JP2006277063A - Hacking defence device and hacking defence program - Google Patents
Hacking defence device and hacking defence program Download PDFInfo
- Publication number
- JP2006277063A JP2006277063A JP2005092216A JP2005092216A JP2006277063A JP 2006277063 A JP2006277063 A JP 2006277063A JP 2005092216 A JP2005092216 A JP 2005092216A JP 2005092216 A JP2005092216 A JP 2005092216A JP 2006277063 A JP2006277063 A JP 2006277063A
- Authority
- JP
- Japan
- Prior art keywords
- command
- condition
- execution permission
- unit
- permission condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
この発明は、例えば、サーバやパーソナルコンピュータ上で利用することが可能なコマンドを制限することにより、第三者による不正なコマンドの実行を防止するハッキング防御装置及びハッキング防御プログラムに関するものである。 The present invention relates to a hacking protection device and a hacking protection program that prevent execution of an unauthorized command by a third party by limiting commands that can be used on a server or a personal computer, for example.
近年オペレーティングシステムやサーバS/Wの脆弱性(セキュリティホール)が多数報告されており、それらのセキュリティホールを利用した不正アクセスが頻繁に発生している。
従来のハッキング防御装置は、不正アクセスからコンピュータを守るため、セキュリティホールの存在を検証するとともに、そのセキュリティホールに対する修正プログラムの適用状況を監視するようにしている(例えば、特許文献1参照)。
In recent years, many vulnerabilities (security holes) of operating systems and server S / Ws have been reported, and unauthorized access using these security holes frequently occurs.
In order to protect a computer from unauthorized access, a conventional hacking protection device verifies the existence of a security hole and monitors the application status of a correction program for the security hole (see, for example, Patent Document 1).
なお、セキュリティホールに修正プログラムを適用すれば、通常、そのセキュリティホールを排除することができるが、その修正プログラムを適用することにより、コンピュータの動作が不安定になることがある。
また、コンピュータが大規模システムを構築しているような場合には、修正プログラムを適用するためだけに、コンピュータを停止することができない場合もある。
Note that if a correction program is applied to a security hole, the security hole can usually be eliminated. However, application of the correction program may make the operation of the computer unstable.
Also, when the computer is constructing a large-scale system, the computer may not be stopped only for applying the correction program.
従来のハッキング防御装置は以上のように構成されているので、すべてのセキュリティホールを検出して、そのセキュリティホールに修正プログラムを適用すれば、不正アクセスからコンピュータを守ることができる。しかし、修正プログラムを適用することにより、コンピュータの動作が不安定になることがある。また、コンピュータが構築しているシステムによっては、修正プログラムを適用するためにコンピュータを停止することができず、セキュリティホールを完全に排除することができないなどの課題があった。 Since the conventional hacking protection apparatus is configured as described above, if all security holes are detected and a correction program is applied to the security holes, the computer can be protected from unauthorized access. However, by applying the correction program, the operation of the computer may become unstable. Further, depending on the system built by the computer, there is a problem that the computer cannot be stopped to apply the correction program, and the security hole cannot be completely eliminated.
この発明は上記のような課題を解決するためになされたもので、セキュリティホールに修正プログラムを適用することなく、第三者による不正なアクセスからコンピュータを守ることができるハッキング防御装置及びハッキング防御プログラムを得ることを目的とする。 The present invention has been made to solve the above-described problems, and a hacking prevention device and a hacking prevention program that can protect a computer from unauthorized access by a third party without applying a correction program to a security hole. The purpose is to obtain.
この発明に係るハッキング防御装置は、条件記録手段に記録されているコマンド別の実行許可条件の中から、コマンド解析手段により解析されたコマンドに対応する実行許可条件を取得して、その実行許可条件を満足しているか否かを判定する条件判定手段を設け、その条件判定手段の判定結果が実行許可条件を満足している旨を示していれば、そのコマンドをオペレーティングシステムに渡し、その判定結果が実行許可条件を満足していない旨を示していれば、そのコマンドを廃棄するようにしたものである。 The hacking protection device according to the present invention acquires an execution permission condition corresponding to the command analyzed by the command analysis unit from the execution permission conditions for each command recorded in the condition recording unit, and the execution permission condition If there is condition determination means for determining whether the condition is satisfied and the determination result of the condition determination means indicates that the execution permission condition is satisfied, the command is passed to the operating system, and the determination result Indicates that the execution permission condition is not satisfied, the command is discarded.
この発明によれば、条件記録手段に記録されているコマンド別の実行許可条件の中から、コマンド解析手段により解析されたコマンドに対応する実行許可条件を取得して、その実行許可条件を満足しているか否かを判定する条件判定手段を設け、その条件判定手段の判定結果が実行許可条件を満足している旨を示していれば、そのコマンドをオペレーティングシステムに渡し、その判定結果が実行許可条件を満足していない旨を示していれば、そのコマンドを廃棄するように構成したので、セキュリティホールに修正プログラムを適用することなく、第三者による不正なアクセスからコンピュータを守ることができる効果がある。 According to this invention, the execution permission condition corresponding to the command analyzed by the command analysis unit is acquired from the execution permission conditions for each command recorded in the condition recording unit, and the execution permission condition is satisfied. If there is a condition determination means that determines whether or not the condition is satisfied, and the determination result of the condition determination means indicates that the execution permission condition is satisfied, the command is passed to the operating system, and the determination result is the execution permission. If it shows that the condition is not satisfied, the command is discarded so that the computer can be protected from unauthorized access by a third party without applying a patch to the security hole. There is.
