JP2018092281A - 情報処理装置及びその制御方法、プログラムおよびシステム - Google Patents
情報処理装置及びその制御方法、プログラムおよびシステム Download PDFInfo
- Publication number
- JP2018092281A JP2018092281A JP2016233611A JP2016233611A JP2018092281A JP 2018092281 A JP2018092281 A JP 2018092281A JP 2016233611 A JP2016233611 A JP 2016233611A JP 2016233611 A JP2016233611 A JP 2016233611A JP 2018092281 A JP2018092281 A JP 2018092281A
- Authority
- JP
- Japan
- Prior art keywords
- file
- hash value
- information
- information processing
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 25
- 238000000034 method Methods 0.000 title claims description 55
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 230000006870 function Effects 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims 1
- 238000012545 processing Methods 0.000 description 41
- 238000010586 diagram Methods 0.000 description 12
- 238000012546 transfer Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000006378 damage Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
任意のプログラムからファイルに対する複数のアクセス要求をインターセプトするインターセプト手段と、
前記インターセプト手段によりインターセプトされた複数のアクセス要求に基づいて当該ファイルのハッシュ値を取得する取得手段と
を有することを特徴とする情報処理装置を提供する。
<システム構成図>
先ず、本実施形態に係る情報処理システム構成について、図1のシステム構成図を用いて説明する。図1に示す如く、本実施形態に係る情報処理システムは、コンピュータすなわち情報処理装置110、120を有しており、それぞれの情報処理装置はLANやインターネットなどのネットワーク130に接続されている。以下、情報処理装置110をクライアント端末装置、情報処理装置120をサーバ装置と呼称する。なお、クライアント端末装置110は複数でもよい。また、クライアント端末装置110、サーバ装置120は、PC、携帯端末装置等の、情報処理装置が行うものとして後述する各処理を実行可能な装置であれば、如何なる装置であっても構わない。また、クライアント端末装置110はネットワーク130を介して接続されているが、ネットワーク130を介さないスタンドアローンでもよい。
本実施形態に係るクライアント端末装置110のハードウェア構成について図2を用いて説明する。クライアント端末装置110、サーバ装置120は何れも同じハードウェア構成を有するもとして説明する。然るに、ハードウェア構成についてはクライアント端末装置110を例にとり説明する。CPU(Central Processing Unit)11は、RAM12やROM13に格納されているコンピュータプログラムやデータを用いて各種の処理を実行することで、本装置全体の動作制御を行うと共に、本装置が行うものとして後述する各処理を実行する。
サーバ装置120のハードウェア構成は、図3に示す如く、上記で説明したクライアント端末装置110のハードウェア構成と同様であるとする。即ち、サーバ装置120のCPU11は、サーバ装置120の記憶装置16に保存されているコンピュータプログラムやデータを用いて、サーバ装置120のI/F17を介して外部機器とのデータ通信を行うと共に、サーバ装置120が行うものとして後述する各処理を実行する。このコンピュータプログラムには、ログ処理部121が含まれている。ログ処理部121は、クライアント端末装置110から送信されるアクセスログ含む操作ログを処理、記憶するためのプログラムである。なお、クライアント端末装置110から送信されたPCの操作ログをサーバ装置120の記憶装置16が一括して処理、記憶する代わりに、それぞれのクライアント端末装置110が自身の操作ログを記憶装置16に記憶し処理しても構わない。然るにこのような場合には、サーバ装置120は必須ではない。
次に、クライアント端末装置110の記憶装置16に保存されている、セキュリティソフトウェア111について説明する。
ハッシュ値を取得するために、フィルタドライバ402が行う処理について、図5〜図8を用いてより詳しく説明する。
・ファイルを新規作成した場合の処理(書き込み要求から閉じる要求までの処理)
・ファイルを開いた場合の処理(読み込み要求から閉じる要求までの処理)
・ファイルをコピーした場合の処理(書き込み要求と読み込み要求から閉じる要求までの処理)
について説明する。
図5は、フィルタドライバ402における書き込み要求発生時の処理を示すフローチャート、図6は、フィルタドライバ402における閉じる要求発生時の処理を示すである。
リスト900は、ファイルを識別する情報、たとえば、ファイル名、ファイルパス、ファイルハンドルなどをキーとして一時ハッシュ値と紐づけて記憶されている。また、書き込まれたデータ情報、たとえば、書き込んだデータのサイズ(現在までに書き込み要求毎のサイズを足した値)、書き込みファイル全体のサイズ、書き込まれたファイルの行数、位置情報を記憶する。なお、サイズは一例であって、どこまで書き込んだかがわかる値ならば、バイト数やポインターなどでも構わない。S503にて、リスト900に存在する場合は、S505へ進み、存在しない場合はS504へ進む。
ここで、位置情報(書き込み位置情報/読み込み位置情報)の一例を図14を用いて説明する。たとえば、ファイルに「あいうえおかきくけこさしすせそ…」というような文章が書き込まれているとする。このとき、文章の先頭から、次の行の黒丸の位置まで、AとBを足し合わせた情報が、位置情報の中に含まれている。
全ての処理が終了したら、閉じる要求をファイルシステムドライバ403へ転送する。
図7は、フィルタドライバ402における読み込み要求発生時の処理を示すフローチャート、図8は、フィルタドライバ402における閉じる要求発生時の処理を示す図である。
フィルタドライバ402は、読み込み要求をインターセプトする(S701)。S702で、CPU11は、読み込み要求から、読み込みファイルのファイル情報を取得する。ファイル情報とは、たとえば、書き込み/読み込みを示す情報、書き込み/読み込み位置情報(ファイルの先頭か否かを示す情報)、ファイルを識別する情報(ファイル名、ファイルパス)、ファイル全体のサイズ、書き込み/読み込みデータ、書き込み/読み込みデータのサイズ等の情報である。
S707で、CPU11は、S702で取得したファイル情報をもとに、ファイルの読み込み位置(読み込み位置情報)を取得する。読み込み位置とは、これからファイルを読み込む際に、何行目から読んだか、何ビット目から読んだか、ファイルのサイズなどの読み込んだ位置の情報(たとえば、オフセット)である。
書込み要求と読み込み要求発生時の構成/処理の大部分は、図5、図7と共通のため説明を省略し、異なる構成/処理のみ説明する。
図13は、書込み要求と読み込み要求から一時ハッシュ値等を保存するリストの一例を示す図である。リスト1300は、同一ファイルに対し書き込み/読み込み要求が発生する毎に、算出したハッシュ値を一時保存しておくリストである。リスト1300は、ファイルを識別する情報、たとえば、ファイル名、ファイルパス、ファイルハンドルなどをキーとして一時ハッシュ値と紐づけて記憶されている。また、書き込み/読み込まれたデータ情報、たとえば、書き込み/読み込みを示す情報(アクセス要求)、書き込み/読み込んだデータのサイズ(現在までの書き込み/読み込み要求毎のサイズを足した値)、書き込み/読み込みファイル全体のサイズ、書き込まれた/読み込まれたファイルの行数、書き込み/読み込み位置情報を記憶する。なお、サイズは一例であって、どこまで書き込んだ/読み込んだかがわかる値ならば、バイト数やポインターなどでも構わない。
また、本発明の実施形態では、Windows(登録商標)を一例として説明した。しかし、本発明は、ファイル操作が実行されるときに特定の複数のアクセス要求が発行されるOSであれば、同様に適用できる。また、本発明の実施形態では、複数ログイン環境でも、同様に適用できる。
取得されたハッシュ値は、たとえば、ホワイトリストの設定(図11)や、同じハッシュ値を持つファイルがあるか否かの検索(図12)に活用することができる。
第一の実施形態では、ファイルを閉じるためのアクセス要求(IRP_MJ_CREANUP)発生のタイミングで、一時ハッシュ値をハッシュ値に形成しているが、本実施形態では、ファイルに書き込むためのアクセス要求(IRP_MJ_WRITE)、ファイルを読み込むためのアクセス要求(IRP_MJ_READ)から取得した書き込み/読み込みデータのサイズの合計値と、ファイル全体のサイズが一致することで、一時ハッシュ値をハッシュ値に形成する場合について説明する。なお、第2実施形態の動作の大部分は第1実施形態の動作と共通するため、第1実施形態と異なる構成、動作についてのみ説明し、共通の動作については説明を省略する。
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステムあるいは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
Claims (11)
- 任意のプログラムからファイルに対する複数のアクセス要求をインターセプトするインターセプト手段と、
前記インターセプト手段によりインターセプトされた複数のアクセス要求に基づいて当該ファイルのハッシュ値を取得する取得手段と
を有することを特徴とする情報処理装置。 - 更に、
前記インターセプト手段にてインターセプトされたアクセス要求から、一時ハッシュ値を算出する算出手段と、
前記算出手段にて算出された一時ハッシュ値をリストに記憶する記憶手段と、
を有し、
前記算出手段は、前記インターセプト手段にてインターセプトされた他のアクセス要求から一時ハッシュ値を算出し、前記リストに記憶されている一時ハッシュ値とマージして、当該ファイルのハッシュ値を算出すること
を特徴とする請求項1に記載の情報処理装置。 - 更に、
前記インターセプト手段にてインターセプトされたアクセス要求から、一時ハッシュ値を算出する算出手段と、
を有し、
前記算出手段は、算出された前記一時ハッシュ値とリストに記憶されている一時ハッシュ値とをマージして、当該ファイルのハッシュ値を算出すること
を特徴とする請求項1に記載の情報処理装置。 - 前記取得手段は、前記インターセプト手段にてインターセプトされたアクセス要求から、当該ファイルに関するファイル情報を取得すること
を特徴とする請求項1ないし3に記載の情報処理装置。 - 前記取得手段は、前記ファイル情報から、書き込みデータのサイズまたは読み込みデータのサイズを抽出し、抽出されたサイズに基づいて、書き込みデータまたは読み込みデータから、一時ハッシュ値を算出することを特徴とする請求項4に記載の情報処理装置。
- 前記取得手段は、前記ファイル情報からファイルを識別する情報を抽出し、前記ファイルを識別する情報と一時ハッシュ値とを対応付けて、前記リストに記憶することを特徴とする請求項4または5に記載の情報処理装置。
- 前記インターセプト手段は、
ファイルシステムフィルタドライバ、またはAPIフックであることを特徴とする請求項1ないし6に記載の情報処理装置。 - 前記アクセス要求は、前記ファイルに対する書き込み要求、前記ファイルに対する読み込み要求、及び前記ファイルに対する閉じる要求のうちの少なくとも1つである
ことを特徴とする請求項1ないし7に記載の情報処理装置。 - 任意のプログラムからファイルに対する複数のアクセス要求をインターセプトするインターセプト工程と、
前記インターセプト工程によりインターセプトされた複数のアクセス要求に基づいて当該ファイルのハッシュ値を取得する取得工程と
を有することを特徴とする情報処理方法。 - コンピュータを、
任意のプログラムからファイルに対する複数のアクセス要求をインターセプトするインターセプト手段と、
前記インターセプト手段によりインターセプトされた複数のアクセス要求に基づいて当該ファイルのハッシュ値を取得する取得手段として機能させることを特徴とするコンピュータプログラム。 - 複数の情報処理装置と、当該複数の情報処理装置から収集されるファイルのハッシュ値を管理するサーバ装置とを備えたシステムであって、
前記複数の情報処理装置のそれぞれは、
任意のプログラムから前記ファイルに対する複数のアクセス要求をインターセプトするインターセプト手段と、前記インターセプト手段によりインターセプトされた複数のアクセス要求に基づいて当該ファイルのハッシュ値を取得する取得手段と、前記取得されたファイルのハッシュ値を前記サーバ装置に送信する送信手段と
を有し、
前記サーバ装置は、前記複数の情報処理装置から送信された前記ファイルのハッシュ値を受信する受信手段を有すること
を特徴とするシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016233611A JP6894220B2 (ja) | 2016-11-30 | 2016-11-30 | 情報処理装置及びその制御方法、プログラムおよびシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016233611A JP6894220B2 (ja) | 2016-11-30 | 2016-11-30 | 情報処理装置及びその制御方法、プログラムおよびシステム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2018092281A true JP2018092281A (ja) | 2018-06-14 |
JP2018092281A5 JP2018092281A5 (ja) | 2019-10-10 |
JP6894220B2 JP6894220B2 (ja) | 2021-06-30 |
Family
ID=62566101
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016233611A Active JP6894220B2 (ja) | 2016-11-30 | 2016-11-30 | 情報処理装置及びその制御方法、プログラムおよびシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6894220B2 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0883046A (ja) * | 1993-11-19 | 1996-03-26 | Addison M Fischer | 単一ハッシュを用いた揮発性ファイルの保護方法 |
JP2008257279A (ja) * | 2007-03-30 | 2008-10-23 | Nec Corp | ファイルシステムの完全性強化方法 |
JP2015049646A (ja) * | 2013-08-30 | 2015-03-16 | キヤノン電子株式会社 | 情報処理装置、情報処理方法 |
-
2016
- 2016-11-30 JP JP2016233611A patent/JP6894220B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0883046A (ja) * | 1993-11-19 | 1996-03-26 | Addison M Fischer | 単一ハッシュを用いた揮発性ファイルの保護方法 |
JP2008257279A (ja) * | 2007-03-30 | 2008-10-23 | Nec Corp | ファイルシステムの完全性強化方法 |
JP2015049646A (ja) * | 2013-08-30 | 2015-03-16 | キヤノン電子株式会社 | 情報処理装置、情報処理方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6894220B2 (ja) | 2021-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10460107B2 (en) | Systems and methods for automatic snapshotting of backups based on malicious modification detection | |
US9935973B2 (en) | Systems and methods for automatic detection of malicious activity via common files | |
US11132338B1 (en) | Sharing services between deduplication systems | |
US7188127B2 (en) | Method, system, and program for processing a file request | |
US20170206353A1 (en) | Method and system for preventing malicious alteration of data in computer system | |
US9424058B1 (en) | File deduplication and scan reduction in a virtualization environment | |
US10983867B1 (en) | Fingerprint change during data operations | |
US20150154398A1 (en) | Optimizing virus scanning of files using file fingerprints | |
US8176555B1 (en) | Systems and methods for detecting malicious processes by analyzing process names and process characteristics | |
US9928373B2 (en) | Technique for data loss prevention for a cloud sync application | |
WO2019047976A1 (zh) | 网络文件管理方法、终端及计算机可读存储介质 | |
US9547655B1 (en) | Filesystem independent snapshot driver | |
US20210092135A1 (en) | System and method for generating and storing forensics-specific metadata | |
US20100332563A1 (en) | Information processing apparatus, information processing method, and recording medium | |
US11475135B2 (en) | Orchestration of vulnerability scanning and issue tracking for version control technology | |
US10761760B2 (en) | Duplication between disparate deduplication systems | |
US10846301B1 (en) | Container reclamation using probabilistic data structures | |
US8239403B2 (en) | Enhancing soft file system links | |
US11698795B2 (en) | Unified way to track user configuration on a live system | |
US11514002B2 (en) | Indexing splitter for any pit replication | |
US9946853B1 (en) | Techniques for application code obfuscation | |
US10389743B1 (en) | Tracking of software executables that come from untrusted locations | |
JP6894220B2 (ja) | 情報処理装置及びその制御方法、プログラムおよびシステム | |
KR101772129B1 (ko) | 콘텐츠 무결성을 검증하는 지능형 스토리지 시스템 | |
JP4437116B2 (ja) | 文書ファイル移動追跡装置、文書ファイル移動追跡システム、文書ファイル移動追跡方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190830 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190830 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20190830 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200625 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201026 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201214 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20210125 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210507 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210603 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6894220 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |