JP6787841B2 - アクセス制御装置、アクセス制御方法およびアクセス制御プログラム - Google Patents
アクセス制御装置、アクセス制御方法およびアクセス制御プログラム Download PDFInfo
- Publication number
- JP6787841B2 JP6787841B2 JP2017126639A JP2017126639A JP6787841B2 JP 6787841 B2 JP6787841 B2 JP 6787841B2 JP 2017126639 A JP2017126639 A JP 2017126639A JP 2017126639 A JP2017126639 A JP 2017126639A JP 6787841 B2 JP6787841 B2 JP 6787841B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- access
- identification information
- source process
- access source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
(ファイルと、依存プロセスと、アクセス元プロセスとの関係)
実施形態1の説明に先立ち、ファイルのアクセス制御について説明する。図1は、ファイルと、依存プロセスと、アクセス元プロセスとの関係の一例を示す図である。図1では、アクセス元プロセス、ファイルF、依存プロセスは、オペレーティングシステムにより管理されているとする。なお、図1は、あくまで一例を示すに過ぎず、アクセス元プロセス、ファイルF、依存プロセスそれぞれの数、ファイルアクセスの関係、依存関係は、図示のものに限られない。
そこで、実施形態1では、アクセス元プロセスがファイルFに対してファイルアクセスを開始し、かつ、ファイルFの参照または更新が未実施の状態が検知された時点で、当該アクセス元プロセスのファイルアクセスを一時停止させて、「アクセス制御V4」の判定を行う。アクセス元プロセスがファイルFに対してファイルアクセスを開始したとは、例えば、アクセス元プロセスがオペレーティングシステムに対してファイルFのオープンを指示したことや、オペレーティングシステムによるファイルFの起動イベントを検知したことをいう。「アクセス制御V4」の判定は、「ファイルデータ完全性V1」、「アクセス元プロセス完全性V2」、「アクセス完全性V3」の各判定を含む。
図2は、制御フラグと、ファイルデータ完全性およびアクセス元プロセス完全性との関係の一例を示す図である。なお、ファイルFが“データ固定ファイル”である場合、プログラムファイル等のデータが更新されないファイルであるので、ダイジェスト値が固定値であり、「ファイルデータ完全性V1」が判定できる。一方、ファイルFが“データ変動ファイル”である場合、ログファイル等のデータが更新されるファイルであるので、ダイジェスト値が固定値でなく、「ファイルデータ完全性V1」が判定できない。
図3は、ファイルおよびプロセスの再帰的な完全性確認の一例を示す図である。図3の例示では、「監視対象ファイル」“ファイル6”に対して、「監視対象ファイルを依存対象とするプロセス」、「監視対象ファイルの許可プロセス」がある。「監視対象ファイルを依存対象とするプロセス」は、“プロセス(AP4)”“プロセス(AP5)”である。APは、Application(アプリケーション)の略である。また、「監視対象ファイルの許可プロセス」は、“プロセス(AP2)”“プロセス(AP3)”である。
図4は、実施形態1のアクセス制御装置の構成の一例を示す図である。実施形態1のアクセス制御装置10は、ファイル管理システム20と接続される。ファイル管理システム20では、オペレーティングシステム上で、アクセス元プロセスP1が動作し、アクセス対象ファイルF1へアクセスする。
図5は、実施形態1のアクセス対象ファイルリストと、プロセスACLと、依存プロセスリストと、不完全プロセスリストの一例を示す図である。図6は、実施形態1における判定結果リストの一例を示す図である。記憶部11は、磁気記憶装置または半導体記憶装置等の記憶装置である。
図7は、実施形態1の初期設定処理の一例を示すフローチャートである。実施形態1の初期設定処理は、オペレータの操作時に、アクセス制御装置10の制御部12により実行される。ステップS11では、制御部12は、入出力部13を介して、オペレータによる指示に応じて、アクセス対象ファイルリストL1、アクセス対象ファイルリストL1に記載されている全ての「ファイルパス」に対応するファイルパスL2−1、プロセスACL_L2−2、依存プロセスリストL2−3を含むリスト群L2の初期設定の登録を受け付け、記憶部11に格納する。制御部12は、ステップS11が終了すると、実施形態1の初期設定処理を終了する。
図8は、実施形態1のファイルアクセス制御処理の一例を示すフローチャートである。実施形態1の初期設定処理は、アクセス制御装置10により、随時実行される。先ず、ステップS21では、アクセス検知・制御部14は、ファイル管理システム20上で、アクセス元プロセスP1がアクセス対象ファイルF1をopenし、かつ、アクセス対象ファイルF1のファイルデータへのアクセス未実施の状態を検知し、アクセスを一時的に停止する。そして、アクセス検知・制御部14は、アクセス元プロセスIDと、アクセス対象ファイルパスを制御部12へ送信する(以上、ステップS21)。
実施形態1の変形例では、不完全プロセスリストL3に代えて、依存プロセスリストL2−3にファイルパスが登録されている依存プロセスのうち、依存プロセスの完全性を喪失していない完全プロセスのリストを用いてもよい。または、不完全プロセスリストL3に代えて、依存プロセスリストL2−3にファイルパスが登録されている依存プロセスの全プロセスに完全および不完全のいずれかを示す情報を対応付けて記録したリストを用いてもよい。
実施形態1では、アクセス制御装置10は、記憶部11に、アクセス対象ファイルリストL1、ファイルパスL2−1、プロセスACL_L2−2、依存プロセスリストL2−3を含むリスト群L2、リスト群L2から生成される不完全プロセスリストL3を格納する。しかし、アクセス対象ファイルリストL1から「制御フラグ」を除外し、リスト群L2から依存プロセスリストL2−3および不完全プロセスリストL3を省略した形態で実施されてもよい。以下、この実施形態2について説明する。
図9は、実施形態2のアクセス制御装置の構成の一例を示す図である。図10は、実施形態2のアクセス対象ファイルリストと、プロセスACLの一例を示す図である。実施形態2のアクセス制御装置10Aは、実施形態1のアクセス制御装置10と比較して、記憶部11に代えて記憶部11A、アクセス元プロセス完全性判定部17に代えてアクセス元プロセス完全性判定部17A、アクセス制御判定部19に代えてアクセス制御判定部19Aを有する。また、実施形態2のアクセス制御装置10Aは、実施形態1のアクセス制御装置10と比較して、不完全プロセスリスト管理部18が省略されている。
図11は、実施形態2のファイルアクセス制御処理の一例を示すフローチャートである。図11において、ステップS21〜ステップS23は、実施形態1と同様である。ステップS23に続いてステップS24’では、アクセス元プロセス完全性判定部17Aは、「アクセス対象ファイルのプロセスACL_L2−2に、アクセス元プロセスP1の実行ファイルパスの記載があること」の真偽を判定する。アクセス元プロセス完全性判定部17Aは、「アクセス対象ファイルのプロセスACL_L2−2に、アクセス元プロセスP1の実行ファイルパスの記載があること」が真であれば、「アクセス元プロセス完全性V2」の判定結果をOKと判定する。一方、アクセス元プロセス完全性判定部17Aは、「アクセス対象ファイルのプロセスACL_L2−2に、アクセス元プロセスP1の実行ファイルパスの記載があること」が偽であれば「アクセス元プロセス完全性V2」の判定結果をNGと判定する(以上、ステップS24’)。
実施形態2のアクセス制御装置10Aは、「制御フラグ」を導入せず、「アクセス完全性V3」の判定結果がNGのとき、常に“遮断モード”で動作するが、これに限られず、常に“記録モード”で動作するとしてもよい。
図4および図9に示すアクセス制御装置10、10Aの各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、アクセス制御装置10、10Aの機能の分散および統合の具体的形態は図示のものに限られず、全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。例えば、アクセス検知・制御部14は、アクセス検知部と、アクセス制御部とに分散されてもよい。
図12は、プログラムが実行されることにより、アクセス制御装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。コンピュータ1000において、これらの各部はバス1080によって接続される。
F1 アクセス対象ファイル
P1 アクセス元プロセス
L1、L1A アクセス対象ファイルリスト
L2、L2A リスト群
L2−1 ファイルパス
L2−2 プロセスACL
L2−3 依存プロセスリスト
L3 不完全プロセスリスト
10、10A アクセス制御装置
11、11A 記憶部
12 制御部
13 入出力部
14 アクセス検知・制御部
15 データ取得部
16 ファイルデータ完全性判定部
17、17A アクセス元プロセス完全性判定部
18 不完全プロセスリスト管理部
19、19A アクセス制御判定部
20 ファイル管理システム
1000 コンピュータ
1010 メモリ
1030 ハードディスクドライブインタフェース
1031 ハードディスクドライブ
1040 ディスクドライブインタフェース
1041 ディスクドライブ
1050 シリアルポートインタフェース
1051 マウス
1052 キーボード
1060 ビデオアダプタ
1061 ディスプレイ
1070 ネットワークインタフェース
1080 バス
1092 アプリケーションプログラム
1093 プログラムモジュール
1094 プログラムデータ
Claims (8)
- ファイルへのアクセスを許可されている許可プロセスの識別情報を該ファイルごとに記憶し、ファイルに依存する依存プロセスの識別情報を該ファイルごとに記憶するとともに、該依存プロセスのうち該ファイルが改ざんされていると判定された不完全プロセスの識別情報を記憶する記憶部と、
ファイルに対するアクセス元プロセスのアクセスを検知する検知部と、
ファイルのファイルデータに基づいて、該ファイルが改ざんされているか否かを判定するファイル判定部と、
前記検知部によりファイルに対するアクセスが検知されたアクセス元プロセスの識別情報が前記許可プロセスの識別情報に含まれているか否かを判定し、前記アクセス元プロセスの識別情報が前記不完全プロセスの識別情報に含まれているか否かを判定するプロセス判定部と、
前記ファイル判定部により、前記アクセス元プロセスがアクセスしようとしているファイルが改ざんされていないと判定され、かつ、前記アクセス元プロセスの識別情報が前記許可プロセスの識別情報に含まれていると判定され、かつ、前記アクセス元プロセスの識別情報が前記不完全プロセスの識別情報に含まれていないと判定された場合には、該ファイルに対する前記アクセス元プロセスのアクセスを安全と判定し、該ファイルが改ざんされていると判定された、または、前記アクセス元プロセスの識別情報が前記許可プロセスの識別情報に含まれていないと判定された、または、前記アクセス元プロセスの識別情報が前記不完全プロセスの識別情報に含まれていると判定された場合には、該ファイルに対する前記アクセス元プロセスのアクセスを危険と判定するアクセス制御判定部と
を備えたことを特徴とするアクセス制御装置。 - ファイルへのアクセスを許可されている許可プロセスの識別情報を該ファイルごとに記憶し、遮断モードおよび記録モードのいずれかのモードを示す制御フラグを前記ファイルの識別情報それぞれに対応付けて記憶する記憶部と、
ファイルに対するアクセス元プロセスのアクセスを検知し、アクセス先ファイルに対するアクセスを検知したアクセス元プロセスのアクセスを一時停止させる検知部と、
ファイルのファイルデータに基づいて、該ファイルが改ざんされているか否かを判定するファイル判定部と、
前記検知部によりファイルに対するアクセスが検知されたアクセス元プロセスの識別情報が前記許可プロセスの識別情報に含まれているか否かを判定するプロセス判定部と、
前記ファイル判定部により、前記アクセス元プロセスがアクセスしようとしているファイルが改ざんされていないと判定され、かつ、前記アクセス元プロセスの識別情報が前記許可プロセスの識別情報に含まれていると判定された場合には、該ファイルに対する前記アクセス元プロセスのアクセスを安全と判定し、該ファイルが改ざんされていると判定された、または、前記アクセス元プロセスの識別情報が前記許可プロセスの識別情報に含まれていないと判定された場合には、該ファイルに対する前記アクセス元プロセスのアクセスを危険と判定するアクセス制御判定部と、
前記アクセス制御判定部により、前記アクセス先ファイルに対する前記アクセス元プロセスのアクセスが前記危険と判定された際、前記アクセス先ファイルの識別情報に対応する前記制御フラグが前記遮断モードを示す場合には前記一時停止を解除せず該アクセスを遮断し、前記制御フラグが前記記録モードを示す場合には前記一時停止を解除するアクセス制御部と
を備えたことを特徴とするアクセス制御装置。 - さらに、
前記記憶部は、前記アクセス元プロセスが依存する依存対象ファイルの識別情報を記憶し、
前記ファイル判定部は、前記アクセス元プロセスが依存する依存対象ファイルが改ざんされているか否かを判定する
ことを特徴とする請求項1または2に記載のアクセス制御装置。 - さらに、
前記検知部は、アクセス先ファイルに対するアクセスを検知したアクセス元プロセスのアクセスを一時停止させ、
前記アクセス制御判定部により、前記安全とされた前記アクセス元プロセスのアクセスの一時停止を解除し、前記危険とされた前記アクセス元プロセスのアクセスの一時停止を解除せず、該アクセスを遮断するアクセス制御部
を備えたことを特徴とする請求項1〜3のいずれか1項に記載のアクセス制御装置。 - さらに、
前記ファイル判定部および前記プロセス判定部による判定結果を記録する
ことを特徴とする請求項1〜4のいずれか1項に記載のアクセス制御装置。 - アクセス制御装置が実行するアクセス制御方法であって、
ファイルに対するアクセス元プロセスのアクセスを検知する検知ステップと、
ファイルのファイルデータに基づいて、該ファイルが改ざんされているか否かを判定するファイル判定ステップと、
前記検知ステップによりファイルに対するアクセスが検知されたアクセス元プロセスの識別情報が、ファイルへのアクセスを許可されている許可プロセスの識別情報を該ファイルごとに記憶部に記憶されている前記許可プロセスの識別情報に含まれているか否かを判定し、ファイルに依存する依存プロセスの識別情報を該ファイルごとに前記記憶部に記憶されるとともに、該依存プロセスのうち前記ファイル判定ステップにより該ファイルが改ざんされていると判定されて前記記憶部に記憶された不完全プロセスの識別情報に、前記アクセス元プロセスの識別情報が含まれているか否かを判定するプロセス判定ステップと、
前記ファイル判定ステップにより、前記アクセス元プロセスがアクセスしようとしているファイルが改ざんされていないと判定され、かつ、前記アクセス元プロセスの識別情報が前記許可プロセスの識別情報に含まれていると判定され、かつ、前記アクセス元プロセスの識別情報が前記不完全プロセスの識別情報に含まれていないと判定された場合には、該ファイルに対する前記アクセス元プロセスのアクセスを安全と判定し、該ファイルが改ざんされていると判定された、または、前記アクセス元プロセスの識別情報が前記許可プロセスの識別情報に含まれていないと判定された、または、前記アクセス元プロセスの識別情報が前記不完全プロセスの識別情報に含まれていると判定された場合には、該ファイルに対する前記アクセス元プロセスのアクセスを危険と判定するアクセス制御判定ステップと
を含んだことを特徴とするアクセス制御方法。 - アクセス制御装置が実行するアクセス制御方法であって、
ファイルに対するアクセス元プロセスのアクセスを検知し、アクセス先ファイルに対するアクセスを検知したアクセス元プロセスのアクセスを一時停止させる検知ステップと、
ファイルのファイルデータに基づいて、該ファイルが改ざんされているか否かを判定するファイル判定ステップと、
前記検知ステップによりファイルに対するアクセスが検知されたアクセス元プロセスの識別情報が、ファイルへのアクセスを許可されている許可プロセスの識別情報を該ファイルごとに記憶部に記憶されている前記許可プロセスの識別情報に含まれているか否かを判定するプロセス判定ステップと、
前記ファイル判定ステップにより、前記アクセス元プロセスがアクセスしようとしているファイルが改ざんされていないと判定され、かつ、前記アクセス元プロセスの識別情報が前記許可プロセスの識別情報に含まれていると判定された場合には、該ファイルに対する前記アクセス元プロセスのアクセスを安全と判定し、該ファイルが改ざんされていると判定された、または、前記アクセス元プロセスの識別情報が前記許可プロセスの識別情報に含まれていないと判定された場合には、該ファイルに対する前記アクセス元プロセスのアクセスを危険と判定するアクセス制御判定ステップと、
前記アクセス制御判定ステップにより、前記アクセス先ファイルに対する前記アクセス元プロセスのアクセスが前記危険と判定された際、前記ファイルの識別情報それぞれに対応付けて前記記憶部に記憶されている遮断モードおよび記録モードのいずれかのモードを示す制御フラグを参照し、前記アクセス先ファイルの識別情報に対応する前記制御フラグが前記遮断モードを示す場合には前記一時停止を解除せず該アクセスを遮断し、前記制御フラグが前記記録モードを示す場合には前記一時停止を解除するアクセス制御ステップと
を含んだことを特徴とするアクセス制御方法。 - 請求項1〜5のいずれか1項に記載のアクセス制御装置としてコンピュータを機能させるためのアクセス制御プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017126639A JP6787841B2 (ja) | 2017-06-28 | 2017-06-28 | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017126639A JP6787841B2 (ja) | 2017-06-28 | 2017-06-28 | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019008732A JP2019008732A (ja) | 2019-01-17 |
JP6787841B2 true JP6787841B2 (ja) | 2020-11-18 |
Family
ID=65027001
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017126639A Active JP6787841B2 (ja) | 2017-06-28 | 2017-06-28 | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6787841B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116685974A (zh) | 2021-01-13 | 2023-09-01 | 日本电信电话株式会社 | 篡改检测装置、篡改检测方法及篡改检测程序 |
JPWO2022153410A1 (ja) | 2021-01-13 | 2022-07-21 |
-
2017
- 2017-06-28 JP JP2017126639A patent/JP6787841B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019008732A (ja) | 2019-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102307534B1 (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
US8042186B1 (en) | System and method for detection of complex malware | |
CN102651061B (zh) | 用于检测复杂恶意软件的系统和方法 | |
JP4936294B2 (ja) | マルウェアに対処する方法及び装置 | |
US11675905B2 (en) | System and method for validating in-memory integrity of executable files to identify malicious activity | |
US9104860B2 (en) | Systems, methods and media for managing process image hijacks | |
CN107330328B (zh) | 防御病毒攻击的方法、装置及服务器 | |
CN110188547B (zh) | 一种可信加密系统及方法 | |
JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
AU2021319159B2 (en) | Advanced ransomware detection | |
EP2492833A1 (en) | Method and apparatus for detecting malicious software | |
TWI607338B (zh) | 儲存裝置及其資料保護方法與資料保護系統 | |
JP6787841B2 (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
CN106997435B (zh) | 一种操作系统安全防控的方法、装置及系统 | |
US9967263B2 (en) | File security management apparatus and management method for system protection | |
CN110348180B (zh) | 一种应用程序启动控制方法和装置 | |
KR102463814B1 (ko) | 서버 모니터링 방법 및 장치 | |
KR102017016B1 (ko) | 악성프로그램 처리장치 및 처리방법 | |
CN112800416A (zh) | 一种用于调用链的安全防护系统及方法 | |
JP5126495B2 (ja) | 安全度評価と連動するセキュリティの方針設定装置、そのプログラムおよびその方法 | |
JP7119480B2 (ja) | アプリケーション実行権限管理装置、方法およびプログラム | |
WO2009048158A1 (ja) | ファイルチェック装置、ファイルチェックプログラムおよびファイルチェック方法 | |
KR20090080469A (ko) | 프로그램의 설치 방지 방법 및 장치 | |
RU2595510C1 (ru) | Способ исключения процессов из антивирусной проверки на основании данных о файле | |
CN116186700A (zh) | 基于凭据行为识别恶意软件的方法、系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190522 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200227 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200317 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200518 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201027 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201029 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6787841 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |