JP2005234849A - 監視装置及び監視方法及びプログラム - Google Patents
監視装置及び監視方法及びプログラム Download PDFInfo
- Publication number
- JP2005234849A JP2005234849A JP2004042472A JP2004042472A JP2005234849A JP 2005234849 A JP2005234849 A JP 2005234849A JP 2004042472 A JP2004042472 A JP 2004042472A JP 2004042472 A JP2004042472 A JP 2004042472A JP 2005234849 A JP2005234849 A JP 2005234849A
- Authority
- JP
- Japan
- Prior art keywords
- value information
- monitoring
- evaluation
- monitoring target
- reference value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 未知の攻撃の検知が可能であり、シグニチャのアップデートを不要とし管理者の作業を軽減可能な侵入検知装置を実現する。
【解決手段】 プログラムの実運用前に、状態監視部100及び状態数値化部101が、予め、各プログラムが正常に実行しているときのシステムコールの回数をカウントし、状態分析部102が、各プログラムのシステムコール回数の正常範囲を算出し、評価基準値情報記憶部105に評価基準値情報として格納し、実運用時に、状態監視部100及び状態数値化部101がシステムコール回数をカウントし、評価部103が、カウントされたシステムコール回数が評価基準値情報の正常範囲内であるか否かを判断し、正常範囲内であれば正常と判断し、正常範囲外であれば異常と判断することによりシグニチャ更新不要の侵入検知が可能となる。
【選択図】 図1
【解決手段】 プログラムの実運用前に、状態監視部100及び状態数値化部101が、予め、各プログラムが正常に実行しているときのシステムコールの回数をカウントし、状態分析部102が、各プログラムのシステムコール回数の正常範囲を算出し、評価基準値情報記憶部105に評価基準値情報として格納し、実運用時に、状態監視部100及び状態数値化部101がシステムコール回数をカウントし、評価部103が、カウントされたシステムコール回数が評価基準値情報の正常範囲内であるか否かを判断し、正常範囲内であれば正常と判断し、正常範囲外であれば異常と判断することによりシグニチャ更新不要の侵入検知が可能となる。
【選択図】 図1
Description
この発明は、コンピュータネットワークシステムに関するものであり、特に、不正アクセス、攻撃を検知する技術に関するものである。
特開2001−313640号公報に従来の不正アクセス検知装置について示されており、正常なアクセスのための条件をあらかじめ学習することにより定義した、アクセスポリシーにしたがって不正か否かを判断するものである。
次に動作について説明する。あらかじめ学習させるアクセスポリシーとは、(1)アクセスに使用されるプロトコルの仕様に準拠しているかどうか、(2)管理対象となる通信システムまたは通信システムグループのアクセスポリシー(送信元アドレス/宛先アドレス/利用プロトコル(ポート番号)/これら組み合わせ等)に準拠しているか、(3)プロトコルポリシー(プロトコルで使用されているコマンドやURL等の内容、データの長さ)に準拠しているかどうか、(4)単位時間あたりのアクセスの回数が、上記のアクセスポリシーに記述されているアクセスの許容範囲以内であるかどうか、とういう観点から決定する。その後、各チェックの結果をあらかじめ学習されたニューラルネットワークに入力し、危険度を定量化し、不正アクセスを判断するものである。
特開2001−313640号公報
従来の不正アクセス検知装置では、アクセスポリシーに合致しているか否かで不正アクセスを判断していた。しかし、上記に記述するアクセスポリシーには、アクセス制御を目的としたものであり、攻撃者がシステムやプログラムの脆弱性を悪用したバッファオーバフロー・DoS(Dinial of Service)といった攻撃そのものを検知することはできない。
また、システムの脆弱性を悪用した攻撃を検知するためには、攻撃を表すパターン(シグニチャ)を蓄積しておき、受信したパケットが蓄積してあるシグニチャを含んでいるか否かで判断するのが通常の方法である。しかし、この方法だと、蓄積しているシグニチャに対応した攻撃しか検知できない。すなわち、新たな攻撃を検知するためには、新たな攻撃に対応したシグニチャの更新が必要となり、管理運用のための作業が絶えず発生する。
この発明は上記のような問題点を解決するためになされたもので、あらかじめ各アプリケーションの正常時の状態を学習しておき、運用時、各アプリケーションが学習した状態と異なる振る舞いがあった場合、不正なアクセス・攻撃があったと判断することにより、システムの脆弱性を悪用した攻撃を検知しようとするものであり、同時に未知の攻撃(まだ発見されてない攻撃)をも検知する侵入検知装置を得ることを目的とする。また、シグニチャのアップデートを不要とし管理者の作業を軽減する侵入検知装置を得ることを目的とする。
本発明に係る監視装置は、
所定のコンピュータリソースを監視対象リソースとし、監視対象リソースの正常時の動作を監視して生成された、監視対象リスースの正常時の動作状態を定義する評価基準値情報を記憶する評価基準値情報記憶部と、
前記監視対象リソースの動作を監視するとともに、監視結果から、前記監視対象リソースの動作状態を示す動作状態値情報を生成する状態監視数値化部と、
前記状態監視数値化部により生成された前記監視対象リソースの動作状態値情報と前記評価基準値情報記憶部に記憶されている評価基準値情報とを比較し、動作状態値情報が評価基準値情報に合致しない場合に、前記監視対象リソースが異常であると評価する評価部と、
前記評価部による評価結果を出力する評価結果出力部とを有することを特徴とする。
所定のコンピュータリソースを監視対象リソースとし、監視対象リソースの正常時の動作を監視して生成された、監視対象リスースの正常時の動作状態を定義する評価基準値情報を記憶する評価基準値情報記憶部と、
前記監視対象リソースの動作を監視するとともに、監視結果から、前記監視対象リソースの動作状態を示す動作状態値情報を生成する状態監視数値化部と、
前記状態監視数値化部により生成された前記監視対象リソースの動作状態値情報と前記評価基準値情報記憶部に記憶されている評価基準値情報とを比較し、動作状態値情報が評価基準値情報に合致しない場合に、前記監視対象リソースが異常であると評価する評価部と、
前記評価部による評価結果を出力する評価結果出力部とを有することを特徴とする。
この発明によれば、監視対象リソースの動作を監視するとともに、監視結果から、監視対象リソースの動作状態を示す動作状態値情報を生成し、監視対象リソースの正常時の動作状態を定義する評価基準値情報と監視対象リソースの動作状態値情報とを比較し、動作状態値情報が評価基準値情報に合致しない場合に、監視対象リソースが異常であると評価するため、シグニチャの更新が不要となり、また、システムの脆弱性を悪用した未発見の攻撃又は異常を検知することが可能となり、この結果、管理者の作業を軽減することができる。
実施の形態1.
図1は、実施の形態1に係る侵入検知装置の構成例を示す図である。
図1は、実施の形態1に係る侵入検知装置の構成例を示す図である。
図1において、1は実施の形態1に係る侵入検知装置である。侵入検知装置1は、監視装置の例に相当する。
100は監視対象となる監視対象リソースの動作を監視する状態監視部である。状態監視部100は、具体的にはアプリケーション・ユーザ操作等を監視する。101は状態監視部100が取得した状態を分析用のデータに変換する状態数値化部である。状態監視部100と状態数値化部101を合わせたものが、状態監視数値化部に相当する。また、状態数値化部101は、例えば、図2に示すような状態数値化テーブルを生成するが、この状態数値化テーブルは、動作状態値情報の例である。
102は、プログラムの実行前に、正常時の状態を示す状態数値化テーブル(正常時動作状態値情報)を分析し、分析結果を評価基準値情報として評価基準値情報記憶部105に格納する状態分析部である。状態分析部102が導出する評価基準値情報は、監視対象リソースの正常時の動作状態を定義する情報であり、後述する評価部103による評価の基準となる数値を示す。
103は状態数値化部101から得られた状態数値テーブル(動作状態値情報)の内容が不正か否かを評価基準値情報記憶部105に記憶されている評価基準値情報を基に判断する評価部である。104は評価部103で評価した結果を表示する評価結果表示部である。評価結果表示部104は、評価結果出力部の例である。
105は状態分析部102で生成された評価基準値情報を記憶する評価基準値情報記憶部である。
また、侵入検知装置1は、複数のプログラム106〜108を管理しており、これらのプログラムが監視対象リソース(監視対象プログラム)に相当する。
なお、侵入検知装置1は、図示していないが、例えばマイクロプロセッサ等のCPU、半導体メモリ等や磁気ディスク等の記録手段、及び通信手段を有する計算機により実現することができる。記録手段に、侵入検知装置1に含まれる各構成要素の機能を実現するプログラムを記録し、CPUがこれらのプログラムを読み込むことにより侵入検知装置1の動作を制御し、各構成要素の機能を実現することも可能である。
図2において、b1は侵入検知装置1の状態数値化部101が生成した状態数値化テーブルであり、プログラム名と、そのプログラムが実行中にコールされた各システムコールの回数とからなる。
図6は、状態分析部102で生成され、評価基準値情報記憶部105に記憶される評価基準値情報の例を示す。評価基準値情報は、状態数値化テーブルと同様のデータ形式となっており、プログラム名と、それぞれのプログラム名に対する各システムコール回数の正常範囲とを示す。
次に動作について説明する。まず、本実施の形態に係る侵入検知装置1の動作概要を図7を参照して説明する。
まず、侵入検知装置1は、あらかじめプログラムの正常な動作状態(ここでは、システムコールを例にする)を学習・監視する(S701)。すなわち、状態監視部100が、正常時のアプリケーション・ユーザオペレーションの状態を監視する。次に、状態数値化部101で正常時の状態数値化テーブルb1を作成する(S702)。ここで作成される状態数値化テーブルb1は、正常時動作状態値情報に相当する。次に、状態分析部102で正常時の状態(S702で作成された状態数値化テーブルb1)を分析し、評価基準値情報を生成し、評価基準値情報記憶部105に格納する(S703)。これにより正常時の状態学習が完了した。
次に、実際にシステムが運用された場合(S704でYesの場合)に、状態監視部100でアプリケーション・ユーザオペレーションの状態(システムコール)を監視する(S705)。次に、状態数値化部101で実運用中の状態を数値化して、状態数値化テーブルb1を生成する。ここで生成される状態数値化テーブルb1は、動作状態値情報に相当する。次に、評価部103が、数値化された状態(S706で作成された状態数値化テーブル)と正常状態を定義する評価基準値情報とを比較してプログラムが異常な状態であるか否かを判断する。具体的には、状態数値化テーブルの数値が評価基準値の範囲内であるか否かを判断し(S708)、範囲内であれば(S708でYes)、正常と判断し(S709)、範囲外であれば(S708でNo)、異常と判断し(S710)、そして評価結果表示部104で運用中の現在の状態が異常か否かを出力(表示)する(S711)。
以上の処理における各部の動作を説明する。
状態監視部100は、各プログラムが正常に動作しているとき(不正なアクセスが行われていないとき)のシステムコールを監視する。
そして、状態数値化部101は、各プログラム(プロセス)が実行中(起動してから終了するまで)にコールされたシステムコールを各プログラム(プロセス)ごとにカウントし、状態数値化テーブルb1を生成する。
そして、状態分析部102は、状態数値化テーブルbから各プログラム(プロセス)が正常に動作したときの各システムコールの回数の正常範囲を算出する。算出方法は、たとえば、各システムコールの回数が正規分布にしたがうと仮定すると、その分布は平均mと分散s2で表される。したがって正常範囲をm±2sとすればその範囲にあてはまるものは98%の確率で正常と判断できる。なお、正常範囲は稼動環境、セキュリティ等の方針によりm±2sでなくてもよい。この分析によって得られた数値範囲が評価基準値情報となる。
評価部103は、実運用中に状態数値化部101がカウントした各プログラム(プロセス)ごとのシステムコールの回数が評価基準値情報に示される正常範囲と比較して正常か否かを判断する。
なお、以上では、状態分析部102は、プログラム(プロセス)ごとの各システムコールごとに正常範囲の回数をもとめた。しかし、評価部103による評価処理を高速にするため、各システムコールを近似する関数を求め、近似した関数のパラメータを評価基準値情報としてもよい。また、システムコールの回数の近似には、相関分析・データマイニング等で用いられている手法を用いてもよい。
また、評価結果の出力方法は、コンソール画面やGUI等に表示するだけではなく、電子メールやページャ(pager)等により管理者に通知してもよい。
以上のように、あらかじめ各プログラム(プロセス)が正常に動作するときのシステムコールの回数をカウントし、各システムコール回数の正常な範囲を算出しておき、実運用時は、各プログラム(プロセス)がコールしたシステムコールの回数があらかじめ算出した正常範囲にあるか否かで攻撃か否かを判断する。そうすることにより、シグニチャ更新不要でまだ発見されてないシステムの脆弱性を悪用した攻撃又は異常を検知することが可能となる。なぜならば、システムの脆弱性を悪用して行うバッファオーバフロー・DoSといった攻撃を受けると、プログラムの動作・挙動が変わるからである。
なお、上述では、システムの脆弱性を悪用した攻撃によるプログラムの動作・挙動が変わる状態をシステムコールの回数とした。しかし、攻撃によっては本来そのプログラムがアクセスしてはいけない、又はアクセスすることのないファイル(データ)へアクセスすることにより、パスワードファイル・システムファイルといった重要なファイルを閲覧・複製・削除・改ざん等してしまうものもある。そのため、状態監視部100は、システムコールの回数ではなく、パスワード・システム構成といった重要な情報が格納されているファイルや、それら重要なファイルが保管されているディレクトリへのアクセスを監視し、状態数値化部101は、プログラム名と各ディレクトリへのアクセス回数とからなる状態数値化テーブル(ディレクトリ)b2を生成してもよい。図3に状態数値化テーブル(ディレクトリ)b2の例を示す。
また、プログラムの動作・挙動に変化が現われる他のパラメータとして、プログラムの実行時間が挙げられる。すなわち、バッファオーバフロー・DoS等の攻撃により攻撃を受けたプログラムが直ちに終了したり、不正なコードが実行されるため、実行時間が変化する。そこで、状態監視部100は各プログラム(プロセス)の実行時間を監視し、状態数値化部101は、プログラム名とそのプログラムの実行時間からなる状態数値化テーブル(実行時間)b3を生成してもよい。図4に状態数値化テーブル(実行時間)b3の例を示す。
また、Windows(登録商標)上で動作するようなイベントドリブン型のアプリケーションでは、システムコールではなく、イベント状況を監視し、各イベントをカウントし、プログラムと各イベントの回数とからなる状態数値化テーブルを作成してもよい。図5に状態数値化テーブル(イベント数)b4の例を示す。
また、上述では、アプリケーションの動作監視として、監視対象をシステムコール回数、ファイル・ディレクトリへのアクセス回数、実行時間、イベント数の4つの例を示したが、状態監視部100は、それらから1つ以上を監視し、状態数値化テーブルは監視対象を結合したテーブルを作成してもよい。
なお、処理を高速にするために、すべてを監視しなくてもよい。すなわち、特定のアプリケーション、アプリケーションに対する特定のシステムコール、ファイル・ディレクトリだけを監視してもよい。
実施の形態2.
実施の形態1では、学習フェーズと実運用とは切り離されていた。すなわち、実運用中は、学習していない。しかし、業務内容や利用者によって、利用される機能が絞られてきたりと必ずしも学習した正常範囲が永久に適しているとは限らない。正常範囲は、逐次、実状にあわせて修正することが、攻撃及び異常をより正確に判断するために不可欠である。そのため、実運用時でも、状態分析部102を用いてもよい。すなわち、実運用中、状態数値化部101により数値化された状態を評価部103で評価するだけでなく、状態分析部102で分析することにより、運用中にも逐次正常範囲を修正して、評価基準値情報を更新し、評価基準値情報記憶部105が更新後の評価基準値情報を記憶するようにしてもよい。なお、状態分析部102と評価部103の順番は問わない。実運用中にも状態分析部102にて分析することを特徴とする。
実施の形態1では、学習フェーズと実運用とは切り離されていた。すなわち、実運用中は、学習していない。しかし、業務内容や利用者によって、利用される機能が絞られてきたりと必ずしも学習した正常範囲が永久に適しているとは限らない。正常範囲は、逐次、実状にあわせて修正することが、攻撃及び異常をより正確に判断するために不可欠である。そのため、実運用時でも、状態分析部102を用いてもよい。すなわち、実運用中、状態数値化部101により数値化された状態を評価部103で評価するだけでなく、状態分析部102で分析することにより、運用中にも逐次正常範囲を修正して、評価基準値情報を更新し、評価基準値情報記憶部105が更新後の評価基準値情報を記憶するようにしてもよい。なお、状態分析部102と評価部103の順番は問わない。実運用中にも状態分析部102にて分析することを特徴とする。
また、実運用中、毎回毎回状態分析部102で分析しなくてもよい。システムの負荷を考慮し、時間間隔または特定時刻による定期的な分析実行、プログラムの実行回数をトリガーというように毎回分析しなくてもよい。
また、実運用時に分析対象とする状態を、学習時に収集したすべてを含めてもよいし、より最近の実情だけを反映させるために、数日前又は数時間前というように、一部分だけ学習させてもよい。
このように、本実施の形態によれば、プログラムの実運用時に評価基準値情報の更新を行うため、常にプログラムの運用状況に適合した適切な評価基準値情報を得ることができる。
実施の形態3.
以上の実施の形態では、実運用前に正常状態を学習したが、異常状態を学習してもよい。すなわち、例えば、実施の形態1ではプログラムごとにシステムコール回数をカウントしたが、バッファオーバフロー・クロスサイトスクリプティングといった攻撃ごとにシステムコールをカウント及び学習させて、攻撃時のシステムコール回数の範囲を定め、実運用時、評価結果がバッファオーバフロー等の攻撃可能性の範囲に含まれているか否かで攻撃を判断してもよい。
以上の実施の形態では、実運用前に正常状態を学習したが、異常状態を学習してもよい。すなわち、例えば、実施の形態1ではプログラムごとにシステムコール回数をカウントしたが、バッファオーバフロー・クロスサイトスクリプティングといった攻撃ごとにシステムコールをカウント及び学習させて、攻撃時のシステムコール回数の範囲を定め、実運用時、評価結果がバッファオーバフロー等の攻撃可能性の範囲に含まれているか否かで攻撃を判断してもよい。
本実施の形態では、実運用前に異常状態を学習し、異常状態の範囲を示す評価基準値情報を評価基準値情報記憶部105に記憶させ、また、実運用時に、状態数値化部101により生成された状態数値化テーブルの値が評価基準値情報の範囲に合致する場合に、異常と判断する。これ以外は、実施の形態1と同様であり、詳細な説明は省略する。
このように、本実施の形態によれば、あらかじめ各プログラム(プロセス)が異常動作するときのシステムコールの回数をカウントし、各システムコール回数の異常な範囲を算出しておき、実運用時は、各プログラム(プロセス)がコールしたシステムコールの回数があらかじめ算出した異常範囲にあるか否かで攻撃か否かを判断する。そうすることにより、シグニチャ更新不要でまだ発見されてないシステムの脆弱性を悪用した攻撃又は異常を検知することが可能となる。
また、実施の形態1と同様に、システムコールだけでなく、ファイル・ディレクトリへのアクセス数、実行時間、イベント数を監視するようにしてもよい。また、これらを組み合わせて用いてもよい。
ここで、以上の実施の形態で説明した侵入検知装置の主な特徴を以下にて示す。
以上の実施の形態で説明した侵入検知装置は、コンピュータネットワークシステムにおいて、あらかじめシステムの動作をモニタし正常時の状態を記憶し、運用時に、あらかじめ記憶していた状態と異なる場合に異常と判断することを特徴とする。
また、コンピュータネットワークシステムにおいて、プログラムやユーザの振る舞いを数値化する手段を備えたことを特徴とする。
また、コンピュータネットワークシステムにおいて、数値化されたプログラムやユーザの振る舞いを相関分析する手段を備えたことを特徴とする。
1 侵入検知装置、100 状態監視部、101 状態数値化部、102 状態分析部、103 評価部、104 評価結果表示部、105 評価基準値情報記憶部。
Claims (12)
- 所定のコンピュータリソースを監視対象リソースとし、監視対象リソースの正常時の動作を監視して生成された、監視対象リスースの正常時の動作状態を定義する評価基準値情報を記憶する評価基準値情報記憶部と、
前記監視対象リソースの動作を監視するとともに、監視結果から、前記監視対象リソースの動作状態を示す動作状態値情報を生成する状態監視数値化部と、
前記状態監視数値化部により生成された前記監視対象リソースの動作状態値情報と前記評価基準値情報記憶部に記憶されている評価基準値情報とを比較し、動作状態値情報が評価基準値情報に合致しない場合に、前記監視対象リソースが異常であると評価する評価部と、
前記評価部による評価結果を出力する評価結果出力部とを有することを特徴とする監視装置。 - 前記状態監視数値化部は、
前記監視対象リソースの正常時の動作を監視するとともに、監視結果から、前記監視対象リソースの正常時の動作状態を示す正常時動作状態値情報を生成し、
前記監視装置は、更に、
前記状態監視数値化部により生成された正常時動作状態値情報を分析して評価基準値情報を導出する状態分析部を有し、
前記評価基準値情報記憶部は、
前記状態分析部により導出された評価基準値情報を記憶することを特徴とする請求項1に記載の監視装置。 - 前記評価基準値情報記憶部は、
所定のプログラムを監視対象プログラムとし、監視対象プログラムの正常時のシステムコールの回数を定義する評価基準値情報を記憶し、
前記状態監視数値化部は、
前記監視対象プログラムのシステムコールの状況を監視するとともに、監視結果から、前記監視対象プログラムのシステムコールの回数を示す動作状態値情報を生成し、
前記評価部は、
前記監視対象プログラムのシステムコールの回数を示す動作状態値情報と前記監視対象プログラムの正常時のシステムコールの回数を定義する評価基準値情報とを比較し、動作状態値情報が評価基準値情報に合致しない場合に、前記監視対象プログラムが異常であると評価することを特徴とする請求項1に記載の監視装置。 - 前記評価基準値情報記憶部は、
所定のプログラムを監視対象プログラムとし、監視対象プログラムが正常時に特定のデータにアクセスする回数を定義する評価基準値情報を記憶し、
前記状態監視数値化部は、
前記監視対象プログラムのデータアクセス状況を監視するとともに、監視結果から、前記監視対象プログラムが前記特定のデータにアクセスする回数を示す動作状態値情報を生成し、
前記評価部は、
前記監視対象プログラムが前記特定のデータにアクセスする回数を示す動作状態値情報と前記監視対象プログラムが正常時に前記特定のデータにアクセスする回数を定義する評価基準値情報とを比較し、動作状態値情報が評価基準値情報に合致しない場合に、前記監視対象プログラムが異常であると評価することを特徴とする請求項1に記載の監視装置。 - 前記評価基準値情報記憶部は、
所定のプログラムを監視対象プログラムとし、監視対象プログラムの正常時の実行時間を定義する評価基準値情報を記憶し、
前記状態監視数値化部は、
前記監視対象プログラムの実行時間を監視するとともに、監視結果から、前記監視対象プログラムの実行時間を示す動作状態値情報を生成し、
前記評価部は、
前記監視対象プログラムの実行時間を示す動作状態値情報と前記監視対象プログラムの正常時の実行時間を定義する評価基準値情報とを比較し、動作状態値情報が評価基準値情報に合致しない場合に、前記監視対象プログラムが異常であると評価することを特徴とする請求項1に記載の監視装置。 - 前記評価基準値情報記憶部は、
所定のプログラムを監視対象プログラムとし、監視対象プログラムの正常時のイベント数を定義する評価基準値情報を記憶し、
前記状態監視数値化部は、
前記監視対象プログラムのイベント状況を監視するとともに、監視結果から、前記監視対象プログラムのイベント数を示す動作状態値情報を生成し、
前記評価部は、
前記監視対象プログラムのイベント数を示す動作状態値情報と前記監視対象プログラムの正常時のイベント数を定義する評価基準値情報とを比較し、動作状態値情報が評価基準値情報に合致しない場合に、前記監視対象プログラムが異常であると評価することを特徴とする請求項1に記載の監視装置。 - 前記状態分析部は、
前記状態監視数値化部により生成された動作状態値情報を分析して評価基準値情報を更新し、
前記評価基準値情報記憶部は、
前記状態分析部により更新された更新後の評価基準値情報を記憶することを特徴とする請求項2に記載の監視装置。 - 所定のコンピュータリソースを監視対象リソースとし、監視対象リソースの異常時の動作状態を定義する評価基準値情報を記憶する評価基準値情報記憶部と、
前記監視対象リソースの動作を監視するとともに、監視結果から、前記監視対象リソースの動作状態を示す動作状態値情報を生成する状態監視数値化部と、
前記状態監視数値化部により生成された前記監視対象リソースの動作状態値情報と前記評価基準値情報記憶部に記憶されている評価基準値情報とを比較し、動作状態値情報が評価基準値情報に合致する場合に、前記監視対象リソースが異常であると評価する評価部と、
前記評価部による評価結果を出力する評価結果出力部とを有することを特徴とする監視装置。 - 所定のコンピュータリソースを監視対象リソースとし、監視対象リソースの動作を監視するとともに、監視結果から、前記監視対象リソースの動作状態を示す動作状態値情報を生成する状態監視数値化ステップと、
前記監視対象リソースの正常時の動作を監視して生成された、前記監視対象リスースの正常時の動作状態を定義する評価基準値情報と、前記状態監視数値化ステップにより生成された前記監視対象リソースの動作状態値情報とを比較し、動作状態値情報が評価基準値情報に合致しない場合に、前記監視対象リソースが異常であると評価する評価ステップと、
前記評価ステップによる評価結果を出力する評価結果出力ステップとを有することを特徴とする監視方法。 - 所定のコンピュータリソースを監視対象リソースとし、監視対象リソースの動作を監視するとともに、監視結果から、前記監視対象リソースの動作状態を示す動作状態値情報を生成する状態監視数値化ステップと、
前記監視対象リソースの異常時の動作状態を定義する評価基準値情報と、前記状態監視数値化ステップにより生成された前記監視対象リソースの動作状態値情報とを比較し、動作状態値情報が評価基準値情報に合致する場合に、前記監視対象リソースが異常であると評価する評価ステップと、
前記評価ステップによる評価結果を出力する評価結果出力ステップとを有することを特徴とする監視方法。 - 所定のコンピュータリソースを監視対象リソースとし、監視対象リソースの動作を監視するとともに、監視結果から、前記監視対象リソースの動作状態を示す動作状態値情報を生成する状態監視数値化処理と、
前記監視対象リソースの正常時の動作を監視して生成された、前記監視対象リスースの正常時の動作状態を定義する評価基準値情報と、前記状態監視数値化処理により生成された前記監視対象リソースの動作状態値情報とを比較し、動作状態値情報が評価基準値情報に合致しない場合に、前記監視対象リソースが異常であると評価する評価処理と、
前記評価処理による評価結果を出力する評価結果出力処理とをコンピュータに実行させることを特徴とするプログラム。 - 所定のコンピュータリソースを監視対象リソースとし、監視対象リソースの動作を監視するとともに、監視結果から、前記監視対象リソースの動作状態を示す動作状態値情報を生成する状態監視数値化処理と、
前記監視対象リソースの異常時の動作状態を定義する評価基準値情報と、前記状態監視数値化処理により生成された前記監視対象リソースの動作状態値情報とを比較し、動作状態値情報が評価基準値情報に合致する場合に、前記監視対象リソースが異常であると評価する評価処理と、
前記評価処理による評価結果を出力する評価結果出力処理とをコンピュータに実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004042472A JP2005234849A (ja) | 2004-02-19 | 2004-02-19 | 監視装置及び監視方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004042472A JP2005234849A (ja) | 2004-02-19 | 2004-02-19 | 監視装置及び監視方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005234849A true JP2005234849A (ja) | 2005-09-02 |
Family
ID=35017751
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004042472A Pending JP2005234849A (ja) | 2004-02-19 | 2004-02-19 | 監視装置及び監視方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005234849A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007235879A (ja) * | 2006-03-03 | 2007-09-13 | Mitsubishi Electric Corp | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
| JP2019009680A (ja) * | 2017-06-27 | 2019-01-17 | 日本電信電話株式会社 | 検知装置および検知方法 |
| WO2022196625A1 (ja) * | 2021-03-19 | 2022-09-22 | 日本電気株式会社 | 運用管理装置、システム及び方法並びにコンピュータ可読媒体 |
-
2004
- 2004-02-19 JP JP2004042472A patent/JP2005234849A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007235879A (ja) * | 2006-03-03 | 2007-09-13 | Mitsubishi Electric Corp | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
| JP4668092B2 (ja) * | 2006-03-03 | 2011-04-13 | 三菱電機株式会社 | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
| JP2019009680A (ja) * | 2017-06-27 | 2019-01-17 | 日本電信電話株式会社 | 検知装置および検知方法 |
| WO2022196625A1 (ja) * | 2021-03-19 | 2022-09-22 | 日本電気株式会社 | 運用管理装置、システム及び方法並びにコンピュータ可読媒体 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| EP2653994B1 (en) | Information security techniques including detection, interdiction and/or mitigation of memory injection attacks | |
| EP2169582B1 (en) | Method and apparatus for determining software trustworthiness | |
| US10430586B1 (en) | Methods of identifying heap spray attacks using memory anomaly detection | |
| US8001606B1 (en) | Malware detection using a white list | |
| US7739740B1 (en) | Detecting polymorphic threats | |
| US8931086B2 (en) | Method and apparatus for reducing false positive detection of malware | |
| US8499063B1 (en) | Uninstall and system performance based software application reputation | |
| US7574322B2 (en) | Automated client device management | |
| US20090133125A1 (en) | Method and apparatus for malware detection | |
| US10216934B2 (en) | Inferential exploit attempt detection | |
| US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
| EP3474174B1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| US20210049262A1 (en) | Stack pivot exploit detection and mitigation | |
| JP6523582B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| US8490195B1 (en) | Method and apparatus for behavioral detection of malware in a computer system | |
| JP2005234849A (ja) | 監視装置及び監視方法及びプログラム | |
| CN114900375A (zh) | 一种基于ai图分析的恶意威胁侦测方法 | |
| JP6861196B2 (ja) | プログラムの危険な挙動のパターンをユーザのコンピュータシステムに適応させるシステムおよび方法 | |
| JP7255681B2 (ja) | 実行制御システム、実行制御方法、及びプログラム | |
| KR102535251B1 (ko) | 전자 장치의 사이버 보안 리포트 생성 방법 | |
| US20220215090A1 (en) | Detecting Stack Pivots Using Stack Artifact Verification | |
| JP6857627B2 (ja) | ホワイトリスト管理システム | |
| JP6646494B2 (ja) | 監視装置、監視方法、及びプログラム | |
| WO2020240766A1 (ja) | 評価装置、システム、制御方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Effective date: 20070118 Free format text: JAPANESE INTERMEDIATE CODE: A621 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090826 |
|
| A131 | Notification of reasons for refusal |
Effective date: 20090915 Free format text: JAPANESE INTERMEDIATE CODE: A131 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100223 |