JP2001142764A - ログ・ファイル保護システム - Google Patents
ログ・ファイル保護システムInfo
- Publication number
- JP2001142764A JP2001142764A JP32263099A JP32263099A JP2001142764A JP 2001142764 A JP2001142764 A JP 2001142764A JP 32263099 A JP32263099 A JP 32263099A JP 32263099 A JP32263099 A JP 32263099A JP 2001142764 A JP2001142764 A JP 2001142764A
- Authority
- JP
- Japan
- Prior art keywords
- log
- log file
- information
- log information
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2123—Dummy operation
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
(57)【要約】
【課題】 計算機のログ情報の改ざん/削除を困難にす
ることでログ情報を保護する。 【解決手段】 ログ情報受け付け処理として、本来のア
プリケーション処理210から出力されたログ情報を受
け取り、逃げログ処理230内の内部キャッシュ232
に保存する。そして隠蔽ディレクトリ情報収集処理とし
て、ファイルシステム300内を走査し、隠蔽可能なデ
ィレクトリ情報を収集する。この情報は隠蔽可能ディレ
クトリリスト233であり、変数としてログ処理230
内に保持され、逃げログ処理における全てのログファイ
ル生成および移動時に使用される。改ざん検知/ログ情
報書き込み処理は、ログファイルの改ざん検知、改ざん
検知時の自動復元処理、定期的な再隠蔽を行っている。
ることでログ情報を保護する。 【解決手段】 ログ情報受け付け処理として、本来のア
プリケーション処理210から出力されたログ情報を受
け取り、逃げログ処理230内の内部キャッシュ232
に保存する。そして隠蔽ディレクトリ情報収集処理とし
て、ファイルシステム300内を走査し、隠蔽可能なデ
ィレクトリ情報を収集する。この情報は隠蔽可能ディレ
クトリリスト233であり、変数としてログ処理230
内に保持され、逃げログ処理における全てのログファイ
ル生成および移動時に使用される。改ざん検知/ログ情
報書き込み処理は、ログファイルの改ざん検知、改ざん
検知時の自動復元処理、定期的な再隠蔽を行っている。
Description
【0001】
【発明の属する技術分野】本発明は、計算機のシステム
運用に関し、特にサーバー計算機のログ情報を、不正侵
入者により削除/改ざんされないよう、ログ・ファイル
を保護するものである。
運用に関し、特にサーバー計算機のログ情報を、不正侵
入者により削除/改ざんされないよう、ログ・ファイル
を保護するものである。
【0002】
【技術的背景】不正侵入検知は、ログ情報の収集とログ
情報の分析の二大要素により成立する。つまり、ログ情
報なしに不正侵入を検知することは不可能であるといえ
る。一方で不正侵入者側の視点から考えると、不正侵入
が発覚しないようにするためにはログ情報に記録される
不正侵入の痕跡情報を削除することが必要不可欠とな
り、これを行うためのツールも存在する。また国内では
不正侵入に対するログ情報の保存義務の立法化に対して
様々な議論が行われたのは記憶に新しい。このようにロ
グ情報が不正侵入検知にとって必要不可欠な情報である
ことは明確であり、これらの観点からも、不正侵入者に
よる改ざんや削除からログ情報を保護する必要がある。
情報の分析の二大要素により成立する。つまり、ログ情
報なしに不正侵入を検知することは不可能であるといえ
る。一方で不正侵入者側の視点から考えると、不正侵入
が発覚しないようにするためにはログ情報に記録される
不正侵入の痕跡情報を削除することが必要不可欠とな
り、これを行うためのツールも存在する。また国内では
不正侵入に対するログ情報の保存義務の立法化に対して
様々な議論が行われたのは記憶に新しい。このようにロ
グ情報が不正侵入検知にとって必要不可欠な情報である
ことは明確であり、これらの観点からも、不正侵入者に
よる改ざんや削除からログ情報を保護する必要がある。
【0003】これに対し、ログ情報を保護するシステム
は存在する(例えば、Bruce Schneier, John Kelsey: C
ryptographic Support for Secure Logs on Untrusted
Machines, The Seventh USENIX Security Symposium Pr
oceedings, USENIX Press, pp. 53-62, 1998,Core SDI
S.A.: secure syslog, http://www.core-sdi.com/Core
-SDI/english/slogging/ssyslog.html等参照)。これら
の保護システムは、主としてログ情報の改ざんを困難に
することに焦点がおかれている。これ自身は非常に重要
な機能である。しかし、ひとたびログ情報が改ざん/削
除された場合、ログ情報の一部は失われてしまい、それ
を復元することは不可能である。通常のファイルに関し
ては、バックアップや原本のメディアから復元すればよ
いが、ログ情報は随時更新されるため、ある時刻におけ
るバックアップが存在したとしても、その後に新たなロ
グに情報が追加されている可能性があり、単純にバック
アップから復元するだけでは不十分であることは明確で
ある。
は存在する(例えば、Bruce Schneier, John Kelsey: C
ryptographic Support for Secure Logs on Untrusted
Machines, The Seventh USENIX Security Symposium Pr
oceedings, USENIX Press, pp. 53-62, 1998,Core SDI
S.A.: secure syslog, http://www.core-sdi.com/Core
-SDI/english/slogging/ssyslog.html等参照)。これら
の保護システムは、主としてログ情報の改ざんを困難に
することに焦点がおかれている。これ自身は非常に重要
な機能である。しかし、ひとたびログ情報が改ざん/削
除された場合、ログ情報の一部は失われてしまい、それ
を復元することは不可能である。通常のファイルに関し
ては、バックアップや原本のメディアから復元すればよ
いが、ログ情報は随時更新されるため、ある時刻におけ
るバックアップが存在したとしても、その後に新たなロ
グに情報が追加されている可能性があり、単純にバック
アップから復元するだけでは不十分であることは明確で
ある。
【0004】ログ情報の改ざん/削除に対する対策とし
てよく知られている方法には、以下の二つが挙げられ
る。 ・Write-Onceのメディア(一度しか書きこみが行えない
記録媒体)にログ情報を保存する ・ネットワークを通じて、安全であるとされる計算機に
ログ情報を移送する しかし、これらの方法にも問題がある。Write-Onceのメ
ディアに保存するには何らかの契機が必要であり、その
契機が適切でなければログ情報が欠落してしまう可能性
がある。指定した日時、曜日に特定のプログラムを起動
するUNIXのデーモンであるcron等の使用による
定期的なバックアップでは、ログ情報が欠落する可能性
があるのは明確である。また安全であると想定される計
算機にネットワークを通じてログ情報を移送する方法
も、通信を行うという点でさまざまな問題をかかえるこ
とになる。
てよく知られている方法には、以下の二つが挙げられ
る。 ・Write-Onceのメディア(一度しか書きこみが行えない
記録媒体)にログ情報を保存する ・ネットワークを通じて、安全であるとされる計算機に
ログ情報を移送する しかし、これらの方法にも問題がある。Write-Onceのメ
ディアに保存するには何らかの契機が必要であり、その
契機が適切でなければログ情報が欠落してしまう可能性
がある。指定した日時、曜日に特定のプログラムを起動
するUNIXのデーモンであるcron等の使用による
定期的なバックアップでは、ログ情報が欠落する可能性
があるのは明確である。また安全であると想定される計
算機にネットワークを通じてログ情報を移送する方法
も、通信を行うという点でさまざまな問題をかかえるこ
とになる。
【0005】
【発明が解決しようとする課題】上記のように計算機の
システムの運用にログの保護は不可欠である。本発明の
目的は、サーバ計算機のログ情報の改ざん/削除を困難
にすることでログ情報を保護することである。
システムの運用にログの保護は不可欠である。本発明の
目的は、サーバ計算機のログ情報の改ざん/削除を困難
にすることでログ情報を保護することである。
【0006】
【課題を解決するための手段】上記目的を達成するた
め、本発明は、コンピュータ・システムの動作を記録し
たログ・ファイル保護システムであって、前記コンピュ
ータ・システムの動作を記録する同一のログ・ファイル
を複数作成するログ・ファイル作成手段と、前記ログ・
ファイルの改ざん又は削除を定期的に監視する改ざん検
知手段と、前記改ざん検知手段で改ざん又は削除された
ログ・ファイルを検出したとき、他のログ・ファイルか
ら改ざん又は削除されたログ・ファイルを復元する復元
手段とを備えていることを特徴とする。これにより、ロ
グ・ファイルが改ざん・削除されても、複数の同一のロ
グ・ファイルから復元することにより、ログファイルを
保護することができる。ログ・ファイル作成手段とし
て、同一の情報を用いて並列に、複数のログ・ファイル
を作成する様に構成することができる。これにより、リ
アルタイムで、複数のログ・ファイルを作成することが
できる。
め、本発明は、コンピュータ・システムの動作を記録し
たログ・ファイル保護システムであって、前記コンピュ
ータ・システムの動作を記録する同一のログ・ファイル
を複数作成するログ・ファイル作成手段と、前記ログ・
ファイルの改ざん又は削除を定期的に監視する改ざん検
知手段と、前記改ざん検知手段で改ざん又は削除された
ログ・ファイルを検出したとき、他のログ・ファイルか
ら改ざん又は削除されたログ・ファイルを復元する復元
手段とを備えていることを特徴とする。これにより、ロ
グ・ファイルが改ざん・削除されても、複数の同一のロ
グ・ファイルから復元することにより、ログファイルを
保護することができる。ログ・ファイル作成手段とし
て、同一の情報を用いて並列に、複数のログ・ファイル
を作成する様に構成することができる。これにより、リ
アルタイムで、複数のログ・ファイルを作成することが
できる。
【0007】さらに、1つのログ・ファイルを除いた他
のログ・ファイルを隠蔽する隠蔽手段を備えることがで
き、その隠蔽手段は、定期的に、前記隠蔽されたログ・
ファイルを異なる場所に再隠蔽し、不正侵入者が不正侵
入の痕跡を残さないようにログ・ファイルを削除又は改
ざんしようとしても、ログ・ファイルがどこに存在する
のかわかりにくくしている。また、この隠蔽手段は、前
記改ざん検知手段で改ざん又は削除を検出したとき、前
記隠蔽されたログ・ファイルを異なる場所に再隠蔽し、
再びそのログ・ファイルを削除又は改ざんできないよう
にしている。
のログ・ファイルを隠蔽する隠蔽手段を備えることがで
き、その隠蔽手段は、定期的に、前記隠蔽されたログ・
ファイルを異なる場所に再隠蔽し、不正侵入者が不正侵
入の痕跡を残さないようにログ・ファイルを削除又は改
ざんしようとしても、ログ・ファイルがどこに存在する
のかわかりにくくしている。また、この隠蔽手段は、前
記改ざん検知手段で改ざん又は削除を検出したとき、前
記隠蔽されたログ・ファイルを異なる場所に再隠蔽し、
再びそのログ・ファイルを削除又は改ざんできないよう
にしている。
【0008】前述の改ざん検知手段で改ざん又は削除さ
れたログ・ファイルを検出したとき、付加的な処理を行
う手段を備えているので、前記ログ・ファイルのいずれ
かが改ざん又は削除を検知したときに、付加的な処理を
自動的に行うことが可能である。たとえば、この付加的
な処理として、改ざんの検知を契機としてシステム管理
者への通報や現在の全ログ情報を紙へ印刷する等の処理
がある。
れたログ・ファイルを検出したとき、付加的な処理を行
う手段を備えているので、前記ログ・ファイルのいずれ
かが改ざん又は削除を検知したときに、付加的な処理を
自動的に行うことが可能である。たとえば、この付加的
な処理として、改ざんの検知を契機としてシステム管理
者への通報や現在の全ログ情報を紙へ印刷する等の処理
がある。
【0009】上述のログ・ファイル保護システムをコン
ピュータ・システムに構築させることができるプログラ
ムを記憶した記録媒体も本発明である。
ピュータ・システムに構築させることができるプログラ
ムを記憶した記録媒体も本発明である。
【0010】
【発明の実施の形態】本発明は、ログ情報を原本となる
ログ・ファイルに出力するとともに、バックアップ用の
ログ・ファイルにも同様のログ情報を出力することで、
内容に差分のないバックアップのログ・ファイルを生成
する。さらに、ログ・ファイルの改ざん/削除に対する
検知機能を持たせ、それらの事象を検知した際には、ロ
グ情報を自動的に復元させる機能を付加したものであ
る。以下、図面を参照しながら具体的に説明をする。
ログ・ファイルに出力するとともに、バックアップ用の
ログ・ファイルにも同様のログ情報を出力することで、
内容に差分のないバックアップのログ・ファイルを生成
する。さらに、ログ・ファイルの改ざん/削除に対する
検知機能を持たせ、それらの事象を検知した際には、ロ
グ情報を自動的に復元させる機能を付加したものであ
る。以下、図面を参照しながら具体的に説明をする。
【0011】図1は、従来のログ出力と実施形態による
ログ出力の比較を示した図である。図1(a)は従来の
ログ出力方法であり、実行アプリケーション100とそ
のログ情報110、そしてログ・ファイル120があ
る。アプリケーション100が実行されると、ログ情報
110が発生し、ログ・ファイル120に追記される。
図1(b)は本発明を利用したログの出力方法であり、
実行アプリケーション200の中に従来のアプリケーシ
ョンの処理210、ログ情報220の出力、そして本発
明の逃げログ処理230を含めている。この逃げログ処
理230による、ログ・ファイルのバックアップ生成処
理240によって、実行アプリケーション200起動時
に原本のログ・ファイル120以外に、任意の複数のバ
ックアップ用ログ・ファイル250を作成する。その
後、システムから出力されるログ情報は、原本およびバ
ックアップの全ログ・ファイルにほぼ同時に記録され
る。つまり、リアルタイムでログ情報のバックアップが
生成される。
ログ出力の比較を示した図である。図1(a)は従来の
ログ出力方法であり、実行アプリケーション100とそ
のログ情報110、そしてログ・ファイル120があ
る。アプリケーション100が実行されると、ログ情報
110が発生し、ログ・ファイル120に追記される。
図1(b)は本発明を利用したログの出力方法であり、
実行アプリケーション200の中に従来のアプリケーシ
ョンの処理210、ログ情報220の出力、そして本発
明の逃げログ処理230を含めている。この逃げログ処
理230による、ログ・ファイルのバックアップ生成処
理240によって、実行アプリケーション200起動時
に原本のログ・ファイル120以外に、任意の複数のバ
ックアップ用ログ・ファイル250を作成する。その
後、システムから出力されるログ情報は、原本およびバ
ックアップの全ログ・ファイルにほぼ同時に記録され
る。つまり、リアルタイムでログ情報のバックアップが
生成される。
【0012】図2はログ・ファイルの改ざん検知を示し
た図である。アプリケーション200の実行中、アプリ
ケーション処理210を行うと同時に、逃げログ処理2
30を行っている。ログ情報の改ざんを検知するため
に、この逃げログ処理230によるログ・ファイルの改
ざんに対する常時監視処理260で、原本のログ・ファ
イル120だけでなく、バックアップのログ・ファイル
250も含めた全てのログ・ファイルを定期的に監視す
る。これによって、システム管理者はログ情報の改ざん
や削除をほぼリアルタイムで認識することが可能にな
る。
た図である。アプリケーション200の実行中、アプリ
ケーション処理210を行うと同時に、逃げログ処理2
30を行っている。ログ情報の改ざんを検知するため
に、この逃げログ処理230によるログ・ファイルの改
ざんに対する常時監視処理260で、原本のログ・ファ
イル120だけでなく、バックアップのログ・ファイル
250も含めた全てのログ・ファイルを定期的に監視す
る。これによって、システム管理者はログ情報の改ざん
や削除をほぼリアルタイムで認識することが可能にな
る。
【0013】図3は改ざんされたログ情報の自動復元を
示した図である。アプリケーション200の実行中にア
プリケーション処理210を行うと同時に、逃げログ処
理230を行っている。この逃げログ処理230が原本
のログ・ファイル120の改ざんを検知した場合には、
改ざんされたログ情報の自動復元処理270を行い、直
ちにバックアップ用のログ・ファイル250からログ情
報を復元する。しかし、このままではバックアップも含
めた全てのログ・ファイルを改ざんまたは削除すること
で不正侵入の痕跡が削除可能である。そこで本発明で
は、原本のログ・ファイルはその所在が既知でよいとす
る一方で、全てのバックアップ用ログ・ファイルは、フ
ァイル・システム内に隠蔽する。これによってバックア
ップ用ログ・ファイルの所在がわからなくなり、結果と
して不正侵入者は、ログ情報を改ざんすることによって
不正侵入の痕跡情報を削除することが不可能になる。ま
た、ログ・ファイルの改ざんに対する監視を定期的に行
うため、リアルタイムでログ・ファイルに対する改ざん
/削除を認識することが可能になる。これにより、シス
テム管理者は不正を認識し、さらなる調査を行うための
契機を得ることが可能になる。
示した図である。アプリケーション200の実行中にア
プリケーション処理210を行うと同時に、逃げログ処
理230を行っている。この逃げログ処理230が原本
のログ・ファイル120の改ざんを検知した場合には、
改ざんされたログ情報の自動復元処理270を行い、直
ちにバックアップ用のログ・ファイル250からログ情
報を復元する。しかし、このままではバックアップも含
めた全てのログ・ファイルを改ざんまたは削除すること
で不正侵入の痕跡が削除可能である。そこで本発明で
は、原本のログ・ファイルはその所在が既知でよいとす
る一方で、全てのバックアップ用ログ・ファイルは、フ
ァイル・システム内に隠蔽する。これによってバックア
ップ用ログ・ファイルの所在がわからなくなり、結果と
して不正侵入者は、ログ情報を改ざんすることによって
不正侵入の痕跡情報を削除することが不可能になる。ま
た、ログ・ファイルの改ざんに対する監視を定期的に行
うため、リアルタイムでログ・ファイルに対する改ざん
/削除を認識することが可能になる。これにより、シス
テム管理者は不正を認識し、さらなる調査を行うための
契機を得ることが可能になる。
【0014】<バックアップ用ログ・ファイルの隠蔽方
法>上述したように、本発明において、バックアップ用
のログ・ファイルを、計算機のファイル・システム内に
隠蔽することもできる。しかしながら、全てのログ・フ
ァイルが同時に削除された場合にはログ情報の復元は不
可能であるので、バックアップ用ログ・ファイルは可能
な限り発見困難であるように隠蔽する必要がある。そこ
で、以下のような方法でバックアップ用ログ・ファイル
を隠蔽する。 (1)任意のディレクトリに隠蔽 書き込み可能なディレクトリのうち、任意のディレクト
リにログ・ファイルを作成する。 (2)任意のファイル名で隠蔽 バックアップ用ログ・ファイルのファイル名は任意とす
る。 (3)任意の数のバックアップ用ログ・ファイルを作成 バックアップ用ファイルの数は任意とする。 (4)定期的なログ・ファイルの再隠蔽 隠蔽されたログ・ファイルは、半永久的に一つのディレ
クトリに存在するのではなく、定期的にファイル・シス
テム内を移動する。
法>上述したように、本発明において、バックアップ用
のログ・ファイルを、計算機のファイル・システム内に
隠蔽することもできる。しかしながら、全てのログ・フ
ァイルが同時に削除された場合にはログ情報の復元は不
可能であるので、バックアップ用ログ・ファイルは可能
な限り発見困難であるように隠蔽する必要がある。そこ
で、以下のような方法でバックアップ用ログ・ファイル
を隠蔽する。 (1)任意のディレクトリに隠蔽 書き込み可能なディレクトリのうち、任意のディレクト
リにログ・ファイルを作成する。 (2)任意のファイル名で隠蔽 バックアップ用ログ・ファイルのファイル名は任意とす
る。 (3)任意の数のバックアップ用ログ・ファイルを作成 バックアップ用ファイルの数は任意とする。 (4)定期的なログ・ファイルの再隠蔽 隠蔽されたログ・ファイルは、半永久的に一つのディレ
クトリに存在するのではなく、定期的にファイル・シス
テム内を移動する。
【0015】今日、例えばUNIX系OSが稼働してい
るサーバ計算機は、インストール直後の状態でも、表1
のように1000以上のディレクトリが存在する。
るサーバ計算機は、インストール直後の状態でも、表1
のように1000以上のディレクトリが存在する。
【表1】 また、本手法では、一度でもログ情報の改ざんに失敗し
た場合、システム管理者へ通報といった、ログ情報に対
するより安全な保護処理を自動的に実行することが可能
である。これらの特徴から、本発明により実用上十分で
あり、かつ簡単にログ情報の保護が実現可能になる。
た場合、システム管理者へ通報といった、ログ情報に対
するより安全な保護処理を自動的に実行することが可能
である。これらの特徴から、本発明により実用上十分で
あり、かつ簡単にログ情報の保護が実現可能になる。
【0016】<ログ情報の改ざん検知>ログ情報の改ざ
ん検知にはファイルの属性情報を保持しているstat
構造体を使用する。しかしこの情報は比較的簡単に改ざ
んできるため、これだけでは逃げログに改ざんを検知さ
れずにログ情報を改ざんできる可能性がある(Gene H.K
im, Eugene H. Spafford: The Design and Implementat
ion of Tripwire: A File System Integrity Checker P
urdue Technical Report CSD-TR-93-071, Purdue Unive
rsity, 1993)。そこで本発明では、stat構造体に
ログ・ファイルの内容をもとに生成される「指紋情報」
を付与した拡張stat構造体を作成し、これを改ざん
検知情報として用いる。ここでいう「指紋情報」とは、
ログ・ファイルの全内容を入力とし、一方向ハッシュ関
数で生成される情報であり、現在の実装ではMD5 Messag
e-Digest(R.L. Rivest: RFC1321: The MD5 Message Di
gest Algorithm, MIT Laboratory for Computer Scienc
e and RSA Data Security, Inc., 1992)を使用してい
る。これによって時刻情報が改ざんされ、stat構造
体の情報がまったく変化していなくても、ログ情報の改
ざんを検知することが可能になる。
ん検知にはファイルの属性情報を保持しているstat
構造体を使用する。しかしこの情報は比較的簡単に改ざ
んできるため、これだけでは逃げログに改ざんを検知さ
れずにログ情報を改ざんできる可能性がある(Gene H.K
im, Eugene H. Spafford: The Design and Implementat
ion of Tripwire: A File System Integrity Checker P
urdue Technical Report CSD-TR-93-071, Purdue Unive
rsity, 1993)。そこで本発明では、stat構造体に
ログ・ファイルの内容をもとに生成される「指紋情報」
を付与した拡張stat構造体を作成し、これを改ざん
検知情報として用いる。ここでいう「指紋情報」とは、
ログ・ファイルの全内容を入力とし、一方向ハッシュ関
数で生成される情報であり、現在の実装ではMD5 Messag
e-Digest(R.L. Rivest: RFC1321: The MD5 Message Di
gest Algorithm, MIT Laboratory for Computer Scienc
e and RSA Data Security, Inc., 1992)を使用してい
る。これによって時刻情報が改ざんされ、stat構造
体の情報がまったく変化していなくても、ログ情報の改
ざんを検知することが可能になる。
【0017】
【実施例】上述の処理をpthreads(Bradford Nichols,
Dick Buttlar and Jacqueline Proulx Farrell: Pthrea
d Programming A POSIX Standard for Better Multipro
cessing, O'Reilly, 1996)を用いたC++のクラスと
して、UNIX上に実装した例を以下説明する。pthrea
dとは複数のプロセスを並行に実行させるための、ポー
タブルでプラットフォームに依存しないライブラリであ
り、IEEE 1003.1標準によって規定されたアプリケーシ
ョンのためのUNIXシステムのインターフェイスであ
るPOSIX規格で標準化されたものである。図4は、実装
した逃げログ処理を示した図である。実行アプリケーシ
ョン200では、アプリケーション本来の処理210と
逃げログ処理230を行う。逃げログ処理230には、
その逃げログ処理230を行うためのログ情報キャッシ
ュ232、ログ・ファイルを隠蔽するための隠蔽可能デ
ィレクトリ・リスト233、そして原本のログ・ファイ
ル120とバックアップ用ログ・ファイル250があ
る。これら全てのログ・ファイルは、サーバ計算機内の
ファイル・システム300内に保存されている。逃げロ
グ処理はこれらを用いて、上述した逃げログの機能を個
々に並行に実行させる。スレッドが実行する処理は以下
の三種類に分けられる。以下では、この図を参照しなが
ら、逃げログ処理の機能の実装を説明する。
Dick Buttlar and Jacqueline Proulx Farrell: Pthrea
d Programming A POSIX Standard for Better Multipro
cessing, O'Reilly, 1996)を用いたC++のクラスと
して、UNIX上に実装した例を以下説明する。pthrea
dとは複数のプロセスを並行に実行させるための、ポー
タブルでプラットフォームに依存しないライブラリであ
り、IEEE 1003.1標準によって規定されたアプリケーシ
ョンのためのUNIXシステムのインターフェイスであ
るPOSIX規格で標準化されたものである。図4は、実装
した逃げログ処理を示した図である。実行アプリケーシ
ョン200では、アプリケーション本来の処理210と
逃げログ処理230を行う。逃げログ処理230には、
その逃げログ処理230を行うためのログ情報キャッシ
ュ232、ログ・ファイルを隠蔽するための隠蔽可能デ
ィレクトリ・リスト233、そして原本のログ・ファイ
ル120とバックアップ用ログ・ファイル250があ
る。これら全てのログ・ファイルは、サーバ計算機内の
ファイル・システム300内に保存されている。逃げロ
グ処理はこれらを用いて、上述した逃げログの機能を個
々に並行に実行させる。スレッドが実行する処理は以下
の三種類に分けられる。以下では、この図を参照しなが
ら、逃げログ処理の機能の実装を説明する。
【0018】<ログ情報受け付け処理>本処理は、本来
のアプリケーション処理210から出力されたログ情報
を受け取り、逃げログ処理230内の内部キャッシュ2
32に保存する。
のアプリケーション処理210から出力されたログ情報
を受け取り、逃げログ処理230内の内部キャッシュ2
32に保存する。
【0019】<隠蔽ディレクトリ情報収集処理>ファイ
ル・システム300内を走査し、隠蔽可能なディレクト
リ情報を収集する処理である。収集した情報は逃げ隠蔽
可能ディレクトリ・リスト233であり、変数としてロ
グ処理230内に保持され、逃げログ処理における全て
のログ・ファイル生成および移動時に使用される。
ル・システム300内を走査し、隠蔽可能なディレクト
リ情報を収集する処理である。収集した情報は逃げ隠蔽
可能ディレクトリ・リスト233であり、変数としてロ
グ処理230内に保持され、逃げログ処理における全て
のログ・ファイル生成および移動時に使用される。
【0020】<改ざん検知/ログ情報書き込み処理>各
ログ・ファイル毎に一つのスレッドが生成され、処理が
行われる。本処理においてログ・ファイルの改ざん検
知、改ざん検知時の自動復元処理、定期的な再隠蔽を行
っている。
ログ・ファイル毎に一つのスレッドが生成され、処理が
行われる。本処理においてログ・ファイルの改ざん検
知、改ざん検知時の自動復元処理、定期的な再隠蔽を行
っている。
【0021】図5はログ・ファイルに対する処理を示し
た図であり、図4の任意のスレッドCにおける入出力に
関する詳細を示す図である。スレッドCでは、大きく分
けて3つの処理である、ログ情報出力処理234、ログ
情報の改ざん検知処理・検知時の処理235、ログ・フ
ァイルの再隠蔽処理237が行われる。また、改ざん情
報の検知に用いるstat拡張構造体236、再隠蔽す
るためのパス情報238がある。また、このスレッドで
処理対象ログ・ファイル252を管理しており、この処
理対象ログ・ファイル252が改ざん等されたときは、
他のスレッドが管理しているログ・ファイル254を用
いてログ情報の復元をする。この図5を用いて以下さら
に説明をする。 (1)ログ情報出力処理 逃げログ処理230内のログ情報受け付け処理により内
部キャッシュ232内に保存されたログ情報は、各スレ
ッドのログ情報出力処理234によって即座に各スレッ
ドの処理対象ログ・ファイル252に記録される。な
お、内部キャッシュ232内のログ情報は、全ログ・フ
ァイルに記録された時点で削除される。 (2)ログ情報の改ざん検知 本処理では、拡張stat構造体236を用いて定期的
に処理対象のログ・ファイル252から拡張stat構
造体情報を取得し、改ざん検知処理235にて前回の処
理において得た拡張stat構造体情報と比較すること
で、処理対象のログ・ファイル252の改ざんを検知す
る。この処理により、最悪でも改ざん検知監視間隔後に
は、改ざんを検知することが可能になる。また、この改
ざん検知を契機として、付加的な処理を自動的に行うこ
とも可能である。 (3)改ざんされたログ情報の自動復元 改ざんされたログ情報の自動復元は、改ざん検知処理2
35において、改ざんが検知されたときに実行される処
理で、改ざんされた処理対象ログ・ファイル252を削
除し、改ざんされていない他のスレッドが管理している
ログ・ファイル254からログ情報を自動的に復元する
処理である。この処理は他のスレッドでも同様に処理が
行われる。バックアップ用のログ・ファイル250と原
本用ログ・ファイル120の処理上の違いは、ログ・フ
ァイルが隠蔽されていて、定期的に再隠蔽されるか否か
の違いである。 (4)ログ・ファイルの再隠蔽 再隠蔽処理237では、改ざん検知とは関係なく、各ス
レッドにおける隠蔽されているバックアップ用ログ・フ
ァイル250を、現在とは異なるディレクトリに定期的
に再隠蔽する。また、この処理により、隠蔽ディレクト
リの変更だけでなく、ログ・ファイル250のファイル
名も変更される。なお、どこかのスレッドの処理対象ロ
グ・ファイル252の改ざんが検知されたときにも強制
的に、各スレッドのバックアップ用ログ・ファイル25
0の再隠蔽処理237が実行される。
た図であり、図4の任意のスレッドCにおける入出力に
関する詳細を示す図である。スレッドCでは、大きく分
けて3つの処理である、ログ情報出力処理234、ログ
情報の改ざん検知処理・検知時の処理235、ログ・フ
ァイルの再隠蔽処理237が行われる。また、改ざん情
報の検知に用いるstat拡張構造体236、再隠蔽す
るためのパス情報238がある。また、このスレッドで
処理対象ログ・ファイル252を管理しており、この処
理対象ログ・ファイル252が改ざん等されたときは、
他のスレッドが管理しているログ・ファイル254を用
いてログ情報の復元をする。この図5を用いて以下さら
に説明をする。 (1)ログ情報出力処理 逃げログ処理230内のログ情報受け付け処理により内
部キャッシュ232内に保存されたログ情報は、各スレ
ッドのログ情報出力処理234によって即座に各スレッ
ドの処理対象ログ・ファイル252に記録される。な
お、内部キャッシュ232内のログ情報は、全ログ・フ
ァイルに記録された時点で削除される。 (2)ログ情報の改ざん検知 本処理では、拡張stat構造体236を用いて定期的
に処理対象のログ・ファイル252から拡張stat構
造体情報を取得し、改ざん検知処理235にて前回の処
理において得た拡張stat構造体情報と比較すること
で、処理対象のログ・ファイル252の改ざんを検知す
る。この処理により、最悪でも改ざん検知監視間隔後に
は、改ざんを検知することが可能になる。また、この改
ざん検知を契機として、付加的な処理を自動的に行うこ
とも可能である。 (3)改ざんされたログ情報の自動復元 改ざんされたログ情報の自動復元は、改ざん検知処理2
35において、改ざんが検知されたときに実行される処
理で、改ざんされた処理対象ログ・ファイル252を削
除し、改ざんされていない他のスレッドが管理している
ログ・ファイル254からログ情報を自動的に復元する
処理である。この処理は他のスレッドでも同様に処理が
行われる。バックアップ用のログ・ファイル250と原
本用ログ・ファイル120の処理上の違いは、ログ・フ
ァイルが隠蔽されていて、定期的に再隠蔽されるか否か
の違いである。 (4)ログ・ファイルの再隠蔽 再隠蔽処理237では、改ざん検知とは関係なく、各ス
レッドにおける隠蔽されているバックアップ用ログ・フ
ァイル250を、現在とは異なるディレクトリに定期的
に再隠蔽する。また、この処理により、隠蔽ディレクト
リの変更だけでなく、ログ・ファイル250のファイル
名も変更される。なお、どこかのスレッドの処理対象ロ
グ・ファイル252の改ざんが検知されたときにも強制
的に、各スレッドのバックアップ用ログ・ファイル25
0の再隠蔽処理237が実行される。
【0022】本発明は、例えばUNIXにおける動作状
況などシステム運用管理に必要な情報を記録するsyslog
に適用することができ、本発明の処理によりsyslogが出
力するログ情報は保護される。種々のコマンドから出力
されるログ情報は、syslogを利用してロギングすること
により、それらの情報は保護可能になる。また、当然サ
ーバ計算機でなくても機能する。しかし、計算機に負荷
がかかること、ログ情報に対する安全性はファイル・シ
ステム内の隠蔽可能なディレクトリ数に依存することな
どの理由により、CPUやファイル・システムの資源が
一般的に豊富であると考えられるサーバ計算機に適して
いるといえる。
況などシステム運用管理に必要な情報を記録するsyslog
に適用することができ、本発明の処理によりsyslogが出
力するログ情報は保護される。種々のコマンドから出力
されるログ情報は、syslogを利用してロギングすること
により、それらの情報は保護可能になる。また、当然サ
ーバ計算機でなくても機能する。しかし、計算機に負荷
がかかること、ログ情報に対する安全性はファイル・シ
ステム内の隠蔽可能なディレクトリ数に依存することな
どの理由により、CPUやファイル・システムの資源が
一般的に豊富であると考えられるサーバ計算機に適して
いるといえる。
【0023】<本発明の利点>本発明における利点は以
下の通りである。 [ログ情報の改ざんを検知可能]本発明のシステムで
は、改ざん検知処理がログ・ファイルを監視しているた
め、ログ情報の改ざんを検知可能である。これにより、
システム管理者は秒単位の間隔でログ・ファイルに対す
る不正行為を知ることが可能になり、不正行為に対する
迅速な対応を行うことが可能になる。またこの事象の発
生を契機として、ログ情報保護のためのいくつかの定型
処理を自動的に処理することも可能である。その一例と
しては、改ざんの検知を契機として現在の全ログ情報を
紙へ印刷するということが考えられる。
下の通りである。 [ログ情報の改ざんを検知可能]本発明のシステムで
は、改ざん検知処理がログ・ファイルを監視しているた
め、ログ情報の改ざんを検知可能である。これにより、
システム管理者は秒単位の間隔でログ・ファイルに対す
る不正行為を知ることが可能になり、不正行為に対する
迅速な対応を行うことが可能になる。またこの事象の発
生を契機として、ログ情報保護のためのいくつかの定型
処理を自動的に処理することも可能である。その一例と
しては、改ざんの検知を契機として現在の全ログ情報を
紙へ印刷するということが考えられる。
【0024】[改ざんされたログ情報を復元可能]本シ
ステムはログ情報を実時間でバックアップしている。こ
のためログ情報が改ざんされた際には、改ざん前のログ
情報に復元することが可能になる。これにより、たとえ
ログ・ファイル自身が、不正侵入者に削除されたとして
も、削除前のログ情報を復元することが可能になる。
ステムはログ情報を実時間でバックアップしている。こ
のためログ情報が改ざんされた際には、改ざん前のログ
情報に復元することが可能になる。これにより、たとえ
ログ・ファイル自身が、不正侵入者に削除されたとして
も、削除前のログ情報を復元することが可能になる。
【0025】[付加的なハードウェアが不要]本手法
は、安全性を保証した計算機やWrite-Onceメディア等の
付加的なハードウェアを必要としない。そのため通信上
の安全性を考慮する必要はなく、またメディアのメンテ
ナンスの手間やそれに対する人的誤りも発生しない。
は、安全性を保証した計算機やWrite-Onceメディア等の
付加的なハードウェアを必要としない。そのため通信上
の安全性を考慮する必要はなく、またメディアのメンテ
ナンスの手間やそれに対する人的誤りも発生しない。
【0026】[任意のアプリケーションに組込み可能]
本システムはC++のクラスとして実装された。これに
よりC、C++で書かれている種々のアプリケーション
に対して容易に組込み可能である。現在の実装におい
て、ログ情報を出力するアプリケーションに対するイン
タフェース関数は、初期化関数と、ログ情報出力関数の
二種類のみである。また、本手法の処理はログ情報の内
容には依存しない。そのため、ログ情報の暗号化や圧縮
等といった追加機能の実現も、アプリケーション側で実
現するか、本クラスを継承したクラスを作成し拡張する
ことで容易に実装可能である。
本システムはC++のクラスとして実装された。これに
よりC、C++で書かれている種々のアプリケーション
に対して容易に組込み可能である。現在の実装におい
て、ログ情報を出力するアプリケーションに対するイン
タフェース関数は、初期化関数と、ログ情報出力関数の
二種類のみである。また、本手法の処理はログ情報の内
容には依存しない。そのため、ログ情報の暗号化や圧縮
等といった追加機能の実現も、アプリケーション側で実
現するか、本クラスを継承したクラスを作成し拡張する
ことで容易に実装可能である。
【0027】[多くのUNIXプラットフォームで動作
可能]上述した実施形態では一部のUNIX系OSでの
み動作確認を行ったが、本システムは、種々のUNIX
系OS等で動作することが可能である。現在の実装にお
ける動作条件は、C++の処理系とStandard Template
library(STL)(D.R. Musser, Atul Saini, Alexan
der Stepanov: STL Tutorial and Reference Guide - C
++ programming with the standard template library,
Addison-Wesley Publishing, 1996)、それにpthread
ライブラリが使用可能であることである。pthreadライ
ブラリはPOSIX標準であり、STLもC++の標準的な
クラスライブラリとなりつつあるので、より多くのUN
IX系OSの計算機で稼働可能である。
可能]上述した実施形態では一部のUNIX系OSでの
み動作確認を行ったが、本システムは、種々のUNIX
系OS等で動作することが可能である。現在の実装にお
ける動作条件は、C++の処理系とStandard Template
library(STL)(D.R. Musser, Atul Saini, Alexan
der Stepanov: STL Tutorial and Reference Guide - C
++ programming with the standard template library,
Addison-Wesley Publishing, 1996)、それにpthread
ライブラリが使用可能であることである。pthreadライ
ブラリはPOSIX標準であり、STLもC++の標準的な
クラスライブラリとなりつつあるので、より多くのUN
IX系OSの計算機で稼働可能である。
【0028】上記の利点から、本手法を用いることで比
較的簡単にログ情報の改ざんや削除を困難にすることが
可能である。不正侵入検知においてログ情報に必要とさ
れる要件の一つとして、不正侵入された際、不正侵入に
より権限取得が成功する以前のログ情報は改ざん不可能
であるということが挙げられる(Bruce Schneier, John
Kelsey: Cryptographic Support for Secure Logs on
Untrusted Machines,The Seventh USENIX Security Sym
posium Proceedings, USENIX Press, pp. 53-62, 199
8)。この条件が満たされてはじめて、不正侵入検知作
業においてログ情報を監視/分析することによる不正侵
入検知が可能になるからである。本手法では、改ざん困
難であること、また、たとえログ情報が削除されたとし
てもその復元が可能であることにより、上記条件を満た
すことが可能になる。
較的簡単にログ情報の改ざんや削除を困難にすることが
可能である。不正侵入検知においてログ情報に必要とさ
れる要件の一つとして、不正侵入された際、不正侵入に
より権限取得が成功する以前のログ情報は改ざん不可能
であるということが挙げられる(Bruce Schneier, John
Kelsey: Cryptographic Support for Secure Logs on
Untrusted Machines,The Seventh USENIX Security Sym
posium Proceedings, USENIX Press, pp. 53-62, 199
8)。この条件が満たされてはじめて、不正侵入検知作
業においてログ情報を監視/分析することによる不正侵
入検知が可能になるからである。本手法では、改ざん困
難であること、また、たとえログ情報が削除されたとし
てもその復元が可能であることにより、上記条件を満た
すことが可能になる。
【0029】<従来のログ情報保護手法との比較>ログ
保護手法に関する関連研究や従来の方法と本発明による
手法との差異について比較する。 [暗号による手法]暗号によるログ情報を保護するシス
テムはいくつか存在する(Bruce Schneier, John Kelse
y: Cryptographic Support for Secure Logs on Untrus
ted Machines, The Seventh USENIX Security Symposiu
m Proceedings, USENIX Press, pp.53-62, 1998, Core
SDI S.A.: secure syslog, http://www.core-sdi.com/
Core-SDI/english/slogging/ssyslog.html)。しかし、
これらのシステムはログ情報の改ざんを困難にするだけ
であり、無差別改ざんやログ情報の削除に関しては保護
不可能である。また、ログ情報の改ざん/削除を検知す
ることによって不正侵入は検知できるので十分という考
えも存在するが、不正侵入が成功した原因やそれによる
影響範囲の調査、犯人の特定を行うための情報が失われ
てしまうため、それは決して望ましいことではない。
保護手法に関する関連研究や従来の方法と本発明による
手法との差異について比較する。 [暗号による手法]暗号によるログ情報を保護するシス
テムはいくつか存在する(Bruce Schneier, John Kelse
y: Cryptographic Support for Secure Logs on Untrus
ted Machines, The Seventh USENIX Security Symposiu
m Proceedings, USENIX Press, pp.53-62, 1998, Core
SDI S.A.: secure syslog, http://www.core-sdi.com/
Core-SDI/english/slogging/ssyslog.html)。しかし、
これらのシステムはログ情報の改ざんを困難にするだけ
であり、無差別改ざんやログ情報の削除に関しては保護
不可能である。また、ログ情報の改ざん/削除を検知す
ることによって不正侵入は検知できるので十分という考
えも存在するが、不正侵入が成功した原因やそれによる
影響範囲の調査、犯人の特定を行うための情報が失われ
てしまうため、それは決して望ましいことではない。
【0030】[Write-Onceメディアへの保存]Write-On
ceメディアを使用したログ情報保護手法は、一度メディ
アに書き込まれた情報は決して改ざん/削除できないと
いう意味で最も安全な手法である。しかしこの手法にも
問題がある。その一つは、どのような契機でログ情報を
メディアに保存するかという問題である。考えられる方
法としては、一定期間内に出力されたログ情報を一括し
て定期的に保存する方法と、ログ情報が出力されるたび
にそれを保存する方法である。前者の方法は、ログ情報
の改ざんとは無関係に保存されるため、ログ情報が改ざ
んされたとしても、改ざんされたログ情報を記録してし
まい、ログ情報を保護できないことは明確である。一方
後者は、ログ情報を完全に保護可能だが、その機能は保
護のみであり、改ざん検知については別の仕組みを導入
しなくてはならない。またどちらの方法においてもメデ
ィアのメンテナンスを行わなければならず、手間がかか
ると同時に人的誤りを誘発する可能性もある。ログ情報
の改ざんを検知したというイベントはWrite-Onceメディ
アへログ情報を保存する契機に反映することに有効であ
るが、通常のログ情報では、なんらかの方法で改ざんを
検知したとしても、そのときにはすでにログ情報が失な
われているため、Write-Onceメディアに保存してもログ
情報は保護不可能である。しかし、本発明を利用するこ
とで改ざんを検知でき、かつ、改ざん後も失われたログ
情報を復元することができるため、Write-Onceメディア
を有効に使用することが可能になる。
ceメディアを使用したログ情報保護手法は、一度メディ
アに書き込まれた情報は決して改ざん/削除できないと
いう意味で最も安全な手法である。しかしこの手法にも
問題がある。その一つは、どのような契機でログ情報を
メディアに保存するかという問題である。考えられる方
法としては、一定期間内に出力されたログ情報を一括し
て定期的に保存する方法と、ログ情報が出力されるたび
にそれを保存する方法である。前者の方法は、ログ情報
の改ざんとは無関係に保存されるため、ログ情報が改ざ
んされたとしても、改ざんされたログ情報を記録してし
まい、ログ情報を保護できないことは明確である。一方
後者は、ログ情報を完全に保護可能だが、その機能は保
護のみであり、改ざん検知については別の仕組みを導入
しなくてはならない。またどちらの方法においてもメデ
ィアのメンテナンスを行わなければならず、手間がかか
ると同時に人的誤りを誘発する可能性もある。ログ情報
の改ざんを検知したというイベントはWrite-Onceメディ
アへログ情報を保存する契機に反映することに有効であ
るが、通常のログ情報では、なんらかの方法で改ざんを
検知したとしても、そのときにはすでにログ情報が失な
われているため、Write-Onceメディアに保存してもログ
情報は保護不可能である。しかし、本発明を利用するこ
とで改ざんを検知でき、かつ、改ざん後も失われたログ
情報を復元することができるため、Write-Onceメディア
を有効に使用することが可能になる。
【0031】[安全性が保証された計算機へのログ情報
の移送]この方法は、生成されたログ情報を安全性の保
証された計算機へ移送することでログ情報を保護する手
法である。しかしこの手法は、ログ生成計算機とログ保
護計算機間の通信の安全性を保証しなければならない。
この安全性を保証する一方法として転送するログ情報を
暗号化する方法がある。しかし通信を不可能にするよう
なDenial-of-Service等の攻撃を受けた場合は、たちま
ちログ情報が欠落してしまう恐れがある。
の移送]この方法は、生成されたログ情報を安全性の保
証された計算機へ移送することでログ情報を保護する手
法である。しかしこの手法は、ログ生成計算機とログ保
護計算機間の通信の安全性を保証しなければならない。
この安全性を保証する一方法として転送するログ情報を
暗号化する方法がある。しかし通信を不可能にするよう
なDenial-of-Service等の攻撃を受けた場合は、たちま
ちログ情報が欠落してしまう恐れがある。
【0032】
【発明の効果】上述した本発明により、ログ情報は保護
され、ログ情報を改ざん/削除することにより不正侵入
者が自身の痕跡を消すことは困難になる。したがって定
期的にログ情報を調査/解析することで、より確実に不
正侵入を検知することが可能になる。
され、ログ情報を改ざん/削除することにより不正侵入
者が自身の痕跡を消すことは困難になる。したがって定
期的にログ情報を調査/解析することで、より確実に不
正侵入を検知することが可能になる。
【図1】ログ・ファイルのバックアップ生成を示した図
である。
である。
【図2】ログ・ファイルの改ざん検知を示した図であ
る。
る。
【図3】改ざんされたログ情報の自動復元を示した図で
ある。
ある。
【図4】逃げログ処理を示した図である。
【図5】ログ・ファイルに対する詳細処理を示した図で
ある。
ある。
100 実行アプリケーション 110 ログ情報 120 原本のログ・ファイル 200 実行アプリケーション 210 アプリケーション処理 220 ログ情報 230 逃げログ処理 232 ログ情報キャッシュ 233 隠蔽可能ディレクトリ・リスト 234 ログ情報出力処理 235 改ざん検知処理 236 拡張stat構造体 237 再隠蔽処理 238 パス情報 240 バックアップ生成処理 250 バックアップ用ログ・ファイル 252 処理対象ログ・ファイル 254 他のスレッドが管理しているログ・
ファイル 260 ログ・ファイルの改ざんに対する常
時監視処理 270 改ざんされたログ情報の自動復元処
理 300 ファイル・システム
ファイル 260 ログ・ファイルの改ざんに対する常
時監視処理 270 改ざんされたログ情報の自動復元処
理 300 ファイル・システム
Claims (7)
- 【請求項1】 コンピュータ・システムの動作を記録し
たログ・ファイル保護システムであって、 前記コンピュータ・システムの動作を記録する同一のロ
グ・ファイルを複数作成するログ・ファイル作成手段
と、 前記ログ・ファイルの改ざん又は削除を定期的に監視す
る改ざん検知手段と、 前記改ざん検知手段で改ざん又は削除されたログ・ファ
イルを検出したとき、他のログ・ファイルから改ざん又
は削除されたログ・ファイルを復元する復元手段とを備
えることを特徴とするログ・ファイル保護システム。 - 【請求項2】 請求項1記載のログ・ファイル保護シス
テムにおいて、 前記ログ・ファイル作成手段は、同一の情報を用いて並
列に、前記複数のバックアップ・ファイルを作成するこ
とを特徴とするログ・ファイル保護システム。 - 【請求項3】 請求項1又は2いずれか記載のログ・フ
ァイル保護システムにおいて、さらに、1つのログ・フ
ァイルを除いた他のログ・ファイルを隠蔽する隠蔽手段
を備えることを特徴とするログ・ファイル保護システ
ム。 - 【請求項4】 請求項3記載のログ・ファイル保護シス
テムにおいて、 前記隠蔽手段は、定期的に、前記隠蔽されたログ・ファ
イルを異なる場所に再隠蔽することを特徴とするログ・
ファイル保護システム。 - 【請求項5】 請求項3又は4記載のログ・ファイル保
護システムにおいて、 前記隠蔽手段は、前記改ざん検知手段で改ざん又は削除
を検出したとき、前記隠蔽されたログ・ファイルを異な
る場所に再隠蔽することを特徴とするログ・ファイル保
護システム。 - 【請求項6】 請求項1〜5いずれか記載のログ・ファ
イル保護システムにおいて、さらに、前記改ざん検知手
段で改ざん又は削除されたログ・ファイルを検出したと
き、付加的な処理を行う手段を備えることを特徴とする
ログ・ファイル保護システム。 - 【請求項7】 請求項1〜6いずれか記載のログ・ファ
イル保護システムをコンピュータ・システムに構築させ
ることができるプログラムを記憶した記録媒体。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP32263099A JP2001142764A (ja) | 1999-11-12 | 1999-11-12 | ログ・ファイル保護システム |
| US09/710,203 US7512979B1 (en) | 1999-11-12 | 2000-11-09 | Log file protection system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP32263099A JP2001142764A (ja) | 1999-11-12 | 1999-11-12 | ログ・ファイル保護システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001142764A true JP2001142764A (ja) | 2001-05-25 |
Family
ID=18145868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP32263099A Pending JP2001142764A (ja) | 1999-11-12 | 1999-11-12 | ログ・ファイル保護システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7512979B1 (ja) |
| JP (1) | JP2001142764A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007058639A (ja) * | 2005-08-25 | 2007-03-08 | Hitachi Electronics Service Co Ltd | 不正アクセス検知システム |
| JP2008123247A (ja) * | 2006-11-13 | 2008-05-29 | Mitsubishi Electric Corp | ログ管理方式及びログ管理方法 |
| JP4510130B1 (ja) * | 2009-11-10 | 2010-07-21 | 東屋株式会社 | 情報記録システム |
| JP2011107833A (ja) * | 2009-11-13 | 2011-06-02 | Ricoh Co Ltd | 情報処理装置、apiプログラム、及びログ環境提供方法 |
| CN102479147A (zh) * | 2010-11-26 | 2012-05-30 | 航天信息股份有限公司 | 一种WinNT操作系统中截获端口数据的方法和系统 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7506379B2 (en) * | 2004-11-04 | 2009-03-17 | International Business Machines Corporation | Method and system for storage-based intrusion detection and recovery |
| US8069486B1 (en) * | 2006-03-27 | 2011-11-29 | Symantec Corporation | Identifying the origin of hard-copy documents |
| US8321667B2 (en) * | 2007-02-28 | 2012-11-27 | Microsoft Corporation | Security model for common multiplexed transactional logs |
| US20080313228A1 (en) * | 2007-06-15 | 2008-12-18 | Rockwell Automation Technologies, Inc. | Controller log and log aggregation |
| US8225105B2 (en) * | 2007-08-13 | 2012-07-17 | International Business Machines Corporation | Method and apparatus for verifying integrity of computer system vital data components |
| US8166067B2 (en) * | 2008-12-26 | 2012-04-24 | Sandisk Il Ltd. | Method and apparatus for providing access to files based on user identity |
| US8943409B2 (en) * | 2008-12-26 | 2015-01-27 | Sandisk Il Ltd. | Storage device managing playable content |
| US20100169395A1 (en) * | 2008-12-26 | 2010-07-01 | Sandisk Il Ltd. | Device and method for filtering a file system |
| US8239395B2 (en) * | 2008-12-26 | 2012-08-07 | Sandisk Il Ltd. | Storage device presenting to hosts only files compatible with a defined host capability |
| US8805925B2 (en) * | 2009-11-20 | 2014-08-12 | Nbrella, Inc. | Method and apparatus for maintaining high data integrity and for providing a secure audit for fraud prevention and detection |
| WO2011119137A1 (en) | 2010-03-22 | 2011-09-29 | Lrdc Systems, Llc | A method of identifying and protecting the integrity of a set of source data |
| US9800455B1 (en) * | 2012-02-08 | 2017-10-24 | Amazon Technologies, Inc. | Log monitoring system |
| US10417190B1 (en) * | 2014-09-25 | 2019-09-17 | Amazon Technologies, Inc. | Log-structured file system for zone block devices with small zones |
| CN109740374B (zh) * | 2018-12-20 | 2023-05-19 | 努比亚技术有限公司 | 一种隐藏方法、移动终端及计算机可读存储介质 |
| US20230259616A1 (en) * | 2022-02-16 | 2023-08-17 | Kyndryl, Inc. | Log tampering prevention for high availability environments |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05504428A (ja) * | 1989-08-01 | 1993-07-08 | シリコン・グラフィックス,インコーポレイテッド | コンピュータオペレーティング及びファイル管理システム用ファイル変更モニタ |
| JP2758311B2 (ja) * | 1992-05-28 | 1998-05-28 | 富士通株式会社 | 複合システムにおけるログファイル制御方式 |
| US5544359A (en) * | 1993-03-30 | 1996-08-06 | Fujitsu Limited | Apparatus and method for classifying and acquiring log data by updating and storing log data |
| US5847972A (en) * | 1993-09-24 | 1998-12-08 | Eick; Stephen Gregory | Method and apparatus for graphically analzying a log-file |
| US5713008A (en) * | 1995-06-08 | 1998-01-27 | Sun Microsystems | Determination of working sets by logging and simulating filesystem operations |
| US5778395A (en) * | 1995-10-23 | 1998-07-07 | Stac, Inc. | System for backing up files from disk volumes on multiple nodes of a computer network |
| US5978475A (en) * | 1997-07-18 | 1999-11-02 | Counterpane Internet Security, Inc. | Event auditing system |
| US5951695A (en) * | 1997-07-25 | 1999-09-14 | Hewlett-Packard Company | Fast database failover |
| JPH11134234A (ja) * | 1997-08-26 | 1999-05-21 | Reliatec Ltd | バックアップ・リストア方法およびその制御装置,並びにバックアップ・リストアプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| US6073128A (en) * | 1997-10-31 | 2000-06-06 | Oracle Corporation | Method and apparatus for identifying files used to restore a file |
| US6289357B1 (en) * | 1998-04-24 | 2001-09-11 | Platinum Technology Ip, Inc. | Method of automatically synchronizing mirrored database objects |
| US6178427B1 (en) * | 1998-05-07 | 2001-01-23 | Platinum Technology Ip, Inc. | Method of mirroring log datasets using both log file data and live log data including gaps between the two data logs |
| JP2002330177A (ja) * | 2001-03-02 | 2002-11-15 | Seer Insight Security Inc | セキュリティ管理サーバおよびこれと連携して動作するホストサーバ |
| US6948038B2 (en) * | 2001-07-24 | 2005-09-20 | Microsoft Corporation | System and method for backing up and restoring data |
-
1999
- 1999-11-12 JP JP32263099A patent/JP2001142764A/ja active Pending
-
2000
- 2000-11-09 US US09/710,203 patent/US7512979B1/en not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007058639A (ja) * | 2005-08-25 | 2007-03-08 | Hitachi Electronics Service Co Ltd | 不正アクセス検知システム |
| JP2008123247A (ja) * | 2006-11-13 | 2008-05-29 | Mitsubishi Electric Corp | ログ管理方式及びログ管理方法 |
| JP4510130B1 (ja) * | 2009-11-10 | 2010-07-21 | 東屋株式会社 | 情報記録システム |
| JP2011103055A (ja) * | 2009-11-10 | 2011-05-26 | Higashiya Kk | 情報記録システム |
| JP2011107833A (ja) * | 2009-11-13 | 2011-06-02 | Ricoh Co Ltd | 情報処理装置、apiプログラム、及びログ環境提供方法 |
| CN102479147A (zh) * | 2010-11-26 | 2012-05-30 | 航天信息股份有限公司 | 一种WinNT操作系统中截获端口数据的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7512979B1 (en) | 2009-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2001142764A (ja) | ログ・ファイル保護システム | |
| Baek et al. | SSD-insider: Internal defense of solid-state drive against ransomware with perfect data recovery | |
| Tan | Forensic readiness | |
| US8141159B2 (en) | Method and system for protecting confidential information | |
| US7540027B2 (en) | Method/system to speed up antivirus scans using a journal file system | |
| Bellare et al. | Forward integrity for secure audit logs | |
| US9317686B1 (en) | File backup to combat ransomware | |
| US6647400B1 (en) | System and method for analyzing filesystems to detect intrusions | |
| US7673324B2 (en) | Method and system for tracking an operating performed on an information asset with metadata associated therewith | |
| US20070157315A1 (en) | System and method for using timestamps to detect attacks | |
| Shukla et al. | Poster: Locally virtualized environment for mitigating ransomware threat | |
| WO2001016664A1 (en) | System and method for detecting computer intrusions | |
| GB2422455A (en) | Securing the privacy of sensitive information in a data-handling system | |
| US20040181691A1 (en) | System and method for real-time detection of computer system files intrusion | |
| US20100070776A1 (en) | Logging system events | |
| May et al. | Combating ransomware using content analysis and complex file events | |
| Strunk et al. | Intrusion detection, diagnosis, and recovery with self-securing storage | |
| US11349855B1 (en) | System and method for detecting encrypted ransom-type attacks | |
| US8745010B2 (en) | Data storage and archiving spanning multiple data storage systems | |
| US11113391B2 (en) | Method and computer system for preventing malicious software from attacking files of the computer system and corresponding non-transitory computer readable storage medium | |
| US7441153B1 (en) | Method and system for secure and reliable event logging | |
| Elkhail et al. | Seamlessly safeguarding data against ransomware attacks | |
| US7447850B1 (en) | Associating events with the state of a data set | |
| JP2004164226A (ja) | 情報処理装置およびプログラム | |
| US20230315855A1 (en) | Exact restoration of a computing system to the state prior to infection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060913 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090608 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091110 |