JP2018128910A - Access monitoring system - Google Patents
Access monitoring system Download PDFInfo
- Publication number
- JP2018128910A JP2018128910A JP2017022202A JP2017022202A JP2018128910A JP 2018128910 A JP2018128910 A JP 2018128910A JP 2017022202 A JP2017022202 A JP 2017022202A JP 2017022202 A JP2017022202 A JP 2017022202A JP 2018128910 A JP2018128910 A JP 2018128910A
- Authority
- JP
- Japan
- Prior art keywords
- access
- processing unit
- operation log
- abnormal access
- log information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 31
- 230000002159 abnormal effect Effects 0.000 claims abstract description 112
- 238000012545 processing Methods 0.000 claims abstract description 81
- 238000001514 detection method Methods 0.000 claims abstract description 80
- 230000010365 information processing Effects 0.000 claims abstract description 18
- 238000000034 method Methods 0.000 description 16
- 238000004891 communication Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
本発明は,ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムに関する。 The present invention relates to an access monitoring system that monitors access to a shared resource in a network.
企業や学校,官公庁などの諸団体(以下,「企業等」という)の業務ではコンピュータが複数使用されており,それらはネットワークによって接続されている。そしてコンピュータには多種多様な情報が記憶されているため,ネットワーク内のコンピュータに障害などの異常が発生した場合には,業務に支障が生じるほか,情報の外部流出などの場合にはコンプライアンス上の問題も発生しうる。そのため,企業等ではネットワーク内に異常が発生していないかを日々監視している。 A plurality of computers are used in the business of various organizations such as companies, schools, and public offices (hereinafter referred to as “businesses”), and they are connected by a network. And since a wide variety of information is stored in the computer, if an abnormality such as a failure occurs on a computer in the network, the business will be hindered, and in the case of outflow of information, compliance will occur. Problems can also arise. For this reason, companies and the like monitor daily whether there is an abnormality in the network.
とくに企業等では複数の担当者などで共通の業務を行うなどの必要性から,共通の業務に用いるファイルやフォルダ,あるいはファイルサーバやデータベースサーバなどのサーバなどは,複数のコンピュータからアクセス可能に設定されている。ここで複数のコンピュータからアクセス可能なファイル(共有ファイル)やフォルダ(共有フォルダ)を共有リソースと呼び,共有リソースを記憶するサーバを共有サーバと呼ぶこととする。共有リソースを共有する場合のシステムの一例を下記特許文献1に示す。
In particular, in companies, etc., because it is necessary to perform common work among multiple persons in charge, files and folders used for common work, or servers such as file servers and database servers are set to be accessible from multiple computers. Has been. Here, a file (shared file) or folder (shared folder) accessible from a plurality of computers is called a shared resource, and a server storing the shared resource is called a shared server. An example of a system for sharing shared resources is shown in
共有リソースは,複数の担当者などで利用することからその重要性は高い。そのため,下記特許文献2に示すように,そのアクセス権限は厳密に管理されている。
Shared resources are highly important because they are used by multiple people in charge. Therefore, as shown in
近年,サイバー攻撃の一手法として,ランサムウェアを用いたものが知られている。ランサムウェアとは,感染したコンピュータに対して,操作者の意に反して,当該コンピュータをロックしたり,ファイルを暗号化するなどして使用不能とせしめた上で,元の状態に戻すことと引き替えに,不当に金銭を要求する,不正プログラムの一種である。多くの場合,電子メールに含まれる悪意ある添付ファイルを開いた際に,その不正プログラムがインストールされたり,改ざんされた正規のウェブサイトから,脆弱性を攻撃する不正なウェブサイトに誘導されたりするなどして,コンピュータをランサムウェアに感染させる。 In recent years, a method using ransomware is known as a cyber attack method. Ransomware is to return an infected computer to its original state after locking the computer or encrypting a file against the operator's will. A type of malicious program that unreasonably demands money in exchange. In many cases, when a malicious attachment included in an e-mail is opened, the malicious program is installed, or a legitimate website that has been tampered with is directed to a malicious website that attacks the vulnerability. Infect the computer with ransomware.
コンピュータがランサムウェアに感染した場合,そのコンピュータに対する操作ができなくなるほか,感染したコンピュータや,ネットワーク共有しているファイルが暗号化されて使用不能になるなど,業務に対する支障が大きい。また,金銭の要求に応じた場合には経済的損害も発生する。 When a computer is infected with ransomware, operations on the computer become impossible, and the infected computer and files shared on the network are encrypted and become unusable. In addition, economic damage will occur if money is requested.
一方,ランサムウェアに感染したコンピュータがネットワークにある場合には,ほかのコンピュータへの感染を防止するため,できる限り早期に,感染したコンピュータをネットワークから切り離す必要がある。 On the other hand, when a computer infected with ransomware is on the network, it is necessary to disconnect the infected computer from the network as soon as possible to prevent infection of other computers.
とくにネットワーク内の共有リソースがランサムウェアによって使用不能状態になると,企業等の業務が広範に停止する可能性があり,その影響は,一台のコンピュータが感染した場合とは比較にならないほど大きくなる。 In particular, if shared resources in the network become unavailable due to ransomware, there is a possibility that business operations will stop extensively, and the impact will be greater than if a single computer is infected. .
そこでランサムウェアへの感染を防止するため,ウィルス対策ソフトなどが用いられているが,ウィルス対策ソフトはランサムウェアを検知するという入口対策のみを実行するものであって,ウィルス対策ソフトで検出できなかった(入口対策が突破された)場合には,現状,有効な対策は殆ど存在していない。 Therefore, anti-virus software is used to prevent infection of ransomware, but anti-virus software performs only the entrance measure of detecting ransomware and cannot be detected by anti-virus software. However, there are few effective measures at present.
なぜならば共有リソースへのアクセスについて,それが通常のアクセスなのか,異常なアクセスなのかを判定することが容易ではなかったためである。 This is because it is not easy to determine whether access to a shared resource is normal access or abnormal access.
本発明者は上述の問題点に鑑み,アクセス監視システムを発明した。 The present inventor has invented an access monitoring system in view of the above problems.
第1の発明は,ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムであって,前記アクセス監視システムは,前記共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部と,前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部と,前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部と,前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部と,を備えるアクセス監視システムである。 A first invention is an access monitoring system for monitoring access to a shared resource in a network, and the access monitoring system is based on detection history information indicating that the shared resource has been accessed, An abnormal access determination processing unit that determines whether there is an abnormal access to the shared resource, and an operation log that generates operation log information including information indicating that there was an abnormal access when it is determined that there is an abnormal access Abnormal access has been performed in the information processing unit, the operation log information determination processing unit that determines whether an abnormal access to the shared resource has been performed based on the operation log information, and the operation log information determination processing unit The access monitoring system includes a notification processing unit that performs predetermined notification.
本発明では,検出履歴情報を用いて共有リソースへの異常アクセスがあったかを判定することで,通常のアクセスか否かを判定可能となる。その結果,ウィルス対策ソフトによる入口対策が突破された場合であっても,ランサムウェアなどに対して有効な処置を迅速に採ることが可能となる。 In the present invention, it is possible to determine whether or not the access is normal by determining whether or not there is an abnormal access to the shared resource using the detection history information. As a result, even if the entrance countermeasures by the anti-virus software are broken, it is possible to quickly take effective measures against the ransomware.
上述の発明において,前記アクセス監視システムは,UNCが含まれている検出情報を前記共有リソースへのアクセスがあると判定する共有リソースアクセス判定処理部と,前記検出情報に日時情報を付して検出履歴情報として前記検出履歴情報記憶部に記憶させる検出履歴情報生成処理部と,を備えるアクセス監視システムのように構成することができる。 In the above-described invention, the access monitoring system detects the detection information including UNC by adding a shared resource access determination processing unit that determines that there is access to the shared resource, and adding date and time information to the detection information. It can be configured as an access monitoring system including a detection history information generation processing unit stored in the detection history information storage unit as history information.
共有リソースへのアクセスがあったか否かはさまざまな方法で判定することができるが,本発明のように,UNCを用いて判定することで,簡便括確実に判定することが可能となる。 Whether or not there has been an access to the shared resource can be determined by various methods, but by using the UNC as in the present invention, it can be determined simply and reliably.
上述の発明において,前記異常アクセスの判定は,前記共有リソースへのアクセス数,アクセスした共有リソースのデータ量,アクセス時間,アクセスした共有リソースの数,アクセスした共有サーバの数のいずれか一以上を用いて判定する,アクセス監視システムのように構成することができる。 In the above-mentioned invention, the determination of abnormal access may be any one or more of the number of accesses to the shared resource, the amount of data of the accessed shared resource, the access time, the number of accessed shared resources, and the number of accessed shared servers. It can be configured like an access monitoring system that uses and determines.
異常アクセスかの判定は,本発明のような要素を考慮することが好ましい。 It is preferable to consider factors such as those of the present invention in determining whether there is an abnormal access.
第1の発明は,本発明のプログラムをコンピュータに読み込ませて実行することで実現できる。すなわち,コンピュータを,共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部,前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部,前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部,前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部,として機能させるアクセス監視プログラムのように構成することができる。 The first invention can be realized by reading the program of the present invention into a computer and executing it. That is, the abnormal access determination processing unit that determines whether there is an abnormal access to the shared resource based on the detection history information indicating that the computer has accessed the shared resource, and determines that there is the abnormal access An operation log information processing unit that generates operation log information including information indicating that there has been an abnormal access, and an operation log that determines whether an abnormal access to the shared resource has been performed based on the operation log information When the information determination processing unit and the operation log information determination processing unit determine that an abnormal access has been performed, it can be configured as an access monitoring program that functions as a notification processing unit that performs predetermined notification.
本発明のアクセス監視システムによって,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行うことができる。そのため,ランサムウェアが共有リソースに不正な処理を実行することによる被害の拡大に対し,迅速に対策を行うことが可能となる。 The access monitoring system of the present invention can determine whether or not the access to the shared resource is an abnormal access. Therefore, it is possible to take quick measures against the spread of damage caused by ransomware executing illegal processing on shared resources.
本発明のアクセス監視システム1のイメージ図の一例を図1に,アクセス監視システム1の構成の一例を示す概念図を図2に示す。
An example of an image diagram of the
アクセス監視システム1は,企業等のネットワークおよびそのネットワーク内のコンピュータを監視するためのコンピュータシステムであって,マスターサーバ2やクライアント端末3,管理端末4,共有リソースなどから構成される。
The
アクセス監視システム1のマスターサーバ2,クライアント端末3,管理端末4は,サーバやパーソナルコンピュータなどの各種のコンピュータにより実現される。図3にコンピュータのハードウェア構成の一例を示す。コンピュータは,プログラムの演算処理を実行するCPUなどの演算装置70と,情報を記憶するRAMやハードディスクなどの記憶装置71と,ディスプレイなどの表示装置72と,キーボードやポインティングデバイス(マウスやテンキーなど)などの入力装置73と,演算装置70の処理結果や記憶装置71に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置74とを有している。
The
図1および図2ではマスターサーバ2が一台のコンピュータで実現される場合を示したが,複数台のコンピュータにその機能が分散配置され,実現されても良い。
1 and 2 show the case where the
本発明における各手段は,その機能が論理的に区別されているのみであって,物理上あるいは事実上は同一の領域を為していても良い。 Each means in the present invention is only logically distinguished in function, and may be physically or virtually the same area.
企業等のネットワークには,マスターサーバ2,管理端末4,クライアント端末3,共有サーバ5などが存在している。
In a company network, there are a
管理端末4はネットワークの管理を行う管理者が操作するコンピュータであり,管理端末4を介してマスターサーバ2をコントロールし,またマスターサーバ2からの各種通知などを受け取る。
The
共有サーバ5は,複数のユーザがアクセスする各種ファイル,フォルダ,データなどである共有リソースを記憶,管理するサーバである。共有サーバ5としては,たとえばファイルサーバ,データベースサーバなどがある。
The shared
クライアント端末3は,企業等における一般ユーザが操作するコンピュータであり,必要に応じて共有サーバ5内の共有リソースにアクセスし,各種ファイルなどの閲覧等の操作を行う。また,クライアント端末3には,クライアント端末3における操作を示す操作ログ情報を生成し,マスターサーバ2に定期的にまたは不定期に送る。
The
クライアント端末3にはエージェントプログラムが備えられており,エージェントプログラムは,検出履歴情報処理部31と異常アクセス判定処理部33と操作ログ情報処理部34との機能を備える。また,クライアント端末3にはエージェントプログラムが処理を実行するための検出履歴情報記憶部32を備える。
The
検出履歴情報処理部31は,共有リソースアクセス判定処理部311と検出履歴情報取得処理部とを備えており,共有サーバ5における共有リソースへのアクセスがあったことを示す情報を検出履歴情報として取得する。
The detection history information processing unit 31 includes a shared resource access
共有リソースアクセス判定処理部311は,クライアント端末3のOS(Operating System)が出力するファイルシステム上の情報(これを検出情報とよぶ)を参照し,UNC(Universal Naming Convention:「\\」,「//」で始まるファイルパス)が含まれる検出情報があるかを判定し,UNCが含まれている検出情報を共有リソースへのアクセスがあると判定して,その検出情報を取得する。検出情報は,クライアント端末3における操作の履歴を示す情報であり,ドライバの起動や当該起動したドライバでフォルダにアクセスしたことなどが判定できる情報であって,クライアント端末3における操作内容,アクセスした先,アプリケーション名などの情報が含まれている。
The shared resource access
検出履歴情報生成処理部312は,共有リソースアクセス判定処理部311が取得した検出情報に日時情報を付して検出履歴情報として生成し,後述する検出履歴情報記憶部32に記憶させる。検出履歴情報は,検出情報に日時情報が付加された情報である。
The detection history information generation processing unit 312 adds date / time information to the detection information acquired by the shared resource access
検出履歴情報記憶部32は,検出履歴情報処理部31における検出履歴情報生成処理部312が生成した検出履歴情報を記憶する。なお検出履歴情報記憶部32では,検出履歴情報を日時情報に基づいて時系列的に記憶していることが好ましい。
The detection history
異常アクセス判定処理部33は,検出履歴情報記憶部32に記憶する検出履歴情報に基づいて,共有リソースへの異常アクセスがあるかを判定する。異常アクセスがあるかの判定方法としては,たとえば,一定期間内の検出履歴情報に基づいて,所定の条件を充足しているか,によって判定できる。
The abnormal access
所定の条件としては,操作内容がファイルオープンであり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(ファイルオープン数),操作内容がファイル保存(または書込)であり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(ファイル保存数),操作内容がファイルオープンであり,そのアクセス先が共有リソースである共有リソースのデータ量の一定期間内の合計値が所定の閾値以上であるか(オープンしたファイルのデータ量の合計),操作内容がファイル保存(または書込)であり,そのアクセス先が共有リソースである共有リソースのデータ量の一定期間内の合計値が所定の閾値以上であるか(保存したファイルのデータ量の合計),操作内容がファイル削除であり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(共有リソースの削除回数)などがある。 As a predetermined condition, whether the operation content is file open, and the number of detection history information whose access destination is a shared resource within a certain period is equal to or greater than a predetermined threshold (file open number), or the operation content is file save (Or write) and the access destination is a shared resource The number of detection history information within a certain period is equal to or greater than a predetermined threshold (number of saved files), the operation is a file open, and the access destination If the total amount of data of a shared resource that is a shared resource within a certain period is equal to or greater than a predetermined threshold (the total amount of data of opened files), the operation content is file save (or write), Whether the total amount of data in the shared resource for which the access destination is a shared resource within a certain period is equal to or greater than a predetermined threshold (the total amount of data in the saved file ), The operation content is the file deletion, the access destination, and the like or the number of a certain period of detection history information is a shared resource is equal to or greater than a predetermined threshold (erase cycles of the shared resource).
さらに,ほかの条件としては,共有リソースのアクセス数(オープン数),アクセスした共有リソースのバイト数の合計値の変化量が急激に増加した場合,異常と判定するようにしてもよい。たとえば単位時間を10分,分解能を1分,アクセス数の上限を200と設定した場合であって,共有リソースへのアクセス数が図5であったとする。図5(a)は分解能ごとのアクセス数の表であり,図5(b)は分解能ごとのアクセス数のグラフである。 Furthermore, as another condition, when the amount of change in the total number of shared resource accesses (opens) and the number of bytes of shared resources accessed increases rapidly, it may be determined as abnormal. For example, assume that the unit time is 10 minutes, the resolution is 1 minute, and the upper limit of the number of accesses is 200, and the number of accesses to the shared resource is as shown in FIG. FIG. 5A is a table of the number of accesses for each resolution, and FIG. 5B is a graph of the number of accesses for each resolution.
そして,異常アクセス判定処理部33は,分解能ごとに単位時間あたりのアクセス数を合計し,そのアクセス数と閾値との関係が所定条件を充足しているかで異常アクセスであるかを判定する。すなわち,最初に0〜9分を単位時間としてその間のアクセス数を合計し,つぎの単位時間として1〜10分としてその間のアクセス数を合計する。これを最後の分解能に到達するまで反復する。そして単位時間ごとにアクセス数と閾値とを比較し,たとえばアクセス数が閾値を超過する,アクセス数が閾値を下回るなど,所定の条件を充足したかを判定することとなる。この判定処理を図6に示す。図6(a)は単位時間あたりのアクセス数を示す表であり,図6(b)は単位時間あたりのアクセス数を示すグラフである。なお,図6に示すように,異常アクセスが発生したこと,異常アクセスが終了したことを区別して判定してもよい。
Then, the abnormal access
操作ログ情報処理部34は,異常アクセス判定処理部33において,異常アクセスがあることを判定した場合には,異常アクセスがあることを示す操作ログ情報などの操作履歴を示す情報を生成し,マスターサーバ2に送る。以下の説明では操作履歴を示す情報として操作ログ情報である場合を説明するが,操作ログ情報に限られるものではない。
When the abnormal access
操作ログ情報処理部34は,異常アクセス判定処理部33において異常アクセスがあることを判定した操作ログ情報のみならず,通常の操作が行われた場合にも検出履歴情報に基づいて操作ログ情報が生成され,定期的にまたは不定期にマスターサーバ2に操作ログ情報を送る。そして,操作ログ情報は異常アクセスがあることを示す操作ログ情報を生成した場合には,通常の操作ログ情報を送るタイミングとは別に,直ちにマスターサーバ2にその操作ログ情報を送ることが好ましいが,それに限定されるものではない。なお,操作ログ情報とは,検出履歴情報における操作内容に加えて,操作内容として「異常アクセスを示す情報」が含まれている情報である。すなわち検出履歴情報と操作ログ情報とは,異常アクセスを示す情報を含むか否かで相違する。なお,操作ログ情報としては,上記のように異常アクセスの判定をした場合以外の検出履歴情報をそのまま用いてもよい。
The operation log
また,操作ログ情報処理部34が操作ログ情報を生成する際に,異常アクセス判定処理部33が,図6に示すように,異常アクセスが発生したこと,異常アクセスが終了したことを区別して判定している場合には,操作内容として「異常アクセス実行」,「異常アクセス終了」と異常アクセスを区別した操作ログ情報を生成し,マスターサーバ2に送ってもよい。
In addition, when the operation log
なお操作ログ情報処理部34が生成した操作ログ情報などの操作履歴を示す情報は,クライアント端末3の所定の記憶装置71においても記憶されていることがよい。
Note that information indicating an operation history such as operation log information generated by the operation log
マスターサーバ2は,ネットワーク全体の管理,監視をしており,操作ログ情報取得処理部21,操作ログ情報記憶部22,操作ログ情報判定処理部23,通知処理部24とを備える。
The
操作ログ情報取得処理部21は,クライアント端末3から送信された操作ログ情報などの操作履歴を示す情報を取得し,後述する操作ログ情報記憶部22に記憶させる。
The operation log information acquisition processing unit 21 acquires information indicating an operation history such as operation log information transmitted from the
操作ログ情報記憶部22は,操作ログ情報取得処理部21で取得した操作ログ情報などの操作履歴を示す情報を記憶する。
The operation log
操作ログ情報判定処理部23は,操作ログ情報取得処理部21で取得した操作ログ情報などの操作履歴を示す情報のうち,「異常アクセスを示す情報」が含まれている操作履歴情報があるかを判定する。たとえば操作ログ情報における操作内容として「異常アクセス実行」を示す情報が含まれていた場合には,「異常アクセスを示す情報」が含まれている操作ログ情報として判定する。
The operation log information
通知処理部24は,操作ログ情報判定処理部23において,異常アクセス実行を示す操作履歴情報が含まれていることを判定すると,管理者が操作する管理端末4または管理者の所定の通知先に対して,異常アクセスがあったことを示すアラート通知を送る。この場合,たとえばメッセージングサービスのように,直接,管理端末4に通知を送ってもよいし,あらかじめ登録されている管理者の電子メールアドレスに基づいて,電子メールなどによって送るように構成してもよい。
If the operation log information
さらに,図6に示すように,クライアント端末3から,操作内容として「異常アクセス実行」,「異常アクセス終了」と異常アクセスを区別した操作ログ情報を取得している場合には,異常アクセスの発生,異常アクセスの終了を区別した通知をそれぞれのタイミングで,管理者が操作する管理端末4または管理者の所定の通知先に対して送るように構成してもよい。
Furthermore, as shown in FIG. 6, when operation log information that distinguishes “abnormal access execution”, “abnormal access end” and abnormal access is acquired as the operation content from the
つぎに本発明のアクセス監視システム1の処理プロセスの一例を図4のフローチャートを用いて説明する。
Next, an example of the processing process of the
クライアント端末3で何らかの操作や処理等が実行されると,クライアント端末3のOSは検出情報を出力する。そして共有リソースアクセス判定処理部311は,クライアント端末3のOSから出力される検出情報を参照し,UNCが含まれる検出情報があるかを判定する。そしてUNCが含まれている検出情報があることを判定した場合には,共有リソースへのアクセスがあると判定し,その検出情報を取得する。
When any operation or process is executed on the
そして検出履歴情報生成処理部312は,共有リソースアクセス判定処理部311において共有リソースへのアクセスがあることを判定した検出情報について,日時情報を付して検出履歴情報として生成し,検出履歴情報記憶部32に記憶させる(S100)。
Then, the detection history information generation processing unit 312 generates detection history information by adding date / time information to the detection information determined by the shared resource access
そして検出履歴情報記憶部32に記憶した検出履歴情報に基づいて,異常アクセス判定処理部33が,異常アクセスがあるかを判定する(S110)。
Based on the detection history information stored in the detection history
異常アクセス判定処理部33において異常アクセスがあることを判定した場合,操作ログ情報処理部34が,異常アクセスがあることを示す操作ログ情報,たとえば操作内容として「異常アクセス実行」,「異常アクセス終了」などを含み,そのほかに日時情報,アクセス先などの検出履歴情報に基づく情報,当該クライアント端末3の識別情報などを含む操作ログ情報を生成する(S120)。そして生成した操作ログ情報を,操作ログ情報処理部34がマスターサーバ2に送る(S130)。
When the abnormal access
クライアント端末3の操作ログ情報処理部34から送られた操作ログ情報は,マスターサーバ2の操作ログ情報取得処理部21で取得し(S140),操作ログ情報記憶部22に記憶する。
The operation log information sent from the operation log
そして操作ログ情報取得処理部21で取得した操作ログ情報に,異常アクセスを示す情報が含まれているかを,マスターサーバ2の操作ログ情報判定処理部23が判定をする(S150)。たとえば操作ログ情報の操作内容として「異常アクセス実行」,「異常アクセス終了」などの情報が含まれているかを判定する。
Then, the operation log information
そして異常アクセスを示す情報が含まれていることを判定した場合,通知処理部24は,管理者が操作する管理端末4または管理者の所定の通知先に対して,異常アクセスがあったことを示すアラート通知を送る(S160)。なお,この際に,異常アクセスがあることを示す情報が含まれている操作ログ情報の,日時情報,アクセス先を示す情報,クライアント端末3の識別情報などに基づいて,異常アクセスがあった日時,アクセス先,異常アクセスが行われたクライアント端末3などの情報も通知することが好ましい。
If it is determined that information indicating abnormal access is included, the
以上のような処理を実行することで,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行い,異常アクセスがあった場合には,迅速に管理者に通知をすることが可能となる。 By executing the processing as described above, it is possible to determine whether or not the access to the shared resource is an abnormal access, and if there is an abnormal access, the administrator can be notified immediately. It becomes.
なお,管理者に通知を行うほか,当該クライアント端末3に対して,そのネットワーク通信を遮断することの制御指示をUDP通信によって送ってもよい。この場合,クライアント端末3では,当該制御指示をマスターサーバ2から受け付けると,ネットワーク通信を遮断することの制御指示を受け取ったことの応答を返すとともに,マスターサーバ2とのネットワーク通信以外の通信を遮断する制御を実行する。
In addition to notifying the administrator, a control instruction for blocking the network communication may be sent to the
なお,異常アクセスであるか否かはクライアント端末3のエージェントプログラムにおいて実行することが好ましい。検出履歴情報をマスターサーバ2に随時送信する構成とすると,通信料が多くなり,また異常アクセスであるかの判定処理をマスターサーバ2で行うと,マスターサーバ2の負荷が高くなるためである。一方,検出履歴情報をマスターサーバ2に送り,異常アクセスであるかの判定をマスターサーバ2で行う構成を採るように構成することはできる。
Whether or not the access is abnormal is preferably executed in the agent program of the
異常アクセス判定処理部33における異常アクセスの判定方法としては,上述のほか,検出履歴情報に含まれる日時情報に基づいて,共有リソースへの長時間にわたる連続アクセスを判定してもよい。この場合,たとえば,あるファイルがファイルオープンされた日時情報の検出履歴情報と,同一のファイルがファイルクローズされた日時情報の検出履歴情報に基づいて,その時間と回数を判定し,それが所定の閾値を超えているかで異常アクセスか否かを判定する。
As a method for determining abnormal access in the abnormal access
また,別の方法としては,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,アクセスした共有リソースの種類の多様性を判定してもよい。この場合,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,所定の単位時間において,アクセスしている共有リソースの数が所定の閾値を超えているかで異常アクセスか否かを判定する。 As another method, the shared resource name may be extracted from the file path included in the detection history information, and the variety of types of the accessed shared resource may be determined. In this case, the shared resource name is extracted from the file path included in the detection history information, and it is determined whether or not there is an abnormal access depending on whether the number of shared resources accessed exceeds a predetermined threshold in a predetermined unit time. .
さらに別の方法としては,検出履歴情報に含まれるファイルパスからサーバ名(共有サーバ5名)を抽出し,アクセスした共有リソースが保存されている共有サーバ5の多様性を判定してもよい。この場合,検出履歴情報に含まれるファイルパスから共有サーバ5名を抽出し,所定の単位時間において,アクセスしている共有サーバ5の数が所定の閾値を超えているかで異常アクセスか否かを判定する。
As another method, the server name (shared
加えて,所定の単位時間において,検出履歴情報に含まれる操作内容としてファイルオープン(ファイル読取)した共有リソース数が第一の閾値を超えているものの,検出履歴情報に含まれる操作内容としてファイル保存(ファイル書込)した共有リソース数が第二の閾値を超えていない場合に,異常があると判定する。なお,第一の閾値>第二の閾値である。この場合,多くの共有リソースにアクセスしてデータを収集し,不正持ち出し目的のフォルダにデータを書き込んでいると推測されるので,異常アクセスと判定可能である。 In addition, although the number of shared resources that have been opened (file read) as the operation content included in the detection history information exceeds the first threshold for a predetermined unit time, the file is stored as the operation content included in the detection history information When the number of shared resources (file writing) does not exceed the second threshold, it is determined that there is an abnormality. Note that the first threshold value> the second threshold value. In this case, since it is assumed that data is collected by accessing many shared resources and the data is written in the folder for illegal take-out, it can be determined that the access is abnormal.
検出履歴情報には共有リソースにアクセスしているアプリケーション名が含まれているので,異常アクセス判定処理部33は当該アプリケーション名を操作ログ情報に含めてもよい。そしてアプリケーション名を含む操作ログ情報を送ることで,マスターサーバ2の操作ログ情報判定処理部23は,異常アクセスを実行しているアプリケーションを特定でき,通知処理部24が通知を行う場合に,異常アクセスを実行しているアプリケーション名を通知してもよい。
Since the detection history information includes the name of the application accessing the shared resource, the abnormal access
異常アクセス判定処理部33は,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,所定の単位時間において,アクセスしている共有リソースの数を判定する。また,検出履歴情報に含まれる共有履歴情報にアクセスしているアプリケーション名を抽出し,アプリケーションの数を判定する。そして,単位時間における,アクセスされた共有リソースの数と,アクセスを実行したアプリケーションの数との比率が所定条件を充足している場合,たとえば共有リソースの数が多いのに,アプリケーションの数が少ないなどの場合には,不正なアプリケーションが不正に共有リソースにアクセスしている可能性が高いと判定し,異常アクセスであると判定する。
The abnormal access
また別の判定方法としては,共有リソースへのアクセスを指示しているアプリケーションごとにアクセス回数を集計し,特定のアプリケーションが突出してアクセス回数が多い場合,不正アプリケーションであると判定できるので,当該アプリケーションによるアクセスを異常アクセスとして判定する。 As another determination method, the number of accesses is counted for each application instructing access to the shared resource. If a specific application protrudes and the number of accesses is large, it can be determined that the application is an unauthorized application. Is determined as an abnormal access.
クライアント端末3では,検出履歴情報を生成する場合の表示装置72で表示する画面を画像情報として取得し,それを検出履歴情報に対応付けていてもよい。この場合,異常アクセス判定処理部33において異常アクセスがあることを判定すると,当該検出履歴情報に基づいて生成する操作ログ情報に,当該検出履歴情報に対応する画面の画像情報を送ることで,それを受け取ったマスターサーバ2の通知処理部24が,管理者または管理端末4に対して,異常アクセスの実行を判定した場合の画面を画像情報として通知することができる。
In the
実施例1乃至実施例4の変形例として,クライアント端末3の操作ログ情報に異常アクセス実行を示す操作内容が含まれているとして異常アクセスがあったと判定する場合において,操作ログ情報判定処理部23が,複数のクライアント端末3で異常アクセスがあったことを判定すると,通知処理部24が通知するアラート通知の重み付けを変更するように構成してもよい。
As a modification of the first to fourth embodiments, when it is determined that there is an abnormal access because the operation log information of the
また,操作ログ情報判定処理部23が,異常アクセスがあったと判定する操作ログ情報の数,頻度に応じて,通知処理部24が通知するアラート通知の重み付けを変更するように構成してもよい。
Further, the operation log information
アラート通知の重み付けを変更するとは,操作ログ情報判定処理部23において異常アクセスがあったことを判定したクライアント端末3の数が増加するにしたがって,アラート通知の重要度を高くする。これは,異常アクセスがあったクライアント端末3が増えると,それだけ危険度が高くなるためである。
Changing the weight of the alert notification increases the importance of the alert notification as the number of
そして重み付けを変更する処理としては,重要度に応じて,アラート通知の回数や頻度を多くする,通知する文字の大きさや,通知自体に重要度を表示するなどがある。また,重要度に応じて通知方法を変更する方法もあり,たとえばメールのみ,メッセージのみ,メールとメッセージの双方,メールとメッセージと電話のすべてなどがある。さらに,重要度に応じて通知範囲を変更することもある。たとえば,本人のみ,本人と管理者,情報セキュリティ担当者,上司,部署内のメンバーなど,重要度が高くなるほど,通知先を増やすように変更してもよい。 The process of changing the weight includes increasing the number and frequency of alert notifications according to the importance, displaying the size of characters to be notified, and the importance in the notification itself. There is also a method of changing the notification method according to the importance, for example, only mail, only message, both mail and message, all mail, message and telephone. Furthermore, the notification range may be changed according to the importance. For example, the notification destination may be increased as the importance increases, such as only the person, the person and the administrator, the information security officer, the supervisor, and a member in the department.
本発明のアクセス監視システム1によって,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行うことができる。そのため,ランサムウェアが共有リソースに不正な処理を実行することによる被害の拡大に対し,迅速に対策を行うことが可能となる。
With the
1:アクセス監視システム
2:マスターサーバ
3:クライアント端末
4:管理端末
5:共有サーバ
21:操作ログ情報取得処理部
22:操作ログ情報記憶部
23:操作ログ情報判定処理部
24:通知処理部
31:検出履歴情報処理部
32:検出履歴情報記憶部
33:異常アクセス判定処理部
34:操作ログ情報処理部
311:共有リソースアクセス判定処理部
312:検出履歴情報生成処理部
70:演算装置
71:記憶装置
72:表示装置
73:入力装置
74:通信装置
1: Access monitoring system 2: Master server 3: Client terminal 4: Management terminal 5: Shared server 21: Operation log information acquisition processing unit 22: Operation log information storage unit 23: Operation log information determination processing unit 24: Notification processing unit 31 : Detection history information processing unit 32: detection history information storage unit 33: abnormal access determination processing unit 34: operation log information processing unit 311: shared resource access determination processing unit 312: detection history information generation processing unit 70: computing device 71: storage Device 72: Display device 73: Input device 74: Communication device
Claims (4)
前記アクセス監視システムは,
前記共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部と,
前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部と,
前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部と,
前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部と,
を備えることを特徴とするアクセス監視システム。 An access monitoring system for monitoring access to shared resources in a network,
The access monitoring system includes:
An abnormal access determination processing unit that determines whether there is an abnormal access to the shared resource based on detection history information indicating that the shared resource has been accessed;
An operation log information processing unit that generates operation log information including information indicating that there was an abnormal access when it is determined that there is an abnormal access;
An operation log information determination processing unit that determines whether an abnormal access to the shared resource has been performed based on the operation log information;
A notification processing unit for performing a predetermined notification when it is determined in the operation log information determination processing unit that an abnormal access has been performed;
An access monitoring system comprising:
UNCが含まれている検出情報を前記共有リソースへのアクセスがあると判定する共有リソースアクセス判定処理部と,
前記検出情報に日時情報を付して検出履歴情報として前記検出履歴情報記憶部に記憶させる検出履歴情報生成処理部と,
を備えることを特徴とする請求項1に記載のアクセス監視システム。 The access monitoring system includes:
A shared resource access determination processing unit that determines that the detection information including the UNC is accessed to the shared resource;
A detection history information generation processing unit that attaches date and time information to the detection information and stores the detection history information in the detection history information storage unit;
The access monitoring system according to claim 1, further comprising:
前記共有リソースへのアクセス数,アクセスした共有リソースのデータ量,アクセス時間,アクセスした共有リソースの数,アクセスした共有サーバの数のいずれか一以上を用いて判定する,
ことを特徴とする請求項1または請求項2に記載のアクセス監視システム。 The determination of abnormal access is as follows:
Using one or more of the number of accesses to the shared resource, the amount of data of the accessed shared resource, the access time, the number of accessed shared resources, and the number of accessed shared servers,
The access monitoring system according to claim 1 or claim 2, wherein
共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部,
前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部,
前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部,
前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部,
として機能させることを特徴とするアクセス監視プログラム。 Computer
An abnormal access determination processing unit for determining whether there is an abnormal access to the shared resource based on detection history information indicating that the shared resource has been accessed;
An operation log information processing unit that generates operation log information including information indicating that there was an abnormal access when it is determined that there is an abnormal access;
An operation log information determination processing unit that determines whether an abnormal access to the shared resource has been performed based on the operation log information;
A notification processing unit for performing a predetermined notification when it is determined in the operation log information determination processing unit that an abnormal access has been performed;
An access monitoring program characterized by functioning as
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017022202A JP6851212B2 (en) | 2017-02-09 | 2017-02-09 | Access monitoring system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017022202A JP6851212B2 (en) | 2017-02-09 | 2017-02-09 | Access monitoring system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018128910A true JP2018128910A (en) | 2018-08-16 |
JP6851212B2 JP6851212B2 (en) | 2021-03-31 |
Family
ID=63173063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017022202A Active JP6851212B2 (en) | 2017-02-09 | 2017-02-09 | Access monitoring system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6851212B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6442649B1 (en) * | 2017-10-11 | 2018-12-19 | 株式会社オレガ | File access monitoring method, program, and system |
WO2019073720A1 (en) * | 2017-10-11 | 2019-04-18 | 株式会社 オレガ | File access monitoring method, program, and system |
JP7475428B2 (en) | 2019-08-13 | 2024-04-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Automated ransomware detection with on-demand file system lockdown and auto-remediation |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003330887A (en) * | 2002-05-15 | 2003-11-21 | Nippon Telegr & Teleph Corp <Ntt> | Illegal access warning device, server device, and illegal access warning program |
JP2010211257A (en) * | 2009-03-06 | 2010-09-24 | Sky Co Ltd | Operation monitoring system and operation monitoring program |
JP2011191823A (en) * | 2010-03-11 | 2011-09-29 | Mitsubishi Electric Corp | Log management server, log management method and log management program |
JP2012084994A (en) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | Malware detection method and malware detection device |
WO2015148171A1 (en) * | 2014-03-26 | 2015-10-01 | Symantec Corporation | A system to identify machines infected by malware applying linguistic analysis to network requests from endpoints |
-
2017
- 2017-02-09 JP JP2017022202A patent/JP6851212B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003330887A (en) * | 2002-05-15 | 2003-11-21 | Nippon Telegr & Teleph Corp <Ntt> | Illegal access warning device, server device, and illegal access warning program |
JP2010211257A (en) * | 2009-03-06 | 2010-09-24 | Sky Co Ltd | Operation monitoring system and operation monitoring program |
JP2011191823A (en) * | 2010-03-11 | 2011-09-29 | Mitsubishi Electric Corp | Log management server, log management method and log management program |
JP2012084994A (en) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | Malware detection method and malware detection device |
WO2015148171A1 (en) * | 2014-03-26 | 2015-10-01 | Symantec Corporation | A system to identify machines infected by malware applying linguistic analysis to network requests from endpoints |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6442649B1 (en) * | 2017-10-11 | 2018-12-19 | 株式会社オレガ | File access monitoring method, program, and system |
WO2019073720A1 (en) * | 2017-10-11 | 2019-04-18 | 株式会社 オレガ | File access monitoring method, program, and system |
JP2019075131A (en) * | 2017-10-11 | 2019-05-16 | 株式会社オレガ | Method for monitoring file access, program, and system |
JP7123488B2 (en) | 2017-10-11 | 2022-08-23 | 株式会社ソリトンシステムズ | File access monitoring method, program and system |
JP7475428B2 (en) | 2019-08-13 | 2024-04-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Automated ransomware detection with on-demand file system lockdown and auto-remediation |
Also Published As
Publication number | Publication date |
---|---|
JP6851212B2 (en) | 2021-03-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8141159B2 (en) | Method and system for protecting confidential information | |
US7814021B2 (en) | Managed distribution of digital assets | |
US7415726B2 (en) | Controlling access to suspicious files | |
CA2553429C (en) | Digital asset usage accountability via event journaling | |
US20150215329A1 (en) | Pattern Consolidation To Identify Malicious Activity | |
US9026801B2 (en) | System call interception | |
WO2015009296A1 (en) | Event management system | |
JP2008507757A (en) | End user risk management | |
US20230328097A1 (en) | Method And Apparatus For Measuring Information System Device Integrity And Evaluating Endpoint Posture | |
Baykara et al. | A novel approach to ransomware: Designing a safe zone system | |
CN112039894A (en) | Network access control method, device, storage medium and electronic equipment | |
JP6851212B2 (en) | Access monitoring system | |
CN110311908A (en) | A kind of enterprises economic management information safe encryption method | |
JP7123488B2 (en) | File access monitoring method, program and system | |
CN115632884B (en) | Network security situation perception method and system based on event analysis | |
JP6442649B1 (en) | File access monitoring method, program, and system | |
JP5284012B2 (en) | Client / server system and client / server system audit method | |
JP2020087119A (en) | Information processing apparatus, control method thereof, information processing system, and program | |
Gupta et al. | A secure and lightweight approach for critical data security in cloud | |
Stallings | Data loss prevention as a privacy-enhancing technology | |
CN112651023A (en) | Method for detecting and preventing malicious Lego software attacks | |
JP2009098968A (en) | Management system, management server, and management program | |
Dhore et al. | Ransomware attack detection and prevention for android devices | |
WO2023249577A1 (en) | Systems and methods for detection of advanced persistent threats in an information network | |
Blair et al. | Cyber as a Service: Automating First Responders’ Service in the Cyberspace |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200205 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201127 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201215 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210212 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210302 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210309 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6851212 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |