JPH09171460A - Diagnostic system for computer - Google Patents
Diagnostic system for computerInfo
- Publication number
- JPH09171460A JPH09171460A JP7331481A JP33148195A JPH09171460A JP H09171460 A JPH09171460 A JP H09171460A JP 7331481 A JP7331481 A JP 7331481A JP 33148195 A JP33148195 A JP 33148195A JP H09171460 A JPH09171460 A JP H09171460A
- Authority
- JP
- Japan
- Prior art keywords
- program
- computer
- virus
- internal state
- knowledge base
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は計算機の障害検知シ
ステムに係わり、特に従来は利用されていなかったプロ
グラム動作に関する情報、すなわち各プログラムの関連
プログラム呼出動作やファイル入出力動作を解析するこ
とにより、ウィルス・プログラムやプログラムのインス
トール・ミス等の障害を検知する仕組みに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a computer fault detection system, and in particular, by analyzing information relating to a program operation which has not been conventionally used, that is, a related program calling operation or file input / output operation of each program, It relates to a mechanism for detecting failures such as virus programs and program installation errors.
【0002】[0002]
【従来の技術】従来、ウィルス・プログラムの感染は、
主としてウィルス・プログラムの持つプログラムパター
ンと、計算機内部のファイルの内容を比較し、感染の有
無を判定するウィルス検査プログラムがあった。また、
プログラムのインストールミスは主として人間が計算機
の動作から診断を下していた。2. Description of the Related Art Conventionally, infection of virus programs is
There was a virus inspection program that mainly compares the program patterns of virus programs with the contents of files inside the computer to determine the presence or absence of infection. Also,
Humans mainly diagnosed the program installation error from the operation of the computer.
【0003】また、類似技術として、外部からの侵入者
を発見するために、計算機の挙動を解析する技術(例え
ば "Detecting Intruders in Computer Systems", Tere
sa F.Lunt, 1993 Conference on Auditing and Compute
r Technologyに述べられているNIDESシステム)もあっ
た。As a similar technique, a technique for analyzing the behavior of a computer in order to detect an intruder from the outside (for example, "Detecting Intruders in Computer Systems", Tere
sa F. Lunt, 1993 Conference on Auditing and Compute
NI DES system described in r Technology).
【0004】[0004]
【発明が解決しようとする課題】上記従来技術では、プ
ログラムパターンを検査プログラムが判定できないよう
に暗号化する技術を利用したウィルス・プログラムの検
査は困難であった。また、インストールミスの判断は熟
練した専門家の援助が必要であった。また、NIDESではC
PUの負荷情報などを統計的に処理するため、急速に害を
及ぼすウィルスへの防御方法としては不十分であった。In the above-mentioned conventional techniques, it is difficult to inspect a virus program using a technique of encrypting a program pattern so that the inspection program cannot judge it. In addition, the judgment of the installation error requires the assistance of a skilled expert. Also, C in NIDES
Since the load information of the PU is processed statistically, it was not sufficient as a defense method against viruses that cause rapid damage.
【0005】本発明の目的はこの問題点を解決するため
に、従来は利用されていなかったプログラム動作に関す
る情報を解析することにより、ウィルス・プログラムや
プログラムのインストール・ミス等の障害を検知する仕
組みを提供することにある。In order to solve this problem, an object of the present invention is to detect a failure such as a virus program or a program installation error by analyzing information about a program operation which has not been used conventionally. To provide.
【0006】[0006]
【課題を解決するための手段】上記目的は、プログラム
の正常時の動作仕様や、ウィルス・プログラム等に感染
した場合のプログラムの動作、インストール・ミスがあ
る場合のプログラムの動作を記憶したデータベースと、
計算機内部の状態を観測する仕組みを用意し、記憶され
た動作と計算機内部の実際の状態とを比較することによ
り達成される。[Means for Solving the Problems] The above-mentioned object is a database that stores the operating specifications of a program when it is normal, the operation of the program when it is infected with a virus or program, and the operation of the program when there is an installation error. ,
This is achieved by preparing a mechanism for observing the internal state of the computer and comparing the stored operation with the actual internal state of the computer.
【0007】[0007]
【発明の実施の形態】本発明は計算機上の適当なデータ
ベースおよびプログラムとして実現する。The present invention is realized as an appropriate database and program on a computer.
【0008】以下、本発明の1実施例を図面を参照して
説明する。An embodiment of the present invention will be described below with reference to the drawings.
【0009】図1は、本発明を利用した計算機システム
の構成図である。1はウィルス・プログラムの感染やプ
ログラムのインストールミスを検査するための診断シス
テムであり、表示・入力装置3を使って計算機利用者と
情報をやりとりする計算機上の適当なプログラムで良
い。1aは診断システム1のインターフェース・プログラ
ムであり、やはり計算機上の適当なプログラムで良い。
2は計算機のオペレーティングシステムであり、プログ
ラムが関連プログラムを起動した情報や、プログラムが
行った入出力操作に関する情報を作業履歴2cとして出力
する仕組みを持ったオペレーティングシステムで良い。FIG. 1 is a block diagram of a computer system using the present invention. Reference numeral 1 is a diagnostic system for inspecting a virus program for infection or a program installation error, which may be an appropriate program on a computer that exchanges information with a computer user using the display / input device 3. Reference numeral 1a is an interface program of the diagnostic system 1, which may be an appropriate program on a computer.
Reference numeral 2 denotes an operating system of the computer, which may be an operating system having a mechanism for outputting, as a work history 2c, information on the program starting a related program and information on input / output operations performed by the program.
【0010】ここで、プログラムが関連プログラムを起
動した情報や、プログラムが行った入出力操作に関する
情報を作業履歴2cとして出力する仕組みを持ったオペレ
ーティングシステム2は、オペレーティングシステム内
部のサブプログラムであるプロセス管理システム2aとフ
ァイル管理システム2bに必要な機能を持たせることで容
易に実現可能である。例えば、近年多くの計算機で利用
されているUNIXオペレーティングシステムであれば、ex
ec, fork, link, open, close等のシステム呼出しを実
現するサブルーティンに必要な機能を持たせる事で簡単
に実現可能である。Here, the operating system 2 having a mechanism for outputting information as to the work history 2c of the program starting the related program and the information about the input / output operation performed by the program is a process which is a sub-program inside the operating system. This can be easily realized by providing the management system 2a and the file management system 2b with necessary functions. For example, if the UNIX operating system used in many computers in recent years is ex
It can be easily implemented by adding the necessary functions to the subroutine that implements system calls such as ec, fork, link, open, and close.
【0011】知識ベース1cは、プログラムの正常時の動
作仕様や、ウィルス・プログラム等に感染した場合のプ
ログラムの動作、インストール・ミスがある場合のプロ
グラムの動作を記憶する計算機上のデータベースであ
り、診断システム1の1部である。診断モジュール1bは
知識ベース1cに記憶した動作と、オペレーティングシス
テムが出力する作業履歴2cを比較して、ウィルス・プロ
グラムの感染やプログラムのインストールミスを検査
し、診断結果や対処方法1dを出力する計算機上のプログ
ラムであり、診断システム1の1部である。The knowledge base 1c is a database on a computer that stores the operating specifications of the program at normal times, the operation of the program when infected with a virus program, etc., and the operation of the program when there is an installation error. It is a part of the diagnostic system 1. The diagnostic module 1b compares the operation stored in the knowledge base 1c with the work history 2c output by the operating system, inspects for infection of virus programs and program installation errors, and outputs the diagnosis result and coping method 1d. The above program is a part of the diagnostic system 1.
【0012】ここで、診断モジュール1bは知識ベース1c
に記憶したプログラムの正常時の動作仕様と作業履歴2c
を比較し、両者が一致しない場合には、ウィルスに感染
しているか、プログラムのインストールミスがあると判
断し、診断結果1dを出力する。また、知識ベース1cに記
憶したウィルス・プログラム等に感染した場合のプログ
ラムの動作と作業履歴2cを比較し、両者が一致する場合
には、ウィルスに感染していると判断し、診断結果1dを
出力する。さらに、知識ベース1cに記憶したインストー
ル・ミスがある場合のプログラムの動作と作業履歴2cを
比較し、両者が一致する場合には、プログラムのインス
トールミスがあると判断し、診断結果1dを出力する。Here, the diagnostic module 1b is the knowledge base 1c.
Specification and work history of the program stored in the normal state 2c
If the two do not match, it is determined that the computer is infected with a virus or there is a program installation error, and the diagnostic result 1d is output. In addition, the operation of the program when infected with a virus program etc. stored in the knowledge base 1c and the work history 2c are compared, and if they match, it is determined that the virus is infected and the diagnosis result 1d is obtained. Output. Further, the operation of the program when there is an installation error stored in the knowledge base 1c and the work history 2c are compared, and when the two match, it is determined that there is an installation error of the program and the diagnostic result 1d is output. .
【0013】図2は、本発明を説明するための計算機内
部の処理の例であり、オペレーティングシステム2は作
業履歴2cとして、図2の情報を出力する。図2において
計算機の利用者は、インターフェース・プログラム1aを
通してアプリケーション・プログラム4a,4b,4c,4d,4eを
利用し、インターフェース・プログラム1a'を通してア
プリケーション・プログラム5a,5b,5c,5dを利用し、イ
ンターフェース・プログラム1a"を通してアプリケーシ
ョン・プログラム6a,6b,6c,6d,6e,6fを利用している。FIG. 2 shows an example of internal processing of the computer for explaining the present invention. The operating system 2 outputs the information of FIG. 2 as a work history 2c. In FIG. 2, the computer user uses the application programs 4a, 4b, 4c, 4d, 4e through the interface program 1a, and uses the application programs 5a, 5b, 5c, 5d through the interface program 1a '. The application programs 6a, 6b, 6c, 6d, 6e, 6f are used through the interface program 1a ".
【0014】図3は、本発明を説明するための、プログ
ラムの正常動作の例であり、知識ベース1cに記憶されて
いる情報の例である。図3は、アプリケーション・プロ
グラム6a(emacs)によりc programのソースコードが作成
されると、作成されたプログラムはアプリケーション・
プログラム6b(make)が起動したアプリケーション・プロ
グラム6e(cc)によりコンパイルされ、アプリケーション
・プログラム6f(ld)により実行形式アプリケーション・
プログラム5c(prog.exe)に変換されることと、作業過程
で、アプリケーション・プログラム6e(cc)は入力ファイ
ル7a(/usr/include/stdio.h等)を、アプリケーション・
プログラム6f(ld)は入力ファイル7b(/usr/lib/libc.a
等)を入力として使うこと、また作業用のファイルとし
て出力ファイル7c(/tmp/work_file)を使うことを示して
いる。FIG. 3 is an example of a normal operation of a program for explaining the present invention, which is an example of information stored in the knowledge base 1c. Figure 3 shows that when the source code of c program is created by application program 6a (emacs), the created program is
The program 6b (make) is started by the application program 6e (cc) that is started by the application program 6f (ld)
Being converted into the program 5c (prog.exe), and in the course of work, the application program 6e (cc) converts the input file 7a (/usr/include/stdio.h etc.)
Program 6f (ld) is input file 7b (/usr/lib/libc.a
Etc.) is used as an input, and the output file 7c (/ tmp / work_file) is used as a work file.
【0015】図4は、本発明を説明するための、プログ
ラムがウィルスに感染した場合の動作例であり、作業履
歴2cの内容を1部抽出した場合の例である。図3との違
いはアプリケーション・プログラム6f(ld)の動作であ
る。ウィルスに感染したアプリケーション・プログラム
6f(ld)は/os_image 8に書き込みを試みているが、図3
の正常動作例と比較すれば、この/os_image 8に書き込
みが、アプリケーション・プログラム6f(ld)の本来の仕
様ではなく、ウィルスの感染によるものであることは診
断できる。また、このような異常な動作を起こした時に
該当プログラム(この場合ケーション・プログラム6f)の
動作を停止する機能をオペレーティングシステム2に持
たせることにより、ウィルス等により重大な障害を発生
することを予防できる。このオペレーティングシステム
2の機能は、診断システム1が「異常動作」と判定した
場合にオペレーティングシステム2に、その事を通知
し、オペレーティングシステム2が異常原因となったプ
ログラムを停止させることにより容易に実現できる。FIG. 4 shows an example of the operation when a program is infected with a virus for explaining the present invention, and an example when one copy of the contents of the work history 2c is extracted. The difference from FIG. 3 is the operation of the application program 6f (ld). Application program infected by virus
6f (ld) is trying to write to / os_image 8, but Fig. 3
Comparing with the normal operation example of, it can be diagnosed that the writing to / os_image 8 is not due to the original specifications of the application program 6f (ld) but due to virus infection. Also, by giving the operating system 2 a function to stop the operation of the program concerned (application program 6f in this case) when such an abnormal operation occurs, it is possible to prevent a serious failure due to a virus or the like. it can. This function of the operating system 2 is easily realized by notifying the operating system 2 of the fact that the diagnostic system 1 determines that the operation is abnormal and stopping the program causing the abnormality. it can.
【0016】図5は、本発明を説明するための、インス
トールミスがあった場合のプログラムの動作例であり、
作業履歴2cの内容を1部抽出した場合の例である。図3
の正常動作例と比較すれば、この本来成功すべきアプリ
ケーション・プログラム6f(ld)による/usr/lib/libc.a
等入力ファイル7bの入力作業が失敗(9a)し、その結果、
実行形式プログラム5c(prog.exe)の実行が失敗(9b)して
いることがわかる。従来このような場合、非専門家には
実行形式プログラム5c(prog.exe)の実行失敗(9b)のみが
わかり、本来の原因であるアプリケーション・プログラ
ム6f(ld)による/usr/lib/libc.a等入力ファイル7bの入
力の失敗(9a)まではわからなかったが、動作例を比較す
ることにより、このようなインストールミス(この場合
は必要ファイルのインストール忘れ)も診断できる。FIG. 5 is an operation example of the program when there is an installation error for explaining the present invention.
This is an example when one copy of the contents of the work history 2c is extracted. FIG.
Compared to the normal operation example of, /usr/lib/libc.a by this originally successful application program 6f (ld)
Input work of equal input file 7b failed (9a), and as a result,
It can be seen that execution of the executable program 5c (prog.exe) has failed (9b). Conventionally, in such a case, a non-specialist can see only the execution failure (9b) of the executable program 5c (prog.exe), and / usr / lib / libc by the original application program 6f (ld). Although I did not understand until the input failure (9a) of the a etc. input file 7b, by comparing the operation examples, such an installation error (in this case, forgetting to install the necessary file) can be diagnosed.
【0017】上記実施例においては、簡単のため、知識
ベース1cにはプログラムの正常または異常な動作が記憶
されているとして説明をしたが、ウィルス感染時やイン
ストールミスの時の対処方法を同時に記憶しておく事
で、それら異常に対する対処方法を出力する事もでき、
本発明のその他の実施例である。In the above embodiment, for the sake of simplicity, the knowledge base 1c has been described as storing the normal or abnormal operation of the program. However, the coping method at the time of virus infection or installation error is also stored at the same time. By doing so, it is possible to output the coping method for those abnormalities,
It is another embodiment of the present invention.
【0018】図6は、本発明を利用して知識ベース1cに
計算機動作を記憶した場合の実施例の構成図であり、1e
が知識ベース作成モジュールである。本実施例では知識
ベース作成モジュールが、1.ウィルスにも感染しておら
ずソフトも正常にインストールされている状態、およ
び、2.知識ベース1c作成のためにウィルスを感染させた
状態、および、3.知識ベース1c作成のためにインストー
ル上の不都合を生じさせた状態の計算機の典型的な動作
を知識べース1cに記憶する。FIG. 6 is a block diagram of an embodiment in which a computer operation is stored in the knowledge base 1c using the present invention.
Is the knowledge base creation module. In this embodiment, the knowledge base creation module has 1. a state in which it is not infected with a virus and software is normally installed, and 2. a state in which a virus is infected to create the knowledge base 1c, and 3. In the knowledge base 1c, the typical operation of the computer in the state of causing the installation inconvenience to create the knowledge base 1c is stored.
【0019】ここで、知識ベース1cに記憶される計算機
の動作は、オペレーティングシステム2から出力される
作業履歴2cの適当な1部で良い。ここで、作業履歴2cは
プログラム間のファイルの入出力関係を構造的な情報と
して図3、4、5に例示したグラフの形を持っている。
このグラフ中に繰り返し現れるパターンを抽出すれば、
1.ウィルスにも感染しておらずソフトも正常にインスト
ールされている状態、および、2.知識ベース1c作成のた
めにウィルスを感染させた状態、および、3.知識ベース
1c作成のためにインストール上の不都合を生じさせた状
態、それぞれの計算機の典型的な動作を知識ベース化で
きる。Here, the operation of the computer stored in the knowledge base 1c may be an appropriate part of the work history 2c output from the operating system 2. Here, the work history 2c has the form of graphs illustrated in FIGS. 3, 4, and 5 as structural information regarding the input / output relationship of files between programs.
If you extract the pattern that appears repeatedly in this graph,
1. The state that it is not infected by a virus and the software is normally installed, and 2. The state that a virus is infected to create knowledge base 1c, and 3. The knowledge base
A knowledge base can be created for the typical operation of each computer in the state that caused inconvenience in installation for creating 1c.
【0020】グラフ中に繰り返し現れるパターンの抽出
はどのような手法を用いても良いが、文献「推論過程か
らの概念学習 (1) 類型的推論過程の抽出、吉田・元
田、人工知能学会誌、Vol. 7, No. 4, pp.119-129 (199
2)」に示された方法を用いれば、プログラム間のファイ
ルの入出力関係等構造的な情報まで含めて統計量等を解
析し、解析結果を基に知識ベース1cを作成することがで
きる。Any method may be used to extract the pattern that appears repeatedly in the graph, but the document "Conceptual learning from inference processes (1) Extraction of typological inference processes, Yoshida and Motoda, Journal of Japan Society for Artificial Intelligence" , Vol. 7, No. 4, pp. 119-129 (199
2) ”, it is possible to analyze the statistics including the structural information such as the input / output relationship of files between programs, and create the knowledge base 1c based on the analysis result.
【0021】図1と図6に例示した実施例を組み合わ
せ、ウィルス・プログラム等の感染やインストール・ミ
スの検査と、知識ベース1cの作成を同じ機械の上で行え
るようにした計算機も本発明の別の実施例である。この
場合、作成した知識ベース1cに、新たに発見したウィル
スに固有のプログラムパターンを一緒に抽出して記憶す
ることにより、従来手法であるプログラムのメモリ上に
記憶された文字列としてのウィルスのパターンを調べる
仕組みのシステムのセキュリティを向上させることもで
きる。すなわち、本発明を利用した計算機システムで作
業中に、計算機が新種のウィルスに感染したとする。本
発明によりウィルスがオペレーティングシステム2に影
響を及ぼそうとしても、安全にウィルスの動きを止め、
該ウィルスに関する知識ベース1cを作成できる。この時
新たに発見したウィルスに固有のプログラムパターンを
一緒に抽出して記憶することにより、従来手法であるプ
ログラムのメモリ上に記憶された文字列としてのウィル
スのパターンを調べる仕組みのシステム用の知識ベース
も作成できる。この場合、新しいプログラムを起動する
前に抽出したプログラムパターンと比較することで、該
プログラムがウィルスに感染しているか否か検査でき
る。A computer in which the embodiments illustrated in FIGS. 1 and 6 are combined so that the infection of a virus program or the like and the installation error can be checked and the knowledge base 1c can be created on the same machine is also the present invention. It is another embodiment. In this case, by extracting and storing the program pattern unique to the newly discovered virus together in the created knowledge base 1c, the virus pattern as a character string stored in the memory of the program, which is the conventional method, is stored. It is also possible to improve the security of the system of the mechanism for checking. That is, it is assumed that the computer is infected with a new type of virus while working on the computer system using the present invention. According to the present invention, even if a virus tries to affect the operating system 2, the virus can be safely stopped,
A knowledge base 1c about the virus can be created. Knowledge for a system of a mechanism to check the virus pattern as a character string stored in the memory of the program, which is a conventional method, by extracting and storing the program pattern unique to the virus newly discovered at this time together. You can also create a base. In this case, it is possible to check whether or not the program is infected with a virus by comparing it with the extracted program pattern before starting the new program.
【0022】[0022]
【発明の効果】以上の実施例で明らかなように,本発明
によれば、データベースに記憶された動作と、計算機内
部の状態を比較し、比較結果に従い、ウィルス・プログ
ラム等の感染やインストール・ミスを検査できる。ま
た、計算機が正常でない動作を開始した場合に、その動
作を無効にできるので、ウィルス・プログラムの感染や
インストール・ミスなどによるファイルの破壊等の障害
を回避することができる。As is apparent from the above embodiments, according to the present invention, the operation stored in the database is compared with the internal state of the computer, and according to the comparison result, infection or installation of a virus program, etc. You can check for mistakes. Further, when the computer starts an abnormal operation, the operation can be invalidated, so that it is possible to avoid a failure such as a file corruption due to an infection of a virus program or an installation mistake.
【0023】また、プログラムのメモリ上に記憶された
文字列としてのパターンでなく、動作で診断を行う為、
プログラムパターンを検査プログラムが判定できないよ
うに暗号化する技術を利用したウィルス・プログラムの
検査も可能である。さらに通常使用しているオペレーテ
ィングシステムに組み込まれているので、別の装置でウ
ィルスを検査する等の準備も不要であり、不意に感染し
たウィルスにも対処できる。正常時の動作パターンと比
較してウィルスの検査をする実施例は動作のわかってい
ない未知のウィルスへも対応できる。Further, since the diagnosis is performed by the operation instead of the pattern as the character string stored in the memory of the program,
It is also possible to inspect a virus program using a technique of encrypting a program pattern so that the inspection program cannot judge it. Furthermore, since it is built into the operating system that is normally used, it is not necessary to prepare for inspecting a virus on another device, and it is possible to deal with a virus that is infected unexpectedly. The embodiment in which the virus is inspected in comparison with the normal operation pattern can deal with an unknown virus whose operation is unknown.
【0024】さらに診断用の知識ベースも自動作成で
き、未知ウィルスに感染した場合、自動的に未知ウィル
スに関する知識ベースを作成することもできるので、ウ
ィルスのプログラムパターンを記憶することで、従来手
法であるプログラムのメモリ上に記憶された文字列とし
てのウィルスのパターンを調べる仕組みのシステムのセ
キュリティを向上させることもできる。Furthermore, a knowledge base for diagnosis can be automatically created, and when an unknown virus is infected, a knowledge base for an unknown virus can also be automatically created. Therefore, by storing the program pattern of the virus, the conventional method can be used. It is also possible to improve the security of the system of the mechanism for checking the virus pattern as a character string stored in the memory of a certain program.
【図1】本発明を利用した計算機システムの構成図。FIG. 1 is a configuration diagram of a computer system using the present invention.
【図2】本発明を説明するための計算機内部の処理の
例。FIG. 2 is an example of processing inside a computer for explaining the present invention.
【図3】本発明を説明するための、プログラムの正常動
作の例。FIG. 3 is an example of a normal operation of a program for explaining the present invention.
【図4】本発明を説明するための、プログラムがウィル
スに感染した場合の動作例。FIG. 4 is an operation example when a program is infected with a virus for explaining the present invention.
【図5】本発明を説明するための、インストールミスが
あった場合のプログラムの動作例。FIG. 5 is an operation example of a program when there is an installation error for explaining the present invention.
【図6】本発明を利用した計算機システムの別の実施例
の構成図。FIG. 6 is a configuration diagram of another embodiment of a computer system using the present invention.
1 診断システム 1a インターフェース・プログラム 1a' インターフェース・プログラム 1a" インターフェース・プログラム 1b 診断モジュール 1c 知識ベース 1d 診断結果・対処方法 1e 知識ベース作成モジュール 2 オペレーティングシステム 2a プロセス管理システム 2b ファイル管理システム 2c 作業履歴 3 表示・入力装置 4a アプリケーション・プログラム 4b アプリケーション・プログラム 4c アプリケーション・プログラム 4d アプリケーション・プログラム 4e アプリケーション・プログラム 5a アプリケーション・プログラム 5b アプリケーション・プログラム 5c アプリケーション・プログラム 5d アプリケーション・プログラム 6a アプリケーション・プログラム 6b アプリケーション・プログラム 6c アプリケーション・プログラム 6d アプリケーション・プログラム 6e アプリケーション・プログラム 6f アプリケーション・プログラム 7a 入力ファイル 7b 入力ファイル 7c 出力ファイル 8 出力ファイル 9a エラー 9b エラー。 1 Diagnostic system 1a Interface program 1a 'Interface program 1a "Interface program 1b Diagnostic module 1c Knowledge base 1d Diagnostic result / action 1e Knowledge base creation module 2 Operating system 2a Process management system 2b File management system 2c Work history 3 Display Input device 4a Application program 4b Application program 4c Application program 4d Application program 4e Application program 5a Application program 5b Application program 5c Application program 5d Application program 6a Application program 6b Application program 6c Application program Program 6d application Program 6e application program 6f application program 7a input file 7b input file 7c Output File 8 output file 9a error 9b error.
Claims (7)
データベースと計算機内部の状態を観測する仕組みを持
ち、正常時の動作仕様と計算機内部の状態とを比較する
ことにより、ウィルス・プログラム等の障害を検知する
仕組みを持つことを特徴とする計算機の診断システム。1. A database that stores the operating specifications of a program under normal conditions and a mechanism for observing the internal state of the computer, and by comparing the operating specifications during normal operation with the internal state of the computer, virus programs, etc. A computer diagnostic system characterized by a mechanism for detecting failures.
データベースと計算機内部の状態を観測する仕組みを持
ち、正常時の動作仕様と計算機内部の状態とを比較する
ことにより、プログラムのインストール・ミス等を診断
する仕組みを持つことを特徴とする計算機の診断システ
ム。2. A program having a program storing normal operation specifications of the program and a mechanism for observing the internal state of the computer, and comparing the normal operation specification with the internal state of the computer to install or miss the program. A computer diagnosis system characterized by having a mechanism for diagnosing etc.
プログラムの動作を記憶したデータベースと計算機内部
の状態を観測する仕組みを持ち、ウィルス・プログラム
等に感染した場合のプログラムの動作と計算機内部の状
態とを比較することにより、ウィルス・プログラム等の
障害を検知する仕組みを持つことを特徴とする計算機の
診断システム。3. A database storing the operation of the program when infected with a virus program, etc., and a mechanism for observing the internal state of the computer, and the operation of the program and the internal state of the computer when infected with a virus program, etc. A computer diagnostic system characterized by having a mechanism for detecting a failure such as a virus program by comparing with.
ムの動作を記憶したデータベースと計算機内部の状態を
観測する仕組みを持ち、インストール・ミスがある場合
のプログラムの動作と計算機内部の状態とを比較するこ
とにより、プログラムのインストール・ミス等を診断す
る仕組みを持つことを特徴とする計算機の診断システ
ム。4. A database that stores the operation of the program when there is an installation error and a mechanism for observing the internal state of the computer are provided, and the operation of the program when there is an installation error and the internal state of the computer are compared. By doing so, a computer diagnostic system characterized by having a mechanism for diagnosing program installation errors, etc.
算機の診断システムを有し、計算機が正常でない動作を
開始した場合に、その動作無効にする仕組みを持つこと
を特徴とする計算機システム。5. A computer having the computer diagnostic system according to any one of claims 1 to 4, and having a mechanism for invalidating the operation of the computer when the computer starts an abnormal operation. system.
ち、プログラムの正常時や異常時の動作を記憶した知識
ベースを作成する機能を持つことを特徴とする計算機シ
ステム。6. A computer system having a mechanism for observing the internal state of a computer and having a function of creating a knowledge base that stores the behavior of a program when it is normal or abnormal.
常時や異常時の動作を記憶した知識ベースを作成するた
めに、プログラム間のファイルの入出力関係等構造的な
情報まで含めて統計量等を解析し、解析結果を基に知識
ベースを作成することを特徴とする請求項6項記載の計
算機システム。7. A statistical amount including structural information such as input / output relations of files between programs in order to observe the internal state of the computer and create a knowledge base that stores normal and abnormal operations of the programs. 7. The computer system according to claim 6, wherein the knowledge base is created on the basis of the result of the analysis.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP7331481A JPH09171460A (en) | 1995-12-20 | 1995-12-20 | Diagnostic system for computer |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP7331481A JPH09171460A (en) | 1995-12-20 | 1995-12-20 | Diagnostic system for computer |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH09171460A true JPH09171460A (en) | 1997-06-30 |
Family
ID=18244134
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP7331481A Pending JPH09171460A (en) | 1995-12-20 | 1995-12-20 | Diagnostic system for computer |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH09171460A (en) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6269447B1 (en) | 1998-07-21 | 2001-07-31 | Raytheon Company | Information security analysis system |
| US6304262B1 (en) | 1998-07-21 | 2001-10-16 | Raytheon Company | Information security analysis system |
| US7047423B1 (en) | 1998-07-21 | 2006-05-16 | Computer Associates Think, Inc. | Information security analysis system |
| JP2006146600A (en) * | 2004-11-19 | 2006-06-08 | Ntt Docomo Inc | Operation monitoring server, terminal apparatus and operation monitoring system |
| US7506241B2 (en) * | 2003-10-16 | 2009-03-17 | International Business Machines Corporation | Method and apparatus for a self healing agent |
| JP2010182020A (en) * | 2009-02-04 | 2010-08-19 | Kddi Corp | Illegality detector and program |
| JP2010182019A (en) * | 2009-02-04 | 2010-08-19 | Kddi Corp | Abnormality detector and program |
| JP2010271775A (en) * | 2009-05-19 | 2010-12-02 | Kddi Corp | Processor and program |
| JP2011233081A (en) * | 2010-04-30 | 2011-11-17 | Kddi Corp | Application determination system and program |
| JP2011530121A (en) * | 2008-08-05 | 2011-12-15 | 北京金山▲軟▼件有限公司 | Method and system for filtering and monitoring program behavior |
| US8122274B2 (en) | 2009-02-27 | 2012-02-21 | International Business Machines Corporation | Method, system and computer program product for certifying a timestamp of a data processing system |
| US8250563B2 (en) | 2003-10-16 | 2012-08-21 | International Business Machines Corporation | Distributed autonomic solutions repository |
| WO2015178578A1 (en) * | 2014-05-22 | 2015-11-26 | 소프트캠프(주) | System and method for analyzing patch file |
| JP2016528656A (en) * | 2013-09-10 | 2016-09-15 | シマンテック コーポレーションSymantec Corporation | System and method for detecting attacks on computing systems using event correlation graphs |
-
1995
- 1995-12-20 JP JP7331481A patent/JPH09171460A/en active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6269447B1 (en) | 1998-07-21 | 2001-07-31 | Raytheon Company | Information security analysis system |
| US6304262B1 (en) | 1998-07-21 | 2001-10-16 | Raytheon Company | Information security analysis system |
| US7047423B1 (en) | 1998-07-21 | 2006-05-16 | Computer Associates Think, Inc. | Information security analysis system |
| US7506241B2 (en) * | 2003-10-16 | 2009-03-17 | International Business Machines Corporation | Method and apparatus for a self healing agent |
| US8250563B2 (en) | 2003-10-16 | 2012-08-21 | International Business Machines Corporation | Distributed autonomic solutions repository |
| JP2006146600A (en) * | 2004-11-19 | 2006-06-08 | Ntt Docomo Inc | Operation monitoring server, terminal apparatus and operation monitoring system |
| JP2011530121A (en) * | 2008-08-05 | 2011-12-15 | 北京金山▲軟▼件有限公司 | Method and system for filtering and monitoring program behavior |
| JP2010182019A (en) * | 2009-02-04 | 2010-08-19 | Kddi Corp | Abnormality detector and program |
| JP2010182020A (en) * | 2009-02-04 | 2010-08-19 | Kddi Corp | Illegality detector and program |
| US8122274B2 (en) | 2009-02-27 | 2012-02-21 | International Business Machines Corporation | Method, system and computer program product for certifying a timestamp of a data processing system |
| JP2010271775A (en) * | 2009-05-19 | 2010-12-02 | Kddi Corp | Processor and program |
| JP2011233081A (en) * | 2010-04-30 | 2011-11-17 | Kddi Corp | Application determination system and program |
| JP2016528656A (en) * | 2013-09-10 | 2016-09-15 | シマンテック コーポレーションSymantec Corporation | System and method for detecting attacks on computing systems using event correlation graphs |
| WO2015178578A1 (en) * | 2014-05-22 | 2015-11-26 | 소프트캠프(주) | System and method for analyzing patch file |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11087002B2 (en) | Using the same query language for static and dynamic application security testing tools | |
| JP7164017B2 (en) | Systems and methods for optimizing control flow graphs for functional safety using fault tree analysis | |
| EP3036633B1 (en) | Cloud deployment infrastructure validation engine | |
| JPH09171460A (en) | Diagnostic system for computer | |
| US7882495B2 (en) | Bounded program failure analysis and correction | |
| US8140908B2 (en) | System and method of client side analysis for identifying failing RAM after a user mode or kernel mode exception | |
| US20210173760A1 (en) | Software diagnostic context selection and use | |
| US20050015668A1 (en) | Autonomic program error detection and correction | |
| JPWO2006087780A1 (en) | Vulnerability audit program, vulnerability audit device, vulnerability audit method | |
| CN113760770B (en) | Anti-debugging method and system based on automatic static resource detection | |
| US10680913B1 (en) | Error remediation in software as a service (SaaS) portals | |
| Beaucamps et al. | Behavior abstraction in malware analysis | |
| Pastore et al. | Dynamic analysis of upgrades in C/C++ software | |
| He et al. | HangFix: automatically fixing software hang bugs for production cloud systems | |
| Gorla et al. | Achieving cost-effective software reliability through self-healing | |
| KR102468431B1 (en) | Method and apparatus for disarming ole object in ms-ooxml | |
| US20160203067A1 (en) | System and method for inspection of system state during testing | |
| JPH02294739A (en) | Fault detecting system | |
| CN111538986A (en) | Device and method for dynamically measuring trusted state of computer based on call stack track | |
| CN114070580B (en) | Anti-serialization attack detection method, device, electronic equipment, medium and program | |
| US20220027261A1 (en) | Method and device for operating fuzz testing of a program code | |
| Jiang et al. | An approach to automatic testing exception handling | |
| Bran | Detecting software performance anti-patterns from profiler data | |
| US20240104191A1 (en) | Method for identifying potential data exfiltration attacks in at least one software package | |
| CN117574366A (en) | Intelligent active software protection method based on application layer function system call set |