JP6851212B2 - Access monitoring system - Google Patents

Access monitoring system Download PDF

Info

Publication number
JP6851212B2
JP6851212B2 JP2017022202A JP2017022202A JP6851212B2 JP 6851212 B2 JP6851212 B2 JP 6851212B2 JP 2017022202 A JP2017022202 A JP 2017022202A JP 2017022202 A JP2017022202 A JP 2017022202A JP 6851212 B2 JP6851212 B2 JP 6851212B2
Authority
JP
Japan
Prior art keywords
access
processing unit
operation log
information
log information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017022202A
Other languages
Japanese (ja)
Other versions
JP2018128910A (en
Inventor
哲也 楠本
哲也 楠本
哲利 山本
哲利 山本
辰也 昇
辰也 昇
Original Assignee
Sky株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sky株式会社 filed Critical Sky株式会社
Priority to JP2017022202A priority Critical patent/JP6851212B2/en
Publication of JP2018128910A publication Critical patent/JP2018128910A/en
Application granted granted Critical
Publication of JP6851212B2 publication Critical patent/JP6851212B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

本発明は,ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムに関する。 The present invention relates to an access monitoring system that monitors access to shared resources in a network.

企業や学校,官公庁などの諸団体(以下,「企業等」という)の業務ではコンピュータが複数使用されており,それらはネットワークによって接続されている。そしてコンピュータには多種多様な情報が記憶されているため,ネットワーク内のコンピュータに障害などの異常が発生した場合には,業務に支障が生じるほか,情報の外部流出などの場合にはコンプライアンス上の問題も発生しうる。そのため,企業等ではネットワーク内に異常が発生していないかを日々監視している。 Multiple computers are used in the business of companies, schools, government offices, and other organizations (hereinafter referred to as "corporations, etc."), and they are connected by a network. And since a wide variety of information is stored in the computer, if an abnormality such as a failure occurs in the computer in the network, the business will be hindered, and in the case of information leakage to the outside, compliance will be taken. Problems can also occur. Therefore, companies and others monitor daily for any abnormalities in the network.

とくに企業等では複数の担当者などで共通の業務を行うなどの必要性から,共通の業務に用いるファイルやフォルダ,あるいはファイルサーバやデータベースサーバなどのサーバなどは,複数のコンピュータからアクセス可能に設定されている。ここで複数のコンピュータからアクセス可能なファイル(共有ファイル)やフォルダ(共有フォルダ)を共有リソースと呼び,共有リソースを記憶するサーバを共有サーバと呼ぶこととする。共有リソースを共有する場合のシステムの一例を下記特許文献1に示す。 Especially in companies, etc., because it is necessary for multiple persons in charge to perform common tasks, files and folders used for common tasks, or servers such as file servers and database servers are set to be accessible from multiple computers. Has been done. Here, files (shared files) and folders (shared folders) that can be accessed from multiple computers are called shared resources, and a server that stores shared resources is called a shared server. An example of a system for sharing shared resources is shown in Patent Document 1 below.

共有リソースは,複数の担当者などで利用することからその重要性は高い。そのため,下記特許文献2に示すように,そのアクセス権限は厳密に管理されている。 Shared resources are very important because they are used by multiple persons in charge. Therefore, as shown in Patent Document 2 below, the access authority is strictly controlled.

特開2013−235339号公報Japanese Unexamined Patent Publication No. 2013-235339 特開2007−94493号公報Japanese Unexamined Patent Publication No. 2007-94493

近年,サイバー攻撃の一手法として,ランサムウェアを用いたものが知られている。ランサムウェアとは,感染したコンピュータに対して,操作者の意に反して,当該コンピュータをロックしたり,ファイルを暗号化するなどして使用不能とせしめた上で,元の状態に戻すことと引き替えに,不当に金銭を要求する,不正プログラムの一種である。多くの場合,電子メールに含まれる悪意ある添付ファイルを開いた際に,その不正プログラムがインストールされたり,改ざんされた正規のウェブサイトから,脆弱性を攻撃する不正なウェブサイトに誘導されたりするなどして,コンピュータをランサムウェアに感染させる。 In recent years, a method using ransomware has been known as a method of cyber attack. Ransomware is to make an infected computer unusable by locking the computer or encrypting files against the intention of the operator, and then returning it to its original state. It is a type of malicious program that unreasonably demands money in exchange. In many cases, when a malicious attachment contained in an email is opened, the malicious program is installed or the malicious website that has been tampered with is directed to the malicious website that attacks the vulnerability. Infect your computer with ransomware.

コンピュータがランサムウェアに感染した場合,そのコンピュータに対する操作ができなくなるほか,感染したコンピュータや,ネットワーク共有しているファイルが暗号化されて使用不能になるなど,業務に対する支障が大きい。また,金銭の要求に応じた場合には経済的損害も発生する。 When a computer is infected with ransomware, it becomes impossible to operate the computer, and the infected computer and files shared on the network are encrypted and become unusable. In addition, financial damage will occur if the request for money is met.

一方,ランサムウェアに感染したコンピュータがネットワークにある場合には,ほかのコンピュータへの感染を防止するため,できる限り早期に,感染したコンピュータをネットワークから切り離す必要がある。 On the other hand, if a computer infected with ransomware is on the network, it is necessary to disconnect the infected computer from the network as soon as possible to prevent infection to other computers.

とくにネットワーク内の共有リソースがランサムウェアによって使用不能状態になると,企業等の業務が広範に停止する可能性があり,その影響は,一台のコンピュータが感染した場合とは比較にならないほど大きくなる。 In particular, if shared resources in the network become unusable due to ransomware, the business of companies etc. may be stopped extensively, and the impact will be incomparably greater than when one computer is infected. ..

そこでランサムウェアへの感染を防止するため,ウィルス対策ソフトなどが用いられているが,ウィルス対策ソフトはランサムウェアを検知するという入口対策のみを実行するものであって,ウィルス対策ソフトで検出できなかった(入口対策が突破された)場合には,現状,有効な対策は殆ど存在していない。 Therefore, antivirus software is used to prevent infection with ransomware, but antivirus software only implements entrance measures to detect ransomware and cannot be detected by antivirus software. In the case of (the entrance measures have been breached), there are almost no effective measures at present.

なぜならば共有リソースへのアクセスについて,それが通常のアクセスなのか,異常なアクセスなのかを判定することが容易ではなかったためである。 This is because it was not easy to determine whether the access to the shared resource was a normal access or an abnormal access.

本発明者は上述の問題点に鑑み,アクセス監視システムを発明した。 The present inventor has invented an access monitoring system in view of the above problems.

第1の発明は,ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムであって,前記アクセス監視システムは,前記共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部と,前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部と,前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部と,前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部と,を備えるアクセス監視システムである。 The first invention is an access monitoring system that monitors access to a shared resource in a network, and the access monitoring system is based on detection history information indicating that the shared resource has been accessed. An abnormal access determination processing unit that determines whether there is an abnormal access to the shared resource, and an operation log that generates operation log information including information indicating that there was an abnormal access when it is determined that there is an abnormal access. Abnormal access was performed in the information processing unit, the operation log information determination processing unit that determines whether or not the shared resource was abnormally accessed based on the operation log information, and the operation log information determination processing unit. It is an access monitoring system including a notification processing unit that gives a predetermined notification when the determination is made.

本発明では,検出履歴情報を用いて共有リソースへの異常アクセスがあったかを判定することで,通常のアクセスか否かを判定可能となる。その結果,ウィルス対策ソフトによる入口対策が突破された場合であっても,ランサムウェアなどに対して有効な処置を迅速に採ることが可能となる。 In the present invention, it is possible to determine whether or not the access is normal by determining whether or not there has been an abnormal access to the shared resource using the detection history information. As a result, even if the entrance countermeasures by antivirus software are breached, it is possible to quickly take effective measures against ransomware and the like.

上述の発明において,前記アクセス監視システムは,UNCが含まれている検出情報を前記共有リソースへのアクセスがあると判定する共有リソースアクセス判定処理部と,前記検出情報に日時情報を付して検出履歴情報として前記検出履歴情報記憶部に記憶させる検出履歴情報生成処理部と,を備えるアクセス監視システムのように構成することができる。 In the above-described invention, the access monitoring system detects the detection information including the UNC by adding the date and time information to the shared resource access determination processing unit that determines that the shared resource is accessed. It can be configured like an access monitoring system including a detection history information generation processing unit that stores the detection history information storage unit as history information.

共有リソースへのアクセスがあったか否かはさまざまな方法で判定することができるが,本発明のように,UNCを用いて判定することで,簡便括確実に判定することが可能となる。 Whether or not the shared resource has been accessed can be determined by various methods, but by determining using the UNC as in the present invention, it is possible to make a simple and reliable determination.

上述の発明において,前記異常アクセスの判定は,前記共有リソースへのアクセス数,アクセスした共有リソースのデータ量,アクセス時間,アクセスした共有リソースの数,アクセスした共有サーバの数のいずれか一以上を用いて判定する,アクセス監視システムのように構成することができる。 In the above-described invention, the determination of the abnormal access is performed by determining any one or more of the number of accesses to the shared resource, the amount of data of the shared resource accessed, the access time, the number of shared resources accessed, and the number of shared servers accessed. It can be configured like an access monitoring system that uses and judges.

異常アクセスかの判定は,本発明のような要素を考慮することが好ましい。 It is preferable to consider factors such as those of the present invention in determining whether or not the access is abnormal.

第1の発明は,本発明のプログラムをコンピュータに読み込ませて実行することで実現できる。すなわち,コンピュータを,共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部,前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部,前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部,前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部,として機能させるアクセス監視プログラムのように構成することができる。 The first invention can be realized by loading and executing the program of the present invention in a computer. That is, the abnormal access determination processing unit that determines whether or not there is an abnormal access to the shared resource, determines that the computer has the abnormal access, based on the detection history information indicating that the shared resource has been accessed. If so, the operation log information processing unit that generates operation log information including information indicating that there was an abnormal access, and the operation log that determines whether the shared resource has been abnormally accessed based on the operation log information. When the information determination processing unit and the operation log information determination processing unit determine that an abnormal access has been performed, it can be configured like an access monitoring program that functions as a notification processing unit that gives a predetermined notification.

本発明のアクセス監視システムによって,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行うことができる。そのため,ランサムウェアが共有リソースに不正な処理を実行することによる被害の拡大に対し,迅速に対策を行うことが可能となる。 The access monitoring system of the present invention can determine whether or not the access to the shared resource is an abnormal access. Therefore, it is possible to quickly take countermeasures against the spread of damage caused by ransomware performing illegal processing on shared resources.

本発明のアクセス監視システムのイメージ図の一例である。This is an example of an image diagram of the access monitoring system of the present invention. 本発明のアクセス監視システムの構成の一例を模式的に示す概念図である。It is a conceptual diagram which shows typically an example of the structure of the access monitoring system of this invention. コンピュータのハードウェアの構成の一例を模式的に示す概念図である。It is a conceptual diagram which shows an example of the hardware structure of a computer schematically. 本発明のアクセス監視システムの処理プロセスの一例を示すフローチャートである。It is a flowchart which shows an example of the processing process of the access monitoring system of this invention. 共有リソースへのアクセス数の一例を模式的に示す図である。It is a figure which shows an example of the access number to a shared resource schematically. 単位時間と共有リソースへのアクセス数に基づいて異常アクセス判定処理を行う場合の一例を模式的に示す図である。It is a figure which shows typically an example of the case where the abnormal access determination processing is performed based on a unit time and the number of accesses to a shared resource.

本発明のアクセス監視システム1のイメージ図の一例を図1に,アクセス監視システム1の構成の一例を示す概念図を図2に示す。 FIG. 1 shows an example of an image diagram of the access monitoring system 1 of the present invention, and FIG. 2 shows a conceptual diagram showing an example of the configuration of the access monitoring system 1.

アクセス監視システム1は,企業等のネットワークおよびそのネットワーク内のコンピュータを監視するためのコンピュータシステムであって,マスターサーバ2やクライアント端末3,管理端末4,共有リソースなどから構成される。 The access monitoring system 1 is a computer system for monitoring a network of a company or the like and computers in the network, and is composed of a master server 2, a client terminal 3, a management terminal 4, shared resources, and the like.

アクセス監視システム1のマスターサーバ2,クライアント端末3,管理端末4は,サーバやパーソナルコンピュータなどの各種のコンピュータにより実現される。図3にコンピュータのハードウェア構成の一例を示す。コンピュータは,プログラムの演算処理を実行するCPUなどの演算装置70と,情報を記憶するRAMやハードディスクなどの記憶装置71と,ディスプレイなどの表示装置72と,キーボードやポインティングデバイス(マウスやテンキーなど)などの入力装置73と,演算装置70の処理結果や記憶装置71に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置74とを有している。 The master server 2, client terminal 3, and management terminal 4 of the access monitoring system 1 are realized by various computers such as a server and a personal computer. FIG. 3 shows an example of the hardware configuration of the computer. The computer includes an arithmetic unit 70 such as a CPU that executes arithmetic processing of a program, a storage device 71 such as a RAM or a hard disk for storing information, a display device 72 such as a display, and a keyboard or pointing device (mouse, ten-key, etc.). It has an input device 73 such as, and a communication device 74 that transmits and receives the processing result of the arithmetic unit 70 and the information stored in the storage device 71 via a network such as the Internet or LAN.

図1および図2ではマスターサーバ2が一台のコンピュータで実現される場合を示したが,複数台のコンピュータにその機能が分散配置され,実現されても良い。 Although FIGS. 1 and 2 show a case where the master server 2 is realized by one computer, the functions may be distributed and realized by a plurality of computers.

本発明における各手段は,その機能が論理的に区別されているのみであって,物理上あるいは事実上は同一の領域を為していても良い。 Each means in the present invention has only a logical distinction in its function, and may form the same area physically or substantially.

企業等のネットワークには,マスターサーバ2,管理端末4,クライアント端末3,共有サーバ5などが存在している。 A master server 2, a management terminal 4, a client terminal 3, a shared server 5, and the like exist in a network of a company or the like.

管理端末4はネットワークの管理を行う管理者が操作するコンピュータであり,管理端末4を介してマスターサーバ2をコントロールし,またマスターサーバ2からの各種通知などを受け取る。 The management terminal 4 is a computer operated by an administrator who manages the network, controls the master server 2 via the management terminal 4, and receives various notifications from the master server 2.

共有サーバ5は,複数のユーザがアクセスする各種ファイル,フォルダ,データなどである共有リソースを記憶,管理するサーバである。共有サーバ5としては,たとえばファイルサーバ,データベースサーバなどがある。 The shared server 5 is a server that stores and manages shared resources such as various files, folders, and data accessed by a plurality of users. Examples of the shared server 5 include a file server and a database server.

クライアント端末3は,企業等における一般ユーザが操作するコンピュータであり,必要に応じて共有サーバ5内の共有リソースにアクセスし,各種ファイルなどの閲覧等の操作を行う。また,クライアント端末3には,クライアント端末3における操作を示す操作ログ情報を生成し,マスターサーバ2に定期的にまたは不定期に送る。 The client terminal 3 is a computer operated by a general user in a company or the like, and accesses shared resources in the shared server 5 as needed to perform operations such as viewing various files. Further, the client terminal 3 generates operation log information indicating the operation in the client terminal 3 and sends the operation log information to the master server 2 periodically or irregularly.

クライアント端末3にはエージェントプログラムが備えられており,エージェントプログラムは,検出履歴情報処理部31と異常アクセス判定処理部33と操作ログ情報処理部34との機能を備える。また,クライアント端末3にはエージェントプログラムが処理を実行するための検出履歴情報記憶部32を備える。 The client terminal 3 is provided with an agent program, which has functions of a detection history information processing unit 31, an abnormality access determination processing unit 33, and an operation log information processing unit 34. Further, the client terminal 3 is provided with a detection history information storage unit 32 for the agent program to execute processing.

検出履歴情報処理部31は,共有リソースアクセス判定処理部311と検出履歴情報取得処理部とを備えており,共有サーバ5における共有リソースへのアクセスがあったことを示す情報を検出履歴情報として取得する。 The detection history information processing unit 31 includes a shared resource access determination processing unit 311 and a detection history information acquisition processing unit, and acquires information indicating that the shared resource in the shared server 5 has been accessed as detection history information. To do.

共有リソースアクセス判定処理部311は,クライアント端末3のOS(Operating System)が出力するファイルシステム上の情報(これを検出情報とよぶ)を参照し,UNC(Universal Naming Convention:「\\」,「//」で始まるファイルパス)が含まれる検出情報があるかを判定し,UNCが含まれている検出情報を共有リソースへのアクセスがあると判定して,その検出情報を取得する。検出情報は,クライアント端末3における操作の履歴を示す情報であり,ドライバの起動や当該起動したドライバでフォルダにアクセスしたことなどが判定できる情報であって,クライアント端末3における操作内容,アクセスした先,アプリケーション名などの情報が含まれている。 The shared resource access determination processing unit 311 refers to the information on the file system (this is called detection information) output by the OS (Operating System) of the client terminal 3, and UNC (Universal Naming Convention: "\\", ". It is determined whether there is detection information including a file path starting with "//"), and it is determined that the detection information including UNC has access to the shared resource, and the detection information is acquired. The detection information is information indicating the history of operations on the client terminal 3, and is information that can determine that the driver has been started or that the folder has been accessed by the started driver, and is the operation content on the client terminal 3 and the access destination. , Contains information such as application name.

検出履歴情報生成処理部312は,共有リソースアクセス判定処理部311が取得した検出情報に日時情報を付して検出履歴情報として生成し,後述する検出履歴情報記憶部32に記憶させる。検出履歴情報は,検出情報に日時情報が付加された情報である。 The detection history information generation processing unit 312 attaches date and time information to the detection information acquired by the shared resource access determination processing unit 311, generates it as detection history information, and stores it in the detection history information storage unit 32 described later. The detection history information is information in which date and time information is added to the detection information.

検出履歴情報記憶部32は,検出履歴情報処理部31における検出履歴情報生成処理部312が生成した検出履歴情報を記憶する。なお検出履歴情報記憶部32では,検出履歴情報を日時情報に基づいて時系列的に記憶していることが好ましい。 The detection history information storage unit 32 stores the detection history information generated by the detection history information generation processing unit 312 in the detection history information processing unit 31. The detection history information storage unit 32 preferably stores the detection history information in chronological order based on the date and time information.

異常アクセス判定処理部33は,検出履歴情報記憶部32に記憶する検出履歴情報に基づいて,共有リソースへの異常アクセスがあるかを判定する。異常アクセスがあるかの判定方法としては,たとえば,一定期間内の検出履歴情報に基づいて,所定の条件を充足しているか,によって判定できる。 The abnormal access determination processing unit 33 determines whether or not there is an abnormal access to the shared resource based on the detection history information stored in the detection history information storage unit 32. As a method of determining whether or not there is an abnormal access, for example, it can be determined whether or not a predetermined condition is satisfied based on the detection history information within a certain period of time.

所定の条件としては,操作内容がファイルオープンであり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(ファイルオープン数),操作内容がファイル保存(または書込)であり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(ファイル保存数),操作内容がファイルオープンであり,そのアクセス先が共有リソースである共有リソースのデータ量の一定期間内の合計値が所定の閾値以上であるか(オープンしたファイルのデータ量の合計),操作内容がファイル保存(または書込)であり,そのアクセス先が共有リソースである共有リソースのデータ量の一定期間内の合計値が所定の閾値以上であるか(保存したファイルのデータ量の合計),操作内容がファイル削除であり,そのアクセス先が共有リソースである検出履歴情報の一定期間内の数が所定の閾値以上であるか(共有リソースの削除回数)などがある。 As a predetermined condition, the operation content is file open, and the number of detection history information whose access destination is a shared resource within a certain period is equal to or more than a predetermined threshold (number of file open), or the operation content is saved in a file. (Or write), the number of detection history information whose access destination is a shared resource within a certain period is equal to or greater than a predetermined threshold (number of saved files), or the operation content is file open and the access destination Is a shared resource The total value of the data amount of the shared resource within a certain period is equal to or more than a predetermined threshold (total amount of data of the opened file), or the operation content is file save (or write). The access destination is a shared resource Whether the total value of the data amount of the shared resource within a certain period is equal to or more than a predetermined threshold (total amount of data of the saved file), the operation content is file deletion, and the access destination is Whether the number of detection history information that is a shared resource within a certain period is equal to or greater than a predetermined threshold (number of times the shared resource is deleted) and the like.

さらに,ほかの条件としては,共有リソースのアクセス数(オープン数),アクセスした共有リソースのバイト数の合計値の変化量が急激に増加した場合,異常と判定するようにしてもよい。たとえば単位時間を10分,分解能を1分,アクセス数の上限を200と設定した場合であって,共有リソースへのアクセス数が図5であったとする。図5(a)は分解能ごとのアクセス数の表であり,図5(b)は分解能ごとのアクセス数のグラフである。 Furthermore, as another condition, if the amount of change in the total value of the number of accesses (open number) of the shared resource and the number of bytes of the accessed shared resource suddenly increases, it may be determined as abnormal. For example, suppose that the unit time is set to 10 minutes, the resolution is set to 1 minute, and the upper limit of the number of accesses is set to 200, and the number of accesses to the shared resource is shown in FIG. FIG. 5A is a table of the number of accesses for each resolution, and FIG. 5B is a graph of the number of accesses for each resolution.

そして,異常アクセス判定処理部33は,分解能ごとに単位時間あたりのアクセス数を合計し,そのアクセス数と閾値との関係が所定条件を充足しているかで異常アクセスであるかを判定する。すなわち,最初に0〜9分を単位時間としてその間のアクセス数を合計し,つぎの単位時間として1〜10分としてその間のアクセス数を合計する。これを最後の分解能に到達するまで反復する。そして単位時間ごとにアクセス数と閾値とを比較し,たとえばアクセス数が閾値を超過する,アクセス数が閾値を下回るなど,所定の条件を充足したかを判定することとなる。この判定処理を図6に示す。図6(a)は単位時間あたりのアクセス数を示す表であり,図6(b)は単位時間あたりのアクセス数を示すグラフである。なお,図6に示すように,異常アクセスが発生したこと,異常アクセスが終了したことを区別して判定してもよい。 Then, the abnormal access determination processing unit 33 totals the number of accesses per unit time for each resolution, and determines whether or not the abnormal access is due to whether the relationship between the number of accesses and the threshold value satisfies a predetermined condition. That is, first, the number of accesses during that period is totaled with 0 to 9 minutes as a unit time, and the number of accesses during that period is totaled with 1 to 10 minutes as the next unit time. This is repeated until the final resolution is reached. Then, the number of accesses and the threshold value are compared for each unit time, and it is determined whether or not a predetermined condition is satisfied, for example, the number of accesses exceeds the threshold value or the number of accesses falls below the threshold value. This determination process is shown in FIG. FIG. 6A is a table showing the number of accesses per unit time, and FIG. 6B is a graph showing the number of accesses per unit time. As shown in FIG. 6, it may be determined that an abnormal access has occurred and that the abnormal access has ended.

操作ログ情報処理部34は,異常アクセス判定処理部33において,異常アクセスがあることを判定した場合には,異常アクセスがあることを示す操作ログ情報などの操作履歴を示す情報を生成し,マスターサーバ2に送る。以下の説明では操作履歴を示す情報として操作ログ情報である場合を説明するが,操作ログ情報に限られるものではない。 When the operation log information processing unit 34 determines that there is an abnormal access in the abnormal access determination processing unit 33, the operation log information processing unit 34 generates information indicating the operation history such as operation log information indicating that there is an abnormal access, and masters it. Send to server 2. The following description describes the case where the operation log information is used as the information indicating the operation history, but the information is not limited to the operation log information.

操作ログ情報処理部34は,異常アクセス判定処理部33において異常アクセスがあることを判定した操作ログ情報のみならず,通常の操作が行われた場合にも検出履歴情報に基づいて操作ログ情報が生成され,定期的にまたは不定期にマスターサーバ2に操作ログ情報を送る。そして,操作ログ情報は異常アクセスがあることを示す操作ログ情報を生成した場合には,通常の操作ログ情報を送るタイミングとは別に,直ちにマスターサーバ2にその操作ログ情報を送ることが好ましいが,それに限定されるものではない。なお,操作ログ情報とは,検出履歴情報における操作内容に加えて,操作内容として「異常アクセスを示す情報」が含まれている情報である。すなわち検出履歴情報と操作ログ情報とは,異常アクセスを示す情報を含むか否かで相違する。なお,操作ログ情報としては,上記のように異常アクセスの判定をした場合以外の検出履歴情報をそのまま用いてもよい。 The operation log information processing unit 34 provides not only the operation log information determined by the abnormal access determination processing unit 33 that there is an abnormal access, but also the operation log information based on the detection history information even when a normal operation is performed. It is generated and sends operation log information to the master server 2 periodically or irregularly. When the operation log information is generated to indicate that there is an abnormal access, it is preferable to immediately send the operation log information to the master server 2 separately from the timing of sending the normal operation log information. , Not limited to that. The operation log information is information that includes "information indicating abnormal access" as the operation content in addition to the operation content in the detection history information. That is, the detection history information and the operation log information differ depending on whether or not they include information indicating abnormal access. As the operation log information, the detection history information other than the case where the abnormal access is determined as described above may be used as it is.

また,操作ログ情報処理部34が操作ログ情報を生成する際に,異常アクセス判定処理部33が,図6に示すように,異常アクセスが発生したこと,異常アクセスが終了したことを区別して判定している場合には,操作内容として「異常アクセス実行」,「異常アクセス終了」と異常アクセスを区別した操作ログ情報を生成し,マスターサーバ2に送ってもよい。 Further, when the operation log information processing unit 34 generates the operation log information, the abnormal access determination processing unit 33 determines that an abnormal access has occurred and that the abnormal access has ended, as shown in FIG. If this is the case, operation log information that distinguishes between "abnormal access execution" and "abnormal access termination" and abnormal access may be generated and sent to the master server 2.

なお操作ログ情報処理部34が生成した操作ログ情報などの操作履歴を示す情報は,クライアント端末3の所定の記憶装置71においても記憶されていることがよい。 Information indicating the operation history, such as the operation log information generated by the operation log information processing unit 34, may be stored in a predetermined storage device 71 of the client terminal 3.

マスターサーバ2は,ネットワーク全体の管理,監視をしており,操作ログ情報取得処理部21,操作ログ情報記憶部22,操作ログ情報判定処理部23,通知処理部24とを備える。 The master server 2 manages and monitors the entire network, and includes an operation log information acquisition processing unit 21, an operation log information storage unit 22, an operation log information determination processing unit 23, and a notification processing unit 24.

操作ログ情報取得処理部21は,クライアント端末3から送信された操作ログ情報などの操作履歴を示す情報を取得し,後述する操作ログ情報記憶部22に記憶させる。 The operation log information acquisition processing unit 21 acquires information indicating an operation history such as operation log information transmitted from the client terminal 3, and stores the information in the operation log information storage unit 22, which will be described later.

操作ログ情報記憶部22は,操作ログ情報取得処理部21で取得した操作ログ情報などの操作履歴を示す情報を記憶する。 The operation log information storage unit 22 stores information indicating the operation history, such as the operation log information acquired by the operation log information acquisition processing unit 21.

操作ログ情報判定処理部23は,操作ログ情報取得処理部21で取得した操作ログ情報などの操作履歴を示す情報のうち,「異常アクセスを示す情報」が含まれている操作履歴情報があるかを判定する。たとえば操作ログ情報における操作内容として「異常アクセス実行」を示す情報が含まれていた場合には,「異常アクセスを示す情報」が含まれている操作ログ情報として判定する。 Does the operation log information determination processing unit 23 include operation history information including "information indicating abnormal access" among the information indicating the operation history such as the operation log information acquired by the operation log information acquisition processing unit 21? To judge. For example, if the operation content in the operation log information includes information indicating "abnormal access execution", it is determined as operation log information including "information indicating abnormal access".

通知処理部24は,操作ログ情報判定処理部23において,異常アクセス実行を示す操作履歴情報が含まれていることを判定すると,管理者が操作する管理端末4または管理者の所定の通知先に対して,異常アクセスがあったことを示すアラート通知を送る。この場合,たとえばメッセージングサービスのように,直接,管理端末4に通知を送ってもよいし,あらかじめ登録されている管理者の電子メールアドレスに基づいて,電子メールなどによって送るように構成してもよい。 When the notification processing unit 24 determines in the operation log information determination processing unit 23 that the operation history information indicating abnormal access execution is included, the notification processing unit 24 sends the management terminal 4 operated by the administrator or a predetermined notification destination of the administrator. In response, an alert notification is sent indicating that there was an abnormal access. In this case, for example, like a messaging service, the notification may be sent directly to the management terminal 4, or may be configured to be sent by e-mail or the like based on the e-mail address of the administrator registered in advance. Good.

さらに,図6に示すように,クライアント端末3から,操作内容として「異常アクセス実行」,「異常アクセス終了」と異常アクセスを区別した操作ログ情報を取得している場合には,異常アクセスの発生,異常アクセスの終了を区別した通知をそれぞれのタイミングで,管理者が操作する管理端末4または管理者の所定の通知先に対して送るように構成してもよい。 Further, as shown in FIG. 6, when the operation log information that distinguishes between "abnormal access execution" and "abnormal access termination" and abnormal access is acquired from the client terminal 3, abnormal access occurs. , A notification that distinguishes the end of abnormal access may be sent to the management terminal 4 operated by the administrator or a predetermined notification destination of the administrator at each timing.

つぎに本発明のアクセス監視システム1の処理プロセスの一例を図4のフローチャートを用いて説明する。 Next, an example of the processing process of the access monitoring system 1 of the present invention will be described with reference to the flowchart of FIG.

クライアント端末3で何らかの操作や処理等が実行されると,クライアント端末3のOSは検出情報を出力する。そして共有リソースアクセス判定処理部311は,クライアント端末3のOSから出力される検出情報を参照し,UNCが含まれる検出情報があるかを判定する。そしてUNCが含まれている検出情報があることを判定した場合には,共有リソースへのアクセスがあると判定し,その検出情報を取得する。 When some operation or processing is executed on the client terminal 3, the OS of the client terminal 3 outputs the detection information. Then, the shared resource access determination processing unit 311 refers to the detection information output from the OS of the client terminal 3 and determines whether or not there is detection information including UNC. Then, when it is determined that there is detection information including UNC, it is determined that there is access to the shared resource, and the detection information is acquired.

そして検出履歴情報生成処理部312は,共有リソースアクセス判定処理部311において共有リソースへのアクセスがあることを判定した検出情報について,日時情報を付して検出履歴情報として生成し,検出履歴情報記憶部32に記憶させる(S100)。 Then, the detection history information generation processing unit 312 generates the detection information determined by the shared resource access determination processing unit 311 that there is access to the shared resource as detection history information with date and time information, and stores the detection history information. It is stored in the unit 32 (S100).

そして検出履歴情報記憶部32に記憶した検出履歴情報に基づいて,異常アクセス判定処理部33が,異常アクセスがあるかを判定する(S110)。 Then, based on the detection history information stored in the detection history information storage unit 32, the abnormal access determination processing unit 33 determines whether or not there is an abnormal access (S110).

異常アクセス判定処理部33において異常アクセスがあることを判定した場合,操作ログ情報処理部34が,異常アクセスがあることを示す操作ログ情報,たとえば操作内容として「異常アクセス実行」,「異常アクセス終了」などを含み,そのほかに日時情報,アクセス先などの検出履歴情報に基づく情報,当該クライアント端末3の識別情報などを含む操作ログ情報を生成する(S120)。そして生成した操作ログ情報を,操作ログ情報処理部34がマスターサーバ2に送る(S130)。 When the abnormal access determination processing unit 33 determines that there is an abnormal access, the operation log information processing unit 34 performs operation log information indicating that there is an abnormal access, for example, "abnormal access execution" or "abnormal access end" as the operation contents. , Etc., and also generate operation log information including date and time information, information based on detection history information such as access destinations, and identification information of the client terminal 3 (S120). Then, the operation log information processing unit 34 sends the generated operation log information to the master server 2 (S130).

クライアント端末3の操作ログ情報処理部34から送られた操作ログ情報は,マスターサーバ2の操作ログ情報取得処理部21で取得し(S140),操作ログ情報記憶部22に記憶する。 The operation log information sent from the operation log information processing unit 34 of the client terminal 3 is acquired by the operation log information acquisition processing unit 21 of the master server 2 (S140) and stored in the operation log information storage unit 22.

そして操作ログ情報取得処理部21で取得した操作ログ情報に,異常アクセスを示す情報が含まれているかを,マスターサーバ2の操作ログ情報判定処理部23が判定をする(S150)。たとえば操作ログ情報の操作内容として「異常アクセス実行」,「異常アクセス終了」などの情報が含まれているかを判定する。 Then, the operation log information determination processing unit 23 of the master server 2 determines whether the operation log information acquired by the operation log information acquisition processing unit 21 includes information indicating an abnormal access (S150). For example, it is determined whether the operation contents of the operation log information include information such as "abnormal access execution" and "abnormal access termination".

そして異常アクセスを示す情報が含まれていることを判定した場合,通知処理部24は,管理者が操作する管理端末4または管理者の所定の通知先に対して,異常アクセスがあったことを示すアラート通知を送る(S160)。なお,この際に,異常アクセスがあることを示す情報が含まれている操作ログ情報の,日時情報,アクセス先を示す情報,クライアント端末3の識別情報などに基づいて,異常アクセスがあった日時,アクセス先,異常アクセスが行われたクライアント端末3などの情報も通知することが好ましい。 When it is determined that the information indicating the abnormal access is included, the notification processing unit 24 determines that the management terminal 4 operated by the administrator or the predetermined notification destination of the administrator has been abnormally accessed. An alert notification indicating is sent (S160). At this time, the date and time when the abnormal access was made based on the date and time information, the information indicating the access destination, the identification information of the client terminal 3, etc. of the operation log information including the information indicating that there was an abnormal access. , Access destination, client terminal 3 where abnormal access was made, etc. are also preferably notified.

以上のような処理を実行することで,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行い,異常アクセスがあった場合には,迅速に管理者に通知をすることが可能となる。 By executing the above processing, it is possible to determine whether the access to the shared resource is an abnormal access, and if there is an abnormal access, promptly notify the administrator. It becomes.

なお,管理者に通知を行うほか,当該クライアント端末3に対して,そのネットワーク通信を遮断することの制御指示をUDP通信によって送ってもよい。この場合,クライアント端末3では,当該制御指示をマスターサーバ2から受け付けると,ネットワーク通信を遮断することの制御指示を受け取ったことの応答を返すとともに,マスターサーバ2とのネットワーク通信以外の通信を遮断する制御を実行する。 In addition to notifying the administrator, a control instruction for blocking the network communication may be sent to the client terminal 3 by UDP communication. In this case, when the client terminal 3 receives the control instruction from the master server 2, it returns a response that the control instruction for blocking the network communication is received and blocks communication other than the network communication with the master server 2. Perform control.

なお,異常アクセスであるか否かはクライアント端末3のエージェントプログラムにおいて実行することが好ましい。検出履歴情報をマスターサーバ2に随時送信する構成とすると,通信料が多くなり,また異常アクセスであるかの判定処理をマスターサーバ2で行うと,マスターサーバ2の負荷が高くなるためである。一方,検出履歴情報をマスターサーバ2に送り,異常アクセスであるかの判定をマスターサーバ2で行う構成を採るように構成することはできる。 It is preferable that the agent program of the client terminal 3 executes whether or not the access is abnormal. This is because if the detection history information is transmitted to the master server 2 at any time, the communication charge will increase, and if the master server 2 performs the determination process for abnormal access, the load on the master server 2 will increase. On the other hand, it is possible to configure the system so that the detection history information is sent to the master server 2 and the master server 2 determines whether or not the access is abnormal.

異常アクセス判定処理部33における異常アクセスの判定方法としては,上述のほか,検出履歴情報に含まれる日時情報に基づいて,共有リソースへの長時間にわたる連続アクセスを判定してもよい。この場合,たとえば,あるファイルがファイルオープンされた日時情報の検出履歴情報と,同一のファイルがファイルクローズされた日時情報の検出履歴情報に基づいて,その時間と回数を判定し,それが所定の閾値を超えているかで異常アクセスか否かを判定する。 As a method of determining abnormal access in the abnormal access determination processing unit 33, in addition to the above, continuous access to the shared resource for a long time may be determined based on the date and time information included in the detection history information. In this case, for example, the time and the number of times are determined based on the detection history information of the date and time information when a certain file is opened and the detection history information of the date and time information when the same file is closed, and that is a predetermined value. Whether or not the access is abnormal is determined based on whether the access exceeds the threshold value.

また,別の方法としては,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,アクセスした共有リソースの種類の多様性を判定してもよい。この場合,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,所定の単位時間において,アクセスしている共有リソースの数が所定の閾値を超えているかで異常アクセスか否かを判定する。 Alternatively, the shared resource name may be extracted from the file path included in the detection history information to determine the diversity of the types of shared resources accessed. In this case, the shared resource name is extracted from the file path included in the detection history information, and it is determined whether or not the access is abnormal based on whether the number of shared resources being accessed exceeds a predetermined threshold value in a predetermined unit time. ..

さらに別の方法としては,検出履歴情報に含まれるファイルパスからサーバ名(共有サーバ5名)を抽出し,アクセスした共有リソースが保存されている共有サーバ5の多様性を判定してもよい。この場合,検出履歴情報に含まれるファイルパスから共有サーバ5名を抽出し,所定の単位時間において,アクセスしている共有サーバ5の数が所定の閾値を超えているかで異常アクセスか否かを判定する。 As another method, the server names (five shared servers) may be extracted from the file path included in the detection history information, and the diversity of the shared servers 5 in which the accessed shared resources are stored may be determined. In this case, 5 shared servers are extracted from the file path included in the detection history information, and whether or not the access is abnormal is determined by whether the number of shared servers 5 being accessed exceeds a predetermined threshold value in a predetermined unit time. judge.

加えて,所定の単位時間において,検出履歴情報に含まれる操作内容としてファイルオープン(ファイル読取)した共有リソース数が第一の閾値を超えているものの,検出履歴情報に含まれる操作内容としてファイル保存(ファイル書込)した共有リソース数が第二の閾値を超えていない場合に,異常があると判定する。なお,第一の閾値>第二の閾値である。この場合,多くの共有リソースにアクセスしてデータを収集し,不正持ち出し目的のフォルダにデータを書き込んでいると推測されるので,異常アクセスと判定可能である。 In addition, although the number of shared resources for which the file was opened (file read) as the operation content included in the detection history information exceeds the first threshold value in a predetermined unit time, the file is saved as the operation content included in the detection history information. If the number of shared resources (written to a file) does not exceed the second threshold value, it is determined that there is an error. The first threshold value> the second threshold value. In this case, it is presumed that many shared resources are accessed, data is collected, and the data is written to the folder intended for unauthorized removal, so it can be determined that the access is abnormal.

検出履歴情報には共有リソースにアクセスしているアプリケーション名が含まれているので,異常アクセス判定処理部33は当該アプリケーション名を操作ログ情報に含めてもよい。そしてアプリケーション名を含む操作ログ情報を送ることで,マスターサーバ2の操作ログ情報判定処理部23は,異常アクセスを実行しているアプリケーションを特定でき,通知処理部24が通知を行う場合に,異常アクセスを実行しているアプリケーション名を通知してもよい。 Since the detection history information includes the name of the application accessing the shared resource, the abnormal access determination processing unit 33 may include the name of the application in the operation log information. Then, by sending the operation log information including the application name, the operation log information determination processing unit 23 of the master server 2 can identify the application executing the abnormal access, and when the notification processing unit 24 gives a notification, an abnormality occurs. You may notify the name of the application that is accessing.

異常アクセス判定処理部33は,検出履歴情報に含まれるファイルパスから共有リソース名を抽出し,所定の単位時間において,アクセスしている共有リソースの数を判定する。また,検出履歴情報に含まれる共有履歴情報にアクセスしているアプリケーション名を抽出し,アプリケーションの数を判定する。そして,単位時間における,アクセスされた共有リソースの数と,アクセスを実行したアプリケーションの数との比率が所定条件を充足している場合,たとえば共有リソースの数が多いのに,アプリケーションの数が少ないなどの場合には,不正なアプリケーションが不正に共有リソースにアクセスしている可能性が高いと判定し,異常アクセスであると判定する。 The abnormal access determination processing unit 33 extracts the shared resource name from the file path included in the detection history information, and determines the number of shared resources being accessed in a predetermined unit time. In addition, the name of the application that is accessing the shared history information included in the detection history information is extracted, and the number of applications is determined. Then, when the ratio of the number of shared resources accessed and the number of applications that executed access in a unit time satisfies a predetermined condition, for example, the number of shared resources is large but the number of applications is small. In such cases, it is determined that there is a high possibility that an unauthorized application is accessing the shared resource illegally, and it is determined that the access is abnormal.

また別の判定方法としては,共有リソースへのアクセスを指示しているアプリケーションごとにアクセス回数を集計し,特定のアプリケーションが突出してアクセス回数が多い場合,不正アプリケーションであると判定できるので,当該アプリケーションによるアクセスを異常アクセスとして判定する。 As another judgment method, the number of accesses is totaled for each application instructing access to the shared resource, and if a specific application is prominent and the number of accesses is large, it can be determined that the application is an unauthorized application. Access by is judged as abnormal access.

クライアント端末3では,検出履歴情報を生成する場合の表示装置72で表示する画面を画像情報として取得し,それを検出履歴情報に対応付けていてもよい。この場合,異常アクセス判定処理部33において異常アクセスがあることを判定すると,当該検出履歴情報に基づいて生成する操作ログ情報に,当該検出履歴情報に対応する画面の画像情報を送ることで,それを受け取ったマスターサーバ2の通知処理部24が,管理者または管理端末4に対して,異常アクセスの実行を判定した場合の画面を画像情報として通知することができる。 The client terminal 3 may acquire the screen displayed by the display device 72 when generating the detection history information as image information and associate it with the detection history information. In this case, when the abnormal access determination processing unit 33 determines that there is an abnormal access, the image information of the screen corresponding to the detection history information is sent to the operation log information generated based on the detection history information. The notification processing unit 24 of the master server 2 that has received the above can notify the administrator or the management terminal 4 of the screen when the execution of abnormal access is determined as image information.

実施例1乃至実施例4の変形例として,クライアント端末3の操作ログ情報に異常アクセス実行を示す操作内容が含まれているとして異常アクセスがあったと判定する場合において,操作ログ情報判定処理部23が,複数のクライアント端末3で異常アクセスがあったことを判定すると,通知処理部24が通知するアラート通知の重み付けを変更するように構成してもよい。 As a modification of Examples 1 to 4, when it is determined that an abnormal access has occurred because the operation log information of the client terminal 3 contains an operation content indicating an abnormal access execution, the operation log information determination processing unit 23 However, if it is determined that an abnormal access has been made by the plurality of client terminals 3, the weighting of the alert notification notified by the notification processing unit 24 may be changed.

また,操作ログ情報判定処理部23が,異常アクセスがあったと判定する操作ログ情報の数,頻度に応じて,通知処理部24が通知するアラート通知の重み付けを変更するように構成してもよい。 Further, the operation log information determination processing unit 23 may be configured to change the weighting of the alert notification notified by the notification processing unit 24 according to the number and frequency of the operation log information determining that there has been an abnormal access. ..

アラート通知の重み付けを変更するとは,操作ログ情報判定処理部23において異常アクセスがあったことを判定したクライアント端末3の数が増加するにしたがって,アラート通知の重要度を高くする。これは,異常アクセスがあったクライアント端末3が増えると,それだけ危険度が高くなるためである。 Changing the weighting of alert notifications increases the importance of alert notifications as the number of client terminals 3 that have determined that an abnormal access has occurred in the operation log information determination processing unit 23 increases. This is because the risk increases as the number of client terminals 3 that have undergone abnormal access increases.

そして重み付けを変更する処理としては,重要度に応じて,アラート通知の回数や頻度を多くする,通知する文字の大きさや,通知自体に重要度を表示するなどがある。また,重要度に応じて通知方法を変更する方法もあり,たとえばメールのみ,メッセージのみ,メールとメッセージの双方,メールとメッセージと電話のすべてなどがある。さらに,重要度に応じて通知範囲を変更することもある。たとえば,本人のみ,本人と管理者,情報セキュリティ担当者,上司,部署内のメンバーなど,重要度が高くなるほど,通知先を増やすように変更してもよい。 The processing for changing the weighting includes increasing the number and frequency of alert notifications according to the importance, displaying the size of the characters to be notified, and displaying the importance in the notification itself. There is also a way to change the notification method according to the importance, for example, mail only, message only, both mail and message, mail and message and all of telephone. Furthermore, the notification range may be changed according to the importance. For example, the number of notification destinations may be increased as the importance increases, such as only the person, the person and the administrator, the person in charge of information security, the boss, and the members in the department.

本発明のアクセス監視システム1によって,共有リソースへのアクセスが異常なアクセスであるか否かの判定を行うことができる。そのため,ランサムウェアが共有リソースに不正な処理を実行することによる被害の拡大に対し,迅速に対策を行うことが可能となる。 The access monitoring system 1 of the present invention can determine whether or not the access to the shared resource is an abnormal access. Therefore, it is possible to quickly take countermeasures against the spread of damage caused by ransomware performing illegal processing on shared resources.

1:アクセス監視システム
2:マスターサーバ
3:クライアント端末
4:管理端末
5:共有サーバ
21:操作ログ情報取得処理部
22:操作ログ情報記憶部
23:操作ログ情報判定処理部
24:通知処理部
31:検出履歴情報処理部
32:検出履歴情報記憶部
33:異常アクセス判定処理部
34:操作ログ情報処理部
311:共有リソースアクセス判定処理部
312:検出履歴情報生成処理部
70:演算装置
71:記憶装置
72:表示装置
73:入力装置
74:通信装置 1: Access monitoring system 2: Master server 3: Client terminal 4: Management terminal 5: Shared server 21: Operation log information acquisition processing unit 22: Operation log information storage unit 23: Operation log information judgment processing unit 24: Notification processing unit 31 : Detection history information processing unit 32: Detection history information storage unit 33: Abnormal access judgment processing unit 34: Operation log information processing unit 311: Shared resource access judgment processing unit 312: Detection history information generation processing unit 70: Arithmetic device 71: Storage Device 72: Display 73: Input device 74: Communication device

Claims (4)

ネットワーク内にある共有リソースへのアクセスを監視するアクセス監視システムであって,
前記アクセス監視システムは,
前記共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部と,
前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部と,
前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部と,
前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部と,
を備えることを特徴とするアクセス監視システム。 An access monitoring system that monitors access to shared resources in the network.
The access monitoring system is
An abnormal access determination processing unit that determines whether or not there is an abnormal access to the shared resource based on the detection history information indicating that the shared resource has been accessed.
When it is determined that there is an abnormal access, the operation log information processing unit that generates operation log information including information indicating that there was an abnormal access, and the operation log information processing unit
Based on the operation log information, the operation log information determination processing unit that determines whether an abnormal access to the shared resource has been performed, and the operation log information determination processing unit.
When the operation log information determination processing unit determines that an abnormal access has been performed, the notification processing unit that gives a predetermined notification and the notification processing unit
An access monitoring system characterized by being equipped with. 前記アクセス監視システムは,更に、
UNCが含まれている検出情報を前記共有リソースへのアクセスがあると判定する共有リソースアクセス判定処理部と,
検出履歴情報を記憶する検出履歴情報記憶部と、
前記検出情報に日時情報を付して検出履歴情報として前記検出履歴情報記憶部に記憶させる検出履歴情報生成処理部と,
を備えることを特徴とする請求項1に記載のアクセス監視システム。 The access monitoring system further
A shared resource access determination processing unit that determines that there is access to the shared resource based on the detection information that includes UNC, and
A detection history information storage unit that stores detection history information,
A detection history information generation processing unit that attaches date and time information to the detection information and stores it in the detection history information storage unit as detection history information.
The access monitoring system according to claim 1, further comprising. 前記異常アクセスの判定は,
前記共有リソースへのアクセス数,アクセスした共有リソースのデータ量,アクセス時間,アクセスした共有リソースの数,アクセスした共有サーバの数のいずれか一以上を用いて判定する,
ことを特徴とする請求項1または請求項2に記載のアクセス監視システム。 The determination of abnormal access is
Judgment is made using any one or more of the number of accesses to the shared resource, the amount of data of the shared resource accessed, the access time, the number of shared resources accessed, and the number of shared servers accessed.
The access monitoring system according to claim 1 or 2. コンピュータを,
共有リソースへのアクセスがあったことを示す検出履歴情報に基づいて,前記共有リソースへの異常アクセスがあるかを判定する異常アクセス判定処理部,
前記異常アクセスがあることを判定した場合,異常アクセスがあったことを示す情報を含む操作ログ情報を生成する操作ログ情報処理部,
前記操作ログ情報に基づいて,前記共有リソースへの異常アクセスが行われたかを判定する操作ログ情報判定処理部,
前記操作ログ情報判定処理部において異常アクセスが行われたことを判定すると,所定の通知を行う通知処理部,
として機能させることを特徴とするアクセス監視プログラム。

Computer,
An abnormal access determination processing unit that determines whether or not there is an abnormal access to the shared resource based on the detection history information indicating that the shared resource has been accessed.
Operation log information processing unit that generates operation log information including information indicating that there was an abnormal access when it is determined that there is an abnormal access.
Operation log information determination processing unit that determines whether an abnormal access to the shared resource has been performed based on the operation log information.
When the operation log information determination processing unit determines that an abnormal access has been performed, the notification processing unit that gives a predetermined notification,
An access monitoring program characterized by functioning as.
JP2017022202A 2017-02-09 2017-02-09 Access monitoring system Active JP6851212B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017022202A JP6851212B2 (en) 2017-02-09 2017-02-09 Access monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017022202A JP6851212B2 (en) 2017-02-09 2017-02-09 Access monitoring system

Publications (2)

Publication Number Publication Date
JP2018128910A JP2018128910A (en) 2018-08-16
JP6851212B2 true JP6851212B2 (en) 2021-03-31

Family

ID=63173063

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017022202A Active JP6851212B2 (en) 2017-02-09 2017-02-09 Access monitoring system

Country Status (1)

Country Link
JP (1) JP6851212B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019073720A1 (en) * 2017-10-11 2019-04-18 株式会社 オレガ File access monitoring method, program, and system
JP6442649B1 (en) * 2017-10-11 2018-12-19 株式会社オレガ File access monitoring method, program, and system
US11693963B2 (en) 2019-08-13 2023-07-04 International Business Machines Corporation Automatic ransomware detection with an on-demand file system lock down and automatic repair function

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003330887A (en) * 2002-05-15 2003-11-21 Nippon Telegr & Teleph Corp <Ntt> Illegal access warning device, server device, and illegal access warning program
JP5155909B2 (en) * 2009-03-06 2013-03-06 Sky株式会社 Operation monitoring system and operation monitoring program
JP2011191823A (en) * 2010-03-11 2011-09-29 Mitsubishi Electric Corp Log management server, log management method and log management program
JP2012084994A (en) * 2010-10-07 2012-04-26 Hitachi Ltd Malware detection method and malware detection device
US9419986B2 (en) * 2014-03-26 2016-08-16 Symantec Corporation System to identify machines infected by malware applying linguistic analysis to network requests from endpoints

Also Published As

Publication number Publication date
JP2018128910A (en) 2018-08-16

Similar Documents

Publication Publication Date Title
US20200153852A1 (en) Locally Detecting Phishing Weakness
US8141159B2 (en) Method and system for protecting confidential information
US10671724B2 (en) Techniques for detecting encryption
JP4629332B2 (en) Status reference monitor
CA2553429C (en) Digital asset usage accountability via event journaling
US7415726B2 (en) Controlling access to suspicious files
US7814021B2 (en) Managed distribution of digital assets
US8943546B1 (en) Method and system for detecting and protecting against potential data loss from unknown applications
US8613040B2 (en) Adaptive data loss prevention policies
US8893223B1 (en) Scanning protected files for violations of a data loss prevention policy
US20160164893A1 (en) Event management systems
US11100241B2 (en) Virtual trap protection of data elements
JP2008507757A (en) End user risk management
CA2434674A1 (en) Computer security and management system
JP2010026662A (en) Information leakage prevention system
JP6851212B2 (en) Access monitoring system
JP7123488B2 (en) File access monitoring method, program and system
Balinsky et al. System call interception framework for data leak prevention
JP6442649B1 (en) File access monitoring method, program, and system
JP5284012B2 (en) Client / server system and client / server system audit method
JP2020087119A (en) Information processing apparatus, control method thereof, information processing system, and program
Gupta et al. A secure and lightweight approach for critical data security in cloud
JP6517416B1 (en) Analyzer, terminal device, analysis system, analysis method and program
Stallings Data loss prevention as a privacy-enhancing technology
US11748210B2 (en) Intelligent monitoring of backup, recovery and anomalous user activity in data storage systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201215

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210302

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210309

R150 Certificate of patent or registration of utility model

Ref document number: 6851212

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250