JP2002258972A - Illegal operation monitor device and its program - Google Patents

Illegal operation monitor device and its program

Info

Publication number
JP2002258972A
JP2002258972A JP2001054823A JP2001054823A JP2002258972A JP 2002258972 A JP2002258972 A JP 2002258972A JP 2001054823 A JP2001054823 A JP 2001054823A JP 2001054823 A JP2001054823 A JP 2001054823A JP 2002258972 A JP2002258972 A JP 2002258972A
Authority
JP
Japan
Prior art keywords
operation
input
information
fraud detection
detection information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001054823A
Other languages
Japanese (ja)
Inventor
Katsuyoshi Ishikawa
勝義 石川
Original Assignee
Toshiba Corp
株式会社東芝
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, 株式会社東芝 filed Critical Toshiba Corp
Priority to JP2001054823A priority Critical patent/JP2002258972A/en
Publication of JP2002258972A publication Critical patent/JP2002258972A/en
Application status is Pending legal-status Critical

Links

Abstract

PROBLEM TO BE SOLVED: To provide an illegal operation monitor device capable of monitoring any illegal input and operation in real time by always monitoring the operation history log of a computer system to be monitored. SOLUTION: This illegal operation monitor device 3 is provided with an operation history log information acquiring means 11 for acquiring operation history log information from a computer system 2 to be monitored, an operation history log memory 12 for storing the operation history log information, an illegality discovery information registering means 13 for registering illegal discovery information for discovering any illegal operation, an input information memory 14 for storing input information such as a key input interval or an input alarm value being the illegality discovery information, an operation pattern information memory 15 for storing operation pattern information being the illegality discovery information, and an illegal operation monitoring means 16 for monitoring the illegal operation by comparing the illegality discovery information with operation history log information.

Description

【発明の詳細な説明】 DETAILED DESCRIPTION OF THE INVENTION

【0001】 [0001]

【発明の属する技術分野】本発明は、コンピュータシステムへの不正操作を監視する不正操作監視装置に係り、 The present invention relates to relates to a tamper monitoring apparatus for monitoring the unauthorized operation to the computer system,
特に監視対象コンピュータシステムの操作履歴ログを常に監視することによって、不正操作が行われた際にリアルタイムで発見することのできる不正操作監視装置に関する。 In particular by constantly monitoring the operation log of the monitored computer system, a tampering monitoring apparatus that can be found in real time when an illegal operation is performed.

【0002】 [0002]

【従来の技術】従来からコンピュータシステムにおける不正入力や不正操作を発見、防止するために、さまざまな方法が取られてきた。 BACKGROUND ART discover unauthorized input and unauthorized operation conventionally in a computer system, in order to prevent, has various methods are taken. その方法の1つとして入力・操作の履歴を操作履歴ログとして保存しておき、後で不正の分析に役立てる方法があった。 To keep the history of the input-operation as the operation history log as one of the method, there is a way to later help to an incorrect analysis. この方法では、不正入力や不正操作が発覚すると、操作履歴ログの内容から誰が何を入力・操作したかを分析して不正者をつきとめていた。 In this method, an incorrect input or illegal operation is discovered, who had discovered the unauthorized person to analyze whether it has input and manipulate what the contents of the operation history log.

【0003】 [0003]

【発明が解決しようとする課題】しかしながら、上述した方法では、操作履歴ログをあくまで不正発覚後に不正者をつきとめるために使用するものであり、不正な入力や操作が行われた際には操作履歴ログは活用されていなかった。 The object of the invention is to be Solved However, in the above-described method, operation history log only is intended to be used in order to identify the unauthorized person after the fraud discovered, when an incorrect input or operation has been carried out the operation history log has not been utilized.

【0004】したがって、従来の方法では不正入力・操作が行われた際に、不正を発見することができないという問題点があった。 [0004] Therefore, when an illegal input-operation has been performed in a conventional manner, there is a problem that it is not possible to discover the fraud.

【0005】また、従来の方法では、操作者のIDとパスワードが盗まれてしまうと、不正な入力・操作は正常に処理されることになり、不正を発見することができないという問題点もあった。 [0005] In addition, in the conventional method, when the operator of the ID and password will be stolen, invalid input-operation will be handled properly, there is another problem that it is not possible to discover the fraud It was.

【0006】本発明は上記事情に鑑みてなされたものであり、その目的は、監視対象コンピュータシステムの操作履歴ログを常に監視することによって、不正入力・操作をリアルタイムで監視することのできる不正操作監視装置を提供することにある。 [0006] The present invention has been made in view of the above circumstances, and its object is by constantly monitoring the operation log of the monitored computer system, illegal operations that can be monitored in real time an incorrect input and Operation It is to provide a monitoring device.

【0007】 [0007]

【課題を解決するための手段】上記目的を達成するために、請求項1に記載の発明である不正操作監視装置は、 To achieve the above object, according to the solution to ## the manipulation monitoring device is the invention described in claim 1,
監視対象コンピュータシステムが操作された履歴に関する操作履歴ログ情報を取得する操作履歴ログ情報取得手段と、前記監視対象コンピュータシステムへの不正操作を発見するための情報である不正発見情報を登録する不正発見情報登録手段と、この不正発見情報登録手段で登録された前記不正発見情報と、前記操作履歴ログ情報とを比較して前記監視対象コンピュータシステムへの不正操作を発見する不正操作監視手段とを含むことを特徴とする。 An operation log information acquiring unit that monitored computer system obtains the operation history log information about the history of the operation, fraud detection for registering fraud detection information is information for discovering unauthorized operation to the monitored computer system It includes information registration means, wherein the fraud detection information registered in the fraud detection information registration unit, and a tamper monitoring means for comparing the operation history log information to discover the unauthorized operation to the monitored computer system it is characterized in.

【0008】この請求項1の発明によれば、監視対象コンピュータシステムから操作履歴ログ情報を取得して常に監視するので、不正な操作者による不正入力をリアルタイムで発見することができる。 [0008] According to the invention of claim 1, since the constant monitoring by acquiring operation history log information from the monitored computer system, it is possible to discover unauthorized entry by unauthorized operator in real time.

【0009】請求項2に記載の発明である不正操作監視装置の不正発見情報は、入力項目を入力するときの最長時間と最短時間との時間間隔によって設定されたキー入力間隔であることを特徴とする。 [0009] wherein the fraud detection information of the unauthorized operation monitoring apparatus an invention of claim 2 is the longest key input interval set by the time interval between the time and the shortest time when inputting input item to.

【0010】この請求項2の発明によれば、キー入力間隔によって不正操作を監視するので、操作者IDやパスワードが盗まれた場合でも不正操作を発見することができる。 According to the second aspect of the invention, since monitors the unauthorized operation by the key input interval, it is possible to discover unauthorized operation even when the operator ID and password is stolen.

【0011】請求項3に記載の発明である不正操作監視装置の不正発見情報は、入力内容の数値の最大値と最小値とに基づいて設定された入力警告値であることを特徴とする。 [0011] fraud detection information of the unauthorized operation monitoring apparatus an invention of claim 3 is characterized in that a set input alarm value based on the maximum and minimum values ​​of the numeric input.

【0012】この請求項3の発明によれば、入力警告値によって不正操作を監視するので、操作者IDやパスワードが盗まれた場合でも不正操作を発見することができる。 According to the invention of claim 3, since monitoring the unauthorized operation by the input alarm value, it is possible to discover unauthorized operation even when the operator ID and password is stolen.

【0013】請求項4に記載の発明である不正操作監視装置の不正発見情報は、入力項目が入力される順序によって設定された入力パターンであることを特徴とする。 [0013] fraud detection information of the unauthorized operation monitoring apparatus an invention of claim 4 is characterized in that the input pattern set by the order in which the input items are input.

【0014】この請求項4の発明によれば、操作パターン情報によって不正操作を監視するので、操作者IDやパスワードが盗まれた場合でも不正操作を発見することができる。 According to the invention of the fourth aspect, since monitoring the unauthorized operation by the operation pattern information, it is possible to discover unauthorized operation even when the operator ID and password is stolen.

【0015】請求項5に記載の発明である不正操作監視プログラムは、監視対象コンピュータシステムが操作された履歴に関する操作履歴ログ情報を取得する操作履歴ログ情報取得処理と、前記監視対象コンピュータシステムへの不正操作を発見するための情報である不正発見情報を登録する不正発見情報登録処理と、この不正発見情報登録処理で登録された前記不正発見情報と、前記操作履歴ログ情報とを比較して前記監視対象コンピュータシステムへの不正操作を発見する不正操作監視処理とを含むことを特徴とする。 The unauthorized operation monitoring program an invention of claim 5 includes an operation log information acquisition process for acquiring operation history log information about the history of the monitored computer system is operated, to the monitored computer system wherein by comparing the fraud detection information registration process for registering the fraud detection information which is information for finding an illegal operation, the the fraud detection information registered in the fraud detection information registration processing, and the operation history log information characterized in that it comprises a tamper monitoring process to discover the unauthorized operation to the monitored computer system.

【0016】この請求項5の発明によれば、監視対象コンピュータシステムから操作履歴ログ情報を取得して常に監視するので、不正な操作者による不正入力をリアルタイムで発見することができる。 According to the invention of claim 5, since the constant monitoring by acquiring operation history log information from the monitored computer system, it is possible to discover unauthorized entry by unauthorized operator in real time.

【0017】 [0017]

【発明の実施の形態】以下、本実施形態に係る不正操作監視システムの構成を図1に基づいて説明する。 DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the configuration of the unauthorized operation monitoring system according to the present embodiment will be described with reference to FIG.

【0018】図1に示すように、不正操作監視システム1は、不正操作が行われているか否かを監視する対象である監視対象コンピュータシステム2と、この監視対象コンピュータシステム2から操作履歴に関する操作履歴ログ情報を取得して不正操作の監視処理を行う不正操作監視装置3と、この不正操作監視装置3に対してオペレータが入力を行うための入力装置4と、不正操作監視装置3で出力された処理結果や警告を表示するモニタ5とから構成されている。 As shown in FIG. 1, unauthorized operation monitoring system 1 includes a monitored computer system 2 is a target of monitoring whether being performed illegal operation, operation related to the operation history from the monitored computer system 2 a manipulation monitoring device 3 acquires the history log information for monitoring the process of manipulation, an input device 4 for performing operator input to the manipulation monitoring device 3 is output by the unauthorized operation monitoring apparatus 3 and a processing result and a warning display monitor 5.

【0019】ここで、不正操作監視装置3は、監視対象コンピュータシステム2が操作された履歴である操作履歴ログ情報を取得する操作履歴ログ情報取得手段11 [0019] Here, the unauthorized operation monitoring apparatus 3 acquires a a history of the monitored computer system 2 is operated operation history log information operation log information acquiring unit 11
と、この操作履歴ログ情報を記憶する操作履歴ログメモリ12と、監視対象コンピュータシステム2への不正操作を発見するための情報である不正発見情報を登録する不正発見情報登録手段13と、キー入力間隔や入力警告値などの不正を発見するための入力情報を記憶する入力情報メモリ14と、監視対象コンピュータシステム2に対する入力項目の入力順序である操作パターンを記憶する操作パターン情報メモリ15と、キー入力間隔や入力項目の数値、操作パターンなどの不正発見情報と操作履歴ログ情報とを比較して監視対象コンピュータシステム2への不正操作を監視する不正操作監視手段16とを含んでいる。 When an operation history log memory 12 for storing the operation history log information, the fraud detection information registration means 13 for registering the fraud detection information is information for discovering unauthorized operation to the monitored computer system 2, a key input an input information memory 14 for storing input information to discover fraud, such as interval and input warning value, the operation pattern information memory 15 for storing an operation pattern which is an input order of the input fields for the monitored computer system 2, the key numerical input interval and input items, and an unauthorized operation monitoring unit 16 which monitors the unauthorized operation to the monitored computer system 2 by comparing the fraud detection information, such as operation patterns and the operation history log information. なお、不正操作監視装置3は、各種の処理を行うためのCPUと、この処理の命令を記憶する記憶手段とを含む通常のコンピュータシステムによって構成されている。 Incidentally, unauthorized operation monitoring apparatus 3 includes a CPU for performing various processes, is constituted by an ordinary computer system including a storage means for storing instructions for this process.

【0020】次に、図2のフローチャートに基づいて本実施形態に係る不正操作監視システム1による不正発見情報の登録処理について説明する。 Next, registration process will be described in fraud detection information by the unauthorized operation monitoring system 1 according to this embodiment with reference to the flowchart of FIG. ここでは、不正発見情報として、キー入力間隔、入力警告値及び操作パターン情報を登録する場合を説明する。 Here, as fraud detection information, the case of registering the key input interval, the input warning value and the operation pattern information.

【0021】まず、不正操作監視装置3は、監視対象コンピュータシステム2を操作する操作者の操作内容や入力内容に関する操作履歴ログ情報を取得する(S20 [0021] First of all, unauthorized operation monitoring apparatus 3, to get the operation history log information about the operation contents and input the contents of the operator who operates the monitored computer system 2 (S20
1)。 1). この操作履歴ログ情報は、図3に示すように操作者ID、操作日時、操作画面、入力項目、入力内容、キー入力時間などの情報が含まれている。 The operation history log information, the operator ID, as shown in FIG. 3, the operation date and time, the operation screen, input fields, input content, contains information such as a key input time.

【0022】そして、不正操作監視装置3は操作履歴ログ情報を取得すると、操作履歴ログメモリ12に書き込む(S202)。 [0022] Then, the unauthorized operation monitoring apparatus 3 acquires the operation history log information is written into the operation history log memory 12 (S202).

【0023】次に、不正操作監視装置3は、不正を発見するための情報である不正発見情報の登録を行うが、ここで不正操作監視装置3を操作するオペレータが不正発見情報を自動登録するか直接登録するかを選択する(S Next, unauthorized operation monitoring apparatus 3, performs the registration of the fraud detection information which is information for discovering unauthorized, wherein operator operating an unauthorized operation monitoring apparatus 3 is automatically registered fraud detection information or to select either direct registration (S
203)。 203).

【0024】そして、オペレータが自動登録を選択した場合には、不正操作監視装置3は操作履歴ログメモリ1 [0024] Then, when the operator selects the automatic registration, the unauthorized operation monitoring device 3 operation history log memory 1
2に書き込まれている操作履歴ログ情報を取り込み(S The operation history log information that has been written in the 2 uptake (S
204)、まずキー入力時間の最大値と最小値を各入力内容毎に求め、その最大値と最小値との時間間隔をキー入力間隔として設定し、入力情報メモリ14に書き込む(S205)。 204), and first obtains the maximum value and the minimum value of the key input time for each entry, set the time interval between the maximum value and the minimum value as a key input interval, and writes the input data memory 14 (S205).

【0025】さらに、入力内容についても、払出額や受入額などについては最大値と最小値を求め、その最大値と最小値の範囲を入力警告値として設定し、入力情報メモリ14に書き込む(S206)。 Furthermore, for the input content, maximum and minimum values ​​for such payout and inflows, set the range of the maximum value and the minimum value as an input warning value is written into the input data memory 14 (S206 ). この入力情報メモリ14に書き込まれた情報の一例を図4に示す。 It shows an example of information this written in the input information memory 14 in FIG.

【0026】次に、不正操作監視装置3は操作履歴ログ情報から入力項目などを入力したときの操作順序を求め、その操作順序を操作パターン情報として設定し、操作パターン情報メモリ15に書き込む(S207)。 Next, the manipulation monitoring device 3 obtains the sequence of operations when inputting a input items from the operation log information, set the operation sequence as an operation pattern information is written to the operation pattern information memory 15 (S207 ). この操作パターン情報の一例を図5に示す。 An example of the operation pattern information in FIG. 図5に示すように、操作パターン情報には各操作者ID毎に操作した内容が操作順に記録されている。 As shown in FIG. 5, the contents in the operation pattern information operation for each operator ID is recorded in the operation order.

【0027】こうして、キー入力間隔、入力警告値及び操作パターン情報とがそれぞれ設定されると、自動登録による不正発見情報の登録処理は終了する。 [0027] Thus, when the key input intervals, and an input warning value and the operation pattern information are respectively set, registration processing of fraud detection information by the auto-registration ends.

【0028】また、ステップS203において、自動登録が選択されなかった場合には、不正操作監視装置3を操作するオペレータによる直接登録が行われる。 Further, in step S203, if the automatic registration is not selected, it is performed directly registered by the operator to operate the tamper monitoring device 3.

【0029】この直接登録では、オペレータがまず任意に設定したキー入力間隔を入力し(S208)、同様に入力警告値についてもオペレータが入力して(S20 [0029] In this direct registration, enter the key input interval the operator initially arbitrarily set (S208), also the input operator for similar input warning value (S20
9)入力情報メモリ14に書き込まれる。 9) is written into the input data memory 14.

【0030】さらに、操作パターン情報についてもオペレータが任意に設定して入力し(S210)、操作パターン情報メモリ15に書き込まれる。 Furthermore, even an operator enters set arbitrarily the operation pattern information (S210), written in the operation pattern information memory 15.

【0031】こうして、キー入力間隔、入力警告値及び操作パターン情報とがそれぞれオペレータによって入力されると、直接登録による不正発見情報の登録処理は終了する。 [0031] Thus, the key input interval, the input alarm value and the operation pattern information are input by the operator, the registration processing of the fraud detection information by direct registration ends.

【0032】次に、図6のフローチャートに基づいて、 Next, with reference to the flowchart of FIG. 6,
キー入力間隔による不正操作の監視処理について説明する。 It will be described monitoring process of the unauthorized operation by key input interval.

【0033】まず、不正操作監視装置3は、入力情報メモリ14からキー入力間隔を取り込み(S601)、さらに操作履歴ログメモリ12からキー入力時間を取り込む(S602)。 [0033] First of all, unauthorized operation monitoring device 3 captures the key input interval from the input information memory 14 (S601), and further captures the key input time from the operation history log memory 12 (S602).

【0034】そして、取り込まれたキー入力時間がキー入力間隔の範囲内にあるか否かを比較し(S603)、 [0034] Then, the captured keystrokes time compares whether within the scope of the key input interval (S603),
キー入力時間がキー入力間隔の範囲内にないときには不正な操作者による入力であると判断して警告メッセージをモニタ5に出力するなどして(S604)、オペレータに不正操作の警告を発してキー入力間隔による不正操作の監視処理は終了する。 And a key input time to output a warning message it is determined that the input by an unauthorized operator when not within the key input interval monitor 5 (S604), the key warned tamper operator monitoring process of the illegal operation by the input interval is completed.

【0035】また、ステップS603において、キー入力時間がキー入力間隔の範囲内にあるときには正当な操作者による入力であると判断してキー入力間隔による不正操作の監視処理は終了する。 Further, in step S603, the key input time monitoring process of the unauthorized operation by key input interval it is determined that the input by a legitimate operator when in range of the key input interval ends.

【0036】同様に、図7のフローチャートに基づいて、入力警告値による不正操作の監視処理について説明する。 [0036] Similarly, with reference to the flowchart of FIG. 7 will be described monitoring processing of the unauthorized operation by the input warning value.

【0037】まず、不正操作監視装置3は、入力情報メモリ14から入力警告値を取り込み(S701)、さらに操作履歴ログメモリ12から入力項目に対する入力内容を取り込む(S702)。 [0037] First of all, unauthorized operation monitoring device 3 captures the input warning value from the input information memory 14 (S701), captures the input content to the input field further from the operation history log memory 12 (S702).

【0038】そして、取り込まれた入力内容の払出額などの数値が入力警告値の範囲内にあるか否かを比較し(S703)、入力内容の数値が入力警告値の範囲内にないときには不正な操作者による入力であると判断して警告メッセージをモニタ5に出力するなどして(S70 [0038] Then, values ​​such as payout of input content captured compares whether the range of the input warning value (S703), fraud when value of input content is not within the input warning value a warning message is determined that Do is an input by the operator, such as by outputting to the monitor 5 (S70
4)、オペレータに不正操作の警告を発して入力警告値による不正操作の監視処理は終了する。 4), the monitoring process of the illegal operation by the input warning value warns of tampering to the operator is terminated.

【0039】また、ステップS703において、入力内容の数値が入力警告値の範囲内にあるときには正当な操作者による入力であると判断して入力警告値による不正操作の監視処理は終了する。 Further, in step S703, when the value of the input content is within the range of the input warning value is monitoring processing of illegal operation by the input alarm value it is determined that the input by a legitimate operator is terminated.

【0040】次に、図8のフローチャートに基づいて、 Next, with reference to the flowchart of FIG. 8,
操作パターン情報による不正操作の監視処理について説明する。 The monitoring process of the unauthorized operation by the operation pattern data will be described.

【0041】まず、不正操作監視装置3は、操作パターン情報メモリ15から操作パターン情報を取り込み(S Firstly, unauthorized operation monitoring device 3 captures the operation pattern information from the operation pattern information memory 15 (S
801)、さらに操作履歴ログメモリ12から入力項目と入力内容を取り込む(S802)。 801), and further captures the input contents of the input items from the operation history log memory 12 (S802).

【0042】そして、操作履歴ログメモリ12から取り込まれた入力内容の操作順序が操作パターンの順序と異なるか否かを比較し(S803)、入力内容の操作順序が異なるときには不正な操作者による入力であると判断して警告メッセージをモニタ5に出力するなどして(S [0042] Then, input by the operation history order of operations entries taken from the log memory 12 to compare whether different or not from the order of the operation pattern (S803), illegal operator when the operation order of the entries is different the warning message determined to be, for example, by output to the monitor 5 (S
804)、オペレータに不正操作の警告を発して操作パターンによる不正操作の監視処理は終了する。 804), the monitoring process of the illegal operation by the operation pattern warns of tampering to the operator is terminated. ただし、 However,
このとき操作順序が1つでも異なれば警告を発するように設定してもよいし、また任意に設定した数までは操作順序が異なっても警告を発しないように設定してもよい。 It sequence of operations at this time may be set to alert Different even one, also up to the number that is arbitrarily set may be set not warn be different operating order.

【0043】また、ステップS803において、入力内容の操作順序が操作パターンの順序と一致するときには正当な操作者による入力であると判断して操作パターン情報による不正操作の監視処理は終了する。 [0043] Further, in step S803, the monitoring process of the unauthorized operation by the determination to the operation pattern information to be input by a legitimate operator when the operation order of the entries matches the order of the operation pattern ends.

【0044】このように、本実施形態の不正操作監視装置3は、監視対象コンピュータシステム2の操作履歴ログ情報を取得して常に監視することによって、リアルタイムで不正な操作者による不正な入力や操作を発見することができる。 [0044] Thus, unauthorized operation monitoring apparatus 3 of this embodiment, by always monitoring acquires the operation history log information of the monitored computer system 2, real-time invalid input or operation by unauthorized operator it can be found.

【0045】さらに、キー入力間隔や入力警告値、操作パターンによって不正操作を監視するので、操作者ID [0045] In addition, key input interval and input warning value, so to monitor the illegal operation by the operation pattern, the operator ID
やパスワードが盗まれた場合でも不正な操作を発見することができる。 Even if or password is stolen it is possible to discover an illegal operation.

【0046】 [0046]

【発明の効果】以上説明したように、本発明の不正操作監視装置によれば、監視対象コンピュータシステムへの不正入力や不正操作を、リアルタイムで監視することができる。 As described in the foregoing, according to the manipulation monitoring device of the present invention, unauthorized input or manipulation of the monitored computer system, it can be monitored in real time.

【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS

【図1】本発明による不正操作監視システムの一実施形態の構成を示すブロック図である。 Is a block diagram showing a configuration of an embodiment of the unauthorized operation monitoring system according to the invention; FIG.

【図2】図1に示す不正操作監視システムにおける不正発見情報の登録処理を説明するためのフローチャートである。 It is a flowchart showing a registering process of the fraud detection information in unauthorized operation monitoring system shown in FIG. 1. FIG.

【図3】操作履歴ログ情報の一例を示す図である。 3 is a diagram showing an example of an operation log information.

【図4】入力情報の一例を示す図である。 4 is a diagram showing an example of input information.

【図5】操作パターン情報の一例を示す図である。 5 is a diagram showing an example of an operation pattern information.

【図6】キー入力間隔による不正操作の監視処理を説明するためのフローチャートである。 6 is a flowchart illustrating the monitoring process of the unauthorized operation by key input interval.

【図7】入力警告値による不正操作の監視処理を説明するためのフローチャートである。 7 is a flowchart for explaining a monitoring process of manipulation by the input warning value.

【図8】操作パターン情報による不正操作の監視処理を説明するためのフローチャートである。 8 is a flowchart illustrating the monitoring process of the unauthorized operation by the operation pattern information.

【符号の説明】 DESCRIPTION OF SYMBOLS

1 不正操作監視システム 2 監視対象コンピュータシステム 3 不正操作監視装置 4 入力装置 5 モニタ 11 操作履歴ログ情報取得手段 12 操作履歴ログメモリ 13 不正発見情報登録手段 14 入力情報メモリ 15 操作パターン情報メモリ 16 不正操作監視手段 1 unauthorized operation monitoring system 2 monitored computer system 3 unauthorized operation monitoring apparatus 4 the input device 5 monitor 11 operating log information acquiring unit 12 operation history log memory 13 fraud detection information registering unit 14 inputs the information memory 15 operation pattern information memory 16 tamper monitoring means

Claims (5)

    【特許請求の範囲】 [The claims]
  1. 【請求項1】 監視対象コンピュータシステムが操作された履歴に関する操作履歴ログ情報を取得する操作履歴ログ情報取得手段と、 前記監視対象コンピュータシステムへの不正操作を発見するための情報である不正発見情報を登録する不正発見情報登録手段と、 この不正発見情報登録手段で登録された前記不正発見情報と、前記操作履歴ログ情報とを比較して前記監視対象コンピュータシステムへの不正操作を発見する不正操作監視手段とを含むことを特徴とする不正操作監視装置。 1. A and operation history log information acquiring means for acquiring operation history log information about the history of the monitored computer system is operated, fraud detection information is information for discovering unauthorized operation to the monitored computer system and fraud detection information registration means for registering, and the fraud detection information the fraud detection information registered in the registration means, tampering to discover illegal operations by comparing the operation history log information to the monitored computer system unauthorized operation monitoring apparatus which comprises a monitoring means.
  2. 【請求項2】 前記不正発見情報は、入力項目を入力するときの最長時間と最短時間との時間間隔によって設定されたキー入力間隔であることを特徴とする請求項1に記載の不正操作監視装置。 Wherein said fraud detection information, unauthorized operation monitoring as claimed in claim 1, characterized in that the longest key input interval set by the time interval between the time and the shortest time when inputting input item apparatus.
  3. 【請求項3】 前記不正発見情報は、入力内容の数値の最大値と最小値とに基づいて設定された入力警告値であることを特徴とする請求項1または2に記載の不正操作監視装置。 Wherein the fraud detection information, unauthorized operation monitoring apparatus according to claim 1 or 2, characterized in that the set input alarm value based on the maximum and minimum values ​​of the numerical value of the input content .
  4. 【請求項4】 前記不正発見情報は、入力項目が入力される順序によって設定された入力パターンであることを特徴とする請求項1、2または3に記載の不正操作監視装置。 Wherein said fraud detection information, unauthorized operation monitoring apparatus according to claim 1, 2 or 3, characterized in that the input pattern set by the order in which the input items are input.
  5. 【請求項5】 監視対象コンピュータシステムが操作された履歴に関する操作履歴ログ情報を取得する操作履歴ログ情報取得処理と、 前記監視対象コンピュータシステムへの不正操作を発見するための情報である不正発見情報を登録する不正発見情報登録処理と、 この不正発見情報登録処理で登録された前記不正発見情報と、前記操作履歴ログ情報とを比較して前記監視対象コンピュータシステムへの不正操作を発見する不正操作監視処理とを含むことを特徴とする不正操作監視プログラム。 5. the operation log information acquisition process for acquiring operation history log information about the history of the monitored computer system is operated, fraud detection information is information for discovering unauthorized operation to the monitored computer system and fraud detection information registration process for registering the the fraud detection information registered in the fraud detection information registration processing, manipulation of finding an illegal operation by comparing the operation history log information to the monitored computer system unauthorized operation monitoring program, characterized in that it comprises a monitoring process.
JP2001054823A 2001-02-28 2001-02-28 Illegal operation monitor device and its program Pending JP2002258972A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001054823A JP2002258972A (en) 2001-02-28 2001-02-28 Illegal operation monitor device and its program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001054823A JP2002258972A (en) 2001-02-28 2001-02-28 Illegal operation monitor device and its program

Publications (1)

Publication Number Publication Date
JP2002258972A true JP2002258972A (en) 2002-09-13

Family

ID=18915093

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001054823A Pending JP2002258972A (en) 2001-02-28 2001-02-28 Illegal operation monitor device and its program

Country Status (1)

Country Link
JP (1) JP2002258972A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007299284A (en) * 2006-05-01 2007-11-15 Hitachi Software Eng Co Ltd Log collection system, client device, and log collection agent device
JP2009020812A (en) * 2007-07-13 2009-01-29 Hitachi Electronics Service Co Ltd Operation detecting system
JP2010140249A (en) * 2008-12-11 2010-06-24 Ntt Docomo Inc Input monitoring apparatus and input monitoring method
JP2011170739A (en) * 2010-02-22 2011-09-01 Hitachi Information Systems Ltd System and method for supporting prevention of wrong operation in modification of it system, and program therefor
JP2013045280A (en) * 2011-08-24 2013-03-04 Nippon Signal Co Ltd:The Method for displaying operation moving picture and operation and motion log

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007299284A (en) * 2006-05-01 2007-11-15 Hitachi Software Eng Co Ltd Log collection system, client device, and log collection agent device
JP2009020812A (en) * 2007-07-13 2009-01-29 Hitachi Electronics Service Co Ltd Operation detecting system
JP2010140249A (en) * 2008-12-11 2010-06-24 Ntt Docomo Inc Input monitoring apparatus and input monitoring method
JP2011170739A (en) * 2010-02-22 2011-09-01 Hitachi Information Systems Ltd System and method for supporting prevention of wrong operation in modification of it system, and program therefor
JP2013045280A (en) * 2011-08-24 2013-03-04 Nippon Signal Co Ltd:The Method for displaying operation moving picture and operation and motion log

Similar Documents

Publication Publication Date Title
US6993648B2 (en) Proving BIOS trust in a TCPA compliant system
US5572590A (en) Discrimination of malicious changes to digital information using multiple signatures
US6907430B2 (en) Method and system for assessing attacks on computer networks using Bayesian networks
US9323917B2 (en) Information processing system, information processor, image forming apparatus, and information processing method
EP2870565B1 (en) Testing integrity of property data of a device using a testing device
US7260844B1 (en) Threat detection in a network security system
JP4898082B2 (en) Software authentication method, software authentication program
JP2012094161A (en) Merging multi-line log entries
US8181248B2 (en) System and method of detecting anomaly malicious code by using process behavior prediction technique
US20070034691A1 (en) Using promiscuous and non-promiscuous data to verify card and reader identity
US20080022086A1 (en) Methods and system for a key recovery plan
CN1306425C (en) Information storage device, memory access control system and method
US8621624B2 (en) Apparatus and method for preventing anomaly of application program
US20060026672A1 (en) Security system and method for an industrial automation system
US20050060721A1 (en) User-centric policy creation and enforcement to manage visually notified state changes of disparate applications
US8015604B1 (en) Hierarchical architecture in a network security system
EP0985995A1 (en) Method and apparatus for intrusion detection in computers and computer networks
US7870394B2 (en) Method and system to scan firmware for malware
WO2008091785A2 (en) System and method for determining data entropy to identify malware
US20070192630A1 (en) Method and apparatus for securing the privacy of sensitive information in a data-handling system
US20080148398A1 (en) System and Method for Definition and Automated Analysis of Computer Security Threat Models
US20100169973A1 (en) System and Method For Detecting Unknown Malicious Code By Analyzing Kernel Based System Actions
JP2000148276A (en) Device and method for monitoring security and securithy monitoring program recording medium
EP1122694A3 (en) Alert generation in trend performance analysis
JPH11345206A (en) Recording medium stored with electronic information management system, ic card, terminal device electronic information management method and electronic information management program