CN100590613C - 非法监视方法及非法监视系统 - Google Patents
非法监视方法及非法监视系统 Download PDFInfo
- Publication number
- CN100590613C CN100590613C CN200480033781A CN200480033781A CN100590613C CN 100590613 C CN100590613 C CN 100590613C CN 200480033781 A CN200480033781 A CN 200480033781A CN 200480033781 A CN200480033781 A CN 200480033781A CN 100590613 C CN100590613 C CN 100590613C
- Authority
- CN
- China
- Prior art keywords
- data
- user
- output order
- rights
- illegal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
一种在计算机上执行非法操作的非法数据的监视程序、监视方法及系统,不仅可以监视计算机与网络之间的输入输出数据,也可以监视计算机与外部连接装置之间的输入输出数据。而且,可以设定各种用于非法操作判定的规则并高效地适用这些规则。数据获取部14获取在网络或外部连接总线中传输的输入输出数据与操作者身份。在非法操作判定部15中,从用户数据存储部12获取与该身份相对应的用户属性信息,参照存储于非法规则存储部13的代表用户属性的规则中与该属性信息相对应的规则,进而参照存储于非法规则存储部13的与用户属性无关的一般性非法判定规则,进行非法判定。判定出非法操作时,在中断处理执行部16中停止根据该操作进行的处理。
Description
技术领域
本发明涉及一种用于监视在计算机上执行非法操作的非法数据的非法监视方法及非法监视系统。
背景技术
将计算机连接于互联网等网络上进行使用时,在防止外部非法数据入侵计算机的同时,也有必要防止由于计算机的非法操作而导致计算机内部数据的外流或泄漏。为了防止非法数据的入侵,通常是在企业内部局域网等内部网络与互联网之间通过设置防火墙来拦截非法数据,或者是在内部网络与每台计算机终端上安装防止病毒入侵的杀毒软件。防火墙和杀毒软件一般是根据关键词或源IP地址等预先设定用来判定非法数据的规则,并通过对照该规则来判定是否为非法数据。
另一方面,关于防止因非法操作而导致的数据泄漏的方法,以下技术已为公众所知。例如对于发送往网络的数据,参照预先设定的有关访问权限、源地址、传送文件类型等规则、一旦检测出可能有非法企图就切断通讯的技术(例如参照专利文献1)。
专利文献1:日本特开2002-232451号公报
发明内容
发明所要解决的问题
防火墙和杀毒软件以及上述专利文献1中所记载的发明当中的任何一种都是用于防止网络上非法数据的入侵以及防止内部数据的外泄。但是,使用计算机的非法操作不只限于通过网络、也存在通过所谓的不使用网络的方法而使信息外流的危险性。例如没有权限的第三者在没有连接到外部网络的计算机上进行非法操作,将计算机内部的信息输出至打印机或写入外部磁盘。换言之,不只是在网络之间,最好在与打印机及驱动器等相连接的驱动程序级也进行对执行非法操作的数据的监视。
此外,如上所述,目前的非法数据的监视方法主要是以登录了关键词、IP地址、网络接口的硬件地址(即MAC地址,Media Access Control Address)等信息的规则库为主,根据这些方法可登录的规则的内容非常有限。虽然为了尽量进行准确的判定可以增加规则数,但是如果规则数增加过多的话,则产生了相关判定的处理负荷变重的问题。因此,最佳的是能尽量简洁地登录各式各样的接口规则,并且具有参照规则可进行高效处理的构成。
而且,基于规则库的非法判定也存在问题:当通过完全不同于以往的方法执行不符合已登录规则的非法操作时,仅通过规则库来查知该非法操作是很困难的。对此,最佳的是可以掌握不同于以往的用户操作行为模式,并准确判断非法操作的可能性。
针对上述问题,本发明的目的是提供一种非法监视方法及非法监视系统,用于监视在计算机上执行非法操作的非法数据,该非法数据可以是在计算机与网络或外部装置之间输入输出的数据,并且可以灵活地设定用于判定非法操作的各种规则并有效地利用这些规则。
用于解决问题的方法
解决本申请所涉及的问题的第一种方案是一种非法监视方法。该方法是一种用于监视在计算机上执行非法操作的非法数据的方法,其特征在于:在计算机上执行了如下步骤:获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输出到外部输出装置的输出指令数据;根据所述输出指令数据确定用来识别用户的识别信息;从用户信息存储部获取至少一部分与上述识别信息相对应的属性信息,所述的用户信息存储部存储有关于具有所述计算机的使用权限的用户的用户属性信息;参照存储有用于判定所述的输出指令数据是否为非法数据的规则的判定规则存储部,判定上述输出指令数据是否为非法数据;在上述非法数据判定步骤中判定出非法数据时,通过停止驱动器的执行处理停止根据所述输出指令数据所执行的输出指示操作。并且,在所述的判定规则存储部存储有与用户属性相对应的判定规则,在所述的判定是否为非法数据的步骤中,参照与在上述属性信息的获取步骤中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
在第一种方案中,由于不仅仅监视通过网络输入输出的数据,也监视通过计算机的外部连接总线输出到外部输出装置的输出指令数据,因此可以监视不经过网络进行写入非法打印机及磁盘等操作的指令数据,中断非法操作。而且,由于增加了与用户的属性信息相对应的判定项目,因此可以使得规则多样化。
在第一种方案中,如果具备连接于网络的外部连接总线,既可以在网络上将计算机作为客户端使用,也可以将计算机作为服务器使用。所述的网络包括LAN、拨号等可以收发数据的所有网络。外部装置包括通过外部连接总线可以连接于计算机之上的打印机、驱动器等所有的周边装置。非法数据是指禁止外流文件的发送指令、无权限用户的操作等有关计算机非法操作的数据。用户的属性信息可使用例如用户的年龄、性别、所属工作岗位、职务等信息。
此外,第一种方案还可具备如下特征:在所述计算机上执行参照所述用户信息存储部判定与所述识别信息相对应的用户是否拥有所述计算机的使用权限的步骤,以及在上述判定使用权限的步骤中判定出无使用权限时,停止根据所述输出指令数据执行的操作的步骤。并且,较之上述判定非法数据的步骤先予执行上述判定使用权限的步骤,在上述判定使用权限的步骤中被判定无使用权限时,在上述计算机上有关上述获取属性信息的步骤或者上述判定非法数据的步骤至少有一个步骤不被执行。
在第一种方案中,由于预先登录了用户的属性信息作为规则的一个项目使用,因此可以简单地确认进行了操作的用户是否拥有计算机的使用权限。若在规则的判定之前先确认用户有无使用权限,则在最初的阶段中原本无权限的用户进行操作时,通过在适用规则前进行了操作的停止处理,因此可以提高规则适用处理的效率。
此外,第一种方案还可包括如下步骤:在所述计算机上,参照将所述输出指令数据的相关记录数据作为各个用户的协议子集存储的协议子集存储部,执行将在上述数据获取步骤中所获取的输出指令数据与所述的用户的日常操作习惯及倾向相比较,判定是否存在异常;并且,在停止根据所述输出指令数据所执行的操作的步骤中,在上述判定是否存在异常的步骤中判定出异常时,停止根据所述输出指令数据所执行的输出指示操作步骤。
如此,通过各个用户的记录数据的收集创建把握了各个用户的操作特点的协议子集,通过参照相关协议子集判定用户是否进行了异常操作,可以判定通过规则无法判定的第三者冒充有权限的用户,及虽在权限范围内但通常不执行的带有非法可能性的操作等。
而且,第一种方案还可具备如下特征:在上述输出指令数据的获取步骤中,从网络获得所述的输出指令数据时,在停止根据所述的输出指令数据执行的操作的步骤中,执行通道的切断处理。
此外,第一种方案还可具备如下特征:在上述输出指令数据的获取步骤中,从外部连接总线获得所述的输出指令数据时,在停止根据上述输出指令数据所执行的操作的步骤中,停止驱动程序的执行处理。
在第一种方案中,当计算机被判定出正在执行的处理为非法操作时,立即停止执行的处理。正在执行的处理是通过网络收发数据时,通过切断正在执行的通道,可以防止由于数据发送至外部而产生信息泄漏。正在执行中的处理是通过外部连接总线将数据发送往外部装置的操作时,通过停止驱动程序的执行,就可以防止由于数据输出而导致的信息外泄。
解决本申请所涉及问题的第二种方案是一种非法监视方法,用于监视在计算机上执行非法操作的非法数据,其特征在于:该程序在计算机上执行如下步骤:获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输出指令数据;根据所述的输出指令数据确定用来识别用户的识别信息;从用户信息存储部获取至少一部分与所述识别信息相对应的属性信息,所述的用户信息存储部存储有与具有所述计算机的使用权限的用户相关的各种用户属性信息;参照存储有用于判定所述输出指令数据是否为非法数据的规则的判定规则存储部,判定所述输出指令数据是否为非法数据;在上述非法数据判定步骤中判定出非法数据时,将根据所述输出指令数据执行的操作为非法操作的情况通知所述用户或者是管理员所操作的终端设备。并且,在所述的判定规则存储部存储有与用户属性相对应的判定规则,在上述判定是否为非法数据的步骤中,参照与在上述属性信息的获取步骤中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
该发明的特征在于:针对一旦被判定为非法数据则停止通过该数据所执行的处理,第一种方案是通过警告通知执行了与该数据相关的处理的用户或计算机以及终端的管理员等操作者而进行非法数据的处理。
此外,第一种方案及第二种方案也可以是使用了上述非法监视方法的非法监视系统。
换言之,第一种方案也可以是一种非法监视系统,用于监视在计算机上执行非法操作的非法数据,其特征在于,该系统包括:数据获取装置,用于获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输出到外部输出装置的输出指令数据;识别信息确定装置,用于根据所述输出指令数据确定用来识别用户的识别信息;用户信息存储装置,用于存储和具有所述计算机使用权限的用户相关的各种用户属性信息;属性信息获取装置,用于从所述用户信息存储装置中获取至少一部分与所述识别信息相对应的属性信息;判定规则存储装置,存储用于判定所述输出指令数据是否为非法数据的规则;非法数据判定装置,参照所述判定规则存储装置,判定上述输出指令数据是否为非法数据;停止装置,在所述非法数据判定装置中判定出非法数据时,通过停止驱动器的执行处理停止根据所述输出指令数据所执行的输出指示操作。并且,在所述判定规则存储装置中存储有与用户属性相对应的判定规则,在上述非法数据判定装置中,参照与在所述属性信息的获取装置中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
此外,第一种方案的非法监视系统还可以包括使用权限判定装置,用于参照所述用户信息存储部判定与所述识别信息相对应的用户是否拥有所述计算机的使用权限。在所述使用权限判定装置中判定出无使用权限时,所述停止装置停止根据所述输出指令数据所执行的操作。在所述非法数据判定装置启动前首先启动所述的使用权限判定装置,在通过所述使用权限判定装置判定有无使用权限时,所述属性信息获取装置或者所述非法数据判定装置中至少有一个装置不被启动。
此外,第一种方案的非法监视系统还可以包括协议子集存储装置和异常操作判定装置,所述的协议子集存储装置用于将所述输出指令数据的相关记录数据作为各个用户的协议子集存储;所述的异常操作判定装置用于参照所述协议子集存储装置,将在所述数据获取装置中所获取的输出指令数据与所述用户的日常操作习惯及倾向相比较,判定是否存在异常。并且,在所述异常操作判定装置中判定出异常时,停止根据所述输出指令数据所执行的操作。
而且,第一种方案的非法监视系统也可具备如下特征:所述数据获取装置从网络获得所述输入输出数据时,所述停止功能执行通道的切断处理。
此外,第一种方案的非法监视系统也可具备如下特征:所述数据获取装置从外部连接总线获得所述输出指令数据时,所述停止装置停止驱动程序的执行处理。
第二种方案也可以是一种非法监视系统。该系统是一种用于监视在计算机上执行非法操作的非法数据的系统。其特征在于:该系统包括:数据获取装置,用于获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输出指令数据;识别信息确定装置,用于根据所述输出指令数据确定用来识别用户的识别信息;用户信息存储装置,用于存储与具有所述计算机使用权限的用户相关的各种用户属性信息;属性信息获取装置,用于从所述用户信息存储装置中获取至少一部分与所述识别信息相对应的属性信息;判定规则存储装置,用于存储用来判定所述输出指令数据是否为非法数据的规则;非法数据判定装置,用于参照所述判定规则存储装置,判定所述输出指令数据是否为非法数据;通知装置,用于在所述非法数据判定装置中判定出非法数据时,将根据所述输出指令数据执行的操作确定为非法操作的情况通知所述用户或者是管理员所操作的终端设备。并且,在所述判定规则存储装置中存储有与用户属性相对应的判定规则,在所述非法数据判定装置中,参照与在所述属性信息的获取装置中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
本发明的优点和积极效果
根据本发明,对于在计算机上执行非法操作的非法数据的监视,不仅可以监视在计算机与网络之间输入输出的数据,而且也可以监视在计算机与外部装置之间输入输出的数据,并且可以防止因冒充者以及无权限者的非法数据输出而导致的信息泄漏。
此外,由于用预先登录的用户的属性信息作为规则的一个项目,因此可以进行用于判定非法操作的各种规则的设定。而且,由于在规则适用之前以属性信息判定有无计算机的操作权限,可以提高涉及非法判定的相关处理的效率。此外,通过记录作为协议子集的各个用户的操作历史,识别通过规则无法判断的异常操作模式,可以判定冒充有权限用户的操作以及虽在权限范围内但通常不执行的带有非法可能性的操作等。
具体实施方式
以下,根据附图就本发明的最佳实施方式进行说明。同时,以下的说明仅是本发明的实施方式的一个例子,本发明并非仅限于所涉及的实施方式。
图1、图2是将本发明所涉及的非法监视系统分别用于监视网络以及监视与外部装置的连接的示例的说明图。图3是表示本发明所涉及的非法监视系统的设置位置的说明图。图4、图5是表示本发明所涉及的非法监视系统的第一构成及第二构成的分解图。图6是表示本发明所涉及的非法监视系统的用户数据存储部的一个示例的说明图。图7是表示本发明所涉及的非法监视系统的非法规则存储部的一个示例的说明图。图8是表示本发明所涉及的非法监视程序的流程图。
本发明所涉及的非法监视系统不仅仅可以监视网络上传输的各种数据,也可以监视用于接续打印机等输出装置及外部磁盘驱动器等外部存储装置为首的外部装置的外部连接总线。如图3所示,本发明所涉及的非法监视系统既可以设置于企业内部局域网等内部网络和互联网的网关进行网络监视,也可以设置于邮件服务器上监视通过网络进行的邮件收发。此外,既可以用于监视内部网络的网段,也可以用于监视各个用户终端与网络之间,或者各个用户终端与外部装置之间的连接。
图1是表示用于监视网络的一个示例,本发明所涉及的非法监视系统是由非法监视服务器10、用户数据存储部12以及非法规则存储部13构成的。非法监视服务器10既可以是用来监视设置于内部网络与互联网的网关的整个内部网络的非法数据的泄漏等,也可以是用来监视设置于内部网络的网段内的非法数据的泄漏等。
非法监视服务器10获取在网络上传输的所有的输入输出数据,并且获取有关从用户数据存储部12进行数据输入输出的用户属性的信息。在非法规则存储部13内除了一般的非法数据的判定规则以外,还存储有与用户属性相对应的被判定为非法的规则。非法监视服务器10在参照非法规则存储部13以及参照有关该输入输出数据的一般判定规则的同时,参照用户数据存储部12获得的与属性相对应的规则,进行该输入输出数据是否非法的判定。针对被判定为非法的输入输出数据,对欲进行输入输出的通道进行拦截。
图2是表示用于监视外部连接总线的一个示例,本发明所涉及的非法监视系统是由存储于处理装置210的硬盘驱动器214的非法监视程序11、用户数据存储部12以及非法规则存储部13构成的。在进行监视时,从硬盘驱动器214读取这些程序及被存储的数据,在处理装置210上进行运算处理。为了通过存储于硬盘驱动器214的非法监视程序11进行监视,在处理装置210上启动存储于只读存储器213的用于输入控制及输出控制等的硬件控制的各种基本程序,将随机存取存储器212作为非法监视程序11的工作区域使其发挥作用,同时在中央处理器211进行运算处理。在非法监视程序11的运算处理中,从硬盘驱动器214的用户数据存储部12及非法规则存储部13读取并使用必要的数据。而且,处理装置210上的用于存储程序的硬盘驱动器214也可以是闪存等可以存储程序的其他存储介质。
当处理装置210中的驱动程序22被读取,且打印及存储到外部磁盘等的指令数据被发送往外部连接总线23时,非法监视程序11获得在外部连接总线23中传输的指令数据,且从用户数据存储部12获取有关进行了该指令数据的相关操作的用户属性信息。在非法规则存储部13内除了一般的非法数据的判定规则以外,还存储有与用户属性相对应的被判定为非法的规则。非法监视程序11在判定该指令数据与存储于非法规则存储部13的一般判定规则是否一致的同时,执行是否与从用户数据存储部12获得的属性相对应的规则一致的判定处理。针对被判定为非法操作的指令数据,停止已通过驱动程序22执行的处理,例如执行停止打印或停止与直接连接于外部连接总线23的计算机之间的通讯等处理。
关于图1的非法监视服务器10及图2的非法监视程序11的非法判定方法,在图4及图5中进一步进行详细说明。图4是表示用于执行在非法判定规则上增加了与用户属性相对应的规则的判定方式的构成,图5不仅表示规则库,也表示用于执行从各个用户协议子集判定操作模式并判定异常操作为非法的判定方式的构成。
图4的非法判定方式是按照以下顺序进行的:通过数据获取部14获取作为判定对象的数据,通过非法操作判定部15判定规则库的非法操作,通过中断处理执行部16中止被判定为非法操作的处理。而且,以上各个部分也可以实际上不加分离,而是作为执行了各个处理的非法监视程序11的一部分存储于硬盘驱动器214内,按照顺序被读取并将随机存取存储器212作为工作区域使其发挥作用,同时通过中央处理器211执行运算处理。
数据获取部14获取在网络或者外部连接总线中传输的数据。获得的数据包括执行了该数据的相关操作的用户的识别数据。识别数据是根据用户登录计算机时的登录身份等来确定的。
非法操作判定部15是从用户数据存储部12获取与在数据获取部14获得的用户的识别数据相对应的用户属性信息。图6是表示存储于用户数据存储部12的用户属性信息的一个示例。每个用户记录里都保存有用户身份、所属工作岗位、职务等属性信息。
此外,非法操作判定部15参照非法规则存储部13判定从数据获取部14获得的数据与非法判定规则是否一致。非法规则存储部13存储有与用户属性无关的一般性非法判定规则、以及与用户属性相对应的规定有非许可事项的各个属性规则。前者是指例如以关键词、链接、IP地址、网络接口硬件地址为标准,用于非法判定的一般性规则。后者是指例如规定有与工作岗位,职务相对应的特定操作有关的操作权限等的规则。
图7是存储于非法规则存储部13内的对应于用户属性而设定的判定规则的一个示例。以规则为单位而设定的记录里存储有适用于作为判定对象的属性的规则,在这个例子中只有正式员工以上的人才有发送邮件的权限。例如,如图6的例子所示的实习护士如果想发送邮件的话,将被判断为无发送权限,邮件的发送处理就被停止了。
如此在非法操作判定部15中,已获得数据的相关操作被判定为非法操作时,在中断处理执行部16中停止通过该操作而被执行的处理。换言之,对经过网络的输入输出数据,当其欲进行输入输出时,对通道进行拦截处理;对经过外部链接总线进行处理的数据,当其欲打印或写入至外部磁盘时,执行停止上述打印或写入的处理。
而且,当从用户数据存储部12获取用户属性信息时,不存在与用户身份相一致的数据时,或者用户身份因该用户的辞职等原因而导致无效时,对于无权限者的访问,非法操作判定部15也可以不需要通过非法规则存储部13就可以判断出非法操作,再由中断处理执行部16执行中断处理。如此,在规则库的判定前就可以判定无权限者的访问,从而可以减轻系统的处理负荷,加快判定以及中断处理。
图5中的非法判定是分别执行的:通过数据获取部14获取作为判定对象的数据,通过非法操作判定部15判定规则库的非法操作,不通过规则库而通过异常操作判定部18判定从各个用户的操作模式反映出的非法操作,通过中断处理执行部16中止判定对象的处理。而且,与图4所示的情况一样,以上各个部分也可以实际上不加分离,而是作为执行了各个处理的非法监视程序11的一部分程序存储于硬盘驱动器214内,按照顺序被读取并将随机存取存储器212作为工作区域使其发挥作用,同时通过中央处理器211执行运算处理。
在图5中,以下处理与图4所示的情况相同:通过数据获取部14获取成为判定对象的数据;通过非法操作判定部15判定规则库的非法操作;通过中断处理执行部16中止判定对象的处理。在此构成中具有以下特征:在协议子集创建部19中创建各个用户的协议子集;在异常操作判定部18中判定从各个用户的操作模式反映出的非法操作。
在数据获取部14中获得的数据,是由根据各个用户的操作模式进行判定的异常操作判定部18和通过规则库进行判定的非法操作判定部15同时进行判定的。在用户协议子集17中登录有各个用户过去的操作模式,在异常操作判定部18中将获得数据的相关操作与用户协议子集17中已登录的该用户的操作模式相比较,判定为异常操作时,通过中断处理执行部16执行中断处理。例如,在通常不进行操作的时间段内进行操作,大量进行了通常不进行的操作类型等情况下,存在该用户进行了非法操作行为或者使用他人的用户身份冒充他人的可能性,处理就因此被中断。
而且,通过异常操作判定部18中的用于判定的数据以及用户数据存储部12中的用户属性信息可以创建登录于用户协议子集17的操作模式。也可以使用在数据获取部14中获得的数据的运行记录。协议子集的更新既可以在每次获得新数据时在线进行处理,也可以定期进行分次处理。
在异常操作判定部18中设置有用于与用户协议子集17相比较且判定异常操作模式的知识引擎(Knowledge engine)。知识引擎具有判断区分通常的操作与异常操作的人工智能的功能,该人工智能的构造方式既可以是贝叶斯网络(BayesianNetwork)也可以是神经网络(Neural Network)。
而且,到目前为止已说明的实施方式中,被判定为非法操作时就进行拦截处理,对于通过外部链接总线进行处理的数据,则变成停止打印或停止存入外部磁盘的处理。但是被判定为非法操作时,也可以进行通知警告执行了该操作的用户、计算机或网络的管理员的处理。
用图8的流程图对本发明所涉及的非法监视程序的基本流程进行说明。首先,获取在网络或外部连接总线中传输的输入输出数据以及执行了该输入输出数据的相关操作的操作者身份(S01);对于已获得的身份,参照存储有用户属性信息的用户数据库(S02);用户数据库内该用户身份不存在时(S03);对于判定为无操作权限者的操作,执行与该输入输出数据相关操作的中止处理(S08);
用户数据库里存在该身份时(S03),从用户数据库获取有关该身份的属性信息(S04);接着参照规则数据库(S05);首先判定已获取的属性和代表各个属性的规则是否一致(S06);两者一致时,判定该操作为无操作权限者的操作,执行有关该输入输出数据的操作的中止处理(S08);两者不一致时,接着判定已获得的输入输出数据与一般规则是否一致(S07);两者一致时,判定该操作为非法操作,执行有关该输入输出数据的相关操作的中止处理(S08);两者不一致时,作为正常的操作,继续执行有关该输入输出数据的操作。
附图说明
图1是表示本发明所涉及的用于监视网络的非法监视系统的示例的说明图。
图2是表示本发明所涉及的用于监视与外部装置的连接的非法监视系统的示例的说明图。
图3是表示本发明所涉及的非法监视系统的设置位置的说明图。
图4是表示本发明所涉及的非法监视系统的第一构成的分解图。
图5是表示本发明所涉及的非法监视系统的第二构成的分解图。
图6是表示本发明所涉及的非法监视系统的用户数据存储部的一个示例的说明图。
图7是表示本发明所涉及的非法监视系统的非法规则存储部的一个示例的说明图。
图8是表示本发明所涉及的非法监视程序的流程的流程图。
附图符号的说明
10非法监视服务器
11非法监视程序
12用户数据存储部
13非法规则存储部
14数据获取部
15非法操作判定部
16中断处理执行部
17用户协议子集
18异常操作判定部
19协议子集创建部
20用户终端
210处理装置
211中央处理器
212随机存取存储器
213只读存储器
214硬盘驱动器
22驱动程序
23外部连接总线
24输出装置
25外部存储装置
31用户终端
32用户终端
33用户终端
41外部终端
42外部终端
43外部终端
Claims (6)
1.一种非法监视方法,用于监视在计算机上执行非法操作的非法数据,其特征在于,包括以下步骤:在所述计算机上获取通过连接所述计算机与外部装置的外部连接总线输出到外部输出装置的输出指令数据;根据所述输出指令数据确定用于识别用户的识别信息;从用户信息存储部获取至少一部分与所述识别信息相对应的属性信息,所述用户信息存储部存储有与具有所述计算机使用权限的用户相关的用户属性信息;参照判定规则存储部判定所述输出指令数据是否为非法数据,所述的判定规则存储部存储有用于判定所述输出指令数据是否为非法数据的规则;在所述非法数据判定步骤中判定出非法数据时,通过停止驱动器的执行处理停止根据所述输出指令数据所执行的输出指示操作;
并且,在所述判定规则存储部存储有与用户属性相对应的判定规则,在所述判定是否为非法数据的步骤中,参照与在所述的获取至少一部分属性信息的步骤中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
2.根据权利要求1所述的非法监视方法,其特征在于,还包括:在所述计算机上执行参照所述用户信息存储部判定与所述识别信息相对应的用户是否拥有所述计算机的使用权限的步骤;以及所述计算机在所述判定使用权限的步骤中判定出无使用权限时,停止根据所述输出指令数据执行的操作的步骤;
并且,较之判定所述非法数据的步骤先予执行判定所述使用权限的步骤,在判定所述使用权限的步骤中判定出无使用权限时,所述的获取至少一部分所述属性信息的步骤或者判定所述非法数据的步骤中至少有一个步骤不被执行。
3.根据权利要求1或2所述的非法监视方法,其特征在于,还包括以下步骤:在所述计算机上,参照将所述输出指令数据的相关运行记录数据作为各个用户协议子集存储的协议子集存储部,执行将在所述数据获取步骤中所获取的所述输出指令数据与所述用户的日常操作习惯及倾向相比较,判定是否存在异常;
并且,在所述判定是否存在异常的步骤中判定出异常时,在停止根据所述输出指令数据所执行的操作的步骤中,停止根据所述输出指令数据所执行的输出指示操作。
4.一种非法监视系统,用于监视在计算机上执行非法操作的非法数据,其特征在于,包括:数据获取装置,用于获取通过连接所述计算机与外部装置的外部连接总线输出到外部输出装置的输出指令数据;识别信息确定装置,用于根据所述输出指令数据确定识别用户的识别信息;用户信息存储装置,用于存储有关拥有所述计算机使用权限的用户的用户属性信息;属性信息获取装置,用于从所述用户信息存储装置中获取至少一部分与所述识别信息相对应的属性信息;判定规则存储装置,用于存储用来判定所述输出指令数据是否为非法数据的规则;非法数据判定装置,用于参照所述判定规则存储装置,判定所述输出指令数据是否为非法数据;停止装置,用于在所述非法数据判定装置中判定出非法数据时,通过停止驱动器的执行处理停止根据所述输出指令数据所执行的输出指示操作;
并且,在所述判定规则存储装置中存储有与用户属性相对应的判定规则,在所述非法数据判定装置中,参照与在所述属性信息获取装置中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
5.根据权利要求4所述的非法监视系统,其特征在于还包括:使用权限判定装置,用于参照所述用户信息存储装置判定与所述识别信息相对应的用户是否拥有所述计算机的使用权限;在所述使用权限判定装置中判定出无使用权限时,所述停止装置停止根据所述输出指令数据所执行的操作,在启动所述非法数据判定装置前先启动所述使用权限判定装置,在通过所述使用权限判定装置判定有无使用权限时,在所述属性信息获取装置或者所述非法数据判定装置中,至少有一个装置不被启动。
6.据权利要求4或5所述的非法监视系统,其特征在于还包括:协议子集存储装置,用于将所述输出指令数据的相关记录数据作为各个用户协议子集存储;异常操作判定装置,用于参照所述协议子集存储装置,将在所述数据获取装置中所获取的输出指令数据与所述用户的日常操作习惯及倾向相比较,判定是否存在异常;
并且,在上述异常操作判定装置中判定出存在异常时,所述停止装置停止根据上述输出指令数据所执行的输出指示操作。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003387212A JP3758661B2 (ja) | 2003-11-17 | 2003-11-17 | 不正監視プログラム、不正監視の方法及び不正監視システム |
| JP387212/2003 | 2003-11-17 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1882924A CN1882924A (zh) | 2006-12-20 |
| CN100590613C true CN100590613C (zh) | 2010-02-17 |
Family
ID=34587420
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200480033781A Expired - Fee Related CN100590613C (zh) | 2003-11-17 | 2004-07-09 | 非法监视方法及非法监视系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20070083938A1 (zh) |
| EP (1) | EP1686486A1 (zh) |
| JP (1) | JP3758661B2 (zh) |
| KR (1) | KR100836439B1 (zh) |
| CN (1) | CN100590613C (zh) |
| HK (1) | HK1098224A1 (zh) |
| WO (1) | WO2005048114A1 (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7668772B1 (en) | 1998-10-21 | 2010-02-23 | Island Intellectual Property Llc | Systems and methods for money fund banking with flexible interest allocation |
| US7536350B1 (en) | 1998-10-21 | 2009-05-19 | Island Intellectual Property Llc | Systems and methods for providing enhanced account management services for multiple banks |
| US7752129B2 (en) | 1998-10-21 | 2010-07-06 | Island Intellectual Property Llc | Systems and methods for managing client accounts |
| US8150766B1 (en) | 2003-01-27 | 2012-04-03 | Island Intellectual Property Llc | System and method for investing public deposits |
| KR100462828B1 (ko) * | 2004-06-22 | 2004-12-30 | 엔에이치엔(주) | 명령어의 유효성 판단 방법 및 그 시스템 |
| US8336085B2 (en) * | 2004-11-15 | 2012-12-18 | Microsoft Corporation | Tuning product policy using observed evidence of customer behavior |
| JP4849205B2 (ja) * | 2005-09-05 | 2012-01-11 | 有限会社ヒロアイ・システムズ | 不正アクセス防止手段 |
| US7730478B2 (en) * | 2006-10-04 | 2010-06-01 | Salesforce.Com, Inc. | Method and system for allowing access to developed applications via a multi-tenant on-demand database service |
| US7752107B1 (en) | 2007-02-28 | 2010-07-06 | Island Intellectual Property Llc | System and method for managing aggregated accounts |
| JP4264113B2 (ja) * | 2007-04-23 | 2009-05-13 | Sky株式会社 | 端末監視装置及び端末監視プログラム |
| US8353032B1 (en) * | 2007-06-29 | 2013-01-08 | Symantec Corporation | Method and system for detecting identity theft or unauthorized access |
| US20090210935A1 (en) * | 2008-02-20 | 2009-08-20 | Jamie Alan Miley | Scanning Apparatus and System for Tracking Computer Hardware |
| KR101023805B1 (ko) * | 2008-10-15 | 2011-03-21 | (주)씨디네트웍스 | 파일 입출력정보를 이용한 디지털 콘텐츠 보호 방법 및 장치 |
| JP2010250502A (ja) * | 2009-04-14 | 2010-11-04 | Nec Corp | 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム |
| US8781931B1 (en) | 2009-05-26 | 2014-07-15 | Island Intellectual Property Llc | Method and system for allocating deposits over a plurality of depository institutions |
| US8370236B1 (en) | 2009-11-24 | 2013-02-05 | Island Intellectual Property Llc | Method and system for allocating funds over a plurality of time deposit instruments in depository institutions |
| JP5396314B2 (ja) | 2010-03-10 | 2014-01-22 | 株式会社日立製作所 | 不正操作検知システム及び不正操作検知方法 |
| US8589289B1 (en) | 2010-06-14 | 2013-11-19 | Island Intellectual Property Llc | System, method and program product for administering fund movements |
| JP5417533B2 (ja) | 2010-06-28 | 2014-02-19 | 株式会社日立製作所 | 計算機システムの管理方法及びクライアントコンピュータ |
| JP5525048B2 (ja) | 2010-06-29 | 2014-06-18 | 株式会社日立製作所 | 不正操作検知方法、及び、不正操作を検知する計算機 |
| US8583545B1 (en) | 2010-09-20 | 2013-11-12 | Island Intellectual Property Llc | Systems and methods for money fund banking with flexible interest allocation |
| WO2012111144A1 (ja) * | 2011-02-18 | 2012-08-23 | 株式会社日立製作所 | 不正操作検知方法、不正操作検知システム及び計算機読み取り可能な非一時的記憶媒体 |
| US9152791B1 (en) * | 2011-05-11 | 2015-10-06 | Trend Micro Inc. | Removal of fake anti-virus software |
| US8452702B1 (en) | 2011-09-08 | 2013-05-28 | Island Intellectual Property Llc | System, method and program product for minimizing fund movements |
| US8655689B1 (en) | 2011-10-13 | 2014-02-18 | Island Intellectual Property Llc | System, method and program product for modeling fund movements |
| US9805344B1 (en) | 2015-01-23 | 2017-10-31 | Island Intellectual Property, Llc | Notification system and method |
| JP6440203B2 (ja) | 2015-09-02 | 2018-12-19 | Kddi株式会社 | ネットワーク監視システム、ネットワーク監視方法およびプログラム |
| JP7180073B2 (ja) * | 2018-01-04 | 2022-11-30 | 富士通株式会社 | 判定プログラム、判定方法、および判定装置 |
| CN117648895B (zh) * | 2024-01-26 | 2024-04-12 | 全智芯(上海)技术有限公司 | 失效分析方法及装置、计算机可读存储介质、终端 |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05120194A (ja) * | 1991-10-29 | 1993-05-18 | Nec Eng Ltd | フアイル保護方式 |
| JPH06236310A (ja) * | 1993-02-09 | 1994-08-23 | Hitachi Ltd | 出力データ保護方法 |
| JPH07104882A (ja) * | 1993-10-06 | 1995-04-21 | Toshiba Corp | ポータブルコンピュータシステム |
| JPH1125045A (ja) * | 1997-06-30 | 1999-01-29 | Nec Corp | アクセス制御方法とその装置及び属性証明書発行装置並びに機械読み取り可能な記録媒体 |
| US6658565B1 (en) * | 1998-06-01 | 2003-12-02 | Sun Microsystems, Inc. | Distributed filtering and monitoring system for a computer internetwork |
| US7073196B1 (en) * | 1998-08-07 | 2006-07-04 | The United States Of America As Represented By The National Security Agency | Firewall for processing a connectionless network packet |
| US7155480B2 (en) * | 1998-09-21 | 2006-12-26 | Microsoft Corporation | Client-server conference and user seeking through a server storing a list comprising active conference servers and excluding nonactive conference servers |
