CN101051911A - 控制信息处理装置进行的通信的信息处理装置和方法 - Google Patents

控制信息处理装置进行的通信的信息处理装置和方法 Download PDF

Info

Publication number
CN101051911A
CN101051911A CNA200710089826XA CN200710089826A CN101051911A CN 101051911 A CN101051911 A CN 101051911A CN A200710089826X A CNA200710089826X A CN A200710089826XA CN 200710089826 A CN200710089826 A CN 200710089826A CN 101051911 A CN101051911 A CN 101051911A
Authority
CN
China
Prior art keywords
detected
task
communication
request
communication request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA200710089826XA
Other languages
English (en)
Inventor
古市実裕
相原达
村濑正名
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN101051911A publication Critical patent/CN101051911A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2147Locking files

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • User Interface Of Digital Computer (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

公开了控制信息处理装置进行的通信的信息处理装置和方法。用于防止间谍软件造成的个人信息和机密信息的泄露。一种信息处理装置包括输入设备、通信设备、被配置为检测所述输入设备收到的操作的操作检测器、被配置为从中央处理单元执行的任务检测指向所述通信设备的通信请求的请求检测器、被配置为判定所检测出的操作与所检测出的通信请求之间关系的关系判定器以及被配置为在所检测出的操作与所检测出的通信请求之间没有关系的条件下,禁止所述通信设备根据所述通信请求进行的通信的控制器。

Description

控制信息处理装置进行的通信的信息处理装置和方法
技术领域
一般来说,本发明涉及控制信息处理装置进行的通信的方法。更确切地说,本发明涉及防止通信中信息泄露的方法。
背景技术
近来已知恶意软件的存在,它不顾用户的意愿而潜入信息处理装置并且进行用户不期望的行为。间谍软件就是这样的恶意软件之一,它潜入信息处理装置,从存储设备读出信息,并向外部设备发送信息。如果间谍软件潜入信息处理装置,存储设备中存储的人员信息或机密信息可能被第三方窃取或滥用,也可能向不确定的用户公开。
迄今为止,已经开发了防止这样的恶意软件行为的安全软件(参见非专利文献1至3)。安全软件保持着识别恶意软件可执行文件所用特征的列表。该特征可能是例如可执行文件产生的杂乱信号。安全软件将可疑的可执行文件与特征列表进行对比,在该文件与该列表匹配时就判定可执行文件是恶意软件。为了应对不断开发出的新恶意软件,也要进行特征列表的定期更新。
此外,在因特网银行的领域中,试图允许由事先已经发行给客户的专用软件进行对服务器的访问(参见非专利文献4)。这样可以防止恶意软件通过通用软件比如网络浏览器收集信息的行为。此外,个人防火墙已经用于防止个人信息泄露。个人防火墙允许用户设置用户允许通信的应用程序、通信协议、端口号码和目标网站。
[非专利文献1]Spybot,http://www.spybot.info/
[非专利文献2]AD-AWARE,Lavasoft,http://www.lavasofttusa.com/
[非专利文献3]Norton Personal Security 2005,Symantec,http://www.symantec.com/region/jp/products/npf/features.htmI
[非专利文献4]Anti-spyware measures using software keyboard,Sony Bank,http://www.sonybank.net/img/PR050801_sb.pdf
[非专利文献5]Information about W32/Antinny.K,Symantec,http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
发明内容
[本发明要解决的问题]
不过,即使在定期更新安全软件特征列表的情况下,也难以事先完全准备全部恶意软件的特征。例如,当最近的恶意软件在更新特征列表前潜入信息处理装置时,可能无法恰当地检测到恶意软件的潜入。不仅如此,恶意软件还可能改变其执行代码。在这样的情况下,仅仅保持特征列表处于最新的状态也无法恰当地检测恶意软件。
此外,近来从P2P(对等计算)系统的用户窃取个人信息并向第三方公开该信息的恶意软件已经变为难以解决的问题(参见非专利文献5)。在P2P系统中,用户设置向第三方公开的公共文件夹。响应其他用户的请求而自由地读出公共文件夹中包含的文件。一定类型的恶意软件从整个信息处理装置检索用户的个人信息,并将检索出的个人信息存储在公共文件夹中。
这样的恶意软件不进行通信。因此,即使使用个人防火墙或专用软件,信息泄露常常也无法防止,进行通信的软件不是恶意软件。
所以,本发明的目的是提供信息处理装置、方法和程序产品,它们能够解决上述问题。通过组合附带的权利要求书中包括的独立权利要求中介绍的特性,实现了这个目的。此外,相关的权利要求指定了本发明的进一步优选实例。
[解决问题的手段]
为了解决上述问题,根据本发明的第一个实施例提供了以下的信息处理装置,包括输入设备、通信设备、被配置为检测所述输入设备已经接收到的操作的操作检测器、被配置为从中央处理单元执行的任务检测指向所述通信设备的通信请求的请求检测器、被配置为判定所检测出的操作与所检测出的通信请求之间关系的关系判定器以及被配置为在所检测出的操作与所检测出的通信请求之间没有关系的条件下,禁止所述通信设备根据所述通信请求进行的通信的控制器。此外,也提供了控制所述信息处理装置的方法和程序产品。
在上述本发明的归纳中并没有列举本发明的全部必需特性,这些特性的子组合也可以构成本发明。
[优点]
根据本发明,能够防止间谍软件等造成的个人信息和机密信息的泄露。
附图说明
图1显示了信息处理装置10的整体配置;
图2显示了硬盘驱动器1040的实例配置;
图3显示了CPU 1000的功能配置;
图4显示了在输入设备1045上进行的操作检测的处理流程图;
图5显示了控制某过程请求的通信或访问的处理流程图;
图6显示了在图5所示S520进行的处理细节。
具体实施方式
尽管下面将通过实施例介绍本发明,但是下面给出的实施例并不限制权利要求书所定义的本发明,实施例中所介绍的特性的组合不一定全是对本发明的解决装置必不可少的。
图1显示了信息处理装置10的整体配置。信息处理装置10包括CPU(中央处理单元)外围部件、输入/输出(I/O)部件和既有I/O部件。CPU外围部件包括CPU 1000、RAM(随机存取存储器)1020和图形控制器1075,它们由主机控制器1082彼此连接。I/O部件包括通信设备1030、输入设备1045、硬盘驱动器(HDD)1040和CD-ROM(小型盘只读存储器)驱动器1060,它们由I/O控制器1084连接到主机控制器1082。既有I/O部件包括BIOS(基本输入输出系统)1010、软盘驱动器(FD驱动器)1050和I/O芯片1070,它们连接到I/O控制器1084。
CPU 1000和图形控制器1075以高传输率访问RAM 1020。主机控制器1082使RAM 1020、CPU 1000和图形控制器1075互连。CPU1000根据BIOS 1010和RAM 1020中存储的程序工作,并控制每个部件。图形控制器1075采集由CPU 1000等产生的、在RAM 1020中提供的帧缓冲区中的图像数据,并使显示设备1080显示图像数据对应的图像。显示设备1080是本发明的实施例中采用的显示部件的实例,并且显示CPU 1000执行的操作的结果。更确切地说,显示设备1080可以显示多个窗口,每个都显示操作结果而且每个都接收用户的操作,以便实现多窗口系统。
I/O控制器1084使主机控制器1082与相对高速的I/O设备,比如通信设备1030、HDD 1040、输入设备1045和CD-ROM驱动器1060互连。通信设备1030通过网络与外部设备通信。HDD 1040是本发明的实施例中采用的存储设备的实例,并且存储着信息处理装置10所用的程序和数据。输入设备1045将其收到的操作内容通知I/O芯片1070。例如,输入设备1045可以是键盘或鼠标,并且可以通知I/O芯片按下按键的ID或被点击鼠标按键的ID。CD-ROM驱动器1060从CD-ROM 1095读取程序或数据,并且向RAM 1020或HDD 1040提供这些程序或数据。
BIOS 1010和相对低速的I/O设备比如FD驱动器1050和I/O芯片1070连接到I/O控制器1084。BIOS 1010存储着在信息处理装置10引导时CPU 1000执行的引导程序以及依赖于信息处理装置10的硬件的硬件相关程序。FD驱动器1050从软盘1090读取程序或数据,并且通过I/O芯片1070向RAM 1020或HDD 1040提供这些程序或数据。
程序存储在存储介质上,比如软盘1090、CD-ROM 1095或IC(集成电路)卡,并且由用户向信息处理装置10提供。程序通过I/O芯片1070和/或I/O控制器1084从存储介质读出,并且安装在信息处理装置10中并执行。下面将参考图2至图6介绍这些程序使信息处理装置10等执行的操作。
以上介绍的程序可以存储在外部存储介质上。存储介质不仅可以是软盘1090或CD-ROM 1095,而且也可以是光存储介质比如DVD(数字万能盘)或PD(相变可重写盘)、磁光存储介质比如MD(小型盘)、磁带和半导体存储器比如IC卡。此外,可以使用私有通信网络或因特网相连的服务器系统中提供的存储设备比如HDD或RAM作为存储介质,通过网络向信息处理装置10提供程序。
图2显示了HDD 1040的实例配置。HDD 1040包括共享区200和许可信息存储区210。共享区200被配置为在信息处理装置10与其他信息处理装置之间能够交换数据。例如,共享区200由CPU 1000上运行的过程访问。此外,共享区200也由其他外部信息处理装置通过通信设备1030访问。例如,可以使用Windows的文件夹共享功能使其他信息处理装置可以访问共享区200。作为替代,共享区200可以被配置为可以由P2P(对等计算)软件(如Winny)从数目多少不指定的信息处理装置访问。换言之,没有信息处理装置10的用户给出的显式通信指令时,共享区200中存储的数据也可以传送到由其他用户管理的其他信息处理装置。
许可信息存储区210用作本发明的实施例中采用的许可信息存储部件。许可信息存储区210存储着无论与输入设备1045收到的操作的关系如何都允许使用通信设备1030进行通信的过程的标识信息。此外,许可信息存储区210还存储着无论与输入设备1045收到的操作的关系如何都允许访问HDD 1040的过程的标识信息。换言之,下面介绍的控制器350允许根据其标识信息存储在许可信息存储区210中的过程发出的通信请求而进行通信。同样,控制器350允许根据具有许可信息存储区210中存储的标识信息的过程发出的访问请求的访问。注意,期望的是,该过程的标识信息可以是例如该过程执行的程序的二进制数据的杂乱数值,存储在可执行的文件中。作为替代,该过程的标识信息也可以是例如过程ID、执行该过程的可执行文件的路径或者使该可执行文件执行的命令(包括给予该命令的选项)。用户通过在许可信息存储区210中存储可信过程的标识信息,可以排除来自未授权访问检测目标的过程。
图3显示了CPU 1000的功能配置。CPU 1000利用HDD 1040等中已经安装的程序,用作过程30-1和30-2、操作系统(OS)35、第一操作检测器300、第二操作检测器320、第三操作检测器325-1和325-2、请求检测器330、关系判定器340、控制器350、许可信息管理器360。过程30-1是根据本发明实施例第一任务的实例。过程30-1从OS 35接收消息,指明由输入设备1045收到的操作的内容。另一方面,过程30-2是根据本发明实施例第二任务的实例,并且通过OS 35向通信设备1030发送通信请求。此外,过程30-1和30-2可以进行过程间通信。另外,根据本发明实施例的每个任务不一定是过程,而可以是线程。尽管图3将过程30-1和30-2显示为各自过程,但是过程30-1和30-2也可以是同一过程。
第一操作检测器300、第二操作检测器320以及第三操作检测器325-1和325-2用作根据本发明实施例的操作检测部件,并且检测输入设备1045收到的操作。这些操作可以是例如在键盘上进行的按键输入操作,也可以是在鼠标上进行的点击或拖放操作。更确切地说,第一操作检测器300工作在过程30-1工作的存储器空间中,并且由钩住消息而实现,这些消息指明了输入设备1045已经接收到的、从OS 35传递到过程30-1的操作的内容。指明操作内容的消息包括例如在Windows中的指明按下输入设备1045对应键盘上按键的WM_KEYDOWN,以及指明按下输入设备1045鼠标左键的WM_LBUTTONDOWN。
当这些消息从OS 35传送到过程30-1时,第一操作检测器300开始工作。第一操作检测器300开始工作后,使第二操作检测器320验证输入设备1045是否真正由用户操作。第二操作检测器320由工作在核空间中的设备驱动程序实现。第二操作检测器320检测从OS 35向过程30-1发送指明输入设备1045收到的操作内容的消息时,用户是否已经真正操作了输入设备1045。例如,第二操作检测器320并不就虚拟键盘设备驱动程序进行的按键操作仿真导致的按键操作而判定输入设备1045已经被操作。为了实现这一点,第二操作检测器320检测例如与输入设备1045比如键盘和设备的设备驱动程序属于同一层的其他设备驱动程序。当所检测到的设备驱动程序不是预定的恰当设备驱动程序时,第二操作检测器320并不判定输入设备1045已经被操作。如上所述,有可能通过检验设备驱动程序层而提高操作检测的准确度。
作为替代,如果从输入设备1045收到操作直到过程之一收到操作内容所经历的时间等于或短于参考间隔,第一操作检测器300和第二操作检测器320就可以判定输入设备1045已经被操作。更确切地说,第二操作检测器320首先在存储设备中存储输入设备1045实际被操作的时间。第一操作检测器300然后计算过程30-1收到指明操作内容的消息的时间与存储设备中存储的之间的时间差,从而测量这些时间点之间经历的时间。如果测量出的时间间隔等于或短于参考间隔,第一操作检测器300和第二操作检测器320就判定输入设备1045已经接收到了操作。利用这个过程,无论消息是如何制作的,仅有可能是实际收到的操作内容能够作为消息传送到过程中,因此有可能准确地判断通信或访问是否与用户操作有关。
当过程30-1收到指明操作内容的消息但是输入设备1045没有收到操作时,第二操作检测器320并不判定输入设备1045已经被操作。例如,当由软件仿真键盘上进行的操作的虚拟键盘设备驱动程序向过程30-1发送消息时,第二操作检测器320并不判定输入设备1045已经被操作。当判定输入设备1045已经被操作时,第一操作检测器300就原封不动地向过程30-1发送指明操作内容的消息。第一操作检测器300也将某些信息比如消息收到时间通知关系判定器340。
第三操作检测器325-1为过程30-1配备,而第三操作检测器325-2为过程30-2配备。第三操作检测器325-1和325-2中的每一个都工作在从对应过程向OS 35发送按键操作仿真请求之时。实现第三操作检测器325-1和325-2中的每一个时都通过钩住请求OS 35仿真从对应过程传送的按键操作的API(应用程序接口)。实现这一点时通过例如钩住仿真按键操作的函数,比如Windows中的SendInput函数,以及通过核实该函数未被调用。检测到对OS 35的按键操作仿真请求后,第三操作检测器325-1和325-2中的每一个都取消该按键操作仿真请求(使API调用失败)。不过,仅仅对于实现远程操作的预定过程才允许这样的请求。换言之,在根据远程操作信息处理装置10的预定过程的操作向另一个过程提供操作内容时,即使输入设备1045未被操作,第三操作检测器325-1和325-2中的每一个也都可以判定输入设备1045已经接收到操作。
请求检测器330、关系判定器340、控制器350和许可信息管理器360工作在过程30-2工作的存储器空间中。请求检测器330检测从CPU 1000执行的过程之一(如过程30-2)给予通信设备1030的通信请求。请求检测器330也检测从CPU 1000执行的过程之一(如过程30-2)给予HDD 1040的访问请求。更确切地说,实现请求检测器330时通过钩住发送通信请求的过程30-2所用的API以及发送访问请求的过程30-1所用的API。发送通信请求所用的API包括例如Windows中的请求根据UDP(用户数据报协议)的数据传输的“sendto”、请求根据TCP(传输控制协议)的数据传输的“send”、请求根据TCP的数据接收的“recv”以及请求根据UDP的数据接收的“recvfrom”。发送访问请求所用的API包括例如Windows中的请求从文件读取数据的“ReadFile”以及请求新创建文件的“CreateFile”。
关系判定器340判断第一操作检测器300检测出的操作与请求检测器330检测出的通信请求之间的关系。关系判定器340也判断第一操作检测器300已经检测出的操作与请求检测器330检测出的访问请求之间的关系。例如,如果从输入设备1045收到操作直到通信设备1030收到通信请求的间隔短于预定的参考间隔,关系判定器340就可以判定所检测出的操作与所检测出的通信请求彼此相关。同样,在从输入设备1045收到操作直到HDD 1040收到访问请求的间隔短于参考间隔的条件下,关系判定器340也可以判定所检测出的操作与所检测出的访问请求有关。
优选情况下,关系判定器340可以进一步根据过程30-1和30-2之间的关系,判定所检测出的操作与所检测出的通信请求或访问请求之间的关系。更确切地说,进一步在过程30-1和30-2相同的条件下,关系判定器340可以判定所检测出的操作与所检测出的通信请求或访问请求有关。不仅如此,如果过程30-1与过程30-2直接或间接通信,关系判定器340就可以判定所检测出的操作与所检测出的通信请求彼此相关。注意,“过程30-1与过程30-2间接通信”的状态是指过程30-1与中介过程通信,而且该中介过程与过程30-2通信的情况。可能有多个中介过程。作为另一个实例,在已经直接或间接产生出过程30-1和30-2的先辈过程相同的条件下,关系判定器340可以判定所检测出的操作与所检测出的通信请求或访问请求有关。注意,“直接或间接产生出过程”意味着产生该过程作为子过程或者产生出进一步产生子孙即该过程的子过程。例如,只要过程30-1和30-2都由公共的父过程产生,关系判定器340可以就判定所检测出的操作与所检测出的通信请求或访问请求有关。
在第一操作检测器300和第二操作检测器320检测出的操作与请求检测器330检测出的通信请求之间没有关系的条件下,控制器350禁止通信设备1030根据该通信请求进行的通信。如果在所检测出的操作与所检测出的通信请求之间有关系,控制器350就允许根据该通信请求的通信。同样,如果第一操作检测器300和第二操作检测器320检测出的操作与请求检测器330检测出的访问请求没有关系,控制器350禁止根据该访问请求对HDD 1040进行访问。只要所检测出的操作与所检测出的访问请求彼此相关,控制器350就允许根据该访问请求的访问。更确切地说,如果判定关系存在,控制器350就使请求检测器330原封不动地执行钩住的API。
控制器350允许许可信息存储区210中存储其标识信息的过程发出的根据该通信请求的通信或根据该访问请求的访问,无论该操作的关系如何。此外,当控制器350因为操作与请求之间没有关系而禁止通信或访问时,控制器350可以询问信息处理装置10的用户是否允许通信或访问。进行查询时可以通过例如在显示设备1080的屏幕上显示对话框。对话框显示出警告用户的消息,以及指明允许和禁止该通信的按钮。该消息可以说“过程XX请求了极为可能是未授权的通信。你允许这次通信吗?”。利用这种配置,有可能询问用户就极为可能是未授权的通信进行判断,并且防止机密信息和个人信息的泄露。
在关系判定器340判定操作与通信请求或访问请求有关时,许可信息管理器360在许可信息存储区210中存储着已经发出通信请求或访问请求的过程的标识信息。结果,已经被判定为过去已经进行了与该操作有关的访问的过程此后就能够自由地进行通信或访问。利用这种配置,通过此后省略就不太可能是执行未授权操作的过程进行以上判断,能够减轻CPU 1000的负载和用户通过对话框的操作负载。
如上所述,已经参考图3介绍了判断过程30-1收到的操作与过程30-2发出的通信请求之间关系的实例。不过,过程30-1和30-2之一可以具有另一个的功能。换言之,过程30-1不仅可以接收操作,而且可以发出通信请求。同样,过程30-2不仅可以发出通信请求,而且可以接收操作。在这种情况下,可以为过程30-2提供与第一操作检测器300分开的另一个第一操作检测器。此外,可以为过程30-1提供与请求检测器330、关系判定器340、控制器350和许可信息管理器360分开的另一个请求检测器、另一个关系判定器、另一个控制器和另一个许可信息管理器。显然这样的实施例也包括在本发明权利要求书的范围内。
图4显示了在输入设备1045上进行的操作检测的处理流程图。第一操作检测器300检测输入设备1045已经接收到的操作(S400)。优选情况下,第一操作检测器300可以不检测输入设备1045上进行的全部操作,而是仅仅检测预定的操作。预定的操作可以是指令某过程比如过程30-1开始基于输入的处理的操作。例如,预定的操作可以是在显示设备1080中显示的字符输入字段进行的回车键的输入操作。作为另一个实例,预定的操作可以是对于显示设备1080上显示的图标进行的鼠标双击操作,或者是预定快捷键的操作。像这样仅仅检测特定的操作能够减少此后响应操作检测而进行处理的次数,因此减轻了CPU 1000的处理负载。
第一操作检测器300、第二操作检测器320以及第三操作检测器325-1和325-2中的每一个都判断出现所检测出的操作是否不是因为过程30-1仅仅收到了指明操作内容的消息,而是因为输入设备1045被直接操作(S410)。如果输入设备1045没有被直接操作(S410:否),第一操作检测器300、第二操作检测器320以及第三操作检测器325-1和325-2就判断该消息是否从控制信息处理装置10的远程操作的预定过程输入(S420)。控制远程操作的预定过程可以是向其他信息处理装置发送信息处理装置10的显示屏幕图像以及向信息处理装置10的过程发送指明其他信息处理装置已经接收到的操作内容的消息的过程。例如,在Windows中,预定过程是实现终端服务器功能的过程,该过程的可执行文件的名称是“svchost.exe”。
如果输入设备1045没有被直接操作(S410:否)而且指明操作内容的消息不是从预定的过程输入(S420:否),第一操作检测器300、第二操作检测器320以及第三操作检测器325-1和325-2就终止这幅图中显示的处理。这时,第三操作检测器325-1和325-2可以取消该请求,比如按键输入仿真,并且可以使实现这样的请求的API调用失败。另一方面,如果输入设备1045被直接操作(S410:是)或者指明操作内容的消息从预定的过程输入(S420:是),第一操作检测器300、第二操作检测器320以及第三操作检测器325-1和325-2就继续进行以下处理。首先,第一操作检测器300判断显示设备1080的屏幕上显示的窗口之一是否属于收到该消息的过程(即过程30-1)(S430)。过程30-1使用这个窗口显示处理结果或接收对过程30-1的输入。
如果过程30-1具有该窗口(S430:是),第一操作检测器300就判断在输入设备1045收到该操作之时该窗口是否被设定为前台(S440)。前台窗口意味着例如显示在前台的窗口,使得前台窗口覆盖着显示设备1080的屏幕上显示的其他窗口。如果该窗口未被设定为前台,第一操作检测器300就判断该窗口是否位于输入设备1045鼠标拖放操作的目标处(S450)。在该窗口未被设定为前台(S440:否)而且不在拖放操作的目标处(S450:否)的条件下,第一操作检测器300就终止图中显示的处理。
另一方面,在该窗口被设定为前台(S440:是)或者该窗口位于拖放操作的目标处(S450:是)的条件下,第一操作检测器300就进行以下处理,检测输入设备1045已经接收到的操作。首先,第一操作检测器300在临时存储区中存储已经接收到了指明操作内容的消息的过程(如过程30-1)的标识信息(S460)。该标识信息用于在S650处判断若干过程之间的关系,下面将要介绍。然后,第一操作检测器300在临时存储区中存储由输入设备1045收到的操作的检测时间(S470)。该检测时间用于在S630处计算经历的时间,下面将要介绍。
图5显示了控制某过程请求的通信或访问的处理流程图。请求检测器330检测从CPU 1000执行的过程之一(如过程30-2)指向通信设备1030的通信请求,或者从过程30-2对HDD 1040的访问请求(S500)。响应通信请求或访问请求的检测结果(S500:是),控制器350判断已经发出这些请求的过程是不是事先允许通信或访问的过程(S510)。进行这种判断时取决于该过程的标识信息是否存储在许可信息存储区210中。如果该过程是允许的过程,控制器350就进至S550处的处理,并且允许通信或访问(S550)。
在不允许该过程进行通信或访问的情况下,关系判定器340执行以下处理。首先,关系判定器340判断在S400处检测的操作与在S500处检测的通信或访问请求之间的关系(S520)。在没有关系的条件下(S530:否),控制器350禁止根据该通信请求的通信或根据该访问请求对HDD 1040的访问(S560)。在这个步骤之前,控制器350可以询问用户是否禁止该通信或访问,并且可以在用户同意下禁止该通信或访问。当禁止该通信或访问时,控制器350可以进一步向用户发出警告、可以以失败状态终止传输通信请求的API、也可以中断已经发出该通信请求的过程。除此之外,控制器350还可以从HDD 1040删除该过程的可执行文件。
另一方面,在有关系的条件下(S530:是),许可信息管理器360将已经发出该通信请求或访问请求的过程的标识信息存储在许可信息存储区210中(S540)。然后控制器350允许该过程进行的通信或访问(S550)。
图6显示了图5所示S520处进行的处理细节。关系判定器340计算从S400处检测操作直到在S500处检测请求所经历的间隔(S630)。然后关系判定器340判定所算出的间隔是否等于或短于预定的参考间隔(S640)。如果所算出的间隔不在参考间隔之内(S640:否),关系判定器340就判定所检测的操作和所检测的请求没有关系(S670)。另一方面,所算出的间隔在参考间隔之内(S640:是),关系判定器340就判断收到指明操作内容消息的过程30-1与发出请求的过程30-2是否有关系(S650)。
例如,关系判定器340可以判断过程30-1和过程30-2是不是相同的过程,或者30-1是否直接地或间接地与过程30-2通信。不仅如此,关系判定器340可以判断过程30-1和过程30-2是否都由公共的父过程产生。在过程30-1与过程30-2有关的条件下(S650:是),关系判定器340判定所检测的操作与所检测的请求有关(S660)。另一方面,在过程30-1与过程30-2无关的条件下(S650:否),关系判定器340判定所检测的操作与所检测的请求没有关系(S670)。
正如以上参考图1至图6的介绍,根据本发明实施例的信息处理装置10通过允许与用户操作有关的通信或磁盘访问,能够有效地防止恶意软件非法取出数据的行为。通过组合地使用操作与通信请求之间经历的时间以及若干过程之间的关系来判断该关系,能够提高判断的准确度。这样的功能可以用于取代已知的反病毒软件或者与该已知的反病毒软件进行组合,它能够有效地防止间谍软件的各种活动。此外,由于不太可能进行非法活动的软件能够被预注册,就不必在每次磁盘访问时麻烦用户,因此确保了用户的便利和信息安全。
虽然已经使用实施例介绍了本发明,但是本发明的技术范围不限于在以上实施例中介绍的范围。对于本领域的技术人员显而易见,对以上介绍的实施例能够增加多种修改或改进。从附带的权利要求书中显而易见,这样的修改或改进也能够包括在本发明的技术范围之内。

Claims (16)

1.一种信息处理装置,包括:
输入设备;
通信设备;
操作检测器,被配置为检测所述输入设备已经接收到的操作;
请求检测器,被配置为从中央处理单元执行的任务检测指向所述通信设备的通信请求;
关系判定器,被配置为判定所检测出的操作与所检测出的通信请求之间的关系;以及
控制器,被配置为在所检测出的操作与所检测出的通信请求之间没有关系的条件下,禁止所述通信设备根据所述通信请求进行的通信。
2.根据权利要求1的信息处理装置,进一步包括:
存储设备,被配置为允许所述信息处理装置与另一装置之间的数据交换,其中,
所述请求检测器进一步从所述中央处理单元执行的任务检测对所述存储设备的访问请求,以及
所述关系判定器进一步判定所检测出的操作与所检测出的访问请求之间的关系,以及
所述控制器在所检测出的操作与所检测出的访问请求之间没有关系的条件下,禁止根据所述访问请求对所述存储设备的访问。
3.根据权利要求1的信息处理装置,其中,
在从所述输入设备收到所述操作直到所述通信设备收到所述通信请求的间隔短于预定参考间隔的条件下,所述关系判定器判定所检测出的操作与所检测出的通信请求有关。
4.根据权利要求1的信息处理装置,其中,
所述中央处理单元执行被配置为接收所述输入设备已经从操作系统接收到的操作的内容的第一任务,以及被配置为通过所述操作系统向所述通信设备传送所述通信请求的第二任务,以及
所述关系判定器根据所述第一任务与所述第二任务之间的关系,判定所检测出的操作与所检测出的通信请求之间的关系。
5.根据权利要求4的信息处理装置,其中,
在所述第一任务与所述第二任务相同的条件下,所述关系判定器判定所检测出的操作与所检测出的通信请求有关。
6.根据权利要求4的信息处理装置,其中,
在所述第一任务正在直接地或间接地与所述第二任务通信的条件下,所述关系判定器判定所检测出的操作与所检测出的通信请求有关。
7.根据权利要求4的信息处理装置,其中,
在已经直接或间接产生出所述第一任务的先辈任务与已经直接或间接产生出所述第二任务的先辈任务相同的条件下,所述关系判定器判定所检测出的操作与所检测出的通信请求有关。
8.根据权利要求4的信息处理装置,进一步包括:
显示单元,用于显示窗口,所述窗口用于显示处理结果或者接受操作的输入,其中,
在接受所述操作之时的前台窗口属于所述第一任务的条件下,所述关系判定器判定所检测出的操作与所检测出的通信请求有关。
9.根据权利要求4的信息处理装置,其中,
所述操作检测器检测作为所述输入设备的鼠标的拖放操作,以及,
在属于获取所述输入设备已经接收到的操作内容的任务的窗口是所述拖放操作目标处窗口的进一步条件下,所述关系判定器判定所检测出的操作与所检测出的通信请求有关。
10.根据权利要求1的信息处理装置,进一步包括:
许可信息存储单元,用于存储无论与所述操作的关系如何都被允许使用所述通信设备进行通信的任务的标识信息,其中,
所述控制器允许根据其标识信息存储在所述许可信息存储单元中的任务发出的通信请求而进行通信。
11.根据权利要求10的信息处理装置,进一步包括:
许可信息管理器,被配置为响应由所述关系判定器作出的所述操作与所述通信请求有关的判定,将已经发出所述通信请求的任务的标识信息加入所述许可信息存储单元中。
12.根据权利要求1的信息处理装置,其中,
在所述操作的内容被所述任务之一收到而所述输入设备没有收到所述操作时,所述操作检测器不判定所述输入设备已经被操作。
13.根据权利要求12的信息处理装置,其中,
在另一项任务根据控制所述信息处理装置远程操作的预定任务的处理收到所述操作的内容时,即使所述输入设备没有收到所述操作,所述操作检测器也判定所述输入设备被操作。
14.根据权利要求1的信息处理装置,其中,
在从所述输入设备收到所述操作直到所述任务之一收到所述操作的内容所经历的时间间隔等于或短于预定参考间隔的条件下,所述操作检测器判定所述输入设备被操作。
15.根据权利要求1的信息处理装置,其中,
所述操作检测器检测预定操作以便指令任务以开始基于所述输入进行处理,以及
所述关系判定器判定所述预定操作与所述通信请求之间的关系,以及
在所述预定操作与所检测出的通信请求之间没有关系的条件下,所述控制器禁止所述通信设备根据所述通信请求进行的通信。
16.一种用于在具有输入设备和通信设备的信息处理装置中控制所述通信设备进行的通信的方法,所述方法包括:
检测所述输入设备已经接收到的操作的步骤;
从中央处理单元执行的任务检测指向所述通信设备的通信请求的步骤;
判定所检测出的操作与所检测出的通信请求之间关系的步骤;以及
在所检测出的操作与所检测出的通信请求之间没有关系的条件下,禁止所述通信设备根据所述通信请求而进行通信的步骤。
CNA200710089826XA 2006-04-06 2007-04-05 控制信息处理装置进行的通信的信息处理装置和方法 Pending CN101051911A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2006105044 2006-04-06
JP2006105044A JP4159100B2 (ja) 2006-04-06 2006-04-06 情報処理装置による通信を制御する方法およびプログラム

Publications (1)

Publication Number Publication Date
CN101051911A true CN101051911A (zh) 2007-10-10

Family

ID=38681406

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA200710089826XA Pending CN101051911A (zh) 2006-04-06 2007-04-05 控制信息处理装置进行的通信的信息处理装置和方法

Country Status (3)

Country Link
US (1) US20070275694A1 (zh)
JP (1) JP4159100B2 (zh)
CN (1) CN101051911A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101252441B (zh) * 2008-02-20 2010-06-02 深圳市永达电子股份有限公司 基于可设定信息安全目标的获得性安全保障方法及系统
CN102142994A (zh) * 2010-01-29 2011-08-03 精工爱普生株式会社 信息处理装置、通信装置、无线诊断方法及程序

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5116578B2 (ja) * 2008-06-25 2013-01-09 株式会社Kddi研究所 情報処理装置、情報処理システム、プログラム、および記録媒体
US8181251B2 (en) * 2008-12-18 2012-05-15 Symantec Corporation Methods and systems for detecting malware
JP5610530B2 (ja) 2010-12-27 2014-10-22 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation リソース保護処理プログラムとリソース保護処理装置とリソース保護処理方法
JP5690689B2 (ja) * 2011-09-16 2015-03-25 Kddi株式会社 アプリケーション解析装置およびプログラム
JP5828457B2 (ja) * 2012-01-16 2015-12-09 Kddi株式会社 Api実行制御装置およびプログラム
JP5791548B2 (ja) * 2012-03-15 2015-10-07 三菱電機株式会社 アドレス抽出装置
JP5851311B2 (ja) * 2012-03-30 2016-02-03 セコム株式会社 アプリケーション検査装置
JP5702352B2 (ja) * 2012-10-31 2015-04-15 株式会社オプティム ユーザ端末、信頼性管理サーバ、不正遠隔操作防止方法、及び不正遠隔操作防止プログラム
JP5727991B2 (ja) 2012-11-12 2015-06-03 株式会社オプティム ユーザ端末、不正サイト情報管理サーバ、不正リクエスト遮断方法、及び不正リクエスト遮断プログラム
JP6007116B2 (ja) * 2013-01-28 2016-10-12 株式会社アドバンス データ通信システム
JP6386415B2 (ja) * 2015-05-18 2018-09-05 日本電信電話株式会社 ログ管理方法、および、ログ管理システム
JP2016224506A (ja) * 2015-05-27 2016-12-28 西日本電信電話株式会社 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム
RU2634173C1 (ru) * 2016-06-24 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения приложения удалённого администрирования

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997015885A1 (en) * 1995-10-25 1997-05-01 Open Market, Inc. Managing transfers of information in a communications network
US7263721B2 (en) * 2002-08-09 2007-08-28 International Business Machines Corporation Password protection
US8136155B2 (en) * 2003-04-01 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology for interprocess communication control
US20040225877A1 (en) * 2003-05-09 2004-11-11 Zezhen Huang Method and system for protecting computer system from malicious software operation

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101252441B (zh) * 2008-02-20 2010-06-02 深圳市永达电子股份有限公司 基于可设定信息安全目标的获得性安全保障方法及系统
CN102142994A (zh) * 2010-01-29 2011-08-03 精工爱普生株式会社 信息处理装置、通信装置、无线诊断方法及程序
CN102142994B (zh) * 2010-01-29 2015-01-14 精工爱普生株式会社 信息处理装置、通信装置及无线诊断方法

Also Published As

Publication number Publication date
JP4159100B2 (ja) 2008-10-01
US20070275694A1 (en) 2007-11-29
JP2007280013A (ja) 2007-10-25

Similar Documents

Publication Publication Date Title
CN101051911A (zh) 控制信息处理装置进行的通信的信息处理装置和方法
EP3610403B1 (en) Isolated container event monitoring
CN101405705B (zh) 用于外来代码检测的系统和方法
US8756696B1 (en) System and method for providing a virtualized secure data containment service with a networked environment
CN101288261B (zh) 用于检测对等网络软件的系统和方法
US9794270B2 (en) Data security and integrity by remote attestation
US7278019B2 (en) Method of hindering the propagation of a computer virus
US8677484B2 (en) Providing protection against unauthorized network access
JP5863869B2 (ja) ブラウザベースの不正行為防止方法およびシステム
US8205260B2 (en) Detection of window replacement by a malicious software program
CN101542446A (zh) 系统分析和管理
EP2920737B1 (en) Dynamic selection and loading of anti-malware signatures
US9633199B2 (en) Using a declaration of security requirements to determine whether to permit application operations
KR20080106908A (ko) 하드웨어 장치와 같은 자원을 소유하는 가상 컴퓨터를 이동시키기 위해 이용될 수 있는 컴퓨팅 시스템 및 방법
US11762987B2 (en) Systems and methods for hardening security systems using data randomization
EP3835984B1 (en) Detecting compromised web pages in a runtime environment
US11706251B2 (en) Simulating user interactions for malware analysis
KR20210068444A (ko) 컴퓨터 시스템에서 비승인 드라이버의 설치를 제어하는 기법
US20080127352A1 (en) System and method for protecting a registry of a computer
EP3243313B1 (en) System and method for monitoring a computer system using machine interpretable code
WO2020214346A1 (en) Trusted advisor for improved security
US20120222109A1 (en) Providing a declaration of security requirements to a security program to use to control application operations
CN114547612A (zh) 一种进程查询方法、装置、电子设备及存储介质
KR20210117682A (ko) 메모리 맵을 활용한 멀웨어 탐지 방법 및 시스템
JP2005234849A (ja) 監視装置及び監視方法及びプログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Open date: 20071010