JP2019067031A - 不正ソフトウエア検知システム - Google Patents

不正ソフトウエア検知システム Download PDF

Info

Publication number
JP2019067031A
JP2019067031A JP2017190060A JP2017190060A JP2019067031A JP 2019067031 A JP2019067031 A JP 2019067031A JP 2017190060 A JP2017190060 A JP 2017190060A JP 2017190060 A JP2017190060 A JP 2017190060A JP 2019067031 A JP2019067031 A JP 2019067031A
Authority
JP
Japan
Prior art keywords
file
detection system
unauthorized
prefetch
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017190060A
Other languages
English (en)
Inventor
貴彦 太田
Takahiko Ota
貴彦 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Azbil Corp
Original Assignee
Azbil Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Azbil Corp filed Critical Azbil Corp
Priority to JP2017190060A priority Critical patent/JP2019067031A/ja
Publication of JP2019067031A publication Critical patent/JP2019067031A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Testing And Monitoring For Control Systems (AREA)

Abstract

【課題】システムを停止させることなく、また誤認識などを抑制した状態で、不正ソフトウエアが実行されたことを検知できるようにする。【解決手段】検出部102は、記憶部101に記憶されている情報では特定されない新たなプリフェッチファイルが発生したことを検出する。検出部102は、記憶部101に記憶されている情報では特定されない新たなプリフェッチファイルが発生した場合、また、更新されたプリフェッチファイルが記憶部101に記憶されている情報に一致しない場合、新たなプリフェッチファイルが発生したものとして検出する。判断部103は、検出部102が新たなプリフェッチファイルの発生を検出すると不正プログラムが実行されたものと判断する。【選択図】 図1

Description

本発明は、不正なソフトウエアを検知する不正ソフトウエア検知システムに関する。
例えば、建築物に付帯している各設備の監視制御や、プラントなどの制御には制御システムが用いられ、更に機器管理システムが用いられている場合がある。例えば、機器管理システムでは、フィールドバスなどのネットワークにより接続している現場に設置されたプロセス機器や各種センサなどのフィールド機器との間で信号をやりとりし、従来では可搬型端末を現場でフィールド機器に直結して行っていた較正を上位からのパラメータ設定で行い、また、フィールド機器が正常に動作している状態に関する診断結果を表示し、例えば、警報などの発令を行っている。
上述したように、制御システムや機器管理システムは、ネットワークに接続されているため、ネットワークを経由した外部からの不正アクセスが大きな問題となる。例えば、ウイルスやマルウエアなどの不正なプログラムの侵入により、システム内の各種機器が様々に不正操作され、甚大な損害を被る可能性がある。このような問題を防ぐためには、例えば、待機系の構成部に対してのみ、ウイルス感染のチェックなどのセキュリティ処理を行う技術が提案されている(特許文献1参照)。この技術によれば、ウイルス対策ソフトウエアの実行による制御,監視の動作の遅れを招くことがなく、セキュリティ処理が実施できる。
特開2013−134626号公報
ところで、ウイルスやマルウエアなどの感染など不正なソフトウエアの侵入を防ぐためには、上述したような対策ソフトウエアの導入が有効である。また、システムで用いられているオペレーティングシステムソフトウエアなどの基本ソフトウエアの更新により、基本ソフトウエアの脆弱性を解消することも重要である。また、対策ソフトウエアにおいても、新たなウイルスなどへの対応のために、更新することが重要となる。
しかしながら、制御システムや機器管理システムは、安定した運転を常時行う必要があるため、対策ソフトウエアの導入、基本ソフトウエアや対策ソフトウエアの更新のために、システムを停止させることは困難である。また、対策ソフトウエアによっては、システムで用いられているアプリケーションプログラムを、ウイルスやマルウエアと誤認して停止させてしまう場合もある。
本発明は、以上のような問題点を解消するためになされたものであり、システムを停止させることなく、また誤認識などを抑制した状態で、不正ソフトウエアが実行されたことを検知できるようにすることを目的とする。
本発明に係る不正ソフトウエア検知システムは、プログラムの初期起動時にプリフェッチファイルを生成するプリフェッチ機能を備える基本ソフトウエアが動作する不正ソフトウエア検知システムであって、基本ソフトウエアにより既に生成されたプリフェッチファイルの情報を記憶する記憶部と、記憶部に記憶されている情報では特定されない新たなプリフェッチファイルが生成されたことを検出するように構成された検出部と、検出部が新たなプリフェッチファイルの発生を検出すると不正プログラムが実行されたものと判断するように構成された判断部とを備える。
上記不正ソフトウエア検知システムにおいて、ファイルを受け付けるように構成された受付部を更に備え、不正プログラムは、受付部が受け付けたファイルに含まれている。例えば、受付部は、基本ソフトウエアが動作して不正プログラムの実行の監視対象となる機器がネットワークより受け付けるファイルを、ネットワークより受け付ける。また、例えば、受付部は、自システムに接続された外部記憶装置よりファイルを受け付ける。
上記の不正ソフトウエア検知システムにおいて、検出部は、記憶部に記憶されている情報で特定されるファイル名以外のファイル名のプリフェッチファイルの発生を検出する。
上記不正ソフトウエア検知システムにおいて、記憶部に記憶されている情報は、対応するプログラムの起動時に実行されるアプリケーションプログラムのファイル名、アプリケーションプログラムのパス、および対応するプログラムの起動時に読み込まれるファイルを含み、検出部は、記憶部に記憶されている情報で特定されるファイル名が同じで、アプリケーションプログラムのファイル名、アプリケーションプログラムのパスが異なるプリフェッチファイル、または対応するプログラムの起動時に読み込まれるファイルが異なるプリフェッチファイルの発生を検出する。
上記不正ソフトウエア検知システムにおいて、記憶部は、不正プログラムが実行されていない状態で所定期間に生成されたプリフェッチファイルの情報を記憶する。
上記不正ソフトウエア検知システムにおいて、記憶部は、自システムが新規ファイルの受け付けを所定期間停止している間に生成されたプリフェッチファイルの情報を記憶する。
上記不正ソフトウエア検知システムにおいて、検出部が検出したプリフェッチファイルが、正規のプリフェッチファイルと判断された場合に、検出部が検出したプリフェッチファイルの情報を記憶部に記憶するように構成された情報追記部を更に備えるようにしてもよい。
以上説明したように、本発明によれば、基本ソフトウエアが既に生成したプリフェッチファイルの情報では特定されない新たなプリフェッチファイルが発生したことを検出するようにしたので、システムを停止させることなく、また誤認識などを抑制した状態で、不正ソフトウエアが実行されたことを検知できるという優れた効果が得られる。
図1は、本発明の実施の形態1における不正ソフトウエア検知システムの構成を示す構成図である。 図2は、本発明の実施の形態2における不正ソフトウエア検知システムの構成を示す構成図である。
以下、本発明の実施の形態について説明する。
[実施の形態1]
はじめに、本発明の実施の形態1における不正ソフトウエア検知システムについて、図1を参照して説明する。この不正ソフトウエア検知システムは、記憶部101、検出部102、判断部103を備える。
ここで、この装置は、CPU(Central Processing Unit;中央演算処理装置)104と主記憶装置105と外部記憶装置106とを備えたコンピュータ機器である。主記憶装置105に展開されたプログラムに含まれる基本ソフトウエアによりCPU104が動作する。基本ソフトウエアは、例えばマイクロソフトウエア社製のウインドウズ(登録商標)などのオペレーティングシステムソフトウエアである。この種の基本ソフトウエアは、よく知られているプリフェッチ機能を有している。プリフェッチ機能は、プログラムの初期起動時にプリフェッチファイルを生成(作成)する。このプリフェッチファイルを利用することで、当該プログラムの次回の起動時の起動の高速化が図られる。
記憶部101は、基本ソフトウエアが既に生成したプリフェッチファイルの情報を記憶する。例えば、記憶部101は、プリフェッチファイルのファイル名、対応するプログラムの起動時に実行されるアプリケーションプログラムのファイル名、アプリケーションプログラムのパス、および対応するプログラムの起動時に主記憶装置105に読み込まれるファイルなどの情報を記憶している。
検出部102は、記憶部101に記憶されている情報では特定されない新たなプリフェッチファイルが発生したことを検出する。検出部102は、記憶部101に記憶されている情報では特定されない新たなプリフェッチファイルが発生した場合、また、更新されたプリフェッチファイルが記憶部101に記憶されている情報に一致しない場合、新たなプリフェッチファイルが発生したものとして検出する。判断部103は、検出部102が新たなプリフェッチファイルの発生を検出すると不正プログラムが実行されたものと判断する。
検出部102は、例えば、記憶部101に記憶されている情報で特定されるファイル名以外のファイル名のプリフェッチファイルの発生を検出する。また、検出部102は、記憶部101に記憶されている情報で特定されるファイル名が同じで、アプリケーションプログラムのファイル名、アプリケーションプログラムのパスが異なるプリフェッチファイル、または対応するプログラムの起動時に主記憶装置105に読み込まれるファイルが異なるプリフェッチファイルの発生を検出するようにしてもよい。
判断部103で、不正プログラムが実行されたものと判断されると、不正ソフトウエア検知システムは、この旨を、管理者などに通知する。例えば、管理者が操作しているコンソールに、アラートを立てるなどにより不正プログラムが実行されたことを通知する。
例えば、記憶部101は、不正プログラムが実行されていない状態で所定期間に生成されたプリフェッチファイルの情報を記憶している。通常、不正なプログラムは、不正ソフトウエア検知システムが外部より新たなファイルを受け付けた場合に導入される。従って、例えば、不正ソフトウエア検知システム(自システム)における新たなファイルの受け付けを、所定期間停止しておけば、この間は不正なプログラムが実行されていない状態と考えることができる。
このため、上述した状態においては、記憶部101には、正規なプログラムが実行されてことにより生成されたプリフェッチファイルの情報のみが記憶されていることになる。また、不正ソフトウエア検知システムにおいては、正規に新たなファイルが受け付けられ、新たな正規のプログラムが実行されることはない。従って、この状態において新たなプリフェッチファイルが発生した場合、不正プログラムが実行されたものと判断することができる。また、正規なプログラムのファイル名に偽装した不正プログラムの場合も、実行されるプログラムは新たなパス情報となっているため、新たなプリフェッチファイルが発生するので検出されることになる。
ここで、プリフェッチ機能では、プログラムが一度実行された後、設定されている期間の間再度実行されない場合、プリフェッチファイルを削除する場合がある。この場合、一度実行されている正規なプログラムが実行された場合であっても、新たにプリフェッチファイルが生成される(発生する)ことになる。このため、単にプリフェッチファイルの発生を検出したのみでは、正規なプログラムの実行を不正なものと誤判断する場合が発生する。
これに対し、実施の形態1では、記憶部101に基本ソフトウエアのプリフェッチ機能が既に生成したプリフェッチファイルの情報を記憶しておく。従って、実施の形態1では、設定されている期間実行されずにプリフェッチファイルが削除されているプログラムであっても、過去に一度実行されてプリフェッチファイルが生成されていれば、この情報が記憶部101に記憶さている。この記憶部101に記憶されている情報をもとに、検出部102は、新たなプリフェッチファイルの発生を検出するので、正規なプログラムの実行によりプリフェッチファイルが再度生成された(発生した)場合には、不正なものとは判断されない。
以上に説明したように、実施の形態1によれば、誤認識などを抑制した状態で、不正ソフトウエアが検知できる。また、プリフェッチファイルの生成を検出することで不正ソフトウエアを検知しているので、システムを停止させることがない。
[実施の形態2]
次に、本発明の実施の形態2における不正ソフトウエア検知システムついて図2を参照して説明する。この不正ソフトウエア検知システムは、記憶部101、検出部102、判断部103、CPU104、主記憶装置105、外部記憶装置106を備える。これらは、前述した実施の形態1と同様である。
実施の形態2では、更に、ファイルを受け付ける受付部107を備える。実施の形態2における不正ソフトウエア検知システムは、ネットワーク接続部108によりネットワーク121に接続している。また、ネットワーク121には、制御機器122が接続している。制御機器122は、不正ソフトウエア検知システムと同様に、基本ソフトウエアが動作している。制御器機122および制御器機122が含まれるシステムが、不正ソフトウエアが実行された可能性を判断する監視対象である。
受付部107は、制御機器122がネットワーク121より受け付けるファイルを、ネットワーク接続部108を介してネットワーク121より受け付ける。制御機器122は、例えば、現場に設置されたプロセス機器(不図示)や各種センサなどのフィールド機器(不図示)との間で信号をやりとりし、動作設定を行い、測定結果を受信し、受信した測定結果をもとに上記機器の制御を行う。このような制御機器122で受け付けられるファイルは、通常、実行されるプログラムは含まれていない。このため、制御機器122で受け付けられたファイルにプログラムが含まれており、これが実行されれば、不正プログラムであるものと判断できる。
受付部107では、制御機器122が受け付けるファイルを受け付ける。また、不正ソフトウエア検知システムは、制御機器122と同じ基本ソフトウエアが動作している。このため、受付部107が受け付けたファイルに、制御機器122で不正に動作する不正プログラムが含まれていれば、不正ソフトウエア検知システムにおいても同様に動作する。従って、受付部107が受け付けたファイルに上記不正プログラムが含まれていれば、新たなプリフェッチファイルが発生し、検出部102で検出される。
この結果、受付部107が受け付けたファイルに上記不正プログラムが含まれていれば、判断部103で不正プログラムが実行された可能性があるものと判断される。上述したように、受付部107が受け付けたファイルは、例えば制御機器122でも受け付けられる可能性があり、判断部103で不正プログラムが実行されたもの判断された場合、制御機器122でも不正プログラムが実行された可能性があるものと判断できる。
上述したように、判断部103により不正プログラムの実行が判断されると、この旨が、管理者などに通知される。なお、受付部107は、自システムに接続された、フラッシュメモリなどの外部記憶装置よりファイルを受け付けるようにしてもよい。この場合、外部記憶装置より受け付けたファイルにおける不正プログラムの実行が検知される。
また、検出部102が検出したプリフェッチファイルが、正規のプリフェッチファイルと判断された場合に、検出部102が検出したプリフェッチファイルの情報を記憶部101に記憶する情報追記部(不図示)を備えるようにしてもよい。
以上に説明したように、本発明によれば、基本ソフトウエアが既に生成したプリフェッチファイルの情報では特定されない新たなプリフェッチファイルが発生したことを検出するようにしたので、システムを停止させることなく、また誤認識などを抑制した状態で、不正ソフトウエアが実行されたことを検知できるようになる。なお、記憶部101、検出部102、判断部103により実現される機能も、CPU104の動作により実現できる。
なお、本発明は以上に説明した実施の形態に限定されるものではなく、本発明の技術的思想内で、当分野において通常の知識を有する者により、多くの変形および組み合わせが実施可能であることは明白である。
101…記憶部、102…検出部、103…判断部、104…CPU(Central Processing Unit;中央演算処理装置)、105…主記憶装置、106…外部記憶装置。

Claims (9)

  1. プログラムの初期起動時にプリフェッチファイルを生成するプリフェッチ機能を備える基本ソフトウエアが動作する不正ソフトウエア検知システムであって、
    前記基本ソフトウエアにより既に生成されたプリフェッチファイルの情報を記憶する記憶部と、
    前記記憶部に記憶されている情報では特定されない新たなプリフェッチファイルが生成されたことを検出するように構成された検出部と、
    前記検出部が新たなプリフェッチファイルの発生を検出すると不正プログラムが実行されたものと判断するように構成された判断部と
    を備えることを特徴とする不正ソフトウエア検知システム。
  2. 請求項1記載の不正ソフトウエア検知システムにおいて、
    ファイルを受け付けるように構成された受付部を更に備え、
    前記不正プログラムは、前記受付部が受け付けた前記ファイルに含まれていることを特徴とする不正ソフトウエア検知システム。
  3. 請求項2記載の不正ソフトウエア検知システムにおいて、
    前記受付部は、前記基本ソフトウエアが動作して前記不正プログラムの実行の監視対象となる機器がネットワークより受け付ける前記ファイルを、前記ネットワークより受け付ける
    ことを特徴とする不正ソフトウエア検知システム。
  4. 請求項2記載の不正ソフトウエア検知システムにおいて、
    前記受付部は、自システムに接続された外部記憶装置より前記ファイルを受け付けることを特徴とする不正ソフトウエア検知システム。
  5. 請求項1〜4のいずれか1項に記載の不正ソフトウエア検知システムにおいて、
    前記検出部は、前記記憶部に記憶されている情報で特定されるファイル名以外のファイル名のプリフェッチファイルの発生を検出する
    ことを特徴とする不正ソフトウエア検知システム。
  6. 請求項1〜4のいずれか1項に記載の不正ソフトウエア検知システムにおいて、
    前記記憶部に記憶されている情報は、対応するプログラムの起動時に実行されるアプリケーションプログラムのファイル名、前記アプリケーションプログラムのパス、および対応するプログラムの起動時に読み込まれるファイルを含み、
    前記検出部は、前記記憶部に記憶されている情報で特定されるファイル名が同じで、前記アプリケーションプログラムのファイル名、前記アプリケーションプログラムのパスが異なるプリフェッチファイル、または対応するプログラムの起動時に読み込まれるファイルが異なるプリフェッチファイルの発生を検出する
    ことを特徴とする不正ソフトウエア検知システム。
  7. 請求項1〜6のいずれか1項に記載の不正ソフトウエア検知システムにおいて、
    前記記憶部は、前記不正プログラムが実行されていない状態で所定期間に生成されたプリフェッチファイルの情報を記憶する
    ことを特徴とする不正ソフトウエア検知システム。
  8. 請求項1〜6のいずれか1項に記載の不正ソフトウエア検知システムにおいて、
    前記記憶部は、自システムが新規ファイルの受け付けを所定期間停止している間に生成されたプリフェッチファイルの情報を記憶する
    ことを特徴とする不正ソフトウエア検知システム。
  9. 請求項1〜7のいずれか1項に記載の不正ソフトウエア検知システムにおいて、
    前記検出部が検出したプリフェッチファイルが、正規のプリフェッチファイルと判断された場合に、前記検出部が検出したプリフェッチファイルの情報を前記記憶部に記憶するように構成された情報追記部
    を更に備えることを特徴とする不正ソフトウエア検知システム。
JP2017190060A 2017-09-29 2017-09-29 不正ソフトウエア検知システム Pending JP2019067031A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017190060A JP2019067031A (ja) 2017-09-29 2017-09-29 不正ソフトウエア検知システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017190060A JP2019067031A (ja) 2017-09-29 2017-09-29 不正ソフトウエア検知システム

Publications (1)

Publication Number Publication Date
JP2019067031A true JP2019067031A (ja) 2019-04-25

Family

ID=66337803

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017190060A Pending JP2019067031A (ja) 2017-09-29 2017-09-29 不正ソフトウエア検知システム

Country Status (1)

Country Link
JP (1) JP2019067031A (ja)

Similar Documents

Publication Publication Date Title
EP2754085B1 (en) Verifying firmware integrity of a device
US9779240B2 (en) System and method for hypervisor-based security
US20140053267A1 (en) Method for identifying malicious executables
KR100897849B1 (ko) 비정상 프로세스 탐지 방법 및 장치
JP6176622B2 (ja) マルウェアの検出方法
KR101701014B1 (ko) 운영 체제에의 악성 활동 보고
US20070266435A1 (en) System and method for intrusion detection in a computer system
US11120124B2 (en) Method for detecting a deviation of a security state of a computing device from a desired security state
US20200104503A1 (en) Information processing apparatus, information processing method, and computer readable medium
JP6000465B2 (ja) プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法
US11055416B2 (en) Detecting vulnerabilities in applications during execution
JP2004126854A (ja) 攻撃対策装置
US10686812B2 (en) Device and method for detecting manipulation of a program code
KR101568872B1 (ko) 프로그램 이상흐름 검출 장치 및 방법
CN110941825B (zh) 一种应用监控方法及装置
KR101311367B1 (ko) 메모리 보호기능 우회 공격 진단 장치 및 방법
CN111931192A (zh) rootkit检测方法、装置及电子设备
US20180226136A1 (en) System management mode test operations
KR100985071B1 (ko) 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치
JP2019067031A (ja) 不正ソフトウエア検知システム
EP3614285A1 (en) Active testing of access control policy
US10637877B1 (en) Network computer security system
JP2006053760A (ja) バッファオーバーフロー脆弱性分析方法、データ処理装置、分析情報提供装置、分析情報抽出処理用プログラムおよび分析情報提供処理用プログラム
US11328055B2 (en) Process verification
CN113687869B (zh) 一种兼容txt功能和asd功能的方法和装置