JP2021056644A - Device and computer program and monitoring method - Google Patents
Device and computer program and monitoring method Download PDFInfo
- Publication number
- JP2021056644A JP2021056644A JP2019177601A JP2019177601A JP2021056644A JP 2021056644 A JP2021056644 A JP 2021056644A JP 2019177601 A JP2019177601 A JP 2019177601A JP 2019177601 A JP2019177601 A JP 2019177601A JP 2021056644 A JP2021056644 A JP 2021056644A
- Authority
- JP
- Japan
- Prior art keywords
- application
- monitoring
- normal
- execution environment
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 184
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000004590 computer program Methods 0.000 title claims abstract description 7
- 230000005856 abnormality Effects 0.000 claims abstract description 36
- 238000012545 processing Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 abstract description 30
- 230000000737 periodic effect Effects 0.000 abstract description 5
- 238000001514 detection method Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 238000012790 confirmation Methods 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000009529 body temperature measurement Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Abstract
Description
本発明は、デバイス、コンピュータプログラム及び監視方法に関する。 The present invention relates to devices, computer programs and monitoring methods.
IoT(Internet of Things)では、多種多様なデバイスがネットワークに接続されることで新たな付加価値を生み出している。このようなデバイスは、ネットワークを経由してアプリケーションプログラムやデータをダウンロードするものが多く、インターネットに接続されるデバイスが増加することにより、攻撃者が狙う攻撃対象が拡大し、セキュリティ上の問題が徐々に顕在化している。 In IoT (Internet of Things), a wide variety of devices are connected to the network to create new added value. Many of these devices download application programs and data via networks, and as the number of devices connected to the Internet increases, the target of attacks by attackers expands, and security problems gradually increase. It has become apparent in.
特許文献1には、ネットワークを介して機器(携帯電話機)とプログラム検査装置とが接続され、プログラム検査装置は、ネットワークを介して機器に提供されるプログラムの内容を検査し、機器は、ネットワークを介して受信したプログラムの実行可否を検査結果に基づいて判定するシステムが開示されている。 In Patent Document 1, a device (mobile phone) and a program inspection device are connected via a network, the program inspection device inspects the contents of a program provided to the device via the network, and the device sets the network. A system for determining whether or not the program received via the program can be executed is disclosed based on the inspection result.
しかし、特許文献1のようなシステムでは、アプリケーションプログラムの実行可否を判定するには、機器はネットワークを介して外部通信を確立する必要がある。また、一旦ンダウンロードされたアプリケーションプログラムに対して攻撃があった場合に、攻撃を検知することが困難である。仮に、ネットワークを使ったサーバにより、機器に対する攻撃の検知を行うとしても、機器からの定期的な外部通信を必要とするため、運用コストが高くなる。 However, in a system such as Patent Document 1, the device needs to establish external communication via a network in order to determine whether or not the application program can be executed. In addition, it is difficult to detect an attack when there is an attack on the downloaded application program. Even if an attack on a device is detected by a server using a network, the operating cost is high because regular external communication from the device is required.
本発明は、斯かる事情に鑑みてなされたものであり、定期的な外部通信を必要とすることなくアプリケーションプログラムを監視できるデバイス、コンピュータプログラム及び監視方法を提供することを目的とする。 The present invention has been made in view of such circumstances, and an object of the present invention is to provide a device, a computer program, and a monitoring method capable of monitoring an application program without requiring periodic external communication.
本発明の実施の形態に係るデバイスは、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供する実行環境提供部と、前記トラステッド実行環境内で実行され、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションとを備え、前記監視アプリケーションは、前記通常アプリケーションの実行ログを取得するログ取得部と、前記ログ取得部で取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する監視部とを備える。 The device according to the embodiment of the present invention has an execution environment providing unit that provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and is executed in the trusted execution environment and is executed in the normal execution environment. The monitoring application includes a monitoring application that monitors an executed normal application, and the monitoring application has an abnormality of the normal application based on a log acquisition unit that acquires an execution log of the normal application and an execution log acquired by the log acquisition unit. It is equipped with a monitoring unit that monitors the presence or absence of.
本発明の実施の形態に係るコンピュータプログラムは、コンピュータに、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供する処理と、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行する処理と、前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得する処理と、前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する処理とを実行させる。 The computer program according to the embodiment of the present invention monitors a process that provides a computer with a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and a normal application executed in the normal execution environment. The process of executing the monitoring application in the trusted execution environment, the process of acquiring the execution log of the normal application in the monitoring application, and the presence / absence of an abnormality in the normal application based on the execution log acquired in the monitoring application. To execute the process of monitoring.
本発明の実施の形態に係る監視方法は、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供し、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行し、前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得させ、前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視させる。 The monitoring method according to the embodiment of the present invention provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and a monitoring application that monitors a normal application executed in the normal execution environment is the trusted. It is executed in the execution environment, the monitoring application is made to acquire the execution log of the normal application, and the monitoring application is made to monitor the presence or absence of an abnormality of the normal application based on the acquired execution log.
本発明によれば、定期的な外部通信を必要とすることなくアプリケーションプログラムを監視できる。 According to the present invention, an application program can be monitored without requiring periodic external communication.
以下、本発明の実施の形態を図面に基づいて説明する。図1は本実施の形態のデバイス50の構成の一例を示すブロック図である。デバイス50は、例えば、単一のSoC(System on a Chip)で構成された一個の半導体チップを含み、デバイスの動作に必要なハードウエア(例えば、プロセッサ、メモリなど)の全部又は一部が実装されている。なお、デバイス50は、不図示の通信回路やその他の制御機能を実現するハードウェアを備えてもよい。デバイス50は、例えば、ルータ、ウェラブル端末などのIoTデバイスを含む。また、デバイス50は、FA(Factory Automation)機器、制御機器など様々な機器に組み込むことができる。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing an example of the configuration of the
デバイス50は、CPU40上で実行される実行環境提供部30を備える。実行される実行環境提供部30は、例えば、CPU仮想化支援技術(例えば、TrustZone(登録商標))と称される技術を用いることによって、ソフトウェア(OS:Operating System、アプリケーションなど)の実行環境を通常実行環境10(ノーマルワールド、REE:Rich Execution Environmentとも称する)と、トラステッド実行環境20(セキュアワールド、TEE:Trusted Execution Environmentとも称する)との二つに分けている。通常実行環境10とトラステッド実行環境20との間では、メモリ空間、入出力装置などが分離されている。
The
通常実行環境10は、広く一般的に利用されているOSの実行環境であり、トラステッド実行環境20へのアクセスが制限される。
The
トラステッド実行環境20は、セキュリティ機能を隔離する目的で、同一のSoC上で通常実行環境10とは別に提供される独立した実行環境である。トラステッド実行環境20は、通常実行環境10からのアクセスが制限されている。なお、トラステッド実行環境20は、通常実行環境10と分離され、セキュリティ上より安全な実行環境であれば、どのような称呼の実行環境であってもよい。
The trusted
セキュリティ上保護すべきソフトウェア及びデータをトラステッド実行環境20に配置するとともに、通常実行環境10及びデバイス50の外部からのアクセスを制限することによって、デバイス50のセキュリティを確保することができる。
The security of the
上述のように、通常実行環境10からトラステッド実行環境20にはアクセスできないように制限されるので、通常実行環境10からはトラステッド実行環境20の存在を認識することはできない。通常実行環境10からトラステッド実行環境20で実行する処理を呼び出すためには、実行環境提供部30を経由する必要がある。実行環境提供部30は、例えば、Trusted Faimware、セキュアモニタなどと称される。
As described above, since the trusted
通常実行環境10では、通常アプリケーション11、制御アプリケーション12などを実行することができる。通常アプリケーション11は、デバイス50の用途に応じて、通信ネットワークを経由してデバイス50の外部からダウンロードしてインストール(導入)し、あるいは更新することができる。通常アプリケーション11は、本実施の形態において、異常の有無を監視する監視対象のアプリケーションプログラムである。制御アプリケーション12は、通常アプリケーション11を制御するためのプログラムであり、通常アプリケーション11の実行の際のライブラリやサブルーチン等に相当する。制御アプリケーション12は、汎用OSによって代用してもよい。制御アプリケーション12は、通常アプリケーション11と実行環境提供部30との間のインタフェース機能を有する。
In the
トラステッド実行環境20では、監視アプリケーション21、トラステッドOS22などを実行することができる。
In the trusted
トラステッドOS22は、トラステッド実行環境20においてOSの機能を果たすソフトウェアである。トラステッドOS22は、監視アプリケーション21と実行環境提供部30との間のインタフェース機能を有する。監視アプリケーション21は、トラステッドOS22上で動作するアプリケーションである。監視アプリケーション21は、通常アプリケーション11の異常の有無を監視する。なお、図1では、通常アプリケーション11、監視アプリケーション21をそれぞれ1つだけ図示しているが、通常アプリケーション11、監視アプリケーション21は複数実行されてもよい。
The trusted OS 22 is software that functions as an OS in the trusted
図示していないが、デバイス50は、ネットワーク通信部を備える。具体的には、ネットワーク通信部は、通常実行環境10及びトラステッド実行環境20それぞれに分離した状態で設けられている。すなわち、デバイス50は、通常実行環境10用のネットワーク通信部を経由してネットワーク上のサーバ(不図示)との間で情報の送受信を行うことができるパスと、トラステッド実行環境20用のネットワーク通信部を経由してネットワーク上のサーバ(不図示)との間で秘匿通信路を確立して情報の送受信を行うことができるパスの2つのパスを有する。
Although not shown, the
図2は監視アプリケーション21の機能の一例を示すブロック図である。監視アプリケーション21は、ログ取得部211、監視対象情報取得部212、監視頻度取得部213、ログ解析部214、認証部215、通知部216などの機能を有する。
FIG. 2 is a block diagram showing an example of the function of the
ログ取得部211は、通常アプリケーション11の実行ログを取得する。実行ログは、イベントログとも称し、通常アプリケーション11が実行するコマンド、パラメータ、データ、コマンド実行時刻などを含む。
The
監視対象情報取得部212は、所要の時点で、通常アプリケーション11から監視対象情報を取得する。監視対象情報は、監視アプリケーション21によって監視して欲しい情報であり、実行ログのうち、どの情報を監視対象とするかを特定する。監視対象情報は、通常アプリケーション11が実行するコマンド、パラメータ、データ、コマンド実行時刻などのうちの所要の情報を含む。所要の時点は、例えば、予め設定したタイミングでもよく、一定時間が経過の都度でもよく、通常アプリケーション11や制御アプリケーション12が起動するタイミングでもよい。
The monitoring target
監視頻度取得部213は、通常アプリケーション11から監視頻度に関する情報を取得する。監視頻度は、例えば、特定の周期とすることができ、適宜周期を変更できる。
The monitoring
ログ解析部214は、監視部としての機能を含み、通常アプリケーション11の実行ログを解析して通常アプリケーション11の異常の有無を監視する。
The
認証部215は、通常アプリケーション11から監視対象情報を取得する際に通常アプリケーション11を認証する。認証は、例えば、ID及びパスワードによる確認、重複した登録IDの有無による確認、メッセージ認証、署名認証などを用いることができる。登録IDの有無による確認は、登録IDが重複する場合、認証不可(不正あり)とするものである。メッセージ認証は、例えば、通信相手から受け取ったメッセージからMAC値(メッセージ認証コード値)を計算し、計算したMAC値と通信相手から受け取ったMAC値とを比較してメッセージの改ざんや通信相手のなりすましを防止できる。署名認証は、メッセージと、当該メッセージ又はそのハッシュ値を秘密鍵で暗号化した署名とを受信者に送り、受信者は受信したメッセージのハッシュ値と、受信した署名を送信者の公開鍵で復号して得られたハッシュ値とを比較して改ざんやなりすましを防止できる。これにより、通常アプリケーション11が正しいアプリケーションであることを確認することができ、なりすましを防止できる。
The
通知部216は、出力部としての機能を有し、監視アプリケーション21による監視結果を、例えば、外部のサーバ(例えば、クラウド上で各デバイスの状態を管理するサーバ)へ出力する。外部のサーバへの出力は、通常アプリケーション11の異常が検知された場合にのみ、異常検知を出力してもよい。異常が検知された場合に外部に通知するので、定期的な外部通信を不要とし、運用コストを低減できる。また、通常アプリケーション11が正常又は異常であることを示すデータ量は、外部のサーバによって外部通信を確立して監視処理を実行する際のデータ量と比較して少ないと考えられるので、監視アプリケーション21が監視する都度、監視結果を外部のサーバへ出力してもよい。監視結果は、トラステッド実行環境20用のネットワーク通信部を経由して外部サーバへ直接繋がることができる秘匿通信路を用いて出力することにより、セキュリティを担保することができる。セキュリティの担保は、例えば、監視アプリケーション21の動作に関係なく独立した結果通知が可能であること、監視アプリケーション21に異常が発生しても、通信を確立して外部サーバへ監視結果を通知できること等が挙げられる。また、外部通信に要する運用コストを低減できる。通知部216は、外部のモニタに通知を表示してもよい。
The
次に、通常アプリケーション11と監視アプリケーション21との間の動作について説明する。
Next, the operation between the
図3は通常アプリケーション11と監視アプリケーション21との間の動作の一例を示す説明図である。便宜上、処理の主体を通常アプリケーション11及び監視アプリケーション21として説明する。以下、P1からP15の処理について説明する。
FIG. 3 is an explanatory diagram showing an example of operation between the
P1:通常アプリケーション11は、所要の時点であるか否かを判定する。所要の時点は、例えば、予め設定したタイミングでもよく、一定時間が経過の都度でもよく、通常アプリケーション11や制御アプリケーション12が起動するタイミングでもよい。
P1: The
P2:通常アプリケーション11は、認証情報を出力する。
P2: Normally, the
P3:監視アプリケーション21は、認証情報を出力した通常アプリケーション11を認証する。認証は、例えば、ID及びパスワードによる確認、重複した登録IDの有無による確認、メッセージ認証、署名認証などを用いることができる。
P3: The monitoring
P4:監視アプリケーション21は、認証結果を通常アプリケーション11へ通知する。
P4: The monitoring
P5:通常アプリケーション11は、監視対象情報を出力する。監視対象情報は、監視アプリケーション21によって監視して欲しい情報であり、実行ログのうち、どの情報を監視対象とするかを特定する情報である。
P5: Normally, the
P6:監視アプリケーション21は、監視対象情報を取得すると、受領結果を通常アプリケーション11に出力する。
P6: When the
P7:通常アプリケーション11は、監視頻度情報を出力する。監視頻度は、例えば、特定の周期(例えば、1秒、10秒、1分など)とすることができる。監視頻度は、通常アプリケーション11側で所望の周期に設定することができる。
P7: Normally, the
P8:通常アプリケーション11は、実行ログを出力する。実行ログ(イベントログ)は、通常アプリケーションが実行するコマンド、パラメータ、データ、コマンド実行時刻などを含む。
P8: Normally, the
P9:監視アプリケーション21は、実行ログを取得する。
P9: The monitoring
P10:監視アプリケーション21は、実行ログを解析する。P7からP9の処理は、特定の周期の都度行われる。
P10: The monitoring
P11:通常アプリケーション11は、実行ログを出力する。以降、P7からP9の処理と同様の処理が特定の周期の都度行われる。
P11: Normally, the
P12:通常アプリケーション11は、実行ログを出力する。
P12: Normally, the
P13:監視アプリケーション21は、実行ログを取得する。
P13: The monitoring
P14:監視アプリケーション21は、実行ログを解析する。
P14: The monitoring
P15:監視アプリケーション21は、実行ログを解析して通常アプリケーション11の異常を検知した場合、通常アプリケーション11が異常であることを外部(サーバなど)へ通知する。
P15: When the
外部のサーバへの通知は、例えば、通常実行環境10用のネットワーク通信部を経由して行ってもよく(例えば、通常アプリケーション11が制御アプリケーション12を介して監視アプリケーション21の監視結果を受信し、受信した監視結果をサーバへ通知する)、あるいは、トラステッド実行環境20用のネットワーク通信部を経由して秘匿通信路を確立して行ってもよい(例えば、監視アプリケーション21から直接サーバへ通知する)。
The notification to the external server may be performed, for example, via the network communication unit for the normal execution environment 10 (for example, the
図4は通常アプリケーション11のイベントログの第1例を示す模式図である。図4の例では、イベントログには、稼働日時、通常アプリケーション11が取得した対象機器の温度計測結果、設定温度、基準値、通常アプリケーション11が判定した温度状態などが含まれる。なお、イベントログの項目は一例であって、図4の例に限定されない。通常アプリケーション11に対して何らかの攻撃が加えられると、通常アプリケーション11は、計測した温度や設定した温度が基準値と乖離しているにも関わらず、温度状態は正常であると判定している。監視アプリケーション21がイベントログを解析することにより、通常アプリケーション11が異常であることを検知できる。
FIG. 4 is a schematic diagram showing a first example of the event log of the
図5は通常アプリケーション11のイベントログの第2例を示す模式図である。図5の例では、イベントログには、検知時刻、通常アプリケーション11が取得した対象機器の検知内容、検知開始時刻、検知終了時刻、人の滞在時間、通常アプリケーション11が判定した状態などが含まれる。なお、イベントログの項目は一例であって、図5の例に限定されない。監視アプリケーション21がイベントログを解析することにより、検知時刻、検知内容、検知開始時刻、検知終了時刻、人の滞在時間それぞれのデータ間で乖離や不整合などの異常がないので、通常アプリケーション11が正常であることを検知できる。
FIG. 5 is a schematic diagram showing a second example of the event log of the
上述のように、デバイス50上で実行される通常アプリケーション11の異常の有無を、同じデバイス50上の、より安全なトラステッド実行環境20で実行される監視アプリケーション21が監視することにより、デバイス50からの定期的な外部通信(例えば、外部の監視サーバとの通信など)を実施しなくても通常アプリケーション11を監視できる。また、外部から攻撃が加えられても、監視アプリケーション21は、より安全なトラステッド実行環境20で実行されるので、攻撃による影響を受けることなく通常アプリケーション11の異常の有無を監視し続けることができる。
As described above, the
また、デバイス50にインストールされた通常アプリケーション11に対して攻撃があった場合でも、所要の時点(例えば、通常アプリケーション11の導入時、起動時又は更新時)で攻撃を検知することができる。
Further, even if there is an attack on the
また、通常アプリケーション11を特定の周期で監視するので、通常アプリケーション11に対して攻撃があった場合に、攻撃を迅速に検知することができる。
Further, since the
図6は監視アプリケーション21の処理手順の一例を示すフローチャートである。監視アプリケーション21は、所要の時点であるか否かを判定し(S11)、所要の時点でない場合(S11でNO)、ステップS11の処理を続ける。所要の時点である場合(S11でYES)、監視アプリケーション21は、通常アプリケーション11を認証する(S12)。
FIG. 6 is a flowchart showing an example of the processing procedure of the
監視アプリケーション21は、正しい通常アプリケーション11であるか否か、すなわち、認証が成功したか否かを判定する(S13)。正しい通常アプリケーション11である場合(S13でYES)、監視アプリケーション21は、通常アプリケーション11から監視対象情報を取得し(S14)、通常アプリケーション11の実行ログを取得したか否かを判定する(S15)。
The
実行ログを取得していない場合(S15でNO)、監視アプリケーション21は、ステップS15の処理を続ける。実行ログを取得した場合(S15でYES)、監視アプリケーション21は、実行ログを解析し(S16)、通常アプリケーション11の異常の有無を判定する(S17)。
If the execution log has not been acquired (NO in S15), the
異常があった場合(S17でYES)、監視アプリケーション21は、異常があることを外部へ通知し(S18)、処理を終了する。通常アプリケーション11の異常がない場合(S17でNO)、監視アプリケーション21は、処理を終了するか否かを判定する(S19)。処理を終了しない場合(S19でNO)、監視アプリケーション21は、ステップS15以降の処理を続ける。処理を終了する場合(S19でYES)、あるいは正しい通常アプリケーション11でない場合(S13でNO)、監視アプリケーション21は、処理を終了する。
If there is an abnormality (YES in S17), the
本実施の形態のデバイスは、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供する実行環境提供部と、前記トラステッド実行環境内で実行され、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションとを備え、前記監視アプリケーションは、前記通常アプリケーションの実行ログを取得するログ取得部と、前記ログ取得部で取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する監視部とを備える。 The device of the present embodiment has an execution environment providing unit that provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and is executed in the trusted execution environment and is executed in the normal execution environment. The monitoring application includes a monitoring application that monitors a normal application, and the monitoring application determines the presence or absence of an abnormality in the normal application based on a log acquisition unit that acquires an execution log of the normal application and an execution log acquired by the log acquisition unit. It is equipped with a monitoring unit for monitoring.
本実施の形態のコンピュータプログラムは、コンピュータに、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供する処理と、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行する処理と、前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得する処理と、前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する処理とを実行させる。 The computer program of the present embodiment provides a computer with a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and a monitoring application that monitors the normal application executed in the normal execution environment. The process to be executed in the trusted execution environment, the process of acquiring the execution log of the normal application from the monitoring application, and the monitoring application monitoring the presence or absence of an abnormality of the normal application based on the acquired execution log. Process and execute.
本実施の形態の監視方法は、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供し、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行し、前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得させ、前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視させる。 The monitoring method of the present embodiment provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and a monitoring application that monitors a normal application executed in the normal execution environment is provided in the trusted execution environment. To have the monitoring application acquire the execution log of the normal application, and cause the monitoring application to monitor the presence or absence of an abnormality in the normal application based on the acquired execution log.
実行環境提供部は、通常実行環境及び通常実行環境よりも安全なトラステッド実行環境を提供する。実行環境提供部は、例えば、プロセッサが搭載されたデバイス上でCPU仮想化支援技術を提供することにより、ソフトウェアの実行環境を通常実行環境(ノーマルワールドともいう)と、通常実行環境よりも安全なトラステッド実行環境(セキュアワールトともいう)との二つの実行環境に物理的に分離することができる。通常実行環境とトラステッド実行環境との間では、メモリ空間、入出力装置などを分離できる。 The execution environment providing unit provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment. The execution environment providing unit provides the CPU virtualization support technology on a device equipped with a processor, for example, to make the software execution environment safer than the normal execution environment (also called the normal world) and the normal execution environment. It can be physically separated into two execution environments, a trusted execution environment (also called secure world). The memory space, input / output device, etc. can be separated between the normal execution environment and the trusted execution environment.
監視アプリケーションは、トラステッド実行環境内で実行される。監視アプリケーションは、通常実行環境内で実行される通常アプリケーションを監視する。具体的には、監視アプリケーション(ログ取得部)は、通常アプリケーションの実行ログを取得し、監視部は、取得した実行ログに基づいて通常アプリケーションの異常の有無を監視する。実行ログ(イベントログとも称する)は、通常アプリケーションが実行するコマンド、パラメータ、データ、コマンド実行時刻などを含む。 The monitoring application runs within the trusted execution environment. The monitoring application monitors the normal application executed in the normal execution environment. Specifically, the monitoring application (log acquisition unit) acquires the execution log of the normal application, and the monitoring unit monitors the presence or absence of an abnormality in the normal application based on the acquired execution log. The execution log (also referred to as an event log) includes commands, parameters, data, command execution times, etc. that are normally executed by an application.
デバイス上で実行される通常アプリケーション(アプリケーションプログラム)の異常の有無を、同じデバイス上の、より安全なトラステッド実行環境で実行される監視アプリケーションが監視することにより、デバイスからの定期的な外部通信(例えば、外部の監視サーバとの通信など)を実施しなくても通常アプリケーションを監視できる。また、外部から攻撃が加えられても、監視アプリケーションは、より安全なトラステッド実行環境で実行されるので、攻撃による影響を受けることなく通常アプリケーションの異常の有無を監視し続けることができる。 Periodic external communication from the device (regular external communication from the device) by monitoring the presence or absence of abnormalities in the normal application (application program) executed on the device by the monitoring application executed in the more secure trusted execution environment on the same device. For example, the application can be normally monitored without performing communication with an external monitoring server. In addition, even if an attack is applied from the outside, the monitoring application is executed in a more secure trusted execution environment, so that it is possible to continue monitoring the presence or absence of abnormalities in the normal application without being affected by the attack.
本実施の形態のデバイスにおいて、前記監視アプリケーションは、所要の時点で、前記通常アプリケーションから監視対象情報を取得する監視対象情報取得部を備え、前記監視部は、前記ログ取得部で取得した実行ログの前記監視対象情報に基づいて前記通常アプリケーションの異常の有無を監視する。 In the device of the present embodiment, the monitoring application includes a monitoring target information acquisition unit that acquires monitoring target information from the normal application at a required time, and the monitoring unit is an execution log acquired by the log acquisition unit. The presence or absence of an abnormality in the normal application is monitored based on the monitoring target information of the above.
監視アプリケーション(監視対象情報取得部)は、所要の時点で、通常アプリケーションから監視対象情報を取得する。監視対象情報は、監視アプリケーションによって監視して欲しい情報であり、実行ログのうち、どの情報を監視対象とするかを特定する。監視対象情報は、通常アプリケーションが実行するコマンド、パラメータ、データ、コマンド実行時刻などのうちの所要の情報を含む。所要の時点は、例えば、予め設定したタイミングでもよく、一定時間が経過の都度でもよく、通常アプリケーションや通常実行環境でのOS(制御プログラム)が起動するタイミングでもよい。 The monitoring application (monitoring target information acquisition unit) acquires the monitoring target information from the normal application at a required time. The monitoring target information is information that the monitoring application wants to monitor, and specifies which information is to be monitored in the execution log. The monitored information includes required information such as commands, parameters, data, and command execution times normally executed by the application. The required time may be, for example, a preset timing, each time a certain time elapses, or a timing at which the OS (control program) in the normal application or the normal execution environment is started.
監視アプリケーション(監視部)は、取得した実行ログの監視対象情報に基づいて通常アプリケーションの異常の有無を監視する。これにより、デバイスにインストールされた通常アプリケーションに対して攻撃があった場合でも、所要の時点で攻撃を検知することができる。 The monitoring application (monitoring unit) monitors the presence or absence of abnormalities in the normal application based on the acquired monitoring target information in the execution log. This makes it possible to detect an attack at a required point even if there is an attack on a normal application installed on the device.
本実施の形態のデバイスにおいて、前記所要の時点は、前記通常アプリケーションの導入時、起動時又は更新時を含む。 In the device of the present embodiment, the required time point includes the time when the normal application is introduced, the time when the application is started, or the time when the application is updated.
所要の時点は、通常アプリケーションの導入時、起動時又は更新時を含む。これにより、通常アプリケーションの導入時、起動時又は更新時において攻撃を検知することができる。 The required time points usually include the time when the application is introduced, started, or updated. This makes it possible to detect an attack when a normal application is introduced, started, or updated.
本実施の形態のデバイスにおいて、前記監視アプリケーションは、前記監視対象情報取得部で監視対象情報を取得する際に前記通常アプリケーションを認証する認証部を備える。 In the device of the present embodiment, the monitoring application includes an authentication unit that authenticates the normal application when the monitoring target information acquisition unit acquires the monitoring target information.
監視アプリケーション(認証部)は、通常アプリケーションから監視対象情報を取得する際に通常アプリケーションを認証する。認証は、例えば、ID及びパスワードによる確認、重複した登録IDの有無による確認、メッセージ認証、署名認証などを用いることができる。これにより、通常アプリケーションが正しいアプリケーションであることを確認することができ、なりすましを防止できる。 The monitoring application (authentication unit) authenticates the normal application when acquiring the monitoring target information from the normal application. For the authentication, for example, confirmation by ID and password, confirmation by the presence or absence of duplicate registration ID, message authentication, signature authentication and the like can be used. As a result, it is possible to confirm that the normal application is the correct application and prevent spoofing.
本実施の形態のデバイスにおいて、前記監視アプリケーションは、前記通常アプリケーションから監視頻度に関する情報を取得する監視頻度情報取得部を備え、前記監視部は、前記監視頻度で前記通常アプリケーションの異常の有無を監視する。 In the device of the present embodiment, the monitoring application includes a monitoring frequency information acquisition unit that acquires information on the monitoring frequency from the normal application, and the monitoring unit monitors the presence or absence of an abnormality in the normal application at the monitoring frequency. To do.
監視アプリケーション(監視頻度情報取得部)は、通常アプリケーションから監視頻度に関する情報を取得する。監視頻度は、例えば、特定の周期とすることができ、適宜周期を変更できる。監視アプリケーション(監視部)は、監視頻度で通常アプリケーションの異常の有無を監視する。これにより、通常アプリケーションを特定の周期で監視するので、通常アプリケーションに対して攻撃があった場合に、攻撃を迅速に検知することができる。 The monitoring application (monitoring frequency information acquisition unit) acquires information on the monitoring frequency from the normal application. The monitoring frequency can be, for example, a specific cycle, and the cycle can be changed as appropriate. The monitoring application (monitoring unit) monitors the presence or absence of abnormalities in the normal application at the monitoring frequency. As a result, since the normal application is monitored at a specific cycle, when there is an attack on the normal application, the attack can be detected quickly.
本実施の形態のデバイスにおいて、前記監視アプリケーションは、前記監視部の監視結果を外部へ出力する出力部を備える。 In the device of the present embodiment, the monitoring application includes an output unit that outputs the monitoring result of the monitoring unit to the outside.
監視アプリケーション(出力部)は、監視結果(例えば、異常検知)を外部へ出力する。外部は、例えば、ネットワークを介してデバイスと接続されるサーバを含む。異常が検知された場合に外部に通知するので、定期的な外部通信を不要とし、運用コストを低減できる。 The monitoring application (output unit) outputs the monitoring result (for example, abnormality detection) to the outside. The outside includes, for example, a server connected to the device via a network. Since an abnormality is detected, it is notified to the outside, so that regular external communication is not required and the operating cost can be reduced.
10 通常実行環境
11 通常アプリケーション
12 制御アプリケーション
20 トラステッド実行環境
21 監視アプリケーション
211 ログ取得部
212 監視対象情報取得部
213 監視頻度取得部
214 ログ解析部
215 認証部
216 通知部
10
Claims (8)
前記トラステッド実行環境内で実行され、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションと
を備え、
前記監視アプリケーションは、
前記通常アプリケーションの実行ログを取得するログ取得部と、
前記ログ取得部で取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する監視部と
を備えるデバイス。 An execution environment provider that provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment,
It includes a monitoring application that is executed in the trusted execution environment and monitors a normal application that is executed in the normal execution environment.
The monitoring application
A log acquisition unit that acquires the execution log of the normal application, and
A device including a monitoring unit that monitors the presence or absence of an abnormality in the normal application based on the execution log acquired by the log acquisition unit.
所要の時点で、前記通常アプリケーションから監視対象情報を取得する監視対象情報取得部を備え、
前記監視部は、
前記ログ取得部で取得した実行ログの前記監視対象情報に基づいて前記通常アプリケーションの異常の有無を監視する請求項1に記載のデバイス。 The monitoring application
A monitoring target information acquisition unit that acquires monitoring target information from the normal application at a required time is provided.
The monitoring unit
The device according to claim 1, which monitors the presence or absence of an abnormality in the normal application based on the monitoring target information of the execution log acquired by the log acquisition unit.
前記監視対象情報取得部で監視対象情報を取得する際に前記通常アプリケーションを認証する認証部を備える請求項2又は請求項3に記載のデバイス。 The monitoring application
The device according to claim 2 or 3, further comprising an authentication unit that authenticates the normal application when the monitoring target information acquisition unit acquires the monitoring target information.
前記通常アプリケーションから監視頻度に関する情報を取得する監視頻度情報取得部を備え、
前記監視部は、
前記監視頻度で前記通常アプリケーションの異常の有無を監視する請求項1から請求項4のいずれか一項に記載のデバイス。 The monitoring application
It is provided with a monitoring frequency information acquisition unit that acquires information on the monitoring frequency from the normal application.
The monitoring unit
The device according to any one of claims 1 to 4, wherein the presence or absence of an abnormality in the normal application is monitored at the monitoring frequency.
前記監視部の監視結果を外部へ出力する出力部を備える請求項1から請求項5のいずれか一項に記載のデバイス。 The monitoring application
The device according to any one of claims 1 to 5, further comprising an output unit that outputs the monitoring result of the monitoring unit to the outside.
通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供する処理と、
前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行する処理と、
前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得する処理と、
前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する処理と
を実行させるコンピュータプログラム。 On the computer
Processing that provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment,
A process of executing a monitoring application that monitors a normal application executed in the normal execution environment in the trusted execution environment, and a process of executing the monitoring application in the trusted execution environment.
The process of acquiring the execution log of the normal application in the monitoring application, and
A computer program that causes the monitoring application to execute a process of monitoring the presence or absence of an abnormality in the normal application based on the acquired execution log.
前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行し、
前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得させ、
前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視させる通常アプリケーションの監視方法。 To provide a normal execution environment and a trusted execution environment that is safer than the normal execution environment,
A monitoring application that monitors a normal application executed in the normal execution environment is executed in the trusted execution environment, and the monitoring application is executed.
Have the monitoring application acquire the execution log of the normal application,
A method for monitoring a normal application that causes the monitoring application to monitor the presence or absence of an abnormality in the normal application based on an acquired execution log.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019177601A JP7352158B2 (en) | 2019-09-27 | 2019-09-27 | Devices, computer programs and monitoring methods |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019177601A JP7352158B2 (en) | 2019-09-27 | 2019-09-27 | Devices, computer programs and monitoring methods |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021056644A true JP2021056644A (en) | 2021-04-08 |
JP7352158B2 JP7352158B2 (en) | 2023-09-28 |
Family
ID=75272535
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019177601A Active JP7352158B2 (en) | 2019-09-27 | 2019-09-27 | Devices, computer programs and monitoring methods |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7352158B2 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007199813A (en) * | 2006-01-24 | 2007-08-09 | Ntt Comware Corp | Log collecting system and log collecting method |
US20090265756A1 (en) * | 2008-04-18 | 2009-10-22 | Samsung Electronics Co., Ltd. | Safety and management of computing environments that may support unsafe components |
JP2011134323A (en) * | 2009-12-24 | 2011-07-07 | Intel Corp | Collaborative malware detection and prevention on a plurality of mobile devices |
JP2014164392A (en) * | 2013-02-22 | 2014-09-08 | Dainippon Printing Co Ltd | Information processing device and information processing system |
US20190042781A1 (en) * | 2017-08-04 | 2019-02-07 | Bitdefender IPR Management Ltd. | Secure Storage Device |
JP2019057167A (en) * | 2017-09-21 | 2019-04-11 | 大日本印刷株式会社 | Computer program, device and determining method |
-
2019
- 2019-09-27 JP JP2019177601A patent/JP7352158B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007199813A (en) * | 2006-01-24 | 2007-08-09 | Ntt Comware Corp | Log collecting system and log collecting method |
US20090265756A1 (en) * | 2008-04-18 | 2009-10-22 | Samsung Electronics Co., Ltd. | Safety and management of computing environments that may support unsafe components |
JP2011134323A (en) * | 2009-12-24 | 2011-07-07 | Intel Corp | Collaborative malware detection and prevention on a plurality of mobile devices |
JP2014164392A (en) * | 2013-02-22 | 2014-09-08 | Dainippon Printing Co Ltd | Information processing device and information processing system |
US20190042781A1 (en) * | 2017-08-04 | 2019-02-07 | Bitdefender IPR Management Ltd. | Secure Storage Device |
JP2019057167A (en) * | 2017-09-21 | 2019-04-11 | 大日本印刷株式会社 | Computer program, device and determining method |
Also Published As
Publication number | Publication date |
---|---|
JP7352158B2 (en) | 2023-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3298527B1 (en) | Secured access control to cloud-based applications | |
US10341321B2 (en) | System and method for policy based adaptive application capability management and device attestation | |
US10291631B2 (en) | System for testing computer application | |
JP5180278B2 (en) | Collaborative malware detection and prevention on multiple mobile devices | |
US20210258341A1 (en) | Cyberattack prevention system | |
JP5743227B2 (en) | Method and apparatus for improving code and data signatures | |
EP2652663B1 (en) | Software signing certificate reputation model | |
CN111262889B (en) | Authority authentication method, device, equipment and medium for cloud service | |
US20230259386A1 (en) | Data processing method based on container engine and related device | |
US20180075233A1 (en) | Systems and methods for agent-based detection of hacking attempts | |
US20210194917A1 (en) | Implementation comparison-based security system | |
EP3270317B1 (en) | Dynamic security module server device and operating method thereof | |
CN111400722A (en) | Method, apparatus, computer device and storage medium for scanning small program | |
WO2022105096A1 (en) | Trusted terminal determination method and related device | |
CN115701019A (en) | Access request processing method and device of zero trust network and electronic equipment | |
KR102502367B1 (en) | System for controlling network access based on controller and method of the same | |
US20200099715A1 (en) | Method and Mechanism for Detection of Pass-the-Hash Attacks | |
KR101451323B1 (en) | Application security system, security server, security client apparatus, and recording medium | |
KR20180121604A (en) | Trust failures in communications | |
JP7352158B2 (en) | Devices, computer programs and monitoring methods | |
JP6981078B2 (en) | Secure elements, computer programs, devices, servers and device monitoring methods | |
WO2022151736A1 (en) | Method for determining trusted terminal and related device | |
CN111314131A (en) | Task issuing method and device, storage medium and electronic device | |
CN112104625A (en) | Process access control method and device | |
US11863586B1 (en) | Inline package name based supply chain attack detection and prevention |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220726 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230412 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230418 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230608 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230816 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230829 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7352158 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |