JP2006040196A - Software monitoring system and monitoring method - Google Patents
Software monitoring system and monitoring method Download PDFInfo
- Publication number
- JP2006040196A JP2006040196A JP2004222819A JP2004222819A JP2006040196A JP 2006040196 A JP2006040196 A JP 2006040196A JP 2004222819 A JP2004222819 A JP 2004222819A JP 2004222819 A JP2004222819 A JP 2004222819A JP 2006040196 A JP2006040196 A JP 2006040196A
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- software
- monitoring
- information
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ソフトウェア監視システムおよび監視方法に係り、さらに詳しくは、ネットワークに接続された端末装置の状態を監視装置で監視するシステムにおいて、端末装置が有するソフトウェア情報に基づいてセキュリティレベルの低い端末装置を検出するソフトウェア監視システム及び監視方法に関するものである。 The present invention relates to a software monitoring system and a monitoring method, and more particularly, in a system for monitoring the state of a terminal device connected to a network with a monitoring device, a terminal device with a low security level based on software information of the terminal device The present invention relates to a software monitoring system and a monitoring method for detecting an error.
複数の端末装置がネットワークに接続されて構成されるネットワークシステムにおいて、端末装置が有するソフトウェア情報を監視することによって、脆弱性の有無や、ウイルスの感染の有無等のソフトウェアの安全性を検証し、セキュリティレベルの低い端末装置を検出することが知られている。その検証結果に従って端末装置に対策を講じ、これによりネットワーク全体のセキュリティレベルを向上させることができる。 In a network system configured by connecting a plurality of terminal devices to the network, by monitoring the software information that the terminal device has, verify the security of software such as the presence of vulnerabilities and the presence or absence of virus infection, It is known to detect a terminal device with a low security level. In accordance with the verification result, measures are taken for the terminal device, thereby improving the security level of the entire network.
セキュリティレベルの低い端末装置を発見するための技術としては、脆弱性検証処理方法や、ウイルスおよびワーム等(以下、単にマルウェアとも称する)感染検証処理方法によるものが知られている。 Known techniques for discovering a terminal device with a low security level include a vulnerability verification processing method and a virus and worm (hereinafter also simply referred to as malware) infection verification processing method.
前者の脆弱性検証処理に関しては、例えば、特開2003−271469号公報(特許文献1)に、検査コンソールが、ネットワークに接続されたクライアント装置であるコンピュータからファイル情報やレジストリ情報を収集して、クライアント装置の状況や脆弱性を検出する技術が開示されている。 Regarding the former vulnerability verification processing, for example, in Japanese Patent Application Laid-Open No. 2003-271469 (Patent Document 1), an inspection console collects file information and registry information from a computer that is a client device connected to a network, Techniques for detecting the status and vulnerability of client devices are disclosed.
また、後者のマルウェア感染検証処理に関しては、例えば、特開2002−222094号公報(特許文献2)に、サーバが、複数のクライアントからウイルスの検出、消去に関する処理情報を収集して、ウイルス対策の実行指示と管理を一元的に行なう技術が開示されている。 Regarding the latter malware infection verification processing, for example, in Japanese Patent Laid-Open No. 2002-222094 (Patent Document 2), a server collects processing information related to detection and deletion of viruses from a plurality of clients, and performs anti-virus measures. A technique for performing execution instructions and management in an integrated manner is disclosed.
上記のような従来の技術によってセキュリティレベルの低い端末装置を発見するには、脆弱性検証処理を実施するソフトウェアと、マルウェア感染検証処理を実施するソフトウェアの2つのソフトウェアを用意する必要がある。 In order to discover a terminal device with a low security level by the conventional technology as described above, it is necessary to prepare two software, software that performs vulnerability verification processing and software that performs malware infection verification processing.
また、マルウェア感染検証処理においては、監視対象の端末装置が持つファイルを全て検索して処理するために多大な時間がかかり、かつ多くのリソースを消費する。更に、マルウェアの感染を検証するための処理に時間がかかることからマルウェアの二次的感染、破壊活動、情報漏洩などといった不正活動を助長することになり被害拡大の危険性が高くなる。 Further, in the malware infection verification process, it takes a lot of time and consumes many resources to search and process all the files of the terminal device to be monitored. Furthermore, since the process for verifying the malware infection takes time, it promotes fraudulent activities such as secondary infection of malware, destruction activities, information leakage, and the like, increasing the risk of spreading damage.
本発明の目的は、ソフトウェアの安全性を検証して、セキュリティレベルの低い端末装置を検出することにある。
本発明は、より具体的には、脆弱性のあるソフトウェアを持つ端末装置、又はマルウェアに感染した端末装置を効率的に検出して、的確な対策を講じることができるソフトウェアの監視システム及び方法を提供することにある。
An object of the present invention is to verify the safety of software and detect a terminal device with a low security level.
More specifically, the present invention provides a software monitoring system and method capable of efficiently detecting a terminal device having vulnerable software or a terminal device infected with malware and taking appropriate measures. It is to provide.
本発明にかかるソフトウェア監視システムは、監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムにおいて、監視装置は、システムで使用されるソフトウェアの特徴を含む特徴情報を格納する第1のデータベース(第1DB)と、少なくとも端末装置のソフトウェアを監視するための処理を行うサーバプログラムを実行する処理装置とを有し、端末装置は、自らが有するファイルに関する情報を取得して格納する第2のデータベース(第2DB)と、前記ファイルに関する情報を取得して該第2DBへ格納するため処理、及び監視装置からの検証要求に基づいて検証のための処理を行なう該エージェントプログラムを実行する処理装置を有し、監視装置は、サーバプログラムの実行により、対象とする端末装置に特徴情報と共に検証要求を送信し、端末装置は、検証要求を受信した後、エージェントプログラムの実行により第2DBを検索して特徴情報に関連するファイルの存在を検証して、検証結果を監視装置に送信し、監視装置は、サーバプログラムの実行により、受信した検証結果に基づいて端末装置のソフトウェアの状態を判断する処理を行う。 The software monitoring system according to the present invention is a system that monitors the state of software of a terminal device connected to a network by a monitoring device, and the monitoring device stores feature information including characteristics of software used in the system. The first database and a processing device that executes at least a server program that performs processing for monitoring the software of the terminal device. The terminal device acquires and stores information about the files that the terminal device has. 2 database (second DB), processing for acquiring information about the file and storing it in the second DB, and processing for executing the agent program for performing verification processing based on a verification request from the monitoring device The monitoring device is a target terminal device by executing the server program After transmitting the verification request together with the feature information, the terminal device receives the verification request, searches the second DB by executing the agent program, verifies the existence of the file related to the feature information, and sends the verification result to the monitoring device. The monitoring apparatus performs a process of determining the software state of the terminal apparatus based on the received verification result by executing the server program.
また、このシステムは、更に、ネットワークに接続されたネットワーク制御装置を含み、ネットワーク制御装置は、アクセス制御に関する情報を登録するアクセス管理情報DBと、ネットワークに対するアクセス制御を行なうアクセス制御プログラムを実行する処理装置を備え、監視装置が、検証結果に基づく判断の処理した後、ネットワークを介して関係するネットワーク制御装置へアクセス制御指示を送信した時、アクセス制御プログラムは、アクセス制御指示を受信して、関連する端末装置に対する通信のアクセス制御を行なう。
好ましい例では、上記第1DBは、特徴情報として、マルウェア感染時に生成されるファイルの特徴情報、又は脆弱性の原因となるファイルの特徴情報、又は使用が制限されているソフトウェアを特定することできる特徴情報の少なく1つを含む。
例えば、特徴情報として、ファイルの名前、ファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値、ソフトウェアのインストールによって書き換えられるレジストリ情報の1又はそれらの組合わせを含む。
監視装置のサーバプログラムは、また、検証結果に基づいて判断した後、端末装置に対して不具合なファイルの処置を含む対策支援を行なうための処理を実行する機能を有し、端末装置は、監視装置から対策支援の指示があった場合、対策支援に関する情報を表示装置に表示する。
本発明は、上記監視システムにおける監視装置としての構成、又は上記システムにおける監視装置で実行されるサーバプログラム、及び端末装置で実行されるエージェントプログラムについても新規な発明として把握される。
The system further includes a network control device connected to the network, and the network control device executes an access management information DB for registering information related to access control and an access control program for performing access control on the network. When the access control instruction is transmitted to the network control device concerned via the network after the monitoring device has processed the judgment based on the verification result, the access control program receives the access control instruction and Communication access control to the terminal device to be performed.
In a preferred example, the first DB can identify feature information of a file generated at the time of malware infection, feature information of a file causing a vulnerability, or software whose use is restricted as feature information. Contains at least one piece of information.
For example, the feature information includes one or a combination of a file name, a file size, a time stamp, a location, a hash value of the file name, a data hash value, and registry information rewritten by software installation.
The server program of the monitoring device also has a function of executing processing for providing countermeasure support including measures for defective files to the terminal device after making a determination based on the verification result. When a countermeasure support instruction is issued from the device, information regarding the countermeasure support is displayed on the display device.
The present invention is also grasped as a novel invention with respect to a configuration as a monitoring device in the monitoring system, or a server program executed by the monitoring device in the system and an agent program executed by a terminal device.
本発明にかかるソフトウェアの監視方法は、監視装置によってネットワークに接続された端末装置のソフトウェアの状態を監視する方法において、監視装置では、ソフトウェアの特徴を含む特徴情報を第1DBに格納するステップと、端末装置では、自らが有するファイルに関する情報を取得して第2DBに格納するステップと、監視装置から端末装置に、特徴情報を伴ってソフトウェアの検証要求を送信するステップと、端末装置では、検証要求を受信した後、第2DBを検索して特徴情報に関連するファイルの存在を検証するステップと、端末装置から監視装置に、検証結果を送信するステップと、監視装置では、受信した検証結果に基づいて、端末装置のソフトウェアの状態を判断するステップと、を有する。
好ましい例では、監視装置は、検証結果に基づいて判断した後、端末装置に対して不具合なファイルの処置を含む対策支援情報を送信するステップと、端末装置では、対策支援情報を受信して対策の内容を表示装置に表示するステップとを含む。
また、一例として、前記対策支援情報は、端末装置に対するアクション、表示データ、送受信情報、ファイルパス等うちの少なくとも1つ又はそれらの組み合わせを含む。
The software monitoring method according to the present invention is a method of monitoring the software status of a terminal device connected to a network by a monitoring device, wherein the monitoring device stores feature information including software features in the first DB; In the terminal device, the step of acquiring information related to the file owned by the terminal device and storing it in the second DB, the step of transmitting a software verification request with feature information from the monitoring device to the terminal device, and the terminal device in the verification request , The second DB is searched to verify the existence of a file related to the feature information, the verification result is transmitted from the terminal device to the monitoring device, and the monitoring device is based on the received verification result. And determining the software state of the terminal device.
In a preferred example, after the monitoring device makes a determination based on the verification result, the step of transmitting countermeasure support information including measures for a defective file to the terminal device, and the terminal device receives the countermeasure support information and takes countermeasures. Displaying the contents on the display device.
Further, as an example, the countermeasure support information includes at least one of an action for a terminal device, display data, transmission / reception information, a file path, or a combination thereof.
本発明によれば、監視装置からの要求に応じて、端末装置が取得したソフトウェア構成情報をチェックすることにより、比較的容易にセキュリティレベルの低い端末装置を検出することができ、またそれらの端末装置に対して的確な対策を講じることができる。また、従来の検証方法に比べて、高速に検証処理を行なうことができるため、二次感染を最小限に抑えることが可能となる。 According to the present invention, it is possible to relatively easily detect a terminal device with a low security level by checking the software configuration information acquired by the terminal device in response to a request from the monitoring device, and to detect those terminals. Appropriate measures can be taken for the device. In addition, since the verification process can be performed at a higher speed than the conventional verification method, secondary infection can be minimized.
以下、図面を用いて、本発明の一実施形態について説明する。
図1は、一実施形態によるソフトウェア監視システムのネットワーク構成図である。
このソフトウェア監視システムは、ローカルネットワーク50を介して、監視装置10と、複数の端末装置20と、及びネットワーク制御装置30、40とが互いに接続され、また、ネットワーク制御装置30は、更にインターネットなどのワールドエリアネットワーク60に接続されて構成される。
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a network configuration diagram of a software monitoring system according to an embodiment.
In this software monitoring system, a
各装置10〜40を構成するハードウェアについては、図2に示すように、実質的に同様のユニットを有して構成される。
即ち、監視装置10は、バス17に接続された、CPU11と、メモリ12と、通信装置13と、表示装置14と、入力装置15と、記憶装置16とを有して構成される。端末装置20は、パーソナルコンピュータ(PC)のようなクライアントであり、それぞれバス27に接続された、CPU21と、メモリ22と、通信装置23と、表示装置24と、入力装置25と、記憶装置26とを有して構成される。また、ネットワーク制御装置30は、バス37に接続された、CPU31と、メモリ32と、通信装置33と、表示装置34と、入力装置35と、記憶装置36と、通信装置38とを有して構成される。ネットワーク制御装置40は、バス47に接続された、CPU41と、メモリ42と、通信装置43と、表示装置44と、入力装置45と、記憶装置46とを有して構成される。
As shown in FIG. 2, the hardware configuring each of the
That is, the
次に、図3を参照して、各装置10〜40の機能、およびそれらに関連するソフトウェア情報について説明する。 Next, with reference to FIG. 3, the function of each apparatus 10-40 and the software information relevant to them are demonstrated.
監視装置10は、ソフトウェアの制御情報等を格納するためのソフトウェア制御情報データベース(DB)110と、端末装置20の検証結果等を含む状態情報を格納する監視情報DB120と、ソフトウェア検索要求、検証結果、対策支援情報などの情報を送受信するデータ送受信部102と、それらを制御するサーバプログラム101を有する。尚、DB110、120は記憶装置16に形成される。
The
ソフトウェア制御情報DB110は、マルウェア感染時に生成されるファイルの特徴情報を格納するマルウェア特徴情報111や、脆弱性の原因となるファイルの特徴情報を格納する脆弱性特徴情報112や、ライセンス制限などの理由により使用が制限されているソフトウェアを一意に特定することが可能なファイルの特徴情報を格納する使用制限情報113などを格納する。また、監視情報DB120は、端末装置20から収集された検証結果に関する情報を格納する。即ち、検証要求の応答として端末装置20から取得された、脆弱性在り又はマルウェア感染在りのファイルの特徴情報を、端末装置20の例えばIPアドレスやホスト名に対応させて格納する。
The software control information DB 110 includes
ここで、特徴情報とは、ソフトウェアの種類やバージョンなどを特定するための情報であり、ファイルの名前やファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値に代表されるファイルを特定するための複数の情報を組み合わせた情報を言う。例えば、ウイルスに感染すると特定のファイルが生成されて、その時にハッシュ値が残る。また、脆弱性の在るソフトウェアには原因となる不具合のあるファイルが含まれており、インストール時にそのファイルのハッシュ値が残る。従ってこれらの特徴情報をキーにして,各端末装置20が持つ情報を検索すれば、脆弱性のあるファイル等を探し出せる。
Here, the feature information is information for specifying the type and version of software, and the file represented by the file name and file size, time stamp, location, file name hash value, and data hash value. Information that combines multiple pieces of information for identification. For example, when a virus is infected, a specific file is generated and a hash value remains at that time. In addition, the vulnerable software contains a file with a problem that causes it, and the hash value of the file remains at the time of installation. Accordingly, by searching for the information held by each
本実施例では、監視装置10のサーバプログラム101の実行により、端末装置20に収集された特徴情報を検索して脆弱性のあるファイルを検出して収集し、そのファイルに対して監視装置10から対策指示を行なう。即ち、監視装置10は、ローカルエリアネットワーク50に脆弱性などの問題を有する不適切な端末装置が接続されているか否かを検査するために、端末装置20に対して脆弱性などの問題を有するソフトウェアの保有状態を確認する検証要求を送信する。さらに、監視装置10は、検証要求に対する応答として、端末装置20から検証結果を収集し管理する。
In the present embodiment, by executing the
また、監視装置10は、端末装置20から取得した検証結果に基づきネットワーク制御装置30,40にアクセス制御要求を送信したり、端末装置20に対策支援情報を送信する。ここで対策支援情報とは、脆弱性やマルウェアを排除するプログラムや制御情報あるいは、脆弱性やマルウェアを排除する方法が記述されたデータ、及び注意喚起するための表示用データである。またネットワーク制御装置30,40は、受信したアクセス制御要求に従って、脆弱性の在る特定の端末装置20に対してアクセスを禁止するなどの制御を行なう。
Further, the
図5に、対策支援情報の例を示す。対策支援情報は、端末装置20に対するアクション、表示データ、送受信情報、ファイルパス、等々、図示のような情報を含む。端末装置20の表示装置24には、受信した対策支援情報が表示され、その表示に従って処置するように促される。
FIG. 5 shows an example of countermeasure support information. The countermeasure support information includes information as illustrated, such as an action for the
端末装置20は、通常時は記憶装置26に記憶されたプログラムをCPU21で実行して所期の機能を実現している。本実施例においては、端末装置20は、端末装置20内のソフトウェアの特徴情報を格納するソフトウェア構成情報DB203と、監視装置10との間でソフトウェア検索要求、検証結果、対策支援情報などの情報を送受信するデータ送受信部201と、それらを制御するエージェントプログラム202を有する。尚、ソフトウェア構成情報DB203は記憶装置26内に形成される。
The
図4に示すように、ソフトウェア構成情報DB203に格納されるソフトウェア特徴情報には、ファイル名、ファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値、ソフトウェアのインストールによって書き換えられるレジストリ情報等が含まれる。これらの情報の1又は複数の組合わせた情報によってDB203を検索することにより、該当するファイル等が捜し出される。
As shown in FIG. 4, software feature information stored in the software
エージェントプログラム202は、端末装置20における通常のプログラムの実行により生成されるファイルやソフトウェアに関する特徴情報を、リアルタイムで収集してソフトウェア構成情報DB203に登録する機能を有する。更に、監視装置10のサーバプログラム101からの検証要求に従って、このエージェントプログラム202を実行させ、ソフトウェア構成情報DB203を検索して、脆弱性を有するソフトウェアやマルウェア感染時に生成されるファイルを捜し出し、その検証結果を監視装置10へ送信する機能を有する。さらに、エージェントプログラム202は、監視装置10から送信される対策支援情報に基づき対策を実施する。例えば、表示装置24に表示される対策支援情報に従って、脆弱性の原因となるファイルやマルウェア感染時に生成されるファイルを認識して、これらのファイルを記憶装置26から削除したり、検疫することができる。
The agent program 202 has a function of collecting, in real time, characteristic information about files and software generated by executing normal programs in the
このように、通常のプログラムの実行時に、エージェントプログラム202の実行によってファイルやソフトウェアに関する特徴情報をリアルタイムで収集してソフトウェア構成情報DB203に収集しておくことにより、監視装置10からの検証要求に対してDB203を検索して、脆弱性の在るファイル等を即座に求めて応答することができる。これにより短時間で脆弱性検証処理やマルウェア感染検証処理を実施できる。
As described above, when the normal program is executed, the feature information about the file and the software is collected in real time by the execution of the agent program 202 and collected in the software
ネットワーク制御装置30は、ローカルエリアネットワーク50に接続された不適切な端末装置による被害拡大を防止するために、アクセス制御や端末装置のネットワーク通信遮断などを実施する。
図3に示すように、ネットワーク制御装置30は、アクセス管理情報DB304と、データ送受信部302と、データ送受信部301と、それらを制御するアクセス制御プログラム303を有する。
The
As shown in FIG. 3, the
アクセス管理情報DB304は、端末装置20のアクセス制御に関する情報を格納する。データ送受信部302は、監視装置10から送信されるアクセス制御指示情報やアクセス管理情報を送受信すると共に、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データや、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データなどを送受信する。データ送受信部301は、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データや、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データなどを送受信する。
The access
ネットワーク制御装置40は、ローカルエリアネットワーク50に接続された不適切な端末装置による被害拡大を防止するために、アクセス制御などを実施する。
図3に示すように、ネットワーク制御装置40は、端末装置のアクセス制御に関する情報が格納されるアクセス管理情報DB403と、監視装置10からアクセス制御指示情報や、アクセス管理情報や、ローカルエリアネットワーク50に接続している端末装置の送信する通信データなどを送受信するデータ送受信部401と、それらを制御するアクセス制御プログラム402を有する。
The
As shown in FIG. 3, the
次に、図6を参照して、このソフトウェア監視システムの動作の概略を説明する。
最初に各端末装置20は、エージェントプログラム202の実行によって、自ら保有するファイルの情報をリアルタイムでソフトウェア構成情報DB203に記録する(ST01)。並行して又は逐次、監視装置10は、ソフトウェアを特定するためのソフトウェア特徴情報(マルウェア特徴情報および脆弱性情報)、及びソフトウェア検出時の処理を定義した情報(使用制限情報)を、ソフトウェア制御情報DB110に記録する(ST02)。
Next, an outline of the operation of the software monitoring system will be described with reference to FIG.
First, each
次に、監視装置10は、サーバプログラム101の実行の下、端末装置20に対してソフトウェア検証要求を送信する(ST1)。この検証要求による検査は、例えば毎日午前0時10分のように一定時間毎に実行される。端末装置20はソフトウェア検証要求を受信すると、ソフトウェア構成情報DB203を検索して、上記特徴情報によって指定されたソフトウェア情報を格納しているかを検証し、その検証結果を監視装置10に送信する(ST2)。
Next, under the execution of the
監視装置10は,各端末装置20から送信される検証結果を受信し、必要に応じて該当する端末装置20に対して対策支援情報を送信する(ST3)。更に、監視装置10は検証結果に基づき、必要に応じて該当するネットワーク制御装置30、40に対して、アクセス制御指示を送信する(ST4)。アクセス制御指示を受信したネットワーク制御装置30、40は、端末装置20のネットワーク通信のアクセス制御を実施する。アクセス制御指示に基づいて例えば、ネットワークの通信遮断を行なう。監視装置10は端末装置20に対してもアクセス制御指示を送信して同様の処理を実施することがある。
The
次に、図7を参照して、ソフトウェア監視システムにおける各装置の処理動作について説明する。
まず、監視装置10はネットワークに接続された端末装置20を監視するために、サーバプログラム101を起動する(S001)。そして監視装置10はソフトウェア特徴情報を定義する(S002)。
ここでは、データハッシュ値=“2B9327351AC421E2B67E13A18A31F0BF72EA2323”に一致するファイル1をマルウェア感染時に生成されるファイルとして、ファイル名=“system.dll”、データハッシュ値=“481EA981C7E8F546AE12143EE7D08011BF9F3728”に一致するファイル2を脆弱性のある古いシステムファイルと仮定する。
Next, the processing operation of each device in the software monitoring system will be described with reference to FIG.
First, the
Here, the
次に、監視装置10はソフトウェアが検出された場合の動作などをポリシー情報として定義する(S003)。ポリシー情報として、例えばS002で定義されたファイル1が検出された端末装置のネットワーク接続を切断し、ファイル2が検出された端末装置にはファイルの更新を促すメッセージを表示するように定義するものとする。
Next, the
サーバプログラム101は、ローカルエリアネットワーク50に接続されている監視対象となる端末装置20の状態情報の一覧を表示する(S004)。表示装置14には、例えば、監視対象となる端末装置20のIPアドレスやホスト名と共に、監視情報DB120に格納して蓄積されたその端末装置20に関する脆弱性保有状態やマルウェア感染状態に関する検証結果の情報が表示される。システム保守員は、表示内容から判断して監視対象とする端末装置を選択して入力装置15から指定する。
The
次に、サーバプログラム101はソフトウェア検証要求を作成し、データ送受信部102を介してそれを監視対象の端末装置20に送信する(S005)。このソフトウェア検証要求は、マルウェア感染時に生成されるファイルや脆弱性を有するソフトウェアや保安上の問題により使用を制限したいソフトウェアなど、セキュリティを確保する上で不適切なソフトウェアの保有状態を検証するために送信されるものである。この検証要求には、ソフトウェア制御情報DB110から取得したマルウェア特徴情報111や脆弱性特徴情報112や使用制限情報113などのソフトウェア特徴情報を伴って送信される。この例では、ソフトウェア検証要求に、上記ファイル1とファイル2を検索するための情報が付加されて送信される。
Next, the
一方、端末装置20では、端末装置20が起動されると、その直後にエージェントプログラム202を起動する(S006)。そして、エージェントプログラム202は、端末装置の保有するファイルの最新の特徴情報を取得して、ソフトウェア構成情報DB203に格納する(S007)。DB203に格納されるソフトウェア構成情報に関しては、例えば、マルウェア感染したある端末装置20は、マルウェア感染時に生成されたファイル(ファイル名=“malicious.exe”、”データハッシュ値=“2B9327351AC421E2B67E13A18A31F0BF72EA2323”)も含む情報をDB203に格納している。また、脆弱性のある古いソフトウェアを使用しているある端末装置20のエージェントプログラム202は、ファイル(ファイル名=“system.dll”、データハッシュ値=“481EA981C7E8F546AE12143EE7D08011BF9F3728”)も含む情報をDB203に格納している(S007)。
On the other hand, in the
端末装置20は監視装置10から送信される、ファイル1およびファイル2に関する特徴情報を含むソフトウェア検証要求を受信すると(S008)、エージェントプログラム202に処理を引き継ぐ。エージェントプログラム202は、ソフトウェア検証要求に基づいてソフトウェア構成情報DB203を検索して、ファイル1およびファイル2と一致するファイルがDB203に存在するか否かを判定する(S009)。
When the
ソフトウェア構成情報DB203の検索した結果、ファイル1又はファイル2の存在を検知すると、エージェントプログラム202は、その検証結果即ちファイル1又はファイル2の情報を含むソフトウェア構成情報を、端末装置20の状態情報(即ちIPアドレス及びホスト名を含む情報)と共にデータ送受信部201を経由して監視装置10に送信する(S010)。
When the agent program 202 detects the presence of the
監視装置10は、監視対象の端末装置20から送信された検証結果の情報を受信すると(S011)、サーバプログラム101は、取得した検証結果からポリシーに基づいて判断する(S012)。例えば、検証結果と、それを取得した端末装置の状態、及び予め策定されたポリシーを表示装置14に表示し、システム管理者によってアクセス制御、脆弱性除去、マルウェア対策、ソフトウェア使用制限などの対策手段が決定されて、対策のための指示が入力装置15から入力される。対策としては、例えばファイル1を保有していた端末装置20に対してはネットワーク接続の切断が指示される。またファイル2を保有していたある端末装置20に対してはソフトウェアの更新を要請するためのメッセージの表示が指示される。そして、サーバプログラム101は、データ送受信部102を経由して、ネットワーク制御装置30、40に対してアクセス制御指示を送信する(S013)。この場合の指示とは、例えば端末装置20のネットワーク接続を切断するための指示である。
When the
ネットワーク制御装置30では、監視装置10より送信されたアクセス制御指示を、データ送受信部302を介して受信する(S014)。同様にして、ネットワーク制御装置40でも、データ送受信部401を介して、このアクセス制御指示を受信することがある。ネットワーク制御装置30のアクセス制御プログラム303は、受信したアクセス制御指示をアクセス管理情報DB304に反映し、端末装置20のネットワーク接続切断の処理を実施する(S015)。
The
また、サーバプログラム101は、データ送受信部102を介して特定の端末装置20に対策支援情報を送信する(S016)。この対策支援情報としては、脆弱性除去、マルウェア対策、ソフトウェア使用制限の強制実行、及び注意喚起や対策手法のための情報が含まれる。
Further, the
特定の端末装置20は、送信された対策支援情報を受信して(S017)、エージェントプログラム202は、その対策支援情報に関する内容を表示装置24に表示する。表示内容としては、例えば古くなったソフトウェアのバージョンを更新する旨を促すメッセージである。その表示に従って、その端末装置20の利用者は対策を講じる(S018)。即ち、指摘された古いソフトウェアのバージョンを最新のものに更新する。
The specific
対策が済むと、エージェントプログラム202は、監視装置10に対して、対策結果、即ちメッセージの閲覧完了通知を送信する(S019)。監視装置10のサーバプログラム101は、対策の対象となった端末装置20から対策結果を受信すると(S020)、その対策結果を監視情報DB120に格納して端末装置の状態情報を更新する(S021)。かつ更新された端末装置20の状態情報を含む一覧を表示装置14に表示する。この表示を見て、システム管理者は、脆弱性やマルウェアに感染した端末装置の状況、及びそれらの端末装置に対する対策の状況を把握することができる。
When the countermeasure is completed, the agent program 202 transmits a countermeasure result, that is, a message browsing completion notification to the monitoring apparatus 10 (S019). When the
上記したように本実施形態によれば、監視装置は、端末装置に内在する脆弱性、利用規則にそぐわないソフトウェアの利用行為、ならびにマルウェア感染状況を検証できる。また、端末装置は自ら保有するファイルの情報を逐次取得してソフトウェア構成情報DBに格納しておくので、監視装置からの検証要求に対して即このソフトウェア構成情報DBを検索することにより、指定された特徴情報に合致したファイルの存否を高速に検証することができる。脆弱性対策やマルウェア対策についてはネットワーク制御装置に対するアクセス制御と連携させることにより、マルウェアの二次感染に対する危険性を低減させることが可能となる。 As described above, according to the present embodiment, the monitoring device can verify the vulnerability inherent in the terminal device, the usage of software that does not conform to the usage rules, and the malware infection status. In addition, since the terminal device sequentially acquires the information of the file held by itself and stores it in the software configuration information DB, it is designated by immediately searching the software configuration information DB in response to the verification request from the monitoring device. The existence of a file that matches the feature information can be verified at high speed. With respect to vulnerability countermeasures and malware countermeasures, it is possible to reduce the risk of secondary infection by malware by linking with access control to the network control device.
10:監視装置、 11、21,31,41:CPU、
12、22,32,42:メモリ、 13、23,33,38,43:通信装置、
14、24,34,44:表示装置、 15、5,35,45:入力装置、
16、26,36,46:記憶装置、 17、27,37,47:バス、
20:端末装置、 30:ネットワーク制御装置、
40:ネットワーク制御装置、 50:ローカルエリアネットワーク、
60:ワールドエリアネットワーク、 101:サーバプログラム、
102:データ送受信部、 110:ソフトウェア制御情報DB、
111:マルウェア特徴情報、 112:脆弱性特徴情報、
113:使用制限情報、 120:監視情報DB、
201:データ送受信部、 202:エージェントプログラム、
203:ソフトウェア構成情報DB、 301、302:データ送受信部、
303:アクセス制御プログラム、 304:アクセス管理情報DB、
401:データ送受信部、 402:アクセス制御プログラム、
403:アクセス管理情報DB。
10: monitoring device, 11, 21, 31, 41: CPU,
12, 22, 32, 42: memory, 13, 23, 33, 38, 43: communication device,
14, 24, 34, 44: display device, 15, 5, 35, 45: input device,
16, 26, 36, 46: storage device, 17, 27, 37, 47: bus,
20: Terminal device, 30: Network control device,
40: network control device, 50: local area network,
60: World area network 101: Server program
102: Data transmission / reception unit, 110: Software control information DB,
111: Malware feature information, 112: Vulnerability feature information,
113: Usage restriction information, 120: Monitoring information DB,
201: Data transmission / reception unit, 202: Agent program,
203: Software configuration information DB, 301, 302: Data transmission / reception unit,
303: Access control program, 304: Access management information DB,
401: Data transmission / reception unit, 402: Access control program,
403: Access management information DB.
Claims (15)
該監視装置は、該システムで使用されるソフトウェアの特徴を含む特徴情報を格納する第1のデータベース(第1DB)と、少なくとも端末装置のソフトウェアを監視するための処理を行うサーバプログラムを実行する処理装置と、を有し、
該端末装置は、自らが有するファイルに関する情報を取得して格納する第2のデータベース(第2DB)と、前記ファイルに関する情報を取得して該第2DBへ格納するため処理、及び該監視装置からの検証要求に基づいて検証のための処理を行なう該エージェントプログラムを実行する処理装置を有し、
該監視装置は、該サーバプログラムの実行により、対象とする該端末装置に該特徴情報と共に検証要求を送信し、
該端末装置は、該検証要求を受信した後、該エージェントプログラムの実行により該第2DBを検索して該特徴情報に関連するファイルの存在を検証して、検証結果を該監視装置に送信し、
該監視装置は、該サーバプログラムの実行により、受信した該検証結果に基づいて該端末装置のソフトウェアの状態を判断する処理を行うことを特徴とするソフトウェア監視システム。 In a system for monitoring the software status of a terminal device connected to a network by a monitoring device,
The monitoring device includes a first database (first DB) that stores feature information including features of software used in the system, and a process that executes a server program that performs processing for monitoring software of at least the terminal device An apparatus,
The terminal device acquires a second database (second DB) that acquires and stores information about a file that the terminal device has, a process for acquiring information about the file and storing the information in the second DB, and from the monitoring device A processing device for executing the agent program for performing processing for verification based on the verification request;
The monitoring device transmits a verification request together with the feature information to the target terminal device by executing the server program,
After receiving the verification request, the terminal device searches the second DB by executing the agent program, verifies the existence of a file related to the feature information, and transmits a verification result to the monitoring device.
The monitoring apparatus performs a process of determining a software state of the terminal apparatus based on the received verification result by executing the server program.
該監視装置が、該検証結果に基づく判断の処理した後、ネットワークを介して関係するネットワーク制御装置へアクセス制御指示を送信した時、該アクセス制御プログラムは、該アクセス制御指示を受信して、関連する該端末装置に対する通信のアクセス制御を行なうことを特徴とする請求項1のソフトウェア監視システム。 And a network control device connected to the network, the network control device comprising an access management information DB for registering information related to access control, and a processing device for executing an access control program for controlling access to the network,
When the monitoring apparatus transmits an access control instruction to a related network control apparatus via the network after processing of the determination based on the verification result, the access control program receives the access control instruction and 2. The software monitoring system according to claim 1, wherein access control of communication with the terminal device is performed.
該端末装置は、該監視装置から該対策支援の指示があった場合、該対策支援に関する情報を表示装置に表示することを特徴とする請求項1乃至3のいずれかのソフトウェア監視システム。 The server program of the monitoring device further has a function of executing processing for providing countermeasure support including measures for a defective file to the terminal device after making a determination based on the verification result,
4. The software monitoring system according to claim 1, wherein the terminal device displays information on the countermeasure support on a display device when the countermeasure apparatus instructs the countermeasure support. 5.
該監視装置では、ソフトウェアの特徴を含む特徴情報を第1DBに格納するステップと、
該端末装置では、自らが有するファイルに関する情報を取得して第2DBに格納するステップと、
該監視装置から該端末装置に、該特徴情報を伴ってソフトウェアの検証要求を送信するステップと、
該端末装置では、該検証要求を受信した後、該第2DBを検索して該特徴情報に関連するファイルの存在を検証するステップと、
該端末装置から該監視装置に、検証結果を送信するステップと、
該監視装置では、受信した検証結果に基づいて、該端末装置のソフトウェアの状態を判断するステップと、
を有することを特徴とするソフトウェアの監視方法。 In a method for monitoring the software status of a terminal device connected to a network by a monitoring device,
In the monitoring apparatus, storing feature information including software features in the first DB;
In the terminal device, the step of acquiring information about the file that the terminal device has and storing it in the second DB;
Transmitting a software verification request with the feature information from the monitoring device to the terminal device;
In the terminal device, after receiving the verification request, searching the second DB and verifying the existence of a file related to the feature information;
Transmitting a verification result from the terminal device to the monitoring device;
In the monitoring device, based on the received verification result, determining a software state of the terminal device;
A software monitoring method characterized by comprising:
該端末装置では、該対策支援情報を受信して対策の内容を表示装置に表示するステップと、
を更に含むことを特徴とする請求項5のソフトウェアの監視方法。 The monitoring device, after making a determination based on the verification result, transmitting countermeasure support information including a treatment of a defective file to the terminal device;
In the terminal device, receiving the countermeasure support information and displaying the contents of the countermeasure on a display device;
The software monitoring method according to claim 5, further comprising:
該ネットワーク制御装置は、該アクセス制御指示を受信して、関連する該端末装置に対する通信のアクセス制御を行なうステップと、
を更に有することを特徴とする請求項5乃至9のいずれかのソフトウェアの監視方法。 The monitoring device, after making a determination based on the verification result, transmitting an access control instruction to a related network control device via a network;
The network control device receives the access control instruction and performs communication access control for the related terminal device;
The software monitoring method according to claim 5, further comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004222819A JP2006040196A (en) | 2004-07-30 | 2004-07-30 | Software monitoring system and monitoring method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004222819A JP2006040196A (en) | 2004-07-30 | 2004-07-30 | Software monitoring system and monitoring method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006040196A true JP2006040196A (en) | 2006-02-09 |
Family
ID=35905077
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004222819A Pending JP2006040196A (en) | 2004-07-30 | 2004-07-30 | Software monitoring system and monitoring method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006040196A (en) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008026287A1 (en) * | 2006-08-31 | 2008-03-06 | Fujitsu Limited | Computer resource verifying method and computer resource verifying program |
JP2008217712A (en) * | 2007-03-07 | 2008-09-18 | Nec Networks & System Integration Corp | Mail server access method and electronic mail system |
JP2010067216A (en) * | 2008-09-12 | 2010-03-25 | Toshiba Corp | Vulnerability determination device and program |
JP2010152898A (en) * | 2008-12-23 | 2010-07-08 | Korea Electronics Telecommun | Apparatus and method for protecting asset in computer system |
WO2011030455A1 (en) | 2009-09-14 | 2011-03-17 | 森清 | Secure audit system and secure audit method |
JP2012533104A (en) * | 2009-07-10 | 2012-12-20 | エフ−セキュア コーポレーション | Antivirus scan |
WO2013035181A1 (en) * | 2011-09-08 | 2013-03-14 | 株式会社日立製作所 | Vulnerability countermeasure device, and vulnerability countermeasure method |
WO2013069758A1 (en) | 2011-11-10 | 2013-05-16 | 株式会社セキュアブレイン | Unauthorized application detection system and method |
JP2016507922A (en) * | 2012-12-10 | 2016-03-10 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | Systems that protect mobile networks |
KR20160099173A (en) * | 2015-02-11 | 2016-08-22 | (주) 에스에스알 | Monitoring method and monitoring device of executable program's action, Computer program for the same, Recording medium storing computer program for the same |
JP2017004521A (en) * | 2015-06-05 | 2017-01-05 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | Method and device for controlling communication of endpoint in industrial enterprise system based on integrity |
JP2018045392A (en) * | 2016-09-13 | 2018-03-22 | 株式会社東芝 | Network monitoring device, network system and program |
JP2019192265A (en) * | 2015-09-15 | 2019-10-31 | 日本電気株式会社 | Information processing apparatus, information processing method, and program |
JP2020013590A (en) * | 2019-08-20 | 2020-01-23 | 株式会社三菱Ufj銀行 | Internet banking system and relay device for unauthorized access cutoff |
-
2004
- 2004-07-30 JP JP2004222819A patent/JP2006040196A/en active Pending
Cited By (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8595828B2 (en) | 2006-08-31 | 2013-11-26 | Fujitsu Limited | Computer resource verifying method and computer resource verifying program |
JPWO2008026287A1 (en) * | 2006-08-31 | 2010-01-14 | 富士通株式会社 | Computer resource verification method and computer resource verification program |
CN101506818B (en) * | 2006-08-31 | 2011-07-27 | 富士通株式会社 | Computer resource verifying method |
WO2008026287A1 (en) * | 2006-08-31 | 2008-03-06 | Fujitsu Limited | Computer resource verifying method and computer resource verifying program |
JP2008217712A (en) * | 2007-03-07 | 2008-09-18 | Nec Networks & System Integration Corp | Mail server access method and electronic mail system |
JP2010067216A (en) * | 2008-09-12 | 2010-03-25 | Toshiba Corp | Vulnerability determination device and program |
JP2010152898A (en) * | 2008-12-23 | 2010-07-08 | Korea Electronics Telecommun | Apparatus and method for protecting asset in computer system |
US8555387B2 (en) | 2008-12-23 | 2013-10-08 | Electronics And Telecommunications Research Institute | Apparatus and method for protecting asset in computer system |
JP2012533104A (en) * | 2009-07-10 | 2012-12-20 | エフ−セキュア コーポレーション | Antivirus scan |
US9965630B2 (en) | 2009-07-10 | 2018-05-08 | F-Secure Corporation | Method and apparatus for anti-virus scanning of file system |
WO2011030455A1 (en) | 2009-09-14 | 2011-03-17 | 森清 | Secure audit system and secure audit method |
JPWO2011030455A1 (en) * | 2009-09-14 | 2013-02-04 | 森 清 | Secure audit system and secure audit method |
JPWO2013035181A1 (en) * | 2011-09-08 | 2015-03-23 | 株式会社日立製作所 | Vulnerability countermeasure device and vulnerability countermeasure method |
WO2013035181A1 (en) * | 2011-09-08 | 2013-03-14 | 株式会社日立製作所 | Vulnerability countermeasure device, and vulnerability countermeasure method |
US9372995B2 (en) | 2011-09-08 | 2016-06-21 | Hitachi, Ltd. | Vulnerability countermeasure device and vulnerability countermeasure method |
WO2013069758A1 (en) | 2011-11-10 | 2013-05-16 | 株式会社セキュアブレイン | Unauthorized application detection system and method |
JPWO2013069758A1 (en) * | 2011-11-10 | 2015-04-02 | 株式会社セキュアブレイン | Unauthorized application detection system and method |
CN103917981A (en) * | 2011-11-10 | 2014-07-09 | 思科博瑞公司 | Unauthorized application detection system and method |
JP2016507922A (en) * | 2012-12-10 | 2016-03-10 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | Systems that protect mobile networks |
KR101653741B1 (en) | 2015-02-11 | 2016-09-05 | (주) 에스에스알 | Monitoring method and monitoring device of executable program's action, Computer program for the same, Recording medium storing computer program for the same |
KR20160099173A (en) * | 2015-02-11 | 2016-08-22 | (주) 에스에스알 | Monitoring method and monitoring device of executable program's action, Computer program for the same, Recording medium storing computer program for the same |
JP2017004521A (en) * | 2015-06-05 | 2017-01-05 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | Method and device for controlling communication of endpoint in industrial enterprise system based on integrity |
JP2019192265A (en) * | 2015-09-15 | 2019-10-31 | 日本電気株式会社 | Information processing apparatus, information processing method, and program |
US10922417B2 (en) | 2015-09-15 | 2021-02-16 | Nec Corporation | Information processing apparatus, information processing method, and program |
JP2021152929A (en) * | 2015-09-15 | 2021-09-30 | 日本電気株式会社 | Terminal management device, terminal management method, and program |
JP7255636B2 (en) | 2015-09-15 | 2023-04-11 | 日本電気株式会社 | Terminal management device, terminal management method, and program |
JP2018045392A (en) * | 2016-09-13 | 2018-03-22 | 株式会社東芝 | Network monitoring device, network system and program |
JP2020013590A (en) * | 2019-08-20 | 2020-01-23 | 株式会社三菱Ufj銀行 | Internet banking system and relay device for unauthorized access cutoff |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200259858A1 (en) | Identifying security actions based on computing asset relationship data | |
JP6224173B2 (en) | Method and apparatus for dealing with malware | |
JP5897132B2 (en) | Dynamic malware removal using cloud technology | |
US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
US9910981B2 (en) | Malicious code infection cause-and-effect analysis | |
CN106687971B (en) | Automatic code locking to reduce attack surface of software | |
RU2568295C2 (en) | System and method for temporary protection of operating system of hardware and software from vulnerable applications | |
EP2860657B1 (en) | Determining a security status of potentially malicious files | |
US10033745B2 (en) | Method and system for virtual security isolation | |
US20150052614A1 (en) | Virtual machine trust isolation in a cloud environment | |
JP5987627B2 (en) | Unauthorized access detection method, network monitoring device and program | |
JP2006040196A (en) | Software monitoring system and monitoring method | |
US20160110544A1 (en) | Disabling and initiating nodes based on security issue | |
US10404733B1 (en) | Active push-based remediation for reputation-based security systems | |
CN110505246B (en) | Client network communication detection method, device and storage medium | |
CN112583841B (en) | Virtual machine safety protection method and system, electronic equipment and storage medium | |
TW201417548A (en) | Method of connection reliability assurance of user end to cloud and user end | |
US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
JP6092759B2 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM | |
TWM592531U (en) | Cyber attack analysis system | |
JP2006018766A (en) | Network connection management system | |
JP2005321897A (en) | Data communication processing program and aitivirus program acquisition processing program | |
JP2005216253A (en) | Medical inspection network system | |
KR20180044506A (en) | System recovery method in advanced persistent threat | |
WO2019146346A1 (en) | Security system, security operation method, and overall incident management device |