JP7509242B2 - 改竄検知装置、改竄検知方法および改竄検知プログラム - Google Patents
改竄検知装置、改竄検知方法および改竄検知プログラム Download PDFInfo
- Publication number
- JP7509242B2 JP7509242B2 JP2022574924A JP2022574924A JP7509242B2 JP 7509242 B2 JP7509242 B2 JP 7509242B2 JP 2022574924 A JP2022574924 A JP 2022574924A JP 2022574924 A JP2022574924 A JP 2022574924A JP 7509242 B2 JP7509242 B2 JP 7509242B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- monitored
- unit
- scan pattern
- tampering detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 75
- 238000004364 calculation method Methods 0.000 claims description 45
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000012795 verification Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims 6
- 238000000034 method Methods 0.000 description 63
- 238000004891 communication Methods 0.000 description 20
- 238000011156 evaluation Methods 0.000 description 18
- 238000012545 processing Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 12
- 238000005457 optimization Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000001174 ascending effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Inspection Of Paper Currency And Valuable Securities (AREA)
- Burglar Alarm Systems (AREA)
Description
以下に、本実施形態に係る改竄検知システムの構成、改竄検知装置の構成、監視対象機器の構成、各定数の定義、スキャンパターンの評価指標、改竄検知処理の流れ、スキャンパターンの決定処理の流れを順に説明し、最後に本実施形態の効果を説明する。
図1を用いて、本実施形態に係る改竄検知システム(適宜、本システム)100の構成を詳細に説明する。図1は、第1の実施形態に係る改竄検知システムの構成例を示す図である。改竄検知システム100は、サーバ等の改竄検知装置10、各種端末等の監視対象機器20を有する。ここで、改竄検知装置10と監視対象機器20とは、図示しない所定の通信網を介して、有線または無線により通信可能に接続される。なお、図1に示した改竄検知システム100には、複数台の改竄検知装置10や、複数台の監視対象機器20が含まれてもよい。
図2を用いて、本実施形態に係る改竄検知装置10の構成を詳細に説明する。図2は、本実施形態に係る改竄検知装置の構成例を示すブロック図である。改竄検知装置10は、入力部11、出力部12、通信部13、制御部14および記憶部15を有する。
図3を用いて、本実施形態に係る監視対象機器20の構成を詳細に説明する。図3は、本実施形態に係る監視対象機器の構成例を示すブロック図である。監視対象機器20は、入力部21、出力部22、通信部23、制御部24および記憶部25を有する。
図4を用いて、本実施形態に係る各定数の定義を詳細に説明する。図4は、第1の実施形態に係る各定数の定義を説明するための図である。
図5を用いて、本実施形態に係るスキャンパターンの評価指標を詳細に説明する。図5は、第1の実施形態に係るスキャンパターンの評価指標を説明するための図である。本実施形態では、「正規プログラムが不正に改竄されたファイルを気づかずに実行してしまう可能性」を定式化するために、スキャンパターンの良し悪しを図る評価指標として、E[τattack]を導入する。以下では、評価指標E[τattack]の定義および最適化について説明する。
まず、評価指標E[τattack]の定義について説明する。「τattack」は、ファイルiがスキャン後、他プロセスがファイルiを使うまでの時間、つまりスキャンから直近のアクセスまでの時間を表わし、その数値は、(5)式で求められる。ここで、「taccess」は、ファイルiが他プロセスに読み込まれた時刻、つまりアクセスされた時刻であり、全てのアクセスは瞬間的に発生するものとし、時間幅を持たないものとして扱う。
次に、本実施形態に係る評価指標E[τattack]の最適化について説明する。まず、改竄検知に際して、評価指標E[τattack]を小さくするようなスキャンパターンを生成したい。しかし、一般に、ある時刻tでファイルiに対して正規プログラムからのアクセスが発生する確率qi(t)は未知である。したがって、上記(6)式において、qi(t)をどう扱うかによって、さまざまな最適化の手法が考えられる。以下では、qi(t)が時刻tに依存せず一定とし、各ファイルへのアクセス頻度のみを考慮する最適化の手法について説明する。
図6を用いて、本実施形態に係る改竄検知処理の流れを詳細に説明する。図6は、第1の実施形態に係る改竄検知処理の流れの一例を示すフローチャートである。まず、改竄検知装置10の取得部14aは、監視対象ファイルのアクセス頻度、ファイルサイズ等の情報を監視対象機器20から情報を取得する(ステップS101)。このとき、取得部14aは、監視対象機器20以外の機器から情報を取得してもよい。また、取得部14aは、入力部11を介して直接入力された情報を取得してもよい。
図7を用いて、本実施形態に係るスキャンパターンの決定処理の流れを詳細に説明する。図7は、第1の実施形態に係るスキャンパターンの決定処理の流れの一例を示すフローチャートである。
第1に、上述した本実施形態に係る改竄検知処理では、監視対象ファイルのアクセス頻度を取得し、取得したアクセス頻度に基づいて、監視対象ファイルごとに、スキャンパターンにおけるスキャン回数を計算し、計算したスキャン回数に基づいて、スキャンパターンを決定する。このため、本処理では、監視対象機器内での使用リソースを抑えながら、正規のプログラムが不正に改竄されたファイルを実行してしまう可能性を低減することができる。
上記実施形態に係る図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のごとく構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記実施形態において説明した改竄検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
11 入力部
12 出力部
13 通信部
14 制御部
14a 取得部
14b 計算部
14c 決定部
14d 送信部
14e 検証部
15 記憶部
15a 監視対象機器情報記憶部
15b ファイル情報記憶部
15c ファイルダイジェスト記憶部
20 監視対象機器
21 入力部
22 出力部
23 通信部
24 制御部
24a 取得部
24b 生成部
24c 送信部
25 記憶部
25a 監視対象ファイル記憶部
100 改竄検知システム
Claims (6)
- 監視対象機器のリソースに関する情報、該監視対象機器が有する監視対象ファイルのアクセス頻度およびファイルサイズ、ならびにスキャンパターンの設定時間を取得する取得部と、
前記取得部によって取得された前記リソースに関する情報および前記ファイルサイズを用いてハッシュ計算に要する時間を計算し、前記ハッシュ計算に要する時間および前記アクセス頻度に基づいて、前記監視対象ファイルごとに、スキャンパターンにおけるスキャン回数を計算する計算部と、
前記計算部によって計算された前記スキャン回数に基づいて、前記スキャンパターンを決定する決定部と
を備えることを特徴とする改竄検知装置。 - 前記計算部は、前記監視対象ファイルのスキャンから直近のアクセスまでの平均時間を最小化する前記スキャン回数を計算することを特徴とする請求項1に記載の改竄検知装置。
- 前記決定部は、前記監視対象ファイルの全てのファイルが少なくとも1回含まれるスキャンパターンを、前記スキャン回数に基づいてランダムに決定することを特徴とする請求項1または2に記載の改竄検知装置。
- 前記取得部は、前記監視対象ファイルを記憶する監視対象機器から前記アクセス頻度を取得し、
前記スキャンパターンを前記監視対象機器に送信する送信部と、
前記監視対象機器によって前記スキャンパターンに基づいて生成されたファイルのダイジェストを用いて、該ファイルの改竄の有無を検証する検証部と
をさらに備えることを特徴とする請求項1から3のいずれか1項に記載の改竄検知装置。 - 改竄検知装置によって実行される改竄検知方法であって、
監視対象機器のリソースに関する情報、該監視対象機器が有する監視対象ファイルのアクセス頻度およびファイルサイズ、ならびにスキャンパターンの設定時間を取得する取得工程と、
前記取得工程によって取得された前記リソースに関する情報および前記ファイルサイズを用いてハッシュ計算に要する時間を計算し、前記ハッシュ計算に要する時間および前記アクセス頻度に基づいて、前記監視対象ファイルごとに、スキャンパターンにおけるスキャン回数を計算する計算工程と、
前記計算工程によって計算された前記スキャン回数に基づいて、前記スキャンパターンを決定する決定工程と
を含むことを特徴とする改竄検知方法。 - 監視対象機器のリソースに関する情報、該監視対象機器が有する監視対象ファイルのアクセス頻度およびファイルサイズ、ならびにスキャンパターンの設定時間を取得する取得ステップと、
前記取得ステップによって取得された前記リソースに関する情報および前記ファイルサイズを用いてハッシュ計算に要する時間を計算し、前記ハッシュ計算に要する時間および前記アクセス頻度に基づいて、前記監視対象ファイルごとに、スキャンパターンにおけるスキャン回数を計算する計算ステップと、
前記計算ステップによって計算された前記スキャン回数に基づいて、前記スキャンパターンを決定する決定ステップと
をコンピュータに実行させることを特徴とする改竄検知プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2021/000909 WO2022153410A1 (ja) | 2021-01-13 | 2021-01-13 | 改竄検知装置、改竄検知方法および改竄検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2022153410A1 JPWO2022153410A1 (ja) | 2022-07-21 |
JP7509242B2 true JP7509242B2 (ja) | 2024-07-02 |
Family
ID=82448018
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022574924A Active JP7509242B2 (ja) | 2021-01-13 | 2021-01-13 | 改竄検知装置、改竄検知方法および改竄検知プログラム |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP4261719A1 (ja) |
JP (1) | JP7509242B2 (ja) |
CN (1) | CN116783595A (ja) |
AU (1) | AU2021419833B2 (ja) |
WO (1) | WO2022153410A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004013607A (ja) | 2002-06-07 | 2004-01-15 | Hitachi Ltd | ファイル監視装置 |
JP2010211453A (ja) | 2009-03-10 | 2010-09-24 | Yamatake Corp | ファイル改竄チェック方法および装置 |
US20200034534A1 (en) | 2018-07-24 | 2020-01-30 | EMC IP Holding Company LLC | Predictive scheduled anti-virus scanning |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6713954B2 (ja) | 2017-06-20 | 2020-06-24 | 日本電信電話株式会社 | ファイル管理装置及びファイル管理方法 |
JP6787841B2 (ja) | 2017-06-28 | 2020-11-18 | 日本電信電話株式会社 | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |
JP6700337B2 (ja) | 2018-05-30 | 2020-05-27 | 日本電信電話株式会社 | 保護装置及び保護方法 |
-
2021
- 2021-01-13 WO PCT/JP2021/000909 patent/WO2022153410A1/ja active Application Filing
- 2021-01-13 JP JP2022574924A patent/JP7509242B2/ja active Active
- 2021-01-13 AU AU2021419833A patent/AU2021419833B2/en active Active
- 2021-01-13 CN CN202180090273.8A patent/CN116783595A/zh active Pending
- 2021-01-13 EP EP21919304.2A patent/EP4261719A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004013607A (ja) | 2002-06-07 | 2004-01-15 | Hitachi Ltd | ファイル監視装置 |
JP2010211453A (ja) | 2009-03-10 | 2010-09-24 | Yamatake Corp | ファイル改竄チェック方法および装置 |
US20200034534A1 (en) | 2018-07-24 | 2020-01-30 | EMC IP Holding Company LLC | Predictive scheduled anti-virus scanning |
Also Published As
Publication number | Publication date |
---|---|
JPWO2022153410A1 (ja) | 2022-07-21 |
AU2021419833B2 (en) | 2024-04-11 |
CN116783595A (zh) | 2023-09-19 |
AU2021419833A1 (en) | 2023-07-13 |
WO2022153410A1 (ja) | 2022-07-21 |
EP4261719A1 (en) | 2023-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5793764B2 (ja) | マルウェアの誤検出を低減する方法及び装置 | |
JP5639725B2 (ja) | ソフトウェアの信頼性を測定する方法及び装置 | |
CN109997139A (zh) | 利用基于散列的指纹检测恶意软件 | |
WO2019168167A1 (ja) | 検証方法、検証装置、コンピュータプログラム、及び、検証システム | |
CN103559438A (zh) | 进程识别方法及系统 | |
CN111967016B (zh) | 基板管理控制器的动态监控方法及基板管理控制器 | |
JP7509242B2 (ja) | 改竄検知装置、改竄検知方法および改竄検知プログラム | |
JP2008084275A (ja) | ソフトウェアの改ざん監視装置および改ざん監視方法 | |
JP7509243B2 (ja) | 改竄検知装置、改竄検知方法および改竄検知プログラム | |
WO2022102110A1 (ja) | 改ざん検知装置、改ざん検知方法および改ざん検知プログラム | |
CN115396154A (zh) | 访问鉴权方法、装置、电子设备和存储介质 | |
JP7184197B2 (ja) | 異常検出装置、異常検出方法および異常検出プログラム | |
KR20210076455A (ko) | Xss 공격 검증 자동화 방법 및 그 장치 | |
JP6608569B1 (ja) | セキュリティ設計装置、セキュリティ設計方法およびセキュリティ設計プログラム | |
JP5386015B1 (ja) | バグ検出装置およびバグ検出方法 | |
JP7318711B2 (ja) | 異常検知装置、異常検知方法、及びプログラム | |
JP7287093B2 (ja) | 学習プログラム、学習方法および学習装置 | |
EP4216113A1 (en) | Assessment device, assessment method, and assessment program | |
KR102253213B1 (ko) | 공격 검지 장치 | |
JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム | |
JP2017102566A (ja) | 不正ファイル検知装置、不正ファイル検知方法、および、不正ファイル検知プログラム | |
WO2022195887A1 (ja) | トラフィックセンサ、分析方法、および、分析プログラム | |
WO2020240766A1 (ja) | 評価装置、システム、制御方法、及びプログラム | |
JP2005234849A (ja) | 監視装置及び監視方法及びプログラム | |
WO2021024415A1 (ja) | ポリシー評価装置、制御方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230427 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240312 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240508 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240521 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240603 |