JP2016224506A - 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム - Google Patents
情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム Download PDFInfo
- Publication number
- JP2016224506A JP2016224506A JP2015107164A JP2015107164A JP2016224506A JP 2016224506 A JP2016224506 A JP 2016224506A JP 2015107164 A JP2015107164 A JP 2015107164A JP 2015107164 A JP2015107164 A JP 2015107164A JP 2016224506 A JP2016224506 A JP 2016224506A
- Authority
- JP
- Japan
- Prior art keywords
- program
- information
- malware
- function unit
- leak detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
【課題】ウイルスパターンの最新化を行う必要もなく既知・未知マルウェアに関係なく情報漏洩を適切に検出することができる情報流出検出装置、情報流出検出システム、及び情報流出検出プログラムを提供する。【解決手段】プログラムに対する入力操作が人的な操作であるかチェックするプログラム動作・操作チェック機能部15Aと、プログラムが記憶領域へアクセスしているかチェックするファイル/レジストリ/DBアクセスチェック機能部15Bと、プログラムが外部アドレスへ通信しているかチェックする外部通信チェック機能部15Cと、プログラム動作・操作チェック機能部15A、ファイル/レジストリ/DBアクセスチェック機能部15B、及び外部通信チェック機能部15Cによりチェックされた内容に基づいてプログラムがマルウェアであるか判定するマルウェア判定機能部15Eとを備える。【選択図】図4
Description
本発明は、情報流出検出装置、情報流出検出システム、及び情報流出検出プログラムに関し、特に、悪意ある第三者の攻撃によって社内などの閉域網で使用されるコンピュータ内の機密情報が流出することを検出・防止する技術に関する。
近年、電子的攻撃によって生じる情報の流出が問題となっている(特許文献1、2参照)。被害者の意図しないうちにPC内の情報が攻撃者のサーバに送信されることで情報が流出する。この問題に対処する方法としては、パターンマッチング方式やレピュテーション方式等の“起動前検知”と、振舞検知手法や流出検知手法等の“起動後検知”が代表的である。
しかしながら、起動前検知に分類されるパターンマッチング方式やレピュテーション方式では、ウイルス候補となるパターンをリスト化して所有しておく必要があり、未知のものには対応できなかった。一方、起動後検知に分類される振舞検知手法や流出検知手法でも、対象は異なるがウイルス候補となるパターンをリスト化して所有しておく必要がある。また、起動前検知とは異なり、不正でないものも遮断することがあり、業務に支障が出る恐れがあった。
このように、現行の情報漏洩の検出手法は、事前登録したウイルスパターンと照合させることによりマルウェアを検出する手法である。そのため、常にウイルスパターンを最新化しておく必要がある課題や、登録したパターン以外の処理や機能による情報漏洩については検出できない課題がある。
本発明は、上述した従来の技術に鑑み、ウイルスパターンの最新化を行う必要もなく既知・未知マルウェアに関係なく情報漏洩を適切に検出することができる情報流出検出装置、情報流出検出システム、及び情報流出検出プログラムを提供することを目的とする。
上記目的を達成するため、第1の態様に係る発明は、悪意ある第三者の攻撃によって生じる情報流出を検出する情報流出検出装置であって、プログラムに対する入力操作が人的な操作であるかチェックする第1チェック部と、前記プログラムが記憶領域へアクセスしているかチェックする第2チェック部と、前記プログラムが外部アドレスへ通信しているかチェックする第3チェック部と、前記第1チェック部、前記第2チェック部、及び前記第3チェック部によりチェックされた内容に基づいて前記プログラムがマルウェアであるか判定する判定部とを備えることを要旨とする。
第2の態様に係る発明は、第1の態様に係る発明において、前記判定部が、前記プログラムに対する入力操作が人的な操作でなく、前記プログラムが記憶領域へアクセスし、前記プログラムが外部アドレスへ通信している場合にマルウェアであると判定することを要旨とする。
第3の態様に係る発明は、第1の態様に係る発明において、更に、関連性のあるプログラム群の括り付けを行う括り付け部を備え、前記判定部が、前記括り付け部により括り付けられたプログラム群を一括りにしてマルウェアであるか判定することを要旨とする。
第4の態様に係る発明は、情報流出検出システムであって、第1〜第3のいずれか1つの態様に係る情報流出検出装置と、前記情報流出検出装置と連携して動作するネットワーク機器とを備えることを要旨とする。
第5の態様に係る発明は、第1〜第3のいずれか1つの態様に係る各機能部をコンピュータに実現させるための情報流出検出プログラムであることを要旨とする。
本発明によれば、ウイルスパターンの最新化を行う必要もなく既知・未知マルウェアに関係なく情報漏洩を適切に検出することができる情報流出検出装置、情報流出検出システム、及び情報流出検出プログラムを提供することが可能である。
以下、本発明の実施の形態について図面を参照して詳細に説明する。なお、以下の実施の形態は、この発明の技術的思想を具体化するための情報流出検出システムを例示するものであり、装置の構成やデータの構成等は以下の実施の形態に限定されるものではない。また、以下の実施の形態では、プログラム、アプリケーション、ソフトウェア、スレッド、プロセス等の用語を特に区別することなく「プログラム」という場合がある。
≪概要≫
本発明は、ユーザ挙動を用いた情報流出防止技術である。すなわち、操作者の意思とは関係なくアプリケーションが起動され、起動後についてもキーボード、マウス入力など操作者の意思と無関係にファイル、レジストリ、データベースにアクセスを行い、使用するコンピュータのIPアドレス以外に対して通信が行われた場合にマルウェアと判定し、該当のプロセスを停止する。これにより、誤検出や未検出をなくすことができ、挙動のみに着目することができるので、異常の候補となるパターンのようなものをリスト化して複数持つ必要がなくなる。
本発明は、ユーザ挙動を用いた情報流出防止技術である。すなわち、操作者の意思とは関係なくアプリケーションが起動され、起動後についてもキーボード、マウス入力など操作者の意思と無関係にファイル、レジストリ、データベースにアクセスを行い、使用するコンピュータのIPアドレス以外に対して通信が行われた場合にマルウェアと判定し、該当のプロセスを停止する。これにより、誤検出や未検出をなくすことができ、挙動のみに着目することができるので、異常の候補となるパターンのようなものをリスト化して複数持つ必要がなくなる。
図1(a)は、本発明の実施の形態に係る情報流出検出システムの概要を説明するための図である。漏洩情報収集サーバ41とコンピュータ(PC)11とがネットワークを介して接続されている。コンピュータ11は、機密情報が漏洩情報収集サーバ41に収集されることを防ぐため、以下のチェックポイント1〜3についてチェック処理を実施する。
(チェックポイント1)
操作者が意思を持ってアプリケーションを起動し、起動したアプリケーションに対して操作者がキーボードやマウスの入力動作を行い、操作者の意思によりプロセスが動作していることを確認する。また、操作者の意思とは関係なくアプリケーションが自動で起動し、キーボードやマウス入力がなく、操作者の意思と無関係に動作しているアプリケーション、プロセスを特定する。コンピュータ11は、キーボードやマウスの入力動作があったことをプロセストレース情報に登録するようになっている。
操作者が意思を持ってアプリケーションを起動し、起動したアプリケーションに対して操作者がキーボードやマウスの入力動作を行い、操作者の意思によりプロセスが動作していることを確認する。また、操作者の意思とは関係なくアプリケーションが自動で起動し、キーボードやマウス入力がなく、操作者の意思と無関係に動作しているアプリケーション、プロセスを特定する。コンピュータ11は、キーボードやマウスの入力動作があったことをプロセストレース情報に登録するようになっている。
(チェックポイント2)
起動中アプリケーションのプロセスがファイル、レジストリ、データベース等のデータを保有する基盤(記憶領域)へのread処理、select処理を行う挙動を把握する。この動作によってファイル情報漏洩の前段階となる処理を判定する。コンピュータ11は、DBアクセス、テキストファイルの読み込み、レジストリへのアクセス動作があったことをプロセストレース情報に登録するようになっている。
起動中アプリケーションのプロセスがファイル、レジストリ、データベース等のデータを保有する基盤(記憶領域)へのread処理、select処理を行う挙動を把握する。この動作によってファイル情報漏洩の前段階となる処理を判定する。コンピュータ11は、DBアクセス、テキストファイルの読み込み、レジストリへのアクセス動作があったことをプロセストレース情報に登録するようになっている。
(チェックポイント3)
使用するコンピュータの持つIPアドレス以外の外部に向かって一定のデータ量を送信しているかを確認する。コンピュータ11は、自身のコンピュータの持つIPアドレス以外(外部)への通信動作があったことをプロセストレース情報に登録するようになっている。
使用するコンピュータの持つIPアドレス以外の外部に向かって一定のデータ量を送信しているかを確認する。コンピュータ11は、自身のコンピュータの持つIPアドレス以外(外部)への通信動作があったことをプロセストレース情報に登録するようになっている。
図1(b)は、図1(a)に示されるコンピュータ11のプロセストレース情報の一例(通信が遮断される例)を示している。この図に示すように、プログラムスレッドやプログラムの親子関係を含め、起動中のプログラム、プロセスの関連性について括り付けを行う。このようにすれば、括り付けを行ったグループのプロセス内でキーボード、マウス入力が無く、DB/テキスト/レジストリへのアクセスがあり、外部へ通信を行っている場合にプロセスを停止させることができる。
図2は、マルウェアによる情報漏洩パターンを説明するための図である。例えば、図2(a)に示すように、ウイルス感染したコンピュータから、ウイルスのプログラムに基づき、攻撃者が用意した外部サーバへ情報が送信される場合がある(パターン1)。また、図2(b)に示すように、ウイルス感染したコンピュータから、攻撃者の用意した制御サーバからの命令に基づき、攻撃者が用意した外部サーバへ情報が送信される場合がある(パターン2)。さらに、図2(c)に示すように、正常なプログラムを起動した場合にプログラムの立ち上がりの時点で外部からコントロールされるプログラムが起動し、攻撃者の用意した制御サーバからの命令に基づき、攻撃者が用意した外部サーバへ情報が送信される場合がある(パターン3)。
