JP2017174354A - 監視装置、監視方法、及びプログラム - Google Patents
監視装置、監視方法、及びプログラム Download PDFInfo
- Publication number
- JP2017174354A JP2017174354A JP2016062680A JP2016062680A JP2017174354A JP 2017174354 A JP2017174354 A JP 2017174354A JP 2016062680 A JP2016062680 A JP 2016062680A JP 2016062680 A JP2016062680 A JP 2016062680A JP 2017174354 A JP2017174354 A JP 2017174354A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- abnormality
- information
- learning
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
Description
前記取得手段により取得した状態情報に基づいて、前記コンピュータにおけるメモリの領域情報を学習する学習手段と、
前記領域情報と、前記取得手段により取得される状態情報とに基づいて、前記コンピュータにおける異常の有無を判定し、異常があると判定した場合に、異常を示す情報を出力する異常判定手段と
を備えることを特徴とする監視装置が提供される。
コンピュータからCPUの状態情報を取得する取得ステップと、
前記取得ステップにより取得した状態情報に基づいて、前記コンピュータにおけるメモリの領域情報を学習する学習ステップと、
前記領域情報と、前記コンピュータから取得されるCPUの状態情報とに基づいて、前記コンピュータにおける異常の有無を判定し、異常があると判定した場合に、異常を示す情報を出力する異常判定ステップと
を備えることを特徴とする監視方法が提供される。
図2に、本実施の形態におけるシステムの全体構成図を示す。図2に示すように、本実施の形態におけるシステムは、監視装置100と複数の監視対象装置200とを含む。監視装置100と各監視対象装置200との間では、インターネット等のネットワークを介してデータ通信が可能である。
図3に、監視対象装置200の構成図を示す。図3に示すように、監視対象装置200は、メモリ201、CPU202、コンテキスト格納部203を含む。図3に示すように、メモリには、データとプログラムが混在して格納されるが、データとプログラムともにビットの羅列であり、一般には、外部からは、メモリ201の各アドレスに格納されているビットが、データかプログラムかの識別はできない。
図6に、監視装置100の構成図を示す。図6に示すように、監視装置100は、学習部101、監視部102、異常判定部103を備える。各機能部の動作については、以下の動作説明のところで詳しく説明する。なお、以下の説明では、特に断らない限り、複数の監視対象装置200における1つの監視対象装置200を対象にしているが、実際には同様の処理を他の監視対象装置200に対しても行っている。ただし、複数の監視対象装置200を対象とすることは必須ではなく、1つの監視対象装置200を対象としてもよい。
以下、図6に示す構成を有する監視装置100の動作を図7のフローチャートに沿って説明する。
以上、説明したように、コンピュータからCPUの状態情報を取得する取得手段と、前記取得手段により取得した状態情報に基づいて、前記コンピュータにおけるメモリの領域情報を学習する学習手段と、前記領域情報と、前記取得手段により取得される状態情報とに基づいて、前記コンピュータにおける異常の有無を判定し、異常があると判定した場合に、異常を示す情報を出力する異常判定手段とを備えることを特徴とする監視装置が提供される。
101 学習部
102 監視部
103 異常判定部
200 監視対象装置
201 メモリ
202 CPU
203 コンテキスト格納部
251 ハードウェア
252 ハイパーバイザ
Claims (6)
- コンピュータからCPUの状態情報を取得する取得手段と、
前記取得手段により取得した状態情報に基づいて、前記コンピュータにおけるメモリの領域情報を学習する学習手段と、
前記領域情報と、前記取得手段により取得される状態情報とに基づいて、前記コンピュータにおける異常の有無を判定し、異常があると判定した場合に、異常を示す情報を出力する異常判定手段と
を備えることを特徴とする監視装置。 - 前記学習手段は、メモリの領域情報が既知であるコンピュータから得られたCPUの状態情報に基づいて特徴を算出し、当該特徴と、領域情報が未知であるコンピュータから得られたCPUの状態情報に基づき算出された特徴とを比較することにより、領域情報が未知であるコンピュータにおけるメモリの領域情報を学習する
ことを特徴とする請求項1に記載の監視装置。 - 前記異常判定手段は、前記取得手段により取得される状態情報に基づいて、前記メモリにおけるデータの格納アドレスを検出し、当該データの格納アドレスが、前記学習手段により得られた前記領域情報におけるデータ領域の範囲を超える場合に、異常があると判定する
ことを特徴とする請求項1又は2に記載の監視装置。 - 前記学習手段は、マルウェアが実行されているコンピュータから得られたCPUの状態情報に基づき、当該状態情報の特徴を算出し、
前記異常判定手段は、当該特徴と、マルウェアの実行有無が未知であるコンピュータから得られたCPUの状態情報に基づき算出された特徴とを比較することにより、異常の有無を判定する
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の監視装置。 - コンピュータを、請求項1ないし4のうちいずれか1項に記載の監視装置における各手段として機能させるためのプログラム。
- コンピュータの異常検知を行う監視装置が実行する監視方法であって、
コンピュータからCPUの状態情報を取得する取得ステップと、
前記取得ステップにより取得した状態情報に基づいて、前記コンピュータにおけるメモリの領域情報を学習する学習ステップと、
前記領域情報と、前記コンピュータから取得されるCPUの状態情報とに基づいて、前記コンピュータにおける異常の有無を判定し、異常があると判定した場合に、異常を示す情報を出力する異常判定ステップと
を備えることを特徴とする監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016062680A JP6646494B2 (ja) | 2016-03-25 | 2016-03-25 | 監視装置、監視方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016062680A JP6646494B2 (ja) | 2016-03-25 | 2016-03-25 | 監視装置、監視方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017174354A true JP2017174354A (ja) | 2017-09-28 |
JP6646494B2 JP6646494B2 (ja) | 2020-02-14 |
Family
ID=59973503
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016062680A Active JP6646494B2 (ja) | 2016-03-25 | 2016-03-25 | 監視装置、監視方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6646494B2 (ja) |
-
2016
- 2016-03-25 JP JP2016062680A patent/JP6646494B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP6646494B2 (ja) | 2020-02-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11277423B2 (en) | Anomaly-based malicious-behavior detection | |
US11481486B2 (en) | Behavioral threat detection engine | |
US10699012B2 (en) | Endpoint detection and response utilizing machine learning | |
US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
EP3506139A1 (en) | Malware detection in event loops | |
US11363058B2 (en) | Detecting execution of modified executable code | |
EP3323042B1 (en) | System and method for identifying and preventing vulnerability exploitation using symbolic constraints | |
WO2016057994A1 (en) | Differential dependency tracking for attack forensics | |
CN109661652B (zh) | 使用系统调用序列的异常检测 | |
US11244043B2 (en) | Aggregating anomaly scores from anomaly detectors | |
JP5692414B2 (ja) | 検知装置、検知プログラムおよび検知方法 | |
US11443032B2 (en) | Stack pivot exploit detection and mitigation | |
EP3531329B1 (en) | Anomaly-based-malicious-behavior detection | |
CN111737081A (zh) | 云服务器监控方法、装置、设备及存储介质 | |
US11361077B2 (en) | Kernel-based proactive engine for malware detection | |
US9507621B1 (en) | Signature-based detection of kernel data structure modification | |
US10505962B2 (en) | Blackbox program privilege flow analysis with inferred program behavior context | |
JP6646494B2 (ja) | 監視装置、監視方法、及びプログラム | |
US20220237286A1 (en) | Kernel based exploitation detection and prevention using grammatically structured rules | |
US11314855B2 (en) | Detecting stack pivots using stack artifact verification | |
US20180219884A1 (en) | Changing the deployment status of a pre-processor or analytic | |
US20220342982A1 (en) | Anomaly based keylogger detection through virtual machine introspection | |
US20230214479A1 (en) | Method and system for detecting and preventing unauthorized access to a computer | |
US20240220619A1 (en) | Systems and methods for selecting client backup files for maliciousness analysis | |
US20150033209A1 (en) | Dynamic Cluster Wide Subsystem Engagement Using a Tracing Schema |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180725 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190426 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190528 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190729 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191224 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200110 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6646494 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |