JP2018200641A - 異常検知プログラム、異常検知方法および情報処理装置 - Google Patents

異常検知プログラム、異常検知方法および情報処理装置 Download PDF

Info

Publication number
JP2018200641A
JP2018200641A JP2017105950A JP2017105950A JP2018200641A JP 2018200641 A JP2018200641 A JP 2018200641A JP 2017105950 A JP2017105950 A JP 2017105950A JP 2017105950 A JP2017105950 A JP 2017105950A JP 2018200641 A JP2018200641 A JP 2018200641A
Authority
JP
Japan
Prior art keywords
parent
name
abnormality detection
parent process
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017105950A
Other languages
English (en)
Inventor
荘也 青山
Soya Aoyama
荘也 青山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017105950A priority Critical patent/JP2018200641A/ja
Priority to US15/981,073 priority patent/US20180341770A1/en
Publication of JP2018200641A publication Critical patent/JP2018200641A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】未知のマルウェアによる異常を検出する。
【解決手段】実施形態の異常検知プログラムは、格納する処理と、取得する処理と、比較する処理と、出力する処理とをコンピュータに実行させる。格納する処理は、プロセスごとの情報を記憶するプロセス記憶部にプロセス間の親子関係を示す情報を格納する。取得する処理は、プロセス記憶部より所定のプロセスの親プロセスのプロセス名と、プロセスの親プロセスの親プロセスのプロセス名とを取得する。比較する処理は、親プロセスのプロセス名と、親プロセスの親プロセスのプロセス名とを比較する。出力する処理は、比較の結果、プロセス名同士がともに所定の名称である場合に異常を出力する。
【選択図】図1

Description

本発明の実施形態は、異常検知プログラム、異常検知方法および情報処理装置に関する。
従来、ネットワークにおいて、不正に機器に感染するコンピュータウィルス、ワーム、スパイウェアなどのマルウェアによる異常を検出する方法が存在する。この異常検出では、ウイルス定義データベースを使用したパターンマッチングによるウイルス対策ソフトが知られている。また、プロセスが実行されて特定の関数が呼び出された場合にフッキングしてプロセスの実行を一時中断させ、コールスタックリターンアドレス情報を分析することにより悪性行為を探知する技術が知られている。
特開2015−141718号公報
しかしながら、上記の従来技術では、未知のマルウェアによる異常を検出することが困難であるという問題がある。
例えば、マルウェアなどを秘密裏にダウンロードさせ、ダウンロードしたマルウェアを実行させる攻撃手法の一つにDrive by Downloadがある。このDrive by Downloadでは、Windows(登録商標)などのOS(Operating System)における標準ブラウザや、そのブラウザのプラグインの脆弱性を突いて秘密裏にマルウェアがダウンロードされ、実行される。このため、ダウンロードされるマルウェアには、多種多様にわたり派生する亜種もあり、ウイルス定義データベースに含まれていない未知のマルウェアが含まれることがある。
1つの側面では、未知のマルウェアによる異常を検知できる異常検知プログラム、異常検知方法および情報処理装置を提供することを目的とする。
第1の案では、異常検知プログラムは、格納する処理と、取得する処理と、比較する処理と、出力する処理とをコンピュータに実行させる。格納する処理は、プロセスごとの情報を記憶するプロセス記憶部にプロセス間の親子関係を示す情報を格納する。取得する処理は、プロセス記憶部より所定のプロセスの親プロセスのプロセス名と、プロセスの親プロセスの親プロセスのプロセス名とを取得する。比較する処理は、親プロセスのプロセス名と、親プロセスの親プロセスのプロセス名とを比較する。出力する処理は、比較の結果、プロセス名同士がともに所定の名称である場合に異常を出力する。
本発明の1実施態様によれば、未知のマルウェアによる異常を検知できる。
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。 図2は、プロセスツリーを例示する説明図である。 図3は、プロセスデータベースの一例を説明する説明図である。 図4は、実施形態にかかる情報処理装置の動作例を示すフローチャートである。 図5は、実施形態にかかる情報処理装置のハードウエア構成例を示すブロック図である。
以下、図面を参照して、実施形態にかかる異常検知プログラム、異常検知方法および情報処理装置を説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明する異常検知プログラム、異常検知方法および情報処理装置は、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。実施形態にかかる情報処理装置1は、例えば、PC(パーソナルコンピュータ)、タブレット端末などのコンピュータである。図1に示すように、情報処理装置1は、OS10、異常検知処理部20、プロセスデータベース30および表示部40を有する。
情報処理装置1は、OS10の実行環境のもと、異常検知プログラムを実行することで、異常検知処理部20としての機能を実現する。異常検知処理部20は、不正に機器に感染するコンピュータウィルス、ワーム、スパイウェアなどの脅威となるマルウェアによる異常を検知してアラートを出力する異常検知処理を行う。
具体的には、異常検知処理部20は、ウイルス定義データベースなどを活用するパターンマッチング型のマルウェア検出ではなく、アプリケーションプログラムなどによるプロセスを監視し、マルウェアが動作することで起こる様々な異常事象を検知してマルウェアの検出を行う。
Windows(登録商標)などのOS10は、プログラムの実行に伴うプロセスについて、プロセスを識別するプロセスIDを付与して各プロセスの生成・実行・消滅を管理する。OS10で管理される各プロセスには、生成元のプロセス(親プロセス)から新たに生成されるプロセスのように、プロセス間に親子関係を有するものがある。例えば、複数のタブを用いて1つのウィンドウ内で複数のウェブページを表示するブラウザなどについては、ブラウザのプロセスを親プロセスとして各タブにかかるプロセスが親子関係を有するものとして管理される。
マルウェアなどを秘密裏にダウンロードさせ、ダウンロードしたマルウェアを実行させる攻撃手法の一つであるDrive by Downloadは、OS10の標準ブラウザやそのプラグインの脆弱性を突いて攻撃されることが非常に多い。このように、ブラウザやそのプラグインの脆弱性を突く攻撃では、攻撃によって生成されるプロセスがブラウザのプロセスと親子関係を有する。そして、プロセスの親子関係を示すプロセスツリーにおいては、複数のタブを用いるブラウザにおける通常のプロセスツリーとは異なる、特徴的な事象を示す場合がある。
図2は、プロセスツリーを例示する説明図である。図2に示すように、Windows(登録商標)の標準ブラウザであるInternet Explorer(登録商標)が起動している場合は、ケースC1のようなプロセスツリーとなる。具体的には、アプリケーションA1に対応する1つのプロセスP1(親プロセス)に対し、タブを開いた分のプロセスP2が生成される。また、プロセスP1、P2におけるプロセス名はともに「iexplor.exe」となる。
また、Internet ExplorerにおいてWebサイトにあるファイルをダウンロードして実行した場合には、ケースC2のようなプロセスツリーとなる。具体的には、アプリケーションA1に対応する1つのプロセスP1(親プロセス)に対し、タブと同列にダウンロードのプロセスP2が生成される。なお、プロセスP2におけるダウンロードのプロセス名は、例えば「process.exe」などのように「iexplor.exe」とは別の名称となる。
これに対し、Internet Explorerにマルウェアがダウンロードされて攻撃者の支配下となり、そのマルウェアから新たなプロセスが起動された場合には、ケースC3のようなプロセスツリーとなる。具体的には、アプリケーションA1に対応するプロセスP1よりタブに応じて生成されたプロセスP2を親プロセスとして、マルウェアのプロセスP3が生成される。すなわち、マルウェアのプロセスP3に対する親プロセスはプロセスP2であり、プロセスP3に対する親プロセスの親プロセスがプロセスP1となる。よって、マルウェアのプロセスP3に対する親プロセスのプロセス名と、プロセスP3に対する親プロセスの親プロセスのプロセス名とは、ともにブラウザに対応する「iexplor.exe」となる。
このように、マルウェアから新たなプロセスP3が起動された場合のプロセスツリーは、ケースC1、C2のプロセスツリーとは異なる、特徴的な事象を示す。なお、上記の例ではブラウザがInternet Explorerの場合を例示したが、chrome(登録商標)などの場合も同様である。例えば、chromeにマルウェアがダウンロードされて攻撃者の支配下となった場合は、マルウェアのプロセスP3に対する親プロセスのプロセス名と、プロセスP3に対する親プロセスの親プロセスのプロセス名とは、ともにブラウザに対応する「chrome.exe」となる。
したがって、異常検知処理部20は、マルウェアから新たなプロセスP3が起動された場合のプロセスツリーにおける特徴的な事象(異常)を検知することで、マルウェアの検出を行う。具体的には、異常検知処理部20は、所定のプロセスの親プロセスのプロセス名と、そのプロセスの親プロセスの親プロセスのプロセス名とが、ともに「iexplor.exe」などの所定の名称である場合に異常を出力する。このようなマルウェア検知により、情報処理装置1は、ウイルス定義データベースなどに未登録である、未知のマルウェアであっても検出することができる。
異常検知処理部20は、格納部21、取得部22、比較部23および出力部24を有する。格納部21は、OS10より各プロセスの情報を取得し、プロセスごとの情報を記憶するプロセスデータベース30にプロセス間の親子関係を示す情報を格納する。具体的には、格納部21は、OS10にかかるAPI(Application Programming Interface)を使用することで、各プロセスの情報を取得する。そして、格納部21は、取得した情報をプロセスデータベース30に格納する。
プロセスデータベース30は、プロセスごとの情報を管理するデータベースである。すなわち、プロセスデータベース30は、プロセス記憶部の一例である。
図3は、プロセスデータベース30の一例を説明する説明図である。図3に示すように、プロセスデータベース30は、各プロセスについて、プロセスおよびプロセスにおける親プロセスを識別する識別情報(プロセスIDおよび親プロセスID)とともに、プロセス名などのプロセスにかかる情報を格納する。
図3の例では、プロセスIDが「5380」のプロセスについては、親プロセスのプロセスIDが「5524」であり、プロセス名の「iexplor.exe」がパス付きで示されている。同様に、プロセスIDが「5524」の親プロセスについては、親プロセスの親プロセスのプロセスIDが「2084」であり、プロセス名の「iexplor.exe」がパス付きで示されている。このように、プロセスデータベース30には、プロセス間の親子関係を示す情報が格納される。
取得部22は、プロセス間の親子関係を示す情報をもとに、プロセスデータベース30より所定のプロセスの親プロセスのプロセス名と、そのプロセスの親プロセスの親プロセスのプロセス名とを取得する。具体的には、取得部22は、プロセスデータベース30より各プロセスにおける親プロセスのプロセスIDを辿っていくことで、プロセスの親プロセスのプロセス名と、そのプロセスの親プロセスの親プロセスのプロセス名とを取得する。
比較部23は、取得部22が取得した親プロセスのプロセス名と、親プロセスの親プロセスのプロセス名とを比較する。比較部23は、比較の結果を出力部24に出力する。
出力部24は、比較部23による比較の結果、親プロセスのプロセス名と、親プロセスの親プロセスのプロセス名とのプロセス名同士がともに「iexplor.exe」などの所定の名称である場合に異常であることを示すアラートを出力する。具体的には、出力部24は、プロセスツリーにおける特徴的な事象(異常)を検知したことから、マルウェアによる攻撃が疑われるなどとするアラート(警告)を出力する。
出力部24におけるアラートの出力は、例えば、表示部40におけるポップアップメッセージ、バルーン表示などがある。また、出力部24は、通信部(図示しない)を介した所定のアドレス宛へのメール送信によりアラートを出力してもよい。また、比較部23は、ログファイル(図示しない)への記録としてアラートを出力してもよい。ユーザは、これらの出力を確認することで、マルウェアの攻撃を認識できる。
表示部40は、ディスプレイなどへの表示出力を行う。例えば、表示部40は、プロセスデータベース30より出力されたアラートをディスプレイなどへ表示する。これにより、ユーザは、アラートの内容を確認することができる。
図4は、実施形態にかかる情報処理装置1の動作例を示すフローチャートである。図4に示すように、処理が開始されると、格納部21は、APIを介してOS10におけるプロセス生成イベントの有無を監視し、プロセスが生成されたか否かを判定する(S1)。プロセス生成イベントが発生しておらず、プロセスの生成がない場合(S1:NO)、格納部21は処理を待機する。
プロセスの生成がある場合(S1:YES)、格納部21は、APIを介してOS10よりプロセスにかかる情報を取得し、生成されたプロセスの親子関係の情報をプロセスデータベース30に格納する(S2)。次いで、取得部22は、生成されたプロセスの親プロセスの情報をプロセスデータベース30より取得する(S3)。具体的には、取得部22は、生成されたプロセスの親プロセスを示すプロセスIDより親プロセスのプロセス名を取得する。
次いで、比較部23は、S3において取得した親プロセスのプロセス名がIE(iexplor.exe)であるか否かを判定する(S4)。IEでない場合(S4:NO)、比較部23は処理を終了する。
IEである場合(S4:YES)、取得部22は、生成されたプロセスの親プロセスの親プロセスの情報をプロセスデータベース30より取得する(S5)。具体的には、取得部22は、生成されたプロセスの親プロセスを示すプロセスIDより親プロセスの親プロセスのプロセスIDを取得する。次いで、取得部22は、取得したプロセスIDより親プロセスの親プロセスのプロセス名を取得する。
次いで、比較部23は、S5において取得した親プロセスの親プロセスのプロセス名がIE(iexplor.exe)であるか否かを判定する(S6)。IEでない場合(S6:NO)、比較部23は処理を終了する。
IEである場合(S6:YES)、出力部24は、マルウェアによる攻撃が疑われるなどとするアラート(警告)を表示部40による表示などによりユーザに出力する(S7)。
以上のように、情報処理装置1の格納部21は、プロセスごとの情報を記憶するプロセスデータベース30にプロセス間の親子関係を示す情報を格納する。情報処理装置1の取得部22は、プロセスデータベース30より所定のプロセスの親プロセスのプロセス名と、そのプロセスの親プロセスの親プロセスのプロセス名とを取得する。情報処理装置1の比較部23は、取得部22が取得した親プロセスのプロセス名と、親プロセスの親プロセスのプロセス名とを比較する。情報処理装置1の出力部24は、比較部23による比較の結果、プロセス名同士がともに所定の名称である場合にマルウェアによる攻撃を示す異常を出力する。これにより、情報処理装置1は、例えば、Drive by Downloadなどの攻撃手法によりウイルス定義データベースなどに未登録である、未知のマルウェアがダウンロードされて実行される場合であっても、異常を検出することができる。
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
また、情報処理装置1で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。また、情報処理装置1で行われる各種処理機能は、クラウドコンピューティングにより、複数のコンピュータが協働して実行してもよい。
ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施形態と同様の機能を有するプログラムを実行するコンピュータ(ハードウエア)の一例を説明する。図5は、実施形態にかかる情報処理装置1のハードウエア構成例を示すブロック図である。
図5に示すように、情報処理装置1は、各種演算処理を実行するCPU101と、データ入力を受け付ける入力装置102と、モニタ103と、スピーカ104とを有する。また、情報処理装置1は、記憶媒体からプログラム等を読み取る媒体読取装置105と、各種装置と接続するためのインタフェース装置106と、有線または無線により外部機器と通信接続するための通信装置107とを有する。また、情報処理装置1は、各種情報を一時記憶するRAM108と、ハードディスク装置109とを有する。また、情報処理装置1内の各部(101〜109)は、バス110に接続される。
ハードディスク装置109には、上記の実施形態で説明した異常検知処理部20における格納部21、取得部22、比較部23および出力部24などで各種の処理を実行するためのプログラム111が記憶される。また、ハードディスク装置109には、プログラム111が参照する各種データ112が記憶される。入力装置102は、例えば、情報処理装置1の操作者から操作情報の入力を受け付ける。モニタ103は、例えば、操作者が操作する各種画面を表示する。インタフェース装置106は、例えば印刷装置等が接続される。通信装置107は、LAN(Local Area Network)等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。
CPU101は、ハードディスク装置109に記憶されたプログラム111を読み出して、RAM108に展開して実行することで、各種の処理を行う。なお、プログラム111は、ハードディスク装置109に記憶されていなくてもよい。例えば、情報処理装置1が読み取り可能な記憶媒体に記憶されたプログラム111を読み出して実行するようにしてもよい。情報処理装置1が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこのプログラム111を記憶させておき、情報処理装置1がこれらからプログラム111を読み出して実行するようにしてもよい。
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)プロセスごとの情報を記憶するプロセス記憶部にプロセス間の親子関係を示す情報を格納し、
前記プロセス記憶部より所定のプロセスの親プロセスのプロセス名と、前記プロセスの親プロセスの親プロセスのプロセス名とを取得し、
前記親プロセスのプロセス名と、前記親プロセスの親プロセスのプロセス名とを比較し、
前記比較の結果、プロセス名同士がともに所定の名称である場合に異常を出力する、
処理をコンピュータに実行させることを特徴とする異常検知プログラム。
(付記2)前記出力する処理は、前記比較の結果において、前記親プロセスのプロセス名と、前記親プロセスの親プロセスのプロセス名とがともにiexplor.exeである場合に異常を出力する、
ことを特徴とする付記1に記載の異常検知プログラム。
(付記3)プロセスごとの情報を記憶するプロセス記憶部にプロセス間の親子関係を示す情報を格納し、
前記プロセス記憶部より所定のプロセスの親プロセスのプロセス名と、前記プロセスの親プロセスの親プロセスのプロセス名とを取得し、
前記親プロセスのプロセス名と、前記親プロセスの親プロセスのプロセス名とを比較し、
前記比較の結果、プロセス名同士がともに所定の名称である場合に異常を出力する、
処理をコンピュータが実行することを特徴とする異常検知方法。
(付記4)前記出力する処理は、前記比較の結果において、前記親プロセスのプロセス名と、前記親プロセスの親プロセスのプロセス名とがともにiexplor.exeである場合に異常を出力する、
ことを特徴とする付記3に記載の異常検知方法。
(付記5)プロセスごとの情報を記憶するプロセス記憶部にプロセス間の親子関係を示す情報を格納する格納部と、
前記プロセス記憶部より所定のプロセスの親プロセスのプロセス名と、前記プロセスの親プロセスの親プロセスのプロセス名とを取得する取得部と、
前記親プロセスのプロセス名と、前記親プロセスの親プロセスのプロセス名とを比較する比較部と、
前記比較の結果、プロセス名同士がともに所定の名称である場合に異常を出力する出力部と、
を有することを特徴とする情報処理装置。
(付記6)前記出力部は、前記比較の結果において、前記親プロセスのプロセス名と、前記親プロセスの親プロセスのプロセス名とがともにiexplor.exeである場合に異常を出力する、
ことを特徴とする付記5に記載の情報処理装置。
1…情報処理装置
10…OS
20…異常検知処理部
21…格納部
22…取得部
23…比較部
24…出力部
30…プロセスデータベース
40…表示部
101…CPU
102…入力装置
103…モニタ
104…スピーカ
105…媒体読取装置
106…インタフェース装置
107…通信装置
108…RAM
109…ハードディスク装置
110…バス
111…プログラム
112…各種データ
A1…アプリケーション
C1〜C3…ケース
P1〜P4…プロセス

Claims (4)

  1. プロセスごとの情報を記憶するプロセス記憶部にプロセス間の親子関係を示す情報を格納し、
    前記プロセス記憶部より所定のプロセスの親プロセスのプロセス名と、前記プロセスの親プロセスの親プロセスのプロセス名とを取得し、
    前記親プロセスのプロセス名と、前記親プロセスの親プロセスのプロセス名とを比較し、
    前記比較の結果、プロセス名同士がともに所定の名称である場合に異常を出力する、
    処理をコンピュータに実行させることを特徴とする異常検知プログラム。
  2. 前記出力する処理は、前記比較の結果において、前記親プロセスのプロセス名と、前記親プロセスの親プロセスのプロセス名とがともにiexplor.exeである場合に異常を出力する、
    ことを特徴とする請求項1に記載の異常検知プログラム。
  3. プロセスごとの情報を記憶するプロセス記憶部にプロセス間の親子関係を示す情報を格納し、
    前記プロセス記憶部より所定のプロセスの親プロセスのプロセス名と、前記プロセスの親プロセスの親プロセスのプロセス名とを取得し、
    前記親プロセスのプロセス名と、前記親プロセスの親プロセスのプロセス名とを比較し、
    前記比較の結果、プロセス名同士がともに所定の名称である場合に異常を出力する、
    処理をコンピュータが実行することを特徴とする異常検知方法。
  4. プロセスごとの情報を記憶するプロセス記憶部にプロセス間の親子関係を示す情報を格納する格納部と、
    前記プロセス記憶部より所定のプロセスの親プロセスのプロセス名と、前記プロセスの親プロセスの親プロセスのプロセス名とを取得する取得部と、
    前記親プロセスのプロセス名と、前記親プロセスの親プロセスのプロセス名とを比較する比較部と、
    前記比較の結果、プロセス名同士がともに所定の名称である場合に異常を出力する出力部と、
    を有することを特徴とする情報処理装置。
JP2017105950A 2017-05-29 2017-05-29 異常検知プログラム、異常検知方法および情報処理装置 Pending JP2018200641A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017105950A JP2018200641A (ja) 2017-05-29 2017-05-29 異常検知プログラム、異常検知方法および情報処理装置
US15/981,073 US20180341770A1 (en) 2017-05-29 2018-05-16 Anomaly detection method and anomaly detection apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017105950A JP2018200641A (ja) 2017-05-29 2017-05-29 異常検知プログラム、異常検知方法および情報処理装置

Publications (1)

Publication Number Publication Date
JP2018200641A true JP2018200641A (ja) 2018-12-20

Family

ID=64401684

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017105950A Pending JP2018200641A (ja) 2017-05-29 2017-05-29 異常検知プログラム、異常検知方法および情報処理装置

Country Status (2)

Country Link
US (1) US20180341770A1 (ja)
JP (1) JP2018200641A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210084003A (ko) * 2019-12-27 2021-07-07 주식회사 안랩 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11416608B2 (en) * 2020-05-29 2022-08-16 Microsoft Technology Licensing, Llc Layered analysis for network security risk detection
CN112182579B (zh) * 2020-08-28 2024-05-28 杭州数梦工场科技有限公司 进程名单生成方法及装置、异常进程检测方法及装置
CN112989323B (zh) * 2021-02-03 2024-02-13 成都欧珀通信科技有限公司 进程检测方法、装置、终端及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060085857A1 (en) * 2004-10-19 2006-04-20 Fujitsu Limited Network virus activity detecting system, method, and program, and storage medium storing said program
JP2011053893A (ja) * 2009-09-01 2011-03-17 Hitachi Ltd 不正プロセス検知方法および不正プロセス検知システム
JP2014164536A (ja) * 2013-02-26 2014-09-08 Nec Corp 検証装置、検証方法、及びプログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009134772A2 (en) * 2008-04-29 2009-11-05 Maxiscale, Inc Peer-to-peer redundant file server system and methods
US8695094B2 (en) * 2008-06-24 2014-04-08 International Business Machines Corporation Detecting secondary infections in virus scanning
US8607345B1 (en) * 2008-12-16 2013-12-10 Trend Micro Incorporated Method and apparatus for generic malware downloader detection and prevention
US8572740B2 (en) * 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
US9501644B2 (en) * 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US10389743B1 (en) * 2016-12-22 2019-08-20 Symantec Corporation Tracking of software executables that come from untrusted locations
US10558809B1 (en) * 2017-04-12 2020-02-11 Architecture Technology Corporation Software assurance system for runtime environments

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060085857A1 (en) * 2004-10-19 2006-04-20 Fujitsu Limited Network virus activity detecting system, method, and program, and storage medium storing said program
JP2006119754A (ja) * 2004-10-19 2006-05-11 Fujitsu Ltd ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
JP2011053893A (ja) * 2009-09-01 2011-03-17 Hitachi Ltd 不正プロセス検知方法および不正プロセス検知システム
JP2014164536A (ja) * 2013-02-26 2014-09-08 Nec Corp 検証装置、検証方法、及びプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
今松 憲一: "脆弱性を攻撃されたWebブラウザにおけるAppContainerの防御効果", JPCERT/CC EYES[ONLINE], JPN6021004730, 20 July 2016 (2016-07-20), ISSN: 0004571815 *
八木 毅 ほか, 実践サイバーセキュリティモニタリング, JPN6021004731, 15 May 2016 (2016-05-15), JP, pages 41 - 45, ISSN: 0004571816 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210084003A (ko) * 2019-12-27 2021-07-07 주식회사 안랩 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법
KR102355556B1 (ko) 2019-12-27 2022-01-26 주식회사 안랩 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법

Also Published As

Publication number Publication date
US20180341770A1 (en) 2018-11-29

Similar Documents

Publication Publication Date Title
US10872151B1 (en) System and method for triggering analysis of an object for malware in response to modification of that object
US10462173B1 (en) Malware detection verification and enhancement by coordinating endpoint and malware detection systems
KR100951852B1 (ko) 응용 프로그램 비정상행위 차단 장치 및 방법
CN109583202B (zh) 用于检测进程的地址空间中的恶意代码的系统和方法
JP2014038596A (ja) 悪意ある実行ファイルの識別方法
JP2018200641A (ja) 異常検知プログラム、異常検知方法および情報処理装置
JP2018200642A (ja) 脅威検出プログラム、脅威検出方法および情報処理装置
JP5779334B2 (ja) 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム
US10198309B2 (en) Unexpected event detection during execution of an application
JP2010182019A (ja) 異常検知装置およびプログラム
TWI622894B (zh) 電子裝置及偵測惡意檔案的方法
CN111183620B (zh) 入侵调查
Lobo et al. Rbacs: Rootkit behavioral analysis and classification system
Monnappa Automating linux malware analysis using limon sandbox
JP2011258019A (ja) 異常検知装置、異常検知プログラムおよび異常検知方法
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
US10650142B1 (en) Systems and methods for detecting potentially malicious hardware-related anomalies
US9881155B2 (en) System and method for automatic use-after-free exploit detection
KR100985071B1 (ko) 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치
CN110659478A (zh) 在隔离的环境中检测阻止分析的恶意文件的方法
EP3848835B1 (en) Systems and methods for protecting against unauthorized memory dump modification
JP2018198000A (ja) 監視プログラム、監視方法および情報処理装置
AU2019298538B2 (en) Generation device, generation method, and generation program
CN116611058A (zh) 一种勒索病毒检测方法及相关系统
CH716699A2 (it) Sistemi e metodi per contrastare la rimozione di informazioni di scienza digitale forense da parte di software dannosi.

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200310

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210216

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210817