JP2018198000A - 監視プログラム、監視方法および情報処理装置 - Google Patents

監視プログラム、監視方法および情報処理装置 Download PDF

Info

Publication number
JP2018198000A
JP2018198000A JP2017102940A JP2017102940A JP2018198000A JP 2018198000 A JP2018198000 A JP 2018198000A JP 2017102940 A JP2017102940 A JP 2017102940A JP 2017102940 A JP2017102940 A JP 2017102940A JP 2018198000 A JP2018198000 A JP 2018198000A
Authority
JP
Japan
Prior art keywords
consistency level
parent
current
previous
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017102940A
Other languages
English (en)
Inventor
荘也 青山
Soya Aoyama
荘也 青山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017102940A priority Critical patent/JP2018198000A/ja
Priority to US15/976,214 priority patent/US20180341772A1/en
Publication of JP2018198000A publication Critical patent/JP2018198000A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】権限昇格にかかる未知のマルウェアを検知する。
【解決手段】実施形態の監視プログラムは、オペレーションシステムから第1のプロセスの現在の整合性レベル及び/又は該第1のプロセスの親プロセスの現在の整合性レベルを取得するとともに記憶部に格納する処理をコンピュータに実行させる。また、監視プログラムは、記憶部から前回格納した第1のプロセスの前回の整合性レベル及び/又は第1のプロセスの親プロセスの前回の整合性レベルを取得し、取得した第1のプロセスの現在の整合性レベルが第1のプロセスの前回の整合性レベルに対して上がっていることの検出、または、取得した第1のプロセスの親プロセスの現在の整合性レベルが第1のプロセスの親プロセスの前回の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する処理をコンピュータに実行させる。
【選択図】図1

Description

本発明の実施形態は、監視プログラム、監視方法および情報処理装置に関する。
従来、ネットワークにおいて、不正に機器に感染するコンピュータウィルス、ワーム、スパイウェアなどの脅威となるマルウェアを検出してアラートを出力する監視技術がある。例えば、監視対象となるマルウェアにおける攻撃には、本来与えられたものよりも高い権限のプロセス等を実行するために自身の権限を昇格させる権限昇格がある。この権限昇格には、ある特定の機能について使用権限のないユーザがログインしている状態において臨時的にそのユーザがその特定の機能を使用できるように機能を拡張するものが知られている。このような権限昇格にかかるマルウェアの監視では、ウイルス定義データベースを使用したパターンマッチングによるウイルス対策ソフトが知られている。
特開2010−218089号公報
しかしながら、上記の従来技術では、権限昇格にかかる未知のマルウェアによる異常を検出することが困難であるという問題がある。例えば、権限昇格などのマルウェアには、多種多様にわたり派生する亜種もあり、ウイルス定義データベースに含まれていない未知のマルウェアが含まれることがある。
1つの側面では、権限昇格にかかる未知のマルウェアを検知できる監視プログラム、監視方法および情報処理装置を提供することを目的とする。
第1の案では、監視プログラムは、格納する処理と、取得する処理と、出力する処理とをコンピュータに実行させる。格納する処理は、オペレーションシステムから第1のプロセスの現在の整合性レベル及び/又は該第1のプロセスの親プロセスの現在の整合性レベルを取得するとともに記憶部に格納する。取得する処理は、記憶部から前回格納した第1のプロセスの前回の整合性レベル及び/又は第1のプロセスの親プロセスの前回の整合性レベルを取得する。出力する処理は、取得した第1のプロセスの現在の整合性レベルが第1のプロセスの前回の整合性レベルに対して上がっていることの検出、または、取得した第1のプロセスの親プロセスの現在の整合性レベルが第1のプロセスの親プロセスの前回の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する。
本発明の1実施態様によれば、権限昇格にかかる未知のマルウェアを検知できる。
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。 図2は、プロセスデータベースの一例を説明する説明図である。 図3は、実施形態にかかる情報処理装置の動作例を示すフローチャートである。 図4は、実施形態にかかる情報処理装置のハードウエア構成例を示すブロック図である。
以下、図面を参照して、実施形態にかかる監視プログラム、監視方法および情報処理装置を説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明する監視プログラム、監視方法および情報処理装置は、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。実施形態にかかる情報処理装置1は、例えば、PC(パーソナルコンピュータ)、タブレット端末などのコンピュータである。図1に示すように、情報処理装置1は、OS10、監視処理部20、プロセスデータベース30および表示部40を有する。
情報処理装置1は、OS10の実行環境のもと、監視プログラムを実行することで、監視処理部20としての機能を実現する。監視処理部20は、不正に機器に感染するコンピュータウィルス、ワーム、スパイウェアなどの脅威となるマルウェアを検出してアラートを出力する監視処理を行う。
具体的には、監視処理部20は、ウイルス定義データベースなどを活用するパターンマッチング型のマルウェア検出ではなく、アプリケーションプログラムなどによるプロセスを監視し、マルウェアが動作することで起こる様々な事象を把握してマルウェアの検出を行う。
Windows(登録商標)などのOS10は、プログラムの実行に伴うプロセスの生成・実行・消滅を管理する。また、OS10は、オブジェクト(ファイル、レジストリ、プロセス等)にアクセスするための制御として、「アクセス許可によるアクセス制御」と、「整合性レベルによるアクセス制御」の2つのアクセス制御を有する。「アクセス許可によるアクセス制御」は、ユーザ(グループ)毎に設定されるアクセス制御である。「整合性レベルによるアクセス制御」は、生成されたプロセス毎に設定されるアクセス制御である。
プロセス毎の整合性レベルは、プロセス生成時に決定され、途中でレベルが変更されることはない。また、生成元の親プロセスより整合性レベルが高くなることは、一部の例外を除いて基本的にない。
しかしながら、権限昇格にかかるマルウェアの攻撃があった場合は、プロセスの整合性レベルが低い状態から高い状態になる異常事象が生じる。したがって、監視処理部20は、プロセスの整合性レベルが低い状態から高い状態になる異常事象を検知することで、マルウェアの検出を行う。
具体的には、監視処理部20は、検出対象を次のような(対象1)、(対象2)とし、[第1のケース]、[第2のケース]および[第3のケース]において整合性レベルが(対象1)>(対象2)となることの検出に応じて、マルウェアによる攻撃を示すアラートを出力する。
[第1のケース]
(対象1):プロセスの現在の整合性レベル
(対象2):プロセスの前回取得時の整合性レベル
[第2のケース]
(対象1):プロセスの親プロセスの現在の整合性レベル
(対象2):プロセスの親プロセスの前回取得時の整合性レベル
[第3のケース]
(対象1):プロセスの現在の整合性レベル
(対象2):プロセスの親プロセスの現在の整合性レベル
このように異常事象を検知することで、情報処理装置1は、ウイルス定義データベースなどに未登録である、権限昇格にかかる未知のマルウェアであっても検出することができる。
監視処理部20は、格納部21、取得部22および出力部23を有する。格納部21は、OS10から各プロセスの現在の整合性レベルを取得するとともに、取得した各プロセスの現在の整合性レベルをプロセスデータベース30に格納する。
プロセスデータベース30は、プロセスごとの情報を管理するデータベースである。プロセスデータベース30は、各プロセスについて、プロセスおよびプロセスにおける親プロセスを識別する識別情報(プロセスIDおよび親プロセスID)とともに、プロセスの整合性レベルなどのプロセスにかかる情報を格納する。すなわち、プロセスデータベース30は、記憶部の一例である。
具体的には、格納部21は、OS10にかかるAPI(Application Programming Interface)を使用することで、あるプロセス及び/又はそのプロセスの親プロセスの整合性レベルを取得する。そして、格納部21は、整合性レベルを取得したプロセスについて、自身のプロセスおよび親プロセスを識別する識別情報(プロセスIDおよび親プロセスID)とともに、取得した整合性レベルをプロセスデータベース30に格納する。
図2は、プロセスデータベース30の一例を説明する説明図である。図2に示すように、プロセスデータベース30は、各プロセスについて、プロセスを識別するプロセスIDと、プロセスの親プロセスを示す親プロセスIDと、プロセスの整合性レベルとを格納する。図示例では、プロセスID「1056」のプロセスについては、親プロセスのプロセスIDが「4」である。よって、プロセスデータベース30よりプロセスID「4」のデータを参照することで、親プロセスの整合例レベルを確認できる。
整合例レベルについては、一例として、「Description」、「シンボル」などが定義された「0x0000」〜「0x4000」の5段階のいずれかの値(Value)が格納される。なお、整合性レベルの高さについては、「0x0000」から段階的にレベルがあがり、「0x4000」が最上位であるものとする。
図示例では、プロセスID「1056」のプロセスについては、「0x2000」の値に対応する下から3段目の整合性レベルが設定されている。具体的には、「Description」が「Medium integrity level」、「シンボル」が「SECURITY_MANDATORY_MEDIUM_RID」の整合性レベルが設定されている。
取得部22は、プロセスデータベース30から前回格納したプロセスの前回の整合性レベル及び/又はプロセスの親プロセスの前回の整合性レベルを取得する。具体的には、取得部22は、格納部21がプロセスの整合性レベルを取得し、取得した整合性レベルをプロセスデータベース30格納するのに先立って、プロセスデータベース30よりプロセスの整合性レベルおよびプロセスの親プロセスの整合性レベルを取得する。
出力部23は、格納部21が取得したプロセスの現在の整合性レベルおよびプロセスの親プロセスの現在の整合性レベルと、取得部22が取得したプロセスの前回取得時の整合性レベルおよびプロセスの親プロセスの前回取得時の整合性レベルとをもとに、プロセスの整合性レベルが低い状態から高い状態になる異常事象を検出する。そして、出力部23は、異常事象の検出に応じて、マルウェアによる攻撃を示すアラートを出力する。
具体的には、出力部23は、あるプロセス(第1のプロセス)の現在の整合性レベルがそのプロセスの前回の整合性レベルに対して上がっていることの検出([第1のケース]における(対象1)>(対象2))に応じて、アラートを出力する。また、出力部23は、あるプロセス(第1のプロセス)の親プロセスの現在の整合性レベルがそのプロセスの親プロセスの前回の整合性レベルに対して上がっていることの検出([第2のケース]における(対象1)>(対象2))に応じて、アラートを出力する。また、出力部23は、あるプロセス(第1のプロセス)の現在の整合性レベルがそのプロセスの親プロセスの現在の整合性レベルに対して上がっていることの検出([第3のケース]における(対象1)>(対象2))に応じて、アラートを出力する。
出力部23におけるアラートの出力は、例えば、表示部40におけるポップアップメッセージ、バルーン表示などがある。また、出力部23は、通信部(図示しない)を介した所定のアドレス宛へのメール送信によりアラートを出力してもよい。また、出力部23は、ログファイル(図示しない)への記録としてアラートを出力してもよい。ユーザは、これらの出力を確認することで、マルウェアの攻撃を認識できる。
なお、アラートの出力は、上記の[第1のケース]、[第2のケース]、[第3のケース]での異常事象ごとに、それぞれに対応する内容を示すものであってもよい。例えば、[第1のケース]における(対象1)>(対象2)の異常事象については、「所定のプロセスの現在の整合性レベルがそのプロセスの前回の整合性レベルに対して上がっていることから、マルウェアによる攻撃が疑われる」などとするアラートを出力する。これにより、ユーザは、[第1のケース]、[第2のケース]または[第3のケース]における異常事象でのマルウェアの攻撃を認識できる。
表示部40は、ディスプレイなどへの表示出力を行う。例えば、表示部40は、プロセスデータベース30より出力されたアラートをディスプレイなどへ表示する。これにより、ユーザは、アラートの内容を確認することができる。
図3は、実施形態にかかる情報処理装置1の動作例を示すフローチャートである。図3に示すように、処理が開始されると、格納部21は、OS10におけるイベントを監視して所定のイベントが発生したか否かを判定し(S1)、イベントが発生しない場合(S1:NO)は処理を待機する。判定対象とするイベントについては、プロセス生成、DLLロード、ファイルアクセス、TCP/IP通信などのいずれのイベントであってもよい。このようなイベントの監視により、格納部21は、プロセスが様々な処理を行うために動作するタイミング(イベントの発生)を検知して処理を開始する。
イベントが発生した場合(S1:YES)、格納部21は、プロセスの現在の整合性レベルと、親プロセスの現在の整合性レベルをAPIを介してOS10より取得する(S2)。なお、APIを介して整合性レベルを取得するプロセスについては、OS10が管理する全プロセスであってもよいし、S1において発生したイベントに関連するものに限定してもよい。
次いで、取得部22は、プロセスデータベース30に格納されている各プロセスの整合性レベル、すなわち、前回格納したプロセスの前回の整合性レベルと、親プロセスの前回の整合性レベルを取得する(S3)。次いで、格納部21は、S2において取得した整合性レベル、すなわち、プロセスの現在の整合性レベルと、親プロセスの現在の整合性レベルをプロセスデータベース30に格納する(S4)。
次いで、出力部23は、プロセスIDが同じプロセスの現在の整合性レベルと、前回の整合性レベルとを比較し、プロセスの整合性レベルが上がっていないかを判定する(S5)。すなわち、出力部23は、[第1のケース]における(対象1)>(対象2)の事象の有無を判定する。
上がっている場合(S5:YES)、出力部23は、マルウェアによる攻撃を示すアラート(警告)を出力する(S6)。具体的には、出力部23は、「所定のプロセスの現在の整合性レベルがそのプロセスの前回の整合性レベルに対して上がっていることから、マルウェアによる攻撃が疑われる」などとするアラートを出力する。
上がっていない場合(S5:NO)、出力部23は、プロセスIDが同じ親プロセスの現在の整合性レベルと、前回の整合性レベルとを比較し、親プロセスの整合性レベルが上がっていないかを判定する(S7)。すなわち、出力部23は、[第2のケース]における(対象1)>(対象2)の事象の有無を判定する。
上がっている場合(S7:YES)、出力部23は、マルウェアによる攻撃を示すアラート(警告)を出力する(S8)。具体的には、出力部23は、「所定のプロセスの親プロセスの現在の整合性レベルがその親プロセスの前回の整合性レベルに対して上がっていることから、マルウェアによる攻撃が疑われる」などとするアラートを出力する。
上がっていない場合(S7:NO)、出力部23は、プロセスID、親プロセスIDより親子関係にあるプロセスの整合性レベルを比較し、プロセスの整合性レベルが親プロセスの整合性レベルに対して上がっていないかを判定する(S9)。すなわち、出力部23は、[第3のケース]における(対象1)>(対象2)の事象の有無を判定する。
上がっている場合(S9:YES)、出力部23は、マルウェアによる攻撃を示すアラート(警告)を出力する(S10)。具体的には、出力部23は、「所定のプロセスの整合性レベルがそのプロセスの親プロセスの整合性レベルに対して上がっていることから、マルウェアによる攻撃が疑われる」などとするアラートを出力する。
以上のように、情報処理装置1の格納部21は、OS10からあるプロセス(第1のプロセス)の現在の整合性レベル及び/又は第1のプロセスの親プロセスの現在の整合性レベルを取得するとともにプロセスデータベース30に格納する。情報処理装置1の取得部22は、プロセスデータベース30から前回格納した第1のプロセスの前回の整合性レベル及び/又は第1のプロセスの親プロセスの前回の整合性レベルを取得する。情報処理装置1の出力部23は、取得した第1のプロセスの現在の整合性レベルが第1のプロセスの前回の整合性レベルに対して上がっていることの検出に応じて、マルウェアによる攻撃を示すアラートを出力する。または、出力部23は、取得した第1のプロセスの親プロセスの現在の整合性レベルが第1のプロセスの親プロセスの前回の整合性レベルに対して上がっていることの検出に応じて、マルウェアによる攻撃を示すアラートを出力する。これにより、情報処理装置1は、例えば、ウイルス定義データベースなどに未登録である、権限昇格にかかる未知のマルウェアであっても検出することができる。
また、格納部21は、プロセス生成、DLLロード、ファイルアクセス、TCP/IP通信などの所定のイベントを検知すると、所定のイベントに関連するプロセスの現在の整合性レベル及び/又はプロセスの親プロセスの現在の整合性レベルを取得する。これにより、情報処理装置1は、所定のイベントに関連するプロセスの整合性レベルが低い状態から高い状態になる異常事象を検知することができる。
また、出力部23は、取得した第1のプロセスの現在の整合性レベルが取得した第1のプロセスの親プロセスの現在の整合性レベルに対して上がっていることの検出に応じて、マルウェアによる攻撃を示すアラートを出力する。これにより、情報処理装置1は、[第3のケース]における異常事象に応じたマルウェア攻撃を検出することができる。
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
また、情報処理装置1で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。また、情報処理装置1で行われる各種処理機能は、クラウドコンピューティングにより、複数のコンピュータが協働して実行してもよい。
ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施形態と同様の機能を有するプログラムを実行するコンピュータ(ハードウエア)の一例を説明する。図4は、実施形態にかかる情報処理装置1のハードウエア構成例を示すブロック図である。
図4に示すように、情報処理装置1は、各種演算処理を実行するCPU101と、データ入力を受け付ける入力装置102と、モニタ103と、スピーカ104とを有する。また、情報処理装置1は、記憶媒体からプログラム等を読み取る媒体読取装置105と、各種装置と接続するためのインタフェース装置106と、有線または無線により外部機器と通信接続するための通信装置107とを有する。また、情報処理装置1は、各種情報を一時記憶するRAM108と、ハードディスク装置109とを有する。また、情報処理装置1内の各部(101〜109)は、バス110に接続される。
ハードディスク装置109には、上記の実施形態で説明した監視処理部20における格納部21、取得部22および出力部23などで各種の処理を実行するためのプログラム111が記憶される。また、ハードディスク装置109には、プログラム111が参照する各種データ112が記憶される。入力装置102は、例えば、情報処理装置1の操作者から操作情報の入力を受け付ける。モニタ103は、例えば、操作者が操作する各種画面を表示する。インタフェース装置106は、例えば印刷装置等が接続される。通信装置107は、LAN(Local Area Network)等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。
CPU101は、ハードディスク装置109に記憶されたプログラム111を読み出して、RAM108に展開して実行することで、各種の処理を行う。なお、プログラム111は、ハードディスク装置109に記憶されていなくてもよい。例えば、情報処理装置1が読み取り可能な記憶媒体に記憶されたプログラム111を読み出して実行するようにしてもよい。情報処理装置1が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこのプログラム111を記憶させておき、情報処理装置1がこれらからプログラム111を読み出して実行するようにしてもよい。
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)オペレーションシステムから第1のプロセスの現在の整合性レベル及び/又は該第1のプロセスの親プロセスの現在の整合性レベルを取得するとともに記憶部に格納し、
前記記憶部から前回格納した前記第1のプロセスの前回の整合性レベル及び/又は前記第1のプロセスの親プロセスの前回の整合性レベルを取得し、
取得した前記第1のプロセスの現在の整合性レベルが前記第1のプロセスの前回の整合性レベルに対して上がっていることの検出、または、取得した前記第1のプロセスの親プロセスの現在の整合性レベルが前記第1のプロセスの親プロセスの前回の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する、
処理をコンピュータに実行させることを特徴とする監視プログラム。
(付記2)前記格納する処理は、所定のイベントを検知すると、前記オペレーションシステムから前記所定のイベントに関連するプロセスの現在の整合性レベル及び/又は該プロセスの親プロセスの現在の整合性レベルを取得する、
ことを特徴とする付記1に記載の監視プログラム。
(付記3)前記出力する処理は、取得した前記第1のプロセスの現在の整合性レベルが取得した前記第1のプロセスの親プロセスの現在の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する、
ことを特徴とする付記1または2に記載の監視プログラム。
(付記4)オペレーションシステムから第1のプロセスの現在の整合性レベル及び/又は該第1のプロセスの親プロセスの現在の整合性レベルを取得するとともに記憶部に格納し、
前記記憶部から前回格納した前記第1のプロセスの前回の整合性レベル及び/又は前記第1のプロセスの親プロセスの前回の整合性レベルを取得し、
取得した前記第1のプロセスの現在の整合性レベルが前記第1のプロセスの前回の整合性レベルに対して上がっていることの検出、または、取得した前記第1のプロセスの親プロセスの現在の整合性レベルが前記第1のプロセスの親プロセスの前回の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する、
処理をコンピュータが実行することを特徴とする監視方法。
(付記5)前記格納する処理は、所定のイベントを検知すると、前記オペレーションシステムから前記所定のイベントに関連するプロセスの現在の整合性レベル及び/又は該プロセスの親プロセスの現在の整合性レベルを取得する、
ことを特徴とする付記4に記載の監視方法。
(付記6)前記出力する処理は、取得した前記第1のプロセスの現在の整合性レベルが取得した前記第1のプロセスの親プロセスの現在の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する、
ことを特徴とする付記4または5に記載の監視方法。
(付記7)オペレーションシステムから第1のプロセスの現在の整合性レベル及び/又は該第1のプロセスの親プロセスの現在の整合性レベルを取得するとともに記憶部に格納する格納部と、
前記記憶部から前回格納した前記第1のプロセスの前回の整合性レベル及び/又は前記第1のプロセスの親プロセスの前回の整合性レベルを取得する取得部と、
取得した前記第1のプロセスの現在の整合性レベルが前記第1のプロセスの前回の整合性レベルに対して上がっていることの検出、または、取得した前記第1のプロセスの親プロセスの現在の整合性レベルが前記第1のプロセスの親プロセスの前回の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する出力部と、
を有することを特徴とする情報処理装置。
(付記8)前記格納部は、所定のイベントを検知すると、前記オペレーションシステムから前記所定のイベントに関連するプロセスの現在の整合性レベル及び/又は該プロセスの親プロセスの現在の整合性レベルを取得する、
ことを特徴とする付記7に記載の情報処理装置。
(付記9)前記出力部は、取得した前記第1のプロセスの現在の整合性レベルが取得した前記第1のプロセスの親プロセスの現在の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する、
ことを特徴とする付記7または8に記載の情報処理装置。
1…情報処理装置
10…OS
20…監視処理部
21…格納部
22…取得部
23…出力部
30…プロセスデータベース
40…表示部
101…CPU
102…入力装置
103…モニタ
104…スピーカ
105…媒体読取装置
106…インタフェース装置
107…通信装置
108…RAM
109…ハードディスク装置
110…バス
111…プログラム
112…各種データ

Claims (5)

  1. オペレーションシステムから第1のプロセスの現在の整合性レベル及び/又は該第1のプロセスの親プロセスの現在の整合性レベルを取得するとともに記憶部に格納し、
    前記記憶部から前回格納した前記第1のプロセスの前回の整合性レベル及び/又は前記第1のプロセスの親プロセスの前回の整合性レベルを取得し、
    取得した前記第1のプロセスの現在の整合性レベルが前記第1のプロセスの前回の整合性レベルに対して上がっていることの検出、または、取得した前記第1のプロセスの親プロセスの現在の整合性レベルが前記第1のプロセスの親プロセスの前回の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する、
    処理をコンピュータに実行させることを特徴とする監視プログラム。
  2. 前記格納する処理は、所定のイベントを検知すると、前記オペレーションシステムから前記所定のイベントに関連するプロセスの現在の整合性レベル及び/又は該プロセスの親プロセスの現在の整合性レベルを取得する、
    ことを特徴とする請求項1に記載の監視プログラム。
  3. 前記出力する処理は、取得した前記第1のプロセスの現在の整合性レベルが取得した前記第1のプロセスの親プロセスの現在の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する、
    ことを特徴とする請求項1または2に記載の監視プログラム。
  4. オペレーションシステムから第1のプロセスの現在の整合性レベル及び/又は該第1のプロセスの親プロセスの現在の整合性レベルを取得するとともに記憶部に格納し、
    前記記憶部から前回格納した前記第1のプロセスの前回の整合性レベル及び/又は前記第1のプロセスの親プロセスの前回の整合性レベルを取得し、
    取得した前記第1のプロセスの現在の整合性レベルが前記第1のプロセスの前回の整合性レベルに対して上がっていることの検出、または、取得した前記第1のプロセスの親プロセスの現在の整合性レベルが前記第1のプロセスの親プロセスの前回の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する、
    処理をコンピュータが実行することを特徴とする監視方法。
  5. オペレーションシステムから第1のプロセスの現在の整合性レベル及び/又は該第1のプロセスの親プロセスの現在の整合性レベルを取得するとともに記憶部に格納する格納部と、
    前記記憶部から前回格納した前記第1のプロセスの前回の整合性レベル及び/又は前記第1のプロセスの親プロセスの前回の整合性レベルを取得する取得部と、
    取得した前記第1のプロセスの現在の整合性レベルが前記第1のプロセスの前回の整合性レベルに対して上がっていることの検出、または、取得した前記第1のプロセスの親プロセスの現在の整合性レベルが前記第1のプロセスの親プロセスの前回の整合性レベルに対して上がっていることの検出に応じて、アラートを出力する出力部と、
    を有することを特徴とする情報処理装置。
JP2017102940A 2017-05-24 2017-05-24 監視プログラム、監視方法および情報処理装置 Pending JP2018198000A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017102940A JP2018198000A (ja) 2017-05-24 2017-05-24 監視プログラム、監視方法および情報処理装置
US15/976,214 US20180341772A1 (en) 2017-05-24 2018-05-10 Non-transitory computer-readable storage medium, monitoring method, and information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017102940A JP2018198000A (ja) 2017-05-24 2017-05-24 監視プログラム、監視方法および情報処理装置

Publications (1)

Publication Number Publication Date
JP2018198000A true JP2018198000A (ja) 2018-12-13

Family

ID=64401237

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017102940A Pending JP2018198000A (ja) 2017-05-24 2017-05-24 監視プログラム、監視方法および情報処理装置

Country Status (2)

Country Link
US (1) US20180341772A1 (ja)
JP (1) JP2018198000A (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113407940A (zh) * 2021-06-21 2021-09-17 成都欧珀通信科技有限公司 脚本检测方法、装置、存储介质以及计算机设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8078740B2 (en) * 2005-06-03 2011-12-13 Microsoft Corporation Running internet applications with low rights
US8850549B2 (en) * 2009-05-01 2014-09-30 Beyondtrust Software, Inc. Methods and systems for controlling access to resources and privileges per process
US8806640B2 (en) * 2010-10-22 2014-08-12 George Mason Intellectual Properties, Inc. Program execution integrity verification for a computer system
US10019580B2 (en) * 2015-11-19 2018-07-10 Federal Reserve Bank Of Philadelphia Integrity checking for computing devices

Also Published As

Publication number Publication date
US20180341772A1 (en) 2018-11-29

Similar Documents

Publication Publication Date Title
US11240262B1 (en) Malware detection verification and enhancement by coordinating endpoint and malware detection systems
KR101928908B1 (ko) 멀웨어 스캐닝을 용이하게 하기 위하여 명성 표시자를 사용하기 위한 시스템 및 그 방법
US8621624B2 (en) Apparatus and method for preventing anomaly of application program
EP2701092A1 (en) Method for identifying malicious executables
JP2017527931A (ja) マルウェア検出の方法及びそのシステム
JP2018200642A (ja) 脅威検出プログラム、脅威検出方法および情報処理装置
US20190171811A1 (en) Software container profiling
CN112039894B (zh) 一种网络准入控制方法、装置、存储介质和电子设备
US20150220736A1 (en) Continuous Memory Tamper Detection Through System Management Mode Integrity Verification
US10198309B2 (en) Unexpected event detection during execution of an application
JP6000465B2 (ja) プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法
KR20140138206A (ko) 운영 체제에의 악성 활동 보고
TWI622894B (zh) 電子裝置及偵測惡意檔案的方法
JP2017162469A (ja) メモリアクセスのハイパーバイザベースのインターセプション
US20180341770A1 (en) Anomaly detection method and anomaly detection apparatus
US10726129B2 (en) Persistence probing to detect malware
US11251976B2 (en) Data security processing method and terminal thereof, and server
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
KR20160099159A (ko) 악성 코드를 탐지하기 위한 전자 시스템 및 방법
US9785775B1 (en) Malware management
JP2018198000A (ja) 監視プログラム、監視方法および情報処理装置
GB2550178A (en) Software container access control
US11811803B2 (en) Method of threat detection
US11960606B2 (en) System and method for protecting against data storage attacks
JPWO2017099066A1 (ja) 診断装置、診断方法、及び、診断プログラムが記録された記録媒体