JP2015138331A - Information terminal, execution form monitor method and program - Google Patents

Information terminal, execution form monitor method and program Download PDF

Info

Publication number
JP2015138331A
JP2015138331A JP2014008661A JP2014008661A JP2015138331A JP 2015138331 A JP2015138331 A JP 2015138331A JP 2014008661 A JP2014008661 A JP 2014008661A JP 2014008661 A JP2014008661 A JP 2014008661A JP 2015138331 A JP2015138331 A JP 2015138331A
Authority
JP
Japan
Prior art keywords
file
feature amount
format
feature
information terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014008661A
Other languages
Japanese (ja)
Inventor
慎也 高田
Shinya Takada
慎也 高田
敏浩 元田
Toshihiro Motoda
敏浩 元田
隆宏 松村
Takahiro Matsumura
隆宏 松村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014008661A priority Critical patent/JP2015138331A/en
Publication of JP2015138331A publication Critical patent/JP2015138331A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an information terminal capable of monitoring an execution form.SOLUTION: An information terminal comprises: a feature amount data storage part for storing respective file extension of an open object file group, each name of respective applicable execution form, and respective feature amount parameter including a feature amount of the respective applicable execution form, for every file extension; a feature amount calculation part for calculating the feature amount of an execution form which is going to be opened or accessed, when any of the open object file group is going to be opened or accessed; and an evaluation part for reading the feature amount of the applicable execution form corresponding to the file extension of the open object file which is going to be opened or accessed, from the feature amount data storage part, and evaluating similarity of the calculated feature amount and read feature amount.

Description

本発明は、情報セキュリティに関する技術であり、実行形式(アプリケーション)を監視するための情報端末、実行形式監視方法、プログラムに関する。   The present invention relates to information security, and relates to an information terminal, an execution format monitoring method, and a program for monitoring an execution format (application).

従来、任意の実行形式によりファイルオープンされるファイル(以下、オープン対象ファイルという)と実行形式(以下、実行形式ファイル、アプリケーションともいう)とを、ユーザが手動で静的に対応付ける方法がある(非特許文献1参照)。非特許文献1の方法に限らず、オープン対象ファイルとそれをオープンする実行形式との対応関係は様々な方法で容易に変更可能である。例えば、ある不正な実行形式は、ユーザが保有するオープン対象ファイルの一部と自身とを対応付けすることにより、ユーザが保有するオープン対象ファイルから情報を詐取することができる場合がある。このように、不正な実行形式が正規の実行形式になりすまして情報を詐取することを、いわゆるアプリケーションスプーフィングという。アプリケーションスプーフィングは、今後増加するものと考えられる。   Conventionally, there is a method in which a user manually and statically associates a file that is opened by an arbitrary execution format (hereinafter referred to as a file to be opened) and an execution format (hereinafter also referred to as an execution format file or application) by a user. Patent Document 1). Not only the method of Non-Patent Document 1, but the correspondence between the open target file and the execution format for opening it can be easily changed by various methods. For example, a certain illegal execution format may be able to fraud information from an open target file held by the user by associating a part of the open target file held by the user with itself. In this way, fraudulent information that is obtained by impersonating an illegal execution form as a regular execution form is called so-called application spoofing. Application spoofing is expected to increase in the future.

“ファイルを開いたときに起動するプログラムを変更する”、[online]、[平成 26年 1月 16日検索]、インターネット〈 URL:http://office.microsoft.com/ja-jp/excel-help/HA010174909.aspx〉“Change the program that starts when a file is opened”, [online], [Search January 16, 2014], Internet <URL: http://office.microsoft.com/en-us/excel- help / HA010174909.aspx>

従来は実行形式の監視が行われておらず、悪意ある実行形式によって簡単にファイル内の情報を詐取することが可能であったため、情報セキュリティの観点から問題があった。そこで本発明では、実行形式を監視することができる情報端末を提供することを目的とする。   Conventionally, execution format monitoring has not been performed, and information in a file can be easily scammed by a malicious execution format, which has a problem from the viewpoint of information security. Therefore, an object of the present invention is to provide an information terminal that can monitor the execution format.

本発明の情報端末は、特徴量データ記憶部と、特徴量計算部と、評価部を含む。   The information terminal of the present invention includes a feature amount data storage unit, a feature amount calculation unit, and an evaluation unit.

特徴量データ記憶部は、任意の実行形式によるファイルオープンの対象となるファイル群であるオープン対象ファイル群の各ファイル拡張子と、各ファイル拡張子に適用可能な実行形式である各適用可能実行形式の各名称と、各適用可能実行形式の特徴量を含む各特徴量パラメタを、各ファイル拡張子ごとに記憶する。特徴量計算部は、何れかの実行形式が、オープン対象ファイル群の何れかをオープンしようとする場合、またはオープン対象ファイル群の何れかにアクセスしようとする場合に、当該オープン、またはアクセスしようとした実行形式の特徴量を計算する。評価部は、オープン、またはアクセス対象となったオープン対象ファイルのファイル拡張子に対応する適用可能実行形式の特徴量を特徴量データ記憶部から読み出して、計算された特徴量と読み出された特徴量の類似度を評価する。   The feature data storage unit includes each file extension of an open target file group that is a file group that is a target of file opening in an arbitrary execution format, and each applicable executable format that is an executable format applicable to each file extension. And feature quantity parameters including feature quantities of each applicable executable format are stored for each file extension. The feature quantity calculation unit attempts to open or access any of the execution formats when attempting to open any of the open target file groups or when accessing any of the open target file groups. The feature value of the executed format is calculated. The evaluation unit reads the feature amount of the applicable executable format corresponding to the file extension of the open target file that has been opened or accessed from the feature amount data storage unit, and the calculated feature amount and the read feature Evaluate quantity similarity.

本発明の情報端末によれば、実行形式を監視することができる。   According to the information terminal of the present invention, the execution format can be monitored.

本発明の実施例1の情報端末の構成を示すブロック図。The block diagram which shows the structure of the information terminal of Example 1 of this invention. 本発明の実施例1の情報端末の動作を示すフローチャート。The flowchart which shows operation | movement of the information terminal of Example 1 of this invention. 本発明の実施例1の特徴量データ記憶部に記憶されるデータを例示する図。The figure which illustrates the data memorize | stored in the feature-value data storage part of Example 1 of this invention. 実行形式ファイル群の拡張子について例示する図。The figure which illustrates about the extension of an executable format file group. 記憶済み特徴量と計算された特徴量が類似する場合の各特徴量を例示する図。The figure which illustrates each feature-value in case the stored feature-value and the calculated feature-value are similar. 記憶済み特徴量と計算された特徴量が類似しない場合の各特徴量を例示する図。The figure which illustrates each feature-value in case the stored feature-value and the calculated feature-value are not similar. 本発明の実施例2の情報端末の構成を示すブロック図。The block diagram which shows the structure of the information terminal of Example 2 of this invention. 本発明の実施例2の情報端末の登録動作を示すフローチャート。The flowchart which shows the registration operation | movement of the information terminal of Example 2 of this invention. 本発明の実施例2で用いられる属性拡張子について説明する図。The figure explaining the attribute extension used in Example 2 of the present invention. 本発明の実施例2の特徴量データ記憶部に記憶されるデータを例示する図。The figure which illustrates the data memorize | stored in the feature-value data storage part of Example 2 of this invention. 本発明の実施例2の情報端末の評価動作を示すフローチャート。The flowchart which shows evaluation operation | movement of the information terminal of Example 2 of this invention. 本発明の実施例3の情報端末の構成を示すブロック図。The block diagram which shows the structure of the information terminal of Example 3 of this invention. 本発明の実施例3の特徴量データ記憶部に記憶されるデータを例示する図。The figure which illustrates the data memorize | stored in the feature-value data storage part of Example 3 of this invention. 本発明の実施例3の情報端末の登録動作を示すフローチャート。The flowchart which shows the registration operation | movement of the information terminal of Example 3 of this invention. 本発明の実施例3の情報端末の評価動作を示すフローチャート。The flowchart which shows the evaluation operation | movement of the information terminal of Example 3 of this invention. 本発明の実施例4の実行形式制御システムの構成を示すブロック図。The block diagram which shows the structure of the execution format control system of Example 4 of this invention. 本発明の実施例4の情報端末の登録動作を示すフローチャート。The flowchart which shows the registration operation | movement of the information terminal of Example 4 of this invention. 本発明の実施例4の情報端末の評価動作を示すフローチャート。The flowchart which shows evaluation operation | movement of the information terminal of Example 4 of this invention.

以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。   Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.

以下、図1、図2を参照して本発明の実施例1の情報端末について説明する。図1は、本実施例の情報端末1の構成を示すブロック図である。図2は、本実施例の情報端末1の動作を示すフローチャートである。なお本明細書において情報端末とは、データを記憶する記憶領域と、データを演算して記憶領域に読み書きする演算子を備えた機器全般を指し示すものとする。図1に示すように、本実施例の情報端末1は少なくとも、特徴量計算部12と、評価部13と、特徴量データ記憶部15を含む構成である。本実施例の情報端末1はこれに加え、ファイル登録部11を含んでもよい。また、情報端末1の外部にオープン対象ファイル群記憶部14、実行形式ファイル群記憶部16が存在するものとする。これらの記憶部(14、16)は、本実施例のように情報端末1の外部に独立した記憶媒体、記憶装置として存在していてもよいし、情報端末内部に記憶領域として存在していてもよい。本実施例および後述する実施例4では、これらの記憶部(14、16)は情報端末1の外部に独立した記憶媒体、記憶装置として存在しているものとしたが、後述する実施例2、3においては、これらの記憶部(14、16)は、情報端末内部に記憶領域として存在するものとした。なお、オープン対象ファイル群記憶部14には、任意の実行形式によるファイルオープンの対象となるファイル群(オープン対象ファイル群)が記憶されている。実行形式ファイル群記憶部16には、実行形式群が記憶されている。   The information terminal according to the first embodiment of the present invention will be described below with reference to FIGS. FIG. 1 is a block diagram illustrating a configuration of the information terminal 1 according to the present embodiment. FIG. 2 is a flowchart showing the operation of the information terminal 1 of the present embodiment. Note that in this specification, an information terminal indicates a general device including a storage area for storing data and an operator that calculates data and reads / writes data from / to the storage area. As illustrated in FIG. 1, the information terminal 1 according to the present exemplary embodiment includes at least a feature amount calculation unit 12, an evaluation unit 13, and a feature amount data storage unit 15. In addition to this, the information terminal 1 of the present embodiment may include a file registration unit 11. Further, it is assumed that the open target file group storage unit 14 and the execution format file group storage unit 16 exist outside the information terminal 1. These storage units (14, 16) may exist as independent storage media and storage devices outside the information terminal 1 as in this embodiment, or exist as storage areas inside the information terminal. Also good. In the present embodiment and the fourth embodiment described later, these storage units (14, 16) are assumed to exist as independent storage media and storage devices outside the information terminal 1, but in the second embodiment described later, 3, these storage units (14, 16) exist as storage areas inside the information terminal. The open target file group storage unit 14 stores a file group (open target file group) that is a target of file opening in an arbitrary execution format. The execution format file group storage unit 16 stores execution format groups.

図2に示すように、ファイル登録部11は、任意の実行形式によるファイルオープンの対象となるファイル群であるオープン対象ファイル群の各ファイル拡張子と、各ファイル拡張子に適用可能な実行形式である各適用可能実行形式の各名称と、各適用可能実行形式の特徴量を含む各特徴量パラメタを、各ファイル拡張子ごとに特徴量データ記憶部15に記憶する(S11)。なお、ステップS11で記憶すべきデータが特徴量データ記憶部15に予め記憶されている場合、ステップS11の登録動作および、ファイル登録部11を省略することが可能である。本発明において実行形式の特徴量として用いることができるものとして例えば、ハッシュ値、アプリケーション全体のエントロピー値、アプリケーションの区分エントロピー値などがある。順序性を考慮しない場合、実行形式のハッシュ値Hは、例えば以下の式で計算することができる。   As shown in FIG. 2, the file registration unit 11 has each file extension of an open target file group that is a file group that is a target of file opening in an arbitrary execution format, and an execution format applicable to each file extension. Each name of each applicable executable form and each feature quantity parameter including the feature quantity of each applicable executable form are stored in the feature quantity data storage unit 15 for each file extension (S11). If data to be stored in step S11 is stored in advance in the feature data storage unit 15, the registration operation in step S11 and the file registration unit 11 can be omitted. Examples of features that can be used as feature quantities in the execution format in the present invention include a hash value, an entropy value of the entire application, and a partitioned entropy value of the application. When ordering is not considered, the hash value H of the execution format can be calculated by the following formula, for example.

Figure 2015138331
Figure 2015138331

なお、Piとは、対象となる実行形式ファイル中で、値iが出現する確率を表す。順序性を考慮する場合は、実行形式のハッシュ値H(以下、M1エントロピーと呼ぶ)は、例えば以下の式で計算することができる。 Note that the P i, in executable in the file of interest, represents the probability that the value i appears. When ordering is taken into consideration, the hash value H of the execution format (hereinafter referred to as M1 entropy) can be calculated by the following equation, for example.

Figure 2015138331
Figure 2015138331

また、ファイル全体のエントロピー値を用いて、二つのファイルの類似度を測定する場合は、例えば以下のように計算できる。 Further, when the similarity between two files is measured using the entropy value of the entire file, for example, it can be calculated as follows.

Figure 2015138331
Figure 2015138331

ただし、E1は比較元ファイルのエントロピー、E2は比較先ファイルのエントロピー、S1は比較元ファイルのファイルサイズ、S2は比較先ファイルのファイルサイズである。ただし、ファイル全体のエントロピー値を用いて、式(3)により類似度を計算した場合、全く別のアプリケーション同士が偶然に類似のエントロピー値をとる場合がまれに発生する。こうした偶然の一致を防ぐためには区分エントロピー計算を行い、区分エントロピーの差分値から類似度を計算するのがよい。区分エントロピー値を用いて、二つのファイルの類似度を測定する場合は、例えば以下のように計算できる。 However, E 1 is the entropy of the comparison source file, E 2 is the entropy of the comparison destination file, S 1 is the file size of the comparison source file, and S 2 is the file size of the comparison destination file. However, when the degree of similarity is calculated by using the entropy value of the entire file according to Equation (3), there are rare cases where completely different applications accidentally take similar entropy values. In order to prevent such accidental coincidence, it is preferable to perform a piecewise entropy calculation and calculate a similarity from the difference value of the piecewise entropy. When the similarity between two files is measured using the segmented entropy value, it can be calculated as follows, for example.

Figure 2015138331
Figure 2015138331

ただし、式(4)の類似度は、区間i=1,2,…,nとし、H1iは、区間iでの比較元ファイルのエントロピー、H2iは、区間iでの比較先ファイルのエントロピーである。分母のnは合計n個の区間の平均をとることを意味する。上述の特徴量計算方法(式(1)〜(4))によれば、エグザクトマッチングよりも冗長性をもたせた成りすましの判定が可能となる。特徴量計算方法に冗長性を持たせることにより、管理コストを低くすることが可能である。 However, the similarity of equation (4) is interval i = 1, 2,..., N, H1 i is the entropy of the comparison source file in interval i, and H2 i is the entropy of the comparison destination file in interval i It is. The denominator n means taking the average of a total of n intervals. According to the above-described feature amount calculation method (Equations (1) to (4)), it is possible to determine impersonation with redundancy rather than exact matching. By providing redundancy to the feature quantity calculation method, it is possible to reduce the management cost.

以下、図3を参照して特徴量データ記憶部15に記憶されるデータの例について説明する。図3は、本実施例の特徴量データ記憶部15に記憶されるデータを例示する図であって、図3Aは、特徴量をハッシュ値とした場合のデータ構成例、図3Bは、特徴量を全体エントロピー値とした場合のデータ構成例、図3Cは、特徴量を区分エントロピー値とした場合のデータ構成例である。図3に示すように、特徴量データ記憶部15には、ファイル拡張子ごとに、適用可能実行形式の名称、特徴量パラメタが組にして記憶される。例えば、特徴量がハッシュ値である場合、図3Aに示すように、例えばファイル拡張子「.doc」に対して、適用可能実行形式名「EXE1.exe」、この実行形式EXE1.exeのハッシュ値であるH1が組にして記憶されている。同様に、例えばファイル拡張子「.xls」に対して、適用可能実行形式名「EXE2.exe」、この実行形式EXE2.exeのハッシュ値であるH2が組にして記憶されており、以下同様である。また、例えば特徴量が全体エントロピー値である場合、図3Bに示すように、特徴量パラメタとしては、特徴量そのものに加え、類似度に対して用いる閾値が記憶される。例えば図3Bでは、ファイル拡張子「.doc」に対して、適用可能実行形式名「EXE1.exe」、この実行形式EXE1.exeの全体エントロピー値A1、当該全体エントロピー値A1と比較対象のファイルの全体エントロピー値の類似度を式(3)により算出した際、二つのファイルが同一であるか否かを判断するときに、類似度に対して用いられる閾値「95%」が記憶される。この場合、式(3)で計算される類似度が95%以上(または超過)である場合に、二つのファイルが同一であると判断することができる。図3Bについては、以下同様である。同様に、例えば特徴量が区分エントロピー値である場合、図3Cに示すように、特徴量パラメタとしては、特徴量そのものに加え、類似度に対して用いる閾値が記憶される。例えば図3Cでは、ファイル拡張子「.doc」に対して、適用可能実行形式名「EXE1.exe」、この実行形式EXE1.exeの区分エントロピー値S1、当該区分エントロピー値S1と比較対象のファイルの区分エントロピー値の類似度を式(4)により算出した際、二つのファイルが同一であるか否かを判断するときに、類似度に対して用いられる閾値「0.20」が記憶される。この場合、式(4)で計算される類似度が0.20以下(または未満)である場合に、二つのファイルが同一であると判断することができる。図3Cについては、以下同様である。 Hereinafter, an example of data stored in the feature amount data storage unit 15 will be described with reference to FIG. FIG. 3 is a diagram illustrating data stored in the feature amount data storage unit 15 of the present embodiment. FIG. 3A is a data configuration example when the feature amount is a hash value, and FIG. 3B is a feature amount. FIG. 3C is a data configuration example when the feature amount is a segmented entropy value. As shown in FIG. 3, the feature amount data storage unit 15 stores the name of the applicable executable format and the feature amount parameter as a set for each file extension. For example, when the feature value is a hash value, as shown in FIG. 3A, for example, for the file extension “.doc”, the applicable executable format name “EXE1.exe” and the hash value of this executable format EXE1.exe H 1 is stored as a set. Similarly, for example, for the file extension “.xls”, the applicable executable format name “EXE2.exe” and the hash value H 2 of this executable format EXE2.exe are stored in pairs, and so on. It is. For example, when the feature amount is an overall entropy value, as shown in FIG. 3B, a threshold value used for the similarity is stored as the feature amount parameter in addition to the feature amount itself. For example, in FIG. 3B, for the file extension “.doc”, the applicable executable format name “EXE1.exe”, the overall entropy value A 1 of this executable format EXE1.exe, the overall entropy value A 1 and the comparison target When calculating the similarity of the overall entropy value of a file using Equation (3), the threshold value “95%” used for the similarity is stored when determining whether or not the two files are the same. . In this case, it is possible to determine that the two files are the same when the similarity calculated by Expression (3) is 95% or more (or exceeding). The same applies to FIG. 3B. Similarly, for example, when the feature quantity is a segmented entropy value, as shown in FIG. 3C, a threshold value used for the similarity is stored as the feature quantity parameter in addition to the feature quantity itself. For example, in FIG. 3C, for the file extension “.doc”, the applicable executable format name “EXE1.exe”, the partitioned entropy value S 1 of this executable format EXE1.exe, the partitioned entropy value S 1 and the comparison target When the similarity of the file entropy values of the files is calculated by the equation (4), a threshold value “0.20” used for the similarity is stored when determining whether or not the two files are the same. In this case, it is possible to determine that the two files are the same when the similarity calculated by Expression (4) is 0.20 or less (or less). The same applies to FIG. 3C.

以下、図4を参照して実行形式ファイルの拡張子の例について補足説明する。図4は、実行形式ファイル群の拡張子について例示する図である。図3の例において実行形式の拡張子は、全て「.exe」であったが、本発明の監視対象となる実行形式はこれに限らず、「.com」「.dll」「.sys」「.bat」「.cmd」などであってもよい。例えば図4に示すように、実行形式ファイル164(EXE4.com)、実行形式ファイル165(EXE5.dll)などであってもよい。   Hereinafter, an example of an extension of an executable file will be supplementarily described with reference to FIG. FIG. 4 is a diagram illustrating the extension of the executable format file group. In the example of FIG. 3, the extensions of the execution formats are all “.exe”, but the execution format to be monitored by the present invention is not limited to this, and “.com” “.dll” “.sys” “ .bat "," .cmd ", etc. For example, as shown in FIG. 4, an executable format file 164 (EXE4.com), an executable format file 165 (EXE5.dll), or the like may be used.

再び図2を参照して説明を続ける。ステップS12以下は評価動作である。特徴量計算部12は、何れかの実行形式が、オープン対象ファイル群の何れかをオープン、またはオープン対象ファイル群の何れかにアクセスしようとする場合に、当該オープン、またはアクセスしようとした実行形式の特徴量を計算する(S12)。評価部13は、オープン、またはアクセス対象となったオープン対象ファイルのファイル拡張子に対応する適用可能実行形式の特徴量を特徴量データ記憶部15から読み出して、計算された特徴量と読み出した特徴量の類似度を評価する(S13)。以下、図5、図6を参照して実際に類似度を計算した事例について説明する。図5は、記憶済み特徴量と計算された特徴量が類似する場合の各特徴量を例示する図である。図6は、記憶済み特徴量と計算された特徴量が類似しない場合の各特徴量を例示する図である。図5、図6ともに縦軸を特徴量(区分エントロピー値)、横軸をファイル区分(10KB単位)としてプロットしたグラフであり、白菱形の記号は、特徴量データ記憶部15に記憶済みの適応可能実行形式の特徴量を表す。一方、黒四角の記号は、比較対象となる新たに計算された特徴量であって、オープン、またはアクセスしようとした実行形式の特徴量を表す。図5は、特徴量がよく一致する場合であって、式(4)で計算される差の平均(類似度)は0.021となる。この値は、設定されている閾値以下となるため、評価部13は、二つのファイルが同一であると判断する。図5のように二つのファイルが同一であると判断された場合、評価部13はオープン、またはアクセスしようとした実行形式に対して、例えばファイルオープンの許可を通知することができる。一方、図6は、特徴量が類似しない場合であって、式(4)で計算される差の平均(類似度)は0.69となる。この値は、設定されている閾値を超えているため、評価部13は、二つのファイルが同一でないと判断する。従って、評価部13はオープン、またはアクセスしようとした実行形式が不正な実行形式であると判断して、当該実行形式に対して、例えばファイルオープンの拒否(リジェクト)を通知することができる。   The description will be continued with reference to FIG. Step S12 and subsequent steps are evaluation operations. The feature amount calculation unit 12 opens or attempts to access any of the open target file groups when the open target file group is opened or the open target file group is accessed. Is calculated (S12). The evaluation unit 13 reads the feature amount of the applicable executable format corresponding to the file extension of the open target file that has been opened or accessed, from the feature amount data storage unit 15, and calculates the calculated feature amount and the read feature. The amount of similarity is evaluated (S13). Hereinafter, an example in which the similarity is actually calculated will be described with reference to FIGS. FIG. 5 is a diagram illustrating each feature quantity when the stored feature quantity is similar to the calculated feature quantity. FIG. 6 is a diagram illustrating each feature amount when the stored feature amount is not similar to the calculated feature amount. Both FIG. 5 and FIG. 6 are graphs in which the vertical axis is a feature quantity (section entropy value) and the horizontal axis is a file section (in units of 10 KB), and white rhombus symbols are adaptations stored in the feature quantity data storage unit 15 Represents a feature quantity of possible executables. On the other hand, a black square symbol is a newly calculated feature value to be compared, and represents an executable feature value to be opened or accessed. FIG. 5 shows a case in which the feature quantities match well, and the average (similarity) of the difference calculated by Expression (4) is 0.021. Since this value is equal to or less than the set threshold value, the evaluation unit 13 determines that the two files are the same. When it is determined that the two files are the same as shown in FIG. 5, the evaluation unit 13 can notify, for example, permission to open the file to the execution format to be opened or accessed. On the other hand, FIG. 6 shows a case where the feature amounts are not similar, and the average (similarity) of the difference calculated by Expression (4) is 0.69. Since this value exceeds the set threshold value, the evaluation unit 13 determines that the two files are not the same. Therefore, the evaluation unit 13 can determine that the execution format to be opened or accessed is an illegal execution format, and can notify the execution format of rejection (reject) of, for example, a file.

このように、本実施例の情報端末1によれば、特徴量データ記憶部15に予め定めた適用可能実行形式の特徴量を記憶しておき、特徴量計算部12が、ファイルアクセス/オープンを実行しようとする実行形式の特徴量を新たに計算し、評価部13が記憶済みの特徴量と計算された特徴量を比較することで、その類似度を評価するため、実行形式のファイルへのアクセス/オープンを常に監視することができる。   As described above, according to the information terminal 1 of the present embodiment, the feature amount data storage unit 15 stores the feature amount in a predetermined applicable execution format, and the feature amount calculation unit 12 performs file access / opening. In order to evaluate the similarity by newly calculating the feature quantity of the execution format to be executed and comparing the calculated feature quantity with the stored feature quantity, Access / open can always be monitored.

以下、特徴量データ記憶部に記憶するデータに属性拡張子を付与して管理することにより、ファイルオープン時をトリガとして、実行形式の監視を実行する実装とした実施例2の情報端末2について説明する。まず図7、図8を参照して登録動作について説明する。図7は、本実施例の情報端末2の構成を示すブロック図である。図8は、本実施例の情報端末2の登録動作を示すフローチャートである。図7に示すように、本実施例の情報端末2は、ファイル登録部21と、特徴量計算部22と、評価部23と、オープン対象ファイル群記憶部14と、特徴量データ記憶部25と、実行形式ファイル群記憶部16を含む構成である。なお、オープン対象ファイル群記憶部14、実行形式ファイル群記憶部16は情報端末2の外部に独立した記憶媒体、記憶装置として存在してもよい。本実施例の情報端末2と実施例1の情報端末1の違いは、ファイル登録部21と、特徴量計算部22と、評価部23の動作と、特徴量データ記憶部25に記憶されるデータである。   Hereinafter, the information terminal 2 according to the second embodiment will be described in which the execution format is monitored by triggering the time when the file is opened by managing the data stored in the feature amount data storage unit with an attribute extension. To do. First, the registration operation will be described with reference to FIGS. FIG. 7 is a block diagram showing the configuration of the information terminal 2 of the present embodiment. FIG. 8 is a flowchart showing the registration operation of the information terminal 2 of the present embodiment. As shown in FIG. 7, the information terminal 2 of the present embodiment includes a file registration unit 21, a feature amount calculation unit 22, an evaluation unit 23, an open target file group storage unit 14, and a feature amount data storage unit 25. The execution format file group storage unit 16 is included. The open target file group storage unit 14 and the execution format file group storage unit 16 may exist as an independent storage medium or storage device outside the information terminal 2. The difference between the information terminal 2 of the present embodiment and the information terminal 1 of the first embodiment is that the file registration unit 21, the feature amount calculation unit 22, the operation of the evaluation unit 23, and the data stored in the feature amount data storage unit 25. It is.

図8に示すように、特徴量計算部22は、各適応可能実行形式の特徴量を計算する(S22A)。ファイル登録部21は、各ファイル拡張子に対応する各属性拡張子と、各ファイル拡張子と、各ファイル拡張子の各適用可能実行形式の各名称と、各適用可能実行形式の各特徴量パラメタを、各ファイル拡張子ごとに特徴量データ記憶部25に記憶する(S21)。以上が登録動作である。上述のように、本実施例では、属性拡張子が追加される実装となっている。図9、図10を参照して属性拡張子について説明する。図9は、本実施例で用いられる属性拡張子について説明する図である。図10は、本実施例の特徴量データ記憶部25に記憶されるデータを例示する図である。図9に示すように、属性拡張子は、共通するファイル拡張子を有するオープン対象ファイルのグループに対して、一つ付与されるものである。属性拡張子は、例えばコンテナ拡張子などで実現可能である。図9の例では、例えばファイル拡張子「.doc」に対して属性拡張子「XXX」が付与される。ファイル拡張子「.doc」に対して、適用可能実行形式EXE1.exeが対応付けられる。同様に、ファイル拡張子「.xls」に対して属性拡張子「YYY」が付与され、ファイル拡張子「.xls」に対して適用可能実行形式EXE2.exeが対応付けられる。以下同様である。図10に示すように、本実施例の特徴量データ記憶部25では、実施例1のデータセットに加えて、各ファイル拡張子に属性拡張子が付与されて記憶される。このように、オープン対象ファイルが属性拡張子で管理されることにより、評価部23は、何れかの実行形式がオープン対象ファイルの何れかをオープンしようとした場合に、当該オープン対象ファイルの属性拡張子を読み出して評価を実行するため、実行形式のファイルオープン動作をトリガ(契機)として、評価を行うことができる。   As shown in FIG. 8, the feature quantity calculation unit 22 calculates the feature quantity of each adaptable execution format (S22A). The file registration unit 21 includes each attribute extension corresponding to each file extension, each file extension, each name of each applicable executable format of each file extension, and each feature parameter of each applicable executable format Are stored in the feature data storage unit 25 for each file extension (S21). The above is the registration operation. As described above, in this embodiment, the attribute extension is added. The attribute extension will be described with reference to FIGS. FIG. 9 is a diagram for explaining attribute extensions used in this embodiment. FIG. 10 is a diagram illustrating data stored in the feature amount data storage unit 25 of the present embodiment. As shown in FIG. 9, one attribute extension is assigned to a group of open target files having a common file extension. The attribute extension can be realized by a container extension, for example. In the example of FIG. 9, for example, the attribute extension “XXX” is given to the file extension “.doc”. The executable format EXE1.exe is associated with the file extension “.doc”. Similarly, the attribute extension “YYY” is assigned to the file extension “.xls”, and the applicable executable format EXE2.exe is associated with the file extension “.xls”. The same applies hereinafter. As shown in FIG. 10, in the feature value data storage unit 25 of the present embodiment, in addition to the data set of the first embodiment, each file extension is given an attribute extension and stored. As described above, when the open target file is managed with the attribute extension, the evaluation unit 23 can expand the attribute extension of the open target file when any execution format attempts to open any of the open target files. Since the child is read and the evaluation is performed, the evaluation can be performed with an execution format file open operation as a trigger.

図11を参照して評価動作の詳細について述べる。図11は、本実施例の情報端末2の評価動作を示すフローチャートである。図11に示すように、特徴量計算部22は、何れかの実行形式が、オープン対象ファイル群の何れかをオープンしようとする場合に、当該オープンしようとした実行形式の特徴量を計算する(S22B)。評価部23は、オープン対象となったオープン対象ファイルの属性拡張子を抽出して、抽出された属性拡張子に基づいて定まるファイル拡張子に対応する適用可能実行形式の特徴量を特徴量データ記憶部25から読み出して、計算された特徴量と読み出された特徴量の類似度を評価し、当該類似度に基づいて、何れかの実行形式のオープンの許否を決定する(S23)。   Details of the evaluation operation will be described with reference to FIG. FIG. 11 is a flowchart showing the evaluation operation of the information terminal 2 of the present embodiment. As shown in FIG. 11, when any execution format is to open any of the open target file groups, the feature amount calculation unit 22 calculates the feature amount of the execution format to be opened ( S22B). The evaluation unit 23 extracts the attribute extension of the open target file that is to be opened, and stores the feature quantity of the applicable executable format corresponding to the file extension determined based on the extracted attribute extension in the feature quantity data storage It reads out from the unit 25, evaluates the similarity between the calculated feature quantity and the read out feature quantity, and determines whether or not to open any execution format based on the similarity degree (S23).

このように、本実施例の情報端末2によれば、特徴量データ記憶部25に記憶するデータに属性拡張子を追加したことにより、実施例1の効果に加え、評価部23が実行形式のファイルオープン動作をトリガ(契機)として、評価を行う実装とすることができる。   As described above, according to the information terminal 2 of the present embodiment, by adding the attribute extension to the data stored in the feature data storage unit 25, in addition to the effects of the first embodiment, the evaluation unit 23 has an execution format. The implementation can be implemented with the file open operation as a trigger.

以下、図12、図13を参照して、適用可能実行形式として安全性が保障された実行形式であるホワイト実行形式と、不正な疑いのある実行形式であるブラック実行形式とを含んで実装される実施例3の情報端末について説明する。図12は、本実施例の情報端末3の構成を示すブロック図である。図13は、本実施例の特徴量データ記憶部35に記憶されるデータを例示する図である。   Hereinafter, with reference to FIG. 12 and FIG. 13, the implementation is implemented including the white execution format which is an execution format in which safety is ensured as an applicable execution format, and the black execution format which is an execution format suspected of being illegal. An information terminal according to Example 3 will be described. FIG. 12 is a block diagram illustrating a configuration of the information terminal 3 according to the present embodiment. FIG. 13 is a diagram illustrating data stored in the feature amount data storage unit 35 of the present embodiment.

図12に示すように、本実施例の情報端末3は、ファイル登録部31と、特徴量計算部32と、評価部33と、オープン対象ファイル群記憶部14と、特徴量データ記憶部35と、実行形式ファイル群記憶部16を含む構成である。なお、オープン対象ファイル群記憶部14、実行形式ファイル群記憶部16は情報端末3の外部に独立した記憶媒体、記憶装置として存在してもよい。本実施例の情報端末3と実施例1の情報端末1の違いは、ファイル登録部31と、特徴量計算部32と、評価部33の動作と、特徴量データ記憶部35に記憶されるデータである。   As shown in FIG. 12, the information terminal 3 of the present embodiment includes a file registration unit 31, a feature amount calculation unit 32, an evaluation unit 33, an open target file group storage unit 14, and a feature amount data storage unit 35. The execution format file group storage unit 16 is included. The open target file group storage unit 14 and the execution format file group storage unit 16 may exist as an independent storage medium or storage device outside the information terminal 3. The difference between the information terminal 3 of the present embodiment and the information terminal 1 of the first embodiment is that the file registration unit 31, the feature amount calculation unit 32, the operation of the evaluation unit 33, and the data stored in the feature amount data storage unit 35. It is.

本実施例では、適用可能実行形式として安全性が保障されたホワイト実行形式、不正な疑いのあるブラック実行形式のそれぞれについて、実施例1におけるファイル拡張子−適用可能実行形式の名称−特徴量パラメタからなるデータセットを用いる。ホワイト実行形式に対応するデータセットをホワイトリスト、ブラック実行形式に対応するデータセットをブラックリストと呼ぶ。以下、図13を参照して本実施例の特徴量データ記憶部35に記憶されるデータについて説明する。図13は、本実施例の特徴量データ記憶部35に記憶されるデータを例示する図であって、図13Aはホワイトリスト、図13Bはブラックリストを例示する図(特徴量をハッシュ値とした例)である。図13A,Bに示すように、本実施例ではホワイト実行形式とブラック実行形式のそれぞれに対してデータセットが生成される。具体的には、例えばファイル拡張子「.doc」に対して、安全な挙動が保障された実行形式(ホワイト実行形式)としてEXE1.exeが挙げられ、その特徴量(特徴量パラメタ)としてハッシュ値H1が、対応付けられて記憶されている。一方、ファイル拡張子「.doc」に対して、不正な動作を実行する疑いのある実行形式(ブラック実行形式)としてEXE91.exeが挙げられ、その特徴量としてハッシュ値H91が、対応付けられて記憶されている。本実施例では、評価部33が、評価対象の実行形式をホワイト実行形式、ブラック実行形式の双方と比較してホワイト実行形式との類似度、ブラック実行形式との類似度をそれぞれ評価する。以下、図14、図15を参照して本実施例の情報端末3の登録動作、評価動作について説明する。図14は、本実施例の情報端末3の登録動作を示すフローチャートである。図15は、本実施例の情報端末3の評価動作を示すフローチャートである。 In this embodiment, for each of the white execution format in which safety is ensured as the applicable execution format and the black execution format suspected of being illegal, the file extension in the first embodiment—the name of the applicable execution format—the feature parameter A data set consisting of A data set corresponding to the white execution format is called a white list, and a data set corresponding to the black execution format is called a black list. Hereinafter, data stored in the feature amount data storage unit 35 of this embodiment will be described with reference to FIG. FIG. 13 is a diagram illustrating data stored in the feature amount data storage unit 35 of the present embodiment, where FIG. 13A is a white list and FIG. 13B is a diagram illustrating a black list (feature values are hash values). Example). As shown in FIGS. 13A and 13B, in this embodiment, a data set is generated for each of the white execution format and the black execution format. Specifically, for example, EXE1.exe is listed as an executable format (white executable format) that guarantees safe behavior for the file extension “.doc”, and a hash value as its feature value (feature parameter) H 1 is associated and stored. On the other hand, EXE91.exe is cited as an executable format (black executable format) that is suspected of executing an illegal operation for the file extension “.doc”, and a hash value H 91 is associated with the feature amount. Is remembered. In this embodiment, the evaluation unit 33 compares the execution format to be evaluated with both the white execution format and the black execution format, and evaluates the similarity with the white execution format and the similarity with the black execution format, respectively. Hereinafter, the registration operation and evaluation operation of the information terminal 3 according to the present embodiment will be described with reference to FIGS. 14 and 15. FIG. 14 is a flowchart showing the registration operation of the information terminal 3 of this embodiment. FIG. 15 is a flowchart showing the evaluation operation of the information terminal 3 of this embodiment.

図14に示すように、特徴量計算部32は、各ホワイト/ブラック実行形式の特徴量を計算する(S32A)。ファイル登録部31は、ファイル拡張子とホワイト実行形式の名称と特徴量パラメタの、ファイル拡張子ごとの組からなるリストをホワイトリストとして記憶し、ファイル拡張子とブラック実行形式の名称と特徴量パラメタの、ファイル拡張子ごとの組からなるリストをブラックリストとして記憶する(S31A)。以上が登録動作である。   As shown in FIG. 14, the feature amount calculation unit 32 calculates the feature amount of each white / black execution format (S32A). The file registration unit 31 stores, as a white list, a list of file extensions, names of white execution formats and feature parameters, each set of file extensions, and includes file extensions, black execution formats, and feature parameters. A list consisting of sets for each file extension is stored as a black list (S31A). The above is the registration operation.

図15に示すように、評価部33は、制御対象の実行形式の名称がホワイト/ブラックリストに登録済みの何れかの実行形式の名称と一致するか否かを判定し、一致する場合には(S33AY)、次のステップS32Bに進む。一致しない場合には(S33AN)、処理を終了する(F5エンド)。ステップS33Aは適宜省略することもできるが、ステップS33Aの実行により、ホワイト/ブラック実行形式の何れとも名称が異なる実行形式を、評価対象から外すことができるため、評価にかかる処理コストを低減することができる。次に、特徴量計算部32は、何れかの実行形式が、オープン対象ファイル群の何れかをオープン、またはオープン対象ファイル群の何れかにアクセスしようとする場合に、当該オープン、またはアクセスしようとした実行形式の特徴量を計算する(S32B)。評価部33は、オープン、またはアクセス対象となったオープン対象ファイルのファイル拡張子に対応するホワイト/ブラック実行形式の特徴量を特徴量データ記憶部35から読み出して、計算された特徴量と読み出された特徴量の類似度を評価し、当該類似度から、制御対象の実行形式がホワイト実行形式であるか、ブラック実行形式であるか、あるいは何れでもないかを判定し、当該判定結果に応じて予め定めたそれぞれの動作を実行する(S33B)。例えば評価部33は、オープン、またはアクセスしようとした実行形式がホワイト実行形式と判定された場合には、ファイルへのアクセス/オープン動作を許可し、反対にブラック実行形式と判定された場合には、ファイルへのアクセス/オープン動作を拒否(リジェクト)することができる。   As shown in FIG. 15, the evaluation unit 33 determines whether the name of the execution format to be controlled matches the name of any execution format registered in the white / black list. (S33AY), the process proceeds to the next step S32B. If they do not match (S33AN), the process ends (F5 end). Although step S33A can be omitted as appropriate, execution of step S33A can exclude execution forms having names different from any of the white / black execution forms from the evaluation target, thereby reducing the processing cost for evaluation. Can do. Next, when any execution format opens any one of the open target file groups or attempts to access any one of the open target file groups, the feature amount calculating unit 32 attempts to open or access the open target file group. The feature amount of the executed format is calculated (S32B). The evaluation unit 33 reads the feature amount of the white / black execution format corresponding to the file extension of the open target file that has been opened or accessed from the feature amount data storage unit 35, and reads the calculated feature amount. The degree of similarity of the determined feature quantity is evaluated, and it is determined from the similarity whether the execution format of the control target is the white execution format, the black execution format, or neither, and according to the determination result Then, each predetermined operation is executed (S33B). For example, the evaluation unit 33 permits the access / open operation to the file when the execution format to be opened or accessed is determined to be the white execution format, and conversely if the execution format is determined to be the black execution format. The file access / open operation can be rejected.

このように、本実施例の情報端末3によれば、適用可能実行形式としてホワイト実行形式、ブラック実行形式などを含むものとし、これらの特徴量を特徴量データ記憶部35でホワイトリスト、ブラックリストとして管理することとし、評価部33が、制御対象の実行形式がホワイトであるか、ブラックであるか、あるいは何れでもないかに応じて、予め定めたそれぞれの動作を実行するため、ホワイト/ブラックリストに従ったきめ細やかな実行形式の監視を実現することができる。   As described above, according to the information terminal 3 of the present embodiment, the applicable execution format includes the white execution format, the black execution format, and the like, and these feature amounts are converted into a white list and a black list in the feature amount data storage unit 35. Since the evaluation unit 33 executes each predetermined operation depending on whether the execution format of the control target is white, black, or neither, the evaluation unit 33 enters the white / black list. It is possible to realize detailed execution type monitoring.

以下、図16を参照して、オープン対象ファイルがファイルシステムを経由して取得できる場合に、当該オープン対象ファイルの情報端末へのI/Oをトリガ(契機)として、評価が行われる実装とした実施例4の実行形式制御システムについて説明する。図16は、本実施例の実行形式制御システム400の構成を示すブロック図である。図16に示すように、本実施例の実行形式制御システム400は、情報端末4と、ファイルシステム47と、オープン対象ファイル群記憶部14と、実行形式ファイル群記憶部16とを含む構成である。本実施例では、オープン対象ファイル群記憶部14と、実行形式ファイル群記憶部16は、情報端末4の外部にあって、独立した記憶媒体、記憶装置などで実現されるものとする。情報端末4は、ファイルシステム47を介してオープン対象ファイル群記憶部14からオープン対象ファイルを入出力することができる。また、情報端末4は、ファイル登録部41と、特徴量計算部42と、評価部43と、特徴量データ記憶部45を含む。   Hereinafter, referring to FIG. 16, when an open target file can be acquired via a file system, an evaluation is performed using I / O to the information terminal of the open target file as a trigger (trigger). An execution format control system according to the fourth embodiment will be described. FIG. 16 is a block diagram showing the configuration of the execution format control system 400 of this embodiment. As shown in FIG. 16, the execution format control system 400 according to the present embodiment includes the information terminal 4, the file system 47, the open target file group storage unit 14, and the execution format file group storage unit 16. . In this embodiment, the open target file group storage unit 14 and the execution format file group storage unit 16 are outside the information terminal 4 and are realized by independent storage media, storage devices, and the like. The information terminal 4 can input / output an open target file from the open target file group storage unit 14 via the file system 47. The information terminal 4 includes a file registration unit 41, a feature amount calculation unit 42, an evaluation unit 43, and a feature amount data storage unit 45.

以下、図17、図18を参照して本実施例の情報端末4の登録動作、評価動作について説明する。図17は、本実施例の情報端末4の登録動作を示すフローチャートである。図18は、本実施例の情報端末4の評価動作を示すフローチャートである。   Hereinafter, the registration operation and evaluation operation of the information terminal 4 according to the present embodiment will be described with reference to FIGS. 17 and 18. FIG. 17 is a flowchart showing the registration operation of the information terminal 4 of this embodiment. FIG. 18 is a flowchart showing the evaluation operation of the information terminal 4 of this embodiment.

図17に示すように、特徴量計算部42は、各適応可能実行形式の特徴量を計算する(S42A)。ファイル登録部41は、各ファイル拡張子と、各ファイル拡張子の各適用可能実行形式の各名称と、各適用可能実行形式の各特徴量パラメタを、各ファイル拡張子ごとに特徴量データ記憶部45に記憶する(S41)。以上が登録動作である。   As shown in FIG. 17, the feature amount calculation unit 42 calculates the feature amount of each adaptable execution format (S42A). The file registration unit 41 includes each file extension, each name of each applicable executable format of each file extension, and each feature parameter of each applicable executable format for each file extension. 45 (S41). The above is the registration operation.

図18に示すように、特徴量計算部42は、何れかの実行形式が、オープン対象ファイル群の何れかにアクセスしようとする場合に、当該アクセスしようとした実行形式の特徴量を計算する(S42B)。評価部43は、アクセス対象となったオープン対象ファイルのファイル拡張子に対応する適用可能実行形式の特徴量を特徴量データ記憶部45から読み出して、計算された特徴量と読み出した特徴量の類似度を評価し、当該類似度に基づいて、何れかの実行形式のアクセスの許否を決定する(S43)。以上が評価動作である。   As shown in FIG. 18, when any execution format tries to access any of the open target file groups, the feature amount calculation unit 42 calculates the feature amount of the execution format to be accessed ( S42B). The evaluation unit 43 reads the feature amount of the applicable executable format corresponding to the file extension of the open target file that is the access target from the feature amount data storage unit 45, and the similarity between the calculated feature amount and the read feature amount The degree of access is evaluated, and whether or not to allow access to any execution format is determined based on the similarity (S43). The above is the evaluation operation.

このように、本実施例の実行形式制御システム400、情報端末4によれば、実施例1の効果に加え、オープン対象ファイルの情報端末へのI/Oをトリガ(契機)として、評価を実行することができる。   As described above, according to the execution format control system 400 and the information terminal 4 of the present embodiment, in addition to the effects of the first embodiment, the evaluation is executed using the I / O to the information terminal of the open target file as a trigger (trigger). can do.

上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。   The various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.

また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。   Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

Claims (7)

任意の実行形式によるファイルオープンの対象となるファイル群であるオープン対象ファイル群の各ファイル拡張子と、前記各ファイル拡張子に適用可能な実行形式である各適用可能実行形式の各名称と、前記各適用可能実行形式の特徴量を含む各特徴量パラメタを、前記各ファイル拡張子ごとに記憶する特徴量データ記憶部と、
何れかの実行形式が、前記オープン対象ファイル群の何れかをオープンしようとする場合、または前記オープン対象ファイル群の何れかにアクセスしようとする場合に、当該オープン、またはアクセスしようとした実行形式の特徴量を計算する特徴量計算部と、
前記オープン、またはアクセス対象となった前記オープン対象ファイルの前記ファイル拡張子に対応する前記適用可能実行形式の特徴量を前記特徴量データ記憶部から読み出して、前記計算された特徴量と前記読み出された特徴量の類似度を評価する評価部と、
を含む情報端末。 Each file extension of a file group to be opened, which is a file group that is a target of file opening in an arbitrary execution format, each name of each applicable executable format that is an executable format applicable to each file extension, and A feature amount data storage unit that stores each feature amount parameter including a feature amount of each applicable executable format for each file extension;
If any execution format tries to open any of the open target file groups or accesses any of the open target file groups, the execution format of the open or access target A feature amount calculation unit for calculating a feature amount;
The feature quantity of the applicable executable format corresponding to the file extension of the open target file that has been opened or accessed is read from the feature quantity data storage unit, and the calculated feature quantity and the read An evaluation unit that evaluates the similarity of the feature amount
Information terminal including. 請求項1に記載の情報端末であって、
前記特徴量がハッシュ値、アプリケーション全体のエントロピー値、アプリケーションの区分エントロピー値の何れかに関係する値である
情報端末。 The information terminal according to claim 1,
An information terminal in which the feature amount is a value related to any one of a hash value, an entropy value of the entire application, and a partitioned entropy value of the application. 請求項1又は2に記載の情報端末であって、
前記評価部が、前記評価した類似度に基づいて、前記何れかの実行形式の前記オープン、またはアクセス対象となった前記オープン対象ファイルへのオープンまたはアクセスの許否を決定する
情報端末。 The information terminal according to claim 1 or 2,
An information terminal in which the evaluator determines whether to open or access the open target file that is the target of execution or the open target of the execution format based on the evaluated similarity. 請求項1から3の何れかに記載の情報端末であって、
前記特徴量データ記憶部は、各ファイル拡張子に対応する属性拡張子を記憶するものとし、
前記評価部は、前記オープン対象となった前記オープン対象ファイルの前記属性拡張子を抽出して、前記抽出された属性拡張子に基づいて定まるファイル拡張子に対応する前記適用可能実行形式の特徴量を前記特徴量データ記憶部から読み出して、前記計算された特徴量と前記読み出された特徴量の類似度を評価する
情報端末。 An information terminal according to any one of claims 1 to 3,
The feature data storage unit stores an attribute extension corresponding to each file extension,
The evaluation unit extracts the attribute extension of the open target file that is the open target, and the feature amount of the applicable executable format corresponding to the file extension determined based on the extracted attribute extension Is read from the feature quantity data storage unit, and the information terminal evaluates the similarity between the calculated feature quantity and the read feature quantity. 請求項1から4の何れかに記載の情報端末であって、
前記適用可能実行形式として安全性が保障された実行形式であるホワイト実行形式と、不正な疑いのある実行形式であるブラック実行形式とを含み、
前記特徴量データ記憶部は、前記ファイル拡張子と前記ホワイト実行形式の名称と前記特徴量パラメタの、前記ファイル拡張子ごとの組からなるリストをホワイトリストとして記憶し、前記ファイル拡張子と前記ブラック実行形式の名称と前記特徴量パラメタの、前記ファイル拡張子ごとの組からなるリストをブラックリストとして記憶し、
前記評価部は、前記オープン、またはアクセス対象となった前記オープン対象ファイルの前記ファイル拡張子に対応する前記ホワイト実行形式、およびブラック実行形式の特徴量を前記特徴量データ記憶部から読み出して、前記計算された特徴量と前記読み出された特徴量の類似度を評価する
情報端末。 An information terminal according to any one of claims 1 to 4,
A white execution form that is an execution form that is guaranteed safe as the applicable execution form, and a black execution form that is an execution form suspected of fraud,
The feature amount data storage unit stores a list including a set of the file extension, the name of the white execution format, and the feature amount parameter for each file extension as a white list, and the file extension and the black A list consisting of a set of an executable format name and the feature parameter for each file extension is stored as a black list,
The evaluation unit reads out the feature quantity of the white execution format and the black execution format corresponding to the file extension of the open target file that has been opened or accessed from the feature quantity data storage unit, and An information terminal for evaluating the similarity between the calculated feature quantity and the read feature quantity. 任意の実行形式によるファイルオープンの対象となるファイル群であるオープン対象ファイル群の各ファイル拡張子と、前記各ファイル拡張子に適用可能な実行形式である各適用可能実行形式の各名称と、前記各適用可能実行形式の特徴量を含む各特徴量パラメタを、前記各ファイル拡張子ごとに所定の記憶部に記憶する登録ステップと、
何れかの実行形式が、前記オープン対象ファイル群の何れかをオープンしようとする場合、または前記オープン対象ファイル群の何れかにアクセスしようとする場合に、当該オープン、またはアクセスしようとした実行形式の特徴量を計算する特徴量計算ステップと、
前記オープン、またはアクセス対象となった前記オープン対象ファイルの前記ファイル拡張子に対応する前記適用可能実行形式の特徴量を所定の記憶部から読み出して、前記計算された特徴量と前記読み出された特徴量の類似度を評価する評価ステップと、
を含む実行形式監視方法。 Each file extension of a file group to be opened, which is a file group that is a target of file opening in an arbitrary execution format, each name of each applicable executable format that is an executable format applicable to each file extension, and A registration step of storing each feature parameter including a feature value of each applicable executable format in a predetermined storage unit for each file extension;
If any execution format tries to open any of the open target file groups or accesses any of the open target file groups, the execution format of the open or access target A feature amount calculating step for calculating a feature amount;
The feature quantity of the applicable executable format corresponding to the file extension of the open target file that has been opened or accessed is read from a predetermined storage unit, and the calculated feature quantity and the read An evaluation step for evaluating the similarity of the feature quantity;
Execution format monitoring method including 請求項6に記載の実行形式監視方法を実行すべき指令をコンピュータに対してするプログラム。   A program for instructing a computer to execute the execution format monitoring method according to claim 6.
JP2014008661A 2014-01-21 2014-01-21 Information terminal, execution form monitor method and program Pending JP2015138331A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014008661A JP2015138331A (en) 2014-01-21 2014-01-21 Information terminal, execution form monitor method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014008661A JP2015138331A (en) 2014-01-21 2014-01-21 Information terminal, execution form monitor method and program

Publications (1)

Publication Number Publication Date
JP2015138331A true JP2015138331A (en) 2015-07-30

Family

ID=53769306

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014008661A Pending JP2015138331A (en) 2014-01-21 2014-01-21 Information terminal, execution form monitor method and program

Country Status (1)

Country Link
JP (1) JP2015138331A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017102566A (en) * 2015-11-30 2017-06-08 日本電信電話株式会社 Unauthorized file detection device, unauthorized file detection method and unauthorized file detection program
JP2022520041A (en) * 2019-05-21 2022-03-28 ▲ギ▼南大學 Descriptive Entropy-Based Intelligent Determination of Big Data Mobile Software Similarities

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017102566A (en) * 2015-11-30 2017-06-08 日本電信電話株式会社 Unauthorized file detection device, unauthorized file detection method and unauthorized file detection program
JP2022520041A (en) * 2019-05-21 2022-03-28 ▲ギ▼南大學 Descriptive Entropy-Based Intelligent Determination of Big Data Mobile Software Similarities
JP7197942B2 (en) 2019-05-21 2022-12-28 ▲ギ▼南大學 An Intelligent Decision Method Based on Descriptive Entropy for Big Data Mobile Software Similarity

Similar Documents

Publication Publication Date Title
JP6732806B2 (en) Account theft risk identification method, identification device, and prevention/control system
Hupperich et al. On the robustness of mobile device fingerprinting: Can mobile users escape modern web-tracking mechanisms?
CN106133743B (en) System and method for optimizing the scanning of pre-installation application program
CN103679031B (en) A kind of immune method and apparatus of file virus
TW201931187A (en) URL attack detection method and apparatus, and electronic device
CN105723378B (en) Protection system including safety regulation assessment
JP6435398B2 (en) Method and system for facilitating terminal identifiers
JP5936798B2 (en) Log analysis device, unauthorized access audit system, log analysis program, and log analysis method
US20160248788A1 (en) Monitoring apparatus and method
JP6717206B2 (en) Anti-malware device, anti-malware system, anti-malware method, and anti-malware program
TWI743656B (en) Verification method and device
CN110046156A (en) Content Management System and method, apparatus, electronic equipment based on block chain
RU2531565C2 (en) System and method for analysing file launch events for determining safety ranking thereof
CN106030527B (en) By the system and method for application notification user available for download
CN105959294B (en) A kind of malice domain name discrimination method and device
CN113497807A (en) Method and device for detecting user login risk and computer readable storage medium
US20180316672A1 (en) Sharing of event data across a plurality of service platforms
JP2018147327A (en) Generation device, generation method, and generation program
US20180315052A1 (en) System and method for measuring user behavior in electronic transaction based on an immunity system
JP2015138331A (en) Information terminal, execution form monitor method and program
JP6066877B2 (en) Authentication server, authentication method, and authentication program
JP6258189B2 (en) Specific apparatus, specific method, and specific program
JP6369324B2 (en) Information processing apparatus, control method, and program
JP6602799B2 (en) Security monitoring server, security monitoring method, program
JP5851311B2 (en) Application inspection device