JP6180166B2 - 情報処理装置、システム、コピー操作検出方法およびコンピュータプログラム - Google Patents
情報処理装置、システム、コピー操作検出方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP6180166B2 JP6180166B2 JP2013086896A JP2013086896A JP6180166B2 JP 6180166 B2 JP6180166 B2 JP 6180166B2 JP 2013086896 A JP2013086896 A JP 2013086896A JP 2013086896 A JP2013086896 A JP 2013086896A JP 6180166 B2 JP6180166 B2 JP 6180166B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- copy operation
- information
- capturing
- access requests
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Description
任意のプログラムからファイルシステムに対する複数のアクセス要求をフィルタドライバにより捕捉する捕捉手段と、
前記捕捉手段により捕捉された複数のアクセス要求の順序が特定の順序であるかどうかに基づき、ファイルに対するコピー操作を検出する検出手段と、
前記捕捉手段により捕捉されたアクセス要求に付随するオプション情報を抽出する抽出手段と、
前記抽出手段により抽出された前記オプション情報が特定の種類のオプション情報であり、かつ、カウント値が所定値であるときに、当該カウント値を1つ増加するカウント手段と
を有し、
前記検出手段は、
前記捕捉手段により捕捉された複数のアクセス要求の順序が特定の順序であり、かつ、前記捕捉手段により捕捉された複数のアクセス要求の数が特定の数であるときに、前記ファイルについてコピー操作が実行されようとしていると判定し、更に、
前記アクセス要求の対象となったファイルがオープンされてからクローズされるまでに前記カウント手段によりカウントされたカウント値が、コピー操作に特有の値であるときに、前記ファイルについてコピー操作が実行されようとしていると判定する
ことを特徴とする情報処理装置を提供する。
・ファイル識別ID(ファイルオブジェクト、ファイルハンドル、フルパス、ファイル名、ハッシュ値などファイルを識別できるID)
・ファイル操作を行ったユーザのセッションID(ログインユーザ名を特定するために使用される)
・アプリケーションのプロセスID(プロセス名を特定するために使用される)
・ファイルの操作時刻(コピー開始時刻やコピー終了時刻)
・アクセス要求名(ファイルを操作するために発行されるアクセス要求の名称であり、上述したIRP_MJ_CREATEなど)
分析プログラム204は、フィルタドライバ202が捕捉したアクセス要求を受信し、アクセスログを作成したり、アクセスログを分析したりする。また、フィルタドライバ202は、アプリケーション201から横取りしたアクセス要求をファイルシステムドライバ203に渡す。これにより、ファイルシステムドライバ203は、アプリケーション201からのアクセス要求を受信してアクセス要求に対応した処理を実行できる。つまり、アプリケーション201からのアクセス要求が当初の宛先であるファイルシステムドライバ203に渡されることで、ファイルシステムへのアクセスが実行される。
上述した実施形態では、ファイルシステムドライバを通じたファイルへのアクセス要求を検出するものとして説明した。しかし、フィルタドライバ202は、USBインタフェース107を介して接続されたリムーバブルメディア上のファイルへのアクセス要求や、ネットワークインタフェース104を介したファイルへのアクセス要求を捕捉することで、コピー操作を検出してもよい。
記憶装置110にコピー操作を禁止されるファイルを示すコピー禁止リストを予め記憶しておく。図12が示すように、S608でコピー操作が検出されると、S1201に進む。なお、コピー禁止リストは、コピー操作を禁止されるファイルを示す情報(たとえば、ファイル名)に限らず、特定ユーザや特定プロセスでもよい。
Claims (11)
- 任意のプログラムからファイルシステムに対する複数のアクセス要求をフィルタドライバにより捕捉する捕捉手段と、
前記捕捉手段により捕捉された複数のアクセス要求の順序が特定の順序であるかどうかに基づき、ファイルに対するコピー操作を検出する検出手段と、
前記捕捉手段により捕捉されたアクセス要求に付随するオプション情報を抽出する抽出手段と、
前記抽出手段により抽出された前記オプション情報が特定の種類のオプション情報であり、かつ、カウント値が所定値であるときに、当該カウント値を1つ増加するカウント手段と
を有し、
前記検出手段は、
前記捕捉手段により捕捉された複数のアクセス要求の順序が特定の順序であり、かつ、前記捕捉手段により捕捉された複数のアクセス要求の数が特定の数であるときに、前記ファイルについてコピー操作が実行されようとしていると判定し、更に、
前記アクセス要求の対象となったファイルがオープンされてからクローズされるまでに前記カウント手段によりカウントされたカウント値が、コピー操作に特有の値であるときに、前記ファイルについてコピー操作が実行されようとしていると判定する
ことを特徴とする情報処理装置。 - 任意のプログラムからファイルシステムに対する複数のアクセス要求をフィルタドライバにより捕捉する捕捉手段と、
前記捕捉手段により捕捉された複数のアクセス要求の順序が特定の順序であるかどうかに基づき、ファイルに対するコピー操作を検出する検出手段と
を有し、
前記検出手段は、第1のファイルに対する複数のアクセス要求の順序が特定の順序であり、かつ、新たに作成された第2のファイルに対するアクセス要求に基づいて抽出されたプロセスID、スレッドIDおよび日時に関する情報と、前記第1のファイルのプロセスID、スレッドIDおよび日時に関する情報とが一致したときに、前記第1のファイルをコピーして前記第2のファイルが作成されていると判定することを特徴とする情報処理装置。 - 前記特定の種類のオプション情報の1つは、前記アクセス要求がファイル情報の取得要求であることを示すオプション情報であることを特徴とする請求項1に記載の情報処理装置。
- 前記検出手段がコピー操作を検出したときに、コピー操作の対象となったファイルのパス名を含むログを作成するログ作成手段をさらに含むことを特徴とする請求項1ないし3のいずれか1項に記載の情報処理装置。
- 前記検出手段がコピー操作を検出したときに、コピー操作を停止させる停止手段をさらに含むことを特徴とする請求項1ないし3のいずれか1項に記載の情報処理装置。
- 前記検出手段がコピー操作を検出したときに、コピー操作により作成された新しいファイルを削除する削除手段をさらに含むことを特徴とする請求項1ないし3のいずれか1項に記載の情報処理装置。
- コンピュータを、請求項1乃至6の何れか1項に記載の情報処理装置の各手段として機能させるためのコンピュータプログラム。
- 捕捉手段が、任意のプログラムからファイルシステムに対する複数のアクセス要求をフィルタドライバにより捕捉する捕捉工程と、
検出手段が、前記捕捉工程において捕捉された複数のアクセス要求の順序が特定の順序であるかどうかに基づき、ファイルに対するコピー操作を検出する検出工程と、
抽出手段が、前記捕捉工程で前記捕捉手段により捕捉されたアクセス要求に付随するオプション情報を抽出する抽出工程と、
カウント手段が、前記抽出工程で前記抽出手段により抽出された前記オプション情報が特定の種類のオプション情報であり、かつ、カウント値が所定値であるときに、当該カウント値を1つ増加するカウント工程と
を有し、
前記検出工程において、前記検出手段は、
前記捕捉工程で前記捕捉手段により捕捉された複数のアクセス要求の順序が特定の順序であり、かつ、前記捕捉工程で前記捕捉手段により捕捉された複数のアクセス要求の数が特定の数であるときに、前記ファイルについてコピー操作が実行されようとしていると判定し、更に、
前記アクセス要求の対象となったファイルがオープンされてからクローズされるまでに前記カウント手段によりカウントされたカウント値が、コピー操作に特有の値であるときに、前記ファイルについてコピー操作が実行されようとしていると判定する
ことを特徴とするコピー操作検出方法。 - 捕捉手段が、任意のプログラムからファイルシステムに対する複数のアクセス要求をフィルタドライバにより捕捉する捕捉工程と、
検出手段が、前記捕捉工程で前記捕捉手段により捕捉された複数のアクセス要求の順序が特定の順序であるかどうかに基づき、ファイルに対するコピー操作を検出する検出工程と
を有し、
前記検出工程において、前記検出手段は、第1のファイルに対する複数のアクセス要求の順序が特定の順序であり、かつ、新たに作成された第2のファイルに対するアクセス要求に基づいて抽出されたプロセスID、スレッドIDおよび日時に関する情報と、前記第1のファイルのプロセスID、スレッドIDおよび日時に関する情報とが一致したときに、前記第1のファイルをコピーして前記第2のファイルが作成されていると判定することを特徴とすることを特徴とするコピー操作検出方法。 - 情報処理装置と、当該情報処理装置において実行されるコピー操作を検出するサーバ装置とを有するシステムであって、
前記情報処理装置は、
任意のプログラムからファイルシステムに対する複数のアクセス要求をフィルタドライバにより捕捉する捕捉手段
を有し、
前記サーバ装置は、
前記情報処理装置の前記捕捉手段により捕捉された複数のアクセス要求の順序が特定の順序であるかどうかに基づき、ファイルに対するコピー操作を検出する検出手段と、
前記捕捉手段により捕捉されたアクセス要求に付随するオプション情報を抽出する抽出手段と、
前記抽出手段により抽出された前記オプション情報が特定の種類のオプション情報であり、かつ、カウント値が所定値であるときに、当該カウント値を1つ増加するカウント手段と
を有し、
前記検出手段は、
前記捕捉手段により捕捉された複数のアクセス要求の順序が特定の順序であり、かつ、前記捕捉手段により捕捉された複数のアクセス要求の数が特定の数であるときに、前記ファイルについてコピー操作が実行されようとしていると判定し、更に、
前記アクセス要求の対象となったファイルがオープンされてからクローズされるまでに前記カウント手段によりカウントされたカウント値が、コピー操作に特有の値であるときに、前記ファイルについてコピー操作が実行されようとしていると判定することを特徴とするシステム。 - 情報処理装置と、当該情報処理装置において実行されるコピー操作を検出するサーバ装置とを有するシステムであって、
前記情報処理装置は、
任意のプログラムからファイルシステムに対する複数のアクセス要求をフィルタドライバにより捕捉する捕捉手段
を有し、
前記サーバ装置は、
前記情報処理装置の前記捕捉手段により捕捉された複数のアクセス要求の順序が特定の順序であるかどうかに基づき、ファイルに対するコピー操作を検出する検出手段
を有し、
前記検出手段は、第1のファイルに対する複数のアクセス要求の順序が特定の順序であり、かつ、新たに作成された第2のファイルに対するアクセス要求に基づいて抽出されたプロセスID、スレッドIDおよび日時に関する情報と、前記第1のファイルのプロセスID、スレッドIDおよび日時に関する情報とが一致したときに、前記第1のファイルをコピーして前記第2のファイルが作成されていると判定することを特徴とするシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013086896A JP6180166B2 (ja) | 2013-04-17 | 2013-04-17 | 情報処理装置、システム、コピー操作検出方法およびコンピュータプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013086896A JP6180166B2 (ja) | 2013-04-17 | 2013-04-17 | 情報処理装置、システム、コピー操作検出方法およびコンピュータプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014211716A JP2014211716A (ja) | 2014-11-13 |
| JP6180166B2 true JP6180166B2 (ja) | 2017-08-16 |
Family
ID=51931448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013086896A Active JP6180166B2 (ja) | 2013-04-17 | 2013-04-17 | 情報処理装置、システム、コピー操作検出方法およびコンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6180166B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6902994B2 (ja) * | 2017-12-25 | 2021-07-14 | キヤノン電子株式会社 | 情報処理システム、情報処理方法、情報処理装置、及びプログラム |
| CN115357883B (zh) * | 2022-09-06 | 2026-02-27 | 郑州大学 | 一种基于AutoCAD的绘图作弊辨识方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5226199B2 (ja) * | 2000-11-20 | 2013-07-03 | ハミングヘッズ株式会社 | 情報処理装置及びその方法、プログラム |
| JP2011138422A (ja) * | 2009-12-29 | 2011-07-14 | Nippon Telegr & Teleph Corp <Ntt> | 行動パターン検出装置、行動パターン検出方法及び行動パターン検出プログラム |
-
2013
- 2013-04-17 JP JP2013086896A patent/JP6180166B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014211716A (ja) | 2014-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6549767B2 (ja) | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム | |
| US11159541B2 (en) | Program, information processing device, and information processing method | |
| US20150089647A1 (en) | Distributed Sample Analysis | |
| JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
| JP5996145B1 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
| JP6058246B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| KR102105885B1 (ko) | 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템 | |
| CN105607986A (zh) | 用户行为日志数据采集方法及装置 | |
| CN104881483B (zh) | 用于Hadoop平台数据泄露攻击的自动检测取证方法 | |
| JP6180166B2 (ja) | 情報処理装置、システム、コピー操作検出方法およびコンピュータプログラム | |
| JP2020502699A (ja) | コンピュータファイルメタデータの収集および表示を実施するためのアーキテクチャ、方法および装置 | |
| CN111625853B (zh) | 一种快照处理方法、装置、设备及可读存储介质 | |
| KR101751876B1 (ko) | 이동식저장장치의 데이터 접근 이벤트 로깅 방법 및 시스템 | |
| JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
| JP2021068133A (ja) | 情報処理装置、情報処理方法、情報処理システムおよびプログラム | |
| KR101772129B1 (ko) | 콘텐츠 무결성을 검증하는 지능형 스토리지 시스템 | |
| JP2008129707A (ja) | プログラム分析装置、プログラム分析方法、及びプログラム | |
| US7974953B1 (en) | System and method for deletion of writeable PPIS | |
| JP2023053359A (ja) | プログラム及び情報処理装置 | |
| TW201814577A (zh) | 用於防止計算機系統中數據惡意更改的方法和系統 | |
| JP6894220B2 (ja) | 情報処理装置及びその制御方法、プログラムおよびシステム | |
| CN105224871B (zh) | 一种病毒清除方法及装置 | |
| JPWO2022107290A5 (ja) | ||
| JP6404771B2 (ja) | ログ判定装置、ログ判定方法、およびログ判定プログラム | |
| Roussev | The cyber security body of knowledge |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160330 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170227 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170420 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170616 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170718 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6180166 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |