JP2008123247A - ログ管理方式及びログ管理方法 - Google Patents
ログ管理方式及びログ管理方法 Download PDFInfo
- Publication number
- JP2008123247A JP2008123247A JP2006306230A JP2006306230A JP2008123247A JP 2008123247 A JP2008123247 A JP 2008123247A JP 2006306230 A JP2006306230 A JP 2006306230A JP 2006306230 A JP2006306230 A JP 2006306230A JP 2008123247 A JP2008123247 A JP 2008123247A
- Authority
- JP
- Japan
- Prior art keywords
- log
- information
- log file
- file
- falsification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】 アプリケーションがログを出力してからログ管理システムがログを収集するまでの間に改ざんがあった場合の改ざんの検知を可能にすることを目的とする。
【解決手段】 ログファイルへのアクセスを監視して得たアクセス情報を監査ログとして記録し、この記憶された監査ログの内容を参照してログファイルの情報が改ざんされたか否か検証し、前記ログファイルの情報が改ざんされていないと判断された時に、ログファイルの情報に対するメッセージ認証コードを生成し、このメッセージ認証コードとログファイルの情報とをネットワークを介して接続されたログ管理サーバに送信する。
【選択図】 図1
【解決手段】 ログファイルへのアクセスを監視して得たアクセス情報を監査ログとして記録し、この記憶された監査ログの内容を参照してログファイルの情報が改ざんされたか否か検証し、前記ログファイルの情報が改ざんされていないと判断された時に、ログファイルの情報に対するメッセージ認証コードを生成し、このメッセージ認証コードとログファイルの情報とをネットワークを介して接続されたログ管理サーバに送信する。
【選択図】 図1
Description
この発明は、ログに対する不正な改ざんを検知するログ管理方式及びログ管理方法に関するものである。
定期的に動作してアプリケーションのログを収集するログ管理システムにおいて、ログを収集した時点で改ざん有無を判断することは困難である。なぜならば、正当なアプリケーションも、悪意のある人物も、ログファイルへ書き込むことが可能なため、収集した時点のログが、どのように書き込まれたかを知ることができないためである。
このようなことから、従来、アプリケーションが出力するログを保護するためには、ログを出力するアプリケーション側で改ざんを防ぐ仕組みを用意することで対策を行なっていた。例えば、アプリケーションがログ出力時に改ざん対策のライブラリを呼び出す。これにより、アプリケーションのログの出力と同時にログの改ざんのための対策を行ない、ログが誰でもアクセスできるという状況を作らないようにしていた(例えば、特許文献1参照)。
特開2001−142764号公報
このようなことから、従来、アプリケーションが出力するログを保護するためには、ログを出力するアプリケーション側で改ざんを防ぐ仕組みを用意することで対策を行なっていた。例えば、アプリケーションがログ出力時に改ざん対策のライブラリを呼び出す。これにより、アプリケーションのログの出力と同時にログの改ざんのための対策を行ない、ログが誰でもアクセスできるという状況を作らないようにしていた(例えば、特許文献1参照)。
自社製アプリケーションやオープンソースのアプリケーションが出力するログを対象とする場合であれば、アプリケーションを改修して従来からの方式で対策が行なわれてきた。しかし、他社製アプリケーションのログを対象とした場合、従来の方式ではアプリケーションの改修が不可能な場合があり、これを利用することができなかった。
また、自社製やオープンソースのアプリケーションで改修可能な場合であっても、複数のアプリケーションが出力するログを管理の対象とする場合、全てのアプリケーションの改修を行なうことは改修のためのコストや時間がかかるという問題があった。
また、自社製やオープンソースのアプリケーションで改修可能な場合であっても、複数のアプリケーションが出力するログを管理の対象とする場合、全てのアプリケーションの改修を行なうことは改修のためのコストや時間がかかるという問題があった。
本発明は、上記のような課題を解決するためになされたもので、アプリケーションの改修を必要とせず、アプリケーションの動作に影響を与えることなく、アプリケーションがログを出力してからログ管理システムがログを収集するまでの間に改ざんがあった場合の改ざんの検知を可能にすることを目的としたものである。
この発明に係るログ管理方式は、アプリケーションプログラムの動作結果が格納されたログファイルにアクセスして前記ログファイルの情報を収集するログ収集手段と、
前記ログ収集手段により前記ログファイルにアクセスしたアクセス情報と前記ログファイルにアクセスされたアクセス情報とにより構成された全アクセス情報を監査ログとして記録する監査手段と、
前記監査手段により記録された前記監査ログの内容を参照して前記ログファイルの情報が改ざんされたか否か検証する改ざん有無検証手段と、を備えたものである。
前記ログ収集手段により前記ログファイルにアクセスしたアクセス情報と前記ログファイルにアクセスされたアクセス情報とにより構成された全アクセス情報を監査ログとして記録する監査手段と、
前記監査手段により記録された前記監査ログの内容を参照して前記ログファイルの情報が改ざんされたか否か検証する改ざん有無検証手段と、を備えたものである。
この発明は、アプリケーションのプログラムの動作結果が格納されたログファイルへのアクセスを監視して得たアクセス情報を監査ログとして記録し、この記憶された監査ログの内容を参照して、ログファイルの情報が改ざんされたか否かを検証することにより、アプリケーションの改修を必要とせず、アプリケーションの動作に影響を与えることなく、アプリケーションがログを出力してからログ管理システムがログを収集するまでの間に発生したログの改ざん行為を検知することが可能となる。
実施の形態1.
図1は、本発明の実施の形態1のログ管理システムの構成図である。ログ管理システムは、複数の端末200、220、230と1台のログ管理サーバ100とがネットワークで接続されて構成される。
端末200、220、230は、Windows(登録商標)オペレーティングシステム210上でアプリケーション207とログ収集エージェント201が動作している。
アプリケーション207は、実行形式のプログラム209(例えば、プロセス名C:\LogOut.exe)として動作し、動作結果をログファイル208(例えば、ログファイル名C:\LogFile.txt)に出力する。
ログ収集エージェント201は、アプリケーション207のログファイル208の情報を定期的に収集し、改ざん検知可能な対策を行ない、ログ管理サーバ100へ転送する。
ログ管理サーバ100では、ログ収集サーバ102が動作し、複数の端末200、220、230から収集したログファイル208の情報をログDB101で管理する。
図1は、本発明の実施の形態1のログ管理システムの構成図である。ログ管理システムは、複数の端末200、220、230と1台のログ管理サーバ100とがネットワークで接続されて構成される。
端末200、220、230は、Windows(登録商標)オペレーティングシステム210上でアプリケーション207とログ収集エージェント201が動作している。
アプリケーション207は、実行形式のプログラム209(例えば、プロセス名C:\LogOut.exe)として動作し、動作結果をログファイル208(例えば、ログファイル名C:\LogFile.txt)に出力する。
ログ収集エージェント201は、アプリケーション207のログファイル208の情報を定期的に収集し、改ざん検知可能な対策を行ない、ログ管理サーバ100へ転送する。
ログ管理サーバ100では、ログ収集サーバ102が動作し、複数の端末200、220、230から収集したログファイル208の情報をログDB101で管理する。
ログ収集エージェント201は、ログ収集機能202、検知コード生成機能205、ログ転送機能206で構成される。
ログ収集機能202は、ログ収集手段203と改ざん有無検証手段204とで構成される。
ログ収集手段203は、アプリケーション207のログファイル208の情報を定期的に収集する手段を有するプロセス(例えば、プロセス名C:\LogCollect.exe)である。
改ざん有無検証手段204は、ログ収集手段203が収集したログファイル208の情報に対し、改ざんの有無を検証する手段である。
ログ収集機能202は、ログ収集手段203と改ざん有無検証手段204とで構成される。
ログ収集手段203は、アプリケーション207のログファイル208の情報を定期的に収集する手段を有するプロセス(例えば、プロセス名C:\LogCollect.exe)である。
改ざん有無検証手段204は、ログ収集手段203が収集したログファイル208の情報に対し、改ざんの有無を検証する手段である。
検知コード生成機能205は、ログ管理サーバ100のログDB101へログファイル208の情報を格納した後に、改ざん有無の検知を可能とするために、ログに対するメッセージ認証コードを生成する認証コード生成手段である。メッセージ認証コードは、例えば、HMAC(Keyed−Hashing for Message Authentication)などのアルゴリズムを用いて計算する。
ログ転送機能206は、収集したログファイル208の情報と生成したメッセージ認証コードの情報とを合わせて、ログ収集サーバ102へ転送するログ転送手段である。
ログ転送機能206は、収集したログファイル208の情報と生成したメッセージ認証コードの情報とを合わせて、ログ収集サーバ102へ転送するログ転送手段である。
端末200のWindows(登録商標) オペレーティングシステム210の監査機能211は、端末200上の指定したファイルへのアクセスを監視し、監視結果である監査ログをセキュリティログ212であるセキュリティログ格納手段へ出力する監査手段である。監査機能211は、ログファイル208への全てのアクセスをセキュリティログ212に出力するように設定する。これにより、監査機能211は、ログファイル208へのアクセスを検知するとセキュリティログ212へ情報を出力するように動作する。
図2は、監査機能211がセキュリティログ212へ出力する情報の一部を示した図である。図2において、セキュリティログ212は“日付時刻”、“イメージファイル名”、“オブジェクト名”、“プロセスID”、“ハンドルID”、“アクセス種別”などの情報で構成される。
ここで、“日付時刻”はログファイル208へのアクセスを検知した時刻、“イメージファイル名”はログファイル208へアクセスしたプロセスの名称、“プロセスID”はログファイル208へアクセスしたプロセスのプロセスID、“ハンドルID”はログファイル208へアクセスしたプロセスがファイルアクセスに使用したハンドルID、“アクセス種別”はログファイル208へのアクセスの種類(OPEN、READ、WRITE、CLOSE、DELETEなど)となる。
ここで、“日付時刻”はログファイル208へのアクセスを検知した時刻、“イメージファイル名”はログファイル208へアクセスしたプロセスの名称、“プロセスID”はログファイル208へアクセスしたプロセスのプロセスID、“ハンドルID”はログファイル208へアクセスしたプロセスがファイルアクセスに使用したハンドルID、“アクセス種別”はログファイル208へのアクセスの種類(OPEN、READ、WRITE、CLOSE、DELETEなど)となる。
ログ収集サーバ102は、ログ受信機能104とログ投入機能103で構成される。
ログ受信機能104は、各端末200、220、230のログ収集エージェント201が送信するログファイル208の情報とメッセージ認証コードを受信するログ受信手段である。
ログ投入機能103は、ログ受信機能104により受信されたログファイル208の情報とメッセージ認証コードをログDB101へ格納するログ投入手段である。
ログ受信機能104は、各端末200、220、230のログ収集エージェント201が送信するログファイル208の情報とメッセージ認証コードを受信するログ受信手段である。
ログ投入機能103は、ログ受信機能104により受信されたログファイル208の情報とメッセージ認証コードをログDB101へ格納するログ投入手段である。
本発明におけるログ管理システムは、”管理者権限”と”一般利用者権限”に権限を分離して端末200、220、230を管理する。端末200、220、230の通常の利用者は“一般利用者権限”で利用する。Windows(登録商標) オペレーティングシステム210の監査機能211の設定を行なうこと、ログ収集エージェント201のプログラムやその設定を変更すること、およびアプリケーション207のプログラム209やその設定を変更することの操作は、“管理者権限”がなければ行なうことはできない。なお、プログラム209は通常の利用者が使用できるように、“一般利用者権限”で動作を許可するように設定する。そのため、ログファイル208は“一般利用者権限”で書込みや削除できるように設定しなければならない。
次に、本実施の形態のログ管理システムの動作について説明する。この動作説明は、定常時の動作、および、ログ収集時の動作に分けて行なう。
はじめに、定常時のログ管理システムの動作について説明する。
図3は、定常時のログ管理システムの処理動作を示すフローチャートである。
