JP2014164536A - Verification device, verification method, and program - Google Patents
Verification device, verification method, and program Download PDFInfo
- Publication number
- JP2014164536A JP2014164536A JP2013035266A JP2013035266A JP2014164536A JP 2014164536 A JP2014164536 A JP 2014164536A JP 2013035266 A JP2013035266 A JP 2013035266A JP 2013035266 A JP2013035266 A JP 2013035266A JP 2014164536 A JP2014164536 A JP 2014164536A
- Authority
- JP
- Japan
- Prior art keywords
- path
- route
- generation
- file
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
Description
本発明は、実行ファイルの実行可否を検証するための、検証装置、検証方法、及びこれらを実現するためのプログラムに関する。 The present invention relates to a verification device, a verification method, and a program for realizing these, for verifying whether or not an executable file can be executed.
近年、安全な実行環境を確立するために、ファイルアクセス時及びファイル実行時におけるセキュリティの向上を図る手法が求められている。このような手法としては、例えば、コンピュータシステムにおいて、ポリシー定義によるアクセス制御を実装することが知られている。 In recent years, in order to establish a safe execution environment, a technique for improving security at the time of file access and file execution is required. As such a technique, for example, it is known to implement access control by policy definition in a computer system.
ここで、アクセス制御とは、必要最低限のアクセスだけが認められるようにアクセス条件の定義(ポリシー定義)を定め、この定義に基づいて厳格にアクセスを制御することをいう。但し、正しいアクセス条件をもれなく定義することは困難である。定義が不十分であると、不必要なアクセスが許容されて、セキュリティ上の脆弱性(セキュリティホール)が発生してしまう場合がある。逆に、本来必要なアクセスが制限されて、アプリケーションが動作しなくなる場合もある。 Here, access control refers to defining access conditions (policy definition) so that only necessary minimum access is permitted, and strictly controlling access based on this definition. However, it is difficult to define all correct access conditions. If the definition is insufficient, unnecessary access may be allowed and security vulnerabilities (security holes) may occur. On the other hand, there are cases where the necessary access is restricted and the application does not operate.
これらの問題を解決するために、従来から、複雑なアクセス条件の定義(ポリシー定義)を自動的に収集するシステムが提案されている(特許文献1及び2参照)。具体的には、特許文献1には、正常時のプロセス生成経路をアクセスログとして記録し、ファイルのアクセス条件の定義として、記録されたプロセス生成経路を利用するシステムが開示されている。
In order to solve these problems, conventionally, a system that automatically collects complex access condition definitions (policy definitions) has been proposed (see
また、特許文献2には、ファイルにアクセスするプログラムを逆アセンブルしたり、ファイルにアクセスするプログラム毎にそれに作用するプロパティ定義(環境定義)などを分析したり、することにより、正規のアクセス条件を取得するシステムが開示されている。
Further,
なお、特許文献3には、既存のアプリケーションの実行ファイルを勝手に書き換えて、そこに不正なコードを忍び込ませる、ウィルスについての記載が開示されている。上述したアクセス制御は、このようなウィルスの攻撃に対抗するために不可欠である。
しかしながら、上記特許文献1に開示されたシステムでは、ファイルのアクセス権の検証をすべき対象が、ごく一部のファイルであったときも、全てのプロセス生成時のアクセスログを記録する必要がある。このため、情報収集を効率的に行なうことが難しいという問題が発生してしまう。また、ファイル名のみに基づいてアクセス権の検証が行なわれるため、ファイルが不正に置換されたときに不正検出ができないという問題点もある。
However, in the system disclosed in
一方、上記特許文献2に開示されたシステムでは、上記特許文献1に比べて効率的にアクセス条件を取得でき、また不正検出も可能になると考えられる。しかし、上記特許文献2のシステムでは、逆アセンブルという高度な技術が必要となる。また、プログラム毎に異なる環境定義それぞれに対応した解析手段を実装する必要もある。このため、上記特許文献2のシステムを採用した場合は、安全な実行環境を実現するための難易度が非常に高いという問題がある。
On the other hand, in the system disclosed in
本発明の目的の一例は、上記問題を解消し、安全な実行環境を容易に実現でき、且つ、アクセス条件の収集を効率良く実行し得る、検証装置、検証方法、及びプログラムを提供することにある。 An example of an object of the present invention is to provide a verification device, a verification method, and a program that can solve the above-described problems, can easily realize a safe execution environment, and can efficiently collect access conditions. is there.
上記目的を達成するため、本発明の一側面における検証装置は、コンピュータ上で実行される実行ファイルを検証するための装置であって、
指定された実行ファイルを予め実行して、指定された前記実行ファイルについての経路を収集し、収集した経路を、正当な経路が定義された経路リストに記録する、経路収集部と、
指定された実行ファイルについて、その経路が、前記経路リストに記録された正当な経路であるかどうかを判定し、正当な経路であると判定する場合に、指定された前記実行ファイルの実行を許可する、経路検証部と、
を備えていることを特徴とする。
To achieve the above object, a verification apparatus according to one aspect of the present invention is an apparatus for verifying an executable file executed on a computer,
A route collection unit that executes the designated execution file in advance, collects the route for the designated execution file, and records the collected route in a route list in which a valid route is defined;
For the specified executable file, it is determined whether the path is a valid path recorded in the path list, and when it is determined that the path is a valid path, the execution of the specified executable file is permitted. A route verification unit;
It is characterized by having.
また、上記目的を達成するため、本発明の一側面における検証方法は、コンピュータ上で実行される実行ファイルを検証するための方法であって、
(a)指定された実行ファイルを予め実行して、指定された前記実行ファイルについての経路を収集し、収集した経路を、正当な経路が定義された経路リストに記録する、ステップと、
(b)指定された実行ファイルについて、その経路が、前記経路リストに記録された正当な経路であるかどうかを判定し、正当な経路であると判定する場合に、指定された前記実行ファイルの実行を許可する、ステップと、
を有することを特徴とする。
In order to achieve the above object, a verification method according to one aspect of the present invention is a method for verifying an executable file executed on a computer,
(A) executing a designated execution file in advance, collecting a route for the designated execution file, and recording the collected route in a route list in which a valid route is defined;
(B) For the specified executable file, it is determined whether the path is a valid path recorded in the path list, and when it is determined that the path is a valid path, Allow execution, steps, and
It is characterized by having.
更に、上記目的を達成するため、本発明の一側面におけるプログラムは、コンピュータ上で実行される実行ファイルを前記コンピュータによって検証するためのプログラムであって、
前記コンピュータに、
(a)指定された実行ファイルを予め実行して、指定された前記実行ファイルについての経路を収集し、収集した経路を、正当な経路が定義された経路リストに記録する、ステップと、
(b)指定された実行ファイルについて、その経路が、前記経路リストに記録された正当な経路であるかどうかを判定し、正当な経路であると判定する場合に、指定された前記実行ファイルの実行を許可する、ステップと、
を実行させることを特徴とする。
In order to achieve the above object, a program according to one aspect of the present invention is a program for verifying an executable file executed on a computer by the computer,
In the computer,
(A) executing a designated execution file in advance, collecting a route for the designated execution file, and recording the collected route in a route list in which a valid route is defined;
(B) For the specified executable file, it is determined whether the path is a valid path recorded in the path list, and when it is determined that the path is a valid path, Allow execution, steps, and
Is executed.
以上のように本発明によれば、安全な実行環境を容易に実現でき、且つ、アクセス条件の収集を効率良く実行することができる。 As described above, according to the present invention, a safe execution environment can be easily realized, and the collection of access conditions can be executed efficiently.
(実施の形態1)
以下、本発明の実施の形態1における、検証装置、検証方法、及びプログラムについて、図1〜図7を参照しながら説明する。
(Embodiment 1)
Hereinafter, a verification apparatus, a verification method, and a program according to
[装置構成]
最初に、図1を用いて本実施の形態1における検証装置の構成について説明する。図1は、本発明の実施の形態1における検証装置10の概略構成を示すブロック図である。
[Device configuration]
First, the configuration of the verification apparatus according to the first embodiment will be described with reference to FIG. FIG. 1 is a block diagram showing a schematic configuration of a
図1に示すように、本実施の形態1における検証装置10は、コンピュータ1上で実行される実行ファイルを検証するための装置である。検証装置10は、経路収集部5と、経路検証部6とを備えている。また、本実施の形態1では、検証装置10は、コンピュータ1のオペレーティングシステム上にプログラムによって構築されている。
As shown in FIG. 1, the
経路収集部5は、コンピュータ1によって指定された実行ファイルを予め実行して、指定された実行ファイルについての経路を収集し、収集した経路を、正当な経路が定義された経路リスト7に記録する。
The
また、経路検証部6は、コンピュータ1によって実行ファイルが指定されると、指定された実行ファイルについて、その経路が、経路リスト7に記録された正当な経路であるかどうかを判定する。そして、経路検証部6は、正当な経路であると判定する場合は、指定された前記実行ファイルの実行を許可する。
In addition, when an execution file is specified by the
このように、本実施の形態1では、指定された実行ファイルについてのみ予めダミー実行が行われ、その経路が収集されるので、アクセス条件の収集が効率良く行われることになる。また、正当な経路が定義された経路リストに基づいて、実行ファイルの実行の可否が判断されるので、安全な実行環境が容易に実現されることになる。 As described above, in the first embodiment, dummy execution is performed only for the designated execution file in advance, and the path is collected, so that the access conditions are collected efficiently. In addition, since it is determined whether or not the executable file can be executed based on the path list in which a valid path is defined, a safe execution environment can be easily realized.
続いて、図2〜図5を用いて本実施の形態1における検証装置の構成について更に具体的に説明する。図2は、図1に示した検証装置を更に具体的示すブロック図である。 Next, the configuration of the verification apparatus according to the first embodiment will be described more specifically with reference to FIGS. FIG. 2 is a block diagram showing more specifically the verification apparatus shown in FIG.
図2に示すように、コンピュータ1は、プロセス生成部2を備えている。プロセス生成部2は、実行ファイル8を実行してプロセスを生成する。また、プロセス生成部2は、一般的なプロセス生成(fork/exec方式など)を行ない、例えば、既に実行しているプロセスを親プロセスとして、新しいプロセス(子プロセス)を生成する。
As shown in FIG. 2, the
また、本実施の形態1では、経路収集部5は、経路として、指定された実行ファイルのプロセスについての生成に至るまでの生成経路を収集し、収集した生成経路を、経路リスト7に記録する。更に、本実施の形態1では、経路検証部6は、指定された実行ファイルのプロセスについての生成に至るまでの生成経路が、経路リストに記録された正当な経路であるかどうかを判定する。
Further, in the first embodiment, the
また、図2に示すように、本実施の形態1では、検証装置10は、経路収集部5及び経路検証部6に加えて、収集対象定義部3と、記憶部9とを備えている。このうち、記憶部9は、上述した経路リスト7(後述の図4参照)と、収集対象リスト4(後述の図3参照)とを格納している。収集対象リスト4は、経路収集部5による生成経路の収集の対象、即ち、ダミー実行の対象として指定されたプロセスを記録している。
As shown in FIG. 2, in the first embodiment, the
収集対象定義部3は、収集対象リスト4に対して、プロセスの追加及び削除を実行する。収集対象定義部3は、コンピュータ1の運用中に、この収集対象リスト4を書き換えることもできる。また、収集対象定義部3は、ダミー実行の対象となるプロセスを、ダミー実行の直前に追加しても良いし、ダミー実行の完了時に削除しても良い。
The collection
ここで、図3を用いて、収集対象リスト4の形式及び定義の一例について説明する。図3は、本実施の形態1で用いられる収集対象リストの一例を示す図である。図3の例では、収集対象リスト4は、実行ファイル[/d1/file3]と、実行ファイル[/d100/file100]とを、プロセスの生成経路の収集の対象として定義している。
Here, an example of the format and definition of the
また、プロセス生成部2は、収集対象リスト4にアクセスし、実行を開始しようとしている実行ファイルが収集対象リスト4に存在しているかどうかを確認する。確認の結果、存在している場合は、プロセス生成部2は、収集対象リスト4に定義された実行ファイルの実行を、経路収集部5に対して指示する。これにより、経路収集部5は、プロセス生成部2によって指定された実行ファイルを実行するが、上述したように、この実行ファイルの実行は、ダミー実行として扱われる。その後、プロセス生成経路の収集といった特別な処理が行われる。
In addition, the
また、図4を用いて、経路リスト7の形式及び定義の一例について説明する。図4は、本実施の形態1で用いられる経路リストの一例を示す図である。本実施の形態1では、経路リスト7は、図4に示す形式によって、各実行ファイルについての正しいプロセスの生成経路(正しい実行のされかた)を定義している。 Also, an example of the format and definition of the route list 7 will be described with reference to FIG. FIG. 4 is a diagram showing an example of a route list used in the first embodiment. In the first embodiment, the path list 7 defines the correct process generation path (how to execute correctly) for each execution file in the format shown in FIG.
図4の例では、経路リスト7は、実行ファイル[/d1/file3]が実行される場合には、[/d1/file1]⇒[/d1/file2]⇒[/d1/file3]の順序でプロセスが生成されることを、正しいプロセスの生成経路として保持している。また、経路リスト7は、実行ファイル[/d2/file5]が実行される場合には、[/d2/file4]⇒[/d2/file5]、または[/d2/file6]⇒[/d2/file5]のいずれかの順序でプロセスが生成されることを、正しいプロセスの生成経路として保持している。 In the example of FIG. 4, when the execution file [/ d1 / file3] is executed, the route list 7 is in the order of [/ d1 / file1] → [/ d1 / file2] → [/ d1 / file3]. The fact that a process is generated is held as a correct process generation path. The path list 7 is [/ d2 / file4] ⇒ [/ d2 / file5] or [/ d2 / file6] ⇒ [/ d2 / file5 when the execution file [/ d2 / file5] is executed. ] That the process is generated in any order is retained as a correct process generation path.
また、図4に示すように、経路リスト7は、各実行ファイルの正当性を保証するため、各ファイルのハッシュ値(例えば、ハッシュ関数MD5などにより計算で求められる値)を、ファイル名とともに保持している。 As shown in FIG. 4, the path list 7 holds the hash value of each file (for example, a value obtained by calculation using the hash function MD5) together with the file name in order to guarantee the validity of each executable file. doing.
そして、プロセス生成経路リスト7に保持すべき情報(各実行ファイルのプロセスの生成経路)の収集は、上述したように、経路収集部5によって、検査対象となる実行ファイルを事前に一度実行することにより、即ち、ダミー実行を行なうことによって行なわれる。
The information to be held in the process generation path list 7 (process generation paths of each execution file) is collected by executing the execution file to be inspected once in advance by the
本実施の形態1では、経路収集部5は、プロセス生成部2によって実行ファイルが指定されると、図4に示す経路リスト7に生成経路を記録するため、ダミー実行を行い、指定された実行ファイルのプロセスからその上位のプロセスを順次辿る。そして、経路収集部5は、各プロセスについて、実行ファイルの名称とそのハッシュ値とを取得する。更に、経路収集部5は、取得した実行ファイルの名称とハッシュ値とを、正当な経路の定義として、経路リスト7に記録する。
In the first embodiment, when the execution file is designated by the
具体的には、実行ファイルの名称(例えば、[/d1/file3])が収集対象ファイルリスト4(図2参照)に追加されるとする。この場合、プロセス生成部2は、実行ファイル[/d1/file3]の実行を経路収集部5に指示する。これにより、当該ファイルの実行はダミー実行として扱われる。そして、経路収集部5によって、収集対象となる実行ファイルに対してダミー実行が行なわれると、通常のプロセス生成を経て、順次、親子関係が構築される。
Specifically, it is assumed that the name of the execution file (for example, [/ d1 / file3]) is added to the collection target file list 4 (see FIG. 2). In this case, the
例えば、図5に示すように、以下のプロセス生成順序で、親子関係が構築される。図5は、プロセスの親子関係の一例を示す図である。また、本実施の形態1においては、後述するように、図5に示すプロセスの生成経路の収集は、実行ファイル[/d1/file3]のプロセス開始処理に付随して行なわれる。
[/d1/file1]⇒[/d1/file2]⇒[/d1/file3]
For example, as shown in FIG. 5, a parent-child relationship is constructed in the following process generation order. FIG. 5 is a diagram illustrating an example of a parent-child relationship of processes. In the first embodiment, as will be described later, the process generation path collection shown in FIG. 5 is performed in association with the process start process of the execution file [/ d1 / file3].
[/ D1 / file1] ⇒ [/ d1 / file2] ⇒ [/ d1 / file3]
また、本実施の形態1では、プロセス生成部2は、経路リスト7にアクセスし、実行予定にある実行ファイルのエントリが経路リスト7に存在しているかどうかを判定する。そして、プロセス生成部2は、存在している場合に、経路検証部6に対して、実行予定にある実行ファイルの検証を指示する。
In the first embodiment, the
経路検証部6は、本実施の形態1では、プロセス生成部2によって実行ファイルが指定されると、指定された実行ファイルのプロセスからその上位のプロセスまでの、実行ファイルの名称とそのハッシュ値とが、経路リスト7に記録されているかどうかを判定する。そして、経路検証部6は、実行ファイルの名称とそのハッシュ値とが記録されている場合は、正当な経路であると判定する。また、経路検証部6は、正当な生成経路であると判定する場合は、プロセス生成部2に実行ファイルの実行を許可する。
In the first embodiment, when the execution file is specified by the
この結果、経路検証部6によって、プロセス生成経路が一致したことが確認された場合にのみ、コンピュータ1において実行ファイルの実行が許可されることになる。このため、誤ってファイルが置換されたとき、及び不正なプログラムを経由して実行ファイルの実行が行われようとしたときに、プログラムの実行が防止されることになる。
As a result, the execution file execution is permitted in the
[装置動作]
次に、本発明の実施の形態1における検証装置10の動作について図6及び図7を用いて説明する。以下の説明においては、適宜図1〜図4を参酌する。また、本実施の形態1では、検証装置10を動作させることによって、検証方法が実施される。よって、本実施の形態1における検証方法の説明は、以下の検証装置10の動作説明に代える。
[Device operation]
Next, the operation of the
図6は、本発明の実施の形態1における検証装置の動作を示すフロー図である。但し、本実施の形態1において、検証装置10による処理は、コンピュータ1におけるプロセスの開始処理に付随して行われる。このため、図6は、コンピュータ1全体の動作を示している。
FIG. 6 is a flowchart showing the operation of the verification apparatus according to
また、図6において、プロセスの開始処理は、実行ファイルのロードを行う処理(ステップS30)と、ロードした実行ファイルを新たなプロセスとして実行する処理(ステップS40)とを含む。コンピュータ1においては、このプロセス開始処理の実行後に、コンピュータ1による実際の処理が行われる。なお、図6においては、プロセス開始処理の後の処理については省略している。
In FIG. 6, the process start process includes a process for loading an execution file (step S30) and a process for executing the loaded execution file as a new process (step S40). In the
また、本実施の形態1では、検証装置10による処理は、生成経路の収集処理と生成経路の検証処理とに分けられ、図6の例では、これらの処理は、実行ファイルのロード処理(ステップS30)の直前に実行される。
In the first embodiment, the process performed by the
図6に示すように、最初に、プロセス生成部2は、収集対象リスト4にアクセスし、実行を開始しようとしている実行ファイルが経路の収集対象であるかどうかを判定する(ステップS10)。具体的には、プロセス生成部2は、プロセス生成経路収集対象ファイルリスト4に、実行を開始しようとしている実行ファイル(例えば、[/d1/file3])が記述されているかどうかを判定する。
As shown in FIG. 6, first, the
ステップS10の判定の結果、実行を開始しようとしている実行ファイルが経路の収集対象である場合は、プロセス生成部2は、経路収集部5に、実行ファイルを指定して、経路収集の実行を指示する。これにより、経路収集部5は、プロセスの生成経路を取得(ステップS11)し、取得した生成経路を経路リストに追加する(ステップS12)。
As a result of the determination in step S10, if the execution file that is about to start execution is a path collection target, the
なお、ステップS11で行われる処理は、共通処理であり、ステップS21においても同様の処理が呼び出されて実行される。また、ステップS12の実行後、検証装置10における処理は終了し、その後、再度ステップS10が実行される。
Note that the process performed in step S11 is a common process, and the same process is called and executed in step S21. Moreover, after execution of step S12, the process in the
ここで、ステップS11の詳細について、図7を用いて説明する。図7は、図6に示すプロセスの生成経路の取得処理を詳細に示すフロー図である。 Details of step S11 will be described with reference to FIG. FIG. 7 is a flowchart showing in detail the process for acquiring the generation path of the process shown in FIG.
図7に示すように、経路収集部5は、実行ファイルのプロセス(自プロセス)から上位のプロセス(親プロセス)までを繰り返し条件に設定する(ステップS111)。次に、経路収集部5は、自プロセスから親プロセスまでを順次辿り、プロセス毎に、各プロセスの情報として、実行ファイルの名称及びそのハッシュ値と取得する(ステップS112)。その後、取得された実行ファイルの名称とハッシュ値とは、プロセスの生成経路としてステップS12に返却される(ステップS113)。
As shown in FIG. 7, the
また、ステップS12では、ステップS113で返却された、各プロセスの実行ファイルの名称とハッシュ値とが、経路リスト7に追加され、保持される。このようにして、プロセスの生成経路が追加された経路リスト7は、後に実行ファイルの妥当性の検証時において、正しいプロセスの生成経路を記録しているリストとして用いられる。 In step S12, the name and hash value of the execution file of each process returned in step S113 are added to the path list 7 and held. In this way, the route list 7 to which the process generation route is added is used as a list in which the correct process generation route is recorded later when the validity of the execution file is verified.
具体的には、図6に示す処理が、実行ファイル[/d1/file3]のプロセス開始処理であるとすると、図5に示した親子関係が呼び出される。つまり、経路収集部5は、始めに、自プロセスである[/d1/file3]の情報収集を行い、実行ファイルの名称「d1/file3」とそのファイルのハッシュ値「hash-3」とを取得する。次に、経路収集部5は、実行ファイル[d1/file3]の親である[/d1/file2]の情報収集を行い、実行ファイルの名称「d1/file2」とそのファイルのハッシュ値「hash-2」とを取得する。更に、経路収集部5は、実行ファイル[d1/file2]の親である[/d1/file1]の情報収集を行い、実行ファイルの名称「d1/file1」とそのファイルのハッシュ値「hash-1」とを取得する。
Specifically, assuming that the process shown in FIG. 6 is a process start process for an execution file [/ d1 / file3], the parent-child relationship shown in FIG. 5 is called. That is, the
このように、ステップS111〜S113において、経路収集部5は、親プロセスを順次辿る処理を実行し、図2に示した実行ファイル[/d1/file3]のエントリの情報を収集する。なお、同じ実行ファイルが、複数の実行経路を経て実行される場合があるが、この場合には、複数の生成経路が記録されれば良い。
In this way, in steps S111 to S113, the
また、この場合、収集対象定義部3は、実行経路の数だけ、当該実行ファイルを収集対象リスト4に記述するため、経路収集部5は、各実行経路について、ダミー実行を行い、実行経路毎に情報を収集する。具体的には、図4に示す実行ファイル[/d1/file5]のエントリの情報は、複数の実行経路が存在する場合に収集された情報である。
In this case, since the collection
ところで、ステップS10の判定結果、実行を開始しようとしている実行ファイルが経路の収集対象でない場合は、プロセス生成部2は、実行を開始しようとしている実行ファイルのエントリが経路リスト7に存在しているかどうかを判定する(ステップS20)。
By the way, if it is determined in step S10 that the execution file whose execution is to be started is not a path collection target, the
例えば、図7で説明したように、実行を開始しようとしている実行ファイルが、実行ファイル[/d1/file3]であるとすると、プロセス生成部2は、経路リスト7(図4参照)に、実行ファイル[/d1/file3]のエントリが存在しているかどうかを判定する。
For example, as described in FIG. 7, if the execution file that is about to start execution is the execution file [/ d1 / file3], the
ステップS20の判定の結果、実行ファイルのエントリが経路リスト7に存在していない場合は、プロセス生成部2は、ステップS30を実行する。一方、ステップS20の判定の結果、実行ファイルのエントリが経路リスト7に存在している場合は、経路検証部6に実行ファイルを指定して、経路検証の実行を指示する。これにより、経路検証部6は、実行ファイルの妥当性を検証するため、まず、プロセスの生成経路を取得する(ステップS21)。
As a result of the determination in step S20, if the execution file entry does not exist in the path list 7, the
具体的には、ステップS21では、経路検証部6は、図7に示したステップS111〜S114と同様の処理を実行し、自プロセスから親プロセスを順次辿り、プロセス毎に、各プロセスの情報として、実行ファイルの名称及びそのハッシュ値と取得する。ステップS21においても、図5に示した親子関係が呼びされる。
Specifically, in step S21, the
次に、経路検証部6は、ステップS21で取得したプロセスの生成経路(実行ファイルの名称及びハッシュ値)が、正しい生成経路であるかどうかを判定する(ステップS22)。具体的には、経路検証部6は、経路リスト7に記録されている情報に、ステップS21で取得した全ての実行ファイルの名称及びハッシュ値が一致するかどうかを判定する。
Next, the
ステップS21の判定の結果、正しい生成経路である場合は、実行ファイルは正しいプロセス生成を経て起動されていることを意味するので、経路検証部6は、プロセス生成部2にそのことを通知する。その結果、プロセス生成部2によって、ステップS30が実行される。
If the result of determination in step S21 is that the generation path is correct, it means that the execution file has been activated through correct process generation, and the
一方、ステップS21の判定の結果、正しい生成経路でない場合は、実行ファイルは正しいプロセス生成を経て起動されていないことを意味するので、経路検証部6は、プロセスの開始が失敗したことをプロセス生成部2に通知し、異常終了とする。
On the other hand, if the result of the determination in step S21 is that the generation path is not correct, it means that the execution file has not been activated through correct process generation, so the
以上のように、ステップS10〜S23の処理が実行されると、プロセスの正しい生成経路及び正しいファイルの情報(ファイル名及びハッシュ値)が取得され、これらを用いて、実行の正しさが検証される。この結果、実行ファイルが誤って置換された場合、不正なプログラムを経由して実行ファイルが実行されようとした場合に、プログラムの実行が防止される。 As described above, when the processing of steps S10 to S23 is executed, the correct generation path of the process and the correct file information (file name and hash value) are acquired, and the correctness of the execution is verified using these. The As a result, when the execution file is replaced by mistake, execution of the program is prevented when the execution file is about to be executed via an unauthorized program.
[実施の形態1における効果]
以上のように本実施の形態1によれば、以下の効果が期待できる。
[Effect in Embodiment 1]
As described above, according to the first embodiment, the following effects can be expected.
まず、本実施の形態1によれば、実行ファイルが置換されたときに、その実行を防止することができる。これは、ハッシュ値を検証に用いることにより、正しいプログラムのみを動作させる安全な環境を作り出すことができるからである。たとえば、誤ってプログラムを他のプログラムと置換した場合、悪意あるユーザーが不正にプログラムを置換した場合などに、その実行を防止することができる。 First, according to the first embodiment, when an execution file is replaced, the execution can be prevented. This is because by using the hash value for verification, it is possible to create a safe environment in which only correct programs are operated. For example, when a program is mistakenly replaced with another program or when a malicious user replaces the program illegally, the execution can be prevented.
また、本実施の形態1によれが、不正な実行ルートを経由して、実行ファイルが実行されることを防止することができる。これは、プロセスの生成経路を構成する全ての実行ファイルの妥当性が検証され、正しい実行ルートのみで動作が行われる安全な環境が作られているからである。たとえば、悪意あるユーザーが、親プロセスの実行ファイルを置換し、不正に実行ファイルを起動しようとした場合に、その実行を阻止することができる。 Further, according to the first embodiment, it is possible to prevent an execution file from being executed via an unauthorized execution route. This is because the validity of all the executable files constituting the process generation path is verified, and a safe environment is created in which operations are performed only with the correct execution route. For example, if a malicious user replaces the execution file of the parent process and attempts to launch the execution file illegally, the execution can be prevented.
また、本実施の形態1によれば、正しい実行ルートについての情報(アクセス条件)の収集が効率的に行うことができる。これは、情報収集の目的で事前にダミー実行を行うフェーズが設けられ、更に、情報収集の対象となる実行ファイルが指定されたものに限定されるからである。 Further, according to the first embodiment, it is possible to efficiently collect information (access conditions) about a correct execution route. This is because a phase in which dummy execution is performed in advance for the purpose of collecting information is provided, and the execution file to be collected is limited to those designated.
[プログラム]
本実施の形態1におけるプログラムは、コンピュータに、図6に示すステップS11〜S12、S21〜S23、図7に示すS111〜S113を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態1における検証装置10と検証方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、経路収集部5、経路検証部6として機能し、処理を行なう。また、コンピュータに備えられたハードディスク等の記憶装置は、記憶部9として機能する。
[program]
The program in the first embodiment may be a program that causes a computer to execute steps S11 to S12, S21 to S23 shown in FIG. 6, and S111 to S113 shown in FIG. By installing and executing this program on a computer, the
[変形例1]実行ファイルのディスクアドレスの利用:
上述の実施の形態1では、経路リスト7の各実行ファイルの情報として、実行ファイルの名称及びハッシュ値が用いられているが、本実施の形態1はこれに限定されない。本変形例1では、各実行ファイルの情報として、実行ファイルの格納されたディスク上の物理アドレスを、利用することもできる。
[Modification 1] Use of disk address of executable file:
In the first embodiment described above, the name and hash value of the executable file are used as the information of each executable file in the path list 7, but the first embodiment is not limited to this. In the first modification, the physical address on the disk where the executable file is stored can be used as information of each executable file.
変形例1は、一度ファイルを作成するとファイルの格納物理アドレスが変化しないシステムに有用である。例えば、ディスク再配置(デフラグ)の発生しないメインフレームにおいて有用である。また、物理的格納位置の変化しない記録媒体(フレキシブルディスク、CD−ROM(Compact Disk Read Only Memory))から実行ファイルをロードする場合にも有用である。 The first modification is useful for a system in which a file storage physical address does not change once a file is created. For example, it is useful in a mainframe that does not cause disk relocation (defragmentation). It is also useful when loading an execution file from a recording medium (flexible disk, CD-ROM (Compact Disk Read Only Memory)) whose physical storage position does not change.
[変形例2]兄弟プロセスの検証:
上述の実施の形態1では、親プロセスのみを検証対象とする構成を示したが、本実施の形態1はこれに限定されない。本変形例2では、兄弟プロセス(共通の親プロセスから生成されるプロセス)も収集対象及び検証対象とすることができる。
[Variation 2] Verification of sibling process:
In the above-described first embodiment, the configuration in which only the parent process is a verification target has been described, but the first embodiment is not limited to this. In the second modification, sibling processes (processes generated from a common parent process) can also be set as collection targets and verification targets.
つまり、本変形例2では、プロセスの生成経路を収集する場合に、親プロセスを辿るだけでなく、兄弟プロセスも収集対象として扱われる。そして、関連するプロセスが全て正しいと確認されたときのみに、実行が許諾されるようにすれば、より安全な実行環境の確立が実現される。 That is, in the second modification, when collecting process generation paths, not only the parent process but also sibling processes are handled as collection targets. If execution is permitted only when all the related processes are confirmed to be correct, establishment of a safer execution environment is realized.
[変形例3]収集処理/検証処理の追加位置
上述の実施の形態1では、プロセスの生成経路の取得処理と実行可否を判断する検証処理とが、実行ファイルのロード処理直前に追加されている例(すなわち、カーネル処理への追加例)が示されている。但し、本実施の形態1は、これに限定されず、実行ファイルがプロセスとして実行された後に、プロセスの生成経路の取得処理と実行可否を判断する検証処理とが実行される態様であっても良い。この態様は、カーネル処理ではなく、ユーザー処理による収集処理と検証処理との実行が求められる場合に有用である。
[Modification 3] Additional position of collection process / verification process In the first embodiment described above, the process generation path acquisition process and the verification process for determining whether or not to execute can be added immediately before the execution file loading process. An example (ie, an additional example to kernel processing) is shown. However, the first embodiment is not limited to this, and after the execution file is executed as a process, the process generation path acquisition process and the verification process for determining whether to execute can be executed. good. This aspect is useful when it is required to execute collection processing and verification processing by user processing instead of kernel processing.
[変形例4]スクリプトと実行ファイルとの呼出し関係
上述の実施の形態1では、プロセスとプロセスとの間の生成関係を検証する構成が示されているが、本実施の形態1はこれに限定されず、スクリプトと実行ファイルとの呼出し関係が検証に用いられる態様であっても良い。
[Modification 4] Calling relationship between script and execution file In the first embodiment described above, a configuration for verifying the generation relationship between processes is shown. However, the first embodiment is limited to this. Instead, the calling relationship between the script and the execution file may be used for verification.
具体的には、スクリプトの情報(ファイル名、ハッシュ値)と、実行ファイルの情報(ファイル名、ハッシュ値)とが、正しい経路として取得され、この経路が、実行時に検証される態様であっても良い。この態様では、正しいスクリプトのみから正しい実行ファイルのみが実行されるので、安全な実行環境の確立が実現可能である。 Specifically, script information (file name, hash value) and execution file information (file name, hash value) are acquired as correct paths, and this path is verified at the time of execution. Also good. In this aspect, since only the correct execution file is executed only from the correct script, it is possible to establish a safe execution environment.
(実施の形態2)
次に、本発明の実施の形態2における、検証装置、検証方法、及びプログラムについて、図8〜図11を参照しながら説明する。
(Embodiment 2)
Next, a verification device, a verification method, and a program according to
[装置構成]
最初に、本発明の実施の形態2における検証装置の構成について説明する。本実施の形態2における検証装置は、図1及び図2に示した実施の形態1における検証装置10と同様に構成されている。また、以下の説明では、適宜図1及び図2を参照する。
[Device configuration]
First, the configuration of the verification apparatus according to
プロセスの生成経路が深い場合(多くのプロセスを経由して実行が行われる場合)に、実行ファイルの実行時に全ての親プロセスのパスを遡る方式は、全ての親プロセスの実行ファイルへのアクセス権限を必要とする。このため、当該方式には、適用が困難なケースも存在する。本実施の形態2では、プロセスの生成経路を保持する形式を変更(正規化)して、直接の親プロセスと自プロセス(子プロセス)とに関する情報のみで、実行ファイルの実行可否を検証できるようにする。 When the process generation path is deep (when execution is performed via many processes), the method of tracing back the paths of all parent processes when executing an executable file is the access authority to the execution files of all parent processes. Need. For this reason, there are cases where it is difficult to apply this method. In the second embodiment, the format for holding the process generation path is changed (normalized), and it is possible to verify whether or not the executable file can be executed only by information about the direct parent process and the self process (child process). To.
このため、本実施の形態2においては、経路収集部5(図1及び図2参照)は、収集したプロセスの生成経路に対して正規化処理を行って、親プロセスと自プロセスとの関係のみを含む複数の生成経路を新たに生成する。また、経路収集部5は、新たに生成した生成経路を経路リスト7に記録する。なお、本実施の形態2における検証装置は、経路収集部5の機能以外の点では、実施の形態1における検証装置10と同様である。
Therefore, in the second embodiment, the path collection unit 5 (see FIGS. 1 and 2) performs normalization processing on the collected process generation paths, and only the relationship between the parent process and its own process. A plurality of generation paths including are newly generated. Further, the
ここで、図8(a)及び(b)を用いて、本実施の形態2で行なわれる正規化処理について説明する。図8(a)は、正規化前の経路リストの一例を示す図であり、図8(b)は、正規化後の経路リストの一例を示す図である。 Here, the normalization process performed in the second embodiment will be described with reference to FIGS. FIG. 8A is a diagram illustrating an example of a route list before normalization, and FIG. 8B is a diagram illustrating an example of a route list after normalization.
図8(a)に示すように、正規化前の経路リスト7aのデータ項目は、「実行ファイル名」と「プロセス生成経路」との2つである。これに対して、図8(b)に示すように、正規化後の経路リスト7bのデータ項目には、「実行ファイル名」及び「プロセス生成経路」に加えて、「経路識別子」が追加される。
As shown in FIG. 8A, there are two data items in the
また、図8(b)に示すように、正規化後の経路リスト7bにおいて、「プロセス生成経路」には、2ノード以上で構成された生成関係は記録されないようになっている。その代わりに、プロセスの生成関係の表現形式として、親の実行ファイルの名称と子の実行ファイルの名称とを用いた表現形式に加え、経路識別子と子の実行ファイルの名称とを用いた表現形式も許可されている。
Further, as shown in FIG. 8B, in the normalized
具体的には、図8(b)において、正規化後の経路リスト7bの経路識別子の[1]、[1,2]、[1,2,3]、[1,2,3,4]の4つのエントリは、正規化前の経路リスト7aの実行ファイル[/d1/file4]の1つ目の生成経路「(/d1/file1, hash-1) ⇒ (/d1/file2, hash-2) ⇒ (/d1/file3, hash-3) ⇒ (/d1/file4, hash-4)」を正規化して得られている。
Specifically, in FIG. 8B, route identifiers [1], [1,2], [1,2,3], [1,2,3,4] of the normalized
例えば、経路識別子[1]は、実行ファイル[/d1/file1]の生成経路、即ち、実行ファイル[/d1/file1]は、親プロセスを持たずに生成されて良いことを表現している。また、経路識別子[1,2]は、実行ファイル[/d1/file2]の生成経路、即ち、経路識別子[1]の生成経路を経て、実行ファイル[/d1/file2]が生成されることを表現している。これは、経路識別子[1]と[1,2]とを合わせると、[/d1/file1]=>[/d1/file2]の生成経路を経て、実行ファイル[/d1/file2]が生成されることを意味している。 For example, the path identifier [1] expresses that the execution file [/ d1 / file1] generation path, that is, the execution file [/ d1 / file1] may be generated without having a parent process. The path identifier [1,2] indicates that the execution file [/ d1 / file2] is generated through the generation path of the execution file [/ d1 / file2], that is, the generation path of the path identifier [1]. expressing. This means that when the path identifiers [1] and [1,2] are combined, the execution file [/ d1 / file2] is generated through the generation path [/ d1 / file1] => [/ d1 / file2]. It means that.
同様に、経路識別子[1,2,3]は、実行ファイル[/d1/file3]の生成経路、即ち、経路識別子[1,2]の生成経路を経て、実行ファイル[/d1/file3]が生成されるべきことを表現している。また、同様に、経路識別子[1,2,3,4]は、実行ファイル[/d1/file4]の生成経路、即ち、経路識別子[1,2,3]の生成経路を経て、実行ファイル[/d1/file4]が生成されるべきことを表現している。 Similarly, the path identifier [1, 2, 3] is generated by the execution file [/ d1 / file3] via the generation path of the execution file [/ d1 / file3], that is, the generation path of the path identifier [1, 2]. It expresses what should be generated. Similarly, the path identifier [1, 2, 3, 4] is generated through the generation path of the execution file [/ d1 / file4], that is, through the generation path of the path identifier [1, 2, 3]. / d1 / file4] represents that it should be generated.
また、図8(b)に示すように、実行ファイル[/d1/file4]の生成経路として、複数の生成経路が存在している。具体的には、図8(b)の例では、[X]、[X,2]、[X,2,3]、[X,2,3,4]の生成経路群によって構築された以下の生成経路も、実行ファイル[/d1/file4]の生成経路として正しいことが表現されている。
「(/d1/fileX, hash-X) ⇒ (/d1/file2, hash-2) ⇒ (/d1/file3, hash-3) ⇒ (/d1/file4, hash-4)」
Further, as shown in FIG. 8B, there are a plurality of generation paths as generation paths of the execution file [/ d1 / file4]. Specifically, in the example of FIG. 8B, the following is constructed by the generation path group of [X], [X, 2], [X, 2, 3], [X, 2, 3, 4]. It is expressed that the generation path of is also correct as the generation path of the executable file [/ d1 / file4].
「(/ D1 / fileX, hash-X) ⇒ (/ d1 / file2, hash-2) ⇒ (/ d1 / file3, hash-3) ⇒ (/ d1 / file4, hash-4)」
[装置動作]
次に、本発明の実施の形態2における検証装置の動作について図9〜図11を用いて説明する。以下の説明においては、適宜図1、2、8(a)及び(b)を参酌する。また、本実施の形態2では、検証装置を動作させることによって、検証方法が実施される。よって、本実施の形態2における検証方法の説明も、以下の検証装置の動作説明に代える。
[Device operation]
Next, the operation of the verification apparatus according to the second embodiment of the present invention will be described with reference to FIGS. In the following description, FIGS. 1, 2, 8 (a) and (b) are referred to as appropriate. In the second embodiment, the verification method is implemented by operating the verification device. Therefore, the description of the verification method in the second embodiment is also replaced with the following description of the operation of the verification apparatus.
図9は、本発明の実施の形態2における検証装置の動作を示すフロー図である。但し、本実施の形態2において、検証装置による処理は、コンピュータ1(図1及び図2参照)におけるプロセスの開始処理に付随して行われる。このため、図9も、図6と同様に、コンピュータ1全体の動作を示している。
FIG. 9 is a flowchart showing the operation of the verification apparatus according to the second embodiment of the present invention. However, in the second embodiment, the processing by the verification apparatus is performed accompanying the process start processing in the computer 1 (see FIGS. 1 and 2). For this reason, FIG. 9 also shows the overall operation of the
また、図9において、プロセスの開始処理は、実行ファイルのロードを行う処理(ステップS70)と、ロードした実行ファイルを新たなプロセスとして実行する処理(ステップS80)とを含む。コンピュータ1においては、このプロセス開始処理の実行後に、コンピュータ1による実際の処理が行われる。なお、図9においては、プロセス開始処理の後の処理については省略している。
In FIG. 9, the process start process includes a process for loading an execution file (step S70) and a process for executing the loaded execution file as a new process (step S80). In the
また、本実施の形態2では、検証装置による処理は、生成経路の収集処理(正規化処理を含む)と生成経路の検証処理とに分けられ、図9の例では、これらの処理は、実行ファイルのロード処理(ステップS70)の直前に実行される。 In the second embodiment, the processing performed by the verification device is divided into generation path collection processing (including normalization processing) and generation path verification processing. In the example of FIG. 9, these processes are executed. This is executed immediately before the file loading process (step S70).
図9に示すように、最初に、プロセス生成部2は、収集対象リスト4にアクセスし、実行を開始しようとしている実行ファイルが経路の収集対象であるかどうかを判定する(ステップS50)。具体的には、プロセス生成部2は、プロセス生成経路収集対象ファイルリスト4に、実行を開始しようとしている実行ファイルが記述されているかどうかを判定する。
As shown in FIG. 9, first, the
ステップS50の判定の結果、実行を開始しようとしている実行ファイルが経路の収集対象である場合は、プロセス生成部2は、経路収集部5に、実行ファイルを指定して、経路収集の実行を指示する。これにより、経路収集部5は、プロセスの生成経路を取得(ステップS51)し、取得した生成経路に対して正規化処理を行ない(ステップS52)、その後、正規化処理後の生成経路を経路リストに追加する(ステップS53)。
As a result of the determination in step S50, when the execution file that is about to start execution is the target of path collection, the
ここで、ステップS52の詳細については、図10を用いて説明する。図10は、図9に示すプロセスの生成経路の正規化処理を詳細に示すフロー図である。なお、ステップS51は、図6及び図7に示したステップS11と同様のステップであるので、本実施の形態2においては、その詳細説明は省略する。 Details of step S52 will be described with reference to FIG. FIG. 10 is a flowchart showing in detail the normalization processing of the generation path of the process shown in FIG. Since step S51 is the same as step S11 shown in FIGS. 6 and 7, detailed description thereof is omitted in the second embodiment.
図10に示すように、経路収集部5は、まず、先頭のプロセスについて、当該プロセスのプロセス情報(実行ファイルの名称及びハッシュ値)のみからなるエントリを経路リスト7bに追加する(ステップS521)。次に、経路収集部5は、追加したエントリに対して新たな経路識別子を付与する(ステップS522)。ステップS521及びS522によって、例えば、図8(b)の例に示すように、経路識別子[1]のエントリが作成される。
As illustrated in FIG. 10, the
次に、経路収集部5は、先頭から数えて2プロセス目から終端のプロセスまでを繰り返しの条件とする(ステップS523)。そして、経路収集部5は、直前の経路識別子と現在のプロセスのプロセス情報(実行ファイルの名称及びハッシュ値)とを用いて、経路リスト7bに新たなエントリを追加する(ステップS524)。なお、プロセス情報とは、各実行ファイルが有している特有の情報であり、本実施の形態2においては、プロセス情報には、ファイルの名称、ハッシュ値、経路情報が含まれる。
Next, the
次に、経路収集部5は、追加したエントリに対して新たな経路識別子を付与する(ステップS525)。ステップS524及びS525が設定された数だけ繰り返されると、正規化後の経路リスト7bがステップS53に返却される(ステップS526)。
Next, the
具体的には、図8(b)の例では、2プロセス目のプロセス情報[/d1/file2, hash-2]からは、正規化後の経路識別子[1,2]のエントリが作成される。また、3プロセス目の情報[/d1/file3, hash-3]からは、正規化後の経路識別子[1,2,3]のエントリが作成される。更に、4プロセス目(終端プロセス)の情報[/d1/file4, hash-4]からは、正規化後の経路識別子[1,2,3,4]のエントリが作成される。 Specifically, in the example of FIG. 8B, an entry for the normalized path identifier [1,2] is created from the process information [/ d1 / file2, hash-2] of the second process. . Further, from the information [/ d1 / file3, hash-3] of the third process, an entry for the normalized path identifier [1,2,3] is created. Further, from the information [/ d1 / file4, hash-4] of the fourth process (end process), an entry of the normalized path identifier [1, 2, 3, 4] is created.
また、上述したステップS50の判定結果、実行を開始しようとしている実行ファイルが経路の収集対象でない場合は、プロセス生成部2は、実行を開始しようとしている実行ファイルのエントリが経路リスト7bに存在しているかどうかを判定する(ステップS60)。
If the execution file whose execution is to be started is not a path collection target as a result of the determination in step S50 described above, the
ステップS60の判定の結果、実行ファイルのエントリが経路リスト7bに存在していない場合は、プロセス生成部2は、ステップS70を実行する。一方、ステップS60の判定の結果、実行ファイルのエントリが経路リスト7bに存在している場合は、経路検証部6に実行ファイルを指定して、経路検証の実行を指示する。これにより、経路検証部6は、指定された実行ファイルに基づいて、プロセスの生成経路が正しい生成経路であるかどうかを判定する(ステップS61)。
As a result of the determination in step S60, if the execution file entry does not exist in the
なお、実施の形態1では、図6においてステップS21で示したように、経路検証部6は、実行ファイルの妥当性を検証するため、まず、プロセスの生成経路が取得されていたが、本実施の形態2においては、この処理を実行する必要はない。本実施の形態2では、経路検証部6は、現在の処理対象のプロセスのプロセス情報(実行ファイルの名称、ハッシュ値)と、親プロセスのプロセス情報(親プロセスの生成経路を示す経路識別子)とを用いた検証を行なえば良いからである。
In the first embodiment, as shown in step S21 in FIG. 6, the
具体的には、経路検証部6は、指定された実行ファイルのプロセスに親プロセスが存在していない場合は、自プロセスのプロセス情報(実行ファイルの名称及びハッシュ値)を経路リスト7bに照合して判定を行なう(経路識別子[1]を用いた判定)。
Specifically, when the parent process does not exist in the designated execution file process, the
また、経路検証部6は、指定された実行ファイルのプロセスに親プロセスが存在し、更に親プロセスに経路識別子が付与されている場合(後述のステップS63参照)は、親プロセスの経路識別子と自プロセスのプロセス情報(ファイルの名称及びハッシュ値)を経路リスト7bに照合して判定を行なう([1,2]、[1,2,3]、[1,2,3,4]を用いた判定)。
In addition, the
ステップS61の判定の結果、正しい生成経路である場合は、実行ファイルは正しいプロセス生成を経て起動されていることを意味する。従って、経路検証部6は、実行ファイルのプロセス情報に、当該プロセスがどのような生成経路で生成されたかを示す情報(正しい経路で生成されたことを示す情報)として、該当する経路識別情報を付加する(ステップS63)。なお、ステップS63でプロセス情報に付加された経路識別情報は、その後の子プロセスの開始処理において、実行可否の検証(ステップS61)に利用される。
If the result of determination in step S61 is that the generation path is correct, it means that the execution file has been activated through correct process generation. Therefore, the
その後、経路検証部6は、正しい生成経路であることをプロセス生成部2に通知する。その結果、プロセス生成部2によって、ステップS70が実行される。
Thereafter, the
一方、ステップS61の判定の結果、正しい生成経路でない場合は、実行ファイルは正しいプロセス生成を経て起動されていないことを意味するので、経路検証部6は、プロセスの開始が失敗したことをプロセス生成部2に通知し、異常終了とする。
On the other hand, if the result of determination in step S61 is that the generation path is not correct, it means that the execution file has not been started through correct process generation, and the
以上のステップS61〜S63の処理が繰り返し実行されると、最終的に目的となる実行ファイルが実行されるまで、正しい生成経路でプロセスが生成されてゆくことが保証される。 When the processes in steps S61 to S63 are repeatedly executed, it is guaranteed that the process is generated along the correct generation path until the target execution file is finally executed.
ここで、図11を用いて、実施の形態2における実行ファイルの検証処理について具体例を挙げて説明する。図11は、本実施の形態2で検証されるプロセスの親子関係の一例を示す図である。 Here, with reference to FIG. 11, the execution file verification processing according to the second embodiment will be described with a specific example. FIG. 11 is a diagram illustrating an example of a parent-child relationship of the processes verified in the second embodiment.
図11に示すように、実行ファイル[/d1/file1]の起動時の検証では、自プロセスのプロセス情報(/d1/file1 と hash-1)のみで検証が行なわれる。この場合、プロセス情報は、経路識別子[1]のプロセス生成経路(図8(b)参照)に該当するので、検証は成功する。そして、検証済の経路情報として、経路識別子[1]がプロセス情報として記録される。 As shown in FIG. 11, in the verification at the time of starting the execution file [/ d1 / file1], the verification is performed only with the process information (/ d1 / file1 and hash-1) of the own process. In this case, since the process information corresponds to the process generation path (see FIG. 8B) of the path identifier [1], the verification is successful. Then, route identifier [1] is recorded as process information as verified route information.
実行ファイル[/d1/file2]の起動時の検証では、自プロセスの情報(/d1/file2 と hash-2)と、親プロセスの経路識別子[1]とによって検証が行なわれる。この場合、プロセス情報は、経路識別子[1,2]のプロセス生成経路に該当するので、検証は成功する。そして、検証済の経路情報として、経路識別子[1,2]がプロセス情報に記録される。 When the executable file [/ d1 / file2] is started, the verification is performed based on the information of the own process (/ d1 / file2 and hash-2) and the path identifier [1] of the parent process. In this case, since the process information corresponds to the process generation path of the path identifier [1, 2], the verification is successful. Then, the route identifier [1, 2] is recorded in the process information as verified route information.
実行ファイル[/d1/file3]の起動時の検証では、自プロセスの情報(/d1/file3 と hash-3)と、親プロセスの経路識別子[1,2]とによって検証が行なわれる。この場合、プロセス情報は、経路識別子[1,2,3]のプロセス生成経路に該当するので、検証は成功する。そして、検証済の経路情報として、経路識別子[1,2,3]がプロセス情報に記録される。 When the executable file [/ d1 / file3] is started, the verification is performed based on the information of the own process (/ d1 / file3 and hash-3) and the path identifier [1,2] of the parent process. In this case, since the process information corresponds to the process generation path of the path identifier [1, 2, 3], the verification is successful. Then, the route identifier [1, 2, 3] is recorded in the process information as verified route information.
実行ファイル[/d1/file4]の起動時の検証では、自プロセスの情報(/d1/file4 と hash-4)と、親プロセスの経路識別子[1,2,3]とによって検証が行なわれる。この場合、プロセス情報は、経路識別子[1,2,3,4]のプロセス生成経路に該当するので、検証は成功する。そして、検証済の経路情報として、経路識別子[1,2,3,4]がプロセス情報に記録される。 When the execution file [/ d1 / file4] is started, the verification is performed based on the information of the own process (/ d1 / file4 and hash-4) and the path identifier [1, 2, 3] of the parent process. In this case, since the process information corresponds to the process generation path having the path identifier [1, 2, 3, 4], the verification is successful. Then, the route identifier [1, 2, 3, 4] is recorded in the process information as verified route information.
[実施の形態2における効果]
このように、本実施の形態2では、各プロセスの検証時において、自プロセス情報(実行ファイルの名称とハッシュ値)と、親のプロセス情報(経路識別子)とを用いて検証を行うことができる。従って、検証処理において、親プロセスより以前のプロセスに遡ってプロセス情報を取得する必要がないので、よりいっそう効率的な検証が実現される。
[Effects of Embodiment 2]
Thus, in the second embodiment, at the time of verifying each process, it is possible to perform verification using its own process information (execution file name and hash value) and parent process information (path identifier). . Therefore, in the verification process, since it is not necessary to acquire process information retroactively to the process before the parent process, a more efficient verification is realized.
[プログラム]
本実施の形態2におけるプログラムは、コンピュータに、図9に示すステップS51〜S53、S61〜S63、図10に示すS521〜S526を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態2における検証装置と検証方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、経路収集部5、経路検証部6として機能し、処理を行なう。また、コンピュータに備えられたハードディスク等の記憶装置は、記憶部9として機能する。
[program]
The program in the second embodiment may be a program that causes a computer to execute steps S51 to S53, S61 to S63 shown in FIG. 9, and S521 to S526 shown in FIG. By installing and executing this program on a computer, the verification apparatus and verification method according to the second embodiment can be realized. In this case, a CPU (Central Processing Unit) of the computer functions as the
ここで、実施の形態1及び2におけるプログラムを実行することによって、検証装置を実現するコンピュータについて図12を用いて説明する。図12は、本発明の実施の形態1及び2における検証装置を実現するコンピュータの一例を示すブロック図である。
Here, a computer that realizes the verification apparatus by executing the program according to the first and second embodiments will be described with reference to FIG. FIG. 12 is a block diagram illustrating an example of a computer that implements the verification apparatus according to
図12に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。なお、図12におけるコンピュータ110は、図1及び図2に示したコンピュータ1に相当する。
As shown in FIG. 12, the
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
The CPU 111 performs various calculations by developing the program (code) in the present embodiment stored in the
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
Specific examples of the
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
The data reader /
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
Specific examples of the
上述した実施の形態の一部又は全部は、以下に記載する(付記1)〜(付記15)によって表現することができるが、以下の記載に限定されるものではない。 Part or all of the above-described embodiment can be expressed by (Appendix 1) to (Appendix 15) described below, but is not limited to the following description.
(付記1)
コンピュータ上で実行される実行ファイルを検証するための装置であって、
指定された実行ファイルを予め実行して、指定された前記実行ファイルについての経路を収集し、収集した経路を、正当な経路が定義された経路リストに記録する、経路収集部と、
指定された実行ファイルについて、その経路が、前記経路リストに記録された正当な経路であるかどうかを判定し、正当な経路であると判定する場合に、指定された前記実行ファイルの実行を許可する、経路検証部と、
を備えていることを特徴とする検証装置。
(Appendix 1)
An apparatus for verifying an executable file executed on a computer,
A route collection unit that executes the designated execution file in advance, collects the route for the designated execution file, and records the collected route in a route list in which a valid route is defined;
For the specified executable file, it is determined whether the path is a valid path recorded in the path list, and when it is determined that the path is a valid path, the execution of the specified executable file is permitted. A route verification unit;
The verification apparatus characterized by comprising.
(付記2)
前記経路収集部が、経路として、指定された前記実行ファイルのプロセスについての生成に至るまでの生成経路を収集し、収集した前記生成経路を、経路リストに記録し、
前記経路検証部が、指定された前記実行ファイルのプロセスについての生成に至るまでの生成経路が、経路リストに記録された正当な生成経路であるかどうかを判定する、
付記1に記載の検証装置。
(Appendix 2)
The route collection unit collects a generation route up to generation of a process of the designated execution file as a route, records the collected generation route in a route list,
The path verification unit determines whether the generation path until generation of the specified process of the executable file is a valid generation path recorded in a path list;
The verification apparatus according to
(付記3)
前記経路収集部が、前記生成経路の収集の際に、指定された前記実行ファイルのプロセスからその上位のプロセスまでの各プロセスについて、実行ファイルの名称とそのハッシュ値とを取得し、そして、取得した実行ファイルの名称とハッシュ値とを、正当な経路の定義として、経路リストに記録し、
前記経路検証部が、指定された前記実行ファイルのプロセスからその上位のプロセスまでの、実行ファイルの名称とそのハッシュ値とが、前記経路リストに記録されているかどうかを判定し、記録されている場合に正当な生成経路であると判定する、
付記2に記載の検証装置。
(Appendix 3)
The path collection unit acquires the name of the executable file and its hash value for each process from the specified process of the executable file to the upper process when collecting the generation path, and acquires Record the name and hash value of the executable file as a valid route definition in the route list,
The path verification unit determines whether or not the name of the executable file and its hash value from the specified process of the executable file to the upper process are recorded in the path list and recorded. The case is determined to be a valid generation path,
The verification device according to
(付記4)
前記コンピュータが、
生成経路の収集の対象として指定されたプロセスを記録する収集対象リストに基づいて、前記経路収集部に対して前記実行ファイルを指定し、
前記経路リストに記録されている実行ファイルを実行する場合に、前記経路検証部に対して、実行の対象となっている前記実行ファイルを指定する、
付記2または3に記載の検証装置。
(Appendix 4)
The computer is
Based on the collection target list that records the process specified as the collection target of the generation route, the execution file is specified for the route collection unit,
When executing an executable file recorded in the path list, the executable file to be executed is designated for the path verification unit.
The verification apparatus according to
(付記5)
前記経路収集部が、収集した生成経路に対して正規化処理を行って、親プロセスと子プロセスとの関係のみを含む複数の生成経路を生成し、生成した生成経路を前記経路リストに記録する、
付記2〜4のいずれかに記載の検証装置。
(Appendix 5)
The path collection unit performs normalization processing on the collected generation paths, generates a plurality of generation paths including only a relationship between a parent process and a child process, and records the generated generation paths in the path list. ,
The verification device according to any one of
(付記6)
コンピュータ上で実行される実行ファイルを検証するための方法であって、
(a)指定された実行ファイルを予め実行して、指定された前記実行ファイルについての経路を収集し、収集した経路を、正当な経路が定義された経路リストに記録する、ステップと、
(b)指定された実行ファイルについて、その経路が、前記経路リストに記録された正当な経路であるかどうかを判定し、正当な経路であると判定する場合に、指定された前記実行ファイルの実行を許可する、ステップと、
を有することを特徴とする検証方法。
(Appendix 6)
A method for verifying an executable file executed on a computer,
(A) executing a designated execution file in advance, collecting a route for the designated execution file, and recording the collected route in a route list in which a valid route is defined;
(B) For the specified executable file, it is determined whether the path is a valid path recorded in the path list, and when it is determined that the path is a valid path, Allow execution, steps, and
A verification method characterized by comprising:
(付記7)
前記(a)のステップで、経路として、指定された前記実行ファイルのプロセスについての生成に至るまでの生成経路を収集し、収集した前記生成経路を、経路リストに記録し、
前記(b)のステップで、指定された前記実行ファイルのプロセスについての生成に至るまでの生成経路が、経路リストに記録された正当な生成経路であるかどうかを判定する、
付記6に記載の検証方法。
(Appendix 7)
In the step (a), as a path, a generation path until generation of a process of the designated execution file is collected, and the collected generation path is recorded in a path list;
In the step (b), it is determined whether or not the generation path to the generation of the specified process of the executable file is a valid generation path recorded in the path list.
The verification method according to
(付記8)
前記(a)のステップで、前記生成経路の収集の際に、指定された前記実行ファイルのプロセスからその上位のプロセスまでの各プロセスについて、実行ファイルの名称とそのハッシュ値とを取得し、そして、取得した実行ファイルの名称とハッシュ値とを、正当な経路の定義として、経路リストに記録し、
前記(b)のステップで、指定された前記実行ファイルのプロセスからその上位のプロセスまでの、実行ファイルの名称とそのハッシュ値とが、前記経路リストに記録されているかどうかを判定し、記録されている場合に正当な生成経路であると判定する、
付記7に記載の検証方法。
(Appendix 8)
In the step (a), when collecting the generation path, the name of the executable file and its hash value are acquired for each process from the designated process of the executable file to the upper process, and , Record the obtained executable file name and hash value in the route list as a valid route definition,
In the step (b), it is determined whether or not the name of the executable file and its hash value from the specified process of the executable file to the upper process are recorded in the path list. If it is determined that it is a valid generation path,
The verification method according to attachment 7.
(付記9)
前記コンピュータが、
生成経路の収集の対象として指定されたプロセスを記録する収集対象リストに基づいて、前記(a)のステップにおいて前記実行ファイルを指定し、
前記経路リストに記録されている実行ファイルを実行する場合に、前記(b)のステップにおいて、実行の対象となっている前記実行ファイルを指定する、
付記7または8に記載の検証方法。
(Appendix 9)
The computer is
Based on the collection target list that records the processes specified as the collection target of the generation path, the execution file is specified in the step (a),
When executing an executable file recorded in the path list, in the step (b), specifying the executable file to be executed;
The verification method according to appendix 7 or 8.
(付記10)
前記(a)のステップにおいて、収集した生成経路に対して正規化処理を行って、親プロセスと子プロセスとの関係のみを含む複数の生成経路を生成し、生成した生成経路を前記経路リストに記録する、
付記7〜9のいずれかに記載の検証方法。
(Appendix 10)
In the step (a), normalization processing is performed on the collected generation paths to generate a plurality of generation paths including only the relationship between the parent process and the child process, and the generated generation paths are added to the path list. Record,
The verification method according to any one of appendices 7 to 9.
(付記11)
コンピュータ上で実行される実行ファイルを前記コンピュータによって検証するためのプログラムであって、
前記コンピュータに、
(a)指定された実行ファイルを予め実行して、指定された前記実行ファイルについての経路を収集し、収集した経路を、正当な経路が定義された経路リストに記録する、ステップと、
(b)指定された実行ファイルについて、その経路が、前記経路リストに記録された正当な経路であるかどうかを判定し、正当な経路であると判定する場合に、指定された前記実行ファイルの実行を許可する、ステップと、
を実行させるプログラム。
(Appendix 11)
A program for verifying an executable file executed on a computer by the computer,
In the computer,
(A) executing a designated execution file in advance, collecting a route for the designated execution file, and recording the collected route in a route list in which a valid route is defined;
(B) For the specified executable file, it is determined whether the path is a valid path recorded in the path list, and when it is determined that the path is a valid path, Allow execution, steps, and
A program that executes
(付記12)
前記(a)のステップで、経路として、指定された前記実行ファイルのプロセスについての生成に至るまでの生成経路を収集し、収集した前記生成経路を、経路リストに記録し、
前記(b)のステップで、指定された前記実行ファイルのプロセスについての生成に至るまでの生成経路が、経路リストに記録された正当な生成経路であるかどうかを判定する、
付記11に記載のプログラム。
(Appendix 12)
In the step (a), as a path, a generation path until generation of a process of the designated execution file is collected, and the collected generation path is recorded in a path list;
In the step (b), it is determined whether or not the generation path to the generation of the specified process of the executable file is a valid generation path recorded in the path list.
The program according to
(付記13)
前記(a)のステップで、前記生成経路の収集の際に、指定された前記実行ファイルのプロセスからその上位のプロセスまでの各プロセスについて、実行ファイルの名称とそのハッシュ値とを取得し、そして、取得した実行ファイルの名称とハッシュ値とを、正当な経路の定義として、経路リストに記録し、
前記(b)のステップで、指定された前記実行ファイルのプロセスからその上位のプロセスまでの、実行ファイルの名称とそのハッシュ値とが、前記経路リストに記録されているかどうかを判定し、記録されている場合に正当な生成経路であると判定する、
付記12に記載のプログラム。
(Appendix 13)
In the step (a), when collecting the generation path, the name of the executable file and its hash value are acquired for each process from the designated process of the executable file to the upper process, and , Record the obtained executable file name and hash value in the route list as a valid route definition,
In the step (b), it is determined whether or not the name of the executable file and its hash value from the specified process of the executable file to the upper process are recorded in the path list. If it is determined that it is a valid generation path,
The program according to attachment 12.
(付記14)
前記コンピュータが、
生成経路の収集の対象として指定されたプロセスを記録する収集対象リストに基づいて、前記(a)のステップにおいて前記実行ファイルを指定し、
前記経路リストに記録されている実行ファイルを実行する場合に、前記(b)のステップにおいて、実行の対象となっている前記実行ファイルを指定する、
付記12または13に記載のプログラム。
(Appendix 14)
The computer is
Based on the collection target list that records the processes specified as the collection target of the generation path, the execution file is specified in the step (a),
When executing an executable file recorded in the path list, in the step (b), specifying the executable file to be executed;
The program according to appendix 12 or 13.
(付記15)
前記(a)のステップにおいて、収集した生成経路に対して正規化処理を行って、親プロセスと子プロセスとの関係のみを含む複数の生成経路を生成し、生成した生成経路を前記経路リストに記録する、
付記12〜14のいずれかに記載のプログラム。
(Appendix 15)
In the step (a), normalization processing is performed on the collected generation paths to generate a plurality of generation paths including only the relationship between the parent process and the child process, and the generated generation paths are added to the path list. Record,
The program according to any one of appendices 12 to 14.
以上のように本発明によれば、安全な実行環境を容易に実現でき、且つ、アクセス条件の収集を効率良く実行することができる。本発明は、コンピュータシステムにおいて、不正なアクセスを防止するための検証システムに有効である。 As described above, according to the present invention, a safe execution environment can be easily realized, and the collection of access conditions can be executed efficiently. The present invention is effective for a verification system for preventing unauthorized access in a computer system.
1 コンピュータ
2 プロセス生成部
3 収集対象定義部
4 収集対象リスト
5 経路収集部
6 経路検証部
7 経路リスト
8 実行ファイル
9 記憶部
10 検証装置
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
DESCRIPTION OF
112
Claims (7)
指定された実行ファイルを予め実行して、指定された前記実行ファイルについての経路を収集し、収集した経路を、正当な経路が定義された経路リストに記録する、経路収集部と、
指定された実行ファイルについて、その経路が、前記経路リストに記録された正当な経路であるかどうかを判定し、正当な経路であると判定する場合に、指定された前記実行ファイルの実行を許可する、経路検証部と、
を備えていることを特徴とする検証装置。 An apparatus for verifying an executable file executed on a computer,
A route collection unit that executes the designated execution file in advance, collects the route for the designated execution file, and records the collected route in a route list in which a valid route is defined;
For the specified executable file, it is determined whether the path is a valid path recorded in the path list, and when it is determined that the path is a valid path, the execution of the specified executable file is permitted. A route verification unit;
The verification apparatus characterized by comprising.
前記経路検証部が、指定された前記実行ファイルのプロセスについての生成に至るまでの生成経路が、経路リストに記録された正当な生成経路であるかどうかを判定する、
請求項1に記載の検証装置。 The route collection unit collects a generation route up to generation of a process of the designated execution file as a route, records the collected generation route in a route list,
The path verification unit determines whether the generation path until generation of the specified process of the executable file is a valid generation path recorded in a path list;
The verification device according to claim 1.
前記経路検証部が、指定された前記実行ファイルのプロセスからその上位のプロセスまでの、実行ファイルの名称とそのハッシュ値とが、前記経路リストに記録されているかどうかを判定し、記録されている場合に正当な生成経路であると判定する、
請求項2に記載の検証装置。 The path collection unit acquires the name of the executable file and its hash value for each process from the specified process of the executable file to the upper process when collecting the generation path, and acquires Record the name and hash value of the executable file as a valid route definition in the route list,
The path verification unit determines whether or not the name of the executable file and its hash value from the specified process of the executable file to the upper process are recorded in the path list and recorded. The case is determined to be a valid generation path,
The verification device according to claim 2.
生成経路の収集の対象として指定されたプロセスを記録する収集対象リストに基づいて、前記経路収集部に対して前記実行ファイルを指定し、
前記経路リストに記録されている実行ファイルを実行する場合に、前記経路検証部に対して、実行の対象となっている前記実行ファイルを指定する、
請求項2または3に記載の検証装置。 The computer is
Based on the collection target list that records the process specified as the collection target of the generation route, the execution file is specified for the route collection unit,
When executing an executable file recorded in the path list, the executable file to be executed is designated for the path verification unit.
The verification device according to claim 2 or 3.
請求項2〜4のいずれかに記載の検証装置。 The path collection unit performs normalization processing on the collected generation paths, generates a plurality of generation paths including only a relationship between a parent process and a child process, and records the generated generation paths in the path list. ,
The verification apparatus in any one of Claims 2-4.
(a)指定された実行ファイルを予め実行して、指定された前記実行ファイルについての経路を収集し、収集した経路を、正当な経路が定義された経路リストに記録する、ステップと、
(b)指定された実行ファイルについて、その経路が、前記経路リストに記録された正当な経路であるかどうかを判定し、正当な経路であると判定する場合に、指定された前記実行ファイルの実行を許可する、ステップと、
を有することを特徴とする検証方法。 A method for verifying an executable file executed on a computer,
(A) executing a designated execution file in advance, collecting a route for the designated execution file, and recording the collected route in a route list in which a valid route is defined;
(B) For the specified executable file, it is determined whether the path is a valid path recorded in the path list, and when it is determined that the path is a valid path, Allow execution, steps, and
A verification method characterized by comprising:
前記コンピュータに、
(a)指定された実行ファイルを予め実行して、指定された前記実行ファイルについての経路を収集し、収集した経路を、正当な経路が定義された経路リストに記録する、ステップと、
(b)指定された実行ファイルについて、その経路が、前記経路リストに記録された正当な経路であるかどうかを判定し、正当な経路であると判定する場合に、指定された前記実行ファイルの実行を許可する、ステップと、
を実行させるプログラム。 A program for verifying an executable file executed on a computer by the computer,
In the computer,
(A) executing a designated execution file in advance, collecting a route for the designated execution file, and recording the collected route in a route list in which a valid route is defined;
(B) For the specified executable file, it is determined whether the path is a valid path recorded in the path list, and when it is determined that the path is a valid path, Allow execution, steps, and
A program that executes
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013035266A JP6123350B2 (en) | 2013-02-26 | 2013-02-26 | Verification device, verification method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013035266A JP6123350B2 (en) | 2013-02-26 | 2013-02-26 | Verification device, verification method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014164536A true JP2014164536A (en) | 2014-09-08 |
| JP6123350B2 JP6123350B2 (en) | 2017-05-10 |
Family
ID=51615080
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013035266A Active JP6123350B2 (en) | 2013-02-26 | 2013-02-26 | Verification device, verification method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6123350B2 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101565590B1 (en) * | 2015-01-07 | 2015-11-04 | (주) 바이러스체이서 | A system for expanding the security kernel with system for privilege flow prevention based on white list |
| JP2018200641A (en) * | 2017-05-29 | 2018-12-20 | 富士通株式会社 | Abnormality detection program, abnormality detection method, and information processing apparatus |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003022196A (en) * | 2001-07-06 | 2003-01-24 | Nec Corp | Method for automatically executing test program in portable terminal |
| JP2006127205A (en) * | 2004-10-29 | 2006-05-18 | Hitachi Ltd | Computer and its access control method |
| JP2008005156A (en) * | 2006-06-21 | 2008-01-10 | Matsushita Electric Ind Co Ltd | Information processing terminal and state reporting method |
| JP2011070297A (en) * | 2009-09-24 | 2011-04-07 | Nec Personal Products Co Ltd | Information processing apparatus, file access control method, program, and recording medium |
| JP2011526387A (en) * | 2008-06-27 | 2011-10-06 | マイクロソフト コーポレーション | Granting least privilege access for computing processes |
-
2013
- 2013-02-26 JP JP2013035266A patent/JP6123350B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003022196A (en) * | 2001-07-06 | 2003-01-24 | Nec Corp | Method for automatically executing test program in portable terminal |
| JP2006127205A (en) * | 2004-10-29 | 2006-05-18 | Hitachi Ltd | Computer and its access control method |
| JP2008005156A (en) * | 2006-06-21 | 2008-01-10 | Matsushita Electric Ind Co Ltd | Information processing terminal and state reporting method |
| JP2011526387A (en) * | 2008-06-27 | 2011-10-06 | マイクロソフト コーポレーション | Granting least privilege access for computing processes |
| JP2011070297A (en) * | 2009-09-24 | 2011-04-07 | Nec Personal Products Co Ltd | Information processing apparatus, file access control method, program, and recording medium |
Non-Patent Citations (1)
| Title |
|---|
| 原田 季栄 他: "アプリケーションの実行状況に基づく強制アクセス制御方式", 情報処理学会論文誌 論文誌ジャーナル[CD−ROM], vol. 53, no. 9, JPN6016047819, 15 September 2012 (2012-09-15), JP, pages 2130 - 2147, ISSN: 0003458268 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101565590B1 (en) * | 2015-01-07 | 2015-11-04 | (주) 바이러스체이서 | A system for expanding the security kernel with system for privilege flow prevention based on white list |
| JP2018200641A (en) * | 2017-05-29 | 2018-12-20 | 富士通株式会社 | Abnormality detection program, abnormality detection method, and information processing apparatus |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6123350B2 (en) | 2017-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2486588C1 (en) | System and method for efficient treatment of computer from malware and effects of its work | |
| JP5396051B2 (en) | Method and system for creating and updating a database of authorized files and trusted domains | |
| Costin et al. | A {Large-scale} analysis of the security of embedded firmwares | |
| US7788730B2 (en) | Secure bytecode instrumentation facility | |
| JP5972401B2 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
| RU2454705C1 (en) | System and method of protecting computing device from malicious objects using complex infection schemes | |
| JP6088714B2 (en) | Specific apparatus, specific method, and specific program | |
| US20170004309A1 (en) | System and method for detecting malicious code in address space of a process | |
| JP5745061B2 (en) | Authenticating the use of interactive components during the boot process | |
| US20150193618A1 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
| JP5572573B2 (en) | Mobile terminal, program, and communication system | |
| CN105760787B (en) | System and method for the malicious code in detection of random access memory | |
| EP3270317B1 (en) | Dynamic security module server device and operating method thereof | |
| JP2010182019A (en) | Abnormality detector and program | |
| CN111183620B (en) | Intrusion investigation | |
| KR20190080591A (en) | Behavior based real- time access control system and control method | |
| JP5888386B2 (en) | Virus processing method and apparatus | |
| JP6123350B2 (en) | Verification device, verification method, and program | |
| JP2019046266A (en) | Information processor, information processing method, and program | |
| KR101311702B1 (en) | Terminal device and malignant code treating method of the terminal device, vaccine server and malignant code treating method of the vaccine server | |
| RU101232U1 (en) | SYSTEM FOR AUTOMATIC CREATION OF MEANS FOR COUNTERING A SPECIFIC TYPE OF MALICIOUS APPLICATIONS | |
| US10659483B1 (en) | Automated agent for data copies verification | |
| CH716699A2 (en) | Systems and methods to counter the removal of digital forensic information by malicious software. | |
| KR102175651B1 (en) | Method for detecting hacking tool, and user terminal and server for performing the same | |
| JP2019008568A (en) | Whitelist management system and whitelist management method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20150123 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160113 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170210 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170307 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170320 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6123350 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |