JP6213676B2 - 解析装置、解析方法、および、解析プログラム - Google Patents
解析装置、解析方法、および、解析プログラム Download PDFInfo
- Publication number
- JP6213676B2 JP6213676B2 JP2016529083A JP2016529083A JP6213676B2 JP 6213676 B2 JP6213676 B2 JP 6213676B2 JP 2016529083 A JP2016529083 A JP 2016529083A JP 2016529083 A JP2016529083 A JP 2016529083A JP 6213676 B2 JP6213676 B2 JP 6213676B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- storage
- analysis
- stored
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 336
- 238000000034 method Methods 0.000 claims description 143
- 238000012545 processing Methods 0.000 claims description 91
- 238000004364 calculation method Methods 0.000 claims description 69
- 238000007726 management method Methods 0.000 claims description 58
- 238000013507 mapping Methods 0.000 claims description 45
- 230000008569 process Effects 0.000 claims description 30
- 238000009825 accumulation Methods 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 18
- 230000010365 information processing Effects 0.000 claims description 17
- 238000005070 sampling Methods 0.000 claims description 13
- 239000000284 extract Substances 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 3
- 238000013500 data storage Methods 0.000 claims 1
- 230000006854 communication Effects 0.000 description 55
- 238000004891 communication Methods 0.000 description 53
- 238000012986 modification Methods 0.000 description 26
- 230000004048 modification Effects 0.000 description 26
- 230000005540 biological transmission Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 21
- 230000006870 function Effects 0.000 description 15
- 230000008859 change Effects 0.000 description 13
- 230000000694 effects Effects 0.000 description 13
- 238000012806 monitoring device Methods 0.000 description 10
- 239000000470 constituent Substances 0.000 description 6
- 238000012790 confirmation Methods 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 239000004065 semiconductor Substances 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000011835 investigation Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3037—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a memory, e.g. virtual memory, cache
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Description
ここで、特許文献1に開示された技術は、仮想デコイホストにおける攻撃者活動を調査するため、当該仮想デコイホストのメモリセグメントを調査する。しかしながら、特許文献1に開示された技術は、単にマルウェアの実行過程をトレースして調査するにすぎず、メモリ空間を再現する技術ではない。
以下、本発明の第1の実施形態について説明する。まず、図1及び図2を参照して、本実施形態における解析装置について説明する。図1は本実施形態における解析装置の機能的な構成を例示する、ブロック図である。また、図2は、本実施形態における解析装置を、任意の仮想化基盤を用いて構成された仮想化環境において、少なくとも一部にソフトウェア・プログラム(コンピュータ・プログラム)を用いて実現する場合の具体例を示す図である。なお、図1には、解析対象装置100の一部として解析装置104が設けられた構成が例示されているが、本実施形態はこの構成には限定されない。解析対象装置100と、解析装置104とは、図2に例示するように、個別の装置として実現してもよい。
また、当該演算部101を仮想的な演算装置として構成した場合、仮想化基盤が提供する機能や、仮想化基盤が提供するデータを介して、レジスタやMMU等に保持された値が入出力可能であってもよい。仮想化基盤が提供する機能は、例えば、特定のAPI(Application Programming Interface)等であってもよい。また、仮想化基盤が提供するデータは、例えば、仮想CPUのレジスタ値を保持するデータ等であってもよい。
上記処理を実現する具体的な方法は、演算部101の具体的な構成等に応じて周知の技術を適宜採用してよいので、詳細な説明は省略する。
ここで、本実施形態における解析対象装置100における演算処理の状態は、メモリ部102に記憶された記憶データ、及び、演算部101における状態保持データの少なくともいずれかを用いて表すことが可能である。採取対象データは、解析対象装置100における演算処理の状態を完全に再現可能なデータに限らず、演算処理の状態の一部を再現可能なデータを含む。
そして、ディスパッチャ105は、上記のようにして生成した採取対象データをデータマッパ106に送信してもよい。
次に、上記説明した第1の実施形態の第1の変形例について説明する。本変形例は、上記第1の実施形態における解析装置104に対して、図12に例示するように、マップジェネレータ1201が追加された点においてのみ相違し、その他は同様である。よって、以下、係る相違点についてのみ説明し、共通する構成についての説明は省略する。
次に、上記説明した第1の実施形態の第2の変形例について説明する。本変形例は、上記第1の実施形態に対して、解析対象装置100が複数台存在する点において異なる。これに伴い、本変形例においては、図13に例示するように、ディスパッチャ105、データマッパ106、及び、マップジェネレータ1201が、複数存在する。なお、複数存在するそれぞれの構成要素自体は、上記説明した第1の実施形態と同様としてよい。
次に、上述した第1の実施形態に係る解析装置を基本とする第2の実施形態について説明する。
次に、上記説明した第2の実施形態に対する変形例について説明する。本変形例は、上記第2の実施形態に対して、再現対象装置1600が複数台存在する点において異なる。本変形例におけるその他の構成は、上記第2の実施形態と同様としてよい。本変形例においては、図20に例示するように、プレーヤ1608が複数存在する。プレーヤ1608自体の構成は、上記第2の実施形態と同様としてよいので、詳細な説明は省略する。なお、図20においては、説明の為、図16に例示する解析装置1604の一部の構成要素が図示されていない。図20において図示されない構成要素は、図16に例示した構成要素と同様としてよいので、詳細な説明は省略する。
次に、本願発明の第3の実施形態について説明する。
次に、本願発明の第4の実施形態について説明する。
解析装置2204は、ディスパッチャ2205と、データマッパ2206と、データライタ2207と、第1のポリシ2208を保持する保持部と、第1の記憶装置2209とを備える。以下、それぞれの構成要素について説明する。
以下、上記説明した各実施形態を実現可能なハードウェア構成について説明する。
この出願は、2014年6月26日に出願された日本出願特願2014−131309を基礎とする優先権を主張し、その開示の全てをここに取り込む。
101 演算部
102 メモリ部
103 通信バス
104 解析装置
105 ディスパッチャ
106 データマッパ
106a マッピングデータ
107 データライタ
107a 採取ポリシ
108 記録管理部
109 高速リポジトリ
110 解析ストレージ
111 センサ
112 監視装置
200 VMM
1201 マップジェネレータ
1301 データライタ
1301a 採取ポリシ
1600 再現対象装置
1601 演算部
1602 メモリ部
1603 通信バス
1604 解析装置
1605 再現部
1607 再現指示部
1608 プレーヤ
1609 データリーダ
1701 再現装置
1801 ディスパッチャ
1802 データライタ
1803 記録管理部
2001 解析装置
2002 再現部
2003 データリーダ
2100 解析対象システム
2101 第1の処理部
2102 第2の処理部
2104 解析装置
2105 ディスパッチャ
2106 データマッパ
2107 データライタ
2108 採取ポリシ
2109 第1の記憶装置
2200 解析対象装置
2201 演算部
2202 メモリ部
2204 解析装置
2205 ディスパッチャ
2206 データマッパ
2207 データライタ
2208 第1のポリシ
2209 第1の記憶装置
2301 演算装置
2302 記憶装置
2303 不揮発性記憶装置
2304 外部記憶装置
2305 外部記憶媒体
2306 ネットワークインタフェース
2307 入出力インタフェース
Claims (23)
- 演算部と、当該演算部に通信可能に接続されたメモリ部とを用いて演算処理を実行する解析対象装置と通信可能に接続され、前記演算部と、前記メモリ部との間で送受信される対象であるデータに基づいて、前記解析対象装置における演算処理の状態の少なくとも一部を再現するためのデータである採取対象データを生成するディスパッチャと、
前記採取対象データに含まれる1以上の領域に対して、当該領域を識別するための情報であるタグ情報を付与するデータマッパと、
前記タグ情報を用いて前記採取対象データを所定の記憶容量を有する第1の記憶装置に保存する手順を規定する第1のポリシに基づいて、前記1以上の領域を、前記第1の記憶装置に保存するデータライタと、を備える解析装置。 - 前記採取対象データは、当該採取対象データの生成元となった前記データが取得された際の、前記演算部の演算状態を表すデータ、及び、前記メモリ部に記憶されているデータの少なくとも何れかを含む、請求項1に記載の解析装置。
- 前記データライタは、前記タグ情報と、当該タグ情報が付与された前記1以上の領域に含まれるデータである保存対象データと、記録タイミング情報との対応関係を示すデータである保存データを前記第1の記憶装置に保存し、
前記記録タイミング情報は、前記保存データの記録に関するタイミングを表す情報である、請求項1または請求項2に記載の解析装置。 - 前記第1のポリシには、1以上の前記タグ情報毎に、当該タグ情報が関連付けされた前記保存データが前記第1の記憶装置において保存される記憶領域を特定するための情報と、当該記憶領域に前記保存データを保存する保存方法を表す情報と、が設定され、
前記データライタは、当該第1のポリシに基づいて、前記保存データを前記第1の記憶装置に保存する、請求項3に記載の解析装置。 - 前記保存データの保存方法は、前記保存データが前記第1の記憶装置において保存される領域のうち、新たな前記保存データが保存される領域を特定可能な方法である、請求項4に記載の解析装置。
- 前記データマッパは、
前記採取対象データが分類された前記1以上の領域を特定するための情報と、当該領域を識別するための前記タグ情報との対応関係を示すデータであるマッピングデータに基づいて、
前記採取対象データに含まれる前記1以上の領域について、前記タグ情報を付与する、請求項3乃至請求項5のいずれかに記載の解析装置。 - 前記マッピングデータは、前記採取対象データに含まれる前記メモリ部に記憶されるデータである記憶データが前記メモリ部において記憶される領域に基づいて、当該採取対象データが分類された1以上の領域を特定するメモリ領域特定情報と、当該領域を識別するための前記タグ情報との対応関係を示すデータであり、
前記データマッパは、前記マッピングデータに基づいて、前記採取対象データに含まれる1以上の領域について前記タグ情報を付与する、請求項6に記載の解析装置。 - 前記解析対象装置のアーキテクチャを表す情報に基づいて、前記採取対象データに含まれる記憶データを複数の領域に分類し、
当該分類された複数の領域毎に、当該分類された領域を特定するための前記メモリ領域特定情報と、当該メモリ領域特定情報によって特定される領域を識別するための前記タグ情報との対応関係を示すデータである前記マッピングデータを生成するマップジェネレータを更に備える、請求項7に記載の解析装置。 - 前記第1の記憶装置よりも記憶容量が大きい記憶装置である第2の記憶装置を更に備え、
前記データライタは、前記第1の記憶装置に保存された前記保存データを前記第2の記憶装置に保存する手順を規定する第2のポリシに基づいて、前記第1の記憶装置に保存した前記保存データを、前記第2の記憶装置に保存する、請求項6乃至請求項8のいずれかに記載の解析装置。 - 前記第2のポリシには、
前記第1の記憶装置に保存された前記保存データを前記第2の記憶装置に保存するか否かを特定するための蓄積要否情報と、
少なくとも、前記第1の記憶装置に保存された前記保存データを前記第2の記憶装置に保存する契機を特定するための蓄積方法情報とが設定され、
前記データライタは、
前記第2のポリシに設定された前記蓄積要否情報に基づいて、前記第1の記憶装置に保存された前記保存データを前記第2の記憶装置に保存する必要があると判定した場合、
前記蓄積方法情報に基づいて特定の前記契機を検知することにより、前記第1の記憶装置に保存された前記保存データの少なくとも一部を、前記第2の記憶装置に保存する、請求項9に記載の解析装置。 - 前記データライタは、
前記第1の記憶装置に既に保存されている前記保存データを前記第1の記憶装置から削除する場合に、前記第1のポリシ又は前記第2のポリシに基づいて、当該削除される前記保存データを前記第2の記憶装置に保存するか否かを判定し、
当該判定の結果に基づいて、当該削除される前記保存データを前記第2の記憶装置に保存する、請求項9または請求項10に記載の解析装置。 - 前記第1の記憶装置に保存された前記保存データを前記第2の記憶装置に保存する要求を前記データライタに通知する記録管理手段を更に備え、
前記データライタは、前記記録管理手段から受け付けた前記要求に応じて、前記第1の記憶装置に保存された前記保存データを、前記第2の記憶装置に保存する、請求項9乃至請求項11のいずれかに記載の解析装置。 - 前記記録管理手段は、
前記解析対象装置における演算処理に影響を及ぼす可能性を有する所定の事象を検出するためのセンサと通信可能に接続され、
前記センサから通知された前記所定の事象に対する検出情報に基づいて、前記要求を前記データライタに通知する、請求項12に記載の解析装置。 - 前記解析対象装置が複数存在する場合において、
少なくとも前記解析対象装置の台数と同じ数の前記ディスパッチャと、少なくとも前記ディスパッチャと同じ数の前記データマッパと、を備え、
複数の前記解析装置のそれぞれに対して、相異なる前記ディスパッチャが通信可能に接続され、
相異なる前記データマッパが、それぞれ相異なる前記ディスパッチャにおいて生成された前記採取対象データに含まれる1以上の領域に対して、当該領域を識別するためのタグ情報を付与し、
前記第1のポリシには、1以上の前記タグ情報毎に、相異なる前記ディスパッチャを識別するための情報と、当該タグ情報が関連付けされた前記保存データが前記第1の記憶装置において保存される記憶領域を特定するための情報と、その情報により特定される記憶領域に前記保存データを保存する保存方法を表す情報と、が関連付けて設定され、
前記データライタは、前記第1のポリシに基づいて、前記採取対象データに含まれる前記1以上の領域を前記保存データとして前記第1の記憶装置に保存する、請求項6乃至請求項13のいずれかに記載の解析装置。 - 前記第1の記憶装置に保存された1以上の前記保存データを抽出し、
前記抽出した1以上の前記保存データのそれぞれについて、当該前記保存データに設定された前記タグ情報と、前記保存対象データとを抽出し、
前記マッピングデータを参照して、当該抽出した前記タグ情報に対応付けられた領域に、当該抽出した前記保存対象データを配置した再現用データを生成する
データリーダと、
演算部と、当該演算部に通信可能に接続されたメモリ部とを用いて演算処理を実行する再現対象装置に通信可能に接続され、
前記データリーダにおいて生成された前記再現用データに基づいて、
当該再現用データに前記解析対象装置における前記メモリ部に記憶されていたデータが含まれる場合には、当該データを前記再現対象装置におけるメモリ部に展開し、
当該再現用データに前記解析対象装置における前記演算部の演算状態を表すデータが含まれる場合には、当該演算状態を表すデータを前記再現対象装置における演算部に展開する、
プレーヤと、を更に備える請求項6乃至請求項14のいずれかに記載の解析装置。 - 前記データリーダは、前記第1の記憶装置を参照し、当該第1の記憶装置に保存された前記保存データのうち、当該保存データにおける前記記録タイミング情報に、同じタイミングを表す情報が設定された1以上の前記保存データを読み出す、請求項15に記載の解析装置。
- 前記プレーヤは、前記再現用データを、前記再現対象装置における演算部、または、前記再現対象装置におけるメモリ部に展開する際に、当該再現対象装置における演算部の処理速度を低減する、請求項16に記載の解析装置。
- 前記再現対象装置が複数存在する場合において、
複数の前記再現対象装置と同じ数の前記プレーヤを備え、
複数の前記再現対象装置に含まれるそれぞれの前記再現対象装置に対して、複数の前記プレーヤのうち相異なる前記プレーヤが通信可能に接続され、
複数の前記プレーヤが、それぞれ前記データリーダにおいて生成された前記再現用データに基づいて、
当該再現用データに前記解析対象装置における前記メモリ部に記憶されていたデータが含まれる場合には、当該データを、当該プレーヤが接続された前記再現対象装置におけるメモリ部に展開し、
当該再現用データに前記解析対象装置における前記演算部の演算状態を表すデータが含まれる場合には、当該演算状態を表すデータを、当該プレーヤが接続された前記再現対象装置における演算部に展開する、請求項15乃至請求項17のいずれかに記載の解析装置。 - 前記ディスパッチャは、設定されたサンプリング周期に基づいて、前記採取対象データを生成する、請求項1乃至請求項18のいずれかに記載の解析装置。
- 前記保存データの保存方法は、
前記保存データが前記第1の記憶装置において保存される領域に対する、新たな前記保存データの保存の可否を判定可能な方法である請求項4に記載の解析装置。 - 任意の処理を実行し、当該処理の状態を第1の状態情報として記憶する第1の処理部と、前記第1の処理部と通信可能に接続され、任意の処理を実行し、当該処理の状態を第2の状態情報として記憶する第2の処理部とを備える解析対象システムと通信可能に接続され、前記第1の処理部と、前記第2の処理部との間で送受信される対象であるデータを取得し、当該取得したデータに基づいて、前記第1の状態情報、及び、前記第2の状態情報の少なくともいずれかを再現することにより前記解析対象システムの状態を再現するための採取対象データを生成するディスパッチャと
前記採取対象データに含まれる1以上の領域に対して、当該領域を識別するためのタグ情報を付与するデータマッパと、
前記タグ情報を用いて前記採取対象データを所定の記憶容量を有する第1の記憶装置に保存する手順を規定した第1のポリシに基づいて、前記1以上の領域を、前記第1の記憶装置に保存するデータライタと、を備える、解析装置。 - 情報処理装置が、
演算部と当該演算部に通信可能に接続されたメモリ部とを用いて演算処理を実行する解析対象装置における前記演算部と、前記メモリ部との間で送受信される対象であるデータに基づいて、前記解析対象装置における演算処理の状態の少なくとも一部を再現するためのデータである採取対象データを生成し、
前記採取対象データに含まれる1以上の領域について、当該領域を識別するためのタグ情報を付与し、
前記タグ情報を用いて前記採取対象データを所定の記憶容量を有する記憶装置である第1の記憶装置に保存する手順を規定する第1のポリシに基づいて、前記1以上の領域を、前記第1の記憶装置に保存する、解析方法。 - 演算部と、当該演算部に通信可能に接続されたメモリ部とを用いて演算処理を実行する解析対象装置における演算処理の状態を解析するコンピュータに、
前記解析対象装置における前記演算部と、前記メモリ部との間で送受信される対象であるデータに基づいて前記解析対象装置における演算処理の状態の少なくとも一部を再現するためのデータである採取対象データを生成する処理と、
前記採取対象データに含まれる1以上の領域について、当該領域を識別するためのタグ情報を付与する処理と、
前記タグ情報を用いて前記採取対象データを所定の記憶容量を有する記憶装置である第1の記憶装置に保存する手順を規定する第1のポリシに基づいて、前記1以上の領域を、前記第1の記憶装置に保存する処理と、を実行させるコンピュータ・プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014131309 | 2014-06-26 | ||
JP2014131309 | 2014-06-26 | ||
PCT/JP2015/003179 WO2015198600A1 (ja) | 2014-06-26 | 2015-06-24 | 解析装置、解析方法、および、解析プログラムが記録された記憶媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2015198600A1 JPWO2015198600A1 (ja) | 2017-05-25 |
JP6213676B2 true JP6213676B2 (ja) | 2017-10-18 |
Family
ID=54937707
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016529083A Active JP6213676B2 (ja) | 2014-06-26 | 2015-06-24 | 解析装置、解析方法、および、解析プログラム |
Country Status (5)
Country | Link |
---|---|
US (2) | US10528730B2 (ja) |
EP (2) | EP3163449B1 (ja) |
JP (1) | JP6213676B2 (ja) |
SG (1) | SG11201610809YA (ja) |
WO (1) | WO2015198600A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101997695B1 (ko) * | 2017-08-21 | 2019-07-09 | 국방과학연구소 | 라이브 포렌식 기반 공격 탐지 장치 및 방법 |
US20190362075A1 (en) * | 2018-05-22 | 2019-11-28 | Fortinet, Inc. | Preventing users from accessing infected files by using multiple file storage repositories and a secure data transfer agent logically interposed therebetween |
US11036856B2 (en) | 2018-09-16 | 2021-06-15 | Fortinet, Inc. | Natively mounting storage for inspection and sandboxing in the cloud |
US11086991B2 (en) * | 2019-08-07 | 2021-08-10 | Advanced New Technologies Co., Ltd. | Method and system for active risk control based on intelligent interaction |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS63298542A (ja) * | 1987-05-29 | 1988-12-06 | Nec Corp | システム異常終了時の解析情報収集方式 |
JPH01320547A (ja) * | 1988-06-22 | 1989-12-26 | Nec Corp | プログラム実行情報の収集方式 |
JPH04346139A (ja) * | 1991-05-24 | 1992-12-02 | Nec Corp | メモリダンプ方式 |
JPH076061A (ja) | 1993-06-21 | 1995-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 計算機の動作解析装置 |
US5915262A (en) * | 1996-07-22 | 1999-06-22 | Advanced Micro Devices, Inc. | Cache system and method using tagged cache lines for matching cache strategy to I/O application |
JP2006178521A (ja) | 2004-12-20 | 2006-07-06 | Ubic:Kk | デジタル・フォレンジックの方法及びフォレンジックitセキュリティシステム |
JP4699893B2 (ja) | 2005-12-19 | 2011-06-15 | 三菱スペース・ソフトウエア株式会社 | パケット解析システム、パケット解析プログラム、パケット解析方法及びパケット取得装置 |
US20140373144A9 (en) | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
JP2008191796A (ja) | 2007-02-02 | 2008-08-21 | Mitsubishi Electric Corp | 解析装置及び解析方法及びプログラム |
US7693877B1 (en) * | 2007-03-23 | 2010-04-06 | Network Appliance, Inc. | Automated information lifecycle management system for network data storage |
US20100125554A1 (en) | 2008-11-18 | 2010-05-20 | Unisys Corporation | Memory Recovery Across Reboots of an Emulated Operating System |
US9232462B2 (en) | 2009-10-15 | 2016-01-05 | Qualcomm Incorporated | Methods and apparatus for cross-cell coordination and signaling |
US8307434B2 (en) * | 2010-01-27 | 2012-11-06 | Mcafee, Inc. | Method and system for discrete stateful behavioral analysis |
AU2011293160B2 (en) * | 2010-08-26 | 2015-04-09 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
US8683592B1 (en) * | 2011-12-30 | 2014-03-25 | Emc Corporation | Associating network and storage activities for forensic analysis |
US20140181975A1 (en) * | 2012-11-06 | 2014-06-26 | William Spernow | Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point |
US20140244699A1 (en) * | 2013-02-26 | 2014-08-28 | Jonathan Grier | Apparatus and Methods for Selective Location and Duplication of Relevant Data |
-
2015
- 2015-06-24 EP EP15811550.1A patent/EP3163449B1/en active Active
- 2015-06-24 US US15/319,431 patent/US10528730B2/en active Active
- 2015-06-24 EP EP20184150.9A patent/EP3761181A1/en active Pending
- 2015-06-24 WO PCT/JP2015/003179 patent/WO2015198600A1/ja active Application Filing
- 2015-06-24 SG SG11201610809YA patent/SG11201610809YA/en unknown
- 2015-06-24 JP JP2016529083A patent/JP6213676B2/ja active Active
-
2019
- 2019-11-13 US US16/682,068 patent/US11436325B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11436325B2 (en) | 2022-09-06 |
EP3163449B1 (en) | 2020-07-22 |
US20170147817A1 (en) | 2017-05-25 |
SG11201610809YA (en) | 2017-01-27 |
EP3163449A1 (en) | 2017-05-03 |
EP3163449A4 (en) | 2018-04-04 |
EP3761181A1 (en) | 2021-01-06 |
US20200143050A1 (en) | 2020-05-07 |
US10528730B2 (en) | 2020-01-07 |
WO2015198600A1 (ja) | 2015-12-30 |
JPWO2015198600A1 (ja) | 2017-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ji et al. | Rain: Refinable attack investigation with on-demand inter-process information flow tracking | |
Pohly et al. | Hi-fi: collecting high-fidelity whole-system provenance | |
Ji et al. | Enabling refinable {Cross-Host} attack investigation with efficient data flow tagging and tracking | |
US11436325B2 (en) | Analysis device, analysis method, and storage medium in which analysis program is recorded | |
US8621282B1 (en) | Crash data handling | |
Viennot et al. | Transparent mutable replay for multicore debugging and patch validation | |
CN111522703A (zh) | 监控访问请求的方法、设备和计算机程序产品 | |
US10466924B1 (en) | Systems and methods for generating memory images of computing devices | |
CN114518985B (zh) | 存储系统命令的故障指示 | |
US10114947B1 (en) | Systems and methods for logging processes within containers | |
Elkhail et al. | Seamlessly safeguarding data against ransomware attacks | |
US10216562B2 (en) | Generating diagnostic data | |
Choi et al. | Cloud-BlackBox: Toward practical recording and tracking of VM swarms for multifaceted cloud inspection | |
US8171345B2 (en) | Disablement of an exception generating operation of a client system | |
CN114978963B (zh) | 一种网络系统监控分析方法、装置、电子设备及存储介质 | |
US11507656B2 (en) | Ransomware detection and remediation | |
Oliveira et al. | A cloud-native monitoring and analytics framework | |
Han et al. | Forensic analysis of the Windows telemetry for diagnostics | |
Goel et al. | Reconstructing system state for intrusion analysis | |
US12093414B1 (en) | Efficient detection of in-memory data accesses and context information | |
Bharkad et al. | Optimizing root cause analysis time using smart logging framework for unix and gnu/linux based operating system | |
US20240211375A1 (en) | Payload data removal from execution traces | |
Zhang et al. | Peda: comprehensive damage assessment for production environment server systems | |
Reddy et al. | Windows forensics | |
Ming et al. | Towards ground truthing observations in gray-box anomaly detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161215 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A527 Effective date: 20161215 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161215 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170822 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170904 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6213676 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |