JP6851212B2 - Access monitoring system - Google Patents
Access monitoring system Download PDFInfo
- Publication number
- JP6851212B2 JP6851212B2 JP2017022202A JP2017022202A JP6851212B2 JP 6851212 B2 JP6851212 B2 JP 6851212B2 JP 2017022202 A JP2017022202 A JP 2017022202A JP 2017022202 A JP2017022202 A JP 2017022202A JP 6851212 B2 JP6851212 B2 JP 6851212B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- processing unit
- operation log
- information
- log information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims description 27
- 230000002159 abnormal effect Effects 0.000 claims description 103
- 238000012545 processing Methods 0.000 claims description 82
- 238000001514 detection method Methods 0.000 claims description 80
- 230000010365 information processing Effects 0.000 claims description 19
- 238000000034 method Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000005856 abnormality Effects 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Description
本発明は,ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムに関する。 The present invention relates to an access monitoring system that monitors access to shared resources in a network.
企業や学校,官公庁などの諸団体(以下,「企業等」という)の業務ではコンピュータが複数使用されており,それらはネットワークによって接続されている。そしてコンピュータには多種多様な情報が記憶されているため,ネットワーク内のコンピュータに障害などの異常が発生した場合には,業務に支障が生じるほか,情報の外部流出などの場合にはコンプライアンス上の問題も発生しうる。そのため,企業等ではネットワーク内に異常が発生していないかを日々監視している。 Multiple computers are used in the business of companies, schools, government offices, and other organizations (hereinafter referred to as "corporations, etc."), and they are connected by a network. And since a wide variety of information is stored in the computer, if an abnormality such as a failure occurs in the computer in the network, the business will be hindered, and in the case of information leakage to the outside, compliance will be taken. Problems can also occur. Therefore, companies and others monitor daily for any abnormalities in the network.
とくに企業等では複数の担当者などで共通の業務を行うなどの必要性から,共通の業務に用いるファイルやフォルダ,あるいはファイルサーバやデータベースサーバなどのサーバなどは,複数のコンピュータからアクセス可能に設定されている。ここで複数のコンピュータからアクセス可能なファイル(共有ファイル)やフォルダ(共有フォルダ)を共有リソースと呼び,共有リソースを記憶するサーバを共有サーバと呼ぶこととする。共有リソースを共有する場合のシステムの一例を下記特許文献1に示す。
Especially in companies, etc., because it is necessary for multiple persons in charge to perform common tasks, files and folders used for common tasks, or servers such as file servers and database servers are set to be accessible from multiple computers. Has been done. Here, files (shared files) and folders (shared folders) that can be accessed from multiple computers are called shared resources, and a server that stores shared resources is called a shared server. An example of a system for sharing shared resources is shown in
共有リソースは,複数の担当者などで利用することからその重要性は高い。そのため,下記特許文献2に示すように,そのアクセス権限は厳密に管理されている。
Shared resources are very important because they are used by multiple persons in charge. Therefore, as shown in
近年,サイバー攻撃の一手法として,ランサムウェアを用いたものが知られている。ランサムウェアとは,感染したコンピュータに対して,操作者の意に反して,当該コンピュータをロックしたり,ファイルを暗号化するなどして使用不能とせしめた上で,元の状態に戻すことと引き替えに,不当に金銭を要求する,不正プログラムの一種である。多くの場合,電子メールに含まれる悪意ある添付ファイルを開いた際に,その不正プログラムがインストールされたり,改ざんされた正規のウェブサイトから,脆弱性を攻撃する不正なウェブサイトに誘導されたりするなどして,コンピュータをランサムウェアに感染させる。 In recent years, a method using ransomware has been known as a method of cyber attack. Ransomware is to make an infected computer unusable by locking the computer or encrypting files against the intention of the operator, and then returning it to its original state. It is a type of malicious program that unreasonably demands money in exchange. In many cases, when a malicious attachment contained in an email is opened, the malicious program is installed or the malicious website that has been tampered with is directed to the malicious website that attacks the vulnerability. Infect your computer with ransomware.
コンピュータがランサムウェアに感染した場合,そのコンピュータに対する操作ができなくなるほか,感染したコンピュータや,ネットワーク共有しているファイルが暗号化されて使用不能になるなど,業務に対する支障が大きい。また,金銭の要求に応じた場合には経済的損害も発生する。 When a computer is infected with ransomware, it becomes impossible to operate the computer, and the infected computer and files shared on the network are encrypted and become unusable. In addition, financial damage will occur if the request for money is met.
一方,ランサムウェアに感染したコンピュータがネットワークにある場合には,ほかのコンピュータへの感染を防止するため,できる限り早期に,感染したコンピュータをネットワークから切り離す必要がある。 On the other hand, if a computer infected with ransomware is on the network, it is necessary to disconnect the infected computer from the network as soon as possible to prevent infection to other computers.
とくにネットワーク内の共有リソースがランサムウェアによって使用不能状態になると,企業等の業務が広範に停止する可能性があり,その影響は,一台のコンピュータが感染した場合とは比較にならないほど大きくなる。 In particular, if shared resources in the network become unusable due to ransomware, the business of companies etc. may be stopped extensively, and the impact will be incomparably greater than when one computer is infected. ..
