JP7438915B2 - 情報処理装置、プログラムおよび情報処理システム - Google Patents
情報処理装置、プログラムおよび情報処理システム Download PDFInfo
- Publication number
- JP7438915B2 JP7438915B2 JP2020185040A JP2020185040A JP7438915B2 JP 7438915 B2 JP7438915 B2 JP 7438915B2 JP 2020185040 A JP2020185040 A JP 2020185040A JP 2020185040 A JP2020185040 A JP 2020185040A JP 7438915 B2 JP7438915 B2 JP 7438915B2
- Authority
- JP
- Japan
- Prior art keywords
- type
- processing
- target
- module
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 67
- 238000012545 processing Methods 0.000 claims description 243
- 238000000034 method Methods 0.000 claims description 201
- 230000008569 process Effects 0.000 claims description 197
- 230000005856 abnormality Effects 0.000 claims description 50
- 238000001514 detection method Methods 0.000 claims description 15
- 230000006870 function Effects 0.000 claims description 14
- 238000012806 monitoring device Methods 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 description 112
- 238000010586 diagram Methods 0.000 description 10
- 230000004048 modification Effects 0.000 description 9
- 238000012986 modification Methods 0.000 description 9
- WBMKMLWMIQUJDP-STHHAXOLSA-N (4R,4aS,7aR,12bS)-4a,9-dihydroxy-3-prop-2-ynyl-2,4,5,6,7a,13-hexahydro-1H-4,12-methanobenzofuro[3,2-e]isoquinolin-7-one hydrochloride Chemical compound Cl.Oc1ccc2C[C@H]3N(CC#C)CC[C@@]45[C@@H](Oc1c24)C(=O)CC[C@@]35O WBMKMLWMIQUJDP-STHHAXOLSA-N 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Description
図6は、第1変形例に係る対象モジュール処理の種類の特定処理の流れを示すフローチャートである。
図7は、第2変形例に係る第2プロセスの処理の流れの一例を示すシーケンス図である。情報処理装置12のプロセス実行部60は、図3に示す流れの処理に代えて、例えば、図7に示す流れで処理を実行してもよい。
図9は、実施形態に係る情報処理装置12のハードウェア構成の一例を示す図である。情報処理装置12は、例えば図9に示すようなハードウェア構成のコンピュータにより実現される。情報処理装置12は、CPU(Central Processing Unit)301と、RAM(Random Access Memory)302と、ROM(Read Only Memory)303と、操作入力装置304と、表示装置305と、記憶装置306と、通信装置307とを備える。そして、これらの各部は、バスにより接続される。
12 情報処理装置
14 コントローラ
16 対象装置
18 ネットワーク
32 ログ記憶部
34 リスト記憶部
40 監視部
42 操作検出部
44 プロセス特定部
46 ログ特定部
48 種類特定部
50 比較部
52 出力部
60 プロセス実行部
62 ユーザインターフェース部
64 ログ出力部
66 第1制御処理部
68 第2制御処理部
Claims (10)
- モジュール処理の種類毎に、実行を許可するシステム操作が記述されたホワイトリストを記憶するリスト記憶部と、
プロセッサと、
を備え、
前記プロセッサは、
何れかの前記システム操作が実行されたことを検出する操作検出部と、
実行を検出した前記システム操作を実行したプロセスである対象プロセスを特定するプロセス特定部と、
前記対象プロセスの処理内容の履歴を表す動作ログである対象動作ログを特定するログ特定部と、
前記対象動作ログを解析することにより、実行を検出した前記システム操作を実行した前記モジュール処理である対象モジュール処理の種類を特定する種類特定部と、
前記対象モジュール処理の種類についての前記ホワイトリストに、実行を検出した前記システム操作が含まれていない場合、異常が発生したことを示す異常情報を出力する出力部と
して機能する情報処理装置。 - 前記操作検出部は、予め定められた前記システム操作である特定システム操作が実行されたことを検出し、および、実行を検出した前記特定システム操作による処理対象を特定し、
前記ホワイトリストは、実行を許可する前記システム操作と、前記システム操作を許可する処理対象との組が記述され、
前記出力部は、前記対象モジュール処理の種類についての前記ホワイトリストに、実行を検出した前記システム操作と特定された処理対象との組が含まれていない場合、前記異常情報を出力する
請求項1に記載の情報処理装置。 - 前記プロセッサは、オペレーティングシステムを実行し、前記オペレーティングシステムの管理下でアプリケーションプログラムを実行し、
前記プロセスは、実行中の前記アプリケーションプログラムによる処理であり、
前記モジュール処理は、前記オペレーティングシステムに管理されているプログラム部品による処理であり、
前記システム操作は、前記プロセスにおいて前記オペレーティングシステムに組み込まれている機能を呼び出して処理を実行させる操作である
請求項1または2に記載の情報処理装置。 - 前記リスト記憶部は、前記アプリケーションプログラム毎且つ前記モジュール処理の種類毎に、前記ホワイトリストを記憶し、
前記出力部は、前記対象プロセスに対応する前記アプリケーションプログラムの前記対象モジュール処理の種類についての前記ホワイトリストに、実行を検出した前記システム操作が含まれていない場合、前記異常情報を出力する
請求項3に記載の情報処理装置。 - 前記リスト記憶部は、予め定められた1または複数の特定種類の前記モジュール処理のそれぞれについての前記ホワイトリスト、および、汎用種類についての前記ホワイトリストを記憶し、
前記汎用種類は、前記1または複数の特定種類に含まれない全ての種類を統一して表す種類であり、
前記種類特定部は、前記対象モジュール処理の種類が、前記1または複数の特定種類の何れにも一致しない場合、前記対象モジュール処理の種類を前記汎用種類と特定する
請求項4に記載の情報処理装置。 - 前記プロセスにおいて、前記プロセッサは、
前記モジュール処理の開始時に、前記モジュール処理の種類および前記モジュール処理を開始したことを示す開始情報を前記動作ログに記録し、
前記モジュール処理の終了時に、前記モジュール処理の種類および前記モジュール処理を終了したことを示す終了情報を前記動作ログに記録し、
前記種類特定部は、
前記対象動作ログに記録された最後の前記開始情報である最終開始情報を検出し、
前記最終開始情報に対応する前記モジュール処理の種類が前記1または複数の特定種類の何れかであり、且つ、前記最終開始情報の後に前記最終開始情報に対応する前記モジュール処理の前記終了情報が存在しない場合、前記対象モジュール処理の種類を、前記最終開始情報に対応する前記モジュール処理の種類と特定し、
前記最終開始情報に対応する前記モジュール処理の種類が前記1または複数の特定種類の何れでもない場合、または、前記最終開始情報の後に前記最終開始情報に対応する前記モジュール処理の前記終了情報が存在する場合、前記対象モジュール処理の種類を、前記汎用種類と特定する
請求項5に記載の情報処理装置。 - 前記プロセスにおいて、前記プロセッサは、前記モジュール処理の開始時に前記モジュール処理の種類および前記モジュール処理を開始したことを示す開始情報を前記動作ログに記録し、
前記種類特定部は、
前記対象動作ログに記録された最後の前記開始情報である最終開始情報を検出し、
前記最終開始情報に対応する前記モジュール処理の種類が前記1または複数の特定種類の何れかである場合、前記対象モジュール処理の種類を、前記最終開始情報に対応する前記モジュール処理の種類と特定し、
前記最終開始情報に対応する前記モジュール処理の種類が前記1または複数の特定種類の何れでもない場合、前記対象モジュール処理の種類を、前記汎用種類と特定する
請求項5に記載の情報処理装置。 - 前記プロセスにおいて、前記プロセッサは、前記モジュール処理の開始時に前記プロセスが受け付けた処理要求の内容を前記動作ログに記録し、
前記種類特定部は、
前記対象動作ログに記録された最後の前記処理要求の内容である最終要求情報を検出し、
前記最終要求情報に対応する前記モジュール処理の種類が前記1または複数の特定種類の何れかである場合、前記対象モジュール処理の種類を、前記最終要求情報に対応する前記モジュール処理の種類と特定し、
前記最終要求情報に対応する前記モジュール処理の種類が前記1または複数の特定種類の何れでもない場合、前記対象モジュール処理の種類を、前記汎用種類と特定する
請求項5に記載の情報処理装置。 - モジュール処理の種類毎に、実行を許可するシステム操作が記述されたホワイトリストを記憶するリスト記憶部と、
プロセッサと、
を備える情報処理装置において実行され、前記プロセッサを監視装置として機能させるためのプログラムであって、
前記プロセッサを、
何れかの前記システム操作が実行されたことを検出する操作検出部と、
実行を検出した前記システム操作を実行したプロセスである対象プロセスを特定するプロセス特定部と、
前記対象プロセスの処理内容の履歴を表す動作ログである対象動作ログを特定するログ特定部と、
前記対象動作ログを解析することにより、実行を検出した前記システム操作を実行した前記モジュール処理である対象モジュール処理の種類を特定する種類特定部と、
前記対象モジュール処理の種類についての前記ホワイトリストに、実行を検出した前記システム操作が含まれていない場合、異常が発生したことを示す異常情報を出力する出力部と
して機能させるプログラム。 - 情報処理装置と、
1個または複数個の対象装置と、
前記情報処理装置からの指示に応じて前記1個または複数個の対象装置を制御するコントローラと、
を備える情報処理システムであって、
前記情報処理装置は、
モジュール処理の種類毎に、実行を許可するシステム操作が記述されたホワイトリストを記憶するリスト記憶部と、
プロセッサと、
を備え、
前記プロセッサは、
何れかの前記システム操作が実行されたことを検出する操作検出部と、
実行を検出した前記システム操作を実行したプロセスである対象プロセスを特定するプロセス特定部と、
前記対象プロセスの処理内容の履歴を表す動作ログである対象動作ログを特定するログ特定部と、
前記対象動作ログを解析することにより、実行を検出した前記システム操作を実行した前記モジュール処理である対象モジュール処理の種類を特定する種類特定部と、
前記対象モジュール処理の種類についての前記ホワイトリストに、実行を検出した前記システム操作が含まれていない場合、異常が発生したことを示す異常情報を出力する出力部と
して機能する情報処理システム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020185040A JP7438915B2 (ja) | 2020-11-05 | 2020-11-05 | 情報処理装置、プログラムおよび情報処理システム |
US17/446,448 US11770395B2 (en) | 2020-11-05 | 2021-08-30 | Information processing apparatus, computer program product, and information processing system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020185040A JP7438915B2 (ja) | 2020-11-05 | 2020-11-05 | 情報処理装置、プログラムおよび情報処理システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022074730A JP2022074730A (ja) | 2022-05-18 |
JP7438915B2 true JP7438915B2 (ja) | 2024-02-27 |
Family
ID=81379502
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020185040A Active JP7438915B2 (ja) | 2020-11-05 | 2020-11-05 | 情報処理装置、プログラムおよび情報処理システム |
Country Status (2)
Country | Link |
---|---|
US (1) | US11770395B2 (ja) |
JP (1) | JP7438915B2 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060236374A1 (en) | 2005-04-13 | 2006-10-19 | Rockwell Automation Technologies, Inc. | Industrial dynamic anomaly detection method and apparatus |
JP2012001765A (ja) | 2010-06-17 | 2012-01-05 | Sumitomo Metal Ind Ltd | ステアリングラックバー用棒鋼およびその製造方法 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010182019A (ja) | 2009-02-04 | 2010-08-19 | Kddi Corp | 異常検知装置およびプログラム |
JP5865180B2 (ja) | 2012-05-29 | 2016-02-17 | Kddi株式会社 | 携帯通信端末、データ通信検知装置、データ通信検知方法、およびプログラム |
US9405900B2 (en) * | 2013-03-13 | 2016-08-02 | General Electric Company | Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems |
US10671726B1 (en) * | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US10861320B2 (en) * | 2016-08-22 | 2020-12-08 | Rapidsos, Inc. | Predictive analytics for emergency detection and response management |
US10628560B1 (en) * | 2017-09-11 | 2020-04-21 | Architecture Technology Corporation | Permission request system and method |
JP6977522B2 (ja) * | 2017-12-07 | 2021-12-08 | オムロン株式会社 | 制御システム、情報処理装置、異常要因推定プログラム |
US10848491B2 (en) * | 2018-01-18 | 2020-11-24 | Cyberark Software Ltd. | Automatically detecting a violation in a privileged access session |
US20220191227A1 (en) * | 2019-04-02 | 2022-06-16 | Siemens Energy Global GmbH & Co. KG | User behavorial analytics for security anomaly detection in industrial control systems |
US11243859B2 (en) * | 2019-10-09 | 2022-02-08 | Microsoft Technology Licensing, Llc | Baseboard management controller that initiates a diagnostic operation to collect host information |
US11455230B2 (en) * | 2019-11-20 | 2022-09-27 | International Business Machines Corporation | Event specific log file generation |
-
2020
- 2020-11-05 JP JP2020185040A patent/JP7438915B2/ja active Active
-
2021
- 2021-08-30 US US17/446,448 patent/US11770395B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060236374A1 (en) | 2005-04-13 | 2006-10-19 | Rockwell Automation Technologies, Inc. | Industrial dynamic anomaly detection method and apparatus |
JP2012001765A (ja) | 2010-06-17 | 2012-01-05 | Sumitomo Metal Ind Ltd | ステアリングラックバー用棒鋼およびその製造方法 |
Also Published As
Publication number | Publication date |
---|---|
US20220141241A1 (en) | 2022-05-05 |
JP2022074730A (ja) | 2022-05-18 |
US11770395B2 (en) | 2023-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9934507B2 (en) | Mapping user actions to historical paths to determine a predicted endpoint | |
JP6458858B2 (ja) | 監視制御装置 | |
CN104572387A (zh) | 一种工程模式下调试终端的方法及装置 | |
JP2006330774A (ja) | プロセス異常状態回復操作支援システム | |
JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
US20190138713A1 (en) | Method for Detecting a Deviation of a Security State of a Computing Device from a Desired Security State | |
JP6244992B2 (ja) | 構成情報管理プログラム、構成情報管理方法、及び構成情報管理装置 | |
TWI656453B (zh) | 檢測系統及檢測方法 | |
US20220179954A1 (en) | Method for generating characteristic information of malware which informs attack type of the malware | |
JP7438915B2 (ja) | 情報処理装置、プログラムおよび情報処理システム | |
JP6337956B2 (ja) | 制御機器、制御システム、制御機器の制御方法、および、制御システムの制御方法 | |
JP2007295279A (ja) | 障害管理装置及び障害管理方法及びプログラム | |
GB2515598A (en) | Information processing apparatus and information processing method | |
WO2020100634A1 (ja) | 復旧支援装置、復旧支援方法及びプログラム | |
JP2017040962A (ja) | 管理プログラム、管理装置及び管理方法 | |
JP2021069009A (ja) | 情報処理システム、情報処理システムの制御方法、情報処理装置、及びプログラム | |
JP7195384B1 (ja) | 導入支援装置、導入支援方法及び導入支援プログラム | |
KR102556413B1 (ko) | 세마포어를 이용한 가상화 머신 관리 방법 및 이를 위한 장치 | |
WO2023084723A1 (ja) | リスク情報出力装置、情報出力システム、リスク情報出力方法、及び記録媒体 | |
JP2011227789A (ja) | 情報処理装置及びプログラム | |
KR101116053B1 (ko) | 파일 백업 방법과 상기 방법을 수행할 수 있는 장치들 | |
CN113687869A (zh) | 一种兼容txt功能和asd功能的方法和装置 | |
CN115964693A (zh) | 工业主机环境下的可信程序快速识别方法、设备和系统 | |
CN107783827B (zh) | 异步任务处理方法及装置 | |
KR20230143473A (ko) | 전자 장치의 악성 스크립트 탐지 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230208 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240116 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240117 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240214 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7438915 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |