JP6254414B2 - Information processing apparatus, information processing system, and information processing method - Google Patents
Information processing apparatus, information processing system, and information processing method Download PDFInfo
- Publication number
- JP6254414B2 JP6254414B2 JP2013211423A JP2013211423A JP6254414B2 JP 6254414 B2 JP6254414 B2 JP 6254414B2 JP 2013211423 A JP2013211423 A JP 2013211423A JP 2013211423 A JP2013211423 A JP 2013211423A JP 6254414 B2 JP6254414 B2 JP 6254414B2
- Authority
- JP
- Japan
- Prior art keywords
- program
- list
- information processing
- information
- registered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 34
- 238000003672 processing method Methods 0.000 title claims 3
- 230000004913 activation Effects 0.000 claims description 24
- 238000001514 detection method Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 20
- 230000008859 change Effects 0.000 claims description 10
- 238000000034 method Methods 0.000 description 43
- 230000008569 process Effects 0.000 description 31
- 230000006870 function Effects 0.000 description 11
- 230000001960 triggered effect Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 210000000707 wrist Anatomy 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
Description
本発明は、プログラムの起動可否を制御する情報処理に関する。 The present invention relates to information processing for controlling whether or not a program can be started.
近年、企業に対するサイバー攻撃の新しい形態として、企業内の特定の社員が使用または所有するコンピュータを標的にし、そのコンピュータにマルウェアを感染させ、企業内の情報を盗み出す、標的型攻撃という手法が増えている。 In recent years, as a new form of cyber attack on companies, there has been an increasing number of methods called targeted attacks that target computers that are used or owned by specific employees in the company, infect them with malware, and steal information within the company. Yes.
従来のアンチウィルスソフトなどは、ブラックリスト方式によるウィルス定義ファイルを用いる。しかし、コンピュータウィルスを含むマルウェアの種類は日に万単位で増加している。そのため、ウィルス定義ソフトの更新は、マルウェアの急増に追いつかない状況にあり、従来のアンチウィルスソフトによる標的型攻撃への対処は難しい状況にある。 Conventional anti-virus software uses a virus definition file based on a black list method. However, the number of types of malware, including computer viruses, is increasing in the thousands. For this reason, virus definition software updates cannot keep up with the rapid increase in malware, and it is difficult to deal with targeted attacks using conventional antivirus software.
一方、既知のプログラムの実行を許可し、それ以外のプログラムの実行を制限する、いわゆるホワイトリスト型の制御方式を用いる標的型攻撃への対処が存在する(例えば、特許文献1)。ホワイトリスト型の制御方式を用いるコンピュータのプログラムをアップデートする場合、当該アップデート用のアップデータをホワイトリストに登録すればよい。 On the other hand, there is a countermeasure against a target-type attack using a so-called white list type control method that permits execution of a known program and restricts execution of other programs (for example, Patent Document 1). When updating a computer program using a white list type control method, the update updater may be registered in the white list.
しかし、アップデータは、通常、別の実行ファイルを複数生成することが多い。従って、アップデータをホワイトリストに登録したとしても、アップデータが生成する実行ファイルはホワイトリストに登録されない。その結果、アップデータが生成した実行ファイルがコンピュータにインストールされてアップデートが完了したとしても、それら実行ファイルを起動することができず、アップデート後のプログラムが正常に動作しない場合がある。 However, the updater usually generates a plurality of different executable files. Therefore, even if the updater is registered in the white list, the execution file generated by the updater is not registered in the white list. As a result, even if the executable file generated by the updater is installed in the computer and the update is completed, the executable file cannot be started, and the updated program may not operate normally.
従来、システム管理者などは、アップデータが生成する実行ファイルを抽出し、当該実行ファイルをホワイトリストに登録する作業を行っていた。この方法によれば、アップデータが信頼できるか否かの判断だけでなく、実行ファイルを抽出しホワイトリストを更新する負担が大きい作業が必要になる。 Conventionally, a system administrator or the like has performed an operation of extracting an executable file generated by the updater and registering the executable file in a white list. According to this method, it is necessary not only to determine whether the updater is reliable, but also to perform an operation with a large burden of extracting the executable file and updating the white list.
本発明は、リスト型の制御方式を用いる場合の、リストの更新にかかる作業を軽減することを目的とする。 An object of the present invention is to reduce the work for updating a list when a list-type control method is used.
本発明は、前記の目的を達成する一手段として、以下の構成を備える。 The present invention has the following configuration as one means for achieving the above object.
本発明にかかる情報処理装置は、プログラムの起動およびプログラムの生成または変更の検知、もしくは、プログラムの検索を行う検知手段と、プログラムを識別する識別手段と、実行が許可されたプログラムのリストであるホワイトリスト、および実行が禁止されたプログラムのリストであるブラックリストのうち一方のリストにプログラムを登録する登録手段とを有し、前記識別手段は、前記検知手段によって起動が検知されたプログラムまたは前記検知手段の検索によって検出されたプログラムのプログラム情報に基づき、前記プログラムがプログラム情報に関する所定の基準を満たすか否かを判定し、前記登録手段は、前記所定の基準を満たすと判定されたプログラムを前記一方のリストに登録し、前記登録手段は、前記所定の基準を満たすと判定されたプログラムに昇格権限を付与するために、前記プログラムと前記昇格権限の対応を前記一方のリストに登録し、前記検知手段によって前記昇格権限が付与されたプログラムによる子プログラムの生成または変更が検知された場合、前記登録手段は、前記子プログラムを前記一方のリストに登録することを特徴とする。 An information processing apparatus according to the present invention is a list of detection means for detecting program startup and program generation or change, or program search, identification means for identifying a program, and a program that is permitted to be executed. A registration unit that registers a program in one of a white list and a black list that is a list of programs that are prohibited from being executed, and the identification unit includes the program whose activation is detected by the detection unit or the Based on the program information of the program detected by the search of the detection means, it is determined whether or not the program satisfies a predetermined criterion regarding the program information, and the registration means determines the program determined to satisfy the predetermined criterion registered in the list of the one, the registration means, the predetermined reference In order to give a promotion authority to a program determined to satisfy, the correspondence between the program and the promotion authority is registered in the one list, and the generation of a child program by the program to which the promotion authority is given by the detection means or When a change is detected, the registration means registers the child program in the one list .
本発明によれば、リスト型の制御方式を用いる場合の、リストの更新にかかる作業を軽減することができる。 According to the present invention, it is possible to reduce work for updating a list when a list-type control method is used.
以下、本発明にかかる実施例の情報処理システムの情報処理を図面を参照して詳細に説明する。 Hereinafter, information processing of an information processing system according to an embodiment of the present invention will be described in detail with reference to the drawings.
[システムの構成]
図1のブロックによりホワイトリスト制御システムの構成例を示す。ホワイトリスト制御システムは、情報処理装置と、情報処理装置を管理するサーバ装置を含む。
[System configuration]
An example of the configuration of the whitelist control system is shown by the blocks in FIG. The white list control system includes an information processing device and a server device that manages the information processing device.
図1において、クライアントコンピュータ(以下、クライアント)10は、ホワイトリスト制御システムにおける情報処理装置である。クライアント10は、例えば、企業、学校、行政機関または家庭などに設置されたパーソナルコンピュータ(PC)や、個人が使用または所有するタブレット端末やスマートフォンなどのコンピュータ機器である。
In FIG. 1, a client computer (hereinafter referred to as a client) 10 is an information processing apparatus in a white list control system. The
サーバコンピュータ(以下、サーバ)20は、ホワイトリスト制御システムにおける情報処理装置を管理するサーバ装置である。サーバ20は、複数のクライアント10からホワイトリスト120の情報を取得してデータベース化したり、定期的にクライアント10にホワイトリストデータを送信してホワイトリスト120の更新を行う。
A server computer (hereinafter referred to as a server) 20 is a server device that manages an information processing device in the whitelist control system. The
ネットワーク300は、インターネットやイントラネットなどのコンピュータネットワークである。クライアント10は、ネットワーク300を介して、サーバ20や、図示しないウェブサーバやFTPサーバなどと接続する。
The
なお、簡潔化のため図1にはクライアント10とサーバ20を一台ずつ示すが、実際には、ホワイトリスト制御システムに複数のクライアントや複数のサーバが存在することができる。
For simplification, FIG. 1 shows one
●クライアント
クライアント10において、演算装置10Cはマイクロプロセッサ(CPU)である。演算装置10Cは、メモリ10EのROMに格納されたBIOSなどのブートプログラムに従い記憶装置10Bに格納されたオペレーティングシステム(OS)を起動し、さらにOSに従い各種の常駐プログラム(例えば制御プログラム113など)を起動する。その際、演算装置10Cは、メモリ10EのRAMをワークエリアとして使用する。また、OSは例えばWindows(登録商標)、Mac OS(登録商標)、Linux(登録商標)、iOS(商標)、Android(商標)などである。
Client In the
記憶装置10Bは、ハードディスクドライブ(HDD)やソリッドステートドライブ(SSD)などであり、OSのほかにクライアント10上で稼働する各種のプログラム100やデータ101を格納する。詳細は後述するが、記憶装置10Bが格納する各種プログラム100には識別プログラム110、登録プログラム111、検知プログラム112、制御プログラム113、ファイル検索ツール114などが含まれる。
The
なお、プログラム100は、識別プログラム110など各種機能ごとのプログラムを複数備えてもよいし、各種機能を備えた一つのプログラムでもよい。また、詳細は後述するが、記憶装置10Bが格納する各種データ101にはホワイトリスト120、昇格基準ルール130、ブラックリスト140などが含まれる。
Note that the
I/Oデバイス10Aは、ポインティングデバイス(マウスなど)やキーボードに接続するための入出力インタフェース(I/F)、または、タッチパネルを組み込んだディスプレイなどである。なお、キーボードはソフトウェアキーボードでもよい。また、I/Oデバイス10Aは、入力された操作者の音声を音声認識機能によって認識し、認識した音声を演算装置10Cへ伝達する、マイク等を含む音声式入力部でもよい。また、I/Oデバイス10Aは、情報を表示するためのユーザインタフェース(UI)としても機能する。
The I /
ネットワークI/F 10Dは、ネットワーク300とのインタフェースであり、他のコンピュータと通信するための通信回路である。演算装置10Cは、ネットワークI/F 10Dを介して、例えばホワイトリスト120の一部データなどの情報をサーバ20から受信し、また、各種情報をサーバ20に送信する。
The network I / F 10D is an interface with the
●サーバ
サーバ20において、演算装置20Cはマイクロプロセッサ(CPU)である。演算装置20Cは、メモリ20EのROMに格納されたBIOSなどのブートプログラムに従い記憶装置20Bに格納されたOSを起動する。さらに、演算装置20Cは、記憶装置20Bから管理コンソール210をメモリ20EのRAMにロードする。そして、複数のクライアント10から情報(例えば、ホワイトリスト120の情報など)を取得してデータベース化したり、逆に、クライアント10に対して情報を送信してホワイトリスト120の更新などを行う。
Server In the
記憶装置20Bは、HDDやSSDなどであり、OSのほかにサーバ20上で稼働する管理コンソール210を含む各種のプログラム200やデータ201を格納する。詳細は後述するが、記憶装置10Bが格納する各種データ201にはホワイトリストマスタ220、昇格基準ルール230、ブラックリストマスタ240、ホワイトリスト候補250などが含まれる。
The
I/Oデバイス20Aは、ポインティングデバイス(マウスなど)、キーボード、モニタに接続するためのインタフェース(I/F)であり、モニタは情報を表示するためのUIとして機能する。ネットワークI/F 20Dは、ネットワーク300とのインタフェースであり、クライアント10など他のコンピュータと通信するための通信回路である。
The I /
演算装置20Cは、ネットワークI/F 20Dを介して、複数のクライアント10からホワイトリスト120やブラックリスト140に関する情報を受信し、受信した情報に基づき、ホワイトリストマスタ220やブラックリストマスタ250を管理する。
The
ホワイトリスト制御システムにおいて、サーバ20は必須の構成ではない。図2のブロック図によりサーバ20が存在しないホワイトリスト制御システムの構成例を示す。図2の構成においては、クライアント10とサーバ20の通信は不要になるため、ネットワーク300およびネットワークI/F 10Dもオプションである。
In the white list control system, the
また、ホワイトリスト制御システムはシンクライアント(例えば、ターミナルサービスなど)を利用した構成としてもよい。シンクライアントは、クライアントがサーバにリモート接続し、サーバ上に生成された仮想デスクトップ環境を利用してサーバ上でアプリケーションプログラムを実行できるようにするシステムである。 The white list control system may be configured using a thin client (for example, a terminal service). A thin client is a system that allows a client to remotely connect to a server and execute an application program on the server using a virtual desktop environment generated on the server.
[プログラムおよびデータ]
識別プログラム110は、演算装置10Cによって実行され、別途起動されるプログラムからファイル名(プログラム名)、ハッシュ値、バージョン情報、ファイルサイズ、ファイルパス、ディジタル署名などの情報(以下、プログラム情報)を取得する。そして、取得したプログラム情報に基づき当該プログラムを識別する識別機能を有する。また、識別プログラム110は、取得したプログラム情報と後述する昇格基準ルール130を照会して、当該プログラムが昇格基準を満たすか否かを判定する。
[Programs and data]
The identification program 110 is executed by the
ホワイトリスト120は、実行してもよいプログラムに関する情報をリスト化したものである。ホワイトリスト120を構成する情報には、識別プログラム110によって取得されたプログラム情報が用いられる。
The
図3によりホワイトリスト120の一例を示す。ホワイトリスト120は、各プログラムについて、プログラム名、ハッシュ値、バージョン情報、ファイルサイズ、後述する昇格権限フラグの四種類の情報を保持する。なお、図3は一例であり、ホワイトリスト120として保持する情報の種類と数は図3に限定されるものではない。
An example of the
ホワイトリストマスタ220は、複数のホワイトリスト120をリスト化したものである。図4によりサーバ20に存在するホワイトリストマスタ220の一例を示す。ホワイトリストマスタ220は、複数のクライアントのホワイトリスト120に関連する情報をクライアントの名称や符号に対応付けて保持する。図4の例では、クライアントPC003に対応するホワイトリスト003として、複数のプログラムのプロセス名、ハッシュ値、登録日時、最終起動日時が保持された例を示す。なお、図4は一例であり、ホワイトリストマスタ220として保持する情報の種類と数は図4に限定されるものではない。
The
検知プログラム112は、演算装置10Cによって実行され、プログラムの起動と、起動されたプログラムによる別のプログラムの生成を監視する監視機能と、それらを検知する検知機能を有する。
The detection program 112 is executed by the
登録プログラム111は、演算装置10Cによって実行され、検知プログラム112に起動や生成が検知されたプログラムの、識別プログラム110が取得したプログラム情報に基づき、当該プログラムをホワイトリスト120に登録する登録機能を有する。
The registration program 111 has a registration function for registering the program in the
制御プログラム113は、演算装置10Cによって実行され、クライアント10上で起動されようとするプログラムの起動を許可または禁止(阻止)する起動可否の制御機能を有する。
The control program 113 is executed by the
昇格基準ルール130は、プログラムやファイルが、信頼できる発行者によって発行されたものか否かを判断するためのルールである。昇格基準ルール130は、プログラム情報を元に、管理者やユーザなどが定義したルールである。ルールには、例えば、プログラムやファイルに付加されたディジタル署名、ディジタル証明書が正当か否かの検証、ファイルの署名者名が予め記憶された名前か否かの判定、ファイル名が指定条件を満たすか否かの判定などがある。 The promotion standard rule 130 is a rule for determining whether a program or file is issued by a reliable issuer. The promotion standard rule 130 is a rule defined by an administrator or a user based on program information. Rules include, for example, digital signatures attached to programs and files, verification of whether a digital certificate is valid, determination of whether or not a file signer name is a pre-stored name, For example, whether or not it is satisfied.
また、昇格基準ルール130として適用するルールの種類や数は、前記の具体例に限定されるものではない。例えば「ディジタル署名やディジタル証明書が正当であり、かつ、ファイル名に"Setup"または"Update"という文字が含まれている」という複数の組み合わせのルールを適用することもできる。この場合「画像ビューワ(Viewer.exe)の脆弱性を突いてマルウェアを生成させるマルウェア」が動作したとき、画像ビューワのディジタル署名が正当でも、そのファイル名に前記の文字列が含まれない。その結果、画像ビューワの脆弱性を突く攻撃を防ぐ効果が得られる。 Further, the type and number of rules applied as the promotion standard rule 130 are not limited to the above specific examples. For example, a plurality of combinations of rules such as “a digital signature or a digital certificate is valid and a file name includes characters“ Setup ”or“ Update ”” can be applied. In this case, when “malware that generates malware by exploiting the vulnerability of the image viewer (Viewer.exe)” operates, even if the digital signature of the image viewer is valid, the character string is not included in the file name. As a result, an effect of preventing an attack that exploits the vulnerability of the image viewer can be obtained.
ブラックリスト140は、起動・実行が禁止されたプログラムをリスト化したものである。ブラックリスト140のデータ構造は、図3に示すホワイトリスト120と略同一である。また、ブラックリスト140は必須ではなく、クライアント10上に存在しなくてもよいし、ブラックリスト140を使用しない場合はサーバ20のブラックリストマスタ240も必須ではない。
The black list 140 is a list of programs that are prohibited from starting and executing. The data structure of the black list 140 is substantially the same as the
[ホワイトリスト制御処理]
●処理の概要
検知プログラム112は、グローバルフック(APIフック、フィルタドライバ)などを用いて、クライアント10におけるプログラムの起動を検知し、プログラムの起動を検知すると識別プログラム110を呼び出す。識別プログラム110は、起動されるプログラムのプログラム情報を取得して、当該プログラムが昇格基準ルール130を満たすか否かを検証する。
[White list control processing]
Processing Overview The detection program 112 detects the activation of the program in the
検証の結果、当該プログラムが昇格基準ルール130を満たすと判断された場合、制御プログラム113は、当該プログラムの起動を許可し、登録プログラム111を呼び出す。登録プログラム111は、識別プログラム110から当該プログラムのプログラム情報を受け取り、当該プログラムをホワイトリスト120に登録する。
As a result of the verification, when it is determined that the program satisfies the promotion standard rule 130, the control program 113 permits the program to be activated and calls the registration program 111. The registration program 111 receives the program information of the program from the identification program 110 and registers the program in the
なお、起動されるプログラムが昇格基準ルール130を満たすとしても、当該プログラムがブラックリスト140に登録されている場合、制御プログラム113は登録プログラム111に当該プログラムの登録を実行させない。つまり、当該プログラムの起動・実行の禁止が維持される。 Even if the activated program satisfies the promotion standard rule 130, if the program is registered in the black list 140, the control program 113 does not cause the registration program 111 to register the program. That is, the prohibition of starting and executing the program is maintained.
次に、登録プログラム111は、ホワイトリスト120に登録したプログラムに「昇格権限」を与える。昇格権限の有無は、例えば、ホワイトリスト120の昇格権限フラグに設定する。あるいは、ホワイトリスト120に対応するテーブルを記憶装置10Bに格納し、当該テーブルの各レコードに昇格権限の有無を登録してもよい。昇格権限は、以下のように定義される権限である。
Next, the registration program 111 gives “elevation authority” to the program registered in the
昇格権限を有するプログラム(親プログラム)が何らかのプログラム(子プログラム)を生成した場合、子プログラムは無条件にホワイトリスト120に登録される。そして、親プログラムが子プログラムを起動した場合、子プログラムにも昇格権限が与えられる。この昇格権限に関する登録処理を、図1に示す構成が行う場合、以下のような処理になる。
When a program having a promotion authority (parent program) generates some program (child program), the child program is unconditionally registered in the
検知プログラム112は、親プログラムの挙動をグローバルフックなどを用いて監視する。検知プログラム112は、親プログラムによる子プログラムの生成を検知すると、識別プログラム110に子プログラムのプログラム情報を取得させる。識別プログラム110は、取得したプログラム情報を登録プログラム111に渡す。登録プログラム111は、受け取ったプログラム情報に基づきホワイトリスト120に追加するレコードのデータを作成し、作成したデータをホワイトリスト120に追加する。
The detection program 112 monitors the behavior of the parent program using a global hook or the like. When detecting the generation of the child program by the parent program, the detection program 112 causes the identification program 110 to acquire the program information of the child program. The identification program 110 passes the acquired program information to the registration program 111. The registration program 111 creates record data to be added to the
このとき、次の方式の採用も可能である。つまり、検知プログラム112は、子プログラムの生成を検知すると、生成されたファイルを解析し、生成されたファイルに関する情報をホワイトリストへ登録する必要の有無を判断する。そして、登録不要と判断した場合、識別プログラム110によるプログラム情報の取得を行わずに以降の処理を打ち切る。登録不要と判断される場合は、例えば、生成されたファイルのバイナリヘッダを解析し、その構成がPE (Portable Executable)形式ではなく、実行ファイルではないと判断することができる場合などである。 At this time, it is possible to adopt the following method. In other words, when detecting the generation of the child program, the detection program 112 analyzes the generated file and determines whether or not information related to the generated file needs to be registered in the white list. When it is determined that registration is not necessary, the subsequent processing is terminated without acquiring the program information by the identification program 110. The case where it is determined that the registration is unnecessary is, for example, the case where the binary header of the generated file is analyzed and the configuration is not PE (Portable Executable) format and it can be determined that the file is not an executable file.
次に、検知プログラム112は、親プログラムによる子プログラムの起動を監視する。検知プログラム112は、親プログラムによる子プログラムの起動を検知すると、登録プログラム111を呼び出す。呼び出された登録プログラム111は、子プログラムの昇格権限フラグに「有」を設定する。また、制御プログラム113は、子プログラムの起動を許可する。 Next, the detection program 112 monitors the start of the child program by the parent program. When the detection program 112 detects the start of the child program by the parent program, the detection program 112 calls the registration program 111. The called registration program 111 sets “Yes” in the promotion authority flag of the child program. In addition, the control program 113 allows the child program to be activated.
昇格権限を利用すれば、例えばソフトウェアのセキュリティパッチなど、子プログラムを生成する挙動を有するプログラムが生成したプログラムを自動的にホワイトリスト120に追加することができる。言い換えれば、生成される子プログラムをホワイトリスト120に登録する、ホワイトリストの更新にかかる作業を軽減することができる。
If the promotion authority is used, a program generated by a program having a behavior of generating a child program such as a software security patch can be automatically added to the
なお、昇格権限に関する処理は、親プログラムから子プログラムを生成した場合に限らず、親プログラムに対する変更(例えば、リネーム)、または、子プログラムに対する変更の場合でも可能である。 Note that the processing related to the promotion authority is not limited to the case where the child program is generated from the parent program, but can be performed even when the parent program is changed (for example, renamed) or the child program is changed.
また、昇格基準ルール130に「プログラムに正当なディジタル署名が付加されているかを判定する」を適用する。こうすれば、信頼できる発行元が発行したプログラムであり、マルウェアのような悪意のあるプログラムではないことを操作者の意識を介さずに判断可能である。なお、正当なディジタル署名が付加されているか否かは、例えばWindows(登録商標)アプリケーションプログラミングインタフェース(API)などを用いる方法などがある。 Further, “determining whether a valid digital signature is added to the program” is applied to the promotion standard rule 130. By doing so, it is possible to determine that the program is issued by a reliable publisher and is not a malicious program such as malware without the operator's awareness. Note that whether or not a valid digital signature is added includes, for example, a method using a Windows (registered trademark) application programming interface (API) or the like.
また、昇格基準ルール130を満たさないプログラムと判断された場合、制御プログラム113は一般的なホワイトリスト制御を行う。つまり、識別プログラム110は、当該プログラムが昇格基準ルール130を満たさないと判断すると、当該プログラムがホワイトリスト120に登録されているか否かを判定する。制御プログラム113は、当該プログラムがホワイトリスト120に登録されていると判定されると、昇格権限を有するか否か判定し、当該プログラムの起動を許可する。また、当該プログラムがホワイトリスト120に登録されていないと判定されると当該プログラムの起動をグローバルフックなどを用いて阻止する。
When it is determined that the program does not satisfy the promotion standard rule 130, the control program 113 performs general white list control. That is, when the identification program 110 determines that the program does not satisfy the promotion standard rule 130, the identification program 110 determines whether or not the program is registered in the
また、識別プログラム110により、起動されるプログラムがブラックリスト140に登録されているか否かを判定する。そして、ブラックリスト140に登録されている場合は当該プログラムの起動を阻止し、ブラックリスト140に登録されていない場合は当該プログラムの起動を許可する方式の採用も可能である。 Further, the identification program 110 determines whether or not a program to be activated is registered in the black list 140. If the program is registered in the black list 140, the program can be prevented from starting, and if the program is not registered in the black list 140, the program can be started.
なお、以下の説明において、プログラムなどがホワイトリスト120またはブラックリスト140に登録されている状態を「リストに存在する」、登録されていない状態を「リストに存在しない」と表現する場合がある。
In the following description, a state where a program or the like is registered in the
●処理の詳細
図5のフローチャートによりホワイトリスト制御処理の一例を説明する。
Details of Processing An example of white list control processing will be described with reference to the flowchart of FIG.
検知プログラム112はプログラムの起動を監視し(S201)、プログラムの起動を検知すると処理をステップS202に進める。 The detection program 112 monitors the activation of the program (S201), and when the activation of the program is detected, the process proceeds to step S202.
プログラムの起動が検知されると、識別プログラム110は、当該プログラムのプログラム情報を取得し(S202)、当該プログラムがブラックリスト140に存在するか否か判定する(S203)。当該プログラムがブラックリスト140に存在すると判定された場合、制御プログラム113は、当該プログラムの起動を阻止し(S204)、処理をステップS201に戻す。 When activation of the program is detected, the identification program 110 acquires program information of the program (S202), and determines whether the program exists in the black list 140 (S203). If it is determined that the program exists in the black list 140, the control program 113 prevents the program from starting (S204), and returns the process to step S201.
また、当該プログラムがブラックリスト140に存在しない場合、識別プログラム110は、当該プログラムが昇格基準ルール130を満たすか否かを判定する(S205)。当該プログラムが昇格基準ルール130を満たさない場合、識別プログラム110は、当該プログラムがホワイトリスト120に存在するか否かを判定する(S206)。 If the program does not exist in the black list 140, the identification program 110 determines whether the program satisfies the promotion standard rule 130 (S205). If the program does not satisfy the promotion criteria rule 130, the identification program 110 determines whether the program exists in the white list 120 (S206).
当該プログラムがホワイトリスト120に存在すると判定された場合、識別プログラム110は、当該プログラムが昇格権限を有するか否かを判定する(S206B)。昇格権限を有すると判定された場合、制御プログラム113は当該プログラムの起動を許可する(S210)。
When it is determined that the program exists in the
昇格権限が無いと判定された場合、制御プログラム113は当該プログラムの起動を許可し(S207)、処理をステップS201に戻す。また、当該プログラムがホワイトリスト120に存在しないと判定された場合、制御プログラム113は当該プログラムの起動を阻止し(S204)、処理をステップS201に戻す。
If it is determined that there is no promotion authority, the control program 113 permits the program to be activated (S207), and the process returns to step S201. If it is determined that the program does not exist in the
一方、当該プログラムが昇格基準ルール130を満たすと判定された場合、制御プログラム113は、当該プログラムのプログラム情報を登録プログラム111に渡す。これにより、登録プログラム111は、当該プログラム(親プログラム)をホワイトリスト120に登録し(S208)、昇格権限フラグに「有」を設定する(S209)。続いて、制御プログラム113は、親プログラムの起動を許可する(S210)。 On the other hand, when it is determined that the program satisfies the promotion standard rule 130, the control program 113 passes the program information of the program to the registration program 111. As a result, the registration program 111 registers the program (parent program) in the white list 120 (S208), and sets “Yes” in the promotion authority flag (S209). Subsequently, the control program 113 permits the start of the parent program (S210).
次に、検知プログラム112は、昇格権限が付与された親プログラムによる子プログラムの生成を監視する(S211)。検知プログラム112は、親プログラムが子プログラムを生成した場合は処理をステップS212に進め、親プログラムが子プログラムを生成しない場合は処理をステップS201に戻す。 Next, the detection program 112 monitors the generation of the child program by the parent program to which the promotion authority is granted (S211). If the parent program generates a child program, the detection program 112 proceeds to step S212. If the parent program does not generate a child program, the detection program 112 returns the process to step S201.
なお、ステップS211において、検知プログラム112は、子プログラムの生成だけでなく、子プログラムもしくは親プログラムに対する変更(例えば、リネーム)を監視してもよい。親プログラムの変更が検知された場合、当該プログラム(親プログラム)に対して、子プログラムと同様の処理を行う。 In step S211, the detection program 112 may monitor not only the generation of the child program but also a change (for example, rename) to the child program or the parent program. When a change in the parent program is detected, the same processing as the child program is performed on the program (parent program).
子プログラムの生成が検知されると、識別プログラム110は、子プログラムのプログラム情報を取得し(S212)、取得したプログラム情報を登録プログラム111に渡す。これにより、登録プログラム111は、子プログラムをホワイトリスト120に登録する(S213)。 When the generation of the child program is detected, the identification program 110 acquires the program information of the child program (S212), and passes the acquired program information to the registration program 111. As a result, the registration program 111 registers the child program in the white list 120 (S213).
続いて、検知プログラム112は、昇格権限が付与された親プログラムが子プログラムを起動するか否かを監視する(S214)。検知プログラム112は、親プログラムが子プログラムを起動する場合は処理をステップS215に進め、親プログラムが子プログラムを起動しない場合は処理をステップS201に戻す。 Subsequently, the detection program 112 monitors whether or not the parent program to which the promotion authority is granted starts the child program (S214). If the parent program starts the child program, the detection program 112 proceeds to step S215. If the parent program does not start the child program, the detection program 112 returns the process to step S201.
親プログラムによる子プログラムの起動が検知されると、識別プログラム110は、子プログラムがブラックリスト140に存在するか否かを判定する(S215)。子プログラムがブラックリスト140に存在すると判定された場合、制御プログラム113は子プログラムの起動を阻止する(S216)。そして、登録プログラム111は、ホワイトリスト120から子プログラムの登録を削除し(S217)、処理をステップS201に戻す。 When activation of the child program by the parent program is detected, the identification program 110 determines whether or not the child program exists in the black list 140 (S215). When it is determined that the child program exists in the black list 140, the control program 113 prevents the child program from starting (S216). Then, the registration program 111 deletes the registration of the child program from the white list 120 (S217), and returns the process to step S201.
他方、子プログラムがブラックリスト140に存在しないと判定された場合、処理はステップS209に戻る。従って、子プログラムの昇格権限フラグに「有」が設定され(S209)、子プログラムの起動が許可され(S210)、昇格権限が付与された子プログラムによる孫プログラムの生成が監視される(S211)。そして、子プログラムが孫プログラムを生成すると、孫プログラムをホワイトリスト120に登録し、昇格権限が付与された子プログラムが孫プログラムを起動すると孫プログラムに昇格権限を与える処理(S209からS215)が再帰的に繰り返される。
On the other hand, if it is determined that the child program does not exist in the blacklist 140, the process returns to step S209. Therefore, “Yes” is set in the promotion authority flag of the child program (S209), the activation of the child program is permitted (S210), and the generation of the grandchild program by the child program granted the promotion authority is monitored (S211). . When the child program generates the grandchild program, the grandchild program is registered in the
なお、ブラックリスト140が存在しない場合、識別プログラム110は、ステップS215の判定をスルーパスする。その場合、親プログラムによって起動された子プログラムや子プログラムによって起動された孫プログラムの昇格権限フラグに「有」が設定され(S209)、子プログラムの起動が許可される(S210)。 If the black list 140 does not exist, the identification program 110 passes through the determination in step S215. In this case, “Yes” is set in the promotion authority flag of the child program started by the parent program and the grandchild program started by the child program (S209), and the child program is permitted to start (S210).
なお、親プログラム/子孫プログラムをホワイトリスト120に登録する際に、当該プログラムがホワイトリスト120に登録されているか否かを判定し、未登録と判定した場合に当該プログラムをホワイトリスト120に登録してもよい。また、ホワイトリスト120に既登録の場合は登録を行わずに、次の処理に進む。ホワイトリスト120に登録されているか否かを判定することにより、プログラムの重複登録を防ぐことができる。
When registering a parent program / descendant program in the
以下では、第一の世代の親プログラムが元になって生成される子プログラムや孫プログラムなど、第二の世代以降のプログラムを「子孫プログラム」と呼ぶことにする。 Hereinafter, programs after the second generation, such as child programs and grandchild programs generated based on the first generation parent program, will be referred to as “descendant programs”.
●インストーラへの対応
ステップS201において、検知プログラム112は、リストとの比較により、起動されるプログラムが記憶装置10Bに予め格納されているインストーラプログラム(例えばWindows(登録商標)におけるmsiexec.exe)か否かを判定する。そして、インストーラプログラム(以下、インストーラ)の起動と判定された場合、インストーラの動作が他のプログラムの動作と異なるため、ステップS202以降の処理を切り替える。
Correspondence to Installer In step S201, the detection program 112 determines whether the program to be started is an installer program (for example, msiexec.exe in Windows (registered trademark)) stored in advance in the
操作者がインストーラパッケージファイル(msiファイル、mspファイル、msuファイルなど)の実行を指示するとインストーラが起動され、インストーラは、インストーラパッケージファイル(以下、パッケージ)に格納されたファイルを展開する。従って、昇格基準ルール130に基づく判定は、インストーラではなく、パッケージに対して行う必要があり、図5に示す処理を直接適用することができない。 When an operator instructs execution of an installer package file (such as an msi file, msp file, or msu file), the installer is activated, and the installer expands a file stored in the installer package file (hereinafter referred to as a package). Therefore, the determination based on the promotion standard rule 130 needs to be performed on the package, not the installer, and the process shown in FIG. 5 cannot be directly applied.
図6のフローチャートによりインストーラが起動された場合のホワイトリスト制御処理の一例を説明する。 An example of the white list control process when the installer is activated will be described with reference to the flowchart of FIG.
識別プログラム110は、パッケージのファイル情報を取得し(S221)、パッケージがブラックリスト140に存在するか否かを判定する(S222)。当該パッケージがブラックリスト140に存在すると判定された場合、制御プログラム113は、インストーラの起動を阻止し(S223)、処理をステップS201に戻す。なお、ブラックリスト140が存在しない場合、識別プログラム110は、ステップS222の判定をスルーパスする。 The identification program 110 acquires the file information of the package (S221), and determines whether the package exists in the black list 140 (S222). If it is determined that the package exists in the blacklist 140, the control program 113 prevents the installer from being activated (S223), and returns the process to step S201. If the black list 140 does not exist, the identification program 110 passes through the determination in step S222.
また、当該パッケージがブラックリスト140に存在しない場合、識別プログラム110は、当該パッケージが昇格基準ルール130を満たすか否かを判定する(S224)。当該パッケージが昇格基準ルール130を満たさない場合、識別プログラム110は、当該パッケージがホワイトリスト120に存在するか否かを判定する(S225)。当該パッケージがホワイトリスト120に存在すると判定された場合、制御プログラム113は、インストーラの昇格権限フラグを「有」に設定し(S209)、インストーラの起動を許可する(S210)。また、当該パッケージがホワイトリスト120に存在しないと判定された場合はインストーラの起動を阻止し(S223)、処理をステップS201に戻す。
If the package does not exist in the blacklist 140, the identification program 110 determines whether the package satisfies the promotion standard rule 130 (S224). If the package does not satisfy the promotion criteria rule 130, the identification program 110 determines whether the package exists in the white list 120 (S225). If it is determined that the package exists in the
一方、当該パッケージが昇格基準ルール130を満たす場合の処理は図5に示すステップS209からS217と同様であり、インストーラの昇格権限フラグに「有」が設定され(S209)、インストーラの起動が許可される(S210)。そして、インストーラによってパッケージから取り出されたプログラムは、親プログラム(この場合はインストーラ)によって生成された子プログラムと同等に扱われる。つまり、パッケージから取り出されたプログラムは子孫プログラムとしてホワイトリスト120に登録され、子孫プログラムが次の世代のプログラムを起動すると、起動されるプログラムに昇格権限を与える処理(S209からS215)が再帰的に繰り返される。
On the other hand, the processing when the package satisfies the promotion standard rule 130 is the same as steps S209 to S217 shown in FIG. 5, and “Yes” is set in the promotion privilege flag of the installer (S209), and the activation of the installer is permitted. (S210). The program extracted from the package by the installer is handled in the same way as the child program generated by the parent program (in this case, the installer). In other words, the program extracted from the package is registered in the
なお、ステップS211において、親プログラムによる子プログラムの生成ではなく、当該プログラム(親プログラム)によるインストーラパッケージが生成された場合は、そのパッケージファイルに対して、図6の処理を適用することも可能である。 In step S211, if an installer package is generated not by the parent program but by the program (parent program), the process of FIG. 6 can be applied to the package file. is there.
[親プログラムが生成した子プログラム以外に昇格権限を継承/付与する場合]
昇格権限を持った親プログラムから生成された子プログラムが親プログラムによって起動された場合、昇格権限を継承するが、以下のような場合も昇格権限を継承または付与してもよい。
[When inheriting / granting promotion rights to other than the child program generated by the parent program]
When the child program generated from the parent program having the promotion authority is started by the parent program, the promotion authority is inherited. However, the promotion authority may be inherited or granted in the following cases.
●パターン1
図5において、同一の親プログラムから複数の子孫プログラムが生成される場合を考える。このとき、子孫プログラムの中で親プログラムから昇格権限を継承したものがあり、昇格権限を継承した子孫プログラムが、他の子孫プログラムを起動した場合、昇格権限を継承してもよいものとする。
● Pattern 1
In FIG. 5, consider a case where a plurality of descendant programs are generated from the same parent program. At this time, some descendant programs inherit the promotion authority from the parent program, and if the descendant program that inherits the promotion authority starts another descendant program, the promotion authority may be inherited.
例えば、Windows(登録商標)のアップデート動作の中には上記のような動作がある。パターン1の手法を実施することで、Windows(登録商標)のアップデートをブロックすることなく行うことが可能になる。 For example, the update operation of Windows (registered trademark) includes the above operation. By implementing the pattern 1 technique, it is possible to update Windows (registered trademark) without blocking it.
パターン1を実施する場合、図5に示すステップS214において「親プログラム、または、同じ親プログラムから生成され、当該親プログラムから昇格権限を継承したプログラムによって、子孫プログラムが起動されるか?」という判定が行われる。 When pattern 1 is performed, a determination is made in step S214 shown in FIG. 5 as to whether the descendant program is started by the parent program or a program generated from the same parent program and inheriting the promotion authority from the parent program. Is done.
●パターン2
図6において、インストーラが他のプログラムから起動される場合を考える。このとき、昇格権限をもつプログラムがインストーラを起動した場合、インストーラが昇格権限を継承してもよいものとする。
● Pattern 2
In FIG. 6, a case where the installer is started from another program is considered. At this time, if the program having the promotion authority starts the installer, the installer may inherit the promotion authority.
市販のソフトウェアには、インストール時にインストーラを起動するものがある。パターン2の手法を実施することで、そのようなソフトウェアのインストールをブロックすることなく行うことが可能になる。 Some commercially available software launches an installer during installation. By implementing the method of Pattern 2, such software installation can be performed without blocking.
●パターン3
図5において、昇格権限をもつプログラムから生成された子プログラムを、昇格権限をもたないプログラムが起動する場合を考える。このとき「生成プログラム群」と「起動プログラム群」という二種類のプログラム群を予め定義する。そして、生成プログラム群に属すプログラムから生成され、かつ、起動プログラム群に属すプログラムから起動されたプログラムには昇格権限を付与する処理を行ってもよいものとする。
● Pattern 3
In FIG. 5, a case is considered in which a program that does not have promotion authority is started as a child program generated from a program having promotion authority. At this time, two types of program groups, “generated program group” and “start program group”, are defined in advance. Further, it is possible to perform a process of giving a promotion authority to a program generated from a program belonging to the generation program group and started from a program belonging to the startup program group.
市販のソフトウェアには、インストール時に上記のような動作を行うものがある。パターン3の手法を実施することで、そのようなソフトウェアのインストールをブロックすることなく行うことが可能になる。 Some commercially available software performs the above operation during installation. By implementing the pattern 3 approach, it is possible to install such software without blocking it.
[ホワイトリストの作成]
ホワイトリスト制御システムの運用には、運用環境に適したホワイトリスト120を作成する必要がある。
[Create whitelist]
To operate the white list control system, it is necessary to create a
●プログラム起動をトリガとする処理
図5、図6においては、プログラムやパッケージが昇格基準ルール130を満たさず、かつ、ホワイトリスト120に存在しない場合(S206やS225のNO)、制御プログラム113はプログラムの起動を阻止する(S204やS223)と説明した。しかし、そのようなプログラムやパッケージ(以下、未登録プログラム)が検出された場合、ホワイトリスト120の更新を試みることが可能である。
● Processing triggered by program activation In FIGS. 5 and 6, when the program or package does not satisfy the promotion standard rule 130 and does not exist in the white list 120 (NO in S206 or S225), the control program 113 is a program. It was explained that the activation of the system is blocked (S204 and S223). However, when such a program or package (hereinafter, unregistered program) is detected, it is possible to attempt to update the
図7のフローチャートによりプログラム起動をトリガとするホワイトリスト120の更新処理を説明する。
The update process of the
登録プログラム111は、未登録プログラムが検出されると(S301)、識別プログラム110から渡された未登録プログラムのプログラム情報(以下、未登録情報)をサーバ20に送信する(S302)。そして、処理をステップS301に戻す。 When the unregistered program is detected (S301), the registered program 111 transmits the program information (hereinafter, unregistered information) of the unregistered program passed from the identification program 110 to the server 20 (S302). Then, the process returns to step S301.
なお、未登録プログラムの検出直後に未登録情報を送信せずに、所定のサイクルで未登録情報をサーバ20に送信するようにしてもよい。例えば、登録プログラム111は、未登録情報を例えば記憶装置10Bやメモリ10Eの所定領域に一時保存する。そして、所定のサイクルで(例えば五分ごとや一時間ごとに)保存された未登録情報があるか否かを判定し、未登録情報が保存されている場合は当該情報をサーバ20に送信する。
Note that unregistered information may be transmitted to the
サーバ20の管理コンソール210は、クライアント10から未登録情報を受信すると(S311)、受信した未登録情報に一致する情報がホワイトリスト候補250に存在するか否かを判定する(S312)。受信した未登録情報に一致する情報がホワイトリスト候補250に存在する場合は処理をステップS311に戻す。
When receiving the unregistered information from the client 10 (S311), the
一方、受信した未登録情報に一致する情報がホワイトリスト候補250に存在しない場合、管理コンソール210は、受信した未登録情報をホワイトリスト候補250へ追加する(S313)。そして、例えば電子メールやアラートウィンドウなどにより、ホワイトリスト候補250に追加した未登録情報をサーバ20の操作者に提示する(S314)。
On the other hand, when the information matching the received unregistered information does not exist in the
操作者は、提示された情報を参照して、未登録プログラムをホワイトリストに登録するか否かを判断し、判断結果に応じた指示を管理コンソール210に入力する。管理コンソール210は、操作者の指示が当該プログラムの登録を示すか否かを判定する(S315)。操作者の指示が登録を示す場合は、当該プログラムをホワイトリストマスタ220に登録し(S316)、ホワイトリスト候補250の当該プログラムのレコードに「登録済」を記録する(S317)。また、操作者の指示が非登録を示す場合は、当該プログラムをホワイトリストマスタ220に登録せずに、ホワイトリスト候補250の当該プログラムのレコードに「非登録」を記録する(S318)。そして、処理をステップS311に戻す。
The operator refers to the presented information, determines whether or not to register the unregistered program in the white list, and inputs an instruction according to the determination result to the
管理コンソール210は、定期的(例えば、一時間置きや一日置き)にホワイトリストマスタ220のデータをクライアント10へ送信する。これにより、クライアント10のホワイトリスト120が更新される。
The
●プログラム検索をトリガとする処理
上記では、プログラム起動をトリガとしてホワイトリスト候補250にプログラムを追加する処理を説明した。しかし、例えばOS標準のファイル検索ツールなどを用いてプログラムを検索し、検出したプログラムをホワイトリスト候補250の登録することもできる。このようにすれば、クライアント10の記憶装置10Bに格納されたすべてのプログラムをホワイトリスト候補250に追加することができる。
Processing with Program Search as Trigger In the above, processing for adding a program to whitelist
図8のフローチャートによりプログラム検索をトリガとするホワイトリストの更新処理を説明する。 The white list update process triggered by program search will be described with reference to the flowchart of FIG.
クライアント10の操作者(またはサーバ20)の指示により、ファイル検索ツール114が起動され、指示された検索条件に基づきファイル検索が実行される(S401)。ホワイトリスト候補250にプログラムを追加する場合、記憶装置10Bに格納されたすべてのプログラムが検索され、識別プログラム110は検索結果を受け取る(S402)。
In response to an instruction from the operator of the client 10 (or the server 20), the
検索結果を受け取った識別プログラム110は、検出されたプログラムのプログラム情報を取得する(S403)。そして、検出されたプログラムから、プログラムが昇格基準ルール130を満たさず、かつ、ホワイトリスト120に存在しない未登録プログラムを抽出する(S404)。登録プログラム111は、未登録プログラムが抽出されると(S405)、未登録プログラムのプログラム情報をサーバ20に送信する(S406)。
Receiving the search result, the identification program 110 acquires program information of the detected program (S403). Then, an unregistered program that does not satisfy the promotion standard rule 130 and does not exist in the
管理コンソール210の処理は、プログラム起動をトリガとする場合の処理(図7のS311からS318)と同様であり、詳細説明を省略する。
The processing of the
上記では、ホワイトリスト120に登録されていないプログラムをホワイトリスト120に登録する例を説明したが、ホワイトリスト120に登録されていないパッケージをホワイトリスト120に登録する場合も同様の処理になる。
In the above description, an example in which a program that is not registered in the
また、図2に示すサーバ20が存在しない構成の場合、図7に示す管理コンソール210の処理(S311からS318)もクライアント10上で実行されることは言うまでもない。
Further, in the case where the
[変形例]
上記では、クライアント10の例としてPC、タブレット端末、スマートフォンを例に挙げた。しかし、ポインティングデバイスを持たない端末(例えばネットワークスキャナ)や、ディスプレイを持たない端末(例えば組込端末)などをクライアントとして、上記処理を適用することができる。
[Modification]
In the above, as an example of the
このように、ホワイトリスト型の制御方式を用いる場合の、ホワイトリストの更新にかかる作業を軽減することができる。従って、システム管理者などの、実行ファイルを抽出しホワイトリストを更新する負担が軽減される。さらに、昇格規準ルール130を用いた判断により、アップデータが信頼できるか否かの判断作業も軽減される。 As described above, when the white list type control method is used, it is possible to reduce the work for updating the white list. Therefore, the burden of extracting an execution file and updating the white list, such as a system administrator, is reduced. Further, the determination using the promotion criterion rule 130 also reduces the operation of determining whether the updater is reliable.
また、上記では、ホワイトリストを用いたホワイトリスト制御システムについて説明したが、ホワイトリストに限定されず、ブラックリストを用いたブラックリスト制御システムにも上記処理を適用することができる。 In the above description, the white list control system using the white list has been described. However, the present invention is not limited to the white list, and the above processing can be applied to a black list control system using the black list.
[その他の実施例]
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記録媒体を介してシステム或いは装置に供給し、そのシステムあるいは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
[Other Examples]
The present invention can also be realized by executing the following processing. That is, software (program) that realizes the functions of the above-described embodiments is supplied to a system or apparatus via a network or various recording media, and a computer (or CPU, MPU, etc.) of the system or apparatus reads the program. It is a process to be executed.
Claims (16)
プログラムを識別する識別手段と、
実行が許可されたプログラムのリストであるホワイトリスト、および実行が禁止されたプログラムのリストであるブラックリストのうち一方のリストにプログラムを登録する登録手段とを有し、
前記識別手段は、前記検知手段によって起動が検知されたプログラムまたは前記検知手段の検索によって検出されたプログラムのプログラム情報に基づき、前記プログラムがプログラム情報に関する所定の基準を満たすか否かを判定し、
前記登録手段は、前記所定の基準を満たすと判定されたプログラムを前記一方のリストに登録し、
前記登録手段は、前記所定の基準を満たすと判定されたプログラムに昇格権限を付与するために、前記プログラムと前記昇格権限の対応を前記一方のリストに登録し、
前記検知手段によって前記昇格権限が付与されたプログラムによる子プログラムの生成または変更が検知された場合、前記登録手段は、前記子プログラムを前記一方のリストに登録することを特徴とする情報処理装置。 Detection means for detecting program activation and program generation or change, or program search;
An identification means for identifying the program;
Listing a is whitelist execution is allowed programs, and execution and a registration means for registering a program in one list of the list in a black list of prohibited programs,
The identification unit determines whether the program satisfies a predetermined criterion related to the program information based on the program information of the program detected by the detection unit or the program detected by the search of the detection unit,
The registration means registers a program determined to satisfy the predetermined criterion in the one list ,
The registration means registers the correspondence between the program and the promotion authority in the one list in order to give the promotion authority to the program determined to satisfy the predetermined criterion,
When the detection unit detects the generation or change of a child program by the program to which the promotion authority is granted, the registration unit registers the child program in the one list .
前記登録手段は、前記他方のリストに登録されていないと判定された前記検知または検出されたプログラムに前記昇格権限を付与する請求項1に記載された情報処理装置。 The identification means determines whether the detected or detected program is registered in the other list of the white list and the black list;
The information processing apparatus according to claim 1 , wherein the registration unit grants the promotion authority to the detected or detected program that is determined not to be registered in the other list .
前記登録手段は、前記他方のリストに登録されていないと判定された次の世代のプログラムに前記昇格権限を付与することを特徴とする請求項2に記載された情報処理装置。 When the generation unit detects the generation or change of the next generation program by the program to which the promotion authority is given by the detection unit, the identification unit detects the next generation program based on the program information of the next generation program. Determine whether the program is registered in the other list ;
The information processing apparatus according to claim 2 , wherein the registration unit grants the promotion authority to a next generation program that is determined not to be registered in the other list .
前記登録手段は、前記他方のリストに登録されていないと判定されたプログラム、または、前記一方のリストに登録されていないと判定されたプログラムについて、前記一方のリストに登録するための処理を実行することを特徴とする請求項2、8、9の何れか一項に記載された情報処理装置。 If the startup of the next generation of the program by the program the elevated privilege was granted by the detection means is detected, said identification means, based on the program information of programs that the activation is detected, the program, the other determination of whether or not it is registered in the list, or, it is determined whether the registered one list,
It said registering means, the other is registered in the list is not determined to be a program, or programs that has been determined with the not registered in one list, performs processing for registering a list of the one The information processing device according to claim 2 , wherein the information processing device is an information processing device.
前記識別手段が、前記検知手段によって起動が検知されたプログラムまたは前記検知手段の検索によって検出されたプログラムのプログラム情報に基づき、前記プログラムがプログラム情報に関する所定の基準を満たすか否かを判定し、
前記登録手段が、前記所定の基準を満たすと判定されたプログラムを前記一方のリストに登録し、
前記登録手段は、前記所定の基準を満たすと判定されたプログラムに昇格権限を付与するために、前記プログラムと前記昇格権限の対応を前記一方のリストに登録し、
前記検知手段によって前記昇格権限が付与されたプログラムによる子プログラムの生成または変更が検知された場合、前記登録手段は、前記子プログラムを前記一方のリストに登録することを特徴とする情報処理方法。 Detection means for program activation and program generation or change detection, or program search, identification means for identifying a program, white list that is a list of programs that are allowed to be executed, and programs that are prohibited from being executed An information processing method for an information processing apparatus having registration means for registering a program in one list of black lists as a list ,
The identification unit determines whether the program satisfies a predetermined criterion related to the program information based on the program information of the program detected by the detection unit or the program detected by the search of the detection unit,
The registration means registers the program determined to satisfy the predetermined criterion in the one list ,
The registration means registers the correspondence between the program and the promotion authority in the one list in order to give the promotion authority to the program determined to satisfy the predetermined criterion,
An information processing method , wherein when the detection unit detects generation or change of a child program by a program to which the promotion authority is granted, the registration unit registers the child program in the one list .
ネットワークを介して、前記情報処理装置に前記一方のリストのデータを送信するサーバ装置とを有することを特徴とする情報処理システム。 And an information processing apparatus according to any one of claims 1 to 12,
An information processing system comprising: a server device that transmits data of the one list to the information processing device via a network.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013211423A JP6254414B2 (en) | 2012-10-09 | 2013-10-08 | Information processing apparatus, information processing system, and information processing method |
PCT/JP2013/006022 WO2014057668A1 (en) | 2012-10-09 | 2013-10-09 | Information processing device and control method therefor, information processing system, as well as information processing method |
US14/664,410 US9767280B2 (en) | 2012-10-09 | 2015-03-20 | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012224574 | 2012-10-09 | ||
JP2012224574 | 2012-10-09 | ||
JP2013211423A JP6254414B2 (en) | 2012-10-09 | 2013-10-08 | Information processing apparatus, information processing system, and information processing method |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2014096142A JP2014096142A (en) | 2014-05-22 |
JP2014096142A5 JP2014096142A5 (en) | 2016-11-04 |
JP6254414B2 true JP6254414B2 (en) | 2017-12-27 |
Family
ID=50939128
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013211423A Active JP6254414B2 (en) | 2012-10-09 | 2013-10-08 | Information processing apparatus, information processing system, and information processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6254414B2 (en) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6463170B2 (en) * | 2015-03-03 | 2019-01-30 | インヴェンティット株式会社 | Application use restriction device and use restriction program |
JP6541177B2 (en) * | 2015-03-24 | 2019-07-10 | 東芝情報システム株式会社 | Computer terminal and program therefor, computer system |
JP6829168B2 (en) | 2017-09-04 | 2021-02-10 | 株式会社東芝 | Information processing equipment, information processing methods and programs |
JP7200496B2 (en) * | 2018-03-30 | 2023-01-10 | 日本電気株式会社 | Information processing device, control method, and program |
US10747874B2 (en) * | 2018-05-22 | 2020-08-18 | NortonLifeLock, Inc. | Systems and methods for controlling an application launch based on a security policy |
JP7281998B2 (en) * | 2019-08-23 | 2023-05-26 | キヤノン電子株式会社 | Information processing device, information processing method, information processing system and program |
JP2022149811A (en) | 2021-03-25 | 2022-10-07 | 京セラドキュメントソリューションズ株式会社 | Image formation apparatus, image formation method, and image formation program |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007316780A (en) * | 2006-05-24 | 2007-12-06 | Nec Corp | Computer system, computer and file operation limiting method to be used therefor, and its program |
JP4806751B2 (en) * | 2007-03-19 | 2011-11-02 | Necパーソナルプロダクツ株式会社 | File access destination control apparatus, method and program thereof |
JP5346608B2 (en) * | 2009-02-06 | 2013-11-20 | Kddi株式会社 | Information processing apparatus and file verification system |
JP5402169B2 (en) * | 2009-03-31 | 2014-01-29 | 富士通株式会社 | Execution control program and information processing system |
JP5381670B2 (en) * | 2009-12-10 | 2014-01-08 | 富士通株式会社 | Execution control method, execution control program, and execution control apparatus |
JP6019484B2 (en) * | 2010-08-25 | 2016-11-02 | ルックアウト、アイエヌシー. | Systems and methods for server-bound malware prevention |
CN102630320B (en) * | 2010-10-04 | 2015-06-17 | 松下电器产业株式会社 | Information processing device and method for preventing unauthorized application cooperation |
JP5572573B2 (en) * | 2011-03-07 | 2014-08-13 | Kddi株式会社 | Mobile terminal, program, and communication system |
-
2013
- 2013-10-08 JP JP2013211423A patent/JP6254414B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014096142A (en) | 2014-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7084778B2 (en) | Systems and methods for cloud-based detection, exploration and elimination of targeted attacks | |
JP6254414B2 (en) | Information processing apparatus, information processing system, and information processing method | |
CN109684832B (en) | System and method for detecting malicious files | |
US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
Javaheri et al. | Detection and elimination of spyware and ransomware by intercepting kernel-level system routines | |
US10291634B2 (en) | System and method for determining summary events of an attack | |
US9571520B2 (en) | Preventing execution of task scheduled malware | |
US8918878B2 (en) | Restoration of file damage caused by malware | |
EP3635603A1 (en) | Real-time detection of and protection from malware and steganography in a kernel mode | |
RU2726032C2 (en) | Systems and methods for detecting malicious programs with a domain generation algorithm (dga) | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
JP2016538614A (en) | System and method for facilitating malware scanning using reputation indicators | |
CN110659478B (en) | Method for detecting malicious files preventing analysis in isolated environment | |
JP6165469B2 (en) | Information processing apparatus, control method therefor, and information processing system | |
Andriatsimandefitra et al. | Detection and identification of android malware based on information flow monitoring | |
EP2417552B1 (en) | Malware determination | |
Chowdhury et al. | Malware detection for healthcare data security | |
Kazoleas et al. | A novel malicious remote administration tool using stealth and self-defense techniques | |
US10963569B2 (en) | Early boot driver for start-up detection of malicious code | |
JP6253333B2 (en) | Information processing apparatus, information processing system, and information processing method | |
Ali et al. | Static analysis of malware in android-based platforms: a progress study | |
Rawal et al. | Malware | |
Yadav et al. | A complete study on malware types and detecting ransomware using API calls | |
US11182486B2 (en) | Early boot driver for start-up detection of malicious code | |
Husainiamer et al. | Mobile malware classification for ios inspired by phylogenetics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160913 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160913 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170728 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170926 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171102 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171130 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6254414 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |