JP6442649B1 - ファイル・アクセス監視方法、プログラム、および、システム - Google Patents
ファイル・アクセス監視方法、プログラム、および、システム Download PDFInfo
- Publication number
- JP6442649B1 JP6442649B1 JP2018556001A JP2018556001A JP6442649B1 JP 6442649 B1 JP6442649 B1 JP 6442649B1 JP 2018556001 A JP2018556001 A JP 2018556001A JP 2018556001 A JP2018556001 A JP 2018556001A JP 6442649 B1 JP6442649 B1 JP 6442649B1
- Authority
- JP
- Japan
- Prior art keywords
- file access
- ransomware
- file
- record
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
【解決策】ファイル・アクセス・ログを定期的に監視する。許可されたファイル・アクセスのレコードのうち、ランサムウェアが典型的に行なうファイル・アクセスの頻度が所定の閾値を超えた場合には、ランサムウェアによる攻撃の可能性があると判定し、対策を取る。対策には、ファイル・アクセス制御手段に指令を送り、ファイル・アクセスを遮断することが含まれる。
Description
所定の時刻にファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出す第一のステップと、前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択する第二のステップと、前記許可されたファイル・アクセスのレコードと予め保存された条件とを比較する第三のステップと、前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出す第四のステップとを含むランサムウェア検知方法を提供することで上記課題を解決する。
前記ファイル・アクセス・ログ監視手段は、所定の時刻に前記ファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出し、前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択し、前記許可されたファイル・アクセスのレコードと前記不正ファイル・アクセス・パターン保存手段に予め保存された条件とを比較し、前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出すランサムウェア検知システムを提供することで上記課題を解決する。
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、前記不正ファイル・アクセス・パターン保存手段に保存された所定のアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なう段落0018、または、段落0019に記載のランサムウェア検知システムを提供することで上記課題を解決する。
(1)アクセス元のユーザー端末(104)からのファイル・アクセス遮断。これは、ファイル・サーバー(105)のアクセス制御機能(203)に指令を送ることで実現可能である。ユーザー端末(104)上でエージェント・ソフトウェアを稼働しておき、ランサムウェアの感染が疑われるユーザー端末(104)上で稼働するエージェント・ソフトウェアに対して指令を送ることで実現してもよい。この場合に、指令を受けたエージェント・ソフトウェアはユーザー端末(104)を社内ネットワーク(103)から切り離すことでファイル・アクセスを遮断してよい。
(2)アクセス元のユーザー端末(104)画面へのメッセージ表示。これは、ユーザー端末(104)上でエージェント・ソフトウェアを稼働しておき、ランサムウェアの感染が疑われるユーザー端末(104)上で稼働するエージェント・ソフトウェアに対して指令を送ることで実現してもよい。
(3)システム管理者の端末画面へのメッセージ表示。通常、システム管理者は、システムの状況を監視するための管理ソフトウェアを稼働しており、そのような管理ソフトウェアはコンソールにメッセージを表示するためのインターフェースを開放しているので、当該インターフェースを介してメッセージが表示可能である。
(4)システム管理者へのメール送付。
(5)オンラインになっているバックアップファイルの切り離し。
(6)不正アクセス・ログ(109)へのランサムウェア攻撃情報の保存。
本願発明は、従来型のファイル・アクセス制御では防ぐことができなかったランサムウェアの被害を最小限に食い止めることができる点で技術的に顕著な優位性を有する。
Claims (12)
- コンピューターにより実行されるランサムウェア検知方法であって、
所定の時刻にファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出す第一のステップと、
前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択する第二のステップと、
前記許可されたファイル・アクセスのレコードと予め保存された条件とを比較する第三のステップと、
前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出す第四のステップとを含むランサムウェア検知方法。 - 前記第三のステップは、
前記許可されたファイル・アクセスのレコード中の、予め監視対象として保存されたファイル・アクセス種別を含むレコードの件数をカウントするステップと、
前記カウントされた件数が予め保存された閾値以上である場合にランサムウェアの攻撃があると判定するステップとを含む
請求項1に記載のランサムウェア検知方法。 - 前記第三のステップは、
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、予め保存されたアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なうステップをさらに含む
請求項1、または、請求項2に記載のランサムウェア検知方法。 - 前記第四のステップは、
ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信するステップを含む
請求項1、請求項2、または、請求項3に記載のランサムウェア検知方法。 - 所定の時刻にファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出す第一の命令群と、
前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択する第二の命令群と、
前記許可されたファイル・アクセスのレコードと予め保存された条件とを比較する第三の命令群と、
前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出す第四の命令群とを含むランサムウェア検知プログラム。 - 前記第三の命令群は、
前記許可されたファイル・アクセスのレコード中の、予め監視対象として保存されたファイル・アクセス種別を含むレコードの件数をカウントする命令群と、
前記カウントされた件数が予め保存された閾値以上である場合にランサムウェアの攻撃があると判定する命令群とを含む
請求項5に記載のランサムウェア検知プログラム。 - 前記第三の命令群は、
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、予め保存されたアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なう命令群を含む
請求項5、または、請求項6に記載のランサムウェア検知プログラム。 - 前記第四の命令群は、
ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信する命令群を含む
請求項5、請求項6、または、請求項7に記載のランサムウェア検知プログラム。 - ファイル・アクセス制御手段とファイル・アクセス・ログ保存手段とを備えた情報システムと共に使用される、ファイル・アクセス・ログ監視手段と不正ファイル・アクセス・パターン保存手段とを備えたランサムウェア検知システムであって、
前記ファイル・アクセス・ログ監視手段は、所定の時刻に前記ファイル・アクセス・ログ保存手段からファイル・アクセス・ログのレコードを読み出し、
前記ファイル・アクセス・ログ保存手段が、拒否されたファイル・アクセスのレコードを含む場合には、読み出したレコードから許可されたファイル・アクセスのレコードのみを選択し、
前記許可されたファイル・アクセスのレコードと前記不正ファイル・アクセス・パターン保存手段に予め保存された条件とを比較し、
前記比較によりランサムウェアによる攻撃があると判定された場合にはランサムウェア対応処理を呼び出すランサムウェア検知システム。 - 前記予め保存された条件は監視対象ファイル・アクセス種別とその所定期間内の件数の閾値であり、
前記ファイル・アクセス・ログ監視手段は、前記許可されたファイル・アクセスのレコード中の前記監視対象ファイル・アクセス種別を含むレコードの件数が前記閾値を越えた場合に、ランサムウェアによる攻撃があると判定する請求項9に記載のランサムウェア検知システム。 - 前記ファイル・アクセス・ログ監視手段は、
所定期間内のファイル・アクセス操作拒否件数、マルウェアの検知結果、または、前記不正ファイル・アクセス・パターン保存手段に保存された所定のアクセス・パターンと異なるファイル・アクセスの件数のいずれか一つ以上の組み合わせを加味してランサムウェア攻撃の判定を行なう
請求項9、または、請求項10に記載のランサムウェア検知システム。 - 前記ファイル・アクセス・ログ監視手段は、さらに、
ランサムウェアによる攻撃があると判定された場合に、前記ファイル・アクセス制御手段にファイル・アクセスを遮断することを命じる指令を送信する
請求項9、請求項10、または、請求項11に記載のランサムウェア検知システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017198080 | 2017-10-11 | ||
JP2017198080 | 2017-10-11 | ||
PCT/JP2018/032766 WO2019073720A1 (ja) | 2017-10-11 | 2018-09-04 | ファイル・アクセス監視方法、プログラム、および、システム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018220425A Division JP7123488B2 (ja) | 2017-10-11 | 2018-11-26 | ファイル・アクセス監視方法、プログラム、および、システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6442649B1 true JP6442649B1 (ja) | 2018-12-19 |
JPWO2019073720A1 JPWO2019073720A1 (ja) | 2019-11-14 |
Family
ID=64668719
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018556001A Active JP6442649B1 (ja) | 2017-10-11 | 2018-09-04 | ファイル・アクセス監視方法、プログラム、および、システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6442649B1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111444503A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 一种检测勒索病毒的方法、装置、系统和介质 |
CN111600893A (zh) * | 2020-05-19 | 2020-08-28 | 山石网科通信技术股份有限公司 | 勒索软件的防御方法、装置、存储介质、处理器和主机 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007026081A (ja) * | 2005-07-15 | 2007-02-01 | Canon Inc | プログラム |
US20110082838A1 (en) * | 2009-10-07 | 2011-04-07 | F-Secure Oyj | Computer security method and apparatus |
US20160378988A1 (en) * | 2015-06-26 | 2016-12-29 | Quick Heal Technologies Private Limited | Anti-ransomware |
JP2017068822A (ja) * | 2015-09-30 | 2017-04-06 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意あるデータ暗号化プログラムの検出のためのシステムおよび方法 |
JP2018128910A (ja) * | 2017-02-09 | 2018-08-16 | Sky株式会社 | アクセス監視システム |
-
2018
- 2018-09-04 JP JP2018556001A patent/JP6442649B1/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007026081A (ja) * | 2005-07-15 | 2007-02-01 | Canon Inc | プログラム |
US20110082838A1 (en) * | 2009-10-07 | 2011-04-07 | F-Secure Oyj | Computer security method and apparatus |
US20160378988A1 (en) * | 2015-06-26 | 2016-12-29 | Quick Heal Technologies Private Limited | Anti-ransomware |
JP2017068822A (ja) * | 2015-09-30 | 2017-04-06 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意あるデータ暗号化プログラムの検出のためのシステムおよび方法 |
JP2018128910A (ja) * | 2017-02-09 | 2018-08-16 | Sky株式会社 | アクセス監視システム |
Non-Patent Citations (1)
Title |
---|
SCAIFE, NOLEN: "CryptoLock (and Drop It): Stopping Ransomware Attacks on User Data", ICDCS 2016, JPN6018040179, 27 June 2016 (2016-06-27), pages 303 - 312, XP032939899, ISSN: 0003923435, DOI: 10.1109/ICDCS.2016.46 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111444503A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 一种检测勒索病毒的方法、装置、系统和介质 |
CN111444503B (zh) * | 2020-03-25 | 2023-11-07 | 深信服科技股份有限公司 | 一种检测勒索病毒的方法、装置、系统和介质 |
CN111600893A (zh) * | 2020-05-19 | 2020-08-28 | 山石网科通信技术股份有限公司 | 勒索软件的防御方法、装置、存储介质、处理器和主机 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2019073720A1 (ja) | 2019-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9516062B2 (en) | System and method for determining and using local reputations of users and hosts to protect information in a network environment | |
US9213836B2 (en) | System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages | |
EP2345977B1 (en) | Client computer for protecting confidential file, server computer therefor, method therefor, and computer program | |
US10320814B2 (en) | Detection of advanced persistent threat attack on a private computer network | |
US20030159070A1 (en) | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages | |
US20040034794A1 (en) | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages | |
WO2001092981A2 (en) | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages | |
KR20080070779A (ko) | 노드에서 유저 데이터를 보호하는 방법 및 시스템 | |
JP7123488B2 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
US9723484B2 (en) | Proactive intrusion protection system | |
JP6442649B1 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
Belmabrouk | Cyber criminals and data privacy measures | |
US9680835B1 (en) | Proactive intrusion protection system | |
US10447722B2 (en) | Proactive intrusion protection system | |
US11895155B2 (en) | Resilient self-detection of malicious exfiltration of sensitive data | |
Iordache | Database–Web Interface Vulnerabilities | |
US10313363B2 (en) | Proactive intrusion protection system | |
Ruha | Cybersecurity of computer networks | |
Pill | 10 Database Attacks | |
US12032694B2 (en) | Autonomous machine learning methods for detecting and thwarting ransomware attacks | |
US20240086532A1 (en) | Autonomous machine learning methods for detecting and thwarting ransomware attacks | |
GB2411748A (en) | Anti-virus system for detecting abnormal data outputs | |
Augustine et al. | From keyboard to cloud-base network revamped data lifecycle cybersecurity | |
Officer | Information Security Policy | |
Parppei | Addressing telecommuting in cyber security guidelines |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181029 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20181029 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20181115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181120 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181126 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6442649 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |