JP2016009227A - ログ取得装置およびログ取得プログラム - Google Patents

ログ取得装置およびログ取得プログラム Download PDF

Info

Publication number
JP2016009227A
JP2016009227A JP2014127849A JP2014127849A JP2016009227A JP 2016009227 A JP2016009227 A JP 2016009227A JP 2014127849 A JP2014127849 A JP 2014127849A JP 2014127849 A JP2014127849 A JP 2014127849A JP 2016009227 A JP2016009227 A JP 2016009227A
Authority
JP
Japan
Prior art keywords
data
log
event
log acquisition
record data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014127849A
Other languages
English (en)
Inventor
佐々木 良一
Ryoichi Sasaki
良一 佐々木
聡志 三村
Satoshi Mimura
聡志 三村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tokyo Denki University
Original Assignee
Tokyo Denki University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tokyo Denki University filed Critical Tokyo Denki University
Priority to JP2014127849A priority Critical patent/JP2016009227A/ja
Publication of JP2016009227A publication Critical patent/JP2016009227A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】通信ネットワークに接続するアプリケーションを実行し、アプリケーションに関連するログを取得する。【解決手段】ログ取得装置1は、アプリケーションの実行に伴うイベントを検出し、当該アプリケーションに関連するプロセスのプロセス識別子と、当該イベントに関連するデータを対応づけて構造体データ21を生成する検出手段11と、構造体データ21を、CSV形式のレコードデータ22に変換する整形手段12と、レコードデータ22を、ログデータ23に挿入してログデータ23を更新する書込手段13を備える。【選択図】 図1

Description

本発明は、通信ネットワークに接続するアプリケーションを実行し、アプリケーションに関連するログを取得するログ取得装置およびログ取得プログラムに関する。
近年、特定企業や組織に対し、執拗に機密情報を盗み出そうとする攻撃が、世界的に増加している。このような攻撃では、標的とする組織内のコンピュータに、外部と通信する機能を持ったマルウェアを、メールやUSBメモリなどを介して感染させる。その上で、より機能を持ったマルウェアの導入やコンピュータの遠隔操作などを経て、機密情報が取得される場合がある。
このような攻撃への対策として、侵入検知システム(IDS:Intrusion Detection System)やファイアウォール、アンチマルウェアソフトウェア等の対策製品が、導入にされている。さらに、これら製品の挙動を統括的に監視して攻撃の検知を実施する製品や、有事の際の事実関係の把握や法的証拠として通信内容を利用できるようにするために、通信内容を記録する通信保全機器なども登場している。
例えば、不正プロセスの活動を検知する方法を開示する(特許文献1参照。)。特許文献1に記載の方法では、通信パケットに、その通信パケットを送信しようとしたプロセスの識別子を埋め込むことにより、通信とプロセスを対応づける。
国際公開WO2011/027496
しかしながら、通信保全機器によって取得されたログは、昨今の情報機器の高度化に伴って増加の一途を辿っていることに加え、相互に結びつけることが難しい内容も存在するため、原因調査に多くの時間を要す場合がある。
また特許文献1に記載の方法は、通信パケットに、その通信パケットを送信しようとしたプロセスの識別子を埋め込むことにより、通信とプロセスを対応づけるので、スループットの低下が懸念される。また、通信した後に有事が判明した場合や、デジタルフォレンジックの必要性が生じた場合に、対応できない問題がある。
従って本発明の目的は、通信ネットワークに接続するアプリケーションに関連するログを適切に保全するログ取得装置およびログ取得プログラムを提供することである。
上記課題を解決するために、本発明の第1の特徴は、通信ネットワークに接続するアプリケーションを実行し、アプリケーションに関連するログを取得するログ取得装置に関する。すなわち本発明の第1の特徴に係るログ取得装置は、アプリケーションの実行に伴うイベントを検出し、検出したイベントに関連するプロセスのプロセス識別子と、当該イベントに関連するデータを含む構造体データを生成する検出手段と、構造体データを、CSV形式のレコードデータに変換する整形手段と、レコードデータを、ログデータに挿入してログデータを更新する書込手段と、を備える。
検出手段、整形手段および書込手段は、カーネルモードで実装され、整形手段は、レコードデータをメモリに展開し、書込手段は、レコードデータが展開されたメモリのアドレスに基づいて、レコードデータを、ログデータに挿入しても良い。
ここでイベントは、プロセス起動、プロセス終了、モジュール読込および接続確立である。イベントが、プロセス起動の場合、イベントに関連するデータは、起動時刻、当該プロセスの親プロセス識別子、実行イメージファイルパスおよびコマンドラインであって、イベントが、プロセス終了の場合、イベントに関連するデータは、終了時刻であって、イベントが、モジュール読込の場合、イベントに関連するデータは、読込時刻およびモジュールイメージファイルパスであって、イベントが、接続確立の場合、イベントに関連するデータは、通信確立時刻、送信元IPアドレスおよびポート番号、送信先IPアドレスおよびポート番号およびプロトコル識別子であっても良い。
本発明の第2の特徴は、通信ネットワークに接続するアプリケーションを実行し、アプリケーションに関連するログを取得するログ取得装置に用いるログ取得プログラムに関する。すなわち本発明の第2の特徴に係るログ取得プログラムは、コンピュータを、アプリケーションの実行に伴うイベントを検出し、検出したイベントに関連するプロセスのプロセス識別子と、当該イベントに関連するデータを含む構造体データを生成する検出手段と、構造体データを、CSV形式のレコードデータに変換する整形手段と、レコードデータを、ログデータに挿入してログデータを更新する書込手段として機能させる。
検出手段、整形手段および書込手段は、カーネルモードで実装され、整形手段は、レコードデータをメモリに展開し、書込手段は、レコードデータが展開されたメモリのアドレスに基づいて、レコードデータを、ログデータに挿入しても良い。
本発明によれば、通信ネットワークに接続するアプリケーションに関連するログを適切に保全するログ取得装置およびログ取得プログラムを提供することができる。
本発明の実施の形態に係るログ取得装置のハードウェア構成と機能ブロックを説明する図である。 本発明の実施の形態に係るログ取得装置が取得するイベントの種類と、イベントに関するデータを説明する図である。 本発明の実施の形態に係るログ取得装置の構造体データの構造を説明する図である。 本発明の実施の形態に係るログ取得装置によるログ取得方法を説明する図である。 本発明の実施の形態に係るログデータのデータ構造とデータの一例を説明する図である。
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一または類似の部分には同一または類似の符号を付している。
(実施の形態)
図1を参照して、本発明の実施の形態に係るログ取得装置1を説明する。ログ取得装置1は、社内LANなどのプライベートネットワークや、インターネットなどパブリックネットワークなどの通信ネットワークに接続されるコンピュータである。ログ取得装置1は、プロキシサーバなどを経由して、通信ネットワークに接続しても良い。
ログ取得装置1は、処理装置10、記憶装置20、通信制御装置30、入力装置40および出力装置50を備える一般的なコンピュータである。一般的なコンピュータに、所定の処理を実行するための1以上のプログラムをインストールし、実行することにより、図1に示す機能を実現する。
処理装置10は、記憶装置20に記憶されたデータを読み出したり、記憶装置20にデータを書き出したりしながら、データを処理する。記憶装置20は、ハードディスク、メモリなどであって、データを記憶する。通信制御装置30は、処理装置10の制御に従って、通信ネットワークとデータを送受信する。入力装置40は、キーボードやマウスなどであって、操作者の指示を処理装置に入力する。出力装置50は、表示装置などであって、処理装置10の処理結果を操作者に認識可能に形態で出力する。
処理装置10は、検出手段11、整形手段12、書込手段13およびアプリケーション実行手段14を備える。
アプリケーション実行手段14は、ブラウザ、メールなどの、通信ネットワークに接続するアプリケーションを実行する。このアプリケーションに、マルウェアなどの不正アプリケーションも含まれうる。すなわち、アプリケーション実行手段14は、ブラウザやメールなどの個々のアプリケーションプログラムを実行する。これに対し検出手段11、整形手段12および書込手段13は、ログ取得プログラムによって処理装置10に実装される。検出手段11、整形手段12および書込手段13は、連携して、アプリケーション実行手段14によるアプリケーションの実行に伴うイベントを検出し、ログデータ23に記憶する。
検出手段11は、アプリケーションの実行に伴うイベントを検出し、検出したイベントに関連するプロセスのプロセス識別子と、当該イベントに関連するデータ当該イベントに関連するデータを含む構造体データ21を生成する。本発明の実施の形態において検出手段11が検出するイベントは、プロセス起動、プロセス終了、モジュール読込および接続確立である。
本発明の実施の形態に係る検出手段11は、プロセスの起動および終了を検出するプロセス検出手段11a、モジュールの読込を検出するモジュール読込検出手段11bおよび通信を検出する通信検出手段11cを備える。
プロセス検出手段11aは、プロセスが起動する際、このプロセスの起動に関するデータとして、図2に示すように、プロセス識別子、起動時刻、当該プロセスの親プロセス識別子、実行イメージファイルパスおよびコマンドラインを取得する。またプロセス検出手段11aは、プロセスが終了する際、このプロセスの起動に関するデータとして、図2に示すように、プロセス識別子および終了時刻を取得する。プロセス検出手段11aは、Windows(登録商標)の場合、PsSetCreateProcessNotifyRoutineExを用いて、プロセス検出手段11aに対応するコールバック関数が、Windows(登録商標)に登録される。プロセス検出手段11aは、プロセスが新規で起動しようとした際などに呼び出され、そのプロセスの起動に関するデータを取得する。
モジュール読込検出手段11bは、モジュールが読み込まれる際、このモジュールの読込に関するデータとして、図2に示すように、プロセス識別子、読込時刻およびモジュールイメージファイルパスを取得する。モジュール読込検出手段11bは、Windows(登録商標)の場合、PsSetLoadImageNotifyRoutineを用いて、モジュール読込検出手段11bに対応するコールバック関数が、Windows(登録商標)に登録される。モジュール読込検出手段11bは、モジュールが読み込まれようとした際などに呼び出され、そのモジュールの読込に関するデータを取得する。
通信検出手段11cは、通信の接続が確立する際、その通信に関するデータとして、図2に示すように、通信確立時刻、送信元IPアドレスおよびポート番号、送信先IPアドレスおよびポート番号およびプロトコル識別子を取得する。ここで、プロトコル識別子は特に、TCPやUDPなどの、トランスポート層で用いられるプロトコルの識別子を指す。通信検出手段11cは、Windows(登録商標) Filtering Platformを用いる。通信確立時を意味するFWPM_LAYER_ALE_FLOW_ESTABLISHEDに判定を行うプログラムとして、通信検出手段11cに対応するプログラムが登録される。通信検出手段11cは、通信が確立すると呼び出され、その通信確立に関するデータを取得する。
なお、Windows(登録商標) Filtering Platformを用いる場合、通信検出手段11cは、呼び出されると、通信内容にかかわらずFWP_ACTION_CONTINUEを結果として返答する。具体的には通信検出手段11cは、この通信を許可するか否かは他のファイアウォールに委ね、専ら通信ログを取得する。
検出手段11は、プロセス検出手段11a、モジュール読込検出手段11bおよび通信検出手段11cのうちのいずれかがイベントを検出すると、そのイベントに関するデータから構造体データ21を生成して、記憶装置20に記憶する。構造体データ21は、図3に示すような構造を有し、時刻”time”、ログ種別”logtype”、プロセス識別子”current_pid”、親プロセス識別子”parent_pid”、イメージファイル名”imagefilename”、コマンドライン”commandline”、送信元アドレス”local_address”およびポート番号”local_port”、送信先アドレス”remort_address”およびポート番号”remote_port”、およびプロトコル識別子”protocol”を含む。
「時刻」、「ログ種別」および「プロセス識別子」は、イベント種別に関わらず、設定される。「時刻」は、イベントが生じた時刻を設定する。「ログ種別」は、プロセス起動、プロセス終了、モジュール読込、通信確立のいずれかのイベントの識別子を設定する。「プロセス識別子」は、プロセス起動およびプロセス終了については、それぞれ起動および終了の対象となったプロセスの識別子を設定され、モジュール読込については、モジュールを読み込んだプロセスの識別子を設定され、通信確立については、通信を発生させたプロセスの識別子を設定する。
「親プロセス識別子」は、イベント種別がプロセス起動の場合に設定される。新たに起動されるプロセスを起動したプロセスを親プロセスとして、「親プロセス識別子」は、その親プロセスの識別子を設定する。
「イメージファイル名」は、イベント種別がプロセス起動またはモジュール読込の場合に、起動されるプロセスや読み込まれるモジュールの実行ファイルへのパスを特定する情報である。パスは、絶対パスで表記されても良いし、所定フォルダからの相対パスで表記されても良い。イベント種別がプロセス起動の場合、「イメージファイル名」には、実行イメージファイルパスが設定される。イベント種別がプロセス起動の場合、「イメージファイル名」には、モジュールイメージパスが設定される。
「コマンドライン」は、イベント種別がプロセス起動の場合に、起動されるプロセスをコマンドライン形式で特定する情報である。コマンドラインは、起動されるプロセスの実行ファイルへのパスと、その実行ファイルの引数とを対応づけたデータである。
「送信元アドレスおよびポート番号」、「送信先アドレスおよびポート番号」、および「プロトコル識別子」は、イベント種別が通信確立の場合に設定される。「送信元アドレスおよびポート番号」および「送信先アドレスおよびポート番号」は、通信が確立した際の送信元のアドレスおよびポート番号、さらに送信先のアドレスおよびポート番号を設定する。「プロトコル識別子」は、確立した通信のTCP、UDPなどのトランスポート層のプロトコル種別を設定する。
構造体データ21において、設定されない項目には、例えば、null値が設定される。設定されない項目は、例えば、プロセス起動、プロセス終了およびモジュール読込における「送信元アドレスおよびポート番号」、「送信先アドレスおよびポート番号」、および「プロトコル識別子」である。
検出手段11が構造体データ21を記憶装置20に記憶すると、整形手段12が、構造体データ21をレコードデータ22に変換する。整形手段12は、検出手段11が出力したプロセス識別子およびイベントに関連するデータを、CSV形式のレコードデータ22に変換する。ここで整形手段12は、構造体データ21の各データ項目をカンマで区切って並べることにより、レコードデータ22を生成し、書込手段13にレコードデータ22をログデータ23に挿入させる。
整形手段12は、レコードデータ22を、ログデータ23に挿入してログデータ23を更新する。
ここで、検出手段11、整形手段12および書込手段13は、カーネルモードで実装される。オペレーションシステムの制限によっては、検出手段11、整形手段12および書込手段13は、異なる優先度で呼び出される場合がある。具体的には、検出手段11および整形手段12は、PASSIVE_LEVELより優先度の高いレベルで呼び出される一方、書込手段13は、ファイル書込を伴うので、PASSIVE_LEVELで呼び出されるという制限が生じる場合がある。
その場合、本発明の実施の形態において整形手段12は、生成したレコードデータ22をメモリに展開する。整形手段12は、メモリに展開したレコードデータ22のアドレスを、書込手段13に処理させるためのキューに入力する。
書込手段13は、PASSIVE_LEVELで実行可能なタイミングで、キューに登録された処理を逐次実行する。この際書込手段13は、処理対象のレコードデータ22のアドレスを特定し、特定したアドレスに基づいてメモリからレコードデータ22を抽出し、ログデータ23に挿入する。
これにより本発明の実施の形態に係るログ取得装置1は、検出手段11、整形手段12および書込手段13をカーネルモードで実装するとともに、検出手段11および整形手段12は、優先度を高く処理することができる。さらにログ取得装置1は、低い優先度レベルでも実行可能なタイミングで書込手段13にログデータ23を更新させることができる。これによりログ取得装置1は、アプリケーションの実行に伴うログを、リアルタイムに取得することができる。
(ログ取得方法)
図4を参照して、本発明の実施の形態に係るログ取得方法を説明する。
まずステップS101においてログ取得装置1の検出手段11は、イベントの発生を待機する。イベントが発生すると、ステップS102に進む。ステップS102において検出手段11は、発生したイベントのプロセス識別子と、イベントに関連するデータを含む構造体データ21を生成する。
ステップS103において整形手段12は、構造体データ21をレコードデータ22に変換する。さらにステップS104において整形手段12は、ステップS103で生成したレコードデータ22をメモリにコピーし、レコードデータ22がコピーされたメモリのアドレスに基づいて書込手段13に処理させるためのキューに登録する。
ステップS105において書込手段13は、書込処理が出来るタイミングで、キューに登録されたメモリのアドレスに基づいてレコードデータ22を抽出し、抽出したレコードデータ22をログデータ23に挿入して、ログデータ23を更新する。
(ログデータ)
図5を参照して、本発明の実施の形態に係るログデータ23の一例を説明する。図5に示す例において、ログデータ23の各項目うち、時刻、ログ種別、プロセス識別子、親プロセス識別子、コマンドライン、送信元IPアドレス、送信元ポート番号、送信先IPアドレスおよび送信先ポート番号の各項目を抜きだしている。
図5に示す例において、プロセス起動の種別を”PROCESS_LAUNCH”と表記する。プロセス終了の種別を”PROCESS_QUIT”と表記する。モジュール読込の種別を”PROCESS_MODLOAD”と表記する。接続確立(IPv4)の種別を”NETWORKV4”と表記する。また、図5に示す例において、プロセス起動における送信元IPアドレス、送信元ポート番号、送信先IPアドレスおよび送信先ポート番号などの項目も割愛している。また、モジュール読込のコマンドライン欄において、モジュールイメージパスを記載している。
図5に示す例において、レコードR1ないしR7およびR18は、親プロセス識別子“1848”から派生した一連のプロセスのイベントのログである。レコードR8、9、12ないし16は、親プロセス識別子“752”から派生した一連のプロセスのイベントのログである。レコードR10および17は、プロセス識別子“4”に関連する一連のプロセスのイベントのログである。レコードR11は、プロセス識別子“904”のプロセスのログである。
ここでレコードR1ないしR7およびR18を参照すると、レコードR1は、親プロセス識別子“1848”が、プロセス識別子“1832”を起動したことを示す。プロセス識別子“1832”は、レコードR2およびR3が示すように、それぞれモジュールを呼び出す。さらにレコードR4およびR5が示すように、プロセス識別子“1832”はプロセス識別子“2068”を起動し、プロセス識別子“2068”は、プロセス識別子“1896”を起動する。その後、レコードR4で起動されたプロセス識別子“2068”のプロセスは、レコードR6に示すように終了し、レコードR1で起動されたプロセス識別子“1832”のプロセスは、レコードR7に示すように終了する。この時点において、親プロセス識別子“1848”から派生した一連のプロセスのうち、プロセス識別子“1848”の親プロセスと、レコードR5で起動されたプロセス識別子“1896”が生きている。その後、レコードR18が示すように、プロセス識別子“1896”は、IPアドレス「64.4.11.42」およびポート番号「80」に通信する。
ここで、IPアドレス「64.4.11.42」が不正アドレスであると判明した場合、この通信を辿ると、レコードR1で起動されたinvoice_928649039284232_9482934d88.pdf.exeがマルウェアであったと判別できる。さらに、このマルウェアがレコードR4およびR5で起動したzdttuqbg.exeも、マルウェアであったと判別できる。
このように本発明の実施の形態に係るログ取得装置1は、プロセスのプロセス識別子をキーに、通信のログと、プロセスおよびモジュールのログとを一つのログに纏めて記憶する。従って、ログ取得装置1は、プロセスと通信の関係から、悪意のあるプログラムや通信先を特定することが可能となる。
またログデータとして保存することができるので、後に問題が発覚した際に、過去の情報に遡って調査することが可能となる。これにより、問題が発覚した時点で通信が終了していたり、問題を起こしたプロセスの実行ファイルが消去されたりする場合などにおいても、ログ取得装置1は、ログデータを参照して、悪意のあるプログラムを特定することができる。
また本発明の実施の形態に係るログ取得装置1は、カーネルドライバとしてログを取得するので、プロセスの起動時から終了時まで、プロセスに関連する通信のログを取得し続け、かつマルウェアによるプロセス情報の隠蔽処理を回避することができる。
(変形例)
上述した本発明の実施の形態に係るログ取得装置1に、さらに下記のような変形例が考えられる。
一般的に、既に起動済のプログラムに対して、悪意のあるコードを注入することで、攻撃を行うマルウェアも存在する。このようなマルウェアが実行された場合、本発明の実施の形態に係るログ取得装置1は、注入されたプログラムが不正な挙動を実施していると記録するため、注入の有無が不明な場合において、ログを通して、誤った認識を与えてしまう可能性が考えられる。従って、検出手段11にコードの注入を検知する処理を追加することで、注入処理が実行された場合にその情報のログに記録することが可能となる。
また本発明の実施の形態に係るログ取得装置1は、カーネルで常駐してログを取得するため、ログの肥大化が予想される。これに対して、ログをZIP圧縮して保管する、定期的に外部ストレージにバックアップする、定期的に削除するなどの対応を取ることにより、十分対応することが可能となる。
さらに本発明の実施の形態に係るログ取得方法を、統括的なログ解析ツールと連携して攻撃兆候の検知を実施した場合において、誤認識が発生し、不要なアラートや攻撃の見過ごしが発生する可能性がある問題がある。
一例として、図5に示すログデータ23のように、マルウェアとブラウザの通信を完全に分離して判定する。これにより、本発明の実施の形態に係るログ取得装置1は、特定のプロセスが特定のサーバへの接続試行を繰り返している、もしくは特定のサーバとの接続を常に張りその時間も長いといったルールにより、ログデータ23を、攻撃兆候検知の一要素として使用することが出来る。
一方で寄生型マルウェアがブラウザにコードを注入し、ブラウザの通信として不正通信を実施していた場合、不正通信に関してもブラウザの通信であるということにより不正通信を見過ごし、通常の攻撃兆候検知よりも検知が遅くなる可能性が考えられる。
この問題に対しては、本発明の実施の形態に係るログ取得装置1が取得するデータを検知目的の補助要素としてのみ用いることに加え、このような問題が発生する可能性があることを考慮に入れた検知ルールの作成が必要となる。一例として、特定のプロセスの通信であればすべて許可という判断を実施しないように設定するなどが挙げられる。
さらに本発明の実施の形態に係るログ取得装置1は、Keep−Aliveな通信ログを記録したり、HTTPのプロトコル解析を実装してアクセス先のURIも取得したりすることにより、ログデータ23をより充実させることができる。
(その他の実施の形態)
上記のように、本発明の実施の形態およびその変形例によって記載したが、この開示の一部をなす論述および図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例および運用技術が明らかとなる。
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
1 ログ取得装置
10 処理装置
11 検出手段
11a プロセス検出手段
11b モジュール読込検出手段
11c 通信検出手段
12 整形手段
13 書込手段
14 アプリケーション実行手段
20 記憶装置
21 構造体データ
22 レコードデータ
23 ログデータ
30 通信制御装置
40 入力装置
50 出力装置

Claims (6)

  1. 通信ネットワークに接続するアプリケーションを実行し、前記アプリケーションに関連するログを取得するログ取得装置であって、
    前記アプリケーションの実行に伴うイベントを検出し、検出したイベントに関連するプロセスのプロセス識別子と、当該イベントに関連するデータを含む構造体データを生成する検出手段と、
    前記構造体データを、CSV形式のレコードデータに変換する整形手段と、
    前記レコードデータを、ログデータに挿入して前記ログデータを更新する書込手段と、
    を備えることを特徴とするログ取得装置。
  2. 前記検出手段、前記整形手段および前記書込手段は、カーネルモードで実装され、
    前記整形手段は、レコードデータをメモリに展開し、
    前記書込手段は、前記レコードデータが展開されたメモリのアドレスに基づいて、前記レコードデータを、前記ログデータに挿入する
    ことを特徴とする請求項1に記載のログ取得装置。
  3. 前記イベントは、プロセス起動、プロセス終了、モジュール読込および接続確立である
    ことを特徴とする請求項1または2に記載のログ取得装置。
  4. 前記イベントが、プロセス起動の場合、
    前記イベントに関連するデータは、起動時刻、当該プロセスの親プロセス識別子、実行イメージファイルパスおよびコマンドラインであって、
    前記イベントが、プロセス終了の場合、
    前記イベントに関連するデータは、終了時刻であって、
    前記イベントが、モジュール読込の場合、
    前記イベントに関連するデータは、読込時刻およびモジュールイメージファイルパスであって、
    前記イベントが、接続確立の場合、
    前記イベントに関連するデータは、通信確立時刻、送信元IPアドレスおよびポート番号、送信先IPアドレスおよびポート番号およびプロトコル識別子である
    ことを特徴とする請求項3に記載のログ取得装置。
  5. 通信ネットワークに接続するアプリケーションを実行し、前記アプリケーションに関連するログを取得するログ取得装置に用いるログ取得プログラムであって、
    コンピュータを、
    前記アプリケーションの実行に伴うイベントを検出し、検出したイベントに関連するプロセスのプロセス識別子と、当該イベントに関連するデータを含む構造体データを生成する検出手段と、
    前記構造体データを、CSV形式のレコードデータに変換する整形手段と、
    前記レコードデータを、ログデータに挿入して前記ログデータを更新する書込手段
    として機能させることを特徴とするログ取得プログラム。
  6. 前記検出手段、前記整形手段および前記書込手段は、カーネルモードで実装され、
    前記整形手段は、レコードデータをメモリに展開し、
    前記書込手段は、前記レコードデータが展開されたメモリのアドレスに基づいて、前記レコードデータを、前記ログデータに挿入する
    ことを特徴とする請求項5に記載のログ取得プログラム。
JP2014127849A 2014-06-23 2014-06-23 ログ取得装置およびログ取得プログラム Pending JP2016009227A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014127849A JP2016009227A (ja) 2014-06-23 2014-06-23 ログ取得装置およびログ取得プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014127849A JP2016009227A (ja) 2014-06-23 2014-06-23 ログ取得装置およびログ取得プログラム

Publications (1)

Publication Number Publication Date
JP2016009227A true JP2016009227A (ja) 2016-01-18

Family

ID=55226763

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014127849A Pending JP2016009227A (ja) 2014-06-23 2014-06-23 ログ取得装置およびログ取得プログラム

Country Status (1)

Country Link
JP (1) JP2016009227A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021144978A1 (ja) * 2020-01-17 2021-07-22 三菱電機株式会社 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム
KR20220031987A (ko) * 2020-09-02 2022-03-15 쿠팡 주식회사 애플리케이션 로딩 시간을 분석하는 시스템 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021144978A1 (ja) * 2020-01-17 2021-07-22 三菱電機株式会社 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム
KR20220031987A (ko) * 2020-09-02 2022-03-15 쿠팡 주식회사 애플리케이션 로딩 시간을 분석하는 시스템 및 방법
KR102456407B1 (ko) * 2020-09-02 2022-10-20 쿠팡 주식회사 애플리케이션 로딩 시간을 분석하는 시스템 및 방법
US11500758B2 (en) 2020-09-02 2022-11-15 Coupang Corp. Systems and methods for analyzing application loading times

Similar Documents

Publication Publication Date Title
US11244047B2 (en) Intelligent backup and versioning
EP3288231B1 (en) Method, apparatus and system for detecting security conditions of terminal
RU2568295C2 (ru) Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости
US9853994B2 (en) Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program
US9294486B1 (en) Malware detection and analysis
US8719935B2 (en) Mitigating false positives in malware detection
US9300682B2 (en) Composite analysis of executable content across enterprise network
JP4938576B2 (ja) 情報収集システムおよび情報収集方法
McDonald et al. Stuxnet 0.5: The missing link
US8578174B2 (en) Event log authentication using secure components
US20170149804A1 (en) Methods and systems for malware host correlation
US8955138B1 (en) Systems and methods for reevaluating apparently benign behavior on computing devices
WO2015078295A1 (en) Method and apparatus for protecting data of application installation packages
JP4995170B2 (ja) 不正検知方法、不正検知装置、不正検知プログラムおよび情報処理システム
AU2019206085B2 (en) Inoculator and antibody for computer security
WO2017012241A1 (zh) 文件的检测方法、装置、设备及非易失性计算机存储介质
EP2985716B1 (en) Information processing device and identifying method
JP5322288B2 (ja) 通信処理装置、通信処理方法、及びプログラム
JP6169497B2 (ja) 接続先情報判定装置、接続先情報判定方法、及びプログラム
JP2016009227A (ja) ログ取得装置およびログ取得プログラム
US11038844B2 (en) System and method of analyzing the content of encrypted network traffic
CH716699A2 (it) Sistemi e metodi per contrastare la rimozione di informazioni di scienza digitale forense da parte di software dannosi.
CN110661766B (zh) 分析加密网络业务的内容的系统和方法
Hovmark et al. Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS
RU2583709C2 (ru) Система и способ устранения последствий заражения виртуальных машин