このように、マルウェアによる情報漏洩パターンには複数の種類がある。その種類によっては、利用者が正常なプログラムを起動しているにも関わらす、意図せず情報を外部に送り出してしまうものもある。本発明の実施の形態では、このようなマルウェアに対応するため、ユーザの動作挙動を追跡する。具体的には、キーボード入力やマウス入力、またActiveになっているアプリケーションを追跡し、各フェーズを調査した上で、Activeになっているアプリケーションにおいてキーボード入力やマウス入力があった場合にのみ送信を許可するようになっている。また、送信を許可する場合の一定期間に送信できるデータ量を利用者単位に任意に定義できるようになっている。
≪システム構成≫
図3は、本発明の実施の形態に係る情報流出検出システムのシステム構成図である。この図に示すように、企業ネットワーク(NW)10には、企業内パーソナルコンピュータ11A,11B,11C,…(以下、一括して「コンピュータ11」という。)と、企業内ファイルサーバ14が接続されている。コンピュータ11は、ルータ20やファイアーウォール30等のネットワーク機器を介してインターネット40に接続されている。インターネット40には攻撃者の漏洩情報収集サーバ41が存在するため、コンピュータ11には検出・防御ソフトウェア15がインストールされている。
図3は、本発明の実施の形態に係る情報流出検出システムのシステム構成図である。この図に示すように、企業ネットワーク(NW)10には、企業内パーソナルコンピュータ11A,11B,11C,…(以下、一括して「コンピュータ11」という。)と、企業内ファイルサーバ14が接続されている。コンピュータ11は、ルータ20やファイアーウォール30等のネットワーク機器を介してインターネット40に接続されている。インターネット40には攻撃者の漏洩情報収集サーバ41が存在するため、コンピュータ11には検出・防御ソフトウェア15がインストールされている。
詳細については後述するが、検出・防御ソフトウェア15は、既知マルウェア16及び未知マルウェア17を検出して情報の流出を防御するソフトウェアである。これにより、従来法で利用していたマルウェアのリストを持つ必要がなくなるため、維持するための費用が不要になる。また、従来法で利用していた送信先のホワイトリストを持つ必要がなくなるため、悪意のない送信が遮断されるような、業務の妨げになることがなくなる。さらに、未知のマルウェアによる攻撃を防ぐことができるという効果もある。
≪検出・防御ソフトウェア≫
図4は、本発明の実施の形態に係る検出・防御ソフトウェア15の機能ブロック図である。検出・防御ソフトウェア15は、機能的には、プログラム動作・操作チェック機能部15Aと、ファイル/レジストリ/DBアクセスチェック機能部15Bと、外部通信チェック機能部15Cと、関連プロセス括り付け機能部15Dと、マルウェア判定機能部15Eとを備える。プログラム動作・操作チェック機能部15Aは、プログラムの起動(フォアグランド、バックグランド)方法、及びプログラムに対するキーボード、マウス入力操作を確認する機能部である。ファイル/レジストリ/DBアクセスチェック機能部15Bは、起動中のプログラム、プロセスなどがファイル/レジストリ/DBへアクセスしているかチェックする機能部である。外部通信チェック機能部15Cは、起動中のプログラム、プロセスなどが外部アドレスへ通信しているかチェックする機能部である。関連プロセス括り付け機能部15Dは、プログラムスレッドやプログラムの親子関係を含め、起動中のプログラム、プロセスの関連性について括り付けを行う機能部である。マルウェア判定機能部15Eは、プログラム動作・操作チェック機能部15A、ファイル/レジストリ/DBアクセスチェック機能部15B、外部通信チェック機能部15Cでチェックした内容からマルウェアを判断・防御する機能部である。
図4は、本発明の実施の形態に係る検出・防御ソフトウェア15の機能ブロック図である。検出・防御ソフトウェア15は、機能的には、プログラム動作・操作チェック機能部15Aと、ファイル/レジストリ/DBアクセスチェック機能部15Bと、外部通信チェック機能部15Cと、関連プロセス括り付け機能部15Dと、マルウェア判定機能部15Eとを備える。プログラム動作・操作チェック機能部15Aは、プログラムの起動(フォアグランド、バックグランド)方法、及びプログラムに対するキーボード、マウス入力操作を確認する機能部である。ファイル/レジストリ/DBアクセスチェック機能部15Bは、起動中のプログラム、プロセスなどがファイル/レジストリ/DBへアクセスしているかチェックする機能部である。外部通信チェック機能部15Cは、起動中のプログラム、プロセスなどが外部アドレスへ通信しているかチェックする機能部である。関連プロセス括り付け機能部15Dは、プログラムスレッドやプログラムの親子関係を含め、起動中のプログラム、プロセスの関連性について括り付けを行う機能部である。マルウェア判定機能部15Eは、プログラム動作・操作チェック機能部15A、ファイル/レジストリ/DBアクセスチェック機能部15B、外部通信チェック機能部15Cでチェックした内容からマルウェアを判断・防御する機能部である。
≪シーケンス≫
図5は、本発明の実施の形態に係る情報流出検出システムのシーケンス図である。
図5は、本発明の実施の形態に係る情報流出検出システムのシーケンス図である。
まず、コンピュータ11において不正マルウェアが自動起動し、コンピュータ11と漏洩情報収集サーバ41との間でコネクションが確立すると、漏洩情報収集サーバ41からコンピュータ11に制御命令が指示される(S1→S2)。これにより、コンピュータ11の不正マルウェアが子プロセスを起動し、この子プロセスが機密情報へアクセスする可能性がある(S3)。また、コンピュータ11の不正マルウェアが子プロセスを起動し、この子プロセスが漏洩情報収集サーバ41に機密情報を送信する可能性がある(S4→S5)。
このような問題を回避するため、プログラム動作・操作チェック機能部15Aは、プログラムの起動方法、キーボード/マウス入力のアプリケーションへの割り込み有無を確定し、操作者の意思と関係なく動作するアプリケーションを特定する(チェックポイント1)。ファイル/レジストリ/DBアクセスチェック機能部15Bは、アプリケーションのプロセスのファイル、レジストリ、データベース等のデータを保有する基盤へのread処理、select処理を行う挙動を把握する(チェックポイント2)。外部通信チェック機能部15Cは、外部に向かって一定データ量を送信しているかを確認する(チェックポイント3)。関連プロセス括り付け機能部15Dは、プロセスの起動を起因として、プロセスやスレッドの親子関係を含め、関連性について括り付けを行い、プロセスのグループ化を実施する。マルウェア判定機能部15Eは、操作者からのキーボード、マウス入力がなく、ファイル、レジストリ、データベースへアクセスを行い、使用するコンピュータのIPアドレス以外に対して通信が行われた場合にマルウェアと判定する。
このように、本発明の実施の形態に係る情報流出検出システムでは、ウイルスパターンとの照合による検出手法ではなく、エンド端末上のアプリケーションが運用者の意思によって動作していることを判断して検出する手法を採用している。すなわち、操作者が意思をもってプロセスを動作させているかを確認すると共に、ウイルスの挙動を段階的にわけ、それぞれで候補となる挙動を分類することで、既知・未知マルウェアに関係のない検出が可能である。また、挙動のみに着目しているので、異常の候補となるパターンのようなものをリスト化して複数持つ必要がないという効果もある。
≪関連プロセス括り付け機能部≫
図6は、本発明の実施の形態に係る関連プロセス括り付け機能部15Dのフローチャートである。以下、ProgA_sam.exeが起動した場合を例にして説明する。
図6は、本発明の実施の形態に係る関連プロセス括り付け機能部15Dのフローチャートである。以下、ProgA_sam.exeが起動した場合を例にして説明する。
S11:プロセス括り付け情報漏洩検出判断DBを読み込む(図17(a)参照)。
S12:プロセス起動情報(起動時間、プロセスID、プロセス名)を取得する。
S13:起動プロセスと過去のマルウェア判定結果からマルウェア登録有無を判断する(図17(b)参照)。未登録の場合はS14に移行し、登録済の場合はS19に移行する。
S14:プロセス括り付け情報漏洩検出判断DBを読み込み、起動プロセスの親プロセスと一致するプロセスIDを読み込む。
S15:起動したプロセスと紐付く親プロセス有無を判断する。紐付いている場合(親プロセス有)はS16に移行し、紐付いていない場合(親プロセス無)はS17に移行する。
S16:親プロセスのグループIDを取得する(図18(k)参照)。
S17:グループID管理DBを読み込み、新しくグループIDを作成し、グループID管理DBに払い出したIDの払出し日時を更新する(図22(x)参照)。
S18:プロセス括り付け情報漏洩検出判断DBに起動時間、グループID、プロセスID、プロセス名、親プロセスID、親プロセス名を登録する(図17(c)参照)。
S19〜S21:プロセスを強制停止し、プロセス停止情報を取得し、プロセス括り付け情報漏洩検出判断DBに停止時間を更新する(図17(d)参照)。
S22:プログラム動作・操作チェック機能部15Aを起動する(図7参照)。
S23:ファイル/レジストリ/DBアクセスチェック機能部15Bを起動する(図8参照)。
S24:外部通信チェック機能部15Cを起動する(図9参照)。
≪プログラム動作・操作チェック機能部≫
図7は、本発明の実施の形態に係るプログラム動作・操作チェック機能部15Aのフローチャートである。以下、図7を用いて、S22の処理を詳細に説明する。
図7は、本発明の実施の形態に係るプログラム動作・操作チェック機能部15Aのフローチャートである。以下、図7を用いて、S22の処理を詳細に説明する。
S31:プログラム動作・操作チェック機能部15Aの処理を開始する。
S32:プロセス情報(プロセスID、プロセス名、プロセス起動方法)を取得し、プログラム動作・操作DBに登録する(図19(l)参照)。
S33:キーボード及びマウスの割り込み情報を取得する。
S34:キーボード又はマウスの割り込み発生有無を判断する。キーボード割り込み有の場合はS35に移行し、マウス割り込み有の場合はS37に移行し、割り込み発生無の場合はS39に移行する。
S35:キーボード操作情報(入力時間、キーボード入力情報)を取得する。
S36:プログラム動作・操作DBにキーボードの入力時間とキーボード入力情報を更新する(図19(m)参照)。
S37:マウス操作情報(入力時間、マウス入力情報)を取得する。
S38:プログラム動作・操作DBにマウス入力時間とマウス入力情報を更新する(図19(n)参照)。
S39:プロセスの停止の有無を確認する。プロセスの停止が無い場合はS33に移行し、プロセスの停止が有る場合は終了する。
≪ファイル/レジストリ/DBアクセスチェック機能部≫
図8は、本発明の実施の形態に係るファイル/レジストリ/DBアクセスチェック機能部15Bのフローチャートである。以下、図8を用いて、S23の処理を詳細に説明する。
図8は、本発明の実施の形態に係るファイル/レジストリ/DBアクセスチェック機能部15Bのフローチャートである。以下、図8を用いて、S23の処理を詳細に説明する。
S41:ファイル/レジストリ/DBアクセスチェック機能部15Bの処理を開始する。
S42:プロセスID、プロセス名を取得し、ファイル/レジストリ/DBアクセスDBに登録する(図20(p)参照)。
S43:プロセスモニタにてプロセストレース情報を取得する。具体的には、プロセスモニタでプロセスID、ファイルアクセス状況(Read)、アクセスファイル名、レジストリアクション状況(RegQueryKey)、レジストリ名、DBアクセス状況(TCP−Connect)を取得する。
S44:プロセストレース情報に基づき、ファイル操作、レジストリ操作、DB操作の有無を判断する。具体的には、プロセスモニタのオペレーションがReadの場合はファイル操作と判断し、RegQueryKeyの場合はレジストリ操作と判断し、TCP−Connectの場合はDBと判断する。各種操作がない場合はS51に移行し、ファイル操作が有る場合はS45に移行し、レジストリ操作が有る場合はS47に移行し、DB操作が有る場合はS49に移行する。
S45:ファイルシステムミニフィルタドライバの機能でファイル操作情報(プロセスID、プロセス名、読込時刻、読込ファイル名、ディレクトリ名、読込ポイント、読込サイズ)を取得する。
S46:ファイル/レジストリ/DBアクセスDBに読込時刻、読込ファイル名、ディレクトリ名、読込ポイント、読込サイズを更新する(図20(q)参照)。
S47:レジストリフィルタ通知機能でレジストリ操作情報(プロセスID、プロセス名、読込時刻、レジストリ名、パス名)を取得する。
S48:ファイル/レジストリ/DBアクセスDBに読込時刻、レジストリ名、パス名を更新する(図20(r)参照)。
S49:DB操作情報(プロセスID、プロセス名、読込時刻、データベース名、読込情報、読込件数)を取得する(SQL−NETコマンド)。
S50:ファイル/レジストリ/DBアクセスDBに読込時刻、データベース名、読込情報、読込件数を更新する(図20(s)参照)。
S51:プロセスの停止の有無を確認する。プロセスの停止が無い場合はS43に移行し、プロセスの停止が有る場合は終了する。
≪外部通信チェック機能部≫
図9は、本発明の実施の形態に係る外部通信チェック機能部15Cのフローチャートである。以下、図9を用いて、S24の処理を詳細に説明する。
図9は、本発明の実施の形態に係る外部通信チェック機能部15Cのフローチャートである。以下、図9を用いて、S24の処理を詳細に説明する。
S61:外部通信チェック機能部15Cの処理を開始する。
S62:プロセスID、プロセス名を取得し、外部通信DBに登録する(図21(u)参照)。
S63:プロセスモニタにてプロセストレース情報を取得する。具体的には、プロセスモニタにてプロセスID、送信状況(TCP−Send、UDP−Send)、送信先IP、送信ポートを取得する。
S64:プロセストレース情報が外部通信の有無を判断する。具体的には、プロセスモニタのオペレーションがTCP−Send又はUDP−Sendの場合は外部通信と判断する。外部通信が有る場合はS65に移行し、外部通信が無い場合はS68に移行する。
S65:ネットワークシステムミニドライバの機能で送信情報(プロセスID、プロセス名、送信時間、送信先IP、送信ポート、プロトコル、送信サイズ)を取得する。
S66:外部通信DBに送信時間、送信先IP、送信ポート、プロトコル、送信サイズを更新する(図21(v)参照)。
S67:マルウェア判定機能部15Eを起動する(図10参照)。
S68:プロセスの停止の有無を確認する。プロセスの停止が無い場合はS63に移行し、プロセスの停止が有る場合はS69に移行する。
S69:プログラム動作・操作DB、ファイル/レジストリ/DBアクセスDB、外部通信DBから対象プロセス情報を削除する。
≪マルウェア判定機能部≫
図10は、本発明の実施の形態に係るマルウェア判定機能部15Eのフローチャートである。以下、図10を用いて、S67の処理を詳細に説明する。
図10は、本発明の実施の形態に係るマルウェア判定機能部15Eのフローチャートである。以下、図10を用いて、S67の処理を詳細に説明する。
S71:マルウェア判定機能部15Eの処理を開始する。
S72:送信プロセス(プロセスID、プロセス名)を引き渡す。
S73:プロセス括り付け情報漏洩検出判断DBから送信プロセスIDに該当するグループIDのプロセスIDを全て取得する(図17(e)参照)。
S74:プログラム動作・操作DBから取得したプロセスIDに該当するレコードのプログラム動作・操作有無を判断する(図19(o)参照)。操作が有る場合はS75に移行し、操作が無い場合はS76に移行する。
S75:プロセス括り付け情報漏洩検出判断DBから取得したプロセスIDに該当するレコードのプログラム動作・操作有無を有に更新する(図17(f)参照)。
S76:プロセス括り付け情報漏洩検出判断DBから取得したプロセスIDに該当するレコードのプログラム動作・操作有無を無に更新する(図17(f)参照)。
S77:ファイル/レジストリ/DBアクセスDBから取得したプロセスIDに該当するレコードのファイル/レジストリ/DBアクセス有無を判断する(図20(t)参照)。アクセスが有る場合はS78に移行し、アクセスが無い場合はS79に移行する。
S78:プロセス括り付け情報漏洩検出判断DBから取得したプロセスIDに該当するレコードのファイル/レジストリ/DBアクセス有無を有に更新する(図17(g)参照)。
S79:プロセス括り付け情報漏洩検出判断DBから取得したプロセスIDに該当するレコードのファイル/レジストリ/DBアクセス有無を無に更新する(図17(g)参照)。
S80:外部通信DBから取得したプロセスIDに該当するレコードの外部送信有無、及び一定のデータ量を送信しているか判断する(図21(w)参照)。外部送信有で且つ一定のデータ量の送信がある場合はS81に移行し、外部送信無又は外部送信有で且つ一定のデータ量の送信がない場合はS82に移行する。
S81:プロセス括り付け情報漏洩検出判断DBから取得したプロセスIDに該当するレコードの外部通信有無を有に更新する(図17(h)参照)。
S82:プロセス括り付け情報漏洩検出判断DBから取得したプロセスIDに該当するレコードの外部通信有無を無に更新する(図17(h)参照)。
S83:プロセス括り付け情報漏洩検出判断DBが図12に示すマルウェア判断パターンのようか判断する(図17(i)参照)。条件通りである場合はS84に移行し、条件以外の場合は終了する。
S84:プロセス括り付け情報漏洩検出判断DBから取得したプロセスIDに該当するレコードのマルウェア判定結果をマルウェアに更新する(図17(j)参照)。
S85:該当するプロセスを全て強制停止する。
≪データベース≫
図11は、本発明の実施の形態に係るプロセス括り付け情報漏洩検出判断DBの構成図である。この図に示すように、プロセス括り付け情報漏洩検出判断DBは、「No」「起動時間」「停止時間」「GID」「PID」「プロセス名」「親PID」「親プロセス名」「プログラム動作・操作有無」「ファイル/レジストリ/DBアクセス有無」「外部通信有無」「マルウェア判定結果」を管理している。
図11は、本発明の実施の形態に係るプロセス括り付け情報漏洩検出判断DBの構成図である。この図に示すように、プロセス括り付け情報漏洩検出判断DBは、「No」「起動時間」「停止時間」「GID」「PID」「プロセス名」「親PID」「親プロセス名」「プログラム動作・操作有無」「ファイル/レジストリ/DBアクセス有無」「外部通信有無」「マルウェア判定結果」を管理している。
図12は、本発明の実施の形態に係るマルウェア判断パターンを示す図である。マルウェア判断パターンとは、プロセス括り付け情報漏洩検出判断DBにおいてマルウェアと判断するパターンである。同一GIDに属するプロセスにおいて、図中のパターンの場合のみマルウェアと判断する。但し、図中のパターンを行うプロセス数は限定しない。ここでは、「プログラム動作・操作が無く、ファイル/レジストリ/DBへのアクセスがあり、一定期間の送信データ量超えて外部通信が有る場合、マルウェアであると判断するようになっている。「一定期間の送信データ量超え」とは、運用者が自身のマシンにおいて、事前に一定期間における送信データ量(サイズ)を設定しておき、その値を超えていることである。
図13は、本発明の実施の形態に係るプログラム動作・操作DBの構成図である。この図に示すように、プログラム動作・操作DBは、「No」「PID」「プロセス名」「プログラム動作・操作情報」を管理している。「プログラム動作・操作情報」とは、具体的には、「起動方法」「キーボードの入力時間、入力情報」「マウスの入力時間、入力情報」である。
図14は、本発明の実施の形態に係るファイル/レジストリ/DBアクセスDBの構成図である。この図に示すように、ファイル/レジストリ/DBアクセスDBは、「No」「PID」「プロセス名」「ファイル/レジストリ/DBアクセス情報」を管理している。「ファイル/レジストリ/DBアクセス情報」とは、具体的には、「読込時間」「読込ファイル名」「ディレクトリ名」「読込開始ポイント」「読込サイズ」「レジストリ名」「パス名」「データベース名」「読込情報」「読込件数」である。
図15は、本発明の実施の形態に係る外部通信DBの構成図である。この図に示すように、外部通信DBは、「No」「PID」「プロセス名」「外部通信情報」を管理している。「外部通信情報」とは、具体的には、「送信時間」「送信先IP」「送信ポート」「プロトコル」「送信サイズ」である。
図16は、本発明の実施の形態に係るグループID管理DBの構成図である。この図に示すように、グループID管理DBは、「No」「GID」「払出し日時」を管理している。
図17及び図18は、本発明の実施の形態に係るプロセス括り付け情報漏洩検出判断DBが更新される様子を示す図である。図19は、本発明の実施の形態に係るプログラム動作・操作DBが更新される様子を示す図である。図20は、本発明の実施の形態に係るファイル/レジストリ/DBアクセスDBが更新される様子を示す図である。図21は、本発明の実施の形態に係る外部通信DBが更新される様子を示す図である。図22は、本発明の実施の形態に係るグループID管理DBが更新される様子を示す図である。いずれも、太枠で囲われた項目が更新対象である。更新タイミングは、図6〜図10のフローチャートに示す通りである。
以上のように、本発明の実施の形態に係るコンピュータ11は、悪意ある第三者の攻撃によって生じる情報流出を検出する情報流出検出装置であって、プログラムに対する入力操作が人的な操作であるかチェックするプログラム動作・操作チェック機能部15Aと、プログラムが記憶領域へアクセスしているかチェックするファイル/レジストリ/DBアクセスチェック機能部15Bと、プログラムが外部アドレスへ通信しているかチェックする外部通信チェック機能部15Cと、プログラム動作・操作チェック機能部15A、ファイル/レジストリ/DBアクセスチェック機能部15B、及び外部通信チェック機能部15Cによりチェックされた内容に基づいてプログラムがマルウェアであるか判定するマルウェア判定機能部15Eとを備える。これにより、ウイルスパターンの最新化を行う必要もなく既知・未知マルウェアに関係なく情報漏洩を適切に検出することができる。
具体的には、マルウェア判定機能部15Eは、プログラムに対する入力操作が人的な操作でなく、プログラムが記憶領域へアクセスし、プログラムが外部アドレスへ通信している場合にマルウェアであると判定する。この場合、プログラムに対する入力操作が人的な操作であれば、即座にマルウェアでないと判定することも可能である。
更に、関連性のあるプログラム群の括り付けを行う関連プロセス括り付け機能部15Dを備え、マルウェア判定機能部15Eは、関連プロセス括り付け機能部15Dにより括り付けられたプログラム群を一括りにしてマルウェアであるか判定してもよい。これにより、プログラムスレッドやプログラムの親子関係を含めてマルウェアであるか判定することができるため、より確実に情報漏洩を適切に検出することが可能である。
なお、上記の説明では特に言及しなかったが、一度マルウェアと判断したプログラムについては、そのプログラムの特徴情報を記憶しておき、再度、同一のプログラムが起動した場合はマルウェアであるか判断せず、即座にマルウェアとみなしてプログラムのプロセスを強制的に終了させてもよい。これにより、一度マルウェアと判断したプログラムについては、より迅速にマルウェアを検出することが可能である。
また、コンピュータ11においてマルウェアと判断した結果や特徴情報をルータ20やファイアーウォール30等のネットワーク機器に伝達してもよい。これにより、コンピュータ11とネットワーク機器とを連携して動作させることができるため、より確実かつ迅速に情報漏洩を検出することが可能である。
また、本発明は、情報流出検出装置として実現することができるだけでなく、この情報流出検出装置が備える各機能部をコンピュータに実現させるための情報流出検出プログラムとして実現することも可能である。このようなプログラムは、CD−ROM等の記録媒体やインターネット等の伝送媒体を介して配信することができるのはいうまでもない。
11…コンピュータ(情報流出検出装置)
15…検出・防御ソフトウェア
15A…プログラム動作・操作チェック機能部(第1チェック部)
15B…ファイル/レジストリ/DBアクセスチェック機能部(第2チェック部)
15C…外部通信チェック機能部(第3チェック部)
15D…関連プロセス括り付け機能部(括り付け部)
15E…マルウェア判定機能部(判定部)
20…ルータ(ネットワーク機器)
30…ファイアーウォール(ネットワーク機器)
15…検出・防御ソフトウェア
15A…プログラム動作・操作チェック機能部(第1チェック部)
15B…ファイル/レジストリ/DBアクセスチェック機能部(第2チェック部)
15C…外部通信チェック機能部(第3チェック部)
15D…関連プロセス括り付け機能部(括り付け部)
15E…マルウェア判定機能部(判定部)
20…ルータ(ネットワーク機器)
30…ファイアーウォール(ネットワーク機器)
Claims (5)
- 悪意ある第三者の攻撃によって生じる情報流出を検出する情報流出検出装置であって、
プログラムに対する入力操作が人的な操作であるかチェックする第1チェック部と、
前記プログラムが記憶領域へアクセスしているかチェックする第2チェック部と、
前記プログラムが外部アドレスへ通信しているかチェックする第3チェック部と、
前記第1チェック部、前記第2チェック部、及び前記第3チェック部によりチェックされた内容に基づいて前記プログラムがマルウェアであるか判定する判定部と
を備えることを特徴とする情報流出検出装置。 - 前記判定部は、前記プログラムに対する入力操作が人的な操作でなく、前記プログラムが記憶領域へアクセスし、前記プログラムが外部アドレスへ通信している場合にマルウェアであると判定することを特徴とする請求項1に記載の情報流出検出装置。
- 更に、関連性のあるプログラム群の括り付けを行う括り付け部を備え、
前記判定部は、前記括り付け部により括り付けられたプログラム群を一括りにしてマルウェアであるか判定することを特徴とする請求項1又は2に記載の情報流出検出装置。 - 請求項1〜3のいずれか1項に記載の情報流出検出装置と、
前記情報流出検出装置と連携して動作するネットワーク機器と
を備えることを特徴とする情報流出検出システム。 - 請求項1〜3のいずれか1項に記載の各機能部をコンピュータに実現させるための情報流出検出プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015107164A JP2016224506A (ja) | 2015-05-27 | 2015-05-27 | 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015107164A JP2016224506A (ja) | 2015-05-27 | 2015-05-27 | 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016224506A true JP2016224506A (ja) | 2016-12-28 |
Family
ID=57748198
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015107164A Pending JP2016224506A (ja) | 2015-05-27 | 2015-05-27 | 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016224506A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019129385A (ja) * | 2018-01-23 | 2019-08-01 | 富士通株式会社 | 情報処理装置、認証サーバ、認証制御方法および認証制御プログラム |
| CN111694747A (zh) * | 2020-06-17 | 2020-09-22 | 北京字节跳动网络技术有限公司 | 线程的检测方法、装置、设备及计算机可读介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007280013A (ja) * | 2006-04-06 | 2007-10-25 | Internatl Business Mach Corp <Ibm> | 情報処理装置による通信を制御する方法およびプログラム |
| JP2010186426A (ja) * | 2009-02-13 | 2010-08-26 | Kddi Corp | 情報処理装置およびプログラム |
| JP2014519113A (ja) * | 2011-05-24 | 2014-08-07 | パロ・アルト・ネットワークス・インコーポレーテッド | マルウェア解析システム |
| JP2015082191A (ja) * | 2013-10-22 | 2015-04-27 | キヤノン電子株式会社 | 情報処理装置、情報処理方法 |
-
2015
- 2015-05-27 JP JP2015107164A patent/JP2016224506A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007280013A (ja) * | 2006-04-06 | 2007-10-25 | Internatl Business Mach Corp <Ibm> | 情報処理装置による通信を制御する方法およびプログラム |
| JP2010186426A (ja) * | 2009-02-13 | 2010-08-26 | Kddi Corp | 情報処理装置およびプログラム |
| JP2014519113A (ja) * | 2011-05-24 | 2014-08-07 | パロ・アルト・ネットワークス・インコーポレーテッド | マルウェア解析システム |
| JP2015082191A (ja) * | 2013-10-22 | 2015-04-27 | キヤノン電子株式会社 | 情報処理装置、情報処理方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019129385A (ja) * | 2018-01-23 | 2019-08-01 | 富士通株式会社 | 情報処理装置、認証サーバ、認証制御方法および認証制御プログラム |
| CN111694747A (zh) * | 2020-06-17 | 2020-09-22 | 北京字节跳动网络技术有限公司 | 线程的检测方法、装置、设备及计算机可读介质 |
| CN111694747B (zh) * | 2020-06-17 | 2023-03-28 | 抖音视界有限公司 | 线程的检测方法、装置、设备及计算机可读介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12079340B2 (en) | Cloud based just in time memory analysis for malware detection | |
| JP6829718B2 (ja) | 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 | |
| EP3113063B1 (en) | System and method for detecting malicious code in random access memory | |
| CN104484599B (zh) | 一种基于应用程序的行为处理方法和装置 | |
| TWI396995B (zh) | 惡意軟體清除方法、系統及電腦程式產品與儲存媒體 | |
| US20150193618A1 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
| RU2634173C1 (ru) | Система и способ обнаружения приложения удалённого администрирования | |
| JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
| CN105760787B (zh) | 用于检测随机存取存储器中的恶意代码的系统及方法 | |
| CN101156156A (zh) | 补救不希望有的应用程序的影响 | |
| CN106778244B (zh) | 基于虚拟机的内核漏洞检测进程保护方法及装置 | |
| CN106778242B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| JP5971099B2 (ja) | 情報処理装置、方法及びプログラム | |
| US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
| JP2019185223A (ja) | 情報処理装置及び情報処理方法 | |
| CN109800571B (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
| JP2009223375A (ja) | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム | |
| US10902122B2 (en) | Just in time memory analysis for malware detection | |
| EP3276524B1 (en) | Access control system and access control method | |
| JP2016224506A (ja) | 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム | |
| KR100544674B1 (ko) | 커널 기반의 침입탐지시스템에서의 침입탐지규칙 동적변경 방법 | |
| Fan et al. | Privacy theft malware multi‐process collaboration analysis | |
| CN105631317B (zh) | 一种系统调用方法及装置 | |
| CN115086081A (zh) | 一种蜜罐防逃逸方法及系统 | |
| CN107547504A (zh) | 入侵防御方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170131 |