まず、ステップS11で、監査機能211がログファイル208へのアクセスを常時モニタしている(ステップS11)。具体的には、「プログラム209によるログファイル208への書込みや削除アクセス」、「端末200の通常の利用者による不正なアクセス」、「ログ収集エージェント201による収集動作」などの全アクセスをモニタしている。
はじめに、定常時のログ管理システムの動作について説明する。
図3は、定常時のログ管理システムの処理動作を示すフローチャートである。
まず、ステップS11で、監査機能211がログファイル208へのアクセスを常時モニタしている(ステップS11)。具体的には、「プログラム209によるログファイル208への書込みや削除アクセス」、「端末200の通常の利用者による不正なアクセス」、「ログ収集エージェント201による収集動作」などの全アクセスをモニタしている。
次に、ステップS12a、ステップS12b、ステップS12cの何れかの事象が発生する。ステップS12aでは、プログラム209が動作してログファイル208に情報を出力する。
また、ステップS12bでは、端末200の通常の利用者が故意、又は不注意でログファイル208に情報を書込んだり、削除したり、といった行為を行なう。
更に、ステップS12cでは、ログ収集エージェント201がログファイル208の情報を収集する。
最後に、ステップS13で、監査機能211がログファイル208へのアクセスの内容をセキュリティログ212へ書き込む。その後、再度ステップS11の状態に戻る。
また、ステップS12bでは、端末200の通常の利用者が故意、又は不注意でログファイル208に情報を書込んだり、削除したり、といった行為を行なう。
更に、ステップS12cでは、ログ収集エージェント201がログファイル208の情報を収集する。
最後に、ステップS13で、監査機能211がログファイル208へのアクセスの内容をセキュリティログ212へ書き込む。その後、再度ステップS11の状態に戻る。
次に、ログ収集時のログ管理システムの動作について説明する。
図4は、ログ収集時のログ管理システムの処理動作を示すフローチャートである。
まず、ステップS21で、ログ収集機能202がログファイル208の情報を収集する(ログ収集機能202の動作については後述する)。
次に、ステップS22で、検知コード生成機能205がログ収集機能202により収集されたログファイル208の情報に対するメッセージ認証コードを生成する。
続いて、ステップS23で、ログ転送機能206がログファイル208の情報とメッセージ認証コードをログ収集サーバ102に転送する。
更に、ステップS24で、ログ収集サーバ102のログ受信機能104がログファイル208の情報とメッセージ認証コードを受信する。
最後に、ステップS25で、ログ投入機能103がログファイル208の情報とメッセージ認証コードをログDB101へ格納する。
図4は、ログ収集時のログ管理システムの処理動作を示すフローチャートである。
まず、ステップS21で、ログ収集機能202がログファイル208の情報を収集する(ログ収集機能202の動作については後述する)。
次に、ステップS22で、検知コード生成機能205がログ収集機能202により収集されたログファイル208の情報に対するメッセージ認証コードを生成する。
続いて、ステップS23で、ログ転送機能206がログファイル208の情報とメッセージ認証コードをログ収集サーバ102に転送する。
更に、ステップS24で、ログ収集サーバ102のログ受信機能104がログファイル208の情報とメッセージ認証コードを受信する。
最後に、ステップS25で、ログ投入機能103がログファイル208の情報とメッセージ認証コードをログDB101へ格納する。
次に、ログ収集時のログ収集機能202の動作を図5、図6を用いて説明する。
図5は、ログ収集時のログ収集機能202の処理動作を示すフローチャートである。
図6は、セキュリティログ212に記録された情報の一部を示す図である。
まず、ステップS31で、ログ収集手段203が指定時刻に動作し、ログファイル208の情報を収集する。収集した情報は内部のメモリへ格納する。なお、本動作により、定常時に監視している監査機能211が動作し、ログ収集手段203のアクセスがセキュリティログ212へ記録される。また、本時点でセキュリティログ212に記録されている情報の一部を図6に示す。
図5は、ログ収集時のログ収集機能202の処理動作を示すフローチャートである。
図6は、セキュリティログ212に記録された情報の一部を示す図である。
まず、ステップS31で、ログ収集手段203が指定時刻に動作し、ログファイル208の情報を収集する。収集した情報は内部のメモリへ格納する。なお、本動作により、定常時に監視している監査機能211が動作し、ログ収集手段203のアクセスがセキュリティログ212へ記録される。また、本時点でセキュリティログ212に記録されている情報の一部を図6に示す。
次に、ステップS32で、ログ収集手段203が、改ざん有無検証手段204を実行する。
続いて、ステップS33で、改ざん有無検証手段204が、セキュリティログ212を探索し、ログ収集手段203が今回ログファイル208へアクセスした時に出力されたセキュリティログ212のアクセス記録(レコード)を見つける。なお、探索時、改ざん有無検証手段204はセキュリティログ212のレコードを最新のものから古いものへ向かって探索し、ログ収集手段203のプロセス名(本実施の形態ではC:¥LogCollect.exe)を基にOPEN−READ−CLOSEアクセスの最新の記録レコードを見つける。図6においては301で示すレコードとなる。
続いて、ステップS33で、改ざん有無検証手段204が、セキュリティログ212を探索し、ログ収集手段203が今回ログファイル208へアクセスした時に出力されたセキュリティログ212のアクセス記録(レコード)を見つける。なお、探索時、改ざん有無検証手段204はセキュリティログ212のレコードを最新のものから古いものへ向かって探索し、ログ収集手段203のプロセス名(本実施の形態ではC:¥LogCollect.exe)を基にOPEN−READ−CLOSEアクセスの最新の記録レコードを見つける。図6においては301で示すレコードとなる。
次に、ステップS34で、改ざん有無検証手段204が、セキュリティログ212を探索し、ログ収集手段203が前回ログファイル208へアクセスした時に出力されたセキュリティログ212のレコードを見つける。なお、探索時、改ざん有無検証手段204はセキュリティログ212のレコードを(S33)で見つけたレコード301を基点に古いものへ向かって探索し、ログ収集手段203のプロセス名(本実施の形態ではC:¥LogCollect.exe)を基にOPEN−READ−CLOSEアクセスが最初に記録されたレコードを見つける。図6においては302で示すレコードとなる。
続いて、ステップS35で、改ざん有無検証手段204が、指定範囲内(図6における302から301)のセキュリティログ212のレコードを検証し、改ざん行為の有無を検証する。
続いて、ステップS35で、改ざん有無検証手段204が、指定範囲内(図6における302から301)のセキュリティログ212のレコードを検証し、改ざん行為の有無を検証する。
ここで、改ざん行為の有無をチェックするときの動作を図6、図7を用いて説明する。
図6は、セキュリティログ212に記録された情報の一部を示す図である。
図7は、改ざん有無検証手段204が改ざん行為の有無をチェックするときの処理動作を示すフローチャートである。
まず、ステップS41で、検証を行なうレコードをレコードiとする。指定範囲内の最古のレコード(図6における302の次のレコード)をレコードiとする。
次に、ステップS42で、レコードiが存在するかどうかチェックする。レコードiが存在しない場合、指定範囲内の全レコードを検証した結果、改ざん行為がなかったと判断し、ステップS42のYESへ進み、改ざん無しの判定結果を持って処理を終了する。
一方、レコードiが存在する場合、ステップS42のNOへ進み、ステップS43を実行する。
図6は、セキュリティログ212に記録された情報の一部を示す図である。
図7は、改ざん有無検証手段204が改ざん行為の有無をチェックするときの処理動作を示すフローチャートである。
まず、ステップS41で、検証を行なうレコードをレコードiとする。指定範囲内の最古のレコード(図6における302の次のレコード)をレコードiとする。
次に、ステップS42で、レコードiが存在するかどうかチェックする。レコードiが存在しない場合、指定範囲内の全レコードを検証した結果、改ざん行為がなかったと判断し、ステップS42のYESへ進み、改ざん無しの判定結果を持って処理を終了する。
一方、レコードiが存在する場合、ステップS42のNOへ進み、ステップS43を実行する。
次に、ステップS43で、レコードiをチェックする。具体的には、「レコードiのアクセス種別がOPENであり」、「レコードiのオブジェクト名がログファイル208の名称と同一であり」、「レコードiのイメージファイル名がプログラム名209と同一でない」、の3つの条件を同時に満たす場合に、不正なプログラムによってログファイル208がOPENされたと判断し、ステップS43のYESへ進み、ステップS44を実行する。
レコードiが本条件を満たさない場合は、ステップS43のNO、ステップS410と進み、レコードiの次のレコードを検証する。
レコードiが本条件を満たさない場合は、ステップS43のNO、ステップS410と進み、レコードiの次のレコードを検証する。
次に、ステップS44で、レコードiの次のレコードを検証する。検証するレコードをレコードjとする。
続いて、ステップS45で、レコードjが存在するかどうかチェックする。レコードjが存在しない場合、レコードiに関連するアクセスで改ざん行為が無かったと判断し、ステップS45のYES、ステップS410と進み、レコードiの次のレコードを検証する。レコードjが存在する場合、ステップS45のNOへ進み、ステップS46を実行する。
続いて、ステップS45で、レコードjが存在するかどうかチェックする。レコードjが存在しない場合、レコードiに関連するアクセスで改ざん行為が無かったと判断し、ステップS45のYES、ステップS410と進み、レコードiの次のレコードを検証する。レコードjが存在する場合、ステップS45のNOへ進み、ステップS46を実行する。
次に、ステップS46〜ステップS48で、レコードjを検証する。
まず、ステップS46で、レコードiとレコードjのプロセスIDとハンドルIDを比較することで、レコードiの一連のアクセスの情報であるか否かチェックする。ここで、レコードjがレコードiと無関連のアクセスの情報である場合は、ステップS46のNO、ステップS49と進み、レコードjの次のレコードをチェックする。レコードjがレコードiと関連したアクセスの情報である場合は、ステップS46のYESに進み、ステップS47を実行する。
まず、ステップS46で、レコードiとレコードjのプロセスIDとハンドルIDを比較することで、レコードiの一連のアクセスの情報であるか否かチェックする。ここで、レコードjがレコードiと無関連のアクセスの情報である場合は、ステップS46のNO、ステップS49と進み、レコードjの次のレコードをチェックする。レコードjがレコードiと関連したアクセスの情報である場合は、ステップS46のYESに進み、ステップS47を実行する。
続いてステップS47で、レコードjのアクセス種別をチェックする。ここで、アクセス種別がCLOSEである場合、レコードiに関連したアクセスで改ざん行為が無かったと判断し、ステップS47のYES、ステップS410と進み、レコードiの次のレコードを検証する。アクセス種別がCLOSEでない場合、ステップS47のNOへ進み、ステップS48を実行する。
最後にステップS48で、レコードjのアクセス種別を再度チェックする。アクセス種別がWRITE、もしくはDELETEである場合は、レコードiに関連するアクセスで改ざんが行なわれたと判断し、ステップS48のYES)へ進み、改ざん有りの判定結果を持って処理を終了する。アクセス種別がWRITE、かつDELETEでない場合は、レコードjの次のレコードを検証する。
以上のように、図7に示す動作手順で改ざん行為の有無をチェックすることができ、図6の303で示された改ざんを検知することができる。
以上のように、図7に示す動作手順で改ざん行為の有無をチェックすることができ、図6の303で示された改ざんを検知することができる。
再び、図5に戻り、ログ収集時のログ収集機能202の処理動作について説明する。
ステップS35で、改ざん有無検証手段204により改ざん行為の有無が検証された後、ステップS36で、改ざん有無検証手段204が検証結果をログ収集手段203へ返す。
最後に、ステップS37で、ログ収集手段203が、改ざん有無検証手段204で改ざん行為の有無を検証した結果、改ざんされていないと判定された場合に、メモリに格納したログファイル208の情報を検知コード生成機能205に送信する。
ステップS35で、改ざん有無検証手段204により改ざん行為の有無が検証された後、ステップS36で、改ざん有無検証手段204が検証結果をログ収集手段203へ返す。
最後に、ステップS37で、ログ収集手段203が、改ざん有無検証手段204で改ざん行為の有無を検証した結果、改ざんされていないと判定された場合に、メモリに格納したログファイル208の情報を検知コード生成機能205に送信する。
この後、検知コード生成機能205が、ステップS37で、ログ収集手段203により送信されたログファイル208の情報のログに対するメッセージ認証コードを生成し、ログ転送機能206がログファイル208の情報と検知コード生成機能205で生成したメッセージ認証コードの情報とを合わせて、ログ収集サーバ102へ転送する。
以上のように本実施の形態によれば、アプリケーションの改修を行なうことなく、アプリケーションがログを出力してからログ管理システムがログを収集するまでの間に発生した改ざん行為を検知することができる。
また、アプリケーションの改修が不要であるため、アプリケーションの改修が困難なアプリケーションに対しても適用が可能である。
更に、ログ収集機能が収集したログが改ざんされていない事を検証した上で、検知コード生成機能、ログ転送機能が動作するため、ログ管理サーバのログDBに格納されたログファイルの情報は全て改ざんされていない状態で管理することができる。
また、アプリケーションと異なるプロセスで動作するため、アプリケーションの動作に影響を与えることはなく、ログに対する不正な改ざんを検知することができる。
また、アプリケーションの改修が不要であるため、アプリケーションの改修が困難なアプリケーションに対しても適用が可能である。
更に、ログ収集機能が収集したログが改ざんされていない事を検証した上で、検知コード生成機能、ログ転送機能が動作するため、ログ管理サーバのログDBに格納されたログファイルの情報は全て改ざんされていない状態で管理することができる。
また、アプリケーションと異なるプロセスで動作するため、アプリケーションの動作に影響を与えることはなく、ログに対する不正な改ざんを検知することができる。
実施の形態2.
実施の形態1では、ログ収集手段203がログファイル208の情報を収集してメモリに格納した時点で改ざん有無検証手段204を実行し、収集したログファイル208の情報の改ざんの有無を検証する場合について説明したが、本実施の形態では、セキュリティログ212が出力された時点、即ち、監視機能211が監査結果である監査ログをセキュリティログ212に出力した時点で、改ざんの有無を検証する場合について説明する。
本実施の形態では、改ざん有無検証手段204の動作が実施の形態1と異なる以外は、構成および動作とも実施の形態1と同様であるため説明を省略する。
実施の形態1では、ログ収集手段203がログファイル208の情報を収集してメモリに格納した時点で改ざん有無検証手段204を実行し、収集したログファイル208の情報の改ざんの有無を検証する場合について説明したが、本実施の形態では、セキュリティログ212が出力された時点、即ち、監視機能211が監査結果である監査ログをセキュリティログ212に出力した時点で、改ざんの有無を検証する場合について説明する。
本実施の形態では、改ざん有無検証手段204の動作が実施の形態1と異なる以外は、構成および動作とも実施の形態1と同様であるため説明を省略する。
図8は、改ざん有無検証手段204の処理動作を示すフローチャートである。
本実施の形態では、改ざん有無検証手段204が常駐プロセスとして図8のフローチャートに従って動作する。
セキュリティログ212が出力された時点、即ち、監視機能211が監視結果をセキュリティログ212に出力する時点に次の動作が開始される。
まず、ステップS51で、セキュリティログ212の中で、未検証のレコードの内、最古のレコードを検証対象とし、そのレコードをレコードiとする。なお、検証対象のレコードが存在しない場合は、セキュリティログ212が書き込まれた時点でWindows(登録商標) オペレーティングシステム210からシグナルを受け取るように設定し、処理を待機する。具体的には、Windows(登録商標) オペレーティングシステム210が提供するAPI(Application Program Interface)であるNotifyChangeEventLogなどを利用することにより、セキュリティログ212が書き込まれたタイミングでシグナルを受け取ることが可能である。
本実施の形態では、改ざん有無検証手段204が常駐プロセスとして図8のフローチャートに従って動作する。
セキュリティログ212が出力された時点、即ち、監視機能211が監視結果をセキュリティログ212に出力する時点に次の動作が開始される。
まず、ステップS51で、セキュリティログ212の中で、未検証のレコードの内、最古のレコードを検証対象とし、そのレコードをレコードiとする。なお、検証対象のレコードが存在しない場合は、セキュリティログ212が書き込まれた時点でWindows(登録商標) オペレーティングシステム210からシグナルを受け取るように設定し、処理を待機する。具体的には、Windows(登録商標) オペレーティングシステム210が提供するAPI(Application Program Interface)であるNotifyChangeEventLogなどを利用することにより、セキュリティログ212が書き込まれたタイミングでシグナルを受け取ることが可能である。
次に、ステップS52で、レコードiの検証を行なう。検証は、図7のステップS43と同様の手順で行なうため、ここではこの動作の説明は省略する。
ステップS52で、レコードiが条件を満たさない場合は、ステップS52のNOへ進み、再度ステップS51を実行する。レコードiが条件を満たす場合は、ステップS52のYESへ進み、ステップS53を実行する。
続いて、ステップS53で、レコードiの次のレコードを検証する。ここで、検証するレコードをレコードjとする。レコードjが存在しない場合は、ステップS51と同様の手順でセキュリティログ212が更新されるまで処理を待機する。
ステップS52で、レコードiが条件を満たさない場合は、ステップS52のNOへ進み、再度ステップS51を実行する。レコードiが条件を満たす場合は、ステップS52のYESへ進み、ステップS53を実行する。
続いて、ステップS53で、レコードiの次のレコードを検証する。ここで、検証するレコードをレコードjとする。レコードjが存在しない場合は、ステップS51と同様の手順でセキュリティログ212が更新されるまで処理を待機する。
次に、ステップS54〜ステップS56で、レコードjを検証する。この検証は、図7のステップS46〜ステップS48と同様の手順で行なうため、ここではこの動作の説明は省略する。
検証の結果、レコードjの次のレコードを検証する必要がある場合(ステップS54のNO、ステップS56のNOの場合)、ステップS57で、レコードjの次のレコードを取得し、ステップS54に戻る。ステップS57で、レコードjの次のレコードが存在しない場合は、ステップS51と同様の手段でセキュリティログの更新を待機する。
検証の結果、レコードjの次のレコードを検証する必要がある場合(ステップS54のNO、ステップS56のNOの場合)、ステップS57で、レコードjの次のレコードを取得し、ステップS54に戻る。ステップS57で、レコードjの次のレコードが存在しない場合は、ステップS51と同様の手段でセキュリティログの更新を待機する。
以上のように本実施の形態によれば、セキュリティログが出力されたタイミングでリアルタイムにログファイルの改ざんの有無を検証できるため、改ざんが発生した場合に素早く改ざんを検知することができる。
実施の形態3.
実施の形態1では、ログ収集手段203がログファイル208の情報を収集してメモリに格納した時点で、改ざん有無検証手段204を実行し、収集したログファイル208の情報の改ざんの有無を検証する場合について説明したが、本実施の形態では、セキュリティログ212が出力された時点で改ざん有無を検証すると共に、ログ収集手段203によるログ収集時に、本改ざん有無の検証結果を利用する場合について説明する。
本実施の形態では、改ざん有無検証手段212の動作が実施の形態1と異なる以外は、構成および動作は実施の形態1と同様であるため説明を省略する。
実施の形態1では、ログ収集手段203がログファイル208の情報を収集してメモリに格納した時点で、改ざん有無検証手段204を実行し、収集したログファイル208の情報の改ざんの有無を検証する場合について説明したが、本実施の形態では、セキュリティログ212が出力された時点で改ざん有無を検証すると共に、ログ収集手段203によるログ収集時に、本改ざん有無の検証結果を利用する場合について説明する。
本実施の形態では、改ざん有無検証手段212の動作が実施の形態1と異なる以外は、構成および動作は実施の形態1と同様であるため説明を省略する。
図9は、改ざん有無検証手段204の処理動作を示すフローチャートである。
図10は、改ざん有無検証手段204の実行結果として得られる情報について示した図である。
本実施の形態では、改ざん有無検証手段204が常駐プロセスとして図9のフローチャートに従って動作する。
また、改ざん有無検証手段204の実行結果として得られる図10の情報を、改ざん有無検証手段204が改ざん有無検証手段204の内部メモリに保存する。
図9において、ステップS61〜ステップS67の処理動作は、図8のステップS51〜ステップS57の処理動作と同様のため、ここでは説明を省略する。
図10は、改ざん有無検証手段204の実行結果として得られる情報について示した図である。
本実施の形態では、改ざん有無検証手段204が常駐プロセスとして図9のフローチャートに従って動作する。
また、改ざん有無検証手段204の実行結果として得られる図10の情報を、改ざん有無検証手段204が改ざん有無検証手段204の内部メモリに保存する。
図9において、ステップS61〜ステップS67の処理動作は、図8のステップS51〜ステップS57の処理動作と同様のため、ここでは説明を省略する。
本実施の形態では、ステップS66で、改ざん有りと判断した場合(ステップS66のYES)、レコードiの情報を改ざん判定レコード情報402として改ざん有無検証手段204が改ざん有無検証手段204の内部メモリへ追加書込み格納する。
図11は、ログ収集時のログ収集機能202の処理動作を示すフローチャートである。
本実施の形態では、ログ収集時に図11に従って動作する。
図11において、ステップS71〜ステップS73は、図5のステップS31〜ステップS33の手順と同様のため説明を省略する。
次に、ステップS74で、ログ収集手段203が今回ログファイル208へアクセスした時に出力されたセキュリティログ212のレコードの情報を、内部メモリのログ収集時レコード情報401に追加書込みする。
続いて、ステップS75で、改ざん有無検証手段204が、ログ収集手段203が前回ログファイル208へアクセスした時から今回ログファイル208へアクセスした時までの間の改ざんの有無をチェックする。具体的には、内部メモリのログ収集時レコード情報401の最新の情報と1つ前の情報を基に、今回と前回のログ収集手段203のアクセスの間に出力されたセキュリティログ212のレコードの範囲を特定する。
次に、改ざん判定レコード情報402を参照し、特定した範囲内で改ざんの有無をチェックする。その後、ステップS76、ステップS77を実施する。なお、ステップS76、ステップS77は、図5のステップS36、ステップS37の手順と同様のため説明を省略する。
本実施の形態では、ログ収集時に図11に従って動作する。
図11において、ステップS71〜ステップS73は、図5のステップS31〜ステップS33の手順と同様のため説明を省略する。
次に、ステップS74で、ログ収集手段203が今回ログファイル208へアクセスした時に出力されたセキュリティログ212のレコードの情報を、内部メモリのログ収集時レコード情報401に追加書込みする。
続いて、ステップS75で、改ざん有無検証手段204が、ログ収集手段203が前回ログファイル208へアクセスした時から今回ログファイル208へアクセスした時までの間の改ざんの有無をチェックする。具体的には、内部メモリのログ収集時レコード情報401の最新の情報と1つ前の情報を基に、今回と前回のログ収集手段203のアクセスの間に出力されたセキュリティログ212のレコードの範囲を特定する。
次に、改ざん判定レコード情報402を参照し、特定した範囲内で改ざんの有無をチェックする。その後、ステップS76、ステップS77を実施する。なお、ステップS76、ステップS77は、図5のステップS36、ステップS37の手順と同様のため説明を省略する。
以上のように本実施の形態によれば、ログ収集時に改ざんの有無を検証する処理を簡略に行なうことができるため、ログ収集時にかかる改ざん有無の検証を高速に行なうことができる。
実施の形態4.
本実施の形態では、ログファイルが改ざんされていると判断した時点で、改ざんに関する情報を中央のサーバへ転送する場合について説明する。
本実施の形態では、ログファイルが改ざんされていると判断した時点で、改ざんに関する情報を中央のサーバへ転送する場合について説明する。
本実施の形態は、実施の形態1、実施の形態2、実施の形態3のレコードの検証処理で改ざん有りと判定した場合に(図7のステップS48のYES、図8のステップS56のYES、図9のステップS66のYES)、ログ収集エージェント201のログ転送機能206が改ざんに関する情報を中央のサーバへ転送するように動作する。
ここで、改ざんに関する情報は、具体的に、改ざんを検知した端末200のホスト名、IPアドレス、ログインユーザ名、システム時刻、また、改ざんと検知したセキュリティログ212の情報(本情報には、改ざんに利用したプロセス名、ユーザ名などの情報が含まれる)などが含まれる。
ここで、改ざんに関する情報は、具体的に、改ざんを検知した端末200のホスト名、IPアドレス、ログインユーザ名、システム時刻、また、改ざんと検知したセキュリティログ212の情報(本情報には、改ざんに利用したプロセス名、ユーザ名などの情報が含まれる)などが含まれる。
以上のように本実施の形態によれば、ログの改ざんを検知した時に改ざんに関連する情報を中央のサーバへ転送するため、中央のサーバで改ざん行為に関する詳細な内容を取得することができる。
実施の形態5.
本実施の形態では、ログファイルが改ざんされていると判断した時点で、指定した宛先に改ざんに関する情報を転送する場合について説明する。
本実施の形態では、ログファイルが改ざんされていると判断した時点で、指定した宛先に改ざんに関する情報を転送する場合について説明する。
本実施の形態は、実施の形態1、実施の形態2、実施の形態3のレコードの検証処理で改ざん有りと判定した場合に(図7のステップS48のYES、図8のステップS56のYES、図9のステップS66のYES)、ログ収集エージェント201のログ転送機能206が改ざんに関する情報を指定の宛先に転送するように動作する。
ここで、改ざんに関する情報とは、実施の形態4に記載の情報と同様である。
ここで、改ざんに関する情報とは、実施の形態4に記載の情報と同様である。
以上のように本実施の形態によれば、ログの改ざんを検知した時に管理者などに情報を送信することができるため、改ざんを検知したタイミングで対策を行なうことができる。
実施の形態6.
本実施の形態では、ログファイルへアクセスを許可する複数のプログラム名を記録したリストを有し、改ざん有無の検証を行なう場合について説明する。
本実施の形態では、ログファイルへアクセスを許可する複数のプログラム名を記録したリストを有し、改ざん有無の検証を行なう場合について説明する。
本実施の形態は、実施の形態1、実施の形態2、実施の形態3のレコードの検証処理(図7のステップS43、図8のステップS52、図9のステップS62)において、イメージファイル名とアプリケーション207のプログラム209のプログラム名を比較する際に、改ざん有無検証手段204がアプリケーションのプログラム名を前記リストより取得することで複数のプログラム名で改ざんの有無を判定するように動作する。
以上のように本実施の形態によれば、ログファイルへ書込みを行なう複数のプロセスが存在するようなマルチプロセスで動作するアプリケーションのログファイルに対して、改ざん有無の検証を正しく行なうことができる。
実施の形態7.
本実施の形態では、改ざん有無の検証の対象とする複数のファイル名を記録したリストを有し、このリストに従って改ざんの有無の検証を行なう場合について説明する。
本実施の形態では、改ざん有無の検証の対象とする複数のファイル名を記録したリストを有し、このリストに従って改ざんの有無の検証を行なう場合について説明する。
本実施の形態では、定常時の監査機能211のモニタ動作(図3のステップS11)が、前記リストに記録された全てのファイルをモニタする。また、実施の形態1、実施の形態2、実施の形態3のレコードの検証処理(図7のステップS43、図8のステップS52、図9のステップS62)において、オブジェクト名とログファイル208のファイル名を比較する際に、改ざん有無検証手段204がログファイル208のファイル名を前記リストより取得して複数のファイル名で判定するように動作する。
以上のように本実施の形態によれば、複数のファイルに書込みを行なうアプリケーションに対して、改ざんの有無の検証を正しく行なうことができる。
100 ログ管理サーバ、101 ログDB、102 ログ収集サーバ、103 ログ投入機能、104 ログ受信機能、200 端末、201 ログ収集エージェント、202 ログ収集機能、203 ログ収集手段、204 改ざん有無検証手段、205 検知コード生成機能、206 ログ転送機能、207 アプリケーション、208 ログファイル、209 プログラム、210 オペレーティングシステム、211 監査機能、212 セキュリティログ。
Claims (12)
- アプリケーションプログラムの動作結果が格納されたログファイルにアクセスして前記ログファイルの情報を収集するログ収集手段と、
前記ログ収集手段により前記ログファイルにアクセスしたアクセス情報と前記ログファイルにアクセスされたアクセス情報とにより構成された全アクセス情報を監査ログとして記録する監査手段と、
前記監査手段により記録された前記監査ログの内容を参照して前記ログファイルの情報が改ざんされたか否か検証する改ざん有無検証手段と、を備えたことを特徴とするログ管理方式。 - 前記ログ収集手段は、前記改ざん有無検証手段により前記ログファイルの情報が改ざんされていないと判断された時に、前記ログファイルの情報を送信し、
前記ログ収集手段により送信された前記ログファイルの情報に対するメッセージ認証コードを生成する認証コード生成手段と、
前記検知コード生成手段により生成された前記メッセージ認証コードと前記ログ収集手段により収集された前記ログファイルの情報とをネットワークを介して接続されたログ管理サーバに送信するログ転送手段と、を備えたことを特徴とする請求項1記載のログ管理方式。 - 前記監査手段は、前記監査ログを時系列に記録し、
前記改ざん有無検証手段は、前記監査ログの新しい情報から古い情報へ順次参照し、前記ログ収集手段により前記ログファイルにアクセスした最新のアクセス情報とこの一つ前の前記ログ収集手段により前記ログファイルにアクセスしたアクセス情報とを特定し、特定した範囲内のアクセス情報の中から改ざんの有無を検証することを特徴とする請求項1記載のログ管理方式。 - 前記ログ収集手段は、前記ログファイルにアクセスして収集した前記ログファイルの情報をメモリに格納し、
前記改ざん有無検証手段は、前記ログ収集手段により前記ログファイルの情報が前記メモリに格納された時点で前記ログファイルの情報が改ざんされたか否か検証することを特徴とする請求項1記載のログ管理方式。 - 前記改ざん有無検証手段は、前記監査手段により前記監査ログが記録された時点で前記ログファイルの情報が改ざんされたか否か検証することを特徴とする請求項1記載のログ管理方式。
- 前記改ざん有無検証手段は、前記ログファイルの情報が改ざんされたと検証された場合に、この改ざんされたログファイルの情報へのアクセス情報を改ざん判定レコード情報としてメモリに格納し、
前記ログ収集手段は、前記改ざん有無検証手段により前記メモリに格納された前記改ざん判定レコード情報を参照し、前記ログファイルの情報が改ざんされているか否か判断することを特徴とする請求項1記載のログ管理方式。 - 前記ログファイルの情報が改ざんされた改ざん情報を保存する中央サーバを備え、
前記ログ転送手段は、前記改ざん有無検証手段により前記ログファイルの情報が改ざんされたと判断された時に、前記中央サーバに前記改ざん情報を格納することを特徴とする請求項2記載のログ管理方式。 - 前記ログ転送手段は、前記改ざん有無検証手段により前記ログファイルの情報が改ざんされたと判断された時に、指定された宛先に前記改ざん情報を格納することを特徴とする請求項2記載のログ管理方式。
- 前記ログファイルへのアクセスを許可する複数のプログラム名を記録した第1のリストを備え、
前記改ざん有無検証手段は、前記第1のリストに記録された複数のプログラム名を参照して前記ログファイルの情報が改ざんされたか否か検証することを特徴とする請求項1記載のログ管理方式。 - 前記ログファイルの改ざんの有無を検証する複数のログファイルのファイル名を記録した第2のリストを備え、
前記改ざん有無検証手段は、前記第1のリストに記録された複数のログファイルのファイル名を参照して前記ログファイルの情報が改ざんされたか否か検証することを特徴とする請求項1記載のログ管理方式。 - ログ管理サーバとネットワークを介して接続された端末によりログの改ざんを検知するログ管理方法であって、
アプリケーションプログラムの動作結果が格納されたログファイルにアクセスして前記ログファイルの情報を収集する収集ステップと、
前記収集ステップにより前記ログファイルにアクセスしたアクセス情報と前記ログファイルにアクセスされたアクセス情報とにより構成された全アクセス情報を監査ログとして記録する記録ステップと、
前記記録ステップにより記録された前記監査ログの内容を参照して前記ログファイルの情報が改ざんされたか否か検証する改ざん検証ステップと、を備えたことを特徴とするログ管理方法。 - 前記収集ステップは、前記改ざん検証ステップにより前記ログファイルの情報が改ざんされていないと判断された時に、前記ログファイルの情報を送信し、
前記収集ステップにより送信された前記ログファイルの情報に対するメッセージ認証コードを生成する認証コード生成ステップと、
前記認証コード生成ステップにより生成された前記メッセージ認証コードと前記収集ステップにより収集された前記ログファイルの情報とをネットワークを介して接続されたログ管理サーバに送信するログ転送ステップと、を備えたことを特徴とする請求項11記載のログ管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006306230A JP4862619B2 (ja) | 2006-11-13 | 2006-11-13 | ログ管理方式及びログ管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006306230A JP4862619B2 (ja) | 2006-11-13 | 2006-11-13 | ログ管理方式及びログ管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008123247A true JP2008123247A (ja) | 2008-05-29 |
| JP4862619B2 JP4862619B2 (ja) | 2012-01-25 |
Family
ID=39507937
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006306230A Expired - Fee Related JP4862619B2 (ja) | 2006-11-13 | 2006-11-13 | ログ管理方式及びログ管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4862619B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010004333A (ja) * | 2008-06-20 | 2010-01-07 | Fujitsu Ltd | 携帯端末装置、履歴情報送信プログラム、通信システムおよび通信方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109359484A (zh) * | 2018-08-22 | 2019-02-19 | 北京中测安华科技有限公司 | 云平台的安全审计终端日志的处理方法、装置、设备和介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001142764A (ja) * | 1999-11-12 | 2001-05-25 | Japan Science & Technology Corp | ログ・ファイル保護システム |
| JP2002304231A (ja) * | 2001-04-06 | 2002-10-18 | Dainippon Printing Co Ltd | コンピュータシステム |
| JP2007026081A (ja) * | 2005-07-15 | 2007-02-01 | Canon Inc | プログラム |
-
2006
- 2006-11-13 JP JP2006306230A patent/JP4862619B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001142764A (ja) * | 1999-11-12 | 2001-05-25 | Japan Science & Technology Corp | ログ・ファイル保護システム |
| JP2002304231A (ja) * | 2001-04-06 | 2002-10-18 | Dainippon Printing Co Ltd | コンピュータシステム |
| JP2007026081A (ja) * | 2005-07-15 | 2007-02-01 | Canon Inc | プログラム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010004333A (ja) * | 2008-06-20 | 2010-01-07 | Fujitsu Ltd | 携帯端末装置、履歴情報送信プログラム、通信システムおよび通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4862619B2 (ja) | 2012-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9055093B2 (en) | Method, system and computer program product for detecting at least one of security threats and undesirable computer files | |
| CN102546576B (zh) | 一种网页挂马检测和防护方法、系统及相应代码提取方法 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| JP4939851B2 (ja) | 情報処理端末、セキュアデバイスおよび状態処理方法 | |
| US20090328218A1 (en) | Data processing system, data processing method, and program | |
| JP2006511877A (ja) | ソフトウェアの改ざんを事前に対処することによって検出するためのシステムおよび方法 | |
| JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| JP4995170B2 (ja) | 不正検知方法、不正検知装置、不正検知プログラムおよび情報処理システム | |
| BRPI0815605B1 (pt) | Método para a comunicação de dados usando um dispositivo de computação; método para gerar uma segunda versão de um componente de comunicação de dados usando um dispositivo de computação; método para comunicação de dados usando um dispositivo de computação; método para a criação de um certificado usando um dispositivo de computação; e método para usar um certificado utilizando um dispositivo de computação | |
| KR101137128B1 (ko) | 웜 봉쇄 방법 | |
| RU2677361C1 (ru) | Способ и система децентрализованной идентификации вредоносных программ | |
| JP4984531B2 (ja) | サーバ監視プログラム、中継装置、サーバ監視方法 | |
| US11184368B2 (en) | Systems and methods for reporting computer security incidents | |
| RU2661533C1 (ru) | Система и способ обнаружения признаков компьютерной атаки | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| RU2762528C1 (ru) | Способ обработки событий информационной безопасности перед передачей на анализ | |
| JP2011233081A (ja) | アプリケーション判定システムおよびプログラム | |
| JP4862619B2 (ja) | ログ管理方式及びログ管理方法 | |
| JP2006146600A (ja) | 動作監視サーバ、端末装置及び動作監視システム | |
| US20230376587A1 (en) | Online command injection attacks identification | |
| JP2010182020A (ja) | 不正検知装置およびプログラム | |
| US20050010752A1 (en) | Method and system for operating system anti-tampering | |
| US9037608B1 (en) | Monitoring application behavior by detecting file access category changes | |
| JP2019186686A (ja) | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090925 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110930 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111011 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111024 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141118 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141118 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |