JP5471414B2 - Information leakage prevention system, information leakage prevention method, and information leakage prevention program - Google Patents
Information leakage prevention system, information leakage prevention method, and information leakage prevention program Download PDFInfo
- Publication number
- JP5471414B2 JP5471414B2 JP2009288912A JP2009288912A JP5471414B2 JP 5471414 B2 JP5471414 B2 JP 5471414B2 JP 2009288912 A JP2009288912 A JP 2009288912A JP 2009288912 A JP2009288912 A JP 2009288912A JP 5471414 B2 JP5471414 B2 JP 5471414B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- information
- block
- signature information
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、情報漏洩防止システム、情報漏洩防止方法及び情報漏洩防止プログラムに関し、特にピアツーピア型のファイル転送プロトコルによる通信において、機密ファイル及びその類似ファイルを発見し、ファイルの転送を防止する情報漏洩防止システム、情報漏洩防止方法及び情報漏洩防止プログラムに関する。 The present invention relates to an information leakage prevention system, an information leakage prevention method, and an information leakage prevention program. In particular, in communication using a peer-to-peer type file transfer protocol, a confidential file and similar files are found and information leakage prevention is prevented. The present invention relates to a system, an information leakage prevention method, and an information leakage prevention program.
ネットワーク上を流れる対象ファイルを検知して情報漏洩を防止する方法が各種提案されている。 Various methods for preventing information leakage by detecting a target file flowing on a network have been proposed.
特許文献1には、ネットワーク上に漏洩した情報を検出する装置が記載されている。特許文献1に記載された装置は、漏洩判定部と、漏洩情報パターン蓄積部とを備えている。漏洩判定部は、漏洩情報の候補のファイルからテキスト情報を抽出し、抽出したテキスト情報と、漏洩情報パターン蓄積部に格納されたパターン群との照合を行う。そして、マッチするパターンの割合があらかじめ定めた閾値以上であった場合、漏洩判定部は、ファイルが漏洩した情報を含んでいると判定する。
特許文献2には、ピアツーピア(以下、P2Pと記す。)型ファイル転送プロトコルによる通信において、指定ファイルに類似するファイルの送信を有効に制限する通信制限システムが記載されている。特許文献2に記載された通信制限システムでは、図15に示すように、ブロック情報記憶手段と、固定ブロックチェック手段と、要求判定手段と、パタン検索手段と、ブラックリスト記憶手段と、グレイリスト記憶手段と、ファイル判定手段と、セション制限手段とを備えている。
グレイリスト記憶手段には、抽出するファイルの特徴(指定ファイル特徴)として、比較するパターンとパターンの出現位置とを予め記憶しておく。そして、ファイル判定手段は、ファイル送信PDU(Protocol Data Unit)に含まれるファイルブロックに、指定ファイル特徴に含まれるパターンと同等の文字列がパターンの出現位置近傍に出現するか否かを判断する。そして、パターンの出現する割合が所定以上の場合、ファイル判定手段は、ファイル送信PDUのファイルブロックが指定ファイルのブロックに類似すると判断する。 The gray list storage means stores in advance the pattern to be compared and the appearance position of the pattern as the feature of the file to be extracted (designated file feature). Then, the file determination unit determines whether or not a character string equivalent to the pattern included in the designated file feature appears in the vicinity of the pattern appearance position in the file block included in the file transmission PDU (Protocol Data Unit). If the pattern appearance ratio is greater than or equal to a predetermined value, the file determination unit determines that the file block of the file transmission PDU is similar to the block of the designated file.
このように、特許文献2に記載された通信制限システムでは、比較するパターンとパターンの出現位置とを予め切り取っておく。そして、その出現位置前後に比較するパターンが出現するファイルを検索することにより、機密ファイルと、その亜種ファイルとをP2Pネットワーク中から検出することができる。すなわち、特許文献2に記載された通信制限システムでは、P2Pネットワーク上を流通するファイルから、あらかじめ登録された機密ファイルに該当するファイルまたは機密ファイルが部分的に変化したファイルも検出できる。
As described above, in the communication restriction system described in
また、非特許文献1には、機密として登録した文書ファイルに内容が類似した文書ファイルを高精度に検出する自動検出ソフトウエアについて記載されている。非特許文献1に記載されたソフトウエアは、キーワード検索に加えて、機密と非機密に分けて登録した文書ファイルから出現頻度の高い文字列(統計的特徴)を学習型フィルタに学習させる。この際、適切なキーワードを設定するため、非特許文献1に記載されたソフトウエアは、機密に属する統計的特徴と非機密に属する統計的特徴とを学習型フィルタに学習させる。この学習型フィルタが学習したキーワードをもとに、機密ファイルに内容が類似した文書ファイル(以下、亜種ファイルと記す。)を検出する。
Non-Patent
このようにして、非特許文献1に記載されたソフトウエアは、複数の機密ファイルを基に機密ファイルと判定できるルールを学習させ、そのルールに適合したファイル及び亜種ファイルを機密ファイルと判定して流出を防止する。
In this way, the software described in Non-Patent
特許文献1に記載された装置では、漏洩候補のファイル内に、複数の情報からなる漏洩情報パターンが所定数含まれているか否かを判断しなければならない。そのためには、ファイル内の全テキストを対象として漏洩情報パターンを検索しなければならないため、検索に多くの能力が必要になる。そのため、亜種ファイルを高速に検出できないという問題点がある。
In the apparatus described in
一方、特許文献2に記載された通信制限システムでは、P2Pネットワーク上の送信PDUと候補のパターンとを比較すればよい。しかし、この場合も、指定ファイル特徴として設定された複数の全てのパターンを、各送信PDUのブロックと比較する必要があるため、検索に多くの能力が必要になる。そのため、このようなシステムにおいても亜種ファイルをより高速に検出できることが好ましい。
On the other hand, in the communication restriction system described in
そこで、本発明は、検出対象のファイルが変化したファイルを適切に検出でき、さらに、検出対象のファイル及び変化したファイルを高速に検出して情報漏洩を防止できる情報漏洩防止システム、情報漏洩防止方法及び情報漏洩防止プログラムを提供することを目的とする。 Therefore, the present invention can appropriately detect a file in which the detection target file has changed, and further can detect the detection target file and the changed file at high speed to prevent information leakage, and an information leakage prevention method And an information leakage prevention program.
本発明による情報漏洩防止システムは、検出対象のファイルの一部であるファイル断片情報と、検出対象ファイル内におけるファイル断片情報の出現位置と、その出現位置と検出対象ファイルに相当するか否かが判定されるファイルである流通ファイルのブロックが出現する位置との揺れ幅の許容量を示す揺れ許容量と、流通ファイルが検出対象ファイルと判定される条件であるファイル断片情報と一致すべきブロックの数の下限を示す判定閾値とを含む情報を検出対象ファイルと対応付けたシグネチャ情報を記憶するシグネチャ情報格納手段と、検出対象ファイルをもとにシグネチャ情報を生成することを規定したルールであるシグネチャ情報取得情報を記憶するシグネチャ情報取得情報格納手段と、シグネチャ情報取得情報に従って検出対象ファイルのシグネチャ情報を生成し、そのシグネチャ情報をシグネチャ情報格納手段に記憶させるシグネチャ情報生成手段と、流通ファイルのブロックごとに、そのブロックがシグネチャ情報格納手段に記憶されたシグネチャ情報と揺れ許容量の範囲内で一致するか否かを判定するブロック単位シグネチャ情報判定手段と、流通ファイルのブロックごとに、そのブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅を記憶するブロック単位判定結果格納手段と、シグネチャ情報と一致したブロックの数及び判定閾値に基づいて、流通ファイルが検出対象ファイルに相当するファイルか否かを判定するファイル判定手段と、ファイル判定手段が検出対象ファイルと判定したファイルの流通を阻止する流通阻止手段と、シグネチャ情報におけるファイル断片情報の出現位置を調整する値であるオフセット率と、シグネチャ情報における揺れ許容量を減少させる値である揺れ許容量倍率のうちの少なくとも1つを含む情報をファイル断片情報の出現位置ごとに規定した情報であるブロック単位変更情報を記憶するブロック単位変更情報格納手段と、ブロック単位判定結果格納手段に記憶された揺れ幅及びブロック単位変更情報に基づいて、シグネチャ情報を更新するブロック判定結果反映手段とを備え、ブロック単位シグネチャ情報判定手段が、ブロック判定結果反映手段が更新したシグネチャ情報とブロックとが一致するか否かを判定し、そのブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅をブロック単位判定結果格納手段に記憶させることを特徴とする。 The information leakage prevention system according to the present invention includes file fragment information that is a part of a detection target file, the appearance position of file fragment information in the detection target file, whether the appearance position corresponds to the detection target file, or not. The block of the block to be matched with the swing allowable amount indicating the allowable swing amount with respect to the position where the block of the distribution file that is the file to be detected and the condition for determining that the distribution file is the detection target file. A signature information storing means for storing signature information in which information including a determination threshold indicating a lower limit of the number is associated with a detection target file, and a signature that is a rule that stipulates that signature information is generated based on the detection target file Signature information acquisition information storage means for storing information acquisition information, and detection according to signature information acquisition information Signature information generating means for generating the signature information of the elephant file and storing the signature information in the signature information storage means, and for each block of the distribution file, the signature information stored in the signature information storage means and the shake allowable amount Block unit signature information determination means for determining whether or not they match within the range of the block, and for each block of the distribution file, a block unit determination result for storing the fluctuation width when it is determined that the block and the signature information match Based on the storage means, the number of blocks matching the signature information, and the determination threshold, the file determination means for determining whether the distribution file is a file corresponding to the detection target file, and the file determination means determined to be the detection target file Distribution blocking means to block file distribution and signature Information including at least one of an offset rate that is a value for adjusting the appearance position of the file fragment information in the information and a shake allowance magnification that is a value for reducing the shake allowance in the signature information is the appearance position of the file fragment information. Block unit change information storage means for storing block unit change information, which is information defined for each block, and block determination for updating signature information based on the swing width and block unit change information stored in the block unit determination result storage means A result reflection means, and the block unit signature information determination means determines whether the signature information updated by the block determination result reflection means matches the block, and it is determined that the block and the signature information match. And storing the amplitude of fluctuation in the block unit judgment result storage means To do.
本発明による情報漏洩防止方法は、検出対象のファイルの一部であるファイル断片情報と、検出対象ファイル内におけるファイル断片情報の出現位置と、その出現位置と検出対象ファイルに相当するか否かが判定されるファイルである流通ファイルのブロックが出現する位置との揺れ幅の許容量を示す揺れ許容量と、流通ファイルが検出対象ファイルと判定される条件であるファイル断片情報と一致すべきブロックの数の下限を示す判定閾値とを含む情報を検出対象ファイルと対応付けたシグネチャ情報を検出対象ファイルをもとに生成することを規定したルールであるシグネチャ情報取得情報に従ってシグネチャ情報を生成し、生成したシグネチャ情報をシグネチャ情報格納手段に記憶させ、流通ファイルのブロックごとに、そのブロックがシグネチャ情報格納手段に記憶されたシグネチャ情報と揺れ許容量の範囲内で一致するか否かを判定し、ブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅をブロック単位判定結果格納手段に記憶させ、シグネチャ情報におけるファイル断片情報の出現位置を調整する値であるオフセット率と、シグネチャ情報における揺れ許容量を減少させる値である揺れ許容量倍率のうちの少なくとも1つを含む情報をファイル断片情報の出現位置ごとに規定した情報であるブロック単位変更情報及びブロック単位判定結果格納手段に記憶された揺れ幅に基づいて、シグネチャ情報を更新し、流通ファイルのブロックごとに、更新されたシグネチャ情報とそのブロックとが揺れ許容量の範囲内で流通ファイルのブロックに一致するか否かを判定し、シグネチャ情報と一致したブロックの数及び判定閾値に基づいて、流通ファイルが検出対象ファイルに相当するファイルか否かを判定し、検出対象ファイルに相当するファイルと判定された流通ファイルの流通を阻止するとを特徴とする。 According to the information leakage prevention method of the present invention, file fragment information that is a part of a detection target file, the appearance position of the file fragment information in the detection target file, whether the appearance position corresponds to the detection target file or not. The block of the block to be matched with the swing allowable amount indicating the allowable swing amount with respect to the position where the block of the distribution file that is the file to be detected and the condition for determining that the distribution file is the detection target file. Generates signature information according to signature information acquisition information, which is a rule that stipulates that signature information in which information including a determination threshold indicating the lower limit of the number is associated with a detection target file is generated based on the detection target file, and is generated Stored in the signature information storage means, and for each block of the distribution file, the block It is determined whether or not the signature information stored in the signature information storage means matches within the range of the allowable swing amount, and the swing width when it is determined that the block and the signature information match is stored in the block unit determination result storage means. Information including at least one of an offset rate that is a value that is stored and adjusts the appearance position of the file fragment information in the signature information, and a shake allowance magnification that is a value that reduces the shake allowance in the signature information is file fragment The signature information is updated based on the block unit change information that is defined for each appearance position of the information and the fluctuation width stored in the block unit determination result storage means, and the updated signature information for each block of the distribution file Whether or not the block matches the block of the distribution file within the allowable swing range Based on the number of blocks matched with the signature information and the determination threshold, it is determined whether or not the distribution file is a file corresponding to the detection target file, and distribution of the distribution file determined to be a file corresponding to the detection target file It is characterized by blocking.
本発明による情報漏洩防止プログラムは、検出対象のファイルの一部であるファイル断片情報と、検出対象ファイル内におけるファイル断片情報の出現位置と、その出現位置と検出対象ファイルに相当するか否かが判定されるファイルである流通ファイルのブロックが出現する位置との揺れ幅の許容量を示す揺れ許容量と、流通ファイルが検出対象ファイルと判定される条件であるファイル断片情報と一致すべきブロックの数の下限を示す判定閾値とを含む情報を検出対象ファイルと対応付けたシグネチャ情報を記憶するシグネチャ情報格納手段と、検出対象ファイルをもとにシグネチャ情報を生成することを規定したルールであるシグネチャ情報取得情報を記憶するシグネチャ情報取得情報格納手段と、シグネチャ情報におけるファイル断片情報の出現位置を調整する値であるオフセット率と、シグネチャ情報における揺れ許容量を減少させる値である揺れ許容量倍率のうちの少なくとも1つを含む情報をファイル断片情報の出現位置ごとに規定した情報であるブロック単位変更情報を記憶するブロック単位変更情報格納手段と、流通ファイルのブロックごとに、そのブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅を記憶するブロック単位判定結果格納手段とを備えたコンピュータに適用される情報漏洩防止プログラムであって、コンピュータに、シグネチャ情報取得情報に従って検出対象ファイルのシグネチャ情報を生成し、そのシグネチャ情報をシグネチャ情報格納手段に記憶させるシグネチャ情報生成処理、流通ファイルのブロックごとに、そのブロックがシグネチャ情報格納手段に記憶されたシグネチャ情報と揺れ許容量の範囲内で一致するか否かを判定するブロック単位シグネチャ情報判定処理、シグネチャ情報と一致したブロックの数及び判定閾値に基づいて、流通ファイルが検出対象ファイルに相当するファイルか否かを判定するファイル判定処理、ファイル判定処理で検出対象ファイルと判定されたファイルの流通を阻止する流通阻止処理、および、ブロック単位判定結果格納手段に記憶された揺れ幅及びブロック単位変更情報に基づいて、シグネチャ情報を更新するブロック判定結果反映処理を実行させ、ブロック単位シグネチャ情報判定処理で、ブロック判定結果反映処理で更新したシグネチャ情報とブロックとが一致するか否かを判定させ、そのブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅をブロック単位判定結果格納手段に記憶させることを特徴とする。 The information leakage prevention program according to the present invention includes file fragment information that is a part of a detection target file, the appearance position of the file fragment information in the detection target file, whether the appearance position corresponds to the detection target file, or not. The block of the block to be matched with the swing allowable amount indicating the allowable swing amount with respect to the position where the block of the distribution file that is the file to be detected and the condition for determining that the distribution file is the detection target file. A signature information storing means for storing signature information in which information including a determination threshold indicating a lower limit of the number is associated with a detection target file, and a signature that is a rule that stipulates that signature information is generated based on the detection target file Signature information acquisition information storage means for storing information acquisition information, and file disconnection in signature information Information including at least one of an offset rate, which is a value for adjusting the appearance position of information, and a shake allowance magnification, which is a value for reducing the shake allowance in the signature information, is defined for each appearance position of the file fragment information. Block unit change information storage means for storing block unit change information, which is information, and block unit determination result storage means for storing the fluctuation width when it is determined that the block and signature information match for each block of the distribution file Information leakage prevention program applied to a computer comprising: a signature information generation process for generating signature information of a detection target file in accordance with signature information acquisition information and storing the signature information in a signature information storage unit , For each block of the distribution file, Based on the block unit signature information determination process for determining whether or not the signature information stored in the signature information storage means matches within the range of the allowable swing amount, the number of blocks matching the signature information and the determination threshold A file determination process for determining whether or not a file corresponds to a detection target file, a distribution blocking process for blocking distribution of a file determined as a detection target file by the file determination process, and a block unit determination result storage unit The block decision result reflection process for updating the signature information is executed based on the fluctuation width and the block unit change information, and the signature information updated in the block decision result reflection process matches the block in the block unit signature information decision process. The block and signature information The fluctuation width when it is determined that they match is stored in the block unit determination result storage means.
本発明によれば、検出対象のファイルが変化したファイルを適切に検出でき、さらに、検出対象のファイル及び変化したファイルを高速に検出して情報漏洩を防止できる。 ADVANTAGE OF THE INVENTION According to this invention, the file from which the detection object file changed can be detected appropriately, Furthermore, the detection object file and the changed file can be detected at high speed, and information leakage can be prevented.
以下、本発明の実施形態を図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
実施形態1.
図1は、本発明の第1の実施形態における情報漏洩防止システムの例を示すブロック図である。本実施形態における情報漏洩防止システムは、機密ファイル登録手段10と、機密ファイル格納手段11と、ファイル種別亜種影響ルール情報格納手段12と、ファイル種別シグネチャ情報生成手段13と、シグネチャ情報格納手段14と、P2Pブロック取得手段15と、ブロック単位シグネチャ情報判定手段16と、ファイル判定手段17と、ブラックリスト格納手段18と、P2P流通阻止手段19と、ブロック単位判定結果格納手段20とを備えている。
FIG. 1 is a block diagram showing an example of an information leakage prevention system according to the first embodiment of the present invention. The information leakage prevention system in this embodiment includes a confidential
機密ファイル格納手段11は、漏洩を防止したいファイル(流出させたくないファイル)を記憶する。以下の説明では、漏洩を防止したいファイルが機密ファイルである場合について説明する。ただし、漏洩を防止したいファイルは、いわゆる機密ファイルに限定されるものではない。漏洩を防止したいファイルとして説明する機密ファイルは、本システムにおいて検出したいファイルであることから、機密ファイルは、検出対象ファイルということができる。また、以下の説明では、検出対象ファイルに相当するファイルか否かが判定されるネットワーク上を流通するファイルのことを、流通ファイルと記す。機密ファイル格納手段11は、例えば、磁気ディスク装置等によって実現される。また、機密ファイル登録手段10は、例えば、ユーザの登録指示に応じて、機密ファイルを機密ファイル格納手段11に記憶させる。
The confidential
シグネチャ情報格納手段14は、機密ファイルの一部であるファイル断片情報と、機密ファイル内におけるファイル断片情報の出現位置と、その出現位置と流通ファイルのブロックが出現する位置との揺れ幅の許容量を示す揺れ許容量と、流通ファイルが機密ファイルと判定される条件である、ファイル断片情報と一致すべきブロックの数の下限(以下、判定閾値と記す。)とを機密ファイルと対応付けた情報であるシグネチャ情報を記憶する。すなわち、判定閾値は、流通ファイルを検出対象ファイルに相当するファイルと判定するために、シグネチャ情報とマッチすべきブロックの数を定めたものであり、いくつのブロックがシグネチャ情報とマッチしたときに、元の機密ファイルに相当するファイルとみなすかを決定するための閾値である。 The signature information storage means 14 has an allowable amount of fluctuation between the file fragment information that is a part of the confidential file, the appearance position of the file fragment information in the confidential file, and the appearance position and the position where the block of the distribution file appears. And the lower limit of the number of blocks that should match the file fragment information (hereinafter referred to as a determination threshold), which is a condition for determining that the distribution file is a confidential file, and the information that associates the confidential file with the confidential file Is stored as signature information. In other words, the determination threshold value defines the number of blocks to be matched with the signature information in order to determine the distribution file as a file corresponding to the detection target file. When several blocks match the signature information, This is a threshold value for deciding whether to consider a file corresponding to the original confidential file.
なお、シグネチャ情報は、機密ファイルの断片情報を含むことから、P2Pネットワークを流れるファイル群の中から機密ファイルと同様のファイルを検出するための情報、もしくは、機密ファイルやその亜種ファイルを検索するときのキーとなる情報(例えば、キーワード)であると言える。シグネチャ情報格納手段14は、後述のファイル種別シグネチャ情報生成手段13が生成したシグネチャ情報を1組以上記憶する。シグネチャ情報格納手段14は、例えば、磁気ディスク装置等によって実現される。
Since the signature information includes the fragment information of the confidential file, information for detecting the same file as the confidential file from the group of files flowing through the P2P network, or the confidential file and its variant file are searched. It can be said that it is information (for example, a keyword) that becomes a key at the time. The signature
上述の通り、揺れ許容量とは、ファイル断片情報が機密ファイル内で出現する位置と流通ファイル内で出現する位置との間に発生するずれ(すなわち、揺れ幅)を許容する量である。一般的に、機密ファイルとその亜種ファイルとを比較したときに、元の機密ファイルのファイル断片情報の出現位置が、亜種ファイルではその出現位置が前後にずれることがある。そのため、出現位置がどの程度ずれていた場合に元のファイルと亜種ファイルとを同じファイルであるとみなすかについて揺れ許容量として定めておくことで、この揺れ許容量以内であれば、ファイル断片情報の出現位置がずれていても機密ファイルの亜種であるとみなすことができる。この場合、機密ファイルの亜種ファイルかどうかを判定するためには、この揺れ許容量の範囲内でパターンマッチングを繰り返せばよい。なお、以上のことから、シグネチャ情報は、ファイル断片同士をマッチングさせるための情報と言うこともできる。 As described above, the allowable swing amount is an amount that allows a deviation (that is, a swing width) generated between the position where the file fragment information appears in the confidential file and the position where the file fragment information appears in the distribution file. In general, when a confidential file is compared with its variant file, the appearance position of the file fragment information of the original confidential file may be shifted back and forth in the variant file. For this reason, by determining how much the appearance position deviates and whether the original file and the variant file are considered to be the same file, it is determined as a shake allowable amount. Even if the appearance position of information is shifted, it can be regarded as a variant of a confidential file. In this case, in order to determine whether the file is a variant file of a confidential file, pattern matching may be repeated within the range of the allowable swing amount. From the above, it can be said that the signature information is information for matching file fragments.
ファイル種別亜種影響ルール情報格納手段12は、機密ファイルをもとにファイル種別ごとにシグネチャ情報を生成することを規定したルール(以下、ファイル種別亜種影響ルール情報と記す。)を記憶する。ここで、ファイル種別亜種影響ルール情報とは、ファイル断片情報の切り出し位置(範囲)に対して、ファイル断片情報を切り出す個数、切り出す間隔、ファイル断片情報の切り出しサイズ、ファイル断片情報を検索するときのファイル断片情報の揺れ幅の許容範囲(すなわち、揺れ許容量)、及び、判定閾値を含む情報をファイルの種別ごとに1組以上組み合わせた情報である。言い換えると、ファイル種別亜種影響ルール情報は、登録されたファイルと同様のファイルをP2Pネットワーク上のファイル群から発見するためのシグネチャ情報を生成するためのルールである。
The file type variant effect rule
ファイル種別亜種影響ルール情報は、ファイル種別として表わされるファイルの性質に応じて定められる。具体的には、ファイル種別亜種影響ルール情報は、機密ファイルの亜種の傾向を踏まえて定められる。亜種ファイルの傾向として、例えば、ビットの欠落、無関係なビットの追加、ネットワーク上を流れる際に発生したエラーに基づくビットの変化、アプリケーションの操作によって生じる文書内容の部分的な変化、文章以外で設定情報が変化したときの元のファイルと亜種ファイルとの間で発生する変化の内容、などが挙げられる。 The file type variant effect rule information is determined according to the nature of the file represented as the file type. Specifically, the file type variant effect rule information is determined based on the tendency of the secret file variant. Variant file trends include, for example, missing bits, addition of irrelevant bits, changes in bits based on errors that occur while flowing over the network, partial changes in document content caused by application operations, and other than text The contents of the change that occurs between the original file and the variant file when the setting information changes are listed.
また、ファイルの種別として、例えば、機密ファイルとして登録されたファイルを作成するアプリケーションの種類やメディアの種別(具体的には、画像ファイル、jpegファイル、Officeファイル、Wordファイルなど)が挙げられる。なお、Office及びWordは、いずれも商標である。ファイル種別亜種影響ルール情報格納手段12は、ファイルの種別として例示した上記種別ごとに、ファイル種別亜種影響ルール情報を記憶する。ファイル種別亜種影響ルール情報格納手段12は、例えば、ユーザ等により設定されるファイル種別亜種影響ルール情報を予め記憶する。
Examples of the file type include the type of application that creates a file registered as a confidential file and the type of media (specifically, an image file, a jpeg file, an Office file, a Word file, etc.). Office and Word are trademarks. The file type variant effect rule
ファイル種別シグネチャ情報生成手段13は、登録された機密ファイルに対するシグネチャ情報をファイル種別亜種影響ルール情報に従って生成する。具体的には、ファイル種別シグネチャ情報生成手段13は、機密ファイル登録手段10により登録された機密ファイルのファイル種別に対応するファイル種別亜種影響ルール情報をファイル種別亜種影響ルール情報格納手段12から取り出す。そして、ファイル種別シグネチャ情報生成手段13は、取り出したルールに基づいて、機密ファイルからシグネチャ情報を生成し、生成したシグネチャ情報をシグネチャ情報格納手段14に記憶させる。
The file type signature
ファイル種別シグネチャ情報生成手段13は、例えば、ファイルの断片を切り取る範囲(以下、切取範囲と記す)、各切取範囲から切り取るファイルの断片の個数、ファイルの断片を切り取る間隔、切り取るファイルの断片の長さ、そのファイルの断片と流通ファイルとを比較する際の揺れ許容量、切取範囲内で一致することが必要なファイル断片の個数の閾値(すなわち、判定閾値)などを規定したファイル種別亜種影響ルール情報に従ってシグネチャ情報を生成する。
For example, the file type signature
ファイル種別シグネチャ情報生成手段13がシグネチャ情報を生成する方法について、具体的に説明する。図2は、ファイル種別亜種影響ルール情報の例を示す説明図である。図2に例示するファイル種別亜種影響ルール情報は、ファイル種別ごとに、切取範囲である「ファイル断片情報取得位置」、ファイル断片情報取得数、ファイル断片情報取得間隔、ファイル断片情報長さ、揺れ許容量である揺れ許容数及び判定閾値を含んでいる。
The method by which the file type signature
例えば、ファイル種別が「Office2007WordのOOXML(Office Open XML(Extensible Markup Language ))形式」で、「先頭から30%」の位置の情報を機密ファイルから切り取るとする。この場合、ファイル種別シグネチャ情報生成手段13は、ファイルの先頭から3個の10bit長ファイル断片を、128bit間隔で切り取る。そして、ファイル種別シグネチャ情報生成手段13は、機密ファイルと、切り取った各ファイルの断片、及び切り取った位置(すなわち、ファイル断片の出現位置)を対応付け、さらに、これらの組に、揺れ許容数「10bit」及び、判定閾値「1個」を付加して、シグネチャ情報を生成する。
For example, suppose that the file type is “Office XML (OOXML) (Office Open XML (Extensible Markup Language)) format” and the information at the position “30% from the top” is cut out from the confidential file. In this case, the file type signature information generation means 13 cuts out three 10-bit long file fragments from the beginning of the file at 128-bit intervals. Then, the file type signature
P2Pブロック取得手段15は、P2Pネットワーク(図示せず)に接続し、P2Pネットワークの情報流通の単位であるブロックに分割された情報を抽出する。そして、P2Pブロック取得手段15は、抽出したファイルの断片(流通ファイルの一部)といえるブロックを、ブロック単位シグネチャ情報判定手段16に通知する。P2Pブロック取得手段15が抽出するブロックには、例えば、ブロックの送信順に付与された通し番号又は元のファイルを断片化した際の先頭からの通し番号、ファイル内の分割位置を示すブロック開始位置、ファイルを断片化したデータ(ブロック断片情報)などが含まれる。
The P2P
ブロック単位シグネチャ情報判定手段16は、P2Pブロック取得手段15から受け取ったブロックごとに、シグネチャ情報格納手段14に記憶されたシグネチャ情報と比較し、各ブロックがシグネチャ情報と一致するか否かを判定する。ここで、ブロック単位シグネチャ情報判定手段16は、揺れ許容量の範囲内で両者を比較する。そして、ブロック単位シグネチャ情報判定手段16は、判定結果をファイル判定手段17に通知する。このようにして、ブロック単位シグネチャ情報判定手段16は、受け取ったブロックが機密ファイルの一部かどうかを判定し、判定結果として両者の揺れ幅を含む情報をブロック単位判定結果格納手段20に記憶させる。なお、ブロック単位シグネチャ情報判定手段16は、ブロック単位の判定結果をファイル判定手段17に通知してもよい。
The block unit signature
なお、以下の説明では、ブロックが機密ファイルの一部と判定された場合に、ブロック単位シグネチャ情報判定手段16がその判定結果をブロック単位判定結果格納手段20に記憶させる場合について説明する。ただし、ブロック単位シグネチャ情報判定手段16が判定結果をブロック単位判定結果格納手段20に記憶させるタイミングは、ブロックを機密ファイルの一部と判定した場合に限定されない。例えば、ブロック単位シグネチャ情報判定手段16は、一致したか否かを示す情報を含む判定結果をブロック単位判定結果格納手段20に記憶させてもよい。
In the following description, a case where the block unit signature
ブロック単位シグネチャ情報判定手段16が、ブロックとシグネチャ情報とが一致するか否かを判定する方法について説明する。まず、ブロック単位シグネチャ情報判定手段16は、P2Pブロック取得手段15からブロックを受け取り、ブロック開始位置を判断する。そして、ブロック単位シグネチャ情報判定手段16は、ブロック開始位置に対応するシグネチャ情報を読み取り、出現位置から揺れ許容量の範囲内にファイル断片情報が存在するか検索する。例えば、ブロック単位シグネチャ情報判定手段16は、抽出したブロックから元のファイルの何ビット目かを判断し、該当するシグネチャ情報のファイル断片情報を1bitずつ比較すればよい。そして、揺れ許容量の範囲内にファイル断片情報が存在する場合、ブロック単位シグネチャ情報判定手段16は、両者が一致すると判定する。一方、揺れ許容量の範囲内にファイル断片情報が存在しない場合、ブロック単位シグネチャ情報判定手段16は、両者が一致しないと判定する。
A method in which the block unit signature
ファイル判定手段17は、ブロック単位の判定結果とシグネチャ情報とを基に、P2Pネットワーク上を流通するファイル(流通ファイル)が機密ファイルに相当するファイルか否かを判定する。具体的には、ファイル判定手段17は、例えば、シグネチャ情報に一致すると判定されたブロックの数が判定閾値以上の場合に、流通ファイルを機密ファイルやその亜種ファイルと判定する。そして、ファイル判定手段17は、機密ファイルやその亜種ファイルであった場合、そのファイルの情報をブラックリスト格納手段18に記憶させる。
The
ファイル判定手段17が、機密ファイルに相当するファイルか否かを判定する方法について、具体例を用いて説明する。上述の通り、ブロック単位シグネチャ情報判定手段16がブロック単位で判定した判定結果をブロック単位判定結果格納手段20に記憶させる。その際、ファイル判定手段17は、記憶させる判定結果のシグネチャ情報のうち、ファイル名が同じものを探索する。同じファイル名の判定結果がブロック単位判定結果格納手段20に記憶されている場合、ファイル判定手段17は、その個数を調べ、シグネチャ情報の判定閾値と比較する。その個数が閾値を越えていない場合、ファイル判定手段17は、ブロックの元になったファイルがまだ流出していないと判定する。ファイル判定手段17は、ブロック単位に閾値との比較を繰り返し、ブロックがマッチした判定結果が閾値を超える数だけブロック単位判定結果格納手段20に格納されたときに該当のファイルを検知したと判定する。
A method for determining whether or not the
なお、ファイル判定手段17は、ブロック単位シグネチャ情報判定手段16から受け取った判定結果を基に機密ファイルに相当するファイルか否かを判定してもよく、ブロック単位判定結果格納手段20に記憶された判定結果を基に機密ファイルに相当するファイルか否かを判定してもよい。
The
ブラックリスト格納手段18は、流通を阻止するファイルの情報を記憶する。なお、流通を阻止するファイルの情報は、ファイル判定手段17によって記憶される。ブラックリスト格納手段18は、例えば、流通ファイルのファイル名やファイルハッシュなどのファイルを特定できるIDを記憶する。ブラックリスト格納手段18は、例えば、磁気ディスク装置等によって実現される。
The black list storage means 18 stores information on files that prevent distribution. Note that the file information that prevents distribution is stored by the file determination means 17. The black
P2P流通阻止手段19は、ブラックリスト格納手段18に記憶されたファイルについて、P2Pネットワーク上でのファイル送信を阻止する。例えば、P2P流通阻止手段19は、マッチしたブロックが含まれるネットワークパケットの送信元や送信先に対して、通信をやめさせるリセットパケットを送信してもよい。他にも、P2P流通阻止手段19は、パケットの送信元や送信先が利用しているポート番号やIPアドレスを、ネットワークフィルタリング機能を持つ機器に通知し、ネットワークを遮断させてもよい。
The P2P
あるいは、P2P流通阻止手段19は、ブロック単位シグネチャ情報判定手段16がマッチしたと判定したブロックが閾値を越えているファイルの場合、それ以降、そのファイルのブロックをネットワークパケット中から削除してもよい。このようにして、対象のファイルが、それ以上流通することを防止できる。
Alternatively, when the block determined by the block unit signature
ブロック単位判定結果格納手段20は、ブロックごとにシグネチャ情報と一致するか否かが判定された判定結果を記憶する。なお、判定結果には、シグネチャ情報やマッチした際の揺れ幅が含まれる。ブロック単位判定結果格納手段20は、例えば、磁気ディスク装置等によって実現される。図3は、ブロック単位判定結果格納手段20に格納された判定結果の例を示す説明図である。図3に示す例では、ブロック単位判定結果格納手段20が、シグネチャ情報としてファイル名及びファイル断片情報の出現位置を、また、そのシグネチャ情報がマッチしたときの揺れ幅及び抽出したブロックを識別するブロック番号を記憶していることを示す。 The block unit determination result storage means 20 stores a determination result for which it is determined whether each block matches the signature information. Note that the determination result includes signature information and a swing width when matched. The block unit determination result storage means 20 is realized by, for example, a magnetic disk device. FIG. 3 is an explanatory diagram showing an example of the determination result stored in the block unit determination result storage means 20. In the example shown in FIG. 3, the block unit determination result storage means 20 is a block for identifying the appearance name of the file name and file fragment information as signature information, the fluctuation width when the signature information matches, and the extracted block. Indicates that the number is stored.
機密ファイル登録手段10と、ファイル種別シグネチャ情報生成手段13と、P2Pブロック取得手段15と、ブロック単位シグネチャ情報判定手段16と、ファイル判定手段17と、P2P流通阻止手段19とは、プログラム(情報漏洩防止プログラム)に従って動作するコンピュータのCPUによって実現される。例えば、プログラムは、情報漏洩防止装置の記憶部(図示せず)に記憶され、CPUは、そのプログラムを読み込み、プログラムに従って、機密ファイル登録手段10、ファイル種別シグネチャ情報生成手段13、P2Pブロック取得手段15、ブロック単位シグネチャ情報判定手段16、ファイル判定手段17及びP2P流通阻止手段19として動作してもよい。また、機密ファイル登録手段10と、ファイル種別シグネチャ情報生成手段13と、P2Pブロック取得手段15と、ブロック単位シグネチャ情報判定手段16と、ファイル判定手段17と、P2P流通阻止手段19とは、それぞれが専用のハードウェアで実現されていてもよい。
The confidential
次に、動作について説明する。図4及び図5は、第1の実施形態における動作の例を示すフローチャートである。 Next, the operation will be described. 4 and 5 are flowcharts showing an example of the operation in the first embodiment.
まず、ユーザ等の指示に応じ、機密ファイル登録手段10は、機密ファイル格納手段11に機密ファイルを登録する(すなわち、記憶させる)(ステップS1)。次に、ファイル種別シグネチャ情報生成手段13は、登録された機密ファイルの種別に合わせて、ファイル種別亜種影響ルール情報をファイル種別亜種影響ルール情報格納手段12から読み取る(ステップS2)。そして、ファイル種別シグネチャ情報生成手段13は、登録されたファイルのシグネチャ情報を読み取ったファイル種別亜種影響ルール情報に従って生成し(ステップS3)、シグネチャ情報格納手段14に記憶させる。なお、登録された機密ファイルすべてに対して、ステップS1からステップS3の処理が行われる。
First, in response to an instruction from a user or the like, the confidential
そのあと、P2Pブロック取得手段15は、P2Pネットワークに流通しているファイルの断片であるブロックを抽出し、そのブロックをブロック単位シグネチャ情報判定手段16に通知する(ステップS4)。そして、ブロック単位シグネチャ情報判定手段16は、受け取ったブロックと、シグネチャ情報格納手段14に記憶されたシグネチャ情報とを比較し(ステップS5)、そのブロックが機密ファイルまたはその亜種ファイルの断片か否かを判断する(ステップS6)。
Thereafter, the P2P
ブロックが機密ファイルまたはその亜種ファイルに含まれるファイルの断片だと判断された場合(ステップS6におけるYES)、ブロック単位シグネチャ情報判定手段16は、その判定結果をブロック単位の比較結果としてブロック単位判定結果格納手段20に記憶させる(ステップS7)。なお、ブロックが機密ファイルまたはその亜種ファイルに含まれるファイルの断片だと判断されなかった場合には(ステップS6におけるNO)、ブロック単位シグネチャ情報判定手段16は、比較結果をブロック単位判定結果格納手段20に記憶させない。
When it is determined that the block is a fragment of a confidential file or a file included in the variant file (YES in step S6), the block unit signature
次に、ファイル判定手段17は、ブロック単位判定結果格納手段20に記憶された複数の判定結果と、シグネチャ情報格納手段14に記憶された閾値とをもとに、ブロックの元となる流通ファイルが機密ファイルもしくはその亜種ファイルに相当するかどうかを判定する(ステップS8)。流通ファイルが機密ファイルもしくはその亜種ファイルに相当すると判定された場合(ステップS9におけるYES)、ファイル判定手段17は、ファイル名やファイルハッシュなどのファイルを特定できるIDをブラックリスト格納手段18に記憶させる(ステップS10)。なお、流通ファイルが機密ファイルもしくはその亜種ファイルに相当しないと判定された場合(ステップS9におけるNO)、ファイル判定手段17は、その流通ファイルのファイル名などをブラックリスト格納手段18に記憶させない。
Next, the
そして、P2P流通阻止手段19は、ブラックリスト格納手段18に記憶されたファイルの情報を取り出し(ステップS11)、P2Pネットワーク上の該当ファイルの流通を阻止する(ステップS12)。
Then, the P2P
次に、本実施形態の効果について説明する。以上のように、本実施形態によれば、ファイル種別シグネチャ生成手段13が、ファイル種別亜種影響ルールに従って生成したシグネチャ情報をシグネチャ情報格納手段14に記憶させる。そして、ブロック単位シグネチャ情報判定手段16は、シグネチャ情報格納手段14に記憶されたシグネチャ情報と流通ファイルのブロックとが揺れ許容量の範囲内で一致するか否かを判定する。その後、ファイル判定手段17は、シグネチャ情報と一致したブロックの数及び判定閾値に基づいて、流通ファイルが機密ファイルに相当するファイルか否かを判定する。そして、P2P流通阻止手段19は、機密ファイルに相当するファイルと判定された流通ファイルの流通を阻止する。そのため、検出対象のファイルが変化したファイルを適切に検出でき、さらに、検出対象のファイル及び変化したファイルを高速に検出して情報漏洩を防止できる。
Next, the effect of this embodiment will be described. As described above, according to the present embodiment, the file type
すなわち、本実施形態では、ブロック単位シグネチャ情報判定手段16が、ファイル種別シグネチャ情報生成手段13が生成したシグネチャ情報とそのシグネチャ情報に含まれる揺れ許容数とを基にブロック単位でシグネチャ情報判定を実施する。そして、閾値以上のシグネチャ情報がマッチしたときに、ファイル判定手段17が機密ファイルもしくはその亜種ファイルであると判定する。そのため、検出対象のファイルが変化したファイル(例えば、亜種ファイル)を高速に検出することができる。
That is, in this embodiment, the block unit signature
また、ファイル種別シグネチャ情報生成手段13が、ひとつの機密ファイルとファイル種別亜種影響ルール情報とを基に機密ファイルとその亜種ファイルを検出するためのシグネチャ情報を生成する。そのため、少数の機密ファイルを基に亜種を検出することができる。すなわち、検出対象のファイルを特定する特徴的なキーワードを含むファイルが少数しか存在しない場合であっても、検出対象のファイルが変化したファイルを適切に検出できる。
Further, the file type signature
さらに、ファイル種別シグネチャ情報生成手段13が、ファイル種別ごとに設定されたファイル種別亜種影響ルール情報に基づいて機密ファイルとその亜種ファイルを検出するためのシグネチャ情報をファイル種別ごとに生成する。そのため、ファイルの種別に適合したシグネチャ情報を生成できるとともに、ブロック単位での比較回数を少なくできる。
Further, the file type signature
実施形態2.
図6は、本発明の第2の実施形態における情報漏洩防止システムの例を示すブロック図である。なお、第1の実施形態と同様の構成については、図1と同一の符号を付し、説明を省略する。
FIG. 6 is a block diagram illustrating an example of an information leakage prevention system according to the second embodiment of the present invention. In addition, about the structure similar to 1st Embodiment, the code | symbol same as FIG. 1 is attached | subjected and description is abbreviate | omitted.
本実施形態における情報漏洩防止システムは、機密ファイル登録手段10と、機密ファイル格納手段11と、シグネチャ情報取得情報格納手段22と、シグネチャ情報生成手段23と、シグネチャ情報格納手段14と、P2Pブロック取得手段15と、ブロック単位シグネチャ情報判定手段16と、ファイル判定手段17と、ブラックリスト格納手段18と、P2P流通阻止手段19と、ブロック単位判定結果格納手段20と、ブロック単位変更情報格納手段24と、ブロック判定結果反映手段25とを備えている。
The information leakage prevention system in this embodiment includes a confidential
すなわち、第2の実施形態における情報漏洩防止システムでは、ファイル種別シグネチャ情報生成手段13がシグネチャ情報生成手段23に変更され、ファイルの種別とは無関係にシグネチャ情報を生成するルールを格納するシグネチャ情報取得情報格納手段22にファイル種別亜種影響ルール情報格納手段12が変更されている点で第1の実施形態における情報漏洩防止システムと異なる。また、第2の実施形態における情報漏洩防止システムでは、ブロック単位変更情報格納手段24及びブロック判定結果反映手段25をさらに備えている点で第1の実施形態における情報漏洩防止システムと異なる。
That is, in the information leakage prevention system according to the second embodiment, the file type signature
シグネチャ情報取得情報格納手段22は、ファイル種別にかかわらず、機密ファイルをもとにシグネチャ情報を生成することを規定したルール(以下、シグネチャ情報取得情報と記す。)を記憶する。ここで、シグネチャ情報取得情報とは、機密ファイルからシグネチャ情報(より具体的には、ファイル断片情報)を切り出す位置(範囲)、シグネチャ情報(より具体的には、ファイル断片情報)を切り出す数、切り出す間隔、ファイル断片情報の切り出しサイズ、流通ファイルとシグネチャ情報とのマッチングを行うときに、元の機密ファイルの位置とのずれをどの程度許容するかを定めた揺れ許容量(例えば、揺れ許容数)、及び、複数あるシグネチャ情報のうち、いくつのシグネチャ情報がマッチしたときに、元の機密ファイルに相当するファイルとみなすかを決定するための閾値(すなわち、判定閾値)のうち、少なくとも1つ以上を含む情報の組合せである。 The signature information acquisition information storage means 22 stores a rule (hereinafter referred to as signature information acquisition information) that stipulates that signature information is generated based on a confidential file regardless of the file type. Here, the signature information acquisition information is a position (range) for extracting signature information (more specifically, file fragment information) from a confidential file, a number for extracting signature information (more specifically, file fragment information), Shaking allowance that defines how much deviation from the position of the original confidential file is allowed when matching between the cutout interval, file fragment information cutout size, distribution file and signature information ), And at least one of threshold values (that is, determination threshold values) for determining how many pieces of signature information are matched with the original confidential file when the signature information matches. A combination of information including the above.
図7は、シグネチャ情報取得情報格納手段22が記憶するシグネチャ情報取得情報の例を示す説明図である。図7に示す例では、シグネチャ情報取得情報として、ファイル断片情報取得位置情報、ファイル断片情報取得数、ファイル断片情報取得間隔、ファイル断片情報長さ、揺れ許容量である揺れ許容数及び閾値を含んでいることを示す。例えば、図7に例示する表の1行目は、機密ファイル格納手段11に格納された機密ファイルに対し、「先頭から30%〜70%」の位置については、10bitのファイル断片情報を128bit間隔で3個切り出し、それぞれ揺れ許容数「10bit」及び閾値「1個」の情報を付与したシグネチャ情報を作成するルールを表す。
FIG. 7 is an explanatory diagram showing an example of signature information acquisition information stored in the signature information acquisition
シグネチャ情報生成手段23は、登録された機密ファイルに対するシグネチャ情報をシグネチャ情報取得情報に従って生成する。具体的には、シグネチャ情報生成手段23は、シグネチャ情報取得情報に基づいて、機密ファイル登録手段10により登録された機密ファイルからシグネチャ情報を生成し、生成したシグネチャ情報をシグネチャ情報格納手段14に記憶させる。なお、シグネチャ情報生成手段23がシグネチャ情報を生成する方法は、第1の実施形態におけるファイル種別シグネチャ情報生成手段13がシグネチャ情報を生成する方法と同様である。
The signature
なお、第1の実施形態では、ファイル種別シグネチャ情報生成手段13は、ファイル種別ごとにシグネチャ情報をシグネチャ情報格納手段14に記憶させる。一方、第2の実施形態では、シグネチャ情報生成手段23は、ファイル種別にかかわらず、シグネチャ情報をシグネチャ情報格納手段14に記憶させる。
In the first embodiment, the file type signature
ブロック単位変更情報格納手段24は、シグネチャ情報におけるファイル断片情報の出現位置を調整する際に用いられる値(以下、オフセット率と記す。)と、シグネチャ情報における揺れ許容量を減少させる際に用いられる値(以下、揺れ許容量倍率と記す。)のうちの少なくとも1つを含む情報をファイル断片情報の出現位置ごとに規定した情報(以下、ブロック単位変更情報と記す。)を記憶する。揺れ許容量倍率として設定される値は、揺れ許容量を変化させる割合であってもよく、揺れ許容量を減少させる割合であってもよい。ブロック単位変更情報は、例えば、ユーザ等により、ブロック単位変更情報格納手段24に予め記憶される。ブロック単位変更情報格納手段24は、例えば、磁気ディスク装置等によって実現される。
The block unit change
ブロック判定結果反映手段25は、ブロック単位シグネチャ情報判定手段16が判定したブロックの判定結果と、そのブロックを含んだ元の流通ファイルと同一の流通ファイルに対応するブロック単位変更情報とをもとに、その流通ファイルにおける他のブロックと比較する際に用いられるシグネチャ情報を変更する。すなわち、ブロック判定結果反映手段25は、ブロック単位シグネチャ情報判定手段16の要求に従い、シグネチャ情報に含まれるシグネチャ情報取得位置や揺れ許容量を、すでに判定されたブロック単位の判定結果と、ブロック単位変更情報格納手段24に格納されたブロック単位変更情報をもとに変更する。このようにすることで、すでに判定されたブロックの判定結果をシグネチャ情報に反映させることができる。
The block determination
ブロック判定結果反映手段25が、シグネチャ情報を変更する方法について具体的に説明する。ブロック判定結果反映手段25は、ブロック単位シグネチャ情報判定手段16が受け取ったブロックを含んだ元の流通ファイルの情報を受け取ると、その流通ファイルに対応するブロックの判定結果がブロック単位判定結果格納手段20に記憶されているか判断する。判定結果が記憶されている場合、ブロック判定結果反映手段25は、そのブロックに対応するブロック単位変更情報をブロック単位変更情報格納手段24から読み取る。そして、ブロック判定結果反映手段25は、ブロック単位変更情報の揺れ許容量倍率に基づいて、シグネチャ情報の揺れ許容量を更新し、更新した揺れ許容量をブロック単位シグネチャ情報判定手段16に通知する。このとき、ブロック単位シグネチャ情報判定手段16は、更新された揺れ許容量の範囲内で、ブロックとシグネチャ情報とが一致するか否かを判定する。
A method in which the block determination
ここで、ファイル断片情報と一致した位置とシグネチャ情報の開始位置とのずれを示す情報がブロックの判定結果に含まれている場合、ブロック判定結果反映手段25は、そのずれを示す情報にオフセット率を乗じた値を算出し、その算出結果をブロック単位シグネチャ情報判定手段16に通知してもよい。この場合、ブロック単位シグネチャ情報判定手段16は、算出結果に従ってブロック断片情報の出現位置をずらしたシグネチャ情報とブロックとを比較し、両者が一致するか否かを判定してもよい。
Here, when the block determination result includes information indicating a shift between the position matching the file fragment information and the start position of the signature information, the block determination
なお、ここで、同一の流通ファイルとは、流通ファイルそのものが同一の場合だけでなく、ファイル種別が同一の場合の流通ファイルも含まれる。 Here, the same distribution file includes not only the case where the distribution file itself is the same, but also the distribution file when the file type is the same.
機密ファイル登録手段10と、シグネチャ情報生成手段23と、P2Pブロック取得手段15と、ブロック単位シグネチャ情報判定手段16と、ファイル判定手段17と、P2P流通阻止手段19と、ブロック判定結果反映手段25とは、プログラム(情報漏洩防止プログラム)に従って動作するコンピュータのCPUによって実現される。また、機密ファイル登録手段10と、シグネチャ情報生成手段23と、P2Pブロック取得手段15と、ブロック単位シグネチャ情報判定手段16と、ファイル判定手段17と、P2P流通阻止手段19と、ブロック判定結果反映手段25とは、それぞれが専用のハードウェアで実現されていてもよい。
The confidential
次に、動作について説明する。図8及び図5は、第2の実施形態における動作の例を示すフローチャートである。なお、ブロック単位シグネチャ情報判定手段16が、ブロックとシグネチャ情報とを比較して、そのブロックが機密ファイルか否かを判定し、ファイル判定手段17が、判定結果を基に、流通ファイルが機密ファイルもしくはその亜種ファイルに相当すると判定するまでの処理、および、P2P流通阻止手段19がそれらの流通ファイルを阻止する処理については、第1の実施形態におけるステップS5〜ステップS12までの処理と同様である。
Next, the operation will be described. 8 and 5 are flowcharts showing examples of operations in the second embodiment. The block unit signature
まず、ユーザ等の指示に応じ、機密ファイル登録手段10は、機密ファイル格納手段11に機密ファイルを登録する(すなわち、記憶させる)(ステップS1)。次に、シグネチャ情報生成手段23は、登録されたファイルのシグネチャ情報をシグネチャ情報取得情報に従って生成し(ステップS21)、シグネチャ情報格納手段14に記憶させる。登録された機密ファイルすべてに対して、ステップS1からステップS21の処理が行われる。
First, in response to an instruction from a user or the like, the confidential
そのあと、P2Pブロック取得手段15は、P2Pネットワークに流通しているファイルの断片であるブロックを抽出し、そのブロックをブロック単位シグネチャ情報判定手段16に通知する(ステップS4)。
Thereafter, the P2P
ここで、ブロック判定結果反映手段25は、ブロック単位シグネチャ情報判定手段16に通知されたブロックを含む元の流通ファイルに関連する他のブロック(すなわち元の流通ファイルと同一のファイルに含まれる他のブロック)が比較済みかどうかを判定する(ステップS22)。初めて比較する流通ファイルのブロックである場合(ステップS22におけるNO)、ブロック単位シグネチャ情報判定手段16は、受け取ったブロックと、シグネチャ情報格納手段14に記憶されたシグネチャ情報とを比較する(ステップS5)。
Here, the block determination result reflecting means 25 is another block related to the original distribution file including the block notified to the block unit signature information determination means 16 (that is, other blocks included in the same file as the original distribution file). It is determined whether or not (block) has been compared (step S22). When the block is a distribution file block to be compared for the first time (NO in step S22), the block unit signature
一方、すでに比較済みのブロックがある場合(ステップS22におけるYES)、ブロック判定結果反映手段25は、ブロック単位変更情報をブロック単位変更情報格納手段24から読み取り、シグネチャ情報を変更する(ステップS23)。そして、ブロック単位シグネチャ情報判定手段16は、受け取ったブロックと、変更後のシグネチャ情報とを比較する(ステップS5)。以降の処理は、第1の実施形態におけるステップS6〜ステップS12の処理と同様である。
On the other hand, if there is a block that has already been compared (YES in step S22), the block determination
次に、本実施形態の効果について説明する。以上のように、本実施形態によれば、シグネチャ情報生成手段23が、シグネチャ情報取得情報に従って生成したシグネチャ情報をシグネチャ情報格納手段14に記憶させる。そして、ブロック単位シグネチャ情報判定手段16が、流通ファイルのブロックごとに、シグネチャ情報格納手段14に記憶されたシグネチャ情報と上記ブロックとが揺れ許容量の範囲内で一致するか否かを判定する。その後、ファイル判定手段17は、シグネチャ情報と一致したブロックの数及び判定閾値に基づいて、流通ファイルが機密ファイルに相当するファイルか否かを判定し、判定した結果をブロック単位判定結果格納手段20に記憶させる。
Next, the effect of this embodiment will be described. As described above, according to the present embodiment, the signature
さらに、ブロック判定結果反映手段25は、ブロック単位変更情報及びブロック単位判定結果格納手段20に記憶された揺れ幅に基づいて、シグネチャ情報を更新すると、ブロック単位シグネチャ情報判定手段16は、更新されたシグネチャ情報と流通ファイルのブロックとが揺れ許容量の範囲内で一致するか否かを判定する。ファイル判定手段17は、その流通ファイルが機密ファイルに相当するファイルか否かを判定する。そして、P2P流通阻止手段19は、機密ファイルに相当するファイルと判定された流通ファイルの流通を阻止する。そのため、検出対象のファイルが変化したファイルを適切に検出でき、さらに、検出対象のファイル及び変化したファイルを高速に検出して情報漏洩を防止できる。
Further, when the block determination
すなわち、本実施形態では、ブロック単位シグネチャ情報判定手段16が、シグネチャ情報生成手段23が生成したシグネチャ情報とそのシグネチャ情報に含まれる揺れ許容数とを基にブロック単位でシグネチャ情報判定を実施する。そして、閾値以上のシグネチャ情報がマッチしたときに、ファイル判定手段17が機密ファイルもしくはその亜種ファイルであると判定する。そのため、検出対象のファイルが変化したファイル(例えば、亜種ファイル)を高速に検出することができる。
In other words, in this embodiment, the block unit signature
また、多くの場合、機密ファイルや亜種ファイルを判断するために、判断に用いられるパターン(キーワード)を適切に設定することが望ましい。このようなキーワードを適切に設定できれば、機密ファイルやその亜種ファイルなど、その機密ファイルに関連する特定のグループのファイルを適切に検出できるようになる。 In many cases, it is desirable to appropriately set a pattern (keyword) used for determination in order to determine a confidential file or a variant file. If such a keyword can be set appropriately, a specific group of files related to the confidential file, such as a confidential file or its variant file, can be detected appropriately.
しかし、一般的には、機密ファイルを特定する特徴的なキーワードを含むファイルは、例えば、組織によって異なる。すなわち、どのようなファイルを機密ファイルとして扱うかは、組織によって異なるといえる。したがって、機密ファイルを特定する特徴的なキーワードを含むファイルが、組織など特定のグループに対して少数しか存在しない場合、適切なキーワードを十分抽出することができない。そのため、このような場合には、元の機密ファイルが変化した亜種ファイルを検出することが難しい。 However, in general, a file including a characteristic keyword that identifies a confidential file differs depending on, for example, an organization. That is, it can be said that what kind of file is handled as a confidential file differs depending on the organization. Therefore, when there are only a few files including a characteristic keyword for specifying a confidential file for a specific group such as an organization, an appropriate keyword cannot be sufficiently extracted. Therefore, in such a case, it is difficult to detect a variant file in which the original confidential file has changed.
しかし、本実施形態によれば、シグネチャ情報生成手段23が、ひとつの機密ファイルとシグネチャ情報取得情報とを基に機密ファイルとその亜種ファイルを検出するためのシグネチャ情報を生成する。そのため、少数の機密ファイルを基に亜種を検出することができる。すなわち、検出対象のファイルを特定する特徴的なキーワードを含むファイルが少数しか存在しない場合であっても、検出対象のファイルが変化したファイルを適切に検出できる。
However, according to the present embodiment, the signature
さらに、ブロック判定結果反映手段25が、過去の判定結果を基にシグネチャ情報を更新して比較する位置を調整するため、検出対象のファイルが変化したファイル(例えば、亜種ファイル)をより高速に検出することができる。
Furthermore, since the block determination
また、シグネチャ情報生成手段23は、ファイル種別に関わらず、設定されたシグネチャ情報取得情報に基づいて機密ファイルとその亜種ファイルを検出するためのシグネチャ情報を生成する。そのため、第1の実施形態に比べ、シグネチャ情報を生成するために設定するシグネチャ情報取得情報の量を抑制することができる。
Further, the signature
実施形態3.
図9は、本発明の第3の実施形態における情報漏洩防止システムの例を示すブロック図である。なお、第1の実施形態と同様の構成、及び、第2の実施形態と同様の構成については、図1及び図6と同一の符号を付し、説明を省略する。
FIG. 9 is a block diagram showing an example of an information leakage prevention system according to the third embodiment of the present invention. In addition, about the structure similar to 1st Embodiment, and the structure similar to 2nd Embodiment, the code | symbol same as FIG.1 and FIG.6 is attached | subjected and description is abbreviate | omitted.
本実施形態における情報漏洩防止システムは、機密ファイル登録手段10と、機密ファイル格納手段11と、ファイル種別亜種影響ルール情報格納手段12と、ファイル種別シグネチャ情報生成手段13と、シグネチャ情報格納手段14と、P2Pブロック取得手段15と、ブロック単位シグネチャ情報判定手段16と、ファイル判定手段17と、ブラックリスト格納手段18と、P2P流通阻止手段19と、ブロック単位判定結果格納手段20と、ブロック単位変更情報格納手段24と、ブロック判定結果反映手段25とを備えている。
The information leakage prevention system in this embodiment includes a confidential
すなわち、第3の実施形態における情報漏洩防止システムは、第2の実施形態におけるシグネチャ情報生成手段23が第1の実施形態におけるファイル種別シグネチャ情報生成手段13に変更され、第2の実施形態におけるシグネチャ情報取得情報格納手段22が第1の実施形態におけるファイル種別亜種影響ルール情報格納手段12に変更されている点で第2の実施形態における情報漏洩防止システムと異なる。
That is, in the information leakage prevention system in the third embodiment, the signature
言い換えると、第3の実施形態における情報漏洩防止システムは、第2の実施形態におけるブロック単位変更情報格納手段24及びブロック判定結果反映手段25をさらに備えている点で第1の実施形態における情報漏洩防止システムと異なる。なお、各手段の動作については、第1の実施形態及び第2の実施形態と同様である。
In other words, the information leakage prevention system in the third embodiment is the information leakage in the first embodiment in that it further includes the block unit change
また、機密ファイル登録手段10と、ファイル種別シグネチャ情報生成手段13と、P2Pブロック取得手段15と、ブロック単位シグネチャ情報判定手段16と、ファイル判定手段17と、P2P流通阻止手段19と、ブロック単位変更情報格納手段24と、ブロック判定結果反映手段25とは、プログラム(情報漏洩防止プログラム)に従って動作するコンピュータのCPUによって実現される。
In addition, the confidential
次に、動作について説明する。図10及び図5は、第3の実施形態における動作の例を示すフローチャートである。なお、ブロック単位シグネチャ情報判定手段16が、ブロックとシグネチャ情報とを比較して、そのブロックが機密ファイルか否かを判定し、ファイル判定手段17が、判定結果を基に、流通ファイルが機密ファイルもしくはその亜種ファイルに相当すると判定するまでの処理、および、P2P流通阻止手段19がそれらの流通ファイルを阻止する処理については、第1の実施形態におけるステップS5〜ステップS12までの処理と同様である。
Next, the operation will be described. FIG. 10 and FIG. 5 are flowcharts showing an example of the operation in the third embodiment. The block unit signature
まず、ユーザ等の指示に応じ、機密ファイル登録手段10は、機密ファイル格納手段11に機密ファイルを登録する(すなわち、記憶させる)(ステップS1)。次に、ファイル種別シグネチャ情報生成手段13は、登録された機密ファイルの種別に合わせて、ファイル種別亜種影響ルール情報をファイル種別亜種影響ルール情報格納手段12から読み取る(ステップS2)。そして、ファイル種別シグネチャ情報生成手段13は、登録されたファイルのシグネチャ情報を読み取ったファイル種別亜種影響ルール情報に従って生成し(ステップS3)、シグネチャ情報格納手段14に記憶させる。なお、登録された機密ファイルすべてに対して、ステップS1からステップS3の処理が行われる。
First, in response to an instruction from a user or the like, the confidential
そのあと、P2Pブロック取得手段15は、P2Pネットワークに流通しているファイルの断片であるブロックを抽出し、そのブロックをブロック単位シグネチャ情報判定手段16に通知する(ステップS4)。
Thereafter, the P2P
ここで、ブロック判定結果反映手段25は、ブロック単位シグネチャ情報判定手段16に通知されたブロックを含む元の流通ファイルに関連する他のブロック(すなわち元の流通ファイルと同一のファイルに含まれる他のブロック)が比較済みかどうかを判定する(ステップS22)。初めて比較する流通ファイルのブロックである場合(ステップS22におけるNO)、ブロック単位シグネチャ情報判定手段16は、受け取ったブロックと、シグネチャ情報格納手段14に記憶されたシグネチャ情報とを比較する(ステップS5)。
Here, the block determination result reflecting means 25 is another block related to the original distribution file including the block notified to the block unit signature information determination means 16 (that is, other blocks included in the same file as the original distribution file). It is determined whether or not (block) has been compared (step S22). When the block is a distribution file block to be compared for the first time (NO in step S22), the block unit signature
一方、すでに比較済みのブロックがある場合(ステップS22におけるYES)、ブロック判定結果反映手段25は、ブロック単位変更情報をブロック単位変更情報格納手段24から読み取り、シグネチャ情報を変更する(ステップS23)。そして、ブロック単位シグネチャ情報判定手段16は、受け取ったブロックと、変更後のシグネチャ情報とを比較する(ステップS5)。以降の処理は、第1の実施形態におけるステップS6〜ステップS12の処理と同様である。
On the other hand, if there is a block that has already been compared (YES in step S22), the block determination
次に、本実施形態の効果について説明する。以上のように、本実施形態によれば、第1の実施形態と同様に、ブロック単位シグネチャ情報判定手段16が、ファイル種別シグネチャ情報生成手段13が生成したシグネチャ情報とそのシグネチャ情報に含まれる揺れ許容数とを基にブロック単位でシグネチャ情報判定を実施する。そして、閾値以上のシグネチャ情報がマッチしたときに、ファイル判定手段17が機密ファイルもしくはその亜種ファイルであると判定する。そのため、検出対象のファイルが変化したファイル(例えば、亜種ファイル)を高速に検出することができる。
Next, the effect of this embodiment will be described. As described above, according to the present embodiment, as in the first embodiment, the block unit signature
また、ファイル種別シグネチャ情報生成手段13が、ひとつの機密ファイルとファイル種別亜種影響ルール情報とを基に機密ファイルとその亜種ファイルを検出するためのシグネチャ情報を生成する。そのため、少数の機密ファイルを基に亜種を検出することができる。すなわち、検出対象のファイルを特定する特徴的なキーワードを含むファイルが少数しか存在しない場合であっても、検出対象のファイルが変化したファイルを適切に検出できる。
Further, the file type signature
また、ファイル種別シグネチャ情報生成手段13が、ファイル種別ごとに設定されたファイル種別亜種影響ルール情報に基づいて機密ファイルとその亜種ファイルを検出するためのシグネチャ情報をファイル種別ごとに生成する。そのため、ファイルの種別に適合したシグネチャ情報を生成できるとともに、ブロック単位での比較回数を少なくできる。
Further, the file type signature
さらに、第2の実施形態と同様に、ブロック判定結果反映手段25が、過去の判定結果を基にシグネチャ情報を更新して比較する位置を調整するため、検出対象のファイルが変化したファイル(例えば、亜種ファイル)をより高速に検出することができる。
Further, similarly to the second embodiment, the block determination
以下、図9に例示する情報漏洩防止システムについて、具体的な実施例により本発明を説明するが、本発明の範囲は以下に説明する内容に限定されない。 Hereinafter, the information leakage prevention system illustrated in FIG. 9 will be described by way of specific examples, but the scope of the present invention is not limited to the contents described below.
図11は、P2Pブロック取得手段15が抽出したブロック情報の例を示す説明図である。本実施例では、P2Pネットワーク中を流れる図11に例示するブロック情報が存在し、そのブロック番号順にP2Pブロック取得手段15がブロックを抽出した場合の動作を説明する。また、ファイル種別亜種影響ルール情報格納手段12は、図2に例示するファイル種別亜種影響ルール情報を記憶しているものとする。
FIG. 11 is an explanatory diagram illustrating an example of block information extracted by the P2P
まず、機密ファイル格納手段11に「Office2007WordのOOXML形式」であるファイル「機密ファイル1」が記憶されると、ファイル種別シグネチャ情報生成手段13は、ファイル種別亜種影響ルール情報格納手段12から、対応するファイル種別亜種影響ルール情報(すなわち、「Office2007WordのOOXML形式」の情報)を取り出す。そして、ファイル種別シグネチャ情報生成手段13は、ファイル断片情報取得位置、ファイル断片情報取得数、ファイル断片情報取得間隔及びファイル断片情報長さに従って、元の「機密ファイル1」を切り出す。
First, when the file “
さらに、ファイル種別シグネチャ情報生成手段13は、ファイル種別亜種影響ルール情報の「Office2007WordのOOXML形式」の情報に従って、揺れ許容量(ここでは、10または5)及び閾値(ここでは、1または2)を付与してシグネチャ情報を生成し、シグネチャ情報格納手段14に記憶させる。生成されたシグネチャ情報の例を図12に示す。なお、図12に示す例では、シグネチャ情報格納手段14は、「Office2003以前のWord」のファイルである「機密ファイル2」のシグネチャ情報も合わせて記憶しているものとする。
Further, the file type signature information generation means 13 performs the shake allowable amount (here, 10 or 5) and the threshold (here, 1 or 2) according to the information of “
次に、P2Pブロック取得手段15が、P2Pネットワーク上から図11に例示するブロック番号1のブロックを抽出したときの動作を説明する。
Next, the operation when the P2P
ブロック番号1のファイルは「Office2003のWord」形式の「機密でないファイル」である。しかし、この時点では「機密でないファイル」に関するブロックは検出されていないものとする。そこで、ブロック単位シグネチャ情報判定手段16は、シグネチャ情報のうち、「機密でないファイル」と同形式のファイル「機密ファイル2」のシグネチャ情報とブロック番号1のブロックとの間でマッチングを実施する。
The file of
元のファイルの位置情報(例えば、ファイル全体のサイズ及びブロックの開始位置)から、ブロック1の出現位置が判断できる。ここでは、ブロック1の出現位置が、「先頭から30%から70%以内であると判断されたものとする。ブロック単位シグネチャ情報判定手段16は、ブロック1に含まれるパターンとシグネチャ情報とを比較する。なお、このとき比較に利用されるシグネチャ情報は、図12に例示するシグネチャ情報のうち、ファイルが「機密ファイル2」、ファイル断片情報の出現位置が1408bitのものになる。
From the position information of the original file (for example, the size of the entire file and the start position of the block), the appearance position of the
この場合、ブロック1のファイル断片情報の先頭からマッチングを始めてもシグネチャ情報のファイル断片情報のパターンと一致しない。そこで、ブロック単位シグネチャ情報判定手段16は、シグネチャ情報に含まれる揺れ許容量に従い、前後3bit分ずらしてマッチングを行う。このように、揺れ許容量はファイルの種類によって決められているため、ブロック単位シグネチャ情報判定手段16は、パターンマッチは3Bit分繰り返すだけでよい。ただし、この場合は、前後3bit分ずらしてもパターンが一致しないため、ブロック単位シグネチャ情報判定手段16は、両者が一致しないと判定する。
In this case, even if matching is started from the beginning of the file fragment information of
次に、P2Pブロック取得手段15が、ブロック番号2のブロックを抽出したときの動作を説明する。ブロック2をマッチングするこの段階では、ファイル「機密ファイル1の亜種」に関するブロックが検出されていない。そのため、ブロック単位シグネチャ情報判定手段16は、シグネチャ情報に含まれるファイルのうち、ファイル形式が同じ「Office2007WordのOOXML形式」であるファイル「機密ファイル1」のシグネチャ情報とブロック番号2のブロックとの間でのマッチングを実施する。
Next, the operation when the P2P
ブロック2のブロック開始位置は128bit目である。そのため、ブロック単位シグネチャ情報判定手段16は、この情報に対応する「機密ファイル1」のファイル断片情報出現位置が128bitであるファイル断片情報とブロック2のブロック断片情報とのマッチングを実施する。
The block start position of
この場合、ファイル断片情報出現位置を完全に一致させてマッチングしても、ファイル断片情報は一致しない。これは、ブロック2に含まれるファイル断片情報が、5bit分後ろ方向にずれているためである。そこで、ブロック単位シグネチャ情報判定手段16は、シグネチャ情報の揺れ許容量をもとに、最大10bit分ずらしてマッチングを実施する。ここでは、5bitずれているので、5bit分ずらして比較すると、ファイル断片情報は一致する。そこで、ブロック単位シグネチャ情報判定手段16は、ブロック単位判定結果格納手段20に、ブロック2と5bitずれたファイル断片情報とが一致したことを示す判定結果を記録する。
In this case, even if the file fragment information appearance positions are completely matched, the file fragment information does not match. This is because the file fragment information included in
次に、P2Pブロック取得手段15が、ブロック番号3のブロックを抽出したときの動作を説明する。ブロック単位シグネチャ情報判定手段16がブロック3を受信したときには、既にすでにブロック2との比較でマッチした情報(判定結果)が存在する。そこで、ブロック判定結果反映手段25は、ブロック単位判定結果格納手段20からこの情報を取り出す。さらに、ブロック単位シグネチャ情報判定手段16は、ブロック単位変更情報格納手段24から、ブロック単位変更情報を取り出す。
Next, the operation when the P2P
図13は、ブロック単位変更情報格納手段24に記憶されたブロック単位変更情報の例を示す説明図である。ここでは、ブロック2の開始位置がファイル全体の先頭から30%であるものとし、ブロック単位シグネチャ情報判定手段16は、ブロック単位変更情報として、ファイル種別が「Office2007WordのOOXML形式」で、ファイル断片情報位置が「先頭から30%」のブロック単位変更情報を取り出すものとする。このブロック単位変更情報から、オフセット率が50%であり、揺れ許容量倍率(揺れ許容数倍率と記すこともある。)も50%であることがわかる。
FIG. 13 is an explanatory diagram illustrating an example of block unit change information stored in the block unit change
これは、ブロック単位変更情報からオフセット率が50%、すなわち、他のブロックとは50%ずれている可能性が高いことを意味し、その位置からの揺れ許容数倍率が50%であることを意味する。このことから、ブロック単位シグネチャ情報判定手段16は、5bitずれの半分(50%)に相当する2bit目を中心に、もともとの揺れ許容数倍率(10bitbit)の半分(50%)にあたる5bitをずらしてパターンマッチをすれば良いことがわかる。
This means that the offset rate is 50% from the block unit change information, that is, there is a high possibility that the offset rate is 50% different from other blocks, and that the allowable number of fluctuations from that position is 50%. means. From this, the block unit signature information judging means 16
ここで、ブロック3のブロック断片情報は、シグネチャ情報の「機密ファイル1」の256bit目からのファイル断片情報が4bitずれているものである。まず、ブロック単位シグネチャ情報判定手段16は、ブロック単位変更情報をもとに変更されたシグネチャ情報に従い、2bitずらした位置からマッチングを開始する。ただし、2bitずらした位置でも両者は一致しない。そこで、ブロック単位シグネチャ情報判定手段16は、さらに2bit分(1回あたり1bitずつ比較する場合は2回分)ずらしてマッチングを行うと、両者は一致する。すなわち、両者が4bitずれていても2bit分の移動でファイル断片情報のマッチングを終了させることができる。
Here, the block fragment information of
このように、ブロック単位シグネチャ情報判定手段16は、ブロックとシグネチャ情報とのマッチングを順次実施する。
In this way, the block unit signature
次に、ファイル判定手段17は、1つのブロックのマッチング処理が終了するごとに、それまでマッチングしたブロックを検査し、マッチしているブロックの数とシグネチャ情報の閾値とを比較する。マッチしているブロックの数がシグネチャ情報の閾値を越えているファイルがあれば、ファイル判定手段17は、該当ファイルの情報をブラックリスト格納手段18に記憶させる。そして、P2P流通阻止手段19は、該当ファイルがP2Pネットワーク上を流通することを阻止する。
Next, every time the matching process of one block is completed, the
次に、本発明による情報漏洩防止システムの最小構成の例を説明する。図14は、本発明による情報漏洩防止システムの最小構成の例を示すブロック図である。本発明による情報漏洩防止システムは、検出対象のファイル(例えば、機密ファイル)の一部であるファイル断片情報と、検出対象ファイル内におけるファイル断片情報の出現位置(例えば、ファイル断片情報出現位置)と、その出現位置と検出対象ファイルに相当するか否かが判定されるファイルである流通ファイルのブロックが出現する位置との揺れ幅の許容量を示す揺れ許容量と、流通ファイルが検出対象ファイルと判定される条件であるファイル断片情報と一致すべきブロックの数の下限を示す判定閾値とを含む情報を検出対象ファイルと対応付けたシグネチャ情報を記憶するシグネチャ情報格納手段91(例えば、シグネチャ情報格納手段14)と、検出対象ファイルをもとにシグネチャ情報を生成することを規定したルールであるシグネチャ情報取得情報を記憶するシグネチャ情報取得情報格納手段92(例えば、シグネチャ情報取得情報格納手段22)と、シグネチャ情報取得情報に従って検出対象ファイルのシグネチャ情報を生成し、そのシグネチャ情報をシグネチャ情報格納手段91に記憶させるシグネチャ情報生成手段93(例えば、シグネチャ情報生成手段23)と、流通ファイルのブロックごとに、そのブロックがシグネチャ情報格納手段92に記憶されたシグネチャ情報と揺れ許容量の範囲内で一致するか否かを判定するブロック単位シグネチャ情報判定手段94(例えば、ブロック単位シグネチャ情報判定手段16)と、流通ファイルのブロックごとに、そのブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅を記憶するブロック単位判定結果格納手段95(例えば、ブロック単位判定結果格納手段20)と、シグネチャ情報と一致したブロックの数及び判定閾値に基づいて、流通ファイルが検出対象ファイルに相当するファイル(例えば、機密ファイルもしくはその亜種ファイル)か否かを判定するファイル判定手段96(例えば、ファイル判定手段17)と、ファイル判定手段96が検出対象ファイルと判定したファイルの流通を阻止する流通阻止手段97(例えば、P2P流通阻止手段19)と、シグネチャ情報におけるファイル断片情報の出現位置を調整する値であるオフセット率と、シグネチャ情報における揺れ許容量を減少させる値である揺れ許容量倍率のうちの少なくとも1つを含む情報をファイル断片情報の出現位置ごとに規定した情報であるブロック単位変更情報を記憶するブロック単位変更情報格納手段98(例えば、ブロック単位変更情報格納手段24)と、ブロック単位判定結果格納手段95に記憶された揺れ幅及びブロック単位変更情報に基づいて、シグネチャ情報を更新するブロック判定結果反映手段99(例えば、ブロック判定結果反映手段25)とを備えている。
Next, an example of the minimum configuration of the information leakage prevention system according to the present invention will be described. FIG. 14 is a block diagram showing an example of the minimum configuration of the information leakage prevention system according to the present invention. An information leakage prevention system according to the present invention includes file fragment information that is a part of a detection target file (for example, a confidential file), an appearance position of file fragment information (for example, a file fragment information appearance position) in the detection target file, and , A swing allowable amount indicating an allowable amount of swing between the appearance position and the position where the block of the distribution file that is a file for which it is determined whether or not it corresponds to the detection target file, and the distribution file is the detection target file Signature information storage means 91 (for example, signature information storage) that stores signature information in which information including a determination threshold indicating a lower limit of the number of blocks to be matched with file fragment information that is a condition to be determined is associated with a detection target file Means 14) and a rule that stipulates that signature information is generated based on a detection target file. Signature information acquisition information storage unit 92 (for example, signature information acquisition information storage unit 22) that stores the signature information acquisition information, signature information of the detection target file is generated according to the signature information acquisition information, and the signature information is stored in the signature information storage unit The signature information generating means 93 (for example, signature information generating means 23) to be stored in 91 and the block of the distribution file match the signature information stored in the signature information storage means 92 within the allowable range of fluctuation. Block unit signature information determining unit 94 (for example, block unit signature information determining unit 16) for determining whether or not to perform, and for each block of the distribution file, the swing width when it is determined that the block and the signature information match Block unit to store Based on the fixed result storage means 95 (for example, the block unit determination result storage means 20), the number of blocks matching the signature information and the determination threshold, the distribution file is a file corresponding to the detection target file (for example, a confidential file or its file) A file determination unit 96 (for example, a file determination unit 17) for determining whether or not the file is a variant file, and a distribution prevention unit 97 (for example, a P2P distribution) for blocking the distribution of the file determined by the
また、ブロック単位シグネチャ情報判定手段94は、ブロック判定結果反映手段99が更新したシグネチャ情報とブロックとが一致するか否かを判定し、そのブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅をブロック単位判定結果格納手段95に記憶させる。
The block unit signature
そのような構成により、検出対象のファイルが変化したファイルを適切に検出でき、さらに、検出対象のファイル及び変化したファイルを高速に検出して情報漏洩を防止できる。 With such a configuration, it is possible to appropriately detect a file whose detection target file has changed, and to detect a detection target file and a changed file at high speed to prevent information leakage.
なお、少なくとも以下に示すような情報漏洩防止システムも、上記に示すいずれかの実施形態に開示されている。 Note that at least an information leakage prevention system as described below is also disclosed in any of the embodiments described above.
(1)検出対象のファイル(例えば、機密ファイル)の一部であるファイル断片情報と、検出対象ファイル内におけるファイル断片情報の出現位置(例えば、ファイル断片情報出現位置)と、その出現位置と検出対象ファイルに相当するか否かが判定されるファイルである流通ファイルのブロックが出現する位置との揺れ幅の許容量を示す揺れ許容量と、流通ファイルが検出対象ファイルと判定される条件であるファイル断片情報と一致すべきブロックの数の下限を示す判定閾値とを含む情報を検出対象ファイルと対応付けたシグネチャ情報を記憶するシグネチャ情報格納手段(例えば、シグネチャ情報格納手段14)と、検出対象ファイルをもとにシグネチャ情報を生成することを規定したルールであるシグネチャ情報取得情報を記憶するシグネチャ情報取得情報格納手段(例えば、シグネチャ情報取得情報格納手段22)と、シグネチャ情報取得情報に従って検出対象ファイルのシグネチャ情報を生成し、そのシグネチャ情報をシグネチャ情報格納手段に記憶させるシグネチャ情報生成手段(例えば、シグネチャ情報生成手段23)と、流通ファイルのブロックごとに、そのブロックがシグネチャ情報格納手段に記憶されたシグネチャ情報と揺れ許容量の範囲内で一致するか否かを判定するブロック単位シグネチャ情報判定手段(例えば、ブロック単位シグネチャ情報判定手段16)と、流通ファイルのブロックごとに、そのブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅を記憶するブロック単位判定結果格納手段(例えば、ブロック単位判定結果格納手段20)と、シグネチャ情報と一致したブロックの数及び判定閾値に基づいて、流通ファイルが検出対象ファイルに相当するファイル(例えば、機密ファイルもしくはその亜種ファイル)か否かを判定するファイル判定手段(例えば、ファイル判定手段17)と、ファイル判定手段が検出対象ファイルと判定したファイルの流通を阻止する流通阻止手段(例えば、P2P流通阻止手段19)と、シグネチャ情報におけるファイル断片情報の出現位置を調整する値であるオフセット率と、シグネチャ情報における揺れ許容量を減少させる値である揺れ許容量倍率のうちの少なくとも1つを含む情報をファイル断片情報の出現位置ごとに規定した情報であるブロック単位変更情報を記憶するブロック単位変更情報格納手段(例えば、ブロック単位変更情報格納手段24)と、ブロック単位判定結果格納手段に記憶された揺れ幅及びブロック単位変更情報に基づいて、シグネチャ情報を更新するブロック判定結果反映手段(例えば、ブロック判定結果反映手段25)とを備え、ブロック単位シグネチャ情報判定手段が、ブロック判定結果反映手段が更新したシグネチャ情報とブロックとが一致するか否かを判定し、そのブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅をブロック単位判定結果格納手段に記憶させる情報漏洩防止システム。 (1) File fragment information that is a part of a detection target file (for example, a confidential file), the appearance position (for example, file fragment information appearance position) of the file fragment information in the detection target file, and the appearance position and detection It is a condition for determining whether the distribution file is a detection target file, and a swing allowable amount indicating an allowable swing amount with respect to a position where a block of the distribution file that is a file to be determined whether or not it corresponds to the target file. Signature information storage means (for example, signature information storage means 14) for storing signature information in which information including a determination threshold indicating the lower limit of the number of blocks to be matched with file fragment information is associated with a detection target file; Stores signature information acquisition information, which is a rule that stipulates that signature information is generated based on a file Signature information acquisition means (for example, signature information acquisition information storage means 22) and signature information generation means for generating signature information of a detection target file according to the signature information acquisition information and storing the signature information in the signature information storage means ( For example, the signature information generation means 23) and block unit signature information for determining whether or not each block of the distribution file matches the signature information stored in the signature information storage means within the range of the allowable swing amount. A determination unit (for example, block unit signature information determination unit 16) and a block unit determination result storage unit (for example, a block unit determination result storage unit for storing the fluctuation width when it is determined that the block and the signature information match each block of the distribution file) Block unit judgment result storage means 0), and a file determination means for determining whether or not the distribution file is a file corresponding to the detection target file (for example, a confidential file or a variant file thereof) based on the number of blocks matching the signature information and the determination threshold. For example, the file determination unit 17), the distribution blocking unit (for example, the P2P distribution blocking unit 19) for blocking the distribution of the file determined by the file determination unit as the detection target file, and the appearance position of the file fragment information in the signature information are adjusted. Information including at least one of an offset rate, which is a value to be performed, and a shake allowable amount magnification, which is a value to decrease the shake allowable amount in the signature information, is a block unit change which is information specifying for each appearance position of the file fragment information Block unit change information storage means for storing information (eg, block unit change) Information storage means 24) and block determination result reflection means (for example, block determination result reflection means 25) for updating the signature information based on the swing width and block unit change information stored in the block unit determination result storage means. The block unit signature information determination unit determines whether the signature information updated by the block determination result reflection unit matches the block, and the fluctuation width when it is determined that the block matches the signature information. An information leakage prevention system for storing in block unit determination result storage means.
(2)ブロック判定結果反映手段が、ブロック単位判定結果格納手段に記憶された揺れ幅及びブロック単位変更情報のオフセット率に基づき、ブロックと比較するファイル断片情報の出現位置を更新し、ブロック単位シグネチャ情報判定手段が、ブロック判定結果反映手段が更新した出現位置から揺れ許容量の範囲内でファイル断片情報とブロックとが一致するか否かを判定する情報漏洩防止システム。 (2) The block determination result reflecting means updates the appearance position of the file fragment information to be compared with the block based on the swing width stored in the block unit determination result storage means and the offset rate of the block unit change information, and the block unit signature An information leakage prevention system in which the information determination unit determines whether or not the file fragment information matches the block within the allowable swing range from the appearance position updated by the block determination result reflection unit.
(3)ブロック判定結果反映手段が、揺れ許容量倍率に基づいて揺れ許容量の範囲を更新し、ブロック単位シグネチャ情報判定手段が、ブロック判定結果反映手段が更新した揺れ許容量の範囲内でシグネチャ情報とブロックとが一致するか否かを判定する情報漏洩防止システム。 (3) The block determination result reflecting unit updates the range of the allowable swing amount based on the allowable swing amount magnification, and the block unit signature information determining unit detects the signature within the allowable swing range updated by the block determination result reflecting unit. An information leakage prevention system that determines whether information and a block match.
(4)検出対象ファイルを記憶する検出対象ファイル記憶手段(例えば、機密ファイル格納手段11)と、検出対象ファイル記憶手段に検出ファイルを記憶させる検出対象ファイル登録手段(例えば、機密ファイル登録手段10)とを備え、シグネチャ情報生成手段が、検出対象ファイル記憶手段に記憶されたシグネチャ情報取得情報に従って、検出対象ファイルのシグネチャ情報を生成する情報漏洩防止システム。 (4) Detection target file storage means for storing the detection target file (for example, confidential file storage means 11) and detection target file registration means for storing the detection file in the detection target file storage means (for example, confidential file registration means 10) An information leakage prevention system in which the signature information generation unit generates the signature information of the detection target file according to the signature information acquisition information stored in the detection target file storage unit.
(5)流通を阻止するファイルの情報を記憶するブラックリスト格納手段(例えば、ブラックリスト格納手段18)を備え、ファイル判定手段が、検出対象ファイルに相当すると判定した流通ファイルの情報をブラックリスト格納手段に記憶させ、流通阻止手段が、ブラックリスト格納手段に記憶されたファイルの流通を阻止する情報漏洩防止システム。 (5) Blacklist storage means (for example, blacklist storage means 18) for storing information on files that prevent distribution is provided, and information on distribution files determined by the file determination means to correspond to detection target files is stored in the blacklist. An information leakage prevention system that is stored in the means and in which the distribution prevention means prevents distribution of the file stored in the black list storage means.
(6)ピアツーピア型ネットワークから流通ファイルのブロックを抽出するブロック取得手段(例えば、P2Pブロック取得手段15)を備え、ブロック単位シグネチャ情報判定手段が、シグネチャ情報格納手段に記憶されたシグネチャ情報とブロックとが揺れ許容量の範囲内で一致するか否かを判定する情報漏洩防止システム。 (6) A block acquisition unit (for example, P2P block acquisition unit 15) that extracts a block of the distribution file from the peer-to-peer network, and the block unit signature information determination unit includes the signature information and the block stored in the signature information storage unit, Information leakage prevention system that determines whether or not the values match within the allowable swing range.
本発明は、ピアツーピア型のファイル転送プロトコルによる通信において、機密ファイル及びその類似ファイルを発見し、ファイルの転送を防止する情報漏洩防止システムに好適に適用される。 INDUSTRIAL APPLICABILITY The present invention is suitably applied to an information leakage prevention system that detects a confidential file and similar files and prevents file transfer in communication using a peer-to-peer file transfer protocol.
10 機密ファイル登録手段
11 機密ファイル格納手段
12 ファイル種別亜種影響ルール情報格納手段
13 ファイル種別シグネチャ情報生成手段
14 シグネチャ情報格納手段
15 P2Pブロック取得手段
16 ブロック単位シグネチャ情報判定手段
17 ファイル判定手段
18 ブラックリスト格納手段
19 P2P流通阻止手段
20 ブロック単位判定結果格納手段
22 シグネチャ情報取得情報格納手段
23 シグネチャ情報生成手段
24 ブロック単位変更情報格納手段
25 ブロック判定結果反映手段
DESCRIPTION OF
Claims (10)
前記検出対象ファイルをもとにシグネチャ情報を生成することを規定したルールであるシグネチャ情報取得情報を記憶するシグネチャ情報取得情報格納手段と、
前記シグネチャ情報取得情報に従って前記検出対象ファイルのシグネチャ情報を生成し、当該シグネチャ情報を前記シグネチャ情報格納手段に記憶させるシグネチャ情報生成手段と、
前記流通ファイルのブロックごとに、当該ブロックが前記シグネチャ情報格納手段に記憶されたシグネチャ情報と前記揺れ許容量の範囲内で一致するか否かを判定するブロック単位シグネチャ情報判定手段と、
前記流通ファイルのブロックごとに、当該ブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅を記憶するブロック単位判定結果格納手段と、
シグネチャ情報と一致したブロックの数及び前記判定閾値に基づいて、前記流通ファイルが前記検出対象ファイルに相当するファイルか否かを判定するファイル判定手段と、
前記ファイル判定手段が検出対象ファイルと判定したファイルの流通を阻止する流通阻止手段と、
シグネチャ情報におけるファイル断片情報の出現位置を調整する値であるオフセット率と、シグネチャ情報における揺れ許容量を減少させる値である揺れ許容量倍率のうちの少なくとも1つを含む情報をファイル断片情報の出現位置ごとに規定した情報であるブロック単位変更情報を記憶するブロック単位変更情報格納手段と、
前記ブロック単位判定結果格納手段に記憶された揺れ幅及び前記ブロック単位変更情報に基づいて、シグネチャ情報を更新するブロック判定結果反映手段とを備え、
ブロック単位シグネチャ情報判定手段は、前記ブロック判定結果反映手段が更新したシグネチャ情報とブロックとが一致するか否かを判定し、当該ブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅を前記ブロック単位判定結果格納手段に記憶させる
ことを特徴とする情報漏洩防止システム。 The file fragment information that is a part of the detection target file, the appearance position of the file fragment information in the detection target file, and the distribution file that is a file for which it is determined whether the appearance position corresponds to the detection target file. A determination threshold value indicating a swing allowable amount indicating a swing width allowable amount with respect to a position where a block appears and a lower limit of the number of blocks to be matched with the file fragment information, which is a condition for determining that the distribution file is a detection target file. Signature information storage means for storing signature information in which information including
Signature information acquisition information storage means for storing signature information acquisition information, which is a rule that stipulates generation of signature information based on the detection target file;
Signature information generating means for generating signature information of the detection target file according to the signature information acquisition information, and storing the signature information in the signature information storage means;
For each block of the distribution file, block unit signature information determination means for determining whether or not the block matches the signature information stored in the signature information storage means within the range of the allowable shaking amount;
For each block of the distribution file, a block unit determination result storage means for storing a fluctuation width when it is determined that the block and the signature information match.
File determination means for determining whether the distribution file is a file corresponding to the detection target file based on the number of blocks matching the signature information and the determination threshold;
Distribution blocking means for blocking distribution of the file determined by the file determination means as a detection target file;
Appearance of the file fragment information includes information including at least one of an offset rate that is a value for adjusting the appearance position of the file fragment information in the signature information and a shake allowance magnification that is a value for reducing the shake allowance in the signature information. Block unit change information storage means for storing block unit change information which is information defined for each position;
A block determination result reflecting means for updating signature information based on the swing width stored in the block unit determination result storage means and the block unit change information;
The block unit signature information determining unit determines whether the signature information updated by the block determination result reflecting unit matches the block, and the fluctuation width when the block and the signature information are determined to match is determined. An information leakage prevention system characterized in that it is stored in a block unit judgment result storage means.
ブロック単位シグネチャ情報判定手段は、前記ブロック判定結果反映手段が更新した出現位置から揺れ許容量の範囲内でファイル断片情報とブロックとが一致するか否かを判定する
請求項1記載の情報漏洩防止システム。 The block determination result reflecting means updates the appearance position of the file fragment information to be compared with the block based on the swing width stored in the block unit determination result storage means and the offset rate of the block unit change information,
The information leakage prevention according to claim 1, wherein the block unit signature information determination unit determines whether or not the file fragment information matches the block within a range of the allowable swing from the appearance position updated by the block determination result reflection unit. system.
ブロック単位シグネチャ情報判定手段は、前記ブロック判定結果反映手段が更新した揺れ許容量の範囲内でシグネチャ情報とブロックとが一致するか否かを判定する
請求項1または請求項2記載の情報漏洩防止システム。 The block determination result reflecting means updates the range of the allowable swing based on the allowable swing magnification,
3. The information leakage prevention according to claim 1, wherein the block unit signature information determination unit determines whether or not the signature information and the block match within a range of the allowable swing updated by the block determination result reflection unit. system.
前記検出対象ファイル記憶手段に検出ファイルを記憶させる検出対象ファイル登録手段とを備え、
シグネチャ情報生成手段は、前記検出対象ファイル記憶手段に記憶されたシグネチャ情報取得情報に従って、検出対象ファイルのシグネチャ情報を生成する
請求項1から請求項3のうちのいずれか1項に記載の情報漏洩防止システム。 Detection target file storage means for storing the detection target file;
A detection target file registration unit that stores a detection file in the detection target file storage unit;
The information leakage according to any one of claims 1 to 3, wherein the signature information generation unit generates signature information of the detection target file in accordance with the signature information acquisition information stored in the detection target file storage unit. Prevention system.
ファイル判定手段は、検出対象ファイルに相当すると判定した流通ファイルの情報を前記ブラックリスト格納手段に記憶させ、
流通阻止手段は、前記ブラックリスト格納手段に記憶されたファイルの流通を阻止する
請求項1から請求項4のうちのいずれか1項に記載の情報漏洩防止システム。 A black list storage means for storing information on files that prevent distribution;
The file determination means stores information on the distribution file determined to correspond to the detection target file in the black list storage means,
The information leakage prevention system according to any one of claims 1 to 4, wherein the distribution blocking unit blocks distribution of a file stored in the black list storage unit.
ブロック単位シグネチャ情報判定手段は、シグネチャ情報格納手段に記憶されたシグネチャ情報とブロックとが揺れ許容量の範囲内で一致するか否かを判定する
請求項1から請求項5のうちのいずれか1項に記載の情報漏洩防止システム。 A block acquisition means for extracting a block of a distribution file from a peer-to-peer network;
The block unit signature information determination unit determines whether or not the signature information stored in the signature information storage unit matches the block within a range of the allowable swing amount. Information leakage prevention system described in the section.
生成したシグネチャ情報をシグネチャ情報格納手段に記憶させ、
前記流通ファイルのブロックごとに、当該ブロックが前記シグネチャ情報格納手段に記憶されたシグネチャ情報と前記揺れ許容量の範囲内で一致するか否かを判定し、
前記ブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅をブロック単位判定結果格納手段に記憶させ、
シグネチャ情報におけるファイル断片情報の出現位置を調整する値であるオフセット率と、シグネチャ情報における揺れ許容量を減少させる値である揺れ許容量倍率のうちの少なくとも1つを含む情報をファイル断片情報の出現位置ごとに規定した情報であるブロック単位変更情報及び前記ブロック単位判定結果格納手段に記憶された揺れ幅に基づいて、シグネチャ情報を更新し、
流通ファイルのブロックごとに、更新された前記シグネチャ情報と当該ブロックとが前記揺れ許容量の範囲内で前記流通ファイルのブロックに一致するか否かを判定し、
シグネチャ情報と一致したブロックの数及び前記判定閾値に基づいて、前記流通ファイルが前記検出対象ファイルに相当するファイルか否かを判定し、
前記検出対象ファイルに相当するファイルと判定された流通ファイルの流通を阻止する ことを特徴とする情報漏洩防止方法。 The file fragment information that is a part of the detection target file, the appearance position of the file fragment information in the detection target file, and the distribution file that is a file for which it is determined whether the appearance position corresponds to the detection target file. A determination threshold value indicating a swing allowable amount indicating a swing width allowable amount with respect to a position where a block appears and a lower limit of the number of blocks to be matched with the file fragment information, which is a condition for determining that the distribution file is a detection target file. Generating the signature information according to the signature information acquisition information that is a rule that defines that the signature information in which the information including the detection target file is associated with the detection target file is generated,
Store the generated signature information in the signature information storage means,
For each block of the distribution file, it is determined whether the block matches the signature information stored in the signature information storage means within the range of the allowable shaking amount,
The fluctuation width when it is determined that the block and the signature information match is stored in the block unit determination result storage means,
Appearance of the file fragment information includes information including at least one of an offset rate that is a value for adjusting the appearance position of the file fragment information in the signature information and a shake allowance magnification that is a value for reducing the shake allowance in the signature information. Update the signature information based on the block unit change information which is information defined for each position and the fluctuation width stored in the block unit determination result storage means,
For each block of the distribution file, it is determined whether the updated signature information and the block match the block of the distribution file within the allowable swing amount,
Based on the number of blocks matching the signature information and the determination threshold, it is determined whether the distribution file is a file corresponding to the detection target file,
An information leakage prevention method, wherein distribution of a distribution file determined to be a file corresponding to the detection target file is blocked.
更新された出現位置から揺れ許容量の範囲内でファイル断片情報とブロックとが一致するか否かを判定する
請求項7記載の情報漏洩防止方法。 When updating the signature information, based on the fluctuation width stored in the block unit determination result storage means and the offset rate of the block unit change information, update the appearance position of the file fragment information to be compared with the block,
The information leakage prevention method according to claim 7, wherein it is determined whether or not the file fragment information matches the block within the range of the allowable shaking amount from the updated appearance position.
前記コンピュータに、
前記シグネチャ情報取得情報に従って前記検出対象ファイルのシグネチャ情報を生成し、当該シグネチャ情報を前記シグネチャ情報格納手段に記憶させるシグネチャ情報生成処理、
前記流通ファイルのブロックごとに、当該ブロックが前記シグネチャ情報格納手段に記憶されたシグネチャ情報と前記揺れ許容量の範囲内で一致するか否かを判定するブロック単位シグネチャ情報判定処理、
シグネチャ情報と一致したブロックの数及び前記判定閾値に基づいて、前記流通ファイルが前記検出対象ファイルに相当するファイルか否かを判定するファイル判定処理、
前記ファイル判定処理で検出対象ファイルと判定されたファイルの流通を阻止する流通阻止処理、および、
前記ブロック単位判定結果格納手段に記憶された揺れ幅及び前記ブロック単位変更情報に基づいて、シグネチャ情報を更新するブロック判定結果反映処理を実行させ、
前記ブロック単位シグネチャ情報判定処理で、前記ブロック判定結果反映処理で更新したシグネチャ情報とブロックとが一致するか否かを判定させ、当該ブロックとシグネチャ情報とが一致すると判定されたときの揺れ幅を前記ブロック単位判定結果格納手段に記憶させる
ことを特徴とする情報漏洩防止プログラム。 The file fragment information that is a part of the detection target file, the appearance position of the file fragment information in the detection target file, and the distribution file that is a file for which it is determined whether the appearance position corresponds to the detection target file. A determination threshold value indicating a swing allowable amount indicating a swing width allowable amount with respect to a position where a block appears and a lower limit of the number of blocks to be matched with the file fragment information, which is a condition for determining that the distribution file is a detection target file. And signature information storage means for storing signature information in which information including the information associated with the detection target file is stored, and signature information acquisition information that is a rule that stipulates that signature information is generated based on the detection target file Adjusting the appearance position of file fragment information in the signature information acquisition information storage means and the signature information Information including at least one of an offset rate, which is a value to be detected, and a shake allowance magnification, which is a value to reduce the shake allowance in the signature information, is a block unit change that is information specifying for each appearance position of file fragment information A computer comprising: block unit change information storage means for storing information; and block unit determination result storage means for storing a fluctuation width when it is determined that the block and signature information match for each block of the distribution file. An information leakage prevention program applied to
In the computer,
Generating signature information of the detection target file according to the signature information acquisition information, and storing the signature information in the signature information storage unit;
For each block of the distribution file, block unit signature information determination processing for determining whether or not the block matches the signature information stored in the signature information storage unit within the range of the allowable shaking amount,
A file determination process for determining whether or not the distribution file is a file corresponding to the detection target file based on the number of blocks matching the signature information and the determination threshold;
A distribution blocking process for blocking distribution of a file determined as a detection target file in the file determination process; and
Based on the swing width stored in the block unit determination result storage means and the block unit change information, to execute a block determination result reflection process to update the signature information,
In the block unit signature information determination process, it is determined whether or not the signature information updated in the block determination result reflection process and the block match, and the fluctuation width when it is determined that the block and the signature information match is determined. An information leakage prevention program which is stored in the block unit determination result storage means.
ブロック単位シグネチャ情報判定処理で、前記ブロック判定結果反映手段が更新した出現位置から揺れ許容量の範囲内でファイル断片情報とブロックとが一致するか否かを判定させる
請求項9記載の情報漏洩防止プログラム。 In the block determination result reflection process, based on the swing width stored in the block unit determination result storage means and the offset rate of the block unit change information, the appearance position of the file fragment information to be compared with the block is updated,
The information leakage prevention according to claim 9, wherein in block unit signature information determination processing, it is determined whether or not the file fragment information and the block match within the range of the allowable swing from the appearance position updated by the block determination result reflecting means. program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009288912A JP5471414B2 (en) | 2009-12-21 | 2009-12-21 | Information leakage prevention system, information leakage prevention method, and information leakage prevention program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009288912A JP5471414B2 (en) | 2009-12-21 | 2009-12-21 | Information leakage prevention system, information leakage prevention method, and information leakage prevention program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011129022A JP2011129022A (en) | 2011-06-30 |
JP5471414B2 true JP5471414B2 (en) | 2014-04-16 |
Family
ID=44291524
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009288912A Active JP5471414B2 (en) | 2009-12-21 | 2009-12-21 | Information leakage prevention system, information leakage prevention method, and information leakage prevention program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5471414B2 (en) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008140102A (en) * | 2006-12-01 | 2008-06-19 | Mitsubishi Electric Corp | Information processor, leak information determination method and program |
JP5110306B2 (en) * | 2007-12-05 | 2012-12-26 | 日本電気株式会社 | COMMUNICATION LIMIT SYSTEM, COMMUNICATION LIMIT DEVICE, COMMUNICATION LIMIT METHOD, AND COMMUNICATION LIMIT PROGRAM |
JP5094487B2 (en) * | 2008-03-17 | 2012-12-12 | 三菱電機株式会社 | Information leakage inspection apparatus, computer program, and information leakage inspection method |
-
2009
- 2009-12-21 JP JP2009288912A patent/JP5471414B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011129022A (en) | 2011-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107122221B (en) | Compiler for regular expressions | |
JP4554675B2 (en) | Communication control device and communication control system | |
US9514246B2 (en) | Anchored patterns | |
US8719939B2 (en) | Malware detection via reputation system | |
US20190222589A1 (en) | Method computing device for detecting malicious domain names in network traffic | |
JP5744892B2 (en) | Text filtering method and system | |
US8250016B2 (en) | Variable-stride stream segmentation and multi-pattern matching | |
WO2012095971A1 (en) | Classification rule generation device, classification rule generation method, classification rule generation program and recording medium | |
EP2715565B1 (en) | Dynamic rule reordering for message classification | |
TW201812634A (en) | Threat intelligence cloud | |
CN104899499A (en) | Internet image search based Web verification code generation method | |
US20090158434A1 (en) | Method of detecting virus infection of file | |
EP2489152B1 (en) | Pattern recognition using transition table templates | |
US9690873B2 (en) | System and method for bit-map based keyword spotting in communication traffic | |
JP5471415B2 (en) | Information leakage prevention system, information leakage prevention method, and information leakage prevention program | |
JP5471414B2 (en) | Information leakage prevention system, information leakage prevention method, and information leakage prevention program | |
Hajiali et al. | Preventing phishing attacks using text and image watermarking | |
JP2008250597A (en) | Computer system | |
KR101327865B1 (en) | Homepage infected with a malware detecting device and method | |
JP4146505B1 (en) | Determination apparatus and determination method | |
WO2020105308A1 (en) | Phishing site detection device, phishing site detection method and phishing site detection program | |
JP2004172891A (en) | Device, method and program for suppressing junk mail | |
US11528189B1 (en) | Network device identification and categorization using behavioral fingerprints | |
US11848944B1 (en) | Dynamic analysis for detecting harmful content | |
JP2006259997A (en) | Document management system, document management method, document management program, and recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121105 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131015 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A132 Effective date: 20131022 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140120 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5471414 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |