JP2022166870A - Alteration detection system for malware detection - Google Patents
Alteration detection system for malware detection Download PDFInfo
- Publication number
- JP2022166870A JP2022166870A JP2021072228A JP2021072228A JP2022166870A JP 2022166870 A JP2022166870 A JP 2022166870A JP 2021072228 A JP2021072228 A JP 2021072228A JP 2021072228 A JP2021072228 A JP 2021072228A JP 2022166870 A JP2022166870 A JP 2022166870A
- Authority
- JP
- Japan
- Prior art keywords
- detection system
- hash value
- block chain
- function
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、他のシステムから隔離されて運用されるシステムにおいて、ブロックチェーン技術を用いた改ざん検知により、マルウェアの感染を検知する技術を提供する。 The present invention provides a technology for detecting malware infection by detecting tampering using blockchain technology in a system that is operated isolated from other systems.
可搬媒体(USB接続式のストレージ等)をサーバに接続した際、特定サーバ以外との接続を拒否する事で、可搬媒体にマルウェアが混入する事を防ぐ技術(下記、特許文献1)が提供されている。 When a portable medium (such as a USB-connected storage) is connected to a server, it refuses to connect to anything other than a specific server, thereby preventing malware from entering the portable medium (Patent Document 1 below). provided.
発電所、航空機、電車、信号、ATM等の公共インフラや工場等の制御システムは、セキュリティを確保するため他のシステムから完全に隔離される。
隔離されたシステムでは、可搬媒体を介してソフトウェアアップデート等のメンテナンスを実施するため、可搬媒体をマルウェアに感染させる事で、隔離されたシステムに対して攻撃を行う。
可搬媒体に仕込まれたマルウェアが、作業者のミスによりインストールされる可能性は非常に低いため、攻撃者は可搬媒体にオートランを仕込む。
オートランとは可搬媒体をPCに接続した際、自動的にプログラムを実行するプログラムである。
Microsoft社は、可搬媒体のオートランを無効化するよう Windows を改修しているが、隔離されたシステムは設計が古い物も多く、Microsoft社が改修したパッチを適用する事が困難である事も多い。
Public infrastructure such as power plants, aircraft, trains, signals, ATMs, and control systems in factories are completely isolated from other systems to ensure security.
In an isolated system, maintenance such as software updates is performed via a portable medium, so the isolated system is attacked by infecting the portable medium with malware.
Since it is very unlikely that malware installed in a portable medium will be installed by an operator's mistake, the attacker installs an auto-run in the portable medium.
Autorun is a program that automatically runs a program when a portable medium is connected to a PC.
Microsoft has modified Windows to disable the auto-run of portable media, but many of the isolated systems have old designs, and it is sometimes difficult to apply Microsoft's modified patch. many.
また、可搬媒体がマルウェアに感染しないよう厳密に管理すれば、可搬媒体を媒介とした攻撃を防ぎ得るが、作業者のセキュリティー意識が人為的脆弱性となり易い。 If the portable medium is strictly managed so as not to be infected with malware, it is possible to prevent an attack through the portable medium, but the security awareness of the operator tends to become an artificial vulnerability.
このため、サーバやPC等の端末にインストールされているソフトウェアの変更履歴をブロックチェーンで管理する事で、マルウェア感染を検知するシステムを提供する。 For this reason, we provide a system that detects malware infection by managing the change history of software installed on terminals such as servers and PCs with blockchain.
本発明の改ざん検知システムは、サーバやPC等の端末にインストールされ、端末にインストールされているソフトウェア名と、ソフトウェアのバージョンから、ハッシュ値を生成するハッシュ値生成機能を備える。 The falsification detection system of the present invention is installed in a terminal such as a server or a PC, and has a hash value generation function that generates a hash value from the software name and software version installed in the terminal.
好適には、前記ハッシュ値生成機能により生成されたハッシュ値から、ブロックチェーンを生成するブロックチェーン生成機能を備える。 Preferably, it comprises a block chain generation function for generating a block chain from the hash value generated by the hash value generation function.
より好適には、比較対象となるブロックチェーンを指定する比較対象指定機能を備え、比較対象指定機能で指定したブロックチェーンと生成されたブロックチェーンが異なる場合、作業者に視覚的に警告を与える警告機能を備える。 More preferably, it has a comparison object specification function that specifies a block chain to be compared, and if the generated blockchain is different from the blockchain specified by the comparison object specification function, a warning that visually warns the operator. It has functions.
より好適には、改ざん検知システムがインストールされた端末に、可搬媒体が接続された際、他の端末とのネットワークを遮断するネットワーク遮断機能を備える。 More preferably, when a portable medium is connected to a terminal installed with the tampering detection system, a network blocking function is provided to block a network with other terminals.
より好適には、改ざん検知システムがインストールされた端末から、可搬媒体を取り外した後も、再起動が行われるまでは他の端末とのネットワークを遮断し続けるネットワーク遮断機能を備える。 More preferably, the terminal in which the tampering detection system is installed has a network blocking function that keeps blocking the network with other terminals until the terminal is restarted even after the portable medium is removed.
本発明に係る改ざん検知システムによれば、ネットワークから隔離されたシステムにおいて可搬媒体を媒介としたマルウェアの感染を検知するのに好適である。 INDUSTRIAL APPLICABILITY The falsification detection system according to the present invention is suitable for detecting malware infection via a portable medium in a system isolated from a network.
以下、本発明に係る改ざん検知システムについて、実施例にて図面を用いて説明する。
<実施例>
Hereinafter, a falsification detection system according to the present invention will be described in an embodiment with reference to the drawings.
<Example>
図1は、改ざん検知システムを説明する概略図である。
改ざん検知システム1は、ハッシュ値生成機能2、ブロックチェーン生成機能3、比較対象指定機能4、警告機能5、ネットワーク遮断機能6から構成される。
FIG. 1 is a schematic diagram illustrating a tampering detection system.
The falsification detection system 1 is composed of a hash
図2は、改ざん検知システムの構成を説明する概略図である。
通常、本番環境7のメンテナンスを実施する前にテスト環境9でメンテナンスを実施し、メンテナンスが正常に終了する事を確認するため、改ざん検知システム1は、本番環境7の可搬媒体接続端末8とテスト環境9のテスト端末10にインストールされる。
このため、テスト端末10にインストールされるソフトウェアの種類とバージョンは、可搬媒体接続端末8と同一でなければならない。
FIG. 2 is a schematic diagram illustrating the configuration of the falsification detection system.
Normally, maintenance is performed in the test environment 9 before performing maintenance on the production environment 7, and in order to confirm that the maintenance ends normally, the tampering detection system 1 is connected to the portable medium connection terminal 8 of the production environment 7. It is installed in the
Therefore, the type and version of software installed on the
改ざん検知システム1は、ハッシュ値生成機能2により、サーバやPC等の端末にインストールされているソフトウェアと、ソフトウェアのバージョンに基づきハッシュ値を生成し、ブロックチェーン生成機能3は生成されたハッシュ値に基づきブロックチェーンを生成する。
ハッシュ値を生成する際は、管理者権限昇格の脆弱性が存在する可能性を考慮し、管理者権限が無いと書き込めない領域に保存されるソフトウェアも対象とする事が望ましい。
The tampering detection system 1 uses the hash
When generating a hash value, it is desirable to target software that is stored in an area that cannot be written to without administrator privileges, considering the possibility of an administrator privilege escalation vulnerability.
テスト端末10でのメンテナンス時に、改ざん検知システム1によりブロックチェーンを生成。
比較対象指定機能4により、テスト端末10で生成されたブロックチェーンを指定し、可搬媒体接続端末8でメンテナンス作業を実施、改ざん検知システム1によりブロックチェーンを生成する。
生成されたブロックチェーンが比較対象と異なる場合には、警告機能5により、作業者に視覚的に警告を与える。
A blockchain is generated by the tampering detection system 1 during maintenance on the
A block chain generated by the
If the generated blockchain is different from the comparison target, the warning function 5 gives a visual warning to the operator.
ハッシュ値の生成は手動で行われる事が望ましく、ハッシュ値を生成する断面は「可搬媒体接続前」、「可搬媒体接続後」、「可搬媒体からメンテナンスに必要なファイルを指定ディレクトリにコピー後」、「メンテナンス作業の実施後」を想定している。
この様にする事で「可搬媒体接続後」の複数の断面で、マルウェア感染の有無を検査出来る。
It is desirable to generate hash values manually. "after copying" and "after performing maintenance work".
By doing so, the presence or absence of malware infection can be inspected in a plurality of sections "after connection of the portable medium".
可搬媒体を可搬媒体接続端末8に接続した際、マルウェア(実行ファイル)を可搬媒体接続端末8にインストールし、ネットワークを介して他端末への侵入を行い、可搬媒体接続端末8上の痕跡(実行ファイル)を抹消する事で、改ざん検知システム1による改ざん検知を回避する事が想定される。
このため、改ざん検知システム1がインストールされた端末に、可搬媒体が接続された場合、ネットワーク遮断機能6により、ネットワークを遮断する。
When a portable medium is connected to the portable medium connection terminal 8, malware (executable file) is installed in the portable medium connection terminal 8, intrudes into other terminals via the network, and on the portable medium connection terminal 8 By erasing the trace (executable file) of the , it is assumed that the tampering detection by the tampering detection system 1 can be avoided.
Therefore, when a portable medium is connected to a terminal in which the falsification detection system 1 is installed, the network is blocked by the network blocking function 6 .
また、可搬媒体接続端末8上の痕跡(実行ファイル)が削除された後も、プロセスは動作し続けている可能性がある。
このため、改ざん検知システム1がインストールされた端末から可搬媒体を取り外した後も、再起動が行われるまでは、ネットワーク遮断機能6により、ネットワークを遮断し続ける。
Moreover, even after the trace (execution file) on the portable medium connection terminal 8 is deleted, the process may continue to operate.
Therefore, even after the portable medium is removed from the terminal in which the tampering detection system 1 is installed, the network is kept blocked by the network blocking function 6 until the terminal is restarted.
開発環境11からテスト端末10に必要なファイルを移動するにあたっては、ネットワーク経由で行われる事が望ましい。
可搬媒体の管理は人為的脆弱性が存在するため、可能な限り可搬媒体を用いない事が望ましいためである。
It is desirable to move necessary files from the development environment 11 to the
This is because it is desirable not to use portable media as much as possible, because there are artificial vulnerabilities in the management of portable media.
ハッシュ値生成機能2がハッシュ値を生成する際の対象にレジストリも含める事で、改ざん検知の精度が高まる事が期待出来るが、レジストリは様々な要因で変化するため、対象とすべきレジストリの設計が煩雑となるので好ましくない。
By including the registry as a target when hash
本発明は、ネットワークから隔離されたシステムにおいて、可搬媒体を媒介としたマルウェアの感染を検知するのに好適である。 INDUSTRIAL APPLICABILITY The present invention is suitable for detecting malware infection via a portable medium in a system isolated from a network.
1 改ざん検知システム
2 ハッシュ値生成機能
3 ブロックチェーン生成機能
4 比較対象指定機能
5 警告機能
6 ネットワーク遮断機能
7 本番環境
8 可搬媒体接続端末
9 テスト環境
10 テスト端末
11 開発環境
1
Claims (5)
ソフトウェアのバージョンから、
ハッシュ値を生成するハッシュ値生成
機能を備える事を特徴とする改ざん検知システム。 The name of the software installed on the terminal to which the portable medium is connected, and
from software version
A falsification detection system characterized by having a hash value generation function for generating a hash value.
ブロックチェーンを生成するブロックチェーン生成
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。 From the hash value generated by the hash value generation function,
2. The tampering detection system according to claim 1, comprising a block chain generation function for generating a block chain.
比較対象指定機能で指定したブロックチェーンと生成されたブロックチェーンが異なる場合、
作業者に視覚的に警告を与える警告
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。 Equipped with a comparison target specification function that specifies the blockchain to be compared,
If the block chain specified by the comparison target specification function and the generated block chain are different,
2. The falsification detection system according to claim 1, further comprising a warning function for visually warning the operator.
可搬媒体(USB接続式のストレージ等)が接続された際に、
他の端末とのネットワークを遮断するネットワーク遮断
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。 On a terminal with a tampering detection system installed,
When a portable medium (USB-connected storage, etc.) is connected,
2. The falsification detection system according to claim 1, further comprising a network blocking function for blocking networks with other terminals.
可搬媒体(USB接続式のストレージ等)を取り外した後も、
再起動が行われるまでは他の端末とのネットワークを遮断し続けるネットワーク遮断
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。 From a terminal with a tampering detection system installed,
Even after removing the portable media (USB-connected storage, etc.),
2. The tampering detection system according to claim 1, further comprising a network blocking function that continues to block networks with other terminals until the system is restarted.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021072228A JP2022166870A (en) | 2021-04-22 | 2021-04-22 | Alteration detection system for malware detection |
PCT/JP2022/016835 WO2022224806A1 (en) | 2021-04-22 | 2022-03-31 | Falsification detection system for detection of malware |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021072228A JP2022166870A (en) | 2021-04-22 | 2021-04-22 | Alteration detection system for malware detection |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022166870A true JP2022166870A (en) | 2022-11-04 |
Family
ID=83722312
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021072228A Pending JP2022166870A (en) | 2021-04-22 | 2021-04-22 | Alteration detection system for malware detection |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2022166870A (en) |
WO (1) | WO2022224806A1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007265023A (en) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | Information processor, its management method and management program |
JP2008244558A (en) * | 2007-03-26 | 2008-10-09 | Sharp Corp | Power line communication system and power line communication device |
JP2020529667A (en) * | 2017-08-16 | 2020-10-08 | ヴィオニア スウェーデン エービー | Method for motor vehicle driver support system |
-
2021
- 2021-04-22 JP JP2021072228A patent/JP2022166870A/en active Pending
-
2022
- 2022-03-31 WO PCT/JP2022/016835 patent/WO2022224806A1/en active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007265023A (en) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | Information processor, its management method and management program |
JP2008244558A (en) * | 2007-03-26 | 2008-10-09 | Sharp Corp | Power line communication system and power line communication device |
JP2020529667A (en) * | 2017-08-16 | 2020-10-08 | ヴィオニア スウェーデン エービー | Method for motor vehicle driver support system |
Non-Patent Citations (1)
Title |
---|
坂口 裕一: "究極の情報漏えい対策 今こそディスクレスへ踏み出そう", 日経WINDOWSプロ, vol. 2005年6月号, JPN6022039271, 1 June 2005 (2005-06-01), JP, ISSN: 0004875605 * |
Also Published As
Publication number | Publication date |
---|---|
WO2022224806A1 (en) | 2022-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110582988B (en) | Secure system operation | |
JP7084778B2 (en) | Systems and methods for cloud-based detection, exploration and elimination of targeted attacks | |
CN102651061B (en) | System and method of protecting computing device from malicious objects using complex infection schemes | |
US11520901B2 (en) | Detecting firmware vulnerabilities | |
US10318730B2 (en) | Detection and prevention of malicious code execution using risk scoring | |
US8782791B2 (en) | Computer virus detection systems and methods | |
EP2667314B1 (en) | System and method for detection and treatment of malware on data storage devices | |
US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
CN109815698B (en) | Method and non-transitory machine-readable storage medium for performing security actions | |
US20050132184A1 (en) | Apparatus, methods and computer programs for controlling performance of operations within a data processing system or network | |
KR20180097527A (en) | Dual Memory Introspection to Protect Multiple Network Endpoints | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
CN109074448B (en) | Detection of a deviation of a safety state of a computing device from a nominal safety state | |
KR20120010562A (en) | Hacker virus security aggregation management apparatus | |
EP3474174B1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
NO337222B1 (en) | Automatic detection and repair of vulnerable files | |
CN107330328B (en) | Method and device for defending against virus attack and server | |
GB2502774A (en) | Identifying and stopping executable threads subjected to process hollowing | |
JP2006031718A (en) | Containment of worm | |
US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
Johnson | Barriers to the use of intrusion detection systems in safety-critical applications | |
US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
RU2583714C2 (en) | Security agent, operating at embedded software level with support of operating system security level | |
JP4792352B2 (en) | Network connection control program, network connection control method, and network connection control system | |
WO2022224806A1 (en) | Falsification detection system for detection of malware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220520 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20220520 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20220822 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220902 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220905 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220915 |