JP2010182019A - Abnormality detector and program - Google Patents
Abnormality detector and program Download PDFInfo
- Publication number
- JP2010182019A JP2010182019A JP2009023849A JP2009023849A JP2010182019A JP 2010182019 A JP2010182019 A JP 2010182019A JP 2009023849 A JP2009023849 A JP 2009023849A JP 2009023849 A JP2009023849 A JP 2009023849A JP 2010182019 A JP2010182019 A JP 2010182019A
- Authority
- JP
- Japan
- Prior art keywords
- file
- information
- identification information
- folder
- procedure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ボット等のコンピュータウィルスによる異常を検知する異常検知装置に関する。また、本発明は、本異常検知装置としてコンピュータを機能させるためのプログラムにも関する。 The present invention relates to an abnormality detection apparatus that detects an abnormality caused by a computer virus such as a bot. The present invention also relates to a program for causing a computer to function as the abnormality detection device.
近年、ウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるウィルスによる被害が拡大している。ボットは、外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。 In recent years, damage caused by viruses called bots that cause a computer infected with a virus to perform malicious operations has been increasing. The bot is composed of malicious code having a function of establishing a communication session with an external command server and downloading a new code, a function of receiving a command for an attack, and a function of attacking according to the command.
しかし、パターンマッチング型のウィルス対策ソフトで検知できないボットが増えている。そこで、ボットを検知する手法として、ボットがPC内の複数のファイルに感染するときに自身のコードを読み込む(Read)行為や証拠隠滅のためにコードを消去する(Delete)行為に着目した検知手法が提案されている(例えば非特許文献1参照)。 However, an increasing number of bots cannot be detected by pattern-matching anti-virus software. Therefore, as a method to detect bots, a detection method focusing on the act of reading its own code (Read) when the bot infects multiple files on the PC and the act of deleting the code to destroy evidence (Delete) Has been proposed (see Non-Patent Document 1, for example).
上記の手法によりボットの検知は可能であるが、一部の正常な処理を誤って検知してしまう問題がある。 Although the bot can be detected by the above method, there is a problem that some normal processes are erroneously detected.
本発明は、上述した課題に鑑みてなされたものであって、ボット等のコンピュータウィルスによる異常検知の精度を向上することができる異常検知装置およびプログラムを提供することを目的とする。 The present invention has been made in view of the above-described problems, and an object of the present invention is to provide an abnormality detection device and a program that can improve the accuracy of abnormality detection by a computer virus such as a bot.
本発明は、上記の課題を解決するためになされたもので、コンピュータウィルスに感染していない正常な端末で生成された第1のプロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報を記憶する記憶手段と、監視対象の端末で生成された第2のプロセスの挙動を監視し、当該第2のプロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報を生成する情報生成手段と、前記第1の識別情報と前記第2の識別情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、を備えたことを特徴とする異常検知装置である。 The present invention has been made to solve the above-described problem, and a first identification for identifying a file or folder operated by a first process generated by a normal terminal not infected with a computer virus. The storage means for storing information and the behavior of the second process generated by the monitoring target terminal are monitored, and second identification information for identifying the file or folder operated by the second process is generated. An abnormality detection apparatus comprising: an information generation unit; and a determination unit that compares the first identification information with the second identification information and determines that an abnormality has occurred when the two do not match. It is.
また、本発明は、ンピュータウィルスに感染していない正常な端末で生成されたプロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報を記憶する記憶手段と、監視対象の端末で生成された親プロセスの挙動と、当該親プロセスによって起動される子プロセスの挙動とを監視し、前記親プロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報と、前記子プロセスが操作を行ったファイルまたはフォルダを識別する第3の識別情報とを生成する情報生成手段と、前記第1の識別情報と前記第2の識別情報を比較すると共に前記第1の識別情報と前記第3の識別情報を比較し、前記第1の識別情報と前記第2の識別情報が一致しない場合、前記第1の識別情報と前記第3の識別情報が一致しない場合、または前記第1の識別情報と前記第2の識別情報が一致せず前記第1の識別情報と前記第3の識別情報が一致しない場合に異常が発生したと判定する判定手段と、を備えたことを特徴とする異常検知装置である。 Further, the present invention provides a storage means for storing first identification information for identifying a file or folder operated by a process generated by a normal terminal not infected with a computer virus, and generated by a terminal to be monitored Second parent information that monitors the behavior of the parent process and the behavior of the child process started by the parent process, identifies the file or folder that the parent process has performed, and the child process operates. Generating means for generating third identification information for identifying the file or folder that has been subjected to the comparison, comparing the first identification information with the second identification information, and comparing the first identification information with the third identification information. If the first identification information and the second identification information do not match, the first identification information and the third identification information do not match, and Determining means for determining that an abnormality has occurred when the first identification information and the second identification information do not match and the first identification information and the third identification information do not match; Is an abnormality detection device characterized by
また、本発明は、コンピュータウィルスに感染していない正常な端末で生成された第1のプロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報を含み、前記第1のプロセスがファイルまたはフォルダに操作を行ったときの手順を示す第1の手順情報を記憶する記憶手段と、監視対象の端末で生成された第2のプロセスの挙動を監視し、当該第2のプロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報と時刻情報を含む情報を生成する第1の情報生成手段と、前記第1の情報生成手段が生成した情報に基づいて、前記第2の識別情報を含み、前記第2のプロセスがファイルまたはフォルダに操作を行ったときの手順を示す第2の手順情報を生成する第2の情報生成手段と、前記第1の手順情報と前記第2の手順情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、を備えたことを特徴とする異常検知装置である。 The present invention also includes first identification information for identifying a file or folder operated by a first process generated by a normal terminal not infected with a computer virus, wherein the first process is a file. Alternatively, the storage means for storing the first procedure information indicating the procedure when the operation is performed on the folder and the behavior of the second process generated by the monitoring target terminal are monitored, and the second process performs the operation. First identification information generating means for generating information including time identification information and second identification information for identifying a file or folder performed, and the second identification information based on the information generated by the first information generation means. Second information generating means for generating second procedure information including information and indicating a procedure when the second process has performed an operation on the file or folder; the first procedure information; Comparing the second procedure information, an abnormality detection apparatus characterized by comprising determination means that an abnormality when they do not match occurs, the.
また、本発明は、コンピュータウィルスに感染していない正常な端末で生成された第1の親プロセスが操作を行ったファイルまたはフォルダを識別する第1の識別情報と、前記第1の親プロセスによって起動される第1の子プロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報とを含み、前記第1の親プロセスと前記第1の子プロセスがファイルまたはフォルダに操作を行ったときの手順を示す第1の手順情報を記憶する記憶手段と、監視対象の端末で生成された第2の親プロセスの挙動と、当該第2の親プロセスによって起動される第2の子プロセスの挙動とを監視し、前記第2の親プロセスが操作を行ったファイルまたはフォルダを識別する第3の識別情報および時刻情報を含む情報と、前記第2の子プロセスが操作を行ったファイルまたはフォルダを識別する第4の識別情報および時刻情報を含む情報とを生成する第1の情報生成手段と、前記第1の情報生成手段が生成した情報に基づいて、前記第3の識別情報と前記第4の識別情報を含み、前記第2の親プロセスと前記第2の子プロセスがファイルまたはフォルダに操作を行ったときの手順を示す第2の手順情報を生成する第2の情報生成手段と、前記第1の手順情報と前記第2の手順情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、を備えたことを特徴とする異常検知装置である。 The present invention also provides first identification information for identifying a file or folder operated by a first parent process generated by a normal terminal not infected with a computer virus, and the first parent process. Including a second identification information for identifying a file or folder on which the first child process to be activated operates, and the first parent process and the first child process performed an operation on the file or folder Storage means for storing first procedure information indicating a procedure at the time, the behavior of the second parent process generated by the terminal to be monitored, and the second child process started by the second parent process Information that includes third identification information and time information for monitoring the behavior and identifying the file or folder that the second parent process has operated, and the second child process. Based on the information generated by the first information generating means and the first information generating means for generating the fourth identification information for identifying the file or folder that has performed and the information including the time information. A second procedure information including the identification information and the fourth identification information, and generating second procedure information indicating a procedure when the second parent process and the second child process operate on the file or folder. An abnormality detection comprising: an information generating means; and a determination means that compares the first procedure information and the second procedure information and determines that an abnormality has occurred when the information does not match. Device.
また、本発明の異常検知装置において、前記第2のプロセスは、ユーザが前記監視対象の端末を操作していないときに生成されたプロセスであることを特徴とする。 In the abnormality detection device of the present invention, the second process is a process generated when a user is not operating the terminal to be monitored.
また、本発明の異常検知装置において、前記親プロセスと前記子プロセスは、ユーザが前記監視対象の端末を操作していないときに生成されたプロセスであることを特徴とする。 In the abnormality detection apparatus of the present invention, the parent process and the child process are processes generated when a user is not operating the terminal to be monitored.
また、本発明の異常検知装置において、前記第2の親プロセスと前記第2の子プロセスは、ユーザが前記監視対象の端末を操作していないときに生成されたプロセスであることを特徴とする。 In the abnormality detection device of the present invention, the second parent process and the second child process are processes generated when a user does not operate the terminal to be monitored. .
また、本発明は、上記の異常検知装置としてコンピュータを機能させるためのプログラムである。 Moreover, this invention is a program for functioning a computer as said abnormality detection apparatus.
本発明によれば、コンピュータウィルスに感染していない正常な端末で生成されたプロセスによるファイルまたはフォルダの操作とは異なる操作が検知された場合に、異常が発生したと判定されるので、正常な処理を誤って検知する可能性を減らし、異常検知の精度を向上することができる。 According to the present invention, it is determined that an abnormality has occurred when an operation different from the operation of a file or folder by a process generated by a normal terminal not infected with a computer virus is detected. The possibility of erroneous detection of processing can be reduced and the accuracy of abnormality detection can be improved.
以下、図面を参照し、本発明の実施形態を説明する。図1は、本実施形態による異常検知装置の構成を示している。本異常検知装置は、ファイルまたはフォルダの状態を変更する操作と、その操作を実行するプロセスとを関連付けることによって、異常の可能性がある操作の詳細を簡易に抽出する。これを達成するために、システムコール処理をフックして、ファイル操作(ファイルの変更・削除)に関するログを生成し、そのログを解析する仕組みが設けられている。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of the abnormality detection apparatus according to the present embodiment. This abnormality detection apparatus easily extracts details of an operation that may be abnormal by associating an operation that changes the state of a file or folder with a process that executes the operation. In order to achieve this, there is provided a mechanism for hooking system call processing, generating a log relating to file operation (file change / deletion), and analyzing the log.
監視対象の端末で動作するOS11のカーネル部分には、ログ生成モジュール12が設けられている。このログ生成モジュール12は、各種のアプリケーションプロセスであるプロセス10a,10b,10cが記憶装置13a、入力装置13b、出力装置13cなどのハードウェア13に対してアクセスを行う際にOS11に発行したシステムコール処理をフックしてログを生成する。
A
Linux(登録商標)には、カーネルにおいてセキュリティ機能を拡張するフレームワークであるLinux(登録商標) Security Module(LSM)が実装されている。LSMでは、ファイルやプロセスの操作が行われた際に、ユーザが定義したセキュリティ検証機構を呼び出して権限の検証やログの生成を行うための監視ポイントが設けられている。本ログ解析システムのシステムコール処理のフックは、LSMの監視ポイントにおけるセキュリティ検証機構として実装される。 Linux (registered trademark) is implemented with Linux (registered trademark) Security Module (LSM), which is a framework for extending security functions in the kernel. In LSM, when a file or process is operated, a monitoring point is provided to call a security verification mechanism defined by the user to verify authority and generate a log. The hook for system call processing of this log analysis system is implemented as a security verification mechanism at the monitoring point of LSM.
ログ生成モジュール12が生成したログはログ記憶部14に格納され、記憶される。操作検出モジュール15は、ユーザがマウスやキーボード等の入力装置13bを操作したことを検出し、操作時刻を含むログ(以下、操作ログと記載する)を生成する。操作検出モジュール15が生成した操作ログはログ記憶部14に格納され、記憶される。
The log generated by the
正常プロファイル記憶部16は、コンピュータウィルスに感染していないことが保証されている正常な端末で取得された、ファイルまたはフォルダに対する正常な操作の情報を含む正常プロファイルを記憶する。正常プロファイルは、正常な端末のプロセスの挙動を監視した結果に基づいて生成されたものである。プロセスの挙動を監視する手法は、ログ生成モジュール12がプロセスの挙動を監視する手法と同様である。ログ解析モジュール17は、ログ記憶部14に格納されたログを解析し、異常の有無を判定する。
The normal
次に、ログ生成モジュール12が生成するログの詳細を説明する。LSMには、ファイル処理、プログラムの実行処理、通信処理など、およそ160の処理に関して、監視ポイントが設けられている。本実施形態において、ログ生成モジュール12は、ファイル操作に関する監視ポイントによりログを生成する。本実施形態では、ファイルの読み書きを監視する監視ポイントである「file_permission」と、ファイルの削除を監視する監視ポイントである「inode_delete」とがログを生成する。
Next, details of the log generated by the
図2および図3は、ログ生成モジュール12が生成するログに含まれる情報を示している。このログに含まれる情報はヘッダ情報と監視ポイント固有情報に大別される。ヘッダ情報は、各監視ポイントに対応するログに共通して記録される情報である。図2はヘッダ情報の内容を示している。具体的には、ログが記録された時刻200、監視ポイントの名称202、処理を行ったプロセスのID204(pid)、ユーザID206(uid)、グループID208(gid)、親プロセスのID210(parent)、親プロセスの名称212(parent cmd)、および処理を行ったプロセスの名称214(cmd)が記録される。
2 and 3 show information included in the log generated by the
監視ポイント固有情報は、フック処理に渡される引数の情報に応じて監視ポイント毎に記録される情報である。図3は、ファイルの読み書きを監視する「file_permission」によって記録される監視ポイント固有情報の内容を示している。情報300(inode_num)は、ファイルに割り当てられた固有の識別子である。情報302(fowner)は、ファイルの所有者を示す固有の識別子である。情報304(fgrp)は、ファイルの所属するグループを示す固有の識別子である。情報306(mode)は、ファイルに対する読み込み・書き込みを識別するである。情報306の値はOSに固有の値であるが、この値を読み取ることで、操作内容(読み込み/書き込み)を把握することが可能である。情報308(path)は、操作対象となるファイルの名称と、ファイルが存在するフォルダの名称とを含む情報である。図3に示した例の場合、「/home/example/」がフォルダの名称であり、「path.txt」がファイルの名称である。
The monitoring point specific information is information recorded for each monitoring point according to the argument information passed to the hook process. FIG. 3 shows the contents of the monitoring point specific information recorded by “file_permission” for monitoring the reading and writing of the file. Information 300 (inode_num) is a unique identifier assigned to the file. Information 302 (fowner) is a unique identifier indicating the owner of the file. Information 304 (fgrp) is a unique identifier indicating the group to which the file belongs. Information 306 (mode) identifies reading / writing of a file. The value of the
以下では、独立して識別可能なファイル操作に関する1つのヘッダ情報と1つの監視ポイント固有情報からなる情報を単位ログとする。ログ記憶部14に格納されているログは単位ログの集合体である。
Hereinafter, information including one header information regarding file operations that can be independently identified and one piece of monitoring point specific information is referred to as a unit log. The log stored in the
次に、ログ解析モジュール17によるログの解析方法を説明する。以下では、ファイルに対する操作を異常検知の対象として説明を行うが、フォルダに対する操作を異常検知の対象とする場合も同様である。
Next, a log analysis method by the
ユーザがマウスやキーボード等を操作することによるファイルの操作を誤って検知する可能性がある。そこで、本実施形態では、ユーザがマウスやキーボード等を操作していない期間のファイルの操作を異常検知の対象とする。ただし、この期間のファイル操作を異常検知の対象とすることは必須ではなく、この期間以外のファイル操作も異常検知の対象としてもよい。 There is a possibility that a file operation caused by a user operating a mouse or a keyboard is erroneously detected. Therefore, in this embodiment, the operation of the file during the period when the user does not operate the mouse, the keyboard, or the like is set as an abnormality detection target. However, it is not essential that the file operation during this period be an abnormality detection target, and file operations other than this period may be the object of abnormality detection.
ログ解析モジュール17は、ログ生成モジュール12が生成したログをログ記憶部14から読み出すと共に、操作検出モジュール15が生成した操作ログをログ記憶部14から読み出す。操作ログには、ユーザがマウスやキーボード等を操作した時刻が記録されており、ログ解析モジュール17は、ユーザが操作を行った時刻を基準とする所定期間を操作期間であると認識する。ログ解析モジュール17は、ログ生成モジュール12が生成したログのうち、時刻(図2の時刻200)が操作期間に含まれないログを抽出する。このようにして抽出されたログが以降の処理で使用される。以下では、上記のようにして抽出されたログを処理対象のログとする。
The
上記以降の処理として、以下では4つの処理例を説明する。 As processing after the above, four processing examples will be described below.
(第1の処理例)
まず、第1の処理例を説明する。第1の処理例では、プロセスが本来アクセスするファイル以外のファイルにプロセスがアクセスした場合に、コンピュータウィルス(特にボット)による異常が発生したと判定する。図4は、第1の処理例による処理のイメージを示している。
(First processing example)
First, a first processing example will be described. In the first processing example, when a process accesses a file other than the file that the process originally accesses, it is determined that an abnormality due to a computer virus (particularly a bot) has occurred. FIG. 4 shows an image of processing according to the first processing example.
正常プロファイル記憶部16に格納されている正常プロファイルには、正常な端末のプロセスがアクセスしたファイルを識別する情報(本実施形態ではファイル名称)が記録されている。監視対象の端末で動作しているプロセス400,410,420,430のうち、プロセス400,410,420は、正常な端末のプロセスがアクセスしたファイルと同一のファイルにアクセスしているため、異常ではない(コンピュータウィルスの可能性が低い)と判定される。しかし、プロセス430は、正常な端末のプロセスがアクセスしたファイルとは異なるファイルにアクセスしているため、異常である(コンピュータウィルスの可能性が高い)と判定される。なお、判定は個々のファイル毎に行ってもよいし、DLLファイル、定義ファイル、実行ファイル等のファイル種別毎に行ってもよい。
In the normal profile stored in the normal
第1の処理例では、ログ解析モジュール17は以下のように動作する。まず、ログ解析モジュール17は正常プロファイル記憶部16から正常プロファイルを読み出す。続いて、ログ解析モジュール17は、処理対象のログに含まれる単位ログに記録されているファイル名称(図3の情報308)と、正常プロファイルに含まれるファイル名称とを比較する。
In the first processing example, the
正常プロファイルには複数のファイル名称が記録されている。単位ログに記録されているファイル名称が、正常プロファイルに記録されているいずれかのファイル名称と一致した場合、ログ解析モジュール17は、異常が発生していないと判定する。また、単位ログに記録されているファイル名称が、正常プロファイルに記録されているいずれのファイル名称とも一致しなかった場合、ログ解析モジュール17は、異常が発生したと判定する。処理対象のログに複数の単位ログが存在する場合には、ログ解析モジュール17は上記の処理を繰り返す。
A plurality of file names are recorded in the normal profile. When the file name recorded in the unit log matches one of the file names recorded in the normal profile, the
上記の処理によって、正常な処理を誤って検知する可能性を減らし、異常を検知することができる。なお、単位ログに記録されているファイル名称とプロセス名称の組合せが、正常プロファイルに記録されているいずれのファイル名称とプロセス名称の組合せとも一致しなかった場合に異常が発生したと判定するようにしてもよい。 With the above processing, the possibility of erroneously detecting normal processing is reduced, and abnormality can be detected. Note that if the combination of the file name and process name recorded in the unit log does not match any combination of the file name and process name recorded in the normal profile, it is determined that an abnormality has occurred. May be.
(第2の処理例)
次に、第2の処理例を説明する。ボットに感染した端末では、親プロセスが子プロセスを起動して、親プロセスと子プロセスが所望の処理を共同で行う場合がある。第2の処理例では、親子のプロセスによる異常の有無を判定する。図5は、第2の処理例による処理のイメージを示している。
(Second processing example)
Next, a second processing example will be described. In a terminal infected with a bot, a parent process may activate a child process, and the parent process and the child process may jointly perform desired processing. In the second processing example, it is determined whether there is an abnormality due to the parent-child process. FIG. 5 shows an image of processing according to the second processing example.
第1の処理例と同様に、正常プロファイル記憶部16に格納されている正常プロファイルには、正常な端末のプロセスがアクセスしたファイルを識別する情報(ファイル名称)が記録されている。また、監視対象の端末では、親プロセス500と、親プロセス500によって起動された子プロセス510,520とが動作している。
Similar to the first processing example, the normal profile stored in the normal
親プロセス500と子プロセス520は、正常な端末のプロセスがアクセスしたファイルと同一のファイルにアクセスしているため、異常ではないと判定されるが、子プロセス510は、正常なプロセスがアクセスしたファイルとは異なるファイルにアクセスしているため、異常であると判定される。この結果、親プロセス500、子プロセス510,520を含むグループが異常であると判定される。
Since the
第2の処理例では、ログ解析モジュール17は以下のように動作する。単位ログには、ファイル操作を行ったプロセスのID(図2のID204)や名称(図2の名称214)のほか、そのプロセスを起動した親プロセスのID(図2のID210)や名称(図2の名称212)が記録されている。ログ解析モジュール17は、これらの情報に基づいて、任意の2つの単位ログに記録されたプロセスの親子関係を把握する。
In the second processing example, the
具体的には、ログ解析モジュール17は、一方の単位ログに含まれるプロセスのIDまたは名称が、他方の単位ログに含まれる親プロセスのIDまたは名称と一致する場合に、両者の単位ログを関連付ける。ただし、プロセスIDは、一時点においては、その時点で動作中の各プロセスに固有な情報であるものの、異なる時点において各プロセスに固有な情報であることを保証するものではないため、上記の処理にはプロセス名称を使用することがより望ましい。
Specifically, the
ログ解析モジュール17は、上記のようにして関連付けた2つの単位ログの親子関係を示す情報(以下、親子関係情報と記載する)を生成する。例えば、親プロセスのIDまたは名称と子プロセスのIDまたは名称とを関連付けた親子関係情報を生成する。続いて、ログ解析モジュール17は正常プロファイル記憶部16から正常プロファイルを読み出し、処理対象のログに含まれる単位ログに記録されているファイル名称と、正常プロファイルに含まれるファイル名称とを比較する。
The
正常プロファイルには複数のファイル名称が記録されている。単位ログに記録されているファイル名称が、正常プロファイルに記録されているいずれかのファイル名称と一致した場合、ログ解析モジュール17は、異常が発生していないと判定する。また、単位ログに記録されているファイル名称が、正常プロファイルに記録されているいずれのファイル名称とも一致しなかった場合、ログ解析モジュール17は、異常が発生したと判定する。処理対象のログに複数の単位ログが存在する場合には、ログ解析モジュール17は上記の処理を繰り返す。
A plurality of file names are recorded in the normal profile. When the file name recorded in the unit log matches one of the file names recorded in the normal profile, the
ログ解析モジュール17は、異常が発生したと判定したときに用いた単位ログから、ファイル操作を行ったプロセスのIDまたは名称を抽出し、そのIDまたは名称を含む親子関係情報に基づいて、親子のプロセスを含むグループが異常であると判定する。ログ解析モジュール17は、異常であると判定したグループに関連する単位ログの情報を関連付けてログ記憶部14に格納する。上記の処理では、親プロセスが正常かつ子プロセスが異常と判定される場合、親プロセスが異常かつ子プロセスが正常と判定される場合、親プロセスが異常かつ子プロセスが異常と判定される場合があるが、いずれの場合も、親子のプロセスを含むグループが異常であると判定される。
The
上記の処理によって、正常な処理を誤って検知する可能性を減らし、異常を検知することができる。特に、ボットによって親子のプロセスが共同して所望の処理を行う場合に、異常と判定したグループに関連するログの情報から、親子のプロセスの挙動を知ることができる。なお、単位ログの処理において、単位ログに記録されているファイル名称とプロセス名称の組合せが、正常プロファイルに記録されているいずれのファイル名称とプロセス名称の組合せとも一致しなかった場合に異常が発生したと判定するようにしてもよい。 With the above processing, the possibility of erroneously detecting normal processing is reduced, and abnormality can be detected. In particular, when a parent and child process performs a desired process jointly using a bot, it is possible to know the behavior of the parent and child process from the log information related to the group determined to be abnormal. In unit log processing, an error occurs when the combination of the file name and process name recorded in the unit log does not match any combination of file name and process name recorded in the normal profile. You may make it determine with having carried out.
(第3の処理例)
次に、第3の処理例を説明する。第3の処理例では、プロセスが本来ファイルにアクセスするときの手順と異なる手順でファイルにアクセスした場合に、コンピュータウィルス(特にボット)による異常が発生したと判定する。図6は、プロセスが本来ファイルにアクセスするときの手順の例を示している。
(Third processing example)
Next, a third processing example will be described. In the third processing example, it is determined that an abnormality due to a computer virus (particularly a bot) has occurred when a process accesses a file in a procedure different from the procedure for accessing the file. FIG. 6 shows an example of a procedure when a process originally accesses a file.
図6では、プロセス600がファイル610,620,630,640にアクセスする様子が示されている。矢印は、プロセス600による各ファイルへのアクセスを示しており、矢印の近傍に記載された文字はアクセスの種類と順番を示している。アクセスの種類には、「r」(読み込み)、「w」(書き込み)、「d」(削除)がある。また、順番は数字で表され、数字が小さいほど順番が早い。例えば、「r1」はファイルの読み込みであることと、順番が1番目であることとを示している。
FIG. 6 shows how the
図6に示したプロセス600は以下のステップ1〜ステップ4の手順で各ファイルにアクセスする。
ステップ1:ファイル610を読み込む。
ステップ2:ファイル620に書き込みを行う。
ステップ3:ファイル630に書き込みを行う。
ステップ4:ファイル640を削除する。
The
Step 1: The
Step 2: Write to file 620.
Step 3: Write to the
Step 4: Delete the
正常プロファイル記憶部16に格納されている正常プロファイルには、正常な端末のプロセスがファイルにアクセスしたときの手順を示す情報が記録されている。監視対象の端末で検知されたファイル操作の手順が、正常プロファイルに記録されている手順と同一である場合、監視対象の端末で検知されたファイル操作を行ったプロセスは異常ではないと判定される。また、監視対象の端末で検知されたファイル操作の手順が、正常プロファイルに記録されている手順と同一ではない場合、監視対象の端末で検知されたファイル操作を行ったプロセスは異常であると判定される。
The normal profile stored in the normal
第3の処理例では、ログ解析モジュール17は以下のように動作する。まず、ログ解析モジュール17は、処理対象のログに基づいて、監視対象の端末で検知されたファイル操作の手順を示す情報を生成する。具体的には、ログ解析モジュール17は、同一のプロセスのID(図2のID204)や名称(図2の名称214)が記録されている単位ログを抽出し、時刻(図2の時刻200)の順に単位ログを並べる。この結果、単位ログはファイル操作の順番に並ぶことになり、各単位ログの情報が、一連の手順を構成する各ステップの情報となる。
In the third processing example, the
続いて、ログ解析モジュール17は正常プロファイル記憶部16から正常プロファイルを読み出し、監視対象の端末で検知されたファイル操作の手順を示す情報と、正常プロファイルに含まれる情報とを比較する。正常プロファイルには、1または複数のステップからなる手順の情報が記録されている。ログ解析モジュール17は、ステップ毎に情報を比較する。まず、ログ解析モジュール17は、監視対象の端末で検知されたファイル操作の最初のステップの情報と、正常プロファイルに記録されているファイル操作の最初のステップの情報とを比較する。
Subsequently, the
各ステップの情報には、少なくとも、ファイル操作を行ったプロセスの名称、ファイルの名称、ファイル操作の種別(読み込み/書き込み/削除)が含まれる。これらの情報が全て一致した場合、次のステップの情報が比較される。また、これらの情報の1つでも一致しなかった場合、監視対象の端末で検知されたファイル操作の手順が、正常プロファイルに記録されている手順と同一ではないため、ログ解析モジュール17は、異常が発生したと判定する。各ステップに関して、上記の処理が行われる。全てのステップに関して、監視対象の端末で検知されたファイル操作の情報と、正常プロファイルに記録されているファイル操作の情報とが一致した場合、ログ解析モジュール17は、異常が発生していないと判定する。正常プロファイルには、複数のファイル操作について、各ファイル操作の手順を示す情報が記録されており、ログ解析モジュール17は各ファイル操作について上記の処理を繰り返す。
The information of each step includes at least the name of the process that performed the file operation, the name of the file, and the type of file operation (read / write / delete). If all of these pieces of information match, the information in the next step is compared. In addition, if even one of these pieces of information does not match, the
上記の処理によって、正常な処理を誤って検知する可能性を減らし、異常を検知することができる。 With the above processing, the possibility of erroneously detecting normal processing is reduced, and abnormality can be detected.
(第4の処理例)
次に、第4の処理例を説明する。第4の処理例では、親子のプロセスによる異常の有無を判定する。図7は、プロセスが本来ファイルにアクセスするときの手順の例を示している。
(Fourth processing example)
Next, a fourth processing example will be described. In the fourth processing example, it is determined whether there is an abnormality due to the parent-child process. FIG. 7 shows an example of a procedure when a process originally accesses a file.
図7では、親プロセス700と子プロセス710がファイル720,730,740にアクセスする様子が示されている。矢印の意味と、矢印の近傍に記載された文字の意味は図6と同様である。図7に示した親プロセス700と子プロセス710は以下のステップ1〜ステップ5の手順で各ファイルにアクセスする。
ステップ1:親プロセス700がファイル720を読み込む。
ステップ2:親プロセス700がファイル730に書き込みを行う。
ステップ3:親プロセス700がファイル740に書き込みを行う。
ステップ4:子プロセス710がファイル730を読み込む。
ステップ5:子プロセス710がファイル720を削除する。
FIG. 7 shows how the
Step 1: The
Step 2: The
Step 3: The
Step 4: The
Step 5: The
正常プロファイル記憶部16に格納されている正常プロファイルには、正常な端末のプロセスがファイルにアクセスしたときの、親プロセスと子プロセスによる一連の手順を示す情報が記録されている。監視対象の端末で検知された、親プロセスと子プロセスによる一連のファイル操作の手順が、正常プロファイルに記録されている手順と同一である場合、監視対象の端末で検知されたファイル操作を行ったプロセスは異常ではないと判定される。また、監視対象の端末で検知されたファイル操作の手順が、正常プロファイルに記録されている手順と同一ではない場合、監視対象の端末で検知されたファイル操作を行ったプロセスは異常であると判定される。
In the normal profile stored in the normal
第4の処理例では、ログ解析モジュール17は以下のように動作する。まず、ログ解析モジュール17は、第2の処理例と同様の処理により、親子のプロセスの関係を把握し、親プロセスのIDまたは名称と子プロセスのIDまたは名称とを関連付けた親子関係情報を生成する。
In the fourth processing example, the
続いて、ログ解析モジュール17は、処理対象のログに基づいて、監視対象の端末で検知されたファイル操作の手順を示す情報を生成する。具体的には、ログ解析モジュール17は、同一のプロセスのID(図2のID204)や名称(図2の名称214)が記録されている単位ログを抽出する。また、ログ解析モジュール17は、親子関係情報に基づいて、このプロセスの親プロセスまたは子プロセスのIDまたは名称と同一のIDまたは名称を含む単位ログも抽出する。これによって、親子関係にあるプロセスの単位ログが抽出される。
Subsequently, the
続いて、ログ解析モジュール17は、抽出した単位ログを時刻(図2の時刻200)の順に並べる。この結果、単位ログはファイル操作の順番に並ぶことになり、各単位ログの情報が、一連の手順を構成する各ステップの情報となる。
Subsequently, the
続いて、ログ解析モジュール17は正常プロファイル記憶部16から正常プロファイルを読み出し、監視対象の端末で検知されたファイル操作の手順を示す情報と、正常プロファイルに含まれる情報とを比較する。正常プロファイルには、1または複数のステップからなる手順の情報が記録されている。ログ解析モジュール17は、ステップ毎に情報を比較する。まず、ログ解析モジュール17は、監視対象の端末で検知されたファイル操作の最初のステップの情報と、正常プロファイルに記録されているファイル操作の最初のステップの情報とを比較する。
Subsequently, the
各ステップの情報には、少なくとも、ファイル操作を行ったプロセスの名称、ファイルの名称、ファイル操作の種別(読み込み/書き込み/削除)が含まれる。これらの情報が全て一致した場合、次のステップの情報が比較される。また、これらの情報の1つでも一致しなかった場合、監視対象の端末で検知されたファイル操作の手順が、正常プロファイルに記録されている手順と同一ではないため、ログ解析モジュール17は、異常が発生したと判定する。各ステップに関して、上記の処理が行われる。全てのステップに関して、監視対象の端末で検知されたファイル操作の情報と、正常プロファイルに記録されているファイル操作の情報とが一致した場合、ログ解析モジュール17は、異常が発生していないと判定する。正常プロファイルには、複数のファイル操作について、各ファイル操作の手順を示す情報が記録されており、ログ解析モジュール17は各ファイル操作について上記の処理を繰り返す。
The information of each step includes at least the name of the process that performed the file operation, the name of the file, and the type of file operation (read / write / delete). If all of these pieces of information match, the information in the next step is compared. In addition, if even one of these pieces of information does not match, the
上記の処理によって、正常な処理を誤って検知する可能性を減らし、異常を検知することができる。 With the above processing, the possibility of erroneously detecting normal processing is reduced, and abnormality can be detected.
上述した第1〜第4の処理例において、処理結果を表示装置に表示してもよい。例えば、第1の処理例においては、異常と判定されたプロセスが操作を行ったファイルの情報を表示してもよい。第2の処理例においては、異常と判定されたプロセスが操作を行ったファイルの情報や、異常と判定されたプロセスを含む親子のプロセスグループの情報を表示してもよい。第3の処理例においては、異常と判定された手順を表示してもよい。第4の処理例においては、異常と判定された手順や、その手順による操作を行った親子のプロセスグループの情報を表示してもよい。 In the first to fourth processing examples described above, the processing result may be displayed on the display device. For example, in the first processing example, information on a file operated by a process determined to be abnormal may be displayed. In the second processing example, information on a file operated by a process determined to be abnormal or information on a parent-child process group including a process determined to be abnormal may be displayed. In the third processing example, a procedure determined to be abnormal may be displayed. In the fourth processing example, the procedure determined to be abnormal and the information of the process group of the parent and child who performed the operation according to the procedure may be displayed.
また、ホスト型侵入検知システムや不正プロセス検知システムで得られる情報を利用してもよい。ホスト型侵入検知システムは、監視対象の端末のファイルやディレクトリの正常な状態を保存して、定期的に整合性のチェックを行うことで、システムファイルの改ざんを検知するシステムである。不正プロセス検知システムは、マルウェアに感染した端末が、ユーザのキーボードやマウスの操作と関係なく、意図しないパケットを自動的もしくは外部からの制御によって送信する特徴に注目して、正常な端末の無操作状態の通信の特徴をプロファイル化して、これに該当しない通信を異常と判定して、不正プロセスを検知するシステムである。 Information obtained by a host-type intrusion detection system or an unauthorized process detection system may be used. The host-type intrusion detection system is a system that detects falsification of a system file by storing a normal state of a file or directory of a monitored terminal and periodically checking consistency. The unauthorized process detection system focuses on the feature that a terminal infected with malware sends an unintended packet automatically or by external control regardless of the user's keyboard or mouse operation. It is a system that detects the unauthorized process by profiling the characteristics of the communication in the state, determining that the communication not corresponding to this is abnormal.
ホスト型侵入検知システムでは、改ざんを検知したファイルの名称が得られる。第1〜第4の処理例において、異常が発生したと判定された場合に、ログ解析モジュール17は、その異常に関するファイルの名称と、ホスト型侵入検知システムが取得したファイルの名称とを比較する。両者が一致する場合、コンピュータウィルスによる異常が発生している可能性がより高いことを知ることができる。
In the host-type intrusion detection system, the name of the file that has detected tampering can be obtained. In the first to fourth processing examples, when it is determined that an abnormality has occurred, the
不正プロセス検知システムでは、不正なプロセスの名称が得られる。第1〜第4の処理例において、異常が発生したと判定された場合に、ログ解析モジュール17は、その異常に関するプロセスの名称と、不正プロセス検知システムが取得したプロセスの名称とを比較する。両者が一致する場合、コンピュータウィルスによる異常が発生している可能性がより高いことを知ることができる。
In the unauthorized process detection system, the name of the unauthorized process is obtained. In the first to fourth processing examples, when it is determined that an abnormality has occurred, the
また、第3〜第4の処理例では、閾値θを設けて、監視対象の端末で検知されたファイル操作の手順を構成するステップと、正常プロファイルに記録されているファイル操作の手順を構成するステップとがθ個以上異なる場合に異常が発生したと判定するようにしてもよい。 In the third to fourth processing examples, the threshold θ is provided to configure the file operation procedure detected by the monitoring target terminal and the file operation procedure recorded in the normal profile. It may be determined that an abnormality has occurred when the number of steps differs by θ or more.
また、以下のようにして、ボットによる異常を検知してもよい。ボットは、そのプロセスが自分自身のファイル(実行ファイル)を複製(自己複製)するという特徴を有する。特に、自己複製の際には、OSに関連するファイルが格納されるシステムフォルダにファイルが複製されるという特徴がある。 Moreover, you may detect the abnormality by a bot as follows. A bot has the feature that its process duplicates (self-replicates) its own file (executable file). In particular, when self-replicating, there is a feature that the file is replicated to a system folder in which files related to the OS are stored.
ボットの自己複製では、ファイル操作(複製)を行ったプロセスの元となったボットのファイル(およびそのファイルが格納されたフォルダ)と、そのプロセスがファイル操作(複製)を行ったファイル(およびそのファイルが格納されたフォルダ)とが同一となる。そこで、ファイル操作を行った正規なプロセスの元となったファイル、またはそのファイルが格納されたフォルダ(以下、操作元プロセスのファイルまたはフォルダとする)と、そのプロセスがファイル操作を行ったファイル、またはそのファイルが格納されたフォルダ(以下、操作対象のファイルまたはフォルダとする)との相対関係(より具体的には相対パス)を正規プロファイルとする。 In bot self-replication, the bot file (and the folder in which the file was stored) that was the source of the process that performed the file operation (replication), and the file (and its file) that the process performed the file operation (replication) The folder in which the file is stored). Therefore, the file that is the source of the legitimate process that performed the file operation, or the folder in which the file was stored (hereinafter referred to as the file or folder of the operation source process), the file that the process performed the file operation, Alternatively, a relative profile (more specifically, a relative path) with a folder in which the file is stored (hereinafter, referred to as an operation target file or folder) is set as a regular profile.
監視対象の端末で検出された操作元プロセスのファイルまたはフォルダを基準とする操作対象のファイルまたはフォルダの相対パスが正規プロファイル中の相対パスと異なる場合(実際には、監視対象の端末で検出された操作元プロセスのファイルまたはフォルダが操作対象のファイルまたはフォルダと同一である場合)、異常が発生したと判定される。相対パスは、操作元プロセスのファイルまたはフォルダの絶対パスと操作対象のファイルまたはフォルダの絶対パスとを演算して求めればよい。 If the relative path of the operation target file or folder detected on the monitored terminal is different from the relative path in the regular profile (actually detected on the monitored terminal) If the operation source process file or folder is the same as the operation target file or folder), it is determined that an error has occurred. The relative path may be obtained by calculating the absolute path of the file or folder of the operation source process and the absolute path of the operation target file or folder.
さらに、ボットの自己複製ではシステムフォルダにファイルが複製されることから、監視対象の端末で上記により検出された相対パスと正規プロファイルの相対パスとが一致せず、かつ、操作対象のフォルダがシステムフォルダであった場合に異常が発生したと判定してもよい。 In addition, since the bot self-replicating files are copied to the system folder, the relative path detected by the above on the monitored terminal does not match the relative path of the regular profile, and the operation target folder is the system folder. If it is a folder, it may be determined that an abnormality has occurred.
上述したように、本実施形態によれば、コンピュータウィルスに感染していない正常な端末で生成されたプロセスによるファイルまたはフォルダの操作とは異なる操作が検知された場合に、異常が発生したと判定されるので、正常な処理を誤って検知する可能性を減らし、異常検知の精度を向上することができる。 As described above, according to the present embodiment, it is determined that an abnormality has occurred when an operation different from a file or folder operation by a process generated by a normal terminal not infected with a computer virus is detected. Therefore, the possibility of erroneously detecting normal processing can be reduced and the accuracy of abnormality detection can be improved.
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上記の異常検知装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。 As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. . For example, a program for realizing the operation and function of the abnormality detection device may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read by the computer and executed.
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above-described program may be for realizing a part of the above-described function. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.
11・・・OS、12・・・ログ生成モジュール(情報生成手段、第1の情報生成手段)、13・・・ハードウェア、13a・・・記憶装置、13b・・・入力装置、13c・・・出力装置、14・・・ログ記憶部、15・・・操作検出モジュール、16・・・正常プロファイル記憶部(記憶手段)、17・・・ログ解析モジュール(第2の情報生成手段、判定手段)
DESCRIPTION OF
Claims (8)
監視対象の端末で生成された第2のプロセスの挙動を監視し、当該第2のプロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報を生成する情報生成手段と、
前記第1の識別情報と前記第2の識別情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、
を備えたことを特徴とする異常検知装置。 Storage means for storing first identification information for identifying a file or folder operated by a first process generated by a normal terminal not infected with a computer virus;
Information generating means for monitoring the behavior of the second process generated by the terminal to be monitored and generating second identification information for identifying the file or folder operated by the second process;
A determination unit that compares the first identification information with the second identification information and determines that an abnormality has occurred when the two do not match;
An abnormality detection device characterized by comprising:
監視対象の端末で生成された親プロセスの挙動と、当該親プロセスによって起動される子プロセスの挙動とを監視し、前記親プロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報と、前記子プロセスが操作を行ったファイルまたはフォルダを識別する第3の識別情報とを生成する情報生成手段と、
前記第1の識別情報と前記第2の識別情報を比較すると共に前記第1の識別情報と前記第3の識別情報を比較し、前記第1の識別情報と前記第2の識別情報が一致しない場合、前記第1の識別情報と前記第3の識別情報が一致しない場合、または前記第1の識別情報と前記第2の識別情報が一致せず前記第1の識別情報と前記第3の識別情報が一致しない場合に異常が発生したと判定する判定手段と、
を備えたことを特徴とする異常検知装置。 Storage means for storing first identification information for identifying a file or folder operated by a process generated by a normal terminal not infected with a computer virus;
Second identification information for monitoring a behavior of a parent process generated by a monitoring target terminal and a behavior of a child process started by the parent process, and identifying a file or folder operated by the parent process; Information generating means for generating third identification information for identifying a file or folder operated by the child process;
The first identification information and the second identification information are compared, the first identification information and the third identification information are compared, and the first identification information and the second identification information do not match. If the first identification information and the third identification information do not match, or if the first identification information and the second identification information do not match, the first identification information and the third identification Determining means for determining that an abnormality has occurred when the information does not match;
An abnormality detection device characterized by comprising:
監視対象の端末で生成された第2のプロセスの挙動を監視し、当該第2のプロセスが操作を行ったファイルまたはフォルダを識別する第2の識別情報と時刻情報を含む情報を生成する第1の情報生成手段と、
前記第1の情報生成手段が生成した情報に基づいて、前記第2の識別情報を含み、前記第2のプロセスがファイルまたはフォルダに操作を行ったときの手順を示す第2の手順情報を生成する第2の情報生成手段と、
前記第1の手順情報と前記第2の手順情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、
を備えたことを特徴とする異常検知装置。 A first process generated by a normal terminal not infected with a computer virus includes first identification information for identifying a file or folder operated by the first process, and the first process operates on the file or folder. Storage means for storing first procedure information indicating a procedure at the time of
The first process for monitoring the behavior of the second process generated by the terminal to be monitored and generating the information including the second identification information for identifying the file or folder operated by the second process and the time information. Information generation means,
Based on the information generated by the first information generating means, second procedure information including the second identification information and indicating a procedure when the second process has performed an operation on a file or folder is generated. Second information generating means for
A determination unit that compares the first procedure information with the second procedure information and determines that an abnormality has occurred when the two do not match;
An abnormality detection device characterized by comprising:
監視対象の端末で生成された第2の親プロセスの挙動と、当該第2の親プロセスによって起動される第2の子プロセスの挙動とを監視し、前記第2の親プロセスが操作を行ったファイルまたはフォルダを識別する第3の識別情報および時刻情報を含む情報と、前記第2の子プロセスが操作を行ったファイルまたはフォルダを識別する第4の識別情報および時刻情報を含む情報とを生成する第1の情報生成手段と、
前記第1の情報生成手段が生成した情報に基づいて、前記第3の識別情報と前記第4の識別情報を含み、前記第2の親プロセスと前記第2の子プロセスがファイルまたはフォルダに操作を行ったときの手順を示す第2の手順情報を生成する第2の情報生成手段と、
前記第1の手順情報と前記第2の手順情報を比較し、両者が一致しない場合に異常が発生したと判定する判定手段と、
を備えたことを特徴とする異常検知装置。 First identification information for identifying a file or folder operated by a first parent process generated by a normal terminal that is not infected with a computer virus, and a first process started by the first parent process Second identification information for identifying a file or folder in which a child process has operated, and a procedure when the first parent process and the first child process have performed an operation on the file or folder. Storage means for storing one procedure information;
The behavior of the second parent process generated by the monitoring target terminal and the behavior of the second child process started by the second parent process are monitored, and the second parent process performs an operation. Information including third identification information for identifying a file or folder and time information, and information including fourth identification information for identifying a file or folder operated by the second child process and time information are generated. First information generating means for
Based on the information generated by the first information generating means, the second parent process and the second child process operate on the file or folder including the third identification information and the fourth identification information. Second information generating means for generating second procedure information indicating a procedure when
A determination unit that compares the first procedure information with the second procedure information and determines that an abnormality has occurred when the two do not match;
An abnormality detection device characterized by comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009023849A JP2010182019A (en) | 2009-02-04 | 2009-02-04 | Abnormality detector and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009023849A JP2010182019A (en) | 2009-02-04 | 2009-02-04 | Abnormality detector and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010182019A true JP2010182019A (en) | 2010-08-19 |
Family
ID=42763575
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009023849A Pending JP2010182019A (en) | 2009-02-04 | 2009-02-04 | Abnormality detector and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010182019A (en) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013508823A (en) * | 2009-10-15 | 2013-03-07 | マカフィー・インコーポレーテッド | Malware detection and response to malware using link files |
JP2015522874A (en) * | 2012-06-08 | 2015-08-06 | クラウドストライク インコーポレイテッド | Kernel-level security agent |
JP2015225512A (en) * | 2014-05-28 | 2015-12-14 | 株式会社日立製作所 | Malware feature extraction device, malware feature extraction system, malware feature method, and countermeasure instruction device |
US9858626B2 (en) | 2012-06-29 | 2018-01-02 | Crowdstrike, Inc. | Social sharing of security information in a group |
JP2018200642A (en) * | 2017-05-29 | 2018-12-20 | 富士通株式会社 | Threat detection program, threat detection method, and information processing apparatus |
US10289405B2 (en) | 2014-03-20 | 2019-05-14 | Crowdstrike, Inc. | Integrity assurance and rebootless updating during runtime |
US10339316B2 (en) | 2015-07-28 | 2019-07-02 | Crowdstrike, Inc. | Integrity assurance through early loading in the boot phase |
US10387228B2 (en) | 2017-02-21 | 2019-08-20 | Crowdstrike, Inc. | Symmetric bridge component for communications between kernel mode and user mode |
US10740459B2 (en) | 2017-12-28 | 2020-08-11 | Crowdstrike, Inc. | Kernel- and user-level cooperative security processing |
KR102254283B1 (en) * | 2020-11-12 | 2021-05-21 | 주식회사 시큐브 | Multi-process clustering based ransomware attack detecting apparatus, and method thereof, and recording medium for recording program for executing the method |
KR20220135649A (en) * | 2021-03-31 | 2022-10-07 | 계명대학교 산학협력단 | Method of detecting and restoration for ransomeware, and computing device for performing the method |
US11615183B2 (en) | 2019-12-05 | 2023-03-28 | Panasonic Intellectual Property Management Co., Ltd. | Information processing device, control method, and recording medium for detecting an anomaly in behavior of an application operating on a device in a mobility |
US11770395B2 (en) | 2020-11-05 | 2023-09-26 | Kabushiki Kaisha Toshiba | Information processing apparatus, computer program product, and information processing system |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09171460A (en) * | 1995-12-20 | 1997-06-30 | Hitachi Ltd | Diagnostic system for computer |
JP2008052637A (en) * | 2006-08-28 | 2008-03-06 | Kddi Corp | Abnormality detector, abnormality detection program, and recording medium |
-
2009
- 2009-02-04 JP JP2009023849A patent/JP2010182019A/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09171460A (en) * | 1995-12-20 | 1997-06-30 | Hitachi Ltd | Diagnostic system for computer |
JP2008052637A (en) * | 2006-08-28 | 2008-03-06 | Kddi Corp | Abnormality detector, abnormality detection program, and recording medium |
Non-Patent Citations (1)
Title |
---|
JPN6013013859; Brand, M.: 'Forensic Analysis Avoidance Techniques of Malware' In Proceedings of the 5th Australian Digital Forensics Conference , 200712, [online] * |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8863282B2 (en) | 2009-10-15 | 2014-10-14 | Mcafee Inc. | Detecting and responding to malware using link files |
JP2013508823A (en) * | 2009-10-15 | 2013-03-07 | マカフィー・インコーポレーテッド | Malware detection and response to malware using link files |
US10853491B2 (en) | 2012-06-08 | 2020-12-01 | Crowdstrike, Inc. | Security agent |
JP2015522874A (en) * | 2012-06-08 | 2015-08-06 | クラウドストライク インコーポレイテッド | Kernel-level security agent |
JP2017216018A (en) * | 2012-06-08 | 2017-12-07 | クラウドストライク インコーポレイテッド | Kernel-level security agent |
US9904784B2 (en) | 2012-06-08 | 2018-02-27 | Crowdstrike, Inc. | Kernel-level security agent |
US10002250B2 (en) | 2012-06-08 | 2018-06-19 | Crowdstrike, Inc. | Security agent |
US9858626B2 (en) | 2012-06-29 | 2018-01-02 | Crowdstrike, Inc. | Social sharing of security information in a group |
US11340890B2 (en) | 2014-03-20 | 2022-05-24 | Crowdstrike, Inc. | Integrity assurance and rebootless updating during runtime |
US10289405B2 (en) | 2014-03-20 | 2019-05-14 | Crowdstrike, Inc. | Integrity assurance and rebootless updating during runtime |
JP2015225512A (en) * | 2014-05-28 | 2015-12-14 | 株式会社日立製作所 | Malware feature extraction device, malware feature extraction system, malware feature method, and countermeasure instruction device |
US10339316B2 (en) | 2015-07-28 | 2019-07-02 | Crowdstrike, Inc. | Integrity assurance through early loading in the boot phase |
US10387228B2 (en) | 2017-02-21 | 2019-08-20 | Crowdstrike, Inc. | Symmetric bridge component for communications between kernel mode and user mode |
JP2018200642A (en) * | 2017-05-29 | 2018-12-20 | 富士通株式会社 | Threat detection program, threat detection method, and information processing apparatus |
US10740459B2 (en) | 2017-12-28 | 2020-08-11 | Crowdstrike, Inc. | Kernel- and user-level cooperative security processing |
US11615183B2 (en) | 2019-12-05 | 2023-03-28 | Panasonic Intellectual Property Management Co., Ltd. | Information processing device, control method, and recording medium for detecting an anomaly in behavior of an application operating on a device in a mobility |
US11770395B2 (en) | 2020-11-05 | 2023-09-26 | Kabushiki Kaisha Toshiba | Information processing apparatus, computer program product, and information processing system |
KR102254283B1 (en) * | 2020-11-12 | 2021-05-21 | 주식회사 시큐브 | Multi-process clustering based ransomware attack detecting apparatus, and method thereof, and recording medium for recording program for executing the method |
WO2022102854A1 (en) * | 2020-11-12 | 2022-05-19 | 주식회사 시큐브 | Multiprocess clustering-based ransomware attack detection device and method, and recording medium for recording program for implementing method |
JP2023506101A (en) * | 2020-11-12 | 2023-02-15 | シキューブ カンパニー,リミテッド | Ransomware attack detection device and method based on multi-process clustering, and recording medium recording program for realizing the method |
JP7315180B2 (en) | 2020-11-12 | 2023-07-26 | シキューブ カンパニー,リミテッド | Ransomware attack detection device and method based on multi-process clustering, and recording medium recording program for realizing the method |
KR20220135649A (en) * | 2021-03-31 | 2022-10-07 | 계명대학교 산학협력단 | Method of detecting and restoration for ransomeware, and computing device for performing the method |
KR102494454B1 (en) * | 2021-03-31 | 2023-02-06 | 계명대학교 산학협력단 | Method of detecting and restoration for ransomeware, and computing device for performing the method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2010182019A (en) | Abnormality detector and program | |
Scaife et al. | Cryptolock (and drop it): stopping ransomware attacks on user data | |
US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
US8434151B1 (en) | Detecting malicious software | |
US7779472B1 (en) | Application behavior based malware detection | |
JP5326062B1 (en) | Non-executable file inspection apparatus and method | |
US8713686B2 (en) | System and method for reducing antivirus false positives | |
US7934261B1 (en) | On-demand cleanup system | |
JP5265061B1 (en) | Malicious file inspection apparatus and method | |
US8453244B2 (en) | Server, user device and malware detection method thereof | |
US20050262567A1 (en) | Systems and methods for computer security | |
JP5144488B2 (en) | Information processing system and program | |
JP4995170B2 (en) | Fraud detection method, fraud detection device, fraud detection program, and information processing system | |
WO2014103115A1 (en) | Illicit intrusion sensing device, illicit intrusion sensing method, illicit intrusion sensing program, and recording medium | |
US20100235916A1 (en) | Apparatus and method for computer virus detection and remediation and self-repair of damaged files and/or objects | |
JP2011525662A (en) | System and method for establishing and monitoring software evaluation | |
CN111183620B (en) | Intrusion investigation | |
CN111800405A (en) | Detection method, detection device and storage medium | |
JP2023534502A (en) | Advanced ransomware detection | |
JP5326063B1 (en) | Malicious shellcode detection apparatus and method using debug events | |
US9202053B1 (en) | MBR infection detection using emulation | |
US9860261B2 (en) | System for analyzing and maintaining data security in backup data and method thereof | |
Kardile | Crypto ransomware analysis and detection using process monitor | |
US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
Mahmoud et al. | APTHunter: Detecting advanced persistent threats in early stages |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110826 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110831 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110826 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130306 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130326 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130716 |