JP2010182019A - Abnormality detector and program - Google Patents

Abnormality detector and program Download PDF

Info

Publication number
JP2010182019A
JP2010182019A JP2009023849A JP2009023849A JP2010182019A JP 2010182019 A JP2010182019 A JP 2010182019A JP 2009023849 A JP2009023849 A JP 2009023849A JP 2009023849 A JP2009023849 A JP 2009023849A JP 2010182019 A JP2010182019 A JP 2010182019A
Authority
JP
Japan
Prior art keywords
file
information
identification information
folder
procedure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009023849A
Other languages
Japanese (ja)
Inventor
Keisuke Takemori
敬祐 竹森
Takamasa Isohara
隆将 磯原
Masaru Miyake
優 三宅
Takahiro Sakai
崇裕 酒井
Takumi Hase
巧 長谷
Masakatsu Nishigaki
正勝 西垣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shizuoka University NUC
KDDI Corp
Original Assignee
Shizuoka University NUC
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shizuoka University NUC, KDDI Corp filed Critical Shizuoka University NUC
Priority to JP2009023849A priority Critical patent/JP2010182019A/en
Publication of JP2010182019A publication Critical patent/JP2010182019A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an abnormality detector and a program that can improve accuracy in detecting abnormality caused by a computer virus such as Bot. <P>SOLUTION: A normal profile storage section 16 stores first identification information for identifying a file or a folder operated in a process generated in a normal terminal not infected with a computer virus. A log generating module 12 monitors the behavior of the process generated in a terminal to be monitored, and generates second identification information for identifying a file or a folder operated in the process. A log analysis module 17 compares the first identification information with the second identification information and determines that abnormality has occurred when both do not coincide with each other. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、ボット等のコンピュータウィルスによる異常を検知する異常検知装置に関する。また、本発明は、本異常検知装置としてコンピュータを機能させるためのプログラムにも関する。   The present invention relates to an abnormality detection apparatus that detects an abnormality caused by a computer virus such as a bot. The present invention also relates to a program for causing a computer to function as the abnormality detection device.

近年、ウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるウィルスによる被害が拡大している。ボットは、外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。   In recent years, damage caused by viruses called bots that cause a computer infected with a virus to perform malicious operations has been increasing. The bot is composed of malicious code having a function of establishing a communication session with an external command server and downloading a new code, a function of receiving a command for an attack, and a function of attacking according to the command.

しかし、パターンマッチング型のウィルス対策ソフトで検知できないボットが増えている。そこで、ボットを検知する手法として、ボットがPC内の複数のファイルに感染するときに自身のコードを読み込む(Read)行為や証拠隠滅のためにコードを消去する(Delete)行為に着目した検知手法が提案されている(例えば非特許文献1参照)。   However, an increasing number of bots cannot be detected by pattern-matching anti-virus software. Therefore, as a method to detect bots, a detection method focusing on the act of reading its own code (Read) when the bot infects multiple files on the PC and the act of deleting the code to destroy evidence (Delete) Has been proposed (see Non-Patent Document 1, for example).

酒井崇裕、長谷巧、竹森敬祐、西垣正勝、“自己ファイルREAD/DELETEの検出によるボット検知の可能性に関する一検討”、マルウェア対策研究人材育成ワークショップ2008(MWS2008)、セッションM6-2、2008年10月Takahiro Sakai, Takumi Hase, Keisuke Takemori, Masakatsu Nishigaki, “A Study on the Potential of Bot Detection by Detecting Self-File READ / DELETE”, Malware Countermeasure Research Human Resource Development Workshop 2008 (MWS2008), Session M6-2, 2008 October

上記の手法によりボットの検知は可能であるが、一部の正常な処理を誤って検知してしまう問題がある。   Although the bot can be detected by the above method, there is a problem that some normal processes are erroneously detected.

本発明は、上述した課題に鑑みてなされたものであって、ボット等のコンピュータウィルスによる異常検知の精度を向上することができる異常検知装置およびプログラムを提供することを目的とする。   The present invention has been made in view of the above-described problems, and an object of the present invention is to provide an abnormality detection device and a program that can improve the accuracy of abnormality detection by a computer virus such as a bot.

本発明は、上記の課題を解決するためになされたもので、コンピュータウィルスに感染していない正常な端末で生成された第1のプロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報を記憶する記憶手段と、監視対象の端末で生成された第2のプロセスの挙動を監視し、当該第2のプロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報を生成する情報生成手段と、前記第1の識別情報と前記第2の識別情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、を備えたことを特徴とする異常検知装置である。   The present invention has been made to solve the above-described problem, and a first identification for identifying a file or folder operated by a first process generated by a normal terminal not infected with a computer virus. The storage means for storing information and the behavior of the second process generated by the monitoring target terminal are monitored, and second identification information for identifying the file or folder operated by the second process is generated. An abnormality detection apparatus comprising: an information generation unit; and a determination unit that compares the first identification information with the second identification information and determines that an abnormality has occurred when the two do not match. It is.

また、本発明は、ンピュータウィルスに感染していない正常な端末で生成されたプロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報を記憶する記憶手段と、監視対象の端末で生成された親プロセスの挙動と、当該親プロセスによって起動される子プロセスの挙動とを監視し、前記親プロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報と、前記子プロセスが操作を行ったファイルまたはフォルダを識別する第3の識別情報とを生成する情報生成手段と、前記第1の識別情報と前記第2の識別情報を比較すると共に前記第1の識別情報と前記第3の識別情報を比較し、前記第1の識別情報と前記第2の識別情報が一致しない場合、前記第1の識別情報と前記第3の識別情報が一致しない場合、または前記第1の識別情報と前記第2の識別情報が一致せず前記第1の識別情報と前記第3の識別情報が一致しない場合に異常が発生したと判定する判定手段と、を備えたことを特徴とする異常検知装置である。   Further, the present invention provides a storage means for storing first identification information for identifying a file or folder operated by a process generated by a normal terminal not infected with a computer virus, and generated by a terminal to be monitored Second parent information that monitors the behavior of the parent process and the behavior of the child process started by the parent process, identifies the file or folder that the parent process has performed, and the child process operates. Generating means for generating third identification information for identifying the file or folder that has been subjected to the comparison, comparing the first identification information with the second identification information, and comparing the first identification information with the third identification information. If the first identification information and the second identification information do not match, the first identification information and the third identification information do not match, and Determining means for determining that an abnormality has occurred when the first identification information and the second identification information do not match and the first identification information and the third identification information do not match; Is an abnormality detection device characterized by

また、本発明は、コンピュータウィルスに感染していない正常な端末で生成された第1のプロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報を含み、前記第1のプロセスがファイルまたはフォルダに操作を行ったときの手順を示す第1の手順情報を記憶する記憶手段と、監視対象の端末で生成された第2のプロセスの挙動を監視し、当該第2のプロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報と時刻情報を含む情報を生成する第1の情報生成手段と、前記第1の情報生成手段が生成した情報に基づいて、前記第2の識別情報を含み、前記第2のプロセスがファイルまたはフォルダに操作を行ったときの手順を示す第2の手順情報を生成する第2の情報生成手段と、前記第1の手順情報と前記第2の手順情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、を備えたことを特徴とする異常検知装置である。   The present invention also includes first identification information for identifying a file or folder operated by a first process generated by a normal terminal not infected with a computer virus, wherein the first process is a file. Alternatively, the storage means for storing the first procedure information indicating the procedure when the operation is performed on the folder and the behavior of the second process generated by the monitoring target terminal are monitored, and the second process performs the operation. First identification information generating means for generating information including time identification information and second identification information for identifying a file or folder performed, and the second identification information based on the information generated by the first information generation means. Second information generating means for generating second procedure information including information and indicating a procedure when the second process has performed an operation on the file or folder; the first procedure information; Comparing the second procedure information, an abnormality detection apparatus characterized by comprising determination means that an abnormality when they do not match occurs, the.

また、本発明は、コンピュータウィルスに感染していない正常な端末で生成された第1の親プロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報と、前記第1の親プロセスによって起動される第1の子プロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報とを含み、前記第1の親プロセスと前記第1の子プロセスがファイルまたはフォルダに操作を行ったときの手順を示す第1の手順情報を記憶する記憶手段と、監視対象の端末で生成された第2の親プロセスの挙動と、当該第2の親プロセスによって起動される第2の子プロセスの挙動とを監視し、前記第2の親プロセスが操作を行ったファイルまたはフォルダを識別する第3の識別情報および時刻情報を含む情報と、前記第2の子プロセスが操作を行ったファイルまたはフォルダを識別する第4の識別情報および時刻情報を含む情報とを生成する第1の情報生成手段と、前記第1の情報生成手段が生成した情報に基づいて、前記第3の識別情報と前記第4の識別情報を含み、前記第2の親プロセスと前記第2の子プロセスがファイルまたはフォルダに操作を行ったときの手順を示す第2の手順情報を生成する第2の情報生成手段と、前記第1の手順情報と前記第2の手順情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、を備えたことを特徴とする異常検知装置である。   The present invention also provides first identification information for identifying a file or folder operated by a first parent process generated by a normal terminal not infected with a computer virus, and the first parent process. Including a second identification information for identifying a file or folder on which the first child process to be activated operates, and the first parent process and the first child process performed an operation on the file or folder Storage means for storing first procedure information indicating a procedure at the time, the behavior of the second parent process generated by the terminal to be monitored, and the second child process started by the second parent process Information that includes third identification information and time information for monitoring the behavior and identifying the file or folder that the second parent process has operated, and the second child process. Based on the information generated by the first information generating means and the first information generating means for generating the fourth identification information for identifying the file or folder that has performed and the information including the time information. A second procedure information including the identification information and the fourth identification information, and generating second procedure information indicating a procedure when the second parent process and the second child process operate on the file or folder. An abnormality detection comprising: an information generating means; and a determination means that compares the first procedure information and the second procedure information and determines that an abnormality has occurred when the information does not match. Device.

また、本発明の異常検知装置において、前記第2のプロセスは、ユーザが前記監視対象の端末を操作していないときに生成されたプロセスであることを特徴とする。   In the abnormality detection device of the present invention, the second process is a process generated when a user is not operating the terminal to be monitored.

また、本発明の異常検知装置において、前記親プロセスと前記子プロセスは、ユーザが前記監視対象の端末を操作していないときに生成されたプロセスであることを特徴とする。   In the abnormality detection apparatus of the present invention, the parent process and the child process are processes generated when a user is not operating the terminal to be monitored.

また、本発明の異常検知装置において、前記第2の親プロセスと前記第2の子プロセスは、ユーザが前記監視対象の端末を操作していないときに生成されたプロセスであることを特徴とする。   In the abnormality detection device of the present invention, the second parent process and the second child process are processes generated when a user does not operate the terminal to be monitored. .

また、本発明は、上記の異常検知装置としてコンピュータを機能させるためのプログラムである。   Moreover, this invention is a program for functioning a computer as said abnormality detection apparatus.

本発明によれば、コンピュータウィルスに感染していない正常な端末で生成されたプロセスによるファイルまたはフォルダの操作とは異なる操作が検知された場合に、異常が発生したと判定されるので、正常な処理を誤って検知する可能性を減らし、異常検知の精度を向上することができる。   According to the present invention, it is determined that an abnormality has occurred when an operation different from the operation of a file or folder by a process generated by a normal terminal not infected with a computer virus is detected. The possibility of erroneous detection of processing can be reduced and the accuracy of abnormality detection can be improved.

本発明の一実施形態による異常検知装置の構成を示すブロック図である。It is a block diagram which shows the structure of the abnormality detection apparatus by one Embodiment of this invention. 本発明の一実施形態におけるログに含まれる情報を示す参考図である。It is a reference figure which shows the information contained in the log in one Embodiment of this invention. 本発明の一実施形態におけるログに含まれる情報を示す参考図である。It is a reference figure which shows the information contained in the log in one Embodiment of this invention. 本発明の一実施形態における処理のイメージを示す参考図である。It is a reference diagram showing an image of processing in one embodiment of the present invention. 本発明の一実施形態における処理のイメージを示す参考図である。It is a reference diagram showing an image of processing in one embodiment of the present invention. 本発明の一実施形態におけるファイル操作の手順を示す参考図である。It is a reference figure which shows the procedure of the file operation in one Embodiment of this invention. 本発明の一実施形態におけるファイル操作の手順を示す参考図である。It is a reference figure which shows the procedure of the file operation in one Embodiment of this invention.

以下、図面を参照し、本発明の実施形態を説明する。図1は、本実施形態による異常検知装置の構成を示している。本異常検知装置は、ファイルまたはフォルダの状態を変更する操作と、その操作を実行するプロセスとを関連付けることによって、異常の可能性がある操作の詳細を簡易に抽出する。これを達成するために、システムコール処理をフックして、ファイル操作(ファイルの変更・削除)に関するログを生成し、そのログを解析する仕組みが設けられている。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of the abnormality detection apparatus according to the present embodiment. This abnormality detection apparatus easily extracts details of an operation that may be abnormal by associating an operation that changes the state of a file or folder with a process that executes the operation. In order to achieve this, there is provided a mechanism for hooking system call processing, generating a log relating to file operation (file change / deletion), and analyzing the log.

監視対象の端末で動作するOS11のカーネル部分には、ログ生成モジュール12が設けられている。このログ生成モジュール12は、各種のアプリケーションプロセスであるプロセス10a,10b,10cが記憶装置13a、入力装置13b、出力装置13cなどのハードウェア13に対してアクセスを行う際にOS11に発行したシステムコール処理をフックしてログを生成する。   A log generation module 12 is provided in the kernel portion of the OS 11 that operates on the terminal to be monitored. The log generation module 12 is a system call issued to the OS 11 when the processes 10a, 10b, and 10c as various application processes access the hardware 13 such as the storage device 13a, the input device 13b, and the output device 13c. Generate a log by hooking the process.

Linux(登録商標)には、カーネルにおいてセキュリティ機能を拡張するフレームワークであるLinux(登録商標) Security Module(LSM)が実装されている。LSMでは、ファイルやプロセスの操作が行われた際に、ユーザが定義したセキュリティ検証機構を呼び出して権限の検証やログの生成を行うための監視ポイントが設けられている。本ログ解析システムのシステムコール処理のフックは、LSMの監視ポイントにおけるセキュリティ検証機構として実装される。   Linux (registered trademark) is implemented with Linux (registered trademark) Security Module (LSM), which is a framework for extending security functions in the kernel. In LSM, when a file or process is operated, a monitoring point is provided to call a security verification mechanism defined by the user to verify authority and generate a log. The hook for system call processing of this log analysis system is implemented as a security verification mechanism at the monitoring point of LSM.

ログ生成モジュール12が生成したログはログ記憶部14に格納され、記憶される。操作検出モジュール15は、ユーザがマウスやキーボード等の入力装置13bを操作したことを検出し、操作時刻を含むログ(以下、操作ログと記載する)を生成する。操作検出モジュール15が生成した操作ログはログ記憶部14に格納され、記憶される。   The log generated by the log generation module 12 is stored and stored in the log storage unit 14. The operation detection module 15 detects that the user has operated the input device 13b such as a mouse or a keyboard, and generates a log including the operation time (hereinafter referred to as an operation log). The operation log generated by the operation detection module 15 is stored and stored in the log storage unit 14.

正常プロファイル記憶部16は、コンピュータウィルスに感染していないことが保証されている正常な端末で取得された、ファイルまたはフォルダに対する正常な操作の情報を含む正常プロファイルを記憶する。正常プロファイルは、正常な端末のプロセスの挙動を監視した結果に基づいて生成されたものである。プロセスの挙動を監視する手法は、ログ生成モジュール12がプロセスの挙動を監視する手法と同様である。ログ解析モジュール17は、ログ記憶部14に格納されたログを解析し、異常の有無を判定する。   The normal profile storage unit 16 stores a normal profile including information on a normal operation for a file or folder, acquired by a normal terminal that is guaranteed not to be infected with a computer virus. The normal profile is generated based on the result of monitoring the behavior of a normal terminal process. The method for monitoring the behavior of the process is the same as the method for the log generation module 12 monitoring the behavior of the process. The log analysis module 17 analyzes the log stored in the log storage unit 14 and determines whether there is an abnormality.

次に、ログ生成モジュール12が生成するログの詳細を説明する。LSMには、ファイル処理、プログラムの実行処理、通信処理など、およそ160の処理に関して、監視ポイントが設けられている。本実施形態において、ログ生成モジュール12は、ファイル操作に関する監視ポイントによりログを生成する。本実施形態では、ファイルの読み書きを監視する監視ポイントである「file_permission」と、ファイルの削除を監視する監視ポイントである「inode_delete」とがログを生成する。   Next, details of the log generated by the log generation module 12 will be described. The LSM has monitoring points for about 160 processes such as file processing, program execution processing, and communication processing. In the present embodiment, the log generation module 12 generates a log using monitoring points related to file operations. In the present embodiment, “file_permission”, which is a monitoring point for monitoring reading and writing of files, and “inode_delete”, which is a monitoring point for monitoring file deletion, generate logs.

図2および図3は、ログ生成モジュール12が生成するログに含まれる情報を示している。このログに含まれる情報はヘッダ情報と監視ポイント固有情報に大別される。ヘッダ情報は、各監視ポイントに対応するログに共通して記録される情報である。図2はヘッダ情報の内容を示している。具体的には、ログが記録された時刻200、監視ポイントの名称202、処理を行ったプロセスのID204(pid)、ユーザID206(uid)、グループID208(gid)、親プロセスのID210(parent)、親プロセスの名称212(parent cmd)、および処理を行ったプロセスの名称214(cmd)が記録される。   2 and 3 show information included in the log generated by the log generation module 12. Information contained in this log is roughly divided into header information and monitoring point specific information. The header information is information recorded in common in the log corresponding to each monitoring point. FIG. 2 shows the contents of the header information. Specifically, the time 200 when the log was recorded, the name 202 of the monitoring point, the ID 204 (pid) of the process that performed the processing, the user ID 206 (uid), the group ID 208 (gid), the ID 210 (parent) of the parent process, The name 212 (parent cmd) of the parent process and the name 214 (cmd) of the process that performed the processing are recorded.

監視ポイント固有情報は、フック処理に渡される引数の情報に応じて監視ポイント毎に記録される情報である。図3は、ファイルの読み書きを監視する「file_permission」によって記録される監視ポイント固有情報の内容を示している。情報300(inode_num)は、ファイルに割り当てられた固有の識別子である。情報302(fowner)は、ファイルの所有者を示す固有の識別子である。情報304(fgrp)は、ファイルの所属するグループを示す固有の識別子である。情報306(mode)は、ファイルに対する読み込み・書き込みを識別するである。情報306の値はOSに固有の値であるが、この値を読み取ることで、操作内容(読み込み/書き込み)を把握することが可能である。情報308(path)は、操作対象となるファイルの名称と、ファイルが存在するフォルダの名称とを含む情報である。図3に示した例の場合、「/home/example/」がフォルダの名称であり、「path.txt」がファイルの名称である。   The monitoring point specific information is information recorded for each monitoring point according to the argument information passed to the hook process. FIG. 3 shows the contents of the monitoring point specific information recorded by “file_permission” for monitoring the reading and writing of the file. Information 300 (inode_num) is a unique identifier assigned to the file. Information 302 (fowner) is a unique identifier indicating the owner of the file. Information 304 (fgrp) is a unique identifier indicating the group to which the file belongs. Information 306 (mode) identifies reading / writing of a file. The value of the information 306 is a value specific to the OS. By reading this value, it is possible to grasp the operation content (read / write). Information 308 (path) is information including the name of the file to be operated and the name of the folder in which the file exists. In the example shown in FIG. 3, “/ home / example /” is the name of the folder, and “path.txt” is the name of the file.

以下では、独立して識別可能なファイル操作に関する1つのヘッダ情報と1つの監視ポイント固有情報からなる情報を単位ログとする。ログ記憶部14に格納されているログは単位ログの集合体である。   Hereinafter, information including one header information regarding file operations that can be independently identified and one piece of monitoring point specific information is referred to as a unit log. The log stored in the log storage unit 14 is a collection of unit logs.

次に、ログ解析モジュール17によるログの解析方法を説明する。以下では、ファイルに対する操作を異常検知の対象として説明を行うが、フォルダに対する操作を異常検知の対象とする場合も同様である。   Next, a log analysis method by the log analysis module 17 will be described. In the following description, an operation on a file is described as an abnormality detection target, but the same applies to an operation on a folder as an abnormality detection target.

ユーザがマウスやキーボード等を操作することによるファイルの操作を誤って検知する可能性がある。そこで、本実施形態では、ユーザがマウスやキーボード等を操作していない期間のファイルの操作を異常検知の対象とする。ただし、この期間のファイル操作を異常検知の対象とすることは必須ではなく、この期間以外のファイル操作も異常検知の対象としてもよい。   There is a possibility that a file operation caused by a user operating a mouse or a keyboard is erroneously detected. Therefore, in this embodiment, the operation of the file during the period when the user does not operate the mouse, the keyboard, or the like is set as an abnormality detection target. However, it is not essential that the file operation during this period be an abnormality detection target, and file operations other than this period may be the object of abnormality detection.

ログ解析モジュール17は、ログ生成モジュール12が生成したログをログ記憶部14から読み出すと共に、操作検出モジュール15が生成した操作ログをログ記憶部14から読み出す。操作ログには、ユーザがマウスやキーボード等を操作した時刻が記録されており、ログ解析モジュール17は、ユーザが操作を行った時刻を基準とする所定期間を操作期間であると認識する。ログ解析モジュール17は、ログ生成モジュール12が生成したログのうち、時刻(図2の時刻200)が操作期間に含まれないログを抽出する。このようにして抽出されたログが以降の処理で使用される。以下では、上記のようにして抽出されたログを処理対象のログとする。   The log analysis module 17 reads the log generated by the log generation module 12 from the log storage unit 14 and reads the operation log generated by the operation detection module 15 from the log storage unit 14. The operation log records the time when the user operated the mouse, the keyboard, etc., and the log analysis module 17 recognizes the predetermined period based on the time when the user performed the operation as the operation period. The log analysis module 17 extracts a log whose time (time 200 in FIG. 2) is not included in the operation period from the logs generated by the log generation module 12. The log extracted in this way is used in the subsequent processing. Hereinafter, the log extracted as described above is set as a processing target log.

上記以降の処理として、以下では4つの処理例を説明する。   As processing after the above, four processing examples will be described below.

(第1の処理例)
まず、第1の処理例を説明する。第1の処理例では、プロセスが本来アクセスするファイル以外のファイルにプロセスがアクセスした場合に、コンピュータウィルス(特にボット)による異常が発生したと判定する。図4は、第1の処理例による処理のイメージを示している。 (First processing example)
First, a first processing example will be described. In the first processing example, when a process accesses a file other than the file that the process originally accesses, it is determined that an abnormality due to a computer virus (particularly a bot) has occurred. FIG. 4 shows an image of processing according to the first processing example.

正常プロファイル記憶部16に格納されている正常プロファイルには、正常な端末のプロセスがアクセスしたファイルを識別する情報(本実施形態ではファイル名称)が記録されている。監視対象の端末で動作しているプロセス400,410,420,430のうち、プロセス400,410,420は、正常な端末のプロセスがアクセスしたファイルと同一のファイルにアクセスしているため、異常ではない(コンピュータウィルスの可能性が低い)と判定される。しかし、プロセス430は、正常な端末のプロセスがアクセスしたファイルとは異なるファイルにアクセスしているため、異常である(コンピュータウィルスの可能性が高い)と判定される。なお、判定は個々のファイル毎に行ってもよいし、DLLファイル、定義ファイル、実行ファイル等のファイル種別毎に行ってもよい。   In the normal profile stored in the normal profile storage unit 16, information (file name in this embodiment) for identifying a file accessed by a normal terminal process is recorded. Of the processes 400, 410, 420, and 430 operating on the monitored terminal, the processes 400, 410, and 420 access the same file as the file accessed by the normal terminal process. It is determined that there is no computer virus (the possibility of a computer virus is low). However, since the process 430 accesses a file different from the file accessed by the normal terminal process, the process 430 is determined to be abnormal (high possibility of a computer virus). Note that the determination may be performed for each individual file, or for each file type such as a DLL file, a definition file, and an execution file.

第1の処理例では、ログ解析モジュール17は以下のように動作する。まず、ログ解析モジュール17は正常プロファイル記憶部16から正常プロファイルを読み出す。続いて、ログ解析モジュール17は、処理対象のログに含まれる単位ログに記録されているファイル名称(図3の情報308)と、正常プロファイルに含まれるファイル名称とを比較する。   In the first processing example, the log analysis module 17 operates as follows. First, the log analysis module 17 reads a normal profile from the normal profile storage unit 16. Subsequently, the log analysis module 17 compares the file name (information 308 in FIG. 3) recorded in the unit log included in the processing target log with the file name included in the normal profile.

正常プロファイルには複数のファイル名称が記録されている。単位ログに記録されているファイル名称が、正常プロファイルに記録されているいずれかのファイル名称と一致した場合、ログ解析モジュール17は、異常が発生していないと判定する。また、単位ログに記録されているファイル名称が、正常プロファイルに記録されているいずれのファイル名称とも一致しなかった場合、ログ解析モジュール17は、異常が発生したと判定する。処理対象のログに複数の単位ログが存在する場合には、ログ解析モジュール17は上記の処理を繰り返す。   A plurality of file names are recorded in the normal profile. When the file name recorded in the unit log matches one of the file names recorded in the normal profile, the log analysis module 17 determines that no abnormality has occurred. If the file name recorded in the unit log does not match any file name recorded in the normal profile, the log analysis module 17 determines that an abnormality has occurred. When a plurality of unit logs exist in the processing target log, the log analysis module 17 repeats the above processing.

上記の処理によって、正常な処理を誤って検知する可能性を減らし、異常を検知することができる。なお、単位ログに記録されているファイル名称とプロセス名称の組合せが、正常プロファイルに記録されているいずれのファイル名称とプロセス名称の組合せとも一致しなかった場合に異常が発生したと判定するようにしてもよい。   With the above processing, the possibility of erroneously detecting normal processing is reduced, and abnormality can be detected. Note that if the combination of the file name and process name recorded in the unit log does not match any combination of the file name and process name recorded in the normal profile, it is determined that an abnormality has occurred. May be.

(第2の処理例)
次に、第2の処理例を説明する。ボットに感染した端末では、親プロセスが子プロセスを起動して、親プロセスと子プロセスが所望の処理を共同で行う場合がある。第2の処理例では、親子のプロセスによる異常の有無を判定する。図5は、第2の処理例による処理のイメージを示している。 (Second processing example)
Next, a second processing example will be described. In a terminal infected with a bot, a parent process may activate a child process, and the parent process and the child process may jointly perform desired processing. In the second processing example, it is determined whether there is an abnormality due to the parent-child process. FIG. 5 shows an image of processing according to the second processing example.

第1の処理例と同様に、正常プロファイル記憶部16に格納されている正常プロファイルには、正常な端末のプロセスがアクセスしたファイルを識別する情報(ファイル名称)が記録されている。また、監視対象の端末では、親プロセス500と、親プロセス500によって起動された子プロセス510,520とが動作している。   Similar to the first processing example, the normal profile stored in the normal profile storage unit 16 records information (file name) identifying a file accessed by a normal terminal process. In the monitoring target terminal, a parent process 500 and child processes 510 and 520 started by the parent process 500 are operating.

親プロセス500と子プロセス520は、正常な端末のプロセスがアクセスしたファイルと同一のファイルにアクセスしているため、異常ではないと判定されるが、子プロセス510は、正常なプロセスがアクセスしたファイルとは異なるファイルにアクセスしているため、異常であると判定される。この結果、親プロセス500、子プロセス510,520を含むグループが異常であると判定される。   Since the parent process 500 and the child process 520 are accessing the same file as the file accessed by the process of the normal terminal, it is determined that there is no abnormality, but the child process 510 is the file accessed by the normal process. Since a file different from that is accessed, it is determined to be abnormal. As a result, it is determined that the group including the parent process 500 and the child processes 510 and 520 is abnormal.

第2の処理例では、ログ解析モジュール17は以下のように動作する。単位ログには、ファイル操作を行ったプロセスのID(図2のID204)や名称(図2の名称214)のほか、そのプロセスを起動した親プロセスのID(図2のID210)や名称(図2の名称212)が記録されている。ログ解析モジュール17は、これらの情報に基づいて、任意の2つの単位ログに記録されたプロセスの親子関係を把握する。   In the second processing example, the log analysis module 17 operates as follows. In the unit log, in addition to the ID (ID 204 in FIG. 2) and name (name 214 in FIG. 2) of the process that performed the file operation, the ID (ID 210 in FIG. 2) and name (ID 2 name 212) is recorded. The log analysis module 17 grasps the parent-child relationship of processes recorded in any two unit logs based on these pieces of information.

具体的には、ログ解析モジュール17は、一方の単位ログに含まれるプロセスのIDまたは名称が、他方の単位ログに含まれる親プロセスのIDまたは名称と一致する場合に、両者の単位ログを関連付ける。ただし、プロセスIDは、一時点においては、その時点で動作中の各プロセスに固有な情報であるものの、異なる時点において各プロセスに固有な情報であることを保証するものではないため、上記の処理にはプロセス名称を使用することがより望ましい。   Specifically, the log analysis module 17 associates both unit logs when the ID or name of the process included in one unit log matches the ID or name of the parent process included in the other unit log. . However, although the process ID is information unique to each process that is currently operating at a point in time, it does not guarantee that the process ID is unique to each process at a different point in time. It is more desirable to use the process name for.

ログ解析モジュール17は、上記のようにして関連付けた2つの単位ログの親子関係を示す情報(以下、親子関係情報と記載する)を生成する。例えば、親プロセスのIDまたは名称と子プロセスのIDまたは名称とを関連付けた親子関係情報を生成する。続いて、ログ解析モジュール17は正常プロファイル記憶部16から正常プロファイルを読み出し、処理対象のログに含まれる単位ログに記録されているファイル名称と、正常プロファイルに含まれるファイル名称とを比較する。   The log analysis module 17 generates information (hereinafter referred to as parent-child relationship information) indicating the parent-child relationship between the two unit logs associated as described above. For example, parent-child relationship information that associates the ID or name of the parent process with the ID or name of the child process is generated. Subsequently, the log analysis module 17 reads the normal profile from the normal profile storage unit 16 and compares the file name recorded in the unit log included in the processing target log with the file name included in the normal profile.

正常プロファイルには複数のファイル名称が記録されている。単位ログに記録されているファイル名称が、正常プロファイルに記録されているいずれかのファイル名称と一致した場合、ログ解析モジュール17は、異常が発生していないと判定する。また、単位ログに記録されているファイル名称が、正常プロファイルに記録されているいずれのファイル名称とも一致しなかった場合、ログ解析モジュール17は、異常が発生したと判定する。処理対象のログに複数の単位ログが存在する場合には、ログ解析モジュール17は上記の処理を繰り返す。   A plurality of file names are recorded in the normal profile. When the file name recorded in the unit log matches one of the file names recorded in the normal profile, the log analysis module 17 determines that no abnormality has occurred. If the file name recorded in the unit log does not match any file name recorded in the normal profile, the log analysis module 17 determines that an abnormality has occurred. When a plurality of unit logs exist in the processing target log, the log analysis module 17 repeats the above processing.

ログ解析モジュール17は、異常が発生したと判定したときに用いた単位ログから、ファイル操作を行ったプロセスのIDまたは名称を抽出し、そのIDまたは名称を含む親子関係情報に基づいて、親子のプロセスを含むグループが異常であると判定する。ログ解析モジュール17は、異常であると判定したグループに関連する単位ログの情報を関連付けてログ記憶部14に格納する。上記の処理では、親プロセスが正常かつ子プロセスが異常と判定される場合、親プロセスが異常かつ子プロセスが正常と判定される場合、親プロセスが異常かつ子プロセスが異常と判定される場合があるが、いずれの場合も、親子のプロセスを含むグループが異常であると判定される。   The log analysis module 17 extracts the ID or name of the process that performed the file operation from the unit log that was used when it was determined that an abnormality occurred, and based on the parent-child relationship information that includes the ID or name, It is determined that the group including the process is abnormal. The log analysis module 17 associates and stores the unit log information related to the group determined to be abnormal in the log storage unit 14. In the above processing, when the parent process is determined to be normal and the child process is determined to be abnormal, the parent process is determined to be abnormal and the child process is determined to be normal, the parent process is determined to be abnormal and the child process is determined to be abnormal. In either case, it is determined that the group including the parent-child process is abnormal.

上記の処理によって、正常な処理を誤って検知する可能性を減らし、異常を検知することができる。特に、ボットによって親子のプロセスが共同して所望の処理を行う場合に、異常と判定したグループに関連するログの情報から、親子のプロセスの挙動を知ることができる。なお、単位ログの処理において、単位ログに記録されているファイル名称とプロセス名称の組合せが、正常プロファイルに記録されているいずれのファイル名称とプロセス名称の組合せとも一致しなかった場合に異常が発生したと判定するようにしてもよい。   With the above processing, the possibility of erroneously detecting normal processing is reduced, and abnormality can be detected. In particular, when a parent and child process performs a desired process jointly using a bot, it is possible to know the behavior of the parent and child process from the log information related to the group determined to be abnormal. In unit log processing, an error occurs when the combination of the file name and process name recorded in the unit log does not match any combination of file name and process name recorded in the normal profile. You may make it determine with having carried out.

(第3の処理例)
次に、第3の処理例を説明する。第3の処理例では、プロセスが本来ファイルにアクセスするときの手順と異なる手順でファイルにアクセスした場合に、コンピュータウィルス(特にボット)による異常が発生したと判定する。図6は、プロセスが本来ファイルにアクセスするときの手順の例を示している。 (Third processing example)
Next, a third processing example will be described. In the third processing example, it is determined that an abnormality due to a computer virus (particularly a bot) has occurred when a process accesses a file in a procedure different from the procedure for accessing the file. FIG. 6 shows an example of a procedure when a process originally accesses a file.

図6では、プロセス600がファイル610,620,630,640にアクセスする様子が示されている。矢印は、プロセス600による各ファイルへのアクセスを示しており、矢印の近傍に記載された文字はアクセスの種類と順番を示している。アクセスの種類には、「r」(読み込み)、「w」(書き込み)、「d」(削除)がある。また、順番は数字で表され、数字が小さいほど順番が早い。例えば、「r1」はファイルの読み込みであることと、順番が1番目であることとを示している。   FIG. 6 shows how the process 600 accesses the files 610, 620, 630, and 640. Arrows indicate access to each file by the process 600, and characters written in the vicinity of the arrows indicate the type and order of access. Access types include “r” (read), “w” (write), and “d” (delete). Also, the order is represented by numbers, and the smaller the number, the faster the order. For example, “r1” indicates that the file is read and that the order is first.

図6に示したプロセス600は以下のステップ1〜ステップ4の手順で各ファイルにアクセスする。
ステップ1:ファイル610を読み込む。
ステップ2:ファイル620に書き込みを行う。
ステップ3:ファイル630に書き込みを行う。
ステップ4:ファイル640を削除する。 The process 600 shown in FIG. 6 accesses each file in the following steps 1 to 4.
Step 1: The file 610 is read.
Step 2: Write to file 620.
Step 3: Write to the file 630.
Step 4: Delete the file 640.

正常プロファイル記憶部16に格納されている正常プロファイルには、正常な端末のプロセスがファイルにアクセスしたときの手順を示す情報が記録されている。監視対象の端末で検知されたファイル操作の手順が、正常プロファイルに記録されている手順と同一である場合、監視対象の端末で検知されたファイル操作を行ったプロセスは異常ではないと判定される。また、監視対象の端末で検知されたファイル操作の手順が、正常プロファイルに記録されている手順と同一ではない場合、監視対象の端末で検知されたファイル操作を行ったプロセスは異常であると判定される。   The normal profile stored in the normal profile storage unit 16 stores information indicating a procedure when a normal terminal process accesses a file. If the file operation procedure detected on the monitored terminal is the same as the procedure recorded in the normal profile, the process that performed the file operation detected on the monitored terminal is determined to be normal. . Also, if the file operation procedure detected on the monitored terminal is not the same as the procedure recorded in the normal profile, the process that performed the file operation detected on the monitored terminal is determined to be abnormal. Is done.

第3の処理例では、ログ解析モジュール17は以下のように動作する。まず、ログ解析モジュール17は、処理対象のログに基づいて、監視対象の端末で検知されたファイル操作の手順を示す情報を生成する。具体的には、ログ解析モジュール17は、同一のプロセスのID(図2のID204)や名称(図2の名称214)が記録されている単位ログを抽出し、時刻(図2の時刻200)の順に単位ログを並べる。この結果、単位ログはファイル操作の順番に並ぶことになり、各単位ログの情報が、一連の手順を構成する各ステップの情報となる。   In the third processing example, the log analysis module 17 operates as follows. First, the log analysis module 17 generates information indicating a file operation procedure detected by the monitoring target terminal based on the processing target log. Specifically, the log analysis module 17 extracts a unit log in which the ID (ID 204 in FIG. 2) and the name (name 214 in FIG. 2) of the same process are recorded, and the time (time 200 in FIG. 2). Arrange unit logs in the order of. As a result, the unit logs are arranged in the order of file operations, and the information of each unit log becomes information of each step constituting a series of procedures.

続いて、ログ解析モジュール17は正常プロファイル記憶部16から正常プロファイルを読み出し、監視対象の端末で検知されたファイル操作の手順を示す情報と、正常プロファイルに含まれる情報とを比較する。正常プロファイルには、1または複数のステップからなる手順の情報が記録されている。ログ解析モジュール17は、ステップ毎に情報を比較する。まず、ログ解析モジュール17は、監視対象の端末で検知されたファイル操作の最初のステップの情報と、正常プロファイルに記録されているファイル操作の最初のステップの情報とを比較する。   Subsequently, the log analysis module 17 reads the normal profile from the normal profile storage unit 16 and compares the information indicating the file operation procedure detected by the monitoring target terminal with the information included in the normal profile. In the normal profile, information on a procedure including one or a plurality of steps is recorded. The log analysis module 17 compares information for each step. First, the log analysis module 17 compares the information on the first step of the file operation detected by the monitoring target terminal with the information on the first step of the file operation recorded in the normal profile.

各ステップの情報には、少なくとも、ファイル操作を行ったプロセスの名称、ファイルの名称、ファイル操作の種別(読み込み/書き込み/削除)が含まれる。これらの情報が全て一致した場合、次のステップの情報が比較される。また、これらの情報の1つでも一致しなかった場合、監視対象の端末で検知されたファイル操作の手順が、正常プロファイルに記録されている手順と同一ではないため、ログ解析モジュール17は、異常が発生したと判定する。各ステップに関して、上記の処理が行われる。全てのステップに関して、監視対象の端末で検知されたファイル操作の情報と、正常プロファイルに記録されているファイル操作の情報とが一致した場合、ログ解析モジュール17は、異常が発生していないと判定する。正常プロファイルには、複数のファイル操作について、各ファイル操作の手順を示す情報が記録されており、ログ解析モジュール17は各ファイル操作について上記の処理を繰り返す。   The information of each step includes at least the name of the process that performed the file operation, the name of the file, and the type of file operation (read / write / delete). If all of these pieces of information match, the information in the next step is compared. In addition, if even one of these pieces of information does not match, the log analysis module 17 indicates that the procedure of the file operation detected by the monitored terminal is not the same as the procedure recorded in the normal profile. Is determined to have occurred. The above processing is performed for each step. For all steps, if the file operation information detected at the monitored terminal matches the file operation information recorded in the normal profile, the log analysis module 17 determines that no abnormality has occurred. To do. In the normal profile, information indicating the procedure of each file operation is recorded for a plurality of file operations, and the log analysis module 17 repeats the above processing for each file operation.

上記の処理によって、正常な処理を誤って検知する可能性を減らし、異常を検知することができる。   With the above processing, the possibility of erroneously detecting normal processing is reduced, and abnormality can be detected.

(第4の処理例)
次に、第4の処理例を説明する。第4の処理例では、親子のプロセスによる異常の有無を判定する。図7は、プロセスが本来ファイルにアクセスするときの手順の例を示している。 (Fourth processing example)
Next, a fourth processing example will be described. In the fourth processing example, it is determined whether there is an abnormality due to the parent-child process. FIG. 7 shows an example of a procedure when a process originally accesses a file.

図7では、親プロセス700と子プロセス710がファイル720,730,740にアクセスする様子が示されている。矢印の意味と、矢印の近傍に記載された文字の意味は図6と同様である。図7に示した親プロセス700と子プロセス710は以下のステップ1〜ステップ5の手順で各ファイルにアクセスする。
ステップ1:親プロセス700がファイル720を読み込む。
ステップ2:親プロセス700がファイル730に書き込みを行う。
ステップ3:親プロセス700がファイル740に書き込みを行う。
ステップ4:子プロセス710がファイル730を読み込む。
ステップ5:子プロセス710がファイル720を削除する。 FIG. 7 shows how the parent process 700 and the child process 710 access the files 720, 730, and 740. The meaning of the arrow and the meaning of the characters written in the vicinity of the arrow are the same as in FIG. The parent process 700 and the child process 710 shown in FIG. 7 access each file in the following steps 1 to 5.
Step 1: The parent process 700 reads the file 720.
Step 2: The parent process 700 writes to the file 730.
Step 3: The parent process 700 writes to the file 740.
Step 4: The child process 710 reads the file 730.
Step 5: The child process 710 deletes the file 720.

正常プロファイル記憶部16に格納されている正常プロファイルには、正常な端末のプロセスがファイルにアクセスしたときの、親プロセスと子プロセスによる一連の手順を示す情報が記録されている。監視対象の端末で検知された、親プロセスと子プロセスによる一連のファイル操作の手順が、正常プロファイルに記録されている手順と同一である場合、監視対象の端末で検知されたファイル操作を行ったプロセスは異常ではないと判定される。また、監視対象の端末で検知されたファイル操作の手順が、正常プロファイルに記録されている手順と同一ではない場合、監視対象の端末で検知されたファイル操作を行ったプロセスは異常であると判定される。   In the normal profile stored in the normal profile storage unit 16, information indicating a series of procedures by the parent process and the child process when the process of the normal terminal accesses the file is recorded. If the sequence of file operations detected by the parent and child processes detected on the monitored terminal is the same as the procedure recorded in the normal profile, the detected file operation was performed on the monitored terminal It is determined that the process is not abnormal. Also, if the file operation procedure detected on the monitored terminal is not the same as the procedure recorded in the normal profile, the process that performed the file operation detected on the monitored terminal is determined to be abnormal. Is done.

第4の処理例では、ログ解析モジュール17は以下のように動作する。まず、ログ解析モジュール17は、第2の処理例と同様の処理により、親子のプロセスの関係を把握し、親プロセスのIDまたは名称と子プロセスのIDまたは名称とを関連付けた親子関係情報を生成する。   In the fourth processing example, the log analysis module 17 operates as follows. First, the log analysis module 17 grasps the relationship between the parent and child processes by the same processing as in the second processing example, and generates parent-child relationship information in which the parent process ID or name is associated with the child process ID or name. To do.

続いて、ログ解析モジュール17は、処理対象のログに基づいて、監視対象の端末で検知されたファイル操作の手順を示す情報を生成する。具体的には、ログ解析モジュール17は、同一のプロセスのID(図2のID204)や名称(図2の名称214)が記録されている単位ログを抽出する。また、ログ解析モジュール17は、親子関係情報に基づいて、このプロセスの親プロセスまたは子プロセスのIDまたは名称と同一のIDまたは名称を含む単位ログも抽出する。これによって、親子関係にあるプロセスの単位ログが抽出される。   Subsequently, the log analysis module 17 generates information indicating the procedure of the file operation detected by the monitoring target terminal based on the processing target log. Specifically, the log analysis module 17 extracts a unit log in which the ID (ID 204 in FIG. 2) and the name (name 214 in FIG. 2) of the same process are recorded. The log analysis module 17 also extracts a unit log including the same ID or name as the ID or name of the parent process or child process of this process based on the parent-child relationship information. Thereby, a unit log of a process having a parent-child relationship is extracted.

続いて、ログ解析モジュール17は、抽出した単位ログを時刻(図2の時刻200)の順に並べる。この結果、単位ログはファイル操作の順番に並ぶことになり、各単位ログの情報が、一連の手順を構成する各ステップの情報となる。   Subsequently, the log analysis module 17 arranges the extracted unit logs in order of time (time 200 in FIG. 2). As a result, the unit logs are arranged in the order of file operations, and the information of each unit log becomes information of each step constituting a series of procedures.

続いて、ログ解析モジュール17は正常プロファイル記憶部16から正常プロファイルを読み出し、監視対象の端末で検知されたファイル操作の手順を示す情報と、正常プロファイルに含まれる情報とを比較する。正常プロファイルには、1または複数のステップからなる手順の情報が記録されている。ログ解析モジュール17は、ステップ毎に情報を比較する。まず、ログ解析モジュール17は、監視対象の端末で検知されたファイル操作の最初のステップの情報と、正常プロファイルに記録されているファイル操作の最初のステップの情報とを比較する。   Subsequently, the log analysis module 17 reads the normal profile from the normal profile storage unit 16 and compares the information indicating the file operation procedure detected by the monitoring target terminal with the information included in the normal profile. In the normal profile, information on a procedure including one or a plurality of steps is recorded. The log analysis module 17 compares information for each step. First, the log analysis module 17 compares the information on the first step of the file operation detected by the monitoring target terminal with the information on the first step of the file operation recorded in the normal profile.

各ステップの情報には、少なくとも、ファイル操作を行ったプロセスの名称、ファイルの名称、ファイル操作の種別(読み込み/書き込み/削除)が含まれる。これらの情報が全て一致した場合、次のステップの情報が比較される。また、これらの情報の1つでも一致しなかった場合、監視対象の端末で検知されたファイル操作の手順が、正常プロファイルに記録されている手順と同一ではないため、ログ解析モジュール17は、異常が発生したと判定する。各ステップに関して、上記の処理が行われる。全てのステップに関して、監視対象の端末で検知されたファイル操作の情報と、正常プロファイルに記録されているファイル操作の情報とが一致した場合、ログ解析モジュール17は、異常が発生していないと判定する。正常プロファイルには、複数のファイル操作について、各ファイル操作の手順を示す情報が記録されており、ログ解析モジュール17は各ファイル操作について上記の処理を繰り返す。   The information of each step includes at least the name of the process that performed the file operation, the name of the file, and the type of file operation (read / write / delete). If all of these pieces of information match, the information in the next step is compared. In addition, if even one of these pieces of information does not match, the log analysis module 17 indicates that the procedure of the file operation detected by the monitored terminal is not the same as the procedure recorded in the normal profile. Is determined to have occurred. The above processing is performed for each step. For all steps, if the file operation information detected at the monitored terminal matches the file operation information recorded in the normal profile, the log analysis module 17 determines that no abnormality has occurred. To do. In the normal profile, information indicating the procedure of each file operation is recorded for a plurality of file operations, and the log analysis module 17 repeats the above processing for each file operation.

上記の処理によって、正常な処理を誤って検知する可能性を減らし、異常を検知することができる。   With the above processing, the possibility of erroneously detecting normal processing is reduced, and abnormality can be detected.

上述した第1〜第4の処理例において、処理結果を表示装置に表示してもよい。例えば、第1の処理例においては、異常と判定されたプロセスが操作を行ったファイルの情報を表示してもよい。第2の処理例においては、異常と判定されたプロセスが操作を行ったファイルの情報や、異常と判定されたプロセスを含む親子のプロセスグループの情報を表示してもよい。第3の処理例においては、異常と判定された手順を表示してもよい。第4の処理例においては、異常と判定された手順や、その手順による操作を行った親子のプロセスグループの情報を表示してもよい。   In the first to fourth processing examples described above, the processing result may be displayed on the display device. For example, in the first processing example, information on a file operated by a process determined to be abnormal may be displayed. In the second processing example, information on a file operated by a process determined to be abnormal or information on a parent-child process group including a process determined to be abnormal may be displayed. In the third processing example, a procedure determined to be abnormal may be displayed. In the fourth processing example, the procedure determined to be abnormal and the information of the process group of the parent and child who performed the operation according to the procedure may be displayed.

また、ホスト型侵入検知システムや不正プロセス検知システムで得られる情報を利用してもよい。ホスト型侵入検知システムは、監視対象の端末のファイルやディレクトリの正常な状態を保存して、定期的に整合性のチェックを行うことで、システムファイルの改ざんを検知するシステムである。不正プロセス検知システムは、マルウェアに感染した端末が、ユーザのキーボードやマウスの操作と関係なく、意図しないパケットを自動的もしくは外部からの制御によって送信する特徴に注目して、正常な端末の無操作状態の通信の特徴をプロファイル化して、これに該当しない通信を異常と判定して、不正プロセスを検知するシステムである。   Information obtained by a host-type intrusion detection system or an unauthorized process detection system may be used. The host-type intrusion detection system is a system that detects falsification of a system file by storing a normal state of a file or directory of a monitored terminal and periodically checking consistency. The unauthorized process detection system focuses on the feature that a terminal infected with malware sends an unintended packet automatically or by external control regardless of the user's keyboard or mouse operation. It is a system that detects the unauthorized process by profiling the characteristics of the communication in the state, determining that the communication not corresponding to this is abnormal.

ホスト型侵入検知システムでは、改ざんを検知したファイルの名称が得られる。第1〜第4の処理例において、異常が発生したと判定された場合に、ログ解析モジュール17は、その異常に関するファイルの名称と、ホスト型侵入検知システムが取得したファイルの名称とを比較する。両者が一致する場合、コンピュータウィルスによる異常が発生している可能性がより高いことを知ることができる。   In the host-type intrusion detection system, the name of the file that has detected tampering can be obtained. In the first to fourth processing examples, when it is determined that an abnormality has occurred, the log analysis module 17 compares the name of the file relating to the abnormality with the name of the file acquired by the host-type intrusion detection system. . If the two match, it is possible to know that there is a higher possibility that an abnormality due to a computer virus has occurred.

不正プロセス検知システムでは、不正なプロセスの名称が得られる。第1〜第4の処理例において、異常が発生したと判定された場合に、ログ解析モジュール17は、その異常に関するプロセスの名称と、不正プロセス検知システムが取得したプロセスの名称とを比較する。両者が一致する場合、コンピュータウィルスによる異常が発生している可能性がより高いことを知ることができる。   In the unauthorized process detection system, the name of the unauthorized process is obtained. In the first to fourth processing examples, when it is determined that an abnormality has occurred, the log analysis module 17 compares the name of the process related to the abnormality and the name of the process acquired by the unauthorized process detection system. If the two match, it is possible to know that there is a higher possibility that an abnormality due to a computer virus has occurred.

また、第3〜第4の処理例では、閾値θを設けて、監視対象の端末で検知されたファイル操作の手順を構成するステップと、正常プロファイルに記録されているファイル操作の手順を構成するステップとがθ個以上異なる場合に異常が発生したと判定するようにしてもよい。   In the third to fourth processing examples, the threshold θ is provided to configure the file operation procedure detected by the monitoring target terminal and the file operation procedure recorded in the normal profile. It may be determined that an abnormality has occurred when the number of steps differs by θ or more.

また、以下のようにして、ボットによる異常を検知してもよい。ボットは、そのプロセスが自分自身のファイル(実行ファイル)を複製(自己複製)するという特徴を有する。特に、自己複製の際には、OSに関連するファイルが格納されるシステムフォルダにファイルが複製されるという特徴がある。   Moreover, you may detect the abnormality by a bot as follows. A bot has the feature that its process duplicates (self-replicates) its own file (executable file). In particular, when self-replicating, there is a feature that the file is replicated to a system folder in which files related to the OS are stored.

ボットの自己複製では、ファイル操作(複製)を行ったプロセスの元となったボットのファイル(およびそのファイルが格納されたフォルダ)と、そのプロセスがファイル操作(複製)を行ったファイル(およびそのファイルが格納されたフォルダ)とが同一となる。そこで、ファイル操作を行った正規なプロセスの元となったファイル、またはそのファイルが格納されたフォルダ(以下、操作元プロセスのファイルまたはフォルダとする)と、そのプロセスがファイル操作を行ったファイル、またはそのファイルが格納されたフォルダ(以下、操作対象のファイルまたはフォルダとする)との相対関係(より具体的には相対パス)を正規プロファイルとする。   In bot self-replication, the bot file (and the folder in which the file was stored) that was the source of the process that performed the file operation (replication), and the file (and its file) that the process performed the file operation (replication) The folder in which the file is stored). Therefore, the file that is the source of the legitimate process that performed the file operation, or the folder in which the file was stored (hereinafter referred to as the file or folder of the operation source process), the file that the process performed the file operation, Alternatively, a relative profile (more specifically, a relative path) with a folder in which the file is stored (hereinafter, referred to as an operation target file or folder) is set as a regular profile.

監視対象の端末で検出された操作元プロセスのファイルまたはフォルダを基準とする操作対象のファイルまたはフォルダの相対パスが正規プロファイル中の相対パスと異なる場合(実際には、監視対象の端末で検出された操作元プロセスのファイルまたはフォルダが操作対象のファイルまたはフォルダと同一である場合)、異常が発生したと判定される。相対パスは、操作元プロセスのファイルまたはフォルダの絶対パスと操作対象のファイルまたはフォルダの絶対パスとを演算して求めればよい。   If the relative path of the operation target file or folder detected on the monitored terminal is different from the relative path in the regular profile (actually detected on the monitored terminal) If the operation source process file or folder is the same as the operation target file or folder), it is determined that an error has occurred. The relative path may be obtained by calculating the absolute path of the file or folder of the operation source process and the absolute path of the operation target file or folder.

さらに、ボットの自己複製ではシステムフォルダにファイルが複製されることから、監視対象の端末で上記により検出された相対パスと正規プロファイルの相対パスとが一致せず、かつ、操作対象のフォルダがシステムフォルダであった場合に異常が発生したと判定してもよい。   In addition, since the bot self-replicating files are copied to the system folder, the relative path detected by the above on the monitored terminal does not match the relative path of the regular profile, and the operation target folder is the system folder. If it is a folder, it may be determined that an abnormality has occurred.

上述したように、本実施形態によれば、コンピュータウィルスに感染していない正常な端末で生成されたプロセスによるファイルまたはフォルダの操作とは異なる操作が検知された場合に、異常が発生したと判定されるので、正常な処理を誤って検知する可能性を減らし、異常検知の精度を向上することができる。   As described above, according to the present embodiment, it is determined that an abnormality has occurred when an operation different from a file or folder operation by a process generated by a normal terminal not infected with a computer virus is detected. Therefore, the possibility of erroneously detecting normal processing can be reduced and the accuracy of abnormality detection can be improved.

以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上記の異常検知装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。   As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. . For example, a program for realizing the operation and function of the abnormality detection device may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read by the computer and executed.

ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。   Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.

また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。   The program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above-described program may be for realizing a part of the above-described function. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.

11・・・OS、12・・・ログ生成モジュール(情報生成手段、第1の情報生成手段)、13・・・ハードウェア、13a・・・記憶装置、13b・・・入力装置、13c・・・出力装置、14・・・ログ記憶部、15・・・操作検出モジュール、16・・・正常プロファイル記憶部(記憶手段)、17・・・ログ解析モジュール(第2の情報生成手段、判定手段)   DESCRIPTION OF SYMBOLS 11 ... OS, 12 ... Log generation module (information generation means, 1st information generation means), 13 ... Hardware, 13a ... Storage device, 13b ... Input device, 13c ... Output device, 14 ... log storage unit, 15 ... operation detection module, 16 ... normal profile storage unit (storage unit), 17 ... log analysis module (second information generation unit, determination unit) )

Claims (8)

コンピュータウィルスに感染していない正常な端末で生成された第1のプロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報を記憶する記憶手段と、
監視対象の端末で生成された第2のプロセスの挙動を監視し、当該第2のプロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報を生成する情報生成手段と、
前記第1の識別情報と前記第2の識別情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、
を備えたことを特徴とする異常検知装置。 Storage means for storing first identification information for identifying a file or folder operated by a first process generated by a normal terminal not infected with a computer virus;
Information generating means for monitoring the behavior of the second process generated by the terminal to be monitored and generating second identification information for identifying the file or folder operated by the second process;
A determination unit that compares the first identification information with the second identification information and determines that an abnormality has occurred when the two do not match;
An abnormality detection device characterized by comprising: コンピュータウィルスに感染していない正常な端末で生成されたプロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報を記憶する記憶手段と、
監視対象の端末で生成された親プロセスの挙動と、当該親プロセスによって起動される子プロセスの挙動とを監視し、前記親プロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報と、前記子プロセスが操作を行ったファイルまたはフォルダを識別する第3の識別情報とを生成する情報生成手段と、
前記第1の識別情報と前記第2の識別情報を比較すると共に前記第1の識別情報と前記第3の識別情報を比較し、前記第1の識別情報と前記第2の識別情報が一致しない場合、前記第1の識別情報と前記第3の識別情報が一致しない場合、または前記第1の識別情報と前記第2の識別情報が一致せず前記第1の識別情報と前記第3の識別情報が一致しない場合に異常が発生したと判定する判定手段と、
を備えたことを特徴とする異常検知装置。 Storage means for storing first identification information for identifying a file or folder operated by a process generated by a normal terminal not infected with a computer virus;
Second identification information for monitoring a behavior of a parent process generated by a monitoring target terminal and a behavior of a child process started by the parent process, and identifying a file or folder operated by the parent process; Information generating means for generating third identification information for identifying a file or folder operated by the child process;
The first identification information and the second identification information are compared, the first identification information and the third identification information are compared, and the first identification information and the second identification information do not match. If the first identification information and the third identification information do not match, or if the first identification information and the second identification information do not match, the first identification information and the third identification Determining means for determining that an abnormality has occurred when the information does not match;
An abnormality detection device characterized by comprising: コンピュータウィルスに感染していない正常な端末で生成された第1のプロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報を含み、前記第1のプロセスがファイルまたはフォルダに操作を行ったときの手順を示す第1の手順情報を記憶する記憶手段と、
監視対象の端末で生成された第2のプロセスの挙動を監視し、当該第2のプロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報と時刻情報を含む情報を生成する第1の情報生成手段と、
前記第1の情報生成手段が生成した情報に基づいて、前記第2の識別情報を含み、前記第2のプロセスがファイルまたはフォルダに操作を行ったときの手順を示す第2の手順情報を生成する第2の情報生成手段と、
前記第1の手順情報と前記第2の手順情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、
を備えたことを特徴とする異常検知装置。 A first process generated by a normal terminal not infected with a computer virus includes first identification information for identifying a file or folder operated by the first process, and the first process operates on the file or folder. Storage means for storing first procedure information indicating a procedure at the time of
The first process for monitoring the behavior of the second process generated by the terminal to be monitored and generating the information including the second identification information for identifying the file or folder operated by the second process and the time information. Information generation means,
Based on the information generated by the first information generating means, second procedure information including the second identification information and indicating a procedure when the second process has performed an operation on a file or folder is generated. Second information generating means for
A determination unit that compares the first procedure information with the second procedure information and determines that an abnormality has occurred when the two do not match;
An abnormality detection device characterized by comprising: コンピュータウィルスに感染していない正常な端末で生成された第1の親プロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報と、前記第1の親プロセスによって起動される第1の子プロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報とを含み、前記第1の親プロセスと前記第1の子プロセスがファイルまたはフォルダに操作を行ったときの手順を示す第1の手順情報を記憶する記憶手段と、
監視対象の端末で生成された第2の親プロセスの挙動と、当該第2の親プロセスによって起動される第2の子プロセスの挙動とを監視し、前記第2の親プロセスが操作を行ったファイルまたはフォルダを識別する第3の識別情報および時刻情報を含む情報と、前記第2の子プロセスが操作を行ったファイルまたはフォルダを識別する第4の識別情報および時刻情報を含む情報とを生成する第1の情報生成手段と、
前記第1の情報生成手段が生成した情報に基づいて、前記第3の識別情報と前記第4の識別情報を含み、前記第2の親プロセスと前記第2の子プロセスがファイルまたはフォルダに操作を行ったときの手順を示す第2の手順情報を生成する第2の情報生成手段と、
前記第1の手順情報と前記第2の手順情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、
を備えたことを特徴とする異常検知装置。 First identification information for identifying a file or folder operated by a first parent process generated by a normal terminal that is not infected with a computer virus, and a first process started by the first parent process Second identification information for identifying a file or folder in which a child process has operated, and a procedure when the first parent process and the first child process have performed an operation on the file or folder. Storage means for storing one procedure information;
The behavior of the second parent process generated by the monitoring target terminal and the behavior of the second child process started by the second parent process are monitored, and the second parent process performs an operation. Information including third identification information for identifying a file or folder and time information, and information including fourth identification information for identifying a file or folder operated by the second child process and time information are generated. First information generating means for
Based on the information generated by the first information generating means, the second parent process and the second child process operate on the file or folder including the third identification information and the fourth identification information. Second information generating means for generating second procedure information indicating a procedure when
A determination unit that compares the first procedure information with the second procedure information and determines that an abnormality has occurred when the two do not match;
An abnormality detection device characterized by comprising: 前記第2のプロセスは、ユーザが前記監視対象の端末を操作していないときに生成されたプロセスであることを特徴とする請求項1または請求項3に記載の異常検知装置。   The abnormality detection apparatus according to claim 1, wherein the second process is a process generated when a user is not operating the terminal to be monitored. 前記親プロセスと前記子プロセスは、ユーザが前記監視対象の端末を操作していないときに生成されたプロセスであることを特徴とする請求項2に記載の異常検知装置。   The abnormality detection apparatus according to claim 2, wherein the parent process and the child process are processes generated when a user does not operate the terminal to be monitored. 前記第2の親プロセスと前記第2の子プロセスは、ユーザが前記監視対象の端末を操作していないときに生成されたプロセスであることを特徴とする請求項4に記載の異常検知装置。   The abnormality detection apparatus according to claim 4, wherein the second parent process and the second child process are processes generated when a user does not operate the monitoring target terminal. 請求項1〜請求項7のいずれかに記載の異常検知装置としてコンピュータを機能させるためのプログラム。   The program for functioning a computer as an abnormality detection apparatus in any one of Claims 1-7.
JP2009023849A 2009-02-04 2009-02-04 Abnormality detector and program Pending JP2010182019A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009023849A JP2010182019A (en) 2009-02-04 2009-02-04 Abnormality detector and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009023849A JP2010182019A (en) 2009-02-04 2009-02-04 Abnormality detector and program

Publications (1)

Publication Number Publication Date
JP2010182019A true JP2010182019A (en) 2010-08-19

Family

ID=42763575

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009023849A Pending JP2010182019A (en) 2009-02-04 2009-02-04 Abnormality detector and program

Country Status (1)

Country Link
JP (1) JP2010182019A (en)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013508823A (en) * 2009-10-15 2013-03-07 マカフィー・インコーポレーテッド Malware detection and response to malware using link files
JP2015522874A (en) * 2012-06-08 2015-08-06 クラウドストライク インコーポレイテッド Kernel-level security agent
JP2015225512A (en) * 2014-05-28 2015-12-14 株式会社日立製作所 Malware feature extraction device, malware feature extraction system, malware feature method, and countermeasure instruction device
US9858626B2 (en) 2012-06-29 2018-01-02 Crowdstrike, Inc. Social sharing of security information in a group
JP2018200642A (en) * 2017-05-29 2018-12-20 富士通株式会社 Threat detection program, threat detection method, and information processing apparatus
US10289405B2 (en) 2014-03-20 2019-05-14 Crowdstrike, Inc. Integrity assurance and rebootless updating during runtime
US10339316B2 (en) 2015-07-28 2019-07-02 Crowdstrike, Inc. Integrity assurance through early loading in the boot phase
US10387228B2 (en) 2017-02-21 2019-08-20 Crowdstrike, Inc. Symmetric bridge component for communications between kernel mode and user mode
US10740459B2 (en) 2017-12-28 2020-08-11 Crowdstrike, Inc. Kernel- and user-level cooperative security processing
KR102254283B1 (en) * 2020-11-12 2021-05-21 주식회사 시큐브 Multi-process clustering based ransomware attack detecting apparatus, and method thereof, and recording medium for recording program for executing the method
KR20220135649A (en) * 2021-03-31 2022-10-07 계명대학교 산학협력단 Method of detecting and restoration for ransomeware, and computing device for performing the method
US11615183B2 (en) 2019-12-05 2023-03-28 Panasonic Intellectual Property Management Co., Ltd. Information processing device, control method, and recording medium for detecting an anomaly in behavior of an application operating on a device in a mobility
US11770395B2 (en) 2020-11-05 2023-09-26 Kabushiki Kaisha Toshiba Information processing apparatus, computer program product, and information processing system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09171460A (en) * 1995-12-20 1997-06-30 Hitachi Ltd Diagnostic system for computer
JP2008052637A (en) * 2006-08-28 2008-03-06 Kddi Corp Abnormality detector, abnormality detection program, and recording medium

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09171460A (en) * 1995-12-20 1997-06-30 Hitachi Ltd Diagnostic system for computer
JP2008052637A (en) * 2006-08-28 2008-03-06 Kddi Corp Abnormality detector, abnormality detection program, and recording medium

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6013013859; Brand, M.: 'Forensic Analysis Avoidance Techniques of Malware' In Proceedings of the 5th Australian Digital Forensics Conference , 200712, [online] *

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8863282B2 (en) 2009-10-15 2014-10-14 Mcafee Inc. Detecting and responding to malware using link files
JP2013508823A (en) * 2009-10-15 2013-03-07 マカフィー・インコーポレーテッド Malware detection and response to malware using link files
US10853491B2 (en) 2012-06-08 2020-12-01 Crowdstrike, Inc. Security agent
JP2015522874A (en) * 2012-06-08 2015-08-06 クラウドストライク インコーポレイテッド Kernel-level security agent
JP2017216018A (en) * 2012-06-08 2017-12-07 クラウドストライク インコーポレイテッド Kernel-level security agent
US9904784B2 (en) 2012-06-08 2018-02-27 Crowdstrike, Inc. Kernel-level security agent
US10002250B2 (en) 2012-06-08 2018-06-19 Crowdstrike, Inc. Security agent
US9858626B2 (en) 2012-06-29 2018-01-02 Crowdstrike, Inc. Social sharing of security information in a group
US11340890B2 (en) 2014-03-20 2022-05-24 Crowdstrike, Inc. Integrity assurance and rebootless updating during runtime
US10289405B2 (en) 2014-03-20 2019-05-14 Crowdstrike, Inc. Integrity assurance and rebootless updating during runtime
JP2015225512A (en) * 2014-05-28 2015-12-14 株式会社日立製作所 Malware feature extraction device, malware feature extraction system, malware feature method, and countermeasure instruction device
US10339316B2 (en) 2015-07-28 2019-07-02 Crowdstrike, Inc. Integrity assurance through early loading in the boot phase
US10387228B2 (en) 2017-02-21 2019-08-20 Crowdstrike, Inc. Symmetric bridge component for communications between kernel mode and user mode
JP2018200642A (en) * 2017-05-29 2018-12-20 富士通株式会社 Threat detection program, threat detection method, and information processing apparatus
US10740459B2 (en) 2017-12-28 2020-08-11 Crowdstrike, Inc. Kernel- and user-level cooperative security processing
US11615183B2 (en) 2019-12-05 2023-03-28 Panasonic Intellectual Property Management Co., Ltd. Information processing device, control method, and recording medium for detecting an anomaly in behavior of an application operating on a device in a mobility
US11770395B2 (en) 2020-11-05 2023-09-26 Kabushiki Kaisha Toshiba Information processing apparatus, computer program product, and information processing system
KR102254283B1 (en) * 2020-11-12 2021-05-21 주식회사 시큐브 Multi-process clustering based ransomware attack detecting apparatus, and method thereof, and recording medium for recording program for executing the method
WO2022102854A1 (en) * 2020-11-12 2022-05-19 주식회사 시큐브 Multiprocess clustering-based ransomware attack detection device and method, and recording medium for recording program for implementing method
JP2023506101A (en) * 2020-11-12 2023-02-15 シキューブ カンパニー,リミテッド Ransomware attack detection device and method based on multi-process clustering, and recording medium recording program for realizing the method
JP7315180B2 (en) 2020-11-12 2023-07-26 シキューブ カンパニー,リミテッド Ransomware attack detection device and method based on multi-process clustering, and recording medium recording program for realizing the method
KR20220135649A (en) * 2021-03-31 2022-10-07 계명대학교 산학협력단 Method of detecting and restoration for ransomeware, and computing device for performing the method
KR102494454B1 (en) * 2021-03-31 2023-02-06 계명대학교 산학협력단 Method of detecting and restoration for ransomeware, and computing device for performing the method

Similar Documents

Publication Publication Date Title
JP2010182019A (en) Abnormality detector and program
Scaife et al. Cryptolock (and drop it): stopping ransomware attacks on user data
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
US8434151B1 (en) Detecting malicious software
US7779472B1 (en) Application behavior based malware detection
JP5326062B1 (en) Non-executable file inspection apparatus and method
US8713686B2 (en) System and method for reducing antivirus false positives
US7934261B1 (en) On-demand cleanup system
JP5265061B1 (en) Malicious file inspection apparatus and method
US8453244B2 (en) Server, user device and malware detection method thereof
US20050262567A1 (en) Systems and methods for computer security
JP5144488B2 (en) Information processing system and program
JP4995170B2 (en) Fraud detection method, fraud detection device, fraud detection program, and information processing system
WO2014103115A1 (en) Illicit intrusion sensing device, illicit intrusion sensing method, illicit intrusion sensing program, and recording medium
US20100235916A1 (en) Apparatus and method for computer virus detection and remediation and self-repair of damaged files and/or objects
JP2011525662A (en) System and method for establishing and monitoring software evaluation
CN111183620B (en) Intrusion investigation
CN111800405A (en) Detection method, detection device and storage medium
JP2023534502A (en) Advanced ransomware detection
JP5326063B1 (en) Malicious shellcode detection apparatus and method using debug events
US9202053B1 (en) MBR infection detection using emulation
US9860261B2 (en) System for analyzing and maintaining data security in backup data and method thereof
Kardile Crypto ransomware analysis and detection using process monitor
US20060015939A1 (en) Method and system to protect a file system from viral infections
Mahmoud et al. APTHunter: Detecting advanced persistent threats in early stages

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110826

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110831

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110826

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130306

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130326

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130716