| US6732149B1 (en) * | 1999-04-09 | 2004-05-04 | International Business Machines Corporation | System and method for hindering undesired transmission or receipt of electronic messages |
| US6678827B1 (en) * | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
| US7100195B1 (en) * | 1999-07-30 | 2006-08-29 | Accenture Llp | Managing user information on an e-commerce system |
| US6986061B1 (en) * | 2000-11-20 | 2006-01-10 | International Business Machines Corporation | Integrated system for network layer security and fine-grained identity-based access control |
| JP2003044297A (ja) * | 2000-11-20 | 2003-02-14 | Humming Heads Inc | コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム |
| JP3723076B2 (ja) * | 2000-12-15 | 2005-12-07 | 富士通株式会社 | 不正侵入防御機能を有するip通信ネットワークシステム |
| JP4220680B2 (ja) * | 2001-02-02 | 2009-02-04 | 株式会社無限 | 通信管理方法 |
| US7350229B1 (en) * | 2001-03-07 | 2008-03-25 | Netegrity, Inc. | Authentication and authorization mapping for a computer network |
| US7681032B2 (en) * | 2001-03-12 | 2010-03-16 | Portauthority Technologies Inc. | System and method for monitoring unauthorized transport of digital content |
| JP2002288087A (ja) * | 2001-03-23 | 2002-10-04 | Humming Heads Inc | 情報処理装置及びその方法、情報処理システム及びその制御方法、プログラム |
| US7921290B2 (en) * | 2001-04-18 | 2011-04-05 | Ipass Inc. | Method and system for securely authenticating network access credentials for users |
| US7356840B1 (en) * | 2001-06-19 | 2008-04-08 | Microstrategy Incorporated | Method and system for implementing security filters for reporting systems |
| US20030084331A1 (en) * | 2001-10-26 | 2003-05-01 | Microsoft Corporation | Method for providing user authentication/authorization and distributed firewall utilizing same |
| US6892309B2 (en) * | 2002-02-08 | 2005-05-10 | Enterasys Networks, Inc. | Controlling usage of network resources by a user at the user's entry point to a communications network based on an identity of the user |
| US6990592B2 (en) * | 2002-02-08 | 2006-01-24 | Enterasys Networks, Inc. | Controlling concurrent usage of network resources by multiple users at an entry point to a communications network based on identities of the users |
| JP2003233521A (ja) * | 2002-02-13 | 2003-08-22 | Hitachi Ltd | ファイル保護システム |
| JP2003296193A (ja) * | 2002-04-02 | 2003-10-17 | Seiko Instruments Inc | 不正アクセス監視装置及び方法、並びに不正アクセス監視プログラム |
| US7536548B1 (en) * | 2002-06-04 | 2009-05-19 | Rockwell Automation Technologies, Inc. | System and methodology providing multi-tier-security for network data exchange with industrial control components |
| US7356695B2 (en) * | 2002-08-01 | 2008-04-08 | International Business Machines Corporation | Multi-level security systems |
| US7386889B2 (en) * | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
| US7669225B2 (en) * | 2003-05-06 | 2010-02-23 | Portauthority Technologies Inc. | Apparatus and method for assuring compliance with distribution and usage policy |
| US7509673B2 (en) * | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
| US7328451B2 (en) * | 2003-06-30 | 2008-02-05 | At&T Delaware Intellectual Property, Inc. | Network firewall policy configuration facilitation |
| US7493650B2 (en) * | 2003-07-01 | 2009-02-17 | Portauthority Technologies Inc. | Apparatus and method for ensuring compliance with a distribution policy |
-
2003
- 2003-11-17 JP JP2003387212A patent/JP3758661B2/ja not_active Expired - Lifetime
-
2004
- 2004-07-09 US US10/579,668 patent/US20070083938A1/en not_active Abandoned
- 2004-07-09 KR KR1020067007740A patent/KR100836439B1/ko active IP Right Grant
- 2004-07-09 CN CN200480033781A patent/CN100590613C/zh not_active Expired - Fee Related
- 2004-07-09 WO PCT/JP2004/009860 patent/WO2005048114A1/ja not_active Application Discontinuation
- 2004-07-09 EP EP04747328A patent/EP1686486A1/en not_active Withdrawn
-
2007
- 2007-05-31 HK HK07105805.7A patent/HK1098224A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| KR20060107743A (ko) | 2006-10-16 |
| WO2005048114A1 (ja) | 2005-05-26 |
| US20070083938A1 (en) | 2007-04-12 |
| JP2005149243A (ja) | 2005-06-09 |
| CN1882924A (zh) | 2006-12-20 |
| EP1686486A1 (en) | 2006-08-02 |
| KR100836439B1 (ko) | 2008-06-09 |
| HK1098224A1 (en) | 2007-07-13 |
| JP3758661B2 (ja) | 2006-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100590613C (zh) | 非法监视方法及非法监视系统 | |
| CN108683652A (zh) | 一种基于行为权限的处理网络攻击行为的方法及装置 | |
| CN109299135A (zh) | 基于识别模型的异常查询识别方法、识别设备及介质 | |
| US8060285B2 (en) | System and method of intelligent agent management using an overseer agent for use in vehicle diagnostics | |
| CN100492336C (zh) | 非法操作判定系统、非法操作判定方法 | |
| CN108416225A (zh) | 数据审计方法、装置、计算机设备和存储介质 | |
| US11777949B2 (en) | Dynamic user access control management | |
| CN103984576A (zh) | 用于防止应用卸载的方法和终端 | |
| CN107302586A (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
| CN109313676A (zh) | 基于安全级别和访问历史的ip地址访问 | |
| US9118603B2 (en) | System and method for managing attempted access of objectionable content and/or tampering with a content filtering device | |
| JP4122042B1 (ja) | アクセス権限制御システム | |
| CN112163198A (zh) | 一种主机登录安全检测方法、系统、装置及存储介质 | |
| US7845012B2 (en) | System and method of intelligent agent identification for vehicle diagnostics | |
| JP2005322261A (ja) | 不正監視プログラム、不正監視の方法及び不正監視システム | |
| CN100393043C (zh) | 系统管理策略执行方法 | |
| KR100316176B1 (ko) | 능동적 지적재산권 침해 감시시스템 및 그 방법 | |
| JP2005149267A (ja) | 証拠画面保存プログラム、証拠画面保存方法及び証拠画面保存システム | |
| CN113923036A (zh) | 一种持续免疫安全系统的区块链信息管理方法及装置 | |
| CN112541168A (zh) | 一种数据的防窃取方法、系统及存储介质 | |
| CN115577369B (zh) | 源代码泄露行为检测方法、装置、电子设备及存储介质 | |
| JP2005227866A (ja) | 操作管理装置、操作内容判定方法、操作管理プログラム、操作管理システム、およびクライアント端末 | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
| CN117150453B (zh) | 网络应用检测方法、装置、设备、存储介质及程序产品 | |
| CN104348795B (zh) | 通用网关接口业务入侵防护的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1098224 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1098224 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100217 Termination date: 20200709 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |