JP2006146600A - 動作監視サーバ、端末装置及び動作監視システム - Google Patents
動作監視サーバ、端末装置及び動作監視システム Download PDFInfo
- Publication number
- JP2006146600A JP2006146600A JP2004336363A JP2004336363A JP2006146600A JP 2006146600 A JP2006146600 A JP 2006146600A JP 2004336363 A JP2004336363 A JP 2004336363A JP 2004336363 A JP2004336363 A JP 2004336363A JP 2006146600 A JP2006146600 A JP 2006146600A
- Authority
- JP
- Japan
- Prior art keywords
- execution history
- terminal device
- software
- unit
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】ソフトウェアのソースプログラムの流用を防ぎ、動作監視サーバ主導で端末装置におけるソフトウェアの動作を監視可能とする。
【解決手段】動作監視サーバ10は、端末装置60におけるソフトウェアの実行履歴を端末装置60に要求する実行履歴要求部41と、ソフトウェアの正常動作を表した動作モデルを用いて、端末装置60から取得した実行履歴を解析し、端末装置60の動作が正常動作と乖離しているか否かの判定を行う実行履歴解析部42とを備える。
【選択図】図1
【解決手段】動作監視サーバ10は、端末装置60におけるソフトウェアの実行履歴を端末装置60に要求する実行履歴要求部41と、ソフトウェアの正常動作を表した動作モデルを用いて、端末装置60から取得した実行履歴を解析し、端末装置60の動作が正常動作と乖離しているか否かの判定を行う実行履歴解析部42とを備える。
【選択図】図1
Description
本発明は、端末装置におけるソフトウェアの動作を監視する動作監視サーバ、その動作監視サーバによる監視を受ける端末装置及び動作監視システムに関する。
パーソナルコンピュータやワークステーション、サーバ、ルータ、携帯電話、携帯情報端末(PDA)等、様々な端末装置は、装置外部や装置内部からの攻撃にさらされている。代表的な攻撃に、端末装置上で実行されるソフトウェアの脆弱性を踏み台にしたものがある。具体的には、攻撃者はソフトウェアの脆弱性を利用した悪意のあるプログラムコードを端末装置に送信し、実行中のソフトウェアウェアの制御を奪い、そのソフトウェアに与えられた権限を利用して不正操作を行う。
ソフトウェアの脆弱性を踏み台にした攻撃に対する対策として、実行中のソフトウェアの異常を検知する技術が提案されている(例えば、非特許文献1、非特許文献2参照)。非特許文献1には、端末装置自身が、ソフトウェアのソースプログラムを取得し、静的解析を行い、ソフトウェアの正常な動作を表すモデルを予め作成しておくことにより、異常動作を検知する技術が提案されている。非特許文献2には、端末装置自身が、攻撃から隔離された環境下でソフトウェアを動作させ、モデルを学習する技術が提案されている。
又、ネットワークサービスを提供するサーバ上で動作するソフトウェアが生成するログ情報を、管理用ホストが遠隔監視する方法も提案されている(例えば、特許文献1参照)。具体的には、サーバ自身がログを常に監視して変化を検出し、変化分を管理用ホストに送信する。管理用ホストは、ネットワークサービス管理者により事前に与えられたログ解析ポリシーからログ解析用プログラムを生成し、ログ情報を解析する。これによれば、ネットワークサービスの管理者はプログラムを生成する必要がなく、ログ情報を常に監視する必要がないため、管理負担が軽減されるメリットが得られる。
Wagner, Dean, "Intrusion Detection via Static Analysis", IEEE Symposium on Security and Privacy, 2001 H.Feng, et al. "A sense of self for Unix(登録商標) processes", IEEE Symposium on Security and Privacy, 1996 特開2000−47912号公報
Wagner, Dean, "Intrusion Detection via Static Analysis", IEEE Symposium on Security and Privacy, 2001 H.Feng, et al. "A sense of self for Unix(登録商標) processes", IEEE Symposium on Security and Privacy, 1996
しかしながら、非特許文献1に記載された技術では、端末装置がソフトウェアのソースプログラムを予め取得し、モデルを生成しておく必要があった。よって、ソフトウェア提供者がソースプログラムを多数の端末装置に開示する必要があり、ソフトウェアの不正な流用を引き起こしてしまう場合があった。又、ソフトウェア提供者自身がソースプログラムからモデルを生成し、多数の端末装置に提供することによっても、ソフトウェアの不正な流用を引き起こしてしまう場合があった。又、このような不正流用を防ぐためにソフトウェア提供者がソースプログラムやソースプログラムから生成したモデルの開示を拒否した場合にはこの技術を使用することはできなかった。
又、非特許文献2に記載された技術では、攻撃から隔離された環境下でモデルを学習することが重要であるが、各端末装置が攻撃から隔離された環境を保証すること自体が困難であった。
更に、特許文献1に記載された技術では、サーバが常にログを監視しなければならず、サーバの処理負荷が増大するおそれがあった。又、サーバ主導で変化分が管理用ホストに送信されるため、多数のサーバから情報が管理用ホストに送信されると、管理用ホストの処理が追いつかなくなったり、サービス妨害攻撃(DoS攻撃)を受けてしまったりするおそれがあった。
そこで、本発明は、ソフトウェアのソースプログラムの流用を防ぎ、動作監視サーバ主導で端末装置におけるソフトウェアの動作を監視可能とすることを目的とする。
本発明に係る動作監視サーバは、端末装置におけるソフトウェアの実行履歴を端末装置に要求する実行履歴要求部と、ソフトウェアの正常動作を表した動作モデルを用いて、端末装置から取得した実行履歴を解析し、端末装置の動作が正常動作と乖離しているか否かの判定を行う実行履歴解析部とを備えることを特徴とする。
このような動作監視サーバによれば、動作監視サーバが主導となって、端末装置に実行履歴を要求し、それに応じて端末装置から実行履歴を取得できる。又、動作監視サーバが、動作モデルを用いて実行履歴を解析し、正常動作からの乖離の有無を判定できる。そのため、多数の端末装置にソースプログラムやソースプログラムから生成した動作モデルを開示する必要がない。よって、動作監視サーバは、ソフトウェアのソースプログラムの流用を防ぐことができる。
更に、動作監視サーバは、ソフトウェアを実行するソフトウェア実行部と、ソフトウェア実行部による実行履歴に基づいて動作モデルを生成する動作モデル生成部を備え、実行履歴解析部は、動作モデル生成部により生成された動作モデルを用いて判定を行うことが好ましい。動作監視サーバは、自らソフトウェアを実行することにより得られた実行履歴に基づいて動作モデルを生成できる。そのため、ソフトウェア提供者は動作監視サーバに対してもソースプログラムやソースプログラムから生成した動作モデルを開示する必要がなく、ソフトウェアのソースプログラムの流用をより確実に防止できる。しかも、少なくとも動作監視サーバについてだけ安全な環境を保証できれば、動作モデルを適切に生成できる。よって、動作監視サーバは、信頼性の高い監視を実現できる。
動作モデル生成部は、端末装置の動作環境又は処理能力の少なくとも1つに基づいて動作モデルを生成することが好ましい。これによれば、動作監視サーバは、ソフトウェアを実行する各端末装置の動作環境や処理能力を考慮して、各端末装置に適した動作モデルを生成できる。そのため、動作監視サーバは、判定精度を向上でき、信頼性の高い監視を実現できる。
動作モデル生成部は、実行履歴解析部による判定結果に基づいて動作モデルを生成することが好ましい。これによれば、動作監視サーバは、各端末装置の判定結果に対応して、各端末装置に適した動作モデルを動的に生成できる。そのため、動作監視サーバは、各端末装置のその時の状況に応じて精度の高い判定を行うことができ、信頼性の高い監視を実現できる。
又、実行履歴要求部は、監視対象の実行履歴を要求し、実行履歴解析部は、監視対象の実行履歴を解析し、判定を行うことが好ましい。これによれば、必要な実行履歴だけが端末装置から動作監視サーバに送信され、必要な実行履歴についてだけ解析を行うことができる。そのため、不必要な情報が送受信されることによる情報漏洩の危険を低減でき、不必要な実行履歴の解析を防止して動作監視サーバの監視処理の負荷を低減でき、端末装置から送信される実行履歴のデータ量を抑え、ネットワーク負荷を低減できる。
監視対象の実行履歴は、データへのアクセスの履歴であることが好ましい。これによれば、動作監視サーバは、重要なデータへのアクセスに関する解析を行うことができ、必要最低限の安全性を確保した低負荷の動作監視ができる。
更に、実行履歴解析部は、判定結果に基づいて、端末装置におけるソフトウェアに関連する動作を制御する指示を生成し、端末装置に提供することが好ましい。これによれば、動作監視サーバは、動作の監視だけでなく、異常動作が検出された場合に、異常な動作が継続されることを防止できる。
本発明に係る端末装置は、ソフトウェアの実行履歴が蓄積される実行履歴蓄積部と、実行履歴蓄積部に実行履歴を記録する実行履歴記録部と、端末装置におけるソフトウェアの動作を監視する動作監視サーバからの要求に従って、実行履歴蓄積部から実行履歴を抽出し、動作監視サーバに提供する実行履歴提供部とを備えることを特徴とする。
このような端末装置によれば、動作監視サーバからの要求に応じて、端末装置におけるソフトウェアの実行履歴を動作監視サーバに提供できる。よって、端末装置は、自身で動作監視を行う必要がなく、要求がない間は実行履歴の提供を行わないようにできる。よって、ソフトウェアのソースプログラムの流用を防ぎ、動作監視サーバ主導で端末装置におけるソフトウェアの動作を監視することができる。
実行履歴提供部は、実行履歴と共に端末装置の動作環境又は処理能力の少なくとも1つを動作監視サーバに提供することが好ましい。これによれば、端末装置は、動作監視サーバにソフトウェアを実行する動作環境や端末装置の処理能力を考慮した判定を行ってもらうことができ、信頼性の高い監視を受けることができる。
本発明に係る動作監視システムは、端末装置におけるソフトウェアの実行履歴を端末装置に要求し、ソフトウェアの正常動作を表した動作モデルを用いて端末装置から取得した実行履歴を解析し、端末装置の動作が正常動作と乖離しているか否かの判定を行う動作監視サーバと、動作監視サーバからの要求に従って、実行履歴を動作監視サーバに提供する端末装置とを備えることを特徴とする。
以上説明したように、本発明によれば、ソフトウェアのソースプログラムの流用を防ぐことができ、動作監視サーバ主導で端末装置におけるソフトウェアの動作を監視することができる。
(動作監視システム)
図1に示すように、動作監視システム1は、動作監視サーバ10と、複数の端末装置60と、ソフトウェア提供サーバ90と、ネットワーク2とを備える。動作監視サーバ10は、複数の端末装置60におけるソフトウェアの動作を監視する。図1では、動作監視サーバ10は、端末装置60における監視対象ソフトウェア100の動作を監視する。
図1に示すように、動作監視システム1は、動作監視サーバ10と、複数の端末装置60と、ソフトウェア提供サーバ90と、ネットワーク2とを備える。動作監視サーバ10は、複数の端末装置60におけるソフトウェアの動作を監視する。図1では、動作監視サーバ10は、端末装置60における監視対象ソフトウェア100の動作を監視する。
ソフトウェア提供サーバ90は、端末装置60にインストールされ、利用され、動作監視サーバ10によって動作が監視される監視対象ソフトウェア100を生成し、端末装置60と動作監視サーバ10に提供する。ソフトウェア提供サーバ90は、動作監視サーバ10や端末装置60にネットワーク2を介して、監視対象ソフトウェア100を提供する。
動作監視サーバ10と、複数の端末装置60と、ソフトウェア提供サーバ90とは、ネットワーク2を介して接続されている。又、動作監視サーバ10と端末装置60とは、NTP(Network Time Protocol)等の時刻同期をとるプロトコルを用いて同期をとることができる。
(動作監視サーバ)
動作監視サーバ10は、動作モデル生成処理部20と、動作監視処理部40と、動作モデル蓄積部50と、複数の端末エミュレータ30とを備える。
動作監視サーバ10は、動作モデル生成処理部20と、動作監視処理部40と、動作モデル蓄積部50と、複数の端末エミュレータ30とを備える。
端末エミュレータ30は、端末装置60の動作環境や処理能力と同様の動作環境や処理能力を備える。即ち、端末エミュレータ30は、端末装置60と同様にしてソフトウェアを実行できる。例えば、端末エミュレータ30は、端末装置60が持つオペレーティングシステム(OS)や監視対象ソフトウェア100以外のソフトウェア(動作環境)や、端末装置60と同一のCPUや同容量の記憶領域(処理能力)等を備える。
このように端末エミュレータ30は、端末装置60の動作環境や処理能力を模倣したものであり、端末装置60と同様の動作環境や処理能力でソフトウェアを実行できる。端末エミュレータ30は、端末装置60の種類に応じて複数用意されており、該当する端末装置60を識別する端末装置60の端末識別子が付与されている。
動作モデル蓄積部50は、動作モデルが蓄積される。動作モデルは、監視対象ソフトウェア100の正常動作を表したものである。
動作モデル生成処理部20は、動作モデルの生成に関する処理を行う。動作モデル生成処理部20は、ソフトウェア実行部21と、動作モデル生成部22とを備える。
ソフトウェア実行部21は、監視対象ソフトウェア100を実行する。ソフトウェア実行部21は、端末エミュレータ30を用いて監視対象ソフトウェア100を実行する。これにより、ソフトウェア実行部21は、監視対象ソフトウェア100を端末装置60上で動作させた場合と等しい実行履歴を得ることができる。即ち、ソフトウェア実行部21は、端末エミュレータ30を用いて、模擬的に端末装置60と同様の処理能力で監視対象ソフトウェア100を実行する。以下、ソフトウェア実行部21による監視対象ソフトウェア100の実行履歴を「実行試験履歴」という。
ソフトウェア実行部21は、端末装置60からネットワーク2を介して監視要求140を受信する。又、ソフトウェア実行部21は、ネットワーク2を介してソフトウェア提供サーバ90から監視対象ソフトウェア100を受信する。監視要求140には、監視対象ソフトウェア100を識別するソフトウェア識別子と、端末識別子が含まれている。そのため、ソフトウェア実行部21は、監視要求140で指定されたソフトウェア識別子の監視対象ソフトウェア100の実行を、監視要求140で指定された端末識別子の端末装置60に対応する端末エミュレータ30に実行させる。
ソフトウェア実行部21は、得られた実行試験履歴を動作モデル生成部22に入力する。このとき、ソフトウェア実行部21は、端末エミュレータ30に付与されている端末識別子と対応付けて実行試験履歴を入力する。
図2に実行試験履歴の一例を示す。図2には、オペレーティングシステム(OS)としてUNIX(登録商標)を用いた場合のstrace出力を示す。straceを用いた場合、実行環境下で発生したシステムコールと引数が、発生した順序で出力される。
動作モデル生成部22は、ソフトウェア実行部21による実行履歴、即ち、実行試験履歴に基づいて動作モデルを生成する。動作モデル生成部22は、ソフトウェア実行部21から実行試験履歴を取得する。動作モデル生成部22は、取得した実行試験履歴に基づいて、監視対象ソフトウェア100の正常動作を示す動作モデルを生成する。
例えば、図2に示す実行試験履歴を取得した場合、動作モデル生成部22は、実行試験履歴からシステムコールとそのシステムコールの引数の発生状態を抽出する。そして、動作モデル生成部22は、システムコール毎に発生した引数を全て列挙した動作モデルを生成できる。
更に、動作モデル生成部22は、実行試験履歴を統計的に分析して動作モデルを生成してもよい。即ち、動作モデル生成部22は、実行試験履歴に関する統計をとり、動作モデルを生成してもよい。具体的には、動作モデル生成部22は、実行試験履歴に対して主成分分析等の統計分析を行い、実行試験履歴の中から動作監視に適した情報のみを抽出して動作モデルを生成することができる。例えば、動作モデル生成部22は、実行試験履歴から各システムコールとその引数の発生パターンを統計的に分析する。そして、動作モデル生成部22は、システムコール毎に呼ばれる頻度の高い引数を列挙し、動作モデルとすることができる。又、動作モデル生成部22は、あるシステムコールにおいて、どの引数も予め定めた閾値を超えない場合には、相関性がないシステムコールであると判断し、動作モデルには加えないといった制限を行うこともできる。
又、動作モデル生成部22は、監視対象の実行履歴に関する動作モデルだけを生成してもよい。例えば、動作モデル生成部22は、監視対象履歴と監視対象外履歴とを識別する対象履歴識別情報110に基づいて、生成すべき動作モデルを決定できる。この場合、動作モデル生成部22は、ソフトウェア実行部21から取得した実行試験履歴の中から、対象履歴識別情報110に基づいて、監視対象の実行履歴に対応するものだけを抽出し、動作モデルを生成できる。
監視対象の実行履歴としては、データへのアクセスの履歴等を設定できる。データへのアクセスは、データそのものへのアクセスや、データが格納されている記憶領域へのアクセス等がある。これによれば、動作監視サーバ10は、重要なデータへのアクセスに関する解析を行うことができ、必要最低限の安全性を確保した低負荷の動作監視ができる。
尚、データへのアクセスの履歴には、例えば、システムコールの履歴等があり、データへのシステムコールそのものだけでなく、その引数と強い相関関係を持つシステムコールも監視対象とできる。これによれば、監視対象ソフトウェア100からオペレーティングシステムに対してシステムコールを生成する際の実行履歴を解析することができるため、動作監視サーバ10における監視動作におけるオーバーヘッドを低減できる。又、監視対象を引数と強い相関関係を持つシステムコールに限定した場合には、監視動作におけるオーバーヘッドを更に低減できる。しかも、動作監視サーバ10は、システムコールの引数も合わせて解析することができるため、システムコールの引数を巧みに用いて無動作(ヌルオペレーション)化する擬似アタックを困難にすることが可能となる。
監視対象の実行履歴は、監視対象ソフトウェア100の特徴等に応じて設定できる。例えば、パスワードファイルや個人情報等、重要なデータへアクセスするソフトウェアの場合には、より詳細な監視をするために、重要なデータやそのデータを記憶している記憶領域へのシステムコールや、そのシステムコールを中心とした前後のシステムコール等を監視対象に設定できる。又、監視対象の実行履歴として、書き込みに関する処理、読み込みに関する処理等を設定してもよい。
よって、例えば、動作モデル生成部22は、対象履歴識別情報110に基づいて、実行試験履歴から、重要なデータへのアクセス及びその前後のシステムコールの列を抽出し、これらを主成分とする動作モデルを生成できる。動作モデル生成部22は、例えば、システムコールの識別子や、データや記憶領域の識別子、読み込みや書き込み等の処理内容の識別子等を用いて記述した動作モデルを生成できる。
又、動作モデル生成部22は、動作モデルの詳細レベルを定めたモデル化ポリシーに基づいて動作モデルを生成できる。具体的には、詳細レベルとして、動作を詳細に規定した動作モデルを生成するのか、動作を粗く規定した動作モデルを生成するかを設定したモデル化ポリシーを定めておくことができる。
監視対象の実行履歴やモデル化ポリシーは、例えば、ソフトウェア提供サーバ90を運営するソフトウェア提供者や、動作監視サーバ10を運営するソフトウェア動作監視者等によって監視対象ソフトウェア100に基づいて予め決定しておくことができる。そして、監視対象の実行履歴を示す対象履歴識別情報110を、動作監視サーバ10に予め設定しておいたり、外部から入力したりできる。
動作モデル生成部22は、ソフトウェア実行部21から複数の端末エミュレータ30からの実行試験結果を取得する。動作モデル生成部22は、各端末エミュレータ30の実行試験結果に基づいて、端末装置60毎の動作モデルを生成する。各端末エミュレータ30の実行試験結果は、端末装置60の動作環境や処理能力を反映させたものとなっている。そのため、動作モデル生成部22は、各端末エミュレータ30の実行試験結果に基づいて動作モデルを生成することにより、各端末装置の動作環境や処理能力に基づいて動作モデルを生成できる。
尚、端末エミュレータ30として単独の端末装置60に対応したものを用意し、その実行試験結果と、端末装置60から取得した動作環境や処理能力に基づいて、動作モデルを生成しても構わない。動作モデル生成部22は、生成した動作モデルを、端末識別子と対応付けて動作モデル蓄積部50に格納する。これによれば、動作監視サーバ10は、ソフトウェアを実行する各端末装置60の動作環境や処理能力を考慮して、各端末装置60に適した動作モデルを生成できる。そのため、動作監視サーバ10は、判定精度を向上でき、信頼性の高い監視を実現できる。
動作監視処理部40は、端末装置60における監視対象ソフトウェアの動作監視に関する処理を行う。動作監視処理部40は、実行履歴要求部41と、実行履歴解析部42とを備える。
実行履歴要求部41は、端末装置60における監視対象ソフトウェア100の実行履歴を要求する。実行履歴要求部41は、実行履歴を要求する実行履歴情報要求120を生成し、ネットワーク2を介して端末装置60に送信することにより、端末装置60に実行履歴を要求できる。実行履歴要求部41は、必要な実行履歴を指定した実行履歴情報要求120を生成してもよく、単に実行履歴を要求する実行履歴情報要求120を生成ししてもよい。
実行履歴要求部41は、例えば、対象履歴識別情報110に基づいて、必要な実行履歴を指定した実行履歴情報要求120を生成できる。又、実行履歴要求部41は、自ら要求する実行履歴を決定してもよい。例えば、実行履歴要求部41は、動作モデル蓄積部50を参照して動作モデルに基づいて監視対象ソフトウェア100の動作を監視する上で必要となる実行履歴を決定することができる。そして、実行履歴要求部41は、決定した実行履歴を指定した実行履歴情報要求120を生成できる。
実行履歴要求部41は、監視対象の実行履歴を自ら決定する場合、監視対象ソフトウェア100の特徴に応じて決定できる。例えば、パスワードファイルや個人情報など重要なデータへアクセスするソフトウェアの場合には、より詳細な監視をするために、重要なデータやそのデータを記憶している記憶領域へのシステムコールや、そのシステムコールを中心とした前後のシステムコール等を監視対象に決定できる。又、監視対象の実行履歴として、書き込みに関する処理、読み込みに関する処理等を決定してもよい。あるいは、実行履歴要求部41は、監視要求140で指定された端末識別子に基づいて、端末装置60毎に適した監視対象の実行履歴を決定するようにしてもよい。
実行履歴要求部41は、例えば、動作モデルに記述されているシステムコールの識別子、重要なデータの識別子、重要なデータへアクセスするシステムコールを中心としたシステムコール列の長さ等を記述することにより、実行履歴情報要求120を生成できる。あるいは、実行履歴要求部41は、書き込みのシステムコール全てといった指定を記述して実行履歴情報要求120を生成できる。これにより、実行履歴要求部41は、端末装置60における実行履歴のうち、実行履歴情報要求120に記述されたシステムコールに関する実行履歴等を、監視対象の実行履歴として要求できる。
又、実行履歴要求部41は、実行履歴と共に端末装置60の動作環境や処理能力を要求してもよい。この場合、実行履歴要求部41は、必要な動作環境や処理能力に関する情報の指定を含む実行履歴情報要求120を生成すればよい。
実行履歴解析部42は、監視対象ソフトウェア100の正常動作を表した動作モデルを用いて、端末装置60から取得した実行履歴を解析し、端末装置60の動作が正常動作と乖離しているか否かの判定(以下「乖離判定」という)を行う。
実行履歴解析部42は、実行履歴情報要求120に応じて端末装置60から送信された実行履歴情報130を、ネットワーク2を介して受信する。実行履歴解析部42は、受信した実行履歴情報130から実行履歴と端末識別子を取得する。又、実行履歴解析部42は、実行履歴情報130に端末装置60の動作環境や処理能力が含まれる場合、動作環境や処理能力も取得できる。
実行履歴解析部42は、動作モデル蓄積部50から、実行履歴情報130を受信した端末装置60の端末識別子と対応付けられている動作モデルを取得する。これにより、実行履歴解析部42は、動作モデル生成部22により生成された動作モデルを用いて乖離判定を行うことができる。
まず、実行履歴解析部42は、取得した実行履歴を統計的に解析し、動作モデルと比較を行う。即ち、実行履歴解析部42は、実行履歴に関する統計をとり、動作モデルと比較して解析を行う。例えば、実行履歴解析部42は、システムコール毎にその引数を統計的に解析する。実行履歴解析部42は、引数の頻度が動作モデルに比較して高いか否か、即ち、システムコールに呼ばれる引数が動作モデルに比べて頻出しているか否かを判定することで、乖離判定を行うことができる。又、実行履歴解析部42は、例えば、実際の実行履歴に含まれる重要なデータへアクセスするシステムコールの前後のシステムコールの列が、動作モデルに存在しているか否かを判定することで、乖離判定を行うことができる。
実行履歴解析部42は、監視対象の実行履歴だけを解析し、乖離判定を行うことができる。実行履歴解析部42は、実行履歴要求部41が監視対象の実行履歴だけを要求した場合には、実行履歴情報130には監視対象の実行履歴のみが含まれるため、それを用いて乖離判定を行うことができる。実行履歴解析部42は、全ての実行履歴を取得し、その中から監視対象の実行履歴だけを抽出するようにしてもよい。
更に、実行履歴解析部42は、実行履歴情報130に含まれる端末装置60の動作環境(例えば、オペレーティングシステムや起動している他のソフトウェア等)、処理能力(CPU能力、記憶容量等)も用いて乖離判定を行うことができる。実行履歴解析部42は、端末装置60の動作環境や処理能力が実行履歴に与える影響を考慮して、実行履歴の解析、動作モデルとの比較を行うことができる。尚、実行履歴解析部42は、例えば、オペレーティングシステムの識別子や端末装置60の処理能力を示す型番を取得した場合には、その識別子や型番等から、実際の動作環境や処理能力を求め、乖離判定に利用する。
又、実行履歴解析部42は、実行履歴情報130に含まれるタイムスタンプ等により、取得した実行履歴が最新情報であるか否かを判断して、乖離判断に用いるようにしてもよい。更に、実行履歴解析部42は、実行履歴情報130に端末装置60の秘密鍵で生成された署名が付与されている場合には、その署名を検証し、取得した実行履歴情報130が確かに端末装置60から送信されたものであることを確認できた場合にだけ、乖離判断に用いるようにしてもよい。
実行履歴解析部42は、端末装置60の動作が正常動作から乖離していると判定した場合、判定結果は「異常検出」となる。一方、実行履歴解析部42は、端末装置60の動作が正常動作から乖離していないと判定した場合、判定結果は「正常」となる。実行履歴解析部42は、乖離判定の判定結果を含む監視結果150を、端末装置60やソフトウェア提供サーバ90に、ネットワーク2を介して送信することができる。実行履歴解析部42は、判定結果をディスプレイやスピーカ等の出力装置に出力してもよい。
更に、実行履歴解析部42は、乖離判定の判定結果に基づいて、端末装置60における監視対象ソフトウェア100に関連する動作を制御する指示(以下「管理ポリシー」という)を生成し、判定結果とともに監視結果150に含めて端末装置60に提供してもよい。これによれば、動作監視サーバ10は、動作の監視だけでなく、異常動作が検出された場合に、端末装置60において異常な動作が継続されることを防止できる。
実行履歴解析部42は、例えば、監視対象ソフトウェア100の実行を中止する、監視対象ソフトウェア100による重要なデータへのアクセス権限を剥奪する、監視対象ソフトウェア100による動作権限を低いものに変更する等の管理ポリシーを生成できる。
又、実行履歴解析部42は、動作環境や処理能力に基づいて、他に乖離判定を行うべき実行履歴が存在するか否かを判定してもよい。実行履歴解析部42は、追加で必要な監視対象の実行履歴(以下「追加対象」という)があると判定した場合には、追加対象を実行履歴要求部41に入力する。この場合、実行履歴要求部41は、通知された追加対象に基づいて実行履歴情報要求120を新たに生成し、端末装置60に送信する。そして、実行履歴解析部42は、新たに端末装置60から通知される実行履歴情報130に基づいて、追加の乖離判定を行うことができる。これによれば、動作監視サーバ10は、監視対象ソフトウェア100の実際の動作環境や処理能力に応じた乖離判定ができる。
又、実行履歴解析部42は、判定結果を動作モデル生成部22や実行履歴要求部41に入力できる。この場合、実行履歴要求部41は、判定結果に基づいて対象履歴識別情報110を更新し、今後の監視対象の実行履歴を変更できる。例えば、実行履歴要求部41は、判定結果が「異常検出」の場合、監視対象の実行履歴の範囲を拡張することができる。又、実行履歴要求部41は、追加対象の通知を受けた場合も、対象履歴識別情報110を更新できる。実行履歴要求部41は、対象履歴識別情報110を更新した場合には、新たな対象履歴識別情報110を動作モデル生成部22に入力する。
動作モデル生成部22は、判定結果を取得した場合には、判定結果に基づいて動作モデルを生成できる。例えば、動作モデル生成部22は、判定結果が「異常検出」の場合、現在よりも詳細な動作モデルや、監視対象の実行履歴の範囲を拡張した動作モデルを生成できる。これによれば、以降、現在よりも詳細な解析や、より広範囲な実行履歴を用いた解析を行うことができ、乖離判定に誤りが発生することを防止できる。
一方、動作モデル生成部22は、判定結果が「正常」の場合、現在よりもより粗い動作モデルを生成できる。これによれば、以降、現在よりも粗い解析を行うようにでき、実行履歴の解析時間を低減できる。動作モデル生成部22は、判定結果に基づいてモデル化ポリシーを更新することにより、生成する動作モデルの詳細レベルを変更できる。又、動作モデル生成部22は、新たな対象履歴識別情報110を取得した場合にも、新たな動作モデルを生成する。
動作モデル生成部22は、新たに生成した動作モデルを動作モデル蓄積部50に格納して、動作モデル蓄積部50に蓄積される動作モデルを更新する。尚、動作モデル生成部22は、「異常検出」という判定結果を取得した時に、動作モデル蓄積部50の動作モデルを更新し、所定時間経過後に動作モデル蓄積部50の動作モデルを通常の(更新前の)動作モデルに戻してもよい。あるいは、動作モデル生成部22は、「異常検出」という判定結果を一度でも受けた動作に関連する動作モデルについては、即ち、「異常検出」という判定を受けた経緯がある動作モデルについては、動作モデル蓄積部50に蓄積される動作モデルを更新したままにしておいてもよい。
これによれば、動作監視サーバ10は、各端末装置60の乖離判定の判定結果に対応して、各端末装置60に適した動作モデルを動的に生成できる。そのため、動作監視サーバ10は、各端末装置60のその時の状況に応じて精度の高い判定を行うことができ、信頼性の高い監視を実現できる。
(端末装置)
図1に示すように、端末装置60は、動作被監視処理部70と、ソフトウェア実行部80とを備える。ソフトウェア実行部80は、監視対象ソフトウェア100を実行する。尚、動作監視サーバ10の端末エミュレータ30は、ソフトウェア実行部80の動作環境や処理能力を模倣して構成される。ソフトウェア実行部80は、監視対象ソフトウェア100の実行結果を、逐次、動作被監視処理部70に入力する。
図1に示すように、端末装置60は、動作被監視処理部70と、ソフトウェア実行部80とを備える。ソフトウェア実行部80は、監視対象ソフトウェア100を実行する。尚、動作監視サーバ10の端末エミュレータ30は、ソフトウェア実行部80の動作環境や処理能力を模倣して構成される。ソフトウェア実行部80は、監視対象ソフトウェア100の実行結果を、逐次、動作被監視処理部70に入力する。
ソフトウェア実行部80は、ソフトウェア提供サーバ90からネットワーク2を介して監視対象ソフトウェア100を受信する。ソフトウェア実行部80は、監視対象ソフトウェア100を受信すると、監視要求140を生成してネットワーク2を介して動作監視サーバ10に送信する。ソフトウェア実行部80は、端末装置60の端末識別子及び監視対象ソフトウェア100のソフトウェア識別子を含む監視要求140を生成する。
動作被監視処理部70は、端末装置60が動作監視サーバ10による監視を受けるための処理を行う。動作被監視処理部70は、実行履歴記録部71と、実行履歴蓄積部72と、実行履歴提供部73とを備える。
実行履歴蓄積部72には、ソフトウェア実行部80による監視対象ソフトウェア100の実行履歴が蓄積される。実行履歴記録部71は、実行履歴蓄積部72に実行履歴を記録する。実行履歴記録部71は、ソフトウェア実行部80から、監視対象ソフトウェア100の実行中に、逐次、実行結果を取得し、それらを実行履歴として実行履歴蓄積部72に格納する。実行履歴記録部71は、取得した実行履歴全てを実行履歴蓄積部72に格納してもよく、監視対象の実行履歴だけを対象履歴識別情報110に基づいて選択し、格納してもよい。あるいは、実行履歴記録部71は、対象履歴識別情報110以外の格納基準に基づいて格納すべき実行履歴を選択し、格納してもよい。
実行履歴記録部71は、監視対象ソフトウェア100の実行開始時、実行終了時を含めた実行中に、実行結果を取得する。そして、実行履歴記録部71は、実行開始時刻、ファイルへのアクセスやシステムコール等のデータへのアクセス、システムコールの引数、関数呼び出し、プログラムスタックの状況、実行終了時刻等を、実行履歴として実行履歴蓄積部72に格納する。例えば、実行履歴記録部71は、UNIX(登録商標)におけるstrace命令等を用いて、システムコールやその引数等を取得できる。実行履歴記録部71は、例えば、図2に示したような実行試験履歴と同様の実行履歴を取得し、実行履歴蓄積部72に格納できる。
実行履歴提供部73は、動作監視サーバ10からの要求に従って、実行履歴蓄積部72から実行履歴を抽出し、動作監視サーバ10に提供する。実行履歴提供部73は、動作監視サーバ10から実行履歴情報要求120をネットワーク2を介して受信する。
実行履歴提供部73は、実行履歴情報要求120に実行履歴の指定が含まれている場合には、指定されている実行履歴に基づいて、実行履歴蓄積部72を検索し、必要な実行履歴を抽出できる。実行履歴提供部73は、実行履歴情報要求120に実行履歴の指定が含まれていない場合には、提供ポリシーに基づいて実行履歴蓄積部72を検索し、必要な実行履歴を抽出できる。提供ポリシーは、対象履歴識別情報110等を含む。提供ポリシーは、予め端末装置60に設定しておくことができる。
実行履歴提供部73は、抽出した情報に基づいて実行履歴情報130を生成する。実行履歴提供部73は、実行履歴情報要求120に、端末装置60の動作環境や処理能力の要求も含まれている場合には、それらを含む実行履歴情報130を生成する。例えば、実行履歴提供部73は、動作環境や処理能力の具体的な数値等を含めてもよく、オペレーティングシステムの識別子や端末装置60の型番等を実行履歴情報130に含めてもよい。尚、実行履歴提供部73は、ユーザのプライバシーに関わる情報を加えないように実行履歴情報130を生成できる。
更に、実行履歴提供部73は、最新の実行履歴であるか否かを、動作監視サーバ10において判断できるようにするために、タイムスタンプを含む実行履歴情報130を生成できる。これによれば、端末装置60は、動作監視サーバ10に最新の実行履歴に基づく監視を行ってもらうことができ、リプレイアタック等も防止できる。実行履歴提供部73は、生成した実行履歴情報130をネットワーク2を介して動作監視サーバ10に送信する。
実行履歴記録部71、実行履歴蓄積部72、実行履歴提供部73には、実行履歴の信頼性を保証するための様々な措置をとっておくことが好ましい。即ち、実行履歴記録部71は、安全に実行結果を取得し、実行履歴蓄積部72に格納できるようにする。実行履歴蓄積部72は、実行履歴を安全に保持できるようにする。実行履歴提供部73は、実行履歴蓄積部72から安全に実行履歴を取得し、実行履歴情報130を安全に動作監視サーバ10に送信できるようにする。
例えば、実行履歴蓄積部72は、端末装置60のユーザによる操作ではアクセスできないようにし、端末装置60における上位の権限が与えられた実行履歴記録部71のみがアクセスできるように実装できる。又、実行履歴記録部71、実行履歴提供部73は、端末装置60のユーザによる操作では動作しないようにし、端末装置60における上位の権限が与えられた機能からの指示によって、動作するように実装できる。
又、実行履歴記録部71、実行履歴蓄積部72、実行履歴提供部73を、耐タンパ機能を有するハードウェア上に実装してもよい。更に、実行履歴記録部71が、実行履歴蓄積部72に実行履歴を格納する際に、実行履歴に電子署名を付与し、実行履歴提供部73が、実行履歴蓄積部72から取得した実行履歴に付与されている電子署名を検証し、実行履歴の改竄の有無を判断するようにしてもよい。これにより、実行履歴が改竄されていないことが保証される。
更に、実行履歴記録部71は、ソフトウェア実行部80から真の実行結果を安全に取得できるようにし、外部から詐称して送り込まれる実行結果を取得しないようにできる。例えば、実行履歴記録部71を、オペレーティングシステム(OS)等の基本ソフトウェアのカーネルに組み込み、SELinux等で実現されているユーザが取得できない上位権限(root以上の権限等)を用いてソフトウェア実行部80から、監視対象ソフトウェア100の実行結果を取得するようにできる。これによれば、実行履歴記録部71は、オペレーティングシステムの制御を奪われない限り、安全である。そのため、実行履歴記録部71は、取得した実行結果を信頼できる。
又、実行履歴提供部73は、実行履歴情報130が確かに端末装置60の実行履歴提供部73から送信されたことを保証するために、実行履歴提供部73の秘密鍵で生成した署名を実行履歴情報130に付与することができる。
これらによれば、実行履歴情報130の信頼性を保証することができる。そのため、動作監視サーバ10による遠隔監視であっても、その信頼性を向上できる。又、実行履歴記録部71は、オペレーティングシステムそのものの制御を攻撃者に奪われない限り安全とできる。尚、端末装置60としては、パーソナルコンピュータ、ワークステーション、サーバ、ルータ、携帯電話、携帯情報端末(PDA)等を用いることができる。
(動作監視手順)
図1に示した動作監視システム1における動作監視手順を図3を用いて説明する。ソフトウェア提供サーバ90は、動作監視サーバ10と、端末装置60に監視対象ソフトウェア100をダウンロードして提供する(S101,S102)。端末装置60は、監視対象ソフトウェア100を受信し、インストールする。更に、端末装置60は、動作監視サーバ10に対して監視要求140を送信して監視を要求する(S103)。端末装置60は、監視対象ソフトウェア100の実行、実行履歴の記録を開始し、実行履歴を実行履歴蓄積部72に蓄積する(S104)。
図1に示した動作監視システム1における動作監視手順を図3を用いて説明する。ソフトウェア提供サーバ90は、動作監視サーバ10と、端末装置60に監視対象ソフトウェア100をダウンロードして提供する(S101,S102)。端末装置60は、監視対象ソフトウェア100を受信し、インストールする。更に、端末装置60は、動作監視サーバ10に対して監視要求140を送信して監視を要求する(S103)。端末装置60は、監視対象ソフトウェア100の実行、実行履歴の記録を開始し、実行履歴を実行履歴蓄積部72に蓄積する(S104)。
監視要求140を受信した動作監視サーバ10は、監視対象ソフトウェア100のソフトウェア識別子と、端末識別子に基づいて、監視対象ソフトウェアを実行し、実行試験履歴を生成する。そして、動作監視サーバ10は、動作モデルを生成する(S105)。動作監視サーバ10は、監視対象の実行履歴等を指定した実行履歴情報要求120を生成し、ネットワーク2を介して端末装置60に送信する(S106)。
実行履歴情報要求120を受信した端末装置60は、実行履歴蓄積部72に蓄積された実行履歴から、実行履歴情報要求120に従って実行履歴を抽出し、実行履歴情報130を生成する(S107)。例えば、実行履歴情報要求120において、書き込みのシステムコール(write)が指定されている場合には、端末装置60は、実行履歴蓄積部72から書き込みのシステムコール(write)に関する実行履歴を抽出する。端末装置60は、抽出した実行履歴と、必要に応じて端末装置60の動作環境や処理能力を含む実行履歴情報130を生成できる。そして、端末装置60は、生成した実行履歴情報130をネットワーク2を介して動作監視サーバ10に送信する(S108)。
実行履歴情報130を受信した動作監視サーバ10は、生成した動作モデルを用いて実行履歴を解析し、端末装置60の動作が正常動作と乖離しているか否かを判定する(S109)。動作監視サーバ10は、判定結果や、必要に応じて管理ポリシー等を含む監視結果150を生成する。動作監視サーバ10は、生成した監視結果150をネットワーク2を介して端末装置60に送信する(S110)。又、動作監視サーバ10は、判定結果を含む監視結果150を生成し、ネットワーク2を介してソフトウェア提供サーバ90に送信する(S111)。
尚、動作モデルの生成(S105)から監視結果150の送信(S110)までは、1回行ってもよく、複数回行ってもよい。例えば、動作監視サーバ10は、乖離判定を行った結果、異常を検出した場合には、誤った判定を防止するために、生成する動作モデルや監視対象の実行履歴を変更することができる。この場合、ステップ(S105)に戻り、新たな動作モデルの生成(S105)、新たな実行履歴情報要求の送信(S106)を行うことができる。又、端末装置60は、ステップ(S106)における実行履歴情報要求120を受信した後に、実行履歴の蓄積(S105)を開始するようにしてもよい。
(効果)
このような動作監視システム1、動作監視サーバ10、端末装置60によれば、以下のような効果を得ることができる。動作監視サーバ10が主導となって、端末装置60に実行履歴を要求し、それに応じて端末装置60から実行履歴を取得できる。又、動作監視サーバ10が、動作モデルを用いて実行履歴を解析し、正常動作からの乖離の有無を判定できる。そのため、多数の端末装置60にソースプログラムやソースプログラムから生成した動作モデルを開示する必要がない。よって、動作監視サーバ10は、ソフトウェアのソースプログラムの流用を防ぐことができる。
このような動作監視システム1、動作監視サーバ10、端末装置60によれば、以下のような効果を得ることができる。動作監視サーバ10が主導となって、端末装置60に実行履歴を要求し、それに応じて端末装置60から実行履歴を取得できる。又、動作監視サーバ10が、動作モデルを用いて実行履歴を解析し、正常動作からの乖離の有無を判定できる。そのため、多数の端末装置60にソースプログラムやソースプログラムから生成した動作モデルを開示する必要がない。よって、動作監視サーバ10は、ソフトウェアのソースプログラムの流用を防ぐことができる。
しかも、動作監視サーバ10は、ソフトウェア実行部21と、動作モデル生成部22を備え、実行履歴解析部42は、動作モデル生成部22により生成された動作モデルを用いて判定を行うことができる。そのため、動作監視サーバ10は、自らソフトウェアを実行することにより得られた実行履歴に基づいて動作モデルを生成できる。よって、ソフトウェア提供者は動作監視サーバ10に対してもソースプログラムやソースプログラムから生成した動作モデルを開示する必要がなく、ソフトウェアのソースプログラムの流用をより確実に防止できる。しかも、少なくとも動作監視サーバ10についてだけ安全な環境を保証できれば、動作モデルを適切に生成できる。よって、動作監視サーバ10は、信頼性の高い監視を実現できる。
更に、動作監視サーバ10は、監視対象の実行履歴を要求し、監視対象の実行履歴を解析して、開始判定を行う。そのため、必要な実行履歴だけが端末装置60から動作監視サーバ10に送信され、必要な実行履歴についてだけ解析を行うことができる。そのため、不必要な情報が送受信されることによる情報漏洩の危険を低減でき、不必要な実行履歴の解析を防止して動作監視サーバ10の監視処理の負荷を低減でき、端末装置60から送信される実行履歴のデータ量を抑え、ネットワーク2の負荷を低減できる。
更に、端末装置60によれば、動作監視サーバ10からの要求に応じて、端末装置60におけるソフトウェアの実行履歴を動作監視サーバ10に提供できる。よって、端末装置60は、自身で動作監視を行う必要がなく、要求がない間は実行履歴の提供を行わないようにできる。よって、ソフトウェアのソースプログラムの流用を防ぎ、動作監視サーバ10主導で端末装置60におけるソフトウェアの動作を監視することができる。
以上説明したように、動作監視システム1を構成することによって、動作モデルを有さない端末装置60上で動作する監視対象ソフトウェア100の動作を遠隔から監視することができる。しかも、動作モデルを端末装置に開示されない環境において、端末装置におけるソフトウェアの動作を監視でき、スケーラブルな監視をすることができる。
よって、不特定多数の端末装置から監視に関する情報が送信されることによる、動作監視サーバ10に過大な処理負荷がかかることや、サービス妨害攻撃を防止できる。しかも、端末装置60上で生成した実行履歴情報130を動作監視サーバ10に安全に送信でき、動作監視サーバは、端末装置から安全に送信された実行履歴を解析することで、端末装置60上で動作する監視対象ソフトウェア100の動作を安全に監視することができる。よって、従来のようにサーバから送信されたログ情報の安全性が保証されていないため、取得したログ情報を解析したとしても、信頼性のある監視がされたか否かが不明であるといった事態を回避できる。
(変更例)
尚、本発明は、上記実施形態に限定されるものではなく、種々の変更が可能である。例えば、動作監視サーバ10は、動作モデル生成処理部20を省略することができる。この場合、ソフトウェア提供サーバ90等が予め監視対象ソフトウェア100の動作モデルを生成し、動作監視サーバ10に送信することができる。動作監視サーバ10は、受信した動作モデルを動作モデル蓄積部50に格納しておくことができる。又、ソフトウェア動作監視者が動作監視サーバ10に監視対象ソフトウェア100の動作モデルを入力し、動作モデル蓄積部50に格納しておいてもよい。
尚、本発明は、上記実施形態に限定されるものではなく、種々の変更が可能である。例えば、動作監視サーバ10は、動作モデル生成処理部20を省略することができる。この場合、ソフトウェア提供サーバ90等が予め監視対象ソフトウェア100の動作モデルを生成し、動作監視サーバ10に送信することができる。動作監視サーバ10は、受信した動作モデルを動作モデル蓄積部50に格納しておくことができる。又、ソフトウェア動作監視者が動作監視サーバ10に監視対象ソフトウェア100の動作モデルを入力し、動作モデル蓄積部50に格納しておいてもよい。
又、上記実施形態では、ソフトウェア提供サーバ90から端末装置60に監視対象ソフトウェア100が提供される場合を説明した、端末装置60が監視対象ソフトウェア100を生成してもよい。この場合、端末装置60は、生成した監視対象ソフトウェア100を動作監視サーバ10に送信し、アップロードしておく必要がある。
更に、上記実施形態では、実行履歴情報130に、端末装置60の動作環境や処理能力等の情報を含めているが、これらの情報を監視要求140に含めてもよい。更に、図3では、監視要求140が契機となって、動作監視処理が開始されているが、ソフトウェア動作監視者からの入力によって、動作モデル生成(S105)や実行履歴情報要求の送信(S106)等の動作監視処理が開始されてもよい。
1…動作監視システム
2…ネットワーク
10…動作監視サーバ
20…動作モデル生成処理部
21…ソフトウェア実行部
22…動作モデル生成部
30…端末エミュレータ
40…動作監視処理部
41…実行履歴要求部
42…実行履歴解析部
50…動作モデル蓄積部
60…端末装置
70…動作被監視処理部
71…実行履歴記録部
72…実行履歴蓄積部
73…実行履歴提供部
80…ソフトウェア実行部
90…ソフトウェア提供サーバ
2…ネットワーク
10…動作監視サーバ
20…動作モデル生成処理部
21…ソフトウェア実行部
22…動作モデル生成部
30…端末エミュレータ
40…動作監視処理部
41…実行履歴要求部
42…実行履歴解析部
50…動作モデル蓄積部
60…端末装置
70…動作被監視処理部
71…実行履歴記録部
72…実行履歴蓄積部
73…実行履歴提供部
80…ソフトウェア実行部
90…ソフトウェア提供サーバ
Claims (10)
- 端末装置におけるソフトウェアの実行履歴を前記端末装置に要求する実行履歴要求部と、
前記ソフトウェアの正常動作を表した動作モデルを用いて、前記端末装置から取得した実行履歴を解析し、前記端末装置の動作が前記正常動作と乖離しているか否かの判定を行う実行履歴解析部と
を備えることを特徴とする動作監視サーバ。 - 前記ソフトウェアを実行するソフトウェア実行部と、
該ソフトウェア実行部による実行履歴に基づいて前記動作モデルを生成する動作モデル生成部を備え、
前記実行履歴解析部は、前記動作モデル生成部により生成された動作モデルを用いて前記判定を行うことを特徴とする請求項1に記載の動作監視サーバ。 - 前記動作モデル生成部は、前記端末装置の動作環境又は処理能力の少なくとも1つに基づいて前記動作モデルを生成することを特徴とする請求項2に記載の動作監視サーバ。
- 前記動作モデル生成部は、前記実行履歴解析部による判定結果に基づいて前記動作モデルを生成することを特徴とする請求項2又は3に記載の動作監視サーバ。
- 前記実行履歴要求部は、監視対象の実行履歴を要求し、
前記実行履歴解析部は、前記監視対象の実行履歴を解析し、前記判定を行うことを特徴とする請求項1乃至4のいずれか1項に記載の動作監視サーバ。 - 前記監視対象の実行履歴が、データへのアクセスの履歴であることを特徴とする請求項5に記載の動作監視サーバ。
- 前記実行履歴解析部は、前記判定結果に基づいて、前記端末装置における前記ソフトウェアに関連する動作を制御する指示を生成し、前記端末装置に提供することを特徴とする請求項1乃至6のいずれか1項に記載の動作監視サーバ。
- ソフトウェアの実行履歴が蓄積される実行履歴蓄積部と、
該実行履歴蓄積部に前記実行履歴を記録する実行履歴記録部と、
端末装置における前記ソフトウェアの動作を監視する動作監視サーバからの要求に従って、前記実行履歴蓄積部から実行履歴を抽出し、前記動作監視サーバに提供する実行履歴提供部と
を備えることを特徴とする端末装置。 - 前記実行履歴提供部は、前記実行履歴と共に端末装置の動作環境又は処理能力の少なくとも1つを前記動作監視サーバに提供することを特徴とする請求項8に記載の端末装置。
- 端末装置におけるソフトウェアの実行履歴を前記端末装置に要求し、前記ソフトウェアの正常動作を表した動作モデルを用いて前記端末装置から取得した実行履歴を解析し、前記端末装置の動作が前記正常動作と乖離しているか否かの判定を行う動作監視サーバと、
該動作監視サーバからの要求に従って、前記実行履歴を前記動作監視サーバに提供する端末装置と
を備えることを特徴とする動作監視システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004336363A JP2006146600A (ja) | 2004-11-19 | 2004-11-19 | 動作監視サーバ、端末装置及び動作監視システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004336363A JP2006146600A (ja) | 2004-11-19 | 2004-11-19 | 動作監視サーバ、端末装置及び動作監視システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006146600A true JP2006146600A (ja) | 2006-06-08 |
Family
ID=36626208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004336363A Pending JP2006146600A (ja) | 2004-11-19 | 2004-11-19 | 動作監視サーバ、端末装置及び動作監視システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006146600A (ja) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008117872A1 (ja) * | 2007-03-28 | 2008-10-02 | Ntt Docomo, Inc. | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
| WO2009011058A1 (ja) * | 2007-07-19 | 2009-01-22 | Fujitsu Limited | システム監視プログラム、システム監視方法およびシステム監視装置 |
| JP2012083909A (ja) * | 2010-10-08 | 2012-04-26 | Kddi Corp | アプリケーション特性解析装置およびプログラム |
| JP2013102513A (ja) * | 2008-03-25 | 2013-05-23 | Qualcomm Inc | ワイヤレス通信環境におけるウィジェットを管理するための装置および方法 |
| JP2014512061A (ja) * | 2011-04-21 | 2014-05-19 | マイクロソフト コーポレーション | ソフトウェア操作性サービス |
| JP2015511047A (ja) * | 2012-03-19 | 2015-04-13 | クアルコム,インコーポレイテッド | マルウェアを検出するコンピューティングデバイス |
| US9069575B2 (en) | 2008-03-25 | 2015-06-30 | Qualcomm Incorporated | Apparatus and methods for widget-related memory management |
| US9269059B2 (en) | 2008-03-25 | 2016-02-23 | Qualcomm Incorporated | Apparatus and methods for transport optimization for widget content delivery |
| US9600261B2 (en) | 2008-03-25 | 2017-03-21 | Qualcomm Incorporated | Apparatus and methods for widget update scheduling |
| JP2017073765A (ja) * | 2015-10-09 | 2017-04-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、攻撃検知方法及びプログラム |
| WO2017061079A1 (ja) * | 2015-10-09 | 2017-04-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | セキュリティ装置、攻撃検知方法及びプログラム |
| US9747141B2 (en) | 2008-03-25 | 2017-08-29 | Qualcomm Incorporated | Apparatus and methods for widget intercommunication in a wireless communication environment |
| JP2019114172A (ja) * | 2017-12-26 | 2019-07-11 | 三菱電機株式会社 | インシデント対応支援装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05108398A (ja) * | 1991-10-11 | 1993-04-30 | Nec Ibaraki Ltd | 情報処理装置の障害情報ログ方式 |
| JPH05314040A (ja) * | 1992-05-14 | 1993-11-26 | Hitachi Ltd | トレース方式 |
| JPH09171460A (ja) * | 1995-12-20 | 1997-06-30 | Hitachi Ltd | 計算機の診断システム |
| JPH09269930A (ja) * | 1996-04-03 | 1997-10-14 | Hitachi Ltd | ネットワークシステムの防疫方法及びその装置 |
| JP2002182942A (ja) * | 2000-12-18 | 2002-06-28 | Yokogawa Electric Corp | コンテンツ認証システム |
| JP2003108406A (ja) * | 2001-09-27 | 2003-04-11 | Nippon Telegr & Teleph Corp <Ntt> | ログ制御方法及びログ制御プログラム及びログ制御プログラムを組み込んだアプリケーションプログラムを格納した記憶媒体 |
| JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
-
2004
- 2004-11-19 JP JP2004336363A patent/JP2006146600A/ja active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05108398A (ja) * | 1991-10-11 | 1993-04-30 | Nec Ibaraki Ltd | 情報処理装置の障害情報ログ方式 |
| JPH05314040A (ja) * | 1992-05-14 | 1993-11-26 | Hitachi Ltd | トレース方式 |
| JPH09171460A (ja) * | 1995-12-20 | 1997-06-30 | Hitachi Ltd | 計算機の診断システム |
| JPH09269930A (ja) * | 1996-04-03 | 1997-10-14 | Hitachi Ltd | ネットワークシステムの防疫方法及びその装置 |
| JP2002182942A (ja) * | 2000-12-18 | 2002-06-28 | Yokogawa Electric Corp | コンテンツ認証システム |
| JP2003108406A (ja) * | 2001-09-27 | 2003-04-11 | Nippon Telegr & Teleph Corp <Ntt> | ログ制御方法及びログ制御プログラム及びログ制御プログラムを組み込んだアプリケーションプログラムを格納した記憶媒体 |
| JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
Non-Patent Citations (3)
| Title |
|---|
| CSND200401132009, 伊藤良孝, "不正アクセスを検知・遮断 監視対象と設置場所で分類", 日経コミュニケーション, 20031124, 第403号, pp.166−174, JP, 日経BP社 * |
| CSNG200401338016, 松浦佐江子, "未知のコンピュータ・ウイルス検出プログラムの開発", 情報処理学会研究報告, 20030228, 第2003巻、第18号, pp.89−94, JP, 社団法人情報処理学会 * |
| CSNJ200810021125, 小林信博, "セキュアログを利用したセキュリティ侵害検出手法", 第61回(平成12年後期)全国大会講演論文集(3), 20001003, pp.255−256, JP, 社団法人情報処理学会 * |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008243034A (ja) * | 2007-03-28 | 2008-10-09 | Ntt Docomo Inc | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
| WO2008117872A1 (ja) * | 2007-03-28 | 2008-10-02 | Ntt Docomo, Inc. | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
| US8407799B2 (en) | 2007-03-28 | 2013-03-26 | Ntt Docomo, Inc. | Software behavior modeling device, software behavior modeling method, software behavior verification device, and software behavior verification method |
| US8448028B2 (en) | 2007-07-19 | 2013-05-21 | Fujitsu Limited | System monitoring method and system monitoring device |
| WO2009011058A1 (ja) * | 2007-07-19 | 2009-01-22 | Fujitsu Limited | システム監視プログラム、システム監視方法およびシステム監視装置 |
| GB2465100A (en) * | 2007-07-19 | 2010-05-12 | Fujitsu Ltd | System monitoring program system monitoring method and system monitoring device |
| GB2465100B (en) * | 2007-07-19 | 2012-01-04 | Fujitsu Ltd | System monitoring program system monitoring method and system monitoring device |
| JP5126229B2 (ja) * | 2007-07-19 | 2013-01-23 | 富士通株式会社 | システム監視プログラム、システム監視方法およびシステム監視装置 |
| US9069575B2 (en) | 2008-03-25 | 2015-06-30 | Qualcomm Incorporated | Apparatus and methods for widget-related memory management |
| US10481927B2 (en) | 2008-03-25 | 2019-11-19 | Qualcomm Incorporated | Apparatus and methods for managing widgets in a wireless communication environment |
| US9110685B2 (en) | 2008-03-25 | 2015-08-18 | Qualcomm, Incorporated | Apparatus and methods for managing widgets in a wireless communication environment |
| US9269059B2 (en) | 2008-03-25 | 2016-02-23 | Qualcomm Incorporated | Apparatus and methods for transport optimization for widget content delivery |
| US9600261B2 (en) | 2008-03-25 | 2017-03-21 | Qualcomm Incorporated | Apparatus and methods for widget update scheduling |
| US10558475B2 (en) | 2008-03-25 | 2020-02-11 | Qualcomm Incorporated | Apparatus and methods for widget intercommunication in a wireless communication environment |
| JP2013102513A (ja) * | 2008-03-25 | 2013-05-23 | Qualcomm Inc | ワイヤレス通信環境におけるウィジェットを管理するための装置および方法 |
| US9747141B2 (en) | 2008-03-25 | 2017-08-29 | Qualcomm Incorporated | Apparatus and methods for widget intercommunication in a wireless communication environment |
| US10061500B2 (en) | 2008-03-25 | 2018-08-28 | Qualcomm Incorporated | Apparatus and methods for widget-related memory management |
| JP2012083909A (ja) * | 2010-10-08 | 2012-04-26 | Kddi Corp | アプリケーション特性解析装置およびプログラム |
| JP2014512061A (ja) * | 2011-04-21 | 2014-05-19 | マイクロソフト コーポレーション | ソフトウェア操作性サービス |
| JP2015511047A (ja) * | 2012-03-19 | 2015-04-13 | クアルコム,インコーポレイテッド | マルウェアを検出するコンピューティングデバイス |
| WO2017061079A1 (ja) * | 2015-10-09 | 2017-04-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | セキュリティ装置、攻撃検知方法及びプログラム |
| US10193859B2 (en) | 2015-10-09 | 2019-01-29 | Panasonic Intellectual Property Corporation Of America | Security apparatus, attack detection method, and storage medium |
| JP2017073765A (ja) * | 2015-10-09 | 2017-04-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、攻撃検知方法及びプログラム |
| US10931634B2 (en) | 2015-10-09 | 2021-02-23 | Panasonic Intellectual Property Corporation Of America | Security apparatus, attack detection method, and storage medium |
| US11336618B2 (en) | 2015-10-09 | 2022-05-17 | Panasonic Iniellectual Property Corporation Of America | Security apparatus, attack detection method, and storage medium |
| JP2019114172A (ja) * | 2017-12-26 | 2019-07-11 | 三菱電機株式会社 | インシデント対応支援装置 |
| US11244266B2 (en) | 2017-12-26 | 2022-02-08 | Mitsubishi Electric Corporation | Incident response assisting device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Milajerdi et al. | Holmes: real-time apt detection through correlation of suspicious information flows | |
| US10033748B1 (en) | System and method employing structured intelligence to verify and contain threats at endpoints | |
| RU2568295C2 (ru) | Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости | |
| RU2698776C2 (ru) | Способ ведения базы данных и соответствующий сервер | |
| US11520901B2 (en) | Detecting firmware vulnerabilities | |
| US11494484B2 (en) | Leveraging instrumentation capabilities to enable monitoring services | |
| Kil et al. | Remote attestation to dynamic system properties: Towards providing complete system integrity evidence | |
| US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
| US10262132B2 (en) | Model-based computer attack analytics orchestration | |
| US11086983B2 (en) | System and method for authenticating safe software | |
| US10412109B2 (en) | Method for detecting vulnerabilities in a virtual production server of a virtual or cloud computer system | |
| KR20190035686A (ko) | 컴퓨터 애플리케이션에서 메모리 손상을 교정하기 위한 시스템 및 방법 | |
| US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
| US11580230B2 (en) | System and method for assessing software containers for vulnerabilities | |
| US10771477B2 (en) | Mitigating communications and control attempts | |
| US20230205891A1 (en) | Systems and methods for prioritizing security findings using machine learning models | |
| JP2006146600A (ja) | 動作監視サーバ、端末装置及び動作監視システム | |
| US20230222226A1 (en) | Memory scan-based process monitoring | |
| KR102396237B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| WO2021121382A1 (en) | Security management of an autonomous vehicle | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| Wang et al. | Panalyst: Privacy-Aware Remote Error Analysis on Commodity Software. | |
| CN113157543A (zh) | 一种可信度量方法及装置、服务器、计算机可读存储介质 | |
| KR101934381B1 (ko) | 해킹툴 탐지 방법 및 이를 수행하는 사용자 단말 및 서버 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071005 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090821 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100413 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100611 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101207 |