164816 A JP 11164816A JP 16481699 A JP16481699 A JP 16481699A JP 2000354036 A JP2000354036 A JP 2000354036A
Authority
JP
Japan
Prior art keywords
history file
operation history
user
program
monitor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11164816A
Other languages
Japanese (ja)
Inventor
Takahiro Morimoto
隆宏 森本
Yoshifumi Nogami
敬文 野上
Takafumi Shinsenji
貴文 秦泉寺
Toshio Hata
登志雄 秦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP11164816A priority Critical patent/JP2000354036A/en
Publication of JP2000354036A publication Critical patent/JP2000354036A/en
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

PROBLEM TO BE SOLVED: To monitor in real time the operation contents of all users and also to monitor the illegal operations to ensure the security by storing an operation history file in an area, where a user cannot perform the input/output operations. SOLUTION: A control program is always resident at a server 11, and a login user monitor program is started, when a user performs a login operation via the terminals 12 existing in a wide range. When the monitor program is started, an operation history file store area definition file 50 which can be accessed only by a system manager is read, and an operation history file 130 is produced in an area where the user cannot perform the input/output operations. When a user's operation occurs, the login user monitor program calls an operation contents output program and starts the writing of the operation contents. Meanwhile, a monitor screen output program is always resident at a monitor terminal 13, and a monitor screen is started when a monitor screen start instruction is received from the login user monitor program.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【発明の属する技術分野】本発明は、ユーザ操作の監視
を行い、セキュリティを重視するあらゆるシステムに活
用できる操作履歴ファイルの保護方法に関するものであ
る。[0001] 1. Field of the Invention [0002] The present invention relates to a method for protecting an operation history file which monitors user operations and can be used in any system where security is important.

【従来の技術】従来、システムにセキュリティが必要、
不必要にかかわらず、ユーザがシステム内にログインを
行うと操作内容は一切分からない。また、ユーザの操作
内容をリアルタイムに一部始終監視できるシステムは存
在しない。例えば、ユーザID、パスワードを持っている
ユーザ、或は、システムに不正に侵入したユーザが、意
図的にシステムを破壊、或は、重要データを盗み出す様
な操作を行っても、操作した後では、個人の操作履歴を
追求するのは無理なことである。ネットワーク侵入経路
方式に関する従来技術として、例えば、特開平10−1
64064号公報等に記載された技術が知られている
が、この従来技術は、どの計算機から侵入したかの侵入
経路のみを追跡するだけで、侵入された場合、侵入者の
操作内容を追求できず、侵入者の形跡が残るのみであ
り、システムに対する影響を把握することができない。2. Description of the Related Art Conventionally, systems require security,
Regardless of the necessity, when the user logs in to the system, the operation content is unknown at all. Further, there is no system that can monitor the contents of user operations in real time. For example, even if a user who has a user ID and password, or a user who has illegally entered the system, intentionally destroys the system or steals important data, even after the operation, It is impossible to pursue an individual's operation history. For example, Japanese Patent Laid-Open No.
Although the technology described in Japanese Patent No. 64064 is known, this conventional technology can only pursue an intrusion route of a computer from which the intrusion has occurred, and can pursue the operation contents of an intruder when the intrusion occurs. However, only traces of an intruder remain, and it is not possible to grasp the effect on the system.

【発明が解決しようとする課題】前述した従来技術は、
一旦システムに侵入されると、不正操作を監視できな
い。システムを破壊された場合は、システムへの不法侵
入者による破壊、システム内の操作を許可されているユ
ーザによる破壊など、破壊されたことは分かるが、どの
ユーザの操作か確認できない。或は、データを盗まれた
場合、不正操作を行われたことに気づかないケースも発
生するという問題点を有している。本発明の目的は、ユ
ーザの操作履歴を操作履歴ファイルに取得し、操作履歴
ファイルを保護することにより、すべての操作内容を把
握することができることと、常に監視端末からシステム
内で操作を行っている、すべてのユーザの操作内容をリ
アルタイムに監視することができることから、不正操作
を監視しセキュリティを確保する操作履歴ファイルの保
護方法を提供することにある。The prior art described above is
Once compromised, unauthorized operations cannot be monitored. When the system is destroyed, it is known that the system has been destroyed, such as by an unauthorized intruder into the system, or by a user who is permitted to operate the system, but it is impossible to confirm which user has operated the system. Alternatively, if the data is stolen, there is a problem that the user may not notice that the unauthorized operation has been performed. An object of the present invention is to obtain the operation history of a user in an operation history file and protect the operation history file so that all operation contents can be grasped, and always perform operations in the system from a monitoring terminal. It is an object of the present invention to provide a method of protecting an operation history file for monitoring an unauthorized operation and ensuring security since the operation contents of all users can be monitored in real time.

【課題を解決するための手段】本発明は、ユーザの操作
内容を操作履歴ファイルに取得し、システム管理者以外
は、この操作履歴ファイルを手を出すことのできない、
あるいは、存在場所を知るすべがない領域に保管するこ
とから、ユーザから保護し、実現する。操作履歴ファイ
ルを保護する事により、ユーザの操作内容を把握し、も
し、不正操作が発生した場合、操作履歴ファイルを調べ
ることにより追跡可能となる。また、操作履歴ファイル
をアクセスする時には必ず、操作履歴ファイルの存在を
確認し、操作履歴ファイルが存在しなかった場合、この
ユーザは、不正操作を行った可能性があると判断し、セ
ションをすべて強制終了させる。また、ユーザのログイ
ンと同時に監視端末に操作監視ウィンドウを開き、操作
履歴ファイルを決められた時間間隔で読み込み、ユーザ
の操作が発生していれば画面に追加表示を行っていくこ
とにより、リアルタイムに操作内容を監視することを実
現し、ユーザのログアウトと同時に操作監視ウィンドウ
が終了することから、操作履歴ファイルの保護方法を実
現する。According to the present invention, the contents of a user operation are acquired in an operation history file, and only the system administrator can modify this operation history file.
Alternatively, since it is stored in an area where it is impossible to know the location, it is protected and realized from the user. By protecting the operation history file, the contents of the user's operation can be grasped, and if an illegal operation occurs, the operation history file can be traced by examining the operation history file. When accessing the operation history file, always check for the existence of the operation history file. If the operation history file does not exist, this user determines that there is a possibility that an unauthorized operation was performed, and Force termination. In addition, an operation monitoring window is opened on the monitoring terminal at the same time as the user logs in, the operation history file is read at a predetermined time interval, and if a user operation has occurred, an additional display is displayed on the screen, thereby real-time Since the operation contents are monitored and the operation monitoring window is closed at the same time as the user logs out, a method for protecting the operation history file is realized.

【発明の実施の形態】以下、本発明による操作履歴ファ
イルの保護方法の一実施形態を図面により詳細に説明す
る。図1は、本発明による操作履歴ファイルの保護方法
の構成例である。ユーザの操作を監視する監視端末13
と、ユーザが操作する端末12とが公衆網、ファイアウ
ォール、或いは、広域WAN等のネットワーク14を介
してサーバ11に接続され構成されている。サーバ11
には、操作履歴ファイル130と操作履歴ファイル格納
領域定義ファイル50が存在する。図2は、サーバにお
ける一実施形態の構成図である。サーバでは、制御プロ
グラム20が、常に常駐しており、広域に存在する端末
12からユーザがログインを行うとログインユーザ監視
プログラム30が起動される。ログインユーザ監視プロ
グラム30が起動されると、システム管理者のみアクセ
ス可能な操作履歴ファイル格納領域定義ファイル50を
読み込み、ユーザが入出力不可能な領域に操作履歴ファ
イル130を作成し、ユーザの操作が発生すれば、ログ
インユーザ監視プログラム30が、操作内容出力プログ
ラム40を呼び出し、操作内容出力プログラム40が操
作内容の書き込みを開始する。また、監視端末13に
は、監視画面出力プログラム60が常に常駐しており、
ログインユーザ監視プログラム30から、監視画面の起
動指示を受信すると、監視画面を起動する。図3は、操
作履歴ファイル格納領域定義ファイルの構成図である。
操作履歴ファイル格納領域定義ファイル50は、システ
ム管理者のみアクセス可能であり、操作履歴ファイル格
納領域定義ファイル50には、ユーザが入出力不可能な
操作履歴ファイルの出力領域51のみ記述する。システ
ム管理者のみ操作履歴ファイル格納場所を管理している
事から、ユーザは、操作履歴ファイルが、どこに取得さ
れるか知るすべが無い。図4から図5は、本発明による
操作履歴ファイルの保護方法のサーバ側の処理フローの
例である。図4は、制御プログラムの処理フローの例で
ある。制御プログラム20は、サーバが終了するまで、
起動状態にあり(ステップ21)、数秒間隔でユーザの
ログインを監視し(22)、ログインユーザがいれば
(23)、ログインしたユーザをログアウトするまで監
視するログインユーザ監視プログラムを呼び出す(3
0)。この動作をサーバが終了するまで繰り返す。図5
は、ログインユーザ監視プログラムの処理フローの例で
ある。ログインユーザ監視プログラムが呼び出されると
(ステップ30)、操作履歴ファイル格納領域定義ファ
イル50を読み込み(31)、該当ファイルの操作履歴
ファイル出力領域51に操作履歴ファイル130を作成
し(32)、監視端末13に監視画面起動指示を出す
(33)。その後、ユーザがログアウトするまでの間
(34)、数秒間隔でユーザ操作のチェックを行い(3
5)、ユーザの操作(タイプミス、バックスペース(後
退)等を含むすべての画面出力内容)が発生していれば
(36)、操作履歴ファイル130に操作内容を書き込
むためと、操作内容を監視端末13へ送るための操作内
容出力プログラムを呼び出す(40)。ユーザがログア
ウトすると、監視端末に監視画面終了指示を出し終了す
る(37)。図6は、操作内容出力プログラムの処理フ
ローの例である。不正操作がされていないことを確認す
るため、操作内容出力プログラム40は、操作履歴ファ
イルが存在するか確認し(ステップ41)、存在してい
れば、操作履歴ファイルへのユーザ操作内容の書き込み
を行い(42)、操作履歴ファイルを読み込み(4
3)、新たな操作内容のみを抽出し(44)、監視端末
に操作内容出力指示を出す(45)。図7は、監視端末
における監視画面出力プログラムの処理フローの例であ
る。監視画面出力プログラム60は、監視画面開始指示
を受信し(ステップ61)、監視画面を起動する(6
2)。その後、ログインユーザ監視プログラムからの終
了指示を受け付けるまで(63)、ログインユーザ監視
プログラム30から指示を受信し(64)、操作内容を
監視画面に出力する(65)。終了指示を受信すると、
監視画面を終了する(66)。また、不正操作監視セキ
ュリティシステムの一実勢形態をUNIX(UNIXは、X/
Open Company Limited が独占的にライセンスしている
米国ならびに他の国における登録商標である。)を例に
した場合で図面より詳細に説明する。構成例は、図1と
同じであるが、操作履歴ファイル格納領域定義ファイル
50を使用せず、実現する一実施例である。図8は、サ
ーバにおける一実施形態の構成図である。サーバ11に
は、広域に存在する端末12からユーザがログインを行
うと起動されるスタートアッププログラム(.profile)
80と、操作履歴ファイルを一時作成用ディレクトリ1
5に作成する操作履歴ファイル作成プログラム90と、
ユーザの操作内容を操作履歴ファイルから読み込み、監
視端末13に表示する操作内容表示プログラム100
と、ユーザの操作内容を操作履歴ファイルへ書き込む操
作内容出力プログラム110と、操作履歴ファイルを一
時作成用ディレクトリ15から保管用ディレクトリ16
に移動する操作履歴ファイル移動プログラム120から
構成される。ユーザがログインを行うと、スタートアッ
ププログラム80が起動され、起動されたスタートアッ
ププログラム80は、一時作成用ディレクトリ15に操
作履歴ファイルを作成するための操作履歴ファイル作成
プログラム90と操作履歴ファイルを読み込み、監視画
面13への操作内容の表示を行う操作内容表示プログラ
ム100と操作履歴ファイルへの操作内容の出力を行う
操作内容出力プログラム110を呼び出す。スタートア
ッププログラム80から呼び出された操作履歴ファイル
作成プログラム90は、一時作成用ディレクトリ15に
操作履歴ファイルを作成する。また、スタートアッププ
ログラム80から呼び出された操作内容表示プログラム
100は、操作履歴ファイルを読み込み、監視画面13
への操作内容の表示を行う。また、スタートアッププロ
グラム80から呼び出された操作内容出力プログラム1
10は、操作履歴ファイルへの操作内容の出力と操作履
歴ファイル移動プログラム120を呼び出す。操作内容
出力プログラム110から呼び出された操作履歴ファイ
ル移動プログラム120は一時作成用ディレクトリ15
から保管用ディレクトリ16へ、操作履歴ファイルを移
動する。まず、操作履歴ファイルは、scriptコマンドに
より、タイプミス、バックスペース(後退)等を含むす
べての画面出力が記録される。この操作履歴ファイル
は、更新や削除、操作履歴ファイル自体の消去による証
拠隠滅など、不正操作を行うユーザから保護する必要が
ある。保護するためには段階があり、第一段階としてsc
riptコマンドの起動阻止であるが、これは、スタートア
ッププログラム(.profile)80からのscriptコマンド
起動により不正操作を防ぐ。しかし、scriptコマンドを
実行するだけでは、操作履歴ファイルの修正や、消去を
防ぐ事はできない。このため、保護するための第二段と
して、操作履歴ファイルを格納するためのディレクトリ
を2種類用意する。図9のディレクトリ構成の説明にお
いて、一つは、所有者をroot(システム管理者)にし、
アクセス権限は、ユーザが不正な操作履歴ファイルを作
成したり、操作履歴ファイルを削除できないように、ro
ot以外のwrite権限を付けない一時作成用ディレクトリ
15を作成し、操作履歴ファイルを作成する操作履歴フ
ァイル作成プログラム90を用意し、この操作履歴ファ
イル作成プログラム90は所有者をrootにし、setuidを
設定する事により、ユーザがファイルを作成できないよ
うに設定した、一時作成用ディレクトリ15に、操作履
歴ファイルを作成することを可能にする。その後、scri
ptコマンドを実行し、一時作成用ディレクトリ15の操
作履歴ファイルをオープンし、操作内容を記録し始め
る。この操作内容を記録し始めた時点では、ユーザの操
作履歴ファイルの内容を改ざんすることは可能だが、操
作履歴ファイル自体を削除する事は不可能であり、必ず
アクセスした記録は残る。二つ目は、所有者をrootに
し、アクセス権限はroot以外の一切の権限を付けない、
すなわち、root以外は、ディレクトリにどんなファイル
が存在するか、ファイルを確認する事も、ファイルの更
新、削除など一切不可能である保管用ディレクトリ16
を作成し、操作履歴ファイルを一時作成用ディレクトリ
15から保管用ディレクトリ16に移動する操作履歴フ
ァイル移動プログラム120を用意し、この操作履歴フ
ァイル移動プログラム120は所有者をrootにし、setu
idを設定する事により、一切の権限がない保管用ディレ
クトリ16に操作履歴ファイルを移動する事を可能にす
る。この時、操作履歴ファイルを一切のアクセスを許さ
ない保管用ディレクトリ16に移したにも関わらず、操
作履歴ファイルへの書き込みは、継続して行われる。こ
れは、UNIXでは、ファイルのアクセス権限は、オー
プン時にしかチェックしないためである。つまり、書き
込み中のファイルを移動させても、ファイルオープン時
にしか権限をチェックしないため移動したファイルへの
アクセスは、継続して行える事を利用し実現している。
上記内容を踏まえ、図10〜図15の本発明による操作
履歴ファイルの保護方法の処理フローの例で説明する。
図10は、ユーザログインの処理フローの例である。ユ
ーザがログイン(ステップ71)を行うと、sh(シェ
ル)が起動(72)され、スタートアッププログラ
ム(.profile)80が起動される。このスタートアップ
プログラム80の延長で操作履歴ファイル作成プログラ
ム90、操作内容表示プログラム100、操作内容出力
プログラム100、操作履歴ファイル移動プログラム1
20が実行され、ログアウト73に至る。図11は、ス
タートアッププログラムの処理フローの例である。スタ
ートアッププログラムが実行されると(ステップ8
0)、一時作成用ディレクトリ15に操作履歴ファイル
を作成するための操作履歴ファイル作成プログラムが呼
ばれ(90)、操作履歴ファイル作成後、監視端末13
のDISPLAYの環境変数を設定し(81)、監視端
末13にリアルタイム監視画面の起動を行う(82)。
操作履歴ファイルを読み込み、監視画面13への操作内
容の表示を行う操作内容表示プログラムが呼ばれ(10
0)、操作履歴ファイルへのユーザの操作内容を書き込
む操作内容出力プログラムが呼ばれ(110)、ユーザ
操作内容の監視が行われる。ユーザログアウト時(7
3)、リアルタイム監視画面を終了する(83)。図1
2は、操作履歴ファイル作成プログラムの処理フローの
例である。操作履歴ファイル作成プログラム90は、先
にも述べたようにsetuidを設定しておく事によって、書
き込み不可能な一時作成ディレクトリ15に操作履歴フ
ァイルを作成する。図13は、操作内容表示プログラム
の処理フローの例である。操作内容表示プログラム10
0は、一時作成用ディレクトリ15に操作履歴ファイル
が存在するか確認し(ステップ101)、存在すれば、
tailコマンドにより1秒おきに操作履歴ファイルを読み
込み、操作内容が更新されていれば、監視画面に表示す
る(102)。もし、操作履歴ファイルが存在しなけれ
ば、このユーザは、不正操作を行ったものと判断し、ユ
ーザIDのsh(シェル)を検索し(103)、検索した
shを全てキルする(104)事により、ユーザのセシ
ョンを強制的に終了する。図14は、操作内容出力プロ
グラムの処理フローの例である。操作内容出力プログラ
ム110は、一時作成用ディレクトリ15に操作履歴フ
ァイルが存在するか確認し(ステップ111)、存在し
たならばscriptコマンドを起動し、ユーザの操作内容を
操作履歴ファイルへの書き込みを開始し(112)、操
作履歴ファイルを一時作成用ディレクトリ15から保護
用ディレクトリ16へ移動するための操作履歴ファイル
移動プログラムを呼び出す(120)。一時作成用ディ
レクトリ15に操作履歴ファイルが存在しない場合、こ
のユーザは、不正操作を行ったものと判断し、ユーザID
のsh(シェル)を検索し(113)、検索したshを
全てキルする(114)事により、ユーザのセションを
強制的に終了する。図15は、操作履歴ファイル移動プ
ログラムの処理フローの例である。操作履歴ファイル移
動プログラム120は、一時作成用ディレクトリ15に
操作履歴ファイルが存在するか確認し(ステップ12
1)、存在すれば、先にも述べたように、操作履歴ファ
イル移動プログラム120にsetuidを設定しておく事で
一時作成用ディレクトリ15から保護用ディレクトリ1
6に操作履歴ファイルを移動する事ができる(12
2)。もし、一時作成用ディレクトリに操作履歴ファイ
ルが存在しない場合、このユーザは、不正操作を行った
ものと判断し、ユーザIDのsh(シェル)を検索し(1
23)、検索したshを全てキルする(124)事によ
り、ユーザのセションを強制的に終了する。図16は、
操作履歴ファイルの構成図である。操作履歴ファイル1
30は、ユーザの操作した内容131がそのまま書き込
まれ、リターンコード132は表示されないが、ユーザ
のリターンコード132の入力により、改行が行われ
る。標準出力への内容133も、そのままの形式で書き
込まれ、バックスペース134も書き込まれる。本実施
例によれば、ユーザの操作履歴を操作履歴ファイルに取
得し、操作履歴ファイルを保護することにより、すべて
の操作内容を把握することができることと、常に監視端
末からシステム内で操作を行っている、すべてのユーザ
の操作内容をリアルタイムに監視することができること
から、不正操作を監視しセキュリティを確保することが
できる。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an embodiment of a method for protecting an operation history file according to the present invention will be described in detail with reference to the drawings. FIG. 1 is a configuration example of a method for protecting an operation history file according to the present invention. Monitoring terminal 13 that monitors user operations
And a terminal 12 operated by a user are connected to the server 11 via a network 14 such as a public network, a firewall, or a wide area WAN. Server 11
Includes an operation history file 130 and an operation history file storage area definition file 50. FIG. 2 is a configuration diagram of an embodiment in a server. In the server, the control program 20 is always resident, and when a user logs in from the terminal 12 existing in a wide area, the login user monitoring program 30 is started. When the login user monitoring program 30 is started, the operation history file storage area definition file 50 accessible only by the system administrator is read, and the operation history file 130 is created in an area where the user cannot input / output. If this occurs, the login user monitoring program 30 calls the operation content output program 40, and the operation content output program 40 starts writing the operation content. Also, the monitoring screen output program 60 is always resident in the monitoring terminal 13,
Upon receiving a monitor screen start instruction from the login user monitoring program 30, the monitor screen is started. FIG. 3 is a configuration diagram of the operation history file storage area definition file.
The operation history file storage area definition file 50 is accessible only by the system administrator, and the operation history file storage area definition file 50 describes only the output area 51 of the operation history file that the user cannot input / output. Since only the system administrator manages the storage location of the operation history file, the user has no way of knowing where the operation history file is obtained. FIGS. 4 to 5 show an example of a processing flow on the server side in the operation history file protection method according to the present invention. FIG. 4 is an example of a processing flow of the control program. The control program 20 executes until the server ends.
In a running state (step 21), the user's login is monitored at intervals of several seconds (22), and if there is a logged-in user (23), a login user monitoring program for monitoring the logged-in user until logging out is called (3).
0). This operation is repeated until the server ends. FIG.
Is an example of the processing flow of the login user monitoring program. When the login user monitoring program is called (step 30), the operation history file storage area definition file 50 is read (31), the operation history file 130 is created in the operation history file output area 51 of the file (32), and the monitoring terminal 13 issues a monitor screen activation instruction (33). Thereafter, the user operation is checked at intervals of several seconds until the user logs out (34) (3).
5) If a user operation (all screen output contents including a typo, backspace (retreat), etc.) has occurred (36), monitor the operation contents to write the operation contents to the operation history file 130. An operation content output program to be sent to the terminal 13 is called (40). When the user logs out, a monitoring screen end instruction is issued to the monitoring terminal, and the process ends (37). FIG. 6 is an example of a processing flow of the operation content output program. To confirm that no unauthorized operation has been performed, the operation content output program 40 checks whether an operation history file exists (step 41), and if so, writes the user operation content to the operation history file. (42) and read the operation history file (4
3) Only new operation content is extracted (44), and an operation content output instruction is issued to the monitoring terminal (45). FIG. 7 is an example of a processing flow of a monitoring screen output program in the monitoring terminal. The monitoring screen output program 60 receives the monitoring screen start instruction (step 61) and starts the monitoring screen (6).
2). Thereafter, until an end instruction from the login user monitoring program is received (63), an instruction is received from the login user monitoring program 30 (64), and the operation content is output to the monitoring screen (65). Upon receiving the end instruction,
The monitoring screen is terminated (66). In addition, UNIX (UNIX is X /
Open Company Limited is a registered trademark in the United States and other countries, exclusively licensed. ) Will be described in detail with reference to the drawings. The configuration example is the same as that of FIG. 1, but is an embodiment realized without using the operation history file storage area definition file 50. FIG. 8 is a configuration diagram of an embodiment in a server. The server 11 has a startup program (.profile) that is started when a user logs in from a terminal 12 existing in a wide area.
80 and directory 1 for temporarily creating operation history files
5, an operation history file creation program 90,
An operation content display program 100 for reading the user's operation content from the operation history file and displaying it on the monitoring terminal 13
An operation content output program 110 for writing the content of the user's operation to the operation history file, and an operation history file from the temporary creation directory 15 to the storage directory 16
The operation history file transfer program 120 moves to the operation history file. When the user logs in, the start-up program 80 is started, and the started-up program 80 reads and monitors the operation history file creation program 90 and the operation history file for creating the operation history file in the temporary creation directory 15. An operation content display program 100 for displaying the operation content on the screen 13 and an operation content output program 110 for outputting the operation content to the operation history file are called. The operation history file creation program 90 called from the startup program 80 creates an operation history file in the temporary creation directory 15. The operation content display program 100 called from the startup program 80 reads the operation history file, and
Display the contents of the operation to. The operation content output program 1 called from the startup program 80
10 outputs the operation content to the operation history file and calls the operation history file transfer program 120. The operation history file transfer program 120 called from the operation content output program 110 stores the temporary creation directory 15
Is moved to the storage directory 16 from the operation history file. First, in the operation history file, all screen outputs including a typo, a back space (retreat) and the like are recorded by the script command. The operation history file needs to be protected from a user who performs an illegal operation, such as updating or deleting, or erasing evidence by deleting the operation history file itself. There is a stage to protect, sc as the first stage
This is to prevent the ript command from starting, but this prevents illegal operation by starting the script command from the startup program (.profile) 80. However, simply executing the script command does not prevent modification or deletion of the operation history file. Therefore, as a second stage for protection, two types of directories for storing operation history files are prepared. In the description of the directory structure in FIG. 9, one is to make the owner root (system administrator),
The access authority is set so that the user cannot create an invalid operation history file or delete the operation history file.
A temporary creation directory 15 without write permission other than ot is created, and an operation history file creation program 90 for creating an operation history file is prepared. The operation history file creation program 90 sets the owner to root and sets the setuid. By doing so, it is possible to create an operation history file in the temporary creation directory 15, which is set so that the user cannot create a file. Then scri
The pt command is executed, the operation history file in the temporary creation directory 15 is opened, and the recording of the operation contents is started. At the time when the recording of the operation is started, the contents of the operation history file of the user can be falsified, but the operation history file itself cannot be deleted, and the record of the accessed data always remains. The second is to make the owner root, and give access rights other than root,
That is, except for the root, it is not possible to check what files exist in the directory, to check the files, or to update or delete the files.
Is prepared, and an operation history file moving program 120 for moving the operation history file from the temporary creation directory 15 to the storage directory 16 is prepared. The operation history file moving program 120 sets the owner to root, setsu
By setting the id, it is possible to move the operation history file to the storage directory 16 without any authority. At this time, writing to the operation history file is continued even though the operation history file has been moved to the storage directory 16 where no access is allowed. This is because UNIX checks file access authority only when it is opened. In other words, even if the file being written is moved, the authority is checked only at the time of opening the file, so that access to the moved file can be continued and realized.
Based on the above contents, an example of the processing flow of the method for protecting the operation history file according to the present invention in FIGS. 10 to 15 will be described.
FIG. 10 is an example of a processing flow of user login. When the user logs in (step 71), sh (shell) is started (72), and a startup program (.profile) 80 is started. As an extension of the start-up program 80, an operation history file creation program 90, an operation content display program 100, an operation content output program 100, and an operation history file movement program 1
20 is executed, and the logout 73 is reached. FIG. 11 is an example of a processing flow of the startup program. When the startup program is executed (Step 8
0), an operation history file creation program for creating an operation history file in the temporary creation directory 15 is called (90), and after the operation history file is created, the monitoring terminal 13 is created.
DISPLAY environment variables are set (81), and a real-time monitoring screen is activated on the monitoring terminal 13 (82).
An operation content display program for reading the operation history file and displaying the operation content on the monitoring screen 13 is called (10).
0), an operation content output program for writing the content of the user operation to the operation history file is called (110), and the content of the user operation is monitored. When the user logs out (7
3), end the real-time monitoring screen (83). FIG.
2 is an example of the processing flow of the operation history file creation program. The operation history file creation program 90 creates an operation history file in the non-writable temporary creation directory 15 by setting the setuid as described above. FIG. 13 is an example of a processing flow of the operation content display program. Operation content display program 10
0 checks whether the operation history file exists in the temporary creation directory 15 (step 101).
The operation history file is read every second by the tail command, and if the operation content is updated, it is displayed on the monitoring screen (102). If the operation history file does not exist, it is determined that the user has performed an illegal operation, the user ID sh (shell) is searched (103), and all the searched sh are killed (104). Forcibly ends the user session. FIG. 14 is an example of a processing flow of the operation content output program. The operation content output program 110 checks whether an operation history file exists in the temporary creation directory 15 (step 111), and if so, starts the script command and starts writing the user's operation content to the operation history file. Then, an operation history file transfer program for moving the operation history file from the temporary creation directory 15 to the protection directory 16 is called (120). If there is no operation history file in the temporary creation directory 15, this user is determined to have performed an unauthorized operation, and the user ID
Is searched (113), and all the searched sh are killed (114), thereby forcibly terminating the user session. FIG. 15 is an example of a processing flow of the operation history file transfer program. The operation history file transfer program 120 checks whether an operation history file exists in the temporary creation directory 15 (step 12).
1) If it exists, as described above, setuid is set in the operation history file transfer program 120 to change the temporary creation directory 15 to the protection directory 1
6 can be moved to the operation history file (12
2). If the operation history file does not exist in the temporary creation directory, it is determined that this user has performed an illegal operation, and the user ID sh (shell) is searched (1).
23) Kill all searched sh (124), thereby forcibly terminating the user's session. FIG.
It is a block diagram of an operation history file. Operation history file 1
In 30, the content 131 operated by the user is written as it is, and the return code 132 is not displayed, but a line feed is performed by the input of the return code 132 by the user. The contents 133 to the standard output are also written in the same format, and the back space 134 is also written. According to the present embodiment, by acquiring the operation history of the user in the operation history file and protecting the operation history file, it is possible to grasp all the operation contents and always perform the operation in the system from the monitoring terminal. Since the operation contents of all users can be monitored in real time, unauthorized operations can be monitored and security can be ensured.

【発明の効果】以上に説明したように本発明によれば、
すべてのユーザの操作内容をリアルタイムに監視する事
ができる事と、もし、不正操作が発生した事が、後々に
分かった場合でも、操作履歴ファイルを解析することに
より不正操作を追跡することが可能なことから、セキュ
リティを確保できる効果がある。According to the present invention as described above,
It is possible to monitor the operation contents of all users in real time, and even if the occurrence of unauthorized operation is found later, it is possible to track the unauthorized operation by analyzing the operation history file Therefore, there is an effect that security can be ensured.

【図面の簡単な説明】[Brief description of the drawings]

【図1】本発明による操作履歴ファイルの保護方法の構
成例を示すブロック図である。FIG. 1 is a block diagram illustrating a configuration example of a method for protecting an operation history file according to the present invention.

【図2】本発明の一実施形態によるサーバの構成を示す
ブロック図である。FIG. 2 is a block diagram showing a configuration of a server according to an embodiment of the present invention.

【図3】操作履歴ファイル格納領域定義ファイルの構成
例を示すブロック図である。FIG. 3 is a block diagram illustrating a configuration example of an operation history file storage area definition file.

【図4】制御プログラムの処理動作を説明するフローチ
ャートである。FIG. 4 is a flowchart illustrating a processing operation of a control program.

【図5】ログインユーザ監視プログラムの処理動作を説
明するフローチャートである。FIG. 5 is a flowchart illustrating a processing operation of a login user monitoring program.

【図6】操作内容出力プログラムの処理動作を説明する
フローチャートである。FIG. 6 is a flowchart illustrating a processing operation of an operation content output program.

【図7】監視画面出力プログラムの処理動作を説明する
フローチャートである。FIG. 7 is a flowchart illustrating a processing operation of a monitoring screen output program.

【図8】本発明の一実施形態によるサーバの構成を示す
ブロック図である。FIG. 8 is a block diagram illustrating a configuration of a server according to an embodiment of the present invention.

【図9】ディレクトリ構成を説明する図である。FIG. 9 is a diagram illustrating a directory configuration.

【図10】ユーザログインの処理動作を説明するフロー
チャートである。FIG. 10 is a flowchart illustrating a user login processing operation.

【図11】スタートアッププログラムの処理動作を説明
するフローチャートである。FIG. 11 is a flowchart illustrating a processing operation of a startup program.

【図12】操作履歴ファイル作成プログラムの処理動作
を説明するフローチャートである。FIG. 12 is a flowchart illustrating a processing operation of an operation history file creation program.

【図13】操作内容表示プログラムの処理動作を説明す
るフローチャートである。FIG. 13 is a flowchart illustrating a processing operation of an operation content display program.

【図14】操作内容出力プログラムの処理動作を説明す
るフローチャートである。FIG. 14 is a flowchart illustrating a processing operation of an operation content output program.

【図15】操作履歴ファイル移動プログラムの処理動作
を説明するフローチャートである。FIG. 15 is a flowchart illustrating a processing operation of an operation history file transfer program.

【図16】操作履歴ファイルの構成例を示すブロック図
である。FIG. 16 is a block diagram illustrating a configuration example of an operation history file.

【符号の説明】[Explanation of symbols]

11…サーバ、12…ユーザ端末、13…監視端末、1
4…ネットワーク、15…一時作成用ディレクトリ、1
6…保管用ディレクトリ、20…制御プログラム、30
…ログインユーザ監視プログラム、40…操作内容出力
プログラム、50…操作履歴ファイル格納領域定義ファ
イル、60…監視画面出力プログラム、80…スタート
アッププログラム、90…操作履歴ファイル作成プログ
ラム、100…操作内容表示プログラム、110…操作
内容出力プログラム、120…操作履歴ファイル移動プ
ログラム、130…操作履歴ファイル。11 server, 12 user terminal, 13 monitoring terminal, 1
4 Network, 15 Temporary directory, 1
6 ... Storage directory, 20 ... Control program, 30
... Login user monitoring program, 40 ... Operation content output program, 50 ... Operation history file storage area definition file, 60 ... Monitoring screen output program, 80 ... Startup program, 90 ... Operation history file creation program, 100 ... Operation content display program, 110: operation content output program, 120: operation history file moving program, 130: operation history file.

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 12/22 (72)発明者 秦泉寺 貴文 大阪府大阪市中央区内本町二丁目4番16号 日立西部ソフトウェア株式会社内 (72)発明者 秦 登志雄 大阪府大阪市中央区内本町二丁目4番16号 日立西部ソフトウェア株式会社内 Fターム(参考) 5B042 GA12 JJ17 JJ40 KK01 MA08 MC37 NN04 5B085 AC11 BC01 5B089 GA11 GA21 GB02 HA01 HA06 HA10 JB22 KA17 KB13 LB14 5K030 GA15 HC01 HC14 HD05 JA10 MA01 MB00 MC09 9A001 BB01 BB03 BB04 CC07 CC08 DD06 FF03 JJ27 KK31 LL03──────────────────────────────────────────────────続 き Continued on the front page (51) Int.Cl. 7 Identification symbol FI Theme coat ゛ (Reference) H04L 12/22 (72) Inventor Takafumi Hatsenji 2-4-1-16 Uchihonmachi, Chuo-ku, Osaka-shi, Osaka Hitachi Western Software Co., Ltd. (72) Inventor Toshio Hata 2-4-1-16 Uchihonmachi, Chuo-ku, Osaka City, Osaka Prefecture F-term within Hitachi Western Software Co., Ltd. 5B042 GA12 JJ17 JJ40 KK01 MA08 MC37 NN04 5B085 AC11 BC01 5B089 GA11 GA21 GB02 HA01 HA06 HA10 JB22 KA17 KB13 LB14 5K030 GA15 HC01 HC14 HD05 JA10 MA01 MB00 MC09 9A001 BB01 BB03 BB04 CC07 CC08 DD06 FF03 JJ27 KK31 LL03

Claims (3)

【特許請求の範囲】[Claims] 【請求項1】端末とサーバがLANや広域WAN、およ
び、公衆網で構成されるネットワークシステムにおい
て、ユーザのログインを切っ掛けにログアウトまでの操
作履歴を操作履歴ファイルに取得し、この操作履歴ファ
イルを、ユーザが入出力不可能な領域に保管する手段を
有し、前記手段により、ユーザから操作履歴ファイルを
保護し、操作履歴ファイルの内容を確認することができ
ることから、ユーザの操作内容を把握できことから、操
作内容を監視する特徴を有する操作履歴ファイルの保護
方法。In a network system in which a terminal and a server are configured by a LAN, a wide area WAN, and a public network, an operation history up to logout after a user logs in is acquired in an operation history file. A means for storing the operation history file in an area where the user cannot input / output data, and the means for protecting the operation history file from the user and confirming the contents of the operation history file. Therefore, a method of protecting an operation history file having a feature of monitoring operation contents. 【請求項2】保護するはずの操作履歴ファイルが、不正
に操作された場合、ユーザのセションをすべて強制終了
させることにより、セキュリティを確保することを特徴
とする請求項1記載の操作履歴ファイルの保護方法。2. The operation history file according to claim 1, wherein when an operation history file to be protected is operated illegally, security is ensured by forcibly terminating all user sessions. Protection method. 【請求項3】ユーザのログインと同時に、操作履歴ファ
イルを読み込むことにより、自動的に監視端末に操作内
容を表示し、リアルタイムに監視することを可能にし、
ユーザのログアウトと同時にリアルタイム監視を終了す
ることから、操作内容を監視し、セキュリティを確保す
ることを特徴とする請求項1記載の操作履歴ファイルの
保護方法。3. An operation history file is read at the same time as the user logs in, whereby the operation content is automatically displayed on the monitoring terminal, enabling real-time monitoring.
2. The method for protecting an operation history file according to claim 1, wherein the real-time monitoring is terminated at the same time as the user logs out, so that the operation content is monitored to ensure security.
JP11164816A 1999-06-11 1999-06-11 Protection method for operation history file Pending JP2000354036A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP11164816A JP2000354036A (en) 1999-06-11 1999-06-11 Protection method for operation history file

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP11164816A JP2000354036A (en) 1999-06-11 1999-06-11 Protection method for operation history file

Publications (1)

Publication Number Publication Date
JP2000354036A true JP2000354036A (en) 2000-12-19

Family

ID=15800474

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11164816A Pending JP2000354036A (en) 1999-06-11 1999-06-11 Protection method for operation history file

Country Status (1)

Country Link
JP (1) JP2000354036A (en)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003022229A (en) * 2001-07-06 2003-01-24 Minolta Co Ltd Information processing system and information processing terminal
JP2003216472A (en) * 2002-01-28 2003-07-31 Mitsubishi Electric Corp Fraudulent act monitoring system
JP2003288319A (en) * 2002-03-27 2003-10-10 Toshiba Corp Image viewer and maintenance terminal for image viewer
JP2007199813A (en) * 2006-01-24 2007-08-09 Ntt Comware Corp Log collecting system and log collecting method
JP2008181360A (en) * 2007-01-25 2008-08-07 Sky Kk Client terminal monitoring system
JP2008191981A (en) * 2007-02-06 2008-08-21 Sky Kk Network management system and program for it
JP2008210150A (en) * 2007-02-26 2008-09-11 Sky Kk Screen storage system
JP2008276797A (en) * 2008-06-24 2008-11-13 Dainippon Printing Co Ltd Computer system and its use control method
WO2008156043A1 (en) * 2007-06-19 2008-12-24 Japan Lucida Co., Ltd. Device management system
WO2009022688A1 (en) * 2007-08-14 2009-02-19 Japan Lucida Co., Ltd. Device data management system
JP2009059157A (en) * 2007-08-31 2009-03-19 Sky Kk Client terminal monitoring system
WO2010007990A1 (en) * 2008-07-15 2010-01-21 株式会社日本ルシーダ Device management system
JP2018097696A (en) * 2016-12-14 2018-06-21 富士通株式会社 Operation log output program, operation log output method, and information processing apparatus

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003022229A (en) * 2001-07-06 2003-01-24 Minolta Co Ltd Information processing system and information processing terminal
JP2003216472A (en) * 2002-01-28 2003-07-31 Mitsubishi Electric Corp Fraudulent act monitoring system
JP2003288319A (en) * 2002-03-27 2003-10-10 Toshiba Corp Image viewer and maintenance terminal for image viewer
JP4607023B2 (en) * 2006-01-24 2011-01-05 エヌ・ティ・ティ・コムウェア株式会社 Log collection system and log collection method
JP2007199813A (en) * 2006-01-24 2007-08-09 Ntt Comware Corp Log collecting system and log collecting method
JP2008181360A (en) * 2007-01-25 2008-08-07 Sky Kk Client terminal monitoring system
JP2008191981A (en) * 2007-02-06 2008-08-21 Sky Kk Network management system and program for it
JP2008210150A (en) * 2007-02-26 2008-09-11 Sky Kk Screen storage system
WO2008156043A1 (en) * 2007-06-19 2008-12-24 Japan Lucida Co., Ltd. Device management system
WO2009022688A1 (en) * 2007-08-14 2009-02-19 Japan Lucida Co., Ltd. Device data management system
JP2009059157A (en) * 2007-08-31 2009-03-19 Sky Kk Client terminal monitoring system
JP4542575B2 (en) * 2007-08-31 2010-09-15 Sky株式会社 Management server and client terminal monitoring program used in client terminal monitoring system
JP2008276797A (en) * 2008-06-24 2008-11-13 Dainippon Printing Co Ltd Computer system and its use control method
WO2010007990A1 (en) * 2008-07-15 2010-01-21 株式会社日本ルシーダ Device management system
JP2018097696A (en) * 2016-12-14 2018-06-21 富士通株式会社 Operation log output program, operation log output method, and information processing apparatus

Similar Documents

Publication Publication Date Title
Grampp et al. The UNIX system: UNIX operating system security
US5278901A (en) Pattern-oriented intrusion-detection system and method
US9213836B2 (en) System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages
US7263721B2 (en) Password protection
JP2000354036A (en) Protection method for operation history file
US8185955B2 (en) Intrusion detection method and system, related network and computer program product therefor
JP4578119B2 (en) Information processing apparatus and security ensuring method in information processing apparatus
CN107851155A (en) For the system and method across multiple software entitys tracking malicious act
US20100306851A1 (en) Method and apparatus for preventing a vulnerability of a web browser from being exploited
US6182223B1 (en) Method and apparatus for preventing unauthorized access to computer-stored information
CN109783316B (en) Method and device for identifying tampering behavior of system security log, storage medium and computer equipment
Gligor et al. On the design and the implementation of secure Xenix workstations
KR101223594B1 (en) A realtime operational information backup method by dectecting LKM rootkit and the recording medium thereof
Strunk et al. Intrusion detection, diagnosis, and recovery with self-securing storage
CN103430153B (en) Inoculator and antibody for computer security
JP4638494B2 (en) Computer data protection methods
JP2002304231A (en) Computer system
KR100369535B1 (en) Apparatus for memorizing log data through tele-communication and method there of
CN112541169A (en) Local recording method for linux user behavior
KR101041115B1 (en) System and Method Using Website by Permission Control and Recording Medium
CA2471505A1 (en) System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
JP3974879B2 (en) Unauthorized access information security device, unauthorized access information security method, and program
CN107643945A (en) A kind of method that monitoring process is created and destroyed under Windows xp systems
KR20020060517A (en) Method for Securing Document File Using Process Identification and Hard Disk Identification
JP2002140259A (en) Tamper preventing device, its method, and storage medium