JP5933797B1 - ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム - Google Patents
ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム Download PDFInfo
- Publication number
- JP5933797B1 JP5933797B1 JP2015199588A JP2015199588A JP5933797B1 JP 5933797 B1 JP5933797 B1 JP 5933797B1 JP 2015199588 A JP2015199588 A JP 2015199588A JP 2015199588 A JP2015199588 A JP 2015199588A JP 5933797 B1 JP5933797 B1 JP 5933797B1
- Authority
- JP
- Japan
- Prior art keywords
- information
- log
- event
- log information
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
図1は、マルウェア特定システム1全体の概略構成を示す図である。
クライアント端末10は、システムが稼動するために割り当てられたメモリ空間であるシステム領域と、各々のユーザがアプリケーションプログラムの稼動に利用できるメモリ空間である1つ以上のユーザ領域と、に分けられる。1つのクライアント端末10には、システム領域は1つだけあるが、ユーザ領域はログオンしているユーザの数だけある。
ログ情報抽出装置30は、全てのクライアント端末10からスプール装置20を介してログ情報を収集する。オペレータは、マルウェア感染等のセキュリティインシデントの発生の疑いを警告するサイバー攻撃アラートの発生を確認すると、図示しないオペレータ端末を介して、サイバー攻撃アラートの情報(発生日時、端末情報等)をログ情報抽出装置30へ出力する。ログ情報抽出装置30は、サイバー攻撃アラートの情報が入力されると、マルウェアの特定に必要なログ情報を抽出する。
プロセス動作ログは、1つ以上のプロセス動作ログレコードから構成されている。プロセス動作ログレコードは、当該プロセス動作ログレコード生成の元となったプロセス動作が発生した順番を示す「シーケンス番号」と、当該プロセス動作が発生した日時を示す「発生日時」と、当該プロセスが動作した実行環境を示す「端末情報」と、当該プロセスを特定するための「プロセス情報」と、当該プロセスがその動作として何を実行したのかを示す「イベント情報」と、で構成されている。
例えば、あるプロセスにおけるプロセス動作ログの生成順の厳密な保証が求められる場合、プロセス監視部11が、当該プロセスにおけるプロセス動作順を示した仮のシーケンス番号を発生日時と共に生成することが可能である。この場合、ログ情報生成部14が、複数のプロセス監視部11からプロセス監視制御部13を通じて当該発生日時及び仮のシーケンス番号を受信して、当該発生日時を手掛かりに当該仮のシーケンス番号をソートして、クライアント端末10全体としてのログ情報に対するシーケンス番号を改めて生成する。
あるプロセスが開始されると、図4(A)に示すように、シーケンス番号1、発生日時1、端末情報1、当該プロセスを大域的(時間的及び空間的)一意に識別するprsGID、当該プロセスに関するプロセス属性情報、プロセス開始を表すイベント種であるprsStartで構成されたプロセス動作ログレコードが生成される。ここでは、プロセス開始に関するイベント属性情報に相当する全ての情報はまとめてプロセス属性情報に記述されることから、イベント属性情報は省略されている。
「MM/DD/YYYY hh:mm:ss.sss ±hhmm」
そして、当該書式の各パラメータは次の通りである。
MM:月
DD:日
YYYY:西暦
hh:時
mm:分
ss.sss:秒(msecオーダー)
hhmm:協定世界時との時差(hhは時間、mmは分)
「07/15/2015 20:52:18.033 +0900」
prsGIDは、例えば、「F6C32025−DC83−4126−A1B7−7D6E6FCBB10C」等と記述される。
name:プロセス実行ファイルの名称(フルパス)
hash:プロセス実行ファイルのハッシュ値
parentGID:本プロセスを起動した親プロセスのprsGID
pid:システムが本プロセスに付与したシステム(実行環境)内一意な識別子
parentPid:本プロセスを起動した親プロセスのpid
productName:プロセスが所属するソフトウェア製品の製品名
1.プロセス関連のイベント種
なお、prsStartは、イベント属性情報を持たない。
(2)prsStop(プロセスの終了)
なお、prsStopは、イベント属性情報を持たない。
(3)その他
プロセス関連のその他のイベント種としては、例えば毎00:00時に、prsGIDで識別されたプロセスが実行中であることを示すprsRun、等がある。
tcpOpenのイベント属性情報は、例えば次の通りである。
dstIP:接続先IPアドレス
tcpGID:任意の時刻、実行環境で開始したネットワーク接続に対して一意に割り当てられる識別子
tcpOpenのイベント属性情報には、他に、接続先ホスト名、ポート番号、等がある。
tcpCloseのイベント属性情報は、例えば次の通りである。
tcpGID:対応するtcpOpenにて付与されたtcpGID
tcpCloseのイベント属性情報には、他に、接続開始日時等がある。
ネットワーク関連のその他のイベント種としては、例えば毎00:00時に、prsGID及びtcpGIDの少なくとも一方で識別されたプロセスのTCPネットワーク接続が継続していることを示すtcpRun、当該プロセスがTCPネットワーク接続の受付待ち状態になったことを示すtcpListen、TCPネットワーク接続においてデータ送信が実施されたことを示すtcpSend、同データ受信が実施されたことを示すtcpReceive、等がある。さらに、UDP(User Datagram Protocol)関連での同様のイベント種等もある。
fileCreateのイベント属性情報は、例えば次の通りである。
file:生成ファイル名
pid:依頼元プロセスのpid
fileCreateのイベント属性情報には、他に、生成先のデバイス名、同ドライブ名等がある。
fileOpenのイベント属性情報は、例えば次の通りである。
file:対象ファイル名
pid:依頼元プロセスのpid
fileOpenのイベント属性情報には、他に、対象ファイルが存在するデバイス名、同ドライブ名等がある。
fileCloseのイベント属性情報は、例えば次の通りである。
file:対象ファイル名
hash:対象ファイルを閉じた時の当該対象ファイルのハッシュ値
rByte:読み込み総バイト数
wByte:書き出し総バイト数
pid:依頼元プロセスのpid
fileCloseのイベント属性情報には、他に、対象ファイルのファイルサイズ、同ファイルの生成日時等がある。
fileDeleteのイベント属性情報は、例えば次の通りである。
file:対象ファイル名
pid:依頼元プロセスのpid
fileDeleteのイベント属性情報には、他に、対象ファイルが存在していたデバイス名、同ドライブ名等がある。
ファイル操作関連のその他のイベント種としては、例えばprsGIDで識別されたプロセスによる既存ファイルのファイル名変更を示すfileRename、当該プロセスによる既存ファイルのコピー動作を示すfileCopy等がある。さらに、フォルダ関連での同様のイベント種等もある。
regValSetのイベント属性情報は、例えば次の通りである。
key:エントリ設定対象サブキー名
entry:設定されるエントリ名
レジストリ操作関連のその他のイベント種としては、例えばprsGIDで識別されたプロセスによる所定のエントリ削除を示すregValReset、当該プロセスによるサブキーの新規生成を示すregKeyCreate、当該プロセスによる所定サブキーの削除を示すregKeyDelete等がある。
logonのイベント属性情報は、例えば次の通りである。
user:ログオンユーザ名
usrGID:任意の時刻、実行環境で開始したユーザセッションに対して一意に割り当てられる識別子
logonのイベント属性情報には、他に、ログオンユーザドメイン名、システムが当該ユーザセッションに付与したシステム内一意なユーザセッションID等がある。
なお、logonログレコードは、OSからの通知を受けて生成されるもので、厳密にはプロセス動作ログレコードではない。
ユーザセッション関連のその他のイベント種としては、ユーザのログオフを検出したlogoff、ユーザセッションがロック状態に入ったことを検出したlock、ユーザセッションのロック状態が解除されたことを検出したunlock等がある。さらに、リモートログオン関連での同様のイベント種等もある。
その他のイベント種としては、ログ情報生成部動作関連、OSメンテナンス関連、接続デバイス(周辺機器)関連のイベント種等がある。
ステップS1では、クライアント端末10のOSが起動する。
ステップS2では、デバイスドライバへ図2に示すドライバ監視部12を読み込ませる。
ステップS5では、図2に示す全体制御部16が、システム領域におけるプロセス監視制御部13を起動する。
ステップS6では、ログ情報生成部14が起動する。
ステップS10では、ログオンが検出されたユーザのユーザ領域におけるプロセスの動作が監視され、プロセス動作ログが生成される。なお、ステップS10の詳細については後述する。そして、ステップS8へ戻る。
ステップS15では、全体制御部16は、システム領域におけるプロセス監視制御部13を停止させる。
ステップS16では、全体制御部16が停止する。
ステップS17では、ログ情報送信部15が停止する。
ステップS18では、OSが停止する。そして、本ルーチンが終了する。
ステップS24では、プロセス監視制御部13は、本プロセスが起動した日時を示す「発生日時」を取得する。
ステップS26では、プロセス監視制御部13は、本プロセスのプロセス実行ファイルのハッシュ値を生成する。
ステップS30では、プロセス監視制御部13は、発生日時、本プロセスのprsGID、イベント情報をログ情報生成部14へ送信する。そして、ステップS21へ戻る。
ステップS33では、プロセス監視制御部13は、発生日時、本プロセスのprsGID、prsStopなるイベント種を含むイベント情報をログ情報生成部14へ送信する。そして、ステップS21へ戻る。
すなわち、ログ情報生成部14は、プロセス監視制御部13からは、図7に示すステップS21〜S33までの処理を経た発生日時、プロセス情報及びイベント情報を受信する。また、ログ情報生成部14は、ドライバ監視部12から、発生日時及びイベント情報を受信する。
ステップS50では、ログ情報生成部14は、これから生成するプロセス動作ログレコードのシリアル番号を生成して、ステップS51へ進む。
ドロッパーとは、マルウェアの中でも、特に別のマルウェア、例えばRAT型のマルウェアを作成・実行してユーザのシステムに感染させる機能をもつプログラムをいう。また、RAT(Remote Access Trojan)とは、サイバー攻撃において、外部からネットワーク経由でコンピュータに接続し任意の操作を行うことができるプログラムをいう。
図9に示すプロセス動作ログの内容は次の通りである。
時刻t11:ReadMe.txt.exeは、C&C(Command&Control)サーバ(サイバー攻撃において、クライアント端末に侵入させたマルウェアに対して、外部から情報を提供したり命令を出したりする役割を担うサーバコンピュータ)から、カムフラージュのためのReadMe.txtのダウンロードを開始する。
時刻t14:ReadMe.txt.exeが、当該ReadMe.txtのダウンロードを終了する。
時刻t41:NOTEPAD.EXEが、当該ReadMe.txtを開く。これよりUser1は、NOTEPAD.EXEによって当該ReadMe.txtを閲覧する。
時刻t15:ReadMe.txt.exeは、C&Cサーバから、マルウェア(RAT)の一種であるtrHorse.exeのダウンロードを開始する。
時刻t18:ReadMe.txt.exeが、当該trHorse.exeのダウンロードを終了する。
時刻t20:ReadMe.txt.exeは、User1が再度のログオンの際にtrHorse.exeが自動的に起動するよう、User1のStartupフォルダに、当該trHorse.exeのリンクファイルの生成を開始する。
時刻t21:ReadMe.txt.exeは、当該リンクファイルの生成を終了する。
時刻t23:ReadMe.txt.exeが終了する。
時刻t42:User1は、ReadMe.txtの閲覧後、これを閉じる。
時刻t43:User1が、NOTEPAD.EXEを終了する。
時刻t70:ユーザセッションの実行環境構築の一環としてタスクマネージャであるExplorer.EXE(「エクスプローラ」)が起動する。
時刻t80:Explorer.EXEが、ユーザセッション開始時の自動起動プロセス(スタートアップ・プロセス)としてtrHorse.exeを起動する。
時刻t81:trHorse.exeは、前出とは異なるC&Cサーバとの制御ネットワーク接続を開始する。
時刻t82:trHorse.exeは、前出の二者とはさらに異なるC&Cサーバへ、Documentsフォルダに格納されていた機密情報ファイルである「決算情報.docx」のアップロードを開始する。
時刻t86:trHorse.exeは、前出と同じC&Cサーバへ、Documentsフォルダに格納されていた機密情報ファイルである「顧客リスト.xlsx」のアップロードを開始する。
時刻t89:trHorse.exeが、当該「顧客リスト.xlsx」のアップロードを終了する。
時刻t90:trHorse.exeが、制御ネットワーク接続を終了する。
時刻t91:trHorse.exeが終了する。
ステップS51では、ログ情報解析部34は、図示しないサイバー攻撃アラート信号受信部を介してサイバー攻撃アラート信号を受信したかを判定し、サイバー攻撃アラート信号を受信するまで待機する。そして、ログ情報解析部34は、サイバー攻撃アラート信号を受信したと判定すると、ステップS52へ進む。
ステップS54では、ログ情報解析部34は、変数gidVarと同じ値のprsGIDを含んだすべてのプロセス動作ログレコードを抽出する。例えば、変数gidVar←“gid4”の場合、prsGID=“gid4”である、シーケンス番号621から632のすべてのプロセス動作ログレコードが抽出される。
ステップS64では、ログ情報解析部34は、変数gidVarと同じ値のprsGIDを含んだすべてのプロセス動作ログレコードを抽出する。例えば、変数gidVar←“gid1”の場合、prsGID=“gid1”である、シーケンス番号101から116(但し、シーケンス番号106及び107を除く。)のすべてのプロセス動作ログレコードが抽出される。
ステップS83では、ログ情報解析部34は、ステップS81で抽出されたプロセス動作ログレコードのいずれかにおいてファイルを作成したものがあるかを判定する。
ここでは、ログ情報解析部34は、ステップS82で抽出されたイベント種の中に、レジストリの操作を示す“regValSet”がある場合にレジストリを操作したと判定して、ステップS87へ進む。また、ログ情報解析部34は、上記のイベント種の中に、“regValSet”がない場合にレジストリを操作していないと判定して、ステップS89へ進む。
ここでは、ログ情報解析部34は、ステップS82で抽出されたイベント種の中に、TCPネットワーク接続の開始を示す“tcpOpen”がある場合に外部とのネットワーク通信があったと判定して、ステップS90へ進む。また、ログ情報解析部34は、上記のイベント種の中に、“tcpOpen”がない場合に外部とのネットワーク通信がなかったと判定して、ステップS93へ進む。
10 クライアント端末
11 プロセス監視部
12 ドライバ監視部
13 プロセス監視制御部
14 ログ情報生成部
15 ログ情報送信部
16 全体制御部
20 スプール装置
30 ログ情報抽出装置
Claims (12)
- 複数のコンピュータを有するシステムの空間で、アプリケーションプログラムの実行主体であるプロセスの一連のイベントで構成されるプロセス動作の開始時に、前記プロセスを時間的及び空間的に一意に識別する第1の識別情報を生成し、当該第1の識別情報を含んだプロセス情報を生成するプロセス情報生成部と、
前記イベント毎に、当該イベントの種別を示すイベント種別情報を生成し、当該イベント種別情報を含んだイベント情報を生成するイベント情報生成部と、
前記イベント毎に、前記プロセス情報生成部により生成された前記プロセス情報と、前記イベント情報生成部により生成された前記イベント情報と、を有するログ情報を生成するログ情報生成部と、
を備えたログ情報生成装置。 - 前記プロセス情報生成部は、前記プロセス動作の開始時に、前記プロセスの属性を示すプロセス属性情報を更に生成し、前記第1の識別情報と当該プロセス属性情報とを含んだ前記プロセス情報を生成し、
前記イベント情報生成部は、前記プロセス動作の開始時以降のイベント毎に、当該イベントの属性を示すイベント属性情報を更に生成し、前記イベント種別情報と当該イベント属性情報とを含んだ前記イベント情報を生成し、
前記ログ情報生成部は、前記プロセス動作の開始時のイベントについては、前記第1の識別情報と前記プロセス属性情報との両方を含んだ前記プロセス情報と、前記イベント情報と、を有するログ情報を生成し、前記プロセス動作の開始時以外のイベントについては、前記第1の識別情報のみを含んだ前記プロセス情報と、前記イベント情報と、を有するログ情報を生成する
請求項1に記載のログ情報生成装置。 - 前記ログ情報生成部は、前記プロセスの親のプロセスを時間的及び空間的に一意に識別する第2の識別情報を取得し、当該第2の識別情報を更に含んだ前記ログ情報を生成する
請求項1又は請求項2に記載のログ情報生成装置。 - 前記プロセスの前記第1の識別情報と、単一のコンピュータにおいて前記プロセスを一意に識別するための第3の識別情報と、の対応関係を記憶する記憶部と、
前記プロセスが所望の依頼先へ所定のイベントを依頼した際、当該所望の依頼先から前記プロセスの前記第3の識別情報のみが出力された場合に、前記記憶部に記憶された対応関係に基づいて、前記所望の依頼先から出力された前記第3の識別情報に対応する第1の識別情報を取得する取得部と、を更に備え、
前記ログ情報生成部は、当該取得部で取得された前記第1の識別情報を含むプロセス情報を用いて、前記ログ情報を生成する
請求項1又は請求項2に記載のログ情報生成装置。 - 前記ログ情報生成部は、前記イベント毎に、コンピュータの状態を示す実行環境情報を更に有する前記ログ情報を生成する
請求項1から請求項4のいずれか1項に記載のログ情報生成装置。 - 前記プロセス情報生成部は、1つ以上の異なるハッシュ値生成アルゴリズムに基づいて、前記第1の識別情報が示すプロセスのプロセス実行ファイルの1つ以上のハッシュ値を生成し、生成した1つ以上のハッシュ値を更に含んだ前記プロセス情報を生成する
請求項1から請求項5のいずれか1項に記載のログ情報生成装置。 - 前記プロセス情報生成部は、前記第1の識別情報が示すプロセスのプロセス実行ファイルの名称を更に含んだ前記プロセス情報を生成する
請求項1から請求項5のいずれか1項に記載のログ情報生成装置。 - 前記ログ情報生成部は、前記プロセスの開始から終了までのすべてのログ情報の全体又は一部のハッシュ値を生成する
請求項1から請求項7のいずれか1項に記載のログ情報生成装置。 - コンピュータを請求項1から請求項8のいずれか1項に記載のログ情報生成装置として機能させるためのプログラム。
- 複数のコンピュータを有するシステムの空間で、時間情報及び実行環境情報が入力される入力部と、
時間情報と、実行環境情報と、アプリケーションプログラムの実行主体であるプロセスの一連のイベントで構成されるプロセス動作の開始時に生成されたものであって前記プロセスを時間的及び空間的に一意に識別する第1の識別情報を含んだプロセス情報と、イベントの種別を示すイベント種別情報を含んだイベント情報と、を前記イベント毎に有するログ情報を記憶するログ情報記憶部と、
前記ログ情報記憶部に記憶された前記ログ情報から、前記入力部に入力された前記時間情報及び前記実行環境情報に対応するログ情報に含まれる第1の識別情報を特定し、特定した前記第1の識別情報を有する全部又は一部のログ情報を抽出するログ情報抽出部と、
を備えたログ情報抽出装置。 - 前記ログ情報記憶部に記憶された前記ログ情報は、前記プロセスの親のプロセスを時間的及び空間的に一意に識別する第2の識別情報を更に含み、
前記ログ情報抽出部は、特定した前記第1の識別情報を有する全部又は一部のログ情報を抽出し、抽出したログ情報の中から、前記親のプロセスの前記第2の識別情報を抽出し、抽出した前記第2の識別情報を有する全部又は一部のログ情報を更に抽出する
請求項10に記載のログ情報抽出装置。 - コンピュータを請求項10又は請求項11に記載のログ情報抽出装置として機能させるためのプログラム。
Priority Applications (11)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015199588A JP5933797B1 (ja) | 2015-10-07 | 2015-10-07 | ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム |
PL16853290T PL3223159T3 (pl) | 2015-10-07 | 2016-04-28 | Urządzenie do generowania informacji o rejestrze i nośnik zapisu, oraz urządzenie do pozyskiwania informacji o rejestrze i nośnik zapisu |
CN201680058728.7A CN108351827A (zh) | 2015-10-07 | 2016-04-28 | 日志信息生成设备与存储介质以及日志信息抽取设备与存储介质 |
DK16853290.1T DK3223159T3 (da) | 2015-10-07 | 2016-04-28 | Anordning til generering af logoplysninger og registreringsmedium og anordning til udtrækning af logoplysninger og registreringsmedium |
EP16853290.1A EP3223159B1 (en) | 2015-10-07 | 2016-04-28 | Log information generation device and recording medium, and log information extraction device and recording medium |
ES16853290T ES2870926T3 (es) | 2015-10-07 | 2016-04-28 | Dispositivo de generación de información de anotaciones y medio de registro, y dispositivo de extracción de información de anotaciones y medio de registro |
KR1020187012912A KR102095334B1 (ko) | 2015-10-07 | 2016-04-28 | 로그 정보 생성장치 및 기록매체와 로그 정보 추출장치 및 기록매체 |
CA3001282A CA3001282C (en) | 2015-10-07 | 2016-04-28 | Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium |
PCT/JP2016/063488 WO2017061134A1 (ja) | 2015-10-07 | 2016-04-28 | ログ情報生成装置及び記録媒体並びにログ情報抽出装置及び記録媒体 |
US15/224,382 US9875353B2 (en) | 2015-10-07 | 2016-07-29 | Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium |
US15/877,242 US10289837B2 (en) | 2015-10-07 | 2018-01-22 | Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015199588A JP5933797B1 (ja) | 2015-10-07 | 2015-10-07 | ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5933797B1 true JP5933797B1 (ja) | 2016-06-15 |
JP2017072993A JP2017072993A (ja) | 2017-04-13 |
Family
ID=56120513
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015199588A Expired - Fee Related JP5933797B1 (ja) | 2015-10-07 | 2015-10-07 | ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム |
Country Status (10)
Country | Link |
---|---|
US (2) | US9875353B2 (ja) |
EP (1) | EP3223159B1 (ja) |
JP (1) | JP5933797B1 (ja) |
KR (1) | KR102095334B1 (ja) |
CN (1) | CN108351827A (ja) |
CA (1) | CA3001282C (ja) |
DK (1) | DK3223159T3 (ja) |
ES (1) | ES2870926T3 (ja) |
PL (1) | PL3223159T3 (ja) |
WO (1) | WO2017061134A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019527429A (ja) * | 2016-07-19 | 2019-09-26 | 2236008 オンタリオ インコーポレイテッド | システム呼び出しのシーケンスを用いた異常検出 |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10360378B2 (en) * | 2014-08-22 | 2019-07-23 | Nec Corporation | Analysis device, analysis method and computer-readable recording medium |
JP5933797B1 (ja) | 2015-10-07 | 2016-06-15 | 株式会社ソリトンシステムズ | ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム |
WO2017127089A1 (en) * | 2016-01-21 | 2017-07-27 | Hewlett Packard Enterprise Development Lp | Software validation for untrusted computing systems |
KR101883713B1 (ko) * | 2016-09-22 | 2018-07-31 | 주식회사 위드네트웍스 | 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법 |
US11205102B1 (en) * | 2017-04-25 | 2021-12-21 | EMC IP Holding Company LLC | Tamper proof logging for automated processes |
CN108255631B (zh) * | 2017-12-28 | 2022-04-19 | 努比亚技术有限公司 | 移动终端重启定位方法、移动终端及计算机可读存储介质 |
US10747591B2 (en) * | 2018-03-21 | 2020-08-18 | Didi Research America, Llc | Endpoint process state collector |
CN109446167A (zh) * | 2018-10-10 | 2019-03-08 | 北京北信源软件股份有限公司 | 一种日志数据存储、提取方法及装置 |
JP7184156B2 (ja) * | 2019-02-26 | 2022-12-06 | 日本電気株式会社 | 情報処理装置、情報処理方法、及びプログラム |
RU2739864C1 (ru) * | 2019-07-17 | 2020-12-29 | Акционерное общество "Лаборатория Касперского" | Система и способ корреляции событий для выявления инцидента информационной безопасности |
CN110516156B (zh) * | 2019-08-29 | 2023-03-17 | 深信服科技股份有限公司 | 一种网络行为监控装置、方法、设备和存储介质 |
US11144418B2 (en) | 2019-09-23 | 2021-10-12 | International Business Machines Corporation | Mutation event detection for integrity monitoring |
CN110704375B (zh) * | 2019-09-26 | 2020-10-23 | 深圳前海大数金融服务有限公司 | 文件管理方法、装置、设备及计算机存储介质 |
US11977636B2 (en) * | 2021-09-14 | 2024-05-07 | Hitachi, Ltd. | Storage transaction log |
CN117118824B (zh) * | 2023-10-20 | 2024-02-27 | 成都卓拙科技有限公司 | 一种日志数据收集方法及设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030110416A1 (en) * | 2001-06-01 | 2003-06-12 | Microsoft Corporation | Methods and systems for creating and communicating with computer processes |
JP2003233521A (ja) * | 2002-02-13 | 2003-08-22 | Hitachi Ltd | ファイル保護システム |
JP2005527008A (ja) * | 2001-09-19 | 2005-09-08 | ヒューレット・パッカード・カンパニー | コンポーネントベースシステムのランタイム監視 |
JP2010146457A (ja) * | 2008-12-22 | 2010-07-01 | Kddi Corp | 情報処理システムおよびプログラム |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0985995B1 (en) * | 1998-09-09 | 2003-08-13 | International Business Machines Corporation | Method and apparatus for intrusion detection in computers and computer networks |
US20070156786A1 (en) * | 2005-12-22 | 2007-07-05 | International Business Machines Corporation | Method and apparatus for managing event logs for processes in a digital data processing system |
US8065728B2 (en) * | 2007-09-10 | 2011-11-22 | Wisconsin Alumni Research Foundation | Malware prevention system monitoring kernel events |
JP5452030B2 (ja) | 2009-02-06 | 2014-03-26 | 三菱電機株式会社 | 統合ログ生成装置及び統合ログ生成プログラム及び記録媒体 |
RU2454705C1 (ru) * | 2011-04-19 | 2012-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения |
US10185822B2 (en) * | 2012-03-14 | 2019-01-22 | Carbon Black, Inc. | Systems and methods for tracking and recording events in a network of computing systems |
JP5441043B2 (ja) | 2012-04-19 | 2014-03-12 | 株式会社Ffri | プログラム、情報処理装置、及び情報処理方法 |
US8850588B2 (en) * | 2012-05-01 | 2014-09-30 | Taasera, Inc. | Systems and methods for providing mobile security based on dynamic attestation |
EP2953298B1 (en) * | 2013-01-30 | 2018-03-21 | Nippon Telegraph and Telephone Corporation | Log analysis device, information processing method and program |
CN103268448B (zh) * | 2013-05-24 | 2016-04-20 | 北京网秦天下科技有限公司 | 动态检测移动应用的安全性的方法和*** |
US9210183B2 (en) * | 2013-12-19 | 2015-12-08 | Microsoft Technology Licensing, Llc | Detecting anomalous activity from accounts of an online service |
JP5933797B1 (ja) | 2015-10-07 | 2016-06-15 | 株式会社ソリトンシステムズ | ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム |
-
2015
- 2015-10-07 JP JP2015199588A patent/JP5933797B1/ja not_active Expired - Fee Related
-
2016
- 2016-04-28 PL PL16853290T patent/PL3223159T3/pl unknown
- 2016-04-28 DK DK16853290.1T patent/DK3223159T3/da active
- 2016-04-28 ES ES16853290T patent/ES2870926T3/es active Active
- 2016-04-28 CA CA3001282A patent/CA3001282C/en active Active
- 2016-04-28 KR KR1020187012912A patent/KR102095334B1/ko active IP Right Grant
- 2016-04-28 EP EP16853290.1A patent/EP3223159B1/en active Active
- 2016-04-28 WO PCT/JP2016/063488 patent/WO2017061134A1/ja active Application Filing
- 2016-04-28 CN CN201680058728.7A patent/CN108351827A/zh active Pending
- 2016-07-29 US US15/224,382 patent/US9875353B2/en active Active
-
2018
- 2018-01-22 US US15/877,242 patent/US10289837B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030110416A1 (en) * | 2001-06-01 | 2003-06-12 | Microsoft Corporation | Methods and systems for creating and communicating with computer processes |
JP2005527008A (ja) * | 2001-09-19 | 2005-09-08 | ヒューレット・パッカード・カンパニー | コンポーネントベースシステムのランタイム監視 |
JP2003233521A (ja) * | 2002-02-13 | 2003-08-22 | Hitachi Ltd | ファイル保護システム |
JP2010146457A (ja) * | 2008-12-22 | 2010-07-01 | Kddi Corp | 情報処理システムおよびプログラム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019527429A (ja) * | 2016-07-19 | 2019-09-26 | 2236008 オンタリオ インコーポレイテッド | システム呼び出しのシーケンスを用いた異常検出 |
Also Published As
Publication number | Publication date |
---|---|
US20170103200A1 (en) | 2017-04-13 |
CA3001282C (en) | 2020-06-30 |
KR102095334B1 (ko) | 2020-03-31 |
US10289837B2 (en) | 2019-05-14 |
US20180211032A1 (en) | 2018-07-26 |
EP3223159B1 (en) | 2021-03-03 |
US9875353B2 (en) | 2018-01-23 |
WO2017061134A1 (ja) | 2017-04-13 |
PL3223159T3 (pl) | 2021-08-02 |
DK3223159T3 (da) | 2021-05-25 |
KR20180066161A (ko) | 2018-06-18 |
JP2017072993A (ja) | 2017-04-13 |
ES2870926T3 (es) | 2021-10-28 |
CN108351827A (zh) | 2018-07-31 |
CA3001282A1 (en) | 2017-04-13 |
EP3223159A4 (en) | 2018-02-14 |
EP3223159A1 (en) | 2017-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5933797B1 (ja) | ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム | |
US11727333B2 (en) | Endpoint with remotely programmable data recorder | |
US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
US8984331B2 (en) | Systems and methods for automated memory and thread execution anomaly detection in a computer network | |
CN106687971B (zh) | 用来减少软件的攻击面的自动代码锁定 | |
US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
US11184375B2 (en) | Threat detection and security for edge devices | |
WO2020246227A1 (ja) | ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体 | |
US9037608B1 (en) | Monitoring application behavior by detecting file access category changes | |
US11763004B1 (en) | System and method for bootkit detection | |
Delgado | Developing an adaptive threat hunting solution: The elasticsearch stack | |
US11368377B2 (en) | Closed loop monitoring based privileged access control | |
EP3913486A1 (en) | Closed loop monitoring based privileged access control | |
JP2019008568A (ja) | ホワイトリスト管理システムおよびホワイトリスト管理方法 | |
CN116975860A (zh) | 清理方法、装置、设备、可读存储介质及程序产品 | |
CN117389678A (zh) | 一种有效拦截容器编排***应用部署的方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151102 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20151106 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20151113 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151217 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160329 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160329 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160426 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160502 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5933797 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |