JP2006040196A - Software monitoring system and monitoring method - Google Patents

Software monitoring system and monitoring method Download PDF

Info

Publication number
JP2006040196A
JP2006040196A JP2004222819A JP2004222819A JP2006040196A JP 2006040196 A JP2006040196 A JP 2006040196A JP 2004222819 A JP2004222819 A JP 2004222819A JP 2004222819 A JP2004222819 A JP 2004222819A JP 2006040196 A JP2006040196 A JP 2006040196A
Authority
JP
Japan
Prior art keywords
terminal device
software
monitoring
information
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004222819A
Other languages
Japanese (ja)
Inventor
Hiroshi Nakakouji
博史 仲小路
Atsushi Suzuki
淳 鈴木
Takayuki Obuse
貴之 小布施
Seiichi Suzaki
誠一 洲崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Information and Control Systems Inc
Original Assignee
Hitachi Information and Control Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Information and Control Systems Inc filed Critical Hitachi Information and Control Systems Inc
Priority to JP2004222819A priority Critical patent/JP2006040196A/en
Publication of JP2006040196A publication Critical patent/JP2006040196A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a software monitoring system and method capable of taking adequate measures by effectively detecting a terminal device having a software vulnerable or infected with a malware. <P>SOLUTION: The system monitors a state of the software in the terminal device connected to a network by a monitoring device. The monitoring device includes a first database for housing feature information of the defined software including feature information of a file as a cause of vulnerability and a file generated when infected with the malware, and a second database for sequentially acquiring and holding the feature information of the file the terminal device has by its own. The monitoring device transmits an inspection request and the feature information housed in the first database to the terminal device through the network. The terminal device verifies an existence of the file relating to the feature information by retrieving the second database, and transmits the verification result to the monitoring device. The monitoring device determines the vulnerability and a malware infection state of the terminal device, conducts access control, and prevents expansion of damage. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ソフトウェア監視システムおよび監視方法に係り、さらに詳しくは、ネットワークに接続された端末装置の状態を監視装置で監視するシステムにおいて、端末装置が有するソフトウェア情報に基づいてセキュリティレベルの低い端末装置を検出するソフトウェア監視システム及び監視方法に関するものである。   The present invention relates to a software monitoring system and a monitoring method, and more particularly, in a system for monitoring the state of a terminal device connected to a network with a monitoring device, a terminal device with a low security level based on software information of the terminal device The present invention relates to a software monitoring system and a monitoring method for detecting an error.

複数の端末装置がネットワークに接続されて構成されるネットワークシステムにおいて、端末装置が有するソフトウェア情報を監視することによって、脆弱性の有無や、ウイルスの感染の有無等のソフトウェアの安全性を検証し、セキュリティレベルの低い端末装置を検出することが知られている。その検証結果に従って端末装置に対策を講じ、これによりネットワーク全体のセキュリティレベルを向上させることができる。   In a network system configured by connecting a plurality of terminal devices to the network, by monitoring the software information that the terminal device has, verify the security of software such as the presence of vulnerabilities and the presence or absence of virus infection, It is known to detect a terminal device with a low security level. In accordance with the verification result, measures are taken for the terminal device, thereby improving the security level of the entire network.

セキュリティレベルの低い端末装置を発見するための技術としては、脆弱性検証処理方法や、ウイルスおよびワーム等(以下、単にマルウェアとも称する)感染検証処理方法によるものが知られている。   Known techniques for discovering a terminal device with a low security level include a vulnerability verification processing method and a virus and worm (hereinafter also simply referred to as malware) infection verification processing method.

前者の脆弱性検証処理に関しては、例えば、特開2003−271469号公報(特許文献1)に、検査コンソールが、ネットワークに接続されたクライアント装置であるコンピュータからファイル情報やレジストリ情報を収集して、クライアント装置の状況や脆弱性を検出する技術が開示されている。   Regarding the former vulnerability verification processing, for example, in Japanese Patent Application Laid-Open No. 2003-271469 (Patent Document 1), an inspection console collects file information and registry information from a computer that is a client device connected to a network, Techniques for detecting the status and vulnerability of client devices are disclosed.

また、後者のマルウェア感染検証処理に関しては、例えば、特開2002−222094号公報(特許文献2)に、サーバが、複数のクライアントからウイルスの検出、消去に関する処理情報を収集して、ウイルス対策の実行指示と管理を一元的に行なう技術が開示されている。   Regarding the latter malware infection verification processing, for example, in Japanese Patent Laid-Open No. 2002-222094 (Patent Document 2), a server collects processing information related to detection and deletion of viruses from a plurality of clients, and performs anti-virus measures. A technique for performing execution instructions and management in an integrated manner is disclosed.

特開2003−271469号公報JP 2003-271469 A 特開2002−222094号公報JP 2002-222094 A

上記のような従来の技術によってセキュリティレベルの低い端末装置を発見するには、脆弱性検証処理を実施するソフトウェアと、マルウェア感染検証処理を実施するソフトウェアの2つのソフトウェアを用意する必要がある。   In order to discover a terminal device with a low security level by the conventional technology as described above, it is necessary to prepare two software, software that performs vulnerability verification processing and software that performs malware infection verification processing.

また、マルウェア感染検証処理においては、監視対象の端末装置が持つファイルを全て検索して処理するために多大な時間がかかり、かつ多くのリソースを消費する。更に、マルウェアの感染を検証するための処理に時間がかかることからマルウェアの二次的感染、破壊活動、情報漏洩などといった不正活動を助長することになり被害拡大の危険性が高くなる。   Further, in the malware infection verification process, it takes a lot of time and consumes many resources to search and process all the files of the terminal device to be monitored. Furthermore, since the process for verifying the malware infection takes time, it promotes fraudulent activities such as secondary infection of malware, destruction activities, information leakage, and the like, increasing the risk of spreading damage.

本発明の目的は、ソフトウェアの安全性を検証して、セキュリティレベルの低い端末装置を検出することにある。
本発明は、より具体的には、脆弱性のあるソフトウェアを持つ端末装置、又はマルウェアに感染した端末装置を効率的に検出して、的確な対策を講じることができるソフトウェアの監視システム及び方法を提供することにある。 An object of the present invention is to verify the safety of software and detect a terminal device with a low security level.
More specifically, the present invention provides a software monitoring system and method capable of efficiently detecting a terminal device having vulnerable software or a terminal device infected with malware and taking appropriate measures. It is to provide.

本発明にかかるソフトウェア監視システムは、監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムにおいて、監視装置は、システムで使用されるソフトウェアの特徴を含む特徴情報を格納する第1のデータベース(第1DB)と、少なくとも端末装置のソフトウェアを監視するための処理を行うサーバプログラムを実行する処理装置とを有し、端末装置は、自らが有するファイルに関する情報を取得して格納する第2のデータベース(第2DB)と、前記ファイルに関する情報を取得して該第2DBへ格納するため処理、及び監視装置からの検証要求に基づいて検証のための処理を行なう該エージェントプログラムを実行する処理装置を有し、監視装置は、サーバプログラムの実行により、対象とする端末装置に特徴情報と共に検証要求を送信し、端末装置は、検証要求を受信した後、エージェントプログラムの実行により第2DBを検索して特徴情報に関連するファイルの存在を検証して、検証結果を監視装置に送信し、監視装置は、サーバプログラムの実行により、受信した検証結果に基づいて端末装置のソフトウェアの状態を判断する処理を行う。   The software monitoring system according to the present invention is a system that monitors the state of software of a terminal device connected to a network by a monitoring device, and the monitoring device stores feature information including characteristics of software used in the system. The first database and a processing device that executes at least a server program that performs processing for monitoring the software of the terminal device. The terminal device acquires and stores information about the files that the terminal device has. 2 database (second DB), processing for acquiring information about the file and storing it in the second DB, and processing for executing the agent program for performing verification processing based on a verification request from the monitoring device The monitoring device is a target terminal device by executing the server program After transmitting the verification request together with the feature information, the terminal device receives the verification request, searches the second DB by executing the agent program, verifies the existence of the file related to the feature information, and sends the verification result to the monitoring device. The monitoring apparatus performs a process of determining the software state of the terminal apparatus based on the received verification result by executing the server program.

また、このシステムは、更に、ネットワークに接続されたネットワーク制御装置を含み、ネットワーク制御装置は、アクセス制御に関する情報を登録するアクセス管理情報DBと、ネットワークに対するアクセス制御を行なうアクセス制御プログラムを実行する処理装置を備え、監視装置が、検証結果に基づく判断の処理した後、ネットワークを介して関係するネットワーク制御装置へアクセス制御指示を送信した時、アクセス制御プログラムは、アクセス制御指示を受信して、関連する端末装置に対する通信のアクセス制御を行なう。
好ましい例では、上記第1DBは、特徴情報として、マルウェア感染時に生成されるファイルの特徴情報、又は脆弱性の原因となるファイルの特徴情報、又は使用が制限されているソフトウェアを特定することできる特徴情報の少なく1つを含む。
例えば、特徴情報として、ファイルの名前、ファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値、ソフトウェアのインストールによって書き換えられるレジストリ情報の1又はそれらの組合わせを含む。
監視装置のサーバプログラムは、また、検証結果に基づいて判断した後、端末装置に対して不具合なファイルの処置を含む対策支援を行なうための処理を実行する機能を有し、端末装置は、監視装置から対策支援の指示があった場合、対策支援に関する情報を表示装置に表示する。
本発明は、上記監視システムにおける監視装置としての構成、又は上記システムにおける監視装置で実行されるサーバプログラム、及び端末装置で実行されるエージェントプログラムについても新規な発明として把握される。 The system further includes a network control device connected to the network, and the network control device executes an access management information DB for registering information related to access control and an access control program for performing access control on the network. When the access control instruction is transmitted to the network control device concerned via the network after the monitoring device has processed the judgment based on the verification result, the access control program receives the access control instruction and Communication access control to the terminal device to be performed.
In a preferred example, the first DB can identify feature information of a file generated at the time of malware infection, feature information of a file causing a vulnerability, or software whose use is restricted as feature information. Contains at least one piece of information.
For example, the feature information includes one or a combination of a file name, a file size, a time stamp, a location, a hash value of the file name, a data hash value, and registry information rewritten by software installation.
The server program of the monitoring device also has a function of executing processing for providing countermeasure support including measures for defective files to the terminal device after making a determination based on the verification result. When a countermeasure support instruction is issued from the device, information regarding the countermeasure support is displayed on the display device.
The present invention is also grasped as a novel invention with respect to a configuration as a monitoring device in the monitoring system, or a server program executed by the monitoring device in the system and an agent program executed by a terminal device.

本発明にかかるソフトウェアの監視方法は、監視装置によってネットワークに接続された端末装置のソフトウェアの状態を監視する方法において、監視装置では、ソフトウェアの特徴を含む特徴情報を第1DBに格納するステップと、端末装置では、自らが有するファイルに関する情報を取得して第2DBに格納するステップと、監視装置から端末装置に、特徴情報を伴ってソフトウェアの検証要求を送信するステップと、端末装置では、検証要求を受信した後、第2DBを検索して特徴情報に関連するファイルの存在を検証するステップと、端末装置から監視装置に、検証結果を送信するステップと、監視装置では、受信した検証結果に基づいて、端末装置のソフトウェアの状態を判断するステップと、を有する。
好ましい例では、監視装置は、検証結果に基づいて判断した後、端末装置に対して不具合なファイルの処置を含む対策支援情報を送信するステップと、端末装置では、対策支援情報を受信して対策の内容を表示装置に表示するステップとを含む。
また、一例として、前記対策支援情報は、端末装置に対するアクション、表示データ、送受信情報、ファイルパス等うちの少なくとも1つ又はそれらの組み合わせを含む。 The software monitoring method according to the present invention is a method of monitoring the software status of a terminal device connected to a network by a monitoring device, wherein the monitoring device stores feature information including software features in the first DB; In the terminal device, the step of acquiring information related to the file owned by the terminal device and storing it in the second DB, the step of transmitting a software verification request with feature information from the monitoring device to the terminal device, and the terminal device in the verification request , The second DB is searched to verify the existence of a file related to the feature information, the verification result is transmitted from the terminal device to the monitoring device, and the monitoring device is based on the received verification result. And determining the software state of the terminal device.
In a preferred example, after the monitoring device makes a determination based on the verification result, the step of transmitting countermeasure support information including measures for a defective file to the terminal device, and the terminal device receives the countermeasure support information and takes countermeasures. Displaying the contents on the display device.
Further, as an example, the countermeasure support information includes at least one of an action for a terminal device, display data, transmission / reception information, a file path, or a combination thereof.

本発明によれば、監視装置からの要求に応じて、端末装置が取得したソフトウェア構成情報をチェックすることにより、比較的容易にセキュリティレベルの低い端末装置を検出することができ、またそれらの端末装置に対して的確な対策を講じることができる。また、従来の検証方法に比べて、高速に検証処理を行なうことができるため、二次感染を最小限に抑えることが可能となる。   According to the present invention, it is possible to relatively easily detect a terminal device with a low security level by checking the software configuration information acquired by the terminal device in response to a request from the monitoring device, and to detect those terminals. Appropriate measures can be taken for the device. In addition, since the verification process can be performed at a higher speed than the conventional verification method, secondary infection can be minimized.

以下、図面を用いて、本発明の一実施形態について説明する。
図1は、一実施形態によるソフトウェア監視システムのネットワーク構成図である。
このソフトウェア監視システムは、ローカルネットワーク50を介して、監視装置10と、複数の端末装置20と、及びネットワーク制御装置30、40とが互いに接続され、また、ネットワーク制御装置30は、更にインターネットなどのワールドエリアネットワーク60に接続されて構成される。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a network configuration diagram of a software monitoring system according to an embodiment.
In this software monitoring system, a monitoring device 10, a plurality of terminal devices 20, and network control devices 30 and 40 are connected to each other via a local network 50, and the network control device 30 is further connected to the Internet or the like. It is configured to be connected to the world area network 60.

各装置10〜40を構成するハードウェアについては、図2に示すように、実質的に同様のユニットを有して構成される。
即ち、監視装置10は、バス17に接続された、CPU11と、メモリ12と、通信装置13と、表示装置14と、入力装置15と、記憶装置16とを有して構成される。端末装置20は、パーソナルコンピュータ(PC)のようなクライアントであり、それぞれバス27に接続された、CPU21と、メモリ22と、通信装置23と、表示装置24と、入力装置25と、記憶装置26とを有して構成される。また、ネットワーク制御装置30は、バス37に接続された、CPU31と、メモリ32と、通信装置33と、表示装置34と、入力装置35と、記憶装置36と、通信装置38とを有して構成される。ネットワーク制御装置40は、バス47に接続された、CPU41と、メモリ42と、通信装置43と、表示装置44と、入力装置45と、記憶装置46とを有して構成される。 As shown in FIG. 2, the hardware configuring each of the devices 10 to 40 is configured to include substantially similar units.
That is, the monitoring device 10 includes a CPU 11, a memory 12, a communication device 13, a display device 14, an input device 15, and a storage device 16 connected to the bus 17. The terminal device 20 is a client such as a personal computer (PC), and is connected to a bus 27, respectively, a CPU 21, a memory 22, a communication device 23, a display device 24, an input device 25, and a storage device 26. And is configured. The network control device 30 includes a CPU 31, a memory 32, a communication device 33, a display device 34, an input device 35, a storage device 36, and a communication device 38 connected to the bus 37. Composed. The network control device 40 includes a CPU 41, a memory 42, a communication device 43, a display device 44, an input device 45, and a storage device 46 connected to a bus 47.

次に、図3を参照して、各装置10〜40の機能、およびそれらに関連するソフトウェア情報について説明する。   Next, with reference to FIG. 3, the function of each apparatus 10-40 and the software information relevant to them are demonstrated.

監視装置10は、ソフトウェアの制御情報等を格納するためのソフトウェア制御情報データベース(DB)110と、端末装置20の検証結果等を含む状態情報を格納する監視情報DB120と、ソフトウェア検索要求、検証結果、対策支援情報などの情報を送受信するデータ送受信部102と、それらを制御するサーバプログラム101を有する。尚、DB110、120は記憶装置16に形成される。   The monitoring device 10 includes a software control information database (DB) 110 for storing software control information and the like, a monitoring information DB 120 for storing state information including verification results and the like of the terminal device 20, a software search request, and a verification result A data transmission / reception unit 102 for transmitting / receiving information such as countermeasure support information, and a server program 101 for controlling them. The DBs 110 and 120 are formed in the storage device 16.

ソフトウェア制御情報DB110は、マルウェア感染時に生成されるファイルの特徴情報を格納するマルウェア特徴情報111や、脆弱性の原因となるファイルの特徴情報を格納する脆弱性特徴情報112や、ライセンス制限などの理由により使用が制限されているソフトウェアを一意に特定することが可能なファイルの特徴情報を格納する使用制限情報113などを格納する。また、監視情報DB120は、端末装置20から収集された検証結果に関する情報を格納する。即ち、検証要求の応答として端末装置20から取得された、脆弱性在り又はマルウェア感染在りのファイルの特徴情報を、端末装置20の例えばIPアドレスやホスト名に対応させて格納する。   The software control information DB 110 includes malware feature information 111 for storing feature information of files generated at the time of malware infection, vulnerability feature information 112 for storing feature information of files causing vulnerability, and reasons such as license restrictions The use restriction information 113 for storing the feature information of the file that can uniquely identify the software whose use is restricted by the above is stored. In addition, the monitoring information DB 120 stores information related to the verification result collected from the terminal device 20. That is, the characteristic information of the file having the vulnerability or the malware infection acquired from the terminal device 20 as a response to the verification request is stored in association with, for example, the IP address or the host name of the terminal device 20.

ここで、特徴情報とは、ソフトウェアの種類やバージョンなどを特定するための情報であり、ファイルの名前やファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値に代表されるファイルを特定するための複数の情報を組み合わせた情報を言う。例えば、ウイルスに感染すると特定のファイルが生成されて、その時にハッシュ値が残る。また、脆弱性の在るソフトウェアには原因となる不具合のあるファイルが含まれており、インストール時にそのファイルのハッシュ値が残る。従ってこれらの特徴情報をキーにして,各端末装置20が持つ情報を検索すれば、脆弱性のあるファイル等を探し出せる。   Here, the feature information is information for specifying the type and version of software, and the file represented by the file name and file size, time stamp, location, file name hash value, and data hash value. Information that combines multiple pieces of information for identification. For example, when a virus is infected, a specific file is generated and a hash value remains at that time. In addition, the vulnerable software contains a file with a problem that causes it, and the hash value of the file remains at the time of installation. Accordingly, by searching for the information held by each terminal device 20 using these feature information as keys, a vulnerable file or the like can be found.

本実施例では、監視装置10のサーバプログラム101の実行により、端末装置20に収集された特徴情報を検索して脆弱性のあるファイルを検出して収集し、そのファイルに対して監視装置10から対策指示を行なう。即ち、監視装置10は、ローカルエリアネットワーク50に脆弱性などの問題を有する不適切な端末装置が接続されているか否かを検査するために、端末装置20に対して脆弱性などの問題を有するソフトウェアの保有状態を確認する検証要求を送信する。さらに、監視装置10は、検証要求に対する応答として、端末装置20から検証結果を収集し管理する。   In the present embodiment, by executing the server program 101 of the monitoring device 10, the feature information collected in the terminal device 20 is searched and a vulnerable file is detected and collected, and the file is received from the monitoring device 10. Provide countermeasure instructions. That is, the monitoring device 10 has a problem such as vulnerability with respect to the terminal device 20 in order to check whether or not an inappropriate terminal device having a problem such as vulnerability is connected to the local area network 50. Send a verification request to confirm the software status. Furthermore, the monitoring device 10 collects and manages the verification results from the terminal device 20 as a response to the verification request.

また、監視装置10は、端末装置20から取得した検証結果に基づきネットワーク制御装置30,40にアクセス制御要求を送信したり、端末装置20に対策支援情報を送信する。ここで対策支援情報とは、脆弱性やマルウェアを排除するプログラムや制御情報あるいは、脆弱性やマルウェアを排除する方法が記述されたデータ、及び注意喚起するための表示用データである。またネットワーク制御装置30,40は、受信したアクセス制御要求に従って、脆弱性の在る特定の端末装置20に対してアクセスを禁止するなどの制御を行なう。   Further, the monitoring device 10 transmits an access control request to the network control devices 30 and 40 based on the verification result acquired from the terminal device 20 or transmits countermeasure support information to the terminal device 20. Here, the countermeasure support information is data describing programs and control information for eliminating vulnerabilities and malware, data describing methods for eliminating vulnerabilities and malware, and display data for alerting. Further, the network control devices 30 and 40 perform control such as prohibiting access to the specific terminal device 20 having the vulnerability in accordance with the received access control request.

図5に、対策支援情報の例を示す。対策支援情報は、端末装置20に対するアクション、表示データ、送受信情報、ファイルパス、等々、図示のような情報を含む。端末装置20の表示装置24には、受信した対策支援情報が表示され、その表示に従って処置するように促される。   FIG. 5 shows an example of countermeasure support information. The countermeasure support information includes information as illustrated, such as an action for the terminal device 20, display data, transmission / reception information, a file path, and the like. The received countermeasure support information is displayed on the display device 24 of the terminal device 20, and prompted to take action according to the display.

端末装置20は、通常時は記憶装置26に記憶されたプログラムをCPU21で実行して所期の機能を実現している。本実施例においては、端末装置20は、端末装置20内のソフトウェアの特徴情報を格納するソフトウェア構成情報DB203と、監視装置10との間でソフトウェア検索要求、検証結果、対策支援情報などの情報を送受信するデータ送受信部201と、それらを制御するエージェントプログラム202を有する。尚、ソフトウェア構成情報DB203は記憶装置26内に形成される。   The terminal device 20 normally executes a program stored in the storage device 26 by the CPU 21 to realize a desired function. In the present embodiment, the terminal device 20 sends information such as a software search request, a verification result, and countermeasure support information between the monitoring device 10 and a software configuration information DB 203 that stores software feature information in the terminal device 20. It has a data transmission / reception unit 201 for transmission / reception and an agent program 202 for controlling them. The software configuration information DB 203 is formed in the storage device 26.

図4に示すように、ソフトウェア構成情報DB203に格納されるソフトウェア特徴情報には、ファイル名、ファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値、ソフトウェアのインストールによって書き換えられるレジストリ情報等が含まれる。これらの情報の1又は複数の組合わせた情報によってDB203を検索することにより、該当するファイル等が捜し出される。   As shown in FIG. 4, software feature information stored in the software configuration information DB 203 includes file name, file size, time stamp, location, file name hash value, data hash value, and registry information rewritten by software installation. Etc. are included. By searching the DB 203 with information obtained by combining one or more of these information, a corresponding file or the like is searched.

エージェントプログラム202は、端末装置20における通常のプログラムの実行により生成されるファイルやソフトウェアに関する特徴情報を、リアルタイムで収集してソフトウェア構成情報DB203に登録する機能を有する。更に、監視装置10のサーバプログラム101からの検証要求に従って、このエージェントプログラム202を実行させ、ソフトウェア構成情報DB203を検索して、脆弱性を有するソフトウェアやマルウェア感染時に生成されるファイルを捜し出し、その検証結果を監視装置10へ送信する機能を有する。さらに、エージェントプログラム202は、監視装置10から送信される対策支援情報に基づき対策を実施する。例えば、表示装置24に表示される対策支援情報に従って、脆弱性の原因となるファイルやマルウェア感染時に生成されるファイルを認識して、これらのファイルを記憶装置26から削除したり、検疫することができる。   The agent program 202 has a function of collecting, in real time, characteristic information about files and software generated by executing normal programs in the terminal device 20 and registering them in the software configuration information DB 203. Further, the agent program 202 is executed in accordance with the verification request from the server program 101 of the monitoring apparatus 10, and the software configuration information DB 203 is searched to search for files having a vulnerability or a file generated at the time of malware infection. It has a function of transmitting the result to the monitoring device 10. Furthermore, the agent program 202 implements countermeasures based on countermeasure support information transmitted from the monitoring apparatus 10. For example, in accordance with countermeasure support information displayed on the display device 24, a file causing a vulnerability or a file generated upon malware infection may be recognized, and these files may be deleted from the storage device 26 or quarantined. it can.

このように、通常のプログラムの実行時に、エージェントプログラム202の実行によってファイルやソフトウェアに関する特徴情報をリアルタイムで収集してソフトウェア構成情報DB203に収集しておくことにより、監視装置10からの検証要求に対してDB203を検索して、脆弱性の在るファイル等を即座に求めて応答することができる。これにより短時間で脆弱性検証処理やマルウェア感染検証処理を実施できる。   As described above, when the normal program is executed, the feature information about the file and the software is collected in real time by the execution of the agent program 202 and collected in the software configuration information DB 203, so that the verification request from the monitoring apparatus 10 is met. The DB 203 can be searched and a file with a vulnerability can be immediately obtained and responded. Thereby, vulnerability verification processing and malware infection verification processing can be performed in a short time.

ネットワーク制御装置30は、ローカルエリアネットワーク50に接続された不適切な端末装置による被害拡大を防止するために、アクセス制御や端末装置のネットワーク通信遮断などを実施する。
図3に示すように、ネットワーク制御装置30は、アクセス管理情報DB304と、データ送受信部302と、データ送受信部301と、それらを制御するアクセス制御プログラム303を有する。 The network control device 30 implements access control, blocking of network communication of the terminal device, and the like in order to prevent damage spread by an inappropriate terminal device connected to the local area network 50.
As shown in FIG. 3, the network control device 30 includes an access management information DB 304, a data transmission / reception unit 302, a data transmission / reception unit 301, and an access control program 303 for controlling them.

アクセス管理情報DB304は、端末装置20のアクセス制御に関する情報を格納する。データ送受信部302は、監視装置10から送信されるアクセス制御指示情報やアクセス管理情報を送受信すると共に、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データや、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データなどを送受信する。データ送受信部301は、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データや、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データなどを送受信する。   The access management information DB 304 stores information related to access control of the terminal device 20. The data transmission / reception unit 302 transmits / receives access control instruction information and access management information transmitted from the monitoring device 10, communication data from the local area network 50 to the wide area network 60, and communication data from the local area network 50 to the wide area network. Transmission / reception of communication data and the like directed to 60 is performed. The data transmission / reception unit 301 transmits / receives communication data from the local area network 50 to the wide area network 60, communication data from the local area network 50 to the wide area network 60, and the like.

ネットワーク制御装置40は、ローカルエリアネットワーク50に接続された不適切な端末装置による被害拡大を防止するために、アクセス制御などを実施する。
図3に示すように、ネットワーク制御装置40は、端末装置のアクセス制御に関する情報が格納されるアクセス管理情報DB403と、監視装置10からアクセス制御指示情報や、アクセス管理情報や、ローカルエリアネットワーク50に接続している端末装置の送信する通信データなどを送受信するデータ送受信部401と、それらを制御するアクセス制御プログラム402を有する。 The network control device 40 performs access control and the like in order to prevent damage spread by an inappropriate terminal device connected to the local area network 50.
As shown in FIG. 3, the network control device 40 includes an access management information DB 403 in which information related to access control of the terminal device is stored, access control instruction information, access management information, and local area network 50 from the monitoring device 10. It has a data transmission / reception unit 401 that transmits / receives communication data transmitted by the connected terminal device, and an access control program 402 that controls them.

次に、図6を参照して、このソフトウェア監視システムの動作の概略を説明する。
最初に各端末装置20は、エージェントプログラム202の実行によって、自ら保有するファイルの情報をリアルタイムでソフトウェア構成情報DB203に記録する(ST01)。並行して又は逐次、監視装置10は、ソフトウェアを特定するためのソフトウェア特徴情報(マルウェア特徴情報および脆弱性情報)、及びソフトウェア検出時の処理を定義した情報(使用制限情報)を、ソフトウェア制御情報DB110に記録する(ST02)。 Next, an outline of the operation of the software monitoring system will be described with reference to FIG.
First, each terminal device 20 records the information of its own file in the software configuration information DB 203 in real time by executing the agent program 202 (ST01). In parallel or sequentially, the monitoring device 10 uses software control information to identify software feature information (malware feature information and vulnerability information) for identifying software and information (usage restriction information) that defines processing at the time of software detection. It records in DB110 (ST02).

次に、監視装置10は、サーバプログラム101の実行の下、端末装置20に対してソフトウェア検証要求を送信する(ST1)。この検証要求による検査は、例えば毎日午前0時10分のように一定時間毎に実行される。端末装置20はソフトウェア検証要求を受信すると、ソフトウェア構成情報DB203を検索して、上記特徴情報によって指定されたソフトウェア情報を格納しているかを検証し、その検証結果を監視装置10に送信する(ST2)。   Next, under the execution of the server program 101, the monitoring device 10 transmits a software verification request to the terminal device 20 (ST1). The inspection based on this verification request is executed at regular intervals, for example, every day at 0:10 am. Upon receiving the software verification request, the terminal device 20 searches the software configuration information DB 203 to verify whether the software information specified by the feature information is stored, and transmits the verification result to the monitoring device 10 (ST2 ).

監視装置10は,各端末装置20から送信される検証結果を受信し、必要に応じて該当する端末装置20に対して対策支援情報を送信する(ST3)。更に、監視装置10は検証結果に基づき、必要に応じて該当するネットワーク制御装置30、40に対して、アクセス制御指示を送信する(ST4)。アクセス制御指示を受信したネットワーク制御装置30、40は、端末装置20のネットワーク通信のアクセス制御を実施する。アクセス制御指示に基づいて例えば、ネットワークの通信遮断を行なう。監視装置10は端末装置20に対してもアクセス制御指示を送信して同様の処理を実施することがある。   The monitoring device 10 receives the verification result transmitted from each terminal device 20, and transmits countermeasure support information to the corresponding terminal device 20 as necessary (ST3). Furthermore, based on the verification result, the monitoring device 10 transmits an access control instruction to the corresponding network control devices 30 and 40 as necessary (ST4). The network control devices 30 and 40 that have received the access control instruction perform access control of the network communication of the terminal device 20. Based on the access control instruction, for example, the network communication is cut off. The monitoring device 10 may transmit the access control instruction to the terminal device 20 and perform the same processing.

次に、図7を参照して、ソフトウェア監視システムにおける各装置の処理動作について説明する。
まず、監視装置10はネットワークに接続された端末装置20を監視するために、サーバプログラム101を起動する(S001)。そして監視装置10はソフトウェア特徴情報を定義する(S002)。
ここでは、データハッシュ値=“2B9327351AC421E2B67E13A18A31F0BF72EA2323”に一致するファイル1をマルウェア感染時に生成されるファイルとして、ファイル名=“system.dll”、データハッシュ値=“481EA981C7E8F546AE12143EE7D08011BF9F3728”に一致するファイル2を脆弱性のある古いシステムファイルと仮定する。 Next, the processing operation of each device in the software monitoring system will be described with reference to FIG.
First, the monitoring device 10 activates the server program 101 in order to monitor the terminal device 20 connected to the network (S001). Then, the monitoring device 10 defines software feature information (S002).
Here, the file 1 that matches the data hash value = “2B9327351AC421E2B67E13A18A31F0BF72EA2323” is assumed to be generated at the time of malware infection, and the file 2 that matches the file name = “system.dll” and the data hash value = “481EA981C7E8F546AE12143EE7D08011BF9F3728” Assume an old system file.

次に、監視装置10はソフトウェアが検出された場合の動作などをポリシー情報として定義する(S003)。ポリシー情報として、例えばS002で定義されたファイル1が検出された端末装置のネットワーク接続を切断し、ファイル2が検出された端末装置にはファイルの更新を促すメッセージを表示するように定義するものとする。   Next, the monitoring apparatus 10 defines the operation when the software is detected as policy information (S003). For example, the policy information is defined so that the terminal device in which the file 1 defined in S002 is detected disconnects from the network, and the terminal device in which the file 2 is detected displays a message prompting to update the file. To do.

サーバプログラム101は、ローカルエリアネットワーク50に接続されている監視対象となる端末装置20の状態情報の一覧を表示する(S004)。表示装置14には、例えば、監視対象となる端末装置20のIPアドレスやホスト名と共に、監視情報DB120に格納して蓄積されたその端末装置20に関する脆弱性保有状態やマルウェア感染状態に関する検証結果の情報が表示される。システム保守員は、表示内容から判断して監視対象とする端末装置を選択して入力装置15から指定する。   The server program 101 displays a list of status information of the terminal devices 20 to be monitored connected to the local area network 50 (S004). In the display device 14, for example, together with the IP address and host name of the terminal device 20 to be monitored, the verification result regarding the vulnerability holding state and the malware infection state regarding the terminal device 20 stored and accumulated in the monitoring information DB 120 is displayed. Information is displayed. The system maintenance person selects a terminal device to be monitored based on the display contents and designates it from the input device 15.

次に、サーバプログラム101はソフトウェア検証要求を作成し、データ送受信部102を介してそれを監視対象の端末装置20に送信する(S005)。このソフトウェア検証要求は、マルウェア感染時に生成されるファイルや脆弱性を有するソフトウェアや保安上の問題により使用を制限したいソフトウェアなど、セキュリティを確保する上で不適切なソフトウェアの保有状態を検証するために送信されるものである。この検証要求には、ソフトウェア制御情報DB110から取得したマルウェア特徴情報111や脆弱性特徴情報112や使用制限情報113などのソフトウェア特徴情報を伴って送信される。この例では、ソフトウェア検証要求に、上記ファイル1とファイル2を検索するための情報が付加されて送信される。   Next, the server program 101 creates a software verification request and transmits it to the monitoring target terminal device 20 via the data transmission / reception unit 102 (S005). This software verification request is used to verify the possession status of software that is inappropriate for ensuring security, such as files generated at the time of malware infection, software with vulnerabilities, and software whose use is restricted due to security issues. Is to be sent. This verification request is transmitted with software feature information such as malware feature information 111, vulnerability feature information 112, and use restriction information 113 acquired from the software control information DB 110. In this example, information for searching the file 1 and the file 2 is added to the software verification request and transmitted.

一方、端末装置20では、端末装置20が起動されると、その直後にエージェントプログラム202を起動する(S006)。そして、エージェントプログラム202は、端末装置の保有するファイルの最新の特徴情報を取得して、ソフトウェア構成情報DB203に格納する(S007)。DB203に格納されるソフトウェア構成情報に関しては、例えば、マルウェア感染したある端末装置20は、マルウェア感染時に生成されたファイル(ファイル名=“malicious.exe”、”データハッシュ値=“2B9327351AC421E2B67E13A18A31F0BF72EA2323”)も含む情報をDB203に格納している。また、脆弱性のある古いソフトウェアを使用しているある端末装置20のエージェントプログラム202は、ファイル(ファイル名=“system.dll”、データハッシュ値=“481EA981C7E8F546AE12143EE7D08011BF9F3728”)も含む情報をDB203に格納している(S007)。   On the other hand, in the terminal device 20, when the terminal device 20 is activated, the agent program 202 is activated immediately after that (S006). Then, the agent program 202 acquires the latest feature information of the file held by the terminal device and stores it in the software configuration information DB 203 (S007). As for the software configuration information stored in the DB 203, for example, a certain terminal device 20 infected with malware also includes a file (file name = “malicious.exe”, “data hash value =“ 2B9327351AC421E2B67E13A18A31F0BF72EA2323 ”) generated at the time of malware infection. The information is stored in the DB 203. Further, the agent program 202 of a certain terminal device 20 using old vulnerable software is a file (file name = “system.dll”, data hash value = “481EA981C7E8F546AE12143EE7D08011BF9F3728”). ) Is also stored in the DB 203 (S007).

端末装置20は監視装置10から送信される、ファイル1およびファイル2に関する特徴情報を含むソフトウェア検証要求を受信すると(S008)、エージェントプログラム202に処理を引き継ぐ。エージェントプログラム202は、ソフトウェア検証要求に基づいてソフトウェア構成情報DB203を検索して、ファイル1およびファイル2と一致するファイルがDB203に存在するか否かを判定する(S009)。   When the terminal device 20 receives the software verification request including the characteristic information regarding the file 1 and the file 2 transmitted from the monitoring device 10 (S008), the terminal device 20 takes over the processing to the agent program 202. The agent program 202 searches the software configuration information DB 203 based on the software verification request, and determines whether or not a file that matches the file 1 and the file 2 exists in the DB 203 (S009).

ソフトウェア構成情報DB203の検索した結果、ファイル1又はファイル2の存在を検知すると、エージェントプログラム202は、その検証結果即ちファイル1又はファイル2の情報を含むソフトウェア構成情報を、端末装置20の状態情報(即ちIPアドレス及びホスト名を含む情報)と共にデータ送受信部201を経由して監視装置10に送信する(S010)。   When the agent program 202 detects the presence of the file 1 or the file 2 as a result of searching the software configuration information DB 203, the agent program 202 displays the verification result, that is, the software configuration information including the information of the file 1 or the file 2, the status information ( That is, the information including the IP address and the host name is transmitted to the monitoring apparatus 10 via the data transmitting / receiving unit 201 (S010).

監視装置10は、監視対象の端末装置20から送信された検証結果の情報を受信すると(S011)、サーバプログラム101は、取得した検証結果からポリシーに基づいて判断する(S012)。例えば、検証結果と、それを取得した端末装置の状態、及び予め策定されたポリシーを表示装置14に表示し、システム管理者によってアクセス制御、脆弱性除去、マルウェア対策、ソフトウェア使用制限などの対策手段が決定されて、対策のための指示が入力装置15から入力される。対策としては、例えばファイル1を保有していた端末装置20に対してはネットワーク接続の切断が指示される。またファイル2を保有していたある端末装置20に対してはソフトウェアの更新を要請するためのメッセージの表示が指示される。そして、サーバプログラム101は、データ送受信部102を経由して、ネットワーク制御装置30、40に対してアクセス制御指示を送信する(S013)。この場合の指示とは、例えば端末装置20のネットワーク接続を切断するための指示である。   When the monitoring device 10 receives the verification result information transmitted from the terminal device 20 to be monitored (S011), the server program 101 makes a determination based on the policy from the acquired verification result (S012). For example, the verification result, the status of the terminal device that acquired the verification result, and the policy established in advance are displayed on the display device 14, and measures such as access control, vulnerability removal, malware countermeasures, software usage restrictions, etc. are performed by the system administrator. Is determined, and a countermeasure instruction is input from the input device 15. As a countermeasure, for example, the terminal device 20 having the file 1 is instructed to disconnect the network connection. Further, a display of a message for requesting software update is instructed to a certain terminal device 20 that has the file 2. Then, the server program 101 transmits an access control instruction to the network control devices 30 and 40 via the data transmitting / receiving unit 102 (S013). The instruction in this case is an instruction for disconnecting the network connection of the terminal device 20, for example.

ネットワーク制御装置30では、監視装置10より送信されたアクセス制御指示を、データ送受信部302を介して受信する(S014)。同様にして、ネットワーク制御装置40でも、データ送受信部401を介して、このアクセス制御指示を受信することがある。ネットワーク制御装置30のアクセス制御プログラム303は、受信したアクセス制御指示をアクセス管理情報DB304に反映し、端末装置20のネットワーク接続切断の処理を実施する(S015)。   The network control device 30 receives the access control instruction transmitted from the monitoring device 10 via the data transmission / reception unit 302 (S014). Similarly, the network control apparatus 40 may receive this access control instruction via the data transmission / reception unit 401. The access control program 303 of the network control device 30 reflects the received access control instruction in the access management information DB 304, and performs processing for disconnecting the network connection of the terminal device 20 (S015).

また、サーバプログラム101は、データ送受信部102を介して特定の端末装置20に対策支援情報を送信する(S016)。この対策支援情報としては、脆弱性除去、マルウェア対策、ソフトウェア使用制限の強制実行、及び注意喚起や対策手法のための情報が含まれる。   Further, the server program 101 transmits countermeasure support information to the specific terminal device 20 via the data transmission / reception unit 102 (S016). This countermeasure support information includes information on vulnerability removal, malware countermeasures, forced execution of software usage restrictions, and alerts and countermeasure methods.

特定の端末装置20は、送信された対策支援情報を受信して(S017)、エージェントプログラム202は、その対策支援情報に関する内容を表示装置24に表示する。表示内容としては、例えば古くなったソフトウェアのバージョンを更新する旨を促すメッセージである。その表示に従って、その端末装置20の利用者は対策を講じる(S018)。即ち、指摘された古いソフトウェアのバージョンを最新のものに更新する。   The specific terminal device 20 receives the transmitted countermeasure support information (S017), and the agent program 202 displays the contents regarding the countermeasure support information on the display device 24. The display content is, for example, a message prompting to update an outdated software version. According to the display, the user of the terminal device 20 takes measures (S018). That is, the specified old software version is updated to the latest version.

対策が済むと、エージェントプログラム202は、監視装置10に対して、対策結果、即ちメッセージの閲覧完了通知を送信する(S019)。監視装置10のサーバプログラム101は、対策の対象となった端末装置20から対策結果を受信すると(S020)、その対策結果を監視情報DB120に格納して端末装置の状態情報を更新する(S021)。かつ更新された端末装置20の状態情報を含む一覧を表示装置14に表示する。この表示を見て、システム管理者は、脆弱性やマルウェアに感染した端末装置の状況、及びそれらの端末装置に対する対策の状況を把握することができる。   When the countermeasure is completed, the agent program 202 transmits a countermeasure result, that is, a message browsing completion notification to the monitoring apparatus 10 (S019). When the server program 101 of the monitoring apparatus 10 receives the countermeasure result from the terminal device 20 that is the target of the countermeasure (S020), the countermeasure result is stored in the monitoring information DB 120 and the state information of the terminal apparatus is updated (S021). . A list including the updated status information of the terminal device 20 is displayed on the display device 14. Viewing this display, the system administrator can grasp the status of the terminal devices infected with the vulnerability and malware, and the status of countermeasures for those terminal devices.

上記したように本実施形態によれば、監視装置は、端末装置に内在する脆弱性、利用規則にそぐわないソフトウェアの利用行為、ならびにマルウェア感染状況を検証できる。また、端末装置は自ら保有するファイルの情報を逐次取得してソフトウェア構成情報DBに格納しておくので、監視装置からの検証要求に対して即このソフトウェア構成情報DBを検索することにより、指定された特徴情報に合致したファイルの存否を高速に検証することができる。脆弱性対策やマルウェア対策についてはネットワーク制御装置に対するアクセス制御と連携させることにより、マルウェアの二次感染に対する危険性を低減させることが可能となる。   As described above, according to the present embodiment, the monitoring device can verify the vulnerability inherent in the terminal device, the usage of software that does not conform to the usage rules, and the malware infection status. In addition, since the terminal device sequentially acquires the information of the file held by itself and stores it in the software configuration information DB, it is designated by immediately searching the software configuration information DB in response to the verification request from the monitoring device. The existence of a file that matches the feature information can be verified at high speed. With respect to vulnerability countermeasures and malware countermeasures, it is possible to reduce the risk of secondary infection by malware by linking with access control to the network control device.

一実施形態におけるソフトウェア監視システムのネットワーク構成を示す図。The figure which shows the network structure of the software monitoring system in one Embodiment. 図1のソフトウェア監視システムを構成する各装置のハードウェアの構成例を示す図。The figure which shows the structural example of the hardware of each apparatus which comprises the software monitoring system of FIG. 図1のソフトウェア監視システムを構成する各装置のソフトウェアの構成例を示す図。The figure which shows the structural example of the software of each apparatus which comprises the software monitoring system of FIG. 一実施形態によるソフトウェア監視システムにおけるソフトウェア特徴情報の構成を示す図。The figure which shows the structure of the software characteristic information in the software monitoring system by one Embodiment. 一実施形態によるソフトウェア監視システムにおける対策支援情報の構成を示す図。The figure which shows the structure of the countermeasure assistance information in the software monitoring system by one Embodiment. 一実施形態によるソフトウェア監視システムの全体動作の概略を説明するための図。The figure for demonstrating the outline of the whole operation | movement of the software monitoring system by one Embodiment. 一実施形態によるソフトウェア監視システムにおける各装置の動作を説明するためのフロー図。The flowchart for demonstrating operation | movement of each apparatus in the software monitoring system by one Embodiment.

符号の説明Explanation of symbols

10:監視装置、 11、21,31,41:CPU、
12、22,32,42:メモリ、 13、23,33,38,43:通信装置、
14、24,34,44:表示装置、 15、5,35,45:入力装置、
16、26,36,46:記憶装置、 17、27,37,47:バス、
20:端末装置、 30:ネットワーク制御装置、
40:ネットワーク制御装置、 50:ローカルエリアネットワーク、
60:ワールドエリアネットワーク、 101:サーバプログラム、
102:データ送受信部、 110:ソフトウェア制御情報DB、
111:マルウェア特徴情報、 112:脆弱性特徴情報、
113:使用制限情報、 120:監視情報DB、
201:データ送受信部、 202:エージェントプログラム、
203:ソフトウェア構成情報DB、 301、302:データ送受信部、
303:アクセス制御プログラム、 304:アクセス管理情報DB、
401:データ送受信部、 402:アクセス制御プログラム、
403:アクセス管理情報DB。 10: monitoring device, 11, 21, 31, 41: CPU,
12, 22, 32, 42: memory, 13, 23, 33, 38, 43: communication device,
14, 24, 34, 44: display device, 15, 5, 35, 45: input device,
16, 26, 36, 46: storage device, 17, 27, 37, 47: bus,
20: Terminal device, 30: Network control device,
40: network control device, 50: local area network,
60: World area network 101: Server program
102: Data transmission / reception unit, 110: Software control information DB,
111: Malware feature information, 112: Vulnerability feature information,
113: Usage restriction information, 120: Monitoring information DB,
201: Data transmission / reception unit, 202: Agent program,
203: Software configuration information DB, 301, 302: Data transmission / reception unit,
303: Access control program, 304: Access management information DB,
401: Data transmission / reception unit, 402: Access control program,
403: Access management information DB.

Claims (15)

監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムにおいて、
該監視装置は、該システムで使用されるソフトウェアの特徴を含む特徴情報を格納する第1のデータベース(第1DB)と、少なくとも端末装置のソフトウェアを監視するための処理を行うサーバプログラムを実行する処理装置と、を有し、
該端末装置は、自らが有するファイルに関する情報を取得して格納する第2のデータベース(第2DB)と、前記ファイルに関する情報を取得して該第2DBへ格納するため処理、及び該監視装置からの検証要求に基づいて検証のための処理を行なう該エージェントプログラムを実行する処理装置を有し、
該監視装置は、該サーバプログラムの実行により、対象とする該端末装置に該特徴情報と共に検証要求を送信し、
該端末装置は、該検証要求を受信した後、該エージェントプログラムの実行により該第2DBを検索して該特徴情報に関連するファイルの存在を検証して、検証結果を該監視装置に送信し、
該監視装置は、該サーバプログラムの実行により、受信した該検証結果に基づいて該端末装置のソフトウェアの状態を判断する処理を行うことを特徴とするソフトウェア監視システム。 In a system for monitoring the software status of a terminal device connected to a network by a monitoring device,
The monitoring device includes a first database (first DB) that stores feature information including features of software used in the system, and a process that executes a server program that performs processing for monitoring software of at least the terminal device An apparatus,
The terminal device acquires a second database (second DB) that acquires and stores information about a file that the terminal device has, a process for acquiring information about the file and storing the information in the second DB, and from the monitoring device A processing device for executing the agent program for performing processing for verification based on the verification request;
The monitoring device transmits a verification request together with the feature information to the target terminal device by executing the server program,
After receiving the verification request, the terminal device searches the second DB by executing the agent program, verifies the existence of a file related to the feature information, and transmits a verification result to the monitoring device.
The monitoring apparatus performs a process of determining a software state of the terminal apparatus based on the received verification result by executing the server program. 更に、該ネットワークに接続されたネットワーク制御装置を含み、該ネットワーク制御装置は、アクセス制御に関する情報を登録するアクセス管理情報DBと、ネットワークに対するアクセス制御を行なうアクセス制御プログラムを実行する処理装置を備え、
該監視装置が、該検証結果に基づく判断の処理した後、ネットワークを介して関係するネットワーク制御装置へアクセス制御指示を送信した時、該アクセス制御プログラムは、該アクセス制御指示を受信して、関連する該端末装置に対する通信のアクセス制御を行なうことを特徴とする請求項1のソフトウェア監視システム。 And a network control device connected to the network, the network control device comprising an access management information DB for registering information related to access control, and a processing device for executing an access control program for controlling access to the network,
When the monitoring apparatus transmits an access control instruction to a related network control apparatus via the network after processing of the determination based on the verification result, the access control program receives the access control instruction and 2. The software monitoring system according to claim 1, wherein access control of communication with the terminal device is performed. 前記第1DBは、前記特徴情報として、マルウェア感染時に生成されるファイルの特徴情報、又は脆弱性の原因となるファイルの特徴情報、又は使用が制限されているソフトウェアを特定することできる特徴情報の少なく1つを含むことを特徴とする請求項1又は2のソフトウェア監視システム。 The first DB has a small amount of feature information that can identify feature information of a file generated at the time of malware infection, feature information of a file that causes a vulnerability, or software whose use is restricted as the feature information. The software monitoring system according to claim 1 or 2, comprising one. 該監視装置の前記サーバプログラムは、更に、該検証結果に基づいて判断した後、該端末装置に対して不具合なファイルの処置を含む対策支援を行なうための処理を実行する機能を有し、
該端末装置は、該監視装置から該対策支援の指示があった場合、該対策支援に関する情報を表示装置に表示することを特徴とする請求項1乃至3のいずれかのソフトウェア監視システム。 The server program of the monitoring device further has a function of executing processing for providing countermeasure support including measures for a defective file to the terminal device after making a determination based on the verification result,
4. The software monitoring system according to claim 1, wherein the terminal device displays information on the countermeasure support on a display device when the countermeasure apparatus instructs the countermeasure support. 5. 監視装置によってネットワークに接続された端末装置のソフトウェアの状態を監視する方法において、
該監視装置では、ソフトウェアの特徴を含む特徴情報を第1DBに格納するステップと、
該端末装置では、自らが有するファイルに関する情報を取得して第2DBに格納するステップと、
該監視装置から該端末装置に、該特徴情報を伴ってソフトウェアの検証要求を送信するステップと、
該端末装置では、該検証要求を受信した後、該第2DBを検索して該特徴情報に関連するファイルの存在を検証するステップと、
該端末装置から該監視装置に、検証結果を送信するステップと、
該監視装置では、受信した検証結果に基づいて、該端末装置のソフトウェアの状態を判断するステップと、
を有することを特徴とするソフトウェアの監視方法。 In a method for monitoring the software status of a terminal device connected to a network by a monitoring device,
In the monitoring apparatus, storing feature information including software features in the first DB;
In the terminal device, the step of acquiring information about the file that the terminal device has and storing it in the second DB;
Transmitting a software verification request with the feature information from the monitoring device to the terminal device;
In the terminal device, after receiving the verification request, searching the second DB and verifying the existence of a file related to the feature information;
Transmitting a verification result from the terminal device to the monitoring device;
In the monitoring device, based on the received verification result, determining a software state of the terminal device;
A software monitoring method characterized by comprising: 該監視装置は、該検証結果に基づいて判断した後、該端末装置に対して不具合なファイルの処置を含む対策支援情報を送信するステップと、
該端末装置では、該対策支援情報を受信して対策の内容を表示装置に表示するステップと、
を更に含むことを特徴とする請求項5のソフトウェアの監視方法。 The monitoring device, after making a determination based on the verification result, transmitting countermeasure support information including a treatment of a defective file to the terminal device;
In the terminal device, receiving the countermeasure support information and displaying the contents of the countermeasure on a display device;
The software monitoring method according to claim 5, further comprising: 前記第1のDBは、前記特徴情報として、マルウェア感染時に生成されるファイルの特徴情報、又は脆弱性の原因となるファイルの特徴情報、又は使用が制限されているソフトウェアを特定することできる特徴情報の少なく1つを含むことを特徴とする請求項5のソフトウェアの監視方法。 The first DB may identify, as the feature information, feature information of a file generated at the time of malware infection, feature information of a file causing a vulnerability, or software whose use is restricted. 6. The software monitoring method according to claim 5, comprising at least one of the following. 前記特徴情報として、ファイルの名前、ファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値、ソフトウェアによって書き換えられるレジストリ情報の1又はそれらの組合わせを含むことを特徴とする請求項7のソフトウェアの監視方法。 8. The feature information includes one or a combination of a file name, a file size, a time stamp, a location, a hash value of a file name, a data hash value, and registry information rewritten by software. Software monitoring method. 前記対策支援情報は、端末装置に対するアクション、表示データ、送受信情報、ファイルパス等うちの少なくとも1つ又はそれらの組み合わせを含むことを特徴とする請求項6のソフトウェアの監視方法。 7. The software monitoring method according to claim 6, wherein the countermeasure support information includes at least one of an action for a terminal device, display data, transmission / reception information, a file path, or a combination thereof. 前記監視装置は、該検証結果に基づいて判断した後、ネットワークを介して関係するネットワーク制御装置へアクセス制御指示を送信するステップと、
該ネットワーク制御装置は、該アクセス制御指示を受信して、関連する該端末装置に対する通信のアクセス制御を行なうステップと、
を更に有することを特徴とする請求項5乃至9のいずれかのソフトウェアの監視方法。 The monitoring device, after making a determination based on the verification result, transmitting an access control instruction to a related network control device via a network;
The network control device receives the access control instruction and performs communication access control for the related terminal device;
The software monitoring method according to claim 5, further comprising: 該端末装置は、記憶装置内にエージェントプログラムを有し、該エージェントプログラムの実行により、該第2DBへ格納するための前記ファイルに関する情報を取得する処理、及び該監視装置からの検証要求に基づいて、該第2DBを検索して関連するファイルを検証する処理を行なうことを特徴とする請求項5乃至10のいずれかのソフトウェアの監視方法。 The terminal device has an agent program in a storage device, and based on processing for obtaining information on the file to be stored in the second DB by executing the agent program, and a verification request from the monitoring device 11. The software monitoring method according to claim 5, wherein a process of searching the second DB and verifying a related file is performed. 該監視装置は、記憶装置内にサーバプログラムを有し、該サーバプログラムの実行により、ソフトウェアの特徴を含む該特徴情報を取得する処理、端末装置に対して該検証要求を発して端末装置の検証を行なう一連の処理を行なうことを特徴とする請求項5乃至11のいずれかのソフトウェアの監視方法。 The monitoring device has a server program in a storage device, and executes the server program to acquire the feature information including software features, and issues a verification request to the terminal device to verify the terminal device. 12. The software monitoring method according to claim 5, wherein a series of processes for performing is performed. 請求項1乃至4のいずれかに記載のシステムにおける監視装置。 The monitoring apparatus in the system in any one of Claims 1 thru | or 4. 請求項1乃至4のいずれかに記載のシステムにおける監視装置で実行されるサーバプログラム。 A server program executed by the monitoring device in the system according to claim 1. 請求項1乃至4のいずれかに記載のシステムにおける端末装置で実行されるエージェントプログラム。 An agent program executed by a terminal device in the system according to claim 1.
JP2004222819A 2004-07-30 2004-07-30 Software monitoring system and monitoring method Pending JP2006040196A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004222819A JP2006040196A (en) 2004-07-30 2004-07-30 Software monitoring system and monitoring method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004222819A JP2006040196A (en) 2004-07-30 2004-07-30 Software monitoring system and monitoring method

Publications (1)

Publication Number Publication Date
JP2006040196A true JP2006040196A (en) 2006-02-09

Family

ID=35905077

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004222819A Pending JP2006040196A (en) 2004-07-30 2004-07-30 Software monitoring system and monitoring method

Country Status (1)

Country Link
JP (1) JP2006040196A (en)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008026287A1 (en) * 2006-08-31 2008-03-06 Fujitsu Limited Computer resource verifying method and computer resource verifying program
JP2008217712A (en) * 2007-03-07 2008-09-18 Nec Networks & System Integration Corp Mail server access method and electronic mail system
JP2010067216A (en) * 2008-09-12 2010-03-25 Toshiba Corp Vulnerability determination device and program
JP2010152898A (en) * 2008-12-23 2010-07-08 Korea Electronics Telecommun Apparatus and method for protecting asset in computer system
WO2011030455A1 (en) 2009-09-14 2011-03-17 森清 Secure audit system and secure audit method
JP2012533104A (en) * 2009-07-10 2012-12-20 エフ−セキュア コーポレーション Antivirus scan
WO2013035181A1 (en) * 2011-09-08 2013-03-14 株式会社日立製作所 Vulnerability countermeasure device, and vulnerability countermeasure method
WO2013069758A1 (en) 2011-11-10 2013-05-16 株式会社セキュアブレイン Unauthorized application detection system and method
JP2016507922A (en) * 2012-12-10 2016-03-10 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ Systems that protect mobile networks
KR20160099173A (en) * 2015-02-11 2016-08-22 (주) 에스에스알 Monitoring method and monitoring device of executable program's action, Computer program for the same, Recording medium storing computer program for the same
JP2017004521A (en) * 2015-06-05 2017-01-05 フィッシャー−ローズマウント システムズ,インコーポレイテッド Method and device for controlling communication of endpoint in industrial enterprise system based on integrity
JP2018045392A (en) * 2016-09-13 2018-03-22 株式会社東芝 Network monitoring device, network system and program
JP2019192265A (en) * 2015-09-15 2019-10-31 日本電気株式会社 Information processing apparatus, information processing method, and program
JP2020013590A (en) * 2019-08-20 2020-01-23 株式会社三菱Ufj銀行 Internet banking system and relay device for unauthorized access cutoff

Cited By (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8595828B2 (en) 2006-08-31 2013-11-26 Fujitsu Limited Computer resource verifying method and computer resource verifying program
JPWO2008026287A1 (en) * 2006-08-31 2010-01-14 富士通株式会社 Computer resource verification method and computer resource verification program
CN101506818B (en) * 2006-08-31 2011-07-27 富士通株式会社 Computer resource verifying method
WO2008026287A1 (en) * 2006-08-31 2008-03-06 Fujitsu Limited Computer resource verifying method and computer resource verifying program
JP2008217712A (en) * 2007-03-07 2008-09-18 Nec Networks & System Integration Corp Mail server access method and electronic mail system
JP2010067216A (en) * 2008-09-12 2010-03-25 Toshiba Corp Vulnerability determination device and program
JP2010152898A (en) * 2008-12-23 2010-07-08 Korea Electronics Telecommun Apparatus and method for protecting asset in computer system
US8555387B2 (en) 2008-12-23 2013-10-08 Electronics And Telecommunications Research Institute Apparatus and method for protecting asset in computer system
JP2012533104A (en) * 2009-07-10 2012-12-20 エフ−セキュア コーポレーション Antivirus scan
US9965630B2 (en) 2009-07-10 2018-05-08 F-Secure Corporation Method and apparatus for anti-virus scanning of file system
WO2011030455A1 (en) 2009-09-14 2011-03-17 森清 Secure audit system and secure audit method
JPWO2011030455A1 (en) * 2009-09-14 2013-02-04 森 清 Secure audit system and secure audit method
JPWO2013035181A1 (en) * 2011-09-08 2015-03-23 株式会社日立製作所 Vulnerability countermeasure device and vulnerability countermeasure method
WO2013035181A1 (en) * 2011-09-08 2013-03-14 株式会社日立製作所 Vulnerability countermeasure device, and vulnerability countermeasure method
US9372995B2 (en) 2011-09-08 2016-06-21 Hitachi, Ltd. Vulnerability countermeasure device and vulnerability countermeasure method
WO2013069758A1 (en) 2011-11-10 2013-05-16 株式会社セキュアブレイン Unauthorized application detection system and method
JPWO2013069758A1 (en) * 2011-11-10 2015-04-02 株式会社セキュアブレイン Unauthorized application detection system and method
CN103917981A (en) * 2011-11-10 2014-07-09 思科博瑞公司 Unauthorized application detection system and method
JP2016507922A (en) * 2012-12-10 2016-03-10 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ Systems that protect mobile networks
KR101653741B1 (en) 2015-02-11 2016-09-05 (주) 에스에스알 Monitoring method and monitoring device of executable program's action, Computer program for the same, Recording medium storing computer program for the same
KR20160099173A (en) * 2015-02-11 2016-08-22 (주) 에스에스알 Monitoring method and monitoring device of executable program's action, Computer program for the same, Recording medium storing computer program for the same
JP2017004521A (en) * 2015-06-05 2017-01-05 フィッシャー−ローズマウント システムズ,インコーポレイテッド Method and device for controlling communication of endpoint in industrial enterprise system based on integrity
JP2019192265A (en) * 2015-09-15 2019-10-31 日本電気株式会社 Information processing apparatus, information processing method, and program
US10922417B2 (en) 2015-09-15 2021-02-16 Nec Corporation Information processing apparatus, information processing method, and program
JP2021152929A (en) * 2015-09-15 2021-09-30 日本電気株式会社 Terminal management device, terminal management method, and program
JP7255636B2 (en) 2015-09-15 2023-04-11 日本電気株式会社 Terminal management device, terminal management method, and program
JP2018045392A (en) * 2016-09-13 2018-03-22 株式会社東芝 Network monitoring device, network system and program
JP2020013590A (en) * 2019-08-20 2020-01-23 株式会社三菱Ufj銀行 Internet banking system and relay device for unauthorized access cutoff

Similar Documents

Publication Publication Date Title
US20200259858A1 (en) Identifying security actions based on computing asset relationship data
JP6224173B2 (en) Method and apparatus for dealing with malware
JP5897132B2 (en) Dynamic malware removal using cloud technology
US9853994B2 (en) Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program
US9910981B2 (en) Malicious code infection cause-and-effect analysis
CN106687971B (en) Automatic code locking to reduce attack surface of software
RU2568295C2 (en) System and method for temporary protection of operating system of hardware and software from vulnerable applications
EP2860657B1 (en) Determining a security status of potentially malicious files
US10033745B2 (en) Method and system for virtual security isolation
US20150052614A1 (en) Virtual machine trust isolation in a cloud environment
JP5987627B2 (en) Unauthorized access detection method, network monitoring device and program
JP2006040196A (en) Software monitoring system and monitoring method
US20160110544A1 (en) Disabling and initiating nodes based on security issue
US10404733B1 (en) Active push-based remediation for reputation-based security systems
CN110505246B (en) Client network communication detection method, device and storage medium
CN112583841B (en) Virtual machine safety protection method and system, electronic equipment and storage medium
TW201417548A (en) Method of connection reliability assurance of user end to cloud and user end
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium
JP6092759B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM
TWM592531U (en) Cyber attack analysis system
JP2006018766A (en) Network connection management system
JP2005321897A (en) Data communication processing program and aitivirus program acquisition processing program
JP2005216253A (en) Medical inspection network system
KR20180044506A (en) System recovery method in advanced persistent threat
WO2019146346A1 (en) Security system, security operation method, and overall incident management device