[go: up one dir, main page]

JP6254414B2 - Information processing apparatus, information processing system, and information processing method - Google Patents

Information processing apparatus, information processing system, and information processing method Download PDF

Info

Publication number
JP6254414B2
JP6254414B2 JP2013211423A JP2013211423A JP6254414B2 JP 6254414 B2 JP6254414 B2 JP 6254414B2 JP 2013211423 A JP2013211423 A JP 2013211423A JP 2013211423 A JP2013211423 A JP 2013211423A JP 6254414 B2 JP6254414 B2 JP 6254414B2
Authority
JP
Japan
Prior art keywords
program
list
information processing
information
registered
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013211423A
Other languages
Japanese (ja)
Other versions
JP2014096142A (en
JP2014096142A5 (en
Inventor
和希 高野
和希 高野
智 米川
智 米川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Electronics Inc
Original Assignee
Canon Electronics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Electronics Inc filed Critical Canon Electronics Inc
Priority to JP2013211423A priority Critical patent/JP6254414B2/en
Priority to PCT/JP2013/006022 priority patent/WO2014057668A1/en
Publication of JP2014096142A publication Critical patent/JP2014096142A/en
Priority to US14/664,410 priority patent/US9767280B2/en
Publication of JP2014096142A5 publication Critical patent/JP2014096142A5/ja
Application granted granted Critical
Publication of JP6254414B2 publication Critical patent/JP6254414B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Description

本発明は、プログラムの起動可否を制御する情報処理に関する。   The present invention relates to information processing for controlling whether or not a program can be started.

近年、企業に対するサイバー攻撃の新しい形態として、企業内の特定の社員が使用または所有するコンピュータを標的にし、そのコンピュータにマルウェアを感染させ、企業内の情報を盗み出す、標的型攻撃という手法が増えている。   In recent years, as a new form of cyber attack on companies, there has been an increasing number of methods called targeted attacks that target computers that are used or owned by specific employees in the company, infect them with malware, and steal information within the company. Yes.

従来のアンチウィルスソフトなどは、ブラックリスト方式によるウィルス定義ファイルを用いる。しかし、コンピュータウィルスを含むマルウェアの種類は日に万単位で増加している。そのため、ウィルス定義ソフトの更新は、マルウェアの急増に追いつかない状況にあり、従来のアンチウィルスソフトによる標的型攻撃への対処は難しい状況にある。   Conventional anti-virus software uses a virus definition file based on a black list method. However, the number of types of malware, including computer viruses, is increasing in the thousands. For this reason, virus definition software updates cannot keep up with the rapid increase in malware, and it is difficult to deal with targeted attacks using conventional antivirus software.

一方、既知のプログラムの実行を許可し、それ以外のプログラムの実行を制限する、いわゆるホワイトリスト型の制御方式を用いる標的型攻撃への対処が存在する(例えば、特許文献1)。ホワイトリスト型の制御方式を用いるコンピュータのプログラムをアップデートする場合、当該アップデート用のアップデータをホワイトリストに登録すればよい。   On the other hand, there is a countermeasure against a target-type attack using a so-called white list type control method that permits execution of a known program and restricts execution of other programs (for example, Patent Document 1). When updating a computer program using a white list type control method, the update updater may be registered in the white list.

しかし、アップデータは、通常、別の実行ファイルを複数生成することが多い。従って、アップデータをホワイトリストに登録したとしても、アップデータが生成する実行ファイルはホワイトリストに登録されない。その結果、アップデータが生成した実行ファイルがコンピュータにインストールされてアップデートが完了したとしても、それら実行ファイルを起動することができず、アップデート後のプログラムが正常に動作しない場合がある。   However, the updater usually generates a plurality of different executable files. Therefore, even if the updater is registered in the white list, the execution file generated by the updater is not registered in the white list. As a result, even if the executable file generated by the updater is installed in the computer and the update is completed, the executable file cannot be started, and the updated program may not operate normally.

従来、システム管理者などは、アップデータが生成する実行ファイルを抽出し、当該実行ファイルをホワイトリストに登録する作業を行っていた。この方法によれば、アップデータが信頼できるか否かの判断だけでなく、実行ファイルを抽出しホワイトリストを更新する負担が大きい作業が必要になる。   Conventionally, a system administrator or the like has performed an operation of extracting an executable file generated by the updater and registering the executable file in a white list. According to this method, it is necessary not only to determine whether the updater is reliable, but also to perform an operation with a large burden of extracting the executable file and updating the white list.

特開2009-259160号公報JP 2009-259160

本発明は、リスト型の制御方式を用いる場合の、リストの更新にかかる作業を軽減することを目的とする。   An object of the present invention is to reduce the work for updating a list when a list-type control method is used.

本発明は、前記の目的を達成する一手段として、以下の構成を備える。   The present invention has the following configuration as one means for achieving the above object.

本発明にかかる情報処理装置は、プログラムの起動およびプログラムの生成または変更の検知、もしくは、プログラムの検索を行う検知手段と、プログラムを識別する識別手段と、実行が許可されたプログラムのリストであるホワイトリスト、および実行が禁止されたプログラムのリストであるブラックリストのうち一方のリストにプログラムを登録する登録手段とを有し、前記識別手段は、前記検知手段によって起動が検知されたプログラムまたは前記検知手段の検索によって検出されたプログラムのプログラム情報に基づき、前記プログラムがプログラム情報に関する所定の基準を満たすか否かを判定し、前記登録手段は、前記所定の基準を満たすと判定されたプログラムを前記一方のリストに登録し、前記登録手段は、前記所定の基準を満たすと判定されたプログラムに昇格権限を付与するために、前記プログラムと前記昇格権限の対応を前記一方のリストに登録し、前記検知手段によって前記昇格権限が付与されたプログラムによる子プログラムの生成または変更が検知された場合、前記登録手段は、前記子プログラムを前記一方のリストに登録することを特徴とする。 An information processing apparatus according to the present invention is a list of detection means for detecting program startup and program generation or change, or program search, identification means for identifying a program, and a program that is permitted to be executed. A registration unit that registers a program in one of a white list and a black list that is a list of programs that are prohibited from being executed, and the identification unit includes the program whose activation is detected by the detection unit or the Based on the program information of the program detected by the search of the detection means, it is determined whether or not the program satisfies a predetermined criterion regarding the program information, and the registration means determines the program determined to satisfy the predetermined criterion registered in the list of the one, the registration means, the predetermined reference In order to give a promotion authority to a program determined to satisfy, the correspondence between the program and the promotion authority is registered in the one list, and the generation of a child program by the program to which the promotion authority is given by the detection means or When a change is detected, the registration means registers the child program in the one list .

本発明によれば、リスト型の制御方式を用いる場合の、リストの更新にかかる作業を軽減することができる。   According to the present invention, it is possible to reduce work for updating a list when a list-type control method is used.

ホワイトリスト制御システムの構成例を示すブロック。The block which shows the structural example of a white list control system. サーバが存在しないホワイトリスト制御システムの構成例を示すブロック図。The block diagram which shows the structural example of the white list control system in which a server does not exist. ホワイトリストの一例を示す図。The figure which shows an example of a white list. サーバに存在するホワイトリストマスタの一例を示す図。The figure which shows an example of the white list master which exists in a server. ホワイトリスト制御処理の一例を説明するフローチャート。The flowchart explaining an example of a white list control process. インストーラが起動された場合のホワイトリスト制御処理の一例を説明するフローチャート。The flowchart explaining an example of a white list control process when an installer is started. プログラム起動をトリガとするホワイトリストの更新処理を説明するフローチャート。The flowchart explaining the update process of the white list | wrist triggered by program starting. プログラム検索をトリガとするホワイトリストの更新処理を説明するフローチャート。The flowchart explaining the update process of the white list | wrist which makes a program search a trigger.

以下、本発明にかかる実施例の情報処理システムの情報処理を図面を参照して詳細に説明する。   Hereinafter, information processing of an information processing system according to an embodiment of the present invention will be described in detail with reference to the drawings.

[システムの構成]
図1のブロックによりホワイトリスト制御システムの構成例を示す。ホワイトリスト制御システムは、情報処理装置と、情報処理装置を管理するサーバ装置を含む。
[System configuration]
An example of the configuration of the whitelist control system is shown by the blocks in FIG. The white list control system includes an information processing device and a server device that manages the information processing device.

図1において、クライアントコンピュータ(以下、クライアント)10は、ホワイトリスト制御システムにおける情報処理装置である。クライアント10は、例えば、企業、学校、行政機関または家庭などに設置されたパーソナルコンピュータ(PC)や、個人が使用または所有するタブレット端末やスマートフォンなどのコンピュータ機器である。   In FIG. 1, a client computer (hereinafter referred to as a client) 10 is an information processing apparatus in a white list control system. The client 10 is, for example, a personal computer (PC) installed in a company, school, government agency, home, or the like, or a computer device such as a tablet terminal or a smartphone used or owned by an individual.

サーバコンピュータ(以下、サーバ)20は、ホワイトリスト制御システムにおける情報処理装置を管理するサーバ装置である。サーバ20は、複数のクライアント10からホワイトリスト120の情報を取得してデータベース化したり、定期的にクライアント10にホワイトリストデータを送信してホワイトリスト120の更新を行う。   A server computer (hereinafter referred to as a server) 20 is a server device that manages an information processing device in the whitelist control system. The server 20 acquires the information of the white list 120 from a plurality of clients 10 and creates a database, or periodically transmits white list data to the client 10 to update the white list 120.

ネットワーク300は、インターネットやイントラネットなどのコンピュータネットワークである。クライアント10は、ネットワーク300を介して、サーバ20や、図示しないウェブサーバやFTPサーバなどと接続する。   The network 300 is a computer network such as the Internet or an intranet. The client 10 is connected to the server 20, a web server, an FTP server, etc. (not shown) via the network 300.

なお、簡潔化のため図1にはクライアント10とサーバ20を一台ずつ示すが、実際には、ホワイトリスト制御システムに複数のクライアントや複数のサーバが存在することができる。   For simplification, FIG. 1 shows one client 10 and one server 20, but in reality, a plurality of clients and a plurality of servers can exist in the whitelist control system.

●クライアント
クライアント10において、演算装置10Cはマイクロプロセッサ(CPU)である。演算装置10Cは、メモリ10EのROMに格納されたBIOSなどのブートプログラムに従い記憶装置10Bに格納されたオペレーティングシステム(OS)を起動し、さらにOSに従い各種の常駐プログラム(例えば制御プログラム113など)を起動する。その際、演算装置10Cは、メモリ10EのRAMをワークエリアとして使用する。また、OSは例えばWindows(登録商標)、Mac OS(登録商標)、Linux(登録商標)、iOS(商標)、Android(商標)などである。
Client In the client 10, the computing device 10C is a microprocessor (CPU). The arithmetic device 10C starts the operating system (OS) stored in the storage device 10B according to a boot program such as BIOS stored in the ROM of the memory 10E, and further executes various resident programs (such as the control program 113) according to the OS. to start. At that time, the arithmetic device 10C uses the RAM of the memory 10E as a work area. The OS is, for example, Windows (registered trademark), Mac OS (registered trademark), Linux (registered trademark), iOS (trademark), Android (trademark), or the like.

記憶装置10Bは、ハードディスクドライブ(HDD)やソリッドステートドライブ(SSD)などであり、OSのほかにクライアント10上で稼働する各種のプログラム100やデータ101を格納する。詳細は後述するが、記憶装置10Bが格納する各種プログラム100には識別プログラム110、登録プログラム111、検知プログラム112、制御プログラム113、ファイル検索ツール114などが含まれる。   The storage device 10B is a hard disk drive (HDD), a solid state drive (SSD), or the like, and stores various programs 100 and data 101 running on the client 10 in addition to the OS. As will be described in detail later, various programs 100 stored in the storage device 10B include an identification program 110, a registration program 111, a detection program 112, a control program 113, a file search tool 114, and the like.

なお、プログラム100は、識別プログラム110など各種機能ごとのプログラムを複数備えてもよいし、各種機能を備えた一つのプログラムでもよい。また、詳細は後述するが、記憶装置10Bが格納する各種データ101にはホワイトリスト120、昇格基準ルール130、ブラックリスト140などが含まれる。   Note that the program 100 may include a plurality of programs for various functions such as the identification program 110, or may be a single program having various functions. Although details will be described later, the various data 101 stored in the storage device 10B includes a white list 120, a promotion standard rule 130, a black list 140, and the like.

I/Oデバイス10Aは、ポインティングデバイス(マウスなど)やキーボードに接続するための入出力インタフェース(I/F)、または、タッチパネルを組み込んだディスプレイなどである。なお、キーボードはソフトウェアキーボードでもよい。また、I/Oデバイス10Aは、入力された操作者の音声を音声認識機能によって認識し、認識した音声を演算装置10Cへ伝達する、マイク等を含む音声式入力部でもよい。また、I/Oデバイス10Aは、情報を表示するためのユーザインタフェース(UI)としても機能する。   The I / O device 10A is an input / output interface (I / F) for connecting to a pointing device (such as a mouse) or a keyboard, or a display incorporating a touch panel. The keyboard may be a software keyboard. In addition, the I / O device 10A may be a voice input unit including a microphone or the like that recognizes the input operator's voice using a voice recognition function and transmits the recognized voice to the arithmetic device 10C. The I / O device 10A also functions as a user interface (UI) for displaying information.

ネットワークI/F 10Dは、ネットワーク300とのインタフェースであり、他のコンピュータと通信するための通信回路である。演算装置10Cは、ネットワークI/F 10Dを介して、例えばホワイトリスト120の一部データなどの情報をサーバ20から受信し、また、各種情報をサーバ20に送信する。   The network I / F 10D is an interface with the network 300, and is a communication circuit for communicating with other computers. The arithmetic device 10C receives information such as partial data of the white list 120 from the server 20 via the network I / F 10D, and transmits various types of information to the server 20.

●サーバ
サーバ20において、演算装置20Cはマイクロプロセッサ(CPU)である。演算装置20Cは、メモリ20EのROMに格納されたBIOSなどのブートプログラムに従い記憶装置20Bに格納されたOSを起動する。さらに、演算装置20Cは、記憶装置20Bから管理コンソール210をメモリ20EのRAMにロードする。そして、複数のクライアント10から情報(例えば、ホワイトリスト120の情報など)を取得してデータベース化したり、逆に、クライアント10に対して情報を送信してホワイトリスト120の更新などを行う。
Server In the server 20, the computing device 20C is a microprocessor (CPU). The computing device 20C activates the OS stored in the storage device 20B in accordance with a boot program such as BIOS stored in the ROM of the memory 20E. Further, the arithmetic device 20C loads the management console 210 from the storage device 20B into the RAM of the memory 20E. Then, information (for example, information on the white list 120) is acquired from a plurality of clients 10 and stored in a database, or conversely, information is transmitted to the clients 10 to update the white list 120 or the like.

記憶装置20Bは、HDDやSSDなどであり、OSのほかにサーバ20上で稼働する管理コンソール210を含む各種のプログラム200やデータ201を格納する。詳細は後述するが、記憶装置10Bが格納する各種データ201にはホワイトリストマスタ220、昇格基準ルール230、ブラックリストマスタ240、ホワイトリスト候補250などが含まれる。   The storage device 20B is an HDD, an SSD, or the like, and stores various programs 200 and data 201 including a management console 210 operating on the server 20 in addition to the OS. Although details will be described later, the various data 201 stored in the storage device 10B includes a white list master 220, a promotion reference rule 230, a black list master 240, a white list candidate 250, and the like.

I/Oデバイス20Aは、ポインティングデバイス(マウスなど)、キーボード、モニタに接続するためのインタフェース(I/F)であり、モニタは情報を表示するためのUIとして機能する。ネットワークI/F 20Dは、ネットワーク300とのインタフェースであり、クライアント10など他のコンピュータと通信するための通信回路である。   The I / O device 20A is an interface (I / F) for connecting to a pointing device (such as a mouse), a keyboard, and a monitor, and the monitor functions as a UI for displaying information. The network I / F 20D is an interface with the network 300, and is a communication circuit for communicating with other computers such as the client 10.

演算装置20Cは、ネットワークI/F 20Dを介して、複数のクライアント10からホワイトリスト120やブラックリスト140に関する情報を受信し、受信した情報に基づき、ホワイトリストマスタ220やブラックリストマスタ250を管理する。   The arithmetic device 20C receives information on the white list 120 and the black list 140 from the plurality of clients 10 via the network I / F 20D, and manages the white list master 220 and the black list master 250 based on the received information. .

ホワイトリスト制御システムにおいて、サーバ20は必須の構成ではない。図2のブロック図によりサーバ20が存在しないホワイトリスト制御システムの構成例を示す。図2の構成においては、クライアント10とサーバ20の通信は不要になるため、ネットワーク300およびネットワークI/F 10Dもオプションである。   In the white list control system, the server 20 is not an essential component. The block diagram of FIG. 2 shows a configuration example of a white list control system in which the server 20 does not exist. In the configuration of FIG. 2, since communication between the client 10 and the server 20 is not necessary, the network 300 and the network I / F 10D are also optional.

また、ホワイトリスト制御システムはシンクライアント(例えば、ターミナルサービスなど)を利用した構成としてもよい。シンクライアントは、クライアントがサーバにリモート接続し、サーバ上に生成された仮想デスクトップ環境を利用してサーバ上でアプリケーションプログラムを実行できるようにするシステムである。   The white list control system may be configured using a thin client (for example, a terminal service). A thin client is a system that allows a client to remotely connect to a server and execute an application program on the server using a virtual desktop environment generated on the server.

[プログラムおよびデータ]
識別プログラム110は、演算装置10Cによって実行され、別途起動されるプログラムからファイル名(プログラム名)、ハッシュ値、バージョン情報、ファイルサイズ、ファイルパス、ディジタル署名などの情報(以下、プログラム情報)を取得する。そして、取得したプログラム情報に基づき当該プログラムを識別する識別機能を有する。また、識別プログラム110は、取得したプログラム情報と後述する昇格基準ルール130を照会して、当該プログラムが昇格基準を満たすか否かを判定する。
[Programs and data]
The identification program 110 is executed by the arithmetic device 10C and acquires information (hereinafter referred to as program information) such as a file name (program name), hash value, version information, file size, file path, and digital signature from a separately started program. To do. And it has the identification function which identifies the said program based on the acquired program information. Further, the identification program 110 refers to the acquired program information and a promotion standard rule 130 described later, and determines whether or not the program satisfies the promotion standard.

ホワイトリスト120は、実行してもよいプログラムに関する情報をリスト化したものである。ホワイトリスト120を構成する情報には、識別プログラム110によって取得されたプログラム情報が用いられる。   The white list 120 is a list of information on programs that may be executed. As information constituting the white list 120, program information acquired by the identification program 110 is used.

図3によりホワイトリスト120の一例を示す。ホワイトリスト120は、各プログラムについて、プログラム名、ハッシュ値、バージョン情報、ファイルサイズ、後述する昇格権限フラグの四種類の情報を保持する。なお、図3は一例であり、ホワイトリスト120として保持する情報の種類と数は図3に限定されるものではない。   An example of the white list 120 is shown in FIG. The white list 120 holds four types of information for each program: a program name, a hash value, version information, a file size, and a promotion authority flag described later. Note that FIG. 3 is an example, and the type and number of information held as the white list 120 is not limited to FIG.

ホワイトリストマスタ220は、複数のホワイトリスト120をリスト化したものである。図4によりサーバ20に存在するホワイトリストマスタ220の一例を示す。ホワイトリストマスタ220は、複数のクライアントのホワイトリスト120に関連する情報をクライアントの名称や符号に対応付けて保持する。図4の例では、クライアントPC003に対応するホワイトリスト003として、複数のプログラムのプロセス名、ハッシュ値、登録日時、最終起動日時が保持された例を示す。なお、図4は一例であり、ホワイトリストマスタ220として保持する情報の種類と数は図4に限定されるものではない。   The white list master 220 is a list of a plurality of white lists 120. An example of the white list master 220 existing in the server 20 is shown in FIG. The white list master 220 holds information related to the white list 120 of a plurality of clients in association with the names and codes of the clients. The example of FIG. 4 shows an example in which the process name, hash value, registration date / time, and last activation date / time of a plurality of programs are held as the white list 003 corresponding to the client PC 003. Note that FIG. 4 is an example, and the type and number of information held as the white list master 220 is not limited to FIG.

検知プログラム112は、演算装置10Cによって実行され、プログラムの起動と、起動されたプログラムによる別のプログラムの生成を監視する監視機能と、それらを検知する検知機能を有する。   The detection program 112 is executed by the arithmetic device 10C, and has a monitoring function for monitoring program activation, generation of another program by the activated program, and a detection function for detecting them.

登録プログラム111は、演算装置10Cによって実行され、検知プログラム112に起動や生成が検知されたプログラムの、識別プログラム110が取得したプログラム情報に基づき、当該プログラムをホワイトリスト120に登録する登録機能を有する。   The registration program 111 has a registration function for registering the program in the white list 120 based on the program information acquired by the identification program 110 of the program executed by the arithmetic device 10C and detected by the detection program 112 to be activated or generated. .

制御プログラム113は、演算装置10Cによって実行され、クライアント10上で起動されようとするプログラムの起動を許可または禁止(阻止)する起動可否の制御機能を有する。   The control program 113 is executed by the arithmetic device 10C, and has a control function of whether or not to enable or disable (block) the start of the program to be started on the client 10.

昇格基準ルール130は、プログラムやファイルが、信頼できる発行者によって発行されたものか否かを判断するためのルールである。昇格基準ルール130は、プログラム情報を元に、管理者やユーザなどが定義したルールである。ルールには、例えば、プログラムやファイルに付加されたディジタル署名、ディジタル証明書が正当か否かの検証、ファイルの署名者名が予め記憶された名前か否かの判定、ファイル名が指定条件を満たすか否かの判定などがある。   The promotion standard rule 130 is a rule for determining whether a program or file is issued by a reliable issuer. The promotion standard rule 130 is a rule defined by an administrator or a user based on program information. Rules include, for example, digital signatures attached to programs and files, verification of whether a digital certificate is valid, determination of whether or not a file signer name is a pre-stored name, For example, whether or not it is satisfied.

また、昇格基準ルール130として適用するルールの種類や数は、前記の具体例に限定されるものではない。例えば「ディジタル署名やディジタル証明書が正当であり、かつ、ファイル名に"Setup"または"Update"という文字が含まれている」という複数の組み合わせのルールを適用することもできる。この場合「画像ビューワ(Viewer.exe)の脆弱性を突いてマルウェアを生成させるマルウェア」が動作したとき、画像ビューワのディジタル署名が正当でも、そのファイル名に前記の文字列が含まれない。その結果、画像ビューワの脆弱性を突く攻撃を防ぐ効果が得られる。   Further, the type and number of rules applied as the promotion standard rule 130 are not limited to the above specific examples. For example, a plurality of combinations of rules such as “a digital signature or a digital certificate is valid and a file name includes characters“ Setup ”or“ Update ”” can be applied. In this case, when “malware that generates malware by exploiting the vulnerability of the image viewer (Viewer.exe)” operates, even if the digital signature of the image viewer is valid, the character string is not included in the file name. As a result, an effect of preventing an attack that exploits the vulnerability of the image viewer can be obtained.

ブラックリスト140は、起動・実行が禁止されたプログラムをリスト化したものである。ブラックリスト140のデータ構造は、図3に示すホワイトリスト120と略同一である。また、ブラックリスト140は必須ではなく、クライアント10上に存在しなくてもよいし、ブラックリスト140を使用しない場合はサーバ20のブラックリストマスタ240も必須ではない。   The black list 140 is a list of programs that are prohibited from starting and executing. The data structure of the black list 140 is substantially the same as the white list 120 shown in FIG. Further, the black list 140 is not essential and may not exist on the client 10, and when the black list 140 is not used, the black list master 240 of the server 20 is not essential.

[ホワイトリスト制御処理]
●処理の概要
検知プログラム112は、グローバルフック(APIフック、フィルタドライバ)などを用いて、クライアント10におけるプログラムの起動を検知し、プログラムの起動を検知すると識別プログラム110を呼び出す。識別プログラム110は、起動されるプログラムのプログラム情報を取得して、当該プログラムが昇格基準ルール130を満たすか否かを検証する。
[White list control processing]
Processing Overview The detection program 112 detects the activation of the program in the client 10 using a global hook (API hook, filter driver) or the like, and calls the identification program 110 when the activation of the program is detected. The identification program 110 acquires the program information of the program to be started and verifies whether or not the program satisfies the promotion standard rule 130.

検証の結果、当該プログラムが昇格基準ルール130を満たすと判断された場合、制御プログラム113は、当該プログラムの起動を許可し、登録プログラム111を呼び出す。登録プログラム111は、識別プログラム110から当該プログラムのプログラム情報を受け取り、当該プログラムをホワイトリスト120に登録する。   As a result of the verification, when it is determined that the program satisfies the promotion standard rule 130, the control program 113 permits the program to be activated and calls the registration program 111. The registration program 111 receives the program information of the program from the identification program 110 and registers the program in the white list 120.

なお、起動されるプログラムが昇格基準ルール130を満たすとしても、当該プログラムがブラックリスト140に登録されている場合、制御プログラム113は登録プログラム111に当該プログラムの登録を実行させない。つまり、当該プログラムの起動・実行の禁止が維持される。   Even if the activated program satisfies the promotion standard rule 130, if the program is registered in the black list 140, the control program 113 does not cause the registration program 111 to register the program. That is, the prohibition of starting and executing the program is maintained.

次に、登録プログラム111は、ホワイトリスト120に登録したプログラムに「昇格権限」を与える。昇格権限の有無は、例えば、ホワイトリスト120の昇格権限フラグに設定する。あるいは、ホワイトリスト120に対応するテーブルを記憶装置10Bに格納し、当該テーブルの各レコードに昇格権限の有無を登録してもよい。昇格権限は、以下のように定義される権限である。   Next, the registration program 111 gives “elevation authority” to the program registered in the white list 120. The presence / absence of the promotion authority is set in the promotion authority flag of the white list 120, for example. Alternatively, a table corresponding to the white list 120 may be stored in the storage device 10B, and the presence or absence of the promotion authority may be registered in each record of the table. The promotion authority is an authority defined as follows.

昇格権限を有するプログラム(親プログラム)が何らかのプログラム(子プログラム)を生成した場合、子プログラムは無条件にホワイトリスト120に登録される。そして、親プログラムが子プログラムを起動した場合、子プログラムにも昇格権限が与えられる。この昇格権限に関する登録処理を、図1に示す構成が行う場合、以下のような処理になる。   When a program having a promotion authority (parent program) generates some program (child program), the child program is unconditionally registered in the white list 120. When the parent program activates the child program, the child program is also given promotion authority. When the configuration shown in FIG. 1 performs the registration process related to the promotion authority, the following process is performed.

検知プログラム112は、親プログラムの挙動をグローバルフックなどを用いて監視する。検知プログラム112は、親プログラムによる子プログラムの生成を検知すると、識別プログラム110に子プログラムのプログラム情報を取得させる。識別プログラム110は、取得したプログラム情報を登録プログラム111に渡す。登録プログラム111は、受け取ったプログラム情報に基づきホワイトリスト120に追加するレコードのデータを作成し、作成したデータをホワイトリスト120に追加する。   The detection program 112 monitors the behavior of the parent program using a global hook or the like. When detecting the generation of the child program by the parent program, the detection program 112 causes the identification program 110 to acquire the program information of the child program. The identification program 110 passes the acquired program information to the registration program 111. The registration program 111 creates record data to be added to the white list 120 based on the received program information, and adds the created data to the white list 120.

このとき、次の方式の採用も可能である。つまり、検知プログラム112は、子プログラムの生成を検知すると、生成されたファイルを解析し、生成されたファイルに関する情報をホワイトリストへ登録する必要の有無を判断する。そして、登録不要と判断した場合、識別プログラム110によるプログラム情報の取得を行わずに以降の処理を打ち切る。登録不要と判断される場合は、例えば、生成されたファイルのバイナリヘッダを解析し、その構成がPE (Portable Executable)形式ではなく、実行ファイルではないと判断することができる場合などである。   At this time, it is possible to adopt the following method. In other words, when detecting the generation of the child program, the detection program 112 analyzes the generated file and determines whether or not information related to the generated file needs to be registered in the white list. When it is determined that registration is not necessary, the subsequent processing is terminated without acquiring the program information by the identification program 110. The case where it is determined that the registration is unnecessary is, for example, the case where the binary header of the generated file is analyzed and the configuration is not PE (Portable Executable) format and it can be determined that the file is not an executable file.

次に、検知プログラム112は、親プログラムによる子プログラムの起動を監視する。検知プログラム112は、親プログラムによる子プログラムの起動を検知すると、登録プログラム111を呼び出す。呼び出された登録プログラム111は、子プログラムの昇格権限フラグに「有」を設定する。また、制御プログラム113は、子プログラムの起動を許可する。   Next, the detection program 112 monitors the start of the child program by the parent program. When the detection program 112 detects the start of the child program by the parent program, the detection program 112 calls the registration program 111. The called registration program 111 sets “Yes” in the promotion authority flag of the child program. In addition, the control program 113 allows the child program to be activated.

昇格権限を利用すれば、例えばソフトウェアのセキュリティパッチなど、子プログラムを生成する挙動を有するプログラムが生成したプログラムを自動的にホワイトリスト120に追加することができる。言い換えれば、生成される子プログラムをホワイトリスト120に登録する、ホワイトリストの更新にかかる作業を軽減することができる。   If the promotion authority is used, a program generated by a program having a behavior of generating a child program such as a software security patch can be automatically added to the white list 120. In other words, it is possible to reduce the work involved in updating the white list for registering the generated child program in the white list 120.

なお、昇格権限に関する処理は、親プログラムから子プログラムを生成した場合に限らず、親プログラムに対する変更(例えば、リネーム)、または、子プログラムに対する変更の場合でも可能である。   Note that the processing related to the promotion authority is not limited to the case where the child program is generated from the parent program, but can be performed even when the parent program is changed (for example, renamed) or the child program is changed.

また、昇格基準ルール130に「プログラムに正当なディジタル署名が付加されているかを判定する」を適用する。こうすれば、信頼できる発行元が発行したプログラムであり、マルウェアのような悪意のあるプログラムではないことを操作者の意識を介さずに判断可能である。なお、正当なディジタル署名が付加されているか否かは、例えばWindows(登録商標)アプリケーションプログラミングインタフェース(API)などを用いる方法などがある。   Further, “determining whether a valid digital signature is added to the program” is applied to the promotion standard rule 130. By doing so, it is possible to determine that the program is issued by a reliable publisher and is not a malicious program such as malware without the operator's awareness. Note that whether or not a valid digital signature is added includes, for example, a method using a Windows (registered trademark) application programming interface (API) or the like.

また、昇格基準ルール130を満たさないプログラムと判断された場合、制御プログラム113は一般的なホワイトリスト制御を行う。つまり、識別プログラム110は、当該プログラムが昇格基準ルール130を満たさないと判断すると、当該プログラムがホワイトリスト120に登録されているか否かを判定する。制御プログラム113は、当該プログラムがホワイトリスト120に登録されていると判定されると、昇格権限を有するか否か判定し、当該プログラムの起動を許可する。また、当該プログラムがホワイトリスト120に登録されていないと判定されると当該プログラムの起動をグローバルフックなどを用いて阻止する。   When it is determined that the program does not satisfy the promotion standard rule 130, the control program 113 performs general white list control. That is, when the identification program 110 determines that the program does not satisfy the promotion standard rule 130, the identification program 110 determines whether or not the program is registered in the white list 120. When it is determined that the program is registered in the white list 120, the control program 113 determines whether or not the program has the promotion authority and permits the program to be activated. If it is determined that the program is not registered in the white list 120, the activation of the program is blocked using a global hook or the like.

また、識別プログラム110により、起動されるプログラムがブラックリスト140に登録されているか否かを判定する。そして、ブラックリスト140に登録されている場合は当該プログラムの起動を阻止し、ブラックリスト140に登録されていない場合は当該プログラムの起動を許可する方式の採用も可能である。   Further, the identification program 110 determines whether or not a program to be activated is registered in the black list 140. If the program is registered in the black list 140, the program can be prevented from starting, and if the program is not registered in the black list 140, the program can be started.

なお、以下の説明において、プログラムなどがホワイトリスト120またはブラックリスト140に登録されている状態を「リストに存在する」、登録されていない状態を「リストに存在しない」と表現する場合がある。   In the following description, a state where a program or the like is registered in the white list 120 or the black list 140 may be expressed as “present in the list”, and a state where the program is not registered may be expressed as “not present in the list”.

●処理の詳細
図5のフローチャートによりホワイトリスト制御処理の一例を説明する。
Details of Processing An example of white list control processing will be described with reference to the flowchart of FIG.

検知プログラム112はプログラムの起動を監視し(S201)、プログラムの起動を検知すると処理をステップS202に進める。   The detection program 112 monitors the activation of the program (S201), and when the activation of the program is detected, the process proceeds to step S202.

プログラムの起動が検知されると、識別プログラム110は、当該プログラムのプログラム情報を取得し(S202)、当該プログラムがブラックリスト140に存在するか否か判定する(S203)。当該プログラムがブラックリスト140に存在すると判定された場合、制御プログラム113は、当該プログラムの起動を阻止し(S204)、処理をステップS201に戻す。   When activation of the program is detected, the identification program 110 acquires program information of the program (S202), and determines whether the program exists in the black list 140 (S203). If it is determined that the program exists in the black list 140, the control program 113 prevents the program from starting (S204), and returns the process to step S201.

また、当該プログラムがブラックリスト140に存在しない場合、識別プログラム110は、当該プログラムが昇格基準ルール130を満たすか否かを判定する(S205)。当該プログラムが昇格基準ルール130を満たさない場合、識別プログラム110は、当該プログラムがホワイトリスト120に存在するか否かを判定する(S206)。   If the program does not exist in the black list 140, the identification program 110 determines whether the program satisfies the promotion standard rule 130 (S205). If the program does not satisfy the promotion criteria rule 130, the identification program 110 determines whether the program exists in the white list 120 (S206).

当該プログラムがホワイトリスト120に存在すると判定された場合、識別プログラム110は、当該プログラムが昇格権限を有するか否かを判定する(S206B)。昇格権限を有すると判定された場合、制御プログラム113は当該プログラムの起動を許可する(S210)。   When it is determined that the program exists in the white list 120, the identification program 110 determines whether or not the program has a promotion authority (S206B). If it is determined that the user has the promotion authority, the control program 113 permits the program to be activated (S210).

昇格権限が無いと判定された場合、制御プログラム113は当該プログラムの起動を許可し(S207)、処理をステップS201に戻す。また、当該プログラムがホワイトリスト120に存在しないと判定された場合、制御プログラム113は当該プログラムの起動を阻止し(S204)、処理をステップS201に戻す。   If it is determined that there is no promotion authority, the control program 113 permits the program to be activated (S207), and the process returns to step S201. If it is determined that the program does not exist in the white list 120, the control program 113 prevents the program from starting (S204), and returns the process to step S201.

一方、当該プログラムが昇格基準ルール130を満たすと判定された場合、制御プログラム113は、当該プログラムのプログラム情報を登録プログラム111に渡す。これにより、登録プログラム111は、当該プログラム(親プログラム)をホワイトリスト120に登録し(S208)、昇格権限フラグに「有」を設定する(S209)。続いて、制御プログラム113は、親プログラムの起動を許可する(S210)。   On the other hand, when it is determined that the program satisfies the promotion standard rule 130, the control program 113 passes the program information of the program to the registration program 111. As a result, the registration program 111 registers the program (parent program) in the white list 120 (S208), and sets “Yes” in the promotion authority flag (S209). Subsequently, the control program 113 permits the start of the parent program (S210).

次に、検知プログラム112は、昇格権限が付与された親プログラムによる子プログラムの生成を監視する(S211)。検知プログラム112は、親プログラムが子プログラムを生成した場合は処理をステップS212に進め、親プログラムが子プログラムを生成しない場合は処理をステップS201に戻す。   Next, the detection program 112 monitors the generation of the child program by the parent program to which the promotion authority is granted (S211). If the parent program generates a child program, the detection program 112 proceeds to step S212. If the parent program does not generate a child program, the detection program 112 returns the process to step S201.

なお、ステップS211において、検知プログラム112は、子プログラムの生成だけでなく、子プログラムもしくは親プログラムに対する変更(例えば、リネーム)を監視してもよい。親プログラムの変更が検知された場合、当該プログラム(親プログラム)に対して、子プログラムと同様の処理を行う。   In step S211, the detection program 112 may monitor not only the generation of the child program but also a change (for example, rename) to the child program or the parent program. When a change in the parent program is detected, the same processing as the child program is performed on the program (parent program).

子プログラムの生成が検知されると、識別プログラム110は、子プログラムのプログラム情報を取得し(S212)、取得したプログラム情報を登録プログラム111に渡す。これにより、登録プログラム111は、子プログラムをホワイトリスト120に登録する(S213)。   When the generation of the child program is detected, the identification program 110 acquires the program information of the child program (S212), and passes the acquired program information to the registration program 111. As a result, the registration program 111 registers the child program in the white list 120 (S213).

続いて、検知プログラム112は、昇格権限が付与された親プログラムが子プログラムを起動するか否かを監視する(S214)。検知プログラム112は、親プログラムが子プログラムを起動する場合は処理をステップS215に進め、親プログラムが子プログラムを起動しない場合は処理をステップS201に戻す。   Subsequently, the detection program 112 monitors whether or not the parent program to which the promotion authority is granted starts the child program (S214). If the parent program starts the child program, the detection program 112 proceeds to step S215. If the parent program does not start the child program, the detection program 112 returns the process to step S201.

親プログラムによる子プログラムの起動が検知されると、識別プログラム110は、子プログラムがブラックリスト140に存在するか否かを判定する(S215)。子プログラムがブラックリスト140に存在すると判定された場合、制御プログラム113は子プログラムの起動を阻止する(S216)。そして、登録プログラム111は、ホワイトリスト120から子プログラムの登録を削除し(S217)、処理をステップS201に戻す。   When activation of the child program by the parent program is detected, the identification program 110 determines whether or not the child program exists in the black list 140 (S215). When it is determined that the child program exists in the black list 140, the control program 113 prevents the child program from starting (S216). Then, the registration program 111 deletes the registration of the child program from the white list 120 (S217), and returns the process to step S201.

他方、子プログラムがブラックリスト140に存在しないと判定された場合、処理はステップS209に戻る。従って、子プログラムの昇格権限フラグに「有」が設定され(S209)、子プログラムの起動が許可され(S210)、昇格権限が付与された子プログラムによる孫プログラムの生成が監視される(S211)。そして、子プログラムが孫プログラムを生成すると、孫プログラムをホワイトリスト120に登録し、昇格権限が付与された子プログラムが孫プログラムを起動すると孫プログラムに昇格権限を与える処理(S209からS215)が再帰的に繰り返される。   On the other hand, if it is determined that the child program does not exist in the blacklist 140, the process returns to step S209. Therefore, “Yes” is set in the promotion authority flag of the child program (S209), the activation of the child program is permitted (S210), and the generation of the grandchild program by the child program granted the promotion authority is monitored (S211). . When the child program generates the grandchild program, the grandchild program is registered in the white list 120, and when the child program to which the promotion right is granted starts the grandchild program, the process of giving the grandchild program the promotion right (S209 to S215) is recursively Repeated.

なお、ブラックリスト140が存在しない場合、識別プログラム110は、ステップS215の判定をスルーパスする。その場合、親プログラムによって起動された子プログラムや子プログラムによって起動された孫プログラムの昇格権限フラグに「有」が設定され(S209)、子プログラムの起動が許可される(S210)。   If the black list 140 does not exist, the identification program 110 passes through the determination in step S215. In this case, “Yes” is set in the promotion authority flag of the child program started by the parent program and the grandchild program started by the child program (S209), and the child program is permitted to start (S210).

なお、親プログラム/子孫プログラムをホワイトリスト120に登録する際に、当該プログラムがホワイトリスト120に登録されているか否かを判定し、未登録と判定した場合に当該プログラムをホワイトリスト120に登録してもよい。また、ホワイトリスト120に既登録の場合は登録を行わずに、次の処理に進む。ホワイトリスト120に登録されているか否かを判定することにより、プログラムの重複登録を防ぐことができる。   When registering a parent program / descendant program in the white list 120, it is determined whether or not the program is registered in the white list 120. If it is determined that the program is not registered, the program is registered in the white list 120. May be. In the case of registration in the white list 120, the process proceeds to the next process without performing registration. By determining whether or not it is registered in the white list 120, it is possible to prevent duplicate registration of programs.

以下では、第一の世代の親プログラムが元になって生成される子プログラムや孫プログラムなど、第二の世代以降のプログラムを「子孫プログラム」と呼ぶことにする。   Hereinafter, programs after the second generation, such as child programs and grandchild programs generated based on the first generation parent program, will be referred to as “descendant programs”.

●インストーラへの対応
ステップS201において、検知プログラム112は、リストとの比較により、起動されるプログラムが記憶装置10Bに予め格納されているインストーラプログラム(例えばWindows(登録商標)におけるmsiexec.exe)か否かを判定する。そして、インストーラプログラム(以下、インストーラ)の起動と判定された場合、インストーラの動作が他のプログラムの動作と異なるため、ステップS202以降の処理を切り替える。
Correspondence to Installer In step S201, the detection program 112 determines whether the program to be started is an installer program (for example, msiexec.exe in Windows (registered trademark)) stored in advance in the storage device 10B by comparison with the list. Determine whether. When it is determined that the installer program (hereinafter referred to as an installer) is activated, the operation of the installer is different from the operation of other programs, and therefore, the processing after step S202 is switched.

操作者がインストーラパッケージファイル(msiファイル、mspファイル、msuファイルなど)の実行を指示するとインストーラが起動され、インストーラは、インストーラパッケージファイル(以下、パッケージ)に格納されたファイルを展開する。従って、昇格基準ルール130に基づく判定は、インストーラではなく、パッケージに対して行う必要があり、図5に示す処理を直接適用することができない。   When an operator instructs execution of an installer package file (such as an msi file, msp file, or msu file), the installer is activated, and the installer expands a file stored in the installer package file (hereinafter referred to as a package). Therefore, the determination based on the promotion standard rule 130 needs to be performed on the package, not the installer, and the process shown in FIG. 5 cannot be directly applied.

図6のフローチャートによりインストーラが起動された場合のホワイトリスト制御処理の一例を説明する。   An example of the white list control process when the installer is activated will be described with reference to the flowchart of FIG.

識別プログラム110は、パッケージのファイル情報を取得し(S221)、パッケージがブラックリスト140に存在するか否かを判定する(S222)。当該パッケージがブラックリスト140に存在すると判定された場合、制御プログラム113は、インストーラの起動を阻止し(S223)、処理をステップS201に戻す。なお、ブラックリスト140が存在しない場合、識別プログラム110は、ステップS222の判定をスルーパスする。   The identification program 110 acquires the file information of the package (S221), and determines whether the package exists in the black list 140 (S222). If it is determined that the package exists in the blacklist 140, the control program 113 prevents the installer from being activated (S223), and returns the process to step S201. If the black list 140 does not exist, the identification program 110 passes through the determination in step S222.

また、当該パッケージがブラックリスト140に存在しない場合、識別プログラム110は、当該パッケージが昇格基準ルール130を満たすか否かを判定する(S224)。当該パッケージが昇格基準ルール130を満たさない場合、識別プログラム110は、当該パッケージがホワイトリスト120に存在するか否かを判定する(S225)。当該パッケージがホワイトリスト120に存在すると判定された場合、制御プログラム113は、インストーラの昇格権限フラグを「有」に設定し(S209)、インストーラの起動を許可する(S210)。また、当該パッケージがホワイトリスト120に存在しないと判定された場合はインストーラの起動を阻止し(S223)、処理をステップS201に戻す。   If the package does not exist in the blacklist 140, the identification program 110 determines whether the package satisfies the promotion standard rule 130 (S224). If the package does not satisfy the promotion criteria rule 130, the identification program 110 determines whether the package exists in the white list 120 (S225). If it is determined that the package exists in the white list 120, the control program 113 sets the installer's promotion authority flag to “present” (S209), and permits the installer to start (S210). If it is determined that the package does not exist in the white list 120, the activation of the installer is blocked (S223), and the process returns to step S201.

一方、当該パッケージが昇格基準ルール130を満たす場合の処理は図5に示すステップS209からS217と同様であり、インストーラの昇格権限フラグに「有」が設定され(S209)、インストーラの起動が許可される(S210)。そして、インストーラによってパッケージから取り出されたプログラムは、親プログラム(この場合はインストーラ)によって生成された子プログラムと同等に扱われる。つまり、パッケージから取り出されたプログラムは子孫プログラムとしてホワイトリスト120に登録され、子孫プログラムが次の世代のプログラムを起動すると、起動されるプログラムに昇格権限を与える処理(S209からS215)が再帰的に繰り返される。   On the other hand, the processing when the package satisfies the promotion standard rule 130 is the same as steps S209 to S217 shown in FIG. 5, and “Yes” is set in the promotion privilege flag of the installer (S209), and the activation of the installer is permitted. (S210). The program extracted from the package by the installer is handled in the same way as the child program generated by the parent program (in this case, the installer). In other words, the program extracted from the package is registered in the white list 120 as a descendant program, and when the descendant program starts the next generation program, the process of giving promotion authority to the started program (S209 to S215) is recursively performed. Repeated.

なお、ステップS211において、親プログラムによる子プログラムの生成ではなく、当該プログラム(親プログラム)によるインストーラパッケージが生成された場合は、そのパッケージファイルに対して、図6の処理を適用することも可能である。   In step S211, if an installer package is generated not by the parent program but by the program (parent program), the process of FIG. 6 can be applied to the package file. is there.

[親プログラムが生成した子プログラム以外に昇格権限を継承/付与する場合]
昇格権限を持った親プログラムから生成された子プログラムが親プログラムによって起動された場合、昇格権限を継承するが、以下のような場合も昇格権限を継承または付与してもよい。
[When inheriting / granting promotion rights to other than the child program generated by the parent program]
When the child program generated from the parent program having the promotion authority is started by the parent program, the promotion authority is inherited. However, the promotion authority may be inherited or granted in the following cases.

●パターン1
図5において、同一の親プログラムから複数の子孫プログラムが生成される場合を考える。このとき、子孫プログラムの中で親プログラムから昇格権限を継承したものがあり、昇格権限を継承した子孫プログラムが、他の子孫プログラムを起動した場合、昇格権限を継承してもよいものとする。
● Pattern 1
In FIG. 5, consider a case where a plurality of descendant programs are generated from the same parent program. At this time, some descendant programs inherit the promotion authority from the parent program, and if the descendant program that inherits the promotion authority starts another descendant program, the promotion authority may be inherited.

例えば、Windows(登録商標)のアップデート動作の中には上記のような動作がある。パターン1の手法を実施することで、Windows(登録商標)のアップデートをブロックすることなく行うことが可能になる。   For example, the update operation of Windows (registered trademark) includes the above operation. By implementing the pattern 1 technique, it is possible to update Windows (registered trademark) without blocking it.

パターン1を実施する場合、図5に示すステップS214において「親プログラム、または、同じ親プログラムから生成され、当該親プログラムから昇格権限を継承したプログラムによって、子孫プログラムが起動されるか?」という判定が行われる。   When pattern 1 is performed, a determination is made in step S214 shown in FIG. 5 as to whether the descendant program is started by the parent program or a program generated from the same parent program and inheriting the promotion authority from the parent program. Is done.

●パターン2
図6において、インストーラが他のプログラムから起動される場合を考える。このとき、昇格権限をもつプログラムがインストーラを起動した場合、インストーラが昇格権限を継承してもよいものとする。
● Pattern 2
In FIG. 6, a case where the installer is started from another program is considered. At this time, if the program having the promotion authority starts the installer, the installer may inherit the promotion authority.

市販のソフトウェアには、インストール時にインストーラを起動するものがある。パターン2の手法を実施することで、そのようなソフトウェアのインストールをブロックすることなく行うことが可能になる。   Some commercially available software launches an installer during installation. By implementing the method of Pattern 2, such software installation can be performed without blocking.

●パターン3
図5において、昇格権限をもつプログラムから生成された子プログラムを、昇格権限をもたないプログラムが起動する場合を考える。このとき「生成プログラム群」と「起動プログラム群」という二種類のプログラム群を予め定義する。そして、生成プログラム群に属すプログラムから生成され、かつ、起動プログラム群に属すプログラムから起動されたプログラムには昇格権限を付与する処理を行ってもよいものとする。
● Pattern 3
In FIG. 5, a case is considered in which a program that does not have promotion authority is started as a child program generated from a program having promotion authority. At this time, two types of program groups, “generated program group” and “start program group”, are defined in advance. Further, it is possible to perform a process of giving a promotion authority to a program generated from a program belonging to the generation program group and started from a program belonging to the startup program group.

市販のソフトウェアには、インストール時に上記のような動作を行うものがある。パターン3の手法を実施することで、そのようなソフトウェアのインストールをブロックすることなく行うことが可能になる。   Some commercially available software performs the above operation during installation. By implementing the pattern 3 approach, it is possible to install such software without blocking it.

[ホワイトリストの作成]
ホワイトリスト制御システムの運用には、運用環境に適したホワイトリスト120を作成する必要がある。
[Create whitelist]
To operate the white list control system, it is necessary to create a white list 120 suitable for the operating environment.

●プログラム起動をトリガとする処理
図5、図6においては、プログラムやパッケージが昇格基準ルール130を満たさず、かつ、ホワイトリスト120に存在しない場合(S206やS225のNO)、制御プログラム113はプログラムの起動を阻止する(S204やS223)と説明した。しかし、そのようなプログラムやパッケージ(以下、未登録プログラム)が検出された場合、ホワイトリスト120の更新を試みることが可能である。
● Processing triggered by program activation In FIGS. 5 and 6, when the program or package does not satisfy the promotion standard rule 130 and does not exist in the white list 120 (NO in S206 or S225), the control program 113 is a program. It was explained that the activation of the system is blocked (S204 and S223). However, when such a program or package (hereinafter, unregistered program) is detected, it is possible to attempt to update the white list 120.

図7のフローチャートによりプログラム起動をトリガとするホワイトリスト120の更新処理を説明する。   The update process of the white list 120 triggered by program activation will be described with reference to the flowchart of FIG.

登録プログラム111は、未登録プログラムが検出されると(S301)、識別プログラム110から渡された未登録プログラムのプログラム情報(以下、未登録情報)をサーバ20に送信する(S302)。そして、処理をステップS301に戻す。   When the unregistered program is detected (S301), the registered program 111 transmits the program information (hereinafter, unregistered information) of the unregistered program passed from the identification program 110 to the server 20 (S302). Then, the process returns to step S301.

なお、未登録プログラムの検出直後に未登録情報を送信せずに、所定のサイクルで未登録情報をサーバ20に送信するようにしてもよい。例えば、登録プログラム111は、未登録情報を例えば記憶装置10Bやメモリ10Eの所定領域に一時保存する。そして、所定のサイクルで(例えば五分ごとや一時間ごとに)保存された未登録情報があるか否かを判定し、未登録情報が保存されている場合は当該情報をサーバ20に送信する。   Note that unregistered information may be transmitted to the server 20 in a predetermined cycle without transmitting unregistered information immediately after detection of an unregistered program. For example, the registration program 111 temporarily stores unregistered information in a predetermined area of the storage device 10B or the memory 10E, for example. Then, it is determined whether or not there is unregistered information stored in a predetermined cycle (for example, every five minutes or every hour), and when the unregistered information is stored, the information is transmitted to the server 20. .

サーバ20の管理コンソール210は、クライアント10から未登録情報を受信すると(S311)、受信した未登録情報に一致する情報がホワイトリスト候補250に存在するか否かを判定する(S312)。受信した未登録情報に一致する情報がホワイトリスト候補250に存在する場合は処理をステップS311に戻す。   When receiving the unregistered information from the client 10 (S311), the management console 210 of the server 20 determines whether information matching the received unregistered information exists in the whitelist candidate 250 (S312). If information matching the received unregistered information exists in the white list candidate 250, the process returns to step S311.

一方、受信した未登録情報に一致する情報がホワイトリスト候補250に存在しない場合、管理コンソール210は、受信した未登録情報をホワイトリスト候補250へ追加する(S313)。そして、例えば電子メールやアラートウィンドウなどにより、ホワイトリスト候補250に追加した未登録情報をサーバ20の操作者に提示する(S314)。   On the other hand, when the information matching the received unregistered information does not exist in the white list candidate 250, the management console 210 adds the received unregistered information to the white list candidate 250 (S313). Then, the unregistered information added to the white list candidate 250 is presented to the operator of the server 20 by e-mail or an alert window, for example (S314).

操作者は、提示された情報を参照して、未登録プログラムをホワイトリストに登録するか否かを判断し、判断結果に応じた指示を管理コンソール210に入力する。管理コンソール210は、操作者の指示が当該プログラムの登録を示すか否かを判定する(S315)。操作者の指示が登録を示す場合は、当該プログラムをホワイトリストマスタ220に登録し(S316)、ホワイトリスト候補250の当該プログラムのレコードに「登録済」を記録する(S317)。また、操作者の指示が非登録を示す場合は、当該プログラムをホワイトリストマスタ220に登録せずに、ホワイトリスト候補250の当該プログラムのレコードに「非登録」を記録する(S318)。そして、処理をステップS311に戻す。   The operator refers to the presented information, determines whether or not to register the unregistered program in the white list, and inputs an instruction according to the determination result to the management console 210. The management console 210 determines whether or not the operator's instruction indicates registration of the program (S315). If the operator instruction indicates registration, the program is registered in the whitelist master 220 (S316), and “registered” is recorded in the record of the program of the whitelist candidate 250 (S317). If the operator's instruction indicates non-registration, “non-registration” is recorded in the record of the program of the white list candidate 250 without registering the program in the white list master 220 (S318). Then, the process returns to step S311.

管理コンソール210は、定期的(例えば、一時間置きや一日置き)にホワイトリストマスタ220のデータをクライアント10へ送信する。これにより、クライアント10のホワイトリスト120が更新される。   The management console 210 transmits the data of the white list master 220 to the client 10 periodically (for example, every hour or every other day). As a result, the white list 120 of the client 10 is updated.

●プログラム検索をトリガとする処理
上記では、プログラム起動をトリガとしてホワイトリスト候補250にプログラムを追加する処理を説明した。しかし、例えばOS標準のファイル検索ツールなどを用いてプログラムを検索し、検出したプログラムをホワイトリスト候補250の登録することもできる。このようにすれば、クライアント10の記憶装置10Bに格納されたすべてのプログラムをホワイトリスト候補250に追加することができる。
Processing with Program Search as Trigger In the above, processing for adding a program to whitelist candidate 250 using program activation as a trigger has been described. However, for example, a program can be searched using an OS standard file search tool or the like, and the detected program can be registered as the white list candidate 250. In this way, all the programs stored in the storage device 10B of the client 10 can be added to the white list candidate 250.

図8のフローチャートによりプログラム検索をトリガとするホワイトリストの更新処理を説明する。   The white list update process triggered by program search will be described with reference to the flowchart of FIG.

クライアント10の操作者(またはサーバ20)の指示により、ファイル検索ツール114が起動され、指示された検索条件に基づきファイル検索が実行される(S401)。ホワイトリスト候補250にプログラムを追加する場合、記憶装置10Bに格納されたすべてのプログラムが検索され、識別プログラム110は検索結果を受け取る(S402)。   In response to an instruction from the operator of the client 10 (or the server 20), the file search tool 114 is activated, and a file search is executed based on the specified search condition (S401). When adding a program to the white list candidate 250, all the programs stored in the storage device 10B are searched, and the identification program 110 receives the search result (S402).

検索結果を受け取った識別プログラム110は、検出されたプログラムのプログラム情報を取得する(S403)。そして、検出されたプログラムから、プログラムが昇格基準ルール130を満たさず、かつ、ホワイトリスト120に存在しない未登録プログラムを抽出する(S404)。登録プログラム111は、未登録プログラムが抽出されると(S405)、未登録プログラムのプログラム情報をサーバ20に送信する(S406)。   Receiving the search result, the identification program 110 acquires program information of the detected program (S403). Then, an unregistered program that does not satisfy the promotion standard rule 130 and does not exist in the white list 120 is extracted from the detected programs (S404). When the unregistered program is extracted (S405), the registered program 111 transmits program information of the unregistered program to the server 20 (S406).

管理コンソール210の処理は、プログラム起動をトリガとする場合の処理(図7のS311からS318)と同様であり、詳細説明を省略する。   The processing of the management console 210 is similar to the processing (S311 to S318 in FIG. 7) when the program activation is used as a trigger, and detailed description thereof is omitted.

上記では、ホワイトリスト120に登録されていないプログラムをホワイトリスト120に登録する例を説明したが、ホワイトリスト120に登録されていないパッケージをホワイトリスト120に登録する場合も同様の処理になる。   In the above description, an example in which a program that is not registered in the white list 120 is registered in the white list 120 has been described, but the same processing is performed when a package that is not registered in the white list 120 is registered in the white list 120.

また、図2に示すサーバ20が存在しない構成の場合、図7に示す管理コンソール210の処理(S311からS318)もクライアント10上で実行されることは言うまでもない。   Further, in the case where the server 20 shown in FIG. 2 does not exist, it goes without saying that the processing (S311 to S318) of the management console 210 shown in FIG.

[変形例]
上記では、クライアント10の例としてPC、タブレット端末、スマートフォンを例に挙げた。しかし、ポインティングデバイスを持たない端末(例えばネットワークスキャナ)や、ディスプレイを持たない端末(例えば組込端末)などをクライアントとして、上記処理を適用することができる。
[Modification]
In the above, as an example of the client 10, a PC, a tablet terminal, and a smartphone are given as examples. However, the above processing can be applied using a terminal (eg, a network scanner) that does not have a pointing device or a terminal (eg, an embedded terminal) that does not have a display as a client.

このように、ホワイトリスト型の制御方式を用いる場合の、ホワイトリストの更新にかかる作業を軽減することができる。従って、システム管理者などの、実行ファイルを抽出しホワイトリストを更新する負担が軽減される。さらに、昇格規準ルール130を用いた判断により、アップデータが信頼できるか否かの判断作業も軽減される。   As described above, when the white list type control method is used, it is possible to reduce the work for updating the white list. Therefore, the burden of extracting an execution file and updating the white list, such as a system administrator, is reduced. Further, the determination using the promotion criterion rule 130 also reduces the operation of determining whether the updater is reliable.

また、上記では、ホワイトリストを用いたホワイトリスト制御システムについて説明したが、ホワイトリストに限定されず、ブラックリストを用いたブラックリスト制御システムにも上記処理を適用することができる。   In the above description, the white list control system using the white list has been described. However, the present invention is not limited to the white list, and the above processing can be applied to a black list control system using the black list.

[その他の実施例]
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記録媒体を介してシステム或いは装置に供給し、そのシステムあるいは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
[Other Examples]
The present invention can also be realized by executing the following processing. That is, software (program) that realizes the functions of the above-described embodiments is supplied to a system or apparatus via a network or various recording media, and a computer (or CPU, MPU, etc.) of the system or apparatus reads the program. It is a process to be executed.

Claims (16)

プログラムの起動およびプログラムの生成または変更の検知、もしくは、プログラムの検索を行う検知手段と、
プログラムを識別する識別手段と、
実行が許可されたプログラムのリストであるホワイトリスト、および実行が禁止されたプログラムのリストであるブラックリストのうち一方のリストにプログラムを登録する登録手段とを有し、
前記識別手段は、前記検知手段によって起動が検知されたプログラムまたは前記検知手段の検索によって検出されたプログラムのプログラム情報に基づき、前記プログラムがプログラム情報に関する所定の基準を満たすか否かを判定し、
前記登録手段は、前記所定の基準を満たすと判定されたプログラムを前記一方のリストに登録し、
前記登録手段は、前記所定の基準を満たすと判定されたプログラムに昇格権限を付与するために、前記プログラムと前記昇格権限の対応を前記一方のリストに登録し、
前記検知手段によって前記昇格権限が付与されたプログラムによる子プログラムの生成または変更が検知された場合、前記登録手段は、前記子プログラムを前記一方のリストに登録することを特徴とする情報処理装置。
Detection means for detecting program activation and program generation or change, or program search;
An identification means for identifying the program;
Listing a is whitelist execution is allowed programs, and execution and a registration means for registering a program in one list of the list in a black list of prohibited programs,
The identification unit determines whether the program satisfies a predetermined criterion related to the program information based on the program information of the program detected by the detection unit or the program detected by the search of the detection unit,
The registration means registers a program determined to satisfy the predetermined criterion in the one list ,
The registration means registers the correspondence between the program and the promotion authority in the one list in order to give the promotion authority to the program determined to satisfy the predetermined criterion,
When the detection unit detects the generation or change of a child program by the program to which the promotion authority is granted, the registration unit registers the child program in the one list .
前記識別手段は、前記検知または検出されたプログラムが前記ホワイトリストおよび前記ブラックリストのうち他方のリストに登録されているか否かを判定し、
前記登録手段は、前記他方のリストに登録されていないと判定された前記検知または検出されたプログラムに前記昇格権限を付与する請求項に記載された情報処理装置。
The identification means determines whether the detected or detected program is registered in the other list of the white list and the black list;
The information processing apparatus according to claim 1 , wherein the registration unit grants the promotion authority to the detected or detected program that is determined not to be registered in the other list .
前記登録手段は、前記検知手段によって前記昇格権限が付与されたプログラムによる次の世代のプログラムの生成または変更が検知されると、前記次の世代のプログラムを前記一方のリストに登録する処理を再帰的に繰り返すことを特徴とする請求項に記載された情報処理装置。 The registration unit recursively registers the next generation program in the one list when the detection unit detects the generation or change of the next generation program by the program granted the promotion authority. The information processing apparatus according to claim 1 , wherein the information processing apparatus repeats automatically. 前記検知手段によって前記昇格権限が付与されたプログラムによる前記次の世代のプログラムの起動が検知された場合、前記登録手段は、前記次の世代のプログラムに前記昇格権限を付与することを特徴とする請求項に記載された情報処理装置。 The registration means grants the promotion authority to the next generation program when activation of the next generation program by the program to which the promotion authority is granted is detected by the detection means. The information processing apparatus according to claim 3 . 前記検知手段によって前記昇格権限が付与された前記次の世代のプログラムによる他の次の世代のプログラムの起動が検知された場合、前記登録手段は、前記他の次の世代のプログラムに前記昇格権限を付与することを特徴とする請求項に記載された情報処理装置。 When activation of another next generation program by the next generation program to which the promotion authority is granted by the detection means is detected, the registration means sends the promotion authority to the other next generation program. The information processing apparatus according to claim 3 , wherein: 前記検知手段によって前記昇格権限を付与されたプログラムによるインストーラの起動が検知された場合、前記登録手段は、前記インストーラに前記昇格権限を付与することを特徴とする請求項に記載された情報処理装置。 If starting the installer by the sensing means and the elevation privileges granted programmed by is detected, said registration means, information processing according to claim 1, characterized by applying the elevated privileges to the installer apparatus. 前記登録手段は、予め記憶された生成プログラム群に属するプログラムから生成され、かつ、予め記憶された起動プログラム群に属するプログラムから起動されたプログラムに、前記昇格権限を付与することを特徴とする請求項に記載された情報処理装置。 The registration means gives the promotion authority to a program that is generated from a program that belongs to a pre-stored generation program group and that is started from a program that belongs to a pre-stored startup program group. The information processing apparatus according to Item 1 . 前記識別手段は、前記検知手段によって前記昇格権限が付与されたプログラムによる次の世代のプログラムの生成または変更が検知されると、前記次の世代のプログラムのプログラム情報に基づき、前記次の世代のプログラムが前記他方のリストに登録されているか否かを判定し、
前記登録手段は、前記他方のリストに登録されていないと判定された次の世代のプログラムに前記昇格権限を付与することを特徴とする請求項に記載された情報処理装置。
When the generation unit detects the generation or change of the next generation program by the program to which the promotion authority is given by the detection unit, the identification unit detects the next generation program based on the program information of the next generation program. Determine whether the program is registered in the other list ;
The information processing apparatus according to claim 2 , wherein the registration unit grants the promotion authority to a next generation program that is determined not to be registered in the other list .
前記登録手段は、前記他方のリストに登録されていると判定された次の世代のプログラムの登録を前記一方のリストから削除することを特徴とする請求項に記載された情報処理装置。 It said registration means, is an information processing apparatus according to claim 8, characterized in that deletes the registration of the other lists the following is determined to be registered in the generation of a program from the list of the one. 前記検知手段によって前記昇格権限が付与されたプログラムによる次の世代のプログラムの起動が検知された場合、前記識別手段は、前記起動が検知されたプログラムのプログラム情報に基づき、前記プログラムが、前記他方のリストに登録されているか否かの判定、または、前記一方のリストに登録されているか否かの判定を行い、
前記登録手段は、前記他方のリストに登録されていないと判定されたプログラム、または、前記一方のリストに登録されていないと判定されたプログラムについて、前記一方のリストに登録するための処理を実行することを特徴とする請求項2、8、9の何れか一項に記載された情報処理装置。
If the startup of the next generation of the program by the program the elevated privilege was granted by the detection means is detected, said identification means, based on the program information of programs that the activation is detected, the program, the other determination of whether or not it is registered in the list, or, it is determined whether the registered one list,
It said registering means, the other is registered in the list is not determined to be a program, or programs that has been determined with the not registered in one list, performs processing for registering a list of the one The information processing device according to claim 2 , wherein the information processing device is an information processing device.
さらに、前記一方のリストに基づいてプログラムの起動を許可または阻止する制御手段を有することを特徴とする請求項から請求項10の何れか一項に記載された情報処理装置。 Further, by an information processing apparatus according to any one of claims 1 to 10, characterized in that it comprises a control means for permitting or preventing the activation of the program based on the list of the one. 前記プログラム情報にはディジタル署名が含まれることを特徴とする請求項から請求項11の何れか一項に記載された情報処理装置。 And an information processing apparatus according to any one of claims 1 to 11, characterized in that it contains a digital signature in the program information. プログラムの起動およびプログラムの生成または変更の検知、もしくは、プログラムの検索を行う検知手段、プログラムを識別する識別手段、実行が許可されたプログラムのリストであるホワイトリスト、および実行が禁止されたプログラムのリストであるブラックリストのうち一方のリストにプログラムを登録する登録手段を有する情報処理装置の情報処理方法であって、
前記識別手段が、前記検知手段によって起動が検知されたプログラムまたは前記検知手段の検索によって検出されたプログラムのプログラム情報に基づき、前記プログラムがプログラム情報に関する所定の基準を満たすか否かを判定し、
前記登録手段が、前記所定の基準を満たすと判定されたプログラムを前記一方のリストに登録し、
前記登録手段は、前記所定の基準を満たすと判定されたプログラムに昇格権限を付与するために、前記プログラムと前記昇格権限の対応を前記一方のリストに登録し、
前記検知手段によって前記昇格権限が付与されたプログラムによる子プログラムの生成または変更が検知された場合、前記登録手段は、前記子プログラムを前記一方のリストに登録することを特徴とする情報処理方法。
Detection means for program activation and program generation or change detection, or program search, identification means for identifying a program, white list that is a list of programs that are allowed to be executed, and programs that are prohibited from being executed An information processing method for an information processing apparatus having registration means for registering a program in one list of black lists as a list ,
The identification unit determines whether the program satisfies a predetermined criterion related to the program information based on the program information of the program detected by the detection unit or the program detected by the search of the detection unit,
The registration means registers the program determined to satisfy the predetermined criterion in the one list ,
The registration means registers the correspondence between the program and the promotion authority in the one list in order to give the promotion authority to the program determined to satisfy the predetermined criterion,
An information processing method , wherein when the detection unit detects generation or change of a child program by a program to which the promotion authority is granted, the registration unit registers the child program in the one list .
請求項から請求項12の何れか一項に記載された情報処理装置と、
ネットワークを介して、前記情報処理装置に前記一方のリストのデータを送信するサーバ装置とを有することを特徴とする情報処理システム。
And an information processing apparatus according to any one of claims 1 to 12,
An information processing system comprising: a server device that transmits data of the one list to the information processing device via a network.
前記サーバ装置は、前記ネットワークを介して、前記情報処理装置から前記一方のリストに登録すべきプログラムに関する情報を受信することを特徴とする請求項14に記載された情報処理システム。 The information processing system according to claim 14 , wherein the server device receives information related to a program to be registered in the one list from the information processing device via the network. コンピュータを請求項から請求項12の何れか一項に記載された情報処理装置の各手段として機能させるためのプログラム。 Program for causing to function as each means of the information processing apparatus according to computer claims 1 to any one of claims 12.
JP2013211423A 2012-10-09 2013-10-08 Information processing apparatus, information processing system, and information processing method Active JP6254414B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2013211423A JP6254414B2 (en) 2012-10-09 2013-10-08 Information processing apparatus, information processing system, and information processing method
PCT/JP2013/006022 WO2014057668A1 (en) 2012-10-09 2013-10-09 Information processing device and control method therefor, information processing system, as well as information processing method
US14/664,410 US9767280B2 (en) 2012-10-09 2015-03-20 Information processing apparatus, method of controlling the same, information processing system, and information processing method

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2012224574 2012-10-09
JP2012224574 2012-10-09
JP2013211423A JP6254414B2 (en) 2012-10-09 2013-10-08 Information processing apparatus, information processing system, and information processing method

Publications (3)

Publication Number Publication Date
JP2014096142A JP2014096142A (en) 2014-05-22
JP2014096142A5 JP2014096142A5 (en) 2016-11-04
JP6254414B2 true JP6254414B2 (en) 2017-12-27

Family

ID=50939128

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013211423A Active JP6254414B2 (en) 2012-10-09 2013-10-08 Information processing apparatus, information processing system, and information processing method

Country Status (1)

Country Link
JP (1) JP6254414B2 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6463170B2 (en) * 2015-03-03 2019-01-30 インヴェンティット株式会社 Application use restriction device and use restriction program
JP6541177B2 (en) * 2015-03-24 2019-07-10 東芝情報システム株式会社 Computer terminal and program therefor, computer system
JP6829168B2 (en) 2017-09-04 2021-02-10 株式会社東芝 Information processing equipment, information processing methods and programs
JP7200496B2 (en) * 2018-03-30 2023-01-10 日本電気株式会社 Information processing device, control method, and program
US10747874B2 (en) * 2018-05-22 2020-08-18 NortonLifeLock, Inc. Systems and methods for controlling an application launch based on a security policy
JP7281998B2 (en) * 2019-08-23 2023-05-26 キヤノン電子株式会社 Information processing device, information processing method, information processing system and program
JP2022149811A (en) 2021-03-25 2022-10-07 京セラドキュメントソリューションズ株式会社 Image forming apparatus, image forming method and image forming program
CN115495465A (en) * 2022-10-08 2022-12-20 中银金融科技有限公司 Data updating method and device and electronic equipment

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007316780A (en) * 2006-05-24 2007-12-06 Nec Corp Computer system, computer and file operation limiting method to be used therefor, and its program
JP4806751B2 (en) * 2007-03-19 2011-11-02 Necパーソナルプロダクツ株式会社 File access destination control apparatus, method and program thereof
JP5346608B2 (en) * 2009-02-06 2013-11-20 Kddi株式会社 Information processing apparatus and file verification system
JP5402169B2 (en) * 2009-03-31 2014-01-29 富士通株式会社 Execution control program and information processing system
JP5381670B2 (en) * 2009-12-10 2014-01-08 富士通株式会社 Execution control method, execution control program, and execution control apparatus
EP2609538B1 (en) * 2010-08-25 2016-10-19 Lookout Inc. System and method for server-coupled malware prevention
JP5891414B2 (en) * 2010-10-04 2016-03-23 パナソニックIpマネジメント株式会社 Information processing apparatus and method for preventing unauthorized application cooperation
JP5572573B2 (en) * 2011-03-07 2014-08-13 Kddi株式会社 Mobile terminal, program, and communication system

Also Published As

Publication number Publication date
JP2014096142A (en) 2014-05-22

Similar Documents

Publication Publication Date Title
JP6254414B2 (en) Information processing apparatus, information processing system, and information processing method
Javaheri et al. Detection and elimination of spyware and ransomware by intercepting kernel-level system routines
JP7084778B2 (en) Systems and methods for cloud-based detection, exploration and elimination of targeted attacks
US9767280B2 (en) Information processing apparatus, method of controlling the same, information processing system, and information processing method
EP2786295B1 (en) Preventing execution of task scheduled malware
US10291634B2 (en) System and method for determining summary events of an attack
US8918878B2 (en) Restoration of file damage caused by malware
RU2726032C2 (en) Systems and methods for detecting malicious programs with a domain generation algorithm (dga)
WO2018222766A1 (en) Real-time detection of and protection from malware and steganography in a kernel mode
CN102882875B (en) Active defense method and device
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
JP2016538614A (en) System and method for facilitating malware scanning using reputation indicators
CN110659478B (en) Method for detecting malicious files preventing analysis in isolated environment
JP6165469B2 (en) Information processing apparatus, control method therefor, and information processing system
Andriatsimandefitra et al. Detection and identification of android malware based on information flow monitoring
EP2417552B1 (en) Malware determination
CN102857519B (en) Active defensive system
Kazoleas et al. A novel malicious remote administration tool using stealth and self-defense techniques
JP6253333B2 (en) Information processing apparatus, information processing system, and information processing method
Chowdhury et al. Malware detection for healthcare data security
Rawal et al. Malware
Ali et al. Static analysis of malware in android-based platforms: a progress study
Yadav et al. A complete study on malware types and detecting ransomware using API calls
Husainiamer et al. Mobile malware classification for ios inspired by phylogenetics
Gundoor et al. Integrating Machine Learning Techniques for Comprehensive Malware Classification

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160913

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170728

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170926

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171102

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171130

R150 Certificate of patent or registration of utility model

Ref document number: 6254414

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250