JP6386415B2 - ログ管理方法、および、ログ管理システム - Google Patents
ログ管理方法、および、ログ管理システム Download PDFInfo
- Publication number
- JP6386415B2 JP6386415B2 JP2015100922A JP2015100922A JP6386415B2 JP 6386415 B2 JP6386415 B2 JP 6386415B2 JP 2015100922 A JP2015100922 A JP 2015100922A JP 2015100922 A JP2015100922 A JP 2015100922A JP 6386415 B2 JP6386415 B2 JP 6386415B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- execution program
- white list
- program
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、ログ管理方法、および、ログ管理システムに関する。
近年、インターネットやUSB(Universal Serial Bus)メモリ等を経由して、業務で使用するプログラム(業務プログラム)だけでなく業務で利用しないプログラム(業務外プログラム)を端末等で実行する機会が増えている。業務外プログラムの悪質なものとしてはマルウェアが存在し、端末から外部へ情報を送信する等、情報漏えいを引き起こす原因となっている。そのため、業務外プログラムが行った処理を確認する技術が必要となっている。
業務外プログラムが行った処理を確認する方法として、ファイル操作に関するログを取得し確認する方法がある。例えば、Process Monitor(非特許文献1参照)等のファイル操作を確認する技術を利用することで未知のプログラムや人が行ったファイル操作に関するログを確認することができる。
Process Monitor、[平成27年4月10日検索]、インターネット<URL:https://technet.microsoft.com/ja-jp/sysinternals/bb896645.aspx>
しかし、上記の技術により業務外プログラムが行った処理に関するログを確認できるようにするためには、業務外プログラムを判別できないため、すべてのプログラムのファイル操作ログを取得する必要があり、ログの量が膨大になるという問題がある。そこで、定型業務で利用する端末を対象とすることで業務外プログラムを判別できるようにして、業務外プログラムのファイル操作ログだけを取得しつつ、取得するログの量を低減することを課題として、本発明ではこの課題を解決する。
前記した課題を解決するため、本発明は、定型業務で利用される端末におけるファイル操作に関するログのうち、ホワイトリストに設定された実行プログラム、または、前記実行プログラムとファイルの記憶領域との組み合わせに関するログを除外して出力するログ管理方法であって、前記ホワイトリストに設定された実行プログラムは、実環境から取得した前記端末のファイル操作に関するログのうち、業務で使用されるプログラムの動作に伴うログである第一のログに含まれる実行プログラムであることを特徴とする。
本発明によれば、定型業務で利用する端末をログ取得対象として、業務外プログラムが行ったファイル操作のログを取得しつつ、ログの量を低減することができる。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)を第1の実施形態〜第4の実施形態に分けて説明する。本発明は、各実施形態に限定されない。
(第1の実施形態)
まず、第1の実施形態のシステム(ログ管理システム)の全体構成を説明する。例えば、図1に示すようにシステムは、クライアント10と、サーバ20とを備える。クライアント(端末)10は、定型業務を行う端末であり、例えば、クライアント10内の実行プログラム12により様々な処理を実行し、その処理内容(例えば、ファイル操作等のイベント)を表すログ(以下、適宜「ログ」と略す)のうち、ホワイトリスト15に合致するログを除外してサーバ20へ出力する。サーバ20は、クライアント10から取得したログを保存部22に記憶する。
まず、第1の実施形態のシステム(ログ管理システム)の全体構成を説明する。例えば、図1に示すようにシステムは、クライアント10と、サーバ20とを備える。クライアント(端末)10は、定型業務を行う端末であり、例えば、クライアント10内の実行プログラム12により様々な処理を実行し、その処理内容(例えば、ファイル操作等のイベント)を表すログ(以下、適宜「ログ」と略す)のうち、ホワイトリスト15に合致するログを除外してサーバ20へ出力する。サーバ20は、クライアント10から取得したログを保存部22に記憶する。
クライアント10は、データファイル11と、実行プログラム12と、監視ドライバ13と、エージェント14と、ホワイトリスト15とを備える。データファイル11は、実行プログラム12による実行対象ファイルであり、クライアント10の記憶部(図示省略)に記憶される。実行プログラム12は、クライアント10にインストールされ、実行されるプログラムであり、WORD(登録商標)等のoffice(登録商標)のプログラムや、インターネットエクスプローラ(登録商標)等のブラウザプログラム、ウイルスバスター(登録商標)等のウイルススキャンプログラム等である。
監視ドライバ13は、実行プログラム12(以下、適宜「プログラム」と略す)によるデータファイル11のファイルI/Oを監視し、その監視結果をログとしてエージェント14に出力する。
エージェント14は、ホワイトリスト15に示される内容(実行プログラム情報、ファイルの記憶領域等)を除外フィルタに設定し、監視ドライバ13により出力されたログのうち、ホワイトリスト15に示される内容(条件)に合致するログを除外してサーバ20へ出力する。例えば、エージェント14は、監視ドライバ13により出力されたログのうちホワイトリスト15に設定されていないファイル操作イベントを表すログをサーバ20へ出力する。
ホワイトリスト15は、エージェント14がどのようなログを取得対象から除外すべきかを示したリストである。このホワイトリスト15には、例えば、図2に示すように、除外対象とする実行プログラム情報(例えば、除外対象外とする実行プログラムの名称や識別子等)と、実行プログラムがI/Oの対象とするファイルの記憶領域との組み合わせが設定される。ホワイトリスト15の詳細は後記する。
サーバ20は、受信部21と、保存部22とを備える。受信部21は、クライアント10から出力されたログを受信すると、このログを保存部22に登録する。例えば、受信部21は、クライアント10から出力されたファイル操作イベントを表すログを保存部22に登録する。保存部22は、クライアント10から出力されたログ(例えば、ファイル操作イベントを表すログ)を記憶する。
なお、ファイル操作イベントを表すログ(ファイル操作イベントログ)は、例えば、図3に示すようにイベント発生時刻、ファイル操作したプログラムの名前、ファイル操作したプログラムのID、ファイル操作したプログラムのハッシュ値、操作の種類、操作対象のファイルの名前、操作対象のファイルのパス等を示した情報である。
(ホワイトリストの詳細)
ホワイトリスト15には、実環境のクライアント10から取得したファイル操作に関するログのうち、業務で使用されるプログラム(業務プログラム)の動作に伴うログに含まれる実行プログラム(実行プログラム情報)が設定される。例えば、システムの管理者等は、実環境のクライアント10から取得したファイル操作イベントログをログ種別1(業務プログラムのログ)と、ログ種別2(業務外プログラムのログ)とに分け、ログ種別1のログ(第一のログ)に含まれる実行プログラム(実行プログラム情報)を抽出し、ホワイトリスト15に設定する(図4参照)。なお、業務プログラムの動作に伴うログは、例えば、WORD(登録商標)等のoffice(登録商標)のプログラムや、インターネットエクスプローラ(登録商標)等のブラウザプログラムや、ウイルスバスター(登録商標)等のウイルススキャンプログラム等の動作に伴うログである。また、ホワイトリスト15に設定される実行プログラム情報(図2参照)は、例えば、業務プログラムのファイル操作イベントを表すログ(図3参照)に含まれるファイル操作したプログラムの名前等を用いる。
ホワイトリスト15には、実環境のクライアント10から取得したファイル操作に関するログのうち、業務で使用されるプログラム(業務プログラム)の動作に伴うログに含まれる実行プログラム(実行プログラム情報)が設定される。例えば、システムの管理者等は、実環境のクライアント10から取得したファイル操作イベントログをログ種別1(業務プログラムのログ)と、ログ種別2(業務外プログラムのログ)とに分け、ログ種別1のログ(第一のログ)に含まれる実行プログラム(実行プログラム情報)を抽出し、ホワイトリスト15に設定する(図4参照)。なお、業務プログラムの動作に伴うログは、例えば、WORD(登録商標)等のoffice(登録商標)のプログラムや、インターネットエクスプローラ(登録商標)等のブラウザプログラムや、ウイルスバスター(登録商標)等のウイルススキャンプログラム等の動作に伴うログである。また、ホワイトリスト15に設定される実行プログラム情報(図2参照)は、例えば、業務プログラムのファイル操作イベントを表すログ(図3参照)に含まれるファイル操作したプログラムの名前等を用いる。
クライアント10が上記のようにして設定されたホワイトリスト15を用いることにより、監視ドライバ13により出力されたログのうち、業務プログラムの動作に伴うログを除外してサーバ20へ出力することができる。つまり、クライアント10は、実行プログラム12のうち業務外プログラムの動作に伴うログをサーバ20に出力することができる。これによりシステムは、定型業務で利用するクライアント10をログ取得対象として、業務外プログラムが行ったログを取得しつつ、ログの量を低減することができる。
(第2の実施形態)
なお、ホワイトリスト15に、実環境で取得したファイル操作イベントログにおけるログ種別1のログ(業務プログラムのログ)のうち、ユーザの操作に関わらないログ(ログ種別1−2のログ。第二のログ)に含まれる実行プログラム(実行プログラム情報)を抽出し、設定してもよい(図5参照)。
なお、ホワイトリスト15に、実環境で取得したファイル操作イベントログにおけるログ種別1のログ(業務プログラムのログ)のうち、ユーザの操作に関わらないログ(ログ種別1−2のログ。第二のログ)に含まれる実行プログラム(実行プログラム情報)を抽出し、設定してもよい(図5参照)。
例えば、システムの管理者等は、まず、ログ種別1(業務プログラムのログ)をログ種別1−1のログ(ユーザの操作に関わるログ)とログ種別1−2(ユーザの操作に関わらないログ)とに分け、ログ種別2のログ(業務外プログラムのログ)をログ種別2−1(ユーザの操作に関わるログ)とログ種別2−2のログ(ユーザの操作に関わらないログ)とに分ける。そして、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラム(実行プログラム情報)を抽出し、ホワイトリスト15に設定する(図5参照)。また、システムの管理者等は、当該実行プログラムがI/Oの対象とするファイルの記憶領域についてもホワイトリスト15に設定する。
なお、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)は、例えば、office(登録商標)プログラムがバックアップのために自動的に行うファイル作成のログ、ブラウザプログラムが画像等の一時保存用フォルダ内で行うファイル作成のログ、ウイルススキャンプログラムがファイルを解析するために行うファイル参照のログ等である。
クライアント10が上記のようにして設定されたホワイトリスト15を用いることで、例えば、クライアント10において業務外プログラムに関連するファイルを業務プログラムで操作した場合においても、当該操作に関するログをサーバ20へ出力することができる。一例を挙げると、クライアント10において業務プログラムを利用してマルウェアを複製、移動する操作をした場合や、マルウェアが生成したファイルを業務プログラムで複製、移動する操作をした場合においても当該操作に関するログをサーバ20へ出力することができる。これによりシステムは、サーバ20においてマルウェア等の業務外プログラムにより引き起こされた情報漏えい等について、その原因や影響を特定しやすくなる。
(第3の実施形態)
なお、ホワイトリスト15に、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラムのうち、ログ種別1−2におけるログ数(登場数)が多い実行プログラム(実行プログラム情報)を抽出し、設定してもよい(図6参照)。
なお、ホワイトリスト15に、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラムのうち、ログ種別1−2におけるログ数(登場数)が多い実行プログラム(実行プログラム情報)を抽出し、設定してもよい(図6参照)。
例えば、システムの管理者等は、ログ種別1−2(業務プログラムのログのうちユーザの操作に関わらないログ)のログにおけるログ数(登場数)が所定値以上の実行プログラムを抽出し、ホワイトリスト15に設定する。また、システムの管理者等は、当該実行プログラムがI/Oの対象とするファイルの記憶領域についてもホワイトリスト15に設定する。
また、ホワイトリスト15に、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラムのうち、ログ種別1−2におけるログ数(登場数)が多い上位の実行プログラム(実行プログラム情報)を抽出し、設定してもよい(図7参照)。
例えば、システムの管理者等は、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)におけるログ数(登場数)が多い実行プログラムのうち上位所定数の実行プログラム(実行プログラム情報)を抽出し、ホワイトリスト15に設定する。つまり、システムの管理者等は、ログ種別1−2のログに含まれる実行プログラムごとに、当該ログにおける登場数を集計し、集計した登場数が多い順に実行プログラムをソートし、ソートしたときの順位の高さに応じて選択された実行プログラムをホワイトリスト15に設定する。また、当該実行プログラムがI/Oの対象とするファイルの記憶領域についてもホワイトリスト15に設定する。
これによりシステムは、サーバ20においてマルウェア等の業務外プログラムが行ったファイル操作のログを取得しつつ、ログの量を低減することができる。
なお、第3の実施形態において、ホワイトリスト15に、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)に含まれる実行プログラムのうち、ログ種別1−2におけるログ数(登場数)が多い実行プログラムがI/Oの対象とするファイルの記憶領域を設定することとしたが、これに限定されない。例えば、当該実行プログラムがI/Oの対象とするファイルの記憶領域のうち、ログ種別1−2のログ(業務プログラムのログのうちユーザの操作に関わらないログ)における登場回数が所定値以上、または、登場回数が上位所定数の記憶領域をホワイトリスト15に設定してもよい。
(第4の実施形態)
なお、図8に示すように、システム内にホワイトリスト設定装置30を設け、このホワイトリスト設定装置30によりクライアント10に第1の実施形態〜第3の実施形態で述べたホワイトリスト15を設定してもよい。このホワイトリスト設定装置30は、入出力部31と、制御部32と、記憶部33とを備える。入出力部31は、他の装置(例えば、クライアント10)とのデータ入出力を司るインタフェースである。例えば、入出力部31はクライアント10へホワイトリスト15の設定情報を出力する。
なお、図8に示すように、システム内にホワイトリスト設定装置30を設け、このホワイトリスト設定装置30によりクライアント10に第1の実施形態〜第3の実施形態で述べたホワイトリスト15を設定してもよい。このホワイトリスト設定装置30は、入出力部31と、制御部32と、記憶部33とを備える。入出力部31は、他の装置(例えば、クライアント10)とのデータ入出力を司るインタフェースである。例えば、入出力部31はクライアント10へホワイトリスト15の設定情報を出力する。
記憶部33は、実環境で取得したファイル操作イベントログ(ログ)を記憶する。例えば、記憶部33は、クライアント10の実行プログラム12により行われたファイル操作を示すファイル操作イベントログを記憶する。
制御部32は、記憶部33に記憶されたログを分類し、分類されたログから実行プログラムを抽出することで、前記した第1の実施形態〜第3の実施形態のいずれかのホワイトリスト15を設定する。
このようにすることでホワイトリスト15を自動で設定することができる。
なお、ホワイトリスト設定装置30は、クライアント10やサーバ20と別箇の装置として説明したが、これに限定されない。例えば、ホワイトリスト設定装置30の機能をクライアント10に組み込んでもよいし、サーバ20に組み込んでもよい。
(プログラム)
また、上記実施形態に係るシステムが実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、システムと同様の機能を実現するログ管理プログラムを実行するコンピュータの一例を説明する。
また、上記実施形態に係るシステムが実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、システムと同様の機能を実現するログ管理プログラムを実行するコンピュータの一例を説明する。
図9は、ログ管理プログラムを実行するコンピュータを示す図である。図9に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図9に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した情報等は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、ログ管理プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明したシステムが実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
また、ログ管理プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 クライアント
11 データファイル
12 実行プログラム
13 監視ドライバ
14 エージェント
15 ホワイトリスト
20 サーバ
21 受信部
22 保存部
30 ホワイトリスト設定装置
31 入出力部
32 制御部
33 記憶部
11 データファイル
12 実行プログラム
13 監視ドライバ
14 エージェント
15 ホワイトリスト
20 サーバ
21 受信部
22 保存部
30 ホワイトリスト設定装置
31 入出力部
32 制御部
33 記憶部
Claims (5)
- 定型業務で利用される端末におけるファイル操作に関するログのうち、ホワイトリストに設定された実行プログラム、または、前記実行プログラムとファイルの記憶領域との組み合わせに関するログを除外して出力する前記端末とホワイトリスト設定装置とを備えるログ管理システムにより実行されるログ管理方法であって、
前記ホワイトリスト設定装置は、
実環境から取得した前記端末のファイル操作に関するログのうち、業務で使用されるプログラムの動作に伴い動作する実行プログラムのログであり、かつ、前記端末のユーザのファイル操作に関わらないログを分類する分類ステップと、
前記分類したログに含まれる実行プログラムの情報を、前記ホワイトリストに設定するホワイトリスト設定ステップと
を含んだことを特徴とするログ管理方法。 - 前記ホワイトリスト設定ステップにおいて、
前記分類したログに含まれる実行プログラムのうち、前記ログにおける登場数の多さに応じて選択された実行プログラムの情報を、前記ホワイトリストに設定することを特徴とする請求項1に記載のログ管理方法。 - 前記ホワイトリスト設定ステップにおいて、
前記分類したログに含まれる実行プログラムが用いるファイルの記憶領域のうち、前記ログにおける登場数が所定値以上の記憶領域と、前記実行プログラムの情報との組み合わせを、前記ホワイトリストに設定することを特徴とする請求項1に記載のログ管理方法。 - 前記ホワイトリスト設定ステップにおいて、
前記分類したログに含まれる実行プログラムごとに、前記ログにおける登場数を集計し、集計した登場数が多い順に前記実行プログラムをソートし、ソート後の順位が所定値以上の実行プログラムの情報を、前記ホワイトリストに設定することを特徴とする請求項2に記載のログ管理方法。 - 定型業務で利用される端末におけるファイル操作に関するログのうち、ホワイトリストに設定された実行プログラム、または、前記実行プログラムとファイルの記憶領域との組み合わせに関するログを除外して出力する前記端末とホワイトリスト設定装置とを備えるログ管理システムであって、
前記ホワイトリスト設定装置は、
実環境から取得した前記端末のファイル操作に関するログのうち、業務で使用されるプログラムの動作に伴い動作する実行プログラムのログであり、かつ、前記端末のユーザのファイル操作に関わらないログを分類し、前記分類したログに含まれる実行プログラムの情報を、前記ホワイトリストに設定する
ことを特徴とするログ管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015100922A JP6386415B2 (ja) | 2015-05-18 | 2015-05-18 | ログ管理方法、および、ログ管理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015100922A JP6386415B2 (ja) | 2015-05-18 | 2015-05-18 | ログ管理方法、および、ログ管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016218606A JP2016218606A (ja) | 2016-12-22 |
| JP6386415B2 true JP6386415B2 (ja) | 2018-09-05 |
Family
ID=57578414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015100922A Active JP6386415B2 (ja) | 2015-05-18 | 2015-05-18 | ログ管理方法、および、ログ管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6386415B2 (ja) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4420804B2 (ja) * | 2004-12-08 | 2010-02-24 | 株式会社エヌ・ティ・ティ・データ | ログ所得管理システム、方法、及び、プログラム |
| JP2006276987A (ja) * | 2005-03-28 | 2006-10-12 | Nomura Research Institute Ltd | Url監査支援システム及びurl監査支援プログラム |
| JP4159100B2 (ja) * | 2006-04-06 | 2008-10-01 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置による通信を制御する方法およびプログラム |
| JP4640835B2 (ja) * | 2006-05-29 | 2011-03-02 | 日本電信電話株式会社 | 情報処理装置及びプログラム |
| JP5435642B2 (ja) * | 2010-01-20 | 2014-03-05 | アイベクス株式会社 | ファイル制御プログラム、ファイル制御装置及びファイル制御方法 |
| US9448859B2 (en) * | 2013-09-17 | 2016-09-20 | Qualcomm Incorporated | Exploiting hot application programming interfaces (APIs) and action patterns for efficient storage of API logs on mobile devices for behavioral analysis |
-
2015
- 2015-05-18 JP JP2015100922A patent/JP6386415B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016218606A (ja) | 2016-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Duan et al. | Detective: Automatically identify and analyze malware processes in forensic scenarios via DLLs | |
| US11089038B2 (en) | Safe sharing of sensitive data | |
| Rathnayaka et al. | An efficient approach for advanced malware analysis using memory forensic technique | |
| US8762948B1 (en) | System and method for establishing rules for filtering insignificant events for analysis of software program | |
| RU2454714C1 (ru) | Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов | |
| US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
| US20190014169A1 (en) | Mobile url categorization | |
| US20150172303A1 (en) | Malware Detection and Identification | |
| CN106997367B (zh) | 程序文件的分类方法、分类装置和分类系统 | |
| JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
| US9444832B1 (en) | Systems and methods for optimizing antivirus determinations | |
| CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
| Nguyen et al. | Detecting repackaged android applications using perceptual hashing | |
| CN111183620B (zh) | 入侵调查 | |
| Kumar et al. | Machine learning based malware detection in cloud environment using clustering approach | |
| US20180189492A1 (en) | Non-transitory computer-readable storage medium, information processing apparatus and method | |
| US20180341770A1 (en) | Anomaly detection method and anomaly detection apparatus | |
| Alam et al. | In-cloud malware analysis and detection: State of the art | |
| Zhang et al. | An adaptive approach for Linux memory analysis based on kernel code reconstruction | |
| JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
| Namanya et al. | Evaluation of automated static analysis tools for malware detection in Portable Executable files | |
| JP7031438B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
| RU2583712C2 (ru) | Система и способ обнаружения вредоносных файлов определенного типа | |
| JP6386415B2 (ja) | ログ管理方法、および、ログ管理システム | |
| CN106372508B (zh) | 恶意文档的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170828 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180426 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180508 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180704 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180807 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180809 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6386415 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |