JP2019075131A - ファイル・アクセス監視方法、プログラム、および、システム - Google Patents
ファイル・アクセス監視方法、プログラム、および、システム Download PDFInfo
- Publication number
- JP2019075131A JP2019075131A JP2018220425A JP2018220425A JP2019075131A JP 2019075131 A JP2019075131 A JP 2019075131A JP 2018220425 A JP2018220425 A JP 2018220425A JP 2018220425 A JP2018220425 A JP 2018220425A JP 2019075131 A JP2019075131 A JP 2019075131A
- Authority
- JP
- Japan
- Prior art keywords
- file access
- ransomware
- file
- record
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
Description
所定の時刻にファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出す第一のステップと、前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択する第二のステップと、前記許可されたファイル・アクセスのレコードと予め保存された条件とを比較する第三のステップと、前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出す第四のステップとを含むランサムウェア検知方法を提供することで上記課題を解決する。
前記ファイル・アクセス・ログ監視手段は、所定の時刻に前記ファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出し、前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択し、前記許可されたファイル・アクセスのレコードと前記不正ファイル・アクセス・パターン保存手段に予め保存された条件とを比較し、前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出すランサムウェア検知システムを提供することで上記課題を解決する。
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、前記不正ファイル・アクセス・パターン保存手段に保存された所定のアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なう段落0018、または、段落0019に記載のランサムウェア検知システムを提供することで上記課題を解決する。
(1)アクセス元のユーザー端末(104)からのファイル・アクセス遮断。これは、ファイル・サーバー(105)のアクセス制御機能(203)に指令を送ることで実現可能である。ユーザー端末(104)上でエージェント・ソフトウェアを稼働しておき、ランサムウェアの感染が疑われるユーザー端末(104)上で稼働するエージェント・ソフトウェアに対して指令を送ることで実現してもよい。この場合に、指令を受けたエージェント・ソフトウェアはユーザー端末(104)を社内ネットワーク(103)から切り離すことでファイル・アクセスを遮断してよい。
(2)アクセス元のユーザー端末(104)画面へのメッセージ表示。これは、ユーザー端末(104)上でエージェント・ソフトウェアを稼働しておき、ランサムウェアの感染が疑われるユーザー端末(104)上で稼働するエージェント・ソフトウェアに対して指令を送ることで実現してもよい。
(3)システム管理者の端末画面へのメッセージ表示。通常、システム管理者は、システムの状況を監視するための管理ソフトウェアを稼働しており、そのような管理ソフトウェアはコンソールにメッセージを表示するためのインターフェースを開放しているので、当該インターフェースを介してメッセージが表示可能である。
(4)システム管理者へのメール送付。
(5)オンラインになっているバックアップファイルの切り離し。
(6)不正アクセス・ログ(109)へのランサムウェア攻撃情報の保存。
本願発明は、従来型のファイル・アクセス制御では防ぐことができなかったランサムウェアの被害を最小限に食い止めることができる点で技術的に顕著な優位性を有する。
Claims (12)
- コンピューターにより実行されるランサムウェア検知方法であって、
所定の時刻にファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出す第一のステップと、
前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択する第二のステップと、
前記許可されたファイル・アクセスのレコードと予め保存された条件とを比較する第三のステップと、
前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出す第四のステップとを含むランサムウェア検知方法。 - 前記第三のステップは、
前記許可されたファイル・アクセスのレコード中の、予め監視対象として保存されたファイル・アクセス種別を含むレコードの件数をカウントするステップと、
前記カウントされた件数が予め保存された閾値以上である場合にランサムウェアの攻撃があると判定するステップとを含む
請求項1に記載のランサムウェア検知方法。 - 前記第三のステップは、
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、予め保存されたアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なうステップをさらに含む
請求項1、または、請求項2に記載のランサムウェア検知方法。 - 前記第四のステップは、
ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信するステップを含む
請求項1、請求項2、または、請求項3に記載のランサムウェア検知方法。 - 所定の時刻にファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出す第一の命令群と、
前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択する第二の命令群と、
前記許可されたファイル・アクセスのレコードと予め保存された条件とを比較する第三の命令群と、
前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出す第四の命令群とを含むランサムウェア検知プログラム。 - 前記第三の命令群は、
前記許可されたファイル・アクセスのレコード中の、予め監視対象として保存されたファイル・アクセス種別を含むレコードの件数をカウントする命令群と、
前記カウントされた件数が予め保存された閾値以上である場合にランサムウェアの攻撃があると判定する命令群とを含む
請求項5に記載のランサムウェア検知プログラム。 - 前記第三の命令群は、
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、予め保存されたアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なう命令群を含む
請求項5、または、請求項6に記載のランサムウェア検知プログラム。 - 前記第四の命令群は、
ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信する命令群を含む
請求項5、請求項6、または、請求項7に記載のランサムウェア検知プログラム。 - ファイル・アクセス制御手段とファイル・アクセス・ログ保存手段とを備えた情報システムと共に使用される、ファイル・アクセス・ログ監視手段と不正ファイル・アクセス・パターン保存手段とを備えたランサムウェア検知システムであって、
前記ファイル・アクセス・ログ監視手段は、所定の時刻に前記ファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出し、
前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択し、
前記許可されたファイル・アクセスのレコードと前記不正ファイル・アクセス・パターン保存手段に予め保存された条件とを比較し、
前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出すランサムウェア検知システム。 - 前記予め保存された条件は監視対象ファイル・アクセス種別とその所定期間内の件数の閾値であり、
前記ファイル・アクセス・ログ監視手段は、前記許可されたファイル・アクセスのレコード中の前記監視対象ファイル・アクセス種別を含むレコードの件数が前記閾値を越えた場合に、ランサムウェアによる攻撃があると判定する請求項9に記載のランサムウェア検知システム。 - 前記ファイル・アクセス・ログ監視手段は、
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、前記不正ファイル・アクセス・パターン保存手段に保存された所定のアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なう
請求項9、または、請求項10に記載のランサムウェア検知システム。 - 前記ファイル・アクセス・ログ監視手段は、さらに、
ランサムウェアによる攻撃があると判定された場合に、前記ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信する
請求項9、請求項10、または、請求項11に記載のランサムウェア検知システム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017198080 | 2017-10-11 | ||
JP2017198080 | 2017-10-11 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018556001A Division JP6442649B1 (ja) | 2017-10-11 | 2018-09-04 | ファイル・アクセス監視方法、プログラム、および、システム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2019075131A true JP2019075131A (ja) | 2019-05-16 |
JP2019075131A5 JP2019075131A5 (ja) | 2021-10-14 |
JP7123488B2 JP7123488B2 (ja) | 2022-08-23 |
Family
ID=66101552
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018220425A Active JP7123488B2 (ja) | 2017-10-11 | 2018-11-26 | ファイル・アクセス監視方法、プログラム、および、システム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP7123488B2 (ja) |
WO (1) | WO2019073720A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111444503B (zh) * | 2020-03-25 | 2023-11-07 | 深信服科技股份有限公司 | 一种检测勒索病毒的方法、装置、系统和介质 |
CN111626860B (zh) * | 2020-07-24 | 2020-11-20 | 成都寻道数财科技有限公司 | 结合历史和实时财务数据判断高频交易的系统及方法 |
CN113572778A (zh) * | 2021-07-27 | 2021-10-29 | 北京卫达信息技术有限公司 | 检测非法侵入网络的方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007026081A (ja) * | 2005-07-15 | 2007-02-01 | Canon Inc | プログラム |
US20110082838A1 (en) * | 2009-10-07 | 2011-04-07 | F-Secure Oyj | Computer security method and apparatus |
US20160378988A1 (en) * | 2015-06-26 | 2016-12-29 | Quick Heal Technologies Private Limited | Anti-ransomware |
JP2017068822A (ja) * | 2015-09-30 | 2017-04-06 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意あるデータ暗号化プログラムの検出のためのシステムおよび方法 |
JP2018128910A (ja) * | 2017-02-09 | 2018-08-16 | Sky株式会社 | アクセス監視システム |
-
2018
- 2018-09-04 WO PCT/JP2018/032766 patent/WO2019073720A1/ja active Application Filing
- 2018-11-26 JP JP2018220425A patent/JP7123488B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007026081A (ja) * | 2005-07-15 | 2007-02-01 | Canon Inc | プログラム |
US20110082838A1 (en) * | 2009-10-07 | 2011-04-07 | F-Secure Oyj | Computer security method and apparatus |
US20160378988A1 (en) * | 2015-06-26 | 2016-12-29 | Quick Heal Technologies Private Limited | Anti-ransomware |
JP2017068822A (ja) * | 2015-09-30 | 2017-04-06 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意あるデータ暗号化プログラムの検出のためのシステムおよび方法 |
JP2018128910A (ja) * | 2017-02-09 | 2018-08-16 | Sky株式会社 | アクセス監視システム |
Also Published As
Publication number | Publication date |
---|---|
WO2019073720A1 (ja) | 2019-04-18 |
JP7123488B2 (ja) | 2022-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109766699B (zh) | 操作行为的拦截方法及装置、存储介质、电子装置 | |
US9213836B2 (en) | System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages | |
US20030159070A1 (en) | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages | |
EP2345977B1 (en) | Client computer for protecting confidential file, server computer therefor, method therefor, and computer program | |
US20040034794A1 (en) | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages | |
WO2001092981A2 (en) | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
US9485271B1 (en) | Systems and methods for anomaly-based detection of compromised IT administration accounts | |
KR20170024428A (ko) | 네트워크 보안 시스템 및 보안 방법 | |
JP7123488B2 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
JP6442649B1 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
KR101614809B1 (ko) | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 | |
Belmabrouk | Cyber Criminals and Data Privacy Measures | |
GB2404262A (en) | Protection for computers against malicious programs using a security system which performs automatic segregation of programs | |
CN113239349B (zh) | 一种电力监控系统网络安全测试方法 | |
Powers et al. | Whitelist malware defense for embedded control system devices | |
Iordache | Database–Web Interface Vulnerabilities | |
Egerton et al. | Applying zero trust security principles to defence mechanisms against data exfiltration attacks | |
Ruha | Cybersecurity of computer networks | |
Pill | 10 Database Attacks | |
Waziri et al. | Data loss prevention and challenges faced in their deployments | |
Victor et al. | Data loss prevention and challenges faced in their deployments | |
Droppa et al. | Cyber security state in real environment | |
Yazbek | Hackers and Their Companion Viruses Are An Increasing Problem, Especially on the Internet. What Are the Most Important Measurers for a Firm to Take to Protect Itself from This? Is Full Protection Feasible? Why or Why Not? |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210902 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210902 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20210910 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220809 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220809 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7123488 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |