JP5144488B2 - 情報処理システムおよびプログラム - Google Patents
情報処理システムおよびプログラム Download PDFInfo
- Publication number
- JP5144488B2 JP5144488B2 JP2008325378A JP2008325378A JP5144488B2 JP 5144488 B2 JP5144488 B2 JP 5144488B2 JP 2008325378 A JP2008325378 A JP 2008325378A JP 2008325378 A JP2008325378 A JP 2008325378A JP 5144488 B2 JP5144488 B2 JP 5144488B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- information
- file
- identification information
- extracted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Description
本発明は、コンピュータ上で生成されるログの情報を処理する情報処理システムに関する。また、本発明は、本情報処理システムとしてコンピュータを機能させるためのプログラムにも関する。
マルウェアへの感染や不正行為による攻撃を検知・防御する仕組みが広く用いられている。例として、端末のシステムの改ざんを検知するホスト型侵入検知システム(例えば非特許文献1参照)や、不正なプロセスを検知する不正プロセス検知システム(例えば非特許文献2参照)などがある。
ホスト型侵入検知システムは、監視対象の端末のファイルやディレクトリの正常な状態を保存して、定期的に整合性のチェックを行うことで、システムファイルの改ざんを検知する。不正プロセス検知システムは、マルウェアに感染した端末が、ユーザのキーボードやマウスの操作と関係なく、意図しないパケットを自動的もしくは外部からの制御によって送信する特徴に注目して、正常な端末の無操作状態の通信の特徴をプロファイル化して、これに該当しない通信を異常と判定して、不正プロセスを検知する。
また、不正行為や情報漏えいが発生した際に、攻撃手法の解析や情報流出の状況の把握を行うことを目的として、端末上のプロセスがOS(オペレーティングシステム)に発行するシステムコール処理をフックしてログを収集・解析するシステムがある(例えば非特許文献3参照)。
伊原 秀明、"Tripwire for Linux"、株式会社オーム社、2001年。 竹森 敬祐、三宅 優、"無操作ホストから発信されるパケットに注目したウイルス感染検知"、情処研報CSEC36、2007。 "情報漏洩対策 InfoTraceシリーズ │ Top"、[online]、Soliton Systems K.K.、2008年、[平成20年12月11日検索]、インターネット<URL:http://www.soliton.co.jp/products/pc_security/infotrace/index.html>
伊原 秀明、"Tripwire for Linux"、株式会社オーム社、2001年。 竹森 敬祐、三宅 優、"無操作ホストから発信されるパケットに注目したウイルス感染検知"、情処研報CSEC36、2007。 "情報漏洩対策 InfoTraceシリーズ │ Top"、[online]、Soliton Systems K.K.、2008年、[平成20年12月11日検索]、インターネット<URL:http://www.soliton.co.jp/products/pc_security/infotrace/index.html>
ホスト型侵入検知システムや不正プロセス検知システムによれば、攻撃の結果として、ファイルの改ざんや、端末で稼働している不正プロセスを発見することは可能であるが、それらが発生した経緯に関する「いつ、どのファイルに、どのプロセスが、どのような操作を行ったか」、という、詳細な情報を得ることはできない。また、これらのシステムによる監査は間欠的に行われるため、監査の合間にファイルやプロセスの生成と削除が完了する攻撃は、検知することができない。
一方、ログの収集・解析ツールは、「いつ、どのファイルに、どのプロセスが」という情報を得ることはできるが、「どのような操作を行ったか」という情報を得ることはできない。
本発明は、上述した課題に鑑みてなされたものであって、任意のタイミングで実行された不正行為の詳細情報を抽出することができる情報処理システムおよびプログラムを提供することを目的とする。
本発明は、上記の課題を解決するためになされたもので、コンピュータ上で動作するプロセスがオペレーティングシステムに対して発行するシステムコール処理を検出し、ファイル操作が行われたファイルを識別するファイル識別情報と、前記ファイル操作を行ったプロセスを識別するプロセス識別情報とを含む第1のログを生成する第1のログ生成手段と、プロセス操作が行われたプロセスを識別する前記プロセス識別情報と、当該プロセスが実行した内容を示す実行内容情報とを含む第2のログを生成する第2のログ生成手段と、前記第1のログと前記第2のログを記憶する記憶手段と、侵入検知システムが検出した前記ファイル識別情報に基づいて、前記記憶手段が記憶する前記第1のログからログを抽出し、抽出したログに含まれる前記プロセス識別情報に基づいて、前記記憶手段が記憶する前記第2のログからログを抽出する抽出手段と、を備えたことを特徴とする情報処理システムである。
また、本発明は、コンピュータ上で動作するプロセスがオペレーティングシステムに対して発行するシステムコール処理を検出し、ファイル操作が行われたファイルを識別するファイル識別情報と、前記ファイル操作を行ったプロセスを識別するプロセス識別情報とを含む第1のログを生成する第1のログ生成手段と、プロセス操作が行われたプロセスを識別する前記プロセス識別情報と、当該プロセスが実行した内容を示す実行内容情報とを含む第2のログを生成する第2のログ生成手段と、前記第1のログと前記第2のログを記憶する記憶手段と、不正プロセス検知システムが検出した前記実行内容情報に基づいて、前記記憶手段が記憶する前記第2のログからログを抽出し、抽出したログに含まれる前記プロセス識別情報に基づいて、前記記憶手段が記憶する前記第1のログからログを抽出する抽出手段と、を備えたことを特徴とする情報処理システムである。
また、本発明の情報処理装置は、前記抽出手段が抽出したログに基づいて、前記ファイル識別情報を第1の領域に表示し、前記プロセス識別情報を前記ファイル識別情報と関連付けて第2の領域に表示し、前記実行内容情報を表示する表示手段をさらに備えたことを特徴とする。
また、本発明の情報処理装置において、前記第1のログと前記第2のログはさらに時刻情報を含み、前記表示手段はさらに、前記時刻情報に基づいて、前記ファイル識別情報、前記プロセス識別情報、前記実行内容情報を表示する順番を制御することを特徴とする。
また、本発明は、上記の情報処理システムとしてコンピュータを機能させるためのプログラムである。
本発明によれば、システムコール処理を検出したタイミングで、ファイル識別情報、プロセス識別情報を含む第1のログと、プロセス識別情報、実行内容情報を含む第2のログとが生成される。また、侵入検知システムが検出したファイル識別情報または不正プロセス検知システムが検出したプロセス識別情報に基づいて、第1のログと第2のログから、共通のプロセス識別情報を有するログが抽出される。このログを参照することによって、ファイル識別情報、プロセス識別情報、実行内容情報を取得することが可能である。以上によって、任意のタイミングで実行された不正行為の詳細情報を抽出することができる。
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の情報処理システムの一実施形態であるログ解析システムの構成を示している。本ログ解析システムは、ファイルの状態を変更する操作と、その操作を実行するプロセスとを関連付けることによって不正行為の詳細を簡易に抽出する。これを達成するために、システムコール処理をフックして、ファイル操作(ファイルの生成・変更・削除)に関するログと、プロセス操作(プロセスの生成・削除)に関するログとを生成し、それらのログを統合して解析する仕組みが設けられている。
監視対象の端末で動作するOS11のカーネル部分には、ログ生成モジュール12が設けられている。このログ生成モジュール12は、各種のアプリケーションプロセスであるプロセス10a,10b,10cが記憶装置13a、入力装置13b、出力装置13cなどのハードウェア13に対してアクセスを行う際にOS11に発行したシステムコール処理をフックしてログを生成する。
Linux(登録商標)には、カーネルにおいてセキュリティ機能を拡張するフレームワークであるLinux(登録商標) Security Module(LSM)が実装されている。LSMでは、ファイルやプロセスの操作が行われた際に、ユーザが定義したセキュリティ検証機構を呼び出して権限の検証やログの生成を行うための監視ポイントが設けられている。本ログ解析システムのシステムコール処理のフックは、LSMの監視ポイントにおけるセキュリティ検証機構として実装される。
ログ生成モジュール12が生成したログはログ記憶部14に格納され、記憶される。ログ記憶部14は、監視対象の端末が有する記憶装置13aの一部であってもよいし、監視対象とは別の端末が有する記憶装置の一部であってもよい。ログ解析モジュール15は、ログ記憶部14に格納されたログを解析し、不正行為に関するログである不正行為ログ100を生成する。ログ解析モジュール15がログを解析する際には、ホスト型侵入検知システム16や不正プロセス検知システム17で検知された情報が利用される。
表示処理部18は、不正行為ログ100が示す内容を表示するために必要な情報処理を行い、画像データを含む表示用データを生成して表示部19へ出力する。表示部19は、表示用データに基づいて、不正行為ログ100が示す内容を表示する。これによって、「いつ、どのファイルに、どのプロセスが、どのような操作を行ったか」という情報が視覚化される。表示部19は、出力装置13cの一部であってもよいし、監視対象とは別の端末が有する出力装置の一部であってもよい。
次に、ログ生成モジュール12が生成するログの詳細を説明する。LSMには、ファイル処理、プログラムの実行処理、通信処理など、およそ160の処理に関して、監視ポイントが設けられている。本実施形態において、ログ生成モジュール12は、ファイル操作に関する監視ポイントによりファイル系ログを生成し、プロセス操作に関する監視ポイントによりプロセス系ログを生成する。
図2は、ログを生成する監視ポイントの一覧を示している。ファイルの生成を監視する「inode_create」、ファイルの削除を監視する「inode_delete」、ファイルの読み書きを監視する「file_permission」などの監視ポイントがファイル系ログを生成する。また、プログラムの実行を監視する監視ポイントである「bprm_check_security」がプロセス系ログを生成する。
図3および図4は、ログに含まれる情報を示している。ログ生成モジュール12が生成するログに含まれる情報はヘッダ情報と監視ポイント固有情報に大別される。図3はヘッダ情報の内容を示している。ヘッダ情報は、ファイル系ログとプロセス系ログに共通して記録される情報である。具体的には、ログが記録された時刻300、監視ポイントの名称302、処理を行ったプロセスのID304(pid)、ユーザID306(uid)、グループID308(gid)、親プロセスのID310(parent)、親プロセスの名称312(parent cmd)、および処理を行ったプロセスの名称であるコマンド名314が記録される。
監視ポイント固有情報は、フック処理に渡される引数の情報に応じて監視ポイント毎に記録される情報である。図4は監視ポイント固有情報の内容を示している。図4(a),(b),(c)はファイル系ログの監視ポイント固有情報の内容を示し、図(d)はプロセス系ログの監視ポイント固有情報の内容を示している。
図4(a)は、ファイルの生成を監視する「inode_create」によって記録される情報を示している。情報400(inode_num)は、ファイルに割り当てられた固有の識別子である。情報402(fowner)は、ファイルの所有者を示す固有の識別子である。情報404(fgrp)は、ファイルの所属するグループを示す固有の識別子である。情報406(path)は、操作対象となるファイルの名称である。
図4(b)は、ファイルの削除を監視する「inode_delete」によって記録される情報を示している。図4(b)に示す監視ポイント固有情報は、上述した情報400,402,404を含む。
図4(c)は、ファイルの読み書きを監視する「file_permission」によって記録される情報を示している。図4(c)に示す監視ポイント固有情報は、上述した情報400,402,404,406のほかに、ファイルに対する読み込み・書き込みを識別する情報408(mode)を含む。情報408の値はOSに固有の値であるが、この値を読み取ることで、操作内容を把握することが可能である。
図4(d)は、プログラムの実行を監視する「bprm_check_security」によって記録される情報を示している。情報410(e_uid)、情報412(e_gid)は、それぞれsetuid、setgidという、通常とは異なる権限でプログラムが実行される挙動を検知して、不正行為を検知するために記録される情報である。情報410(e_uid)は、プログラムが、通常割り当てられた権限とは異なる、特権をもったユーザとして実行される場合に、特権に相当するユーザを示す識別子である。情報412(e_gid)は、プログラムが、通常割り当てられた権限とは異なる、特権をもったグループとして実行される場合に、特権に相当するグループを示す識別子である。情報414(filename)は、プロセスが実行した内容(実行内容情報)を示すコマンド名称である。
次に、ログ解析モジュール15によるログの解析方法を説明する。まず、ホスト型侵入検知システム16が検知した情報を使用してログを解析する第1の解析方法を説明する。図5は第1の解析方法を示している。
第1の解析方法では、ログ解析モジュール15は、ホスト型侵入検知システム16が改ざんを検知したファイルの名称である改ざん検知情報500を利用する。ログ解析モジュール15は、ログ記憶部14からファイル系ログ520を読み出し、改ざん検知情報500をファイル名称(図4の情報406)の検索キー510として用いてファイル系ログ520を検索する。この検索により、ログ解析モジュール15は、ファイル系ログ520の中から、ファイル名称が検索キー510と一致するログ530を抽出する。
続いて、ログ解析モジュール15は、ログ記憶部14からプロセス系ログ550を読み出し、ファイル系ログ520から抽出したログ530に記録されているプロセスID(図3のID304)を検索キー540として用いてプロセス系ログ550を検索する。この検索により、ログ解析モジュール15は、プロセス系ログ550の中から、プロセスIDが検索キー540と一致するログ560を抽出する。上記のようにして抽出されたログ530,550は、記憶装置13aまたはログ記憶部14、もしくはこれらとは異なる記憶装置に格納され、記憶される。
第1の解析方法によりファイル系ログとプロセス系ログから抽出した2つのログを統合して時系列に整列することで、ホスト型侵入検知システム16が検知した改ざんに関して、実行したプロセスの遷移と、端末のファイルに行われた操作内容とを関連付けて把握することができる。特に、「いつ、どのファイルに、どのプロセスが、どのような操作を、どのような手順で実行したか」という情報を得ることができる。
次に、不正プロセス検知システム17が検知した情報を使用してログを解析する第2の解析方法を説明する。図6は第2の解析方法を示している。
第2の解析方法では、ログ解析モジュール15は、不正プロセス検知システム17が検知した不正なプロセスの名称である不正プロセス情報600を利用する。ログ解析モジュール15は、ログ記憶部14からプロセス系ログ620を読み出し、不正プロセス情報600をプロセス名称(図4の情報414)の検索キー610として用いてプロセス系ログ620を検索する。この検索により、ログ解析モジュール15は、プロセス系ログ620の中から、プロセス名称が検索キー610と一致するログ630を抽出する。
続いて、ログ解析モジュール15は、ログ記憶部14からファイル系ログ650を読み出し、プロセス系ログ620から抽出したログ630に記録されているプロセスID(図3のID304)を検索キー640として用いてファイル系ログ650を検索する。この検索により、ログ解析モジュール15は、ファイル系ログ650の中から、プロセスIDが検索キー640と一致するログ660を抽出する。上記のようにして抽出されたログ630,650は、記憶装置13aまたはログ記憶部14、もしくはこれらとは異なる記憶装置に格納され、記憶される。
第2の解析方法によりファイル系ログとプロセス系ログから抽出した2つのログを統合して時系列に整列することで、不正プロセス検知システム17が検知した不正プロセスの挙動に関して、実行したプロセスの遷移と、端末のファイルに行われた操作内容とを関連付けて把握することができる。特に、「いつ、どのファイルに、どのプロセスが、どのような操作を、どのような手順で実行したか」という情報を得ることができる。
次に、上記の解析方法により得られた2つのログの内容を視覚化する方法を説明する。この視覚化によって、マルウェアや不正行為による端末上での攻撃のふるまいをセキュリティ管理者が容易に監視・解析することができる。
図7は、表示部19に表示される内容を示している。ログの内容は2種類のレイヤに分かれて表示される。レイヤは、収集するログの種別と対応させたファイル情報表示レイヤ700とプロセス情報表示レイヤ710に分かれる。ファイル情報表示レイヤ700にはファイル操作が行われたファイルの情報が表示され、プロセス情報表示レイヤ710にはファイル操作を行ったプロセスの情報が表示される。ファイルとプロセスを異なるレイヤに分割して表現することで、監視対象の関係性が明確になる。
また、ファイル情報表示レイヤ700は、システムディレクトリのファイル(システムファイル)の情報を表示するファイル情報表示レイヤ700aと、ユーザのホームディレクトリのファイル(通常ファイル)の情報を表示するファイル情報表示レイヤ700bとに分かれる。このほかに、ホスト型侵入検知システム16のポリシーファイルへ記載されている領域とその他の領域といった、重要度に応じた区画を設けて、重要なファイルへのアクセス検知の視認性を高めることも可能である。
図7では、プロセス名称が「bash」、プロセスIDが401であるプロセス720と、プロセス名称が「bash」、プロセスIDが808であるプロセス721とがファイル操作を行ったことが示されている。プロセス情報表示レイヤ710には、これらのプロセス720,721のほかに、これらのプロセス720,721の親プロセスであり、プロセス名称が「init」、プロセスIDが1であるプロセス722が表示されている。
ファイル情報表示レイヤ700aにはファイル名称が「/etc/passwd」であるファイル730が表示され、ファイル情報表示レイヤ700bにはファイル名称が「home/foo/testfile.txt」であるファイル731が表示される。プロセス720は、ファイル730に対して、コマンド名称が「passwd.hoge」であるコマンドを実行している。また、プロセス721は、ファイル731に対して、コマンド名称が「vi/home/foo/testfile.txt」であるコマンドを実行している。
プロセス720とファイル730の間に、両者を結ぶように線が描かれており、同様に、プロセス721とファイル731の間に、両者を結ぶように線が描かれている。これらの線によって、プロセスと、そのプロセスによるファイル操作の対象となったファイルとの関係性が明確になる。
図7に示す視覚化に必要な情報は、操作開始時刻、操作終了時刻、操作元プロセス名称、操作元プロセスID、親プロセス名称、親プロセスID、コマンド名称、および被操作ファイル名称である。
操作開始時刻/操作終了時刻は、視覚化する操作の開始時刻/終了時刻である。実際には、ログの内容は動画によるアニメーションで表示される。操作開始時刻/操作終了時刻はアニメーションの表示タイミングの制御に用いられる。
操作元プロセス名称は、ファイル操作を行ったプロセスの名称である。図7では、「bash」が操作元プロセス名称である。操作元プロセスIDは、ファイル操作を行ったプロセスの識別子である。図7では、「401」、「808」が操作元プロセスIDである。
親プロセス名称は、操作元プロセスの親プロセスの名称である。図7では、「init」が親プロセス名称である。親プロセスIDは、親プロセスの識別子である。図7では、「1」が親プロセスIDである。
コマンド名称は、操作元プロセスが操作対象のファイルに対して実行するコマンドの名称である。図7では、「passwd.hoge」や「vi/home/foo/testfile.txt」がコマンド名称である。被操作ファイル名称は、操作の対象となるファイルの名称である。図7では、「/etc/passwd」や「home/foo/testfile.txt」が被操作ファイル名称である。
次に、上記の情報をアニメーションにより視覚化する方法を説明する。図8は、前述した解析方法により抽出したログから上記の情報を取得する処理の流れを示している。以下、図8を参照しながら、上記の情報を取得する処理を説明する。
表示処理部18は、図5または図6に示した解析方法により抽出されたファイル系ログとプロセス系ログのヘッダ情報(図3)に含まれるプロセスID(pid)を参照し、これらのログから、一致するプロセスIDを有するログを抽出する(ステップS100)。ここでは、複数の不正行為が検知されたものとし、それら不正行為のそれぞれに関して、図5または図6に示した解析方法により2種類のログを抽出したことを前提としている。そのため、ステップS100において、プロセスIDを基準にして、同一のファイル操作に関連すると思われる2種類のログを抽出するようにしている。
プロセスIDは、一時点においては、その時点で動作中の各プロセスに固有な情報であるが、異なる時点において各プロセスに固有な情報であることを保証するものではない。このため、ステップS100で抽出されたログは、同一のプロセスIDが記録されていても、同一のファイル操作に関するログではないかもしれない。そこで、以降の処理により、同一のファイル操作に関するログを特定し、そのログから各種情報を取得するようにしている。
表示処理部18は、ステップS100で抽出したログのヘッダ情報に含まれる時刻を参照し、最初と最後に記録されたログから「開始時刻」と「終了時刻」をそれぞれ取得する(ステップS101)。続いて、表示処理部18は、ステップS100で抽出したログのうち、プログラムの実行を監視する「bprm_check_security」によって記録されたプロセス系ログを抽出する(ステップS102)。表示処理部18は、ステップS102で抽出したログのヘッダ情報(図3)に含まれるコマンド(cmd)に記録された情報を「操作元プロセス名称」として取得し(ステップS103)、プロセスID(pid)に記録された情報を「操作元プロセスID」として取得する(ステップS104)。
また、表示処理部18は、ステップS102で抽出したログのヘッダ情報(図3)に含まれる親プロセスコマンド(parent cmd)に記録された情報を「親プロセス名称」として取得し(ステップS105)、親プロセスID(parent)に記録された情報を「親プロセスID」として取得する(ステップS106)。続いて、表示処理部18は、ステップS102で抽出したログの監視ポイント固有情報(図4)に含まれるコマンド名称(filename)に記録された情報を「コマンド名称」として取得する(ステップS107)。
最後に、表示処理部18は、ステップS100で抽出したログのうちファイル系ログのヘッダ情報(図3)に含まれるコマンド(cmd)に記録された情報を参照し、ステップS103で取得した「操作元プロセス名称」と一致するコマンドが記録されたログを抽出する。「コマンド名称」によってファイル系ログとプロセス系ログが関連付けられるので、同一のファイル操作に関するログから各種情報が得られることになる。表示処理部18は、抽出したログの監視ポイント固有情報(図4)に含まれるファイル名称(path)に記録された情報を「被操作ファイル名称」として抽出する(ステップS108)。
上記の処理により、ファイル系ログとプロセス系ログから、同一のファイル操作に関するログを抽出し、そのログに記録された各種情報を取得することができる。図8に示した処理を行うことにより、例えば図7のファイル730の操作に関する情報が取得され、さらに図8に示した処理をもう一度行うことにより、例えば図7のファイル731の操作に関する情報が取得される。取得された情報は互いに関連付けられ、最終的に時系列順に統合され、図1に示した不正行為ログ100となる。
次に、図9および図10を参照しながら、ログの内容をアニメーションにより視覚化する方法を説明する。図9および図10は、表示部19に表示される内容を示している。以下では、図7に示した情報を表示する場合を例として説明を行う。表示処理部18は、図8に示した処理により取得した情報を表示するための画像データを含む表示用データを生成し、表示部19へ出力する。表示部19は、この表示用データに基づいて画像を表示する。表示処理部18が、画像データを更新して表示部19へ出力することを繰り返すことにより、表示部19は、表示内容が連続的に変化するアニメーションを表示する。
まず、表示処理部18は、初期状態の画像を表示するための表示用データを生成する。図9(a)は初期状態を示している。ファイル情報表示レイヤ700とプロセス情報表示レイヤ710が表示される。ファイル情報表示レイヤ700については、システムファイルを表示するファイル情報表示レイヤ700aと、通常ファイルを表示するファイル情報表示レイヤ700bとが異なる色で表示される。
表示処理部18は、最も早い「開始時刻」に関連付けられた情報を参照し、図9(b)に示すように、ファイル731の情報と、そのファイル操作を行ったプロセス721の情報とを表示するための表示用データを生成する。続いて、表示処理部18は、2番目に早い「開始時刻」に関連付けられた情報を参照し、図10(a)に示すように、ファイル730の情報と、そのファイル操作を行ったプロセス720の情報とを追加表示するための表示用データを生成する。ファイル731に関連するファイル操作については、図10(b)に示すように一定時間の経過後に、ファイル操作を示す線が消える。このようなアニメーションを表示することによって、セキュリティ管理者は、「いつ、どのファイルに、どのプロセスが、どのような操作を、どのような手順で実行したか」という情報を視覚的に得ることができる。
上述したように、本実施形態によれば、システムコール処理を検出したタイミングでファイル系ログとプロセス系ログが生成されるので、任意のタイミングで実行された不正行為の情報をログに記録することができる。さらに、図5および図6に示したように、ファイル系ログとプロセス系ログから、共通のプロセスIDを有するログを抽出することによって、時刻、ファイル名称、プロセス名称、プロセスの実行内容等の情報を取得することができる。以上により、任意のタイミングで実行された不正行為の詳細情報を抽出することができる。
また、ログを抽出する際に、ホスト型侵入検知システム16が改ざんを検知したファイルの名称、または不正プロセス検知システム17が検知した不正なプロセスの名称を利用することによって、攻撃に該当する情報を効率的に抽出することができる。
また、抽出したログに基づいて、ファイル操作に関連するファイルとプロセスの情報を関連付けて表示することによって、ファイルと、そのファイルに対してファイル操作を行ったプロセスとの関係性を視覚的に明確することができる。さらに、図9および図10に示したアニメーションを表示することによって、ファイル操作の手順を視覚的に明確にすることができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述したログの生成方法および解析方法は、端末上のマルウェア検知、ネットワークを経由した端末への不正行為検知等のアプリケーションを実現するための中核技術として利用可能である。
また、上記の情報処理システム(ログ解析システム)の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
11・・・OS、12・・・ログ生成モジュール、13・・・ハードウェア、13a・・・記憶装置、13b・・・入力装置、13c・・・出力装置、14・・・ログ記憶部、15・・・ログ解析モジュール、16・・・侵入検知システム、17・・・不正プロセス検知システム、18・・・表示処理部、19・・・表示部
Claims (5)
- コンピュータ上で動作するプロセスがオペレーティングシステムに対して発行するシステムコール処理を検出し、ファイル操作が行われたファイルを識別するファイル識別情報と、前記ファイル操作を行ったプロセスを識別するプロセス識別情報とを含む第1のログを生成する第1のログ生成手段と、
プロセス操作が行われたプロセスを識別する前記プロセス識別情報と、当該プロセスが実行した内容を示す実行内容情報とを含む第2のログを生成する第2のログ生成手段と、
前記第1のログと前記第2のログを記憶する記憶手段と、
侵入検知システムが検出した前記ファイル識別情報に基づいて、前記記憶手段が記憶する前記第1のログからログを抽出し、抽出したログに含まれる前記プロセス識別情報に基づいて、前記記憶手段が記憶する前記第2のログからログを抽出する抽出手段と、
を備えたことを特徴とする情報処理システム。 - コンピュータ上で動作するプロセスがオペレーティングシステムに対して発行するシステムコール処理を検出し、ファイル操作が行われたファイルを識別するファイル識別情報と、前記ファイル操作を行ったプロセスを識別するプロセス識別情報とを含む第1のログを生成する第1のログ生成手段と、
プロセス操作が行われたプロセスを識別する前記プロセス識別情報と、当該プロセスが実行した内容を示す実行内容情報とを含む第2のログを生成する第2のログ生成手段と、
前記第1のログと前記第2のログを記憶する記憶手段と、
不正プロセス検知システムが検出した前記実行内容情報に基づいて、前記記憶手段が記憶する前記第2のログからログを抽出し、抽出したログに含まれる前記プロセス識別情報に基づいて、前記記憶手段が記憶する前記第1のログからログを抽出する抽出手段と、
を備えたことを特徴とする情報処理システム。 - 前記抽出手段が抽出したログに基づいて、前記ファイル識別情報を第1の領域に表示し、前記プロセス識別情報を前記ファイル識別情報と関連付けて第2の領域に表示し、前記実行内容情報を表示する表示手段をさらに備えたことを特徴とする請求項1または請求項2に記載の情報処理システム。
- 前記第1のログと前記第2のログはさらに時刻情報を含み、
前記表示手段はさらに、前記時刻情報に基づいて、前記ファイル識別情報、前記プロセス識別情報、前記実行内容情報を表示する順番を制御する
ことを特徴とする請求項3に記載の情報処理システム。 - 請求項1〜請求項4のいずれかに記載の情報処理システムとしてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008325378A JP5144488B2 (ja) | 2008-12-22 | 2008-12-22 | 情報処理システムおよびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008325378A JP5144488B2 (ja) | 2008-12-22 | 2008-12-22 | 情報処理システムおよびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010146457A JP2010146457A (ja) | 2010-07-01 |
| JP5144488B2 true JP5144488B2 (ja) | 2013-02-13 |
Family
ID=42566803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008325378A Active JP5144488B2 (ja) | 2008-12-22 | 2008-12-22 | 情報処理システムおよびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5144488B2 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5781685B2 (ja) * | 2012-03-12 | 2015-09-24 | 株式会社日立製作所 | ログ管理計算機、及びログ管理方法 |
| CN103902896A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 自膨胀病毒拦截方法及系统 |
| US9378367B2 (en) * | 2014-03-31 | 2016-06-28 | Symantec Corporation | Systems and methods for identifying a source of a suspect event |
| JP6188634B2 (ja) * | 2014-05-27 | 2017-08-30 | 三菱電機株式会社 | プログラマブルコントローラ、プログラム及び周辺装置 |
| JP6361331B2 (ja) * | 2014-07-04 | 2018-07-25 | 富士通株式会社 | 情報処理装置、情報処理プログラム及び情報処理方法 |
| JP6025125B2 (ja) * | 2014-08-07 | 2016-11-16 | パナソニックIpマネジメント株式会社 | 決済処理装置 |
| JP6481355B2 (ja) * | 2014-12-18 | 2019-03-13 | 日本電気株式会社 | プロセス管理装置、方法及びプログラム |
| CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和系统 |
| US10089465B2 (en) * | 2015-07-24 | 2018-10-02 | Bitdefender IPR Management Ltd. | Systems and methods for tracking malicious behavior across multiple software entities |
| JP5933797B1 (ja) * | 2015-10-07 | 2016-06-15 | 株式会社ソリトンシステムズ | ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム |
| CN106022131B (zh) * | 2016-05-24 | 2019-03-15 | 珠海豹趣科技有限公司 | 一种指令处理方法及装置 |
| CN106778242B (zh) * | 2016-11-28 | 2020-10-16 | 北京奇虎科技有限公司 | 基于虚拟机的内核漏洞检测方法及装置 |
| US12110034B2 (en) * | 2018-11-28 | 2024-10-08 | Autonetworks Technologies, Ltd. | Monitoring apparatus, monitoring program, and monitoring method |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0471042A (ja) * | 1990-07-12 | 1992-03-05 | Toshiba Corp | 実行トレースに基づくテスト支援システム |
| JP2003006027A (ja) * | 2001-06-21 | 2003-01-10 | Hitachi Ltd | アクセス制御ポリシーの自動設定方法およびそのシステム |
| JP2005227982A (ja) * | 2004-02-12 | 2005-08-25 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティ監視機能を備えたネットワークシステム、ログデータ解析端末及び情報端末 |
| JP4327698B2 (ja) * | 2004-10-19 | 2009-09-09 | 富士通株式会社 | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム |
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP2008129707A (ja) * | 2006-11-17 | 2008-06-05 | Lac Co Ltd | プログラム分析装置、プログラム分析方法、及びプログラム |
-
2008
- 2008-12-22 JP JP2008325378A patent/JP5144488B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010146457A (ja) | 2010-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
| US10956566B2 (en) | Multi-point causality tracking in cyber incident reasoning | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| EP3136277B1 (en) | Illicit activity sensing network system and illicit activity sensing method | |
| US9027121B2 (en) | Method and system for creating a record for one or more computer security incidents | |
| CN103294950B (zh) | 一种基于反向追踪的高威窃密恶意代码检测方法及系统 | |
| US20070006310A1 (en) | Systems and methods for identifying malware distribution sites | |
| US20080127346A1 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
| WO2014103115A1 (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
| Casey et al. | Malware forensics field guide for Linux systems: digital forensics field guides | |
| CN108337269B (zh) | 一种WebShell检测方法 | |
| JP2010182019A (ja) | 異常検知装置およびプログラム | |
| JP4773332B2 (ja) | セキュリティ管理装置及びセキュリティ管理方法及びプログラム | |
| JP2008257577A (ja) | セキュリティ診断システム、方法およびプログラム | |
| JP5102659B2 (ja) | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム | |
| JP2010237975A (ja) | インシデント監視装置,方法,プログラム | |
| CN104881483B (zh) | 用于Hadoop平台数据泄露攻击的自动检测取证方法 | |
| JP5478390B2 (ja) | ログ抽出システムおよびプログラム | |
| Prasanthi et al. | Cyber forensic science to diagnose digital crimes-a study | |
| JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| JP5302149B2 (ja) | Webアクセスログ確認システムと方法およびプログラム | |
| JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
| JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
| JP2010182020A (ja) | 不正検知装置およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110819 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110823 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120830 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120904 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121016 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20121017 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121106 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121122 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151130 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5144488 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |