JP3974879B2 - Unauthorized access information security device, unauthorized access information security method, and program - Google Patents
Unauthorized access information security device, unauthorized access information security method, and program Download PDFInfo
- Publication number
- JP3974879B2 JP3974879B2 JP2003190403A JP2003190403A JP3974879B2 JP 3974879 B2 JP3974879 B2 JP 3974879B2 JP 2003190403 A JP2003190403 A JP 2003190403A JP 2003190403 A JP2003190403 A JP 2003190403A JP 3974879 B2 JP3974879 B2 JP 3974879B2
- Authority
- JP
- Japan
- Prior art keywords
- operating system
- log
- unauthorized access
- virtual
- virtual operating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、コンピュータ装置への不正アクセスについての追跡調査を行うための情報(以下、「不正アクセス痕跡情報」という)を採取するための不正アクセス痕跡情報保全装置等に関する。
【0002】
【従来の技術】
近年、インターネットのビジネス利用の浸透により、多くの企業および組織がサーバコンピュータを公開し、不特定多数のユーザに向けて情報を発信し、また、電子商取引に代表されるようなサービスを提供するようになっている。しかし、サーバコンピュータの中には、セキュリティ対策が不十分なものも存在し、そのようなサーバコンピュータが悪意ある人間の標的となり、侵入されてしまったという事例も後を絶たない。
かかる権限なき者のサーバコンピュータへの侵入、即ち、不正アクセスを許してしまうと、重要なファイルを閲覧、削除、改竄されたり、バックドアやワームが仕掛けられ、そのコンピュータを踏み台に他のサーバコンピュータへの侵入が企てられたりする等、被害が拡大する可能性がある。従って、サーバコンピュータの管理者には、不正アクセスされた場合、その事後対応を早急に行うことが求められる。
【0003】
このようなコンピュータ装置への不正アクセスに対する事後対応のために、従来は、できるだけ多くの不正アクセス痕跡情報を採取するための工夫がなされていた(例えば、特許文献1参照。)。
【0004】
【特許文献1】
特開2002−328897号公報(第3−4頁、第3図)
【0005】
【発明が解決しようとする課題】
しかしながら、特許文献1を始めとした従来技術においては、不正アクセス痕跡情報を採取していることを侵入者から見えないようにする工夫がなされているわけではなかったので、侵入者がその採取処理自体に対して何らかの操作を行い、侵入の痕跡が分からないように採取結果を変えてしまうことも可能であった。例えば、一般に、侵入者は、侵入後に自己の侵入の痕跡であるログを消去しようとする。従来技術においては、かかるログの消去が簡単に行えてしまうので、侵入者の足取りが追えず、サービスにどのような修正が加えられたかが不明になる等、事後対応の混迷化が発生してしまうという問題点があった。
【0006】
本発明は、以上のような技術的課題を解決するためになされたものであって、その目的は、不正アクセス痕跡情報を侵入者に知られることなく確実に採取することにある。
他の目的は、侵入者にはログ出力プロセスの停止が成功したと思わせた上で、不正アクセスのログを確実に採取することにある。
更に他の目的は、侵入者から送られたデータや、侵入者が外部から持ち込んだデータ(以下、「外部データ」という)も、侵入者に知られることなく確実に採取することにある。
【0007】
【課題を解決するための手段】
かかる目的のもと、本発明は、サーバをゲストOS上に構築し、このゲストOSの基となるホストOSにおいて不正アクセス痕跡情報を採取するようにしている。即ち、本発明の不正アクセス痕跡情報保全装置は、ネットワークから論理的に接続できないように設定された実オペレーティングシステム上で、ネットワークから論理的に接続できるように設定された仮想オペレーティングシステムを動作させる手段と、仮想オペレーティングシステムに対する不正アクセスについての追跡調査を行うための不正アクセス痕跡情報を実オペレーティングシステムに受け渡す保全手段とを備えている。
【0008】
他の観点から捉えると、本発明の不正アクセス痕跡情報保全方法は、ネットワークから論理的に接続不可能な実オペレーティングシステム上で、ネットワークから論理的に接続可能な仮想オペレーティングシステムを動作させるステップと、仮想オペレーティングシステムに対する不正アクセスについての追跡調査を行うための不正アクセス痕跡情報を収集するステップと、収集された不正アクセス痕跡情報を実オペレーティングシステムに受け渡すステップとを含んでいる。
【0009】
一方、本発明は、コンピュータ装置に所定の機能を実現させるためのプログラムとして把握することもできる。即ち、本発明のプログラムは、ネットワークから論理的に接続不可能な実オペレーティングシステム上で、ネットワークから論理的に接続可能な仮想オペレーティングシステムが動作するコンピュータ装置に、仮想オペレーティングシステムに対する不正アクセスについての追跡調査を行うための不正アクセス痕跡情報を収集する機能と、収集された不正アクセス痕跡情報を実オペレーティングシステムに受け渡す機能とを実現させるためのものである。
【0010】
【発明の実施の形態】
以下、添付図面に示す実施の形態に基づいて本発明を詳細に説明する。
図1は、本実施の形態が適用されるコンピュータシステムの構成を示した図である。このコンピュータシステムは、本発明の不正アクセス痕跡情報保全装置10と、利用者端末21〜2nとが、コンピュータネットワーク30を介して接続することにより構成されている。
【0011】
不正アクセス痕跡情報保全装置10は、コンピュータネットワーク30を介して情報発信またはサービス提供を行うサーバコンピュータに対し、本発明の不正アクセス痕跡情報の保全機能を設けたものである。具体的なハードウェア構成は、通常のサーバコンピュータと同様であり、中央処理装置(CPU)、主記憶装置、外部記憶装置(例えば、磁気ディスク装置)、通信制御装置等を有している。
【0012】
利用者端末21〜2nは、不正アクセス痕跡情報保全装置10が発信する情報を受信し、または、不正アクセス痕跡情報保全装置10が提供するサービスを受ける端末である。例えば、パーソナルコンピュータ、PDA(Personal Digital Assistance)、携帯電話等の情報端末によって実現される。具体的なハードウェア構成は、通常の情報端末と同様であり、中央処理装置(CPU)、主記憶装置、外部記憶装置(例えば、磁気ディスク装置)、通信制御装置等を有している。
また、コンピュータネットワーク30としては、インターネットが例示される。
【0013】
次に、本実施の形態における不正アクセス痕跡情報保全装置10のソフトウェア構成について説明する。
本実施の形態では、図2に示すように、不正アクセス痕跡情報保全装置10において、実オペレーティングシステム(以下、「ホストOS」という)11上で、仮想オペレーティングシステム(以下、「ゲストOS」)12を動作させる。そして、このゲストOS12上に、不特定多数のユーザへの情報発信またはサービス提供を行うシステム(サーバ)を構築する。なお、このようなゲストOS12によるサーバの構築は、既存ソフトウェアにより可能である。
【0014】
また、本実施の形態では、ゲストOS12に対してのみネットワーク30から論理的にアクセスできるように設定され、ホストOS11へはネットワーク30から論理的にアクセスできないような設定がされている。なお、このような設定についても、既存ソフトウェアを用いることで可能である。
【0015】
更に、ゲストOS12上では、OSの中心となる部分であるカーネル13と、ログを出力するためのログ出力プロセス14とが動作する。もちろん、通常のオペレーティングシステムで動作する他のプロセスも動作可能であるが、本実施の形態には関係しないので省略してある。また、不正アクセス痕跡情報保全装置10には、ゲストOS12が管理するログ記録部15と、ホストOS11が管理するログ記録部16とが存在する。実際は、不正アクセス痕跡情報保全装置10が有する補助記憶装置が、ゲストOS12が管理する領域と、ホストOS11が管理する領域とに分けられ使用されることになるが、図2では、便宜上、各ログ記録部を対応するオペレーティングシステム内に図示している。
【0016】
カーネル13には、ログ出力プロセス14を停止したと見せかけてログ記録部16にログを出力する機能、侵入者がゲストOS12に対しキー入力したコマンド情報をホストOS11に受け渡す機能、および、侵入者が外部ネットワークからダウンロードしてゲストOS12に設置しようとした外部データをホストOS11に受け渡す機能を実現するためのモジュールが実装されている。なお、このようなモジュールが、プロセスとしてユーザ空間またはデバイスドライバ等のカーネル空間で動作していることは、一般のユーザには見えないように設定しておく。また、ゲストOS12からホストOS11へデータを渡すためのパイプラインも、一般のユーザからは見えないように設定しておく。
【0017】
ログ出力プロセス14は、通常は、ログ記録部15とログ記録部16の両方にログを出力するが、ログ記録部16のみにログを出力するようカーネル13から指示されると、その指示に従い、ログ記録部16のみにログを出力する。
【0018】
次に、以上のようなハードウェア構成およびソフトウェア構成を有する不正アクセス痕跡情報保全装置10の動作について詳細に説明する。なお、以下では、不正アクセス痕跡情報として、不正アクセスのログ、侵入者がキー入力したコマンド情報、侵入者が外部から持ち込んだ外部データを例として説明するが、本実施の形態は、これらに限らず、いかなる不正アクセス痕跡情報についても適用可能である。
(第1の実施例)
第1の実施例は、ログ出力プロセス14が出力するログを侵入者に知られることなく確実に採取するための実施例である。
図3に、第1の実施例の動作の流れを示す。
【0019】
ログ出力プロセス14は、不正アクセスがされていない状態においては、何らかのイベントが発生するごとに、ゲストOS12が管理するログ記録部15と、ホストOS11が管理するログ記録部16との両方にログを出力している。
即ち、ログデータを取得し(ステップ105)、カーネル13から出力先の指定がないので(ステップ106でNO)、ログ記録部15とログ記録部16とにログを出力する(ステップ108)。そして、ログデータがあるかどうか判断し(ステップ109)、ログデータがあれば、ステップ105へ戻り、ログデータがなければ、処理を終了する。
【0020】
ここで、侵入者がログ出力プロセス14の停止を要求したとする。一般に、侵入者は、侵入後に自己の侵入の痕跡であるログを消去する。しかし、ログを消去した後に更に不正な行為を行うと、その行為の痕跡が再びログとして記録されてしまうため、まず、痕跡が残らない状態にするために、侵入者は、ログ出力プロセス14を停止するという操作を行う場合があるのである。カーネル13は、停止要求があったかどうか判断し(ステップ101)、停止要求がなければ、ステップ101の判断を繰り返し、停止要求があれば、ログ出力プロセス14に対し、ホストOS11が管理するログ記録部16を出力先とするよう指示を出す(ステップ102)。そして、カーネル13は、ログ出力プロセス14を不可視化し(ステップ103)、ログ出力プロセス14が停止した旨の応答を侵入者に対して行う(ステップ104)。
【0021】
ところが、本実施例においては、実際には、ログ出力プロセス14は停止しておらず、侵入者が感知できない出力先であるログ記録部16に対してログの出力を継続している。即ち、ログ出力プロセス14は、ログデータを取得し(ステップ105)、カーネル13から出力先の指定があるので(ステップ106でYES)、ホストOS11が管理するログ記録部16のみにログを出力する(ステップ107)。そして、ログデータがあるかどうか判断し(ステップ109)、ログデータがあれば、ステップ105へ戻り、ログデータがなければ、処理を終了する。
【0022】
なお、本実施例では、カーネル13から出力先の指定がない場合、ログ出力プロセス14は、ゲストOS12が管理するログ記録部15とホストOS11が管理するログ記録部16との両方にログを出力するようにしたが、ゲストOS12が管理するログ記録部15のみにログを出力することとしてもよい。
また、上記では、ログ出力プロセス14を、指定された出力先にログを出力する機能を有するプロセスと位置づけ、カーネル13はログ出力プロセス14に対してログ記録部16を出力先とするよう指示するという構成にした。しかし、カーネル13が、ログ出力プロセス14に対し、プロセスの停止要求があった旨の情報を伝え、ログ出力プロセス14がこの情報を受け取るとログ記録部16を出力先とするという構成にしてもよい。
【0023】
次に、ステップ103におけるプロセスの不可視化について説明する。プロセスの不可視化とは、例えば、ユーザからの実行中プロセス一覧の表示要求に対し、そのプロセスの情報を表示しないような設定(以下、「不可視設定」という)を行うことをいう。即ち、ログ出力プロセス14に対して不可視設定を行うことにより、カーネル13は、ユーザから要求があっても、ログ出力プロセス14を実行中プロセスとして表示しないので、ユーザに対し、あたかもログ出力プロセス14が実行されていないかのように見せることができる。
【0024】
この場合の処理について、図4を参照しながら説明する。
カーネル13は、ユーザから実行中プロセス一覧の表示要求を受信し(ステップ111)、自身が管理する全プロセスの情報の中から1つのプロセスの情報を読み出す(ステップ112)。そして、そのプロセスに対し不可視設定が行われているかどうか判断し(ステップ113)、不可視設定が行われていなければ、そのプロセスの情報を表示し(ステップ114)、その後、次のプロセスがあるかどうか判断する(ステップ115)。
一方、不可視設定が行われていれば、そのプロセスの情報を表示することなく、次のプロセスがあるかどうか判断する(ステップ115)。
そして、次のプロセスがあれば、ステップ112に戻り、次のプロセスがなければ、処理を終了する。
【0025】
第1の実施例は、以上のような構成により、ログ出力プロセス14を停止して不正アクセスを行おうとする侵入者に対し、ログ出力プロセス14の停止が成功したと思わせておいて、侵入者の感知できないホストOS11にて不正アクセスのログを確実に採取できるという効果を有している。
【0026】
(第2の実施例)
第2の実施例は、侵入者がゲストOS12に対して送信するデータを侵入者に知られることなく確実に採取するための実施例である。なお、ゲストOS12に対して送信されるデータとしては、侵入者がキー入力したコマンド情報が例示されるので、以下では、かかるコマンド情報を例として説明する。但し、侵入者が送信する全てのデータを収集の対象としてもよい。また、侵入者が受信する特定のデータまたは全てのデータを収集の対象としてもよい。
図5に、第2の実施例の動作の流れを示す。
【0027】
カーネル13は、侵入者から送られてくるコマンド情報を取得する(ステップ201)。例えば、侵入者からシェルに渡される文字列を全て取得する。そして、カーネル13は、取得したコマンド情報をホストOS11に受け渡し(ステップ202)、コマンド情報に基づく処理を行う(ステップ203)。
【0028】
なお、ステップ202において、コマンド情報には、そのコマンド情報が入力された時刻としてシステム時刻が付加される。これにより、ホストOS11側で、例えば、図7に示すような画面を用いて、侵入者から送られてくるコマンド情報をモニターすることも可能である。図7では、記号「|」が、フィールドの区切りを表しており、フィールドは、左から順に、ホストOS11上の時刻、ゲストOS12上の時刻、プロセスID、ユーザID、プロセス名、ファイルディスクリプタ番号、端末名、入力文字列のタイプ、キー入力された文字列の長さ、キー入力された文字列を示している。
【0029】
第2の実施例は、以上のような構成により、侵入者から送られたデータを侵入者に知られることなく確実に採取できるという効果を有している。
【0030】
(第3の実施例)
第3の実施例は、侵入者が外部から持ち込んだ外部データを侵入者に知られることなく確実に採取するための実施例である。なお、外部データを持ち込むとは、例えば、侵入者が外部ネットワークからバイナリデータ(例えば、プログラム)またはテキストデータをダウンロードし、ゲストOS12が管理する記憶装置内に設置するような行為を指す。
図6に、第3の実施例の動作の流れを示す。
【0031】
カーネル13は、侵入者が外部データを設置しようとしていることを検出する(ステップ301)。そして、カーネル13は、その外部データをホストOS11に受け渡し(ステップ302)、外部データを保存する(ステップ303)。
【0032】
第3の実施例は、以上のような構成により、侵入者が外部から持ち込んだ外部データを侵入者に知られることなく確実に採取できるという効果を有している。
【0033】
(第4の実施例)
第4の実施例は、第1〜3の実施例に対する付加機能である。即ち、第1〜3の実施例において、ゲストOS12からホストOS11への情報の保全(受け渡し)の前兆となるアクティビティが発生した場合に、そのことを、システム管理者が所有するパーソナルコンピュータ、PDA、携帯電話、ポケットベル等の装置に通知するものである。通知手段としては、例えば、電子メールを用いることができる。なお、通知先の情報(通知先の装置を特定するための情報、電子メールアドレス等)は、不正アクセス痕跡情報保全装置10内に予め定義しておけばよい。
【0034】
例えば、第2の実施例で述べたようなコマンド情報の保全の前兆となるアクティビティとしては、シェルの呼び出しが挙げられる。また、第3の実施例で述べたような外部データの保全の前兆となるアクティビティとしては、ポートの開閉が挙げられる。外部データをダウンロードして設置するためには、まずは、ポートを開き、そこへ外部データがダウンロードされて来るからである。また、アクティビティとしては、重要ファイル(パスワードファイル等)へのアクセスも挙げられる。
【0035】
第4の実施例は、以上のように、ゲストOS12からホストOS11への情報の保全をその前兆が発生した時点でシステム管理者に通知することにより、保全された情報による不正アクセスの追跡調査を早急に開始することが可能になるという効果を有している。
【0036】
(第5の実施例)
第5の実施例も、第1〜3の実施例に対する付加機能である。即ち、第1〜3の実施例であっても、ゲストOS12上に構築されるサーバのパスワードファイルに記述されたシステム管理者のパスワードが書き換えられてしまい、正規のシステム管理者がサーバにログインできないという事態は起こり得る。本実施例では、このような事態に備え、ゲストOS12に、ホストOS11からの通信のみを受け付けるインターフェースを設ける。つまり、ホストOS11にログインする権限を有するシステム管理者は、パスワードを入力することなく、ゲストOS12上のサーバにログインできるようにする。侵入者には、ゲストOS12しか見えていないので、ゲストOS12とホストOS11との間のこのようなインターフェースが侵入者から見えることはない。
【0037】
第5の実施例は、以上のような構成により、ゲストOS12上のサーバにおけるシステム管理者のパスワードが書き換えられたとしても、ホストOS11からログインすることが可能になるという効果を有している。
【0038】
なお、本実施例で設けるインターフェースで受け付けることができる通信は、ホストOS11からのものに限定せずに、ネットワーク全体からのものとすることもできる。その場合は、カーネル13に、特定のパケットを受け取った時にシェルへのインターフェースを提供するための通信を確立する機能を組み込んでおく。または、カーネル13に、特定のパケットを受け取った時にシステム管理者のパスワードをリセットする機能を組み込んでおいてもよい。これにより、パスワードを書き換えられたシステム管理者は、ネットワーク上の任意のコンピュータからこの特定のパケットをカーネル13に送り込むことにより、パスワードを入力することなく、サーバにログインすることができる。
更には、パスワードファイルに記述されていない復旧用のユーザアカウント(ユーザIDおよびパスワード)をカーネル13に組み込んでおくことにより、そのユーザIDおよびパスワードでログインすることを可能にする構成を採ることもできる。
【0039】
【発明の効果】
このように、本発明によれば、不正アクセス痕跡情報を侵入者に知られることなく確実に採取することが可能となる。
【図面の簡単な説明】
【図1】 本実施の形態が適用されるコンピュータシステムの全体構成を示したブロック図である。
【図2】 本実施の形態の不正アクセス痕跡情報保全装置のソフトウェア構成を示した図である。
【図3】 本実施の形態における第1の実施例の処理動作を示したフローチャートである。
【図4】 本実施の形態における第1の実施例のプロセスの不可視化について説明するためのフローチャートである。
【図5】 本実施の形態における第2の実施例の処理動作を示したフローチャートである。
【図6】 本実施の形態における第3の実施例の処理動作を示したフローチャートである。
【図7】 本実施の形態の第2の実施例による画面出力例を示した図である。
【符号の説明】
10…不正アクセス痕跡情報保全装置、11…ホストOS、12…ゲストOS、13…カーネル、14…ログ出力プロセス、15,16…ログ記録部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an unauthorized access trace information maintenance device and the like for collecting information (hereinafter referred to as “unauthorized access trace information”) for performing a follow-up survey on unauthorized access to a computer device.
[0002]
[Prior art]
In recent years, with the spread of business use of the Internet, many companies and organizations have released server computers, sent information to an unspecified number of users, and provided services such as e-commerce. It has become. However, some server computers have insufficient security measures, and there are many cases where such server computers have been targeted by malicious humans and have been invaded.
If an unauthorized person enters the server computer, that is, if unauthorized access is allowed, important files are browsed, deleted, tampered with, or a back door or worm is set up. There is a possibility that damage will spread, such as an invasion of Accordingly, the administrator of the server computer is required to promptly respond to the case of unauthorized access.
[0003]
Conventionally, in order to respond to such unauthorized access to a computer device, conventionally, a device for collecting as much unauthorized access trace information as possible has been devised (see, for example, Patent Document 1).
[0004]
[Patent Document 1]
JP 2002-328897 A (page 3-4, FIG. 3)
[0005]
[Problems to be solved by the invention]
However, in the prior arts such as
[0006]
The present invention has been made to solve the technical problems as described above, and an object of the present invention is to reliably collect unauthorized access trace information without the intruder knowing it.
Another goal is to ensure that unauthorized access logs are collected after making the intruder think that the log output process has been successfully stopped.
Still another object is to reliably collect data sent from an intruder or data brought in from outside (hereinafter referred to as “external data”) without being known to the intruder.
[0007]
[Means for Solving the Problems]
For this purpose, the present invention constructs a server on a guest OS and collects unauthorized access trace information in the host OS that is the basis of the guest OS. That is, the unauthorized access trace information maintenance apparatus of the present invention operates a virtual operating system that is set so as to be logically connectable from the network on a real operating system that is set so as not to be logically connectable from the network. And a security means for transferring unauthorized access trace information for tracking the unauthorized access to the virtual operating system to the actual operating system.
[0008]
From another point of view, the unauthorized access trace information maintenance method of the present invention operates a virtual operating system logically connectable from the network on a real operating system logically connectable from the network; The method includes a step of collecting unauthorized access trace information for performing a follow-up investigation on unauthorized access to the virtual operating system, and a step of transferring the collected unauthorized access trace information to the actual operating system.
[0009]
On the other hand, the present invention can also be understood as a program for causing a computer device to realize a predetermined function. In other words, the program of the present invention tracks illegal access to a virtual operating system on a computer device on which a virtual operating system logically connectable from the network operates on a real operating system that cannot be logically connected from the network. This is to realize a function of collecting unauthorized access trace information for investigation and a function of transferring the collected unauthorized access trace information to an actual operating system.
[0010]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, the present invention will be described in detail based on embodiments shown in the accompanying drawings.
FIG. 1 is a diagram showing a configuration of a computer system to which the present embodiment is applied. This computer system is configured by connecting the unauthorized access trace
[0011]
The unauthorized access trace
[0012]
The
The
[0013]
Next, the software configuration of the unauthorized access trace
In the present embodiment, as shown in FIG. 2, in the unauthorized access trace
[0014]
In the present embodiment, only the
[0015]
Furthermore, on the
[0016]
The
[0017]
Normally, the
[0018]
Next, the operation of the unauthorized access trace
(First embodiment)
The first embodiment is an embodiment for reliably collecting the log output by the
FIG. 3 shows an operation flow of the first embodiment.
[0019]
The
That is, log data is acquired (step 105), and since the output destination is not designated from the kernel 13 (NO in step 106), the log is output to the
[0020]
Here, it is assumed that the intruder requests to stop the
[0021]
However, in this embodiment, the
[0022]
In this embodiment, when the output destination is not specified from the
In the above description, the
[0023]
Next, the process invisibility in step 103 will be described. The process invisibility refers to, for example, a setting that does not display information about a process (hereinafter, referred to as “invisible setting”) in response to a display request for a list of processes being executed from a user. That is, by making the invisible setting for the
[0024]
The processing in this case will be described with reference to FIG.
The
On the other hand, if the invisible setting is performed, it is determined whether or not there is a next process without displaying the process information (step 115).
If there is a next process, the process returns to step 112. If there is no next process, the process is terminated.
[0025]
In the first embodiment, with the configuration as described above, an intruder who stops the
[0026]
(Second embodiment)
The second embodiment is an embodiment for reliably collecting data transmitted by the intruder to the
FIG. 5 shows the operation flow of the second embodiment.
[0027]
The
[0028]
In step 202, the system time is added to the command information as the time when the command information is input. Accordingly, it is possible to monitor command information sent from an intruder on the
[0029]
The second embodiment has an effect that the data sent from the intruder can be reliably collected without being known to the intruder by the configuration as described above.
[0030]
(Third embodiment)
The third embodiment is an embodiment for reliably collecting external data brought from the outside by the intruder without being informed by the intruder. Note that bringing in external data refers to an act in which an intruder downloads binary data (for example, a program) or text data from an external network and places it in a storage device managed by the
FIG. 6 shows the operation flow of the third embodiment.
[0031]
The
[0032]
The third embodiment has an effect that the external data brought in from the outside by the intruder can be reliably collected without being informed by the intruder by the configuration as described above.
[0033]
(Fourth embodiment)
The fourth embodiment is an additional function to the first to third embodiments. That is, in the first to third embodiments, when an activity that is a precursor to the maintenance (transfer) of information from the
[0034]
For example, as an activity that is a precursor of command information maintenance as described in the second embodiment, there is a shell call. In addition, as an activity that is a precursor to the preservation of external data as described in the third embodiment, opening and closing of ports can be mentioned. In order to download and install external data, first the port is opened and the external data is downloaded there. An activity also includes access to an important file (password file or the like).
[0035]
In the fourth embodiment, as described above, the system administrator is notified of the maintenance of information from the
[0036]
(Fifth embodiment)
The fifth embodiment is also an additional function to the first to third embodiments. That is, even in the first to third embodiments, the password of the system administrator described in the server password file built on the
[0037]
The fifth embodiment has an effect that it is possible to log in from the
[0038]
Note that the communication that can be accepted by the interface provided in this embodiment is not limited to that from the
Furthermore, by incorporating a recovery user account (user ID and password) not described in the password file into the
[0039]
【The invention's effect】
Thus, according to the present invention, it is possible to reliably collect unauthorized access trace information without the intruder knowing it.
[Brief description of the drawings]
FIG. 1 is a block diagram showing an overall configuration of a computer system to which the exemplary embodiment is applied.
FIG. 2 is a diagram showing a software configuration of an unauthorized access trace information maintenance apparatus according to the present embodiment.
FIG. 3 is a flowchart showing the processing operation of the first example in the present embodiment.
FIG. 4 is a flowchart for explaining process invisibility in the first example of the present embodiment;
FIG. 5 is a flowchart showing a processing operation of a second example of the present embodiment.
FIG. 6 is a flowchart showing a processing operation of a third example of the present embodiment.
FIG. 7 is a diagram showing a screen output example according to a second example of the present embodiment;
[Explanation of symbols]
DESCRIPTION OF
Claims (5)
前記仮想オペレーティングシステム上で動作し、前記仮想オペレーティングシステムに対する不正アクセスのログを、前記実オペレーティングシステムが管理し前記仮想オペレーティングシステムの管理下にはない第1のログ記録部、または、前記仮想オペレーティングシステムが管理する第2のログ記録部に出力するログ出力手段と、
前記ログ出力手段の停止要求に応じて、前記ログ出力手段が前記ログを前記第1のログ記録部に出力し前記第2のログ記録部に出力しないよう、制御し、かつ、実行中プロセス一覧の表示要求があってもプロセスの情報を表示しないようにする設定である不可視設定を前記ログ出力手段に対して行う制御手段と
を備えたことを特徴とする不正アクセス情報保全装置。 On a computer device on which a virtual operating system that is set to be connectable from the network operates on a real operating system that is set to be unable to connect from the network ,
The virtual on operating systems on the virtual log of unauthorized access to the operating system, the first log recording unit wherein not under the control of the real operating system manages the virtual operating system, or the virtual operating system Log output means for outputting to a second log recording unit managed by
In response to a request to stop the log output unit, the log output unit controls the log to be output to the first log recording unit and not to the second log recording unit , and a list of processes being executed An unauthorized access information maintenance apparatus comprising: a control unit configured to perform invisible setting on the log output unit so that process information is not displayed even when there is a display request .
前記仮想オペレーティングシステム上で動作する第1のプロセスが、前記仮想オペレーティングシステムに対する不正アクセスのログを収集するステップと、
前記仮想オペレーティングシステム上で動作する第1のプロセスが、収集された前記不正アクセスのログを前記実オペレーティングシステムに受け渡すステップと、
前記仮想オペレーティングシステム上で動作する第2のプロセスが、前記第1のプロセスの停止要求に応じて、実行中プロセス一覧の表示要求があってもプロセスの情報を表示しないようにする設定である不可視設定を前記第1のプロセスに対して行うステップと
を含むことを特徴とする不正アクセス情報保全方法。 On a computer device on which a virtual operating system that is set to be connectable from the network operates on a real operating system that is set to be unable to connect from the network ,
A first process running on the virtual operating system collecting a log of unauthorized access to the virtual operating system;
A first process running on the virtual operating system passing the collected log of unauthorized access to the real operating system ;
The invisible setting is such that the second process operating on the virtual operating system does not display process information in response to a request to display a list of running processes in response to a request to stop the first process. unauthorized access information maintenance method characterized by comprising the step of performing setting for the first process.
前記仮想オペレーティングシステム上に実現される機能であって、前記仮想オペレーティングシステムに対する不正アクセスのログを収集する機能と、
前記仮想オペレーティングシステム上に実現される機能であって、収集された前記不正アクセスのログを前記実オペレーティングシステムに受け渡す機能と、
前記仮想オペレーティングシステム上で動作する機能であって、前記受け渡す機能の停止要求に応じて、実行中プロセス一覧の表示要求があってもプロセスの情報を表示しないようにする設定である不可視設定を前記受け渡す機能に対して行う機能と
を実現させるためのプログラム。 On a real operating system that is configured so that it cannot be connected from the network, to a computer device that runs a virtual operating system that is configured so that it can be connected from the network .
A function implemented on the virtual operating system, the function of collecting a log of unauthorized access to the virtual operating system;
A function implemented on the virtual operating system, the function of passing the collected log of unauthorized access to the real operating system ;
An invisible setting that is a function that operates on the virtual operating system and is configured to not display process information even when there is a request to display a list of running processes in response to a request to stop the function to be transferred A program for realizing a function to be performed for the passing function .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003190403A JP3974879B2 (en) | 2003-07-02 | 2003-07-02 | Unauthorized access information security device, unauthorized access information security method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003190403A JP3974879B2 (en) | 2003-07-02 | 2003-07-02 | Unauthorized access information security device, unauthorized access information security method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005025517A JP2005025517A (en) | 2005-01-27 |
| JP3974879B2 true JP3974879B2 (en) | 2007-09-12 |
Family
ID=34188305
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003190403A Expired - Fee Related JP3974879B2 (en) | 2003-07-02 | 2003-07-02 | Unauthorized access information security device, unauthorized access information security method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3974879B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4682773B2 (en) * | 2005-09-22 | 2011-05-11 | 富士ゼロックス株式会社 | Image forming system |
| JP5111073B2 (en) * | 2007-11-27 | 2012-12-26 | Kddi株式会社 | Policy generation system, program, and recording medium |
| KR102327587B1 (en) * | 2020-02-14 | 2021-11-17 | 엔에이치엔 주식회사 | Method and system for monitoring user who use mobile game macro |
-
2003
- 2003-07-02 JP JP2003190403A patent/JP3974879B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005025517A (en) | 2005-01-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11797636B2 (en) | Intermediary server for providing secure access to web-based services | |
| Lee et al. | CloudRPS: a cloud analysis based enhanced ransomware prevention system | |
| US20200153852A1 (en) | Locally Detecting Phishing Weakness | |
| JP5567114B2 (en) | Mitigation of potentially endangered electronic devices | |
| US7933971B2 (en) | Method for secure communication over a public data network via a terminal that is accessible to multiple users | |
| US9218487B2 (en) | Remote DOM access | |
| US8732794B2 (en) | Browser plug-in firewall | |
| JP5607130B2 (en) | Safety box | |
| CN101888311B (en) | Equipment, method and system for preventing network contents from being tampered | |
| US20110113242A1 (en) | Protecting mobile devices using data and device control | |
| EP1540446A2 (en) | Enterprise-wide security system for computer devices | |
| JP2009521763A (en) | Computer session management apparatus and system | |
| KR100336912B1 (en) | Security apparatus and method for information processing device using an e-mail | |
| JP2018041487A (en) | Force encryption on connected devices | |
| Sahoo et al. | Research issues on windows event log | |
| Strunk et al. | Intrusion detection, diagnosis, and recovery with self-securing storage | |
| US12164625B2 (en) | Context based authorized external device copy detection | |
| KR101308703B1 (en) | Security system for electronic commerce and method thereof | |
| JP3974879B2 (en) | Unauthorized access information security device, unauthorized access information security method, and program | |
| JP2006260176A (en) | Confidential document management method and confidential document management system | |
| CN113923000B (en) | A security processing method, device, electronic equipment, and storage medium | |
| KR101041115B1 (en) | Method and system of using website by authority control and recording media for it | |
| US20250190557A1 (en) | System and Method for Providing Emergency Operations | |
| US20250193230A1 (en) | System and Method for Providing Emergency Operations | |
| KR20190007713A (en) | System for collecting malignant action using virtual operation environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060622 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20070305 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20070313 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070320 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070517 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070612 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070615 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3974879 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100622 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100622 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130622 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130622 Year of fee payment: 6 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130622 Year of fee payment: 6 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |