JP2015082191A - Information processing device and information processing method - Google Patents
Information processing device and information processing method Download PDFInfo
- Publication number
- JP2015082191A JP2015082191A JP2013219492A JP2013219492A JP2015082191A JP 2015082191 A JP2015082191 A JP 2015082191A JP 2013219492 A JP2013219492 A JP 2013219492A JP 2013219492 A JP2013219492 A JP 2013219492A JP 2015082191 A JP2015082191 A JP 2015082191A
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- processing apparatus
- monitoring
- executed
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ウィルス等の不正プログラムに対するセキュリティ技術に関するものである。 The present invention relates to security technology against malicious programs such as viruses.
従来より、コンピュータシステムの脆弱性などのセキュリティホールを攻撃して侵入する不正プログラム(ウィルス、ワームなどのマルウェア)が、個人・企業を問わず社会的に重要な問題となっている。 Conventionally, malicious programs (malware such as viruses and worms) that intrude by attacking security holes such as computer system vulnerabilities have become a socially important problem regardless of individuals or companies.
この不正プログラムは、コンピュータの制御を奪い、コンピュータに格納されているデータの破壊や外部への不正なデータ送信、侵入したコンピュータを利用して新たに第三者に対する攻撃活動を行う。例えば、コンピュータシステムで実行されるプロセスの内部では、複数のモジュールが動作しており、このモジュールに脆弱性が存在する場合に該当のモジュールを狙った攻撃と侵入が行われる。このような不正プログラムに対しては、現在も定義ファイルに依る検知方式が主流である。 This unauthorized program takes control of the computer, destroys data stored in the computer, transmits unauthorized data to the outside, and performs a new attacking action against a third party using the intruded computer. For example, a plurality of modules are operating in a process executed by a computer system, and when a vulnerability exists in this module, an attack and intrusion targeting the corresponding module are performed. For such malicious programs, detection methods based on definition files are still mainstream.
しかしながら、上記の従来技術(特許文献1)では、既知の不正プログラムしか検知することができず、ゼロデイ攻撃等の未知の不正プログラムを検知することができないという課題があった。さらに、このような不正プログラムは、新種が1日あたりに数万種以上も出現しており、もはや定義ファイルによる検知方式は崩壊している。 However, the above-described prior art (Patent Document 1) has a problem that only known malicious programs can be detected, and unknown malicious programs such as zero-day attacks cannot be detected. Furthermore, more than tens of thousands of new types of such malicious programs appear per day, and the detection method based on definition files is no longer broken.
本発明はこのような問題に鑑みてなされたものであり、従来から使用されている定義ファイルに依存せずに不正プログラムの検知を可能にする技術を提供する。 The present invention has been made in view of such problems, and provides a technique that enables detection of a malicious program without depending on a definition file that has been used conventionally.
本発明の一様態は、情報処理装置内で実行されるプロセスの動作を監視するための第一の監視手段と、該情報処理装置に対するユーザからの指示を監視するための第二の監視手段と、を有する該情報処理装置であって、前記第二の監視手段が前記指示を検知していない期間中に前記プロセスによって規定の動作が実行されていることを前記第一の監視手段が検知した場合には、該情報処理装置に対して制御を行う制御手段を備えることを特徴とする。 According to one aspect of the present invention, a first monitoring unit for monitoring an operation of a process executed in the information processing apparatus, a second monitoring unit for monitoring an instruction from the user to the information processing apparatus, The first monitoring unit detects that a prescribed operation is being executed by the process during a period in which the second monitoring unit does not detect the instruction. In this case, the information processing apparatus includes a control unit that controls the information processing apparatus.
本発明の構成によれば、従来から使用されている定義ファイルに依存せずに不正プログラムを検知することができる。 According to the configuration of the present invention, a malicious program can be detected without depending on a definition file that has been used conventionally.
以下、添付図面を参照し、本発明の好適な実施形態について説明する。なお、以下説明する実施形態は、本発明を具体的に実施した場合の一例を示すもので、特許請求の範囲に記載の構成の具体的な実施例の1つである。 Preferred embodiments of the present invention will be described below with reference to the accompanying drawings. The embodiment described below shows an example when the present invention is specifically implemented, and is one of the specific examples of the configurations described in the claims.
[第1の実施形態]
インターネットの普及により見知らぬ第三者装置との情報のやり取りを行う機会が非常に増えた結果、悪意のある第三者装置との情報のやり取りを行う機会も増えた。このような悪意のある第三者装置により不正なプログラムが実行された情報処理装置は、該情報処理装置が不正な処理を実行するだけではない。すなわち、該情報処理装置が接続されるLAN(例えば、社内LANや家庭内LANなど)に接続されている他の装置や該情報処理装置を踏み台にした新たな不正行為が実行されるなど、様々な問題が発生する。このような問題は、単に個人的な問題に留まらず、社会的に大きな問題(犯罪)へと繋がっており、非常に大きな問題となっている。このようなことから、各種サーバなどの情報処理装置を抱える企業などでは、不正な攻撃や侵入を実行する不正プログラムを素早く正確に検知する手法が切望されている。
[First Embodiment]
As a result of the widespread use of the Internet, opportunities for exchanging information with unknown third-party devices have greatly increased, and as a result, opportunities for exchanging information with malicious third-party devices have also increased. An information processing apparatus in which an unauthorized program is executed by such a malicious third-party apparatus is not only performed by the information processing apparatus. That is, various other devices such as another device connected to a LAN (for example, an in-house LAN or a home LAN) to which the information processing device is connected, and a new illegal act using the information processing device as a stepping stone are executed. Problems occur. Such a problem is not only a personal problem, but has led to a large social problem (crime), which is a very large problem. For this reason, companies that have information processing devices such as various servers are eagerly desired to quickly and accurately detect unauthorized programs that execute unauthorized attacks and intrusions.
なお、「不正な攻撃」とは、コンピュータシステムに対して、本来それが実行しようとする処理とは異なる、意図しない動作を実行させようとすることを示す。また、「侵入」とは、攻撃によって本来意図しない動作をさせることによってシステムの一部もしくは全部の制御を奪うことを示す。 Note that “illegal attack” indicates that the computer system is to perform an unintended operation different from the process that the computer system originally intends to execute. The term “intrusion” means that a part or all of the system is taken away by causing an unintended operation by an attack.
本実施形態に係る情報処理装置は、プログラムに従って演算処理を実行するコンピュータシステムである。例えば、Webサーバ、コンテンツサーバ、DNSサーバ等のユーザにサービスを提供するサーバ装置をはじめ、個人的に使用されるパーソナルコンピュータシステム、ルーターやL3スイッチ等のネットワーク機器等の装置である。そして本実施形態に係る情報処理装置は、システムの内部まで詳細に監視することを可能とし、さらには、不正な攻撃や侵入を実行する不正プログラムを素早く正確に検知することを可能にする。 The information processing apparatus according to the present embodiment is a computer system that executes arithmetic processing according to a program. For example, a server device that provides services to users such as a Web server, a content server, and a DNS server, personal computer systems used personally, and network devices such as routers and L3 switches. The information processing apparatus according to the present embodiment enables detailed monitoring up to the inside of the system, and further enables to quickly and accurately detect unauthorized programs that execute unauthorized attacks and intrusions.
先ず、本実施形態に係る情報処理装置のハードウェア構成例について、図9のブロック図を用いて説明する。なお、本実施形態に適用可能な情報処理装置のハードウェア構成は、図9に示した構成に限るものではなく、以下に情報処理装置が行うものとして説明する各処理を実行可能な構成であれば、如何なる構成を採用しても構わない。 First, a hardware configuration example of the information processing apparatus according to the present embodiment will be described with reference to the block diagram of FIG. Note that the hardware configuration of the information processing apparatus applicable to the present embodiment is not limited to the configuration illustrated in FIG. 9, and may be a configuration capable of executing each process described below as performed by the information processing apparatus. Any configuration may be adopted.
CPU91は、ROM92やRAM93に格納されているコンピュータプログラムやデータを用いて各種の処理を実行することで、本装置全体の動作制御を行うと共に、本装置が行うものとして後述する各処理を実行する。また、CPU91は、計時するためのタイマ機能も有している。
The
ROM92には、本装置の設定データやブートプログラムなどが格納されている。
The
RAM93は、HDD(ハードディスクドライブ)94からロードされたコンピュータプログラムやデータを一時的に記憶するためのエリアや、インターフェース97を介して外部から受信したデータを一時的に記憶するためのエリアを有する。また、RAM93は、CPU91が各種の処理を実行する際に用いるワークエリアも有する。すなわち、RAM93は、各種のエリアを適宜提供することができる。
The
HDD94には、OS(オペレーティングシステム)や、本装置が行うものとして後述する各処理をCPU91に実行させるためのコンピュータプログラムやデータが保存されている。このコンピュータプログラムには、後述するプロセスモニタ(第一の監視手段)やシステムモニタ(第二の監視手段)、が含まれている。また、このデータには、後述するリストのデータが含まれている。HDD94に保存されているコンピュータプログラムやデータは、CPU91による制御に従って適宜RAM93にロードされ、CPU91による処理対象となる。
The HDD 94 stores an OS (Operating System) and computer programs and data for causing the
入力装置95は、キーボードやマウスなどの操作入力インターフェースであり、本装置のユーザが操作することで、各種の指示をCPU91に対して入力することができる。
The
表示装置96は、CRTや液晶画面などにより構成されており、CPU91による処理結果を画像や文字などでもって表示することができる。
The
インターフェース97は、本装置をLANやインターネットなどのネットワークに接続するインターフェースや、本装置にUSBメモリなどの外部メモリを接続するためのインターフェースなどにより構成されている。
The
上記の各部は何れも、バス98に接続されている。
Each of the above parts is connected to the
次に、HDD94内で管理されているプロセス、プロセスモニタ、システムモニタ、そして、それらに関連する周辺ユニットについて、図1を用いて説明する。
Next, a process managed in the
OS110は、様々なプロセスを管理しており、それぞれのプロセスには、該プロセスの動作を監視するプロセスモニタが設定されている。より具体的には、プロセスモニタは、プロセスに注入(コードインジェクション)されている。そしてプロセスモニタは、プロセスの動作を監視し、他プロセスの起動や、該プロセスによるファイルアクセス、該プロセスによるネットワークアクセス、該プロセスによるAPI114の呼び出し等の動作があったか否かを検知する。
The OS 110 manages various processes, and a process monitor that monitors the operation of the process is set for each process. More specifically, the process monitor is injected (code injection) into the process. Then, the process monitor monitors the operation of the process, and detects whether there is an operation such as activation of another process, file access by the process, network access by the process,
図1では例として、OS110はプロセスA及びプロセスBを管理しており、プロセスAにはプロセスモニタAが設定されており、プロセスBにはプロセスモニタBが設定されている。
In FIG. 1, as an example, the
なお、プロセスモニタは実際には、プロセスの内部のモジュール毎に設定され、モジュール毎にその動作を監視するのであるが、以下では説明を簡単にするために、プロセスモニタはプロセスに対して設定されるものとして説明する。 The process monitor is actually set for each module in the process, and its operation is monitored for each module. However, in order to simplify the explanation, the process monitor is set for the process. It will be described as a thing.
また、OS110は、システムモニタ111も管理している。システムモニタ111は、プロセスによらない本装置の挙動を監視するものである。例えば、ユーザが入力装置95(図1では入力デバイス112)を操作したことで発生する本装置への指示入力イベント、ウィンドウメッセージ、インターフェース97(図1では通信I/F113)を介した印刷出力などの出力イベント、を監視する。
The OS 110 also manages the
このように、システムモニタ及びプロセスモニタを注入することで、ユーザによる入力イベントからシステムの動作に関する詳細な情報をあまねく取得することができる。したがって、コンピュータシステムで発生した各種情報を収集することにより、システムの内部まで詳細に監視することを可能とし、さらには、不正な攻撃や侵入を実行する不正プログラムを素早く正確に検知することができる。なお、プロセスモニタは、APIフック、フィルタドライバ等のプロセスを監視できるものなら何でもよい。 As described above, by injecting the system monitor and the process monitor, detailed information regarding the operation of the system can be obtained from the input event by the user. Therefore, by collecting various types of information generated in the computer system, it is possible to monitor in detail even the inside of the system, and furthermore, it is possible to quickly and accurately detect unauthorized programs that execute unauthorized attacks and intrusions. . The process monitor may be anything that can monitor processes such as API hooks and filter drivers.
次に、プロセスモニタについて説明する。プロセスモニタは、何れのプロセスに対するものでも共通の構成を有するため、以下では、プロセスAに対するプロセスモニタを例にとり説明する。 Next, the process monitor will be described. Since the process monitor has a common configuration for all processes, the process monitor for process A will be described below as an example.
プロセスモニタAは、図3に例示するように、制御部301と、監視部302と、を有する。制御部301は、監視部302による監視結果に応じて、プロセスAの動作制御を行うためのものである。監視部302は、プロセスAの動作を監視し、他プロセスの起動や、プロセスAによるファイルアクセス、プロセスAによるネットワークアクセス、プロセスAによるAPI114の呼び出し等の動作があったか否かを検知する。より具体的には、監視部302は、プロセスAにより発生した情報として、プロセスAによるAPI呼び出しやシステムコール呼び出し等の情報を収集する。より具体的には、プロセスモニタの監視部302は、プロセスAにより発生した情報として、例えば、モジュールの種類、呼び出された関数の種類、引数の値、読み出し元アドレス、タイムスタンプなどを取得する。そして監視部302は、収集した情報から、不正な攻撃や侵入を示す挙動、すなわち、ファイルアクセス、ネットワークアクセス、他プロセスの起動、などの動作があったか否かを検知する。
As illustrated in FIG. 3, the process monitor A includes a
システムモニタは、図2に例示するように、監視部201を有する。監視部201は、プロセスによらない本装置の動作に関する情報を収集する。そして監視部201は、この収集した情報に基づいて、本装置の動作に関するイベントを検知する。例えば、ユーザが入力装置95(図1では入力デバイス112)を操作したことで発生する本装置への指示入力イベント、ウィンドウメッセージ、インターフェース97(図1では通信I/F113)を介した印刷出力等の出力イベントがあったか否かを検知する。
The system monitor includes a
監視部201が、入力装置95に対するユーザ操作に応じた指示入力イベントを検知していない期間中に、プロセスモニタAの監視部302が、ファイルアクセス、ネットワークアクセス、他プロセスの起動、などの動作を検知したとする。このとき、プロセスモニタAの制御部301は、プロセスAを不正プログラムとみなし、該プロセスAの動作を強制停止させる。なお、このプロセスモニタAの制御部301は、この強制停止に代えて、若しくは加えて、不正プログラムとしてプロセスAが検知された旨を記した電子メールを規定の送信先(例えばシステム管理者)に送信するようにしても良い。また、SNMPマネージャに対して、SNMPトラップで通知するようにしても構わない。
During a period when the
また、不正プログラムを検知すると、すぐに情報処理装置をネットワークから切り離して、被害の拡大を防ぐ必要がある。そこで、制御部301は、不正プログラムの動作の強制停止を行うと、不正プログラムによる被害の拡大を防ぐために、情報処理装置が有する全てのインターフェースを停止させる。すなわち、自動的にネットワーク接続を切り離し、USBデバイスなどの外部記憶装置からのデータ入力をすべて停止させ、さらなる不正プログラムの実行を防止するためプロセス実行も禁止する。このように、不正プログラムを検知した場合に実行する処理には、様々な処理が考えられる。
In addition, when a malicious program is detected, it is necessary to immediately disconnect the information processing apparatus from the network to prevent the damage from spreading. Therefore, when the
なお、情報処理装置には明らかに不正ではないプロセスも常駐しており、この不正ではないプロセスが、ユーザによる操作を検出できない期間中にファイルアクセス、ネットワークアクセス等の動作を行っている可能性がある。このような場合、この不正ではないプロセスが、システムモニタ及びプロセスモニタにより不正プログラムとして検知されてしまう。 Note that there is also a process that is clearly illegitimate in the information processing apparatus, and this non-illegal process may perform operations such as file access and network access during a period in which user operations cannot be detected. is there. In such a case, this non-invalid process is detected as an illegal program by the system monitor and the process monitor.
そこで、このような問題に対処するために、不正ではないプロセス(非不正プロセス)を特定するための情報(例えばプロセス名)を予めリスト(ホワイトリスト)に登録しておく。このリストの構成例を図4に示す。図4では、不正ではないと予め分かっているプロセスのプロセス名が、リストに登録されている。 Therefore, in order to deal with such a problem, information (for example, process name) for specifying a process that is not unauthorized (non-illegal process) is registered in a list (white list) in advance. A configuration example of this list is shown in FIG. In FIG. 4, the process names of processes that are known not to be illegal are registered in the list.
例えば、監視部201が上記指示入力イベントを検知していない期間中に、プロセスモニタAの監視部302が、ファイルアクセス、ネットワークアクセス、他プロセスの起動、などの動作を検知したとする。このとき、プロセスモニタAの制御部301は、プロセスAを不正プログラムとみなす前に、上記のリストを参照する。そしてプロセスモニタAの制御部301は、上記のリストにプロセスAの情報が登録されているか否かを判断し、登録されていれば、プロセスAは不正プログラムではないと判断する。一方、登録されていなければ、プロセスAを不正プログラムと判断する。なお、上記のリストの使用方法には様々な使用方法が考えられ、特定の使用方法に限るものではない。例えば、リストに登録されているプロセスのプロセス名をプロセスモニタの監視部302が監視するプロセスの監視対象から予め外しておくことも可能である。このようにしておくことによって、明らかに不正でないプロセスを不正プログラムとして誤って検知してしまうことを防ぐことができる。また、ステップS701では、該プロセスのうち図4のリストに登録されているプロセスを予め監視対象から外しておくこともできる。
For example, it is assumed that the
次に、情報処理装置が行う処理について、同処理のフローチャートを示す図7を用いて説明する。なお、以下では、システムモニタの監視部201、プロセスモニタの制御部301、プロセスモニタの監視部302、を処理の主体として説明するが、実際には、これらの機能部をCPU91が実行することで、対応する処理が実行される。
Next, processing performed by the information processing apparatus will be described with reference to FIG. 7 showing a flowchart of the processing. In the following description, the system monitor
ステップS701では、OS110が管理するそれぞれのプロセスに対するプロセスモニタの監視部302は、該プロセスの動作の監視を開始する。
In step S701, the process monitor
ステップS702では、システムモニタの監視部201は、ユーザが入力装置95を操作したことで発生する本装置への指示入力イベントや、ウィンドウメッセージ、インターフェース97を介した印刷出力などの出力イベント、があったか否かを判断する。この判断の結果、なかったと判断した場合には、処理はステップS703に進み、あったと判断した場合には、図7のフローチャートに従った処理を終了する。
In step S <b> 702, the
ステップS703では、それぞれのプロセスに対するプロセスモニタの監視部302は、該プロセスがネットワークにアクセスしようとしているのか否かを、該プロセスにより発生した情報から判断する。この判断の結果、1つ以上のプロセスがネットワークにアクセスしようとしている場合には、処理はステップS706に進み、ネットワークにアクセスしようとしているプロセスがない場合には、処理はステップS704に進む。
In step S703, the process monitor
ステップS704では、それぞれのプロセスに対するプロセスモニタの監視部302は、該プロセスがファイルにアクセスしようとしているのか否かを、該プロセスにより発生した情報から判断する。この判断の結果、1つ以上のプロセスがファイルにアクセスしようとしている場合には、処理はステップS706に進み、ファイルにアクセスしようとしているプロセスがない場合には、処理はステップS705に進む。
In step S704, the
ステップS705では、それぞれのプロセスに対するプロセスモニタの監視部302は、該プロセスが再起動しようとしているのか否かを、該プロセスにより発生した情報から判断する。この判断の結果、1つ以上のプロセスが所定の期間内に所定の回数以上再起動をしようとしている場合(例えば17時から翌日の9時の間に再起動2回以上の場合)、処理はステップS706に進む。一方、再起動しようとしているプロセスがない場合には、図7のフローチャートに従った処理を終了する。なお、ステップS703、S704、S705を実行する順序は、任意であり、どのような順序で実行してもかまわない。
In step S705, the process monitor
ステップS706では、ネットワークにアクセスしようとしている、若しくはファイルにアクセスしようとしている、若しくは再起動しようとしているプロセス(以下、対象プロセス)に対するプロセスモニタの制御部301は、上記のリストを参照する。そして対象プロセスに対するプロセスモニタの制御部301は、該リストに、対象プロセスの情報が登録されているか否かを判断する。この判断の結果、登録されていれば、対象プロセスは不正プログラムではないと判断し、図7のフローチャートに従った処理を終了する。一方、登録されていなければ、対象プロセスを不正プログラムと判断し、ステップS707に進む。
In step S <b> 706, the process
そしてステップS707では、対象プロセスに対するプロセスモニタの制御部301は、該対象プロセスを停止させたりウィルスを駆除するように予め設定がなされている、若しくはユーザが入力装置95を用いて指示しているか否かを判断する。この判断の結果、対象プロセスを停止させたりウィルスを駆除するように予め設定がなされている、若しくはユーザが入力装置95を用いて指示している場合には、処理はステップS708に進む。一方、このような指示も設定もなされていない場合には、図7のフローチャートに従った処理を終了する。
In step S707, the
ステップS708では、対象プロセスに対するプロセスモニタの制御部301は、該対象プロセスを停止させる。なお、上述したように、本ステップでは、これに代えて、若しくは加えて、不正プログラムとして対象プロセスが検知された旨を記した電子メールを規定の送信先に送信しても良い。また、上述したように、本ステップでは、情報処理装置が有する全てのインターフェースを停止させるようにしても良い。
In step S708, the process
また、上記の通り、リストに登録されているプロセスを予め監視対象から外す処理を行うことも可能である。その場合、ステップS701では、リストに登録されているプロセスを予め監視対象から外し、監視対象とするプロセス(リストに登録されていないプロセス)を監視する。そしてこの場合、ステップS706では、監視対象のプロセスによって規定の動作が実行されていることを検知すると、上記のリストを参照することなく、このプロセスが不正プログラムであると判断する。 Further, as described above, it is also possible to perform processing for previously removing processes registered in the list from monitoring targets. In that case, in step S701, the processes registered in the list are excluded from the monitoring targets in advance, and the processes to be monitored (processes not registered in the list) are monitored. In this case, in step S706, when it is detected that the prescribed operation is being executed by the process to be monitored, it is determined that this process is a malicious program without referring to the above list.
このように、本実施形態によれば、ユーザによる情報処理操作およびプロセスの振る舞いにより不正プログラムの検知を行うため、定義ファイルに依らない不正プログラムの検知が可能となる。 As described above, according to the present embodiment, since the malicious program is detected by the information processing operation and the process behavior by the user, the malicious program can be detected without depending on the definition file.
また、ホワイトリストに明らかに不正プログラムではないプロセスを登録しておくことで、不正プログラムとして誤検知する確率を下げることができ、より的確に不正プログラムの検知を行うことができる。 In addition, by registering a process that is clearly not a malicious program in the white list, the probability of erroneous detection as a malicious program can be reduced, and a malicious program can be detected more accurately.
また、不正プログラムを検知すると、情報処理装置に備え付けられている各種インターフェースを自動的に遮断するため、未検知の不正プログラムを含めた不正プログラムによる被害を拡散させることなく最小限に抑えることができる。 In addition, when a malicious program is detected, various interfaces provided in the information processing device are automatically blocked, so that damage caused by a malicious program including undetected malicious programs can be minimized. .
[第2の実施形態]
本実施形態では、システムモニタは監視部201に加えて制御部を有し、該制御部は、不正プログラムが検知されると、ネットワークの接続先を強制的に変更する。本実施形態では、システムモニタの制御部は、不正プログラムが検知されると、ネットワークの接続先を検疫ネットワークに切り替える。
[Second Embodiment]
In the present embodiment, the system monitor has a control unit in addition to the
検疫ネットワークとは、LAN等のネットワークに接続しようとしている機器を、該ネットワークとは隔離されたネットワークに接続させ、その機器の安全性の確認を行う仕組みに利用されるネットワークである。もし安全性が確認できなければ、修正プログラムや最新のウィルス定義ファイル等を適用してからネットワークに接続させることもできる。このような仕組みにより、ネットワークには安全とみなされた機器のみが接続できるようになり、ネットワークをセキュアに保つことができる。また、検疫ネットワークへの隔離方式には、DHCP認証方式、認証VLAN方式、パーソナルファイヤーウォール方式、認証ゲートウェイ方式等があり、それぞれの特性により適材適所で用いられる。 The quarantine network is a network used for a mechanism for connecting a device to be connected to a network such as a LAN to a network isolated from the network and confirming the safety of the device. If safety cannot be confirmed, it is possible to connect to the network after applying a patch or the latest virus definition file. With such a mechanism, only devices regarded as safe can be connected to the network, and the network can be kept secure. In addition, isolation methods for the quarantine network include a DHCP authentication method, an authentication VLAN method, a personal firewall method, an authentication gateway method, and the like.
第1の実施形態で説明した情報処理装置が複数台接続されているネットワークシステムの構成例について、図5を用いて説明する。図5において、情報処理装置501〜503は何れも、第1の実施形態で説明した情報処理装置である。それぞれの情報処理装置501〜503は何れも、ネットワーク505に接続されているスイッチ504に接続されている。ネットワーク505には、検疫ネットワーク507が接続されている。この検疫ネットワーク507には、隔離部508、検査部509、治療部510が含まれている。
A configuration example of a network system in which a plurality of information processing apparatuses described in the first embodiment are connected will be described with reference to FIG. In FIG. 5, all of the
情報処理装置501〜503内のシステムモニタの制御部は、不正プログラムが検知されると、ネットワークの接続先を検疫ネットワーク507に変更する。CPU91は、スイッチ504及び隔離部508と連携し、本装置を検疫ネットワーク507に接続する。
The control unit of the system monitor in the
検査部509は、検疫ネットワーク507に接続されている情報処理装置内のOS110や各種ソフトウェアに適用されている修正プログラムやバージョン、ウィルスソフトの定義ファイル情報等、セキュリティに関わる情報を、該情報処理装置から収集する。そして検査部509は、これら収集した情報から、該情報処理装置が安全か否かを判断し、安全と判断すれば、該情報処理装置に対してネットワーク505上の他の機器への接続を許可する。一方、検査部509は、安全ではないと判断すれば、その旨を治療部510に通知する。このような安全か否かの判断は、一般のウィルスチェックで行うようにしても構わないし、特定の方法に限るものではない。例えば、OS110やソフトウェア等に最新の修正プログラムが適用されているか、最新の不正プログラムの定義ファイルが適用されているかなどを検査し、もし適用されていなければ、安全ではないと判断する。
The
治療部510は、検疫ネットワーク507に接続されている情報処理装置内のOS110やソフトウェアの最新の修正プログラムやウィルスソフトの定義ファイルなど、該情報処理装置を安全に保つために必要な処置を、該情報処理装置に対して行う。そして検査部509は、これらを適用した結果、該情報処理装置が安全であると判断した場合には、該情報処理装置に対してネットワーク505上の他の機器への接続を許可する。
The
情報処理装置のCPU91は、検疫ネットワーク507からネットワーク505上の他の機器への接続許可を受けると、スイッチ504を制御し、ネットワーク505上の他の機器に対してアクセス可能に設定する。
When the
このように、本実施形態によれば、不正プログラムを検知すると、自動的に検疫ネットワークに隔離され、検査及び治療により最新の修正プログラムやウィルス定義ファイルを適用し、安全な状態に復旧させることができる。OS110やソフトウェアに対する既知の脆弱性への攻撃の多くは、最新の修正プログラムが適用されていれば防ぐことができるため、その効果は高い。
As described above, according to the present embodiment, when a malicious program is detected, it is automatically isolated to the quarantine network, and the latest correction program and virus definition file are applied by inspection and treatment to restore to a safe state. it can. Many of the attacks on known vulnerabilities to the
[第3の実施形態]
第1の実施形態や第2の実施形態で説明した情報処理装置は、ネットワーク上の機器と連携し、よりセキュアな環境を構築することが可能である。例えば、ゲートウェイ機器であるファイヤーウォールなどと連携することで、不正プログラムとC&Cサーバ(コマンド&コントロールサーバ)との通信やボットと成り代った不正プログラムによる外部への通信を遮断することができる。
[Third Embodiment]
The information processing apparatus described in the first embodiment or the second embodiment can construct a more secure environment in cooperation with devices on the network. For example, it is possible to block communication between a malicious program and a C & C server (command & control server) or communication by a malicious program impersonating a bot by linking with a firewall as a gateway device.
既にサポートが切れたOSをやむを得ず使用し続けなければならないことは企業であれば多々ある。この場合には、当然ながらOSの修正プログラムが提供されないため、修正プログラムを適用することができない。修正プログラムを適用できなければ、セキュリティ上の脆弱性を抱えたままシステムを運用することになる。また、基幹系システム等を運用している場合、OSに対して修正プログラムを適用すると、修正プログラムの不具合等の原因により基幹系システム等が動作しなくなる恐れがあるため、簡単には修正プログラムを適用することができないことも多い。このような場合は、情報処理装置は、不正プログラムによる脆弱性への攻撃を受けやすく、リスクを保有しながらシステムを運用し続けなければならない。 There are many companies that have to continue to use an OS that is no longer supported. In this case, of course, since the OS correction program is not provided, the correction program cannot be applied. If the patch cannot be applied, the system will be operated with security vulnerabilities. Also, if you are operating a mission critical system, etc., if you apply a modification program to the OS, there is a risk that the mission critical system may not operate due to a problem with the modification program. Often not applicable. In such a case, the information processing apparatus is susceptible to attacks on vulnerabilities by malicious programs, and must continue to operate the system while holding risks.
情報処理装置内のOSやソフトウェアに対して修正プログラムが適用されていない場合、情報処理装置が抱えているバッファオーバーフロー等の脆弱性に対する攻撃を受けると、不正にプログラムが実行され、情報処理装置に不正プログラムが設置される。 When a modification program is not applied to the OS or software in the information processing apparatus, if the information processing apparatus is attacked against a vulnerability such as a buffer overflow, the program is executed illegally and the information processing apparatus A malicious program is installed.
ネットワーク上のある情報処理装置で不正プログラムが検出されると、その不正プログラムの特性上、該情報処理装置と同様の脆弱性を抱えている別の情報処理装置に不正プログラムが感染している疑いがある。この不正プログラムは、インターネット上のC&Cサーバ(コマンドアンドコントロールサーバ)と通信したり、ボットになりインターネット上のサーバに対してDoS(Denial of Services)攻撃を行う恐れがある。またはスパイウェアとして情報処理装置に保存されているデータをインターネットに漏洩させる恐れもある。 When a malicious program is detected by an information processing device on the network, it is suspected that the malicious program is infected by another information processing device having the same vulnerability as the information processing device due to the characteristics of the malicious program There is. This malicious program may communicate with a C & C server (command and control server) on the Internet or may become a bot and perform a DoS (Denial of Services) attack on a server on the Internet. Or there is a risk of leaking data stored in the information processing apparatus as spyware to the Internet.
図6は、情報処理装置とゲートウェイ機器との連携を例示した図である。上述したような危機的状況を最小限に食い止めるために、情報処理装置は、不正プログラムを検知すると、ルータを介してゲートウェイ機器に通信遮断命令を出す。ゲートウェイ機器はこの命令を受信すると、自らインターネットとの通信を遮断する。このゲートウェイ機器は、DMZ(非武装地帯)で稼動してインターネットと直接通信する機器あるいはLAN内のルータなどでもよい。 FIG. 6 is a diagram illustrating cooperation between the information processing apparatus and the gateway device. In order to prevent the critical situation as described above to a minimum, when the information processing apparatus detects an unauthorized program, it issues a communication cutoff command to the gateway device via the router. When the gateway device receives this command, it automatically cuts off communication with the Internet. The gateway device may be a device that operates in a DMZ (demilitarized zone) and directly communicates with the Internet, or a router in a LAN.
このように、本実施形態によれば、やむを得ず最新の修正プログラムを適用することができなくても、情報処理装置がゲートウェイ機器と連携し、通信を遮断することで、不正プログラムによる被害を最小限に抑えることができる。 As described above, according to the present embodiment, even if the latest correction program cannot be applied unavoidably, the information processing apparatus cooperates with the gateway device to block communication, thereby minimizing the damage caused by the unauthorized program. Can be suppressed.
[第4の実施形態]
第1〜3の実施形態を利用すると、次のような動作を行う情報処理システムを構築することができる。このような情報処理システムの動作について、図8のフローチャートを用いて説明する。なお、この情報処理システムは、図6の構成におけるインターネット上に検疫ネットワーク507を接続した構成となる。
[Fourth Embodiment]
By using the first to third embodiments, an information processing system that performs the following operations can be constructed. The operation of such an information processing system will be described using the flowchart of FIG. This information processing system has a configuration in which a
ステップS801では、上記のステップS701〜S706の処理が行われ、不正プログラムの検知を行う。 In step S801, the processes in steps S701 to S706 described above are performed, and a malicious program is detected.
ステップS802では、第1〜3の実施形態で説明したように、プロセスの停止やインターネットへの通信の遮断、外部機器との間のデータ通信の遮断、などを行う。 In step S802, as described in the first to third embodiments, a process is stopped, communication with the Internet is interrupted, data communication with an external device is interrupted, and the like.
ステップS803では、システムモニタの監視部201は、ゲートウェイ機器にネットワーク遮断命令を通知する。ステップS804では、システムモニタの監視部201は、複数の情報処理装置を管理している不図示の管理サーバに接続されている全ての情報処理装置に対して、ウィルススキャン命令を行うよう通知する。
In step S803, the
ステップS805では、情報処理装置は検疫ネットワーク507に接続し、ステップS806では、検疫ネットワーク507により、情報処理装置に対して最新のパッチを当てたり、ウィルススキャンを実行したりする。
In step S805, the information processing apparatus is connected to the
このように、ある情報処理装置で不正プログラムが検出されると、管理サーバによって管理されている別の情報処理装置に不正プログラムが感染している疑いがある。本実施形態によれば、不正プログラムの被害を最小限に抑えつつ、不正プログラムが検出された情報処理装置とは別の情報処理装置についても安全な状態に復旧させることができる。 Thus, when a malicious program is detected in a certain information processing apparatus, there is a suspicion that the malicious program is infected in another information processing apparatus managed by the management server. According to this embodiment, it is possible to restore an information processing apparatus other than the information processing apparatus in which the malicious program is detected to a safe state while minimizing the damage of the malicious program.
Claims (12)
前記第二の監視手段が前記指示を検知していない期間中に前記プロセスによって規定の動作が実行されていることを前記第一の監視手段が検知した場合には、該情報処理装置に対して制御を行う制御手段を備えることを特徴とする情報処理装置。 Information processing apparatus comprising: first monitoring means for monitoring operation of a process executed in the information processing apparatus; and second monitoring means for monitoring an instruction from the user to the information processing apparatus Because
When the first monitoring unit detects that a prescribed operation is being executed by the process during a period in which the second monitoring unit has not detected the instruction, the information processing apparatus An information processing apparatus comprising control means for performing control.
非不正プロセスを登録したリストに登録されていないプロセスを停止させることを特徴とする請求項1に記載の情報処理装置。 The control means includes
The information processing apparatus according to claim 1, wherein a process that is not registered in the list in which the non-illegal process is registered is stopped.
前記情報処理装置の制御手段が、前記第二の監視手段が前記指示を検知していない期間中に前記プロセスによって規定の動作が実行されていることを前記第一の監視手段が検知した場合には、該情報処理装置に対して制御を行うことを特徴とする情報処理方法。 Information processing apparatus comprising: first monitoring means for monitoring operation of a process executed in the information processing apparatus; and second monitoring means for monitoring an instruction from the user to the information processing apparatus Is an information processing method performed by
When the first monitoring unit detects that the control unit of the information processing apparatus is executing a specified operation by the process during a period in which the second monitoring unit does not detect the instruction The information processing method characterized by performing control with respect to this information processing apparatus.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013219492A JP2015082191A (en) | 2013-10-22 | 2013-10-22 | Information processing device and information processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013219492A JP2015082191A (en) | 2013-10-22 | 2013-10-22 | Information processing device and information processing method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015082191A true JP2015082191A (en) | 2015-04-27 |
Family
ID=53012767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013219492A Pending JP2015082191A (en) | 2013-10-22 | 2013-10-22 | Information processing device and information processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015082191A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016224506A (en) * | 2015-05-27 | 2016-12-28 | 西日本電信電話株式会社 | Information leak detection device, information leak detection system, and information leak detection program |
-
2013
- 2013-10-22 JP JP2013219492A patent/JP2015082191A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016224506A (en) * | 2015-05-27 | 2016-12-28 | 西日本電信電話株式会社 | Information leak detection device, information leak detection system, and information leak detection program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10515210B2 (en) | Detection of malware using an instrumented virtual machine environment | |
US10095866B2 (en) | System and method for threat risk scoring of security threats | |
EP2774072B1 (en) | System and method for transitioning to a whitelist mode during a malware attack in a network environment | |
EP3712793B1 (en) | Integrity assurance during runtime | |
EP2013728B1 (en) | Methods and apparatus providing computer and network security for polymorphic attacks | |
US9165142B1 (en) | Malware family identification using profile signatures | |
US9594881B2 (en) | System and method for passive threat detection using virtual memory inspection | |
US20100071065A1 (en) | Infiltration of malware communications | |
US9235706B2 (en) | Preventing execution of task scheduled malware | |
US9015829B2 (en) | Preventing and responding to disabling of malware protection software | |
WO2017160760A1 (en) | System and method for reverse command shell detection | |
US20150244730A1 (en) | System And Method For Verifying And Detecting Malware | |
US20100175108A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
US20100199351A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
EP2782040A1 (en) | Malware Discovery Method and System | |
EP3374870B1 (en) | Threat risk scoring of security threats | |
US9584550B2 (en) | Exploit detection based on heap spray detection | |
US20170070518A1 (en) | Advanced persistent threat identification | |
WO2014193378A1 (en) | Disabling and initiating nodes based on security issue | |
CN112583841B (en) | Virtual machine safety protection method and system, electronic equipment and storage medium | |
US20210058414A1 (en) | Security management method and security management apparatus | |
US10205738B2 (en) | Advanced persistent threat mitigation | |
US20040093514A1 (en) | Method for automatically isolating worm and hacker attacks within a local area network | |
JP2015082191A (en) | Information processing device and information processing method | |
Tupakula et al. | Trust enhanced security architecture for detecting insider threats |