篡改检测装置、篡改检测方法及篡改检测程序与流程

本发明涉及篡改检测装置、篡改检测方法及篡改检测程序。

背景技术：

1、软件篡改检测技术是如下技术：预先取得监视对象文件被视为正常的某个时刻的文件的摘要(哈希值等)，定期地将预先取得的该摘要与当前时刻的监视对象文件的摘要进行比较，由此检查对象文件是否被非法篡改。通常，该篡改检测技术被安装在设备中，并且被用于通过定期扫描设备中的整个监视对象文件来确保设备的真实性。作为该扫描的方式，以往使用了以下3种方式。

2、第1种方式是循环扫描方式。在该方式中，例如以路径名的升序、节点编号顺序等基于某规则的固定顺序来对整个监视对象文件进行扫描。

3、第2种方式是随机扫描方式。在该方式中，从全部监视对象文件中同等随机地选择接下来要扫描的文件，并进行该文件的扫描。

4、第3种方式是访问扫描(on-access scan)方式。在该方式中，有效利用fanotify等os(operating system：操作系统)的功能，检测并钩挂(hook)对文件的访问，进行扫描，如果未进行篡改，则允许文件的访问。

5、现有技术文献

6、专利文献

7、专利文献1：日本特开2019-008376号公报

8、专利文献2：日本特开2019-008732号公报

9、专利文献3：日本特开2019-207661号公报

技术实现思路

1、发明要解决的课题

2、然而，在现有技术中，无法降低在抑制监视对象设备内的使用资源的同时正规程序执行被非法篡改的文件的可能性。这是因为，在上述3种扫描方式中分别存在着以下问题。

3、在第1种的循环扫描方式中，被扫描过一次的文件在其他所有文件被循环扫描一次之前不会被再次扫描。因此，在可利用的cpu(central processing unit：中央处理单元)、存储器等资源有限的情况下，到所有文件被循环扫描一次为止的时间大多情况下会变长。因此，即便被进行了篡改，也很难立即发现该篡改，正规程序有可能在未注意到该篡改的情况下执行被非法篡改的文件。

4、在第2种的随机扫描方式中，由于是完全随机地选择要扫描的文件，因此从某个文件被扫描到下一次被扫描为止有可能需要庞大的时间。

5、在第3种的访问扫描方式中，虽然能够使正规程序在未注意到的情况下执行被非法篡改的文件的可能性几乎完全为0，但是os中的监视、文件访问的钩子(hook)会消耗大量的存储器、cpu资源，并且会导致i/o(input/output：输入/输出)的响应降低，因此会对设备的动作产生相当大的影响。

6、用于解决课题的手段

7、为了解决上述的课题并实现目的，本发明的篡改检测装置的特征在于，具备：取得部，其取得监视对象文件的访问模式；提取部，其从由所述取得部取得的所述访问模式中提取出每个所述监视对象文件的访问的时间序列模式；以及确定部，其基于由所述提取部提取出的所述访问的时间序列模式来确定扫描模式。

8、此外，本发明的篡改检测方法是由篡改检测装置执行的篡改检测方法，其特征在于，包括：取得工序，取得监视对象文件的访问模式；提取工序，从通过所述取得工序取得的所述访问模式中提取出每个所述监视对象文件的访问的时间序列模式；以及确定工序，基于通过所述提取工序提取出的所述访问的时间序列模式来确定扫描模式。

9、此外，本发明的篡改检测程序的特征在于，使计算机执行以下步骤：取得步骤，取得监视对象文件的访问模式；提取步骤，从通过所述取得步骤取得的所述访问模式中提取出每个所述监视对象文件的访问的时间序列模式；以及确定步骤，基于通过所述提取步骤提取出的所述访问的时间序列模式来确定扫描模式。

10、发明的效果

11、本发明能够在抑制监视对象设备内的使用资源的同时，降低正规程序执行被非法篡改的文件的可能性。

技术特征：

1.一种篡改检测装置，其特征在于，具备：

2.根据权利要求1所述的篡改检测装置，其特征在于，

3.根据权利要求2所述的篡改检测装置，其特征在于，

4.根据权利要求1至3中的任意一项所述的篡改检测装置，其特征在于，

5.根据权利要求1至4中的任意一项所述的篡改检测装置，其特征在于，

6.一种篡改检测方法，其由篡改检测装置执行，

7.一种篡改检测程序，其特征在于，使计算机执行以下步骤：

技术总结
篡改检测装置(10)具备：取得部(14a)，其取得监视对象文件的访问模式；提取部(14b)，其从由取得部(14a)取得的访问模式中提取出每个监视对象文件的访问的时间序列模式；以及确定部(14c)，其基于由提取部(14b)提取出的访问的时间序列模式来确定扫描模式。

技术研发人员：山中友贵,伊藤真奈美,佐藤亮太,泷口浩义,千叶伸浩,中岛良彰
受保护的技术使用者：日本电信电话株式会社
技术研发日：
技术公布日：2024/1/15