JP2016218984A - ログ判定装置、ログ判定方法、およびログ判定プログラム - Google Patents

ログ判定装置、ログ判定方法、およびログ判定プログラム Download PDF

Info

Publication number
JP2016218984A
JP2016218984A JP2015106807A JP2015106807A JP2016218984A JP 2016218984 A JP2016218984 A JP 2016218984A JP 2015106807 A JP2015106807 A JP 2015106807A JP 2015106807 A JP2015106807 A JP 2015106807A JP 2016218984 A JP2016218984 A JP 2016218984A
Authority
JP
Japan
Prior art keywords
identification information
determination
log
application
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015106807A
Other languages
English (en)
Other versions
JP6404771B2 (ja
Inventor
直人 藤木
Naoto Fujiki
直人 藤木
剛 永吉
Takeshi Nagayoshi
剛 永吉
慎也 高田
Shinya Takada
慎也 高田
明夫 向山
Akio Mukoyama
明夫 向山
敏浩 元田
Toshihiro Motoda
敏浩 元田
格 竹内
Kaku Takeuchi
格 竹内
裕一 片山
Yuichi Katayama
裕一 片山
秀樹 五郎丸
Hideki Goromaru
秀樹 五郎丸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015106807A priority Critical patent/JP6404771B2/ja
Publication of JP2016218984A publication Critical patent/JP2016218984A/ja
Application granted granted Critical
Publication of JP6404771B2 publication Critical patent/JP6404771B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】端末内で動作するプロセスが業務で使用することを許可されたアプリケーションのプロセスであるか否かを判定する。【解決手段】記憶部130は、クライアント端末において使用が許可されているプログラムである業務内アプリケーションの実行ファイルのファイル識別情報を含む判定用アプリケーションリスト131を記憶する。アプリケーション判定部111は、クライアント端末で起動されたプロセスのファイル識別情報を含むプロセス起動ログを取得し、プロセスのファイル識別情報と判定用アプリケーションリストに登録された実行ファイルのファイル識別情報とが一致する場合に、プロセスが業務内アプリケーションのプロセスと判定する。【選択図】図5

Description

本発明は、ログ判定装置、ログ判定方法、およびログ判定プログラムに関する。
マルウェアと呼ばれる、コンピュータウィルス、スパイウェア、ボット等の不正かつ有害な動作を行う意図で作成された悪意のソフトウェアやプログラムコード等の不正なソフトウェアの存在が知られている。また、このような不正なソフトウェアへの対策技術が知られている。例えば、マルウェアに悪用される恐れがあるオペレーティングシステム(OS)やアプリケーションソフトウェアの脆弱性に対してプログラムの不具合を修正する更新プログラムを自動的に適用する技術や、ウィルス対策ソフトウェアが導入されている。
また、不正ソフトウェアへの対策技術において、ネットワークに接続された端末がマルウェアに感染することを防ぐために、端末内のソフトウェアやシグニチャパターンファイルを含むウィルス対策ソフトウェアを最新の状態に維持する技術も知られている(特許文献1参照)。
また、企業における情報漏洩対策や内部統制の必要性から、表示や入力等の最低限の機能のみを備え、ハードディスク装置等が省かれたシンクライアント端末を用いたDaaS(Desktop as a Service)が普及し始めている。DaaSとは、複数のユーザのそれぞれが使用するアプリケーションソフトウェアがインストールされた各デスクトップ環境をサーバ装置上に構築して一元的に管理し、ネットワーク経由で各ユーザの端末に各デスクトップ環境を提供するサービスである。
このようなDaaSでは、オペレーティングシステム(OS)やアプリケーションソフトウェアの環境をサーバ装置で一元的に管理する必要がある。そこで、企業内の部門単位や業務形態に応じた任意のグループ単位でデスクトップのマスタ環境を効率的に管理する技術も知られている(特許文献2参照)。
なお、大量のログの中から関連するファイルのトレースを高速に行うため、トレースするツリー(対象とするログの集合)を構成するログの両端エッジを抽出し、並行して根、枝、葉に分類してログのグルーピングを行う技術が知られている(特許文献3参照)。
特開2007−299342号公報 特開2009−259046号公報 特許第5411954号公報
従来の端末内のソフトウェアやウィルス対策ソフトウェアを最新の状態に維持する技術によれば、マルウェアに感染する可能性を低減させ、既知のマルウェアに感染したファイルを所有していた場合や端末がマルウェアに感染していた場合に、マルウェアが駆除される。しかしながら、未知のマルウェアや、マルウェア以外の業務目的外のアプリケーションソフトウェアを検出することはできなかった。
また、従来のDaaSにおけるマスタ環境を管理する技術によれば、アプリケーションソフトウェア(以下、アプリケーションと略記もする)を限定することができる。しかしながら、ユーザがインターネットのWebサイトから独自にダウンロードしたアプリケーションソフトウェアを動作させた場合や、標的型メール等によりユーザの端末に入り込んだ不正なソフトウェアが動作した場合には、それらのソフトウェアが動作したか否かやその入手経路をサーバ装置が把握することができなかった。
本発明は、上記に鑑みてなされたものであって、端末内で動作するプロセスが業務で使用することを許可されたアプリケーションのプロセスであるか否かを判定する技術を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係るログ判定装置は、ユーザが利用するクライアント端末において使用が許可されているプログラムである業務内アプリケーションの実行ファイルの識別情報を含む判定用アプリケーションリストを記憶する記憶部と、前記クライアント端末で起動されたプロセスの識別情報を含むプロセス起動ログを取得して、該プロセスの識別情報と前記判定用アプリケーションリストの実行ファイルの識別情報とが一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定する判定部と、を備えることを特徴とする。
本発明によれば、端末内で動作するプロセスが業務で使用することを許可されたアプリケーションのプロセスであるか否かを判定することができる。
図1は、本発明の一実施形態に係るログ判定装置を含むシステムの概略構成を示す模式図である。 図2は、本実施形態のクライアント端末の構成を例示する模式図である。 図3は、本実施形態のプロセス起動ログを例示する図である。 図4は、本実施形態の標準端末の構成を例示する模式図である。 図5は、本実施形態のログ判定装置の概略構成を示す模式図である。 図6は、本実施形態の選別値を説明するための説明図である。 図7は、他の実施形態のファイル操作ログを例示する図である。 図8は、本実施形態のログ判定処理手順を示すフローチャートである。 図9は、ログ判定プログラムを実行するコンピュータを示す図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[システム構成]
図1は、本実施形態に係るログ判定装置を含むシステムの概略構成を示す模式図である。図1に示すように、このシステムは、ログ判定装置100と、標準端末200と、n台のクライアント端末300(300〜300)と、管理端末400とが、LAN(Local Area Network)やWAN(Wide Area Network)やインターネットなどのネットワーク1に接続されて互いに通信可能に構成される。
クライアント端末300は、ログ判定装置100によるログ判定処理の対象となるユーザの端末である。標準端末200は、ログ判定処理において、クライアント端末300の標準として参照される端末である。この標準端末200には、業務で使用することが許可された、業務に必要なプログラム(以下、業務内アプリケーションとも記載する)のみがインストールされている。そして、ログ判定装置100は、判定用アプリケーションリストを参照し、クライアント端末300で起動されたプロセスが業務内アプリケーションのプロセスか否かを判定するログ判定処理を行う。判定用アプリケーションリストは、予め標準端末200の業務内アプリケーション等を参照して作成される。なお、管理端末400は、ログ判定処理の判定結果をもとに管理者がログ判定装置100の判定用アプリケーションリストを更新するために用いられる装置であり、パソコン等の汎用コンピュータで実現される。
[クライアント端末の構成]
クライアント端末300は、後述するログ判定装置100によるログ判定処理の対象となるユーザの端末であり、パソコン等の汎用コンピュータで実現される。図2に例示するように、クライアント端末300は、Microsoft社のWindows(登録商標)等のOS321と、アプリケーション/プログラム301と、ログ生成部302と、ログ記憶部311と、通信部303とを備える。
ログ生成部302は、CPU(Central Processing Unit)等の演算処理装置がメモリに記憶された処理プログラムを実行することにより実現される。ログ生成部302は、アプリケーション/プログラム301が実行される際に、OS321内のプロセス起動の動作を監視して、起動されたプロセスの内容を示すプロセス起動ログを生成する。
ここで、アプリケーション/プログラム301は、クライアント端末300内に実行形式のファイルとして存在している。ファイルが実行されると、メモリ上でプロセスとして動作する。ファイルには、ハッシュ値等の各ファイルを一意に識別できるファイル識別情報が付与されている。
ログ生成部302は、例えば、クライアント端末300で常時動作しているエージョントプログラムにより、あるいはOS321が提供するセキュリティログを参照して、起動されたプロセスに関する情報を取得して、プロセス起動ログを生成する。
図3は、プロセス起動ログを例示する説明図である。図3に示すように、プロセス起動ログには、日時、ホスト名、ユーザ名、実行プロセス名、コマンドライン、実行ファイルパス、実行ファイル識別情報、プロセスIDおよび親プロセスIDが含まれる。
日時とは、プロセスが起動された日時(YYYY-MM-DD hh:mm:ss.ttt)を意味し、図3には「2015-02-02 10:20:15.311」が例示されている。ここで、tttとはミリ秒を意味する。ホスト名とは、ホスト名またはコンピュータ名を意味し、図3には「PC_001」が例示されている。ユーザ名とは、プロセスを実行したユーザ名を意味し、図3には「USER_001」が例示されている。
実行プロセス名とは、実行されたプロセス(以下、実行ファイルとも記載する)のラベル名を意味し、図3には「notepad.exe」が例示されている。コマンドラインとは、プロセスの実行コマンドラインを意味し、図3には「C:\Windows\System32\notepad.exe C:\My Documents\説明資料.txt」が例示されている。実行ファイルパスとは、実行されたプロセスのファイルパスを意味し、図3には「C:\Windows\System32\notepad.exe」が例示されている。
実行ファイル識別情報とは、実行されたプロセスのファイル識別情報を意味し、例えばMD5やSHA−1等のファイルのハッシュ値で表される。図3の実行ファイル識別情報には「4419dbd87bd8faed346272950a0f37c6」が例示されている。プロセスIDとは、実行されたプロセスのプロセスIDを意味し、図3には「2353」が例示されている。親プロセスIDとは、実行されたプロセスの親プロセスのプロセスIDを意味し、図3には「260」が例示される。
すなわち、図3に例示したプロセス起動ログは、2015年2月2日10時20分15.311秒に、ホスト名が「PC_001」であるいずれかのクライアント端末300において、ユーザ名「User_001」のユーザが、実行ファイルパスが「C:\Windows\System32\notepad.exe」である実行プロセス名「notepad.exe」のプログラムを用いて、ファイルパス「C:\My Documents\説明資料.txt」をプログラムの引数として設定して起動したことを示している。実行されたプロセスのファイル識別情報、起動した際にOS321が付与したプロセスIDと起動元となった親のプロセスIDとが同時に記録される。
ログ記憶部311は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、生成されたプロセス起動ログを蓄積する。
通信部303は、NIC(Network Interface Card)等で実現され、ネットワーク1を介した外部の装置との通信を制御する。具体的に、通信部303は、ログ生成部302あるいはログ記憶部311から受け取ったプロセス起動ログを、ログ判定装置100に送信する。
[標準端末の構成]
標準端末200は、パソコン等の汎用コンピュータで実現され、業務内アプリケーションのみがインストールされた端末であり、業務に不必要なアプリケーションがインストールされたりマルウェアに感染したりすることがないように適切に管理されている。そして、標準端末200は、後述するログ判定処理において、クライアント端末300の標準として参照される。図4に例示するように、標準端末200は、OS205と、業務内アプリケーション201と、通信部204と、ファイル識別情報検索部202と、FPL更新部203とを備える。
業務内アプリケーション201とは、標準端末200を構成する際に、OS205をインストールすることにより標準端末200内に生成された全てのプログラムと、管理者により予めインストールすることが許可されたプログラムとを意味する。許可されたプログラムには、例えば、メールアプリケーション、文書処理アプリケーション、表計算アプリケーション、プレゼンテーションアプリケーション、ブラウザ、個別業務処理アプリケーション等が含まれる。
通信部204は、NIC(Network Interface Card)等で実現され、ネットワーク1を介した外部の装置との通信を制御する。具体的に、通信部204は、ファイル識別情報検索部202またはFPL更新部203の要求に応じて、ログ判定装置100との間の通信を制御する。
ファイル識別情報検索部202およびFPL更新部203は、CPU(Central Processing Unit)等の演算処理装置がメモリに記憶された処理プログラムを実行することにより実現される。
ファイル識別情報検索部202は、後述するログ判定処理において、ログ判定装置100から通信部204を介して実行ファイルのファイル識別情報を含むファイル識別情報検索要求を受信した場合に、標準端末200内のファイルパス名に合致する実行ファイルを検索する。合致する実行ファイルがあった場合に、ファイル識別情報検索部202は、当該実行ファイルのファイル識別情報を抽出する。
FPL更新部203は、標準端末200内の業務内アプリケーション201が更新(追加・変更・削除)された場合に、後述するログ判定装置100の判定用アプリケーションリスト(FPL(Fair Program List))131に登録させる。また、FPL更新部203は、標準端末200内の業務内アプリケーション201に対して更新プログラムが適用された場合に、更新プログラム適用後のプログラムの情報を、後述するログ判定装置100の判定用アプリケーションリスト131に登録させる。
具体的に、FPL更新部203は、業務内アプリケーション201が更新(追加・変更・削除)された場合に、通信部204を介して判定用アプリケーションリスト131を参照し、当該プログラムとファイル名およびファイル識別情報が同一のプログラムのデータが存在しない場合には、当該プログラムの情報を判定用アプリケーションリスト131に追加させ、当該プログラムとファイル名とおよびファイル識別情報が同一のプログラムのデータがあれば、判定用アプリケーションリスト131の変更または削除を行わせる。また、FPL更新部203は、更新プログラムが適用された場合に、通信部204を介して判定用アプリケーションリスト131を参照し、当該プログラムとファイル名が同一の更新プログラムが適用される前のプログラムのデータに対して、最新版ではなく旧バージョンであることを示す旧バージョンフラグを付加させる。また、FPL更新部203は、更新プログラム適用後のプログラムのファイル識別情報を取得して、取得したファイル識別情報を用いて当該プログラムの情報を通信部204を介して判定用アプリケーションリスト131に登録させる。
[ログ判定装置の構成]
ログ判定装置100は、ワークステーションやパソコン等の汎用コンピュータで実現され、図5に例示するように、入力部101、表示部102、通信部104、記憶部130、OS141、標準端末制御部123、外部参照部122、アプリケーション判定部111、判定用データ生成部124、個別判定部121、および判定用データ検索/集計部103を備える。
入力部101は、電源スイッチおよび入力キーなどの入力デバイスを用いて実現され、操作者による入力操作に対応して、アプリケーション判定部111等に対して各種指示情報を入力する。
表示部102は、液晶ディスプレイ等の表示装置によって実現され、後述するログ判定処理による判定結果等を操作者に対して提示する。
通信部104は、NIC(Network Interface Card)等で実現され、ネットワーク1を介した外部の装置との通信を制御する。
記憶部130は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、判定用アプリケーションリスト131と判定結果132とを記憶する。なお、記憶部130は、ネットワーク1を介してアプリケーション判定部111等と通信する構成でもよい。また、判定用アプリケーションリスト131と判定結果132とが異なる記憶装置に記憶されてもよい。
判定用アプリケーションリスト131は、全ての業務内アプリケーション201について、各業務内アプリケーションのファイル名とファイルパスとファイル識別情報とを含んで構成される。また、判定用アプリケーションリスト131のデータには、後述する判定結果132に基づいて選別値(SV)が付与される。さらに、判定用アプリケーションリスト131の業務内アプリケーションのうち、更新プログラムが適用された際には、ファイル識別情報が変更される。既に判定用アプリケーションリスト131に登録されているデータのうち、ファイル名とファイルパスが同一であるが、ファイル識別情報が異なるデータに対しては、最新版ではないことを示す旧バージョンフラグが付与される。なお、このデータについては選別値がCに変更され、更新プログラム適用後のファイル識別情報が変更された業務内アプリケーションのデータについては選別値がAに設定される。選別値については後述する。
判定結果132は、後述するログ判定処理におけるプロセス起動ログの判定結果を意味し、入力された判定対象のプロセス起動ログ(図3参照)と選別値(SV)とを含む。
ここで、選別値(SV)とは、プロセス起動ログのプロセスが業務内アプリケーションのプロセスか否かの判定結果に応じて、図6に例示するように設定される値である。図6において、標準端末フェアプログラムとは、標準端末200の業務内アプリケーション201を意味する。また、個別判定フェアプログラムとは、別途管理者等により判定された業務内アプリケーションを意味する。また、ウィルス情報の情報源参照結果とは、プロセス起動ログが業務内アプリケーションではない業務外アプリケーションのプロセスと判定された場合に、外部のウィルス情報の情報源を参照して判定された結果を意味する。
具体的に、図6の例では、プロセス起動ログが標準端末200の業務内アプリケーションのプロセスと同一であって業務内アプリケーションのプロセスと判定された場合に、選別値にAが設定される。また、プロセス起動ログのプロセスが、別途管理者等により業務内アプリケーションのプロセスと判定された場合に、選別値にBが設定される。プロセス起動ログのプロセスが業務外アプリケーションのプロセスであって、ウィルスのリスクなしと判定された場合に、選別値にCが設定される。プロセス起動ログのプロセスが業務外アプリケーションのプロセスであって、ファイル識別情報がウィルス情報の情報源に登録されておらずウィルスか否かが不明と判定された場合に、選別値にDが設定される。プロセス起動ログのプロセスが業務外アプリケーションのプロセスであって、ウィルスのリスクありと判定された場合に、選別値にEが設定される。
なお、ウィルスの情報源とは、インターネット上に存在する情報源であって、実行ファイルを受け取って、内部で複数のアンチウィルスソフトウェアによってウィルススキャンを行った結果を出力する。このような情報源では、過去のウィルススキャンの結果がデータベース化されており、ファイル識別情報としてのハッシュ値が入力されると、そのハッシュ値に対応するファイルのウィルススキャンの結果が得られる。
標準端末制御部123、外部参照部122、アプリケーション判定部111、判定用データ生成部124、個別判定部121、および判定用データ検索/集計部103は、CPU等の演算処理装置がメモリに記憶された処理プログラムを実行することにより実現される。
標準端末制御部123は、通信部104を介した標準端末200との情報送受を制御する。外部参照部122は、通信部104を介して外部の更新プログラムの情報源やウィルス情報の情報源等を参照する。
なお、外部の更新プログラムの情報源とは、インターネット上に存在し、例えばマイクロソフト社が運営するWindows(登録商標)の更新プログラムに関する情報を提供する情報源を意味する。
判定用データ生成部124は、プロセス起動ログの情報をもとに判定用アプリケーションリスト131に登録するデータを生成する。
アプリケーション判定部111は、クライアント端末300で起動されたプロセスのファイル識別情報を含むプロセス起動ログを取得して、該プロセスのファイル識別情報と判定用アプリケーションリスト131に業務内アプリケーションとして登録された実行ファイルのファイル識別情報とが一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定する。
具体的に、アプリケーション判定部111は、クライアント端末300で起動されたプロセスのファイル識別情報を含むプロセス起動ログを取得して、該プロセスのファイル識別情報と判定用アプリケーションリスト131の実行ファイルのファイル識別情報とが一致し、選別値がAもしくはBである場合に、該プロセスが業務内アプリケーションのプロセスと判定する。また、該プロセスのファイル識別情報と判定用アプリケーションリスト131の実行ファイルのファイル識別情報とが一致し、選別値がCもしくはDもしくはEの場合に、該プロセスが業務外アプリケーションのプロセスと判定する。
すなわち、アプリケーション判定部111は、まず、クライアント端末300からプロセス起動ログを受信した場合に、プロセス起動ログから抽出したファイル識別情報が、判定用アプリケーションリスト131に存在し、選別値がAもしくはBであれば、プロセス起動ログのプロセスが業務内アプリケーションのプロセスと判定し、選別値がCもしくはDもしくはEであれば、プロセス起動ログのプロセスが業務外アプリケーションのプロセスと判定し、選別値とともに判定結果132に記録する。
また、アプリケーション判定部111は、プロセス起動ログのプロセスのファイル識別情報が、判定用アプリケーションリスト131の実行ファイルのファイル識別情報と一致せず、標準端末200にインストールされている業務内アプリケーション201の実行ファイルのファイル識別情報と一致する場合に、該プロセスが業務内アプリケーションのプロセスと判定し、判定された該プロセスの識別情報を判定用アプリケーションリスト131に登録する。
すなわち、プロセス起動ログのファイル識別情報が判定用アプリケーションリスト131にない場合、アプリケーション判定部111は、標準端末200にプロセス起動ログと同一の実行ファイルパスおよびファイル識別情報があるかを標準端末200に問い合わせる。具体的に、アプリケーション判定部111は、標準端末200に通信部104を介してファイル識別情報を含めたファイル識別情報検索要求を送信する。標準端末200のファイル識別情報検索部202から、同一のファイル識別情報があった旨の通知を受領した場合、すなわち、同一の実行ファイルパスおよびファイル識別情報が標準端末200にあった場合、アプリケーション判定部111は、プロセス起動ログのプロセスが業務内アプリケーションのプロセスと判定し、選別値Aを付与して判定結果132に記録する。また、アプリケーション判定部111は、該プロセスの識別情報を、標準端末200のファイル識別情報検索部202からのファイル識別情報等の通知内容を用いて判定用データ生成部124を介して判定用アプリケーションリスト131に登録する。
また、アプリケーション判定部111は、プロセス起動ログのプロセスの識別情報が、判定用アプリケーションリスト131の実行ファイルの識別情報と一致せず、標準端末200に存在する実行ファイルの識別情報と一致せず、外部の情報源から取得した業務内アプリケーションの更新プログラムの実行ファイルの識別情報と一致する場合に、該プロセスが業務内アプリケーションのプロセスと判定し、判定された該プロセスの識別情報を判定用アプリケーションリスト131に登録する。
すなわち、同一のプロセス起動ログの実行ファイルパスおよびファイル識別情報が標準端末200にない場合、アプリケーション判定部111は、外部参照部122を介して外部の更新プログラムの情報源を参照し、プロセス起動ログと同一のファイル名およびファイル識別情報があるかを検索する。同一のファイル名およびファイル識別情報があれば、アプリケーション判定部111は、プロセス起動ログのプロセスが業務内アプリケーションのプロセスと判定し、選別値Aを付与して判定結果132に記録する。また、アプリケーション判定部111は、標準端末制御部123を介して標準端末200に更新プログラムを適用させる。さらに、アプリケーション判定部111は、更新プログラムが適用された後のプロセスの情報を判定用データ生成部124を介して判定用アプリケーションリスト131に登録する。
また、アプリケーション判定部111は、プロセス起動ログのプロセスの識別情報が、判定用アプリケーションリスト131の実行ファイルの識別情報と一致せず、さらにプロセス起動ログのプロセスが業務内アプリケーション以外の業務外アプリケーションのプロセスと判定された場合に、外部の情報源から取得したウィルスの情報に基づいて、プロセスについてのウィルスのリスクの有無を判定する。
すなわち、プロセス起動ログの実行ファイルパスおよびファイル識別情報が、判定用アプリケーションリスト131および標準端末200および外部の更新プログラムの情報源にない場合、アプリケーション判定部111は、プロセス起動ログのプロセスを業務外アプリケーションのプロセスと判定する。そして、アプリケーション判定部111は、外部参照部122を介して外部のウィルス情報の情報源を参照し、プロセス起動ログと同一のファイル識別情報があるかを検索することにより、当該実行ファイルの属性を判定して選別値を付与する。
具体的に、アプリケーション判定部111は、実行ファイルがウィルスであるとは判定されなかった場合に、実行ファイルの属性を「リスクなし」と判定し、選別値Cを付与する。また、アプリケーション判定部111は、実行ファイルのファイル識別情報がウィルス情報の情報源に登録されていなかった場合に、実行ファイルの属性を「不明」と判定し、選別値Dを付与する。また、アプリケーション判定部111は、1以上のアンチウィルスソフトウェアにより実行ファイルがウィルスであると判定された場合に、実行ファイルの属性を「リスクあり」と判定し、選別値Eを付与する。そして、アプリケーション判定部111は、プロセス起動ログと選別値とを判定結果132に記録する。
判定用データ検索/集計部103は、判定用アプリケーションリスト131のデータから指定された条件に合致したデータを抽出し集計し、表示部102に出力させる。これにより、管理者が管理端末400および通信部104を介して表示部102に表示されたデータを参照することができる。すなわち、管理者は、表示部102に表示されたデータを参照することができる。また、判定用データ検索/集計部103が、通信部104を介して、管理端末400からの検索/集計の要求を受信して、検索/集計結果を管理端末400に送信する。これにより、管理者は管理端末400に表示されるデータを参照することができる。
また、個別判定部121は、インタフェース部として、通信部104を介した管理端末400との情報送受を制御して、判定用アプリケーションリスト131のデータの追加あるいは削除の管理者からの指示を受け付ける。すなわち、個別判定部121は、管理者による管理端末400、通信部104および入力部101を介した入力操作に応じて、判定用アプリケーションリスト131のデータの追加あるいは削除を行う。つまり、個別判定部121は、管理者は、入力部101から管理者の追加/削除の指示を受け付けて、データの追加/削除を行う。また、個別判定部121は、管理端末400からの追加/削除の指示を通信部104を介して受信して、データの追加/削除を行う。
具体的に、管理者によるデータの追加の指示入力があった場合、個別判定部121は、判定用データ生成部124を介して、選別値Bを付与して判定用アプリケーションリスト131にデータを追加する。また、管理者によるデータの削除の指示入力があった場合、個別判定部121は、判定用アプリケーションリスト131のデータを削除する。例えば、判定結果132の選別値がB,C,D,Eに設定されているプロセスに対応するファイルについて、判定用アプリケーションリスト131から削除する。
なお、判定用アプリケーションリスト131の選別値がB,C,D,Eに設定されているプロセスに対応するデータについて、判定用アプリケーションリスト131のデータの選別値のみの削除が指示された場合に、自動的に外部参照部122を介して外部のウィルス情報の情報源を参照するようにしてもよい。その場合、アプリケーション判定部111が、ファイルの属性を判定して選別値を付与し、判定用データ生成部124が、判定用アプリケーションリスト131の選別値を更新するようにしてもよい。
なお、アプリケーション判定部111は、クライアント端末300から取得した図7に例示するファイル操作ログを用いて、業務外アプリケーションと判定されたファイルの混入経路や操作対象ファイルを特定することができる。
図7に例示するように、ファイル操作ログには、日時、ホスト名、ユーザ名、プロセス名、プロセスID、操作種別、操作元ファイル名、操作元ファイルパス、操作元ファイルサイズ、操作先ファイル名、操作先ファイルパス、および操作先ファイルサイズが含まれる。
ここで、日時とは、インシデントが発生した時刻(YYYY-MM-DD hh:mm:ss.ttt)を意味し、図7には「2015-02-02 11:35:05.335」が例示されている。ここで、tttとはミリ秒を意味する。ホスト名とは、ホスト名またはコンピュータ名を意味し、図7には「PC_001」が例示されている。ユーザ名とは、ファイル操作を行ったユーザ名を意味し、図7には「USER_001」が例示されている。
プロセス名とは、ファイル操作を行ったプロセスのプロセス名を意味し、図7には「explorer.exe」が例示されている。プロセスIDとは、ファイル操作を行ったプロセスのプロセスIDを意味し、図7には「2815」が例示されている。操作種別とは、 “Read”、“Create”、“Modify”、“Rename”、“SaveAs”、“Move”、“Copy”、“Delete”、“ToRecycler”、または“FromRecycler”のいずれかの更新内容を表す文字列を意味し、図7には「Copy」が例示されている。
操作元ファイル名とは、操作対象になったファイルの名前を意味し、図7には「解説資料.doc」が例示されている。なお、ファイルの名前が変更された(Rename)場合には、元の名前を意味する。操作元ファイルパスとは、操作対象になったファイルのファイルパスを意味し、図7には「\\10.10.1.5\File\解説資料.doc」が例示されている。操作元ファイルサイズとは、操作対象になったファイルのファイルサイズを意味し、図7には「32413」が例示されている。なお、ファイルサイズが変更された(Modify)場合には、元のファイルサイズを意味する。
操作先ファイル名とは、Copy時等の新ファイルの名前を意味し、図7には「解説資料.doc」が例示されている。操作先ファイルパスとは、Copy時等の新ファイルのファイルパスを意味し、図7には「C:\My Documents\解説資料.doc」が例示されている。操作先ファイルサイズとは、操作対象になった操作先ファイルのファイルサイズを意味し、図7には「32413」が例示されている。
すなわち、図7に例示したファイル操作ログは、2015年2月2日11時35分05.335秒に、ホスト名が「PC_001」であるいずれかのクライアント端末300において、ユーザ名「User_001」のユーザが、プロセス名「explorer.exe」のアプリケーションを用いて、ファイルパス「\\10.10.1.5\File\解説資料.doc」のファイル名「解説資料.doc」のファイルを、ファイルパス「C:\My Documents\解説資料.doc」のファイル名「解説資料.doc」として複製(Copy)したことを示している。
操作種別が複製(Copy)、移動(Move)、変名(Rename)、もしくは別名保存(SaveAs)の場合には、ファイル操作の前後で操作対象のファイルのファイル名もしくはファイルパスが変更されるため、操作先ファイル名および操作先ファイルパスが設定される。
そこで、業務外アプリケーションであると判定されたプロセス起動ログに含まれる実行ファイルパスと、ファイル操作ログの操作対象ファイルの操作元ファイルパスまたは操作先ファイルパスが一致するものを、関連するファイル操作ログの集合として取得すればよい。これにより、当該ファイルがどこからコピーされたか等のファイルの混入経路や、操作対象ファイルや、他の端末にも存在するか否かを把握することが可能となる。
なお、アプリケーション判定部111がファイル操作ログを取得する際、例えば特許文献3に記載されている技術を利用すれば、大量のファイル操作ログの中から関連するファイル操作ログを高速に取得することが可能となる。すなわち、トレースするツリー(対象とするファイル操作ログの集合)を構成するログの両端エッジを抽出し、並行して根、枝、葉に分類してログのグーピングを行なってファミリーIDを付与することにより、大量のログの中から関連するファイルのトレース情報を高速に検索する。
[ログ判定処理]
次に、図8のフローチャートを参照して、ログ判定装置100におけるログ判定処理手順について説明する。図8のフローチャートは、例えば、操作者が入力部101を操作して処理開始の指示入力を行ったタイミングで開始となる。
まず、アプリケーション判定部111が、クライアント端末300から受信したプロセス起動ログから、実行ファイルパスと実行ファイルパスのファイル識別情報とを抽出する(ステップS1101)。
次に、アプリケーション判定部111は、抽出したファイル識別情報が、判定用アプリケーションリスト131に存在するか否かを検索する(ステップS1102)。同一のファイル識別情報が判定用アプリケーションリスト131に存在すれば(Yes)、選別値に応じて、プロセス起動ログのプロセスが業務内アプリケーションのプロセスであるか業務外アプリケーションのプロセスであるかを判定し、判定結果132に記録した後(ステップS1107)、ステップS1124に処理を進める。
プロセス起動ログのファイル識別情報が判定用アプリケーションリスト131にない場合(ステップS1102,No)、アプリケーション判定部111は、標準端末200にプロセス起動ログと同一の実行ファイルパスおよびファイル識別情報があるかを検索する(ステップS1103)。同一の実行ファイルパスおよびファイル識別情報が標準端末200にあれば(Yes)、アプリケーション判定部111は、プロセス起動ログのプロセスが業務内アプリケーションのプロセスと判定し、選別値Aを付与し、判定用アプリケーションリスト131を更新し(ステップS1106)、判定結果132に記録する(ステップS1107)。その後、アプリケーション判定部111は、ステップS1124に処理を進める。
また、同一のプロセス起動ログの実行ファイルパスおよびファイル識別情報が標準端末200にない場合(ステップS1103,No)、アプリケーション判定部111は、外部参照部122を介して外部の更新プログラムの情報源を参照し、プロセス起動ログと同一のファイル名およびファイル識別情報があるかを検索する(ステップS1104)。同一のファイル名およびファイル識別情報があれば(Yes)、アプリケーション判定部111は、標準端末制御部123を介して標準端末200に更新プログラムを適用させる(ステップS1105)。さらに、アプリケーション判定部111は、プロセス起動ログのプロセスが業務内アプリケーションのプロセスと判定し、選別値Aを付与し、判定用データ生成部124を介して更新プログラムが適用された後のプロセスの情報を判定用アプリケーションリスト131に登録させる(ステップS1106)。そして、アプリケーション判定部111は、判定結果132に記録した後(ステップS1107)、ステップS1124に処理を進める。
プロセス起動ログの実行プロセス名と同一のファイル名がない場合(ステップS1104,No)、アプリケーション判定部111は、プロセス起動ログを業務外アプリケーションのプロセスと判定する。また、アプリケーション判定部111は、外部参照部122を介して外部のウィルス情報の情報源を参照し、プロセス起動ログと同一のファイル識別情報があるかを検索する(ステップS1121)。
そして、アプリケーション判定部111は、当該実行ファイルの属性を判定して選別値を付与する(ステップS1122)。具体的に、アプリケーション判定部111は、実行ファイルがウィルスであるとは判定されなかった場合に、実行ファイルの属性を「リスクなし」と判定し、選別値Cを付与する。また、アプリケーション判定部111は、実行ファイルのファイル識別情報がウィルス情報の情報源に登録されていなかった場合に、実行ファイルの属性を「不明」と判定し、選別値Dを付与する。また、アプリケーション判定部111は、1以上のアンチウィルスソフトウェアにより実行ファイルがウィルスであると判定された場合に、実行ファイルの属性を「リスクあり」と判定し、選別値Eを付与する。その後、アプリケーション判定部111は、判定用データ生成部124を介して当該実行ファイルの情報を選別値とともに判定用アプリケーションリスト131に登録させる。
次に、アプリケーション判定部111は、プロセス起動ログと選別値とを判定結果132に記録する(ステップS1123)。
ステッップS1124の処理では、アプリケーション判定部111は、他に処理対象のプロセス起動ログの入力があるか否かを確認し、ある場合には(Yes)、ステップS1101に処理を戻し、ない場合には(No)一連のログ判定処理を終了させる。
以上、説明したように、本実施形態のログ判定装置100では、記憶部130が、クライアント端末300において使用が許可されているプログラムである業務内アプリケーションの実行ファイルのファイル識別情報を含む判定用アプリケーションリスト131を記憶する。また、アプリケーション判定部111が、クライアント端末300で起動されたプロセスのファイル識別情報を含むプロセス起動ログを取得して、該プロセスのファイル識別情報と判定用アプリケーションリスト131に業務内アプリケーションとして登録された実行ファイルのファイル識別情報とが一致する場合に、該プロセスが業務内アプリケーションのプロセスと判定する。これにより、クライアント端末300内で動作するプロセスが業務で使用することを許可されたアプリケーションのプロセスであるか否かを判定することができる。
また、アプリケーション判定部111は、プロセス起動ログのプロセスのファイル識別情報が、判定用アプリケーションリスト131の実行ファイルのファイル識別情報と一致せず、標準端末200にインストールされている業務内アプリケーション201の実行ファイルのファイル識別情報とが一致する場合に、該プロセスが業務内アプリケーションのプロセスと判定し、判定された該プロセスの識別情報を判定用アプリケーションリスト131に登録する。これにより、標準端末200の業務内アプリケーション201の実行ファイルのファイル識別情報を判定用アプリケーションリスト131に自動的に追加して、以降のログ判定処理に活用できる。
また、アプリケーション判定部111は、プロセス起動ログのプロセスの識別情報が、判定用アプリケーションリスト131の実行ファイルの識別情報と一致せず、標準端末200にインストールされている業務内アプリケーション201の実行ファイルのファイル識別情報と一致せず、外部の情報源から取得した業務内アプリケーションの更新プログラムの実行ファイルの識別情報とが一致する場合に、該プロセスが業務内アプリケーションのプロセスと判定し、該更新プログラムが適用された業務内アプリケーションの識別情報を判定用アプリケーションリスト131に登録する。これにより、業務内アプリケーションの更新プログラムの実行ファイルのファイル識別情報を判定用アプリケーションリスト131に自動的に追加して、以降のログ判定処理に活用できる。
また、アプリケーション判定部111は、プロセス起動ログのプロセスが業務外アプリケーションのプロセスと判定された場合に、外部の情報源から取得したウィルスの情報に基づいて、プロセスについてのウィルスのリスクの有無を判定する。これにより、クライアント端末300の稼働状態を把握することができる。
また、個別判定部121は、管理端末400を介して管理者の指示入力を受け付けて判定用アプリケーションリスト131のデータを追加あるいは削除することができる。これにより、例えば判定結果132の選別値に応じて、判定用アプリケーションリスト131のデータを削除したり追加したりして最新の状態に保持することができる。
また、ログ判定装置100の判定用アプリケーションリスト131には、更新プログラムが適用される前に業務内アプリケーションとして登録されていたデータについて、最新版ではないことを示す旧バージョンフラグが付与されている。これにより、以降のログ判定処理に活用し、他のクライアント端末300の業務内アプリケーションの稼働状態を把握することできる。
さらに、アプリケーション判定部111は、プロセス起動ログのプロセスが業務外アプリケーションのプロセスと判定された場合に、ファイル操作ログに基づいて該プロセスの混入経路、操作対象ファイル、または他のクライアント端末での存在の有無を特定する。これにより、クライアント端末300の稼働状態を把握することができる。
[他の実施形態]
[プログラム]
上記実施形態に係るログ判定装置100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、係るプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、ログ判定装置100と同様の機能を実現するログ判定プログラムを実行するコンピュータの一例を説明する。
図9に示すように、ログ判定プログラムを実行するコンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、図9に示すように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、ログ判定プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明したログ判定装置100が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1031に記憶される。
また、ログ判定プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、ログ判定プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、ログ判定プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
1 ネットワーク
100 ログ判定装置
101 入力部
102 表示部
103 判定用データ検索/集計部
104 通信部
111 アプリケーション判定部
121 個別判定部
122 外部参照部
123 標準端末制御部
124 判定用データ生成部
130 記憶部
131 判定用アプリケーションリスト(FPL)
132 判定結果
141 OS
200 標準端末
201 業務内アプリケーション
202 ファイル識別情報検索部
203 FPL更新部
204 通信部
205 OS
300 クライアント端末
301 アプリケーション/プログラム
302 ログ生成部
303 通信部
311 ログ記憶部
321 OS
400 管理端末

Claims (9)

  1. ユーザが利用するクライアント端末において使用が許可されているプログラムである業務内アプリケーションの実行ファイルの識別情報を含む判定用アプリケーションリストを記憶する記憶部と、
    前記クライアント端末で起動されたプロセスの識別情報を含むプロセス起動ログを取得して、該プロセスの識別情報と前記判定用アプリケーションリストに業務内アプリケーションとして登録された実行ファイルの識別情報とが一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定する判定部と、
    を備えることを特徴とするログ判定装置。
  2. 前記判定部は、前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、前記クライアント端末以外の標準端末にインストールされている業務内アプリケーションの実行ファイルの識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、判定された該プロセスの識別情報を前記判定用アプリケーションリストに登録することを特徴とする請求項1に記載のログ判定装置。
  3. 前記判定部は、前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、外部の情報源から取得した前記業務内アプリケーションの更新プログラムの実行ファイルの識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、該更新プログラムが適用された前記業務内アプリケーションの識別情報を前記判定用アプリケーションリストに登録することを特徴とする請求項1または2に記載のログ判定装置。
  4. 前記判定部は、前記プロセス起動ログのプロセスが前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、さらに前記業務内アプリケーション以外の業務外アプリケーションのプロセスと判定された場合に、外部の情報源から取得したウィルスの情報に基づいて、前記プロセスについてのウィルスのリスクの有無を判定することを特徴とする請求項1〜3のいずれか1項に記載のログ判定装置。
  5. 前記判定用アプリケーションリストのデータの追加あるいは削除のユーザからの指示を受け付けるインタフェース手段をさらに備えることを特徴とする請求項1〜4のいずれか1項に記載のログ判定装置。
  6. 前記判定用アプリケーションリストには、前記更新プログラムが適用される前に業務内アプリケーションとして登録されていたデータに対して、最新版ではないことを示す旧バージョンフラグが付与されていることを特徴とする請求項1〜5のいずれか1項に記載のログ判定装置。
  7. 前記判定部は、前記プロセス起動ログのプロセスが前記業務内アプリケーションではない業務外アプリケーションのプロセスと判定された場合に、ファイル操作の履歴を示すファイル操作ログを取得し、該ファイル操作ログに基づいて該プロセスの混入経路、操作対象ファイル、または他のクライアント端末での存在の有無を特定することを特徴とする請求項1〜6のいずれか1項に記載のログ判定装置。
  8. ログ判定装置で実行されるログ判定方法であって、
    前記ログ判定装置は、ユーザが利用するクライアント端末において使用が許可されているプログラムである業務内アプリケーションの実行ファイルの識別情報を含む判定用アプリケーションリストを記憶する記憶部を備え、
    前記クライアント端末で起動されたプロセスの識別情報を含むプロセス起動ログを取得して、該プロセスの識別情報と前記判定用アプリケーションリストに業務内アプリケーションとして登録されている実行ファイルの識別情報とが一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
    前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストに業務内アプリケーションとして登録されている実行ファイルの識別情報と一致せず、前記クライアント端末以外の標準端末に存在する実行ファイルの識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
    前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、前記標準端末に存在する実行ファイルの識別情報と一致せず、外部の更新プログラムの情報源に存在する実行ファイル識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
    前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、前記標準端末に存在する実行ファイルの識別情報と一致せず、外部の更新プログラムの情報源に存在する実行ファイルの識別情報とが一致しない場合に、該プロセスが前記業務内アプリケーション以外の業務外アプリケーションのプロセスと判定する判定工程、
    を含んだことを特徴とするログ判定方法。
  9. ユーザが利用するクライアント端末において使用が許可されているプログラムである業務内アプリケーションの実行ファイルの識別情報を含む判定用アプリケーションリストを記憶する記憶部を参照し、前記クライアント端末で起動されたプロセスの識別情報を含むプロセス起動ログを取得して、該プロセスの識別情報と前記判定用アプリケーションリストに業務内アプリケーションとして登録されている実行ファイルの識別情報とが一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
    前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストに業務内アプリケーションとして登録されている実行ファイルの識別情報と一致せず、前記クライアント端末以外の標準端末に存在する実行ファイルの識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
    前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、前記標準端末に存在する実行ファイルの識別情報と一致せず、外部の更新プログラムの情報源に存在する実行ファイル識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
    前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、前記標準端末に存在する実行ファイルの識別情報と一致せず、外部の更新プログラムの情報源に存在する実行ファイルの識別情報とが一致しない場合に、該プロセスが前記業務内アプリケーション以外の業務外アプリケーションのプロセスと判定する判定ステップ、
    をコンピュータに実行させるためのログ判定プログラム。
JP2015106807A 2015-05-26 2015-05-26 ログ判定装置、ログ判定方法、およびログ判定プログラム Active JP6404771B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015106807A JP6404771B2 (ja) 2015-05-26 2015-05-26 ログ判定装置、ログ判定方法、およびログ判定プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015106807A JP6404771B2 (ja) 2015-05-26 2015-05-26 ログ判定装置、ログ判定方法、およびログ判定プログラム

Publications (2)

Publication Number Publication Date
JP2016218984A true JP2016218984A (ja) 2016-12-22
JP6404771B2 JP6404771B2 (ja) 2018-10-17

Family

ID=57581333

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015106807A Active JP6404771B2 (ja) 2015-05-26 2015-05-26 ログ判定装置、ログ判定方法、およびログ判定プログラム

Country Status (1)

Country Link
JP (1) JP6404771B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019125228A (ja) * 2018-01-18 2019-07-25 富士通株式会社 判定方法、認証装置及び判定プログラム
US11960578B2 (en) 2019-09-20 2024-04-16 International Business Machines Corporation Correspondence of external operations to containers and mutation events

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002304318A (ja) * 2001-04-06 2002-10-18 Dainippon Printing Co Ltd コンピュータシステムおよびその使用制御方法
JP2010250502A (ja) * 2009-04-14 2010-11-04 Nec Corp 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム
JP2012088765A (ja) * 2010-10-15 2012-05-10 Hitachi Solutions Ltd プログラム起動制御方法、プログラム起動制御プログラム、携帯端末、ネットワークシステム
JP2014059724A (ja) * 2012-09-18 2014-04-03 Dainippon Printing Co Ltd アプリケーションプログラムの改竄検知方法
WO2014087597A1 (ja) * 2012-12-07 2014-06-12 キヤノン電子株式会社 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
WO2014113501A1 (en) * 2013-01-15 2014-07-24 Beyondtrust Software, Inc. Systems and methods for identifying and reporting application and file vulnerabilities
JP2014137661A (ja) * 2013-01-16 2014-07-28 Nec Infrontia Corp セキュリティシステム、セキュリティ制御方法およびセキュリティ制御プログラム

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002304318A (ja) * 2001-04-06 2002-10-18 Dainippon Printing Co Ltd コンピュータシステムおよびその使用制御方法
JP2010250502A (ja) * 2009-04-14 2010-11-04 Nec Corp 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム
JP2012088765A (ja) * 2010-10-15 2012-05-10 Hitachi Solutions Ltd プログラム起動制御方法、プログラム起動制御プログラム、携帯端末、ネットワークシステム
JP2014059724A (ja) * 2012-09-18 2014-04-03 Dainippon Printing Co Ltd アプリケーションプログラムの改竄検知方法
WO2014087597A1 (ja) * 2012-12-07 2014-06-12 キヤノン電子株式会社 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
WO2014113501A1 (en) * 2013-01-15 2014-07-24 Beyondtrust Software, Inc. Systems and methods for identifying and reporting application and file vulnerabilities
JP2014137661A (ja) * 2013-01-16 2014-07-28 Nec Infrontia Corp セキュリティシステム、セキュリティ制御方法およびセキュリティ制御プログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
原田 季栄 他: "「アプリケーションの実行状況に基づく強制アクセス制御方式」", 情報処理学会論文誌 論文誌ジャーナル VOL.53 NO.9, vol. 第53巻 第9号, JPN6018026972, 15 September 2012 (2012-09-15), JP, pages 2130 - 2147, ISSN: 0003838342 *
山中 徹也 他: "「ネットワークから切り離されるPC群に対しても集中的証拠性保全が可能なシステムの提案」", コンピュータセキュリティシンポジウム2009 論文集[第一分冊], vol. 第2009巻 第11号, JPN6018026974, 19 October 2009 (2009-10-19), JP, pages 217 - 222, ISSN: 0003838343 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019125228A (ja) * 2018-01-18 2019-07-25 富士通株式会社 判定方法、認証装置及び判定プログラム
US11960578B2 (en) 2019-09-20 2024-04-16 International Business Machines Corporation Correspondence of external operations to containers and mutation events
JP7486575B2 (ja) 2019-09-20 2024-05-17 インターナショナル・ビジネス・マシーンズ・コーポレーション コンテナに対する外部操作とミューテーション・イベントとの対応関係

Also Published As

Publication number Publication date
JP6404771B2 (ja) 2018-10-17

Similar Documents

Publication Publication Date Title
US11256808B2 (en) Detecting malware via scanning for dynamically generated function pointers in memory
US12013941B2 (en) Analysis of malware
US10291634B2 (en) System and method for determining summary events of an attack
US10326792B2 (en) Virus intrusion route identification device, virus intrusion route identification method, and program
US9294486B1 (en) Malware detection and analysis
KR101693370B1 (ko) 퍼지 화이트리스팅 안티-멀웨어 시스템 및 방법
US10972488B2 (en) Method and system for modeling all operations and executions of an attack and malicious process entry
US9767280B2 (en) Information processing apparatus, method of controlling the same, information processing system, and information processing method
Alazab et al. Towards understanding malware behaviour by the extraction of API calls
JP6644001B2 (ja) ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体
US9135443B2 (en) Identifying malicious threads
JP2019082989A (ja) 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法
US8561180B1 (en) Systems and methods for aiding in the elimination of false-positive malware detections within enterprises
US11775636B1 (en) Systems and methods of detecting malicious powershell scripts
US10382477B2 (en) Identification apparatus, control method therefor, and storage medium
JP2003196112A (ja) ウィルスチェックソフトウェアのウィルスチェック方法
US9792436B1 (en) Techniques for remediating an infected file
EP2417551B1 (en) Providing information to a security application
JP6254414B2 (ja) 情報処理装置、情報処理システムおよび情報処理方法
EP2417552B1 (en) Malware determination
JP6404771B2 (ja) ログ判定装置、ログ判定方法、およびログ判定プログラム
US9122872B1 (en) System and method for treatment of malware using antivirus driver
WO2015081836A1 (zh) 病毒的识别方法、设备、非易失性存储介质及设备
US20220035920A1 (en) Systems and methods for automatically generating malware countermeasures
US20130019313A1 (en) Granular virus detection

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170828

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180618

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180717

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180827

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180911

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180913

R150 Certificate of patent or registration of utility model

Ref document number: 6404771

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150