JP5156663B2 - 情報処理装置およびプログラム - Google Patents
情報処理装置およびプログラム Download PDFInfo
- Publication number
- JP5156663B2 JP5156663B2 JP2009031530A JP2009031530A JP5156663B2 JP 5156663 B2 JP5156663 B2 JP 5156663B2 JP 2009031530 A JP2009031530 A JP 2009031530A JP 2009031530 A JP2009031530 A JP 2009031530A JP 5156663 B2 JP5156663 B2 JP 5156663B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- management unit
- unit
- system call
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、リモートアクセスに係る処理を行う情報処理装置に関する。また、本発明は、本情報処理装置としてコンピュータを機能させるためのプログラムにも関する。
リモートアクセスによりサーバなどのネットワーク機器に侵入するリモート侵入者の挙動を監視するために、わざと侵入しやすいように設定したハニーポット(例えば、非特許文献1参照)が注目されている。多くのリモート侵入者は、ハニーポットから情報を奪取したり、悪意のコードを仕込んで踏み台にしたりするために、ハニーポット内でファイルに対するアクセスを行う。
一般的なハニーポット上の挙動監視ツールとしてファイル変更検知システムが利用されている(例えば、非特許文献2参照)。このファイル変更検知システムは、正しいファイルの状態をデータベースに記録して、このデータベースに記録されているファイルの状態と実際のファイルの状態を定期的に比較することで、前回の検査時点から追加/変更/削除されたファイルを検知する。
また、重要なファイルにアクセスしたプロセスの情報(プロセスID)を記録するシステムも提案されている(例えば、非特許文献3参照)。このシステムは、重要なファイルにアクセスしたプロセスに注目して、どのプロセスがどのファイルを外部に漏洩したのかを追跡する。
田原祐介、"ハニーポットを利用したネットワークの危機管理"、[online]、2002年1月19日、[2009年1月30日検索]、インターネット<URL: http://www.atmarkit.co.jp/fsecurity/special/13honey/honey01.html>
"IT全般統制ソリューションを実現へ トリップワイヤ・ジャパン"、[online]、2008年、 [2009年1月29日検索]、インターネット<URL:http://www.tripwire.co.jp/>
植村 晋一郎、田端 利宏、谷口 秀夫、"機密情報の拡散追跡機能のソケット通信への適用手法"、情報処理学会、DICOMO2008シンポジウム、pp.768−775、2008年7月
しかし、ファイル変更検知システムでは、検査を行った瞬間のファイルの状態を検知することができるものの、定期的な検査の間に追加/変更/削除された記録は残らない。例えば、検査と検査の間において、新たなファイルが追加され、そのファイルが削除された場合、そのファイルの状態を検知することができない。また、ファイル操作を行ったプロセスや、リモートアクセスしているユーザのIPアドレスを把握することもできない。
一方、重要なファイルにアクセスしたプロセスを記録するシステムでは、事前に定義された重要なファイル以外のファイルにアクセスが行われた場合や新たなファイルが追加された場合には、その記録が残らない。また、リモートアクセスしているユーザのIPアドレスを把握することもできない。
本発明は、上述した課題に鑑みてなされたものであって、リモートアクセスに関するファイル名、プロセスID、および外部の通信装置のIPアドレスをリアルタイムに記録することができる情報処理装置およびプログラムを提供することを目的とする。
本発明は、上記の課題を解決するためになされたもので、リモートでアクセスしてきた通信装置のIPアドレスと、当該アクセスに用いられたプロセスを識別するプロセスIDとを関連付けて記憶する第1の記憶手段と、プロセスがファイルにアクセスする際にOSのカーネルに発行するシステムコールを検出した場合に、前記プロセスからファイル名およびプロセスIDを取得して処理手段に渡すシステムコール管理手段と、前記システムコール管理手段から渡されたプロセスIDと一致するプロセスIDと関連付けられたIPアドレスを前記第1の記憶手段から取得し、前記ファイル名、前記プロセスID、前記IPアドレスを第2の記憶手段に格納する前記処理手段と、前記処理手段によって格納された前記ファイル名、前記プロセスID、前記IPアドレスを記憶する前記第2の記憶手段と、を備えることを特徴とする情報処理装置である。
また、本発明は、リモートでアクセスしてきた通信装置のIPアドレスと、当該アクセスに用いられたプロセスを識別するプロセスIDとを関連付けて記憶する第1の記憶手段と、第1のプロセスが第2のプロセスを生成する際にOSのカーネルに発行する第1のシステムコールを検出した場合に、前記第1のプロセスから第1のプロセスIDを取得して処理手段に渡す第1のシステムコール管理手段と、前記第2のプロセスがファイルにアクセスする際にOSのカーネルに発行する第2のシステムコールを検出した場合に、前記第2のプロセスからファイル名および第2のプロセスIDを取得して前記処理手段に渡す第2のシステムコール管理手段と、前記第1のシステムコール管理手段から渡された前記第1のプロセスIDと一致するプロセスIDと関連付けられたIPアドレスを前記第1の記憶手段から取得し、前記ファイル名、前記第1のプロセスID、前記第2のプロセスID、前記IPアドレスを第2の記憶手段に格納する前記処理手段と、前記処理手段によって格納された前記ファイル名、前記プロセスID、前記IPアドレスを記憶する前記第2の記憶手段と、を備えることを特徴とする情報処理装置である。
また、本発明の情報処理装置は、第3の記憶手段をさらに備え、前記処理手段はさらに、前記ファイル名に対応するファイルを前記第3の記憶手段に格納し、前記第3の記憶手段は、前記処理手段によって格納されたファイルを記憶することを特徴とする。
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。
本発明によれば、リモートアクセスに関するファイル名、プロセスID、および外部の通信装置のIPアドレスをリアルタイムに記録することができる。
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による情報処理装置の構成を示している。カーネル10は、情報処理装置上で動作するオペレーティングシステム(OS)の根幹をなしており、システムコール管理部100、管理テーブル110、処理部120、ファイル書き込み部130、およびプロセス生成部140を備える。
これらの構成を備えるカーネル10は、CPUがOS用のプログラムをメモリ(RAM)に読み込んで実行することによって起動するものであり、CPUおよびメモリのリソースを含んで構成されている。すなわち、図1に示すカーネル10は、カーネルとしての機能を実現するための処理を実行するCPUのリソースと、その処理を実行するためにメモリに割り当てられた領域とを含んでいる。
システムコール管理部100は、情報処理装置上で生成されたプロセスがカーネル10に対して各種要求を行う際に発行するシステムコールを管理する。管理テーブル110は、一般的にはsys_call_table[]と呼ばれるテーブルであり、システムコールによってプロセスから要求を受けた際に呼び出す処理プログラム(カーネル関数)を指す情報が記録されている。
処理部120はファイル書き込み管理部121とプロセス生成管理部122を備える。ファイル書き込み管理部121は、本実施形態で定義するカーネル関数であるhook_write()関数の機能を備えており、プロセスからカーネル10に対してファイルへの書き込みが要求された場合に、後述する処理を実行する。プロセス生成管理部122は、本実施形態で定義するカーネル関数であるhook_fork()関数の機能を備えており、プロセスからカーネル10に対してプロセスの生成が要求された場合に、後述する処理を実行する。
ファイル書き込み部130は、一般的にはsys_write()関数と呼ばれるカーネル関数であり、ファイルへの書き込みを行う。プロセス生成部140は、一般的にはsys_fork()関数と呼ばれるカーネル関数であり、プロセスの生成を行う。
記憶装置20は、HDD(ハードディスクドライブ)やフラッシュメモリ等であり、各種ファイル等を記憶する。
次に、本実施形態による情報処理装置の動作を説明する。以下では、2つの動作例を挙げて説明する。
<第1の動作例>
図2は、SSH(Secure SHell)等のプログラムを利用してPC等の通信装置(リモート侵入者)がリモートで情報処置装置にログインし、ファイルに書き込みを行う場合の処理の様子を示している。リモートログインによって情報処理装置上で生成されたプロセスであるリモートログインプロセス30は、ファイルに書き込みを行うため、カーネル10に対してファイルへの書き込み要求を出す。カーネル10のシステムコール管理部100は、ファイルへの書き込み要求を受けると管理テーブル110を参照し、管理テーブル110が示す処理プログラムに処理を受け渡す。
図2は、SSH(Secure SHell)等のプログラムを利用してPC等の通信装置(リモート侵入者)がリモートで情報処置装置にログインし、ファイルに書き込みを行う場合の処理の様子を示している。リモートログインによって情報処理装置上で生成されたプロセスであるリモートログインプロセス30は、ファイルに書き込みを行うため、カーネル10に対してファイルへの書き込み要求を出す。カーネル10のシステムコール管理部100は、ファイルへの書き込み要求を受けると管理テーブル110を参照し、管理テーブル110が示す処理プログラムに処理を受け渡す。
管理テーブル110には、要求毎に、その要求に対応する処理プログラムを指す情報が記録されている。従来の動作では、ファイルへの書き込み要求にはファイル書き込み部130が対応しているため、ファイル書き込み部130に処理が受け渡される。しかし、本実施形態では、管理テーブル110が予め書き換えられており、ファイルへの書き込み要求にはファイル書き込み管理部121が対応している。このため、カーネル10がファイルへの書き込み要求を受けた場合、ファイル書き込み管理部121に処理が受け渡される。
ファイル書き込み管理部121は、本実施形態で定義する処理を実行した後、ファイル書き込み部130に処理を受け渡す。ファイル書き込み部130は、ファイルに対する書き込みを実行した後、処理結果をファイル書き込み管理部121に返す。ファイル書き込み管理部121は処理結果をリモートログインプロセス30に返す。
図3は、ファイル書き込み管理部121が、システムコール管理部100から処理を受け渡されてからファイル書き込み部130に処理を受け渡すまでに実行する処理の詳細な手順を示している。リモートログインプロセス30が、カーネル10に対して、ファイルへの書き込み要求を示すシステムコールを発行すると、そのシステムコールを検出したシステムコール管理部100は管理テーブル110を参照し、ファイル書き込み管理部121に処理を受け渡す。これによって、ファイル書き込み管理部121へ処理が移行する(ステップS100)。
ファイル書き込み管理部121は、システムコール管理部100にファイル名の取得を要求する。システムコール管理部100はリモートログインプロセス30からファイル名を取得し、ファイル書き込み管理部121に渡す(ステップS105)。ファイル書き込み管理部121は、そのファイル名が、記憶装置20に保存されているアクセスログのファイル名(アクセスログ名)と一致するか否かを判定する(ステップS110)。ログイン時には、アクセスログに対する書き込み要求が行われる。取得したファイル名がアクセスログ名と一致した場合、ファイル書き込み管理部121は、システムコール管理部100にファイル名、プロセスID、およびリモート侵入者のIPアドレスの取得を要求する。システムコール管理部100はリモートログインプロセス30からファイル名、プロセスID、およびIPアドレスを取得し、ファイル書き込み管理部121に渡す(ステップS120)。
続いて、ファイル書き込み管理部121は、取得したファイル名、プロセスID、およびIPアドレスをファイル書き込み部130に渡すと共に、ファイル書き込み部130に処理を受け渡す。これによって、ファイル書き込み部130へ処理が移行する(ステップS145)。ファイル書き込み部130は、記憶装置20に保存されているアクセスログに対して、ファイル名、プロセスID、およびIPアドレスを関連付けて記録する。
一方、リモートログインプロセス30がアクセスログ以外のファイルに対する書き込み要求を行った場合、ステップS110において、取得したファイル名はアクセスログ名と一致しない。すると、ファイル書き込み管理部121は、システムコール管理部100にファイル名とプロセスIDの取得を要求する。システムコール管理部100はリモートログインプロセス30からファイル名とプロセスIDを取得し、ファイル書き込み管理部121に渡す(ステップS115)。ファイル書き込み管理部121は、記憶装置20からアクセスログを読み出し、ステップS115で取得したプロセスIDと、アクセスログに記録されているプロセスIDとが一致するか否かを判定する(ステップS125)。
ステップS115で取得したプロセスIDが、アクセスログに記録されているどのプロセスIDとも一致しない場合、ファイル書き込み管理部121は、システムコール管理部100から取得したファイル名をファイル書き込み部130に渡すと共に、ファイル書き込み部130に処理を受け渡す。これによって、ファイル書き込み部130へ処理が移行する(ステップS145)。ファイル書き込み部130は、記憶装置20に保存されているファイルのうち、取得したファイル名を有するファイルに書き込みを行う。
一方、ステップS115で取得したプロセスIDが、アクセスログに記録されているいずれかのプロセスIDと一致した場合、ファイル書き込み管理部121は、そのプロセスIDと関連付けられているIPアドレスをアクセスログから取得する(ステップS130)。続いて、ファイル書き込み管理部121は、記憶装置20に保存されているファイル操作ログに対して、取得したファイル名、プロセスID、およびIPアドレスを関連付けて記録する(ステップS135)。
続いて、ファイル書き込み管理部121は、記憶装置20に保存されているファイルのうち、取得したファイル名を有するファイルを読み出し、そのコピーを証拠ファイルとして記憶装置20に記録する(ステップS140)。証拠ファイルを記録した後、ファイル書き込み管理部121は、リモートログインプロセス30から取得したファイル名をファイル書き込み部130に渡すと共に、ファイル書き込み部130に処理を受け渡す。これによって、ファイル書き込み部130へ処理が移行する(ステップS145)。ファイル書き込み部130は、記憶装置20に保存されているファイルのうち、取得したファイル名を有するファイルに書き込みを行う。
上記の処理によれば、ファイルへの書き込み要求が発生した際に、ファイル名、プロセスID、およびリモート侵入者のIPアドレスを記録することができる(ステップS135に対応)。また、リモートログインプロセス30から要求されたファイルへの書き込みを行う前にファイルを証拠として記録することができる(ステップS140に対応)。
<第2の動作例>
第2の動作例では、リモートログインプロセス30によって生成された、リモートログインプロセス30を親プロセスとする子プロセスがファイルへの書き込み要求を発生する場合に、ファイル名、親プロセスID、子プロセスID、およびIPアドレスを関連付けて記録する。図4は、リモートログインプロセス30が子プロセスを生成する場合の処理の様子を示している。
第2の動作例では、リモートログインプロセス30によって生成された、リモートログインプロセス30を親プロセスとする子プロセスがファイルへの書き込み要求を発生する場合に、ファイル名、親プロセスID、子プロセスID、およびIPアドレスを関連付けて記録する。図4は、リモートログインプロセス30が子プロセスを生成する場合の処理の様子を示している。
リモートログインプロセス30は、子プロセスを生成するため、カーネル10に対してプロセスの生成要求を出す。カーネル10のシステムコール管理部100は、プロセスの生成要求を受けると管理テーブル110を参照し、管理テーブル110が示す処理プログラムに処理を受け渡す。
従来の動作では、プロセスの生成要求にはプロセス生成部140が対応しているため、プロセス生成部140に処理が受け渡される。しかし、本実施形態では、管理テーブル110が予め書き換えられており、プロセスの生成要求にはプロセス生成管理部122が対応している。このため、カーネル10がプロセスの生成要求を受けた場合、プロセス生成管理部122に処理が受け渡される。
プロセス生成管理部122は、本実施形態で定義する処理を実行する。このとき、プロセス生成管理部122は、システムコール管理部100を介してリモートログインプロセス30からプロセスIDを取得し、保持する。その後、プロセス生成管理部122はプロセス生成部140に処理を受け渡す。プロセス生成部140は、プロセスの生成を実行した後、処理結果をプロセス生成管理部122に返す。プロセス生成管理部122は処理結果をリモートログインプロセス30に返す。
この後、生成された子プロセスがファイルへの書き込み要求を発生する。このときの動作は図2および図3に示した通りである。なお、図3のステップS125では、ファイル書き込み管理部121は、プロセス生成管理部122から、保持していた親プロセス(リモートログインプロセス30)のプロセスIDを取得し、その親プロセスIDと、アクセスログに記録されているプロセスIDとが一致するか否かを判定する。また、ステップS130では、ファイル書き込み管理部121は、一致したプロセスIDと関連付けられているIPアドレスをアクセスログから取得する。さらに、ステップS135では、ファイル書き込み管理部121は、記憶装置20に保存されているファイル操作ログに対して、取得したファイル名、親プロセスID、子プロセスID、およびIPアドレスを関連付けて記録する。
この結果、リモートアクセスに関係する親プロセスと子プロセスをグループ化し、これらのプロセスがアクセスするファイルを把握することができる。図5は、リモートアクセスに関係する親プロセスと子プロセスによるファイルへのアクセスの様子を示している。リモートログインプロセスである親プロセス31がログイン時にアクセスログ40への書き込み要求を発生すると、管理テーブル110を介してファイル書き込み管理部121へ処理が受け渡され、その後、ファイル書き込み部130へ処理が受け渡される。ファイル書き込み部130はアクセスログ40に所定の情報を書き込む。
また、親プロセス31が、ファイル41への書き込みを行うため、子プロセスの生成要求を発生した場合、管理テーブル110を介してプロセス生成管理部122へ処理が受け渡され、その後、プロセス生成部140へ処理が受け渡される。プロセス生成部140が子プロセス32を生成すると、子プロセス32はファイル41への書き込み要求を発生する。この書き込み要求によって、管理テーブル110を介してファイル書き込み管理部121へ処理が受け渡され、その後、ファイル書き込み部130へ処理が受け渡される。ファイル書き込み部130はファイル41に所定の情報を書き込む。親プロセス31が、ファイル42への書き込みを行うため、子プロセスの生成要求を発生した場合も上記と同様であり、子プロセス33が生成され、ファイル42への書き込みが行われる。
ファイル操作ログには、親プロセスIDと子プロセスIDが記録されているので、それらの情報から、ファイル操作に関わった親子のプロセスの関係を把握することができる。また、ファイル操作ログにはファイル名も記録されているので、親子のプロセスがファイル操作を行ったファイルを把握することができる。
上記において、プロセスがファイルへの書き込み要求を発生した場合の動作を説明したが、プロセスがファイルの消去要求を発生した場合にも、ファイルの消去を実行するカーネル関数であるsys_unlink()関数に処理を受け渡す前に、ファイル書き込み管理部121と同様の機能を有する処理部が処理を行うことによって、同様の情報を記録することができる。
上述したように、本実施形態による情報処理装置は、プロセスがファイルアクセスのためのシステムコールを発行した際に、そのプロセスのプロセスIDまたはそのプロセスの親プロセスのプロセスIDと一致するプロセスIDと関連付けられたIPアドレスをアクセスログから取得し、ファイル名、プロセスID(または親子のプロセスID)、IPアドレスをファイル操作ログに記録する。これによって、リモートアクセスに関するファイル名、プロセスID、および侵入者のIPアドレスをリアルタイムに記録することができる。さらに、親子のプロセスのプロセスIDを関連付けてファイル操作ログに記録することによって、それらのプロセスIDから親子のプロセスの関係を把握することができる。
また、上述したように、本実施形態による情報処理装置は、ファイルへの書き込み要求が発生した際に、ファイルへの書き込みを行うファイル書き込み部130に処理が受け渡される前に書き込み対象のファイルのコピーをファイル記憶装置20に記録する。一般に、リモート侵入者は、悪意のプログラムの挿入や痕跡の消去を試みるので、これらが行われる前のファイルを証拠として記録することができる。
本実施形態による情報処理装置をハニーポットに適用することで、リモート侵入者の挙動を監視することが可能となる。また、公開サーバのファイルの追加/変更/削除に関するログを詳細に収集するロギングシステムに対して、本実施形態による情報処理装置を適用することも可能である。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上記の情報処理装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
10・・・カーネル、20・・・記憶装置(記憶手段)、100・・・システムコール管理部(システムコール管理手段)、110・・・管理テーブル、120・・・処理部(処理手段)、121・・・ファイル書き込み管理部、122・・・プロセス生成管理部、130・・・ファイル書き込み部、140・・・プロセス生成部
Claims (4)
- リモートでアクセスしてきた通信装置のIPアドレスと、当該アクセスに用いられたプロセスを識別するプロセスIDとを関連付けて記憶する第1の記憶手段と、
プロセスがファイルにアクセスする際にOSのカーネルに発行するシステムコールを検出した場合に、前記プロセスからファイル名およびプロセスIDを取得して処理手段に渡すシステムコール管理手段と、
前記システムコール管理手段から渡されたプロセスIDと一致するプロセスIDと関連付けられたIPアドレスを前記第1の記憶手段から取得し、前記ファイル名、前記プロセスID、前記IPアドレスを第2の記憶手段に格納する前記処理手段と、
前記処理手段によって格納された前記ファイル名、前記プロセスID、前記IPアドレスを記憶する前記第2の記憶手段と、
を備えることを特徴とする情報処理装置。 - リモートでアクセスしてきた通信装置のIPアドレスと、当該アクセスに用いられたプロセスを識別するプロセスIDとを関連付けて記憶する第1の記憶手段と、
第1のプロセスが第2のプロセスを生成する際にOSのカーネルに発行する第1のシステムコールを検出した場合に、前記第1のプロセスから第1のプロセスIDを取得して処理手段に渡す第1のシステムコール管理手段と、
前記第2のプロセスがファイルにアクセスする際にOSのカーネルに発行する第2のシステムコールを検出した場合に、前記第2のプロセスからファイル名および第2のプロセスIDを取得して前記処理手段に渡す第2のシステムコール管理手段と、
前記第1のシステムコール管理手段から渡された前記第1のプロセスIDと一致するプロセスIDと関連付けられたIPアドレスを前記第1の記憶手段から取得し、前記ファイル名、前記第1のプロセスID、前記第2のプロセスID、前記IPアドレスを第2の記憶手段に格納する前記処理手段と、
前記処理手段によって格納された前記ファイル名、前記プロセスID、前記IPアドレスを記憶する前記第2の記憶手段と、
を備えることを特徴とする情報処理装置。 - 第3の記憶手段をさらに備え、
前記処理手段はさらに、前記ファイル名に対応するファイルを前記第3の記憶手段に格納し、
前記第3の記憶手段は、前記処理手段によって格納されたファイルを記憶する
ことを特徴とする請求項1または請求項2に記載の情報処理装置。 - 請求項1〜請求項3のいずれかに記載の情報処理装置としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009031530A JP5156663B2 (ja) | 2009-02-13 | 2009-02-13 | 情報処理装置およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009031530A JP5156663B2 (ja) | 2009-02-13 | 2009-02-13 | 情報処理装置およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010186426A JP2010186426A (ja) | 2010-08-26 |
| JP5156663B2 true JP5156663B2 (ja) | 2013-03-06 |
Family
ID=42767027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009031530A Expired - Fee Related JP5156663B2 (ja) | 2009-02-13 | 2009-02-13 | 情報処理装置およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5156663B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016224506A (ja) * | 2015-05-27 | 2016-12-28 | 西日本電信電話株式会社 | 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4376587B2 (ja) * | 2003-10-21 | 2009-12-02 | 株式会社エヌ・ティ・ティ・データ | アクセス履歴記録装置及びアクセス制御装置 |
| JP2005227982A (ja) * | 2004-02-12 | 2005-08-25 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティ監視機能を備えたネットワークシステム、ログデータ解析端末及び情報端末 |
| JP4995170B2 (ja) * | 2008-10-06 | 2012-08-08 | 日本電信電話株式会社 | 不正検知方法、不正検知装置、不正検知プログラムおよび情報処理システム |
-
2009
- 2009-02-13 JP JP2009031530A patent/JP5156663B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010186426A (ja) | 2010-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881211B (zh) | 一种违规外联检测方法及装置 | |
| Kent et al. | Guide to integrating forensic techniques into incident | |
| JP6280146B2 (ja) | 分散型キャッシング(caching)オブジェクトを除去する方法、システム、およびサーバ | |
| US7647631B2 (en) | Automated user interaction in application assessment | |
| JP6388882B2 (ja) | 複数デバイスに基づく演算のセンサ関連データ | |
| JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
| US20120222110A1 (en) | Data leakage protection in cloud applications | |
| WO2012065551A1 (zh) | 一种云安全下载方法 | |
| JP2010182019A (ja) | 異常検知装置およびプログラム | |
| US9727394B2 (en) | Establishing causality order of computer trace records | |
| CN103095530A (zh) | 一种基于前置网关的敏感信息监测及防泄漏方法及系统 | |
| JP5478390B2 (ja) | ログ抽出システムおよびプログラム | |
| US9239907B1 (en) | Techniques for identifying misleading applications | |
| JP5274227B2 (ja) | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム | |
| JP5156663B2 (ja) | 情報処理装置およびプログラム | |
| JP4429229B2 (ja) | ディレクトリ情報提供方法、ディレクトリ情報提供装置、ディレクトリ情報提供システム、及びプログラム | |
| Kent et al. | Sp 800-86. guide to integrating forensic techniques into incident response | |
| JP2009093508A (ja) | ファイル制御システム | |
| Grance et al. | Guide to computer and network data analysis: Applying forensic techniques to incident response | |
| CN115051867A (zh) | 一种非法外联行为的检测方法、装置、电子设备及介质 | |
| US11747966B2 (en) | Detecting paste and other types of user activities in computer environment | |
| JP6333763B2 (ja) | マルウェア解析装置およびマルウェア解析方法 | |
| JP2002312205A (ja) | アクセスログ情報の保存処理方法とその保存処理装置およびその処理プログラム | |
| EP3906475A1 (en) | Context based authorized external device copy detection | |
| JP2007199813A (ja) | ログ収集システム及びログ収集方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110819 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110823 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120830 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120904 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121018 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20121019 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121113 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121210 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151214 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |