JP2015082191A - Information processing device and information processing method - Google Patents

Information processing device and information processing method Download PDF

Info

Publication number
JP2015082191A
JP2015082191A JP2013219492A JP2013219492A JP2015082191A JP 2015082191 A JP2015082191 A JP 2015082191A JP 2013219492 A JP2013219492 A JP 2013219492A JP 2013219492 A JP2013219492 A JP 2013219492A JP 2015082191 A JP2015082191 A JP 2015082191A
Authority
JP
Japan
Prior art keywords
information processing
processing apparatus
monitoring
executed
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013219492A
Other languages
Japanese (ja)
Inventor
伸作 喜多
Shinsaku Kita
伸作 喜多
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Electronics Inc
Original Assignee
Canon Electronics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Electronics Inc filed Critical Canon Electronics Inc
Priority to JP2013219492A priority Critical patent/JP2015082191A/en
Publication of JP2015082191A publication Critical patent/JP2015082191A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a technique enabling detection of an illegal program without depending on a definition file which has been conventionally used.SOLUTION: An information processing device includes: first monitoring means that monitors an operation of a process that is executed in the information processing device; and second monitoring means that monitors an instruction from a user to the information processing device. If the first monitoring means detects that a predetermined operation is executed by the process during a period in which the second monitoring means does not detect the instruction, control is performed to the information processing device.

Description

本発明は、ウィルス等の不正プログラムに対するセキュリティ技術に関するものである。   The present invention relates to security technology against malicious programs such as viruses.

従来より、コンピュータシステムの脆弱性などのセキュリティホールを攻撃して侵入する不正プログラム(ウィルス、ワームなどのマルウェア)が、個人・企業を問わず社会的に重要な問題となっている。   Conventionally, malicious programs (malware such as viruses and worms) that intrude by attacking security holes such as computer system vulnerabilities have become a socially important problem regardless of individuals or companies.

この不正プログラムは、コンピュータの制御を奪い、コンピュータに格納されているデータの破壊や外部への不正なデータ送信、侵入したコンピュータを利用して新たに第三者に対する攻撃活動を行う。例えば、コンピュータシステムで実行されるプロセスの内部では、複数のモジュールが動作しており、このモジュールに脆弱性が存在する場合に該当のモジュールを狙った攻撃と侵入が行われる。このような不正プログラムに対しては、現在も定義ファイルに依る検知方式が主流である。   This unauthorized program takes control of the computer, destroys data stored in the computer, transmits unauthorized data to the outside, and performs a new attacking action against a third party using the intruded computer. For example, a plurality of modules are operating in a process executed by a computer system, and when a vulnerability exists in this module, an attack and intrusion targeting the corresponding module are performed. For such malicious programs, detection methods based on definition files are still mainstream.

特開2009−157524号公報JP 2009-157524 A

しかしながら、上記の従来技術(特許文献1)では、既知の不正プログラムしか検知することができず、ゼロデイ攻撃等の未知の不正プログラムを検知することができないという課題があった。さらに、このような不正プログラムは、新種が1日あたりに数万種以上も出現しており、もはや定義ファイルによる検知方式は崩壊している。   However, the above-described prior art (Patent Document 1) has a problem that only known malicious programs can be detected, and unknown malicious programs such as zero-day attacks cannot be detected. Furthermore, more than tens of thousands of new types of such malicious programs appear per day, and the detection method based on definition files is no longer broken.

本発明はこのような問題に鑑みてなされたものであり、従来から使用されている定義ファイルに依存せずに不正プログラムの検知を可能にする技術を提供する。   The present invention has been made in view of such problems, and provides a technique that enables detection of a malicious program without depending on a definition file that has been used conventionally.

本発明の一様態は、情報処理装置内で実行されるプロセスの動作を監視するための第一の監視手段と、該情報処理装置に対するユーザからの指示を監視するための第二の監視手段と、を有する該情報処理装置であって、前記第二の監視手段が前記指示を検知していない期間中に前記プロセスによって規定の動作が実行されていることを前記第一の監視手段が検知した場合には、該情報処理装置に対して制御を行う制御手段を備えることを特徴とする。   According to one aspect of the present invention, a first monitoring unit for monitoring an operation of a process executed in the information processing apparatus, a second monitoring unit for monitoring an instruction from the user to the information processing apparatus, The first monitoring unit detects that a prescribed operation is being executed by the process during a period in which the second monitoring unit does not detect the instruction. In this case, the information processing apparatus includes a control unit that controls the information processing apparatus.

本発明の構成によれば、従来から使用されている定義ファイルに依存せずに不正プログラムを検知することができる。   According to the configuration of the present invention, a malicious program can be detected without depending on a definition file that has been used conventionally.

プロセス、プロセスモニタ、システムモニタ、関連する周辺ユニットを示す図。The figure which shows a process, a process monitor, a system monitor, and a related peripheral unit. システムモニタの構成例を示す図。The figure which shows the structural example of a system monitor. プロセスモニタの構成例を示す図。The figure which shows the structural example of a process monitor. リストの構成例を示す図。The figure which shows the structural example of a list. ネットワークシステムの構成例を示す図。The figure which shows the structural example of a network system. 情報処理装置とゲートウェイ機器との連携を例示した図。The figure which illustrated cooperation with an information processor and gateway equipment. 情報処理装置が行う処理のフローチャート。The flowchart of the process which information processing apparatus performs. 情報処理システムの動作を説明するフローチャート。The flowchart explaining operation | movement of an information processing system. 情報処理装置のハードウェア構成例を示すブロック図。The block diagram which shows the hardware structural example of information processing apparatus.

以下、添付図面を参照し、本発明の好適な実施形態について説明する。なお、以下説明する実施形態は、本発明を具体的に実施した場合の一例を示すもので、特許請求の範囲に記載の構成の具体的な実施例の1つである。   Preferred embodiments of the present invention will be described below with reference to the accompanying drawings. The embodiment described below shows an example when the present invention is specifically implemented, and is one of the specific examples of the configurations described in the claims.

[第1の実施形態]
インターネットの普及により見知らぬ第三者装置との情報のやり取りを行う機会が非常に増えた結果、悪意のある第三者装置との情報のやり取りを行う機会も増えた。このような悪意のある第三者装置により不正なプログラムが実行された情報処理装置は、該情報処理装置が不正な処理を実行するだけではない。すなわち、該情報処理装置が接続されるLAN(例えば、社内LANや家庭内LANなど)に接続されている他の装置や該情報処理装置を踏み台にした新たな不正行為が実行されるなど、様々な問題が発生する。このような問題は、単に個人的な問題に留まらず、社会的に大きな問題(犯罪)へと繋がっており、非常に大きな問題となっている。このようなことから、各種サーバなどの情報処理装置を抱える企業などでは、不正な攻撃や侵入を実行する不正プログラムを素早く正確に検知する手法が切望されている。
[First Embodiment]
As a result of the widespread use of the Internet, opportunities for exchanging information with unknown third-party devices have greatly increased, and as a result, opportunities for exchanging information with malicious third-party devices have also increased. An information processing apparatus in which an unauthorized program is executed by such a malicious third-party apparatus is not only performed by the information processing apparatus. That is, various other devices such as another device connected to a LAN (for example, an in-house LAN or a home LAN) to which the information processing device is connected, and a new illegal act using the information processing device as a stepping stone are executed. Problems occur. Such a problem is not only a personal problem, but has led to a large social problem (crime), which is a very large problem. For this reason, companies that have information processing devices such as various servers are eagerly desired to quickly and accurately detect unauthorized programs that execute unauthorized attacks and intrusions.

なお、「不正な攻撃」とは、コンピュータシステムに対して、本来それが実行しようとする処理とは異なる、意図しない動作を実行させようとすることを示す。また、「侵入」とは、攻撃によって本来意図しない動作をさせることによってシステムの一部もしくは全部の制御を奪うことを示す。   Note that “illegal attack” indicates that the computer system is to perform an unintended operation different from the process that the computer system originally intends to execute. The term “intrusion” means that a part or all of the system is taken away by causing an unintended operation by an attack.

本実施形態に係る情報処理装置は、プログラムに従って演算処理を実行するコンピュータシステムである。例えば、Webサーバ、コンテンツサーバ、DNSサーバ等のユーザにサービスを提供するサーバ装置をはじめ、個人的に使用されるパーソナルコンピュータシステム、ルーターやL3スイッチ等のネットワーク機器等の装置である。そして本実施形態に係る情報処理装置は、システムの内部まで詳細に監視することを可能とし、さらには、不正な攻撃や侵入を実行する不正プログラムを素早く正確に検知することを可能にする。   The information processing apparatus according to the present embodiment is a computer system that executes arithmetic processing according to a program. For example, a server device that provides services to users such as a Web server, a content server, and a DNS server, personal computer systems used personally, and network devices such as routers and L3 switches. The information processing apparatus according to the present embodiment enables detailed monitoring up to the inside of the system, and further enables to quickly and accurately detect unauthorized programs that execute unauthorized attacks and intrusions.

先ず、本実施形態に係る情報処理装置のハードウェア構成例について、図9のブロック図を用いて説明する。なお、本実施形態に適用可能な情報処理装置のハードウェア構成は、図9に示した構成に限るものではなく、以下に情報処理装置が行うものとして説明する各処理を実行可能な構成であれば、如何なる構成を採用しても構わない。   First, a hardware configuration example of the information processing apparatus according to the present embodiment will be described with reference to the block diagram of FIG. Note that the hardware configuration of the information processing apparatus applicable to the present embodiment is not limited to the configuration illustrated in FIG. 9, and may be a configuration capable of executing each process described below as performed by the information processing apparatus. Any configuration may be adopted.

CPU91は、ROM92やRAM93に格納されているコンピュータプログラムやデータを用いて各種の処理を実行することで、本装置全体の動作制御を行うと共に、本装置が行うものとして後述する各処理を実行する。また、CPU91は、計時するためのタイマ機能も有している。   The CPU 91 executes various processes using computer programs and data stored in the ROM 92 and the RAM 93, thereby controlling the operation of the entire apparatus and executing processes described later as performed by the apparatus. . The CPU 91 also has a timer function for timing.

ROM92には、本装置の設定データやブートプログラムなどが格納されている。   The ROM 92 stores setting data and a boot program for the apparatus.

RAM93は、HDD(ハードディスクドライブ)94からロードされたコンピュータプログラムやデータを一時的に記憶するためのエリアや、インターフェース97を介して外部から受信したデータを一時的に記憶するためのエリアを有する。また、RAM93は、CPU91が各種の処理を実行する際に用いるワークエリアも有する。すなわち、RAM93は、各種のエリアを適宜提供することができる。   The RAM 93 has an area for temporarily storing computer programs and data loaded from an HDD (Hard Disk Drive) 94 and an area for temporarily storing data received from the outside via the interface 97. The RAM 93 also has a work area used when the CPU 91 executes various processes. That is, the RAM 93 can provide various areas as appropriate.

HDD94には、OS(オペレーティングシステム)や、本装置が行うものとして後述する各処理をCPU91に実行させるためのコンピュータプログラムやデータが保存されている。このコンピュータプログラムには、後述するプロセスモニタ(第一の監視手段)やシステムモニタ(第二の監視手段)、が含まれている。また、このデータには、後述するリストのデータが含まれている。HDD94に保存されているコンピュータプログラムやデータは、CPU91による制御に従って適宜RAM93にロードされ、CPU91による処理対象となる。   The HDD 94 stores an OS (Operating System) and computer programs and data for causing the CPU 91 to execute processes described later as those performed by the apparatus. This computer program includes a process monitor (first monitoring means) and a system monitor (second monitoring means) described later. Further, this data includes list data to be described later. Computer programs and data stored in the HDD 94 are appropriately loaded into the RAM 93 under the control of the CPU 91 and are processed by the CPU 91.

入力装置95は、キーボードやマウスなどの操作入力インターフェースであり、本装置のユーザが操作することで、各種の指示をCPU91に対して入力することができる。   The input device 95 is an operation input interface such as a keyboard and a mouse, and various instructions can be input to the CPU 91 by a user of the device.

表示装置96は、CRTや液晶画面などにより構成されており、CPU91による処理結果を画像や文字などでもって表示することができる。   The display device 96 is configured by a CRT, a liquid crystal screen, or the like, and can display a processing result by the CPU 91 with an image, text, or the like.

インターフェース97は、本装置をLANやインターネットなどのネットワークに接続するインターフェースや、本装置にUSBメモリなどの外部メモリを接続するためのインターフェースなどにより構成されている。   The interface 97 includes an interface for connecting the apparatus to a network such as a LAN or the Internet, an interface for connecting an external memory such as a USB memory to the apparatus, and the like.

上記の各部は何れも、バス98に接続されている。   Each of the above parts is connected to the bus 98.

次に、HDD94内で管理されているプロセス、プロセスモニタ、システムモニタ、そして、それらに関連する周辺ユニットについて、図1を用いて説明する。   Next, a process managed in the HDD 94, a process monitor, a system monitor, and peripheral units related to them will be described with reference to FIG.

OS110は、様々なプロセスを管理しており、それぞれのプロセスには、該プロセスの動作を監視するプロセスモニタが設定されている。より具体的には、プロセスモニタは、プロセスに注入(コードインジェクション)されている。そしてプロセスモニタは、プロセスの動作を監視し、他プロセスの起動や、該プロセスによるファイルアクセス、該プロセスによるネットワークアクセス、該プロセスによるAPI114の呼び出し等の動作があったか否かを検知する。   The OS 110 manages various processes, and a process monitor that monitors the operation of the process is set for each process. More specifically, the process monitor is injected (code injection) into the process. Then, the process monitor monitors the operation of the process, and detects whether there is an operation such as activation of another process, file access by the process, network access by the process, API 114 call by the process, or the like.

図1では例として、OS110はプロセスA及びプロセスBを管理しており、プロセスAにはプロセスモニタAが設定されており、プロセスBにはプロセスモニタBが設定されている。   In FIG. 1, as an example, the OS 110 manages process A and process B, process A is set for process A, and process monitor B is set for process B.

なお、プロセスモニタは実際には、プロセスの内部のモジュール毎に設定され、モジュール毎にその動作を監視するのであるが、以下では説明を簡単にするために、プロセスモニタはプロセスに対して設定されるものとして説明する。   The process monitor is actually set for each module in the process, and its operation is monitored for each module. However, in order to simplify the explanation, the process monitor is set for the process. It will be described as a thing.

また、OS110は、システムモニタ111も管理している。システムモニタ111は、プロセスによらない本装置の挙動を監視するものである。例えば、ユーザが入力装置95(図1では入力デバイス112)を操作したことで発生する本装置への指示入力イベント、ウィンドウメッセージ、インターフェース97(図1では通信I/F113)を介した印刷出力などの出力イベント、を監視する。   The OS 110 also manages the system monitor 111. The system monitor 111 monitors the behavior of the apparatus regardless of the process. For example, an instruction input event to the apparatus, a window message, and a print output via the interface 97 (communication I / F 113 in FIG. 1) generated when the user operates the input apparatus 95 (input device 112 in FIG. 1). Monitor output events.

このように、システムモニタ及びプロセスモニタを注入することで、ユーザによる入力イベントからシステムの動作に関する詳細な情報をあまねく取得することができる。したがって、コンピュータシステムで発生した各種情報を収集することにより、システムの内部まで詳細に監視することを可能とし、さらには、不正な攻撃や侵入を実行する不正プログラムを素早く正確に検知することができる。なお、プロセスモニタは、APIフック、フィルタドライバ等のプロセスを監視できるものなら何でもよい。   As described above, by injecting the system monitor and the process monitor, detailed information regarding the operation of the system can be obtained from the input event by the user. Therefore, by collecting various types of information generated in the computer system, it is possible to monitor in detail even the inside of the system, and furthermore, it is possible to quickly and accurately detect unauthorized programs that execute unauthorized attacks and intrusions. . The process monitor may be anything that can monitor processes such as API hooks and filter drivers.

次に、プロセスモニタについて説明する。プロセスモニタは、何れのプロセスに対するものでも共通の構成を有するため、以下では、プロセスAに対するプロセスモニタを例にとり説明する。   Next, the process monitor will be described. Since the process monitor has a common configuration for all processes, the process monitor for process A will be described below as an example.

プロセスモニタAは、図3に例示するように、制御部301と、監視部302と、を有する。制御部301は、監視部302による監視結果に応じて、プロセスAの動作制御を行うためのものである。監視部302は、プロセスAの動作を監視し、他プロセスの起動や、プロセスAによるファイルアクセス、プロセスAによるネットワークアクセス、プロセスAによるAPI114の呼び出し等の動作があったか否かを検知する。より具体的には、監視部302は、プロセスAにより発生した情報として、プロセスAによるAPI呼び出しやシステムコール呼び出し等の情報を収集する。より具体的には、プロセスモニタの監視部302は、プロセスAにより発生した情報として、例えば、モジュールの種類、呼び出された関数の種類、引数の値、読み出し元アドレス、タイムスタンプなどを取得する。そして監視部302は、収集した情報から、不正な攻撃や侵入を示す挙動、すなわち、ファイルアクセス、ネットワークアクセス、他プロセスの起動、などの動作があったか否かを検知する。   As illustrated in FIG. 3, the process monitor A includes a control unit 301 and a monitoring unit 302. The control unit 301 is for performing operation control of the process A according to the monitoring result by the monitoring unit 302. The monitoring unit 302 monitors the operation of the process A and detects whether or not there is an operation such as activation of another process, file access by the process A, network access by the process A, and API 114 calling by the process A. More specifically, the monitoring unit 302 collects information such as API calls and system call calls by the process A as information generated by the process A. More specifically, as the information generated by the process A, the monitoring unit 302 of the process monitor acquires, for example, the module type, the type of the called function, the argument value, the read source address, the time stamp, and the like. The monitoring unit 302 detects from the collected information whether or not there is a behavior indicating an unauthorized attack or intrusion, that is, whether there is an operation such as file access, network access, or activation of another process.

システムモニタは、図2に例示するように、監視部201を有する。監視部201は、プロセスによらない本装置の動作に関する情報を収集する。そして監視部201は、この収集した情報に基づいて、本装置の動作に関するイベントを検知する。例えば、ユーザが入力装置95(図1では入力デバイス112)を操作したことで発生する本装置への指示入力イベント、ウィンドウメッセージ、インターフェース97(図1では通信I/F113)を介した印刷出力等の出力イベントがあったか否かを検知する。   The system monitor includes a monitoring unit 201 as illustrated in FIG. The monitoring unit 201 collects information related to the operation of the apparatus regardless of the process. And the monitoring part 201 detects the event regarding operation | movement of this apparatus based on this collected information. For example, an instruction input event to this apparatus that occurs when the user operates the input device 95 (input device 112 in FIG. 1), a window message, print output via the interface 97 (communication I / F 113 in FIG. 1), etc. Detect whether there was an output event.

監視部201が、入力装置95に対するユーザ操作に応じた指示入力イベントを検知していない期間中に、プロセスモニタAの監視部302が、ファイルアクセス、ネットワークアクセス、他プロセスの起動、などの動作を検知したとする。このとき、プロセスモニタAの制御部301は、プロセスAを不正プログラムとみなし、該プロセスAの動作を強制停止させる。なお、このプロセスモニタAの制御部301は、この強制停止に代えて、若しくは加えて、不正プログラムとしてプロセスAが検知された旨を記した電子メールを規定の送信先(例えばシステム管理者)に送信するようにしても良い。また、SNMPマネージャに対して、SNMPトラップで通知するようにしても構わない。   During a period when the monitoring unit 201 does not detect an instruction input event corresponding to a user operation on the input device 95, the monitoring unit 302 of the process monitor A performs operations such as file access, network access, and activation of other processes. Suppose that it is detected. At this time, the control unit 301 of the process monitor A regards the process A as an illegal program and forcibly stops the operation of the process A. Note that the control unit 301 of the process monitor A sends an e-mail stating that the process A has been detected as an unauthorized program to a specified transmission destination (for example, a system administrator) instead of or in addition to this forced stop. You may make it transmit. Further, the SNMP manager may be notified by an SNMP trap.

また、不正プログラムを検知すると、すぐに情報処理装置をネットワークから切り離して、被害の拡大を防ぐ必要がある。そこで、制御部301は、不正プログラムの動作の強制停止を行うと、不正プログラムによる被害の拡大を防ぐために、情報処理装置が有する全てのインターフェースを停止させる。すなわち、自動的にネットワーク接続を切り離し、USBデバイスなどの外部記憶装置からのデータ入力をすべて停止させ、さらなる不正プログラムの実行を防止するためプロセス実行も禁止する。このように、不正プログラムを検知した場合に実行する処理には、様々な処理が考えられる。   In addition, when a malicious program is detected, it is necessary to immediately disconnect the information processing apparatus from the network to prevent the damage from spreading. Therefore, when the control unit 301 forcibly stops the operation of the malicious program, the control unit 301 stops all the interfaces included in the information processing apparatus in order to prevent the damage caused by the malicious program. That is, the network connection is automatically disconnected, all data input from the external storage device such as a USB device is stopped, and process execution is also prohibited to prevent further unauthorized program execution. As described above, various processes are conceivable to be executed when a malicious program is detected.

なお、情報処理装置には明らかに不正ではないプロセスも常駐しており、この不正ではないプロセスが、ユーザによる操作を検出できない期間中にファイルアクセス、ネットワークアクセス等の動作を行っている可能性がある。このような場合、この不正ではないプロセスが、システムモニタ及びプロセスモニタにより不正プログラムとして検知されてしまう。   Note that there is also a process that is clearly illegitimate in the information processing apparatus, and this non-illegal process may perform operations such as file access and network access during a period in which user operations cannot be detected. is there. In such a case, this non-invalid process is detected as an illegal program by the system monitor and the process monitor.

そこで、このような問題に対処するために、不正ではないプロセス(非不正プロセス)を特定するための情報(例えばプロセス名)を予めリスト(ホワイトリスト)に登録しておく。このリストの構成例を図4に示す。図4では、不正ではないと予め分かっているプロセスのプロセス名が、リストに登録されている。   Therefore, in order to deal with such a problem, information (for example, process name) for specifying a process that is not unauthorized (non-illegal process) is registered in a list (white list) in advance. A configuration example of this list is shown in FIG. In FIG. 4, the process names of processes that are known not to be illegal are registered in the list.

例えば、監視部201が上記指示入力イベントを検知していない期間中に、プロセスモニタAの監視部302が、ファイルアクセス、ネットワークアクセス、他プロセスの起動、などの動作を検知したとする。このとき、プロセスモニタAの制御部301は、プロセスAを不正プログラムとみなす前に、上記のリストを参照する。そしてプロセスモニタAの制御部301は、上記のリストにプロセスAの情報が登録されているか否かを判断し、登録されていれば、プロセスAは不正プログラムではないと判断する。一方、登録されていなければ、プロセスAを不正プログラムと判断する。なお、上記のリストの使用方法には様々な使用方法が考えられ、特定の使用方法に限るものではない。例えば、リストに登録されているプロセスのプロセス名をプロセスモニタの監視部302が監視するプロセスの監視対象から予め外しておくことも可能である。このようにしておくことによって、明らかに不正でないプロセスを不正プログラムとして誤って検知してしまうことを防ぐことができる。また、ステップS701では、該プロセスのうち図4のリストに登録されているプロセスを予め監視対象から外しておくこともできる。   For example, it is assumed that the monitoring unit 302 of the process monitor A detects operations such as file access, network access, and activation of other processes during a period in which the monitoring unit 201 does not detect the instruction input event. At this time, the control unit 301 of the process monitor A refers to the above list before considering the process A as a malicious program. Then, the control unit 301 of the process monitor A determines whether or not the information of the process A is registered in the above list, and if it is registered, determines that the process A is not a malicious program. On the other hand, if it is not registered, it is determined that the process A is a malicious program. Note that various methods of using the above list are conceivable, and the list is not limited to a specific method of use. For example, the process name of the process registered in the list can be excluded in advance from the process monitoring target monitored by the process monitor monitoring unit 302. By doing so, it is possible to prevent a process that is clearly not illegal from being erroneously detected as an illegal program. In step S701, processes registered in the list of FIG. 4 among the processes can be excluded from the monitoring targets in advance.

次に、情報処理装置が行う処理について、同処理のフローチャートを示す図7を用いて説明する。なお、以下では、システムモニタの監視部201、プロセスモニタの制御部301、プロセスモニタの監視部302、を処理の主体として説明するが、実際には、これらの機能部をCPU91が実行することで、対応する処理が実行される。   Next, processing performed by the information processing apparatus will be described with reference to FIG. 7 showing a flowchart of the processing. In the following description, the system monitor monitoring unit 201, the process monitor control unit 301, and the process monitor monitoring unit 302 will be described as the main processing units, but actually, the CPU 91 executes these functional units. Corresponding processing is executed.

ステップS701では、OS110が管理するそれぞれのプロセスに対するプロセスモニタの監視部302は、該プロセスの動作の監視を開始する。   In step S701, the process monitor monitoring unit 302 for each process managed by the OS 110 starts monitoring the operation of the process.

ステップS702では、システムモニタの監視部201は、ユーザが入力装置95を操作したことで発生する本装置への指示入力イベントや、ウィンドウメッセージ、インターフェース97を介した印刷出力などの出力イベント、があったか否かを判断する。この判断の結果、なかったと判断した場合には、処理はステップS703に進み、あったと判断した場合には、図7のフローチャートに従った処理を終了する。   In step S <b> 702, the monitoring unit 201 of the system monitor has received an instruction input event to the apparatus generated by the user operating the input apparatus 95, or an output event such as a window message or print output via the interface 97. Judge whether or not. As a result of this determination, if it is determined that there is not, the process proceeds to step S703, and if it is determined that it is, the process according to the flowchart of FIG. 7 is terminated.

ステップS703では、それぞれのプロセスに対するプロセスモニタの監視部302は、該プロセスがネットワークにアクセスしようとしているのか否かを、該プロセスにより発生した情報から判断する。この判断の結果、1つ以上のプロセスがネットワークにアクセスしようとしている場合には、処理はステップS706に進み、ネットワークにアクセスしようとしているプロセスがない場合には、処理はステップS704に進む。   In step S703, the process monitor monitoring unit 302 for each process determines whether the process is trying to access the network from the information generated by the process. As a result of this determination, if one or more processes are trying to access the network, the process proceeds to step S706. If there is no process attempting to access the network, the process proceeds to step S704.

ステップS704では、それぞれのプロセスに対するプロセスモニタの監視部302は、該プロセスがファイルにアクセスしようとしているのか否かを、該プロセスにより発生した情報から判断する。この判断の結果、1つ以上のプロセスがファイルにアクセスしようとしている場合には、処理はステップS706に進み、ファイルにアクセスしようとしているプロセスがない場合には、処理はステップS705に進む。   In step S704, the monitoring unit 302 of the process monitor for each process determines whether the process is trying to access a file from the information generated by the process. If it is determined that one or more processes are trying to access the file, the process proceeds to step S706. If there is no process attempting to access the file, the process proceeds to step S705.

ステップS705では、それぞれのプロセスに対するプロセスモニタの監視部302は、該プロセスが再起動しようとしているのか否かを、該プロセスにより発生した情報から判断する。この判断の結果、1つ以上のプロセスが所定の期間内に所定の回数以上再起動をしようとしている場合(例えば17時から翌日の9時の間に再起動2回以上の場合)、処理はステップS706に進む。一方、再起動しようとしているプロセスがない場合には、図7のフローチャートに従った処理を終了する。なお、ステップS703、S704、S705を実行する順序は、任意であり、どのような順序で実行してもかまわない。   In step S705, the process monitor monitoring unit 302 for each process determines whether or not the process is to be restarted from information generated by the process. As a result of this determination, when one or more processes are trying to restart a predetermined number of times within a predetermined period (for example, when restarting twice or more from 17:00 to 9:00 on the next day), the process proceeds to step S706. Proceed to On the other hand, when there is no process to be restarted, the process according to the flowchart of FIG. The order in which steps S703, S704, and S705 are executed is arbitrary, and may be executed in any order.

ステップS706では、ネットワークにアクセスしようとしている、若しくはファイルにアクセスしようとしている、若しくは再起動しようとしているプロセス(以下、対象プロセス)に対するプロセスモニタの制御部301は、上記のリストを参照する。そして対象プロセスに対するプロセスモニタの制御部301は、該リストに、対象プロセスの情報が登録されているか否かを判断する。この判断の結果、登録されていれば、対象プロセスは不正プログラムではないと判断し、図7のフローチャートに従った処理を終了する。一方、登録されていなければ、対象プロセスを不正プログラムと判断し、ステップS707に進む。   In step S <b> 706, the process monitor control unit 301 for a process (hereinafter referred to as a target process) trying to access the network, access a file, or restart is referred to the above list. Then, the process monitor control unit 301 for the target process determines whether information on the target process is registered in the list. As a result of this determination, if registered, it is determined that the target process is not a malicious program, and the processing according to the flowchart of FIG. 7 is terminated. On the other hand, if it is not registered, the target process is determined to be an unauthorized program, and the process proceeds to step S707.

そしてステップS707では、対象プロセスに対するプロセスモニタの制御部301は、該対象プロセスを停止させたりウィルスを駆除するように予め設定がなされている、若しくはユーザが入力装置95を用いて指示しているか否かを判断する。この判断の結果、対象プロセスを停止させたりウィルスを駆除するように予め設定がなされている、若しくはユーザが入力装置95を用いて指示している場合には、処理はステップS708に進む。一方、このような指示も設定もなされていない場合には、図7のフローチャートに従った処理を終了する。   In step S707, the control unit 301 of the process monitor for the target process is set in advance to stop the target process or remove the virus, or whether the user instructs using the input device 95. Determine whether. As a result of this determination, if the target process has been set in advance to remove the virus or the user has instructed using the input device 95, the process proceeds to step S708. On the other hand, if such an instruction or setting has not been made, the process according to the flowchart of FIG. 7 ends.

ステップS708では、対象プロセスに対するプロセスモニタの制御部301は、該対象プロセスを停止させる。なお、上述したように、本ステップでは、これに代えて、若しくは加えて、不正プログラムとして対象プロセスが検知された旨を記した電子メールを規定の送信先に送信しても良い。また、上述したように、本ステップでは、情報処理装置が有する全てのインターフェースを停止させるようにしても良い。   In step S708, the process monitor control unit 301 for the target process stops the target process. As described above, in this step, instead of or in addition to this, an e-mail stating that the target process has been detected as a malicious program may be transmitted to a prescribed destination. Further, as described above, in this step, all the interfaces included in the information processing apparatus may be stopped.

また、上記の通り、リストに登録されているプロセスを予め監視対象から外す処理を行うことも可能である。その場合、ステップS701では、リストに登録されているプロセスを予め監視対象から外し、監視対象とするプロセス(リストに登録されていないプロセス)を監視する。そしてこの場合、ステップS706では、監視対象のプロセスによって規定の動作が実行されていることを検知すると、上記のリストを参照することなく、このプロセスが不正プログラムであると判断する。   Further, as described above, it is also possible to perform processing for previously removing processes registered in the list from monitoring targets. In that case, in step S701, the processes registered in the list are excluded from the monitoring targets in advance, and the processes to be monitored (processes not registered in the list) are monitored. In this case, in step S706, when it is detected that the prescribed operation is being executed by the process to be monitored, it is determined that this process is a malicious program without referring to the above list.

このように、本実施形態によれば、ユーザによる情報処理操作およびプロセスの振る舞いにより不正プログラムの検知を行うため、定義ファイルに依らない不正プログラムの検知が可能となる。   As described above, according to the present embodiment, since the malicious program is detected by the information processing operation and the process behavior by the user, the malicious program can be detected without depending on the definition file.

また、ホワイトリストに明らかに不正プログラムではないプロセスを登録しておくことで、不正プログラムとして誤検知する確率を下げることができ、より的確に不正プログラムの検知を行うことができる。   In addition, by registering a process that is clearly not a malicious program in the white list, the probability of erroneous detection as a malicious program can be reduced, and a malicious program can be detected more accurately.

また、不正プログラムを検知すると、情報処理装置に備え付けられている各種インターフェースを自動的に遮断するため、未検知の不正プログラムを含めた不正プログラムによる被害を拡散させることなく最小限に抑えることができる。   In addition, when a malicious program is detected, various interfaces provided in the information processing device are automatically blocked, so that damage caused by a malicious program including undetected malicious programs can be minimized. .

[第2の実施形態]
本実施形態では、システムモニタは監視部201に加えて制御部を有し、該制御部は、不正プログラムが検知されると、ネットワークの接続先を強制的に変更する。本実施形態では、システムモニタの制御部は、不正プログラムが検知されると、ネットワークの接続先を検疫ネットワークに切り替える。
[Second Embodiment]
In the present embodiment, the system monitor has a control unit in addition to the monitoring unit 201, and the control unit forcibly changes the network connection destination when an unauthorized program is detected. In this embodiment, when a malicious program is detected, the control unit of the system monitor switches the network connection destination to the quarantine network.

検疫ネットワークとは、LAN等のネットワークに接続しようとしている機器を、該ネットワークとは隔離されたネットワークに接続させ、その機器の安全性の確認を行う仕組みに利用されるネットワークである。もし安全性が確認できなければ、修正プログラムや最新のウィルス定義ファイル等を適用してからネットワークに接続させることもできる。このような仕組みにより、ネットワークには安全とみなされた機器のみが接続できるようになり、ネットワークをセキュアに保つことができる。また、検疫ネットワークへの隔離方式には、DHCP認証方式、認証VLAN方式、パーソナルファイヤーウォール方式、認証ゲートウェイ方式等があり、それぞれの特性により適材適所で用いられる。   The quarantine network is a network used for a mechanism for connecting a device to be connected to a network such as a LAN to a network isolated from the network and confirming the safety of the device. If safety cannot be confirmed, it is possible to connect to the network after applying a patch or the latest virus definition file. With such a mechanism, only devices regarded as safe can be connected to the network, and the network can be kept secure. In addition, isolation methods for the quarantine network include a DHCP authentication method, an authentication VLAN method, a personal firewall method, an authentication gateway method, and the like.

第1の実施形態で説明した情報処理装置が複数台接続されているネットワークシステムの構成例について、図5を用いて説明する。図5において、情報処理装置501〜503は何れも、第1の実施形態で説明した情報処理装置である。それぞれの情報処理装置501〜503は何れも、ネットワーク505に接続されているスイッチ504に接続されている。ネットワーク505には、検疫ネットワーク507が接続されている。この検疫ネットワーク507には、隔離部508、検査部509、治療部510が含まれている。   A configuration example of a network system in which a plurality of information processing apparatuses described in the first embodiment are connected will be described with reference to FIG. In FIG. 5, all of the information processing apparatuses 501 to 503 are the information processing apparatuses described in the first embodiment. Each of the information processing apparatuses 501 to 503 is connected to a switch 504 connected to the network 505. A quarantine network 507 is connected to the network 505. The quarantine network 507 includes an isolation unit 508, an inspection unit 509, and a treatment unit 510.

情報処理装置501〜503内のシステムモニタの制御部は、不正プログラムが検知されると、ネットワークの接続先を検疫ネットワーク507に変更する。CPU91は、スイッチ504及び隔離部508と連携し、本装置を検疫ネットワーク507に接続する。   The control unit of the system monitor in the information processing apparatuses 501 to 503 changes the network connection destination to the quarantine network 507 when an unauthorized program is detected. The CPU 91 connects the apparatus to the quarantine network 507 in cooperation with the switch 504 and the isolation unit 508.

検査部509は、検疫ネットワーク507に接続されている情報処理装置内のOS110や各種ソフトウェアに適用されている修正プログラムやバージョン、ウィルスソフトの定義ファイル情報等、セキュリティに関わる情報を、該情報処理装置から収集する。そして検査部509は、これら収集した情報から、該情報処理装置が安全か否かを判断し、安全と判断すれば、該情報処理装置に対してネットワーク505上の他の機器への接続を許可する。一方、検査部509は、安全ではないと判断すれば、その旨を治療部510に通知する。このような安全か否かの判断は、一般のウィルスチェックで行うようにしても構わないし、特定の方法に限るものではない。例えば、OS110やソフトウェア等に最新の修正プログラムが適用されているか、最新の不正プログラムの定義ファイルが適用されているかなどを検査し、もし適用されていなければ、安全ではないと判断する。   The inspection unit 509 receives information related to security, such as a correction program and version applied to the OS 110 and various software in the information processing apparatus connected to the quarantine network 507, definition file information of virus software, and the like. Collect from. Then, the inspection unit 509 determines whether the information processing apparatus is safe from the collected information. If the information processing apparatus determines that the information processing apparatus is safe, the inspection unit 509 permits the information processing apparatus to connect to another device on the network 505. To do. On the other hand, if the examination unit 509 determines that it is not safe, it notifies the treatment unit 510 to that effect. Such a determination as to whether or not it is safe may be performed by a general virus check, and is not limited to a specific method. For example, it is checked whether the latest correction program is applied to the OS 110, software, or the like, the latest malicious program definition file is applied, and the like.

治療部510は、検疫ネットワーク507に接続されている情報処理装置内のOS110やソフトウェアの最新の修正プログラムやウィルスソフトの定義ファイルなど、該情報処理装置を安全に保つために必要な処置を、該情報処理装置に対して行う。そして検査部509は、これらを適用した結果、該情報処理装置が安全であると判断した場合には、該情報処理装置に対してネットワーク505上の他の機器への接続を許可する。   The treatment unit 510 performs actions necessary for keeping the information processing apparatus safe, such as the OS 110 in the information processing apparatus connected to the quarantine network 507, the latest software update program, and virus software definition files. This is performed on the information processing apparatus. When the inspection unit 509 determines that the information processing apparatus is safe as a result of applying these, the inspection unit 509 permits the information processing apparatus to connect to another device on the network 505.

情報処理装置のCPU91は、検疫ネットワーク507からネットワーク505上の他の機器への接続許可を受けると、スイッチ504を制御し、ネットワーク505上の他の機器に対してアクセス可能に設定する。   When the CPU 91 of the information processing apparatus receives connection permission from the quarantine network 507 to another device on the network 505, the CPU 91 controls the switch 504 so that the other device on the network 505 can be accessed.

このように、本実施形態によれば、不正プログラムを検知すると、自動的に検疫ネットワークに隔離され、検査及び治療により最新の修正プログラムやウィルス定義ファイルを適用し、安全な状態に復旧させることができる。OS110やソフトウェアに対する既知の脆弱性への攻撃の多くは、最新の修正プログラムが適用されていれば防ぐことができるため、その効果は高い。   As described above, according to the present embodiment, when a malicious program is detected, it is automatically isolated to the quarantine network, and the latest correction program and virus definition file are applied by inspection and treatment to restore to a safe state. it can. Many of the attacks on known vulnerabilities to the OS 110 and software can be prevented if the latest correction program is applied, so that the effect is high.

[第3の実施形態]
第1の実施形態や第2の実施形態で説明した情報処理装置は、ネットワーク上の機器と連携し、よりセキュアな環境を構築することが可能である。例えば、ゲートウェイ機器であるファイヤーウォールなどと連携することで、不正プログラムとC&Cサーバ(コマンド&コントロールサーバ)との通信やボットと成り代った不正プログラムによる外部への通信を遮断することができる。
[Third Embodiment]
The information processing apparatus described in the first embodiment or the second embodiment can construct a more secure environment in cooperation with devices on the network. For example, it is possible to block communication between a malicious program and a C & C server (command & control server) or communication by a malicious program impersonating a bot by linking with a firewall as a gateway device.

既にサポートが切れたOSをやむを得ず使用し続けなければならないことは企業であれば多々ある。この場合には、当然ながらOSの修正プログラムが提供されないため、修正プログラムを適用することができない。修正プログラムを適用できなければ、セキュリティ上の脆弱性を抱えたままシステムを運用することになる。また、基幹系システム等を運用している場合、OSに対して修正プログラムを適用すると、修正プログラムの不具合等の原因により基幹系システム等が動作しなくなる恐れがあるため、簡単には修正プログラムを適用することができないことも多い。このような場合は、情報処理装置は、不正プログラムによる脆弱性への攻撃を受けやすく、リスクを保有しながらシステムを運用し続けなければならない。   There are many companies that have to continue to use an OS that is no longer supported. In this case, of course, since the OS correction program is not provided, the correction program cannot be applied. If the patch cannot be applied, the system will be operated with security vulnerabilities. Also, if you are operating a mission critical system, etc., if you apply a modification program to the OS, there is a risk that the mission critical system may not operate due to a problem with the modification program. Often not applicable. In such a case, the information processing apparatus is susceptible to attacks on vulnerabilities by malicious programs, and must continue to operate the system while holding risks.

情報処理装置内のOSやソフトウェアに対して修正プログラムが適用されていない場合、情報処理装置が抱えているバッファオーバーフロー等の脆弱性に対する攻撃を受けると、不正にプログラムが実行され、情報処理装置に不正プログラムが設置される。   When a modification program is not applied to the OS or software in the information processing apparatus, if the information processing apparatus is attacked against a vulnerability such as a buffer overflow, the program is executed illegally and the information processing apparatus A malicious program is installed.

ネットワーク上のある情報処理装置で不正プログラムが検出されると、その不正プログラムの特性上、該情報処理装置と同様の脆弱性を抱えている別の情報処理装置に不正プログラムが感染している疑いがある。この不正プログラムは、インターネット上のC&Cサーバ(コマンドアンドコントロールサーバ)と通信したり、ボットになりインターネット上のサーバに対してDoS(Denial of Services)攻撃を行う恐れがある。またはスパイウェアとして情報処理装置に保存されているデータをインターネットに漏洩させる恐れもある。   When a malicious program is detected by an information processing device on the network, it is suspected that the malicious program is infected by another information processing device having the same vulnerability as the information processing device due to the characteristics of the malicious program There is. This malicious program may communicate with a C & C server (command and control server) on the Internet or may become a bot and perform a DoS (Denial of Services) attack on a server on the Internet. Or there is a risk of leaking data stored in the information processing apparatus as spyware to the Internet.

図6は、情報処理装置とゲートウェイ機器との連携を例示した図である。上述したような危機的状況を最小限に食い止めるために、情報処理装置は、不正プログラムを検知すると、ルータを介してゲートウェイ機器に通信遮断命令を出す。ゲートウェイ機器はこの命令を受信すると、自らインターネットとの通信を遮断する。このゲートウェイ機器は、DMZ(非武装地帯)で稼動してインターネットと直接通信する機器あるいはLAN内のルータなどでもよい。   FIG. 6 is a diagram illustrating cooperation between the information processing apparatus and the gateway device. In order to prevent the critical situation as described above to a minimum, when the information processing apparatus detects an unauthorized program, it issues a communication cutoff command to the gateway device via the router. When the gateway device receives this command, it automatically cuts off communication with the Internet. The gateway device may be a device that operates in a DMZ (demilitarized zone) and directly communicates with the Internet, or a router in a LAN.

このように、本実施形態によれば、やむを得ず最新の修正プログラムを適用することができなくても、情報処理装置がゲートウェイ機器と連携し、通信を遮断することで、不正プログラムによる被害を最小限に抑えることができる。   As described above, according to the present embodiment, even if the latest correction program cannot be applied unavoidably, the information processing apparatus cooperates with the gateway device to block communication, thereby minimizing the damage caused by the unauthorized program. Can be suppressed.

[第4の実施形態]
第1〜3の実施形態を利用すると、次のような動作を行う情報処理システムを構築することができる。このような情報処理システムの動作について、図8のフローチャートを用いて説明する。なお、この情報処理システムは、図6の構成におけるインターネット上に検疫ネットワーク507を接続した構成となる。
[Fourth Embodiment]
By using the first to third embodiments, an information processing system that performs the following operations can be constructed. The operation of such an information processing system will be described using the flowchart of FIG. This information processing system has a configuration in which a quarantine network 507 is connected to the Internet in the configuration of FIG.

ステップS801では、上記のステップS701〜S706の処理が行われ、不正プログラムの検知を行う。   In step S801, the processes in steps S701 to S706 described above are performed, and a malicious program is detected.

ステップS802では、第1〜3の実施形態で説明したように、プロセスの停止やインターネットへの通信の遮断、外部機器との間のデータ通信の遮断、などを行う。   In step S802, as described in the first to third embodiments, a process is stopped, communication with the Internet is interrupted, data communication with an external device is interrupted, and the like.

ステップS803では、システムモニタの監視部201は、ゲートウェイ機器にネットワーク遮断命令を通知する。ステップS804では、システムモニタの監視部201は、複数の情報処理装置を管理している不図示の管理サーバに接続されている全ての情報処理装置に対して、ウィルススキャン命令を行うよう通知する。   In step S803, the monitoring unit 201 of the system monitor notifies the gateway device of a network cutoff command. In step S804, the monitoring unit 201 of the system monitor notifies all information processing apparatuses connected to a management server (not shown) that manages a plurality of information processing apparatuses to execute a virus scan command.

ステップS805では、情報処理装置は検疫ネットワーク507に接続し、ステップS806では、検疫ネットワーク507により、情報処理装置に対して最新のパッチを当てたり、ウィルススキャンを実行したりする。   In step S805, the information processing apparatus is connected to the quarantine network 507. In step S806, the quarantine network 507 applies the latest patch to the information processing apparatus or executes virus scanning.

このように、ある情報処理装置で不正プログラムが検出されると、管理サーバによって管理されている別の情報処理装置に不正プログラムが感染している疑いがある。本実施形態によれば、不正プログラムの被害を最小限に抑えつつ、不正プログラムが検出された情報処理装置とは別の情報処理装置についても安全な状態に復旧させることができる。   Thus, when a malicious program is detected in a certain information processing apparatus, there is a suspicion that the malicious program is infected in another information processing apparatus managed by the management server. According to this embodiment, it is possible to restore an information processing apparatus other than the information processing apparatus in which the malicious program is detected to a safe state while minimizing the damage of the malicious program.

Claims (12)

情報処理装置内で実行されるプロセスの動作を監視するための第一の監視手段と、該情報処理装置に対するユーザからの指示を監視するための第二の監視手段と、を有する該情報処理装置であって、
前記第二の監視手段が前記指示を検知していない期間中に前記プロセスによって規定の動作が実行されていることを前記第一の監視手段が検知した場合には、該情報処理装置に対して制御を行う制御手段を備えることを特徴とする情報処理装置。
Information processing apparatus comprising: first monitoring means for monitoring operation of a process executed in the information processing apparatus; and second monitoring means for monitoring an instruction from the user to the information processing apparatus Because
When the first monitoring unit detects that a prescribed operation is being executed by the process during a period in which the second monitoring unit has not detected the instruction, the information processing apparatus An information processing apparatus comprising control means for performing control.
前記制御手段は、
非不正プロセスを登録したリストに登録されていないプロセスを停止させることを特徴とする請求項1に記載の情報処理装置。
The control means includes
The information processing apparatus according to claim 1, wherein a process that is not registered in the list in which the non-illegal process is registered is stopped.
前記制御手段は、前記期間中に前記プロセスによって規定の動作が実行されていることを前記第一の監視手段が検知した場合には、前記プロセスが不正プログラムとして検知された旨を記した電子メールを送信することを特徴とする請求項1に記載の情報処理装置。   If the first monitoring means detects that the specified operation is being executed by the process during the period, the control means sends an e-mail stating that the process has been detected as a malicious program The information processing apparatus according to claim 1, wherein: 前記制御手段は、前記期間中に前記プロセスによって規定の動作が実行されていることを前記第一の監視手段が検知した場合には、前記情報処理装置における全てのインターフェースを停止させることを特徴とする請求項1に記載の情報処理装置。   The control means stops all the interfaces in the information processing apparatus when the first monitoring means detects that a prescribed operation is being executed by the process during the period. The information processing apparatus according to claim 1. 前記制御手段は、前記期間中に前記プロセスによって規定の動作が実行されていることを前記第一の監視手段が検知した場合には、前記情報処理装置を、該情報処理装置の安全を復旧させるためのネットワークに接続させることを特徴とする請求項1に記載の情報処理装置。   The control means restores the safety of the information processing apparatus when the first monitoring means detects that a prescribed operation is being executed by the process during the period The information processing apparatus according to claim 1, wherein the information processing apparatus is connected to a network. 前記制御手段は、前記期間中に前記プロセスによって規定の動作が実行されていることを前記第一の監視手段が検知した場合には、前記情報処理装置とネットワークとの間を接続するゲートウェイ機器に対し、該ネットワークへの接続を遮断するように指示することを特徴とする請求項1に記載の情報処理装置。   When the first monitoring unit detects that a predetermined operation is being executed by the process during the period, the control unit sets a gateway device that connects the information processing apparatus and the network. The information processing apparatus according to claim 1, wherein the information processing apparatus instructs the connection to the network to be cut off. 前記第一の監視手段はプロセスモニタであり、前記第二の監視手段はシステムモニタであることを特徴とする請求項1乃至6の何れか1項に記載の情報処理装置。   The information processing apparatus according to claim 1, wherein the first monitoring unit is a process monitor, and the second monitoring unit is a system monitor. 前記規定の動作は、ファイルアクセス、ネットワークアクセス、所定の回数以上の再起動、を含むことを特徴とする請求項1乃至7の何れか1項に記載の情報処理装置。   The information processing apparatus according to any one of claims 1 to 7, wherein the prescribed operation includes file access, network access, and reactivation more than a predetermined number of times. 前記第一の監視手段は、監視対象から外されたプロセスが登録されているリストを参照し、該リストに登録されていないプロセスの動作を監視することを特徴とする請求項1に記載の情報処理装置。   2. The information according to claim 1, wherein the first monitoring unit refers to a list in which processes excluded from monitoring targets are registered, and monitors operations of processes not registered in the list. Processing equipment. 前記制御手段は、前記第一の監視手段が監視対象のプロセスによって規定の動作が実行されていることを検知した場合には、前記情報処理装置に対して制御を行うことを特徴とする請求項9に記載の情報処理装置。   The control means controls the information processing apparatus when the first monitoring means detects that a prescribed operation is being executed by a process to be monitored. 9. The information processing apparatus according to 9. 情報処理装置内で実行されるプロセスの動作を監視するための第一の監視手段と、該情報処理装置に対するユーザからの指示を監視するための第二の監視手段と、を有する該情報処理装置が行う情報処理方法であって、
前記情報処理装置の制御手段が、前記第二の監視手段が前記指示を検知していない期間中に前記プロセスによって規定の動作が実行されていることを前記第一の監視手段が検知した場合には、該情報処理装置に対して制御を行うことを特徴とする情報処理方法。
Information processing apparatus comprising: first monitoring means for monitoring operation of a process executed in the information processing apparatus; and second monitoring means for monitoring an instruction from the user to the information processing apparatus Is an information processing method performed by
When the first monitoring unit detects that the control unit of the information processing apparatus is executing a specified operation by the process during a period in which the second monitoring unit does not detect the instruction The information processing method characterized by performing control with respect to this information processing apparatus.
コンピュータを、請求項1乃至10の何れか1項に記載の情報処理装置の制御手段として機能させるためのコンピュータプログラム。   The computer program for functioning a computer as a control means of the information processing apparatus according to any one of claims 1 to 10.
JP2013219492A 2013-10-22 2013-10-22 Information processing device and information processing method Pending JP2015082191A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013219492A JP2015082191A (en) 2013-10-22 2013-10-22 Information processing device and information processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013219492A JP2015082191A (en) 2013-10-22 2013-10-22 Information processing device and information processing method

Publications (1)

Publication Number Publication Date
JP2015082191A true JP2015082191A (en) 2015-04-27

Family

ID=53012767

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013219492A Pending JP2015082191A (en) 2013-10-22 2013-10-22 Information processing device and information processing method

Country Status (1)

Country Link
JP (1) JP2015082191A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016224506A (en) * 2015-05-27 2016-12-28 西日本電信電話株式会社 Information leak detection device, information leak detection system, and information leak detection program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016224506A (en) * 2015-05-27 2016-12-28 西日本電信電話株式会社 Information leak detection device, information leak detection system, and information leak detection program

Similar Documents

Publication Publication Date Title
US10515210B2 (en) Detection of malware using an instrumented virtual machine environment
US10095866B2 (en) System and method for threat risk scoring of security threats
EP2774072B1 (en) System and method for transitioning to a whitelist mode during a malware attack in a network environment
EP3712793B1 (en) Integrity assurance during runtime
EP2013728B1 (en) Methods and apparatus providing computer and network security for polymorphic attacks
US9165142B1 (en) Malware family identification using profile signatures
US9594881B2 (en) System and method for passive threat detection using virtual memory inspection
US20100071065A1 (en) Infiltration of malware communications
US9235706B2 (en) Preventing execution of task scheduled malware
US9015829B2 (en) Preventing and responding to disabling of malware protection software
WO2017160760A1 (en) System and method for reverse command shell detection
US20150244730A1 (en) System And Method For Verifying And Detecting Malware
US20100175108A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
US20100199351A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
EP2782040A1 (en) Malware Discovery Method and System
EP3374870B1 (en) Threat risk scoring of security threats
US9584550B2 (en) Exploit detection based on heap spray detection
US20170070518A1 (en) Advanced persistent threat identification
WO2014193378A1 (en) Disabling and initiating nodes based on security issue
CN112583841B (en) Virtual machine safety protection method and system, electronic equipment and storage medium
US20210058414A1 (en) Security management method and security management apparatus
US10205738B2 (en) Advanced persistent threat mitigation
US20040093514A1 (en) Method for automatically isolating worm and hacker attacks within a local area network
JP2015082191A (en) Information processing device and information processing method
Tupakula et al. Trust enhanced security architecture for detecting insider threats