Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4802114B2 - Information processing system - Google Patents
[go: Go Back, main page]

JP4802114B2 - Information processing system - Google Patents

Information processing system Download PDF

Info

Publication number
JP4802114B2
JP4802114B2 JP2007033640A JP2007033640A JP4802114B2 JP 4802114 B2 JP4802114 B2 JP 4802114B2 JP 2007033640 A JP2007033640 A JP 2007033640A JP 2007033640 A JP2007033640 A JP 2007033640A JP 4802114 B2 JP4802114 B2 JP 4802114B2
Authority
JP
Japan
Prior art keywords
information
memory
time
magnetic disk
target device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007033640A
Other languages
Japanese (ja)
Other versions
JP2008197993A (en
Inventor
博樹 岩井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
LAC Co Ltd
Original Assignee
LAC Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by LAC Co Ltd filed Critical LAC Co Ltd
Priority to JP2007033640A priority Critical patent/JP4802114B2/en
Publication of JP2008197993A publication Critical patent/JP2008197993A/en
Application granted granted Critical
Publication of JP4802114B2 publication Critical patent/JP4802114B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、コンピュータの操作履歴を取得する技術に関する。   The present invention relates to a technique for acquiring an operation history of a computer.

コンピュータシステムへの不正な侵入やデータへの不正なアクセスの有無を調べたり、障害の原因を調査したりする場合、コンピュータの操作履歴に関する情報を解析することが有用である。そのため、従来から種々のシステム構成において操作履歴を取得、保存して解析に供することが行われている。   When investigating the presence or absence of unauthorized intrusion into a computer system or unauthorized access to data, or investigating the cause of a failure, it is useful to analyze information related to the operation history of the computer. For this reason, conventionally, operation histories have been acquired, stored, and used for analysis in various system configurations.

この種の従来技術として、特許文献1には、補助記憶装置に格納されたファイルに対するオープン操作およびクローズ操作に応じて操作履歴情報を生成し、不揮発性メモリに保存する構成が記載されている。   As this type of prior art, Patent Document 1 describes a configuration in which operation history information is generated in response to an open operation and a close operation on a file stored in an auxiliary storage device and stored in a nonvolatile memory.

特許文献2には、ユーザがキーボード等の入力装置を用いて行った操作に関して、当該操作に対応するデータをキーバッファの参照やAPIにより取得し、不揮発性の記憶装置に保存する構成が記載されている。   Patent Document 2 describes a configuration in which data corresponding to an operation performed by a user using an input device such as a keyboard is acquired by referring to a key buffer or an API and stored in a nonvolatile storage device. ing.

特許文献3には、ネットワークインターフェイスに不揮発性メモリを実装し、ネットワークを介して行われる制御対象システムへの操作の履歴を保存する機能を持たせる構成が記載されている。   Patent Document 3 describes a configuration in which a non-volatile memory is mounted on a network interface and has a function of storing a history of operations performed on a control target system performed via a network.

特許文献4には、コンピュータで発生した操作情報や処理情報をイベントとして抽出してデータベースに登録しておき、同時に当該イベントを解析し、当該イベントが不正に繋がる特定イベントと判定された場合に、当該イベントに関連するイベントをデータベースから検索して不正判断を行う構成が記載されている。   In Patent Document 4, when operation information and processing information generated in a computer are extracted as events and registered in a database, the event is analyzed at the same time, and when the event is determined to be a specific event that is illegally connected, A configuration is described in which an event related to the event is searched from a database and fraud determination is performed.

特開平9−319637号公報Japanese Patent Laid-Open No. 9-319637 特開2006−172073号公報JP 2006-172073 A 特開2005−108176号公報JP 2005-108176 A 特開2005−222216号公報JP 2005-222216 A

上記のように、コンピュータの不正な操作や障害の原因を調査するためには、コンピュータの操作履歴に関する情報を解析することが有用である。しかし、コンピュータの操作履歴を保存する既存のシステムは、コンピュータにおいて特定の操作が実施された場合に、これをイベントとして抽出し、保存するものであった。上記特許文献1乃至特許文献4に記載されるいずれのシステムも同様である。このようなシステムでは、予めイベントとして設定された操作についての履歴を取ることしかできない。そして、保存されている履歴情報自体を改ざんされるおそれがある。   As described above, in order to investigate the cause of an unauthorized operation or failure of a computer, it is useful to analyze information related to the operation history of the computer. However, the existing system for storing the operation history of the computer extracts and stores this as an event when a specific operation is performed on the computer. The same applies to any of the systems described in Patent Document 1 to Patent Document 4. In such a system, it is only possible to take a history of operations preset as events. The stored history information itself may be tampered with.

コンピュータの操作履歴を知るための材料として、磁気ディスク等に格納されたファイルへのアクセスに関する情報および物理メモリ内に蓄積された情報は、非常に重要である。これらの情報は、改ざんが困難であり、情報としての信頼性が高い。しかしながら、これらの情報は磁気ディスクや物理メモリ自体での保存時間が比較的短い。
例えば、通常、コンピュータにおいてファイルへのアクセスが行われると、操作の内容に応じてファイルの最終更新日時や最終アクセス日時の情報が記録されるが、これらの情報は、更新やアクセスが行われるたびに書き換えられてしまう。したがって、最後に行われた操作についての情報のみが存在し、それ以前の操作についての情報は失われてしまう。また、物理メモリが記憶する情報は揮発性情報であるため、コンピュータを停止したり再起動したりすると失われてしまう。
そのため、問題が生じてから情報を取得しようとしても、あまり遡って情報を得ることができず、必要な情報が得られない場合も多い。
Information relating to access to files stored on a magnetic disk or the like and information stored in a physical memory are very important as materials for knowing the operation history of the computer. Such information is difficult to falsify and has high reliability as information. However, the storage time of these pieces of information on the magnetic disk or the physical memory itself is relatively short.
For example, when a computer accesses a file, information on the last update date and time and the last access date and time of the file is recorded according to the content of the operation. Will be rewritten. Therefore, there is only information about the last performed operation, and information about the previous operation is lost. Further, since information stored in the physical memory is volatile information, it is lost when the computer is stopped or restarted.
For this reason, even if an attempt is made to acquire information after a problem has occurred, it is often impossible to acquire information so far and necessary information cannot be obtained.

本発明は、上記の課題に鑑みてなされたものであり、その目的は、ファイルへのアクセスに関する情報や物理メモリ内の情報を保存して、コンピュータの操作に関して、信頼できかつ活用性の高い履歴の取得に供することにある。   The present invention has been made in view of the above problems, and its purpose is to save information related to file access and information in physical memory, and to provide a reliable and highly usable history regarding computer operations. It is to be used for acquisition.

かかる目的を達成するために、本発明は、次のような情報処理システムとして実現される。このシステムは、調査対象装置の磁気ディスク装置の記憶イメージであるディスクイメージを定期的にまたは予め定められたタイミングで磁気ディスク装置から取得する磁気ディスク情報取得手段と、この磁気ディスク情報取得手段により取得されたディスクイメージから磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を抽出する第1の情報抽出手段と、調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングでメモリから取得するメモリ情報取得手段と、このメモリ情報取得手段により取得されたメモリイメージから調査対象装置において起動されたプログラムの種類およびプログラムの起動時刻の情報を抽出する第2の情報抽出手段と、第1の情報抽出手段により抽出された時間情報と第2の情報抽出手段により抽出されたプログラムの起動時刻の情報とを関連づけて記憶手段に格納する格納手段とを備える。   In order to achieve this object, the present invention is realized as the following information processing system. This system includes a magnetic disk information acquisition unit that acquires a disk image, which is a storage image of the magnetic disk device of the investigation target device, from the magnetic disk device periodically or at a predetermined timing, and the magnetic disk information acquisition unit acquires the disk image. First information extracting means for extracting time information indicating the time when an operation on a file stored in the magnetic disk device is performed from the recorded disk image, and a memory image which is a storage image of the memory of the investigation target device is periodically Or the memory information acquisition means for acquiring from the memory at a predetermined timing, and the information on the type of the program started in the investigation target apparatus and the start time of the program from the memory image acquired by the memory information acquisition means Second information extraction means and first information extraction means; And a storage means for storing the start time information storage means in association with the time the extracted information and programs extracted by the second information extraction means by means.

より好ましくは、格納手段は、第1の情報抽出手段および第2の情報抽出手段により抽出された情報を時系列に整列して記憶手段に格納する。
また、第1の情報抽出手段は、ディスクイメージから、時間情報として少なくともファイルの作成時刻および最終更新時刻の情報を抽出する。
More preferably, the storage means stores the information extracted by the first information extraction means and the second information extraction means in time series in the storage means.
The first information extraction means extracts at least file creation time and last update time information as time information from the disk image.

また本発明の他の情報処理システムは、調査対象装置の磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を定期的にまたは予め定められたタイミングで磁気ディスク装置から読み出して取得する時間情報取得手段と、調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングでメモリから取得するメモリ情報取得手段と、このメモリ情報取得手段により取得されたメモリイメージから調査対象装置において起動されたプログラムの種類および起動時刻の情報を抽出する情報抽出手段と、時間情報取得手段により取得された時間情報と情報抽出手段により抽出されたプログラムの起動時刻の情報とを関連づけて記憶手段に格納する格納手段とを備える。   Another information processing system according to the present invention reads time information indicating a time when an operation is performed on a file stored in the magnetic disk device of the investigation target device from the magnetic disk device periodically or at a predetermined timing. Time information acquisition means, a memory information acquisition means for acquiring a memory image, which is a storage image of the memory of the investigation target device, from the memory periodically or at a predetermined timing, and the memory information acquisition means Information extraction means for extracting information on the type and start time of the program started in the investigation target device from the obtained memory image, time information acquired by the time information acquisition means, and start time of the program extracted by the information extraction means Storage means for associating and storing information in the storage means.

より好ましくは、格納手段は、時間情報取得手段により取得された情報および情報抽出手段により抽出された情報を時系列に整列して記憶手段に格納する。
また、時間情報抽出手段は、磁気ディスク装置から、少なくともファイルの作成時刻および最終更新時刻の情報を読み出す。
More preferably, the storage means stores the information acquired by the time information acquisition means and the information extracted by the information extraction means in time series in the storage means.
Further, the time information extraction means reads at least information on the file creation time and the last update time from the magnetic disk device.

さらに本発明の他の情報処理システムは、調査対象装置と、この調査対象装置に接続された解析サーバとを備える。そして、調査対象装置は、磁気ディスク装置の記憶イメージであるディスクイメージを定期的にまたは予め定められたタイミングで磁気ディスク装置から取得する磁気ディスク情報取得部と、メモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングでメモリから取得するメモリ情報取得部と、磁気ディスク情報取得部により取得されたディスクイメージおよびメモリ情報取得部により取得されたメモリイメージを解析サーバへ送信する送信制御部とを備える。一方、解析サーバは、磁気ディスク情報取得部により取得されたディスクイメージから磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を抽出し、メモリ情報取得部により取得されたメモリイメージから調査対象装置において起動されたプログラムの種類および起動時刻の情報を抽出する情報抽出部と、この情報抽出部により抽出された情報を時系列に整列して記憶手段に格納する整列部とを備える。   Furthermore, another information processing system of the present invention includes a survey target device and an analysis server connected to the survey target device. Then, the investigation target device includes a magnetic disk information acquisition unit that acquires a disk image that is a storage image of the magnetic disk device from the magnetic disk device periodically or at a predetermined timing, and a memory image that is a storage image of the memory. Memory information acquisition unit that acquires from memory periodically or at a predetermined timing, transmission control that transmits the disk image acquired by the magnetic disk information acquisition unit and the memory image acquired by the memory information acquisition unit to the analysis server A part. On the other hand, the analysis server extracts time information indicating a time when an operation is performed on a file stored in the magnetic disk device from the disk image acquired by the magnetic disk information acquisition unit, and the memory acquired by the memory information acquisition unit An information extraction unit that extracts information on the type and start time of the program started in the investigation target device from the image, and an alignment unit that aligns the information extracted by the information extraction unit in time series and stores the information in the storage unit Prepare.

さらにまた、本発明の他の情報処理システムは、調査対象装置と、調査対象装置に接続された解析サーバとを備える。そして、調査対象装置は、磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を定期的にまたは予め定められたタイミングで磁気ディスク装置から読み出して取得する時間情報取得部と、メモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングでメモリから取得するメモリ情報取得部と、時間情報取得部により取得された時間情報およびメモリ情報取得部により取得されたメモリイメージを解析サーバへ送信する送信制御部とを備える。一方、解析サーバは、メモリ情報取得部により取得されたメモリイメージから調査対象装置において起動されたプログラムの種類および起動時刻の情報を抽出する情報抽出部と、時間情報取得部により取得された時間情報および情報抽出部により抽出された情報を時系列に整列して記憶手段に格納する整列部とを備える。
より好ましくは、このシステムにおいて調査対象装置は、時間情報取得部およびメモリ情報取得部により取得された情報を保存する外部記憶装置をさらに備える構成とすることができる。この場合、解析サーバは、外部記憶装置から情報を読み出して取得する。
Furthermore, another information processing system of the present invention includes a survey target device and an analysis server connected to the survey target device. And a time information acquisition unit that reads out and acquires time information indicating a time when an operation is performed on a file stored in the magnetic disk device from the magnetic disk device periodically or at a predetermined timing; A memory information acquisition unit for acquiring a memory image, which is a storage image of the memory, from the memory periodically or at a predetermined timing, and the time information acquired by the time information acquisition unit and the memory acquired by the memory information acquisition unit A transmission control unit that transmits the image to the analysis server. On the other hand, the analysis server includes an information extraction unit that extracts information about the type and start time of the program started in the investigation target device from the memory image acquired by the memory information acquisition unit, and the time information acquired by the time information acquisition unit. And an alignment unit that aligns information extracted by the information extraction unit in time series and stores the information in the storage unit.
More preferably, in this system, the investigation target device can further include an external storage device that stores information acquired by the time information acquisition unit and the memory information acquisition unit. In this case, the analysis server reads and acquires information from the external storage device.

以上のように構成された本発明によれば、メモリから情報を取得し、磁気ディスク装置の情報と関連づけて保存することにより、コンピュータの操作に関して、信頼できかつ活用性の高い履歴を得ることができる。   According to the present invention configured as described above, it is possible to obtain a reliable and highly usable history regarding the operation of the computer by acquiring information from the memory and storing it in association with the information of the magnetic disk device. it can.

以下、添付図面を参照して、本発明を実施するための最良の形態(以下、実施形態)について詳細に説明する。
図1は、本実施形態が適用される情報処理システムの全体構成を示す図である。
図1に示すように、本実施形態は、調査対象装置100と、解析サーバ200とからなる。調査対象装置100と解析サーバ200とは通信回線を介して接続され、調査対象装置100から解析サーバ200へデータ送信が可能となっている。
The best mode for carrying out the present invention (hereinafter referred to as an embodiment) will be described below in detail with reference to the accompanying drawings.
FIG. 1 is a diagram showing an overall configuration of an information processing system to which the present embodiment is applied.
As shown in FIG. 1, the present embodiment includes a survey target device 100 and an analysis server 200. The investigation target device 100 and the analysis server 200 are connected via a communication line, and data transmission from the investigation target device 100 to the analysis server 200 is possible.

調査対象装置100と解析サーバ200との間の接続方式は、特定の具体的な接続方式には限定されない。例えば、調査対象装置100と解析サーバ200とを通信ケーブルにより直接接続しても良いし、LANやその他のネットワークを介して接続しても良い。通信プロトコルも、TCP/IP等、任意のものを必要に応じて用いて構わない。なお、図1に示す例では、1台の解析サーバ200に1台の調査対象装置100が接続されているが、これは最低限の構成に過ぎない。実際には、1台の解析サーバ200に複数台の調査対象装置100が接続されていても良い。   The connection method between the investigation target device 100 and the analysis server 200 is not limited to a specific specific connection method. For example, the survey target device 100 and the analysis server 200 may be directly connected via a communication cable, or may be connected via a LAN or other network. Any communication protocol such as TCP / IP may be used as necessary. In the example illustrated in FIG. 1, one survey target apparatus 100 is connected to one analysis server 200, but this is only a minimum configuration. Actually, a plurality of investigation target devices 100 may be connected to one analysis server 200.

図2は、調査対象装置100および解析サーバ200を実現するコンピュータのハードウェア構成を例示する図である。
図2に示すコンピュータ10は、演算手段であるCPU10aと、主記憶装置であるメインメモリ10cと、ディスプレイ装置へ表示出力を行うための表示機構10dとを備える。また、ネットワークを介して外部機器に接続するためのネットワークインターフェイス10fと、補助記憶装置である磁気ディスク装置10gおよびフレキシブルディスクドライブ10jと、音声出力を行うための音声機構10hと、入力デバイスであるキーボード/マウス10iとを備えて構成される。また、図2に示すように、メインメモリ10cおよび表示機構10dは、M/B(マザーボード)チップセット10bを介してCPU10aに接続されている。そして、ネットワークインターフェイス10f、磁気ディスク装置10g、音声機構10h、キーボード/マウス10iおよびフレキシブルディスクドライブ10jは、ブリッジ回路10eを介してM/Bチップセット10bと接続されている。
FIG. 2 is a diagram illustrating a hardware configuration of a computer that implements the survey target device 100 and the analysis server 200.
A computer 10 shown in FIG. 2 includes a CPU 10a that is a calculation means, a main memory 10c that is a main storage device, and a display mechanism 10d that performs display output to a display device. Also, a network interface 10f for connecting to an external device via a network, a magnetic disk device 10g and a flexible disk drive 10j as auxiliary storage devices, a sound mechanism 10h for performing sound output, and a keyboard as an input device / Mouse 10i. Further, as shown in FIG. 2, the main memory 10c and the display mechanism 10d are connected to the CPU 10a via an M / B (motherboard) chip set 10b. The network interface 10f, the magnetic disk device 10g, the sound mechanism 10h, the keyboard / mouse 10i, and the flexible disk drive 10j are connected to the M / B chipset 10b via the bridge circuit 10e.

図2において、各構成要素は、バスを介して接続される。例えば、CPU10aとM/Bチップセット10bの間や、M/Bチップセット10bとメインメモリ10cの間は、CPUバスを介して接続される。また、M/Bチップセット10bと表示機構10dとの間は、AGP(Accelerated Graphics Port)を介して接続されてもよいが、表示機構10dがPCI Express対応のビデオカードを含む場合、M/Bチップセット10bとこのビデオカードの間は、PCI Express(PCIe)バスを介して接続される。また、ブリッジ回路10eと接続する場合、ネットワークインターフェイス10fについては、例えば、PCI Expressを用いることができる。また、磁気ディスク装置10gについては、例えば、シリアルATA(AT Attachment)、パラレル転送のATA、PCI(Peripheral Components Interconnect)等を用いることができる。さらに、キーボード/マウス10i、及び、フレキシブルディスクドライブ10jについては、USB(Universal Serial Bus)等を用いることができる。   In FIG. 2, each component is connected via a bus. For example, the CPU 10a and the M / B chip set 10b, and the M / B chip set 10b and the main memory 10c are connected via a CPU bus. Further, the M / B chipset 10b and the display mechanism 10d may be connected via an AGP (Accelerated Graphics Port). However, if the display mechanism 10d includes a PCI Express compatible video card, the M / B The chip set 10b and the video card are connected via a PCI Express (PCIe) bus. When connecting to the bridge circuit 10e, for example, PCI Express can be used for the network interface 10f. For the magnetic disk device 10g, for example, serial ATA (AT Attachment), parallel transfer ATA, PCI (Peripheral Components Interconnect), or the like can be used. Furthermore, for the keyboard / mouse 10i and the flexible disk drive 10j, a USB (Universal Serial Bus) or the like can be used.

なお、図2は、調査対象装置100や解析サーバ200を実現するのに好適なコンピュータのハードウェア構成を例示するに過ぎず、図示の構成に限定されないことは言うまでもない。例えば、補助記憶装置としては磁気ディスク装置10gのみを設け、フレキシブルディスクドライブ10jを持たない構成としたり、各種の光学ディスクをメディアとするドライブを設けたりしても良い。また、音声機構10hを独立した構成とせず、M/Bチップセット10bの機能として備えるようにしても良い。   Note that FIG. 2 only illustrates a hardware configuration of a computer suitable for realizing the survey target device 100 and the analysis server 200, and it is needless to say that the configuration is not limited to the illustrated configuration. For example, as the auxiliary storage device, only the magnetic disk device 10g may be provided without the flexible disk drive 10j, or a drive using various optical disks as media may be provided. Further, the audio mechanism 10h may be provided as a function of the M / B chipset 10b without being an independent configuration.

図3は、本実施形態における調査対象装置100および解析サーバ200の機能構成を説明する図である。
図3を参照すると、本実施形態の調査対象装置100は、磁気ディスク情報取得部110と、メモリ情報取得部120と、送信制御部130とを備える。これらの機能は、例えば調査対象装置100が図2に示すコンピュータで構成される場合、プログラム制御されたCPU10aにより実現される。プログラムは、磁気ディスク装置10gに格納され、実行時にメインメモリ10cに読み込まれ、メインメモリ10cからCPU10aに読み込まれて実行される。このプログラムは、各種の記憶媒体、例えばフレキシブルディスクやCD−ROMといった着脱式の磁気ディスクや光ディスク、フラッシュメモリその他の半導体メモリ等に格納して配布したり、ネットワークを介して配信したりすることができる。
FIG. 3 is a diagram illustrating the functional configuration of the survey target device 100 and the analysis server 200 in the present embodiment.
Referring to FIG. 3, the investigation target device 100 of this embodiment includes a magnetic disk information acquisition unit 110, a memory information acquisition unit 120, and a transmission control unit 130. These functions are realized, for example, by the program-controlled CPU 10a when the survey target apparatus 100 is configured by the computer shown in FIG. The program is stored in the magnetic disk device 10g, read into the main memory 10c at the time of execution, and read from the main memory 10c to the CPU 10a for execution. This program may be stored and distributed in various storage media such as removable magnetic disks and optical disks such as flexible disks and CD-ROMs, flash memory and other semiconductor memories, or distributed via a network. it can.

磁気ディスク情報取得部110は、磁気ディスク装置10gの記録媒体(磁気ディスク)の記憶イメージであるディスクイメージ(イメージファイル)を取得する。ディスクイメージの取得は、定期的にまたは予め設定された特定のタイミングで行われる。   The magnetic disk information acquisition unit 110 acquires a disk image (image file) that is a storage image of a recording medium (magnetic disk) of the magnetic disk device 10g. The disk image is acquired periodically or at a specific timing set in advance.

メモリ情報取得部120は、メインメモリ10cの記憶イメージであるメモリイメージ(イメージファイル)を取得する。メモリイメージの取得は、定期的にまたは予め設定された特定のタイミングで行われる。   The memory information acquisition unit 120 acquires a memory image (image file) that is a storage image of the main memory 10c. Acquisition of the memory image is performed periodically or at a specific timing set in advance.

送信制御部130は、磁気ディスク情報取得部110およびメモリ情報取得部120により取得された情報を、例えば図2のネットワークインターフェイス10fを介して、解析サーバ200へ送信する。送信のタイミングとしては、磁気ディスク情報取得部110またはメモリ情報取得部120が情報を取得したときに直ちに送信するようにしても良い。また、磁気ディスク情報取得部110およびメモリ情報取得部120で取得した情報を磁気ディスク装置10gに一時的に保持しておき、定期的にまたはシステムの起動時や終了時等、予め設定されたタイミングで送信するようにしても良い。   The transmission control unit 130 transmits the information acquired by the magnetic disk information acquisition unit 110 and the memory information acquisition unit 120 to the analysis server 200 via, for example, the network interface 10f of FIG. The transmission timing may be immediately transmitted when the magnetic disk information acquisition unit 110 or the memory information acquisition unit 120 acquires information. The information acquired by the magnetic disk information acquisition unit 110 and the memory information acquisition unit 120 is temporarily stored in the magnetic disk device 10g, and is set at a preset timing, such as periodically or at the time of system startup or termination. You may make it transmit with.

また図3を参照すると、本実施形態の解析サーバ200は、情報抽出部210と、データソート部220と、データ蓄積部230と、データ解析部240とを備える。これらの機能のうち、データ蓄積部230は、例えば解析サーバ200が図2に示すコンピュータ10で構成される場合、磁気ディスク装置10gにより実現される。一方、情報抽出部210、データソート部220およびデータ解析部240は、プログラム制御されたCPU10aにより実現される。プログラムは、磁気ディスク装置10gに格納され、実行時にメインメモリ10cに読み込まれ、メインメモリ10cからCPU10aに読み込まれて実行される。このプログラムは、各種の記憶媒体、例えばフレキシブルディスクやCD−ROMといった着脱式の磁気ディスクや光ディスク、フラッシュメモリその他の半導体メモリ等に格納して配布したり、ネットワークを介して配信したりすることができる。   Referring to FIG. 3, the analysis server 200 of this embodiment includes an information extraction unit 210, a data sort unit 220, a data storage unit 230, and a data analysis unit 240. Among these functions, the data storage unit 230 is realized by the magnetic disk device 10g when the analysis server 200 is configured by the computer 10 shown in FIG. 2, for example. On the other hand, the information extraction unit 210, the data sort unit 220, and the data analysis unit 240 are realized by a program-controlled CPU 10a. The program is stored in the magnetic disk device 10g, read into the main memory 10c at the time of execution, and read from the main memory 10c to the CPU 10a for execution. This program may be stored and distributed in various storage media such as removable magnetic disks and optical disks such as flexible disks and CD-ROMs, flash memory and other semiconductor memories, or distributed via a network. it can.

情報抽出部210は、調査対象装置100から受信した磁気ディスク装置10gのディスクイメージおよびメインメモリ10cのメモリイメージを解析する。そして、ディスクイメージから磁気ディスク装置10gに格納されているファイルの操作履歴に関する情報(以下、磁気ディスク情報と呼ぶ)を抽出し、メモリイメージからプログラムの起動に関する情報(以下、メモリ情報と呼ぶ)を抽出する。   The information extraction unit 210 analyzes the disk image of the magnetic disk device 10g and the memory image of the main memory 10c received from the investigation target device 100. Then, information relating to the operation history of the file stored in the magnetic disk device 10g (hereinafter referred to as magnetic disk information) is extracted from the disk image, and information relating to program activation (hereinafter referred to as memory information) is extracted from the memory image. Extract.

磁気ディスク装置10gのディスクイメージから抽出される磁気ディスク情報は、ファイルの操作履歴に関する情報であり、最終更新日時、最終アクセス日時、作成日時が含まれる。これらの情報は、更新(Modify)、アクセス(Access)、作成(Create)の頭文字をとってMACタイム等と呼ばれ、UNIX(The Open Groupの登録商標)や米国マイクロソフト社のWindows等、多くのオペレーティングシステムにおいて、ファイルへの該当する操作が行われた際に記録される情報である。なお、抽出されるべき情報は、これらに限るものではない。ファイルへの操作に応じて記録される情報であれば、磁気ディスク装置10gの記録媒体(磁気ディスク)上でのファイルの移動が行われた日時や最新のアップデートが行われた日時等、種々の時間情報を抽出することができる。   The magnetic disk information extracted from the disk image of the magnetic disk device 10g is information regarding the operation history of the file, and includes the last update date, the last access date, and the creation date. These pieces of information are called MAC time etc. after the acronym of update (Modify), access (Access), and creation (Create), and many such as UNIX (registered trademark of The Open Group) and Windows of US Microsoft Corporation This information is recorded when a corresponding operation is performed on a file in the operating system. Note that the information to be extracted is not limited to these. As long as the information is recorded in response to an operation on the file, there are various information such as the date and time when the file was moved on the recording medium (magnetic disk) of the magnetic disk device 10g and the date and time when the latest update was performed. Time information can be extracted.

図4は、磁気ディスク情報10gのディスクイメージから抽出される磁気ディスク情報の例を示す図である。
図4に示す磁気ディスク情報には、ファイルに対する操作に応じて、「日時」、「ファイルサイズ」、「(MACタイムの)状態」、「絶対パス」等の情報が登録されている。例えば、破線で囲まれた欄401の登録内容は、

日時:2005年6月6日 月曜日 10時34分9秒
ファイルサイズ:192730バイト
状態:更新(m)
絶対パス:/Documents and Settings/Shin−yaIDE/Local Settings/Temporary Internet Files/Content.IE5/W949UPID/20050601173658[1].jpg

である。「状態」には、操作内容に応じて更新であれば図示のように「m」が、アクセスであれば「a」が、ファイルの作成であれば「c」が記載される。
FIG. 4 is a diagram showing an example of magnetic disk information extracted from the disk image of the magnetic disk information 10g.
In the magnetic disk information shown in FIG. 4, information such as “date and time”, “file size”, “(MAC time) state”, “absolute path”, and the like is registered according to the operation on the file. For example, the registered content in the column 401 surrounded by a broken line is:

Date: Monday, June 6, 2005 10: 34: 9 File size: 192730 bytes Status: Update (m)
Absolute path: / Documents and Settings / Shin-yaIDE / Local Settings / Temporary Internet Files / Content. IE5 / W949UPID / 20050601173658 [1]. jpg

It is. In the “status”, “m” is described as shown in the figure for update according to the operation content, “a” is described for access, and “c” is created for file creation.

メインメモリ10cのメモリイメージから抽出されるメモリ情報は、プログラムの起動に関する情報であり、例えば、起動されたプログラムの種類や起動コマンドと、その日時の情報(プログラムが起動された日時や起動コマンドが発行された日時)とが含まれる。   The memory information extracted from the memory image of the main memory 10c is information related to program activation. For example, the type of the activated program and the activation command and the date and time information (the date and time when the program was activated and the activation command are Issue date and time).

図5は、メインメモリ10cのメモリイメージから抽出されるメモリ情報の例を示す図である。
図5に示すメモリ情報には、プログラムの実行に応じて生成されるプロセスおよびスレッドごとに、「行番号」、「プロセスとスレッドの別を表す表示」、「プロセス番号」、「メモリの使用量」、「実行日時」、「メモリ上の番地」、「ページディレクトリ」、「プログラムの種類」の各情報が記載されている。例えば、第129行の登録内容は、

行番号:129
プロセスとスレッドの別:プロセス
プロセス番号:1076
メモリの使用量:無し
実行日時:2005年6月5日0時35分18秒
メモリ上の番地:0x02138c40
ページディレクトリ:0x0575e000
プログラムの種類:cmd.exe

である。また、第130行の登録内容は、

行番号:130
プロセスとスレッドの別:スレッド
プロセス番号:1112
メモリの使用量:588バイト
実行日時:無し
メモリ上の番地:0x021c1180
ページディレクトリ:無し
プログラムの種類:無し

である。
FIG. 5 is a diagram illustrating an example of memory information extracted from the memory image of the main memory 10c.
The memory information shown in FIG. 5 includes “line number”, “display indicating whether a process and a thread are separated”, “process number”, and “memory usage” for each process and thread generated according to program execution. , “Execution date and time”, “address on memory”, “page directory”, and “program type” are described. For example, the registration content on line 129 is

Line number: 129
Different process and thread: Process Process number: 1076
Memory usage: None Execution date: June 5, 2005, 0:35:18 Address on memory: 0x02138c40
Page directory: 0x0575e000
Program type: cmd. exe

It is. Also, the registration contents on line 130 are:

Line number: 130
Different process and thread: Thread process number: 1112
Memory usage: 588 bytes Execution date: None Address on memory: 0x021c1180
Page directory: None Program type: None

It is.

データソート部220は、情報抽出部210により抽出された情報を、時刻により関連づけて(具体的には例えば時系列に整列して)、データ蓄積部230に格納する。ここで、磁気ディスク情報は、個々の情報に記録されている日時にしたがって整列することができる。また、メモリ情報は、プログラムが起動された日時の情報にしたがって整列することができる。すなわち、データソート部220により磁気ディスク情報とメモリ情報とは、各々の時間情報に基づいて関連づけられ、各操作の実行順序が特定されることとなる(以下、磁気ディスク情報およびメモリ情報を合わせて履歴情報と呼ぶ)。   The data sort unit 220 stores the information extracted by the information extraction unit 210 in the data storage unit 230 in association with the time (specifically, for example, arranged in time series). Here, the magnetic disk information can be arranged according to the date and time recorded in the individual information. Also, the memory information can be arranged according to information on the date and time when the program is started. That is, the data sort unit 220 associates the magnetic disk information and the memory information based on each time information, and specifies the execution order of each operation (hereinafter, the magnetic disk information and the memory information are combined). Called history information).

データ解析部240は、データ蓄積部230からデータを読み出し、調査対象装置100において実施された操作の解析を行う。具体的には例えば、特定のプログラムが起動されたタイミングパターンを解析したり、特定のファイルに対する操作パターンを解析したり、磁気ディスク情報およびメモリ情報に現れる特定のパターンからコンピュータ(調査対象装置100)の操作方法を推定したりすることができる。なお、データ解析部240は必須の構成要件ではなく、データ蓄積部230に蓄積された時系列の磁気ディスク情報およびメモリ情報をリスト形式等で出力するようにしても良い。この場合、出力されたリストを人が閲覧し解析して、コンピュータ(調査対象装置100)に対して行われた操作を推定することができる。   The data analysis unit 240 reads data from the data storage unit 230 and analyzes operations performed in the survey target device 100. Specifically, for example, a timing pattern at which a specific program is activated is analyzed, an operation pattern for a specific file is analyzed, or a computer (investigation target device 100) is selected from a specific pattern appearing in magnetic disk information and memory information. The operation method can be estimated. Note that the data analysis unit 240 is not an indispensable component, and the time-series magnetic disk information and memory information stored in the data storage unit 230 may be output in a list format or the like. In this case, a person browses and analyzes the output list, and an operation performed on the computer (survey target device 100) can be estimated.

図6は、履歴情報(磁気ディスク情報およびメモリ情報)を時系列に並べた例を示す図である。
図6には、破線で囲まれた部分ごとにメモリ情報または磁気ディスク情報が記載されている。図6において、部分601、603がメモリ情報であり、部分602、604、605が磁気ディスク情報である。また、これらの部分601〜605は上から下へ順に時系列に並んでいる。
FIG. 6 is a diagram showing an example in which history information (magnetic disk information and memory information) is arranged in time series.
FIG. 6 shows memory information or magnetic disk information for each part surrounded by a broken line. In FIG. 6, portions 601 and 603 are memory information, and portions 602, 604, and 605 are magnetic disk information. Further, these portions 601 to 605 are arranged in time series from top to bottom.

図6の部分601を参照すると、第36行の登録内容から、起動時刻が2006年11月13日5時23分32秒、起動されたプログラムの種類がnotepad.exeであり、この時刻にノートパッドが起動されたことがわかる。また、部分602を参照すると、test.lnkの時間情報

Mon Nov 13 2006 05:36:47 444 m.c 〜

と、test.txtの時間情報

Mon Nov 13 2006 05:36:51 33 ..c 〜

から「test.txt」というファイルが生成されたことがわかる。これら部分601、602の情報から、この時間にノートパッドが起動されて「test.txt」というファイルが生成されたと判断される。
Referring to the part 601 in FIG. 6, from the registered contents in the 36th line, the start time is 5:23:32 on November 13, 2006, and the type of the started program is notnotepad. exe, which indicates that the note pad was activated at this time. Also, referring to part 602, test. lnk time information

Mon Nov 13 2006 05:36:47 444 m. c ~

And test. txt time information

Mon Nov 13 2006 05:36:51 33. . c ~

It can be seen that a file “test.txt” has been generated. From the information of these portions 601 and 602, it is determined that the notepad is activated at this time and the file “test.txt” is generated.

また、部分603を参照すると、第38行の登録内容から、起動時刻が2006年11月13日6時11分53秒、起動されたプログラムの種類がnotepad.exeであり、この時刻にノートパッドが起動されたことがわかる。また、部分604を参照すると、test.lnkの時間情報

Mon Nov 13 2006 06:13:10 444 .a. 〜

と、test.txtの時間情報

Mon Nov 13 2006 06:13:32 52 ma. 〜

から「test.txt」というファイルが更新されたことがわかる。これら部分603、604の情報から、この時間にノートパッドが起動されて「test.txt」というファイルが編集(更新)されたと判断される。
Further, referring to the part 603, from the registered content in the 38th line, the start time is 6:11:53 on November 13, 2006, and the type of the started program is notnotepad. exe, which indicates that the note pad was activated at this time. Also, referring to part 604, test. lnk time information

Mon Nov 13 2006 06:13:10 444. a. ~

And test. txt time information

Mon Nov 13 2006 06:13:32 52 ma. ~

It can be seen that the file “test.txt” has been updated. From the information of these portions 603 and 604, it is determined that the note pad is activated at this time and the file “test.txt” is edited (updated).

ところで、図6の部分605には、

50960 ..c−/−rwxrwxrwx 0 0 1682−128−4 /WINNT/system32/notepad.exe
50960 ..c−/−rwxrwxrwx 0 0 1682−128−4 /WINNT/system32/notepad.exe (deleted−realloc)

という情報が記載されており、ノートパッドを用いてファイルが操作されたことが示されている。しかしながら、磁気ディスク情報として残る情報は、そのファイルにおける最後の操作がなされた時刻(最終更新時刻、最終アクセス時刻など)のみであるため、上述した部分601乃至部分604から得られる情報と比較すると、履歴として活用できる度合いは低いと言える。
By the way, the portion 605 in FIG.

50960. . c-/-rwxrwxrwx 0 0 1682-128-4 / WINNT / system32 / notepad. exe
50960. . c-/-rwxrwxrwx 0 0 1682-128-4 / WINNT / system32 / notepad. exe (deleted-realloc)

This indicates that the file has been manipulated using Notepad. However, since the information remaining as magnetic disk information is only the time when the last operation was performed on the file (last update time, last access time, etc.), when compared with the information obtained from the parts 601 to 604 described above, It can be said that the degree of utilization as a history is low.

図7は、履歴情報を時系列に並べた他の例を示す図である。
図7には、2005年6月3日(金曜日)の情報(部分701)と、同年6月5日(日曜日)の情報(部分702)と、同年6月6日(月曜日)の情報(部分703)とが記載されている。同図において、部分701および部分703はそれぞれ、該当する日の履歴情報の一部である。なお、6月3日および6日の各々図示しない部分の履歴情報を合わせると、全体として両日ともコンソール上での通常の業務における操作が行われたと判断される内容となっているものとする。
FIG. 7 is a diagram illustrating another example in which history information is arranged in time series.
FIG. 7 shows information (part 701) on Friday, June 3, 2005, information (part 702) on June 5 (Sunday), and information (part) on June 6 (Monday) in the same year. 703). In the figure, a part 701 and a part 703 are part of the history information for the corresponding day. It is assumed that the history information of the portions not shown in the figures on June 3 and 6 are combined to determine that an operation in a normal operation on the console has been performed on both days as a whole.

図7の部分702を参照すると、6月5日の履歴情報は他の日(6月3日および6日)と異なり、磁気ディスク情報が存在せず(すなわち、磁気ディスク装置10gに対する操作の痕跡がなく)、メモリ情報のみとなっている。また、第9行で起動しているプログラムhelix.exeは、CD−ROMから起動されるプログラムツールであるものとする。したがって、6月3日と6日の履歴情報と6月5日の履歴情報とを比較すれば、6月5日には、CD−ROMから起動されたプログラムツールを用いた、通常の操作とは異なる操作が行われたと判断される。これにより、例えば所定のシステムにおいて情報漏洩の可能性がある等の問題が発覚した場合、2005年6月5日に問題の操作がなされた可能性があるとして調査する必要があると判断することができる。   Referring to the portion 702 of FIG. 7, the history information on June 5 is different from the other days (June 3 and 6), and there is no magnetic disk information (that is, the trace of operation on the magnetic disk device 10g). There is only memory information. In addition, the program helix. exe is a program tool started from a CD-ROM. Therefore, if the history information on June 3 and 6 is compared with the history information on June 5, the normal operation using the program tool started from the CD-ROM will be performed on June 5. It is determined that a different operation has been performed. As a result, for example, when a problem such as the possibility of information leakage is detected in a predetermined system, it is determined that it is necessary to investigate that the problem operation may have been performed on June 5, 2005. Can do.

ある特定の時間帯に、調査対象装置100に対して通常と異なる操作が行われた場合に、履歴情報の中からそのような特異な操作およびその操作が行われた時間帯を見つけ出す手法としては、例えば既存のデータマイニングの手法を用いることができる。   As a method of finding such a specific operation and a time zone in which such an operation was performed from history information when an operation different from the normal operation is performed on the investigation target device 100 in a specific time zone. For example, an existing data mining technique can be used.

次に、本発明の他の実施形態について説明する。
本実施形態では、調査対象装置から取得される情報を直接解析サーバへ転送するのではなく、データ保存用の外部記憶装置に一旦保存した後、解析サーバへ転送する。実際のシステムでは、調査対象装置が運用上ネットワークへの接続を禁止されている場合や、ファイヤーウォールの設定により調査対象装置が解析サーバと常時直接接続できない場合などがあり得る。また、ディスクイメージのデータサイズが大きいために調査対象装置から解析サーバへ直接転送することが困難な場合もある。そこで、本実施形態では、解析のための情報を調査対象装置に接続された外部記憶装置に一旦保存する。そして、解析サーバが外部記憶装置から情報を読み出したり、一時的に解析サーバに接続した調査対象装置が外部記憶装置から情報を読み出して解析サーバに転送したりする。
Next, another embodiment of the present invention will be described.
In this embodiment, the information acquired from the investigation target device is not directly transferred to the analysis server, but is temporarily stored in an external storage device for data storage and then transferred to the analysis server. In an actual system, there may be a case where the investigation target device is operationally prohibited from connecting to the network, or a case where the investigation target device cannot always connect directly to the analysis server due to a firewall setting. Further, since the data size of the disk image is large, it may be difficult to directly transfer from the investigation target apparatus to the analysis server. Therefore, in the present embodiment, information for analysis is temporarily stored in an external storage device connected to the investigation target device. Then, the analysis server reads information from the external storage device, or the investigation target device temporarily connected to the analysis server reads information from the external storage device and transfers it to the analysis server.

図8は、本実施形態が適用される情報処理システムの全体構成を示す図である。
図8に示すように、本実施形態は、調査対象装置300と、解析サーバ400とからなる。調査対象装置300と解析サーバ400とは通信回線を介して接続され、調査対象装置300から解析サーバ400へデータ送信が可能となっている。また、本実施形態の調査対象装置300には、データ記憶装置330が接続されている。調査対象装置300と解析サーバ400との間の接続方式は、特定の具体的な接続方式には限定されない。ただし、上述したように調査対象装置300はネットワークへの接続が禁止されている場合があり得るものとする。なお、図8に示す例では、1台の解析サーバ400に1台の調査対象装置300が接続されているが、これは最低限の構成に過ぎない。実際には、1台の解析サーバ400に複数台の調査対象装置300が接続されていても良い。また、本実施形態の調査対象装置300および解析サーバ400は、図1に示したシステムにおける調査対象装置100および解析サーバ200と同様に、例えば図2に示すようなハードウェア構成にて実現される。
FIG. 8 is a diagram showing an overall configuration of an information processing system to which this embodiment is applied.
As shown in FIG. 8, the present embodiment includes a survey target device 300 and an analysis server 400. The survey target device 300 and the analysis server 400 are connected via a communication line, and data transmission from the survey target device 300 to the analysis server 400 is possible. A data storage device 330 is connected to the investigation target device 300 of this embodiment. The connection method between the investigation target device 300 and the analysis server 400 is not limited to a specific specific connection method. However, as described above, the investigation target device 300 may be prohibited from connecting to the network. In the example shown in FIG. 8, one investigation target device 300 is connected to one analysis server 400, but this is only a minimum configuration. Actually, a plurality of investigation target devices 300 may be connected to one analysis server 400. Further, the survey target device 300 and the analysis server 400 of the present embodiment are realized by a hardware configuration as shown in FIG. 2, for example, in the same manner as the survey target device 100 and the analysis server 200 in the system shown in FIG. .

図9は、本実施形態における調査対象装置300および解析サーバ400の機能構成を説明する図である。
図9を参照すると、本実施形態の調査対象装置300は、時間情報取得部310と、メモリ情報取得部320とを備える。これらの機能は、例えば調査対象装置300が図2に示すコンピュータ10で構成される場合、プログラム制御されたCPU10aにより実現される。プログラムは、磁気ディスク装置10gに格納され、実行時にメインメモリ10cに読み込まれ、メインメモリ10cからCPU10aに読み込まれて実行される。このプログラムは、各種の記憶媒体、例えばフレキシブルディスクやCD−ROMといった着脱式の磁気ディスクや光ディスク、フラッシュメモリその他の半導体メモリ等に格納して配布したり、ネットワークを介して配信したりすることができる。また、図8にも示したように、本実施形態の調査対象装置300には、データ記憶装置330が接続されている。データ記憶装置330は、例えばUSBを介して調査対象装置300に接続される外付けの磁気ディスク装置により実現される。
FIG. 9 is a diagram illustrating the functional configuration of the investigation target device 300 and the analysis server 400 in the present embodiment.
Referring to FIG. 9, the investigation target device 300 of this embodiment includes a time information acquisition unit 310 and a memory information acquisition unit 320. These functions are realized by a program-controlled CPU 10a, for example, when the investigation target device 300 is configured by the computer 10 shown in FIG. The program is stored in the magnetic disk device 10g, read into the main memory 10c at the time of execution, and read from the main memory 10c to the CPU 10a for execution. This program may be stored and distributed in various storage media such as removable magnetic disks and optical disks such as flexible disks and CD-ROMs, flash memory and other semiconductor memories, or distributed via a network. it can. Also, as shown in FIG. 8, a data storage device 330 is connected to the investigation target device 300 of this embodiment. The data storage device 330 is realized by an external magnetic disk device connected to the investigation target device 300 via, for example, a USB.

時間情報取得部310は、磁気ディスク装置10gに記録されているファイルの時間情報(MACタイム等)を読み出し、データ記憶装置330に送る。時間情報の読み出しは、定期的にまたは予め設定された特定のタイミングで行われる。かかる時間情報取得部310の機能は、例えばオペレーティングシステムに実装されているシステムプログラムによって実現される。   The time information acquisition unit 310 reads the time information (MAC time etc.) of the file recorded on the magnetic disk device 10 g and sends it to the data storage device 330. The time information is read out periodically or at a specific timing set in advance. The function of the time information acquisition unit 310 is realized by, for example, a system program installed in an operating system.

メモリ情報取得部320は、メインメモリ10cの記憶イメージであるメモリイメージ(イメージファイル)を取得し、データ記憶装置330に送る。メモリイメージの取得は、定期的にまたは予め設定された特定のタイミングで行われる。   The memory information acquisition unit 320 acquires a memory image (image file) that is a storage image of the main memory 10 c and sends it to the data storage device 330. Acquisition of the memory image is performed periodically or at a specific timing set in advance.

データ記憶装置330は、時間情報取得部310およびメモリ情報取得部320により取得された情報(時間情報およびメモリイメージ)を受け付けて保存する。データ記憶装置330に保存された情報は、調査対象装置300を用いた業務の終了後など、予め設定された特定のタイミングで解析サーバ400へ転送される。調査対象装置300から解析サーバ400へデータを転送できる場合は、調査対象装置300がデータ記憶装置330からデータを読み出して解析サーバ400へ転送すれば良い。調査対象装置300と解析サーバ400との接続は、上述したように通信ケーブルを介して両装置を直接接続しても良い。また、調査対象装置300が通常(業務時間中など)はネットワークへの接続が禁止されている場合は、一時的に接続を許可して解析サーバ400へデータを転送するようにしても良い。一方、データ記憶装置330を解析サーバ400に接続し、解析サーバ400が直接データ記憶装置330からデータを読み出す構成としても良い。   The data storage device 330 receives and stores information (time information and memory image) acquired by the time information acquisition unit 310 and the memory information acquisition unit 320. The information stored in the data storage device 330 is transferred to the analysis server 400 at a specific timing set in advance, such as after the end of the work using the survey target device 300. If data can be transferred from the survey target device 300 to the analysis server 400, the survey target device 300 may read the data from the data storage device 330 and transfer it to the analysis server 400. As described above, the survey target apparatus 300 and the analysis server 400 may be directly connected to each other via a communication cable. In addition, when the investigation target apparatus 300 is normally prohibited from connecting to the network (during business hours, etc.), the connection may be temporarily permitted and data may be transferred to the analysis server 400. On the other hand, the data storage device 330 may be connected to the analysis server 400 so that the analysis server 400 reads data directly from the data storage device 330.

本実施形態の解析サーバ400は、情報抽出部410と、データソート部420と、データ蓄積部430と、データ解析部440とを備える。これらの機能のうち、データ蓄積部430は、例えば解析サーバ400が図2に示すコンピュータ10で構成される場合、磁気ディスク装置10gにより実現される。一方、情報抽出部410、データソート部420およびデータ解析部440は、プログラム制御されたCPU10aにより実現される。プログラムは、磁気ディスク装置10gに格納され、実行時にメインメモリ10cに読み込まれ、メインメモリ10cからCPU10aに読み込まれて実行される。このプログラムは、各種の記憶媒体、例えばフレキシブルディスクやCD−ROMといった着脱式の磁気ディスクや光ディスク、フラッシュメモリその他の半導体メモリ等に格納して配布したり、ネットワークを介して配信したりすることができる。   The analysis server 400 of the present embodiment includes an information extraction unit 410, a data sort unit 420, a data storage unit 430, and a data analysis unit 440. Among these functions, the data storage unit 430 is realized by the magnetic disk device 10g when the analysis server 400 is configured by the computer 10 shown in FIG. 2, for example. On the other hand, the information extraction unit 410, the data sort unit 420, and the data analysis unit 440 are realized by a program-controlled CPU 10a. The program is stored in the magnetic disk device 10g, read into the main memory 10c at the time of execution, and read from the main memory 10c to the CPU 10a for execution. This program may be stored and distributed in various storage media such as removable magnetic disks and optical disks such as flexible disks and CD-ROMs, flash memory and other semiconductor memories, or distributed via a network. it can.

情報抽出部410は、調査対象装置300から受信した情報(磁気ディスク装置10gから得られた時間情報およびメインメモリ10cのメモリイメージ)のうち、メインメモリ10cのメモリイメージを解析し、メモリ情報(プログラムの起動に関する情報)を抽出する。   The information extraction unit 410 analyzes the memory image of the main memory 10c among the information received from the investigation target device 300 (time information obtained from the magnetic disk device 10g and the memory image of the main memory 10c), and stores memory information (program Information on the activation of.

データソート部420は、調査対象装置300から受信したMACタイム等の磁気ディスク情報と情報抽出部410により抽出されたメモリ情報を、時刻により関連づけて(具体的には例えば時系列に整列して)、データ蓄積部430に格納する。ここで、磁気ディスク情報およびメモリ情報は、図1乃至図7を参照して説明した実施形態における磁気ディスク情報およびメモリ情報と同一である。したがって、データソート部420により磁気ディスク情報とメモリ情報とは、各々の時間情報に基づいて関連づけられ、各操作の実行順序が特定される。   The data sorting unit 420 associates the magnetic disk information such as the MAC time received from the investigation target device 300 with the memory information extracted by the information extracting unit 410 according to the time (specifically, for example, in time series). And stored in the data storage unit 430. Here, the magnetic disk information and the memory information are the same as the magnetic disk information and the memory information in the embodiment described with reference to FIGS. Therefore, the data sorting unit 420 associates the magnetic disk information and the memory information based on each time information, and specifies the execution order of each operation.

データ解析部440は、データ蓄積部430からデータを読み出し、調査対象装置300において実施された操作の解析を行う。具体的には例えば、特定のプログラムが起動されたタイミングパターンを解析したり、特定のファイルに対する操作パターンを解析したり、磁気ディスク情報およびメモリ情報に現れる特定のパターンからコンピュータ(調査対象装置300)の操作方法を推定したりすることができる。なお、データ解析部440は必須の構成要件ではなく、データ蓄積部430に蓄積された時系列の磁気ディスク情報およびメモリ情報をリスト形式等で出力するようにしても良い。この場合、出力されたリストを人が閲覧し解析して、コンピュータ(調査対象装置300)に対して行われた操作を推定することができる。   The data analysis unit 440 reads data from the data storage unit 430 and analyzes operations performed in the survey target device 300. Specifically, for example, a timing pattern at which a specific program is activated is analyzed, an operation pattern for a specific file is analyzed, or a computer (investigation target device 300) is selected from a specific pattern appearing in magnetic disk information and memory information. The operation method can be estimated. Note that the data analysis unit 440 is not an essential component, and the time-series magnetic disk information and memory information stored in the data storage unit 430 may be output in a list format or the like. In this case, a person browses and analyzes the output list, and an operation performed on the computer (survey target device 300) can be estimated.

磁気ディスク情報およびメモリ情報を合わせた履歴情報については、図6および図7を参照して上述した通りである。したがって、調査対象装置300における操作に関して、信頼でき活用性の高い履歴が得られる。そして、通常と異なる操作が行われた時間帯を探索すること等が容易になる。上述したように、本実施形態により得られる履歴情報を、既存のデータマイニングの手法を用いて解析することにより、履歴情報の中から通常とは異なる操作およびその操作が行われた時間帯を見つけ出すことも可能である。   The history information combining the magnetic disk information and the memory information is as described above with reference to FIGS. Therefore, a reliable and highly usable history can be obtained regarding the operation in the survey target apparatus 300. And it becomes easy to search for a time zone in which an operation different from the normal operation is performed. As described above, by analyzing the history information obtained by the present embodiment using an existing data mining technique, an operation different from the normal operation and a time zone in which the operation was performed are found from the history information. It is also possible.

本発明の一実施形態が適用される情報処理システムの全体構成を示す図である。1 is a diagram illustrating an overall configuration of an information processing system to which an embodiment of the present invention is applied. 本実施形態の調査対象装置および解析サーバを実現するコンピュータのハードウェア構成を例示する図である。It is a figure which illustrates the hardware constitutions of the computer which implement | achieves the investigation object apparatus and analysis server of this embodiment. 本実施形態における調査対象装置および解析サーバの機能構成を説明する図である。It is a figure explaining the functional structure of the investigation object apparatus and analysis server in this embodiment. 本実施形態において磁気ディスク情報のディスクイメージから抽出される磁気ディスク情報の例を示す図である。It is a figure which shows the example of the magnetic disc information extracted from the disc image of magnetic disc information in this embodiment. 本実施形態においてメインメモリのメモリイメージから抽出されるメモリ情報の例を示す図である。It is a figure which shows the example of the memory information extracted from the memory image of the main memory in this embodiment. 本実施形態における履歴情報(磁気ディスク情報およびメモリ情報)を時系列に並べた例を示す図である。It is a figure which shows the example which arranged the history information (magnetic disk information and memory information) in this embodiment in time series. 本実施形態における履歴情報を時系列に並べた他の例を示す図である。It is a figure which shows the other example which arranged the history information in this embodiment in time series. 本発明の他の実施形態が適用される情報処理システムの全体構成を示す図である。It is a figure which shows the whole structure of the information processing system with which other embodiment of this invention is applied. 本実施形態における調査対象装置および解析サーバの機能構成を説明する図である。It is a figure explaining the functional structure of the investigation object apparatus and analysis server in this embodiment.

符号の説明Explanation of symbols

10a…CPU、10c…メインメモリ、10g…磁気ディスク装置、100、300…調査対象装置、200、400…解析サーバ、110…磁気ディスク情報取得部、120、320…メモリ情報取得部、130…送信制御部、210、410…情報抽出部、220、420…データソート部、230、430…データ蓄積部、240、440…データ解析部、310…時間情報取得部、330…データ記憶装置 DESCRIPTION OF SYMBOLS 10a ... CPU, 10c ... Main memory, 10g ... Magnetic disk device, 100, 300 ... Investigation target device, 200, 400 ... Analysis server, 110 ... Magnetic disk information acquisition unit, 120, 320 ... Memory information acquisition unit, 130 ... Transmission Control unit, 210, 410 ... Information extraction unit, 220, 420 ... Data sort unit, 230, 430 ... Data storage unit, 240, 440 ... Data analysis unit, 310 ... Time information acquisition unit, 330 ... Data storage device

Claims (9)

調査対象装置の磁気ディスク装置の記憶イメージであるディスクイメージを定期的にまたは予め定められたタイミングで当該磁気ディスク装置から取得する磁気ディスク情報取得手段と、
前記磁気ディスク情報取得手段により取得された前記ディスクイメージから前記磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を抽出する第1の情報抽出手段と、
前記調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングで当該メモリから取得するメモリ情報取得手段と、
前記メモリ情報取得手段により取得された前記メモリイメージから前記調査対象装置において起動されたプログラムの種類および当該プログラムの起動時刻の情報を抽出する第2の情報抽出手段と、
前記第1の情報抽出手段により抽出された前記時間情報と前記第2の情報抽出手段により抽出された前記プログラムの起動時刻の情報とを関連づけて記憶手段に格納する格納手段と
を備えることを特徴とする情報処理システム。
Magnetic disk information acquisition means for acquiring a disk image, which is a storage image of the magnetic disk device of the investigation target device, from the magnetic disk device periodically or at a predetermined timing;
First information extraction means for extracting time information representing a time when an operation is performed on a file stored in the magnetic disk device from the disk image acquired by the magnetic disk information acquisition means;
Memory information acquisition means for acquiring a memory image, which is a storage image of a memory of the investigation target device, from the memory periodically or at a predetermined timing;
Second information extraction means for extracting from the memory image acquired by the memory information acquisition means information on the type of program started in the investigation target device and the start time of the program;
Storage means for associating and storing the time information extracted by the first information extraction means and the information on the start time of the program extracted by the second information extraction means in a storage means. Information processing system.
前記格納手段は、前記第1の情報抽出手段および前記第2の情報抽出手段により抽出された情報を時系列に整列して前記記憶手段に格納することを特徴とする請求項1に記載の情報処理システム。   The information according to claim 1, wherein the storage means stores the information extracted by the first information extraction means and the second information extraction means in time series in the storage means. Processing system. 前記第1の情報抽出手段は、前記ディスクイメージから、前記時間情報として少なくとも前記ファイルの作成時刻および最終更新時刻の情報を抽出することを特徴とする請求項1に記載の情報処理システム。   2. The information processing system according to claim 1, wherein the first information extraction unit extracts at least information on a creation time and a last update time of the file as the time information from the disk image. 調査対象装置の磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を定期的にまたは予め定められたタイミングで前記磁気ディスク装置から読み出して取得する時間情報取得手段と、
前記調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングで当該メモリから取得するメモリ情報取得手段と、
前記メモリ情報取得手段により取得された前記メモリイメージから前記調査対象装置において起動されたプログラムの種類および当該プログラムの起動時刻の情報を抽出する情報抽出手段と、
前記時間情報取得手段により取得された前記時間情報と前記情報抽出手段により抽出された前記プログラムの起動時刻の情報とを関連づけて記憶手段に格納する格納手段と
を備えることを特徴とする情報処理システム。
Time information acquisition means for reading out and acquiring from the magnetic disk device periodically or at a predetermined timing time information indicating a time when an operation is performed on a file stored in the magnetic disk device of the investigation target device;
Memory information acquisition means for acquiring a memory image, which is a storage image of a memory of the investigation target device, from the memory periodically or at a predetermined timing;
Information extraction means for extracting from the memory image acquired by the memory information acquisition means information on the type of program started in the investigation target device and the start time of the program;
An information processing system comprising: storage means for associating and storing the time information acquired by the time information acquisition means and information on the start time of the program extracted by the information extraction means in a storage means .
前記格納手段は、前記時間情報取得手段により取得された情報および前記情報抽出手段により抽出された情報を時系列に整列して前記記憶手段に格納することを特徴とする請求項4に記載の情報処理システム。   5. The information according to claim 4, wherein the storage means stores the information acquired by the time information acquisition means and the information extracted by the information extraction means in time series in the storage means. Processing system. 前記時間情報取得手段は、前記磁気ディスク装置から、少なくとも前記ファイルの作成時刻および最終更新時刻の情報を読み出すことを特徴とする請求項4に記載の情報処理システム。   5. The information processing system according to claim 4, wherein the time information acquisition unit reads at least information on the creation time and the last update time of the file from the magnetic disk device. 調査対象装置と、当該調査対象装置に接続された解析サーバとを備え、
前記調査対象装置は、
前記調査対象装置の磁気ディスク装置の記憶イメージであるディスクイメージを定期的にまたは予め定められたタイミングで当該磁気ディスク装置から取得する磁気ディスク情報取得部と、
前記調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングで当該メモリから取得するメモリ情報取得部と、
前記磁気ディスク情報取得部により取得された前記ディスクイメージおよび前記メモリ情報取得部により取得された前記メモリイメージを前記解析サーバへ送信する送信制御部とを備え、
前記解析サーバは、
前記磁気ディスク情報取得部により取得された前記ディスクイメージから前記磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を抽出し、前記メモリ情報取得部により取得された前記メモリイメージから前記調査対象装置において起動されたプログラムの種類および当該プログラムの起動時刻の情報を抽出する情報抽出部と、
前記情報抽出部により抽出された情報を時系列に整列して記憶手段に格納する整列部と
を備えることを特徴とする情報処理システム。
A survey target device, and an analysis server connected to the survey target device;
The survey target device is:
A magnetic disk information acquisition unit that acquires a disk image, which is a storage image of the magnetic disk device of the investigation target device, from the magnetic disk device periodically or at a predetermined timing;
A memory information acquisition unit for acquiring a memory image, which is a storage image of the memory of the investigation target device, from the memory periodically or at a predetermined timing;
A transmission control unit that transmits the disk image acquired by the magnetic disk information acquisition unit and the memory image acquired by the memory information acquisition unit to the analysis server;
The analysis server
The memory image acquired by the memory information acquisition unit is extracted from the disk image acquired by the magnetic disk information acquisition unit to extract time information representing the time when an operation is performed on the file stored in the magnetic disk device. An information extraction unit for extracting information on the type of the program started in the investigation target device and the start time of the program;
An information processing system comprising: an alignment unit that aligns information extracted by the information extraction unit in time series and stores the information in a storage unit.
調査対象装置と、当該調査対象装置に接続された解析サーバとを備え、
前記調査対象装置は、
前記調査対象装置の磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を定期的にまたは予め定められたタイミングで当該磁気ディスク装置から読み出して取得する時間情報取得部と、
前記調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングで当該メモリから取得するメモリ情報取得部と、
前記時間情報取得部により取得された前記時間情報および前記メモリ情報取得部により取得された前記メモリイメージを前記解析サーバへ送信する送信制御部とを備え、
前記解析サーバは、
前記メモリ情報取得部により取得された前記メモリイメージから前記調査対象装置において起動されたプログラムの種類および当該プログラムの起動時刻の情報を抽出する情報抽出部と、
前記時間情報取得部により取得された前記時間情報および前記情報抽出部により抽出された情報を時系列に整列して記憶手段に格納する整列部と
を備えることを特徴とする情報処理システム。
A survey target device, and an analysis server connected to the survey target device;
The survey target device is:
A time information acquisition unit that reads out and acquires time information indicating a time when an operation is performed on a file stored in the magnetic disk device of the investigation target device from the magnetic disk device periodically or at a predetermined timing;
A memory information acquisition unit for acquiring a memory image, which is a storage image of the memory of the investigation target device, from the memory periodically or at a predetermined timing;
A transmission control unit that transmits the time information acquired by the time information acquisition unit and the memory image acquired by the memory information acquisition unit to the analysis server;
The analysis server
An information extraction unit that extracts information about the type of the program activated in the investigation target device and the activation time of the program from the memory image acquired by the memory information acquisition unit;
An information processing system comprising: an alignment unit that aligns the time information acquired by the time information acquisition unit and the information extracted by the information extraction unit in time series and stores them in a storage unit.
前記調査対象装置は、前記時間情報取得部および前記メモリ情報取得部により取得された情報を保存する外部記憶装置をさらに備え、
前記解析サーバは、前記外部記憶装置から前記情報を読み出して取得することを特徴とする請求項8に記載の情報処理システム。
The investigation target device further includes an external storage device that stores information acquired by the time information acquisition unit and the memory information acquisition unit,
The information processing system according to claim 8, wherein the analysis server reads and acquires the information from the external storage device.
JP2007033640A 2007-02-14 2007-02-14 Information processing system Expired - Fee Related JP4802114B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007033640A JP4802114B2 (en) 2007-02-14 2007-02-14 Information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007033640A JP4802114B2 (en) 2007-02-14 2007-02-14 Information processing system

Publications (2)

Publication Number Publication Date
JP2008197993A JP2008197993A (en) 2008-08-28
JP4802114B2 true JP4802114B2 (en) 2011-10-26

Family

ID=39756863

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007033640A Expired - Fee Related JP4802114B2 (en) 2007-02-14 2007-02-14 Information processing system

Country Status (1)

Country Link
JP (1) JP4802114B2 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03246643A (en) * 1990-02-23 1991-11-05 Fujitsu Ltd Processing for editing dump summary
JP2833976B2 (en) * 1992-11-27 1998-12-09 日本電気株式会社 High load resource evaluation system
JP2002041297A (en) * 2000-07-28 2002-02-08 Ricoh Co Ltd Software environment management method
JP2006172073A (en) * 2004-12-15 2006-06-29 Chugoku Electric Power Co Inc:The Program, information processing device, and operation history storage method

Also Published As

Publication number Publication date
JP2008197993A (en) 2008-08-28

Similar Documents

Publication Publication Date Title
US7882069B2 (en) Tag based backup and recovery
JP4215286B2 (en) Storage device content organization system and storage device content organization method
US8468522B2 (en) Virtual machine system, system for forcing policy, method for forcing policy, and virtual machine control program
US7921230B2 (en) USB devices pre-configuration for KVM switch
US8793414B2 (en) Status information saving among multiple computers
US10366226B2 (en) Malicious code analysis device and method based on external device connected via USB cable
US20090138969A1 (en) Device and method for blocking autorun of malicious code
US20040143609A1 (en) System and method for data extraction in a non-native environment
WO2008023030A1 (en) Signature based client automatic data backup system
JP2008146601A (en) Information processing apparatus and information processing method
US7831821B2 (en) System backup and recovery solution based on BIOS
US9280423B1 (en) Mounting block level backup images
WO2010052999A1 (en) Maintenance system, maintenance method, and maintenance program
US20030131150A1 (en) Installing device driver through web page
Jeong et al. Forensic signature for tracking storage devices: Analysis of UEFI firmware image, disk signature and windows artifacts
JP2003196241A (en) User authentication information setting device and client computer
Seo et al. A study on memory dump analysis based on digital forensic tools
US9129275B2 (en) POS device
JPWO2015198600A1 (en) Analysis device, analysis method, and analysis program
US12242609B2 (en) Exact restoration of a computing system to the state prior to infection
US20050131960A1 (en) Method and system of accessing at least one target file in a computer system with an operating system with file locking implemented at file-open time
JP4802114B2 (en) Information processing system
US10061653B1 (en) Method to expose files on top of a virtual volume
US8392759B2 (en) Test method, test program, test apparatus, and test system
US20130086318A1 (en) Safe management of data storage using a volume manager

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100127

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110630

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110712

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110808

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140812

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4802114

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees