CN1734389A - 软件动作监视装置以及软件动作监视方法 - Google Patents
软件动作监视装置以及软件动作监视方法 Download PDFInfo
- Publication number
- CN1734389A CN1734389A CNA2005100901973A CN200510090197A CN1734389A CN 1734389 A CN1734389 A CN 1734389A CN A2005100901973 A CNA2005100901973 A CN A2005100901973A CN 200510090197 A CN200510090197 A CN 200510090197A CN 1734389 A CN1734389 A CN 1734389A
- Authority
- CN
- China
- Prior art keywords
- software
- action
- analysis unit
- unit
- policy information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0715—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a system implementing multitasking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0793—Remedial or corrective actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/865—Monitoring of software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及的软件动作监视装置监视执行中的软件的动作,该软件动作监视装置包括:策略信息储存单元,其储存挑选软件的监视对象动作和监视对象外动作的策略信息;执行历史记录单元,其记录软件的执行历史;第1解析单元,其根据所述策略信息,由所述执行中的软件的动作检测监视对象动作;和第2解析单元,其对于由所述第1解析单元检测出的动作,解析记录在所述历史记录单元的执行历史,判断有无背离软件的正常动作。
Description
技术领域
本发明涉及软件动作监视装置以及软件动作监视方法。
背景技术
PC或工作站、服务器、路由器、手机、PDA等以及所有的计算机,都面临着来自外部或内部的攻击的危险。有代表性的攻击,是将在计算机执行的软件的脆弱性当作跳板。攻击者把利用了软件的脆弱性的有恶意的代码送入计算机,夺去执行中的进程的控制,利用该进程的权限进行非法操作。
作为对利用了软件的脆弱性的攻击的第1对策,有限定软件的存取权限的方法。为了确保该方法的安全性,重要的是选定软件的执行所必要的最小限度的系统资源,在软件中适当地设定向该资源的存取权限(例如,参照特开2001-337864号公报以及Security Enhanced Linux(http://www.nsa.gov/selinux/index.cfm)。
但是,实际上,考虑软件的所有的动作,赋予必要的最小限度的存取权限是非常困难的。此外,即使能够赋予了必要的最小限度的存取权限,因为与软件动作的异常·正常无关地来赋予权限,在由攻击夺取了进程的控制的场合,就会变成允许已被赋予的存取权限的范围内的攻击。因此,当具有对重要的系统资源的存取权限的软件被夺取了时,有可能蒙受极大的损害。
作为对利用了这样的软件的脆弱性的攻击的应对,公开了检测执行中的软件的异常的系统(参照Wagner,Dean,“Intrusion Detection via StaticAnalysis”,IEEE Symposium on Security and Privacy,2001)。在该系统中,生成表示软件的正常动作的模型,通过检查软件的执行序列是否被该模型受理,即使是软件的控制被夺去的场合,也立即检测软件的异常动作,并进行应对,这样,就能够防止由攻击者进行的存取权限的夺取。
另外,公开了防止对文件的异常存取和非法的存取的执行的文件保护系统(参照特开2003-233521号公报)。该系统,具有两个阶段的监视过程。在第1监视过程中,根据策略信息区别对文件的正常存取和异常存取,当检测出对文件的异常存取时,禁止该存取。在第2监视过程中,检测对文件的异常存取检测后发生的非法的存取。更具体地说,记录检测异常存取后异常存取信息,当所记录的异常存取信息满足了判定基准时,判断为该存取是非法存取。通过备有第2监视过程,不仅防止对文件的异常存取,还能够防止非法的存取,故可以提高整个系统的安全性。
在上述的“Intrusion Detection via Static Analysis”系统中,需要在软件的执行中进行与执行序列的模型的适合性验证,故存在执行时开销非常大的问题。特别是在代表手机或PDA等的处理能力缺乏的thin终端中,可以说该问题是致命的。例如将“Intrusion Detection via Static Analysis”方法适应到电子邮件发送软件(sendmail)时,发送一次电子邮件所需要的时间为1个小时以上,经不起实用。
另外,在上述的特开2003-233521号公报中的系统中,因为以文件保护作为前提,所以,只要不进行文件存取就不会成为监视的对象。另外,因为只检测异常文件存取检测后的非法,因此不能检测过去进行的非法行为。因此,当蒙受到利用如缓冲器溢出攻击所代表的对缓冲器的非法存取,夺取系统的根权限,来执行文件存取,之后不进行非法存取的这样的攻击时,因为不能够检测缓冲器溢出攻击,因此只检测文件存取之后的非法存取,尽管原来进行过非法存取也不能检测。另外,未考虑检测时的开销的负载。
发明内容
因此,本发明的目的是,鉴于上述课题,提供降低监视软件动作时的开销,同时,恰当地判断背离软件的正常动作的软件动作监视装置以及软件动作监视方法。
本发明的第一方面,提供用于监视执行中的软件的动作的软件动作监视装置,包括:策略信息储存单元,其储存挑选软件的监视对象动作和监视对象外动作的策略信息;执行历史记录单元,其记录软件的执行历史;第1解析单元,其根据所述策略信息,由所述执行中的软件的动作检测监视对象动作;和第2解析单元,其对于由所述第1解析单元检测出的动作,解析记录在所述历史记录单元的执行历史,判断有无背离软件的正常动作。
本发明的第二方面,提供用于监视执行中的软件的动作的软件动作监视方法,包括以下步骤:蓄积挑选软件的监视对象动作和监视对象外动作的策略信息的步骤;记录软件的执行历史的步骤;根据所述策略信息,由所述执行中的软件的动作检测监视对象动作的步骤;和对通过所述检测的步骤检测出的动作,解析在所述记录的步骤中已记录的执行历史,来判断有无背离软件的正常动作的步骤。
附图说明
图1是第1实施方式涉及的软件动作监视装置的结构方框图;
图2是第1实施方式涉及的策略信息的一个例子;
图3是表示第1实施方式涉及的软件动作监视方法的流程图;
图4是第2实施方式涉及的软件动作监视装置的结构方框图;
图5是第2实施方式涉及的策略信息的一个例子;
图6是第2实施方式涉及的动作模型的一个例子(其1);
图7是第2实施方式涉及的软件源代码的一个例子;
图8是第2实施方式涉及的动作模型的一个例(其2);
图9是表示第2实施方式涉及的软件动作监视方法的流程图;
图10是第3实施方式涉及的软件动作监视装置的结构方框图;
图11是第3实施方式涉及的策略信息的一个例子;
图12是表示第3实施方式涉及的软件动作监视方法的流程图。
具体实施方式
在第1~第3实施方式中,将可靠地检测有可能给系统带来重大影响的软件的动作、且轻量的第1解析部,配置在第2解析部的前段,第2解析部是重量的且能够以非常低的非检测率(不检测设想外动作)和误检测率(将正常动作作为设想外动作检测)检测背离软件的正常动作的。这样,可通过第1解析部将多个软件执行序列从第2解析对象中排除,来得到软件动作监视所需的开销大幅减少的效果。
但是,误检测,可由第2解析部除去,因此在第1解析部中可容许。即,如果设计虽然发生误检测、但非检测的发生概率足够低的轻量的第1解析部,则能够实现本实施方式的软件动作监视机构。
(第1实施方式)
(软件动作监视装置)
第1实施方式涉及的软件动作监视机构(软件动作监视装置)300,如图1所示,包括:执行历史记录部310、动作监视部320、策略信息储存部330、动作历史记录部340和策略信息管理部350。在图1中,软件动作监视机构300,与监视对象软件200一样,在软件的执行环境100上执行。在这里,所谓“执行历史”,是指监视对象软件调用的函数或系统调用等软件的执行历史。
执行历史记录部310,监视监视对象软件调用的函数或系统调用等后并作为执行历史来记录,根据动作监视部320内的第2解析部322的要求,提供已记录的执行历史。动作历史记录部310,也可以记录监视中的所有的执行历史。但是,因为考虑到在手机或PDA等能力小的终端上记录执行历史的存储容量小,因此追求记录的高效性。为了解决该问题,例如,当执行历史记录部310记录执行历史时,根据已设定的记录期间,也可以按老的顺序删除记录。另外,当执行历史记录部310,记录执行历史时,也可以根据已设定的记录容量限制,进行删除。
动作监视部320,具有第1解析部321和第2解析部322。
第1解析部321,根据从策略信息储存部330取得的策略信息,检查监视对象软件200的动作,当检测出监视对象软件200的监视对象动作(设想外动作)时,通知第2解析部322。
第2解析部322,以监视对象动作的检测通知为契机,从执行历史记录部310取得监视对象软件的执行历史,判断是否有背离软件的正常动作,并输出结果。
动作历史记录部340,记录软件的动作历史,根据第1解析部321的要求,提供所记录的动作历史。在这里,所谓“动作历史”,是指如软件所存取的文件或软件所生成的命令等软件的过去的动作历史之外,还指如软件启动的顺序等该软件被调用为止的动作历史。此时,第1解析部321,根据动作历史和策略信息,检测监视对象动作。通过采取这样的结构,能够进行基于动作历史的解析,能够获得改善监视对象动作的检测精度的效果。
策略信息储存部330,储存如图2所示的策略信息。作为策略信息,设定了成为软件的监视对象动作或监视对象外动作的对系统资源的存取规则。在这里,所谓“系统资源”,是指软件存取的文件、系统调用、栈的状态、引数的状态以及装载的状态等,软件执行时所必要的资源。
图2引用了SELinux(参照Security Enhanced Linux(http://www.nsa.gov/selinux/index.cfm))的安全策略,是Apache HTTP server的缺省设定的一部分。定义了“httpd进程(httpd_t域),对按照类型分组的系统资源,可以进行什么样的操作(存取向量)”这样的规则。例如,对于设想成在某种执行环境httpd进程进行存取的系统资源,从策略信息排除。这样可以只检测基于httpd进程的设想外存取(监视对象动作)。
另外,即使是设想存取的系统资源,对于包含顾客的个人信息的文件等重要度极其高的系统资源,也可以有意地从策略信息排除后作为监视对象。通过这样地设定,当存取重要度高的系统资源时,必须起动第2解析部322,故能够提高安全性。
策略信息管理部350管理监视对象软件200对系统资源的存取,生成策略信息,在策略信息储存部330储存策略信息。例如,如图2所示的策略信息储存在策略信息储存部330。当监视对象软件200不实施home_root_t类型的对系统资源的存取时,策略信息管理部350重新生成删除策略信息中、与home_root_t类型的系统资源有关的策略信息后的策略信息,并在策略信息储存部330储存。该策略信息的变更可以在软件的执行中进行。
另外,策略信息管理部350可以与网络连接,根据来自网络的指示生成策略信息,也可以与外部设备连接,根据来自外部设备的指示生成策略信息。进而,还可以将从管理监视对象软件200对系统资源的存取的结果中得出的信息和来自外部的信息(来自网络或外部设备的指示)组合起来生成策略信息。
在软件动作监视机构300,当判断为监视对象软件200的动作背离正常动作时,执行环境100通过进行使该软件停止等应对,能够将软件的异常动作带来的损害抑制到最小限度。
另外,为了保证软件动作监视机构300不被篡改,还可以将软件动作监视机构300在不可重写的ROM上实现并提供。另外,针对同样的目的,提供软件动作监视机构300时赋予电子签名,可以使软件动作监视机构300动作时进行电子签名验证。另外,针对同样的目的,还可以回到利用安全引导动技术,在重引导时提供软件动作监视机构300时的状态。
另外,执行历史记录部310、策略信息储存部330、动作历史记录部340,是保存上述信息的记录媒体。作为具体的记录媒体,例如有RAM、ROM、硬盘、软磁盘、光盘、IC芯片以及盒式磁带等等。
另外,虽然图中未示出,但软件动作监视装置还可以具有进行数据的输入或输出的输入输出单元。作为输入单元,使用键盘、鼠标等设备,还包括简软磁盘(登录商标)装置、CD-ROM装置、DVD装置等等。将与由输入单元进行输入操作对应的关键信息和位置信息传达给动作监视部320与。另外,作为输出单元,使用监控器等画面,可以使用液晶显示器(LCD)、发光二极管(LED)板和电荧光(EL)板等等。另外,输出单元输出第2解析部322的判断结果。另外,输入输出单元,还可以作为经由因特网等进行与外部的通信的通信单元来工作。
另外,第1实施方式涉及的软件动作监视装置,具有处理控制装置(CPU),能够采取将第1解析部321和第2解析部322等作为模块内置在CPU的结构。在个人计算机等通用计算机中,通过执行用来利用规定的程序语言的专用程序,能够实现这些模块。
另外虽然在图中未示出,但软件动作监视装置,可以具有储存用于在处理控制装置(CPU)执行第1解析处理和第2解析处理等的程序的程序保持部。程序保持部,例如为,RAM、ROM、硬盘、软磁盘、光盘、IC芯片和盒式磁带等记录媒体。通过这样的记录媒体,能够易进行程序的储存、运输和销售等。
(软件动作监视方法)
下面,利用图1以及图3对第1实施方式涉及的软件动作监视方法进行说明。
在图3的步骤S101,动作监视部320进行执行中的监视对象软件200的监视。
首先,在步骤S102,第1解析部321比较储存在策略信息储存部330的策略信息和监视对象软件200的动作并解析。
之后,在步骤S103,第1解析部321判断是否已检测出监视对象动作。当已检测出监视对象动作时,进入步骤S104,当没有检测时,回到步骤S102。
然后,在步骤S104,第2解析部322对通过第1解析部321检测出的动作,解析记录在执行历史记录部310的执行历史,判断有无背离软件的正常动作。
另外,在步骤S105,策略信息管理部350管理监视对象软件200对系统资源的存取,生成策略信息,在策略信息储存部330储存策略信息。该策略信息的变更可以在任何时机进行,并不限于在步骤S105中表示的定时。
(作用及效果)
根据第1实施方式涉及的软件动作监视装置以及软件动作监视方法,通过将可靠地检测软件的监视对象动作的第1解析部321,配置在是重量的且能够可靠地检测从软件的正常动作的背离的第2解析部322的前段,能够降低第2解析部322的起动频度。因此,能够降低监视软件动作时的检测系统整体的开销,同时,能够恰当地判断从软件的正常动作的背离。
另外,在第1实施方式涉及的软件动作监视装置以及软件动作监视方法,作为策略信息,设定对系统资源的存取规则,该存取规则为软件的监视对象动作或监视对象外动作。因此,当发生了软件对系统资源的存取时,第1解析部321能够淘汰监视对象外的存取,仅限于检测出监视对象的存取时,能够起动第2解析部322。
另外,通过把存取规则设定成对重要的系统资源的存取成为监视对象,当发生了危险的存取时能够一定起动第2解析部322。因此,能够实现可靠地检测危险的存取的轻量的第1解析部321,能够获得提高检测系统的安全性的效果。
另外,理想的是上述的系统资源是系统调用。根据这样的软件动作管理装置以及软件动作管理方法,当由软件对操作系统生成系统调用时,第1解析部321可淘汰监视对象外的对系统调用的存取,仅限于检测出监视对象对系统调用的存取时,可以起动第2解析部322。因此,可以降低第2解析部322的起动频率,能够获得降低整个检测系统执行时的开销的效果。
另外,策略信息,可以记述软件的监视对象外动作,也可以记述监视对象动作。
当记述监视对象外动作时,策略信息,只要只含有系统管理者容易判断的、几乎没有对系统的影响的动作即可。这样,在第1解析部321,可以可靠地检测给系统带来影响的动作,能够获得提高检测系统的安全性的效果。
另一方面,当记述监视对象动作时,策略信息,只要只含有用于确保必要最小限度的安全性的动作即可。这就能够获得如下效果:当服务提供者提供服务时确保所必要的最小限度的安全性,同时,防止不必要的第2解析部322的执行,从而降低执行检测系统整体的开销。
另外,因为第1实施方式涉及的软件动作监视装置,具有策略信息管理部350,因此,能够变更第1解析部321的灵敏度,能够调整第2解析部322的起动频度。因此,能够动态地调整软件动作监视装置的性能。例如,当计算机的利用环境是安全时,能够提高软件动作监视装置的性能,或在有攻击的可能性的利用环境中,提高安全性。
另外,因为第1实施方式涉及的软件动作监视装置,具有动作履历记录部340,因此,第1解析部321,可考虑直到软件能够调用为止的历史,来检查系统资源的存取。因此,不仅是现在执行中的软件的信息,还能检查也加减了直到该软件能够调用为止的信息,故能够获得改善监视对象动作的检测制度的效果。另外,通过详细化存取规则,还有降低第2解析单元的起动频度的效果。
进而,第2解析部322可以通过追溯包含在软件的起动历史中的软件的动作来检查。这样,当直接地或间接地己起动该软件的软件进行异常动作时也可以应对。
<第2实施方式>
在第2实施方式中,将在第1实施方式中说明的软件动作监视机构引入到计算机的基本软件(操作系统)。
(软件动作监视装置)
第2实施方式涉及的软件动作监视机构(软件动作监视装置)300,被安装在作为提供操作系统的基本功能的软件的内核500内,监视一个或一个以上的监视对象软件200a、200b、200c。监视结果,可以在存取控制部530、策略信息管理部540和进程管理部550中被利用,进行对系统资源的存取的限制或进程停止等应对。
为了监视执行中的软件的动作,软件动作监视机构300,利用内核挂起510。内核挂起510,监视监视对象软件200a、200b、200c和核内核500之间的通信(系统调用等),当收到特定的要求消息时,将转发该要求消息的功能提供给在处理该要求消息之前预先设定的模块。
第1解析部321根据策略信息,检测监视对象软件200a、200b、200c的监视对象动作。例如,利用如图2所示的策略信息,当检测出对预先设定的系统资源以外的存取要求时,起动第2解析部322。
在第2实施方式中,可以与进程原来的存取权限独立地设定第1解析部321利用的策略信息。例如,即使是进程拥有的对系统资源的存取权限,也能够从策略信息中排除。这样,对非常重要的系统资源存取时,可以进行必须起动第2解析部322的处理。
另外,策略信息中,也可以设定监视对象的动作。例如,在策略信息中列举出软件对操作系统生成的系统调用中、可能给系统带来影响的系统调用。在第1解析部321中,还可以解析通过监视对象软件200a、200b、200c生成的系统调用,是否为已记载在策略信息中的系统调用。在第1解析部321中检测策略信息中记载的系统调用是由执行中的软件生成的,在第2解析部322中,进行更详细的解析。图5是策略信息的例子,列举了变更软件的执行权限的系统调用。这些对系统带来影响的可能性非常大。这样,如果在策略信息中设定监视对象的动作,则在提供服务时确保了所必要的最小限度的系统的安全性,同时还能够降低整个检测系统执行时的开销。
第2解析部322,检查执行履历记录部310记录的监视对象软件200a、200b、200c的执行履历,是否被该软件的动作模型620受理。例如,利用全部包罗了执行履历系统调用是记录对象、并在软件的正常动作中可引起的系统调用的模式的动作模型620。当所记录的系统调用列,与动作模型620中记载的任何一个模式都不吻合时,判断为背离了软件的正常动作。
下面,对第2解析部322的具体的解析方法进行说明。
图6是动作模型的一个例子,将系统调用的发生模式用有限态自动机(finite state automata(FSA))进行模型化(参照Wagner,Dean,“IntrusionDetection via Static Analysis”,IEEE Symposium on Security and Privacy,2001)。在图6中,静态地解析图7表示的软件源代码,将系统调用的发生作为边,将系统调用发生前后的软件的状态作为节点来捕获,作为FSA。另外,关于函数调用,作为ε迁移来捕获。第2解析部322,取得执行中的软件对操作系统生成的系统调用,将按照生成的顺序排列好的调用作为动作模型的FSA的输入列来输入,解析输入列是否被受理。举图6为例,输入列open getuid closegeteuid exit被受理,但open close getuid geteiud exitc不被受理。因此,作为后者的系统调用的发生背离了正常动作来进行检测。
另外,除利用FSA以外,还可以利用N-gram判断。即,在保证正常动作的环境中,取得在软件动作中生成的系统调用,学习按照时间序列排列的系统调用列。将该学习的系统调用列作为动作模型,在解析时未保证正常动作的环境中,生成由在软件动作中生成的N个系统调用构成的解析对象的系统调用列,判断解析对象系统调用列在动作模型中是否作为子序列存在。
另外,第2解析部322,将执行历史记录部310所记录的对象作为系统调用的引数,利用全部包罗了在软件的正常动作中可能发生的系统调用引数的发生模式的动作模型。例如,将系统调用引数的统计模式(引数的字符串长或字符的出现分布等等)作为动作模型来利用。当所记录的系统调用引数的统计模式与动作模型中记述的任何一个模式统计上都不吻合时,也可判断为背离了软件的正常动作。
另外,第2解析部322,例如,将执行历史记录部310所记录的对象,作为系统调用和监视对象软件200a、200b、200c在函数调用中利用的调用栈的状态,当在软件的正常动作中可能发生的系统调用的发生模式以及调用栈的状态的发生模式与动作模型中记述的任何一个模式都不吻合时,可以判断为背离了软件的正常动作。图8是表示调用栈的状态的发生模式的动作模型的例子。在调用栈中,作为内容包含函数的返回地址和函数调用的引数等等,但是,在这里,所谓调用栈的状态,就是与各个函数调用相关联的返回地址和堆入调用栈中的顺序号。动作模型将该调用栈的状态按照时间序列顺序排列。第2解析部322,在解析系统调用的发生模式的同时,通过判断在动作模型代表的调用栈的状态的发生模式内是否存在将记录在执行历史记录部322的调用栈的状态按照时间序列顺序排列的发生模式,来判断执行中的软件是否背离了正常动作。
另外,第2解析部322,可以将执行在历史记录部310所记录的对象作为系统调用、系统调用的引数以及监视对象软件200a、200b、200c在函数调用等中利用的调用栈的全部状态或它们的组合。此时,动作模型,是在软件的正常动作中可发生的系统调用的发生模式、系统调用引数的统计模式以及调用栈的状态的发生模式中与执行历史记录部310的记录对象对应的模式,第2解析部322,分别利用与执行历史记录部310所记录的对象对应的动作模型,来进行解析。
另外,第2解析部322的判断结果,利用在存取控制部530、策略信息管理部540以及进程管理部550。
存取控制部530,根据第2解析部322的判断结果,限制对系统资源的存取。
策略信息管理部540,根据第2解析部322的判断结果,生成并更新策略信息,储存策略信息610。
进程管理部550,根据第2解析部322的判断结果,停止进程(执行中的软件)。
另外,在图4中,策略信息610、动作模型620以及执行历史630被保存在记录媒体600。作为记录媒体,例如有RAM、ROM、硬盘、软磁盘、光盘、IC芯片、盒式录音带等等。策略信息610、动作模型620以及执行历史630,可以保存在如图4所示的记录媒体600,也可以安装在内核500上。
(软件动作监视方法)
下面,利用图4以及图9对第2实施方式涉及的软件动作监视方法进行说明。
首先,步骤S201~203与图3的步骤S101~103一样,因此在这里省略其说明。
