JP2016162233A - 情報処理方装置、情報処理装置の制御方法、およびコンピュータプログラム - Google Patents
情報処理方装置、情報処理装置の制御方法、およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2016162233A JP2016162233A JP2015040749A JP2015040749A JP2016162233A JP 2016162233 A JP2016162233 A JP 2016162233A JP 2015040749 A JP2015040749 A JP 2015040749A JP 2015040749 A JP2015040749 A JP 2015040749A JP 2016162233 A JP2016162233 A JP 2016162233A
- Authority
- JP
- Japan
- Prior art keywords
- information
- policy
- application
- information processing
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000004590 computer program Methods 0.000 title claims abstract description 11
- 230000010365 information processing Effects 0.000 title claims description 30
- 238000003672 processing method Methods 0.000 title 1
- 230000006870 function Effects 0.000 description 18
- 230000002159 abnormal effect Effects 0.000 description 11
- 230000005856 abnormality Effects 0.000 description 11
- 238000001514 detection method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 101100264195 Caenorhabditis elegans app-1 gene Proteins 0.000 description 4
- 230000003203 everyday effect Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Abstract
【解決手段】強制アクセス制御の機能を有する情報処理装置であって、強制アクセス制御によってアクセスを管理するためのセキュリティポリシーを保持する保持手段113と、アプリケーションの脆弱性に関する情報を取得する取得手段118と、取得手段で取得された情報に基づき、カーネルスレッドの機能で、セキュリティポリシーを更新する更新手段114と、を有する。
【選択図】図2
Description
コンピュータシステムの改竄などが容易に行われてしまう危険性もある。そこで、システム管理者の権限を持っていても、システムの特定の実行プロセス、ファイル、及びデバイスなどのコンピュータ資源へのアクセスを制限する仕組みがいくつか提案されている。
本実施形態は、アプリケーションのアクセスを強制的に管理する強制アクセス制御の機能を有する情報処理装置に関するものである。本実施形態では、カーネルスレッドの機能を用いて、アクセスログを解析し、対応するアプリケーションのポリシー(セキュリティポリシー)の更新又は新規作成を行う。カーネルスレッドは、一般的にユーザーインターフェースを持たないため、悪意のある者に操作されてしまう可能性が低い。よって、ポリシーの更新においてセキュリティ強度を維持することが可能となる。
図1(A)は、本実施形態における情報処理装置100の全体構成を示したものである。
図2(A)は図1のOS110の機能構成を示す模式図である。尚、以下のOS110の各機能の少なくとも一部は、カーネルスレッドで実行される。
また、図2(B)は、OS110上で動作するプロセスのプロセス情報117の例を示す図である。なお、OS110の各機能はCPU101がOSのプログラムコードを実行することにより実現される。
図4は、ROMに格納されたOS110によって実行される強制アクセス制御処理を示すフローチャートである。以下では、図2(A)の各構成と対応づけて説明する。
図3は、OS110で実行されるポリシー更新処理の詳細を示すフローチャートである。以下では、図2(A)の各構成と対応づけて説明する。なお、この処理は、あらかじめ定められた時間間隔で定期的に実施される。例えば、一時間ごとや一日ごとに実施される。
第1の実施形態では、まず、アクセスログを解析した。そして、特定のアプリケーションへの攻撃がされているとみなすことが出来る場合は、カーネルスレッドを用いて、対応するアプリケーションのポリシー更新または新規作成を行った。本実施形態では、アプリケーションが既知となった脆弱性に対応していない場合に、カーネルスレッドを用いて、既知となった脆弱性情報に基づき、ポリシー更新または新規作成を行う。これによって、ポリシーを手動で更新または新規作成することなく、既知となった脆弱性にアプリケーションを対応させることが出来る。
図10は、本実施形態におけるOS110の機能構成を示す模式図である。なお、OS110の各機能はCPU101がOSのプログラムコードを実行することにより実現される。また、ポリシーDB113、アクセス制御部115、システムコール処理部116及びプロセス情報117は、図2(A)の同一名称の各部と同様なので、説明は省略する。
図5は、OS110におけるポリシー更新処理の詳細を示すフローチャートである。図2(A)の各構成と対応づけて説明する。なお、この処理は第1の実施形態と同様に定期的に実施する。
第1の実施形態では、まずアクセスログを解析した。そして、特定のアプリケーションへの攻撃がされていると見なすことが出来る場合は、ユーザーインターフェースを持たないカーネルスレッドを用いて、対応するアプリケーションのポリシー更新または新規作成を行った。
第1の実施形態からの差分は以下の通りである。脆弱性情報解析部118は、OS110の起動とともに起動する常駐プロセスである。起動後は、定期的(例えば、一時間ごとや一日ごと)にログDB112から取得したシステムのアクセスログを解析し、解析結果をポリシー処理部114に渡す。それに加えて、図10に示すようなOS110の外部にある通信ネットワーク119を通じて既知脆弱性情報DB120から既知となった脆弱性情報を取得する。そして、既知となった脆弱性情報とOS110の内部にある図8(b)に示すようなアプリケーションテーブルを比較する。比較後、既知となった脆弱性情報を解析し、解析結果をポリシー処理部114に渡す。
本実施形態では、第1の実施形態の(ポリシー更新処理)と第2の実施形態の(ポリシー更新処理)の両方を定期的に実施する。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
118 脆弱性情報解析部
Claims (9)
- 強制アクセス制御の機能を有する情報処理装置であって、
前記強制アクセス制御によってアクセスを管理するためのセキュリティポリシーを保持する保持手段と、
アプリケーションの脆弱性に関する情報を取得する取得手段と、
前記取得手段で取得された情報に基づき、カーネルスレッドの機能で、前記セキュリティポリシーを更新する更新手段と、を有することを特徴とする情報処理装置。 - 前記取得手段で取得された情報は、前記アプリケーションによるアクセスのログであることを特徴とする請求項1に記載の情報処理装置。
- 前記取得手段で取得された情報に基づき、前記アプリケーションによる所定のファイルへのアクセス数が所定値以上であるか否かを判定する判定手段を更に有し、
前記更新手段は、前記判定手段によって前記アクセス数が所定の値以上であると判定された場合、カーネルスレッドの機能で、前記セキュリティポリシーを更新することを特徴とする請求項1に記載の情報処理装置。 - 前記取得手段で取得された情報は、前記アプリケーションの新たに発見された脆弱性の情報であることを特徴とする請求項1に記載の情報処理装置。
- 前記更新手段は、前記新たに発見された脆弱性に該当するアプリケーションが前記情報処理装置に存在する場合、カーネルスレッドの機能で、前記セキュリティポリシーを更新することを特徴とする請求項4に記載の情報処理装置。
- 前記更新手段は、
前記取得手段で取得された情報に基づき、カーネルスレッドの機能で、前記アプリケーションによる所定のアクセスを拒否するルールを追加することによって、前記セキュリティポリシーを更新する請求項1乃至5のいずれか1項に記載の情報処理装置。 - 前記更新手段は、
前記取得手段で取得された情報に基づき、カーネルスレッドの機能で、前記アプリケーションによる所定のアクセスを拒否するルールを含むセキュリティポリシーを新規作成することによって、前記セキュリティポリシーを更新する請求項1乃至5のいずれか1項に記載の情報処理装置。 - 強制アクセス制御の機能を有する情報処理装置の制御方法であって、
保持手段が、前記強制アクセス制御によってアクセスを管理するためのセキュリティポリシーを保持する保持工程と、
取得手段が、アプリケーションの脆弱性に関する情報を取得する取得工程と、
更新手段が、前記取得手段で取得された情報に基づき、カーネルスレッドの機能で、前記セキュリティポリシーを更新する更新工程と、を有することを特徴とする情報処理装置の制御方法。 - コンピュータを、
強制アクセス制御の機能を有する情報処理装置であって、
前記強制アクセス制御によってアクセスを管理するためのセキュリティポリシーを保持する保持手段と、
アプリケーションの脆弱性に関する情報を取得する取得手段と、
前記取得手段で取得された情報に基づき、カーネルスレッドの機能で、前記セキュリティポリシーを更新する更新手段と、を有することを特徴とする情報処理装置として機能させるためのコンピュータプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015040749A JP6415353B2 (ja) | 2015-03-02 | 2015-03-02 | 情報処理方装置、情報処理装置の制御方法、およびコンピュータプログラム |
US15/053,564 US10691809B2 (en) | 2015-03-02 | 2016-02-25 | Information processing apparatus and method for controlling the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015040749A JP6415353B2 (ja) | 2015-03-02 | 2015-03-02 | 情報処理方装置、情報処理装置の制御方法、およびコンピュータプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016162233A true JP2016162233A (ja) | 2016-09-05 |
JP6415353B2 JP6415353B2 (ja) | 2018-10-31 |
Family
ID=56847114
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015040749A Active JP6415353B2 (ja) | 2015-03-02 | 2015-03-02 | 情報処理方装置、情報処理装置の制御方法、およびコンピュータプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US10691809B2 (ja) |
JP (1) | JP6415353B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10019580B2 (en) * | 2015-11-19 | 2018-07-10 | Federal Reserve Bank Of Philadelphia | Integrity checking for computing devices |
US11741196B2 (en) | 2018-11-15 | 2023-08-29 | The Research Foundation For The State University Of New York | Detecting and preventing exploits of software vulnerability using instruction tags |
CN110162977B (zh) * | 2019-04-24 | 2020-12-04 | 北京邮电大学 | 一种Android车载终端系统漏洞检测系统及方法 |
US11218360B2 (en) | 2019-12-09 | 2022-01-04 | Quest Automated Services, LLC | Automation system with edge computing |
US11568130B1 (en) * | 2019-12-09 | 2023-01-31 | Synopsys, Inc. | Discovering contextualized placeholder variables in template code |
CN113722479B (zh) * | 2021-08-10 | 2023-12-05 | 深圳开源互联网安全技术有限公司 | 一种日志的检测方法、装置及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003233521A (ja) * | 2002-02-13 | 2003-08-22 | Hitachi Ltd | ファイル保護システム |
JP2006518893A (ja) * | 2003-01-23 | 2006-08-17 | ヴァーダシス・インコーポレーテッド | イベントのジャーナル化によるディジタル資産使用アカウンタビリティ |
JP2012178137A (ja) * | 2011-02-02 | 2012-09-13 | Hitachi Solutions Ltd | セキュリティポリシー管理サーバ、セキュリティ監視システム |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040103317A1 (en) * | 2002-11-22 | 2004-05-27 | Burns William D. | Method and apparatus for protecting secure credentials on an untrusted computer platform |
JP4064914B2 (ja) | 2003-12-02 | 2008-03-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム |
US8272048B2 (en) | 2006-08-04 | 2012-09-18 | Apple Inc. | Restriction of program process capabilities |
US8443191B2 (en) * | 2007-04-09 | 2013-05-14 | Objective Interface Systems, Inc. | System and method for accessing information resources using cryptographic authorization permits |
JP2012018102A (ja) | 2010-07-09 | 2012-01-26 | Hitachi High-Technologies Corp | 分析装置 |
WO2012035588A1 (en) * | 2010-09-17 | 2012-03-22 | Hitachi, Ltd. | Method for managing information processing system and data management computer system |
CN104820508A (zh) * | 2014-01-30 | 2015-08-05 | 联发科技(新加坡)私人有限公司 | 设定权限的数据共享方法以及触控电子装置 |
US9350749B2 (en) | 2014-10-06 | 2016-05-24 | Sap Se | Application attack monitoring |
-
2015
- 2015-03-02 JP JP2015040749A patent/JP6415353B2/ja active Active
-
2016
- 2016-02-25 US US15/053,564 patent/US10691809B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003233521A (ja) * | 2002-02-13 | 2003-08-22 | Hitachi Ltd | ファイル保護システム |
JP2006518893A (ja) * | 2003-01-23 | 2006-08-17 | ヴァーダシス・インコーポレーテッド | イベントのジャーナル化によるディジタル資産使用アカウンタビリティ |
JP2012178137A (ja) * | 2011-02-02 | 2012-09-13 | Hitachi Solutions Ltd | セキュリティポリシー管理サーバ、セキュリティ監視システム |
Also Published As
Publication number | Publication date |
---|---|
US10691809B2 (en) | 2020-06-23 |
JP6415353B2 (ja) | 2018-10-31 |
US20160259944A1 (en) | 2016-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6415353B2 (ja) | 情報処理方装置、情報処理装置の制御方法、およびコンピュータプログラム | |
US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
US8161563B2 (en) | Running internet applications with low rights | |
US8505069B1 (en) | System and method for updating authorized software | |
US8869272B2 (en) | System, method, and computer program product for preventing a modification to a domain name system setting | |
JP5462254B2 (ja) | コンピューティングプロセスのための最小特権アクセスの付与 | |
KR101122787B1 (ko) | 보안관련 프로그래밍 인터페이스 | |
US7743418B2 (en) | Identifying malware that employs stealth techniques | |
US8037290B1 (en) | Preboot security data update | |
EP2441026B1 (en) | Anti-virus trusted files database | |
US20140096184A1 (en) | System and Method for Assessing Danger of Software Using Prioritized Rules | |
US20050125694A1 (en) | Security policy update supporting at least one security service provider | |
JP2005327276A (ja) | 効率的なパッチ当て | |
US8656494B2 (en) | System and method for optimization of antivirus processing of disk files | |
EP2680138A1 (en) | Dynamic rule management for kernel mode filter drivers | |
US20180026986A1 (en) | Data loss prevention system and data loss prevention method | |
JP2007148805A (ja) | 情報処理装置、情報処理方法およびプログラム | |
GB2566347A (en) | Computer device and method for controlling process components | |
CN114065196A (zh) | Java内存马检测方法、装置、电子设备与存储介质 | |
JP2007109016A (ja) | アクセスポリシ生成システム、アクセスポリシ生成方法及びアクセスポリシ生成用プログラム | |
US20200159915A1 (en) | Selective Import/Export Address Table Filtering | |
RU2587424C1 (ru) | Способ контроля приложений | |
JP2017215799A (ja) | 情報処理方装置、情報処理装置の制御方法、およびコンピュータプログラム | |
US11677754B2 (en) | Access control systems and methods | |
JP6619690B2 (ja) | 処理装置、アクセス制御システム、アクセス制御方法およびアクセス制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170428 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171220 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180109 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180312 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180904 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181002 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6415353 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |