JP2012014310A - 情報漏えいファイル検知装置、及びその方法とプログラム - Google Patents

情報漏えいファイル検知装置、及びその方法とプログラム Download PDF

Info

Publication number
JP2012014310A
JP2012014310A JP2010148487A JP2010148487A JP2012014310A JP 2012014310 A JP2012014310 A JP 2012014310A JP 2010148487 A JP2010148487 A JP 2010148487A JP 2010148487 A JP2010148487 A JP 2010148487A JP 2012014310 A JP2012014310 A JP 2012014310A
Authority
JP
Japan
Prior art keywords
information
file
key
teacher
leakage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010148487A
Other languages
English (en)
Other versions
JP5135389B2 (ja
Inventor
Hiroshi Nakakoji
博史 仲小路
Tetsuo Kito
哲郎 鬼頭
Masatoshi Terada
真敏 寺田
Shinichi Tankyo
真一 丹京
Isao Kaine
功 甲斐根
Michihiro Shigemoto
倫宏 重本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Information Systems Ltd
Original Assignee
Hitachi Information Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Information Systems Ltd filed Critical Hitachi Information Systems Ltd
Priority to JP2010148487A priority Critical patent/JP5135389B2/ja
Priority to US13/170,943 priority patent/US20120005147A1/en
Publication of JP2012014310A publication Critical patent/JP2012014310A/ja
Application granted granted Critical
Publication of JP5135389B2 publication Critical patent/JP5135389B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • G06Q10/06311Scheduling, planning or task assignment for a person or group
    • G06Q10/063114Status monitoring or status determination for a person or group
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Educational Administration (AREA)
  • Operations Research (AREA)
  • General Health & Medical Sciences (AREA)
  • General Business, Economics & Management (AREA)
  • Game Theory and Decision Science (AREA)
  • Health & Medical Sciences (AREA)
  • Marketing (AREA)
  • Development Economics (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】ファイル共有ネットワークに流通するファイルに関する情報を収集し、情報漏えいファイルを検知して対策を実施する技術を提供する。
【解決手段】ファイル共有ネットワークから収集したファイルに関するキー情報に、ファイルの種別や、ファイル名を構成する単語の品詞出現頻度、情報漏えいファイルであるか否かの人手による判断結果を属性として付与して教師情報を生成する。次に、教師情報を決定木学習アルゴリズムに入力することによって情報漏えいファイルの判定ルールを学習させ、情報漏えいファイル判定用決定木を導出する。以降、この決定木を用いて、ファイル共有ネットワークに流通するキー情報の中から情報漏えいファイルを検出し、アラートの発信や、キー情報を無効にして、送信することによって被害の拡大を抑止する。
【選択図】 図12

Description

本発明は、ファイル共有ネットワークを介して流通する情報漏えいファイルを検知して、被害拡大防止を行う装置およびその方法とプログラムに係る。
ファイル共有ソフトの、設定ミスやウイルスプログラム(以下、ウイルスという)の感染などが原因となって、個人情報や機密情報などが意図せずファイル共有ネットワークへと流出して情報漏えいが発生してしまう事故が多発している。
情報漏えいが発覚した場合は、早急な措置が望まれるが、本人の気がつかないうちにウイルスなどに感染したことによって発生した情報漏えい事故は、発覚まで時間を要してしまう傾向にあり、結果的に、被害が拡大してしまう場合が多い。
ファイル共有ソフトによる情報漏えい対策として、情報漏えいファイルに対応した偽の情報を大量にファイル共有ネットワークへと送信することで情報漏えいファイルをダウンロードしにくくする技術が特許文献1に、開示されている。
特開2008−197854号公報
一般的に、情報漏えいの発生を発見するにあたっては、ウイルスによって生成されるファイル名に共通したキーワードを利用した検索が行われているが、ウイルスの種類によってファイル命名規則が異なるため、新たなウイルスが出現するたびにキーワードを設定し直さなければならない。
開示されるのは、ファイル共有ソフトによって構成されるファイル共有ネットワークに流通するファイルに関する情報(キー情報)を収集する装置によって出力されるキー情報の中から、情報漏えいファイルと思しきファイルを特定のキーワードに依らずに検知して、情報漏えい事故への早期対応を支援する技術である。
開示される情報漏えいファイル検知装置は、ファイル共有ネットワークに流通する情報漏えいファイルを検知する装置であって、検知装置が1つ乃至複数のキー収集装置から収集したキー情報から、キー情報を構成する項目や、項目から導出した属性を取得し、これらの情報と、さらに、これらの情報をもとに決定木管理者が情報漏えいファイルであるか否かを判断した結果とから、決定木学習アルゴリズムを用いて情報漏えいファイルの判定用決定木を生成することを特徴とする。さらに、この決定木を用いて、以後、キー収集装置から取得するキー情報を分類し、情報漏えいファイルを検知することを特徴とする。
上記特徴のように、固定的なキーワードとの比較処理を含まない決定木を生成することによって、ウイルスの種類に依存しない汎用的な情報漏えいファイルの検知が可能となる。
開示する技術により、新たなウイルスによる情報漏えいにも早期に対応可能になる。
情報漏えいファイル検知システムの一構成例を示す図である。 解析情報DBの一例を示す図であり、(a)は学習情報DBに格納されたキー情報の一例を示す図であり、(b)は学習情報DBに格納された属性情報を示す図である。 (a)は、情報漏えいファイルを検知する処理の比較例を説明する図であり、(b)は、情報漏えいファイルを検知する処理の本実施形態の概要を説明する図である。 (a)は、日付・時刻の表現パターンの一例を示す図であり、(b)はファイル名(拡張子)とファイル種別の関連性の一例を示す図である。 属性付与プログラムにおける、ファイル名から品詞の属性を導出するための手法の一例を示す図である。 キー学習プログラムにおける、教師情報から決定木および判定用プログラムコードを導出するための手法の一例を示す図である。 情報漏えいファイル検知装置の構成の一例を示す図である。 学習情報DBの一例を示す図である。 属性付与プログラムにおける処理の流れを示す図である。 キー学習プログラムにおける処理の流れを示す図である。 キー解析プログラムにおける処理の流れを示す図である。 本実施形態の情報漏えいファイル検知システムの動作の一例を示す図である。
本発明を実施するための形態(以降、「実施形態」という)について、適宜図面を用いながら詳細に説明する。
まず、ファイル共有ネットワークに流通する情報漏えいファイルの特徴を学習して、類似の情報漏えいファイルを検知する情報漏えいファイル検知システムの構成例を、図1を用いて説明する。図1は、情報漏えいファイル検知システムの一構成例を示す図である。
図1において、情報漏えいファイル検知システム10は、キー収集装置11、情報漏えいファイル検知装置12、およびキー送信装置13を含んで構成される。なお、キー収集装置11、キー解析装置12、およびキー送信装置13は、図1には1つしか記載していないが、複数あっても構わない。
キー収集装置11は、インターネット50と接続し、インターネット50に接続された複数のファイル共有ノード61にそれぞれ接続して共有ファイルに関わるキー情報を取得することによって、ファイル共有ネットワークに流通するキー情報を収集する。
キー送信装置13は、インターネット50と接続し、インターネット50に接続された複数のファイル共有ノード61にそれぞれ接続して任意のキー情報を送信することによって、ファイル共有ネットワークに情報漏えいファイルのキー情報の流通を妨害する。
情報漏えいファイル検知装置12は、キー収集装置11の保有する1つあるいは複数のキー情報を収集し、属性付与プログラム121によって加工(属性付与)する。次に、情報漏えいファイルのキー情報と、そうではない通常のファイルのキー情報とに手動で分類(クラス分け)し、得られた情報(キー情報、属性、クラス)を教師情報としてキー学習プログラム122に読み込ませて情報漏えいファイル判定用の決定木を生成する。さらに、生成した決定木をキー解析プログラム123の情報漏えいファイル判定ルールに設定して情報漏えいファイルの判定を行い、情報漏えいファイルに関わる情報をキー送信装置13に渡す。この情報漏えいファイル検知装置12における処理の詳細については、後記する。
なお、図1において、各ブロック(11〜13)間を結ぶ実線は、キー情報に関わる通信パケットの伝達経路を示している。
ここで、キー情報の一例について、図2の(a)を用いて説明する。図2(a)は、ファイル共有ソフトWinnyのキー情報の一例である。Winnyでは、主にキー情報として、キー作成日時12501、キー取得日時12502、ファイルサイズ12503、公開者ID(トリップ)12504、ファイル名12505、ファイル所有ノード情報(IPアドレス・ポート番号)12506、キー所有ノード情報(IPアドレス・ポート番号)12507、キー寿命(TTL:Time To Live)12508、ダウンロード数(被参照数)12509、およびハッシュ値12510が記録される。
キー作成日時12501は、キー情報を生成した日時であり、ファイルを共有した日時や、キー情報が更新された日時を表す。キー取得日時12502は、キー収集装置11がキー情報を取得した日時を表す。公開者ID(トリップ)12504は、ファイルの所有者を一意に識別するための情報である。ファイル所有ノード情報(IPアドレス・ポート番号)12506は、ファイルを所有しているノードのIPアドレスおよびポート番号で、キー情報に格納されているノード情報を表す。キー所有ノード情報(IPアドレス・ポート番号)12507は、キー情報を所有しているノードのIPアドレスおよびポート番号で、キー収集装置11が、キー情報を取得するにあたって接続した際に利用したIPアドレスおよびポート番号を表す。キー寿命(TTL)12508は、キー情報の自動消滅までの残り時間を秒で表す値である。ダウンロード数(被参照数)12509とは、このキー情報をもとにダウンロードされた累計サイズをメガバイトで表した値である。ハッシュ値12510とは、ファイルを一意に判別するための識別子で、MD5やSHA−1などのハッシュ関数を用いて算出された情報である。なお、ファイル所有ノード情報(IPアドレス・ポート番号)12506の示すノード情報は、必ずしもファイル所有ノードを示しているとは限らず、他のノードによって書き換えられたIPアドレス・ポート番号が格納されている場合もある。
キー収集装置11、およびキー送信装置13の構成については、図示を省略するが、各々が、アプリケーションプログラムによって種々の演算処理やキー情報の送受信を司る演算部、情報入力のための入力部、演算結果や指示を画面表示する表示部、他の装置との通信を制御する通信部、およびアプリケーションプログラムや演算結果などを記憶する記憶部を含んでいる。なお、情報漏えいファイル検知装置12の構成の詳細については、後記する。
ここで、本実施形態の概要を、図3を用いて説明する。図3の(a)は、情報漏えいファイル検知における従来の処理の比較例を説明する図であり、(b)は、本実施形態の概要を説明する図である。
図3(a)に示す比較例は、情報漏えいファイルをウイルスの命名規則に基づく従来技術(キーワードマッチング)によって処理するケースである(適宜、図1参照)。
まず、操作者は、ウイルスを解析したり、ウイルス情報サイトなどの公開情報などを参考したりすることによって、ウイルスの命名規則を調査する。この際に、ウイルスが複数存在したり、1つのウイルスに複数の命名規則が存在していたりする場合には、複数のキーワードを抽出する(S301)。次に、キー収集装置11から取得したキー情報のファイル名と、抽出しておいたキーワードとを比較し、キー情報が情報漏えいファイルであるか否かを判定する(S302)。さらに、キー情報が情報漏えいファイルであると判定された場合には、キー情報の構成要素であるファイル所有ノードを、元のIPアドレスとは異なるIPアドレスに書き換えるなどの処理によって、キー情報を無効にする(S303)。最後に、このキー情報をキー送信装置13へと渡し、キー情報をファイル共有ネットワークへと送出する(S304)。
次に、図3(b)に示す本実施形態の概要について以下に説明する(適宜、図1参照)。
まず、キー収集装置11から一定数のキー情報を取得する(S305)。取得したキー情報に対して、ファイルの種別などの属性情報を付与する(S306)。次に、操作者が、それぞれのキー情報から情報漏えいファイルに関わるキー情報であるか、そうではない通常のファイルに関わるキー情報であるかを判断し、個々のキー情報に判断の結果が付与された教師情報を生成する(S307)。この教師情報を決定木学習アルゴリズムに入力し、情報漏えいファイルであると判定するための決定木を生成する(S308)。決定木を情報漏えいファイル検知装置12に設定し(S309)、情報漏えいファイル検知装置は、以後、キー収集装置11の収集したキー情報を、この決定木に従って分類し、情報漏えいファイルを判定する(S310)。さらに、キー情報が情報漏えいファイルであると判定された場合には、キー情報の構成要素であるファイル所有ノードのIPアドレスを書き換えるなどの処理によって、キー情報を無効にする(S311)。最後に、このキー情報をキー送信装置13へと渡し、キー情報をファイル共有ネットワークへと送出する(S312)。
すなわち、本実施形態では、最初にキー収集装置11が実際に収集したキー情報をもとに人間が判断した条件を学習し、以後の情報漏えいファイルの判定に用いることによって、キーワードに依らない、つまりウイルスの種類に依存しない情報漏えいファイルの検知を実現する。
次に、決定木の生成について、Winnyのキー情報を例として、図6を用いて説明する。
図6は、決定木603を生成する決定木学習アルゴリズム602に、予め用意した教師情報601を入力して、決定木603を導出する例を示す。教師情報601は、キー情報と、操作者がファイル名をはじめとするキー情報の構成要素に基づいて情報漏えいファイルか否かを判定して得た情報漏えい判断結果(クラス)とから構成される。図6では、説明を簡単にするために、キー情報とクラスのみ示しているが、教師情報には、これらキー情報とクラス以外に、キー情報から導出される属性情報も含まれる。属性情報の詳細については後記する。
図6では、決定木学習アルゴリズム602として一般的に知られているC4.5を用い、決定木を生成する場合を示す。C4.5によって、教師情報601の各項目のとる値と、クラスとの関係を示した決定木603が生成される。ここでいうクラスとは、情報漏えいファイルであるか(はい)、否か(いいえ)の2種類の値を取り得るパラメータである。
図6では、説明を簡単にするために、2種類の値を持つクラスを例示したが、クラスを多値化した教師情報を用意することによって、多値を持つクラスから構成される決定木603を生成することも可能である。一例としては、ファイルカテゴリを表すクラスとして、ウイルス系情報漏えいファイル、人為的情報漏えいファイル、通常ファイル、著作物ファイルの4種類を値に持たせることもできる。ウイルス系情報漏えいファイルは、ウイルスによって勝手に命名されて漏えいしたファイルを指し、人為的情報漏えいファイルは、ウイルスに起因するのではなく、故意あるいは設定ミスによって漏えいしたファイルを指す。また、著作物ファイルは、著作権の存在するコンテンツが含まれたファイルのことを指す。
なお、C4.5も決定木学習アルゴリズム602の一例であり、他のアルゴリズムを用いても良い。
次に、情報漏えいファイル検知装置12の構成について、図7を用いて説明する。図7は、情報漏えいファイル検知装置の構成の一例を示す図である。
情報漏えいファイル検知装置12は、演算部1201、メモリ1202、入力部1203、表示部1204、通信部1205、および記憶部1206を含むコンピュータ上に実現することができる。
演算部1201は、情報漏えいファイル検知装置12の各部(1202〜1206)の制御、および各部(1202〜1206)間の情報の伝達を司る。演算部1201は、例えば、演算処理を実行するCPU(Central Processing Unit)である。そして、このCPUが主記憶装置であるメモリ1202に、以下に説明するアプリケーションプログラムを展開して、それを実行することにより、以下に説明する処理を具現化する。メモリ1202は、RAM(Random Access Memory)により実現される。なお、アプリケーションプログラムは、記憶部1206に格納されている。
また、以下では、便宜上、各プログラムを実行主体として説明する。
また、各プログラムは、予め記憶部1206に格納されていても良いし、必要なときに、図示しない外部インタフェースや通信部1205と、当該情報漏えいファイル検知装置12が利用可能な媒体を介して、他の装置から記憶部1206に導入されてもよい。媒体とは、たとえば、外部インタフェースに着脱可能な記憶媒体、または通信媒体(すなわち有線、無線、光などのネットワーク、または当該ネットワークを伝搬する搬送波やディジタル信号)を指す。
入力部1203は、キーボードやマウスなどであり、情報漏えいファイル検知装置12を操作する操作者などによる情報入力などを受け付ける。
表示部1204は、CRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)などであり、入力を促す画面や、演算結果を確認する画面などを表示する。
通信部1205は、情報漏えいファイル検知システム10内の各部(11,13)(図1参照)や、インターネット50に接続されている1つあるいは複数のファイル共有ノード61との間で情報を送受信する。
記憶部1206は、属性付与プログラム121、キー学習プログラム122、キー解析プログラム123、学習情報DB124、および解析情報DB125を記憶している。なお、属性付与プログラム121、キー学習プログラム122、およびキー解析プログラム123は、アプリケーションプログラムとして、メモリ1202に展開されて、演算部1201によって実行される。
属性付与プログラム121は、収集したキー情報に対して、属性情報を付与する。ここで、属性情報とは、キー情報を構成する個々の項目から導出される関連情報を意味する。参照元となったキー情報は、解析情報DB125にキー情報として、学習情報DB124に教師情報(キー情報)として、それぞれ格納する。さらに、付与した属性情報は、解析情報DB125に属性情報として、学習情報DB124に教師情報(属性)として、それぞれ格納する。
キー学習プログラム122は、学習情報DB124に格納された教師情報(キー情報)、教師情報(属性)、および教師情報(クラス)から、決定木学習アルゴリズム602を用いて、教師情報(クラス)が結論となるための、教師情報(属性)、および教師情報(クラス)のルールを決定木603として出力する。ここで、教師情報(クラス)とは、情報漏えいファイルであるか否かの結論を示した値である。キー学習プログラム122は、出力した決定木603を、学習情報DB124に格納する。
キー解析プログラム123は、解析情報DB125に格納されたキー情報、および属性情報、ならびに学習情報DB124に格納された決定木603を用いて、キー情報を分類する。ここで、分類とは、解析情報DB125に格納されているキー情報、および属性情報を、学習情報DB124に格納された決定木603に示されたルールに従って、結論を導出することを意味する。すなわち、本例においては、情報漏えいファイルであるか否かの二者択一を行う。
次に、学習情報DB124については、図8を用いて説明する。図8は、学習情報DBの一例を示す図である。
学習情報DB124は、決定木603を含み、さらにキー情報ごとに、教師情報(キー情報)と、教師情報(属性)と、教師情報(クラス)とを含む。教師情報(キー情報)は、キー収集装置11(図1参照)から取得したファイル共有ネットワークを流れるファイルに関する情報である。また、教師情報(属性)は、教師情報(キー情報)あるいは解析情報DB125に格納されたキー情報の項目を加工して得られた情報である。
教師情報(キー情報)は、解析情報DB125に格納されたキー情報への参照あるいはコピーであり、内容は同じである。キー情報には、以下の項目がある。
キー作成日時12401は、キー情報を生成した日時であり、ファイルを共有した日時や、キー情報が更新された日時を表す。
キー取得日時12402は、キー収集装置11がキー情報を取得した日時を表す。
公開者ID(トリップ)12403は、ファイルの所有者を一意に識別するための情報である。
ファイル所有ノード情報(IPアドレス・ポート番号)12406は、ファイルを所有しているノードのIPアドレスおよびポート番号で、キー情報に格納されているノード情報を表す。
キー所有ノード情報(IPアドレス・ポート番号)12407は、キー情報を所有しているノードのIPアドレスおよびポート番号で、キー収集装置11が、キー情報を取得するにあたって接続した際に利用したIPアドレスおよびポート番号を表す。
キー寿命(TTL)12408は、キー情報の自動消滅までの残り時間を秒で表す値である。
ダウンロード数(被参照数)12409とは、このキー情報をもとにダウンロードされた累計サイズをメガバイトで表した値である。
ハッシュ値12410とは、ファイルを一意に判別するための識別子で、MD5やSHA−1などのハッシュ関数を用いて算出された情報である。
次に、教師情報(属性)に格納される項目について図4、および図5を用いて説明する。教師情報(属性)は、解析情報DB125に格納された属性情報への参照あるいはコピーであり、内容は同じである。
キー公開時差12412は、キー情報に記録されたキー作成日時とキー取得日時との時間差を秒で表した値である。
ファイル種別12411は、キー情報のファイル名に含まれる拡張子をもとに、図4(b)に示した表を用いて、映像、アーカイブ、ドキュメント、画像、ゲームロム、実行形式、ウェブコンテンツ、音楽、ディスクイメージ、その他に分類する。この表はファイル分類の一例であって、この限りではない。
日付文字列の有無12419、および時刻文字列12420の有無は、図4(a)に示した日付401や時刻402の表記パターンのいずれかが、キー情報のファイル名12505に含まれているか否かの結果を表す。
ファイル名構成品詞(固有名詞)12414、ファイル名構成品詞(一般名詞)12414、ファイル名構成品詞(記号)12415、ファイル名構成品詞(括弧)12416、ファイル名構成品詞(数値)12417、ファイル名構成品詞(助詞)12418は、図5(a)に示すように、ファイル名あるいはファイル名から拡張子を除いた文字列501を単語502に分解し、その単語の品詞の出現数503を品詞ごとに計数する。ファイル名の文字列を単語に分解する一例として、形態素解析を用いる方法がある。また、品詞として、前述した固有名詞、一般名詞、記号、括弧、数値、助詞がある。ここで挙げた単語分解手法、および品詞の種類は一例であって、この限りではない。
属性情報は必要に応じて拡張(属性1〜属性m)できるものとする。
次に、教師情報(クラス)について説明する。教師情報(クラス)は、個々のキー情報の判断結果を示す情報であり、情報漏えいファイル検知装置12が検知結果として導き出すことを期待する結論である。本例では、情報漏えいファイル、もしくは通常ファイル(情報漏えいファイルではないファイル)の2種の値を取る。教師情報(クラス)は、学習情報DB124に格納された教師情報(キー情報)、および教師情報(属性)を、操作者が判断することによって、値を設定する。
次に、解析情報DB125については、図2を用いて説明する。
解析情報DB125は、キー情報と、属性情報とを含む。キー情報、および属性情報を構成する個々の項目は、前述した学習情報DB124の教師情報(キー情報)、および教師情報(属性)と同様である。
ここで、属性付与プログラム121における処理の流れと属性情報例について、図9、および図2(b)を用いて説明する。図9は、属性付与プログラムにおける処理の流れを示す図である。図2(b)は、属性情報の一例を示す図である。
図9に示すように、属性付与プログラム121(図7参照)が開始されると、キー収集装置11からキー情報を読み込む(ステップS901)。ここでは、図2に示す内容を含むキー情報(ファイル名12505が「[暴露]ABC大学卒業生名簿 20081225−054112.xls」であるキー情報)が読み込まれる。
読み込んだキー情報を構成する各項目を、キー情報として解析情報DB125に記録する(ステップS902)。
キー情報から、キー作成日時12501を取得する。ここでは、キー作成日時12501として「2009/1/1 00:00:00」を取得する(図2参照)(ステップS903)。
また、キー情報から、キー取得日時12502を取得する。ここでは、キー取得日時12502として「2009/1/1 00:00:50」を取得する(図2参照)(ステップS904)。
取得したキー取得日時12502からキー作成日時12501を引いた値(キー公開時差)を算出する。ここでは、50秒とするが、単位を秒に限定するものではない(ステップS905)。
次に、ファイル名12505([暴露]ABC大学卒業生名簿 20081225−054112.xls)から、拡張子「xls」を抽出する(ステップS906)。
そして、拡張子とファイル種別の対応表(図4(b))からファイル種別を判定する。ここでは、「ドキュメント」413という結果を得る(ステップS907)。
続いて、ファイル名12505([暴露]ABC大学卒業生名簿 20081225−054112.xls)に、図4(a)で表現可能な日付パターン401が含まれているかを判定する。ここでは、ファイル名に日付表現パターンと一致する「20081225」なる文字列が含まれていることから、日付文字列が含まれていると判定する(ステップS908)。
さらに、ファイル名12505([暴露]ABC大学卒業生名簿 20081225−054112.xls)に、図4(a)で表現可能な時刻パターン402が含まれているかを判定する。ここでは、ファイル名に時刻表現パターンと一致する「045112」なる文字列が含まれていることから、日付文字列が含まれていると判定する(ステップS909)。
次に、ファイル名12505([暴露]ABC大学卒業生名簿 20081225−054112.xls)を図5に示す形態素解析手法によって、単語に分割し、個々の単語の品詞を取得する(ステップS910)。形態素解析を実行するエンジンは、既存のツールやライブラリなどを導入して利用してよい。ここでは解析の結果、「[」が括弧、「暴露」が一般名詞、「]」が括弧、「ABC」が固有名詞、「大学」が一般名詞、「卒業」が一般名詞、「名簿」が一般名詞、「20081225」が数値、「−」が記号、「054112」が数値、が得られる。
形態素解析によって得られた結果をもとに、各品詞の出現数を計数する(ステップS911)。ここでは、計数対象として、固有名詞、一般名詞、記号、括弧、数値、および助詞を選択する。結果、ファイル名構成品詞(固有名詞)12513=1、ファイル名構成品詞(一般名詞)12514=4、ファイル名構成品詞(記号)12515=4、ファイル名構成品詞(括弧)12516=2、ファイル名構成品詞(数値)12517=2、およびファイル名構成品詞(助詞)12518=0を得る。なお、計数対象としての品詞として、動詞や、可算名詞などを選んでもよく、さらにファイル名構成品詞(固有名詞)12514の出現数とファイル名構成品詞(一般名詞)12515の出現数とを演算(例えば加算)したファイル名構成品詞数を新たに定義して選択しても構わない。
最後に、これまでの処理によって得られたキー公開時差12512=50秒、ファイル種別12511=ドキュメント、日付文字列の有無12519=あり、時刻文字列の有無12520=あり、ファイル名構成品詞(固有名詞)12513=1、ファイル名構成品詞(一般名詞)12514=4、ファイル名構成品詞(記号)12515=4、ファイル名構成品詞(括弧)12516=2、ファイル名構成品詞(数値)12517=2、およびファイル名構成品詞(助詞)12518=0、を解析情報DB125に記録する(ステップS912)。
次に、キー学習プログラム122における処理の流れと決定木の例について、図10、および図6を用いて説明する。図10は、キー学習プログラムにおける処理の流れを示す図である。図6は、教師情報、および決定木の一例を示す図である。
まず、キー学習プログラム122は、解析情報DB125からキー情報と属性情報との組を読み込む(ステップS1001)。ここでは、図6に示す教師情報601の一番上のレコード(ファイル名が「XXデビュー曲 シングル.mp3」であるキー情報)が読み込まれたとする。
次に、読み込まれたキー情報、および属性情報を操作者が閲覧し、このキー情報が情報漏えいファイルに関連する情報であるかを判断する(ステップS1002)。ここでは、「XXデビュー曲 シングル.mp3」が、情報漏えいファイルとは関わりがないと判断できることから、情報漏えいファイルではないと判断する。
ステップS1002の判断の結果(情報漏えいファイル=いいえ)を教師情報(クラス)に設定する(ステップS1003)。
そして、ステップS1001で読み込んだキー情報を教師情報(キー情報)として、属性情報を教師情報(属性)として、それぞれ学習情報DB124に記録する(ステップS1004)。
さらに、ステップS1003で設定した教師情報(クラス)を学習情報DB124に記録する(ステップS1005)。これらの教師情報(キー情報)、教師情報(属性)、および教師情報(クラス)の組が1つのキー情報に対応する教師情報となる。
次に、読み込んだキー情報の数と、予め設定した学習数とを比較し、読み込んだキー情報の数が学習数よりも多いか判定する(ステップS1006)。ここでは、学習数が1000であるとする。この段階で読み込んだキー情報の数が1であるため、ステップS1001に戻って、さらに教師情報を生成する。
ここからは、ステップS1001〜1006を繰り返し、ステップS1006で一定数に達したと判定されたことを前提に、次の処理へと進む。すなわち、この段階で、教師情報が1000個分のキー情報から生成されていることを意味する。
学習情報DB124に格納された教師情報601を決定木アルゴリズム602に入力して、決定木603を得る(ステップS1007)。ここでは、図6に示すように、決定木アルゴリズムとしてC4.5を利用し、決定木603として図示したルールを得る。ただし、決定木アルゴリズムの種類やアルゴリズムに与えるパラメータは限定するものではない。
ステップS1007によって得られた決定木603に基づき、キー学習プログラム122が実行可能な判定プログラム604を生成する(ステップS1008)。ここでは、図6に示す決定木603から、条件分岐を実装した判定用プログラムコードを生成する。
最後に、判定用プログラムコード604を決定木603として学習情報DB124に記録する(ステップS1009)。
次に、キー解析プログラム123における処理の流れについて、図11を用いて説明する。
まず、キー解析プログラム123は、解析情報DB125にキー情報と属性情報の組が存在するか否かを問い合わせる(ステップS1101)。
その結果、キー情報と属性情報の組が存在しなかった場合は、ステップS1101に戻る。また、キー情報と属性情報の組が存在した場合は、次の処理へと進む(ステップS1102)。すなわち、解析情報DB125にキー情報と属性情報の組が格納されるまで待つ処理をする。
解析情報DB125にキー情報と属性情報の組が格納されていれば、キー情報と属性情報の組を解析情報DB125から読み込む(ステップS1103)。
読み込んだキー情報と属性情報の組を、学習情報DB124に格納された決定木を用いて検査し、情報漏えいファイルであるか否かを判定する(ステップS1104)。
判定結果を参照し、情報漏えいファイルでなかった場合は、ステップS1101に戻る。また、情報漏えいファイルであった場合は、次の処理へと進む(ステップS1105)。
そして、情報漏えいファイルと判定されたキー情報をアラートとして操作者に通知する(ステップS1106)。アラートは、画面表示、メール、インスタントメッセージ、電話、あるいは無線呼び出しなどの通信手段を用いて、ファイル名12505、ファイルサイズ12503、キー作成日時12501、キー取得日時12502、ファイル所有ノード情報12506、ダウンロード数12509などの項目を含む情報を警告することをいう。
さらに、情報漏えいファイルと判定されたキー情報をキー送信装置13に通知する(ステップS1107)。キー送信装置13に通知する内容として、ファイル名12505、ハッシュ値12510、キー作成日時12501、公開者ID(トリップ)12503、ファイル所有ノード情報(IP・ポート番号)12506、キー所有ノード情報(IP・ポート番号)12507などを含む。
ここで、図1に示すキー送信装置13のキー送信プログラム131における処理の流れについて、図示はしないが説明する。
キー送信プログラム131は、情報漏えいファイル検知装置12のキー解析プログラム123から受け取ったキー情報をもとに、当該キー情報を無効にしてインターネット50に接続された1つあるいは複数のファイル共有ノード61に送信する。ここでキー情報を無効にするとは、キー情報に含まれるファイル所有ノード情報(IPアドレス・ポート番号)12506を、囮ノードや、自ノード(IPアドレスが127.0.0.1)など、本来のノードのIPアドレスとは異なるノードのIPアドレスに書き換えることによって、ダウンロードが出来ないように、キー情報に細工することをいう。
次に、本実施形態の情報漏えいファイル検知システムの動作を、図12を用いて説明する。図12は、本実施形態の攻撃ノード群検知システムの動作の一例を示す図である。
図12では、インターネット50(図1参照)に接続された複数のファイル共有ノード61、62がウイルスに感染したことによって情報漏えい事故が発生した場合について説明する。なお、図12において、キー収集装置11、情報漏えいファイル検知装置12、キー送信装置13は、図1に示したものと同様であるので、説明を省略する。
まず、ファイル共有ノード61のうちの1台が、ウイルスに感染する(ステップS1201)。次に、そのファイル共有ノード61において、ウイルスの仕業によって個人情報あるいは機密情報がファイル共有ソフトにアップロード設定され、情報漏えい事故が発生する(ステップS1202)。
情報漏えい事故によって放出されたファイルに関するキー情報は、キー収集装置11のキー収集プログラム111によって、通常のファイルに関するキー情報と共に収集される(ステップS1203)。
情報漏えいファイル検知装置12は、属性付与プログラム121によってキー収集装置11からキー情報を取得し(ステップS1204)、そのキー情報に含まれるキー情報のそれぞれについて関連する属性を導出し、付与する(ステップS1205)。操作者は、ステップS1205の処理までに得られたキー情報に関する情報(キー情報、および属性情報)から、それぞれのキー情報について、情報漏えいに関するファイルであるか否かを判断し(ステップS1206)、判断結果をクラスとして付与する(ステップS1207)。これらの処理によって得られたキー情報、属性情報、クラスをまとめて教師情報601といい、一定数集まった教師情報をキー学習プログラム122の決定木アルゴリズム602に入力して決定木学習を行う(ステップS1208)。決定木学習によって得られた情報漏えいファイルの判定用決定木603をキー解析プログラム123用に設定する(ステップS1209)。
ここで新たにファイル共有ノード62がウイルスに感染したとする(ステップS1210)。次に、そのファイル共有ノード62において、ウイルスの仕業によって個人情報あるいは機密情報がファイル共有ソフトにアップロード設定され、情報漏えい事故が発生する(ステップS1211)。
新たな情報漏えい事故によって放出されたファイルに関するキー情報は、キー収集装置11のキー収集プログラム111によって、通常のファイルに関するキー情報と共に収集される(ステップS1212)。
情報漏えいファイル検知装置12は、属性付与プログラム121によってキー収集装置11からキー情報を取得し(ステップS1213)、そのキー情報に含まれるキー情報のそれぞれについて関連する属性を導出し、付与する(ステップS1214)。さらに、キー解析プログラム123は、ステップS1209で設定された決定木603に従い、ファイル共有ノード62から取得したキー情報について、決定木判定を行う(ステップS1215)。そして、情報漏えいファイルであるのと判定結果から、このキー情報に関する情報(ここでは、ファイル名12505、ファイルサイズ12503、およびハッシュ値12510)をキー送信装置13のキー送信プログラム131に送信する(ステップS1216)。
情報漏えいファイル検知装置12からキー情報に関する情報を受け取ったキー送信装置13のキー送信プログラム131は、ファイル名12505、ファイルサイズ12503、ハッシュ値12510はそのままに、所有ノード情報(IPアドレス・ポート番号)12506をIPアドレス=127.0.0.1、ポート番号=10000に設定して、キー情報を無効にする(ステップS1217)。次に、無効にしたキー情報を、ファイル共有ノード61、62など、多数のノードに対して送信する(ステップS1218)。
上記の処理によって、ファイル共有ノード61、62は、無効にしたキー情報を保有することになり、このキー情報を利用してファイル共有ノード62が漏えいしてしまったファイルをダウンロードしようとしても、無効にしたキー情報の所有ノード情報(IPアドレス・ポート番号)12506に記載されたIPアドレス=127.0.0.1、ポート番号=10000にダウンロード接続することになり、ダウンロードができなくなる。
10:情報漏えいファイル検知システム、11:キー収集装置、12:情報漏えいファイル検知装置、13:キー送信装置、50:インターネット、61:ファイル共有ノード、62:ファイル共有ノード、111:キー収集プログラム、121:属性付与プログラム、122:キー学習プログラム、123:キー解析プログラム、124:学習情報DB、125:解析情報DB、131:キー送信プログラム、1201:演算部、1202:メモリ、1203:入力部、1204:表示部、1205:通信部、1206:記憶部。

Claims (11)

  1. ファイル共有ネットワークに接続し、
    前記ファイル共有ネットワークに流通するファイルに関して収集されたキー情報を格納するキー情報データベースを備えるキー情報収集装置と通信可能に接続され、
    前記キー情報データベースから、キー作成日時、キー取得日時、ファイルサイズ、公開者ID(トリップ)、ファイル名、ファイル所有ノード情報(IPアドレス・ポート番号)、キー所有ノード情報(IPアドレス・ポート番号)、キー寿命(TTL)、ダウンロード数(被参照数)、ハッシュ値を含む前記キー情報を取得し、
    該キー情報に含まれる前記ファイル名から導出するファイルの種別と、ファイル名を構成する単語の品詞の出現数と、ファイル作成日時と該ファイルに関わるキー作成日時との差と、日時を表す文字列の有無と、を属性情報として求め、前記キー情報と前記属性情報とを解析情報データベースに格納し、
    前記キー情報および前記属性情報の内容に基づいて、情報漏えいファイルを判定するためのルールである決定木を作成して学習情報データベースに格納し、
    前記解析情報データベースに格納された前記キー情報および前記属性情報と、前記学習情報データベースに格納された前記決定木とに基づき、該キー情報の取得元ファイルが情報漏えいファイルであるか否かを判定する
    ことを特徴とする情報漏えいファイル検知装置。
  2. 請求項1記載の情報漏えいファイル検知装置において、
    前記解析情報データベース内の前記キー情報を教師情報(キー情報)として、前記属性情報から教師情報(属性)を取得し、
    該教師情報(キー情報)および該教師情報(属性)に基づいて、操作者が漏えいファイルであるか否かを判断した結果を教師情報(クラス)として受け付け、
    該教師情報(キー情報)と、該教師情報(属性)と、該教師情報(クラス)とを、組として前記学習情報データベースに格納し、
    前記学習情報データベースの該教師情報(キー情報)と、該教師情報(属性)と、該教師情報(クラス)との組を複数含む教師情報に基づき、前記決定木を作成する
    ことを特徴とする情報漏えいファイル検知装置。
  3. 請求項1または2に記載の情報漏えいファイル検知装置において、
    前記演算装置が、新たに作成した教師情報に基づいて生成、更新した前記決定木に対応して、情報漏えいファイルの前記判定方法を変更する
    ことを特徴とする情報漏えいファイル検知装置。
  4. 請求項1から3のいずれか一に記載の情報漏えいファイル検知装置において、
    前記演算装置が、前記決定木との比較によって情報漏えいファイルであると判定した結果に応じて、該ファイルに関わる前記キー情報をキー送信装置に出力する
    ことを特徴とする情報漏えいファイル検知装置。
  5. 請求項1から4のいずれか一に記載の情報漏えいファイル検知装置において、
    前記ファイル共有ネットワークから共有ファイルに関する情報を収集し、前記キー情報を出力可能とし、該ファイル共有ネットワークに接続する任意のノードに対して任意の前記キー情報を送出するキー送信装置と通信可能に接続され、
    前記決定木との比較によって情報漏えいファイルであると判定した結果に応じて、該ファイルに関わる前記キー情報を前記キー送信装置に送信する
    ことを特徴とする情報漏えいファイル検知装置。
  6. ファイル共有ネットワークに流通するファイルに関する情報を収集し、情報漏えいファイルの拡散を防止する情報漏えいファイル検知装置において用いられる情報漏えいファイル検知方法であって、
    前記情報漏えいファイル検知装置は、演算部とデータベースとを備え、
    前記データベースは、前記キー収集装置から得られるキー作成日時、キー取得日時、ファイルサイズ、公開者ID(トリップ)、ファイル名、ファイル所有ノード情報(IPアドレス・ポート番号)、キー所有ノード情報(IPアドレス・ポート番号)、キー寿命(TTL)、ダウンロード数(被参照数)、ハッシュ値、のいずれか一つ以上の項目を含む情報をキー情報として、該キー情報に含まれるファイル名の拡張子から導出するファイルの種別と、ファイル名を構成する単語の品詞の出現数と、ファイル作成時間と該ファイルに関わるキー作成時間との差と、日時を表す文字列の有無とを属性情報として、キー情報および属性情報の内容に基づいて情報漏えいファイルを判定するためのルールを決定木として記憶し、
    前記演算部は、キー情報および属性情報と、決定木とを比較し、該キー情報が情報漏えいファイルであるか否かを判定する
    ことを特徴とする情報漏えいファイル検知方法。
  7. 請求項6に記載の情報漏えいファイル検知方法であって、
    ファイル共有ネットワークから共有ファイルに関する情報を収集し、情報漏えいファイルの拡散を防止する情報漏えいファイル検知装置において用いられる情報漏えいファイル検知方法であって、
    前記情報漏えいファイル検知装置は、演算部とデータベースとを備え、
    前記データベースは、前記キー情報を教師情報(キー情報)として、属性情報を教師情報(属性)として一定数切り出し、さらに該教師情報(キー情報)および該教師情報(属性)に基づいて操作者が漏えいファイルであるか否かを判断した結果を教師情報(クラス)として設定して得た、該教師情報(キー情報)と、該教師情報(属性)と、該教師情報(クラス)とをそれぞれ記憶し、
    前記演算部は、該教師情報(キー情報)と、該教師情報(属性)と、該教師情報(クラス)との組を複数組作成して得た教師情報を、決定木学習アルゴリズムに入力することによって、情報漏えいファイルを判定するための決定木を生成する
    ことを特徴とする情報漏えいファイル検知方法。
  8. 請求項6または7に記載の情報漏えいファイル検知方法であって、
    前記決定木の生成、更新に応じて、情報漏えいファイルの判定アルゴリズムを変更することを特徴とする
    ことを特徴とする情報漏えいファイル検知方法。
  9. 請求項6から8のいずれか一に記載の情報漏えいファイル検知方法であって、
    前記決定木との比較によって情報漏えいファイルであると判定した結果に応じて、該ファイルに関わる前記キー情報をキー送信装置に出力する
    ことを特徴とする情報漏えいファイル検知方法。
  10. 請求項6から9のいずれか一に記載の情報漏えいファイル検知方法であって、
    前記ファイル共有ネットワークから共有ファイルに関する情報を収集しキー情報を出力可能とし、該ファイル共有ネットワークに接続する任意のノードに対して任意のキー情報を送出するキー送信装置と通信可能に接続される情報漏えいファイル検知装置における情報漏えいファイル検知方法であって、
    前記決定木との比較によって情報漏えいファイルであると判定した結果に応じて、該ファイルに関わる前記キー情報を前記キー送信装置に送信する
    ことを特徴とする情報漏えいファイル検知方法。
  11. コンピュータを、請求項1から5のいずれか一に記載の情報漏えいファイル検知装置として、機能させるための情報漏えいファイル検知プログラム。
JP2010148487A 2010-06-30 2010-06-30 情報漏えいファイル検知装置、及びその方法とプログラム Active JP5135389B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010148487A JP5135389B2 (ja) 2010-06-30 2010-06-30 情報漏えいファイル検知装置、及びその方法とプログラム
US13/170,943 US20120005147A1 (en) 2010-06-30 2011-06-28 Information leak file detection apparatus and method and program thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010148487A JP5135389B2 (ja) 2010-06-30 2010-06-30 情報漏えいファイル検知装置、及びその方法とプログラム

Publications (2)

Publication Number Publication Date
JP2012014310A true JP2012014310A (ja) 2012-01-19
JP5135389B2 JP5135389B2 (ja) 2013-02-06

Family

ID=45400468

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010148487A Active JP5135389B2 (ja) 2010-06-30 2010-06-30 情報漏えいファイル検知装置、及びその方法とプログラム

Country Status (2)

Country Link
US (1) US20120005147A1 (ja)
JP (1) JP5135389B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017538181A (ja) * 2014-09-17 2017-12-21 マイクロソフト テクノロジー ライセンシング,エルエルシー ファイルの評価評定
JP2019184852A (ja) * 2018-04-11 2019-10-24 株式会社日立製作所 データ分析サーバ、データ分析システム、及びデータ分析方法
JP2021026475A (ja) * 2019-08-05 2021-02-22 尚久 矢作 データ監視装置、データ監視プログラム、及びコンピュータ読取可能な記録媒体

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8904531B1 (en) * 2011-06-30 2014-12-02 Emc Corporation Detecting advanced persistent threats
US11658996B2 (en) 2016-12-30 2023-05-23 British Telecommunications Public Limited Company Historic data breach detection
WO2018122049A1 (en) * 2016-12-30 2018-07-05 British Telecommunications Public Limited Company Data breach detection
US11611570B2 (en) 2016-12-30 2023-03-21 British Telecommunications Public Limited Company Attack signature generation
CN109977677A (zh) * 2017-12-28 2019-07-05 平安科技(深圳)有限公司 漏洞信息收集方法、装置、设备及可读存储介质
CN109655298B (zh) * 2019-01-10 2020-09-11 北京航空航天大学 一种大跨度金属屋面的故障实时预警方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003005970A (ja) * 2001-06-27 2003-01-10 Nec Corp 外れ値判定ルール生成装置と外れ値検出装置、及びその外れ値判定ルール生成方法と外れ値検出方法
JP2004157814A (ja) * 2002-11-07 2004-06-03 Fuji Electric Holdings Co Ltd 決定木生成方法およびモデル構造生成装置
WO2007141835A1 (ja) * 2006-06-02 2007-12-13 Duaxes Corporation 通信管理システム、通信管理方法、及び通信制御装置
JP2008140102A (ja) * 2006-12-01 2008-06-19 Mitsubishi Electric Corp 情報処理装置及び漏洩情報判定方法及びプログラム
JP2010097450A (ja) * 2008-10-17 2010-04-30 Intelligent Wave Inc クレジットカードの決済承認システム、クレジットカードの決済承認システムにおいて用いられるクレジットカード、端末装置及びホストコンピュータシステム、並びにクレジットカードの決済承認方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7673341B2 (en) * 2004-12-15 2010-03-02 Microsoft Corporation System and method of efficiently identifying and removing active malware from a computer
US7802299B2 (en) * 2007-04-09 2010-09-21 Microsoft Corporation Binary function database system
US8028338B1 (en) * 2008-09-30 2011-09-27 Symantec Corporation Modeling goodware characteristics to reduce false positive malware signatures
US8181251B2 (en) * 2008-12-18 2012-05-15 Symantec Corporation Methods and systems for detecting malware
US8204915B2 (en) * 2009-02-13 2012-06-19 Alcatel Lucent Apparatus and method for generating a database that maps metadata to P2P content
US8352409B1 (en) * 2009-06-30 2013-01-08 Symantec Corporation Systems and methods for improving the effectiveness of decision trees
US20110041179A1 (en) * 2009-08-11 2011-02-17 F-Secure Oyj Malware detection
US8190647B1 (en) * 2009-09-15 2012-05-29 Symantec Corporation Decision tree induction that is sensitive to attribute computational complexity
US8719939B2 (en) * 2009-12-31 2014-05-06 Mcafee, Inc. Malware detection via reputation system
US8401982B1 (en) * 2010-01-14 2013-03-19 Symantec Corporation Using sequencing and timing information of behavior events in machine learning to detect malware

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003005970A (ja) * 2001-06-27 2003-01-10 Nec Corp 外れ値判定ルール生成装置と外れ値検出装置、及びその外れ値判定ルール生成方法と外れ値検出方法
JP2004157814A (ja) * 2002-11-07 2004-06-03 Fuji Electric Holdings Co Ltd 決定木生成方法およびモデル構造生成装置
WO2007141835A1 (ja) * 2006-06-02 2007-12-13 Duaxes Corporation 通信管理システム、通信管理方法、及び通信制御装置
JP2008140102A (ja) * 2006-12-01 2008-06-19 Mitsubishi Electric Corp 情報処理装置及び漏洩情報判定方法及びプログラム
JP2010097450A (ja) * 2008-10-17 2010-04-30 Intelligent Wave Inc クレジットカードの決済承認システム、クレジットカードの決済承認システムにおいて用いられるクレジットカード、端末装置及びホストコンピュータシステム、並びにクレジットカードの決済承認方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017538181A (ja) * 2014-09-17 2017-12-21 マイクロソフト テクノロジー ライセンシング,エルエルシー ファイルの評価評定
JP2019184852A (ja) * 2018-04-11 2019-10-24 株式会社日立製作所 データ分析サーバ、データ分析システム、及びデータ分析方法
JP2021026475A (ja) * 2019-08-05 2021-02-22 尚久 矢作 データ監視装置、データ監視プログラム、及びコンピュータ読取可能な記録媒体
JP7324648B2 (ja) 2019-08-05 2023-08-10 尚久 矢作 データ監視装置、データ監視プログラム、及びコンピュータ読取可能な記録媒体

Also Published As

Publication number Publication date
JP5135389B2 (ja) 2013-02-06
US20120005147A1 (en) 2012-01-05

Similar Documents

Publication Publication Date Title
JP5135389B2 (ja) 情報漏えいファイル検知装置、及びその方法とプログラム
JP2996937B2 (ja) サーバ
JP4222184B2 (ja) セキュリティ管理支援システム、セキュリティ管理支援方法およびプログラム
CN101484894B (zh) 继承维基页面的维基页面布局的方法
EP2728508B1 (en) Dynamic data masking
US20030202012A1 (en) Method, system and program product for determining differences between an existing graphical user interface (GUI) mapping file and a current GUI
WO2017165018A1 (en) Automated event id field analysis on heterogeneous logs
KR20040080844A (ko) 정적 분석을 이용한 악성 스크립트 감지 방법
KR20010112834A (ko) 검색 요구 처리 방법, 장치, 프로그램 제품 및 바이러스데이터베이스 구축 방법, 장치, 프로그램 제품
JP2010146457A (ja) 情報処理システムおよびプログラム
JP2010507178A (ja) 電子カタログ
AU2007202450B2 (en) Information processing apparatus, information processing system, and program
JP5302149B2 (ja) Webアクセスログ確認システムと方法およびプログラム
JP2001202283A (ja) コンテンツ更新状況監視システム
JP2007109016A (ja) アクセスポリシ生成システム、アクセスポリシ生成方法及びアクセスポリシ生成用プログラム
US6983486B1 (en) Method and apparatus for establishing security scanner attributes in a computer system
JP2009053896A (ja) 不正操作検出装置およびプログラム
JP5228529B2 (ja) データ検索プログラム、データ検索装置およびデータ検索方法
US20040015742A1 (en) Method and system for allowing customization of remote data collection in the event of a system error
JP7003571B2 (ja) 情報処理装置及びプログラム
JP2009199356A (ja) ファイルイベント相関生成装置、管理装置、及びコンピュータプログラム
JP3761911B2 (ja) ファイルサーバおよびファイル管理方法
Väisänen et al. Combining real-time risk visualization and anomaly detection
JP5257578B2 (ja) 情報処理プログラムおよび情報処理装置
JP4799486B2 (ja) 検査システム、サーバ装置及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120319

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120719

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120724

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120920

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121016

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121112

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151116

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5135389

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250