篡改检测装置(10)具备:取得部(14a),其取得监视对象文件的访问模式;提取部(14b),其从由取得部(14a)取得的访问模式中提取出每个监视对象文件的访问的时间序列模式;以及确定部(14c),其基于由提取部(14b)提取出的访问的时间序列模式来确定扫描模式。间序列模式来确定扫描模式。间序列模式来确定扫描模式。
【技术实现步骤摘要】
【国外来华专利技术】篡改检测装置、篡改检测方法及篡改检测程序
[0001]本专利技术涉及篡改检测装置、篡改检测方法及篡改检测程序。
技术介绍
[0002]软件篡改检测技术是如下技术:预先取得监视对象文件被视为正常的某个时刻的文件的摘要(哈希值等),定期地将预先取得的该摘要与当前时刻的监视对象文件的摘要进行比较,由此检查对象文件是否被非法篡改。通常,该篡改检测技术被安装在设备中,并且被用于通过定期扫描设备中的整个监视对象文件来确保设备的真实性。作为该扫描的方式,以往使用了以下3种方式。
[0003]第1种方式是循环扫描方式。在该方式中,例如以路径名的升序、节点编号顺序等基于某规则的固定顺序来对整个监视对象文件进行扫描。
[0004]第2种方式是随机扫描方式。在该方式中,从全部监视对象文件中同等随机地选择接下来要扫描的文件,并进行该文件的扫描。
[0005]第3种方式是访问扫描(On
‑
Access Scan)方式。在该方式中,有效利用fanotify等OS(Operating System:操作系统)的功能,检测并钩挂(hook)对文件的访问,进行扫描,如果未进行篡改,则允许文件的访问。
[0006]现有技术文献
[0007]专利文献
[0008]专利文献1:日本特开2019
‑
008376号公报
[0009]专利文献2:日本特开2019
‑
008732号公报
[0010]专利文献3:日本特开2019
‑
207661号公报
技术实现思路
[0011]专利技术要解决的课题
[0012]然而,在现有技术中,无法降低在抑制监视对象设备内的使用资源的同时正规程序执行被非法篡改的文件的可能性。这是因为,在上述3种扫描方式中分别存在着以下问题。
[0013]在第1种的循环扫描方式中,被扫描过一次的文件在其他所有文件被循环扫描一次之前不会被再次扫描。因此,在可利用的CPU(Central Processing Unit:中央处理单元)、存储器等资源有限的情况下,到所有文件被循环扫描一次为止的时间大多情况下会变长。因此,即便被进行了篡改,也很难立即发现该篡改,正规程序有可能在未注意到该篡改的情况下执行被非法篡改的文件。
[0014]在第2种的随机扫描方式中,由于是完全随机地选择要扫描的文件,因此从某个文件被扫描到下一次被扫描为止有可能需要庞大的时间。
[0015]在第3种的访问扫描方式中,虽然能够使正规程序在未注意到的情况下执行被非法篡改的文件的可能性几乎完全为0,但是OS中的监视、文件访问的钩子(hook)会消耗大量
的存储器、CPU资源,并且会导致I/O(Input/Output:输入/输出)的响应降低,因此会对设备的动作产生相当大的影响。
[0016]用于解决课题的手段
[0017]为了解决上述的课题并实现目的,本专利技术的篡改检测装置的特征在于,具备:取得部,其取得监视对象文件的访问模式;提取部,其从由所述取得部取得的所述访问模式中提取出每个所述监视对象文件的访问的时间序列模式;以及确定部,其基于由所述提取部提取出的所述访问的时间序列模式来确定扫描模式。
[0018]此外,本专利技术的篡改检测方法是由篡改检测装置执行的篡改检测方法,其特征在于,包括:取得工序,取得监视对象文件的访问模式;提取工序,从通过所述取得工序取得的所述访问模式中提取出每个所述监视对象文件的访问的时间序列模式;以及确定工序,基于通过所述提取工序提取出的所述访问的时间序列模式来确定扫描模式。
[0019]此外,本专利技术的篡改检测程序的特征在于,使计算机执行以下步骤:取得步骤,取得监视对象文件的访问模式;提取步骤,从通过所述取得步骤取得的所述访问模式中提取出每个所述监视对象文件的访问的时间序列模式;以及确定步骤,基于通过所述提取步骤提取出的所述访问的时间序列模式来确定扫描模式。
[0020]专利技术的效果
[0021]本专利技术能够在抑制监视对象设备内的使用资源的同时,降低正规程序执行被非法篡改的文件的可能性。
附图说明
[0022]图1是示出第1实施方式的篡改检测系统的结构例的图。
[0023]图2是示出第1实施方式的篡改检测装置的结构例的框图。
[0024]图3是示出第1实施方式的监视对象设备的结构例的框图。
[0025]图4是用于说明第1实施方式的各常数的定义的图。
[0026]图5是用于说明第1实施方式的扫描模式的评价指标的图。
[0027]图6是示出第1实施方式的篡改检测处理的流程的一例的流程图。
[0028]图7是示出第1实施方式的扫描模式的确定处理的流程的一例的流程图。
[0029]图8是示出执行程序的计算机的图。
具体实施方式
[0030]以下,基于附图对本专利技术的篡改检测装置、篡改检测方法以及篡改检测程序的实施方式进行详细说明。另外,本专利技术并不限定于以下说明的实施方式。
[0031]〔第1实施方式〕
[0032]以下依次对本实施方式的篡改检测系统的结构、篡改检测装置的结构、监视对象设备的结构、各常数的定义、扫描模式的评价指标、篡改检测处理的流程以及扫描模式的确定处理的流程进行说明,最后对本实施方式的效果进行说明。
[0033][篡改检测系统的结构][0034]使用图1对本实施方式的篡改检测系统(为便于说明,称为本系统)100的结构进行详细说明。图1是示出第1实施方式的篡改检测系统的结构例的图。篡改检测系统100具有服
务器等篡改检测装置10、各种终端等监视对象设备20。这里,篡改检测装置10与监视对象设备20经由未图示的规定的通信网以可通过有线或无线进行通信的方式连接。另外,图1所示的篡改检测系统100也可以包括多台篡改检测装置10、多台监视对象设备20。
[0035]首先,监视对象设备20将作为用于确定扫描模式的信息的监视对象文件的访问模式、文件大小等发送到篡改检测装置10(步骤S1)。这里,所谓的用于确定扫描模式的信息是指与监视对象设备相关的信息(为便于说明,称为“监视对象设备信息”)、与监视对象文件相关的信息(为便于说明,称为“文件信息”)等。
[0036]监视对象设备信息是与监视对象设备的资源相关的信息等,例如是与CPU的处理速度、使用量、内存容量、存储容量、哈希计算相关的信息、与通信相关的信息等,但没有特别限定。另外,监视对象设备信息是存储在监视对象设备中的监视对象文件的基本信息等,例如是文件名、文件的种类、表示文件的数据大小的文件大小、它们的一览、存储在监视对象设备中的文件数等,但没有特别限定。
[0037]文件信息是与存储在监视对象设备中的监视对象文件的访问相关的信息等,例如除了包括访问日志中包含的各个文件的访问次数、访问模式、访问源等信息以外,还包括由篡改检测装置10取得或提取出的信息,但没有特别限定。
[0038]接着本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种篡改检测装置,其特征在于,具备:取得部,其取得监视对象文件的访问模式;提取部,其从由所述取得部取得的所述访问模式中提取出每个所述监视对象文件的访问的时间序列模式;以及确定部,其基于由所述提取部提取出的所述访问的时间序列模式来确定扫描模式。2.根据权利要求1所述的篡改检测装置,其特征在于,所述取得部还取得所述监视对象文件的文件大小和所述扫描模式的设定时间,所述提取部还从所述访问模式中提取出每个所述监视对象文件的访问频度,所述确定部使用遗传算法来确定所述扫描模式。3.根据权利要求2所述的篡改检测装置,其特征在于,所述确定部通过加上规定的惩罚来确定至少一次包含所述监视对象文件的全部文件的扫描模式。4.根据权利要求1至3中的任意一项所述的篡改检测装置,其特征在于,所述确定部确定使从所述监视对象文件的扫描起到最近的访问为止的平均时间最小化的所述扫描模式。5.根据权利要求1至4中的任意一项所述的篡改检测装置,...
【专利技术属性】
技术研发人员:山中友贵,伊藤真奈美,佐藤亮太,泷口浩义,千叶伸浩,中岛良彰,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。