実施の形態1.
図1はこの発明の実施の形態1によるハッキング防御装置が適用されるシステムを示す構成図であり、図において、正当コンピュータ1は正規のユーザが使用するコンピュータであり、不正コンピュータ2は不正侵入を試みる侵入者が使用するコンピュータである。正当コンピュータ1及び不正コンピュータ2はインターネット3などのネットワークに接続されている。
ファイヤーウォール(以下、F/Wと称する)4はTCP/IPのサービスレベルで、外部からの不正アクセスを防御するネットワーク機器である。
ハッキング防御装置6は入力されたコマンドに対応する実行許可条件を満足している場合に限り、そのコマンドをコンピュータ7のオペレーティングシステムに渡し、その実行許可条件を満足していなければ、そのコマンドを廃棄する処理を実施する。
防御対象のコンピュータ(例えば、サーバ、パーソナルコンピュータ)7はLAN5を介してF/W4と接続されており、ハッキング防御装置6を内蔵している。
FIG. 1 is a block diagram showing a system to which a hacking protection device according to
A firewall (hereinafter referred to as F / W) 4 is a TCP / IP service level and is a network device that protects against unauthorized access from outside.
The
A protection target computer (for example, a server or a personal computer) 7 is connected to the F /
図1の例では、ハッキング防御装置6が防御対象のコンピュータ7に内蔵されているものを示しているが、図2に示すように、F/W4とコンピュータ7の間にハッキング防御装置6を配置するようにしてもよい。
In the example of FIG. 1, the
図3はこの発明の実施の形態1によるハッキング防御装置を示す構成図であり、図において、ネットワークI/F部11はLAN5を介してF/W4と接続され、不正コンピュータ2などから送信されたコマンドがF/W4を通過してくると、そのコマンドを受信する処理を実施する。
入力監視部12はネットワークI/F部11におけるコマンドの受信状況を監視する処理を実施する。
なお、ネットワークI/F部11及び入力監視部12から入力監視手段が構成されている。
FIG. 3 is a block diagram showing the hacking protection apparatus according to
The
The network I / F unit 11 and the
コマンド解析部13は入力監視部12によりコマンドの受信が検出されると、ネットワークI/F部11により受信されたコマンドを解析して、そのコマンドを構成している文字列を特定する処理を実施する。なお、コマンド解析部13はコマンド解析手段を構成している。
専用ポリシーである条件記録部14はコマンド別に実行許可条件を記録しているメモリテーブルである。なお、条件記録部14は条件記録手段を構成している。
When the
The
実行許可条件取得部15は条件記録部14に記録されている実行許可条件の中から、コマンド解析部13により解析されたコマンドに対応する実行許可条件を取得する処理を実施する。
コマンド実行認証部16は実行許可条件取得部15により取得された実行許可条件が認証の取得である場合、認証処理を実施して、認証が正常に取得されるか否かを判定する処理を実施する。
コマンド認証DB17は予め登録されている正規のユーザのユーザIDとパスワードを保管しているデータベースである。
The execution permission
When the execution permission condition acquired by the execution permission
The command authentication DB 17 is a database that stores user IDs and passwords of registered regular users.
デバイス監視部18は実行許可条件取得部15により取得された実行許可条件が所定の外部デバイス(例えば、キーボード22、マウス23)の接続である場合、所定の外部デバイスの接続確認を実施して、所定の外部デバイスが接続されているか否かを判定する処理を実施する。
プロセス監視部19は実行許可条件取得部15により取得された実行許可条件が指定のプロセスの起動である場合、指定のプロセスの起動確認を実施して、指定のプロセスが起動されているか否かを判定する処理を実施する。
ディレクトリ監視部20は実行許可条件取得部15により取得された実行許可条件が指定のカレントディレクトリである場合、現在のカレントディレクトリを確認して、現在のカレントディレクトリが指定のカレントディレクトリであるか否かを判定する処理を実施する。
なお、実行許可条件取得部15、コマンド実行認証部16、コマンド認証DB17、デバイス監視部18、プロセス監視部19及びディレクトリ監視部20から条件判定手段が構成されている。
When the execution permission condition acquired by the execution permission
If the execution permission condition acquired by the execution permission
When the execution permission condition acquired by the execution permission
The execution permission
ゲート部21はコマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20の判定結果が実行許可条件を満足している旨を示していれば、そのコマンドを防御対象のコンピュータ7のオペレーティングシステム7aに渡し、その判定結果が実行許可条件を満足していない旨を示していれば、そのコマンドを廃棄する処理を実施する。なお、ゲート部21はゲート手段を構成している。
キーボード22及びマウス23は例えば管理者がハッキング防御装置6をメンテナンスする場合などに使用するマンマシンI/F(外部デバイス)であり、ハッキング防御装置6の通常運用時にはハッキング防御装置6から外され、メンテナンス時にはハッキング防御装置6に接続される。
If the determination result of the command
The
なお、この実施の形態1では、ハッキング防御装置6の構成要素(ネットワークI/F部11、入力監視部12、コマンド解析部13、条件記録部14、実行許可条件取得部15、コマンド実行認証部16、コマンド認証DB17、デバイス監視部18、プロセス監視部19、ディレクトリ監視部20、ゲート部21)が専用のハードウェア(例えば、MPUなどのマイクロプロセッサを実装している半導体集積回路基板)から構成されていることを想定しているが、ハッキング防御装置6がコンピュータから構成されている場合、条件記録部14やコマンド認証DB17の記録内容がコンピュータのメモリに格納され、また、ネットワークI/F部11、入力監視部12、コマンド解析部13、実行許可条件取得部15、コマンド実行認証部16、デバイス監視部18、プロセス監視部19、ディレクトリ監視部20及びゲート部21の処理内容が記述されたプログラム(ハッキング防御プログラム)がコンピュータのメモリに格納され、コンピュータの中央処理装置であるCPUが当該メモリに格納されているプログラムを実行するようにしてもよい。
In the first embodiment, the components of the hacking defense device 6 (network I / F unit 11,
次に動作について説明する。
正規のユーザがコンピュータ7にアクセスする必要がある場合(例えば、コンピュータ7に保管されている画像データを入手する必要がある場合)、正当コンピュータ1を操作して、正当コンピュータ1からコマンド(例えば、画像データの送信を要求するコマンド)をコンピュータ7に送信する。
また、ハッカーなどの不正者がコンピュータ7に保管されている秘密情報を入手したり、コンピュータに保管されている情報を改竄したりするなどの不正行為を実施する場合は、不正コンピュータ2を操作して、不正コンピュータ2からコマンドをコンピュータ7に送信する。
Next, the operation will be described.
When a legitimate user needs to access the computer 7 (for example, when it is necessary to obtain image data stored in the computer 7), the
In addition, when an unauthorized person such as a hacker obtains confidential information stored in the
正当コンピュータ1から送信されたコマンドや不正コンピュータ2から送信されたコマンドは、インターネット2を通じてF/W4に到達する。
F/W4は、正当コンピュータ1又は不正コンピュータ2から送信されたコマンドが、TCP/IPのサービスレベルで不正があれば、そのコマンドを廃棄するが、TCP/IPのサービスレベルで不正が見つからなければ、そのコマンドをLAN5を介してハッキング防御装置6に出力する。
ここでは、説明の便宜上、正当コンピュータ1から送信されたコマンドだけでなく、不正コンピュータ2から送信されたコマンドも、TCP/IPのサービスレベルで不正が見つからずに、ハッキング防御装置6に出力されるものとする。
A command transmitted from the
The F /
Here, for convenience of explanation, not only a command transmitted from the
ハッキング防御装置6のネットワークI/F部11は、上記のようにして、F/W4がコマンドを出力すると、そのコマンドの受信処理を実施する。
ハッキング防御装置6の入力監視部12は、ネットワークI/F部11におけるコマンドの受信状況を監視し、ネットワークI/F部11がコマンドを受信したことを検出すると、その旨をコマンド解析部13に通知する。
ハッキング防御装置6のコマンド解析部13は、入力監視部12からコマンドの検出通知を受けると、ネットワークI/F部11により受信されたコマンドを解析して、そのコマンドを構成している文字列を特定する処理を実施する。
即ち、コマンドを構成している文字列を特定して、そのコマンドが如何なる内容を要求しているコマンドであるのかを解析する。
As described above, when the F /
The
Upon receiving a command detection notification from the
That is, a character string that constitutes a command is specified, and what kind of content the command is requesting is analyzed.
ここで、条件記録部14には、図4に示すように、コマンド別に実行許可条件が記録されている。
図4の例では、コマンド解析部13により解析されたコマンドが“コマンドA”,“コマンドB”であれば、実行許可条件(1)として、そのコマンドを無条件で実行を許可する旨が記載されている。
また、コマンド解析部13により解析されたコマンドが“コマンドE”,“コマンドF”であれば、実行許可条件(2)として、ユーザID/パスワードによる認証取得が必要であり、コマンドの送信元がユーザC又はユーザDであることが認められる場合に限り、そのコマンドの実行を許可する旨が記載されている。
Here, the
In the example of FIG. 4, if the command analyzed by the
Further, if the command analyzed by the
コマンド解析部13により解析されたコマンドが“コマンドG”であれば、実行許可条件(3)として、所定の外部デバイスの接続確認が必要であり、所定の外部デバイスが接続されている場合に限り、そのコマンドの実行を許可する旨が記載されている。
また、コマンド解析部13により解析されたコマンドが“コマンドH”であれば、実行許可条件(4)として、指定のプロセス(例えば、allow.exe)の起動確認が必要であり、指定のプロセスが起動されている場合に限り、そのコマンドの実行を許可する旨が記載されている。
If the command analyzed by the
If the command analyzed by the
さらに、コマンド解析部13により解析されたコマンドが“コマンドI”,“コマンドJ”であれば、実行許可条件(5)として、現在のカレントディレクトリを確認する必要があり、現在のカレントディレクトリが指定のカレントディレクトリ(例えば、/mel/com)である場合に限り、そのコマンドの実行を許可する旨が記載されている。
コマンド解析部13により解析されたコマンドが上記のコマンド以外であれば、実行許可条件(6)として、そのコマンドを無条件に実行を拒否する旨が記載されている。
Further, if the command analyzed by the
If the command analyzed by the
ハッキング防御装置6の実行許可条件取得部15は、コマンド解析部13がネットワークI/F部11により受信されたコマンドを解析すると、条件記録部14に記録されている実行許可条件の中から、そのコマンドに対応する実行許可条件を取得する処理を実施する。
例えば、コマンド解析部13により解析されたコマンドが“コマンドA”,“コマンドB”であれば、条件記録部14から実行許可条件(1)を取得する。その実行許可条件(1)は、無条件でコマンドの実行を許可しているので、そのコマンドをゲート部21に出力するとともに、コンピュータ7に対するコマンドの出力許可通知をゲート部21に出力する。
When the
For example, if the command analyzed by the
また、コマンド解析部13により解析されたコマンドが“コマンドE”,“コマンドF”であれば、条件記録部14から実行許可条件(2)を取得する。その実行許可条件(2)は、ユーザID/パスワードによる認証の取得を条件にしているので、その実行許可条件(2)をコマンド実行認証部16に出力するとともに、そのコマンドをゲート部21に出力する。
コマンド解析部13により解析されたコマンドが“コマンドG”であれば、条件記録部14から実行許可条件(3)を取得する。その実行許可条件(3)は、所定の外部デバイスの接続を条件にしているので、その実行許可条件(3)をデバイス監視部18に出力するとともに、そのコマンドをゲート部21に出力する。
If the command analyzed by the
If the command analyzed by the
また、コマンド解析部13により解析されたコマンドが“コマンドH”であれば、条件記録部14から実行許可条件(4)を取得する。その実行許可条件(4)は、指定のプロセスの起動を条件にしているので、その実行許可条件(4)をプロセス監視部19に出力するとともに、そのコマンドをゲート部21に出力する。
さらに、コマンド解析部13により解析されたコマンドが“コマンドI”,“コマンドJ”であれば、条件記録部14から実行許可条件(5)を取得する。その実行許可条件(5)は、指定のカレントディレクトリであることを条件にしているので、その実行許可条件(5)をディレクトリ監視部20に出力するとともに、そのコマンドをゲート部21に出力する。
コマンド解析部13により解析されたコマンドが上記のコマンド以外であれば、条件記録部14から実行許可条件(6)を取得する。その実行許可条件(6)は、無条件拒否であるので、そのコマンドを廃棄する。
If the command analyzed by the
Further, if the command analyzed by the
If the command analyzed by the
ハッキング防御装置6のコマンド実行認証部16は、実行許可条件取得部15から実行許可条件(2)を受けると、実行許可条件が“認証の取得”を条件としているため、ネットワークI/F部11を介して、ユーザIDとパスワードの入力を要求するメッセージをコマンド送信元のコンピュータ(正当コンピュータ1又は不正コンピュータ2)に送信する。
これにより、正規のユーザ又は不正者が、正当コンピュータ1又は不正コンピュータ2を操作してユーザIDとパスワードを入力し、正当コンピュータ1又は不正コンピュータ2からユーザIDとパスワードが送信されてくると、コマンド実行認証部16がネットワークI/F部11を介して、ユーザIDとパスワードを受信する。
Upon receiving the execution permission condition (2) from the execution permission
Thus, when a legitimate user or an unauthorized person operates the
コマンド実行認証部16は、ユーザID/パスワードを受信すると、コマンド認証DB17に予め登録されている正規のユーザのユーザID/パスワードの中に、その受信したユーザID/パスワードと一致するユーザID/パスワードが存在しているか否かを判定する。
この例では、ユーザCとユーザDのユーザID/パスワードがコマンド認証DB17に登録されているので、コマンド送信元のコンピュータの使用者がユーザC又はユーザDであれば、一致するユーザID/パスワードが存在し、認証に成功する。
一方、コマンド送信元のコンピュータの使用者がユーザC,D以外であれば、一致するユーザID/パスワードが存在しないため、認証に失敗する。
コマンド実行認証部16は、認証に成功すれば、コンピュータ7に対するコマンドの出力許可通知をゲート部21に出力し、認証に失敗すれば、コンピュータ7に対するコマンドの出力拒否通知をゲート部21に出力する。
When the command
In this example, since the user ID / password of the user C and the user D are registered in the
On the other hand, if the user of the command transmission source computer is other than the users C and D, the matching user ID / password does not exist and authentication fails.
If the authentication is successful, the command
ハッキング防御装置6のデバイス監視部18は、実行許可条件取得部15から実行許可条件(3)を受けると、実行許可条件が“所定の外部デバイス(例えば、キーボード22、マウス23)が接続されていること”を条件としているため、所定の外部デバイス(例えば、キーボード22、マウス23)が接続されているか否かを確認する。
デバイス監視部18は、所定の外部デバイスが接続されている場合には、コンピュータ7に対するコマンドの出力許可通知をゲート部21に出力し、所定の外部デバイスが接続されていない場合には、コンピュータ7に対するコマンドの出力拒否通知をゲート部21に出力する。
When the
The
ハッキング防御装置6のプロセス監視部19は、実行許可条件取得部15から実行許可条件(4)を受けると、実行許可条件が“指定のプロセス(例えば、allow.exe)が起動されていること”を条件としているため、指定のプロセスが起動されているか否かを確認する。
プロセス監視部19は、指定のプロセス(例えば、allow.exe)が起動されている場合には、コンピュータ7に対するコマンドの出力許可通知をゲート部21に出力し、指定のプロセスが起動されていない場合には、コンピュータ7に対するコマンドの出力拒否通知をゲート部21に出力する。
Upon receiving the execution permission condition (4) from the execution permission
When the designated process (for example, allow.exe) is activated, the
ハッキング防御装置6のディレクトリ監視部20は、実行許可条件取得部15から実行許可条件(5)を受けると、実行許可条件が“現在のカレントディレクトリが指定のカレントディレクトリ(例えば、/mel/com)にあること”を条件としているため、現在のカレントディレクトリが指定のカレントディレクトリであるか否かを確認する。
ディレクトリ監視部20は、現在のカレントディレクトリが指定のカレントディレクトリ(例えば、/mel/com)にあれば、コンピュータ7に対するコマンドの出力許可通知をゲート部21に出力し、現在のカレントディレクトリが指定のカレントディレクトリになければ、コンピュータ7に対するコマンドの出力拒否通知をゲート部21に出力する。
When the
If the current current directory is in the designated current directory (for example, / mel / com), the
ハッキング防御装置6のゲート部21は、実行許可条件取得部15、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力許可通知を受けると、実行許可条件取得部15から出力されたコマンドをコンピュータ7のオペレーティングシステム7aに出力する。
これにより、コンピュータ7のオペレーティングシステム7aは、そのコマンドが指定する要求に応じた動作を行う。
When the
As a result, the
ゲート部21は、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力拒否通知を受けると、実行許可条件取得部15から出力されたコマンドをコンピュータ7のオペレーティングシステム7aに出力せずに廃棄する。
これにより、コンピュータ7のオペレーティングシステム7aは、不正者から送信された可能性が高いコマンドにしたがって動作せずに済み、コンピュータ7を不正アクセスから守ることができる。
When the
As a result, the
以上で明らかなように、この実施の形態1によれば、条件記録部14に記録されているコマンド別の実行許可条件の中から、コマンド解析部13により解析されたコマンドに対応する実行許可条件を取得して、その実行許可条件を満足しているか否かを判定する条件判定手段を設け、その条件判定手段の判定結果が実行許可条件を満足している旨を示していれば、そのコマンドをコンピュータ7のオペレーティングシステム7aに渡し、その判定結果が実行許可条件を満足していない旨を示していれば、そのコマンドを廃棄するように構成したので、セキュリティホールに修正プログラムを適用することなく、第三者による不正なアクセスからコンピュータ7を守ることができる効果を奏する。
As apparent from the above, according to the first embodiment, the execution permission condition corresponding to the command analyzed by the
また、この実施の形態1によれば、コマンド解析部13により解析されたコマンドに対応する実行許可条件が認証の取得である場合、認証処理を実施して、認証が正常に取得されるか否かを判定するように構成したので、予め正規に登録されたユーザ以外のアクセスを拒否して、第三者による不正コマンドの実行を防止することができる効果を奏する。
Further, according to the first embodiment, when the execution permission condition corresponding to the command analyzed by the
この実施の形態1によれば、コマンド解析部13により解析されたコマンドに対応する実行許可条件が所定の外部デバイスの接続である場合、所定の外部デバイスの接続確認を実施して、所定の外部デバイスが接続されているか否かを判定するように構成したので、例えば、管理者がハッキング防御装置6をメンテナンスするとき以外の通常運用時には、ハッキング防御装置6から所定の外部デバイスを外すようにしていれば、所定のコマンドGの実行を制限することができるようになり、不正者による所定のコマンドGの実行を防止することができる効果を奏する。
According to the first embodiment, when the execution permission condition corresponding to the command analyzed by the
さらに、この実施の形態1によれば、コマンド解析部13により解析されたコマンドに対応する実行許可条件が指定のプロセスの起動である場合、指定のプロセスの起動確認を実施して、指定のプロセスが起動されているか否かを判定するように構成したので、通常運用時には、指定のプロセスを止めておけば、所定のコマンドHの実行を制限することができるようになり、不正者による所定のコマンドHの実行を防止することができる効果を奏する。
Furthermore, according to the first embodiment, when the execution permission condition corresponding to the command analyzed by the
また、この実施の形態1によれば、コマンド解析部13により解析されたコマンドに対応する実行許可条件が指定のカレントディレクトリである場合、現在のカレントディレクトリを確認して、現在のカレントディレクトリが指定のカレントディレクトリであるか否かを判定するように構成したので、指定のカレントディレクトリを知らない第三者のアクセスを拒否して、第三者による所定のコマンドI,Jの実行を防止することができる効果を奏する。
Further, according to the first embodiment, when the execution permission condition corresponding to the command analyzed by the
実施の形態2.
上記実施の形態1では、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力拒否通知を受けると、実行許可条件取得部15から出力されたコマンドをコンピュータ7のオペレーティングシステム7aに出力せずに廃棄するものについて示したが、さらに、一定期間、コマンドの入力を拒否するようにしてもよい。
In the first embodiment, when a command output rejection notification to the
即ち、ゲート部21は、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力拒否通知を受けると、上記実施の形態1と同様に、実行許可条件取得部15から出力されたコマンドをコンピュータ7のオペレーティングシステム7aに出力せずに廃棄する。
また、コマンド実行認証部16は、処理オプションとして、“一定時間入力無視”が設定されている場合において(図4を参照)、認証に失敗すると、図5に示すように、コマンドの入力拒否通知を入力監視部12に出力する。
入力監視部12は、コマンド実行認証部16からコマンドの入力拒否通知を受けると、一定期間、ネットワークI/F部11がコマンドを受信しないように制御する。
That is, when receiving a command output rejection notification to the
Further, when “ignore input for a certain period” is set as a processing option (see FIG. 4), the command
When the
以上で明らかなように、この実施の形態2によれば、条件判定手段の判定結果が実行許可条件を満足していない旨を示している場合、一定期間、コマンドの入力を拒否するように構成したので、上記実施の形態1よりも更に厳格に第三者による不正なアクセスからコンピュータ7を守ることができる効果を奏する。
As is apparent from the above, according to the second embodiment, when the determination result of the condition determination unit indicates that the execution permission condition is not satisfied, the command input is rejected for a certain period. As a result, the
なお、この実施の形態2では、コマンド実行認証部16が実行許可条件を満足していないと判断するとき、コマンドの入力拒否通知を入力監視部12に出力するものについて示したが、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20が実行許可条件を満足していないと判断するとき、コマンドの入力拒否通知を入力監視部12に出力するようにしてもよい。
In the second embodiment, the command
また、処理オプションとして、“アラート発信”が設定されている場合において、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20が実行許可条件を満足していないと判断すると、ゲート部21が実行許可条件を満足しないコマンドが入力された旨を例えば管理者に通知するようにしてもよい。
なお、図4の例では、実行許可条件(3)に設定されているので、デバイス監視部18が実行許可条件を満足していないと判断するとき、ゲート部21が実行許可条件を満足しないコマンドが入力された旨を例えば管理者に通知する。
When “alert transmission” is set as the processing option, the command
In the example of FIG. 4, since the execution permission condition (3) is set, when the
実施の形態3.
図6はこの発明の実施の形態3によるハッキング防御装置を示す構成図であり、図において、図5と同一符号は同一または相当部分を示すので説明を省略する。
ログ保管部24はコマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力拒否通知を受けると、ログ保管DB25にログを保管する処理を実施する。
ログ保管DB25はログを保管するデータベースである。
なお、ログ保管部24及びログ保管DB25からログ保管手段が構成されている。
6 is a block diagram showing a hacking protection device according to
When the log storage unit 24 receives a command output rejection notification to the
The
The log storage unit 24 and the
上記実施の形態1,2では、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力拒否通知を受けると、実行許可条件取得部15から出力されたコマンドをコンピュータ7のオペレーティングシステム7aに出力せずに廃棄するものについて示したが、この実施の形態3では、さらに、ログの保管の要否として、“要”が条件記録部14に記録されている場合(図4を参照)、ログ保管部24が、コマンド実行認証部16等が実行許可条件を満足していないと判断すると、ネットワークI/F部11により受信されたコマンド(当該コマンドの前後に入力された文字列等を含む)のログをログ保管DB25に保管するようにしている。
In the first and second embodiments, when a command output rejection notification to the
以上で明らかなように、この実施の形態3によれば、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力拒否通知を受けると、ログ保管部24がログをログ保管DB25に保管するように構成したので、ログ保管DB25に保管しているログを解析すれば、不正な第三者や、不正アクセスの手口などを解明することができるようになる効果を奏する。
As is apparent from the above, according to the third embodiment, when a command output rejection notification to the
実施の形態4.
図7はこの発明の実施の形態4によるハッキング防御装置を示す構成図であり、図において、図3と同一符号は同一または相当部分を示すので説明を省略する。
不正文字列格納DB26は例えばコンピュータウィルスをコンピュータに侵入させる不正文字列を格納しているデータベースである。
ゲート部27は図3のゲート部21と同様の処理を実施するほか、実行条件取得部15、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力許可通知を受けても、コマンド解析部13により解析されたコマンドに文字列が付加されており、そのコマンドと文字列の組み合わせに一致する不正文字列が不正文字列格納DB26に格納されている場合、そのコマンドと文字列を廃棄する処理を実施する。
なお、不正文字列格納DB26及びゲート部27からゲート手段が構成されている。
7 is a block diagram showing a hacking protection apparatus according to
The illegal character
The
The illegal character
次に動作について説明する。
ゲート部27は、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力拒否通知を受けると、上記実施の形態1〜3と同様に、実行許可条件取得部15から出力されたコマンドをコンピュータ7のオペレーティングシステム7aに出力せずに廃棄する。
Next, the operation will be described.
When the
ゲート部27は、実行条件取得部15、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力許可通知を受けた場合、そのコマンドを含む前後の入力文字列がコンピュータウィルスをコンピュータ7に侵入させる不正文字列である可能性があるので、そのコマンドと前後の入力文字列の組み合わせに一致する不正文字列が不正文字列格納DB26に格納されているか否かを判定する。
When the
ゲート部27は、コマンドと文字列の組み合わせに一致する不正文字列が不正文字列格納DB26に格納されていない場合、そのコマンドをコンピュータ7のオペレーティングシステム7aに出力するが、コマンドと文字列の組み合わせに一致する不正文字列が不正文字列格納DB26に格納されている場合、そのコマンドをコンピュータ7のオペレーティングシステム7aに出力せずに、そのコマンドと文字列を廃棄する。
When the illegal character string that matches the combination of the command and the character string is not stored in the illegal character
以上で明らかなように、この実施の形態4によれば、実行条件取得部15、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力許可通知を受けても、コマンド解析部13により解析されたコマンドに文字列が付加されており、そのコマンドと文字列の組み合わせに一致する不正文字列が不正文字列格納DB26に格納されている場合、そのコマンドと文字列を廃棄するように構成したので、コンピュータ7に対するコンピュータウィルスの侵入を防止することができる効果を奏する。
As apparent from the above, according to the fourth embodiment, command output permission to the
実施の形態5.
図8はこの発明の実施の形態5によるハッキング防御装置を示す構成図であり、図において、図3と同一符号は同一または相当部分を示すので説明を省略する。
ソフトウェアDB28はコンピュータ7に対してインストールを許可するソフトウェアの一覧を記録しているデータベースである。
ゲート部29は図3のゲート部21と同様の処理を実施するほか、実行条件取得部15、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力許可通知を受けても、コマンド解析部13により解析されたコマンドがソフトウェアのインストールを実行するコマンドであり、そのソフトウェアと一致するソフトウェアがソフトウェアDB28に記録されていなければ、そのコマンドを廃棄する処理を実施する。
なお、不正文字列格納DB28及びゲート部29からゲート手段が構成されている。
8 is a block diagram showing a hacking protection apparatus according to
The
The
The illegal character
次に動作について説明する。
ゲート部29は、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力拒否通知を受けると、上記実施の形態1〜3と同様に、実行許可条件取得部15から出力されたコマンドをコンピュータ7のオペレーティングシステム7aに出力せずに廃棄する。
Next, the operation will be described.
When receiving a command output rejection notification to the
ゲート部29は、実行条件取得部15、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力許可通知を受けた場合、コマンド解析部13により解析されたコマンドがソフトウェアのインストールを実行するコマンドであるか否かを判定する。
ゲート部29は、ソフトウェアのインストールを実行するコマンドでなければ、そのコマンドをコンピュータ7のオペレーティングシステム7aに出力する。
When the
If it is not a command for executing software installation, the
ゲート部29は、ソフトウェアのインストールを実行するコマンドであれば、そのコマンドによりインストールするソフトウェアと一致するソフトウェアがソフトウェアDB28に記録されているか否かを判定する。
ゲート部29は、そのコマンドによりインストールするソフトウェアと一致するソフトウェアがソフトウェアDB28に記録されていれば、そのコマンドをコンピュータ7のオペレーティングシステム7aに出力するが、一致するソフトウェアがソフトウェアDB28に記録されていなければ、インストールを許可していないソフトウェアであるので、そのコマンドをコンピュータ7のオペレーティングシステム7aに出力せずに、そのコマンドを廃棄する。
If the command is a command for executing software installation, the
The
以上で明らかなように、この実施の形態5によれば、実行条件取得部15、コマンド実行認証部16、デバイス監視部18、プロセス監視部19又はディレクトリ監視部20からコンピュータ7に対するコマンドの出力許可通知を受けても、コマンド解析部13により解析されたコマンドがソフトウェアのインストールを実行するコマンドであり、そのソフトウェアと一致するソフトウェアがソフトウェアDB28に記録されていなければ、そのコマンドを廃棄するように構成したので、バックドアなどの不正なソフトウェアのインストールを防止することができる効果を奏する。
As is apparent from the above, according to the fifth embodiment, command output permission from the execution
1 正当コンピュータ、2 不正コンピュータ、3 インターネット、4 F/W、5 LAN、6 ハッキング防御装置、7 防御対象のコンピュータ、7a オペレーティングシステム、11 ネットワークI/F部(入力監視手段)、12 入力監視部(入力監視手段)、13 コマンド解析部(コマンド解析手段)、14 条件記録部(条件記録手段)、15 実行許可条件取得部(条件判定手段)、16 コマンド実行認証部(条件判定手段)、17 コマンド認証DB(条件判定手段)、18 デバイス監視部(条件判定手段)、19 プロセス監視部(条件判定手段)、20 ディレクトリ監視部(条件判定手段)、21 ゲート部(ゲート手段)、22 キーボード(外部デバイス)、23 マウス(外部デバイス)、24 ログ保管部(ログ保管手段)、25 ログ保管DB(ログ保管手段)、26 不正文字列格納DB(ゲート手段)、27 ゲート部(ゲート手段)、28 不正文字列格納DB(ゲート手段)、29 ゲート部(ゲート手段)。
1 legitimate computer, 2 fraudulent computer, 3 internet, 4 F / W, 5 LAN, 6 hacking protection device, 7 protection target computer, 7a operating system, 11 network I / F section (input monitoring means), 12 input monitoring section (Input monitoring means), 13 command analysis section (command analysis means), 14 condition recording section (condition recording means), 15 execution permission condition acquisition section (condition determination means), 16 command execution authentication section (condition determination means), 17 Command authentication DB (condition determining means), 18 device monitoring section (condition determining means), 19 process monitoring section (condition determining means), 20 directory monitoring section (condition determining means), 21 gate section (gate means), 22 keyboard ( External device), 23 mouse (external device), 24 log storage unit (log storage means), 25 log storage DB (log storage means), 26 illegal character string storage DB (gate means), 27 gate part (gate means), 28 illegal character string storage DB (gate means), 29 gate part (gate means).
Claims (10)
An input monitoring function that monitors command input, a condition recording function that records execution permission conditions for each command, a command analysis function that analyzes a command input when the input monitoring function detects the command input, A condition for determining whether the execution permission condition corresponding to the command analyzed by the command analysis function is acquired from the execution permission conditions recorded in the condition recording function and whether the execution permission condition is satisfied. If the judgment function and the judgment result of the above condition judgment function indicate that the execution permission condition is satisfied, the command is passed to the operating system, and the determination result indicates that the execution permission condition is not satisfied. If so, a hacking prevention program that allows the computer to implement a gate function that discards the command.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005092216A JP2006277063A (en) | 2005-03-28 | 2005-03-28 | Hacking defence device and hacking defence program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005092216A JP2006277063A (en) | 2005-03-28 | 2005-03-28 | Hacking defence device and hacking defence program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006277063A true JP2006277063A (en) | 2006-10-12 |
Family
ID=37211796
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005092216A Withdrawn JP2006277063A (en) | 2005-03-28 | 2005-03-28 | Hacking defence device and hacking defence program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006277063A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010211742A (en) * | 2009-03-12 | 2010-09-24 | Hitachi Information & Control Solutions Ltd | Software execution method and program |
JP2012212256A (en) * | 2011-03-30 | 2012-11-01 | Fujitsu Ltd | Information processor and authentication avoidance method |
JP2014191426A (en) * | 2013-03-26 | 2014-10-06 | Nec Corp | Information processor for executing countermeasure for fraudulent action, fraudulent action countermeasure method, and program therefor |
JP2014532369A (en) * | 2011-10-11 | 2014-12-04 | ツェットエフ、フリードリッヒスハーフェン、アクチエンゲゼルシャフトZf Friedrichshafen Ag | Communication system for vehicle |
JP2022501727A (en) * | 2018-09-28 | 2022-01-06 | ダニエル チエン | Systems and methods for computer security |
-
2005
- 2005-03-28 JP JP2005092216A patent/JP2006277063A/en not_active Withdrawn
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010211742A (en) * | 2009-03-12 | 2010-09-24 | Hitachi Information & Control Solutions Ltd | Software execution method and program |
JP2012212256A (en) * | 2011-03-30 | 2012-11-01 | Fujitsu Ltd | Information processor and authentication avoidance method |
JP2014532369A (en) * | 2011-10-11 | 2014-12-04 | ツェットエフ、フリードリッヒスハーフェン、アクチエンゲゼルシャフトZf Friedrichshafen Ag | Communication system for vehicle |
JP2014191426A (en) * | 2013-03-26 | 2014-10-06 | Nec Corp | Information processor for executing countermeasure for fraudulent action, fraudulent action countermeasure method, and program therefor |
JP2022501727A (en) * | 2018-09-28 | 2022-01-06 | ダニエル チエン | Systems and methods for computer security |
JP7248219B2 (en) | 2018-09-28 | 2023-03-29 | ダニエル チエン | System and method for computer security |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220147601A1 (en) | Systems and Methods for Providing Real Time Security and Access Monitoring of a Removable Media Device | |
US7523499B2 (en) | Security attack detection and defense | |
US7818800B1 (en) | Method, system, and computer program product for blocking malicious program behaviors | |
US6892241B2 (en) | Anti-virus policy enforcement system and method | |
US7832008B1 (en) | Protection of computer resources | |
US7797436B2 (en) | Network intrusion prevention by disabling a network interface | |
JP4911018B2 (en) | Filtering apparatus, filtering method, and program causing computer to execute the method | |
US20070079373A1 (en) | Preventing the installation of rootkits using a master computer | |
US20050108557A1 (en) | Systems and methods for detecting and preventing unauthorized access to networked devices | |
US20050278777A1 (en) | Method and system for enforcing secure network connection | |
US20030191966A1 (en) | System and method for detecting an infective element in a network environment | |
US20140033310A1 (en) | System and Method of Active Remediation and Passive Protection Against Cyber Attacks | |
JP2018501591A (en) | System and method for accuracy assurance of detection of malicious code | |
US20070118646A1 (en) | Preventing the installation of rootkits on a standalone computer | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
US20100180126A1 (en) | Secure remote password validation | |
US7930745B2 (en) | Network security system and method | |
JP2006252256A (en) | Network management system, method and program | |
JP2009031963A (en) | Authentication information processor and program | |
CN111510453A (en) | Business system access method, device, system and medium | |
US20100095365A1 (en) | Self-setting security system and method for guarding against unauthorized access to data and preventing malicious attacks | |
WO2022088633A1 (en) | Lateral penetration protection method and apparatus, device and storage medium | |
CN116708210A (en) | Operation and maintenance processing method and terminal equipment | |
US8978150B1 (en) | Data recovery service with automated identification and response to compromised user credentials | |
JP2006277063A (en) | Hacking defence device and hacking defence program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071010 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080213 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080723 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20091208 |