JP6894220B2 - 情報処理装置及びその制御方法、プログラムおよびシステム - Google Patents
情報処理装置及びその制御方法、プログラムおよびシステム Download PDFInfo
- Publication number
- JP6894220B2 JP6894220B2 JP2016233611A JP2016233611A JP6894220B2 JP 6894220 B2 JP6894220 B2 JP 6894220B2 JP 2016233611 A JP2016233611 A JP 2016233611A JP 2016233611 A JP2016233611 A JP 2016233611A JP 6894220 B2 JP6894220 B2 JP 6894220B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- hash value
- information
- request
- write
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
任意のプログラムからファイルに対するアクセス要求をインターセプトするインターセプト手段と、
前記インターセプト手段によりインターセプトされたアクセス要求に含まれる当該ファイルに関するファイル情報からハッシュ値を算出し、前記算出されたハッシュ値に基づいて当該ファイルのハッシュ値を取得する取得手段と
を有することを特徴とする情報処理装置を提供する。
<システム構成図>
先ず、本実施形態に係る情報処理システム構成について、図1のシステム構成図を用いて説明する。図1に示す如く、本実施形態に係る情報処理システムは、コンピュータすなわち情報処理装置110、120を有しており、それぞれの情報処理装置はLANやインターネットなどのネットワーク130に接続されている。以下、情報処理装置110をクライアント端末装置、情報処理装置120をサーバ装置と呼称する。なお、クライアント端末装置110は複数でもよい。また、クライアント端末装置110、サーバ装置120は、PC、携帯端末装置等の、情報処理装置が行うものとして後述する各処理を実行可能な装置であれば、如何なる装置であっても構わない。また、クライアント端末装置110はネットワーク130を介して接続されているが、ネットワーク130を介さないスタンドアローンでもよい。
本実施形態に係るクライアント端末装置110のハードウェア構成について図2を用いて説明する。クライアント端末装置110、サーバ装置120は何れも同じハードウェア構成を有するもとして説明する。然るに、ハードウェア構成についてはクライアント端末装置110を例にとり説明する。CPU(Central Processing Unit)11は、RAM12やROM13に格納されているコンピュータプログラムやデータを用いて各種の処理を実行することで、本装置全体の動作制御を行うと共に、本装置が行うものとして後述する各処理を実行する。
サーバ装置120のハードウェア構成は、図3に示す如く、上記で説明したクライアント端末装置110のハードウェア構成と同様であるとする。即ち、サーバ装置120のCPU11は、サーバ装置120の記憶装置16に保存されているコンピュータプログラムやデータを用いて、サーバ装置120のI/F17を介して外部機器とのデータ通信を行うと共に、サーバ装置120が行うものとして後述する各処理を実行する。このコンピュータプログラムには、ログ処理部121が含まれている。ログ処理部121は、クライアント端末装置110から送信されるアクセスログ含む操作ログを処理、記憶するためのプログラムである。なお、クライアント端末装置110から送信されたPCの操作ログをサーバ装置120の記憶装置16が一括して処理、記憶する代わりに、それぞれのクライアント端末装置110が自身の操作ログを記憶装置16に記憶し処理しても構わない。然るにこのような場合には、サーバ装置120は必須ではない。
次に、クライアント端末装置110の記憶装置16に保存されている、セキュリティソフトウェア111について説明する。
ハッシュ値を取得するために、フィルタドライバ402が行う処理について、図5〜図8を用いてより詳しく説明する。
・ファイルを新規作成した場合の処理(書き込み要求から閉じる要求までの処理)
・ファイルを開いた場合の処理(読み込み要求から閉じる要求までの処理)
・ファイルをコピーした場合の処理(書き込み要求と読み込み要求から閉じる要求までの処理)
について説明する。
図5は、フィルタドライバ402における書き込み要求発生時の処理を示すフローチャート、図6は、フィルタドライバ402における閉じる要求発生時の処理を示すである。
リスト900は、ファイルを識別する情報、たとえば、ファイル名、ファイルパス、ファイルハンドルなどをキーとして一時ハッシュ値と紐づけて記憶されている。また、書き込まれたデータ情報、たとえば、書き込んだデータのサイズ(現在までに書き込み要求毎のサイズを足した値)、書き込みファイル全体のサイズ、書き込まれたファイルの行数、位置情報を記憶する。なお、サイズは一例であって、どこまで書き込んだかがわかる値ならば、バイト数やポインターなどでも構わない。S503にて、リスト900に存在する場合は、S505へ進み、存在しない場合はS504へ進む。
ここで、位置情報(書き込み位置情報/読み込み位置情報)の一例を図14を用いて説明する。たとえば、ファイルに「あいうえおかきくけこさしすせそ…」というような文章が書き込まれているとする。このとき、文章の先頭から、次の行の黒丸の位置まで、AとBを足し合わせた情報が、位置情報の中に含まれている。
全ての処理が終了したら、閉じる要求をファイルシステムドライバ403へ転送する。
図7は、フィルタドライバ402における読み込み要求発生時の処理を示すフローチャート、図8は、フィルタドライバ402における閉じる要求発生時の処理を示す図である。
フィルタドライバ402は、読み込み要求をインターセプトする(S701)。S702で、CPU11は、読み込み要求から、読み込みファイルのファイル情報を取得する。ファイル情報とは、たとえば、書き込み/読み込みを示す情報、書き込み/読み込み位置情報(ファイルの先頭か否かを示す情報)、ファイルを識別する情報(ファイル名、ファイルパス)、ファイル全体のサイズ、書き込み/読み込みデータ、書き込み/読み込みデータのサイズ等の情報である。
S707で、CPU11は、S702で取得したファイル情報をもとに、ファイルの読み込み位置(読み込み位置情報)を取得する。読み込み位置とは、これからファイルを読み込む際に、何行目から読んだか、何ビット目から読んだか、ファイルのサイズなどの読み込んだ位置の情報(たとえば、オフセット)である。
書込み要求と読み込み要求発生時の構成/処理の大部分は、図5、図7と共通のため説明を省略し、異なる構成/処理のみ説明する。
図13は、書込み要求と読み込み要求から一時ハッシュ値等を保存するリストの一例を示す図である。リスト1300は、同一ファイルに対し書き込み/読み込み要求が発生する毎に、算出したハッシュ値を一時保存しておくリストである。リスト1300は、ファイルを識別する情報、たとえば、ファイル名、ファイルパス、ファイルハンドルなどをキーとして一時ハッシュ値と紐づけて記憶されている。また、書き込み/読み込まれたデータ情報、たとえば、書き込み/読み込みを示す情報(アクセス要求)、書き込み/読み込んだデータのサイズ(現在までの書き込み/読み込み要求毎のサイズを足した値)、書き込み/読み込みファイル全体のサイズ、書き込まれた/読み込まれたファイルの行数、書き込み/読み込み位置情報を記憶する。なお、サイズは一例であって、どこまで書き込んだ/読み込んだかがわかる値ならば、バイト数やポインターなどでも構わない。
また、本発明の実施形態では、Windows(登録商標)を一例として説明した。しかし、本発明は、ファイル操作が実行されるときに特定の複数のアクセス要求が発行されるOSであれば、同様に適用できる。また、本発明の実施形態では、複数ログイン環境でも、同様に適用できる。
取得されたハッシュ値は、たとえば、ホワイトリストの設定(図11)や、同じハッシュ値を持つファイルがあるか否かの検索(図12)に活用することができる。
第一の実施形態では、ファイルを閉じるためのアクセス要求(IRP_MJ_CREANUP)発生のタイミングで、一時ハッシュ値をハッシュ値に形成しているが、本実施形態では、ファイルに書き込むためのアクセス要求(IRP_MJ_WRITE)、ファイルを読み込むためのアクセス要求(IRP_MJ_READ)から取得した書き込み/読み込みデータのサイズの合計値と、ファイル全体のサイズが一致することで、一時ハッシュ値をハッシュ値に形成する場合について説明する。なお、第2実施形態の動作の大部分は第1実施形態の動作と共通するため、第1実施形態と異なる構成、動作についてのみ説明し、共通の動作については説明を省略する。
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステムあるいは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
Claims (11)
- 任意のプログラムからファイルに対するアクセス要求をインターセプトするインターセプト手段と、
前記インターセプト手段によりインターセプトされたアクセス要求に含まれる当該ファイルに関するファイル情報からハッシュ値を算出し、前記算出されたハッシュ値に基づいて当該ファイルのハッシュ値を取得する取得手段と
を有することを特徴とする情報処理装置。 - 更に、
前記取得手段にて算出されたハッシュ値をリストに記憶する記憶手段を有し、
前記取得手段は、前記インターセプト手段にてインターセプトされた他のアクセス要求からハッシュ値を算出し、前記リストに記憶されているハッシュ値とマージして、前記ファイルのハッシュ値を算出すること
を特徴とする請求項1に記載の情報処理装置。 - 前記取得手段は、前記算出されたハッシュ値とリストに記憶されているハッシュ値とをマージして、前記ファイルのハッシュ値を算出すること
を特徴とする請求項1に記載の情報処理装置。 - 前記取得手段は、前記ファイルに対する書き込み要求または前記ファイルに対する読み込み要求から前記ファイルに対する閉じる要求までの間に取得したアクセス要求から、ハッシュ値を算出すること
を特徴とする請求項2または3に記載の情報処理装置。 - 前記取得手段は、前記ファイル情報から、書き込みデータのサイズまたは読み込みデータのサイズを抽出し、抽出されたサイズに基づいて、書き込みデータまたは読み込みデータから、ハッシュ値を算出すること
を特徴とする請求項1ないし4のいずれか一項に記載の情報処理装置。 - 前記取得手段は、前記ファイル情報からファイルを識別する情報を抽出し、前記ファイルを識別する情報とハッシュ値とを対応付けて、リストに記憶すること
を特徴とする請求項1ないし5のいずれか一項に記載の情報処理装置。 - 前記インターセプト手段は、
ファイルシステムフィルタドライバ、またはAPIフックであること
を特徴とする請求項1ないし6のいずれか一項に記載の情報処理装置。 - 更に、
前記ファイル情報から、前記ファイルに対する書き込みまたは読み込み位置情報を取得し、取得された前記位置情報がリストに記憶されている、前記ファイルに対する書き込みまたは読み込み位置情報と一致するか否かを判定する判定手段を有すること
を特徴とする請求項1ないし7のいずれか一項に記載の情報処理装置。 - 任意のプログラムからファイルに対するアクセス要求をインターセプトするインターセプト工程と、
前記インターセプト工程によりインターセプトされたアクセス要求に含まれる当該ファイルに関するファイル情報からハッシュ値を算出し、前記算出されたハッシュ値に基づいて当該ファイルのハッシュ値を取得する取得工程と
を有することを特徴とする情報処理方法。 - コンピュータを、
任意のプログラムからファイルに対するアクセス要求をインターセプトするインターセプト手段と、
前記インターセプト手段によりインターセプトされたアクセス要求に含まれる当該ファイルに関するファイル情報からハッシュ値を算出し、前記算出されたハッシュ値に基づいて当該ファイルのハッシュ値を取得する取得手段として機能させることを特徴とするコンピュータプログラム。 - 複数の情報処理装置と、当該複数の情報処理装置から収集されるファイルのハッシュ値を管理するサーバ装置とを備えたシステムであって、
前記複数の情報処理装置のそれぞれは、
任意のプログラムから前記ファイルに対するアクセス要求をインターセプトするインターセプト手段と、前記インターセプト手段によりインターセプトされたアクセス要求に含まれる当該ファイルに関するファイル情報からハッシュ値を算出し、前記算出されたハッシュ値に基づいて当該ファイルのハッシュ値を取得する取得手段と、前記取得されたファイルのハッシュ値を前記サーバ装置に送信する送信手段と
を有し、
前記サーバ装置は、前記複数の情報処理装置から送信された前記ファイルのハッシュ値を受信する受信手段を有すること
を特徴とするシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016233611A JP6894220B2 (ja) | 2016-11-30 | 2016-11-30 | 情報処理装置及びその制御方法、プログラムおよびシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016233611A JP6894220B2 (ja) | 2016-11-30 | 2016-11-30 | 情報処理装置及びその制御方法、プログラムおよびシステム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2018092281A JP2018092281A (ja) | 2018-06-14 |
JP2018092281A5 JP2018092281A5 (ja) | 2019-10-10 |
JP6894220B2 true JP6894220B2 (ja) | 2021-06-30 |
Family
ID=62566101
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016233611A Active JP6894220B2 (ja) | 2016-11-30 | 2016-11-30 | 情報処理装置及びその制御方法、プログラムおよびシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6894220B2 (ja) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5475826A (en) * | 1993-11-19 | 1995-12-12 | Fischer; Addison M. | Method for protecting a volatile file using a single hash |
JP2008257279A (ja) * | 2007-03-30 | 2008-10-23 | Nec Corp | ファイルシステムの完全性強化方法 |
JP6284317B2 (ja) * | 2013-08-30 | 2018-02-28 | キヤノン電子株式会社 | 情報処理装置、情報処理方法 |
-
2016
- 2016-11-30 JP JP2016233611A patent/JP6894220B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018092281A (ja) | 2018-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10460107B2 (en) | Systems and methods for automatic snapshotting of backups based on malicious modification detection | |
Baek et al. | SSD-insider: Internal defense of solid-state drive against ransomware with perfect data recovery | |
US9935973B2 (en) | Systems and methods for automatic detection of malicious activity via common files | |
Min et al. | Amoeba: An autonomous backup and recovery SSD for ransomware attack defense | |
US20170206353A1 (en) | Method and system for preventing malicious alteration of data in computer system | |
KR101074624B1 (ko) | 브라우저 기반 어뷰징 방지 방법 및 시스템 | |
RU2408060C2 (ru) | Способ и система для поддержания согласованности пространства имен с файловой системой | |
US10713361B2 (en) | Anti-malware protection using volume filters | |
US10366252B2 (en) | Method and system for storage-based intrusion detection and recovery | |
US9424058B1 (en) | File deduplication and scan reduction in a virtualization environment | |
US10983867B1 (en) | Fingerprint change during data operations | |
Baek et al. | SSD-assisted ransomware detection and data recovery techniques | |
US11409766B2 (en) | Container reclamation using probabilistic data structures | |
EP3798883A1 (en) | System and method for generating and storing forensics-specific metadata | |
JP2011191862A (ja) | ファイル管理装置、ファイル管理システム、およびファイル管理プログラム | |
US8381300B2 (en) | Offline extraction of configuration data | |
US9122402B2 (en) | Increasing efficiency of block-level processes using data relocation awareness | |
US9501251B1 (en) | Techniques for print monitoring | |
JP2019114076A (ja) | 情報処理システム、情報処理方法、情報処理装置、及びプログラム | |
JP6894220B2 (ja) | 情報処理装置及びその制御方法、プログラムおよびシステム | |
RU2622630C2 (ru) | Система и способ восстановления модифицированных данных | |
JP2989487B2 (ja) | ウィルスチェックシステム | |
US10389743B1 (en) | Tracking of software executables that come from untrusted locations | |
US11698795B2 (en) | Unified way to track user configuration on a live system | |
KR101772129B1 (ko) | 콘텐츠 무결성을 검증하는 지능형 스토리지 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190830 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190830 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20190830 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200625 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201026 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201214 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20210125 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210507 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210603 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6894220 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |