JP2021056644A - Device and computer program and monitoring method - Google Patents

Device and computer program and monitoring method Download PDF

Info

Publication number
JP2021056644A
JP2021056644A JP2019177601A JP2019177601A JP2021056644A JP 2021056644 A JP2021056644 A JP 2021056644A JP 2019177601 A JP2019177601 A JP 2019177601A JP 2019177601 A JP2019177601 A JP 2019177601A JP 2021056644 A JP2021056644 A JP 2021056644A
Authority
JP
Japan
Prior art keywords
application
monitoring
normal
execution environment
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019177601A
Other languages
Japanese (ja)
Other versions
JP7352158B2 (en
Inventor
嘉昭 植村
Yoshiaki Uemura
嘉昭 植村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2019177601A priority Critical patent/JP7352158B2/en
Publication of JP2021056644A publication Critical patent/JP2021056644A/en
Application granted granted Critical
Publication of JP7352158B2 publication Critical patent/JP7352158B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To provide a device, a computer program, and a monitoring methods that can monitor application programs without the need for periodic external communication.SOLUTION: A device comprises an execution environment provision part that provides a normal execution environment and a trusted execution environment that is more secure than the normal execution environment and a monitoring application that runs within the trusted execution environment and monitors normal applications running within the normal execution environment, the monitoring application comprises a log acquisition part that acquires an execution log of the normal application and a monitoring part that monitors the normal application for abnormalities based on the acquired execution log.SELECTED DRAWING: Figure 1

Description

本発明は、デバイス、コンピュータプログラム及び監視方法に関する。 The present invention relates to devices, computer programs and monitoring methods.

IoT(Internet of Things)では、多種多様なデバイスがネットワークに接続されることで新たな付加価値を生み出している。このようなデバイスは、ネットワークを経由してアプリケーションプログラムやデータをダウンロードするものが多く、インターネットに接続されるデバイスが増加することにより、攻撃者が狙う攻撃対象が拡大し、セキュリティ上の問題が徐々に顕在化している。 In IoT (Internet of Things), a wide variety of devices are connected to the network to create new added value. Many of these devices download application programs and data via networks, and as the number of devices connected to the Internet increases, the target of attacks by attackers expands, and security problems gradually increase. It has become apparent in.

特許文献1には、ネットワークを介して機器(携帯電話機)とプログラム検査装置とが接続され、プログラム検査装置は、ネットワークを介して機器に提供されるプログラムの内容を検査し、機器は、ネットワークを介して受信したプログラムの実行可否を検査結果に基づいて判定するシステムが開示されている。 In Patent Document 1, a device (mobile phone) and a program inspection device are connected via a network, the program inspection device inspects the contents of a program provided to the device via the network, and the device sets the network. A system for determining whether or not the program received via the program can be executed is disclosed based on the inspection result.

特開2007−122745号公報JP-A-2007-122745

しかし、特許文献1のようなシステムでは、アプリケーションプログラムの実行可否を判定するには、機器はネットワークを介して外部通信を確立する必要がある。また、一旦ンダウンロードされたアプリケーションプログラムに対して攻撃があった場合に、攻撃を検知することが困難である。仮に、ネットワークを使ったサーバにより、機器に対する攻撃の検知を行うとしても、機器からの定期的な外部通信を必要とするため、運用コストが高くなる。 However, in a system such as Patent Document 1, the device needs to establish external communication via a network in order to determine whether or not the application program can be executed. In addition, it is difficult to detect an attack when there is an attack on the downloaded application program. Even if an attack on a device is detected by a server using a network, the operating cost is high because regular external communication from the device is required.

本発明は、斯かる事情に鑑みてなされたものであり、定期的な外部通信を必要とすることなくアプリケーションプログラムを監視できるデバイス、コンピュータプログラム及び監視方法を提供することを目的とする。 The present invention has been made in view of such circumstances, and an object of the present invention is to provide a device, a computer program, and a monitoring method capable of monitoring an application program without requiring periodic external communication.

本発明の実施の形態に係るデバイスは、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供する実行環境提供部と、前記トラステッド実行環境内で実行され、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションとを備え、前記監視アプリケーションは、前記通常アプリケーションの実行ログを取得するログ取得部と、前記ログ取得部で取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する監視部とを備える。 The device according to the embodiment of the present invention has an execution environment providing unit that provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and is executed in the trusted execution environment and is executed in the normal execution environment. The monitoring application includes a monitoring application that monitors an executed normal application, and the monitoring application has an abnormality of the normal application based on a log acquisition unit that acquires an execution log of the normal application and an execution log acquired by the log acquisition unit. It is equipped with a monitoring unit that monitors the presence or absence of.

本発明の実施の形態に係るコンピュータプログラムは、コンピュータに、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供する処理と、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行する処理と、前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得する処理と、前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する処理とを実行させる。 The computer program according to the embodiment of the present invention monitors a process that provides a computer with a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and a normal application executed in the normal execution environment. The process of executing the monitoring application in the trusted execution environment, the process of acquiring the execution log of the normal application in the monitoring application, and the presence / absence of an abnormality in the normal application based on the execution log acquired in the monitoring application. To execute the process of monitoring.

本発明の実施の形態に係る監視方法は、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供し、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行し、前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得させ、前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視させる。 The monitoring method according to the embodiment of the present invention provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and a monitoring application that monitors a normal application executed in the normal execution environment is the trusted. It is executed in the execution environment, the monitoring application is made to acquire the execution log of the normal application, and the monitoring application is made to monitor the presence or absence of an abnormality of the normal application based on the acquired execution log.

本発明によれば、定期的な外部通信を必要とすることなくアプリケーションプログラムを監視できる。 According to the present invention, an application program can be monitored without requiring periodic external communication.

本実施の形態のデバイスの構成の一例を示すブロック図である。It is a block diagram which shows an example of the structure of the device of this embodiment. 監視アプリケーションの機能の一例を示すブロック図である。It is a block diagram which shows an example of the function of a monitoring application. 通常アプリケーションと監視アプリケーションとの間の動作の一例を示す説明図である。It is explanatory drawing which shows an example of the operation between a normal application and a monitoring application. 通常アプリケーションのイベントログの第1例を示す模式図である。It is a schematic diagram which shows the 1st example of the event log of a normal application. 通常アプリケーションのイベントログの第2例を示す模式図である。It is a schematic diagram which shows the 2nd example of the event log of a normal application. 監視アプリケーションの処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the processing procedure of a monitoring application.

以下、本発明の実施の形態を図面に基づいて説明する。図1は本実施の形態のデバイス50の構成の一例を示すブロック図である。デバイス50は、例えば、単一のSoC(System on a Chip)で構成された一個の半導体チップを含み、デバイスの動作に必要なハードウエア(例えば、プロセッサ、メモリなど)の全部又は一部が実装されている。なお、デバイス50は、不図示の通信回路やその他の制御機能を実現するハードウェアを備えてもよい。デバイス50は、例えば、ルータ、ウェラブル端末などのIoTデバイスを含む。また、デバイス50は、FA(Factory Automation)機器、制御機器など様々な機器に組み込むことができる。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing an example of the configuration of the device 50 of the present embodiment. The device 50 includes, for example, one semiconductor chip composed of a single SoC (System on a Chip), and all or part of the hardware (for example, processor, memory, etc.) necessary for the operation of the device is mounted. Has been done. The device 50 may be provided with hardware that realizes a communication circuit (not shown) or other control functions. The device 50 includes, for example, IoT devices such as routers and wearable terminals. Further, the device 50 can be incorporated into various devices such as FA (Factory Automation) devices and control devices.

デバイス50は、CPU40上で実行される実行環境提供部30を備える。実行される実行環境提供部30は、例えば、CPU仮想化支援技術(例えば、TrustZone(登録商標))と称される技術を用いることによって、ソフトウェア(OS:Operating System、アプリケーションなど)の実行環境を通常実行環境10(ノーマルワールド、REE:Rich Execution Environmentとも称する)と、トラステッド実行環境20(セキュアワールド、TEE:Trusted Execution Environmentとも称する)との二つに分けている。通常実行環境10とトラステッド実行環境20との間では、メモリ空間、入出力装置などが分離されている。 The device 50 includes an execution environment providing unit 30 that is executed on the CPU 40. The execution environment providing unit 30 to be executed uses, for example, a technology called CPU virtualization support technology (for example, TrustZone (registered trademark)) to provide an execution environment for software (OS: Operating System, application, etc.). It is divided into a normal execution environment 10 (normal world, also referred to as REE: Rich Execution Environment) and a trusted execution environment 20 (secure world, also referred to as TEE: Trusted Execution Environment). A memory space, an input / output device, and the like are separated between the normal execution environment 10 and the trusted execution environment 20.

通常実行環境10は、広く一般的に利用されているOSの実行環境であり、トラステッド実行環境20へのアクセスが制限される。 The normal execution environment 10 is an execution environment of an OS that is widely and generally used, and access to the trusted execution environment 20 is restricted.

トラステッド実行環境20は、セキュリティ機能を隔離する目的で、同一のSoC上で通常実行環境10とは別に提供される独立した実行環境である。トラステッド実行環境20は、通常実行環境10からのアクセスが制限されている。なお、トラステッド実行環境20は、通常実行環境10と分離され、セキュリティ上より安全な実行環境であれば、どのような称呼の実行環境であってもよい。 The trusted execution environment 20 is an independent execution environment provided separately from the normal execution environment 10 on the same SoC for the purpose of isolating the security function. Access to the trusted execution environment 20 from the normal execution environment 10 is restricted. The trusted execution environment 20 may be an execution environment of any name as long as it is separated from the normal execution environment 10 and is a safer execution environment in terms of security.

セキュリティ上保護すべきソフトウェア及びデータをトラステッド実行環境20に配置するとともに、通常実行環境10及びデバイス50の外部からのアクセスを制限することによって、デバイス50のセキュリティを確保することができる。 The security of the device 50 can be ensured by arranging the software and data to be protected in terms of security in the trusted execution environment 20 and restricting access from the outside of the normal execution environment 10 and the device 50.

上述のように、通常実行環境10からトラステッド実行環境20にはアクセスできないように制限されるので、通常実行環境10からはトラステッド実行環境20の存在を認識することはできない。通常実行環境10からトラステッド実行環境20で実行する処理を呼び出すためには、実行環境提供部30を経由する必要がある。実行環境提供部30は、例えば、Trusted Faimware、セキュアモニタなどと称される。 As described above, since the trusted execution environment 20 is restricted from being accessible from the normal execution environment 10, the existence of the trusted execution environment 20 cannot be recognized from the normal execution environment 10. In order to call the process to be executed in the trusted execution environment 20 from the normal execution environment 10, it is necessary to go through the execution environment providing unit 30. The execution environment providing unit 30 is referred to as, for example, a trusted family, a secure monitor, or the like.

通常実行環境10では、通常アプリケーション11、制御アプリケーション12などを実行することができる。通常アプリケーション11は、デバイス50の用途に応じて、通信ネットワークを経由してデバイス50の外部からダウンロードしてインストール(導入)し、あるいは更新することができる。通常アプリケーション11は、本実施の形態において、異常の有無を監視する監視対象のアプリケーションプログラムである。制御アプリケーション12は、通常アプリケーション11を制御するためのプログラムであり、通常アプリケーション11の実行の際のライブラリやサブルーチン等に相当する。制御アプリケーション12は、汎用OSによって代用してもよい。制御アプリケーション12は、通常アプリケーション11と実行環境提供部30との間のインタフェース機能を有する。 In the normal execution environment 10, the normal application 11, the control application 12, and the like can be executed. Normally, the application 11 can be downloaded from the outside of the device 50 via a communication network, installed (introduced), or updated according to the use of the device 50. In the present embodiment, the normal application 11 is a monitoring target application program that monitors the presence or absence of an abnormality. The control application 12 is a program for controlling the normal application 11, and corresponds to a library, a subroutine, or the like when the normal application 11 is executed. The control application 12 may be replaced by a general-purpose OS. The control application 12 usually has an interface function between the application 11 and the execution environment providing unit 30.

トラステッド実行環境20では、監視アプリケーション21、トラステッドOS22などを実行することができる。 In the trusted execution environment 20, the monitoring application 21, the trusted OS 22, and the like can be executed.

トラステッドOS22は、トラステッド実行環境20においてOSの機能を果たすソフトウェアである。トラステッドOS22は、監視アプリケーション21と実行環境提供部30との間のインタフェース機能を有する。監視アプリケーション21は、トラステッドOS22上で動作するアプリケーションである。監視アプリケーション21は、通常アプリケーション11の異常の有無を監視する。なお、図1では、通常アプリケーション11、監視アプリケーション21をそれぞれ1つだけ図示しているが、通常アプリケーション11、監視アプリケーション21は複数実行されてもよい。 The trusted OS 22 is software that functions as an OS in the trusted execution environment 20. The trusted OS 22 has an interface function between the monitoring application 21 and the execution environment providing unit 30. The monitoring application 21 is an application that runs on the trusted OS 22. The monitoring application 21 normally monitors the presence or absence of an abnormality in the application 11. Although only one normal application 11 and one monitoring application 21 are shown in FIG. 1, a plurality of normal application 11 and monitoring application 21 may be executed.

図示していないが、デバイス50は、ネットワーク通信部を備える。具体的には、ネットワーク通信部は、通常実行環境10及びトラステッド実行環境20それぞれに分離した状態で設けられている。すなわち、デバイス50は、通常実行環境10用のネットワーク通信部を経由してネットワーク上のサーバ(不図示)との間で情報の送受信を行うことができるパスと、トラステッド実行環境20用のネットワーク通信部を経由してネットワーク上のサーバ(不図示)との間で秘匿通信路を確立して情報の送受信を行うことができるパスの2つのパスを有する。 Although not shown, the device 50 includes a network communication unit. Specifically, the network communication unit is provided separately in the normal execution environment 10 and the trusted execution environment 20. That is, the device 50 has a path capable of transmitting and receiving information to and from a server (not shown) on the network via the network communication unit for the normal execution environment 10, and network communication for the trusted execution environment 20. It has two paths that can establish a secret communication path and send / receive information to / from a server (not shown) on the network via the unit.

図2は監視アプリケーション21の機能の一例を示すブロック図である。監視アプリケーション21は、ログ取得部211、監視対象情報取得部212、監視頻度取得部213、ログ解析部214、認証部215、通知部216などの機能を有する。 FIG. 2 is a block diagram showing an example of the function of the monitoring application 21. The monitoring application 21 has functions such as a log acquisition unit 211, a monitoring target information acquisition unit 212, a monitoring frequency acquisition unit 213, a log analysis unit 214, an authentication unit 215, and a notification unit 216.

ログ取得部211は、通常アプリケーション11の実行ログを取得する。実行ログは、イベントログとも称し、通常アプリケーション11が実行するコマンド、パラメータ、データ、コマンド実行時刻などを含む。 The log acquisition unit 211 acquires the execution log of the normal application 11. The execution log is also referred to as an event log, and includes commands, parameters, data, command execution times, and the like that are normally executed by the application 11.

監視対象情報取得部212は、所要の時点で、通常アプリケーション11から監視対象情報を取得する。監視対象情報は、監視アプリケーション21によって監視して欲しい情報であり、実行ログのうち、どの情報を監視対象とするかを特定する。監視対象情報は、通常アプリケーション11が実行するコマンド、パラメータ、データ、コマンド実行時刻などのうちの所要の情報を含む。所要の時点は、例えば、予め設定したタイミングでもよく、一定時間が経過の都度でもよく、通常アプリケーション11や制御アプリケーション12が起動するタイミングでもよい。 The monitoring target information acquisition unit 212 acquires the monitoring target information from the normal application 11 at a required time. The monitoring target information is information that is desired to be monitored by the monitoring application 21, and specifies which information is to be monitored in the execution log. The monitoring target information includes required information among commands, parameters, data, command execution times, and the like that are normally executed by the application 11. The required time point may be, for example, a preset timing, each time a certain time elapses, or a timing at which the normal application 11 or the control application 12 is started.

監視頻度取得部213は、通常アプリケーション11から監視頻度に関する情報を取得する。監視頻度は、例えば、特定の周期とすることができ、適宜周期を変更できる。 The monitoring frequency acquisition unit 213 normally acquires information on the monitoring frequency from the application 11. The monitoring frequency can be, for example, a specific cycle, and the cycle can be changed as appropriate.

ログ解析部214は、監視部としての機能を含み、通常アプリケーション11の実行ログを解析して通常アプリケーション11の異常の有無を監視する。 The log analysis unit 214 includes a function as a monitoring unit, analyzes the execution log of the normal application 11, and monitors the presence or absence of an abnormality in the normal application 11.

認証部215は、通常アプリケーション11から監視対象情報を取得する際に通常アプリケーション11を認証する。認証は、例えば、ID及びパスワードによる確認、重複した登録IDの有無による確認、メッセージ認証、署名認証などを用いることができる。登録IDの有無による確認は、登録IDが重複する場合、認証不可(不正あり)とするものである。メッセージ認証は、例えば、通信相手から受け取ったメッセージからMAC値(メッセージ認証コード値)を計算し、計算したMAC値と通信相手から受け取ったMAC値とを比較してメッセージの改ざんや通信相手のなりすましを防止できる。署名認証は、メッセージと、当該メッセージ又はそのハッシュ値を秘密鍵で暗号化した署名とを受信者に送り、受信者は受信したメッセージのハッシュ値と、受信した署名を送信者の公開鍵で復号して得られたハッシュ値とを比較して改ざんやなりすましを防止できる。これにより、通常アプリケーション11が正しいアプリケーションであることを確認することができ、なりすましを防止できる。 The authentication unit 215 authenticates the normal application 11 when acquiring the monitoring target information from the normal application 11. For the authentication, for example, confirmation by ID and password, confirmation by the presence or absence of duplicate registration ID, message authentication, signature authentication and the like can be used. Confirmation based on the presence or absence of a registration ID is such that authentication is not possible (with fraud) when the registration IDs are duplicated. In message authentication, for example, a MAC value (message authentication code value) is calculated from a message received from a communication partner, and the calculated MAC value is compared with a MAC value received from the communication partner to falsify the message or spoof the communication partner. Can be prevented. Signature authentication sends a message and a signature in which the message or its hash value is encrypted with a private key to the recipient, and the recipient decrypts the hash value of the received message and the received signature with the sender's public key. It is possible to prevent tampering and spoofing by comparing with the hash value obtained in this way. As a result, it is possible to confirm that the normal application 11 is a correct application, and spoofing can be prevented.

通知部216は、出力部としての機能を有し、監視アプリケーション21による監視結果を、例えば、外部のサーバ(例えば、クラウド上で各デバイスの状態を管理するサーバ)へ出力する。外部のサーバへの出力は、通常アプリケーション11の異常が検知された場合にのみ、異常検知を出力してもよい。異常が検知された場合に外部に通知するので、定期的な外部通信を不要とし、運用コストを低減できる。また、通常アプリケーション11が正常又は異常であることを示すデータ量は、外部のサーバによって外部通信を確立して監視処理を実行する際のデータ量と比較して少ないと考えられるので、監視アプリケーション21が監視する都度、監視結果を外部のサーバへ出力してもよい。監視結果は、トラステッド実行環境20用のネットワーク通信部を経由して外部サーバへ直接繋がることができる秘匿通信路を用いて出力することにより、セキュリティを担保することができる。セキュリティの担保は、例えば、監視アプリケーション21の動作に関係なく独立した結果通知が可能であること、監視アプリケーション21に異常が発生しても、通信を確立して外部サーバへ監視結果を通知できること等が挙げられる。また、外部通信に要する運用コストを低減できる。通知部216は、外部のモニタに通知を表示してもよい。 The notification unit 216 has a function as an output unit, and outputs the monitoring result by the monitoring application 21 to, for example, an external server (for example, a server that manages the state of each device on the cloud). As for the output to the external server, the abnormality detection may be output only when the abnormality of the application 11 is usually detected. Since an abnormality is detected, it is notified to the outside, so that regular external communication is not required and the operating cost can be reduced. Further, since the amount of data indicating that the normal application 11 is normal or abnormal is considered to be smaller than the amount of data when the external communication is established by the external server and the monitoring process is executed, the monitoring application 21 The monitoring result may be output to an external server each time it is monitored by. Security can be ensured by outputting the monitoring result using a secret communication path that can be directly connected to the external server via the network communication unit for the trusted execution environment 20. Security is ensured, for example, that independent result notification can be performed regardless of the operation of the monitoring application 21, communication can be established and the monitoring result can be notified to an external server even if an abnormality occurs in the monitoring application 21. Can be mentioned. In addition, the operating cost required for external communication can be reduced. The notification unit 216 may display the notification on an external monitor.

次に、通常アプリケーション11と監視アプリケーション21との間の動作について説明する。 Next, the operation between the normal application 11 and the monitoring application 21 will be described.

図3は通常アプリケーション11と監視アプリケーション21との間の動作の一例を示す説明図である。便宜上、処理の主体を通常アプリケーション11及び監視アプリケーション21として説明する。以下、P1からP15の処理について説明する。 FIG. 3 is an explanatory diagram showing an example of operation between the normal application 11 and the monitoring application 21. For convenience, the subject of processing will be described as the normal application 11 and the monitoring application 21. Hereinafter, the processes from P1 to P15 will be described.

P1:通常アプリケーション11は、所要の時点であるか否かを判定する。所要の時点は、例えば、予め設定したタイミングでもよく、一定時間が経過の都度でもよく、通常アプリケーション11や制御アプリケーション12が起動するタイミングでもよい。 P1: The normal application 11 determines whether or not it is a required time point. The required time point may be, for example, a preset timing, each time a certain time elapses, or a timing at which the normal application 11 or the control application 12 is started.

P2:通常アプリケーション11は、認証情報を出力する。 P2: Normally, the application 11 outputs the authentication information.

P3:監視アプリケーション21は、認証情報を出力した通常アプリケーション11を認証する。認証は、例えば、ID及びパスワードによる確認、重複した登録IDの有無による確認、メッセージ認証、署名認証などを用いることができる。 P3: The monitoring application 21 authenticates the normal application 11 that outputs the authentication information. For the authentication, for example, confirmation by ID and password, confirmation by the presence or absence of duplicate registration ID, message authentication, signature authentication and the like can be used.

P4:監視アプリケーション21は、認証結果を通常アプリケーション11へ通知する。 P4: The monitoring application 21 notifies the normal application 11 of the authentication result.

P5:通常アプリケーション11は、監視対象情報を出力する。監視対象情報は、監視アプリケーション21によって監視して欲しい情報であり、実行ログのうち、どの情報を監視対象とするかを特定する情報である。 P5: Normally, the application 11 outputs the monitoring target information. The monitoring target information is information that is desired to be monitored by the monitoring application 21, and is information that identifies which information is to be monitored in the execution log.

P6:監視アプリケーション21は、監視対象情報を取得すると、受領結果を通常アプリケーション11に出力する。 P6: When the monitoring application 21 acquires the monitoring target information, the monitoring application 21 outputs the receipt result to the normal application 11.

P7:通常アプリケーション11は、監視頻度情報を出力する。監視頻度は、例えば、特定の周期(例えば、1秒、10秒、1分など)とすることができる。監視頻度は、通常アプリケーション11側で所望の周期に設定することができる。 P7: Normally, the application 11 outputs monitoring frequency information. The monitoring frequency can be, for example, a specific cycle (for example, 1 second, 10 seconds, 1 minute, etc.). The monitoring frequency can usually be set to a desired cycle on the application 11 side.

P8:通常アプリケーション11は、実行ログを出力する。実行ログ(イベントログ)は、通常アプリケーションが実行するコマンド、パラメータ、データ、コマンド実行時刻などを含む。 P8: Normally, the application 11 outputs an execution log. The execution log (event log) includes commands, parameters, data, command execution times, etc. that are normally executed by the application.

P9:監視アプリケーション21は、実行ログを取得する。 P9: The monitoring application 21 acquires an execution log.

P10:監視アプリケーション21は、実行ログを解析する。P7からP9の処理は、特定の周期の都度行われる。 P10: The monitoring application 21 analyzes the execution log. The processing of P7 to P9 is performed each time a specific cycle is performed.

P11:通常アプリケーション11は、実行ログを出力する。以降、P7からP9の処理と同様の処理が特定の周期の都度行われる。 P11: Normally, the application 11 outputs an execution log. After that, the same processing as the processing of P7 to P9 is performed each time in a specific cycle.

P12:通常アプリケーション11は、実行ログを出力する。 P12: Normally, the application 11 outputs an execution log.

P13:監視アプリケーション21は、実行ログを取得する。 P13: The monitoring application 21 acquires an execution log.

P14:監視アプリケーション21は、実行ログを解析する。 P14: The monitoring application 21 analyzes the execution log.

P15:監視アプリケーション21は、実行ログを解析して通常アプリケーション11の異常を検知した場合、通常アプリケーション11が異常であることを外部(サーバなど)へ通知する。 P15: When the monitoring application 21 analyzes the execution log and detects an abnormality in the normal application 11, it notifies the outside (server or the like) that the normal application 11 is abnormal.

外部のサーバへの通知は、例えば、通常実行環境10用のネットワーク通信部を経由して行ってもよく(例えば、通常アプリケーション11が制御アプリケーション12を介して監視アプリケーション21の監視結果を受信し、受信した監視結果をサーバへ通知する)、あるいは、トラステッド実行環境20用のネットワーク通信部を経由して秘匿通信路を確立して行ってもよい(例えば、監視アプリケーション21から直接サーバへ通知する)。 The notification to the external server may be performed, for example, via the network communication unit for the normal execution environment 10 (for example, the normal application 11 receives the monitoring result of the monitoring application 21 via the control application 12 and receives the monitoring result. The received monitoring result may be notified to the server), or a secret communication path may be established via the network communication unit for the trusted execution environment 20 (for example, the monitoring application 21 directly notifies the server). ..

図4は通常アプリケーション11のイベントログの第1例を示す模式図である。図4の例では、イベントログには、稼働日時、通常アプリケーション11が取得した対象機器の温度計測結果、設定温度、基準値、通常アプリケーション11が判定した温度状態などが含まれる。なお、イベントログの項目は一例であって、図4の例に限定されない。通常アプリケーション11に対して何らかの攻撃が加えられると、通常アプリケーション11は、計測した温度や設定した温度が基準値と乖離しているにも関わらず、温度状態は正常であると判定している。監視アプリケーション21がイベントログを解析することにより、通常アプリケーション11が異常であることを検知できる。 FIG. 4 is a schematic diagram showing a first example of the event log of the normal application 11. In the example of FIG. 4, the event log includes the operation date and time, the temperature measurement result of the target device acquired by the normal application 11, the set temperature, the reference value, the temperature state determined by the normal application 11, and the like. The item of the event log is an example, and is not limited to the example of FIG. When some kind of attack is applied to the normal application 11, the normal application 11 determines that the temperature state is normal even though the measured temperature and the set temperature deviate from the reference value. By analyzing the event log by the monitoring application 21, it is possible to detect that the normal application 11 is abnormal.

図5は通常アプリケーション11のイベントログの第2例を示す模式図である。図5の例では、イベントログには、検知時刻、通常アプリケーション11が取得した対象機器の検知内容、検知開始時刻、検知終了時刻、人の滞在時間、通常アプリケーション11が判定した状態などが含まれる。なお、イベントログの項目は一例であって、図5の例に限定されない。監視アプリケーション21がイベントログを解析することにより、検知時刻、検知内容、検知開始時刻、検知終了時刻、人の滞在時間それぞれのデータ間で乖離や不整合などの異常がないので、通常アプリケーション11が正常であることを検知できる。 FIG. 5 is a schematic diagram showing a second example of the event log of the normal application 11. In the example of FIG. 5, the event log includes the detection time, the detection content of the target device acquired by the normal application 11, the detection start time, the detection end time, the staying time of a person, the state determined by the normal application 11, and the like. .. The item of the event log is an example, and is not limited to the example of FIG. By analyzing the event log by the monitoring application 21, there is no abnormality such as deviation or inconsistency between the detection time, the detection content, the detection start time, the detection end time, and the staying time of the person, so that the normal application 11 can be used. It can be detected that it is normal.

上述のように、デバイス50上で実行される通常アプリケーション11の異常の有無を、同じデバイス50上の、より安全なトラステッド実行環境20で実行される監視アプリケーション21が監視することにより、デバイス50からの定期的な外部通信(例えば、外部の監視サーバとの通信など)を実施しなくても通常アプリケーション11を監視できる。また、外部から攻撃が加えられても、監視アプリケーション21は、より安全なトラステッド実行環境20で実行されるので、攻撃による影響を受けることなく通常アプリケーション11の異常の有無を監視し続けることができる。 As described above, the monitoring application 21 executed in the more secure trusted execution environment 20 on the same device 50 monitors the presence or absence of an abnormality in the normal application 11 executed on the device 50 from the device 50. The application 11 can be normally monitored without performing periodic external communication (for example, communication with an external monitoring server). Further, even if an attack is applied from the outside, the monitoring application 21 is executed in the more secure trusted execution environment 20, so that it is possible to continue monitoring the presence or absence of an abnormality in the normal application 11 without being affected by the attack. ..

また、デバイス50にインストールされた通常アプリケーション11に対して攻撃があった場合でも、所要の時点(例えば、通常アプリケーション11の導入時、起動時又は更新時)で攻撃を検知することができる。 Further, even if there is an attack on the normal application 11 installed on the device 50, the attack can be detected at a required time point (for example, when the normal application 11 is introduced, started, or updated).

また、通常アプリケーション11を特定の周期で監視するので、通常アプリケーション11に対して攻撃があった場合に、攻撃を迅速に検知することができる。 Further, since the normal application 11 is monitored at a specific cycle, when there is an attack on the normal application 11, the attack can be detected quickly.

図6は監視アプリケーション21の処理手順の一例を示すフローチャートである。監視アプリケーション21は、所要の時点であるか否かを判定し(S11)、所要の時点でない場合(S11でNO)、ステップS11の処理を続ける。所要の時点である場合(S11でYES)、監視アプリケーション21は、通常アプリケーション11を認証する(S12)。 FIG. 6 is a flowchart showing an example of the processing procedure of the monitoring application 21. The monitoring application 21 determines whether or not it is a required time point (S11), and if it is not a required time point (NO in S11), continues the process of step S11. When it is a required time point (YES in S11), the monitoring application 21 authenticates the normal application 11 (S12).

監視アプリケーション21は、正しい通常アプリケーション11であるか否か、すなわち、認証が成功したか否かを判定する(S13)。正しい通常アプリケーション11である場合(S13でYES)、監視アプリケーション21は、通常アプリケーション11から監視対象情報を取得し(S14)、通常アプリケーション11の実行ログを取得したか否かを判定する(S15)。 The monitoring application 21 determines whether or not it is the correct normal application 11, that is, whether or not the authentication is successful (S13). When the normal application 11 is correct (YES in S13), the monitoring application 21 acquires the monitoring target information from the normal application 11 (S14), and determines whether or not the execution log of the normal application 11 has been acquired (S15). ..

実行ログを取得していない場合(S15でNO)、監視アプリケーション21は、ステップS15の処理を続ける。実行ログを取得した場合(S15でYES)、監視アプリケーション21は、実行ログを解析し(S16)、通常アプリケーション11の異常の有無を判定する(S17)。 If the execution log has not been acquired (NO in S15), the monitoring application 21 continues the process of step S15. When the execution log is acquired (YES in S15), the monitoring application 21 analyzes the execution log (S16) and determines whether or not there is an abnormality in the normal application 11 (S17).

異常があった場合(S17でYES)、監視アプリケーション21は、異常があることを外部へ通知し(S18)、処理を終了する。通常アプリケーション11の異常がない場合(S17でNO)、監視アプリケーション21は、処理を終了するか否かを判定する(S19)。処理を終了しない場合(S19でNO)、監視アプリケーション21は、ステップS15以降の処理を続ける。処理を終了する場合(S19でYES)、あるいは正しい通常アプリケーション11でない場合(S13でNO)、監視アプリケーション21は、処理を終了する。 If there is an abnormality (YES in S17), the monitoring application 21 notifies the outside that there is an abnormality (S18), and ends the process. When there is no abnormality in the normal application 11 (NO in S17), the monitoring application 21 determines whether or not to end the process (S19). If the process is not completed (NO in S19), the monitoring application 21 continues the process after step S15. When the process is terminated (YES in S19), or when the normal application 11 is not correct (NO in S13), the monitoring application 21 terminates the process.

本実施の形態のデバイスは、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供する実行環境提供部と、前記トラステッド実行環境内で実行され、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションとを備え、前記監視アプリケーションは、前記通常アプリケーションの実行ログを取得するログ取得部と、前記ログ取得部で取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する監視部とを備える。 The device of the present embodiment has an execution environment providing unit that provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and is executed in the trusted execution environment and is executed in the normal execution environment. The monitoring application includes a monitoring application that monitors a normal application, and the monitoring application determines the presence or absence of an abnormality in the normal application based on a log acquisition unit that acquires an execution log of the normal application and an execution log acquired by the log acquisition unit. It is equipped with a monitoring unit for monitoring.

本実施の形態のコンピュータプログラムは、コンピュータに、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供する処理と、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行する処理と、前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得する処理と、前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する処理とを実行させる。 The computer program of the present embodiment provides a computer with a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and a monitoring application that monitors the normal application executed in the normal execution environment. The process to be executed in the trusted execution environment, the process of acquiring the execution log of the normal application from the monitoring application, and the monitoring application monitoring the presence or absence of an abnormality of the normal application based on the acquired execution log. Process and execute.

本実施の形態の監視方法は、通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供し、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行し、前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得させ、前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視させる。 The monitoring method of the present embodiment provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment, and a monitoring application that monitors a normal application executed in the normal execution environment is provided in the trusted execution environment. To have the monitoring application acquire the execution log of the normal application, and cause the monitoring application to monitor the presence or absence of an abnormality in the normal application based on the acquired execution log.

実行環境提供部は、通常実行環境及び通常実行環境よりも安全なトラステッド実行環境を提供する。実行環境提供部は、例えば、プロセッサが搭載されたデバイス上でCPU仮想化支援技術を提供することにより、ソフトウェアの実行環境を通常実行環境(ノーマルワールドともいう)と、通常実行環境よりも安全なトラステッド実行環境(セキュアワールトともいう)との二つの実行環境に物理的に分離することができる。通常実行環境とトラステッド実行環境との間では、メモリ空間、入出力装置などを分離できる。 The execution environment providing unit provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment. The execution environment providing unit provides the CPU virtualization support technology on a device equipped with a processor, for example, to make the software execution environment safer than the normal execution environment (also called the normal world) and the normal execution environment. It can be physically separated into two execution environments, a trusted execution environment (also called secure world). The memory space, input / output device, etc. can be separated between the normal execution environment and the trusted execution environment.

監視アプリケーションは、トラステッド実行環境内で実行される。監視アプリケーションは、通常実行環境内で実行される通常アプリケーションを監視する。具体的には、監視アプリケーション(ログ取得部)は、通常アプリケーションの実行ログを取得し、監視部は、取得した実行ログに基づいて通常アプリケーションの異常の有無を監視する。実行ログ(イベントログとも称する)は、通常アプリケーションが実行するコマンド、パラメータ、データ、コマンド実行時刻などを含む。 The monitoring application runs within the trusted execution environment. The monitoring application monitors the normal application executed in the normal execution environment. Specifically, the monitoring application (log acquisition unit) acquires the execution log of the normal application, and the monitoring unit monitors the presence or absence of an abnormality in the normal application based on the acquired execution log. The execution log (also referred to as an event log) includes commands, parameters, data, command execution times, etc. that are normally executed by an application.

デバイス上で実行される通常アプリケーション(アプリケーションプログラム)の異常の有無を、同じデバイス上の、より安全なトラステッド実行環境で実行される監視アプリケーションが監視することにより、デバイスからの定期的な外部通信(例えば、外部の監視サーバとの通信など)を実施しなくても通常アプリケーションを監視できる。また、外部から攻撃が加えられても、監視アプリケーションは、より安全なトラステッド実行環境で実行されるので、攻撃による影響を受けることなく通常アプリケーションの異常の有無を監視し続けることができる。 Periodic external communication from the device (regular external communication from the device) by monitoring the presence or absence of abnormalities in the normal application (application program) executed on the device by the monitoring application executed in the more secure trusted execution environment on the same device. For example, the application can be normally monitored without performing communication with an external monitoring server. In addition, even if an attack is applied from the outside, the monitoring application is executed in a more secure trusted execution environment, so that it is possible to continue monitoring the presence or absence of abnormalities in the normal application without being affected by the attack.

本実施の形態のデバイスにおいて、前記監視アプリケーションは、所要の時点で、前記通常アプリケーションから監視対象情報を取得する監視対象情報取得部を備え、前記監視部は、前記ログ取得部で取得した実行ログの前記監視対象情報に基づいて前記通常アプリケーションの異常の有無を監視する。 In the device of the present embodiment, the monitoring application includes a monitoring target information acquisition unit that acquires monitoring target information from the normal application at a required time, and the monitoring unit is an execution log acquired by the log acquisition unit. The presence or absence of an abnormality in the normal application is monitored based on the monitoring target information of the above.

監視アプリケーション(監視対象情報取得部)は、所要の時点で、通常アプリケーションから監視対象情報を取得する。監視対象情報は、監視アプリケーションによって監視して欲しい情報であり、実行ログのうち、どの情報を監視対象とするかを特定する。監視対象情報は、通常アプリケーションが実行するコマンド、パラメータ、データ、コマンド実行時刻などのうちの所要の情報を含む。所要の時点は、例えば、予め設定したタイミングでもよく、一定時間が経過の都度でもよく、通常アプリケーションや通常実行環境でのOS(制御プログラム)が起動するタイミングでもよい。 The monitoring application (monitoring target information acquisition unit) acquires the monitoring target information from the normal application at a required time. The monitoring target information is information that the monitoring application wants to monitor, and specifies which information is to be monitored in the execution log. The monitored information includes required information such as commands, parameters, data, and command execution times normally executed by the application. The required time may be, for example, a preset timing, each time a certain time elapses, or a timing at which the OS (control program) in the normal application or the normal execution environment is started.

監視アプリケーション(監視部)は、取得した実行ログの監視対象情報に基づいて通常アプリケーションの異常の有無を監視する。これにより、デバイスにインストールされた通常アプリケーションに対して攻撃があった場合でも、所要の時点で攻撃を検知することができる。 The monitoring application (monitoring unit) monitors the presence or absence of abnormalities in the normal application based on the acquired monitoring target information in the execution log. This makes it possible to detect an attack at a required point even if there is an attack on a normal application installed on the device.

本実施の形態のデバイスにおいて、前記所要の時点は、前記通常アプリケーションの導入時、起動時又は更新時を含む。 In the device of the present embodiment, the required time point includes the time when the normal application is introduced, the time when the application is started, or the time when the application is updated.

所要の時点は、通常アプリケーションの導入時、起動時又は更新時を含む。これにより、通常アプリケーションの導入時、起動時又は更新時において攻撃を検知することができる。 The required time points usually include the time when the application is introduced, started, or updated. This makes it possible to detect an attack when a normal application is introduced, started, or updated.

本実施の形態のデバイスにおいて、前記監視アプリケーションは、前記監視対象情報取得部で監視対象情報を取得する際に前記通常アプリケーションを認証する認証部を備える。 In the device of the present embodiment, the monitoring application includes an authentication unit that authenticates the normal application when the monitoring target information acquisition unit acquires the monitoring target information.

監視アプリケーション(認証部)は、通常アプリケーションから監視対象情報を取得する際に通常アプリケーションを認証する。認証は、例えば、ID及びパスワードによる確認、重複した登録IDの有無による確認、メッセージ認証、署名認証などを用いることができる。これにより、通常アプリケーションが正しいアプリケーションであることを確認することができ、なりすましを防止できる。 The monitoring application (authentication unit) authenticates the normal application when acquiring the monitoring target information from the normal application. For the authentication, for example, confirmation by ID and password, confirmation by the presence or absence of duplicate registration ID, message authentication, signature authentication and the like can be used. As a result, it is possible to confirm that the normal application is the correct application and prevent spoofing.

本実施の形態のデバイスにおいて、前記監視アプリケーションは、前記通常アプリケーションから監視頻度に関する情報を取得する監視頻度情報取得部を備え、前記監視部は、前記監視頻度で前記通常アプリケーションの異常の有無を監視する。 In the device of the present embodiment, the monitoring application includes a monitoring frequency information acquisition unit that acquires information on the monitoring frequency from the normal application, and the monitoring unit monitors the presence or absence of an abnormality in the normal application at the monitoring frequency. To do.

監視アプリケーション(監視頻度情報取得部)は、通常アプリケーションから監視頻度に関する情報を取得する。監視頻度は、例えば、特定の周期とすることができ、適宜周期を変更できる。監視アプリケーション(監視部)は、監視頻度で通常アプリケーションの異常の有無を監視する。これにより、通常アプリケーションを特定の周期で監視するので、通常アプリケーションに対して攻撃があった場合に、攻撃を迅速に検知することができる。 The monitoring application (monitoring frequency information acquisition unit) acquires information on the monitoring frequency from the normal application. The monitoring frequency can be, for example, a specific cycle, and the cycle can be changed as appropriate. The monitoring application (monitoring unit) monitors the presence or absence of abnormalities in the normal application at the monitoring frequency. As a result, since the normal application is monitored at a specific cycle, when there is an attack on the normal application, the attack can be detected quickly.

本実施の形態のデバイスにおいて、前記監視アプリケーションは、前記監視部の監視結果を外部へ出力する出力部を備える。 In the device of the present embodiment, the monitoring application includes an output unit that outputs the monitoring result of the monitoring unit to the outside.

監視アプリケーション(出力部)は、監視結果(例えば、異常検知)を外部へ出力する。外部は、例えば、ネットワークを介してデバイスと接続されるサーバを含む。異常が検知された場合に外部に通知するので、定期的な外部通信を不要とし、運用コストを低減できる。 The monitoring application (output unit) outputs the monitoring result (for example, abnormality detection) to the outside. The outside includes, for example, a server connected to the device via a network. Since an abnormality is detected, it is notified to the outside, so that regular external communication is not required and the operating cost can be reduced.

10 通常実行環境
11 通常アプリケーション
12 制御アプリケーション
20 トラステッド実行環境
21 監視アプリケーション
211 ログ取得部
212 監視対象情報取得部
213 監視頻度取得部
214 ログ解析部
215 認証部
216 通知部 10 Normal execution environment 11 Normal application 12 Control application 20 Trusted execution environment 21 Monitoring application 211 Log acquisition unit 212 Monitoring target information acquisition unit 213 Monitoring frequency acquisition unit 214 Log analysis unit 215 Authentication unit 216 Notification unit

Claims (8)

通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供する実行環境提供部と、
前記トラステッド実行環境内で実行され、前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションと
を備え、
前記監視アプリケーションは、
前記通常アプリケーションの実行ログを取得するログ取得部と、
前記ログ取得部で取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する監視部と
を備えるデバイス。 An execution environment provider that provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment,
It includes a monitoring application that is executed in the trusted execution environment and monitors a normal application that is executed in the normal execution environment.
The monitoring application
A log acquisition unit that acquires the execution log of the normal application, and
A device including a monitoring unit that monitors the presence or absence of an abnormality in the normal application based on the execution log acquired by the log acquisition unit. 前記監視アプリケーションは、
所要の時点で、前記通常アプリケーションから監視対象情報を取得する監視対象情報取得部を備え、
前記監視部は、
前記ログ取得部で取得した実行ログの前記監視対象情報に基づいて前記通常アプリケーションの異常の有無を監視する請求項1に記載のデバイス。 The monitoring application
A monitoring target information acquisition unit that acquires monitoring target information from the normal application at a required time is provided.
The monitoring unit
The device according to claim 1, which monitors the presence or absence of an abnormality in the normal application based on the monitoring target information of the execution log acquired by the log acquisition unit. 前記所要の時点は、前記通常アプリケーションの導入時、起動時又は更新時を含む請求項2に記載のデバイス。 The device according to claim 2, wherein the required time point includes the time when the normal application is introduced, the time when the application is started, or the time when the application is updated. 前記監視アプリケーションは、
前記監視対象情報取得部で監視対象情報を取得する際に前記通常アプリケーションを認証する認証部を備える請求項2又は請求項3に記載のデバイス。 The monitoring application
The device according to claim 2 or 3, further comprising an authentication unit that authenticates the normal application when the monitoring target information acquisition unit acquires the monitoring target information. 前記監視アプリケーションは、
前記通常アプリケーションから監視頻度に関する情報を取得する監視頻度情報取得部を備え、
前記監視部は、
前記監視頻度で前記通常アプリケーションの異常の有無を監視する請求項1から請求項4のいずれか一項に記載のデバイス。 The monitoring application
It is provided with a monitoring frequency information acquisition unit that acquires information on the monitoring frequency from the normal application.
The monitoring unit
The device according to any one of claims 1 to 4, wherein the presence or absence of an abnormality in the normal application is monitored at the monitoring frequency. 前記監視アプリケーションは、
前記監視部の監視結果を外部へ出力する出力部を備える請求項1から請求項5のいずれか一項に記載のデバイス。 The monitoring application
The device according to any one of claims 1 to 5, further comprising an output unit that outputs the monitoring result of the monitoring unit to the outside. コンピュータに、
通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供する処理と、
前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行する処理と、
前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得する処理と、
前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視する処理と
を実行させるコンピュータプログラム。 On the computer
Processing that provides a normal execution environment and a trusted execution environment that is safer than the normal execution environment,
A process of executing a monitoring application that monitors a normal application executed in the normal execution environment in the trusted execution environment, and a process of executing the monitoring application in the trusted execution environment.
The process of acquiring the execution log of the normal application in the monitoring application, and
A computer program that causes the monitoring application to execute a process of monitoring the presence or absence of an abnormality in the normal application based on the acquired execution log. 通常実行環境及び該通常実行環境よりも安全なトラステッド実行環境を提供し、
前記通常実行環境内で実行される通常アプリケーションを監視する監視アプリケーションを前記トラステッド実行環境内で実行し、
前記監視アプリケーションに、前記通常アプリケーションの実行ログを取得させ、
前記監視アプリケーションに、取得した実行ログに基づいて前記通常アプリケーションの異常の有無を監視させる通常アプリケーションの監視方法。 To provide a normal execution environment and a trusted execution environment that is safer than the normal execution environment,
A monitoring application that monitors a normal application executed in the normal execution environment is executed in the trusted execution environment, and the monitoring application is executed.
Have the monitoring application acquire the execution log of the normal application,
A method for monitoring a normal application that causes the monitoring application to monitor the presence or absence of an abnormality in the normal application based on an acquired execution log.
JP2019177601A 2019-09-27 2019-09-27 Devices, computer programs and monitoring methods Active JP7352158B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019177601A JP7352158B2 (en) 2019-09-27 2019-09-27 Devices, computer programs and monitoring methods

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019177601A JP7352158B2 (en) 2019-09-27 2019-09-27 Devices, computer programs and monitoring methods

Publications (2)

Publication Number Publication Date
JP2021056644A true JP2021056644A (en) 2021-04-08
JP7352158B2 JP7352158B2 (en) 2023-09-28

Family

ID=75272535

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019177601A Active JP7352158B2 (en) 2019-09-27 2019-09-27 Devices, computer programs and monitoring methods

Country Status (1)

Country Link
JP (1) JP7352158B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007199813A (en) * 2006-01-24 2007-08-09 Ntt Comware Corp Log collecting system and log collecting method
US20090265756A1 (en) * 2008-04-18 2009-10-22 Samsung Electronics Co., Ltd. Safety and management of computing environments that may support unsafe components
JP2011134323A (en) * 2009-12-24 2011-07-07 Intel Corp Collaborative malware detection and prevention on a plurality of mobile devices
JP2014164392A (en) * 2013-02-22 2014-09-08 Dainippon Printing Co Ltd Information processing device and information processing system
US20190042781A1 (en) * 2017-08-04 2019-02-07 Bitdefender IPR Management Ltd. Secure Storage Device
JP2019057167A (en) * 2017-09-21 2019-04-11 大日本印刷株式会社 Computer program, device and determining method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007199813A (en) * 2006-01-24 2007-08-09 Ntt Comware Corp Log collecting system and log collecting method
US20090265756A1 (en) * 2008-04-18 2009-10-22 Samsung Electronics Co., Ltd. Safety and management of computing environments that may support unsafe components
JP2011134323A (en) * 2009-12-24 2011-07-07 Intel Corp Collaborative malware detection and prevention on a plurality of mobile devices
JP2014164392A (en) * 2013-02-22 2014-09-08 Dainippon Printing Co Ltd Information processing device and information processing system
US20190042781A1 (en) * 2017-08-04 2019-02-07 Bitdefender IPR Management Ltd. Secure Storage Device
JP2019057167A (en) * 2017-09-21 2019-04-11 大日本印刷株式会社 Computer program, device and determining method

Also Published As

Publication number Publication date
JP7352158B2 (en) 2023-09-28

Similar Documents

Publication Publication Date Title
EP3298527B1 (en) Secured access control to cloud-based applications
US10341321B2 (en) System and method for policy based adaptive application capability management and device attestation
US10291631B2 (en) System for testing computer application
JP5180278B2 (en) Collaborative malware detection and prevention on multiple mobile devices
US20210258341A1 (en) Cyberattack prevention system
JP5743227B2 (en) Method and apparatus for improving code and data signatures
EP2652663B1 (en) Software signing certificate reputation model
CN111262889B (en) Authority authentication method, device, equipment and medium for cloud service
US20230259386A1 (en) Data processing method based on container engine and related device
US20180075233A1 (en) Systems and methods for agent-based detection of hacking attempts
US20210194917A1 (en) Implementation comparison-based security system
EP3270317B1 (en) Dynamic security module server device and operating method thereof
CN111400722A (en) Method, apparatus, computer device and storage medium for scanning small program
WO2022105096A1 (en) Trusted terminal determination method and related device
CN115701019A (en) Access request processing method and device of zero trust network and electronic equipment
KR102502367B1 (en) System for controlling network access based on controller and method of the same
US20200099715A1 (en) Method and Mechanism for Detection of Pass-the-Hash Attacks
KR101451323B1 (en) Application security system, security server, security client apparatus, and recording medium
KR20180121604A (en) Trust failures in communications
JP7352158B2 (en) Devices, computer programs and monitoring methods
JP6981078B2 (en) Secure elements, computer programs, devices, servers and device monitoring methods
WO2022151736A1 (en) Method for determining trusted terminal and related device
CN111314131A (en) Task issuing method and device, storage medium and electronic device
CN112104625A (en) Process access control method and device
US11863586B1 (en) Inline package name based supply chain attack detection and prevention

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220726

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230418

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230608

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230816

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230829

R150 Certificate of patent or registration of utility model

Ref document number: 7352158

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150