JP6404771B2 - ログ判定装置、ログ判定方法、およびログ判定プログラム - Google Patents
ログ判定装置、ログ判定方法、およびログ判定プログラム Download PDFInfo
- Publication number
- JP6404771B2 JP6404771B2 JP2015106807A JP2015106807A JP6404771B2 JP 6404771 B2 JP6404771 B2 JP 6404771B2 JP 2015106807 A JP2015106807 A JP 2015106807A JP 2015106807 A JP2015106807 A JP 2015106807A JP 6404771 B2 JP6404771 B2 JP 6404771B2
- Authority
- JP
- Japan
- Prior art keywords
- identification information
- determination
- log
- application
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
図1は、本実施形態に係るログ判定装置を含むシステムの概略構成を示す模式図である。図1に示すように、このシステムは、ログ判定装置100と、標準端末200と、n台のクライアント端末300(3001〜300n)と、管理端末400とが、LAN(Local Area Network)やWAN(Wide Area Network)やインターネットなどのネットワーク1に接続されて互いに通信可能に構成される。
クライアント端末300は、後述するログ判定装置100によるログ判定処理の対象となるユーザの端末であり、パソコン等の汎用コンピュータで実現される。図2に例示するように、クライアント端末300は、Microsoft社のWindows(登録商標)等のOS321と、アプリケーション/プログラム301と、ログ生成部302と、ログ記憶部311と、通信部303とを備える。
標準端末200は、パソコン等の汎用コンピュータで実現され、業務内アプリケーションのみがインストールされた端末であり、業務に不必要なアプリケーションがインストールされたりマルウェアに感染したりすることがないように適切に管理されている。そして、標準端末200は、後述するログ判定処理において、クライアント端末300の標準として参照される。図4に例示するように、標準端末200は、OS205と、業務内アプリケーション201と、通信部204と、ファイル識別情報検索部202と、FPL更新部203とを備える。
ログ判定装置100は、ワークステーションやパソコン等の汎用コンピュータで実現され、図5に例示するように、入力部101、表示部102、通信部104、記憶部130、OS141、標準端末制御部123、外部参照部122、アプリケーション判定部111、判定用データ生成部124、個別判定部121、および判定用データ検索/集計部103を備える。
次に、図8のフローチャートを参照して、ログ判定装置100におけるログ判定処理手順について説明する。図8のフローチャートは、例えば、操作者が入力部101を操作して処理開始の指示入力を行ったタイミングで開始となる。
[プログラム]
上記実施形態に係るログ判定装置100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、係るプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、ログ判定装置100と同様の機能を実現するログ判定プログラムを実行するコンピュータの一例を説明する。
100 ログ判定装置
101 入力部
102 表示部
103 判定用データ検索/集計部
104 通信部
111 アプリケーション判定部
121 個別判定部
122 外部参照部
123 標準端末制御部
124 判定用データ生成部
130 記憶部
131 判定用アプリケーションリスト(FPL)
132 判定結果
141 OS
200 標準端末
201 業務内アプリケーション
202 ファイル識別情報検索部
203 FPL更新部
204 通信部
205 OS
300 クライアント端末
301 アプリケーション/プログラム
302 ログ生成部
303 通信部
311 ログ記憶部
321 OS
400 管理端末
Claims (8)
- ユーザが利用するクライアント端末において使用が許可されているプログラムである業務内アプリケーションの実行ファイルの識別情報を含む判定用アプリケーションリストを記憶する記憶部と、
前記クライアント端末で起動されたプロセスの識別情報を含むプロセス起動ログを取得して、該プロセスの識別情報と前記判定用アプリケーションリストに業務内アプリケーションとして登録された実行ファイルの識別情報とが一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、前記クライアント端末以外の標準端末にインストールされている業務内アプリケーションの実行ファイルの識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、判定された該プロセスの識別情報を前記判定用アプリケーションリストに登録する判定部と、
を備えることを特徴とするログ判定装置。 - 前記判定部は、前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、外部の情報源から取得した前記業務内アプリケーションの更新プログラムの実行ファイルの識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、該更新プログラムが適用された前記業務内アプリケーションの識別情報を前記判定用アプリケーションリストに登録することを特徴とする請求項1に記載のログ判定装置。
- 前記判定部は、前記プロセス起動ログのプロセスが前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、さらに前記業務内アプリケーション以外の業務外アプリケーションのプロセスと判定された場合に、外部の情報源から取得したウィルスの情報に基づいて、前記プロセスについてのウィルスのリスクの有無を判定することを特徴とする請求項1または2に記載のログ判定装置。
- 前記判定用アプリケーションリストのデータの追加あるいは削除のユーザからの指示を受け付けるインタフェース手段をさらに備えることを特徴とする請求項1〜3のいずれか1項に記載のログ判定装置。
- 前記判定用アプリケーションリストには、業務内アプリケーションの更新プログラムが適用される前に業務内アプリケーションとして登録されていたデータに対して、最新版ではないことを示す旧バージョンフラグが付与されていることを特徴とする請求項1〜4のいずれか1項に記載のログ判定装置。
- 前記判定部は、前記プロセス起動ログのプロセスが前記業務内アプリケーションではない業務外アプリケーションのプロセスと判定された場合に、ファイル操作の履歴を示すファイル操作ログを取得し、該ファイル操作ログに基づいて該プロセスの混入経路、操作対象ファイル、または他のクライアント端末での存在の有無を特定することを特徴とする請求項1〜5のいずれか1項に記載のログ判定装置。
- ログ判定装置で実行されるログ判定方法であって、
前記ログ判定装置は、ユーザが利用するクライアント端末において使用が許可されているプログラムである業務内アプリケーションの実行ファイルの識別情報を含む判定用アプリケーションリストを記憶する記憶部を備え、
前記クライアント端末で起動されたプロセスの識別情報を含むプロセス起動ログを取得して、該プロセスの識別情報と前記判定用アプリケーションリストに業務内アプリケーションとして登録されている実行ファイルの識別情報とが一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストに業務内アプリケーションとして登録されている実行ファイルの識別情報と一致せず、前記クライアント端末以外の標準端末に存在する実行ファイルの識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、前記標準端末に存在する実行ファイルの識別情報と一致せず、外部の更新プログラムの情報源に存在する実行ファイル識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、前記標準端末に存在する実行ファイルの識別情報と一致せず、外部の更新プログラムの情報源に存在する実行ファイルの識別情報とが一致しない場合に、該プロセスが前記業務内アプリケーション以外の業務外アプリケーションのプロセスと判定する判定工程、
を含んだことを特徴とするログ判定方法。 - ユーザが利用するクライアント端末において使用が許可されているプログラムである業務内アプリケーションの実行ファイルの識別情報を含む判定用アプリケーションリストを記憶する記憶部を参照し、前記クライアント端末で起動されたプロセスの識別情報を含むプロセス起動ログを取得して、該プロセスの識別情報と前記判定用アプリケーションリストに業務内アプリケーションとして登録されている実行ファイルの識別情報とが一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストに業務内アプリケーションとして登録されている実行ファイルの識別情報と一致せず、前記クライアント端末以外の標準端末に存在する実行ファイルの識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、前記標準端末に存在する実行ファイルの識別情報と一致せず、外部の更新プログラムの情報源に存在する実行ファイル識別情報と一致する場合に、該プロセスが前記業務内アプリケーションのプロセスと判定し、
前記プロセス起動ログのプロセスの識別情報が、前記判定用アプリケーションリストの実行ファイルの識別情報と一致せず、前記標準端末に存在する実行ファイルの識別情報と一致せず、外部の更新プログラムの情報源に存在する実行ファイルの識別情報とが一致しない場合に、該プロセスが前記業務内アプリケーション以外の業務外アプリケーションのプロセスと判定する判定ステップ、
をコンピュータに実行させるためのログ判定プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015106807A JP6404771B2 (ja) | 2015-05-26 | 2015-05-26 | ログ判定装置、ログ判定方法、およびログ判定プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015106807A JP6404771B2 (ja) | 2015-05-26 | 2015-05-26 | ログ判定装置、ログ判定方法、およびログ判定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016218984A JP2016218984A (ja) | 2016-12-22 |
JP6404771B2 true JP6404771B2 (ja) | 2018-10-17 |
Family
ID=57581333
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015106807A Active JP6404771B2 (ja) | 2015-05-26 | 2015-05-26 | ログ判定装置、ログ判定方法、およびログ判定プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6404771B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6939588B2 (ja) * | 2018-01-18 | 2021-09-22 | 富士通株式会社 | 判定方法、認証装置及び判定プログラム |
US11580199B2 (en) | 2019-09-20 | 2023-02-14 | International Business Machines Corporation | Correspondence of external operations to containers and mutation events |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4752125B2 (ja) * | 2001-04-06 | 2011-08-17 | 大日本印刷株式会社 | コンピュータシステム |
JP2010250502A (ja) * | 2009-04-14 | 2010-11-04 | Nec Corp | 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム |
JP2012088765A (ja) * | 2010-10-15 | 2012-05-10 | Hitachi Solutions Ltd | プログラム起動制御方法、プログラム起動制御プログラム、携帯端末、ネットワークシステム |
JP5182445B1 (ja) * | 2012-09-18 | 2013-04-17 | 大日本印刷株式会社 | アプリケーションプログラムの改竄検知方法 |
WO2014087597A1 (ja) * | 2012-12-07 | 2014-06-12 | キヤノン電子株式会社 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
MX2015009172A (es) * | 2013-01-15 | 2016-02-18 | Beyondtrust Software Inc | Sistemas y metodos para identificar y reportar vulnerabilidades de aplicaciones y archivos. |
JP5682978B2 (ja) * | 2013-01-16 | 2015-03-11 | Necプラットフォームズ株式会社 | セキュリティシステム、セキュリティ制御方法およびセキュリティ制御プログラム |
-
2015
- 2015-05-26 JP JP2015106807A patent/JP6404771B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016218984A (ja) | 2016-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11256808B2 (en) | Detecting malware via scanning for dynamically generated function pointers in memory | |
US10291634B2 (en) | System and method for determining summary events of an attack | |
US10326792B2 (en) | Virus intrusion route identification device, virus intrusion route identification method, and program | |
US10193906B2 (en) | Method and system for detecting and remediating polymorphic attacks across an enterprise | |
US9294486B1 (en) | Malware detection and analysis | |
US10972488B2 (en) | Method and system for modeling all operations and executions of an attack and malicious process entry | |
KR101693370B1 (ko) | 퍼지 화이트리스팅 안티-멀웨어 시스템 및 방법 | |
US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
Alazab et al. | Towards understanding malware behaviour by the extraction of API calls | |
JP6644001B2 (ja) | ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 | |
JP2019082989A (ja) | 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 | |
US9135443B2 (en) | Identifying malicious threads | |
JP5963008B2 (ja) | コンピュータシステムの分析方法および装置 | |
US8561180B1 (en) | Systems and methods for aiding in the elimination of false-positive malware detections within enterprises | |
US11775636B1 (en) | Systems and methods of detecting malicious powershell scripts | |
US9792436B1 (en) | Techniques for remediating an infected file | |
EP2417551B1 (en) | Providing information to a security application | |
CN109558207B (zh) | 在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法 | |
JP6254414B2 (ja) | 情報処理装置、情報処理システムおよび情報処理方法 | |
US20230342374A1 (en) | Systems and methods for data indexing with user-side scripting | |
EP2417552B1 (en) | Malware determination | |
JP6404771B2 (ja) | ログ判定装置、ログ判定方法、およびログ判定プログラム | |
EP2958045B1 (en) | System and method for treatment of malware using antivirus driver | |
WO2015081836A1 (zh) | 病毒的识别方法、设备、非易失性存储介质及设备 | |
US20130019313A1 (en) | Granular virus detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170828 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180618 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180717 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180827 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180911 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180913 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6404771 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |