JP2006053788A - ソフトウェア動作監視装置及びソフトウェア動作監視方法 - Google Patents
ソフトウェア動作監視装置及びソフトウェア動作監視方法 Download PDFInfo
- Publication number
- JP2006053788A JP2006053788A JP2004235433A JP2004235433A JP2006053788A JP 2006053788 A JP2006053788 A JP 2006053788A JP 2004235433 A JP2004235433 A JP 2004235433A JP 2004235433 A JP2004235433 A JP 2004235433A JP 2006053788 A JP2006053788 A JP 2006053788A
- Authority
- JP
- Japan
- Prior art keywords
- software
- monitoring
- policy information
- unit
- analysis unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0715—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a system implementing multitasking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/865—Monitoring of software
Abstract
【解決手段】ソフトウェア動作監視機構300(ソフトウェア動作監視装置)は、ソフトウェアの監視対象動作と監視対象外動作とを選別するポリシー情報を蓄積するポリシー情報蓄積部330と、ソフトウェアの実行履歴を記録する実行履歴記録部310と、ポリシー情報に基づいて、実行中のソフトウェアの動作から監視対象動作を検出する第1の解析部321と、第1の解析部321によって検出された動作に対して、実行履歴記録部310に記録された実行履歴を解析し、ソフトウェアの正常動作からの乖離の有無を判定する第2の解析部322とを備える。
【選択図】図1
Description
(ソフトウェア動作監視装置)
第1の実施の形態に係るソフトウェア動作監視機構(ソフトウェア動作監視装置)300は、図1に示すように、実行履歴記録部310と、動作監視部320と、ポリシー情報蓄積部330と、動作履歴記録部340と、ポリシー情報管理部350とを備える。図1では、ソフトウェア動作監視機構300は、監視対象ソフトウェア200と同様に、ソフトウェアの実行環境100上で実行される。
次に、第1の実施の形態に係るソフトウェア動作監視方法について、図1及び図3を用いて説明する。
第1の実施の形態に係るソフトウェア動作監視装置及びソフトウェア動作監視方法によると、ソフトウェアの監視対象動作を確実に検出する第1の解析部321を、重量であるがソフトウェアの正常動作からの乖離を確実に検出できる第2の解析部322の前段に配置することにより、第2の解析部322の起動頻度を低減することができる。このため、ソフトウェア動作の監視時の、検出システム全体のオーバーヘッドを低減しつつ、ソフトウェアの正常動作からの乖離を適切に判定することができる。
第2の実施の形態では、第1の実施の形態において説明したソフトウェア動作監視機構を計算機の基本ソフトウェア(オペレーティングシステム)に導入する。
第2の実施の形態に係るソフトウェア動作監視機構(ソフトウェア動作監視装置)300は、オペレーティングシステムの基本機能を提供するソフトウェアであるカーネル500内に実装され、1つ以上の監視対象ソフトウェア200a、200b、200cを監視する。監視結果は、アクセス制御部530、ポリシー情報管理部540、プロセス管理部550において利用され、システムリソースへのアクセスの制限やプロセス停止等の対処を行うことが可能となる。
次に、第2の実施の形態に係るソフトウェア動作監視方法について、図4及び図9を用いて説明する。
第2の特徴に係るソフトウェア動作監視装置及びソフトウェア動作監視方法によると、第2の解析部322は、実行履歴記録部310に記録された実行履歴が動作モデル620に受理されるか否かを判定することにより、ソフトウェアの正常動作からの乖離の有無を判定することができる。このため、正常動作からの乖離を判定するための規則生成が容易になる効果が得られる。
第3の実施の形態では、第1の解析部が複数の監視対象動作を解析し、該当した監視対象動作に応じて、第2の解析部が異なる解析を行う。
第3の実施の形態に係るソフトウェア動作監視装置は、図10に示すように、第1の解析部321と第2の解析部322の構成が異なる以外は、第2の実施の形態と同様の構成である。
次に、第3の実施の形態に係るソフトウェア動作監視方法について、図10及び図12を用いて説明する。
第3の実施の形態に係るソフトウェア動作監視装置及びソフトウェア動作監視方法によると、軽量の監視を行う第1の解析部、重量の監視を行う第2の解析部に加え、第2の解析部の一部を機能させる中量の監視を行うことができ、監視対象動作に応じたオーバーヘッドの軽減が可能となる。
本発明は上記の実施形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
200、200a、200b、200c…監視対象ソフトウェア
300…ソフトウェア動作監視機構(ソフトウェア動作監視装置)
310…実行履歴記録部
320…動作監視部
321…第1の解析部
321a…リソースアクセス監視部
321b…システムコール監視部
322…第2の解析部
322a…システムコール解析部
322b…引数解析部
322c…スタック解析部
330…ポリシー情報蓄積部
340…動作履歴記録部
350…ポリシー情報管理部
500…カーネル
510…カーネルフック
530…アクセス制御部
540…ポリシー情報管理部
550…プロセス管理部
600…記録媒体
610…ポリシー情報
620…動作モデル
630…実行履歴
Claims (11)
- 実行中のソフトウェアの動作を監視するソフトウェア動作監視装置であって、
ソフトウェアの監視対象動作と監視対象外動作とを選別するポリシー情報を蓄積するポリシー情報蓄積手段と、
ソフトウェアの実行履歴を記録する実行履歴記録手段と、
前記ポリシー情報に基づいて、前記実行中のソフトウェアの動作から監視対象動作を検出する第1の解析手段と、
前記第1の解析手段によって検出された動作に対して、前記実行履歴記録手段に記録された実行履歴を解析し、ソフトウェアの正常動作からの乖離の有無を判定する第2の解析手段と
を備えることを特徴とするソフトウェア動作監視装置。 - 前記ポリシー情報として、前記ソフトウェアの監視対象動作、あるいは、監視対象外動作となるシステムリソースへのアクセス規則が設定されることを特徴とする請求項1に記載のソフトウェア動作監視装置。
- 前記システムリソースは、システムコールであることを特徴とする請求項2に記載のソフトウェア動作監視装置。
- 前記ソフトウェアの実行中に前記ポリシー情報を変更するポリシー情報管理手段を更に備えることを特徴とする請求項1〜3のいずれか1項に記載のソフトウェア動作監視装置。
- 前記実行中のソフトウェアの動作履歴を記録する動作履歴記録手段を更に備え、
前記第1の解析手段は、前記動作履歴記録手段に記録された動作履歴と、前記ポリシー情報とに基づいて、前記実行中のソフトウェアの動作から監視対象動作を検出することを特徴とする請求項1〜4のいずれか1項に記載のソフトウェア動作監視装置。 - ソフトウェアの正常動作を表す動作モデルを蓄積する動作モデル蓄積手段を更に備え、
前記第2の解析手段は、前記実行履歴記録手段に記録された実行履歴が前記動作モデルに受理されるか否かを判定することにより、ソフトウェアの正常動作からの乖離の有無を判定することを特徴とする請求項1〜4のいずれか1項に記載のソフトウェア動作監視装置。 - 前記実行履歴記録手段は、ソフトウェアがオペレーティングシステムに対して生成するシステムコールを記録し、
前記動作モデルは、ソフトウェアの正常動作で生成されるシステムコールの発生パターンを網羅したものであることを特徴とする請求項6に記載のソフトウェア動作監視装置。 - 前記実行履歴記録手段は、ソフトウェアがオペレーティングシステムに対して生成するシステムコールの引数を記録し、
前記動作モデルは、ソフトウェアの正常動作で生成されるシステムコール引数の発生パターンを網羅したものであることを特徴とする請求項6に記載のソフトウェア動作監視装置。 - 前記実行履歴記録手段は、ソフトウェアが関数呼び出しにおいて利用するコールスタックの内容を記録し、
前記動作モデルは、ソフトウェアの正常動作で生成されるコールスタックの内容の発生パターンを網羅したものであることを特徴とする請求項6に記載のソフトウェア動作監視装置。 - 前記第1の解析手段は、システムリソースへのアクセスを監視するリソースアクセス監視部と、ソフトウェアがオペレーティングシステムに対して生成するシステムコールを監視するシステムコール監視部とを備え、
前記第2の解析手段は、前記リソースアクセス監視部と前記システムコール監視部との監視結果に応じて、前記システムコールの発生パターンを解析するシステムコール解析部、前記システムコールの引数を解析する引数解析部、ソフトウェアが関数呼び出しにおいて利用するコールスタックの状態の発生パターンを解析するスタック解析部の一部あるいは全部を用いて解析を行うことを特徴とする請求項1〜9のいずれか1項に記載のソフトウェア動作監視装置。 - 実行中のソフトウェアの動作を監視するソフトウェア動作監視方法であって、
ソフトウェアの監視対象動作と監視対象外動作とを選別するポリシー情報を蓄積するステップと、
ソフトウェアの実行履歴を記録するステップと、
前記ポリシー情報に基づいて、前記実行中のソフトウェアの動作から監視対象動作を検出するステップと、
前記検出するステップによって検出された動作に対して、前記記録するステップにおいて記録された実行履歴を解析し、ソフトウェアの正常動作からの乖離の有無を判定するステップと
を含むことを特徴とするソフトウェア動作監視方法。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004235433A JP2006053788A (ja) | 2004-08-12 | 2004-08-12 | ソフトウェア動作監視装置及びソフトウェア動作監視方法 |
CNB2005100901973A CN100356288C (zh) | 2004-08-12 | 2005-08-11 | 软件动作监视装置以及软件动作监视方法 |
US11/201,257 US20060101413A1 (en) | 2004-08-12 | 2005-08-11 | Software operation monitoring apparatus and software operation monitoring method |
EP05017502A EP1628222A3 (en) | 2004-08-12 | 2005-08-11 | Software operation monitoring apparatus and software operation monitoring method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004235433A JP2006053788A (ja) | 2004-08-12 | 2004-08-12 | ソフトウェア動作監視装置及びソフトウェア動作監視方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006053788A true JP2006053788A (ja) | 2006-02-23 |
Family
ID=35448164
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004235433A Pending JP2006053788A (ja) | 2004-08-12 | 2004-08-12 | ソフトウェア動作監視装置及びソフトウェア動作監視方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20060101413A1 (ja) |
EP (1) | EP1628222A3 (ja) |
JP (1) | JP2006053788A (ja) |
CN (1) | CN100356288C (ja) |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007102311A (ja) * | 2005-09-30 | 2007-04-19 | Fujitsu Ltd | ワーム感染装置の検出装置 |
JP2007286686A (ja) * | 2006-04-12 | 2007-11-01 | Ntt Docomo Inc | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
JP2007286656A (ja) * | 2006-04-12 | 2007-11-01 | Ntt Docomo Inc | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
JP2008134705A (ja) * | 2006-11-27 | 2008-06-12 | Hitachi Ltd | データ処理方法及びデータ分析装置 |
JP2008165551A (ja) * | 2006-12-28 | 2008-07-17 | Sony Corp | 情報処理装置および方法、プログラム、並びに記録媒体 |
WO2008117872A1 (ja) * | 2007-03-28 | 2008-10-02 | Ntt Docomo, Inc. | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
JP2009151420A (ja) * | 2007-12-19 | 2009-07-09 | Toyota Central R&D Labs Inc | ソフトウェア動作監視装置、プログラム |
JP2010509654A (ja) * | 2006-11-07 | 2010-03-25 | ソフト−キャンプ カンパニー リミティッド | コールスタックに記録された情報を用いたapiの確認方法 |
JP2011501278A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータにおける悪意プログラム自動保護方法及び装置 |
JP2011258019A (ja) * | 2010-06-09 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 異常検知装置、異常検知プログラムおよび異常検知方法 |
JP2014501420A (ja) * | 2010-12-27 | 2014-01-20 | マイクロソフト コーポレーション | リソースアクセスパターンに基づくアプリケーションの障害の予測、診断、および障害からの復旧 |
JP5447668B2 (ja) * | 2010-06-30 | 2014-03-19 | 富士通株式会社 | 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法 |
JP2016012208A (ja) * | 2014-06-27 | 2016-01-21 | 富士通株式会社 | 監視対象プログラムの選択方法、監視対象選択プログラム及び監視対象選択装置 |
JP2016505981A (ja) * | 2012-12-27 | 2016-02-25 | クラウドストライク インコーポレイテッド | セキュリティ関連システム状態のリアルタイム表現 |
JP2016512631A (ja) * | 2013-02-15 | 2016-04-28 | クアルコム,インコーポレイテッド | 複数のアナライザモデルプロバイダを用いたモバイルデバイスにおけるオンライン挙動分析エンジン |
WO2016075825A1 (ja) * | 2014-11-14 | 2016-05-19 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP2016148939A (ja) * | 2015-02-10 | 2016-08-18 | 日本電信電話株式会社 | 検出システム、検出方法、検出プログラム、蓄積装置および蓄積方法 |
KR20170022797A (ko) * | 2015-08-21 | 2017-03-02 | 주식회사 케이티 | 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템 |
JP2017539039A (ja) * | 2014-11-25 | 2017-12-28 | エンサイロ リミテッドenSilo Ltd. | 悪意のあるコードの検出のためのシステムおよび方法 |
US10089582B2 (en) | 2013-01-02 | 2018-10-02 | Qualcomm Incorporated | Using normalized confidence values for classifying mobile device behaviors |
KR20190041667A (ko) * | 2017-10-13 | 2019-04-23 | 주식회사 안랩 | 후킹 탐지 장치 및 방법 |
WO2021261901A1 (ko) * | 2020-06-24 | 2021-12-30 | 한양대학교 에리카산학협력단 | 함수 호출 패턴 분석을 통한 이상 검출 장치 및 방법 |
JP2023507533A (ja) * | 2020-11-17 | 2023-02-24 | シキューブ カンパニー,リミテッド | 分割されたセキュリティモジュールを具備するコンピュータ装置およびセキュリティモジュールアップデート方法 |
Families Citing this family (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7457671B2 (en) * | 2004-09-30 | 2008-11-25 | Rockwell Automation Technologies, Inc. | Systems and methods that facilitate management of add-on instruction generation, selection, and/or monitoring during execution |
US7685638B1 (en) * | 2005-12-13 | 2010-03-23 | Symantec Corporation | Dynamic replacement of system call tables |
US7913092B1 (en) * | 2005-12-29 | 2011-03-22 | At&T Intellectual Property Ii, L.P. | System and method for enforcing application security policies using authenticated system calls |
JP2007265089A (ja) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | ソフトウェア保守支援プログラム,処理方法および装置 |
US8272048B2 (en) * | 2006-08-04 | 2012-09-18 | Apple Inc. | Restriction of program process capabilities |
JP4288292B2 (ja) * | 2006-10-31 | 2009-07-01 | 株式会社エヌ・ティ・ティ・ドコモ | オペレーティングシステム監視設定情報生成装置及びオペレーティングシステム監視装置 |
JP4496205B2 (ja) | 2006-12-18 | 2010-07-07 | 日立オートモティブシステムズ株式会社 | 制御用マイクロコンピュータの検証装置および車載用制御装置 |
US8578347B1 (en) * | 2006-12-28 | 2013-11-05 | The Mathworks, Inc. | Determining stack usage of generated code from a model |
US8719830B2 (en) * | 2007-12-10 | 2014-05-06 | Hewlett-Packard Development Company, L.P. | System and method for allowing executing application in compartment that allow access to resources |
CN101685418A (zh) * | 2008-05-26 | 2010-03-31 | 新奥特(北京)视频技术有限公司 | 一种历史记录的调用方法 |
US8572674B2 (en) * | 2008-08-13 | 2013-10-29 | International Business Machines Corporation | System, method, and apparatus for modular, string-sensitive, access rights analysis with demand-driven precision |
GB0816556D0 (en) * | 2008-09-10 | 2008-10-15 | Univ Napier | Improvements in or relating to digital forensics |
WO2010059843A2 (en) * | 2008-11-19 | 2010-05-27 | Secure Works, Inc. | System and method for run-time attack prevention |
US20100125830A1 (en) * | 2008-11-20 | 2010-05-20 | Lockheed Martin Corporation | Method of Assuring Execution for Safety Computer Code |
JP5332006B2 (ja) * | 2009-08-07 | 2013-11-06 | 株式会社日立製作所 | 計算機システム、プログラム及びシミュレーションに使用する計算資源を割り当てる方法 |
CN102486731B (zh) * | 2009-11-30 | 2015-12-09 | 国际商业机器公司 | 增强软件的软件调用栈的可视化的方法、设备和系统 |
US8719804B2 (en) * | 2010-05-05 | 2014-05-06 | Microsoft Corporation | Managing runtime execution of applications on cloud computing systems |
US8429744B1 (en) * | 2010-12-15 | 2013-04-23 | Symantec Corporation | Systems and methods for detecting malformed arguments in a function by hooking a generic object |
US9635048B2 (en) | 2011-03-09 | 2017-04-25 | Irdeto B.V. | Method and system for dynamic platform security in a device operating system |
US8555385B1 (en) * | 2011-03-14 | 2013-10-08 | Symantec Corporation | Techniques for behavior based malware analysis |
US9158919B2 (en) * | 2011-06-13 | 2015-10-13 | Microsoft Technology Licensing, Llc | Threat level assessment of applications |
US8850408B2 (en) * | 2011-08-10 | 2014-09-30 | Nintendo Of America, Inc. | Methods and/or systems for determining a series of return callstacks |
CN102508768B (zh) * | 2011-09-30 | 2015-03-25 | 奇智软件(北京)有限公司 | 应用程序监控方法及装置 |
US8850406B1 (en) * | 2012-04-05 | 2014-09-30 | Google Inc. | Detecting anomalous application access to contact information |
CN102810143B (zh) * | 2012-04-28 | 2015-01-14 | 天津大学 | 基于Android平台手机应用程序的安全检测系统及方法 |
US8984331B2 (en) * | 2012-09-06 | 2015-03-17 | Triumfant, Inc. | Systems and methods for automated memory and thread execution anomaly detection in a computer network |
CN104641353B (zh) * | 2012-09-21 | 2018-03-06 | 惠普发展公司,有限责任合伙企业 | 在连续部署的情况下可用的监视器 |
JP6132065B2 (ja) * | 2013-03-13 | 2017-05-24 | インテル・コーポレーション | 性能及び正確性のためのマルチスレッドソフトウェアプログラムの記録された実行の視覚化 |
US9129063B2 (en) * | 2013-05-14 | 2015-09-08 | Oracle International Corporation | Visualizing a computer program execution history |
CN103336685B (zh) * | 2013-05-28 | 2016-04-27 | 中国联合网络通信集团有限公司 | 自助服务终端的监控方法及装置 |
DE102014213752A1 (de) | 2014-07-15 | 2016-01-21 | Siemens Aktiengesellschaft | Rechenvorrichtung und Verfahren zum Erkennen von Angriffen auf ein technisches System anhand von Ereignissen einer Ereignisfolge |
WO2016014593A1 (en) * | 2014-07-22 | 2016-01-28 | Viasat, Inc. | Mobile device security monitoring and notification |
CN106796635B (zh) * | 2014-10-14 | 2019-10-22 | 日本电信电话株式会社 | 确定装置、确定方法 |
GB201504612D0 (en) | 2015-03-18 | 2015-05-06 | Inquisitive Systems Ltd | Forensic analysis |
US9953158B1 (en) * | 2015-04-21 | 2018-04-24 | Symantec Corporation | Systems and methods for enforcing secure software execution |
US9928365B1 (en) * | 2016-10-31 | 2018-03-27 | International Business Machines Corporation | Automated mechanism to obtain detailed forensic analysis of file access |
US10650156B2 (en) | 2017-04-26 | 2020-05-12 | International Business Machines Corporation | Environmental security controls to prevent unauthorized access to files, programs, and objects |
GB201708671D0 (en) | 2017-05-31 | 2017-07-12 | Inquisitive Systems Ltd | Forensic analysis |
KR102408348B1 (ko) * | 2017-12-21 | 2022-06-14 | 삼성전자주식회사 | 단말 장치 및 단말 장치의 제어 방법 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001337864A (ja) * | 2000-03-22 | 2001-12-07 | Hitachi Ltd | アクセス制御システム |
JP2002247033A (ja) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | セキュリティ管理システム |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5551037A (en) * | 1993-11-19 | 1996-08-27 | Lucent Technologies Inc. | Apparatus and methods for visualizing operation of a system of processes |
US6775780B1 (en) * | 2000-03-16 | 2004-08-10 | Networks Associates Technology, Inc. | Detecting malicious software by analyzing patterns of system calls generated during emulation |
US7035850B2 (en) * | 2000-03-22 | 2006-04-25 | Hitachi, Ltd. | Access control system |
US7024694B1 (en) * | 2000-06-13 | 2006-04-04 | Mcafee, Inc. | Method and apparatus for content-based instrusion detection using an agile kernel-based auditor |
DE10124767A1 (de) * | 2001-05-21 | 2002-12-12 | Infineon Technologies Ag | Anordnung zur Abarbeitung von Datenverarbeitungsprozessen sowie Verfahren zur Ermittlung der optimalen Zugriffsstrategie |
US7290266B2 (en) * | 2001-06-14 | 2007-10-30 | Cisco Technology, Inc. | Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy |
JP2003202929A (ja) * | 2002-01-08 | 2003-07-18 | Ntt Docomo Inc | 配信方法および配信システム |
JP2003233521A (ja) * | 2002-02-13 | 2003-08-22 | Hitachi Ltd | ファイル保護システム |
JP2003242123A (ja) * | 2002-02-21 | 2003-08-29 | Hitachi Ltd | 合議型アクセス制御方法 |
US7228426B2 (en) * | 2002-04-03 | 2007-06-05 | Microsoft Corporation | Integrity ordainment and ascertainment of computer-executable instructions with consideration for execution context |
US7555777B2 (en) * | 2004-01-13 | 2009-06-30 | International Business Machines Corporation | Preventing attacks in a data processing system |
US7681226B2 (en) * | 2005-01-28 | 2010-03-16 | Cisco Technology, Inc. | Methods and apparatus providing security for multiple operational states of a computerized device |
-
2004
- 2004-08-12 JP JP2004235433A patent/JP2006053788A/ja active Pending
-
2005
- 2005-08-11 CN CNB2005100901973A patent/CN100356288C/zh not_active Expired - Fee Related
- 2005-08-11 EP EP05017502A patent/EP1628222A3/en not_active Withdrawn
- 2005-08-11 US US11/201,257 patent/US20060101413A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001337864A (ja) * | 2000-03-22 | 2001-12-07 | Hitachi Ltd | アクセス制御システム |
JP2002247033A (ja) * | 2001-02-16 | 2002-08-30 | Hitachi Ltd | セキュリティ管理システム |
Cited By (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007102311A (ja) * | 2005-09-30 | 2007-04-19 | Fujitsu Ltd | ワーム感染装置の検出装置 |
US8015609B2 (en) | 2005-09-30 | 2011-09-06 | Fujitsu Limited | Worm infection detecting device |
JP2007286686A (ja) * | 2006-04-12 | 2007-11-01 | Ntt Docomo Inc | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
JP2007286656A (ja) * | 2006-04-12 | 2007-11-01 | Ntt Docomo Inc | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
JP2010509654A (ja) * | 2006-11-07 | 2010-03-25 | ソフト−キャンプ カンパニー リミティッド | コールスタックに記録された情報を用いたapiの確認方法 |
JP2008134705A (ja) * | 2006-11-27 | 2008-06-12 | Hitachi Ltd | データ処理方法及びデータ分析装置 |
US8219548B2 (en) | 2006-11-27 | 2012-07-10 | Hitachi, Ltd. | Data processing method and data analysis apparatus |
US8887091B2 (en) | 2006-12-28 | 2014-11-11 | Sony Corporation | Information processing apparatus, method, processor, and recording medium for determining whether information stored in a memory is incorrectly updated |
JP4544246B2 (ja) * | 2006-12-28 | 2010-09-15 | ソニー株式会社 | 制御装置および方法、プログラム、並びに記録媒体 |
JP2008165551A (ja) * | 2006-12-28 | 2008-07-17 | Sony Corp | 情報処理装置および方法、プログラム、並びに記録媒体 |
JP2008243034A (ja) * | 2007-03-28 | 2008-10-09 | Ntt Docomo Inc | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
WO2008117872A1 (ja) * | 2007-03-28 | 2008-10-02 | Ntt Docomo, Inc. | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
US8407799B2 (en) | 2007-03-28 | 2013-03-26 | Ntt Docomo, Inc. | Software behavior modeling device, software behavior modeling method, software behavior verification device, and software behavior verification method |
JP2011501278A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータにおける悪意プログラム自動保護方法及び装置 |
JP2009151420A (ja) * | 2007-12-19 | 2009-07-09 | Toyota Central R&D Labs Inc | ソフトウェア動作監視装置、プログラム |
JP2011258019A (ja) * | 2010-06-09 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 異常検知装置、異常検知プログラムおよび異常検知方法 |
US9262473B2 (en) | 2010-06-30 | 2016-02-16 | Fujitsu Limited | Trail log analysis system, medium storing trail log analysis program, and trail log analysis method |
JP5447668B2 (ja) * | 2010-06-30 | 2014-03-19 | 富士通株式会社 | 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法 |
US10152364B2 (en) | 2010-12-27 | 2018-12-11 | Microsoft Technology Licensing, Llc | Predicting, diagnosing, and recovering from application failures based on resource access patterns |
US9189308B2 (en) | 2010-12-27 | 2015-11-17 | Microsoft Technology Licensing, Llc | Predicting, diagnosing, and recovering from application failures based on resource access patterns |
JP2014501420A (ja) * | 2010-12-27 | 2014-01-20 | マイクロソフト コーポレーション | リソースアクセスパターンに基づくアプリケーションの障害の予測、診断、および障害からの復旧 |
JP2016505981A (ja) * | 2012-12-27 | 2016-02-25 | クラウドストライク インコーポレイテッド | セキュリティ関連システム状態のリアルタイム表現 |
US10409980B2 (en) | 2012-12-27 | 2019-09-10 | Crowdstrike, Inc. | Real-time representation of security-relevant system state |
US10089582B2 (en) | 2013-01-02 | 2018-10-02 | Qualcomm Incorporated | Using normalized confidence values for classifying mobile device behaviors |
JP2016512631A (ja) * | 2013-02-15 | 2016-04-28 | クアルコム,インコーポレイテッド | 複数のアナライザモデルプロバイダを用いたモバイルデバイスにおけるオンライン挙動分析エンジン |
JP2016012208A (ja) * | 2014-06-27 | 2016-01-21 | 富士通株式会社 | 監視対象プログラムの選択方法、監視対象選択プログラム及び監視対象選択装置 |
WO2016075825A1 (ja) * | 2014-11-14 | 2016-05-19 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP6058246B2 (ja) * | 2014-11-14 | 2017-01-11 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP2017539039A (ja) * | 2014-11-25 | 2017-12-28 | エンサイロ リミテッドenSilo Ltd. | 悪意のあるコードの検出のためのシステムおよび方法 |
JP2016148939A (ja) * | 2015-02-10 | 2016-08-18 | 日本電信電話株式会社 | 検出システム、検出方法、検出プログラム、蓄積装置および蓄積方法 |
KR20170022797A (ko) * | 2015-08-21 | 2017-03-02 | 주식회사 케이티 | 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템 |
KR102398014B1 (ko) * | 2015-08-21 | 2022-05-16 | 주식회사 케이티 | 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템 |
KR20190041667A (ko) * | 2017-10-13 | 2019-04-23 | 주식회사 안랩 | 후킹 탐지 장치 및 방법 |
KR102046550B1 (ko) * | 2017-10-13 | 2019-11-19 | 주식회사 안랩 | 후킹 탐지 장치 및 방법 |
WO2021261901A1 (ko) * | 2020-06-24 | 2021-12-30 | 한양대학교 에리카산학협력단 | 함수 호출 패턴 분석을 통한 이상 검출 장치 및 방법 |
JP2023507533A (ja) * | 2020-11-17 | 2023-02-24 | シキューブ カンパニー,リミテッド | 分割されたセキュリティモジュールを具備するコンピュータ装置およびセキュリティモジュールアップデート方法 |
Also Published As
Publication number | Publication date |
---|---|
EP1628222A3 (en) | 2009-09-30 |
CN100356288C (zh) | 2007-12-19 |
US20060101413A1 (en) | 2006-05-11 |
CN1734389A (zh) | 2006-02-15 |
EP1628222A2 (en) | 2006-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2006053788A (ja) | ソフトウェア動作監視装置及びソフトウェア動作監視方法 | |
US11042647B1 (en) | Software assurance system for runtime environments | |
US8079085B1 (en) | Reducing false positives during behavior monitoring | |
RU2530210C2 (ru) | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы | |
US9158919B2 (en) | Threat level assessment of applications | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
US7587724B2 (en) | Kernel validation layer | |
US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
CN109155774B (zh) | 用于检测安全威胁的系统和方法 | |
US20130305368A1 (en) | Methods and apparatus for identifying and removing malicious applications | |
US20130312104A1 (en) | Methods and apparatus providing automatic signature generation and enforcement | |
WO2018052979A1 (en) | Systems and methods for agent-based detection of hacking attempts | |
JP5736305B2 (ja) | ソフトウェア評価を確立し監視するシステムおよびプログラム | |
KR20070118074A (ko) | 외래 코드 검출을 위한 시스템 및 방법 | |
EP3903183A1 (en) | Automatic mitigation of corrupted or compromised compute resources | |
US20240028712A1 (en) | Control flow integrity enforcement for applications running on platforms | |
EP3831031B1 (en) | Listen mode for application operation whitelisting mechanisms | |
Xu et al. | DR@ FT: efficient remote attestation framework for dynamic systems | |
EP3535681B1 (en) | System and method for detecting and for alerting of exploits in computerized systems | |
Moffie et al. | Hunting trojan horses | |
US11971979B2 (en) | Integrity violation detection for system services | |
Lee et al. | A rule-based security auditing tool for software vulnerability detection | |
US20230169162A1 (en) | Integrity violation detection for system services | |
Karpachev et al. | Dynamic Malware Detection Based on Embedded Models of Execution Signature Chain | |
WO2024020162A1 (en) | Control flow integrity enforcement for applications running on platforms |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070330 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100427 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100628 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100720 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100921 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101019 |