JP2019114076A - 情報処理システム、情報処理方法、情報処理装置、及びプログラム - Google Patents

情報処理システム、情報処理方法、情報処理装置、及びプログラム Download PDF

Info

Publication number
JP2019114076A
JP2019114076A JP2017247259A JP2017247259A JP2019114076A JP 2019114076 A JP2019114076 A JP 2019114076A JP 2017247259 A JP2017247259 A JP 2017247259A JP 2017247259 A JP2017247259 A JP 2017247259A JP 2019114076 A JP2019114076 A JP 2019114076A
Authority
JP
Japan
Prior art keywords
file
information
request
information processing
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017247259A
Other languages
English (en)
Other versions
JP6902994B2 (ja
JP2019114076A5 (ja
Inventor
直子 近藤
Naoko Kondo
直子 近藤
智 米川
Satoshi Yonekawa
智 米川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Electronics Inc
Original Assignee
Canon Electronics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Electronics Inc filed Critical Canon Electronics Inc
Priority to JP2017247259A priority Critical patent/JP6902994B2/ja
Publication of JP2019114076A publication Critical patent/JP2019114076A/ja
Publication of JP2019114076A5 publication Critical patent/JP2019114076A5/ja
Application granted granted Critical
Publication of JP6902994B2 publication Critical patent/JP6902994B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Information Transfer Between Computers (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】従来よりも重要性の高いファイルに対する履歴を選択的に記録することができる情報処理システムを提供する。【解決手段】情報処理装置52は、ファイル要求取得部521、ファイル要求解析部522、ファイル操作取得部523、ファイル操作解析部524、ファイル要求リスト記憶部525、履歴記録部526を有する。ファイル要求取得部は、通信パケットを取得する。ファイル操作取得部は、ファイルシステムドライバへのアクセス要求を検出し、ファイル操作を取得する。ファイル要求解析部は、ファイル操作解析部の解析結果を参照し、ファイル要求取得部から転送された通信パケットを解析する。ファイル操作解析部は、ファイル要求リスト記憶部のファイル要求情報を参照し、ファイル操作取得部から転送されたファイル操作を解析する。ファイル要求解析部とファイル操作解析部は、それぞれ解析した結果に基づき、履歴情報を作成し履歴記録部へ転送する。【選択図】図6

Description

本発明は、情報処理システム、情報処理方法、情報処理装置及びプログラムに関する。
企業等においてはローカルエリアネットワークに複数のパーソナルコンピュータ(PC)が接続されている。一般的に、ローカルエリアネットワークはファイアウォール等を介して外部のインターネットに接続されている。また、企業の従業員等であるPCの利用者は、PCに予めインストールされたソフトウェアであるWebブラウザを用い、インターネットを経由して、社外に設置されたWebサーバーに接続する。そして、使用者はWebブラウザを用いて、WebサーバーにHTML形式等で保存された文書や画像を閲覧する。
また、近年、コンピュータやコンピュータ利用者に害をなす不正な動作を行うソフトウェアや悪質なコード(例えば、マルウェア)が蔓延している。マルウェアの感染経路は様々であるが、マルウェアの多くはネットワークを介して侵入する。よって、通信履歴(例えば、Web閲覧履歴)を取得することは、マルウェア感染に関する分析のために重要な情報となる。
特許文献1には、Web閲覧履歴の簡略化と、履歴データベースの肥大化の防止のために、通信パケットに含まれるファイル属性情報(例えば、ファイルの拡張子)に基づいて、Web閲覧履歴を作成する技術が開示されている。
特開2008−242814号公報
しかしながら、特許文献1に記載の技術では、ファイル属性情報であるファイルの拡張子に基づいてWeb閲覧履歴を作成するため、ユーザーによって選択されなかった拡張子(例えば、「.JS」)は、履歴として記録されない。よって、例えば、履歴を記録するファイル拡張子として「.JS」をユーザーが選択していなかった場合、「.JS」の拡張子をもつ画像ファイルに偽装されて侵入したマルウェアの履歴情報が記録されないという問題がある。
一方、履歴情報を記録する際に、ファイル拡張子のフィルタをはずすと、必要のない情報まで記憶するため、情報処理装置の記憶容量を圧迫するという問題がある。
そこで、本発明は、このような課題および他の課題のうち、少なくとも1つを解決する
ことを目的とする。本発明は従来よりも重要性の高いファイルに対する履歴を選択的に記録することを目的とする。
本発明は、情報処理システムであって、ファイル要求を取得する第一の取得手段と、ファイル操作を取得する第二の取得手段と、前記第二の取得手段にて取得されたファイル操作に基づいて、前記第一の取得手段にて取得されたファイル要求を記録するか否かを判定する判定手段とを備えることを特徴とする。
本発明によれば、従来よりも重要性の高いファイルに対する履歴を選択的に記録することができる。
ユーザーが閲覧したWebページの例を示す図である。 ユーザー(又はユーザーのPC21)がWebサーバー22にアクセスして、ユーザーのPC21のWebブラウザにWebページを表示するまでの流れを示す図である。 記録される履歴の一例を示す図である。 記録される履歴の一例を示す図である。 情報処理装置(又はコンピュータ)52のハードウェア構成の一例を示す図である。 実施形態1におけるシステム構成及び情報処理装置52の機能構成の一例を示す図である。 ファイルシステムドライバへのアクセス要求を検出するためのプログラム構造を示す図である。 実施形態において、通信パケット取得時の処理を示すフローチャートである。 ファイル要求リストの一例を示す図である。 実施形態1において、ファイルシステムドライバへのアクセス要求を補足時の処理の流れの一例を示すフローチャートである。 履歴情報に基づいたトレースの一例を示す図である。 実施形態2におけるシステム構成及び情報処理装置52、情報収集装置55、情報解析装置56の機能構成の一例を示す図である。 実施形態3におけるシステム構成及び情報処理装置52、情報解析装置56の機能構成の一例を示す図である。
以下、添付図面を参照し、本発明の好適な実施形態について説明する。ただし、この実施形態に記載されている構成要素はあくまでも例示であり、本発明の範囲をそれらのみに限定する主旨のものではない。また、実施形態で説明されている特徴の組み合わせの全てが発明の解決手段に必須のものとは限らない。
<実施形態1>
まず、通信パケットを収集し履歴情報として記録する例を、図1から図4までを用いて説明する。図1は、ユーザーが閲覧したWebページの例を示す図である。図2は、ユーザー(又はユーザーのPC21)がWebサーバー22にアクセスして、ユーザーのPC21のWebブラウザにWebページを表示するまでの流れを示す図である。
図1の11は、HTML(Hyper Text Markup Language)言語によるページ本文をWebブラウザで表示した画面(Webページ)である。社員等は、例えば「www.abcdef.co.jp」のURLを自身のPC21のWebブラウザから入力し、Webサーバー(WWW)22に送信する(図2のステップS23)。
このことにより、Webサーバー22は「www.abcdef.co.jp/index.html」というファイルをPC21のWebブラウザに送信する(図2のステップS24)。
PC21のWebブラウザはこのファイルを受信すると、そのHTMLソース中に含まれている2個の画像(図1の12及び13)のファイル情報を検知する。つまり、Webブラウザは、「www.abcdef.co.jp/top/japanese.gif」と、「www.abcdef.co.jp/top/english.gif」とを検知し、各画像ファイルをWebサーバー22に要求する(図2のステップS25)。
Webサーバー22は、この要求に応じて各画像ファイルをPC21のWebブラウザに送信し(図2のステップS26)、図1に示されるWebページ11の表示が完成する。
この場合に、PC21によって記録される履歴の一例を図3に示す。図1の画面表示に関して、図3に示すように3つの履歴(31、32、33)が記録されており、記憶容量が必要以上に大きくなってしまう。
また、ファイル拡張子フィルタにより「.gif」を指定した場合に記録される履歴の一例を図4に示す。ファイル拡張子フィルタをかけることによって、記憶容量を削減しつつ、ユーザーが意図してWebブラウザに表示させた「www.abcdef.co.jp」のファイル要求の履歴(41)は記録されている。しかし、仮にファイル要求された履歴(32及び33)が、マルウェアを画像ファイルに偽装させたものであった場合、マルウェア感染に関する分析のための有意な情報を記録できない。
そこで、図6を用いて、本実施形態に係るシステムについて説明する。図6は、実施形態1におけるシステム構成及び情報処理装置52の機能構成の一例を示す図である。図6において52は、情報処理装置を示し、例えば一般的なパーソナルコンピュータ(PC)である。なお、情報処理装置52には、Webブラウザがインストールされているものとする。
情報処理装置52は、情報提供装置53が提供するWebページにアクセスした履歴を記録する。情報提供装置53は、例えば、インターネットやイントラネット上に設置されたWebサーバー等である。つまり、情報提供装置53と、情報処理装置52とはネットワーク54を介して通信可能に接続されている。
情報処理装置52は、機能構成として、ファイル要求取得部521(第一の取得手段)、ファイル要求解析部522(第一の分析手段)、ファイル操作取得部523(第二の取得手段)、ファイル操作解析部524(第二の分析手段)、ファイル要求リスト記憶部525、履歴記録部526を有している。
ファイル要求取得部521(例えば、パケットキャプチャドライバ)は、ネットワーク54から受信される/ネットワーク54へ送信される通信パケットを取得しファイル要求解析部522へ転送する。ファイル要求解析部522は、ファイル操作解析部524が解析した結果を参照し、ファイル要求取得部521から転送された通信パケットを解析する。
また、ファイル要求解析部522は、解析した結果に基づき履歴情報を作成し履歴記録部526へ転送する。または、ファイル要求リスト記憶部525に記憶させるためのファイル要求情報を作成し、ファイル要求リスト記憶部525へ格納する。
ファイル操作取得部523は、ファイルシステムドライバへのアクセス要求を検出し、ファイル操作を取得しファイル操作解析部524へ転送する。ファイルシステムドライバへのアクセス要求を検出するプログラム構造については後述する。
ファイル操作解析部524は、ファイル要求リスト記憶部525に格納されているファイル要求情報を参照し、ファイル操作取得部523から転送されたファイル操作を解析する。また、ファイル操作解析部524は、解析した結果に基づき履歴情報を作成し履歴記録部526へ転送する。
ファイル要求リスト記憶部525は、ファイル要求解析部522が作成したファイル要求情報を格納したファイル要求リストを、後述するHDD107等に記憶する。履歴記録部526は、ファイル要求解析部522、または、ファイル操作解析部524が作成した履歴情報をHDD107等に記録する。
情報処理装置52は、ファイアウォール51を経てネットワーク54に接続され、ユーザーの閲覧要求に応じて、ユーザーが閲覧したいWebページを所有する情報提供装置53にアクセス要求する。このことで、情報処理装置52のユーザーは閲覧したいWebページを閲覧することができる。
図5は、情報処理装置(又はコンピュータ)52のハードウェア構成の一例を示す図である。図5に示されるように、情報処理装置52は、ハードウェア構成としてCPU101、ROM102、RAM103、入力装置104、表示装置105、通信装置106、HDD107を有する。CPU101は、情報処理装置全体の制御を司る。ROM102には、CPU101によって実行される、電源投入時に最初に読み込まれるプログラム等が記憶されている。RAM103は、CPU101がプログラムを実行するためのワークエリアとして使用される。入力装置104は、各種データ及びコマンドの入力を行う。なお、入力装置104の一例としては、例えば、マウスやキーボード、又はスタイラスペン(ペン)、又は光学式デジタイザ等である。
表示装置105は、各種データ、又はウィンドウ等の表示及び入力装置104の操作に対応するカーソルを表示する。通信装置106は、外部端末からデータを取得したり、外部端末にデータを送信したりする。HDD107は、後述する履歴情報、ファイル要求リストテーブル等を記憶するエリアとして使用される。また、HDD107には、以下に示す履歴情報の記録等に関するアプリケーションプログラムが記憶されている。
CPU101が、HDD107に記憶されているアプリケーションプログラムをRAM103上に読み出して、このアプリケーションプログラムに基づいて、処理を実行することにより、上述した機能、又は後述するフローチャートに係る処理を実現する。
図7は、ファイル操作取得部523が、ファイルシステムドライバへのアクセス要求を検出するためのプログラム構造を示す図である。ファイルシステムは、一般に、論理ドライブごとに存在する。また、アプリケーションプログラム71は、ファイルシステムドライバ73を介してファイルシステムにアクセスする。ファイルシステムドライバ73は、たとえば、「NTFS」や「FAT」「FAT32」といったファイルシステムを操作するためのドライバである。
本実施形態では、アプリケーションプログラム71とファイルシステムドライバ73との間にファイル操作取得部523にあたるフィルタドライバ72が配置されている。フィルタドライバ72は、ファイルシステムドライバ73に対して発行されるアクセス要求をすべて監視し、補足することができるため、補足したアクセス要求に含まれている情報について、アクセス要求の抽出、アクセス要求の改変、アクセス要求の破棄等を行うことが可能である。通常、フィルタドライバ72は、アクセス要求をファイルシステムドライバ73に転送する。
フィルタドライバ72は、アクセス要求に含まれている情報を抽出し、ファイル操作解析部524のプログラムにあたるファイル操作解析プログラム74に転送する。これにより、ファイル操作解析プログラム74は、アプリケーションプログラム71が、いつ、どのディレクトリのどのファイルへアクセスしたか、どのようなファイル操作を実行したか等を解析することが可能となる。また、ファイル操作解析プログラム74は、解析した結果をファイル要求解析部522、履歴記録部526に転送する。
図7において、アプリケーションプログラム71は、例えば、文書編集アプリケーション、表計算アプリケーションなどのアプリケーションプログラムに限らず、ウイルスプログラムなどのマルウェアでもよい。フィルタドライバ72は、アプリケーションプログラム71からファイルシステムドライバ73へのアクセス要求を補足(インターセプト)して、アクセス要求から抽出した情報を、ファイル操作解析プログラム74に転送する。
ここで、ファイル操作解析プログラム74に転送される情報としては、どのアプリケーション(例えば、プロセス名、プロセスID等)から、どのファイルシステムのどのファイル(例えば、パス名を含むファイル名等)にアクセス要求があったのかを特定可能な情報である。また、フィルタドライバ72は、アクセス要求だけではなく、すべてのファイルシステムの処理を監視し、補足することも可能である。
図8は、通信パケットを取得し、履歴を記録するまでの処理の流れの一例を示すフローチャートである。ステップS81において、ファイル要求取得部521は、ネットワークに送信される/ネットワークから受信されるパケットを取得する。取得されるパケットは、例えば、プロセス名、日時、宛先元/送信元アドレス、宛先元/送信元ホスト名、メソッド、URL、WWWサーバー名等である。ファイル要求取得部521は、ファイル要求解析部522へ取得したパケットを転送する。
続いて、ステップS82において、ファイル要求解析部522は、ステップS81にて転送されたパケットの内容から、ダウンロードを行ったか否かを判定する。ダウンロードを行ったか否かの判断は、パケットのメソッドを確認し、パケットのメソッドが「GET」である場合、ダウンロードを行ったと判定する。
ファイルのダウンロードを行っていないと判定した場合(ステップS82のNO)、ステップS83において、ファイル要求解析部522は、履歴情報を作成して履歴記録部526へ転送し、履歴記録部526は、ファイル要求解析部522から転送された履歴情報を記録し、処理を終了する。ダウンロードを行ったと判定した場合(ステップS82のYES)、ステップS84へ進む。
ステップS84において、ファイル要求解析部522は、ダウンロードされたファイルの保存先を示すファイルパスを取得する。様々なファイルパスの取得方法があるが、例えば、フィルタドライバ72によって情報処理装置52のファイル操作を監視して、ファイルのハッシュ値とファイルパスを含むファイル操作を記録しておく。ファイル要求解析部522において、ダウンロードされたファイルのハッシュ値を取得し、取得したハッシュ値について、ファイル操作記録を参照することによって、対応するファイルパスを取得することができる。
また、フィルタドライバ72によって情報処理装置52のファイル操作を監視し、ファイル名とファイルパスを含むファイル操作を記録しておく。ファイル要求解析部522において、ダウンロードされたファイルのファイル名を取得し、取得したファイル名についてファイル操作記録を参照することによって、対応するファイルパスを取得することができる。
ステップS85において、ファイル要求解析部522は、ステップS84にて取得したファイルの保存先が予め決められた特定のフォルダであるか否かを判定する。なお、フォルダに限定せず、ディレクトリでもよい。例えば、特定のフォルダは、「tempフォルダ」等である。ダウンロードされたファイルの保存先が、特定のフォルダか否かを判定するのは、例えば「tempフォルダ」以外にファイルをダウンロードする場合は、マルウェアの可能性が高いためである。
特定のフォルダであると判定した場合(ステップS85のYES)、ファイル要求解析部522は、ファイル要求リストへ格納するファイル要求情報を、ファイル要求リスト記憶部525へ転送し、ステップS86へ進む。ファイル要求リストへ格納するファイル要求情報については後述する。
特定のフォルダではないと判定した場合(ステップS85のNO)、ファイル要求解析部522は、履歴情報を作成して履歴記録部526へ転送し、ステップS83へ進む。ステップS83へ進んだ後の処理は上述した処理と同様である。
ステップS86において、ファイル要求リスト記憶部525は、ファイル要求解析部522から転送されたファイル要求リストへ格納するファイル要求情報を格納し、処理を終了する。ファイル要求リストの例を図9に示す。ファイル要求リストに格納される情報は、ファイルを一意に特定する情報と、履歴情報作成のために必要となる情報である。例えば、ファイルパス、プロセス名、日時、送信元アドレス、宛先元アドレス、送信元ホスト名、メソッド、URL、リンク元URL、WWWサーバー名等である。
図10は、ファイルシステムドライバへのアクセス要求を補足し、履歴を記録するまでの処理の流れの一例を示すフローチャートである。なお、以下の説明ではアクセス要求を読み込み要求として説明するが、これに限定されず、例えば、書き込み要求でもよい。
ステップS101において、ファイル操作取得部523はファイルシステムドライバへの読み込み要求(例えば、IRP_MJ_READ)を補足する。ファイル操作取得部523は、読み込み要求に含まれている情報をファイル操作解析部524へ転送し、ステップS102へ進む。
ステップS102において、ファイル操作解析部524は、ステップS101にてファイル操作取得部523から転送された読み込み要求から、ファイル操作の対象であるファイルパス(ファイル操作のアクセス先)を取得する。
続いて、ステップS103において、ファイル操作解析部524は、ステップS102で取得したファイルパスが、予め決められた特定のフォルダ内のパスであるか否かを判定する。例えば、特定のフォルダは、「tempフォルダ」等である。特定のフォルダ内のパスか否かを判定するのは、例えば「tempフォルダ」以外にファイルをダウンロードする場合は、マルウェアの可能性が高いためである。
特定のフォルダ内のパスであると判定した場合(ステップS103のYES)、ステップS104へ進む。ステップS104において、ファイル操作解析部524は、ファイル要求リスト記憶部525に記憶されているファイル要求リストを参照し、ステップS102で取得したファイルパスが、ファイル要求リストに記憶されているファイルパスと一致するレコードがあるか否かを判定する。
一致すると判定した場合(ステップS104のYES)、ステップS105において、ファイル操作解析部524は、ファイル操作(ファイル読み込み)を行っているプロセスのプロセス名と、ステップS104にてファイルパスが一致すると判定されたレコードのプロセス名が一致するか否かを判定する。プロセス名が一致しない場合、他のプロセスによる操作と判定する。プロセス名が一致するか否かを判定するのは、予め決められた特定のフォルダにダウンロードされたファイルに対して、ダウンロードしたプロセスとは異なるプロセスが操作した場合は、マルウェアの可能性が高いためである。
他のプロセスによる操作と判定した場合(ステップS105のYES)、ファイル操作解析部524は、判定に用いたレコードをもとに、履歴情報を作成して履歴記録部526へ転送し、ステップS106へ進む。
ステップS106において、履歴記録部526は、ファイル操作解析部524から転送された履歴情報を記録し、処理を終了する。なお、ステップS103乃至ステップS105の処理の順序は、これに限定されず、どのような順序でもよいし、各々並列に処理を実行してもよい。
なお、ファイル要求リストは、一定時間経過後に削除する構成にしてもよい。削除することにより、情報処理装置の記憶容量を削減することができる。
また、記録された履歴情報は、マルウェア感染に関する分析に活用することができる。図11は、履歴情報に基づいたトレースの一例を示す。ここでは、CPU101が、履歴情報に記憶されている操作の内容からバックトレースを実行する例を説明する。
履歴情報は、例えば、操作名、ファイルパス、プロセス名、メソッド、URL、リンク元URL、日時等を含んでいる。マルウェア(Malware.exe)を検索キーとして履歴情報を検索し、日時の新しい操作内容から順番に経路をバックトレースしていく。この例では、マルウェア(Malware.exe)が、2017年7月28日10時15分に、Reader.exeによって新規作成されていることがわかる。さらに、過去の履歴情報を遡ってゆくと、2017年7月28日10時15分に、ウイルス(Malware.exe)を新規作成したReader.exeによって、あるファイル(C:¥Temp¥01.js)が読み込まれたことがわかる。さらに、過去の操作履歴を遡り、あるファイル(C:¥Temp¥01js)は、browser.exeによって、新規作成されていることがわかる。そして、さらに、過去の操作履歴を遡り、あるファイル(C:¥Temp¥01.js)は、browser.exeによって、あるサイト(http://www.absdefg.co.jp)からダウンロードされたことを突き止めることができる。(図11の矢印)
図11から分かるように、ファイル操作の内容によって履歴情報を作成するか否かを判断することにより、例えば、「.js」を履歴ファイル拡張子としてユーザーが選択するしないにかかわらず、矢印で示す履歴を記録することができ、マルウェアの感染元を特定することができる。
上述した本実施形態によれば、ファイル操作の内容によって履歴情報を作成するか否かを判断することにより、重要性の高い履歴情報を選択的に記録することができる。
<実施形態2>
以下では、図12を参照して、本発明における実施形態2について説明する。本実施形態では、情報処理装置52にてファイル操作取得を、情報収集装置55にてファイル要求取得を行い、情報解析装置56にて履歴情報を記録する構成について説明する。なお、本実施形態の動作の大部分が実施形態1の動作と共通するため、ここでは、実施形態1と異なる動作についてのみ説明し、共通の動作については説明を省略する。
まず、図12を参照して、本実施形態における情報処理システムの構成例について説明する。情報処理システムは、図6に示す情報処理システムの構成に加えて、情報収集装置55、情報解析装置56を含む。情報収集装置55、情報解析装置56は、パーソナルコンピュータ(PC)やワークステーション(WS)等の情報処理装置により実現することができる。
情報収集装置55は、ファイル要求取得部521を備え、ネットワークを流れるパケットを取得する。情報解析装置56は、ファイル要求解析部522、ファイル操作解析部524、ファイル要求リスト記憶部525、履歴記録部526を備える。情報処理装置52、情報収集装置55、情報解析装置56はネットワークを介して接続されている。
情報処理装置52のファイル操作取得部523は、取得したアクセス要求を情報解析装置56のファイル操作解析部524へ転送する。情報収集装置55のファイル要求取得部521は、取得したパケットを情報解析装置56のファイル要求解析部522へ転送する。
取得したアクセス要求/パケットは、定期的に情報解析装置56に転送する。なお、転送するタイミングは、所定時間単位(例えば、2時間毎)、所定量以上のアクセス要求/パケットが蓄積された場合、情報処理装置52/情報収集装置55が起動した場合、情報解析装置56からの要求を受けた場合等、様々な条件を設定可能である。情報解析装置56は、実施形態1と同様に、図8、図10に示す処理を実行する。なお、情報収集装置55と、情報解析装置56とが同一上の装置で実現される構成でもよい。
<実施形態3>
次に、図13を参照して、本発明における実施形態3について説明する。本実施形態では、情報招致装置52にてファイル操作取得と、ファイル要求取得とを行い、情報解析装置56にて履歴情報を記録する構成について説明する。なお、本実施形態の動作の大部分が実施形態1及び実施形態2の動作と共通するため、共通の動作については説明を省略する。
図13を参照して、本実施形態における情報処理システムの構成例について説明する。情報処理装置52は、ファイル要求取得部521と、ファイル操作取得部523を備える。情報処理装置52のファイル要求取得部521は取得したパケットを、ファイル操作取得部523は取得したアクセス要求をファイル要求解析部522、情報解析装置56のファイル操作解析部524へ転送する。情報解析装置56は、実施形態1及び実施形態2と同様に、図8、図10に示す処理を実行する。
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実
施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又はコンピュータ
可読媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ
(またはCPUやMPU等)がプログラムを読み出して実行する処理である。

Claims (8)

  1. ファイル要求を取得する第一の取得手段と、
    ファイル操作を取得する第二の取得手段と、
    前記第二の取得手段にて取得されたファイル操作に基づいて、前記第一の取得手段にて取得されたファイル要求を記録するか否かを判定する判定手段と
    を備えることを特徴とする情報処理システム。
  2. 更に、
    前記第一の取得手段にて取得したファイル要求を分析する第一の分析手段を備え、
    前記第一の分析手段は、前記ファイル要求にダウンロードを示す情報があるか否かを判定する、または、前記ファイル要求の保存先が特定の保存先か否かを判定することを特徴とする請求項1に記載の情報処理システム。
  3. 更に、
    前記第二の取得手段にて取得したファイル操作を分析する第二の分析手段を備え、
    前記第二の分析手段は、前記ファイル操作のアクセス先が特定の保存先か否かを判定することを特徴とする請求項1または2に記載の情報処理システム。
  4. 前記第一の分析手段の判定結果に基づいて、ファイル要求リストを作成することを特徴とする請求項2に記載の情報処理システム。
  5. 前記第二の分析手段は、前記ファイル操作が前記ファイル要求リストに存在する場合、ファイルにアクセスしたプロセスと、前記ファイル要求を行ったプロセスとが一致するか否かを判定することを特徴とする請求項4に記載の情報処理システム。
  6. ファイル要求を取得する第一の取得工程と、
    ファイル操作を取得する第二の取得工程と、
    前記第二の取得工程にて取得されたファイル操作に基づいて、前記第一の取得工程にて取得されたファイル要求を記録するか否かを判定する判定工程と
    を備えることを特徴とする情報処理方法。
  7. ファイル要求を取得する第一の取得手段と、
    ファイル操作を取得する第二の取得手段と、
    前記第二の取得手段にて取得されたファイル操作に基づいて、前記第一の取得手段にて取得されたファイル要求を記録するか否かを判定する判定手段と
    を備えることを特徴とする情報処理装置。
  8. 請求項7に記載された情報処理装置が備える各手段としてコンピュータを機能させることを特徴とするプログラム。
JP2017247259A 2017-12-25 2017-12-25 情報処理システム、情報処理方法、情報処理装置、及びプログラム Active JP6902994B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017247259A JP6902994B2 (ja) 2017-12-25 2017-12-25 情報処理システム、情報処理方法、情報処理装置、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017247259A JP6902994B2 (ja) 2017-12-25 2017-12-25 情報処理システム、情報処理方法、情報処理装置、及びプログラム

Publications (3)

Publication Number Publication Date
JP2019114076A true JP2019114076A (ja) 2019-07-11
JP2019114076A5 JP2019114076A5 (ja) 2020-05-21
JP6902994B2 JP6902994B2 (ja) 2021-07-14

Family

ID=67221568

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017247259A Active JP6902994B2 (ja) 2017-12-25 2017-12-25 情報処理システム、情報処理方法、情報処理装置、及びプログラム

Country Status (1)

Country Link
JP (1) JP6902994B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021096594A (ja) * 2019-12-16 2021-06-24 株式会社ソニー・インタラクティブエンタテインメント 情報処理装置およびファイルアクセス方法
US11836367B2 (en) 2019-12-16 2023-12-05 Sony Interactive Entertainment Inc. Information processing device and file access method
US11914689B2 (en) 2020-09-17 2024-02-27 Fujifilm Business Innovation Corp. Information processing apparatus and non-transitory computer readable medium
US12013821B2 (en) 2019-12-16 2024-06-18 Sony Interactive Entertainment Inc. Information processing apparatus and file recording method

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021096594A (ja) * 2019-12-16 2021-06-24 株式会社ソニー・インタラクティブエンタテインメント 情報処理装置およびファイルアクセス方法
JP7321917B2 (ja) 2019-12-16 2023-08-07 株式会社ソニー・インタラクティブエンタテインメント 情報処理装置およびファイルアクセス方法
US11836367B2 (en) 2019-12-16 2023-12-05 Sony Interactive Entertainment Inc. Information processing device and file access method
US11983177B2 (en) 2019-12-16 2024-05-14 Sony Interactive Entertainment Inc. Information processing device and file access method
US12013821B2 (en) 2019-12-16 2024-06-18 Sony Interactive Entertainment Inc. Information processing apparatus and file recording method
US11914689B2 (en) 2020-09-17 2024-02-27 Fujifilm Business Innovation Corp. Information processing apparatus and non-transitory computer readable medium

Also Published As

Publication number Publication date
JP6902994B2 (ja) 2021-07-14

Similar Documents

Publication Publication Date Title
JP4889657B2 (ja) コンピュータシステムのエンドユーザに表示される情報の提示を変更する技術
JP5199003B2 (ja) 管理装置及び計算機システム
Oh et al. Advanced evidence collection and analysis of web browser activity
KR100705411B1 (ko) 로컬 컴퓨터 검색 시스템 및 이를 이용한 로컬 컴퓨터 검색방법
JP4906672B2 (ja) ウェブアプリケーションの処理記録方法および処理記録装置
JP6902994B2 (ja) 情報処理システム、情報処理方法、情報処理装置、及びプログラム
US20090006304A1 (en) Context based bookmark
JP2013508807A (ja) インターネットナビゲーションページを生成する方法および装置
US7529771B2 (en) Method of and apparatus for gathering information, system for gathering information, and computer program
JP2011191862A (ja) ファイル管理装置、ファイル管理システム、およびファイル管理プログラム
US20100154034A1 (en) Creating method, information introducing system, creating apparatus, computer program, and recording medium
US20130268832A1 (en) Method and system for creating digital bookmarks
KR100644159B1 (ko) 검색 컨트롤러 제어 방법 및 그 장치
US20020147796A1 (en) Method for saving a network address
JP4288247B2 (ja) 履歴作成装置、活動履歴作成方法、及び活動履歴作成プログラム
JP2010072763A (ja) デジタルコンテンツ閲覧装置及びデジタルコンテンツ閲覧管理システム
JP5287099B2 (ja) 検索装置、情報処理装置、検索方法、プログラム及び記録媒体
US9171091B2 (en) Storing a journal of local and remote interactions
JP4253315B2 (ja) 知識情報収集システムおよび知識情報収集方法
JP2008204198A (ja) 情報提供システム、及び、情報提供プログラム
JP2021068082A (ja) ファイルレコメンドシステム、ファイルレコメンドプログラム、ファイルレコメンド方法、及び、ファイルレコメンド装置
Gratchoff et al. Project spartan forensics
JP6148023B2 (ja) システム、情報処理装置、履歴情報サーバ、履歴情報を取得もしくは収集する方法、処理方法およびプログラム
JP5585686B2 (ja) 検索装置、検索方法及び検索プログラム
JP3725835B2 (ja) 知識情報収集システムおよび知識情報収集方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200407

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200408

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20200408

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210122

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20210125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210318

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210524

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210622

R150 Certificate of patent or registration of utility model

Ref document number: 6902994

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250