JP2022166870A - Alteration detection system for malware detection - Google Patents

Alteration detection system for malware detection Download PDF

Info

Publication number
JP2022166870A
JP2022166870A JP2021072228A JP2021072228A JP2022166870A JP 2022166870 A JP2022166870 A JP 2022166870A JP 2021072228 A JP2021072228 A JP 2021072228A JP 2021072228 A JP2021072228 A JP 2021072228A JP 2022166870 A JP2022166870 A JP 2022166870A
Authority
JP
Japan
Prior art keywords
detection system
hash value
block chain
function
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021072228A
Other languages
Japanese (ja)
Inventor
和男 吉原
Kazuo Yoshihara
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2021072228A priority Critical patent/JP2022166870A/en
Priority to PCT/JP2022/016835 priority patent/WO2022224806A1/en
Publication of JP2022166870A publication Critical patent/JP2022166870A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

To provide an alteration detection system that detects a malware infection by managing a change history of software installed in a terminal such as a server and a PC by a block chain.SOLUTION: An alteration detection system 1 includes a hash value generation function 2 and a block chain generation function 3. The hash value generation function generates a hash value based on software installed in a terminal such as a server and a PC and a version of the software. The block chain generation function generates a block chain based on the generated hash value. A malware infection is detected by managing a change history of the software installed in the terminal such as the server and the PC with the block chain.SELECTED DRAWING: Figure 1

Description

本発明は、他のシステムから隔離されて運用されるシステムにおいて、ブロックチェーン技術を用いた改ざん検知により、マルウェアの感染を検知する技術を提供する。 The present invention provides a technology for detecting malware infection by detecting tampering using blockchain technology in a system that is operated isolated from other systems.

可搬媒体(USB接続式のストレージ等)をサーバに接続した際、特定サーバ以外との接続を拒否する事で、可搬媒体にマルウェアが混入する事を防ぐ技術(下記、特許文献1)が提供されている。 When a portable medium (such as a USB-connected storage) is connected to a server, it refuses to connect to anything other than a specific server, thereby preventing malware from entering the portable medium (Patent Document 1 below). provided.

特開2013-3690JP 2013-3690

発電所、航空機、電車、信号、ATM等の公共インフラや工場等の制御システムは、セキュリティを確保するため他のシステムから完全に隔離される。
隔離されたシステムでは、可搬媒体を介してソフトウェアアップデート等のメンテナンスを実施するため、可搬媒体をマルウェアに感染させる事で、隔離されたシステムに対して攻撃を行う。
可搬媒体に仕込まれたマルウェアが、作業者のミスによりインストールされる可能性は非常に低いため、攻撃者は可搬媒体にオートランを仕込む。
オートランとは可搬媒体をPCに接続した際、自動的にプログラムを実行するプログラムである。
Microsoft社は、可搬媒体のオートランを無効化するよう Windows を改修しているが、隔離されたシステムは設計が古い物も多く、Microsoft社が改修したパッチを適用する事が困難である事も多い。 Public infrastructure such as power plants, aircraft, trains, signals, ATMs, and control systems in factories are completely isolated from other systems to ensure security.
In an isolated system, maintenance such as software updates is performed via a portable medium, so the isolated system is attacked by infecting the portable medium with malware.
Since it is very unlikely that malware installed in a portable medium will be installed by an operator's mistake, the attacker installs an auto-run in the portable medium.
Autorun is a program that automatically runs a program when a portable medium is connected to a PC.
Microsoft has modified Windows to disable the auto-run of portable media, but many of the isolated systems have old designs, and it is sometimes difficult to apply Microsoft's modified patch. many.

また、可搬媒体がマルウェアに感染しないよう厳密に管理すれば、可搬媒体を媒介とした攻撃を防ぎ得るが、作業者のセキュリティー意識が人為的脆弱性となり易い。 If the portable medium is strictly managed so as not to be infected with malware, it is possible to prevent an attack through the portable medium, but the security awareness of the operator tends to become an artificial vulnerability.

このため、サーバやPC等の端末にインストールされているソフトウェアの変更履歴をブロックチェーンで管理する事で、マルウェア感染を検知するシステムを提供する。 For this reason, we provide a system that detects malware infection by managing the change history of software installed on terminals such as servers and PCs with blockchain.

本発明の改ざん検知システムは、サーバやPC等の端末にインストールされ、端末にインストールされているソフトウェア名と、ソフトウェアのバージョンから、ハッシュ値を生成するハッシュ値生成機能を備える。 The falsification detection system of the present invention is installed in a terminal such as a server or a PC, and has a hash value generation function that generates a hash value from the software name and software version installed in the terminal.

好適には、前記ハッシュ値生成機能により生成されたハッシュ値から、ブロックチェーンを生成するブロックチェーン生成機能を備える。 Preferably, it comprises a block chain generation function for generating a block chain from the hash value generated by the hash value generation function.

より好適には、比較対象となるブロックチェーンを指定する比較対象指定機能を備え、比較対象指定機能で指定したブロックチェーンと生成されたブロックチェーンが異なる場合、作業者に視覚的に警告を与える警告機能を備える。 More preferably, it has a comparison object specification function that specifies a block chain to be compared, and if the generated blockchain is different from the blockchain specified by the comparison object specification function, a warning that visually warns the operator. It has functions.

より好適には、改ざん検知システムがインストールされた端末に、可搬媒体が接続された際、他の端末とのネットワークを遮断するネットワーク遮断機能を備える。 More preferably, when a portable medium is connected to a terminal installed with the tampering detection system, a network blocking function is provided to block a network with other terminals.

より好適には、改ざん検知システムがインストールされた端末から、可搬媒体を取り外した後も、再起動が行われるまでは他の端末とのネットワークを遮断し続けるネットワーク遮断機能を備える。 More preferably, the terminal in which the tampering detection system is installed has a network blocking function that keeps blocking the network with other terminals until the terminal is restarted even after the portable medium is removed.

本発明に係る改ざん検知システムによれば、ネットワークから隔離されたシステムにおいて可搬媒体を媒介としたマルウェアの感染を検知するのに好適である。 INDUSTRIAL APPLICABILITY The falsification detection system according to the present invention is suitable for detecting malware infection via a portable medium in a system isolated from a network.

本発明の実施例に係る改ざん検知システムを説明するための概略図Schematic diagram for explaining a falsification detection system according to an embodiment of the present invention. 本発明の実施例に係る改ざん検知システムの構成を説明するための概略図Schematic diagram for explaining the configuration of a falsification detection system according to an embodiment of the present invention.

以下、本発明に係る改ざん検知システムについて、実施例にて図面を用いて説明する。
<実施例> Hereinafter, a falsification detection system according to the present invention will be described in an embodiment with reference to the drawings.
<Example>

図1は、改ざん検知システムを説明する概略図である。
改ざん検知システム1は、ハッシュ値生成機能2、ブロックチェーン生成機能3、比較対象指定機能4、警告機能5、ネットワーク遮断機能6から構成される。 FIG. 1 is a schematic diagram illustrating a tampering detection system.
The falsification detection system 1 is composed of a hash value generation function 2, a blockchain generation function 3, a comparison target specification function 4, a warning function 5, and a network blocking function 6.

図2は、改ざん検知システムの構成を説明する概略図である。
通常、本番環境7のメンテナンスを実施する前にテスト環境9でメンテナンスを実施し、メンテナンスが正常に終了する事を確認するため、改ざん検知システム1は、本番環境7の可搬媒体接続端末8とテスト環境9のテスト端末10にインストールされる。
このため、テスト端末10にインストールされるソフトウェアの種類とバージョンは、可搬媒体接続端末8と同一でなければならない。 FIG. 2 is a schematic diagram illustrating the configuration of the falsification detection system.
Normally, maintenance is performed in the test environment 9 before performing maintenance on the production environment 7, and in order to confirm that the maintenance ends normally, the tampering detection system 1 is connected to the portable medium connection terminal 8 of the production environment 7. It is installed in the test terminal 10 of the test environment 9 .
Therefore, the type and version of software installed on the test terminal 10 must be the same as those on the portable medium connection terminal 8 .

改ざん検知システム1は、ハッシュ値生成機能2により、サーバやPC等の端末にインストールされているソフトウェアと、ソフトウェアのバージョンに基づきハッシュ値を生成し、ブロックチェーン生成機能3は生成されたハッシュ値に基づきブロックチェーンを生成する。
ハッシュ値を生成する際は、管理者権限昇格の脆弱性が存在する可能性を考慮し、管理者権限が無いと書き込めない領域に保存されるソフトウェアも対象とする事が望ましい。 The tampering detection system 1 uses the hash value generation function 2 to generate a hash value based on the software installed in the terminal such as a server or PC and the software version, and the blockchain generation function 3 generates the hash value. Generate a blockchain based on
When generating a hash value, it is desirable to target software that is stored in an area that cannot be written to without administrator privileges, considering the possibility of an administrator privilege escalation vulnerability.

テスト端末10でのメンテナンス時に、改ざん検知システム1によりブロックチェーンを生成。
比較対象指定機能4により、テスト端末10で生成されたブロックチェーンを指定し、可搬媒体接続端末8でメンテナンス作業を実施、改ざん検知システム1によりブロックチェーンを生成する。
生成されたブロックチェーンが比較対象と異なる場合には、警告機能5により、作業者に視覚的に警告を与える。 A blockchain is generated by the tampering detection system 1 during maintenance on the test terminal 10 .
A block chain generated by the test terminal 10 is designated by the comparison target designation function 4 , maintenance work is performed by the portable medium connection terminal 8 , and a block chain is generated by the tampering detection system 1 .
If the generated blockchain is different from the comparison target, the warning function 5 gives a visual warning to the operator.

ハッシュ値の生成は手動で行われる事が望ましく、ハッシュ値を生成する断面は「可搬媒体接続前」、「可搬媒体接続後」、「可搬媒体からメンテナンスに必要なファイルを指定ディレクトリにコピー後」、「メンテナンス作業の実施後」を想定している。
この様にする事で「可搬媒体接続後」の複数の断面で、マルウェア感染の有無を検査出来る。 It is desirable to generate hash values manually. "after copying" and "after performing maintenance work".
By doing so, the presence or absence of malware infection can be inspected in a plurality of sections "after connection of the portable medium".

可搬媒体を可搬媒体接続端末8に接続した際、マルウェア(実行ファイル)を可搬媒体接続端末8にインストールし、ネットワークを介して他端末への侵入を行い、可搬媒体接続端末8上の痕跡(実行ファイル)を抹消する事で、改ざん検知システム1による改ざん検知を回避する事が想定される。
このため、改ざん検知システム1がインストールされた端末に、可搬媒体が接続された場合、ネットワーク遮断機能6により、ネットワークを遮断する。 When a portable medium is connected to the portable medium connection terminal 8, malware (executable file) is installed in the portable medium connection terminal 8, intrudes into other terminals via the network, and on the portable medium connection terminal 8 By erasing the trace (executable file) of the , it is assumed that the tampering detection by the tampering detection system 1 can be avoided.
Therefore, when a portable medium is connected to a terminal in which the falsification detection system 1 is installed, the network is blocked by the network blocking function 6 .

また、可搬媒体接続端末8上の痕跡(実行ファイル)が削除された後も、プロセスは動作し続けている可能性がある。
このため、改ざん検知システム1がインストールされた端末から可搬媒体を取り外した後も、再起動が行われるまでは、ネットワーク遮断機能6により、ネットワークを遮断し続ける。 Moreover, even after the trace (execution file) on the portable medium connection terminal 8 is deleted, the process may continue to operate.
Therefore, even after the portable medium is removed from the terminal in which the tampering detection system 1 is installed, the network is kept blocked by the network blocking function 6 until the terminal is restarted.

開発環境11からテスト端末10に必要なファイルを移動するにあたっては、ネットワーク経由で行われる事が望ましい。
可搬媒体の管理は人為的脆弱性が存在するため、可能な限り可搬媒体を用いない事が望ましいためである。 It is desirable to move necessary files from the development environment 11 to the test terminal 10 via a network.
This is because it is desirable not to use portable media as much as possible, because there are artificial vulnerabilities in the management of portable media.

ハッシュ値生成機能2がハッシュ値を生成する際の対象にレジストリも含める事で、改ざん検知の精度が高まる事が期待出来るが、レジストリは様々な要因で変化するため、対象とすべきレジストリの設計が煩雑となるので好ましくない。 By including the registry as a target when hash value generation function 2 generates a hash value, it is expected that the accuracy of tampering detection will increase. is complicated, so it is not preferable.

本発明は、ネットワークから隔離されたシステムにおいて、可搬媒体を媒介としたマルウェアの感染を検知するのに好適である。 INDUSTRIAL APPLICABILITY The present invention is suitable for detecting malware infection via a portable medium in a system isolated from a network.

1 改ざん検知システム
2 ハッシュ値生成機能
3 ブロックチェーン生成機能
4 比較対象指定機能
5 警告機能
6 ネットワーク遮断機能
7 本番環境
8 可搬媒体接続端末
9 テスト環境
10 テスト端末
11 開発環境 1 Tampering detection system 2 Hash value generation function 3 Block chain generation function 4 Comparison target specification function 5 Warning function 6 Network blocking function 7 Production environment 8 Portable medium connection terminal 9 Test environment 10 Test terminal 11 Development environment

Claims (5)

可搬媒体を接続する端末にインストールされているソフトウェア名と、
ソフトウェアのバージョンから、
ハッシュ値を生成するハッシュ値生成
機能を備える事を特徴とする改ざん検知システム。 The name of the software installed on the terminal to which the portable medium is connected, and
from software version
A falsification detection system characterized by having a hash value generation function for generating a hash value. 前記ハッシュ値生成機能により生成されたハッシュ値から、
ブロックチェーンを生成するブロックチェーン生成
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。 From the hash value generated by the hash value generation function,
2. The tampering detection system according to claim 1, comprising a block chain generation function for generating a block chain. 比較対象となるブロックチェーンを指定する比較対象指定機能を備え、
比較対象指定機能で指定したブロックチェーンと生成されたブロックチェーンが異なる場合、
作業者に視覚的に警告を与える警告
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。 Equipped with a comparison target specification function that specifies the blockchain to be compared,
If the block chain specified by the comparison target specification function and the generated block chain are different,
2. The falsification detection system according to claim 1, further comprising a warning function for visually warning the operator. 改ざん検知システムがインストールされた端末に、
可搬媒体(USB接続式のストレージ等)が接続された際に、
他の端末とのネットワークを遮断するネットワーク遮断
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。 On a terminal with a tampering detection system installed,
When a portable medium (USB-connected storage, etc.) is connected,
2. The falsification detection system according to claim 1, further comprising a network blocking function for blocking networks with other terminals. 改ざん検知システムがインストールされた端末から、
可搬媒体(USB接続式のストレージ等)を取り外した後も、
再起動が行われるまでは他の端末とのネットワークを遮断し続けるネットワーク遮断
機能を備える事を特徴とする請求項1に記載の改ざん検知システム。 From a terminal with a tampering detection system installed,
Even after removing the portable media (USB-connected storage, etc.),
2. The tampering detection system according to claim 1, further comprising a network blocking function that continues to block networks with other terminals until the system is restarted.
JP2021072228A 2021-04-22 2021-04-22 Alteration detection system for malware detection Pending JP2022166870A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021072228A JP2022166870A (en) 2021-04-22 2021-04-22 Alteration detection system for malware detection
PCT/JP2022/016835 WO2022224806A1 (en) 2021-04-22 2022-03-31 Falsification detection system for detection of malware

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021072228A JP2022166870A (en) 2021-04-22 2021-04-22 Alteration detection system for malware detection

Publications (1)

Publication Number Publication Date
JP2022166870A true JP2022166870A (en) 2022-11-04

Family

ID=83722312

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021072228A Pending JP2022166870A (en) 2021-04-22 2021-04-22 Alteration detection system for malware detection

Country Status (2)

Country Link
JP (1) JP2022166870A (en)
WO (1) WO2022224806A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007265023A (en) * 2006-03-28 2007-10-11 Fujitsu Ltd Information processor, its management method and management program
JP2008244558A (en) * 2007-03-26 2008-10-09 Sharp Corp Power line communication system and power line communication device
JP2020529667A (en) * 2017-08-16 2020-10-08 ヴィオニア スウェーデン エービー Method for motor vehicle driver support system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007265023A (en) * 2006-03-28 2007-10-11 Fujitsu Ltd Information processor, its management method and management program
JP2008244558A (en) * 2007-03-26 2008-10-09 Sharp Corp Power line communication system and power line communication device
JP2020529667A (en) * 2017-08-16 2020-10-08 ヴィオニア スウェーデン エービー Method for motor vehicle driver support system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
坂口 裕一: "究極の情報漏えい対策 今こそディスクレスへ踏み出そう", 日経WINDOWSプロ, vol. 2005年6月号, JPN6022039271, 1 June 2005 (2005-06-01), JP, ISSN: 0004875605 *

Also Published As

Publication number Publication date
WO2022224806A1 (en) 2022-10-27

Similar Documents

Publication Publication Date Title
CN110582988B (en) Secure system operation
JP7084778B2 (en) Systems and methods for cloud-based detection, exploration and elimination of targeted attacks
CN102651061B (en) System and method of protecting computing device from malicious objects using complex infection schemes
US11520901B2 (en) Detecting firmware vulnerabilities
US10318730B2 (en) Detection and prevention of malicious code execution using risk scoring
US8782791B2 (en) Computer virus detection systems and methods
EP2667314B1 (en) System and method for detection and treatment of malware on data storage devices
US9767280B2 (en) Information processing apparatus, method of controlling the same, information processing system, and information processing method
CN109815698B (en) Method and non-transitory machine-readable storage medium for performing security actions
US20050132184A1 (en) Apparatus, methods and computer programs for controlling performance of operations within a data processing system or network
KR20180097527A (en) Dual Memory Introspection to Protect Multiple Network Endpoints
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
CN109074448B (en) Detection of a deviation of a safety state of a computing device from a nominal safety state
KR20120010562A (en) Hacker virus security aggregation management apparatus
EP3474174B1 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
NO337222B1 (en) Automatic detection and repair of vulnerable files
CN107330328B (en) Method and device for defending against virus attack and server
GB2502774A (en) Identifying and stopping executable threads subjected to process hollowing
JP2006031718A (en) Containment of worm
US20060015939A1 (en) Method and system to protect a file system from viral infections
Johnson Barriers to the use of intrusion detection systems in safety-critical applications
US11003772B2 (en) System and method for adapting patterns of malicious program behavior from groups of computer systems
RU2583714C2 (en) Security agent, operating at embedded software level with support of operating system security level
JP4792352B2 (en) Network connection control program, network connection control method, and network connection control system
WO2022224806A1 (en) Falsification detection system for detection of malware

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220520

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20220520

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20220822

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220902

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220905

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220915