JP2018128910A - Access monitoring system - Google Patents

Access monitoring system Download PDF

Info

Publication number
JP2018128910A
JP2018128910A JP2017022202A JP2017022202A JP2018128910A JP 2018128910 A JP2018128910 A JP 2018128910A JP 2017022202 A JP2017022202 A JP 2017022202A JP 2017022202 A JP2017022202 A JP 2017022202A JP 2018128910 A JP2018128910 A JP 2018128910A
Authority
JP
Japan
Prior art keywords
access
processing unit
operation log
abnormal access
log information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017022202A
Other languages
Japanese (ja)
Other versions
JP6851212B2 (en
Inventor
哲也 楠本
Tetsuya Kusumoto
哲也 楠本
哲利 山本
Tetsutoshi Yamamoto
哲利 山本
辰也 昇
Tatsuya Noboru
辰也 昇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SKY Co Ltd
Original Assignee
SKY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SKY Co Ltd filed Critical SKY Co Ltd
Priority to JP2017022202A priority Critical patent/JP6851212B2/en
Publication of JP2018128910A publication Critical patent/JP2018128910A/en
Application granted granted Critical
Publication of JP6851212B2 publication Critical patent/JP6851212B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an access monitoring system for monitoring accesses to shared resources in a network.SOLUTION: An abnormal access determination processing section 33 is provided to determine whether there is an abnormal access to a shared resource on the basis of detection history information indicating that the shared resource has been accessed. An operation log information processing unit 34 is provided to generate, when it is determined that there is the abnormal access, operation log information including information indicating the determined abnormal access. An operation log information determination processing unit 23 is provided to determine whether an abnormal access to the shared resource has been performed on the basis of the operation log information. A notification processing unit 24 is provided to perform a predetermined notification when the operation log information determination processing unit 23 determines that the abnormal access has been performed.SELECTED DRAWING: Figure 2

Description

本発明は,ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムに関する。   The present invention relates to an access monitoring system that monitors access to a shared resource in a network.

企業や学校,官公庁などの諸団体(以下,「企業等」という)の業務ではコンピュータが複数使用されており,それらはネットワークによって接続されている。そしてコンピュータには多種多様な情報が記憶されているため,ネットワーク内のコンピュータに障害などの異常が発生した場合には,業務に支障が生じるほか,情報の外部流出などの場合にはコンプライアンス上の問題も発生しうる。そのため,企業等ではネットワーク内に異常が発生していないかを日々監視している。   A plurality of computers are used in the business of various organizations such as companies, schools, and public offices (hereinafter referred to as “businesses”), and they are connected by a network. And since a wide variety of information is stored in the computer, if an abnormality such as a failure occurs on a computer in the network, the business will be hindered, and in the case of outflow of information, compliance will occur. Problems can also arise. For this reason, companies and the like monitor daily whether there is an abnormality in the network.

とくに企業等では複数の担当者などで共通の業務を行うなどの必要性から,共通の業務に用いるファイルやフォルダ,あるいはファイルサーバやデータベースサーバなどのサーバなどは,複数のコンピュータからアクセス可能に設定されている。ここで複数のコンピュータからアクセス可能なファイル(共有ファイル)やフォルダ(共有フォルダ)を共有リソースと呼び,共有リソースを記憶するサーバを共有サーバと呼ぶこととする。共有リソースを共有する場合のシステムの一例を下記特許文献1に示す。   In particular, in companies, etc., because it is necessary to perform common work among multiple persons in charge, files and folders used for common work, or servers such as file servers and database servers are set to be accessible from multiple computers. Has been. Here, a file (shared file) or folder (shared folder) accessible from a plurality of computers is called a shared resource, and a server storing the shared resource is called a shared server. An example of a system for sharing shared resources is shown in Patent Document 1 below.

共有リソースは,複数の担当者などで利用することからその重要性は高い。そのため,下記特許文献2に示すように,そのアクセス権限は厳密に管理されている。   Shared resources are highly important because they are used by multiple people in charge. Therefore, as shown in Patent Document 2 below, the access authority is strictly managed.

特開2013−235339号公報JP 2013-235339 A 特開2007−94493号公報JP 2007-94493 A

近年,サイバー攻撃の一手法として,ランサムウェアを用いたものが知られている。ランサムウェアとは,感染したコンピュータに対して,操作者の意に反して,当該コンピュータをロックしたり,ファイルを暗号化するなどして使用不能とせしめた上で,元の状態に戻すことと引き替えに,不当に金銭を要求する,不正プログラムの一種である。多くの場合,電子メールに含まれる悪意ある添付ファイルを開いた際に,その不正プログラムがインストールされたり,改ざんされた正規のウェブサイトから,脆弱性を攻撃する不正なウェブサイトに誘導されたりするなどして,コンピュータをランサムウェアに感染させる。   In recent years, a method using ransomware is known as a cyber attack method. Ransomware is to return an infected computer to its original state after locking the computer or encrypting a file against the operator's will. A type of malicious program that unreasonably demands money in exchange. In many cases, when a malicious attachment included in an e-mail is opened, the malicious program is installed, or a legitimate website that has been tampered with is directed to a malicious website that attacks the vulnerability. Infect the computer with ransomware.

コンピュータがランサムウェアに感染した場合,そのコンピュータに対する操作ができなくなるほか,感染したコンピュータや,ネットワーク共有しているファイルが暗号化されて使用不能になるなど,業務に対する支障が大きい。また,金銭の要求に応じた場合には経済的損害も発生する。   When a computer is infected with ransomware, operations on the computer become impossible, and the infected computer and files shared on the network are encrypted and become unusable. In addition, economic damage will occur if money is requested.

一方,ランサムウェアに感染したコンピュータがネットワークにある場合には,ほかのコンピュータへの感染を防止するため,できる限り早期に,感染したコンピュータをネットワークから切り離す必要がある。   On the other hand, when a computer infected with ransomware is on the network, it is necessary to disconnect the infected computer from the network as soon as possible to prevent infection of other computers.

とくにネットワーク内の共有リソースがランサムウェアによって使用不能状態になると,企業等の業務が広範に停止する可能性があり,その影響は,一台のコンピュータが感染した場合とは比較にならないほど大きくなる。   In particular, if shared resources in the network become unavailable due to ransomware, there is a possibility that business operations will stop extensively, and the impact will be greater than if a single computer is infected. .

そこでランサムウェアへの感染を防止するため,ウィルス対策ソフトなどが用いられているが,ウィルス対策ソフトはランサムウェアを検知するという入口対策のみを実行するものであって,ウィルス対策ソフトで検出できなかった(入口対策が突破された)場合には,現状,有効な対策は殆ど存在していない。   Therefore, anti-virus software is used to prevent infection of ransomware, but anti-virus software performs only the entrance measure of detecting ransomware and cannot be detected by anti-virus software. However, there are few effective measures at present.

なぜならば共有リソースへのアクセスについて,それが通常のアクセスなのか,異常なアクセスなのかを判定することが容易ではなかったためである。   This is because it is not easy to determine whether access to a shared resource is normal access or abnormal access.

本発明者は上述の問題点に鑑み,アクセス監視システムを発明した。   The present inventor has invented an access monitoring system in view of the above problems.

第1の発明は,ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムであって,前記アクセス監視システムは,前記共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部と,前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部と,前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部と,前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部と,を備えるアクセス監視システムである。   A first invention is an access monitoring system for monitoring access to a shared resource in a network, and the access monitoring system is based on detection history information indicating that the shared resource has been accessed, An abnormal access determination processing unit that determines whether there is an abnormal access to the shared resource, and an operation log that generates operation log information including information indicating that there was an abnormal access when it is determined that there is an abnormal access Abnormal access has been performed in the information processing unit, the operation log information determination processing unit that determines whether an abnormal access to the shared resource has been performed based on the operation log information, and the operation log information determination processing unit The access monitoring system includes a notification processing unit that performs predetermined notification.

本発明では,検出履歴情報を用いて共有リソースへの異常アクセスがあったかを判定することで,通常のアクセスか否かを判定可能となる。その結果,ウィルス対策ソフトによる入口対策が突破された場合であっても,ランサムウェアなどに対して有効な処置を迅速に採ることが可能となる。   In the present invention, it is possible to determine whether or not the access is normal by determining whether or not there is an abnormal access to the shared resource using the detection history information. As a result, even if the entrance countermeasures by the anti-virus software are broken, it is possible to quickly take effective measures against the ransomware.

上述の発明において,前記アクセス監視システムは,UNCが含まれている検出情報を前記共有リソースへのアクセスがあると判定する共有リソースアクセス判定処理部と,前記検出情報に日時情報を付して検出履歴情報として前記検出履歴情報記憶部に記憶させる検出履歴情報生成処理部と,を備えるアクセス監視システムのように構成することができる。   In the above-described invention, the access monitoring system detects the detection information including UNC by adding a shared resource access determination processing unit that determines that there is access to the shared resource, and adding date and time information to the detection information. It can be configured as an access monitoring system including a detection history information generation processing unit stored in the detection history information storage unit as history information.

共有リソースへのアクセスがあったか否かはさまざまな方法で判定することができるが,本発明のように,UNCを用いて判定することで,簡便括確実に判定することが可能となる。   Whether or not there has been an access to the shared resource can be determined by various methods, but by using the UNC as in the present invention, it can be determined simply and reliably.

上述の発明において,前記異常アクセスの判定は,前記共有リソースへのアクセス数,アクセスした共有リソースのデータ量,アクセス時間,アクセスした共有リソースの数,アクセスした共有サーバの数のいずれか一以上を用いて判定する,アクセス監視システムのように構成することができる。   In the above-mentioned invention, the determination of abnormal access may be any one or more of the number of accesses to the shared resource, the amount of data of the accessed shared resource, the access time, the number of accessed shared resources, and the number of accessed shared servers. It can be configured like an access monitoring system that uses and determines.

異常アクセスかの判定は,本発明のような要素を考慮することが好ましい。   It is preferable to consider factors such as those of the present invention in determining whether there is an abnormal access.

第1の発明は,本発明のプログラムをコンピュータに読み込ませて実行することで実現できる。すなわち,コンピュータを,共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部,前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部,前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部,前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部,として機能させるアクセス監視プログラムのように構成することができる。   The first invention can be realized by reading the program of the present invention into a computer and executing it. That is, the abnormal access determination processing unit that determines whether there is an abnormal access to the shared resource based on the detection history information indicating that the computer has accessed the shared resource, and determines that there is the abnormal access An operation log information processing unit that generates operation log information including information indicating that there has been an abnormal access, and an operation log that determines whether an abnormal access to the shared resource has been performed based on the operation log information When the information determination processing unit and the operation log information determination processing unit determine that an abnormal access has been performed, it can be configured as an access monitoring program that functions as a notification processing unit that performs predetermined notification.

本発明のアクセス監視システムによって,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行うことができる。そのため,ランサムウェアが共有リソースに不正な処理を実行することによる被害の拡大に対し,迅速に対策を行うことが可能となる。   The access monitoring system of the present invention can determine whether or not the access to the shared resource is an abnormal access. Therefore, it is possible to take quick measures against the spread of damage caused by ransomware executing illegal processing on shared resources.

本発明のアクセス監視システムのイメージ図の一例である。It is an example of the image figure of the access monitoring system of this invention. 本発明のアクセス監視システムの構成の一例を模式的に示す概念図である。It is a conceptual diagram which shows typically an example of a structure of the access monitoring system of this invention. コンピュータのハードウェアの構成の一例を模式的に示す概念図である。It is a conceptual diagram which shows typically an example of a structure of the hardware of a computer. 本発明のアクセス監視システムの処理プロセスの一例を示すフローチャートである。It is a flowchart which shows an example of the processing process of the access monitoring system of this invention. 共有リソースへのアクセス数の一例を模式的に示す図である。It is a figure which shows typically an example of the access count to a shared resource. 単位時間と共有リソースへのアクセス数に基づいて異常アクセス判定処理を行う場合の一例を模式的に示す図である。It is a figure which shows typically an example in the case of performing abnormal access determination processing based on unit time and the number of accesses to a shared resource.

本発明のアクセス監視システム1のイメージ図の一例を図1に,アクセス監視システム1の構成の一例を示す概念図を図2に示す。   An example of an image diagram of the access monitoring system 1 of the present invention is shown in FIG. 1, and a conceptual diagram showing an example of the configuration of the access monitoring system 1 is shown in FIG.

アクセス監視システム1は,企業等のネットワークおよびそのネットワーク内のコンピュータを監視するためのコンピュータシステムであって,マスターサーバ2やクライアント端末3,管理端末4,共有リソースなどから構成される。   The access monitoring system 1 is a computer system for monitoring a network of a company or the like and a computer in the network, and includes a master server 2, a client terminal 3, a management terminal 4, shared resources, and the like.

アクセス監視システム1のマスターサーバ2,クライアント端末3,管理端末4は,サーバやパーソナルコンピュータなどの各種のコンピュータにより実現される。図3にコンピュータのハードウェア構成の一例を示す。コンピュータは,プログラムの演算処理を実行するCPUなどの演算装置70と,情報を記憶するRAMやハードディスクなどの記憶装置71と,ディスプレイなどの表示装置72と,キーボードやポインティングデバイス(マウスやテンキーなど)などの入力装置73と,演算装置70の処理結果や記憶装置71に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置74とを有している。   The master server 2, the client terminal 3, and the management terminal 4 of the access monitoring system 1 are realized by various computers such as a server and a personal computer. FIG. 3 shows an example of the hardware configuration of the computer. The computer includes an arithmetic device 70 such as a CPU for executing arithmetic processing of a program, a storage device 71 such as a RAM and a hard disk for storing information, a display device 72 such as a display, a keyboard and a pointing device (such as a mouse and a numeric keypad). And a communication device 74 that transmits and receives processing results of the arithmetic device 70 and information stored in the storage device 71 via a network such as the Internet or a LAN.

図1および図2ではマスターサーバ2が一台のコンピュータで実現される場合を示したが,複数台のコンピュータにその機能が分散配置され,実現されても良い。   1 and 2 show the case where the master server 2 is realized by a single computer, the functions may be distributed and realized in a plurality of computers.

本発明における各手段は,その機能が論理的に区別されているのみであって,物理上あるいは事実上は同一の領域を為していても良い。   Each means in the present invention is only logically distinguished in function, and may be physically or virtually the same area.

企業等のネットワークには,マスターサーバ2,管理端末4,クライアント端末3,共有サーバ5などが存在している。   In a company network, there are a master server 2, a management terminal 4, a client terminal 3, a shared server 5, and the like.

管理端末4はネットワークの管理を行う管理者が操作するコンピュータであり,管理端末4を介してマスターサーバ2をコントロールし,またマスターサーバ2からの各種通知などを受け取る。   The management terminal 4 is a computer operated by an administrator who manages the network, controls the master server 2 via the management terminal 4, and receives various notifications from the master server 2.

共有サーバ5は,複数のユーザがアクセスする各種ファイル,フォルダ,データなどである共有リソースを記憶,管理するサーバである。共有サーバ5としては,たとえばファイルサーバ,データベースサーバなどがある。   The shared server 5 is a server that stores and manages shared resources such as various files, folders, and data accessed by a plurality of users. Examples of the shared server 5 include a file server and a database server.

クライアント端末3は,企業等における一般ユーザが操作するコンピュータであり,必要に応じて共有サーバ5内の共有リソースにアクセスし,各種ファイルなどの閲覧等の操作を行う。また,クライアント端末3には,クライアント端末3における操作を示す操作ログ情報を生成し,マスターサーバ2に定期的にまたは不定期に送る。   The client terminal 3 is a computer operated by a general user in a company or the like. The client terminal 3 accesses a shared resource in the shared server 5 as necessary, and performs operations such as browsing various files. Further, operation log information indicating an operation at the client terminal 3 is generated in the client terminal 3 and sent to the master server 2 regularly or irregularly.

クライアント端末3にはエージェントプログラムが備えられており,エージェントプログラムは,検出履歴情報処理部31と異常アクセス判定処理部33と操作ログ情報処理部34との機能を備える。また,クライアント端末3にはエージェントプログラムが処理を実行するための検出履歴情報記憶部32を備える。   The client terminal 3 is provided with an agent program, and the agent program has functions of a detection history information processing unit 31, an abnormal access determination processing unit 33, and an operation log information processing unit 34. The client terminal 3 includes a detection history information storage unit 32 for the agent program to execute processing.

検出履歴情報処理部31は,共有リソースアクセス判定処理部311と検出履歴情報取得処理部とを備えており,共有サーバ5における共有リソースへのアクセスがあったことを示す情報を検出履歴情報として取得する。   The detection history information processing unit 31 includes a shared resource access determination processing unit 311 and a detection history information acquisition processing unit, and acquires information indicating that a shared resource has been accessed in the shared server 5 as detection history information. To do.

共有リソースアクセス判定処理部311は,クライアント端末3のOS(Operating System)が出力するファイルシステム上の情報(これを検出情報とよぶ)を参照し,UNC(Universal Naming Convention:「\\」,「//」で始まるファイルパス)が含まれる検出情報があるかを判定し,UNCが含まれている検出情報を共有リソースへのアクセスがあると判定して,その検出情報を取得する。検出情報は,クライアント端末3における操作の履歴を示す情報であり,ドライバの起動や当該起動したドライバでフォルダにアクセスしたことなどが判定できる情報であって,クライアント端末3における操作内容,アクセスした先,アプリケーション名などの情報が含まれている。   The shared resource access determination processing unit 311 refers to information on the file system (this is referred to as detection information) output by the OS (Operating System) of the client terminal 3 and uses UNC (Universal Naming Convention: “\\”, “ It is determined whether there is detection information including a file path that starts with “/”, and detection information including UNC is determined to have access to the shared resource, and the detection information is acquired. The detection information is information indicating the history of operations in the client terminal 3, and is information that can be used to determine whether the driver has been started or a folder has been accessed by the started driver. Information such as application name is included.

検出履歴情報生成処理部312は,共有リソースアクセス判定処理部311が取得した検出情報に日時情報を付して検出履歴情報として生成し,後述する検出履歴情報記憶部32に記憶させる。検出履歴情報は,検出情報に日時情報が付加された情報である。   The detection history information generation processing unit 312 adds date / time information to the detection information acquired by the shared resource access determination processing unit 311 to generate detection history information, and stores it in the detection history information storage unit 32 described later. The detection history information is information in which date / time information is added to the detection information.

検出履歴情報記憶部32は,検出履歴情報処理部31における検出履歴情報生成処理部312が生成した検出履歴情報を記憶する。なお検出履歴情報記憶部32では,検出履歴情報を日時情報に基づいて時系列的に記憶していることが好ましい。   The detection history information storage unit 32 stores the detection history information generated by the detection history information generation processing unit 312 in the detection history information processing unit 31. The detection history information storage unit 32 preferably stores the detection history information in time series based on the date / time information.

異常アクセス判定処理部33は,検出履歴情報記憶部32に記憶する検出履歴情報に基づいて,共有リソースへの異常アクセスがあるかを判定する。異常アクセスがあるかの判定方法としては,たとえば,一定期間内の検出履歴情報に基づいて,所定の条件を充足しているか,によって判定できる。   The abnormal access determination processing unit 33 determines whether there is an abnormal access to the shared resource based on the detection history information stored in the detection history information storage unit 32. As a method for determining whether there is an abnormal access, for example, it can be determined based on whether or not a predetermined condition is satisfied based on detection history information within a certain period.

所定の条件としては,操作内容がファイルオープンであり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(ファイルオープン数),操作内容がファイル保存(または書込)であり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(ファイル保存数),操作内容がファイルオープンであり,そのアクセス先が共有リソースである共有リソースのデータ量の一定期間内の合計値が所定の閾値以上であるか(オープンしたファイルのデータ量の合計),操作内容がファイル保存(または書込)であり,そのアクセス先が共有リソースである共有リソースのデータ量の一定期間内の合計値が所定の閾値以上であるか(保存したファイルのデータ量の合計),操作内容がファイル削除であり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(共有リソースの削除回数)などがある。   As a predetermined condition, whether the operation content is file open, and the number of detection history information whose access destination is a shared resource within a certain period is equal to or greater than a predetermined threshold (file open number), or the operation content is file save (Or write) and the access destination is a shared resource The number of detection history information within a certain period is equal to or greater than a predetermined threshold (number of saved files), the operation is a file open, and the access destination If the total amount of data of a shared resource that is a shared resource within a certain period is equal to or greater than a predetermined threshold (the total amount of data of opened files), the operation content is file save (or write), Whether the total amount of data in the shared resource for which the access destination is a shared resource within a certain period is equal to or greater than a predetermined threshold (the total amount of data in the saved file ), The operation content is the file deletion, the access destination, and the like or the number of a certain period of detection history information is a shared resource is equal to or greater than a predetermined threshold (erase cycles of the shared resource).

さらに,ほかの条件としては,共有リソースのアクセス数(オープン数),アクセスした共有リソースのバイト数の合計値の変化量が急激に増加した場合,異常と判定するようにしてもよい。たとえば単位時間を10分,分解能を1分,アクセス数の上限を200と設定した場合であって,共有リソースへのアクセス数が図5であったとする。図5(a)は分解能ごとのアクセス数の表であり,図5(b)は分解能ごとのアクセス数のグラフである。   Furthermore, as another condition, when the amount of change in the total number of shared resource accesses (opens) and the number of bytes of shared resources accessed increases rapidly, it may be determined as abnormal. For example, assume that the unit time is 10 minutes, the resolution is 1 minute, and the upper limit of the number of accesses is 200, and the number of accesses to the shared resource is as shown in FIG. FIG. 5A is a table of the number of accesses for each resolution, and FIG. 5B is a graph of the number of accesses for each resolution.

そして,異常アクセス判定処理部33は,分解能ごとに単位時間あたりのアクセス数を合計し,そのアクセス数と閾値との関係が所定条件を充足しているかで異常アクセスであるかを判定する。すなわち,最初に0〜9分を単位時間としてその間のアクセス数を合計し,つぎの単位時間として1〜10分としてその間のアクセス数を合計する。これを最後の分解能に到達するまで反復する。そして単位時間ごとにアクセス数と閾値とを比較し,たとえばアクセス数が閾値を超過する,アクセス数が閾値を下回るなど,所定の条件を充足したかを判定することとなる。この判定処理を図6に示す。図6(a)は単位時間あたりのアクセス数を示す表であり,図6(b)は単位時間あたりのアクセス数を示すグラフである。なお,図6に示すように,異常アクセスが発生したこと,異常アクセスが終了したことを区別して判定してもよい。   Then, the abnormal access determination processing unit 33 sums up the number of accesses per unit time for each resolution, and determines whether the access is abnormal depending on whether the relationship between the number of accesses and the threshold satisfies a predetermined condition. That is, first, the number of accesses is summed with 0 to 9 minutes as a unit time, and the number of accesses is summed as 1 to 10 minutes as the next unit time. This is repeated until the final resolution is reached. Then, the number of accesses is compared with the threshold every unit time, and it is determined whether a predetermined condition is satisfied, for example, the number of accesses exceeds the threshold or the number of accesses falls below the threshold. This determination process is shown in FIG. FIG. 6A is a table showing the number of accesses per unit time, and FIG. 6B is a graph showing the number of accesses per unit time. Note that, as shown in FIG. 6, the determination may be made by distinguishing the occurrence of abnormal access and the end of abnormal access.

操作ログ情報処理部34は,異常アクセス判定処理部33において,異常アクセスがあることを判定した場合には,異常アクセスがあることを示す操作ログ情報などの操作履歴を示す情報を生成し,マスターサーバ2に送る。以下の説明では操作履歴を示す情報として操作ログ情報である場合を説明するが,操作ログ情報に限られるものではない。   When the abnormal access determination processing unit 33 determines that there is an abnormal access, the operation log information processing unit 34 generates information indicating an operation history such as operation log information indicating that there is an abnormal access. Send to server 2. In the following description, a case where operation log information is used as information indicating the operation history will be described, but the present invention is not limited to operation log information.

操作ログ情報処理部34は,異常アクセス判定処理部33において異常アクセスがあることを判定した操作ログ情報のみならず,通常の操作が行われた場合にも検出履歴情報に基づいて操作ログ情報が生成され,定期的にまたは不定期にマスターサーバ2に操作ログ情報を送る。そして,操作ログ情報は異常アクセスがあることを示す操作ログ情報を生成した場合には,通常の操作ログ情報を送るタイミングとは別に,直ちにマスターサーバ2にその操作ログ情報を送ることが好ましいが,それに限定されるものではない。なお,操作ログ情報とは,検出履歴情報における操作内容に加えて,操作内容として「異常アクセスを示す情報」が含まれている情報である。すなわち検出履歴情報と操作ログ情報とは,異常アクセスを示す情報を含むか否かで相違する。なお,操作ログ情報としては,上記のように異常アクセスの判定をした場合以外の検出履歴情報をそのまま用いてもよい。   The operation log information processing unit 34 stores the operation log information based on the detection history information not only when the operation log information is determined to be abnormal access by the abnormal access determination processing unit 33 but also when a normal operation is performed. The operation log information is sent to the master server 2 regularly or irregularly. When the operation log information is generated indicating that there is an abnormal access, it is preferable to immediately send the operation log information to the master server 2 separately from the timing of sending the normal operation log information. , But not limited to it. The operation log information is information including “information indicating abnormal access” as the operation content in addition to the operation content in the detection history information. That is, the detection history information and the operation log information differ depending on whether or not information indicating abnormal access is included. As the operation log information, detection history information other than when abnormal access is determined as described above may be used as it is.

また,操作ログ情報処理部34が操作ログ情報を生成する際に,異常アクセス判定処理部33が,図6に示すように,異常アクセスが発生したこと,異常アクセスが終了したことを区別して判定している場合には,操作内容として「異常アクセス実行」,「異常アクセス終了」と異常アクセスを区別した操作ログ情報を生成し,マスターサーバ2に送ってもよい。   In addition, when the operation log information processing unit 34 generates operation log information, the abnormal access determination processing unit 33 determines that abnormal access has occurred and abnormal access has ended as shown in FIG. In such a case, operation log information in which abnormal access is distinguished from “execution of abnormal access” and “end of abnormal access” as an operation content may be generated and sent to the master server 2.

なお操作ログ情報処理部34が生成した操作ログ情報などの操作履歴を示す情報は,クライアント端末3の所定の記憶装置71においても記憶されていることがよい。   Note that information indicating an operation history such as operation log information generated by the operation log information processing unit 34 may be stored in a predetermined storage device 71 of the client terminal 3.

マスターサーバ2は,ネットワーク全体の管理,監視をしており,操作ログ情報取得処理部21,操作ログ情報記憶部22,操作ログ情報判定処理部23,通知処理部24とを備える。   The master server 2 manages and monitors the entire network, and includes an operation log information acquisition processing unit 21, an operation log information storage unit 22, an operation log information determination processing unit 23, and a notification processing unit 24.

操作ログ情報取得処理部21は,クライアント端末3から送信された操作ログ情報などの操作履歴を示す情報を取得し,後述する操作ログ情報記憶部22に記憶させる。   The operation log information acquisition processing unit 21 acquires information indicating an operation history such as operation log information transmitted from the client terminal 3 and stores the information in an operation log information storage unit 22 described later.

操作ログ情報記憶部22は,操作ログ情報取得処理部21で取得した操作ログ情報などの操作履歴を示す情報を記憶する。   The operation log information storage unit 22 stores information indicating an operation history such as the operation log information acquired by the operation log information acquisition processing unit 21.

操作ログ情報判定処理部23は,操作ログ情報取得処理部21で取得した操作ログ情報などの操作履歴を示す情報のうち,「異常アクセスを示す情報」が含まれている操作履歴情報があるかを判定する。たとえば操作ログ情報における操作内容として「異常アクセス実行」を示す情報が含まれていた場合には,「異常アクセスを示す情報」が含まれている操作ログ情報として判定する。   The operation log information determination processing unit 23 determines whether there is operation history information including “information indicating abnormal access” among the information indicating the operation history such as the operation log information acquired by the operation log information acquisition processing unit 21. Determine. For example, when information indicating “execution of abnormal access” is included as the operation content in the operation log information, it is determined as operation log information including “information indicating abnormal access”.

通知処理部24は,操作ログ情報判定処理部23において,異常アクセス実行を示す操作履歴情報が含まれていることを判定すると,管理者が操作する管理端末4または管理者の所定の通知先に対して,異常アクセスがあったことを示すアラート通知を送る。この場合,たとえばメッセージングサービスのように,直接,管理端末4に通知を送ってもよいし,あらかじめ登録されている管理者の電子メールアドレスに基づいて,電子メールなどによって送るように構成してもよい。   If the operation log information determination processing unit 23 determines that the operation history information indicating abnormal access execution is included, the notification processing unit 24 sends the management terminal 4 operated by the administrator or a predetermined notification destination of the administrator. An alert notification indicating that there was an abnormal access is sent. In this case, for example, a notification may be sent directly to the management terminal 4 as in the case of a messaging service, or it may be configured to send by e-mail or the like based on a pre-registered administrator's e-mail address. Good.

さらに,図6に示すように,クライアント端末3から,操作内容として「異常アクセス実行」,「異常アクセス終了」と異常アクセスを区別した操作ログ情報を取得している場合には,異常アクセスの発生,異常アクセスの終了を区別した通知をそれぞれのタイミングで,管理者が操作する管理端末4または管理者の所定の通知先に対して送るように構成してもよい。   Furthermore, as shown in FIG. 6, when operation log information that distinguishes “abnormal access execution”, “abnormal access end” and abnormal access is acquired as the operation content from the client terminal 3, an abnormal access occurs. The notification that distinguishes the end of abnormal access may be sent to the management terminal 4 operated by the administrator or a predetermined notification destination of the administrator at each timing.

つぎに本発明のアクセス監視システム1の処理プロセスの一例を図4のフローチャートを用いて説明する。   Next, an example of the processing process of the access monitoring system 1 of the present invention will be described with reference to the flowchart of FIG.

クライアント端末3で何らかの操作や処理等が実行されると,クライアント端末3のOSは検出情報を出力する。そして共有リソースアクセス判定処理部311は,クライアント端末3のOSから出力される検出情報を参照し,UNCが含まれる検出情報があるかを判定する。そしてUNCが含まれている検出情報があることを判定した場合には,共有リソースへのアクセスがあると判定し,その検出情報を取得する。   When any operation or process is executed on the client terminal 3, the OS of the client terminal 3 outputs detection information. Then, the shared resource access determination processing unit 311 refers to detection information output from the OS of the client terminal 3 and determines whether there is detection information including UNC. If it is determined that there is detection information including UNC, it is determined that there is access to the shared resource, and the detection information is acquired.

そして検出履歴情報生成処理部312は,共有リソースアクセス判定処理部311において共有リソースへのアクセスがあることを判定した検出情報について,日時情報を付して検出履歴情報として生成し,検出履歴情報記憶部32に記憶させる(S100)。   Then, the detection history information generation processing unit 312 generates detection history information by adding date / time information to the detection information determined by the shared resource access determination processing unit 311 to have access to the shared resource, and stores the detection history information. The data is stored in the unit 32 (S100).

そして検出履歴情報記憶部32に記憶した検出履歴情報に基づいて,異常アクセス判定処理部33が,異常アクセスがあるかを判定する(S110)。   Based on the detection history information stored in the detection history information storage unit 32, the abnormal access determination processing unit 33 determines whether there is an abnormal access (S110).

異常アクセス判定処理部33において異常アクセスがあることを判定した場合,操作ログ情報処理部34が,異常アクセスがあることを示す操作ログ情報,たとえば操作内容として「異常アクセス実行」,「異常アクセス終了」などを含み,そのほかに日時情報,アクセス先などの検出履歴情報に基づく情報,当該クライアント端末3の識別情報などを含む操作ログ情報を生成する(S120)。そして生成した操作ログ情報を,操作ログ情報処理部34がマスターサーバ2に送る(S130)。   When the abnormal access determination processing unit 33 determines that there is an abnormal access, the operation log information processing unit 34 displays operation log information indicating that there is an abnormal access, for example, “abnormal access execution”, “abnormal access end” In addition to this, operation log information including date / time information, information based on detection history information such as an access destination, identification information of the client terminal 3, and the like is generated (S120). Then, the operation log information processing unit 34 sends the generated operation log information to the master server 2 (S130).

クライアント端末3の操作ログ情報処理部34から送られた操作ログ情報は,マスターサーバ2の操作ログ情報取得処理部21で取得し(S140),操作ログ情報記憶部22に記憶する。   The operation log information sent from the operation log information processing unit 34 of the client terminal 3 is acquired by the operation log information acquisition processing unit 21 of the master server 2 (S140) and stored in the operation log information storage unit 22.

そして操作ログ情報取得処理部21で取得した操作ログ情報に,異常アクセスを示す情報が含まれているかを,マスターサーバ2の操作ログ情報判定処理部23が判定をする(S150)。たとえば操作ログ情報の操作内容として「異常アクセス実行」,「異常アクセス終了」などの情報が含まれているかを判定する。   Then, the operation log information determination processing unit 23 of the master server 2 determines whether the operation log information acquired by the operation log information acquisition processing unit 21 includes information indicating abnormal access (S150). For example, it is determined whether or not information such as “execution of abnormal access” and “abnormal access end” is included as operation contents of the operation log information.

そして異常アクセスを示す情報が含まれていることを判定した場合,通知処理部24は,管理者が操作する管理端末4または管理者の所定の通知先に対して,異常アクセスがあったことを示すアラート通知を送る(S160)。なお,この際に,異常アクセスがあることを示す情報が含まれている操作ログ情報の,日時情報,アクセス先を示す情報,クライアント端末3の識別情報などに基づいて,異常アクセスがあった日時,アクセス先,異常アクセスが行われたクライアント端末3などの情報も通知することが好ましい。   If it is determined that information indicating abnormal access is included, the notification processing unit 24 confirms that there is an abnormal access to the management terminal 4 operated by the administrator or a predetermined notification destination of the administrator. An alert notification is sent (S160). At this time, the date and time when the abnormal access occurred based on the date and time information, the information indicating the access destination, the identification information of the client terminal 3 of the operation log information including information indicating that there is an abnormal access. It is also preferable to notify the information of the access destination, the client terminal 3 that has made an abnormal access, and the like.

以上のような処理を実行することで,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行い,異常アクセスがあった場合には,迅速に管理者に通知をすることが可能となる。   By executing the processing as described above, it is possible to determine whether or not the access to the shared resource is an abnormal access, and if there is an abnormal access, the administrator can be notified immediately. It becomes.

なお,管理者に通知を行うほか,当該クライアント端末3に対して,そのネットワーク通信を遮断することの制御指示をUDP通信によって送ってもよい。この場合,クライアント端末3では,当該制御指示をマスターサーバ2から受け付けると,ネットワーク通信を遮断することの制御指示を受け取ったことの応答を返すとともに,マスターサーバ2とのネットワーク通信以外の通信を遮断する制御を実行する。   In addition to notifying the administrator, a control instruction for blocking the network communication may be sent to the client terminal 3 by UDP communication. In this case, when the client terminal 3 receives the control instruction from the master server 2, it returns a response indicating that the control instruction for blocking the network communication has been received, and blocks communication other than the network communication with the master server 2. Execute control to

なお,異常アクセスであるか否かはクライアント端末3のエージェントプログラムにおいて実行することが好ましい。検出履歴情報をマスターサーバ2に随時送信する構成とすると,通信料が多くなり,また異常アクセスであるかの判定処理をマスターサーバ2で行うと,マスターサーバ2の負荷が高くなるためである。一方,検出履歴情報をマスターサーバ2に送り,異常アクセスであるかの判定をマスターサーバ2で行う構成を採るように構成することはできる。   Whether or not the access is abnormal is preferably executed in the agent program of the client terminal 3. This is because if the detection history information is transmitted to the master server 2 at any time, the communication fee is increased, and if the master server 2 performs the process of determining whether there is an abnormal access, the load on the master server 2 increases. On the other hand, it is possible to adopt a configuration in which detection history information is sent to the master server 2 and the master server 2 determines whether the access is abnormal.

異常アクセス判定処理部33における異常アクセスの判定方法としては,上述のほか,検出履歴情報に含まれる日時情報に基づいて,共有リソースへの長時間にわたる連続アクセスを判定してもよい。この場合,たとえば,あるファイルがファイルオープンされた日時情報の検出履歴情報と,同一のファイルがファイルクローズされた日時情報の検出履歴情報に基づいて,その時間と回数を判定し,それが所定の閾値を超えているかで異常アクセスか否かを判定する。   As a method for determining abnormal access in the abnormal access determination processing unit 33, in addition to the above, continuous access to a shared resource for a long time may be determined based on date and time information included in detection history information. In this case, for example, the time and the number of times are determined based on the detection history information of the date / time information when a certain file is opened and the detection history information of the date / time information when the same file is closed. It is determined whether or not there is an abnormal access depending on whether the threshold is exceeded.

また,別の方法としては,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,アクセスした共有リソースの種類の多様性を判定してもよい。この場合,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,所定の単位時間において,アクセスしている共有リソースの数が所定の閾値を超えているかで異常アクセスか否かを判定する。   As another method, the shared resource name may be extracted from the file path included in the detection history information, and the variety of types of the accessed shared resource may be determined. In this case, the shared resource name is extracted from the file path included in the detection history information, and it is determined whether or not there is an abnormal access depending on whether the number of shared resources accessed exceeds a predetermined threshold in a predetermined unit time. .

さらに別の方法としては,検出履歴情報に含まれるファイルパスからサーバ名(共有サーバ5名)を抽出し,アクセスした共有リソースが保存されている共有サーバ5の多様性を判定してもよい。この場合,検出履歴情報に含まれるファイルパスから共有サーバ5名を抽出し,所定の単位時間において,アクセスしている共有サーバ5の数が所定の閾値を超えているかで異常アクセスか否かを判定する。   As another method, the server name (shared server 5 names) may be extracted from the file path included in the detection history information, and the diversity of the shared servers 5 storing the accessed shared resources may be determined. In this case, the name of the shared server 5 is extracted from the file path included in the detection history information, and whether or not there is an abnormal access depending on whether the number of the shared servers 5 being accessed exceeds a predetermined threshold in a predetermined unit time. judge.

加えて,所定の単位時間において,検出履歴情報に含まれる操作内容としてファイルオープン(ファイル読取)した共有リソース数が第一の閾値を超えているものの,検出履歴情報に含まれる操作内容としてファイル保存(ファイル書込)した共有リソース数が第二の閾値を超えていない場合に,異常があると判定する。なお,第一の閾値>第二の閾値である。この場合,多くの共有リソースにアクセスしてデータを収集し,不正持ち出し目的のフォルダにデータを書き込んでいると推測されるので,異常アクセスと判定可能である。   In addition, although the number of shared resources that have been opened (file read) as the operation content included in the detection history information exceeds the first threshold for a predetermined unit time, the file is stored as the operation content included in the detection history information When the number of shared resources (file writing) does not exceed the second threshold, it is determined that there is an abnormality. Note that the first threshold value> the second threshold value. In this case, since it is assumed that data is collected by accessing many shared resources and the data is written in the folder for illegal take-out, it can be determined that the access is abnormal.

検出履歴情報には共有リソースにアクセスしているアプリケーション名が含まれているので,異常アクセス判定処理部33は当該アプリケーション名を操作ログ情報に含めてもよい。そしてアプリケーション名を含む操作ログ情報を送ることで,マスターサーバ2の操作ログ情報判定処理部23は,異常アクセスを実行しているアプリケーションを特定でき,通知処理部24が通知を行う場合に,異常アクセスを実行しているアプリケーション名を通知してもよい。   Since the detection history information includes the name of the application accessing the shared resource, the abnormal access determination processing unit 33 may include the name of the application in the operation log information. Then, by sending operation log information including the application name, the operation log information determination processing unit 23 of the master server 2 can identify the application that is executing the abnormal access, and when the notification processing unit 24 performs notification, The name of the application executing the access may be notified.

異常アクセス判定処理部33は,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,所定の単位時間において,アクセスしている共有リソースの数を判定する。また,検出履歴情報に含まれる共有履歴情報にアクセスしているアプリケーション名を抽出し,アプリケーションの数を判定する。そして,単位時間における,アクセスされた共有リソースの数と,アクセスを実行したアプリケーションの数との比率が所定条件を充足している場合,たとえば共有リソースの数が多いのに,アプリケーションの数が少ないなどの場合には,不正なアプリケーションが不正に共有リソースにアクセスしている可能性が高いと判定し,異常アクセスであると判定する。   The abnormal access determination processing unit 33 extracts the shared resource name from the file path included in the detection history information, and determines the number of shared resources accessed in a predetermined unit time. Also, the name of the application accessing the shared history information included in the detection history information is extracted, and the number of applications is determined. And, if the ratio of the number of shared resources accessed and the number of applications that executed access in a unit time satisfies the predetermined condition, for example, the number of shared resources is large but the number of applications is small. In such a case, it is determined that there is a high possibility that an unauthorized application is illegally accessing the shared resource, and it is determined that the access is abnormal.

また別の判定方法としては,共有リソースへのアクセスを指示しているアプリケーションごとにアクセス回数を集計し,特定のアプリケーションが突出してアクセス回数が多い場合,不正アプリケーションであると判定できるので,当該アプリケーションによるアクセスを異常アクセスとして判定する。   As another determination method, the number of accesses is counted for each application instructing access to the shared resource. If a specific application protrudes and the number of accesses is large, it can be determined that the application is an unauthorized application. Is determined as an abnormal access.

クライアント端末3では,検出履歴情報を生成する場合の表示装置72で表示する画面を画像情報として取得し,それを検出履歴情報に対応付けていてもよい。この場合,異常アクセス判定処理部33において異常アクセスがあることを判定すると,当該検出履歴情報に基づいて生成する操作ログ情報に,当該検出履歴情報に対応する画面の画像情報を送ることで,それを受け取ったマスターサーバ2の通知処理部24が,管理者または管理端末4に対して,異常アクセスの実行を判定した場合の画面を画像情報として通知することができる。   In the client terminal 3, the screen displayed on the display device 72 when generating the detection history information may be acquired as image information and may be associated with the detection history information. In this case, when the abnormal access determination processing unit 33 determines that there is an abnormal access, the image information of the screen corresponding to the detection history information is sent to the operation log information generated based on the detection history information. The notification processing unit 24 of the master server 2 that has received the message can notify the administrator or the management terminal 4 of the screen when the abnormal access is determined as image information.

実施例1乃至実施例4の変形例として,クライアント端末3の操作ログ情報に異常アクセス実行を示す操作内容が含まれているとして異常アクセスがあったと判定する場合において,操作ログ情報判定処理部23が,複数のクライアント端末3で異常アクセスがあったことを判定すると,通知処理部24が通知するアラート通知の重み付けを変更するように構成してもよい。   As a modification of the first to fourth embodiments, when it is determined that there is an abnormal access because the operation log information of the client terminal 3 includes an operation content indicating abnormal access execution, the operation log information determination processing unit 23 However, when it is determined that there is an abnormal access in the plurality of client terminals 3, the weight of the alert notification notified by the notification processing unit 24 may be changed.

また,操作ログ情報判定処理部23が,異常アクセスがあったと判定する操作ログ情報の数,頻度に応じて,通知処理部24が通知するアラート通知の重み付けを変更するように構成してもよい。   Further, the operation log information determination processing unit 23 may be configured to change the weight of the alert notification notified by the notification processing unit 24 according to the number and frequency of operation log information that is determined to have been abnormally accessed. .

アラート通知の重み付けを変更するとは,操作ログ情報判定処理部23において異常アクセスがあったことを判定したクライアント端末3の数が増加するにしたがって,アラート通知の重要度を高くする。これは,異常アクセスがあったクライアント端末3が増えると,それだけ危険度が高くなるためである。   Changing the weight of the alert notification increases the importance of the alert notification as the number of client terminals 3 that have determined that there has been an abnormal access in the operation log information determination processing unit 23 increases. This is because the risk level increases as the number of client terminals 3 having an abnormal access increases.

そして重み付けを変更する処理としては,重要度に応じて,アラート通知の回数や頻度を多くする,通知する文字の大きさや,通知自体に重要度を表示するなどがある。また,重要度に応じて通知方法を変更する方法もあり,たとえばメールのみ,メッセージのみ,メールとメッセージの双方,メールとメッセージと電話のすべてなどがある。さらに,重要度に応じて通知範囲を変更することもある。たとえば,本人のみ,本人と管理者,情報セキュリティ担当者,上司,部署内のメンバーなど,重要度が高くなるほど,通知先を増やすように変更してもよい。   The process of changing the weight includes increasing the number and frequency of alert notifications according to the importance, displaying the size of characters to be notified, and the importance in the notification itself. There is also a method of changing the notification method according to the importance, for example, only mail, only message, both mail and message, all mail, message and telephone. Furthermore, the notification range may be changed according to the importance. For example, the notification destination may be increased as the importance increases, such as only the person, the person and the administrator, the information security officer, the supervisor, and a member in the department.

本発明のアクセス監視システム1によって,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行うことができる。そのため,ランサムウェアが共有リソースに不正な処理を実行することによる被害の拡大に対し,迅速に対策を行うことが可能となる。   With the access monitoring system 1 of the present invention, it can be determined whether or not the access to the shared resource is an abnormal access. Therefore, it is possible to take quick measures against the spread of damage caused by ransomware executing illegal processing on shared resources.

1:アクセス監視システム
2:マスターサーバ
3:クライアント端末
4:管理端末
5:共有サーバ
21:操作ログ情報取得処理部
22:操作ログ情報記憶部
23:操作ログ情報判定処理部
24:通知処理部
31:検出履歴情報処理部
32:検出履歴情報記憶部
33:異常アクセス判定処理部
34:操作ログ情報処理部
311:共有リソースアクセス判定処理部
312:検出履歴情報生成処理部
70:演算装置
71:記憶装置
72:表示装置
73:入力装置
74:通信装置 1: Access monitoring system 2: Master server 3: Client terminal 4: Management terminal 5: Shared server 21: Operation log information acquisition processing unit 22: Operation log information storage unit 23: Operation log information determination processing unit 24: Notification processing unit 31 : Detection history information processing unit 32: detection history information storage unit 33: abnormal access determination processing unit 34: operation log information processing unit 311: shared resource access determination processing unit 312: detection history information generation processing unit 70: computing device 71: storage Device 72: Display device 73: Input device 74: Communication device

Claims (4)

ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムであって,
前記アクセス監視システムは,
前記共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部と,
前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部と,
前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部と,
前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部と,
を備えることを特徴とするアクセス監視システム。 An access monitoring system for monitoring access to shared resources in a network,
The access monitoring system includes:
An abnormal access determination processing unit that determines whether there is an abnormal access to the shared resource based on detection history information indicating that the shared resource has been accessed;
An operation log information processing unit that generates operation log information including information indicating that there was an abnormal access when it is determined that there is an abnormal access;
An operation log information determination processing unit that determines whether an abnormal access to the shared resource has been performed based on the operation log information;
A notification processing unit for performing a predetermined notification when it is determined in the operation log information determination processing unit that an abnormal access has been performed;
An access monitoring system comprising: 前記アクセス監視システムは,
UNCが含まれている検出情報を前記共有リソースへのアクセスがあると判定する共有リソースアクセス判定処理部と,
前記検出情報に日時情報を付して検出履歴情報として前記検出履歴情報記憶部に記憶させる検出履歴情報生成処理部と,
を備えることを特徴とする請求項1に記載のアクセス監視システム。 The access monitoring system includes:
A shared resource access determination processing unit that determines that the detection information including the UNC is accessed to the shared resource;
A detection history information generation processing unit that attaches date and time information to the detection information and stores the detection history information in the detection history information storage unit;
The access monitoring system according to claim 1, further comprising: 前記異常アクセスの判定は,
前記共有リソースへのアクセス数,アクセスした共有リソースのデータ量,アクセス時間,アクセスした共有リソースの数,アクセスした共有サーバの数のいずれか一以上を用いて判定する,
ことを特徴とする請求項1または請求項2に記載のアクセス監視システム。 The determination of abnormal access is as follows:
Using one or more of the number of accesses to the shared resource, the amount of data of the accessed shared resource, the access time, the number of accessed shared resources, and the number of accessed shared servers,
The access monitoring system according to claim 1 or claim 2, wherein コンピュータを,
共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部,
前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部,
前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部,
前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部,
として機能させることを特徴とするアクセス監視プログラム。 Computer
An abnormal access determination processing unit for determining whether there is an abnormal access to the shared resource based on detection history information indicating that the shared resource has been accessed;
An operation log information processing unit that generates operation log information including information indicating that there was an abnormal access when it is determined that there is an abnormal access;
An operation log information determination processing unit that determines whether an abnormal access to the shared resource has been performed based on the operation log information;
A notification processing unit for performing a predetermined notification when it is determined in the operation log information determination processing unit that an abnormal access has been performed;
An access monitoring program characterized by functioning as
JP2017022202A 2017-02-09 2017-02-09 Access monitoring system Active JP6851212B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017022202A JP6851212B2 (en) 2017-02-09 2017-02-09 Access monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017022202A JP6851212B2 (en) 2017-02-09 2017-02-09 Access monitoring system

Publications (2)

Publication Number Publication Date
JP2018128910A true JP2018128910A (en) 2018-08-16
JP6851212B2 JP6851212B2 (en) 2021-03-31

Family

ID=63173063

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017022202A Active JP6851212B2 (en) 2017-02-09 2017-02-09 Access monitoring system

Country Status (1)

Country Link
JP (1) JP6851212B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6442649B1 (en) * 2017-10-11 2018-12-19 株式会社オレガ File access monitoring method, program, and system
WO2019073720A1 (en) * 2017-10-11 2019-04-18 株式会社 オレガ File access monitoring method, program, and system
JP7475428B2 (en) 2019-08-13 2024-04-26 インターナショナル・ビジネス・マシーンズ・コーポレーション Automated ransomware detection with on-demand file system lockdown and auto-remediation

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003330887A (en) * 2002-05-15 2003-11-21 Nippon Telegr & Teleph Corp <Ntt> Illegal access warning device, server device, and illegal access warning program
JP2010211257A (en) * 2009-03-06 2010-09-24 Sky Co Ltd Operation monitoring system and operation monitoring program
JP2011191823A (en) * 2010-03-11 2011-09-29 Mitsubishi Electric Corp Log management server, log management method and log management program
JP2012084994A (en) * 2010-10-07 2012-04-26 Hitachi Ltd Malware detection method and malware detection device
WO2015148171A1 (en) * 2014-03-26 2015-10-01 Symantec Corporation A system to identify machines infected by malware applying linguistic analysis to network requests from endpoints

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003330887A (en) * 2002-05-15 2003-11-21 Nippon Telegr & Teleph Corp <Ntt> Illegal access warning device, server device, and illegal access warning program
JP2010211257A (en) * 2009-03-06 2010-09-24 Sky Co Ltd Operation monitoring system and operation monitoring program
JP2011191823A (en) * 2010-03-11 2011-09-29 Mitsubishi Electric Corp Log management server, log management method and log management program
JP2012084994A (en) * 2010-10-07 2012-04-26 Hitachi Ltd Malware detection method and malware detection device
WO2015148171A1 (en) * 2014-03-26 2015-10-01 Symantec Corporation A system to identify machines infected by malware applying linguistic analysis to network requests from endpoints

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6442649B1 (en) * 2017-10-11 2018-12-19 株式会社オレガ File access monitoring method, program, and system
WO2019073720A1 (en) * 2017-10-11 2019-04-18 株式会社 オレガ File access monitoring method, program, and system
JP2019075131A (en) * 2017-10-11 2019-05-16 株式会社オレガ Method for monitoring file access, program, and system
JP7123488B2 (en) 2017-10-11 2022-08-23 株式会社ソリトンシステムズ File access monitoring method, program and system
JP7475428B2 (en) 2019-08-13 2024-04-26 インターナショナル・ビジネス・マシーンズ・コーポレーション Automated ransomware detection with on-demand file system lockdown and auto-remediation

Also Published As

Publication number Publication date
JP6851212B2 (en) 2021-03-31

Similar Documents

Publication Publication Date Title
US8141159B2 (en) Method and system for protecting confidential information
US7814021B2 (en) Managed distribution of digital assets
US7415726B2 (en) Controlling access to suspicious files
CA2553429C (en) Digital asset usage accountability via event journaling
US10872148B2 (en) System, method, and computer program product for isolating a device associated with at least potential data leakage activity, based on user input
US20150215329A1 (en) Pattern Consolidation To Identify Malicious Activity
US20160164893A1 (en) Event management systems
US9026801B2 (en) System call interception
JP2008507757A (en) End user risk management
Baykara et al. A novel approach to ransomware: Designing a safe zone system
CN112039894A (en) Network access control method, device, storage medium and electronic equipment
US20230328097A1 (en) Method And Apparatus For Measuring Information System Device Integrity And Evaluating Endpoint Posture
JP6851212B2 (en) Access monitoring system
JP7123488B2 (en) File access monitoring method, program and system
CN115632884B (en) Network security situation perception method and system based on event analysis
JP6442649B1 (en) File access monitoring method, program, and system
JP5284012B2 (en) Client / server system and client / server system audit method
CN110311908A (en) A kind of enterprises economic management information safe encryption method
JP2020087119A (en) Information processing apparatus, control method thereof, information processing system, and program
JP4175574B1 (en) Management system, management server, and management program
Gupta et al. A secure and lightweight approach for critical data security in cloud
CN112651023A (en) Method for detecting and preventing malicious Lego software attacks
Stallings Data loss prevention as a privacy-enhancing technology
WO2023249577A1 (en) Systems and methods for detection of advanced persistent threats in an information network
Blair et al. Cyber as a Service: Automating First Responders’ Service in the Cyberspace

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201215

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210302

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210309

R150 Certificate of patent or registration of utility model

Ref document number: 6851212

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250