そこでランサムウェアへの感染を防止するため,ウィルス対策ソフトなどが用いられているが,ウィルス対策ソフトはランサムウェアを検知するという入口対策のみを実行するものであって,ウィルス対策ソフトで検出できなかった(入口対策が突破された)場合には,現状,有効な対策は殆ど存在していない。 Therefore, antivirus software is used to prevent infection with ransomware, but antivirus software only implements entrance measures to detect ransomware and cannot be detected by antivirus software. In the case of (the entrance measures have been breached), there are almost no effective measures at present.
なぜならば共有リソースへのアクセスについて,それが通常のアクセスなのか,異常なアクセスなのかを判定することが容易ではなかったためである。 This is because it was not easy to determine whether the access to the shared resource was a normal access or an abnormal access.
本発明者は上述の問題点に鑑み,アクセス監視システムを発明した。 The present inventor has invented an access monitoring system in view of the above problems.
第1の発明は,ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムであって,前記アクセス監視システムは,前記共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部と,前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部と,前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部と,前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部と,を備えるアクセス監視システムである。 The first invention is an access monitoring system that monitors access to a shared resource in a network, and the access monitoring system is based on detection history information indicating that the shared resource has been accessed. An abnormal access determination processing unit that determines whether there is an abnormal access to the shared resource, and an operation log that generates operation log information including information indicating that there was an abnormal access when it is determined that there is an abnormal access. Abnormal access was performed in the information processing unit, the operation log information determination processing unit that determines whether or not the shared resource was abnormally accessed based on the operation log information, and the operation log information determination processing unit. It is an access monitoring system including a notification processing unit that gives a predetermined notification when the determination is made.
本発明では,検出履歴情報を用いて共有リソースへの異常アクセスがあったかを判定することで,通常のアクセスか否かを判定可能となる。その結果,ウィルス対策ソフトによる入口対策が突破された場合であっても,ランサムウェアなどに対して有効な処置を迅速に採ることが可能となる。 In the present invention, it is possible to determine whether or not the access is normal by determining whether or not there has been an abnormal access to the shared resource using the detection history information. As a result, even if the entrance countermeasures by antivirus software are breached, it is possible to quickly take effective measures against ransomware and the like.
上述の発明において,前記アクセス監視システムは,UNCが含まれている検出情報を前記共有リソースへのアクセスがあると判定する共有リソースアクセス判定処理部と,前記検出情報に日時情報を付して検出履歴情報として前記検出履歴情報記憶部に記憶させる検出履歴情報生成処理部と,を備えるアクセス監視システムのように構成することができる。 In the above-described invention, the access monitoring system detects the detection information including the UNC by adding the date and time information to the shared resource access determination processing unit that determines that the shared resource is accessed. It can be configured like an access monitoring system including a detection history information generation processing unit that stores the detection history information storage unit as history information.
共有リソースへのアクセスがあったか否かはさまざまな方法で判定することができるが,本発明のように,UNCを用いて判定することで,簡便括確実に判定することが可能となる。 Whether or not the shared resource has been accessed can be determined by various methods, but by determining using the UNC as in the present invention, it is possible to make a simple and reliable determination.
上述の発明において,前記異常アクセスの判定は,前記共有リソースへのアクセス数,アクセスした共有リソースのデータ量,アクセス時間,アクセスした共有リソースの数,アクセスした共有サーバの数のいずれか一以上を用いて判定する,アクセス監視システムのように構成することができる。 In the above-described invention, the determination of the abnormal access is performed by determining any one or more of the number of accesses to the shared resource, the amount of data of the shared resource accessed, the access time, the number of shared resources accessed, and the number of shared servers accessed. It can be configured like an access monitoring system that uses and judges.
異常アクセスかの判定は,本発明のような要素を考慮することが好ましい。 It is preferable to consider factors such as those of the present invention in determining whether or not the access is abnormal.
第1の発明は,本発明のプログラムをコンピュータに読み込ませて実行することで実現できる。すなわち,コンピュータを,共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部,前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部,前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部,前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部,として機能させるアクセス監視プログラムのように構成することができる。 The first invention can be realized by loading and executing the program of the present invention in a computer. That is, the abnormal access determination processing unit that determines whether or not there is an abnormal access to the shared resource, determines that the computer has the abnormal access, based on the detection history information indicating that the shared resource has been accessed. If so, the operation log information processing unit that generates operation log information including information indicating that there was an abnormal access, and the operation log that determines whether the shared resource has been abnormally accessed based on the operation log information. When the information determination processing unit and the operation log information determination processing unit determine that an abnormal access has been performed, it can be configured like an access monitoring program that functions as a notification processing unit that gives a predetermined notification.
本発明のアクセス監視システムによって,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行うことができる。そのため,ランサムウェアが共有リソースに不正な処理を実行することによる被害の拡大に対し,迅速に対策を行うことが可能となる。 The access monitoring system of the present invention can determine whether or not the access to the shared resource is an abnormal access. Therefore, it is possible to quickly take countermeasures against the spread of damage caused by ransomware performing illegal processing on shared resources.
本発明のアクセス監視システム1のイメージ図の一例を図1に,アクセス監視システム1の構成の一例を示す概念図を図2に示す。
FIG. 1 shows an example of an image diagram of the
アクセス監視システム1は,企業等のネットワークおよびそのネットワーク内のコンピュータを監視するためのコンピュータシステムであって,マスターサーバ2やクライアント端末3,管理端末4,共有リソースなどから構成される。
The
アクセス監視システム1のマスターサーバ2,クライアント端末3,管理端末4は,サーバやパーソナルコンピュータなどの各種のコンピュータにより実現される。図3にコンピュータのハードウェア構成の一例を示す。コンピュータは,プログラムの演算処理を実行するCPUなどの演算装置70と,情報を記憶するRAMやハードディスクなどの記憶装置71と,ディスプレイなどの表示装置72と,キーボードやポインティングデバイス(マウスやテンキーなど)などの入力装置73と,演算装置70の処理結果や記憶装置71に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置74とを有している。
The
図1および図2ではマスターサーバ2が一台のコンピュータで実現される場合を示したが,複数台のコンピュータにその機能が分散配置され,実現されても良い。
Although FIGS. 1 and 2 show a case where the
本発明における各手段は,その機能が論理的に区別されているのみであって,物理上あるいは事実上は同一の領域を為していても良い。 Each means in the present invention has only a logical distinction in its function, and may form the same area physically or substantially.
企業等のネットワークには,マスターサーバ2,管理端末4,クライアント端末3,共有サーバ5などが存在している。
A
管理端末4はネットワークの管理を行う管理者が操作するコンピュータであり,管理端末4を介してマスターサーバ2をコントロールし,またマスターサーバ2からの各種通知などを受け取る。
The
共有サーバ5は,複数のユーザがアクセスする各種ファイル,フォルダ,データなどである共有リソースを記憶,管理するサーバである。共有サーバ5としては,たとえばファイルサーバ,データベースサーバなどがある。
The shared
クライアント端末3は,企業等における一般ユーザが操作するコンピュータであり,必要に応じて共有サーバ5内の共有リソースにアクセスし,各種ファイルなどの閲覧等の操作を行う。また,クライアント端末3には,クライアント端末3における操作を示す操作ログ情報を生成し,マスターサーバ2に定期的にまたは不定期に送る。
The
クライアント端末3にはエージェントプログラムが備えられており,エージェントプログラムは,検出履歴情報処理部31と異常アクセス判定処理部33と操作ログ情報処理部34との機能を備える。また,クライアント端末3にはエージェントプログラムが処理を実行するための検出履歴情報記憶部32を備える。
The
検出履歴情報処理部31は,共有リソースアクセス判定処理部311と検出履歴情報取得処理部とを備えており,共有サーバ5における共有リソースへのアクセスがあったことを示す情報を検出履歴情報として取得する。
The detection history information processing unit 31 includes a shared resource access
共有リソースアクセス判定処理部311は,クライアント端末3のOS(Operating System)が出力するファイルシステム上の情報(これを検出情報とよぶ)を参照し,UNC(Universal Naming Convention:「\\」,「//」で始まるファイルパス)が含まれる検出情報があるかを判定し,UNCが含まれている検出情報を共有リソースへのアクセスがあると判定して,その検出情報を取得する。検出情報は,クライアント端末3における操作の履歴を示す情報であり,ドライバの起動や当該起動したドライバでフォルダにアクセスしたことなどが判定できる情報であって,クライアント端末3における操作内容,アクセスした先,アプリケーション名などの情報が含まれている。
The shared resource access
検出履歴情報生成処理部312は,共有リソースアクセス判定処理部311が取得した検出情報に日時情報を付して検出履歴情報として生成し,後述する検出履歴情報記憶部32に記憶させる。検出履歴情報は,検出情報に日時情報が付加された情報である。
The detection history information generation processing unit 312 attaches date and time information to the detection information acquired by the shared resource access
検出履歴情報記憶部32は,検出履歴情報処理部31における検出履歴情報生成処理部312が生成した検出履歴情報を記憶する。なお検出履歴情報記憶部32では,検出履歴情報を日時情報に基づいて時系列的に記憶していることが好ましい。
The detection history
異常アクセス判定処理部33は,検出履歴情報記憶部32に記憶する検出履歴情報に基づいて,共有リソースへの異常アクセスがあるかを判定する。異常アクセスがあるかの判定方法としては,たとえば,一定期間内の検出履歴情報に基づいて,所定の条件を充足しているか,によって判定できる。
The abnormal access
所定の条件としては,操作内容がファイルオープンであり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(ファイルオープン数),操作内容がファイル保存(または書込)であり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(ファイル保存数),操作内容がファイルオープンであり,そのアクセス先が共有リソースである共有リソースのデータ量の一定期間内の合計値が所定の閾値以上であるか(オープンしたファイルのデータ量の合計),操作内容がファイル保存(または書込)であり,そのアクセス先が共有リソースである共有リソースのデータ量の一定期間内の合計値が所定の閾値以上であるか(保存したファイルのデータ量の合計),操作内容がファイル削除であり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(共有リソースの削除回数)などがある。 As a predetermined condition, the operation content is file open, and the number of detection history information whose access destination is a shared resource within a certain period is equal to or more than a predetermined threshold (number of file open), or the operation content is saved in a file. (Or write), the number of detection history information whose access destination is a shared resource within a certain period is equal to or greater than a predetermined threshold (number of saved files), or the operation content is file open and the access destination Is a shared resource The total value of the data amount of the shared resource within a certain period is equal to or more than a predetermined threshold (total amount of data of the opened file), or the operation content is file save (or write). The access destination is a shared resource Whether the total value of the data amount of the shared resource within a certain period is equal to or more than a predetermined threshold (total amount of data of the saved file), the operation content is file deletion, and the access destination is Whether the number of detection history information that is a shared resource within a certain period is equal to or greater than a predetermined threshold (number of times the shared resource is deleted) and the like.
さらに,ほかの条件としては,共有リソースのアクセス数(オープン数),アクセスした共有リソースのバイト数の合計値の変化量が急激に増加した場合,異常と判定するようにしてもよい。たとえば単位時間を10分,分解能を1分,アクセス数の上限を200と設定した場合であって,共有リソースへのアクセス数が図5であったとする。図5(a)は分解能ごとのアクセス数の表であり,図5(b)は分解能ごとのアクセス数のグラフである。 Furthermore, as another condition, if the amount of change in the total value of the number of accesses (open number) of the shared resource and the number of bytes of the accessed shared resource suddenly increases, it may be determined as abnormal. For example, suppose that the unit time is set to 10 minutes, the resolution is set to 1 minute, and the upper limit of the number of accesses is set to 200, and the number of accesses to the shared resource is shown in FIG. FIG. 5A is a table of the number of accesses for each resolution, and FIG. 5B is a graph of the number of accesses for each resolution.
そして,異常アクセス判定処理部33は,分解能ごとに単位時間あたりのアクセス数を合計し,そのアクセス数と閾値との関係が所定条件を充足しているかで異常アクセスであるかを判定する。すなわち,最初に0〜9分を単位時間としてその間のアクセス数を合計し,つぎの単位時間として1〜10分としてその間のアクセス数を合計する。これを最後の分解能に到達するまで反復する。そして単位時間ごとにアクセス数と閾値とを比較し,たとえばアクセス数が閾値を超過する,アクセス数が閾値を下回るなど,所定の条件を充足したかを判定することとなる。この判定処理を図6に示す。図6(a)は単位時間あたりのアクセス数を示す表であり,図6(b)は単位時間あたりのアクセス数を示すグラフである。なお,図6に示すように,異常アクセスが発生したこと,異常アクセスが終了したことを区別して判定してもよい。
Then, the abnormal access
操作ログ情報処理部34は,異常アクセス判定処理部33において,異常アクセスがあることを判定した場合には,異常アクセスがあることを示す操作ログ情報などの操作履歴を示す情報を生成し,マスターサーバ2に送る。以下の説明では操作履歴を示す情報として操作ログ情報である場合を説明するが,操作ログ情報に限られるものではない。
When the operation log
操作ログ情報処理部34は,異常アクセス判定処理部33において異常アクセスがあることを判定した操作ログ情報のみならず,通常の操作が行われた場合にも検出履歴情報に基づいて操作ログ情報が生成され,定期的にまたは不定期にマスターサーバ2に操作ログ情報を送る。そして,操作ログ情報は異常アクセスがあることを示す操作ログ情報を生成した場合には,通常の操作ログ情報を送るタイミングとは別に,直ちにマスターサーバ2にその操作ログ情報を送ることが好ましいが,それに限定されるものではない。なお,操作ログ情報とは,検出履歴情報における操作内容に加えて,操作内容として「異常アクセスを示す情報」が含まれている情報である。すなわち検出履歴情報と操作ログ情報とは,異常アクセスを示す情報を含むか否かで相違する。なお,操作ログ情報としては,上記のように異常アクセスの判定をした場合以外の検出履歴情報をそのまま用いてもよい。
The operation log
また,操作ログ情報処理部34が操作ログ情報を生成する際に,異常アクセス判定処理部33が,図6に示すように,異常アクセスが発生したこと,異常アクセスが終了したことを区別して判定している場合には,操作内容として「異常アクセス実行」,「異常アクセス終了」と異常アクセスを区別した操作ログ情報を生成し,マスターサーバ2に送ってもよい。
Further, when the operation log
なお操作ログ情報処理部34が生成した操作ログ情報などの操作履歴を示す情報は,クライアント端末3の所定の記憶装置71においても記憶されていることがよい。
Information indicating the operation history, such as the operation log information generated by the operation log
マスターサーバ2は,ネットワーク全体の管理,監視をしており,操作ログ情報取得処理部21,操作ログ情報記憶部22,操作ログ情報判定処理部23,通知処理部24とを備える。
The
操作ログ情報取得処理部21は,クライアント端末3から送信された操作ログ情報などの操作履歴を示す情報を取得し,後述する操作ログ情報記憶部22に記憶させる。
The operation log information
操作ログ情報記憶部22は,操作ログ情報取得処理部21で取得した操作ログ情報などの操作履歴を示す情報を記憶する。
The operation log information storage unit 22 stores information indicating the operation history, such as the operation log information acquired by the operation log information
操作ログ情報判定処理部23は,操作ログ情報取得処理部21で取得した操作ログ情報などの操作履歴を示す情報のうち,「異常アクセスを示す情報」が含まれている操作履歴情報があるかを判定する。たとえば操作ログ情報における操作内容として「異常アクセス実行」を示す情報が含まれていた場合には,「異常アクセスを示す情報」が含まれている操作ログ情報として判定する。
Does the operation log information
通知処理部24は,操作ログ情報判定処理部23において,異常アクセス実行を示す操作履歴情報が含まれていることを判定すると,管理者が操作する管理端末4または管理者の所定の通知先に対して,異常アクセスがあったことを示すアラート通知を送る。この場合,たとえばメッセージングサービスのように,直接,管理端末4に通知を送ってもよいし,あらかじめ登録されている管理者の電子メールアドレスに基づいて,電子メールなどによって送るように構成してもよい。
When the notification processing unit 24 determines in the operation log information
さらに,図6に示すように,クライアント端末3から,操作内容として「異常アクセス実行」,「異常アクセス終了」と異常アクセスを区別した操作ログ情報を取得している場合には,異常アクセスの発生,異常アクセスの終了を区別した通知をそれぞれのタイミングで,管理者が操作する管理端末4または管理者の所定の通知先に対して送るように構成してもよい。
Further, as shown in FIG. 6, when the operation log information that distinguishes between "abnormal access execution" and "abnormal access termination" and abnormal access is acquired from the
つぎに本発明のアクセス監視システム1の処理プロセスの一例を図4のフローチャートを用いて説明する。
Next, an example of the processing process of the
クライアント端末3で何らかの操作や処理等が実行されると,クライアント端末3のOSは検出情報を出力する。そして共有リソースアクセス判定処理部311は,クライアント端末3のOSから出力される検出情報を参照し,UNCが含まれる検出情報があるかを判定する。そしてUNCが含まれている検出情報があることを判定した場合には,共有リソースへのアクセスがあると判定し,その検出情報を取得する。
When some operation or processing is executed on the
そして検出履歴情報生成処理部312は,共有リソースアクセス判定処理部311において共有リソースへのアクセスがあることを判定した検出情報について,日時情報を付して検出履歴情報として生成し,検出履歴情報記憶部32に記憶させる(S100)。
Then, the detection history information generation processing unit 312 generates the detection information determined by the shared resource access
そして検出履歴情報記憶部32に記憶した検出履歴情報に基づいて,異常アクセス判定処理部33が,異常アクセスがあるかを判定する(S110)。
Then, based on the detection history information stored in the detection history
異常アクセス判定処理部33において異常アクセスがあることを判定した場合,操作ログ情報処理部34が,異常アクセスがあることを示す操作ログ情報,たとえば操作内容として「異常アクセス実行」,「異常アクセス終了」などを含み,そのほかに日時情報,アクセス先などの検出履歴情報に基づく情報,当該クライアント端末3の識別情報などを含む操作ログ情報を生成する(S120)。そして生成した操作ログ情報を,操作ログ情報処理部34がマスターサーバ2に送る(S130)。
When the abnormal access
クライアント端末3の操作ログ情報処理部34から送られた操作ログ情報は,マスターサーバ2の操作ログ情報取得処理部21で取得し(S140),操作ログ情報記憶部22に記憶する。
The operation log information sent from the operation log
そして操作ログ情報取得処理部21で取得した操作ログ情報に,異常アクセスを示す情報が含まれているかを,マスターサーバ2の操作ログ情報判定処理部23が判定をする(S150)。たとえば操作ログ情報の操作内容として「異常アクセス実行」,「異常アクセス終了」などの情報が含まれているかを判定する。
Then, the operation log information
そして異常アクセスを示す情報が含まれていることを判定した場合,通知処理部24は,管理者が操作する管理端末4または管理者の所定の通知先に対して,異常アクセスがあったことを示すアラート通知を送る(S160)。なお,この際に,異常アクセスがあることを示す情報が含まれている操作ログ情報の,日時情報,アクセス先を示す情報,クライアント端末3の識別情報などに基づいて,異常アクセスがあった日時,アクセス先,異常アクセスが行われたクライアント端末3などの情報も通知することが好ましい。
When it is determined that the information indicating the abnormal access is included, the notification processing unit 24 determines that the
以上のような処理を実行することで,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行い,異常アクセスがあった場合には,迅速に管理者に通知をすることが可能となる。 By executing the above processing, it is possible to determine whether the access to the shared resource is an abnormal access, and if there is an abnormal access, promptly notify the administrator. It becomes.
なお,管理者に通知を行うほか,当該クライアント端末3に対して,そのネットワーク通信を遮断することの制御指示をUDP通信によって送ってもよい。この場合,クライアント端末3では,当該制御指示をマスターサーバ2から受け付けると,ネットワーク通信を遮断することの制御指示を受け取ったことの応答を返すとともに,マスターサーバ2とのネットワーク通信以外の通信を遮断する制御を実行する。
In addition to notifying the administrator, a control instruction for blocking the network communication may be sent to the
なお,異常アクセスであるか否かはクライアント端末3のエージェントプログラムにおいて実行することが好ましい。検出履歴情報をマスターサーバ2に随時送信する構成とすると,通信料が多くなり,また異常アクセスであるかの判定処理をマスターサーバ2で行うと,マスターサーバ2の負荷が高くなるためである。一方,検出履歴情報をマスターサーバ2に送り,異常アクセスであるかの判定をマスターサーバ2で行う構成を採るように構成することはできる。
It is preferable that the agent program of the
異常アクセス判定処理部33における異常アクセスの判定方法としては,上述のほか,検出履歴情報に含まれる日時情報に基づいて,共有リソースへの長時間にわたる連続アクセスを判定してもよい。この場合,たとえば,あるファイルがファイルオープンされた日時情報の検出履歴情報と,同一のファイルがファイルクローズされた日時情報の検出履歴情報に基づいて,その時間と回数を判定し,それが所定の閾値を超えているかで異常アクセスか否かを判定する。
As a method of determining abnormal access in the abnormal access
また,別の方法としては,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,アクセスした共有リソースの種類の多様性を判定してもよい。この場合,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,所定の単位時間において,アクセスしている共有リソースの数が所定の閾値を超えているかで異常アクセスか否かを判定する。 Alternatively, the shared resource name may be extracted from the file path included in the detection history information to determine the diversity of the types of shared resources accessed. In this case, the shared resource name is extracted from the file path included in the detection history information, and it is determined whether or not the access is abnormal based on whether the number of shared resources being accessed exceeds a predetermined threshold value in a predetermined unit time. ..
さらに別の方法としては,検出履歴情報に含まれるファイルパスからサーバ名(共有サーバ5名)を抽出し,アクセスした共有リソースが保存されている共有サーバ5の多様性を判定してもよい。この場合,検出履歴情報に含まれるファイルパスから共有サーバ5名を抽出し,所定の単位時間において,アクセスしている共有サーバ5の数が所定の閾値を超えているかで異常アクセスか否かを判定する。
As another method, the server names (five shared servers) may be extracted from the file path included in the detection history information, and the diversity of the shared
加えて,所定の単位時間において,検出履歴情報に含まれる操作内容としてファイルオープン(ファイル読取)した共有リソース数が第一の閾値を超えているものの,検出履歴情報に含まれる操作内容としてファイル保存(ファイル書込)した共有リソース数が第二の閾値を超えていない場合に,異常があると判定する。なお,第一の閾値>第二の閾値である。この場合,多くの共有リソースにアクセスしてデータを収集し,不正持ち出し目的のフォルダにデータを書き込んでいると推測されるので,異常アクセスと判定可能である。 In addition, although the number of shared resources for which the file was opened (file read) as the operation content included in the detection history information exceeds the first threshold value in a predetermined unit time, the file is saved as the operation content included in the detection history information. If the number of shared resources (written to a file) does not exceed the second threshold value, it is determined that there is an error. The first threshold value> the second threshold value. In this case, it is presumed that many shared resources are accessed, data is collected, and the data is written to the folder intended for unauthorized removal, so it can be determined that the access is abnormal.
検出履歴情報には共有リソースにアクセスしているアプリケーション名が含まれているので,異常アクセス判定処理部33は当該アプリケーション名を操作ログ情報に含めてもよい。そしてアプリケーション名を含む操作ログ情報を送ることで,マスターサーバ2の操作ログ情報判定処理部23は,異常アクセスを実行しているアプリケーションを特定でき,通知処理部24が通知を行う場合に,異常アクセスを実行しているアプリケーション名を通知してもよい。
Since the detection history information includes the name of the application accessing the shared resource, the abnormal access
異常アクセス判定処理部33は,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,所定の単位時間において,アクセスしている共有リソースの数を判定する。また,検出履歴情報に含まれる共有履歴情報にアクセスしているアプリケーション名を抽出し,アプリケーションの数を判定する。そして,単位時間における,アクセスされた共有リソースの数と,アクセスを実行したアプリケーションの数との比率が所定条件を充足している場合,たとえば共有リソースの数が多いのに,アプリケーションの数が少ないなどの場合には,不正なアプリケーションが不正に共有リソースにアクセスしている可能性が高いと判定し,異常アクセスであると判定する。
The abnormal access
また別の判定方法としては,共有リソースへのアクセスを指示しているアプリケーションごとにアクセス回数を集計し,特定のアプリケーションが突出してアクセス回数が多い場合,不正アプリケーションであると判定できるので,当該アプリケーションによるアクセスを異常アクセスとして判定する。 As another judgment method, the number of accesses is totaled for each application instructing access to the shared resource, and if a specific application is prominent and the number of accesses is large, it can be determined that the application is an unauthorized application. Access by is judged as abnormal access.
クライアント端末3では,検出履歴情報を生成する場合の表示装置72で表示する画面を画像情報として取得し,それを検出履歴情報に対応付けていてもよい。この場合,異常アクセス判定処理部33において異常アクセスがあることを判定すると,当該検出履歴情報に基づいて生成する操作ログ情報に,当該検出履歴情報に対応する画面の画像情報を送ることで,それを受け取ったマスターサーバ2の通知処理部24が,管理者または管理端末4に対して,異常アクセスの実行を判定した場合の画面を画像情報として通知することができる。
The
実施例1乃至実施例4の変形例として,クライアント端末3の操作ログ情報に異常アクセス実行を示す操作内容が含まれているとして異常アクセスがあったと判定する場合において,操作ログ情報判定処理部23が,複数のクライアント端末3で異常アクセスがあったことを判定すると,通知処理部24が通知するアラート通知の重み付けを変更するように構成してもよい。
As a modification of Examples 1 to 4, when it is determined that an abnormal access has occurred because the operation log information of the
また,操作ログ情報判定処理部23が,異常アクセスがあったと判定する操作ログ情報の数,頻度に応じて,通知処理部24が通知するアラート通知の重み付けを変更するように構成してもよい。
Further, the operation log information
アラート通知の重み付けを変更するとは,操作ログ情報判定処理部23において異常アクセスがあったことを判定したクライアント端末3の数が増加するにしたがって,アラート通知の重要度を高くする。これは,異常アクセスがあったクライアント端末3が増えると,それだけ危険度が高くなるためである。
Changing the weighting of alert notifications increases the importance of alert notifications as the number of
そして重み付けを変更する処理としては,重要度に応じて,アラート通知の回数や頻度を多くする,通知する文字の大きさや,通知自体に重要度を表示するなどがある。また,重要度に応じて通知方法を変更する方法もあり,たとえばメールのみ,メッセージのみ,メールとメッセージの双方,メールとメッセージと電話のすべてなどがある。さらに,重要度に応じて通知範囲を変更することもある。たとえば,本人のみ,本人と管理者,情報セキュリティ担当者,上司,部署内のメンバーなど,重要度が高くなるほど,通知先を増やすように変更してもよい。 The processing for changing the weighting includes increasing the number and frequency of alert notifications according to the importance, displaying the size of the characters to be notified, and displaying the importance in the notification itself. There is also a way to change the notification method according to the importance, for example, mail only, message only, both mail and message, mail and message and all of telephone. Furthermore, the notification range may be changed according to the importance. For example, the number of notification destinations may be increased as the importance increases, such as only the person, the person and the administrator, the person in charge of information security, the boss, and the members in the department.
本発明のアクセス監視システム1によって,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行うことができる。そのため,ランサムウェアが共有リソースに不正な処理を実行することによる被害の拡大に対し,迅速に対策を行うことが可能となる。
The
1:アクセス監視システム
2:マスターサーバ
3:クライアント端末
4:管理端末
5:共有サーバ
21:操作ログ情報取得処理部
22:操作ログ情報記憶部
23:操作ログ情報判定処理部
24:通知処理部
31:検出履歴情報処理部
32:検出履歴情報記憶部
33:異常アクセス判定処理部
34:操作ログ情報処理部
311:共有リソースアクセス判定処理部
312:検出履歴情報生成処理部
70:演算装置
71:記憶装置
72:表示装置
73:入力装置
74:通信装置
1: Access monitoring system 2: Master server 3: Client terminal 4: Management terminal 5: Shared server 21: Operation log information acquisition processing unit 22: Operation log information storage unit 23: Operation log information judgment processing unit 24: Notification processing unit 31 : Detection history information processing unit 32: Detection history information storage unit 33: Abnormal access judgment processing unit 34: Operation log information processing unit 311: Shared resource access judgment processing unit 312: Detection history information generation processing unit 70: Arithmetic device 71: Storage Device 72: Display 73: Input device 74: Communication device
Claims (4)
前記アクセス監視システムは,
前記共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部と,
前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部と,
前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部と,
前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部と,
を備えることを特徴とするアクセス監視システム。 An access monitoring system that monitors access to shared resources in the network.
The access monitoring system is
An abnormal access determination processing unit that determines whether or not there is an abnormal access to the shared resource based on the detection history information indicating that the shared resource has been accessed.
When it is determined that there is an abnormal access, the operation log information processing unit that generates operation log information including information indicating that there was an abnormal access, and the operation log information processing unit
Based on the operation log information, the operation log information determination processing unit that determines whether an abnormal access to the shared resource has been performed, and the operation log information determination processing unit.
When the operation log information determination processing unit determines that an abnormal access has been performed, the notification processing unit that gives a predetermined notification and the notification processing unit
An access monitoring system characterized by being equipped with.
UNCが含まれている検出情報を前記共有リソースへのアクセスがあると判定する共有リソースアクセス判定処理部と,
検出履歴情報を記憶する検出履歴情報記憶部と、
前記検出情報に日時情報を付して検出履歴情報として前記検出履歴情報記憶部に記憶させる検出履歴情報生成処理部と,
を備えることを特徴とする請求項1に記載のアクセス監視システム。 The access monitoring system further
A shared resource access determination processing unit that determines that there is access to the shared resource based on the detection information that includes UNC, and
A detection history information storage unit that stores detection history information,
A detection history information generation processing unit that attaches date and time information to the detection information and stores it in the detection history information storage unit as detection history information.
The access monitoring system according to claim 1, further comprising.
前記共有リソースへのアクセス数,アクセスした共有リソースのデータ量,アクセス時間,アクセスした共有リソースの数,アクセスした共有サーバの数のいずれか一以上を用いて判定する,
ことを特徴とする請求項1または請求項2に記載のアクセス監視システム。 The determination of abnormal access is
Judgment is made using any one or more of the number of accesses to the shared resource, the amount of data of the shared resource accessed, the access time, the number of shared resources accessed, and the number of shared servers accessed.
The access monitoring system according to claim 1 or 2.
共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部,
前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部,
前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部,
前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部,
として機能させることを特徴とするアクセス監視プログラム。
Computer,
An abnormal access determination processing unit that determines whether or not there is an abnormal access to the shared resource based on the detection history information indicating that the shared resource has been accessed.
Operation log information processing unit that generates operation log information including information indicating that there was an abnormal access when it is determined that there is an abnormal access.
Operation log information determination processing unit that determines whether an abnormal access to the shared resource has been performed based on the operation log information.
When the operation log information determination processing unit determines that an abnormal access has been performed, the notification processing unit that gives a predetermined notification,
An access monitoring program characterized by functioning as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017022202A JP6851212B2 (en) | 2017-02-09 | 2017-02-09 | Access monitoring system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017022202A JP6851212B2 (en) | 2017-02-09 | 2017-02-09 | Access monitoring system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018128910A JP2018128910A (en) | 2018-08-16 |
JP6851212B2 true JP6851212B2 (en) | 2021-03-31 |
Family
ID=63173063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017022202A Active JP6851212B2 (en) | 2017-02-09 | 2017-02-09 | Access monitoring system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6851212B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019073720A1 (en) * | 2017-10-11 | 2019-04-18 | 株式会社 オレガ | File access monitoring method, program, and system |
JP6442649B1 (en) * | 2017-10-11 | 2018-12-19 | 株式会社オレガ | File access monitoring method, program, and system |
US11693963B2 (en) | 2019-08-13 | 2023-07-04 | International Business Machines Corporation | Automatic ransomware detection with an on-demand file system lock down and automatic repair function |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003330887A (en) * | 2002-05-15 | 2003-11-21 | Nippon Telegr & Teleph Corp <Ntt> | Illegal access warning device, server device, and illegal access warning program |
JP5155909B2 (en) * | 2009-03-06 | 2013-03-06 | Sky株式会社 | Operation monitoring system and operation monitoring program |
JP2011191823A (en) * | 2010-03-11 | 2011-09-29 | Mitsubishi Electric Corp | Log management server, log management method and log management program |
JP2012084994A (en) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | Malware detection method and malware detection device |
US9419986B2 (en) * | 2014-03-26 | 2016-08-16 | Symantec Corporation | System to identify machines infected by malware applying linguistic analysis to network requests from endpoints |
-
2017
- 2017-02-09 JP JP2017022202A patent/JP6851212B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018128910A (en) | 2018-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200153852A1 (en) | Locally Detecting Phishing Weakness | |
US8141159B2 (en) | Method and system for protecting confidential information | |
US10671724B2 (en) | Techniques for detecting encryption | |
JP4629332B2 (en) | Status reference monitor | |
CA2553429C (en) | Digital asset usage accountability via event journaling | |
US7415726B2 (en) | Controlling access to suspicious files | |
US7814021B2 (en) | Managed distribution of digital assets | |
US8943546B1 (en) | Method and system for detecting and protecting against potential data loss from unknown applications | |
US8613040B2 (en) | Adaptive data loss prevention policies | |
US8893223B1 (en) | Scanning protected files for violations of a data loss prevention policy | |
US20160164893A1 (en) | Event management systems | |
US11100241B2 (en) | Virtual trap protection of data elements | |
JP2008507757A (en) | End user risk management | |
CA2434674A1 (en) | Computer security and management system | |
JP2010026662A (en) | Information leakage prevention system | |
JP6851212B2 (en) | Access monitoring system | |
JP7123488B2 (en) | File access monitoring method, program and system | |
Balinsky et al. | System call interception framework for data leak prevention | |
JP6442649B1 (en) | File access monitoring method, program, and system | |
JP5284012B2 (en) | Client / server system and client / server system audit method | |
JP2020087119A (en) | Information processing apparatus, control method thereof, information processing system, and program | |
Gupta et al. | A secure and lightweight approach for critical data security in cloud | |
JP6517416B1 (en) | Analyzer, terminal device, analysis system, analysis method and program | |
Stallings | Data loss prevention as a privacy-enhancing technology | |
US11748210B2 (en) | Intelligent monitoring of backup, recovery and anomalous user activity in data storage systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200205 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201127 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201215 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210212 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210302 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210309 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6851212 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |