DE102022131633A1 - Informationsverarbeitungsvorrichtung und bestimmungsverfahren - Google Patents

Informationsverarbeitungsvorrichtung und bestimmungsverfahren Download PDF

Info

Publication number
DE102022131633A1
DE102022131633A1 DE102022131633.5A DE102022131633A DE102022131633A1 DE 102022131633 A1 DE102022131633 A1 DE 102022131633A1 DE 102022131633 A DE102022131633 A DE 102022131633A DE 102022131633 A1 DE102022131633 A1 DE 102022131633A1
Authority
DE
Germany
Prior art keywords
access
sector group
access request
operating system
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022131633.5A
Other languages
English (en)
Inventor
Hitoshi Ono
Yoshiharu Imamoto
Kento Tamura
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PANASONIC AUTOMOTIVE SYSTEMS CO., LTD., YOKOHA, JP
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of DE102022131633A1 publication Critical patent/DE102022131633A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

[Aufgabe] Bereitstellen einer Informationsverarbeitungsvorrichtung, die die Authentizität einer Zugriffsanforderung genau bestimmen kann. [Mittel zum Lösen der Aufgabe] Die Informationsverarbeitungsvorrichtung 2 umfasst: ein Gast-OS 8; ein Host-OS 10, das als Reaktion auf eine Zugriffsanforderung von dem Gast-OS 8 auf eine in einer externen Speichervorrichtung 12 gespeicherte Sektorgruppe zugreift; ein Virtualisierungssteuersystem 6, das auf einer Hardware 4 ausgeführt wird und die Ausführung des Gast-OS 8 und des Host-OS 10 steuert. Das Host-OS 10 umfasst: einen Back-End-Vorrichtungstreiber 20, der die Zugriffsanforderung von dem Gast-OS 8 erhält; und einen Sektorgruppen-Zugriffsbestimmer 26, der basierend auf einer Sektorgruppen-Zugriffsregeldatenbank 34, die eine Regel für den Zugriff auf die in der externen Speichervorrichtung 12 gespeicherte Sektorgruppe angibt, bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.

Description

  • [Technisches Gebiet]
  • Die vorliegende Offenbarung betrifft eine Informationsverarbeitungsvorrichtung und ein Bestimmungsverfahren.
  • [Allgemeiner Stand der Technik]
  • Informationsverarbeitungsvorrichtungen mit einem Dienstbetriebssystem (nachfolgend als Dienst-OS bezeichnet), einem Sicherheitsbetriebssystem (nachfolgend als Sicherheits-OS bezeichnet) und einem Steuerprogramm, das die Ausführung des Dienst-OS und des Sicherheits-OS steuert, sind bekannt (siehe zum Beispiel PTL 1).
  • Das Dienst-OS fängt (erhält) eine Zugriffsanforderung von einem Serverprogramm auf eine Magnetplatte ab und fordert das Sicherheits-OS auf, die Authentizität der abgefangenen Zugriffsanforderung zu bestimmen. Wenn das Sicherheits-OS bestimmt, dass die Zugriffsanforderung des Serverprogramms anomal ist, erzeugt das Dienst-OS einen Fehlercode basierend auf dem Bestimmungsergebnis von dem Sicherheits-OS.
  • Wenn andererseits das Sicherheits-OS bestimmt, dass die Zugriffsanforderung von dem Serverprogramm nicht anomal ist, führt das Dienst-OS den auf der Zugriffsanforderung des Serverprogramms basierenden Zugriff auf die Magnetplatte basierend auf dem Bestimmungsergebnis des Sicherheits-OS aus.
  • [Entgegenhaltungsliste]
  • [Patentliteratur]
  • [PTL 1] Japanisches Patent Nr. 4177957
  • [Kurzdarstellung der Erfindung]
  • [Technisches Problem]
  • Bei den oben beschriebenen herkömmlichen Informationsverarbeitungsvorrichtungen kann die Funktion des Abfangens der Zugriffsanforderung von dem Serverprogramm oder dergleichen deaktiviert werden, wenn das Dienst-OS selbst von einem böswilligen Programm angegriffen wird. Dies wirft das Problem auf, dass das Sicherheits-OS die Authentizität der Zugriffsanforderung von dem Serverprogramm nicht genau bestimmen kann.
  • In Anbetracht dessen stellt die vorliegende Offenbarung eine Informationsverarbeitungsvorrichtung, die die Authentizität einer Zugriffsanforderung genau bestimmen kann, und ein Bestimmungsverfahren dafür bereit.
  • [Lösung des Problems]
  • Gemäß einem Aspekt der vorliegenden Offenbarung umfasst eine Informationsverarbeitungsvorrichtung, die einen anomalen Zugriff auf ein Fahrzeug bestimmt: ein erstes Betriebssystem; ein zweites Betriebssystem, das als Reaktion auf eine Zugriffsanforderung von dem ersten Betriebssystem auf eine in einer Speichervorrichtung gespeicherte Sektorgruppe zugreift; und ein Virtualisierungssteuersystem, das auf einem Prozessor ausgeführt wird und die Ausführung des ersten Betriebssystems und des zweiten Betriebssystems steuert, wobei das zweite Betriebssystem umfasst: einen Abrufer, der die Zugriffsanforderung von dem ersten Betriebssystem erhält; und einen Bestimmer, der basierend auf Regelinformationen, die eine Regel für den Zugriff auf die in der Speichervorrichtung gespeicherte Sektorgruppe angeben, bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  • In dieser Patentschrift bedeutet die Sektorgruppe Informationen, die eine Datei selbst oder Informationen über eine Datei (wie Inode-Informationen von Linux (eingetragenes Warenzeichen)) oder Informationen über ein Dateisystem beschreiben. Der Sektorgruppenname ist ein Dateiname, der eine Datei selbst oder einen spezifischen Namen (z. B. eine Bezeichnung durch einen Verzeichnisnamen) von Informationen über eine Datei angibt. Informationen über eine Datei bedeuten Meta-Informationen, wie Dateiname, Dateigröße, Zugriffsberechtigung, Änderungshistorie oder Informationen, die für ein Zugriffskontrollsystem erforderlich sind.
  • Es sollte beachtet werden, dass allgemeine oder spezifische Aspekte der vorliegenden Offenbarung in einem System, einem Verfahren, einem integrierten Schaltkreis, einem Computerprogramm, einem nichtflüchtigen, computerlesbaren Aufzeichnungsmedium, wie einem Compact Disc-Read Only Memory (CD-ROM) oder einer beliebigen Kombination davon implementiert werden können.
  • [Vorteilhafte Wirkungen der Erfindung]
  • Mit der Informationsverarbeitungsvorrichtung gemäß einem Aspekt der vorliegenden Offenbarung und dergleichen kann die Authentizität einer Zugriffsanforderung genau bestimmt werden.
  • Figurenliste
    • 1 ist ein Blockdiagramm, das die Konfiguration einer Informationsverarbeitungsvorrichtung gemäß einer Ausführungsform darstellt.
    • 2 ist ein Diagramm, das ein Beispiel für ein Vorrichtungszugriffsprotokoll gemäß der Ausführungsform darstellt.
    • 3 ist ein Diagramm, das ein Beispiel für eine Sektorgruppendatenbank gemäß der Ausführungsform darstellt.
    • 4 ist ein Diagramm, das ein Beispiel für ein Sektorgruppen-Zugriffsprotokoll gemäß der Ausführungsform darstellt.
    • 5 ist ein Diagramm, das ein Beispiel für die Zugriffsinformationen einer Sektorgruppe gemäß der Ausführungsform darstellt.
    • 6 ist ein Diagramm, das ein Beispiel für eine Sektorgruppen-Zugriffsregeldatenbank gemäß der Ausführungsform darstellt.
    • 7 ist ein Ablaufdiagramm, das einen Ablauf eines allgemeinen Betriebs eines Host-OS gemäß der Ausführungsform darstellt.
    • 8 ist ein Ablaufdiagramm, das einen Ablauf eines Betriebs eines Zugriffsprotokoll-Analysators gemäß der Ausführungsform darstellt.
    • 9 ist ein Ablaufdiagramm, das einen Ablauf eines Betriebs eines Sektorgruppen-Zugriffsbestimmers gemäß der Ausführungsform darstellt.
    • 10 ist ein Ablaufdiagramm, das speziell den Prozess in Schritt S305 im Ablaufdiagramm von 9 darstellt.
    • 11 ist ein Ablaufdiagramm, das speziell den Prozess in Schritt S305 im Ablaufdiagramm von 9 darstellt.
    • 12 ist ein Ablaufdiagramm, das Beispiel 1 eines Bestimmungsverfahrens für ein Verhalten unter Verwendung einer N-ten Verhaltensregel darstellt.
    • 13 ist ein Ablaufdiagramm, das Beispiel 2 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt.
    • 14 ist ein Ablaufdiagramm, das Beispiel 3 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt.
    • 15 ist ein Ablaufdiagramm, das Beispiel 4 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt.
    • 16 ist ein Ablaufdiagramm, das Beispiel 5 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt.
    • 17 ist ein Ablaufdiagramm, das Beispiel 6 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt.
    • 18 ist ein Ablaufdiagramm, das Beispiel 7 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt.
    • 19 ist ein Ablaufdiagramm, das Beispiel 8 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt.
  • [Beschreibung der Ausführungsform]
  • Gemäß einem Aspekt der vorliegenden Offenbarung umfasst eine Informationsverarbeitungsvorrichtung, die einen anomalen Zugriff auf ein Fahrzeug bestimmt: ein erstes Betriebssystem; ein zweites Betriebssystem, das als Reaktion auf eine Zugriffsanforderung von dem ersten Betriebssystem auf eine in einer Speichervorrichtung gespeicherte Sektorgruppe zugreift; und ein Virtualisierungssteuersystem, das auf einem Prozessor ausgeführt wird und die Ausführung des ersten Betriebssystems und des zweiten Betriebssystems steuert, wobei das zweite Betriebssystem umfasst: einen Abrufer, der die Zugriffsanforderung von dem ersten Betriebssystem erhält; und einen Bestimmer, der basierend auf Regelinformationen, die eine Regel für den Zugriff auf die in der Speichervorrichtung gespeicherte Sektorgruppe angeben, bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  • Hierbei betrifft das Virtualisierungssteuersystem ein System, das E/A-Informationen eines auf einem Virtualisierungssystem laufenden Betriebssystems über einen Hypervisor empfängt und die E/A-Informationen mit einer tatsächlichen Vorrichtung austauscht.
  • Gemäß diesem Aspekt bestimmt das zweite Betriebssystem die Authentizität einer Zugriffsanforderung von dem ersten Betriebssystem, indem es die Zugriffsanforderung abfängt (erhält) und die abgefangene Zugriffsanforderung analysiert. Daher kann das zweite Betriebssystem selbst dann, wenn die Sicherheitsfunktion des ersten Betriebssystems deaktiviert ist oder beispielsweise durch ein böswilliges Computerprogramm manipuliert wurde, die abgefangene Zugriffsanforderung als Information zur Überwachung jeglicher Anomalie in dem ersten Betriebssystem verwenden und somit die Authentizität der Zugriffsanforderung von dem ersten Betriebssystems genau bestimmen.
  • Beispielsweise ist es möglich, dass das zweite Betriebssystem ferner einen Analysator umfasst, der aus der Zugriffsanforderung, die (i) eine Sektornummer und (ii) einen Sektorgruppennamen der Sektorgruppe, die in einem der Sektornummer entsprechenden Speicherbereich in der Speichervorrichtung gespeichert ist, umfasst, Zugriffsprotokollinformationen, die unter Bezugnahme auf Entsprechungsinformationen, die eine Entsprechung zwischen der Sektornummer und dem Sektorgruppennamen anzeigen, die Sektornummer und den Sektorgruppennamen in Zuordnung zueinander anzeigen, erzeugt, und der Bestimmer bestimmt basierend auf den Regelinformationen und den Zugriffsprotokollinformationen, ob die Zugriffsanforderung anomal ist oder nicht.
  • Gemäß diesem Aspekt können selbst dann, wenn die Zugriffsanforderung keinen Sektorgruppennamen umfasst, Zugriffsprotokollinformationen, die einen Sektorgruppennamen umfassen, aus der Zugriffsanforderung durch Bezugnahme auf die Entsprechungsinformationen erzeugt werden. Daher kann basierend auf den Regelinformationen und den Zugriffsprotokollinformationen leicht bestimmt werden, ob die Zugriffsanforderung anomal ist oder nicht.
  • Es ist beispielsweise möglich, dass das zweite Betriebssystem ferner einen Handler umfasst, der eine Benachrichtigung nach außen sendet, die das Ergebnis der von dem Bestimmer vorgenommenen Bestimmung angibt, wenn der Bestimmer bestimmt, dass die Zugriffsanforderung anomal ist.
  • Gemäß diesem Aspekt kann das erste Betriebssystem angemessen gehandhabt werden, wenn beispielsweise ein böswilliges Computerprogramm auf dem ersten Betriebssystem ausgeführt wird.
  • So ist es beispielsweise möglich, dass, wenn der Bestimmer bestimmt, dass die Zugriffsanforderung anomal ist, der Handler die Benachrichtigung nach außen sendet und einen Zugriff auf die in der Speichervorrichtung gespeicherte Sektorgruppe stoppt.
  • Gemäß diesem Aspekt kann beispielsweise die in der Speichervorrichtung gespeicherte Sektorgruppe angemessen geschützt werden, wenn ein böswilliges Computerprogramm auf dem ersten Betriebssystem ausgeführt wird.
  • Beispielsweise ist es möglich, dass die Regelinformationen als Regel mindestens entweder einen Prozess oder einen Betriebsvorgang umfassen, bei dem der Zugriff auf die in der Speichervorrichtung gespeicherte Sektorgruppe zugelassen ist.
  • Gemäß diesem Aspekt kann die Authentizität der Zugriffsanforderung von dem ersten Betriebssystem auf einfache Weise bestimmt werden, indem basierend auf den Regelinformationen bestimmt wird, ob der Prozess und/oder der Betriebsvorgang gemäß der Zugriffsanforderung ein erlaubter Prozess und/oder ein zugelassener Betriebsvorgang ist oder nicht.
  • Beispielsweise ist es möglich, dass der Bestimmer basierend auf den Regelinformationen über die Lese- und Schreibberechtigung zum Lesen und Beschreiben der Sektorgruppe bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  • Gemäß diesem Aspekt kann der Bestimmer bestimmen, ob die Zugriffsanforderung anomal ist oder nicht, indem er die Lese- und Schreibberechtigung für das Lesen und Beschreiben der Sektorgruppe berücksichtigt.
  • Beispielsweise ist es möglich, dass das zweite Betriebssystem für eine externe Vorrichtung zugänglich ist, und dass der Bestimmer basierend auf den Regelinformationen und einem Status der externen Vorrichtung bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  • Gemäß diesem Aspekt kann der Bestimmer bestimmen, ob die Zugriffsanforderung anomal ist oder nicht, indem er den Zustand der externen Vorrichtung berücksichtigt.
  • So ist es beispielsweise möglich, dass der Bestimmer basierend auf den Regelinformationen und einem Zustand der Informationsverarbeitungsvorrichtung bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  • Gemäß diesem Aspekt kann der Bestimmer bestimmen, ob die Zugriffsanforderung anomal ist oder nicht, indem er den Zustand der Informationsverarbeitungsvorrichtung berücksichtigt.
  • Beispielsweise ist es möglich, dass der Bestimmer basierend auf den Regelinformationen und einem Zustand der Sektorgruppe bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  • Gemäß diesem Aspekt kann der Bestimmer bestimmen, ob die Zugriffsanforderung anomal ist oder nicht, indem er den Zustand der Sektorgruppe berücksichtigt.
  • Beispielsweise ist es möglich, dass der Bestimmer basierend auf den Regelinformationen und einem Zugriffsinhalt eines Zugriffs auf die Sektorgruppe, in Bezug auf welche ein Beschreiben zugelassen ist, bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  • Gemäß diesem Aspekt kann der Bestimmer bestimmen, ob die Zugriffsanforderung anomal ist oder nicht, indem er den Inhalt des Zugriffs auf die Sektorgruppe, in Bezug auf welche ein Beschreiben zugelassen ist, berücksichtigt.
  • Gemäß einem weiteren Aspekt der vorliegenden Offenbarung ist ein Bestimmungsverfahren ein Verfahren zum Bestimmen eines anomalen Zugriffs auf ein Fahrzeug unter Verwendung einer Informationsverarbeitungsvorrichtung. Die Informationsverarbeitungsvorrichtung umfasst: ein erstes Betriebssystem; ein zweites Betriebssystem, das als Reaktion auf eine Zugriffsanforderung von dem ersten Betriebssystem auf eine in einer Speichervorrichtung gespeicherte Sektorgruppe zugreift; und ein Virtualisierungssteuersystem, das auf einem Prozessor ausgeführt wird und die Ausführung des ersten Betriebssystems und des zweiten Betriebssystems steuert. Das Bestimmungsverfahren umfasst: Erhalten, durch das zweite Betriebssystem, der Zugriffsanforderung von dem ersten Betriebssystem; Bestimmen, basierend auf Regelinformationen, die eine Regel für den Zugriff auf die in der Speichervorrichtung gespeicherte Sektorgruppe angeben, ob die beim Erhalten erhaltene Zugriffsanforderung anomal ist oder nicht; und Ausgeben eines Ergebnisses der Bestimmung nach außen, wenn die Zugriffsanforderung als anomal bestimmt wird.
  • Gemäß diesem Aspekt bestimmt das zweite Betriebssystem die Authentizität einer Zugriffsanforderung von dem ersten Betriebssystem, indem es die Zugriffsanforderung abfängt und die abgefangene Zugriffsanforderung analysiert. Daher kann das zweite Betriebssystem selbst dann, wenn die Sicherheitsfunktion des ersten Betriebssystems deaktiviert ist oder beispielsweise durch ein böswilliges Computerprogramm manipuliert wurde, die abgefangene Zugriffsanforderung als Information zum Überwachen jeglicher Anomalie in dem ersten Betriebssystem verwenden und kann daher die Authentizität der Zugriffsanforderung von dem ersten Betriebssystem genau bestimmen.
  • Es sollte beachtet werden, dass allgemeine oder spezifische Aspekte der vorliegenden Offenbarung in einem System, einem Verfahren, einem integrierten Schaltkreis, einem Computerprogramm, einem nichtflüchtigen, computerlesbaren Aufzeichnungsmedium, wie z. B. einem Compact Disc-Read Only Memory (CD-ROM), oder einer beliebigen Kombination davon implementiert werden können.
  • Nachfolgend werden bestimmte Ausführungsbeispiele unter Bezugnahme auf die beigefügten Zeichnungen ausführlich beschrieben.
  • Die folgenden Ausführungsformen sind allgemeine oder spezifische Beispiele für die vorliegende Offenbarung. Die in den folgenden Ausführungsbeispielen beschriebenen Zahlenwerte, Formen, Materialien, Elemente, Anordnungen und Verbindungskonfigurationen der Elemente, Schritte, die Reihenfolge der Schritte usw. sind lediglich Beispiele und sollen die vorliegende Offenbarung nicht einschränken. Unter den Elementen in den folgenden Ausführungsformen werden diejenigen, die nicht in einem der unabhängigen Ansprüche, die das weiteste Konzept der vorliegenden Offenbarung angeben, beschrieben sind, als optionale Elemente beschrieben.
  • (Ausführungsform)
  • [1. Konfiguration der Informationsverarbeitungsvorrichtung]
  • Zunächst wird eine Konfiguration der Informationsverarbeitungsvorrichtung 2 gemäß einer Ausführungsform unter Bezugnahme auf 1 bis 6 beschrieben. 1 ist ein Blockdiagramm, das eine Konfiguration der Informationsverarbeitungsvorrichtung 2 gemäß der Ausführungsform darstellt. 2 ist ein Diagramm, das ein Beispiel für ein Vorrichtungszugriffsprotokoll 36 gemäß der Ausführungsform darstellt. 3 ist ein Diagramm, das ein Beispiel für eine Sektorgruppendatenbank 30 gemäß der Ausführungsform darstellt. 4 ist ein Diagramm, das ein Beispiel für ein Sektorgruppen-Zugriffsprotokoll 38 gemäß der Ausführungsform darstellt. 5 ist ein Diagramm, das ein Beispiel für die Sektorgruppen-Zugriffsinformationen 32 gemäß der Ausführungsform darstellt. 6 ist ein Diagramm, das ein Beispiel der Sektorgruppen-Zugriffsregeldatenbank 34 gemäß der Ausführungsform darstellt.
  • Wie in 1 dargestellt, umfasst die Informationsverarbeitungsvorrichtung 2 gemäß der Ausführungsform eine Hardware 4, ein Virtualisierungssteuersystem 6, eine Mehrzahl von Gastbetriebssystemen 8 (nachfolgend als Gast-OS 8 bezeichnet) und ein Hostbetriebssystem 10 (nachfolgend als Host-OS 10 bezeichnet), das auf dem Virtualisierungssteuersystem 6 läuft. Die Informationsverarbeitungsvorrichtung 2 ist eine Vorrichtung zum Bestimmen eines anomalen Zugriffs auf ein Fahrzeug, wie beispielsweise ein Automobil.
  • Die externe Speichervorrichtung 12 ist elektrisch mit der Informationsverarbeitungsvorrichtung 2 verbunden. Die externe Speichervorrichtung 12 ist ein Beispiel für Speichervorrichtungen und wird beispielsweise durch ein Festplattenlaufwerk (HDD) gebildet. Die externe Speichervorrichtung 12 hat eine Mehrzahl von Speicherbereichen zum Speichern einer Sektorgruppe (Daten). Jedem der Mehrzahl von Speicherbereichen ist eine Mehrzahl von Sektornummern zugeordnet. Die Sektornummer ermöglicht es dem Host-OS 10 beim Zugreifen auf eine in der externen Speichervorrichtung 12 gespeicherte Sektorgruppe als Reaktion auf eine Zugriffsanforderung von dem Gast-OS 8, wie später beschrieben, einen Speicherbereich in der externen Speichervorrichtung 12 zu spezifizieren, in dem die Sektorgruppe gespeichert ist, und wird beispielsweise durch vier Ziffern gebildet.
  • In dieser Patentschrift bedeutet die Sektorgruppe Informationen, die eine Datei selbst oder Informationen über eine Datei (wie Inode-Informationen von Linux) oder Informationen über ein Dateisystem beschreiben. Der Sektorgruppenname ist ein Dateiname, der eine Datei selbst oder einen spezifischen Namen (wie eine Bezeichnung durch einen Verzeichnisnamen) von Informationen über eine Datei angibt. Informationen über eine Datei sind Meta-Informationen wie Dateiname, Dateigröße, Zugriffserlaubnis, Änderungshistorie oder Informationen, die für ein Zugriffskontrollsystem erforderlich sind.
  • Die Netzwerkvorrichtung 11 und die Bildschirmdarstellungsvorrichtung 13 sind ebenfalls elektrisch mit der Informationsverarbeitungsvorrichtung 2 verbunden. Die Netzwerkvorrichtung 11 und die Bildschirmdarstellungsvorrichtung 13 sind jeweils ein Beispiel für externe Vorrichtungen.
  • Die Hardware 4 umfasst einen Prozessor, der beispielsweise eine Zentraleinheit (CPU) oder eine elektronische Steuereinheit (ECU) aufweist und eine Ausführungsumgebung für eine Mehrzahl von Computerprogrammen bereitstellt. Die Hardware 4 kann aus einem einzelnen Prozessor oder einer Mehrzahl von Prozessoren bestehen.
  • Das Virtualisierungssteuersystem 6 ist eine Virtualisierungssoftware, die auf der Hardware 4 (Prozessor) ausgeführt wird und die Ausführung der Mehrzahl von Gast-OS 8 und des Host-OS 10 steuert. Das Virtualisierungssteuersystem 6 ermöglicht die Virtualisierung und Installation einer Mehrzahl von verschiedenen OS (die Mehrzahl von Gast-OS 8 und das Host-OS 10) auf einer einzelnen Hardware 4. In dieser Ausführungsform ist das Virtualisierungssteuersystem 6 ein Hypervisor, der allgemein als Typ 1 (Bare-Metal) bezeichnet wird.
  • Jedes von der Mehrzahl von Gast-OS 8 ist eine virtuelle Maschine (VM) von Linux oder dergleichen, die auf dem Virtualisierungssteuersystem 6 läuft, und ist ein Beispiel für ein erstes Betriebssystem. Jedes von der Mehrzahl von Gast-OS 8 hat eine Mehrzahl von Prozessen 14, eine Zugriffskontrollfunktion 16 und einen Front-End-Vorrichtungstreiber 18. In 1 ist der Einfachheit der Erläuterung halber nur ein Gast-OS 8 dargestellt. Obwohl die Mehrzahl von Gast-OS 8 in der Konfiguration gemäß dieser Ausführungsform auf dem Virtualisierungssteuersystem 6 läuft, ist die vorliegende Offenbarung nicht darauf beschränkt, und es kann auch nur ein Gast-OS 8 auf dem Virtualisierungssteuersystem 6 laufen.
  • Jeder von der Mehrzahl von Prozessen 14 ist ein Computerprogramm zum Ausführen verschiedener Funktionen des Gast-OS 8. Um verschiedene Funktionen des Gast-OS 8 auszuführen, erzeugt jeder von der Mehrzahl von Prozessen 14 eine Zugriffsanforderung für den Zugriff auf eine Sektorgruppe (z. B. Schreiben in eine Sektorgruppe oder Lesen einer Sektorgruppe), die in der externen Speichervorrichtung 12 gespeichert ist. In 1 ist der Einfachheit der Erläuterung halber nur ein Prozess 14 dargestellt.
  • Die Zugriffskontrollfunktion 16 ist eine Sicherheitsfunktion zum Überwachen einer Zugriffsanforderung, die von jedem von der Mehrzahl von Prozessen 14 erzeugt wird. Wenn beispielsweise ein böswilliges Computerprogramm, wie Malware, auf dem Gast-OS 8 ausgeführt wird und versucht, auf anomale Weise auf eine in der externen Speichervorrichtung 12 gespeicherte Sektorgruppe zuzugreifen, verwirft die Zugriffskontrollfunktion 16 die von dem böswilligen Computerprogramm erzeugte Zugriffsanforderung.
  • Der Front-End-Vorrichtungstreiber 18 ist ein virtueller Vorrichtungstreiber (VirtIO) zum Ansteuern einer im Gast-OS 8 gebildeten virtuellen Netzwerkschnittstelle. Der Front-End-Vorrichtungstreiber 18 sendet über das Virtualisierungssteuersystem 6 eine Zugriffsanforderung, die von jedem von der Mehrzahl von Prozessen 14 erzeugt wurde, an den Back-End-Vorrichtungstreiber 20 (wird später beschrieben) des Host-OS 10. Der Front-End-Vorrichtungstreiber 18 empfängt ebenfalls über das Virtualisierungssteuersystem 6 eine Zugriffsanforderung (wird später beschrieben) vom Back-End-Vorrichtungstreiber 20 des Host-OS 10.
  • Das Host-OS 10 ist eine virtuelle Maschine mit Linux oder dergleichen, die auf dem Virtualisierungssteuersystem 6 läuft, und ist ein Beispiel für ein zweites Betriebssystem. Hier betrifft das Virtualisierungssteuersystem ein System, das E/A-Informationen von Gast-OS 8, die auf dem Virtualisierungssystem laufen, über einen Hypervisor empfängt und die E/A-Informationen mit der tatsächlichen externen Speichervorrichtung 12 austauscht. Das Host-OS 10 hat einen Back-End-Vorrichtungstreiber 20, einen Speicher 22, einen Zugriffsprotokoll-Analysator 24, einen Sektorgruppen-Zugriffsbestimmer 26 und einen Steuerungshandler 28.
  • Der Back-End-Vorrichtungstreiber 20 ist ein virtueller Vorrichtungstreiber (VirtIO) zum Ansteuern einer im Host-OS 10 gebildeten virtuellen Netzwerkschnittstelle und ist ein Beispiel für einen Abrufer. Der Back-End-Vorrichtungstreiber 20 erhält (empfängt) eine Zugriffsanforderung vom Front-End-Vorrichtungstreiber 18 des Gast-OS 8 über das Virtualisierungssteuersystem 6 und gibt die erhaltene Zugriffsanforderung an den Zugriffsprotokoll-Analysator 24 aus.
  • Wenn der Sektorgruppen-Zugriffsbestimmer 26 bestimmt, dass die Zugriffsanforderung nicht anomal ist, wie später beschrieben, greift der Back-End-Vorrichtungstreiber 20 als Reaktion auf die Zugriffsanforderung auf eine in der externen Speichervorrichtung 12 gespeicherte Sektorgruppe zu. In diesem Fall sendet der Back-End-Vorrichtungstreiber 20 über das Virtualisierungssteuersystem 6 an den Front-End-Vorrichtungstreiber 18 des Gast-OS 8 eine Zugriffsantwort, die das Ergebnis des Zugriffs auf die in der externen Speichervorrichtung 12 gespeicherte Sektorgruppe angibt. Darüber hinaus kann der Back-End-Vorrichtungstreiber 20 jeweils auf die Netzwerkvorrichtung 11 und die Bildschirmdarstellungsvorrichtung 13 zugreifen.
  • Der Speicher 22 ist ein Arbeitsspeicher, der die Sektorgruppendatenbank 30, die Sektorgruppen-Zugriffsinformationen 32 und die Sektorgruppen-Zugriffsregeldatenbank 34 speichert. Die Sektorgruppendatenbank 30, die Sektorgruppen-Zugriffsinformationen 32 und die Sektorgruppen-Zugriffsregeldatenbank 34 werden später beschrieben.
  • Der Zugriffsprotokoll-Analysator 24 ist ein Beispiel für einen Analysator und er erhält das Vorrichtungszugriffsprotokoll 36 als ein Protokoll von Zugriffsanforderungen des Back-End-Vorrichtungstreibers 20. Hierbei ist das Vorrichtungszugriffsprotokoll 36 eine Datenbank in einem Tabellenformat, wie es in 2 dargestellt ist. Wie in 2 dargestellt, sind im Vorrichtungszugriffsprotokoll 36 ein Zeitstempel, eine Betriebsziel-VM, ein Betriebstyp, eine Sektornummer und Nutzdaten einander zugeordnet. Der Zeitstempel ist eine Information, die das Datum und die Uhrzeit angibt, zu der der Front-End-Vorrichtungstreiber 18 des Gast-OS 8 die Zugriffsanforderung gesendet hat. Die Betriebsziel-VM ist eine Information, die das Gast-OS 8 angibt, das die Sendequelle der Zugriffsanforderung ist und eine Seriennummer ist, wie z. B. 1, 2, ... n, die jedem von der Mehrzahl von Gast-OS 8 zugeordnet ist. Der Betriebstyp ist eine Information, die der Sektorgruppe den Typ des Betriebsvorgangs gemäß der Zugriffsanforderung angibt, wie etwa Lesen (Lesen der Sektorgruppe) oder Schreiben (Schreiben in die Sektorgruppe). Die Sektornummer ist eine Information zum Spezifizieren eines Speicherbereichs für die Sektorgruppe in der externen Speichervorrichtung 12. Die Nutzdaten sind Informationen, die den Inhalt der Betriebsanforderung angeben (z. B. Informationen darüber, welche Art von Inhalt geschrieben werden soll).
  • In dem in 2 dargestellten Beispiel sind in der ersten Zeile in dem Vorrichtungszugriffsprotokoll 36 a) ein Zeitstempel „18:39:01.032, September 3, 2021“, b) eine Betriebsziel-VM „1“, c) ein Betriebstyp „Lesen“, d) eine Sektornummer „1111“ und e) Nutzdaten „e38182...“ gespeichert. Das heißt, die erste Zeile in dem Vorrichtungszugriffsprotokoll 36 bedeutet, dass das Gast-OS 8, dem die Nummer „1“ zugeordnet ist, eine Zugriffsanforderung zum Lesen („Lesen“) der Sektorgruppe, die in dem der Sektornummer „1111“ entsprechenden Speicherbereich der externen Speichervorrichtung 12 gespeichert ist, zum Datum und zur Uhrzeit „18:39:01.032, September 3, 2021“ gesendet hat.
  • Außerdem erzeugt der Zugriffsprotokoll-Analysator 24 aus dem Vorrichtungszugriffsprotokoll 36 ein Sektorgruppen-Zugriffsprotokoll 38 basierend auf der im Speicher 22 gespeicherten Sektorgruppendatenbank 30. Hier ist die Sektorgruppendatenbank 30 eine Datenbank in einem Tabellenformat, wie in 3 dargestellt, und ist ein Beispiel für Entsprechungsinformationen. Wie in 3 dargestellt, ist die Sektorgruppendatenbank 30 eine Datenbank, die eine Entsprechung zwischen einer Sektornummer und einem Sektorgruppennamen einer in einem der Sektornummer entsprechenden Speicherbereich der externen Speichervorrichtung 12 gespeicherten Sektorgruppe angibt. Die Sektorgruppendatenbank 30 wird z. B. bei der ersten Aktivierung der Informationsverarbeitungsvorrichtung 2 erzeugt.
  • In dem in 3 dargestellten Beispiel sind in der ersten Zeile der Sektorgruppendatenbank 30 a) eine Sektornummer „1111“ und b) ein Sektorgruppenname „/home/key/secret.dat“ gespeichert. Das heißt, die erste Zeile in der Sektorgruppendatenbank 30 bedeutet, dass ein der Sektornummer „1111“ entsprechender Speicherbereich in der externen Speichervorrichtung 12 eine Sektorgruppe mit dem Sektorgruppennamen „/home/key/secret.dat“ speichert. Wenn das Protokoll der Zugriffsanforderungen zunimmt und eine Sektornummer hinzugefügt wird, wird die Sektorgruppendatenbank 30 aktualisiert.
  • Der Zugriffsprotokoll-Analysator 24 extrahiert zunächst nur ein Protokoll, das sich auf das Gast-OS 8 bezieht (z. B. Gast-OS 8 mit der Nummer „1“), das ein Ziel der Überwachung aus dem Vorrichtungszugriffsprotokoll 36 ist. Der Zugriffsprotokoll-Analysator 24 erzeugt dann ein Sektorgruppen-Zugriffsprotokoll 38, indem es eine Sektornummer, die in dem aus dem Vorrichtungszugriffsprotokoll 36 extrahierten Protokoll enthalten ist, und einen der Sektornummer entsprechenden Sektorgruppennamen zuordnet. Der Zugriffsprotokoll-Analysator 24 gibt das erzeugte Sektorgruppen-Zugriffsprotokoll 38 an den Sektorgruppen-Zugriffsbestimmer 26 aus.
  • Hierbei ist das Sektorgruppen-Zugriffsprotokoll 38 eine Datenbank in einem Tabellenformat, wie es z. B. in 4 dargestellt ist. Wie in 4 dargestellt, sind im Sektorgruppen-Zugriffsprotokoll 38 ein Zeitstempel, ein Betriebstyp, eine Sektornummer, ein Sektorgruppenname und Nutzdaten einander zugeordnet.
  • In dem in 4 dargestellten Beispiel werden in der ersten Zeile des Sektorgruppen-Zugriffsprotokolls 38 a) ein Zeitstempel „18:39:01.032, September 3, 2021“, b) ein Betriebstyp „Lesen“, c) eine Sektornummer „1111“, d) ein Sektorgruppenname „/home/key/secret.dat“ und e) ein Nutzdaten „e38182...“ gespeichert. Das heißt, die erste Zeile im Sektorgruppen-Zugriffsprotokoll 38 bedeutet, dass das Gast-OS 8, dem die Nummer „1“ zugewiesen ist, eine Zugriffsanforderung zum Lesen („Lesen“) der in dem der Sektornummer „1111“ entsprechenden Speicherbereich der externen Speichervorrichtung 12 gespeicherten Sektorgruppe mit dem Sektorgruppennamen „/home/key/secret.dat“ an dem Datum und zur Uhrzeit „18:39:01.032, September 3, 2021“ gesendet hat.
  • Außerdem aktualisiert der Zugriffsprotokoll-Analysator 24 die im Speicher 22 gespeicherten Sektorgruppen-Zugriffsinformationen 32 basierend auf dem erzeugten Sektorgruppen-Zugriffsprotokoll 38. Bei den Sektorgruppen-Zugriffsinformationen 32 handelt es sich hierbei um eine Datenbank in einem Tabellenformat, wie es z. B. in 5 dargestellt ist. Wie in 5 dargestellt, sind in den Sektorgruppen-Zugriffsinformationen 32 ein Sektorgruppenname, ein Datum und eine Uhrzeit des letzten Zugriffs, ein Prozess des letzten Zugriffs, ein letzter Betriebsvorgang und eine letzte Sektornummer einander zugeordnet.
  • In dem in 5 dargestellten Beispiel werden a) der Sektorgruppenname „/var/log/system. log", b) das Datum und die Uhrzeit des letzten Zugriffs „04:43:21.213, September 17, 2021“, c) ein Prozess des letzten Zugriffs „systemlogd“, d) der letzte Betriebsvorgang „Schreiben“ und e) die letzte Sektornummer „1234“ gespeichert. Das heißt, die erste Zeile in den Sektorgruppen-Zugriffsinformationen 32 bedeutet, dass der letzte Zugriff auf die Sektorgruppe mit dem Sektorgruppennamen „/var/log/system. log" das Schreiben einer Sektorgruppe in den der Sektornummer „1234“ entsprechenden Speicherbereich in der externen Speichervorrichtung 12 ist, und zwar durch den Prozess „systemlogd“ an dem Datum und zu der Uhrzeit „04:43:21.213, September 17, 2021“.
  • Der Sektorgruppen-Zugriffsbestimmer 26 ist ein Beispiel für einen Bestimmer und bestimmt basierend auf den Sektorgruppen-Zugriffsinformationen 32 und der Sektorgruppen-Zugriffsregeldatenbank 34, die im Speicher 22 und im Sektorgruppen-Zugriffsprotokoll 38 gespeichert sind, ob die Zugriffsanforderung des Gast-OS 8 anomal ist oder nicht.
  • Hierbei ist die Sektorgruppen-Zugriffsregeldatenbank 34 eine Datenbank, die eine Entsprechung zwischen dem Sektorgruppennamen jeder in der externen Speichervorrichtung 12 gespeicherten Sektorgruppe und einer Regel für den Zugriff auf die Sektorgruppe angibt. Insbesondere ist die Sektorgruppen-Zugriffsregeldatenbank 34 eine Datenbank in einem Tabellenformat, wie es z. B. in 6 dargestellt ist, und ein Beispiel für Regelinformationen. Wie in 6 dargestellt, sind in der Sektorgruppen-Zugriffsregeldatenbank 34 ein Sektorgruppenname, ein zugriffsberechtigter Prozess, ein zugriffsberechtigter Betriebsvorgang und ein Sektorgruppentyp einander zugeordnet. Der zugriffsberechtigte Prozess ist eine Information (Regel), die einen Prozess angibt, dem der Zugriff auf die Sektorgruppe erlaubt ist. Der zugriffsberechtigte Betriebsvorgang ist eine Information (Regel), die einen Betriebsvorgang angibt, dem der Zugriff auf die Sektorgruppe erlaubt ist. Der Sektorgruppentyp ist eine Information, die den Typ der Sektorgruppe angibt (private Informationen oder Protokoll).
  • In dem in 6 dargestellten Beispiel sind in der ersten Zeile der Sektorgruppen-Zugriffsregeldatenbank 34 a) der Sektorgruppenname „/home/key/secret.dat", b) ein zugriffsberechtigter Prozess „updateservice“, c) ein zugriffsberechtigter Betriebsvorgang „Lesen“ und d) ein Sektorgruppentyp „Private Information“ gespeichert. Das heißt, die erste Zeile in der Sektorgruppen-Zugriffsregeldatenbank 34 bedeutet, dass der Prozess und der Betrieb, denen der Zugriff auf die Sektorgruppe mit dem Sektorgruppennamen „/home/key/secret.dat“ einschließlich „Private Information“ erlaubt ist, „updateservice“ bzw. „Lesen“ sind.
  • Obwohl die Sektorgruppen-Zugriffsregeldatenbank 34 einen Prozess und einen Betriebsvorgang umfasst, denen der Zugriff auf die Sektorgruppe als Regeln für den Zugriff auf die in der externen Speichervorrichtung 12 gespeicherte Sektorgruppe erlaubt sind, ist die vorliegende Offenbarung nicht darauf beschränkt, und die Sektorgruppen-Zugriffsregeldatenbank 34 kann auch nur entweder einen Prozess oder einen Betriebsvorgang umfassen.
  • Der Sektorgruppen-Zugriffsbestimmer 26 bestimmt, ob der Prozess und der Betrieb, die versuchen, auf die in der externen Speichervorrichtung 12 gespeicherte Sektorgruppe zuzugreifen, den von der Sektorgruppen-Zugriffsregeldatenbank 34 definierten Regeln entsprechen oder nicht, indem er die Sektorgruppen-Zugriffsregeldatenbank 34 und das Sektorgruppen-Zugriffsprotokoll 38 vergleicht. Der Sektorgruppen-Zugriffsbestimmer 26 bestimmt ferner, ob ein Verhalten des Zugriffs auf die Sektorgruppe durch das Gast-OS 8 ein zulässiges Verhalten ist oder nicht, indem er die Sektorgruppen-Zugriffsinformation 32 und das Sektorgruppen-Zugriffsprotokoll 38 vergleicht. Der Sektorgruppen-Zugriffsbestimmer 26 gibt das Bestimmungsergebnis an den Steuerungshandler 28 aus.
  • Das zulässige Verhalten kann beispielsweise a) ein Betriebsvorgang des Anhängens an eine Protokolldatei (eine Sektorgruppe, die ein Protokoll anzeigt) oder b) ein Betriebsvorgang des Lesens einer Sektorgruppe bei der ersten Aktivierung der Informationsverarbeitungsvorrichtung 2 sein. Bei dem ersten Betriebsvorgang kann im Allgemeinen selbst dann, wenn das Schreiben in eine Protokolldatei autorisiert ist, der einzige Betriebsvorgang, der auftreten kann, das Anhängen an die Protokolldatei sein, und daher kann ein Betriebsvorgang des Änderns oder Löschens eines Teils der Protokolldatei als ein anomaler Zugriff bestimmt werden. Bei dem letztgenannten Betriebsvorgang wird im Allgemeinen eine Sektorgruppe, die eine Richtlinie oder dergleichen der Zugriffskontrollfunktion 16 des Gast-OS 8 angibt, nur bei der ersten Aktivierung der Informationsverarbeitungsvorrichtung 2 gelesen, und daher kann ein Betriebsvorgang des Lesens der Sektorgruppe, wenn eine beträchtliche Zeitspanne seit der ersten Aktivierung verstrichen ist, als anomaler Zugriff bestimmt werden.
  • Außerdem kann der Sektorgruppen-Zugriffsbestimmer 26 Informationen in Bezug auf die Informationsverarbeitungsvorrichtung 2 erhalten, wie z. B. Informationen, die den Zeitpunkt der Aktivierung der Informationsverarbeitungsvorrichtung 2 angeben, und Informationen, die einen Aktivierungsmodus der Informationsverarbeitungsvorrichtung 2 angeben. Der Aktivierungsmodus der Informationsverarbeitungsvorrichtung 2 ist ein normaler Modus oder ein Repro-Modus.
  • Der Steuerungshandler 28 ist ein Beispiel für einen Handler und steuert die Handhabung basierend auf dem Bestimmungsergebnis des Sektorgruppen-Zugriffsbestimmers 26. Insbesondere dann, wenn der Sektorgruppen-Zugriffsbestimmer 26 bestimmt, dass die Zugriffsanforderung anomal ist, sendet der Steuerungshandler 28 eine Fehlermeldung an den externen Server 40, der beispielsweise eine Sicherheitsinformations- und Ereignisverwaltungsfunktion (SIEM) hat. Wenn der Sektorgruppen-Zugriffsbestimmer 26 bestimmt, dass die Zugriffsanforderung nicht anomal ist, weist der Steuerungshandler 28 den Back-End-Vorrichtungstreiber 20 an, auf die in der externen Speichervorrichtung 12 gespeicherte Sektorgruppe entsprechend der Zugriffsanforderung zuzugreifen.
  • [2. Betrieb der Informationsverarbeitungsvorrichtung]
  • [2-1. Allgemeiner Betrieb des Host-OS]
  • Unter Bezugnahme auf 7 wird ein allgemeiner Betrieb des Host-OS 10 gemäß der Ausführungsform beschrieben. 7 ist ein Ablaufdiagramm, das den Ablauf des allgemeinen Betriebs des Host-OS 10 gemäß der Ausführungsform darstellt.
  • Wie in 7 dargestellt, erhält der Zugriffsprotokoll-Analysator 24 zunächst das Vorrichtungszugriffsprotokoll 36 als ein von dem Back-End-Vorrichtungstreiber 20 erhaltenes Protokoll von Zugriffsanforderungen (S101).
  • Der Zugriffsprotokoll-Analysator 24 extrahiert dann aus dem Vorrichtungszugriffsprotokoll 36 nur ein auf das Gast-OS 8 bezogenes Protokoll, das das Ziel der Überwachung ist, und erzeugt ein Sektorgruppen-Zugriffsprotokoll 38 durch Zuordnen einer Sektornummer, die in dem extrahierten Protokoll enthalten ist, und eines Sektorgruppennamens, der der Sektornummer entspricht, unter Bezugnahme auf die im Speicher 22 gespeicherte Sektorgruppendatenbank 30 (S102).
  • Der Sektorgruppen-Zugriffsbestimmer 26 bestimmt dann basierend auf den Sektorgruppen-Zugriffsinformationen 32 und der Sektorgruppen-Zugriffsregeldatenbank 34, die im Speicher 22 gespeichert sind, sowie dem Sektorgruppen-Zugriffsprotokoll 38 , ob die Zugriffsanforderung des Gast-OS 8 anomal ist oder nicht (S103). Der Sektorgruppen-Zugriffsbestimmer 26 gibt das Bestimmungsergebnis an den Steuerungshandler 28 aus.
  • Wenn der Sektorgruppen-Zugriffsbestimmer 26 bestimmt, dass die Zugriffsanforderung anomal ist (JA in S103), bestimmt der Steuerungshandler 28 basierend auf dem in dem Sektorgruppen-Zugriffsprotokoll 38 enthaltenen Sektorgruppennamen (S104) den Typ der Sektorgruppe, die das Ziel der Zugriffsanforderung ist.
  • Wenn der Typ der Sektorgruppe „Protokoll“ ist („Protokoll“ in S104), sendet der Steuerungshandler 28 eine Fehlermeldung an den externen Server 40 (S105). In diesem Fall ist der Zeitpunkt, zu dem der Steuerungshandler 28 die Fehlermeldung an den externen Server 40 sendet, ein Zeitpunkt, der in regelmäßigen, im Voraus festgelegten Intervallen eintritt (z. B. ein Zeitpunkt, der alle fünf Minuten eintritt). Dann löscht der Sektorgruppen-Zugriffsbestimmer 26 den Inhalt zu der anomalen Zugriffsanforderung in den Sektorgruppen-Zugriffsinformationen 32. Danach ist der Prozess des Ablaufdiagramms von 7 beendet.
  • Wenn andererseits der Typ der Sektorgruppe „Private Informationen“ ist („Private Informationen“ in S104), sendet der Steuerungshandler 28 eine Fehlermeldung an den externen Server 40 und weist den Back-End-Vorrichtungstreiber 20 an, den Zugriff auf die Sektorgruppe gemäß der Zugriffsanforderung zu stoppen (S106). In diesem Fall ist der Zeitpunkt, zu dem der Steuerungshandler 28 die Fehlermeldung sendet und den Zugriff auf die Sektorgruppe stoppt, ein unmittelbarer Zeitpunkt. Beim Senden der Fehlermeldung an den externen Server 40 kann der Steuerungshandler 28 den externen Server 40 zusätzlich über das Sektorgruppen-Zugriffsprotokoll 38 informieren, das als anomal bestimmt wurde. Dann löscht der Sektorgruppen-Zugriffsbestimmer 26 den Inhalt zu der anomalen Zugriffsanforderung in den Sektorgruppen-Zugriffsinformationen 32. Danach endet der Prozess des Ablaufdiagramms von 7.
  • Mit Rückbezug auf Schritt S103 weist der Steuerungshandler 28 den Back-End-Vorrichtungstreiber 20 an, auf die in der externen Speichervorrichtung 12 gespeicherte Sektorgruppe entsprechend der Zugriffsanforderung zuzugreifen (S107), wenn der Sektorgruppen-Zugriffsbestimmer 26 bestimmt, dass die Zugriffsanforderung nicht anomal ist (NEIN in S103). Dann aktualisiert der Sektorgruppen-Zugriffsbestimmer 26 die Sektorgruppen-Zugriffsinformationen 32 basierend auf dem Inhalt der Zugriffsanforderung. Danach endet der Prozess des Ablaufdiagramms von 7.
  • [2-2. Betrieb des Zugriffsprotokoll-Analysators]
  • Unter Bezugnahme auf 8 wird spezifisch ein Betrieb des Zugriffsprotokoll-Analysators 24 beschrieben. 8 ist ein Ablaufdiagramm, das den Betriebsablauf des Zugriffsprotokoll-Analysators 24 gemäß der Ausführungsform darstellt.
  • Wie in 8 dargestellt, erhält der Zugriffsprotokoll-Analysator 24 zunächst das neueste Protokoll aus dem Vorrichtungszugriffsprotokoll 36 (S201). Der Zugriffsprotokoll-Analysator 24 bestimmt dann, ob die in dem erhaltenen neuesten Protokoll enthaltene Betriebsziel-VM das Gast-OS 8 ist, das das Ziel der Überwachung ist, oder nicht (S202). Wenn die im erhaltenen neuesten Protokoll enthaltene Betriebsziel-VM nicht das Gast-OS 8 ist, das das Ziel der Überwachung ist (NEIN in S202), endet der Prozess des Ablaufdiagramms von 8.
  • Wenn andererseits die in dem erhaltenen neuesten Protokoll enthaltene Betriebsziel-VM das Gast-OS 8 ist, das Ziel der Überwachung ist (JA in S202), bestimmt der Zugriffsprotokoll-Analysator 24, ob die Sektornummer, die in dem erhaltenen neuesten Protokoll enthalten ist, in der Sektorgruppendatenbank 30 registriert wurde oder nicht (S203).
  • Wenn die Sektornummer, die in dem erhaltenen neuesten Protokoll enthalten ist, in der Sektorgruppendatenbank 30 registriert wurde (JA in S203), erzeugt der Zugriffsprotokoll-Analysator 24 ein Sektorgruppen-Zugriffsprotokoll 38, indem er die Sektornummer, die in dem erhaltenen neuesten Protokoll enthalten ist, und den Sektorgruppennamen, der der in der Sektorgruppendatenbank 30 registrierten Sektornummer entspricht, zuordnet (S204). Danach endet der Prozess des Ablaufdiagramms von 8.
  • Wenn andererseits die in dem erhaltenen neuesten Protokoll enthaltene Sektornummer nicht in der Sektorgruppendatenbank 30 registriert wurde (NEIN in S203), bestimmt der Zugriffsprotokoll-Analysator 24, ob der in dem erhaltenen neuesten Protokoll enthaltene Betriebstyp „Schreiben“ ist oder nicht (S205). Wenn der Betriebstyp, der in dem erhaltenen neuesten Protokoll enthalten ist, nicht „Schreiben“ ist (NEIN in S205), endet der Prozess des Ablaufdiagramms von 8.
  • Wenn andererseits der in dem erhaltenen neuesten Protokoll enthaltene Betriebstyp „Schreiben“ ist (JA in S205), bestimmt der Zugriffsprotokoll-Analysator 24, ob das erhaltene neueste Protokoll ein Betriebsvorgang für die in der Sektorgruppen-Zugriffsregeldatenbank 34 registrierte Sektorgruppe ist oder nicht (S206). Wenn das erhaltene neueste Protokoll kein Betriebsvorgang für die in der Sektorgruppen-Zugriffsregeldatenbank 34 registrierte Sektorgruppe ist (NEIN in S206), endet der Prozess des Ablaufdiagramms von 8.
  • Wenn andererseits das erhaltene neueste Protokoll ein Betriebsvorgang für die in der Sektorgruppen-Zugriffsregeldatenbank 34 registrierte Sektorgruppe ist (JA in S206), registriert der Zugriffsprotokoll-Analysator 24 die Sektornummer und den der Sektornummer entsprechenden Sektorgruppennamen in der Sektorgruppendatenbank 30 (S207) und geht weiter zu Schritt S204.
  • [2-3. Betrieb des Sektorgruppen-Zugriffsbestimmers]
  • Unter Bezugnahme auf 9 wird speziell ein Betrieb des Sektorgruppen-Zugriffsbestimmers 26 beschrieben. 9 ist ein Ablaufdiagramm, das einen Betriebsablauf des Sektorgruppen-Zugriffsbestimmers 26 gemäß der Ausführungsform darstellt.
  • Wie in 9 dargestellt, erhält der Sektorgruppen-Zugriffsbestimmer 26 zunächst das neueste Protokoll aus dem Sektorgruppen-Zugriffsprotokoll 38 (S301). Der Sektorgruppen-Zugriffsbestimmer 26 bestimmt dann, ob der im erhaltenen neuesten Protokoll enthaltene Betriebstyp ein zugriffsberechtigter Betriebsvorgang für den Sektorgruppennamen in dem in der Sektorgruppen-Zugriffsregeldatenbank 34 enthaltenen neuesten Protokoll ist oder nicht (S302). Das heißt, der Sektorgruppen-Zugriffsbestimmer 26 bestimmt basierend auf den Regelinformationen bezüglich der Lese- und Schreibberechtigung für das Lesen und Beschreiben der Sektorgruppe, ob die Zugriffsanforderung anomal ist oder nicht. Wenn der im erhaltenen neuesten Protokoll enthaltene Betriebstyp kein zugriffsberechtigter Betriebsvorgang ist (NEIN in S302), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung des Gast-OS 8 anomal ist (S303). Danach endet der Prozess des Ablaufdiagramms von 9.
  • Wenn andererseits der Betriebstyp, der in dem erhaltenen neuesten Protokoll enthalten ist, ein zugriffsberechtigter Betriebsvorgang ist (JA in S302), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob der Prozess ein zugriffsberechtigter Prozess für den Sektorgruppennamen in dem in der Sektorgruppen-Zugriffsregeldatenbank 34 enthaltenen neuesten Protokoll ist oder nicht (S304). Wenn der Prozess kein zugriffsberechtigter Prozess ist (NEIN in S304), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung des Gast-OS 8 anomal ist (S303). Danach endet der Prozess des Ablaufdiagramms von 9.
  • Wenn andererseits der Zugriff ein zugriffsberechtigter Prozess ist (JA in S304), bestimmt der Sektorgruppen-Zugriffsbestimmer 26 basierend auf den Sektorgruppen-Zugriffsinformationen 32, ob das Verhalten des Zugriffs auf die in der externen Speichervorrichtung 12 gespeicherte Sektorgruppe ein zulässiges Verhalten ist oder nicht (S305). Wenn das Verhalten kein zulässiges Verhalten ist (NEIN in S305), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung des Gast-OS 8 anomal ist (S303). Danach endet der Prozess des Ablaufdiagramms von 9.
  • Wenn andererseits das Verhalten ein zulässiges Verhalten ist (JA in S305), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung des Gast-OS 8 nicht anomal ist (S306). Danach endet der Prozess des Ablaufdiagramms von 9.
  • Unter Bezugnahme auf 10 und 11 wird hier speziell der Prozess in Schritt S305 in dem Ablaufdiagramm von 9 beschrieben. 10 und 11 sind Ablaufdiagramme, die speziell den Prozess in Schritt S305 im Ablaufdiagramm von 9 darstellen.
  • Basierend auf einer ersten Verhaltensregel bis zu einer N-ten Verhaltensregel bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob das Verhalten ein Verhalten ist, das von jeder der ersten Verhaltensregel bis zur N-ten Verhaltensregel zugelassen wird oder nicht.
  • Wie in 10 dargestellt, bestimmt der Sektorgruppen-Zugriffsbestimmer 26 in den anderen als den oben beschriebenen Fällen, ob das Verhalten ein durch die erste Verhaltensregel zugelassenes Verhalten ist oder nicht (S401). Wenn das Verhalten kein durch die erste Verhaltensregel zugelassenes Verhalten ist (NEIN in S401), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung des Gast-OS 8 anomal ist (S402). Danach endet der Prozess des Ablaufdiagramms von 10.
  • Wenn andererseits das Verhalten ein durch die erste Verhaltensregel zugelassenes Verhalten ist (JA in S401), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob das Verhalten ein durch eine zweite Verhaltensregel zugelassenes Verhalten ist oder nicht (S403). Wenn das Verhalten kein durch die zweite Verhaltensregel zugelassenes Verhalten ist (NEIN in S403), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung des Gast-OS 8 anomal ist (S402). Danach endet der Prozess des Ablaufdiagramms von 10.
  • Nachdem das Verhalten ein durch die zweite Verhaltensregel zugelassenes Verhalten ist (JA in S403), führt der Sektorgruppen-Zugriffsbestimmer 26 ähnliche Bestimmungen durch, bis der Sektorgruppen-Zugriffsbestimmer 26 bestimmt, ob das Verhalten ein durch die N-te zweite Verhaltensregel zugelassenes Verhalten ist oder nicht (S404). Wenn das Verhalten kein von der N-ten Verhaltensregel zugelassenes Verhalten ist (NEIN in S404), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung des Gast-OS 8 anomal ist (S402). Danach endet der Prozess des Ablaufdiagramms von 10.
  • Wenn das Verhalten ein durch die N-te Verhaltensregel zugelassenes Verhalten ist (JA in S404), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung von dem Gast-OS 8 nicht anomal ist (S405). Danach endet der Prozess des Ablaufdiagramms von 10.
  • Als Nächstes wird unter Bezugnahme auf 11 ein Bestimmungsverfahren für ein Verhalten unter Verwendung der ersten Verhaltensregel beschrieben. Die erste Verhaltensregel ist beispielsweise eine Regel, die das Verhalten eines Zugriffs auf eine Sektorgruppe bei der ersten Aktivierung der Informationsverarbeitungsvorrichtung 2 betrifft.
  • Wie in 11 dargestellt, endet der Prozess des Ablaufdiagramms von 11, wenn ein Zugriff auf eine Sektorgruppe zu einem anderen Zeitpunkt als der ersten Aktivierung der Informationsverarbeitungsvorrichtung 2 nicht verhindert wird (NEIN in S501). Wenn andererseits ein Zugriff auf eine Sektorgruppe zu einem anderen Zeitpunkt als der ersten Aktivierung der Informationsverarbeitungsvorrichtung 2 verhindert wird (JA in S501), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob eine Zugriffsanforderung von dem Gast-OS 8 in den Sektorgruppen-Zugriffsinformationen 32 gespeichert ist oder nicht (S502).
  • Wenn eine Zugriffsanforderung von dem Gast-OS 8 in den Sektorgruppen-Zugriffsinformationen 32 gespeichert ist (JA in S502), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung von dem Gast-OS 8 anomal ist (S503). Danach endet der Prozess des Ablaufdiagramms von 11.
  • Wenn keine Zugriffsanforderung von dem Gast-OS 8 in den Sektorgruppen-Zugriffsinformationen 32 gespeichert ist (NEIN in S502), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob der Zeitstempel der Zugriffsanforderung in eine erwartete erste Aktivierungsdauer (wie etwa eine Minute) fällt oder nicht (S504). Wenn der Zeitstempel der Zugriffsanforderung nicht in die erste Aktivierungsdauer fällt (NEIN in S504), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung anomal ist (S503). Danach endet der Prozess des Ablaufdiagramms von 11.
  • Wenn andererseits der Zeitstempel der Zugriffsanforderung in die erste Aktivierungsdauer fällt (JA in S504), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass das Verhalten ein Verhalten ist, das durch die erste Verhaltensregel zugelassen ist (S505). In diesem Fall speichert der Sektorgruppen-Zugriffsbestimmer 26 die Zugriffsanforderung von dem Gast-OS 8 in den Sektorgruppen-Zugriffsinformationen 32. Danach endet der Prozess des Ablaufdiagramms von 11.
  • Im Folgenden werden unter Bezugnahme auf 12 bis 19 verschiedene Beispiele eines Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel beschrieben.
  • Zunächst wird unter Bezugnahme auf 12 das Beispiel 1 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel beschrieben. 12 ist ein Ablaufdiagramm, das Beispiel 1 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt. Die N-te Verhaltensregel ist eine Regel, die beispielsweise das Verhalten eines Zugriffs auf einen privaten Schlüssel eines Client-Zertifikats betrifft.
  • Wie in 12 dargestellt, bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung eine Anforderung für einen Zugriff auf einen privaten Schlüssel eines Client-Zertifikats ist oder nicht (S601). Wenn die Zugriffsanforderung keine Anforderung für den Zugriff auf einen privaten Schlüssel eines Client-Zertifikats ist (NEIN in S601), endet der Prozess des Ablaufdiagramms von 12.
  • Wenn andererseits die Zugriffsanforderung eine Anforderung für einen Zugriff auf einen privaten Schlüssel eines Client-Zertifikats ist (JA in S601), erhält der Sektorgruppen-Zugriffsbestimmer 26 Informationen, die ein aktuelles Verbindungsziel für die Netzwerkvorrichtung 11 angeben, aus einem Protokoll im Zugriffsprotokoll-Analysator 24 (S602). Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob auf die Netzwerkvorrichtung 11, die ein authentisches Verbindungsziel ist, zugegriffen wird oder nicht (das heißt, ob eine Anforderung für das Client-Zertifikat vorliegt) (S603).
  • Wenn auf die Netzwerkvorrichtung 11, die ein authentisches Verbindungsziel ist, zugegriffen wird (JA in S603), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass das Verhalten ein Verhalten ist, das durch die N-te Verhaltensregel zugelassen ist (S604). Danach endet der Prozess des Ablaufdiagramms von 12.
  • Wenn andererseits auf die Netzwerkvorrichtung 11, die ein authentisches Verbindungsziel ist, nicht zugegriffen wird (NEIN in S603), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung anomal ist (S605). Danach endet der Prozess des Ablaufdiagramms von 12.
  • Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26 unter Berücksichtigung des Zustands der Netzwerkvorrichtung 11, ob die Zugriffsanforderung anomal ist oder nicht. Wenn also ein Angreifer versucht, böswillig einen privaten Schlüssel eines Client-Zertifikats zu lesen, kann der Sektorgruppen-Zugriffsbestimmer 26 den Versuch als anomale Zugriffsanforderung erkennen.
  • Als Nächstes wird unter Bezugnahme auf 13 das Beispiel 2 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel beschrieben. 13 ist ein Ablaufdiagramm, das Beispiel 2 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt. Die N-te Verhaltensregel ist eine Regel, die das Verhalten eines Zugriffs auf eine Datei betrifft, die beispielsweise eine Telefonnummer enthält.
  • Wie in 13 dargestellt, bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung eine Anforderung für einen Zugriff auf eine Datei ist, die eine Telefonnummer enthält (S701), oder nicht. Wenn die Zugriffsanforderung keine Anforderung für den Zugriff auf eine Datei ist, die eine Telefonnummer enthält (NEIN in S701), endet der Prozess des Ablaufdiagramms von 13.
  • Wenn andererseits die Zugriffsanforderung eine Anforderung für den Zugriff auf eine Datei ist, die eine Telefonnummer enthält (JA in S701), erhält der Sektorgruppen-Zugriffsbestimmer 26 Informationen, die einen aktuellen Betrieb der Bildschirmdarstellungsvorrichtung 13 anzeigen, aus einem Protokoll im Zugriffsprotokoll-Analysator 24 (S702). Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Bildschirmdarstellungsvorrichtung 13 einen Betriebsvorgang in Bezug auf eine Telefonnummer, wie etwa Tätigen eines Anrufs, durchführt oder nicht (S703).
  • Wenn die Bildschirmdarstellungsvorrichtung 13 einen Betriebsvorgang bezüglich einer Telefonnummer durchführt, wie etwa das Tätigen eines Anrufs (JA in S703), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass das Verhalten ein Verhalten ist, das durch die N-te Verhaltensregel zugelassen ist (S704). Danach endet der Prozess des Ablaufdiagramms von 13.
  • Wenn andererseits die Bildschirmdarstellungsvorrichtung 13 keinen Betriebsvorgang in Bezug auf eine Telefonnummer durchführt, wie etwa das Tätigen eines Anrufs (NEIN in S703), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung anomal ist (S705). Danach endet der Prozess des Ablaufdiagramms von 13.
  • Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung anomal ist oder nicht, indem er den Zustand der Bildschirmdarstellungsvorrichtung 13 berücksichtigt. Wenn also ein Angreifer böswillig versucht, auf eine Telefonnummer zuzugreifen, die in einer in der externen Speichervorrichtung 12 gespeicherten Datei enthalten ist, kann der Sektorgruppen-Zugriffsbestimmer 26 den Versuch als eine anomale Zugriffsanforderung erkennen.
  • Als Nächstes wird unter Bezugnahme auf 14 das Beispiel 3 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel beschrieben. 14 ist ein Ablaufdiagramm, das Beispiel 3 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt. Die N-te Verhaltensregel ist zum Beispiel eine Regel, die das Verhalten eines Zugriffs auf eine Datei betrifft, die innerhalb einer bestimmten Zeit nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 gelesen wird.
  • Wie in 14 dargestellt, bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung eine Anforderung für einen Zugriff auf eine Datei ist, die innerhalb einer bestimmten Zeit nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 gelesen wird, oder nicht (S801). Wenn die Zugriffsanforderung keine Anforderung für den Zugriff auf eine Datei ist, die innerhalb einer bestimmten Zeit nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 gelesen wird (NEIN in S801), endet der Prozess des Ablaufdiagramms von 14.
  • Wenn andererseits die Zugriffsanforderung eine Anforderung für den Zugriff auf eine Datei ist, die innerhalb einer bestimmten Zeit nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 gelesen wird (JA in S801), erhält der Sektorgruppen-Zugriffsbestimmer 26 Informationen, die die Aktivierungszeit der Informationsverarbeitungsvorrichtung 2 angeben (S802). Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob der Zeitpunkt des Zugriffs auf die Datei innerhalb der durch die Regel vorgeschriebenen Zeit (das heißt innerhalb der bestimmten Zeit nach Aktivierung der Informationsverarbeitungsvorrichtung 2) liegt oder nicht (S803).
  • Wenn der Zeitpunkt des Zugriffs auf die Datei in den durch die Regel vorgeschriebenen Zeitraum fällt (JA in S803), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass das Verhalten ein durch die N-te Verhaltensregel zugelassenes Verhalten ist (S804). Danach endet der Prozess des Ablaufdiagramms von 14.
  • Wenn andererseits der Zeitpunkt des Zugriffs auf die Datei nicht in die von der Regel vorgeschriebene Zeit fällt (NEIN in S803), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung anomal ist (5805). Danach endet der Prozess des Ablaufdiagramms von 14.
  • Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung anomal ist oder nicht, indem er den Zustand der Informationsverarbeitungsvorrichtung 2 berücksichtigt. Daher kann der Sektorgruppen-Zugriffsbestimmer 26, wenn ein Angreifer böswillig versucht, eine Datei (wie etwa ein Kernel-Modul oder eine Initialisierungsdatei) zu lesen, die innerhalb einer bestimmten Zeit nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 nach der bestimmten Zeit nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 gelesen werden muss, den Versuch als anomale Zugriffsanforderung erkennen.
  • Als Nächstes wird unter Bezugnahme auf 15 das Beispiel 4 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel beschrieben. 15 ist ein Ablaufdiagramm, das Beispiel 4 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt. Die N-te Verhaltensregel ist eine Regel, die ein Verhalten eines Zugriffs auf einen Entschlüsselungsschlüssel für die Repro (Programmumschreibeverarbeitung) betrifft. Der Entschlüsselungsschlüssel für eine Repro ist eine Datei, die nur gelesen wird, wenn die Informationsverarbeitungsvorrichtung 2 im Repro-Modus aktiviert ist, um eine Systemaktualisierung der Informationsverarbeitungsvorrichtung 2 durchzuführen.
  • Wie in 15 dargestellt, bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung eine Anforderung für einen Zugriff auf einen Entschlüsselungsschlüssel für die Repro ist oder nicht (S901). Wenn die Zugriffsanforderung keine Anforderung für den Zugriff auf einen Entschlüsselungsschlüssel für die Repro ist (NEIN in S901), endet der Prozess des Ablaufdiagramms von 15. In einem ähnlichen Anwendungsfall kann ferner bestimmt werden, ob der Sektorbereich, in den geschrieben werden soll, ein Sektorbereich für eine Repro ist oder nicht. In diesem Fall kann basierend auf dem Schritt S902 und den nachfolgenden Prozessen bestimmt werden, ob der Zugriff normal oder anomal ist.
  • Wenn andererseits die Zugriffsanforderung eine Anforderung für einen Zugriff auf einen Entschlüsselungsschlüssel für eine Repro ist (JA in S901), erhält der Sektorgruppen-Zugriffsbestimmer 26 Informationen, die den Aktivierungsmodus der Informationsverarbeitungsvorrichtung 2 angeben, und bestimmt den Typ des erhaltenen Aktivierungsmodus (den normalen Modus oder den Repro-Modus) (S902).
  • Wenn der Typ des Aktivierungsmodus der Repro-Modus ist („Repro-Modus“ in S903), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass das Verhalten ein durch die N-te Verhaltensregel zugelassenes Verhalten ist (S904). Danach endet der Prozess des Ablaufdiagramms von 15.
  • Wenn andererseits der Typ des Aktivierungsmodus der normale Modus ist („normaler Modus“ in S903), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung anomal ist (S905). Danach endet der Prozess des Ablaufdiagramms von 15.
  • Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung anomal ist oder nicht, indem er den Zustand der
  • Informationsverarbeitungsvorrichtung 2 berücksichtigt. Wenn also ein Angreifer versucht, böswillig auf einen Entschlüsselungsschlüssel für eine Repro zuzugreifen, um Informationen über den privaten Schlüssel zu erhalten, wenn die Informationsverarbeitungsvorrichtung 2 im normalen Modus aktiviert ist, kann der Sektorgruppen-Zugriffsbestimmer 26 den Versuch als eine anomale Zugriffsanforderung erkennen.
  • Als Nächstes wird unter Bezugnahme auf 16 das Beispiel 5 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel beschrieben. 16 ist ein Ablaufdiagramm, das Beispiel 5 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt. Die N-te Verhaltensregel ist beispielsweise eine Regel, die das Verhalten eines Schreibens auf einen Bildschirm, der sich von einem Aktivierungsbildschirm unterscheidet, betrifft. Ein Schreibvorgang auf einen Bildschirm, der sich von dem Aktivierungsbildschirm unterscheidet, tritt nur auf, wenn die Informationsverarbeitungsvorrichtung 2 im Repro-Modus aktiviert ist.
  • Wie in 16 dargestellt, bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung eine Anforderung zum Schreiben auf einen Bildschirm ist, der sich von dem Aktivierungsbildschirm unterscheidet, oder nicht (S1001). Wenn die Zugriffsanforderung keine Anforderung zum Schreiben auf einen Bildschirm ist, der sich von dem Aktivierungsbildschirm unterscheidet (NEIN in S1001), endet der Prozess des Ablaufdiagramms von 16.
  • Wenn andererseits die Zugriffsanforderung eine Anforderung zum Schreiben auf einen Bildschirm ist, der sich von dem Aktivierungsbildschirm unterscheidet (JA in S1001), erhält der Sektorgruppen-Zugriffsbestimmer 26 Informationen, die den Aktivierungsmodus der Informationsverarbeitungsvorrichtung 2 angeben, und bestimmt den Typ des erhaltenen Aktivierungsmodus (den normalen Modus oder den Repro-Modus) (S1002).
  • Wenn der Typ des Aktivierungsmodus der Repro-Modus ist („Repro-Modus“ in S1003), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass das Verhalten ein durch die N-te Verhaltensregel zugelassenes Verhalten ist (S1004). Danach endet der Prozess des Ablaufdiagramms von 16.
  • Wenn andererseits der Typ des Aktivierungsmodus der normale Modus ist („normaler Modus“ in S1003), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung anomal ist (S1005). Danach endet der Prozess des Ablaufdiagramms von 16.
  • Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung anomal ist oder nicht, indem er den Zustand der Informationsverarbeitungsvorrichtung 2 berücksichtigt. Wenn also ein Angreifer böswillig versucht, Firmware umzuschreiben, indem er einen Schreibvorgang auf einem Bildschirm durchführt, auf den im normalen Modus nicht geschrieben werden sollte, oder einen durch erzwungenen Rollback umgeschriebenen Bildschirm zwangsweise aktiviert, kann der Sektorgruppen-Zugriffsbestimmer 26 den Versuch als anomale Zugriffsanforderung erkennen.
  • Als Nächstes wird unter Bezugnahme auf 17 das Beispiel 6 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel beschrieben. 17 ist ein Ablaufdiagramm, das Beispiel 6 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt. Die N-te Verhaltensregel ist eine Regel, die das Verhalten eines Zugriffs auf eine Datei betrifft, die beispielsweise nur einmal nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 gelesen werden darf.
  • Wie in 17 dargestellt, bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung eine Anforderung für den Zugriff auf eine Datei ist, die nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 nur einmal gelesen werden darf, oder nicht (S1101). Wenn die Zugriffsanforderung keine Anforderung für den Zugriff auf eine Datei ist, die nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 nur einmal gelesen werden darf (NEIN in S1101), endet der Prozess des Ablaufdiagramms von 17.
  • Wenn andererseits die Zugriffsanforderung eine Anforderung für den Zugriff auf eine Datei ist, die nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 nur einmal gelesen werden darf (JA in S1101), erhält der Sektorgruppen-Zugriffsbestimmer 26 Informationen, die den letzten Zugriff angeben, aus den Sektorgruppen-Zugriffsinformationen 32 (S1102). Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob der Zugriff auf die Datei, die nach Aktivierung der Informationsverarbeitungsvorrichtung 2 nur einmal gelesen werden darf, das erste Lesen nach Aktivierung der Informationsverarbeitungsvorrichtung 2 ist oder nicht (S1103).
  • Wenn der Zugriff auf die Datei, die nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 nur einmal gelesen werden darf, das erste Lesen nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 ist (JA in S1103), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass das Verhalten ein Verhalten ist, das durch die N-te Verhaltensregel zugelassen ist (S1104). Danach endet der Prozess des Ablaufdiagramms von 17.
  • Wenn andererseits der Zugriff auf die Datei, die nur einmal nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 gelesen werden darf, nicht das erste Lesen nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 ist (NEIN in S1103), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung anomal ist (S1105). Danach endet der Prozess des Ablaufdiagramms von 17.
  • Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung anomal ist oder nicht, indem er den Zustand einer Datei (Sektorgruppe) berücksichtigt. Wenn also ein Angreifer versucht, böswillig eine Datei zu lesen, die nur einmal nach der Aktivierung der Informationsverarbeitungsvorrichtung 2 gelesen wird (wie etwa eine Konfigurationsdatei für die erste Aktivierung), und die Anfangskonfiguration der Informationsverarbeitungsvorrichtung 2 auszuspionieren, kann der Sektorgruppen-Zugriffsbestimmer 26 den Versuch als eine anomale Zugriffsanforderung erkennen.
  • Als Nächstes wird unter Bezugnahme auf 18 das Beispiel 7 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel beschrieben. 18 ist ein Ablaufdiagramm, das Beispiel 7 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt. Die N-te Verhaltensregel ist eine Regel, die beispielsweise das Verhalten einer Aktualisierung einer Anwendung (im Folgenden als App bezeichnet) betrifft.
  • Wie in 18 dargestellt, bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung eine Anforderung zur Aktualisierung einer App ist oder nicht (S1201). Wenn die Zugriffsanforderung keine Anforderung zur Aktualisierung einer App ist (NEIN in S1201), endet der Prozess des Ablaufdiagramms von 18.
  • Wenn andererseits die Zugriffsanforderung eine Anforderung zur Aktualisierung einer App ist (JA in S1201), überwacht der Sektorgruppen-Zugriffsbestimmer 26 die Nutzdaten im Sektorgruppen-Zugriffsprotokoll 38 und sucht nach einer Zeichenkette, die mit „http“ beginnt (S1202).
  • Wenn eine solche Zeichenkette (eine Zeichenkette, die mit „http“ beginnt) in den Nutzdaten im Sektorgruppen-Zugriffsprotokoll 38 vorhanden ist und die Nutzdaten einen Uniform Resource Locator (URL) enthalten, der in einer weißen Liste enthalten ist (JA in S1203), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass das Verhalten ein Verhalten ist, das durch die N-te Verhaltensregel zugelassen ist (S1204). Danach endet der Prozess des Ablaufdiagramms von 18.
  • Wenn andererseits keine derartige Zeichenkette in den Nutzdaten im Sektorgruppen-Zugriffsprotokoll 38 vorhanden ist oder die Nutzdaten keinen in einer weißen Liste enthaltenen URL enthält (NEIN in S1203), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung anomal ist (S1205). Danach endet der Prozess des Ablaufdiagramms von 18.
  • Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung anomal ist oder nicht, indem er den Inhalt des Zugriffs auf eine Sektorgruppe, in Bezug auf welche ein Beschreiben zugelassen ist, berücksichtigt. Wenn also ein Angreifer versucht, böswillig einen externen URL, der nicht zugelassen ist (wie etwa der URL eines C&C-Servers), in eine Sektorgruppe zu schreiben, indem er sich als authentische App-Aktualisierung ausgibt, kann der Sektorgruppen-Zugriffsbestimmer 26 den Versuch als anomale Zugriffsanforderung erkennen.
  • Als Nächstes wird unter Bezugnahme auf 19 das Beispiel 8 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel beschrieben. 19 ist ein Ablaufdiagramm, das Beispiel 8 des Bestimmungsverfahrens für ein Verhalten unter Verwendung der N-ten Verhaltensregel darstellt.
  • Die N-te Verhaltensregel ist eine Regel, die beispielsweise das Verhalten beim Schreiben in eine Protokolldatei betrifft. Ein Schreibvorgang wird nur in dem letzten Sektor der Protokolldatei durchgeführt (das heißt, es erfolgt nur ein Anhängen).
  • Wie in 19 dargestellt, bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung eine Anforderung zum Schreiben in eine Protokolldatei ist oder nicht (S1301). Wenn die Zugriffsanforderung keine Anforderung zum Schreiben in eine Protokolldatei ist (NEIN in S1301), endet der Prozess des Ablaufdiagramms von 19.
  • Wenn andererseits die Zugriffsanforderung eine Anforderung zum Schreiben in eine Protokolldatei ist (JA in S1301), so erhält der Sektorgruppen-Zugriffsbestimmer 26 die letzte Sektornummer aus den Sektorgruppen-Zugriffsinformationen 32 (S1302). Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob der Schreibzielsektor der letzte Sektor ist oder nicht (S1303).
  • Wenn der Schreibzielsektor der letzte Sektor ist (JA in S1303), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass das Verhalten ein Verhalten ist, das durch die N-te Verhaltensregel zugelassen ist (S1304). Danach endet der Prozess des Ablaufdiagramms von 19.
  • Wenn andererseits der Schreibzielsektor nicht der letzte Sektor ist (NEIN in S1303), bestimmt der Sektorgruppen-Zugriffsbestimmer 26, dass die Zugriffsanforderung anomal ist (S1305). Danach endet der Prozess des Ablaufdiagramms von 19.
  • Auf diese Weise bestimmt der Sektorgruppen-Zugriffsbestimmer 26, ob die Zugriffsanforderung anomal ist oder nicht, indem er den Inhalt des Zugriffs auf eine Sektorgruppe berücksichtigt, auf die ein Schreibvorgang zugelassen ist. Wenn also ein Angreifer versucht, böswillig einen Schreibvorgang in einen anderen als den letzten Sektor einer Protokolldatei durchzuführen, um einen mittleren Teil des Protokolls zu manipulieren, in dem eine Spur des Angriffs hinterlassen wurde, um die Spur zu löschen, kann der Sektorgruppen-Zugriffsbestimmer 26 den Versuch als eine anomale Zugriffsanforderung erkennen. [3. Wirkung]
  • Gemäß dieser Ausführungsform wird die Authentizität einer Zugriffsanforderung des Gast-OS 8 dadurch festgestellt, dass das Host-OS 10 die Zugriffsanforderung abfängt und die abgefangene Zugriffsanforderung analysiert. Daher kann, selbst wenn die Zugriffskontrollfunktion 16 des Gast-OS 8 deaktiviert oder beispielsweise durch ein böswilliges Computerprogramm manipuliert wurde, die vom Host-OS 10 abgefangene Zugriffsanforderung als Information zum Überwachen jeglicher Anomalie im Gast-OS 8 verwendet werden, und die Authentizität der Zugriffsanforderung des Gast-OS 8 kann genau bestimmt werden.
  • (ANDERE AUSFÜHRUNGSFORMEN)
  • Obwohl die Informationsverarbeitungsvorrichtung und das Bestimmungsverfahren gemäß einem oder mehreren Aspekten der vorliegenden Offenbarung basierend auf einer Ausführungsform beschrieben wurden, ist die vorliegende Offenbarung nicht auf diese Ausführungsform beschränkt. Der Fachmann wird ohne Weiteres erkennen, dass Ausführungsformen, die durch Vornehmen verschiedener Modifikationen an der obigen Ausführungsform erreicht werden, oder Ausführungsformen, die durch wahlweises Kombinieren von in der obigen Ausführungsform offenbarten Elementen erreicht werden, ohne wesentlich vom Schutzumfang der vorliegenden Offenbarung abzuweichen, in einem oder mehreren Aspekten der vorliegenden Offenbarung umfasst sein können.
  • Jedes der Elemente in jeder der obigen Ausführungsformen kann in Form eines exklusiven Hardware-Produkts konfiguriert sein oder kann durch Ausführen eines für das Element geeigneten Software-Programms realisiert werden. Jedes der Elemente kann mittels einer Programmausführungseinheit, wie einer zentralen Verarbeitungseinheit (CPU) oder einem Prozessor, realisiert werden, die das auf einem Aufzeichnungsmedium, wie einer Festplatte oder einem Halbleiter, aufgezeichnete Softwareprogramm liest und ausführt.
  • In der obigen Ausführungsform wird der Hypervisor (Typ 1) als Virtualisierungssteuersystem verwendet. Das Virtualisierungssteuersystem ist jedoch nicht darauf beschränkt, und eine Anwendung (Typ 2), die einen Hypervisor umfasst, der auf einem bestimmten Betriebssystem betrieben wird, kann übernommen werden.
  • Es sollte ferner beachtet werden, dass ein Teil oder alle der Funktionen in der Informationsverarbeitungsvorrichtung durch Ausführen eines Programms durch einen Prozessor, wie etwa eine zentrale Verarbeitungseinheit (CPU), implementiert werden können.
  • Es sollte ferner beachtet werden, dass ein Teil oder alle Bestandteile, die in jeder oben beschriebenen Vorrichtung enthalten sind, in eine Integrierter-Schaltkreis-Karte (IC-Karte) oder ein einzelnes Modul implementiert werden können, die/das an der Vorrichtung angebracht und von ihr entfernt werden kann. Die IC-Karte oder das Modul ist ein Computersystem mit einem Mikroprozessor, einem ROM, einem RAM und dergleichen. Die IC-Karte oder das Modul kann die oben beschriebene Super-Multifunktions-LSI enthalten. Der Mikroprozessor arbeitet gemäß dem Computerprogramm, um zu bewirken, dass die IC-Karte oder das Modul ihre bzw. seine Funktionen ausführen. Die IC-Karte oder das Modul kann manipulationssicher sein.
  • Die vorliegenden Offenbarung kann das oben beschriebene Verfahren sein. Das Verfahren kann ein Computerprogramm sein, das von einem Computer ausgeführt wird, oder digitale Signale, die das Computerprogramm bilden. Die vorliegende Offenbarung kann ein computerlesbares Aufzeichnungsmedium sein, auf dem das Computerprogramm oder die digitalen Signale aufgezeichnet sind. Beispiele für das computerlesbare Aufzeichnungsmedium sind eine flexible Platte, eine Festplatte, ein Compact Disc-Read Only Memory (CD-ROM), eine magnetooptische Platte (MO), eine Digital Versatile Disc (DVD), ein DVD-ROM, ein DVD-RAM, eine BD (Bluray® Disc) und ein Halbleiterspeicher. Die vorliegenden Offenbarung kann die auf dem Aufzeichnungsmedium aufgezeichneten digitalen Signale sein. Die vorliegende Offenbarung kann durch Senden des Computerprogramms oder der digitalen Signale über eine elektrische Kommunikationsleitung, eine drahtgebundene oder drahtlose Kommunikationsleitung, ein durch das Internet repräsentiertes Netzwerk, Datenübertragung und dergleichen implementiert werden. Die vorliegenden Offenbarung kann ein Computersystem mit einem Mikroprozessor und einem Arbeitsspeicher sein. Der Arbeitsspeicher speichert das Computerprogramm, und der Mikroprozessor arbeitet gemäß dem Computerprogramm. Es ist auch möglich, dass das Programm oder die digitalen Signale auf dem zu übertragenden Aufzeichnungsmedium aufgezeichnet werden oder über ein Netzwerk oder dergleichen gesendet werden, so dass das Programm oder die digitalen Signale von einem anderen unabhängigen Computersystem ausgeführt werden können.
  • [Gewerbliche Anwendbarkeit]
  • Die Informationsverarbeitungsvorrichtung gemäß der vorliegenden Offenbarung kann beispielsweise in einer vertikalen ECU oder dergleichen eingesetzt werden, die eine Funktion zum Erkennen einer Anomalie in einer Kommunikation zwischen VMs hat.
  • Bezugszeichenliste
    • 2
    Informationsverarbeitungsvorrichtung
    4
    Hardware
    6
    Virtualisierungssteuersystem
    8
    Gast-OS
    10
    Host-OS
    11
    Netzwerkvorrichtung
    12
    Externe Speichervorrichtung
    13
    Bildschirmdarstellungsvorrichtung
    14
    Prozess
    16
    Zugriffskontrollfunktion
    18
    Front-End-Vorrichtungstreiber
    20
    Back-End-Vorrichtungstreiber
    22
    Speicher
    24
    Zugriffsprotokoll-Analysator
    26
    Sektorgruppen-Zugriffsbestimmer
    28
    Steuerungshandler
    30
    Sektorgruppen-Datenbank
    32
    Sektorgruppen-Zugriffsinformationen
    34
    Sektorgruppen-Zugriffsregeldatenbank
    36
    Vorrichtungszugriffsprotokoll
    38
    Sektorgruppen-Zugriffsprotokoll
    40
    Externer Server
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 4177957 [0005]

Claims (11)

  1. Informationsverarbeitungsvorrichtung, die einen anomalen Zugriff auf ein Fahrzeug bestimmt, wobei die Informationsverarbeitungsvorrichtung umfasst: ein erstes Betriebssystem; ein zweites Betriebssystem, das als Reaktion auf eine Zugriffsanforderung von dem ersten Betriebssystem auf eine in einer Speichervorrichtung gespeicherte Sektorgruppe zugreift; und ein Virtualisierungssteuersystem, das auf einem Prozessor ausgeführt wird und die Ausführung des ersten Betriebssystems und des zweiten Betriebssystems steuert, wobei das zweite Betriebssystem umfasst: einen Abrufer, der die Zugriffsanforderung von dem ersten Betriebssystem erhält; und einen Bestimmer, der basierend auf Regelinformationen, die eine Regel für den Zugriff auf die in der Speichervorrichtung gespeicherte Sektorgruppe angeben, bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  2. Informationsverarbeitungsvorrichtung nach Anspruch 1, wobei das zweite Betriebssystem ferner umfasst: einen Analysator, der aus der Zugriffsanforderung, die (i) eine Sektornummer und (ii) einen Sektorgruppennamen der Sektorgruppe, die in einem der Sektornummer entsprechenden Speicherbereich in der Speichervorrichtung gespeichert ist, umfasst, Zugriffsprotokollinformationen erzeugt, die unter Bezugnahme auf Entsprechungsinformationen, die eine Entsprechung zwischen der Sektornummer und dem Sektorgruppennamen anzeigen, die Sektornummer und den Sektorgruppennamen in Zuordnung zueinander anzeigen, und der Bestimmer basierend auf den Regelinformationen und den Zugriffsprotokollinformationen bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  3. Informationsverarbeitungsvorrichtung nach Anspruch 1 oder 2, wobei das zweite Betriebssystem ferner umfasst: einen Handler, der nach außen eine Benachrichtigung sendet, die ein Ergebnis der von dem Bestimmer vorgenommenen Bestimmung anzeigt, wenn der Bestimmer bestimmt, dass die Zugriffsanforderung anomal ist.
  4. Informationsverarbeitungsvorrichtung nach Anspruch 3, wobei wenn der Bestimmer bestimmt, dass die Zugriffsanforderung anomal ist, der Handler die Benachrichtigung nach außen sendet und einen Zugriff auf die in der Speichervorrichtung gespeicherte Sektorgruppe stoppt.
  5. Informationsverarbeitungsvorrichtung nach einem der Ansprüche 1 bis 4, wobei die Regelinformationen als die Regel mindestens entweder einen Prozess oder einen Betriebsvorgang umfassen, bei dem ein Zugriff auf die in der Speichervorrichtung gespeicherte Sektorgruppe zugelassen ist.
  6. Informationsverarbeitungsvorrichtung nach Anspruch 1, wobei der Bestimmer basierend auf den Regelinformationen über die Lese- und Schreibberechtigung zum Lesen und Beschreiben der Sektorgruppe bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  7. Informationsverarbeitungsvorrichtung nach Anspruch 1, wobei das zweite Betriebssystem für eine externe Vorrichtung zugänglich ist, und der Bestimmer basierend auf den Regelinformationen und einem Zustand der externen Vorrichtung bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  8. Informationsverarbeitungsvorrichtung nach Anspruch 1, wobei der Bestimmer basierend auf den Regelinformationen und einem Zustand der Informationsverarbeitungsvorrichtung bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  9. Informationsverarbeitungsvorrichtung nach Anspruch 1, wobei der Bestimmer basierend auf den Regelinformationen und einem Zustand der Sektorgruppe bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  10. Informationsverarbeitungsvorrichtung nach Anspruch 1, wobei der Bestimmer basierend auf den Regelinformationen und einem Zugriffsinhalt eines Zugriffs auf die Sektorgruppe, in Bezug auf welche ein Schreiben zugelassen ist, bestimmt, ob die Zugriffsanforderung anomal ist oder nicht.
  11. Bestimmungsverfahren zum Bestimmen eines anomalen Zugriffs auf ein Fahrzeug unter Verwendung einer Informationsverarbeitungsvorrichtung, wobei die Informationsverarbeitungsvorrichtung umfasst: ein erstes Betriebssystem; ein zweites Betriebssystem, das als Reaktion auf eine Zugriffsanforderung von dem ersten Betriebssystem auf eine in einer Speichervorrichtung gespeicherte Sektorgruppe zugreift; und ein Virtualisierungssteuersystem, das auf einem Prozessor ausgeführt wird und die Ausführung des ersten Betriebssystems und des zweiten Betriebssystems steuert, wobei das Bestimmungsverfahren umfasst: Erhalten, durch das zweite Betriebssystem, der Zugriffsanforderung von dem ersten Betriebssystem; Bestimmen, basierend auf Regelinformationen, die eine Regel für das Zugreifen auf die in der Speichervorrichtung gespeicherte Sektorgruppe angeben, ob die beim Erhalten erhaltene Zugriffsanforderung anomal ist oder nicht; und Ausgeben eines Ergebnisses der Bestimmung nach außen, wenn die Zugriffsanforderung als anomal bestimmt wird.
DE102022131633.5A 2021-12-08 2022-11-29 Informationsverarbeitungsvorrichtung und bestimmungsverfahren Pending DE102022131633A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2021-198989 2021-12-08
JP2021198989 2021-12-08

Publications (1)

Publication Number Publication Date
DE102022131633A1 true DE102022131633A1 (de) 2023-06-15

Family

ID=86498699

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022131633.5A Pending DE102022131633A1 (de) 2021-12-08 2022-11-29 Informationsverarbeitungsvorrichtung und bestimmungsverfahren

Country Status (3)

Country Link
US (1) US20230177140A1 (de)
JP (1) JP2023085210A (de)
DE (1) DE102022131633A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4177957B2 (ja) 2000-03-22 2008-11-05 日立オムロンターミナルソリューションズ株式会社 アクセス制御システム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4177957B2 (ja) 2000-03-22 2008-11-05 日立オムロンターミナルソリューションズ株式会社 アクセス制御システム

Also Published As

Publication number Publication date
US20230177140A1 (en) 2023-06-08
JP2023085210A (ja) 2023-06-20

Similar Documents

Publication Publication Date Title
DE69815599T2 (de) Verfahren und Vorrichtung zum Schutz von Anwendungsdaten in sicheren Speicherbereichen
DE69724862T2 (de) Verfahren und Anordnung für die Zugangs- und Informationsverfälschungskontrolle in Rechnersystemen
DE10393456B4 (de) Verkapselung einer TCPA-vertrauenswürdigen Plattformmodulfunktionalität innerhalb eines Server-Management-Coprozessor-Subsystems
DE102012210887B4 (de) Verfahren zum Einrichten einer sicher verwalteten Ausführungsumgebung für eine virtuelle Maschine und eine Computervorrichtung
DE112016006003T5 (de) Vertrauenswürdiger Start sicherer Enklaven in virtuellen Umgebungen
DE102011082184A1 (de) Sicherheitsschutz für Speicherinhalt von Prozessorhauptspeicher
DE112015003751T5 (de) Beschränkung von systemaufrufen mithilfe eines geschützten speichers
DE112018000525T5 (de) Systeme und Verfahren für die Authentifizierung von Platform Trust bzw. Plattform-Vertrauen in einerNetzwerkfunktions-Virtualisierungsumgebung
DE112009004762T5 (de) System und verfahren zum durchführen einer verwaltunosoperation
DE112006001744T5 (de) Manipulationsschutz, um Installation von Betriebssystemen und anderer Software zu beschränken
DE102015209108A1 (de) Verfahren und Entscheidungsgateway zum Autorisieren einer Funktion eines eingebetteten Steuergerätes
DE112018002954T5 (de) Bereitstellen eines konfigurationsabhängigen arbeitsablaufs
WO2013102564A1 (de) Rechnersystem zum aktualisieren von programmen und daten in unterschiedlichen speicherbereichen mit oder ohne schreibberechtigungen
DE112020005373T5 (de) Mechanismus zur authentifizierung durch nutzung von positionsbestätigung
DE112020003351T5 (de) Automatisches Erkennen von Ransomware mit einer Sperrung des Dateisystems auf Abruf und einer automatischen Reparaturfunktion
DE112011103580T5 (de) Verfahren, sichere Einheit, System und Computerprogrammprodukt für das sichere Verwalten des Benutzerzugriffs auf ein Dateisystem
DE102012101162B4 (de) Clusterspeichersystem, Verfahren zum sicheren Löschen von Daten und Computerprogrammprodukt
DE112022003368T5 (de) Verschlüsselungsüberwachungsregister und -system
DE112022000906T5 (de) Trennen von blockchain-daten
DE102021107211A1 (de) Speichermodul-Authentifizierungserweiterung
DE102014214041A1 (de) Informationsverarbeitungsgerät, Informationsverarbeitungsverfahren, Programm, Speichermedium und Informationsverarbeitungssystem
DE102022131633A1 (de) Informationsverarbeitungsvorrichtung und bestimmungsverfahren
DE112020003890T5 (de) Ereignisprotokoll-fälschungssicherheit
DE102022100458A1 (de) Bordeigene informationsverarbeitungsvorrichtung, informationsverarbeitungsverfahren und computerlesbares speichermedium
DE102021126883A1 (de) Fehleranzeigen für speichersystembefehle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: PANASONIC AUTOMOTIVE SYSTEMS CO., LTD., YOKOHA, JP

Free format text: FORMER OWNER: PANASONIC INTELLECTUAL PROPERTY MANAGEMENT CO., LTD., OSAKA, JP