在步骤S204中,第2解析部322,对于通过第1解析部321检测出的动作,解析记录在执行历史记录部310的执行历史,判断是否背离了软件动作。此时,第2解析部322,通过判断执行历史是否被动作模型620受理,来判断是否背离了软件的正常动作。使用的动作模型包罗了在软件的正常动作中生成的系统调用的发生模式,包罗了在软件的正常动作中生成的系统调用引数的发生模式,包罗了在软件的正常动作中生成的调用栈的内容的发生模式。
因为步骤S205与图3的步骤S105一样,因此在这里省略其说明。
然后,在步骤S206,存取控制部530,根据第2解析部322的判断结果,限制对系统资源的存取。
然后,在步骤S207,进程管理部550,根据第2解析部322的判断结果,停止进程(执行中的软件)。
(作用以及效果)
根据第2实施方式涉及的软件动作监视装置以及软件动作监视方法,第3解析部322,通过判断记录在执行历史记录部310的执行历史是否被动作模型620受理,能够判断是否背离了软件的正常动作。因此,能够获得易生成用于判断从正常动作背离的规则的效果。
另外,执行历史记录部310,记录软件对操作系统生成的系统调用,动作模型620可以是包罗了在软件的正常动作中生成的系统调用的发生模式的模型。因此,操作系统能够可靠地记录执行历史。该执行历史记录部310,只要不被攻击者夺去操作本身的控制,就是安全的,因此能够获得提高第2解析部322的安全性的效果。
另外,执行历史记录部310,记录软件对操作系统生成的系统调用的引数,动作模型620,可以是包罗了在软件的正常动作中生成的系统调用引数的发生模式的模型。因此,能够使对系统的攻击者巧妙地利用系统调用的引数来进行无动作(空操作)化的伪攻击变得困难。该执行历史记录部310,只要不被攻击者夺去操作系统本身的控制就是安全的,因此能够获得提高第2解析部322的安全性的效果。
另外,执行历史记录部310,记录软件调用函数中利用的调用栈的内容,动作模型620,可以是包罗了在软件的正常动作中生成的调用栈的内容的发生模式的模型。因此,可以检测仅用系统调用发生模式不能检测完的不可能路径攻击,可以使对系统的攻击者进行攻击变得困难。该执行历史记录部310,只要不被攻击者夺去操作系统本身的控制就是安全的,因此能够获得提高第2解析部322的安全性的效果。
<第3实施方式>
在第3实施方式中,第1解析部解析多个监视对象动作,根据相应的监视对象动作,第2解析部进行不同的解析。
(软件动作监视装置)
如图10所示,第3实施方式涉及的软件动作监视装置,除了第1解析部321和第2解析部322的结构不同以外,与第2实施方式结构相同。
第1解析部321,具有:监视对系统资源的存取的资源存取监视部321a和监视监视对象软件200a、200b、200c对操作系统生成的系统调用的系统调用监视部321b。
资源存取监视部321a以及系统调用监视部321b,根据策略信息610检测监视对象软件200a、200b、200c的监视对象动作。策略信息,如图11所示,包括:记述了系统资源的存取规则的第1策略信息610a和列举了可能对系统带来影响的系统调用的第2策略信息610b。在第1策略信息610a中记述了成为存取规则的对象的文件名和对该文件带来影响的可能性高的系统调用。
第2解析部322,包括:解析系统调用的发生模式的系统调用解析部322a、解析系统调用引数的统计模式的引数解析部322b和解析调用栈的状态的发生模式的栈解析部322c。第2解析部322,具有根据第1解析部321的解析结果,选择这些3个解析部的机构。
例如,在第1解析部321中,利用图11的策略信息,监视监视对象软件200a、200b、200c的结果,当在资源存取监视部321a中检测出有存取与第1策略信息610a中记载的文件名对应的文件时,第2解析部322,解析通过系统调用解析部322a在执行历史记录部310记录的执行历史的系统调用的发生模式。
同样,在第1解析部321,利用图11的策略信息,监视监视对象软件200a、200b、200c的结果,当在系统调用监视部321b中检测出在第2策略信息610b中记载的系统调用是通过监视对象软件200a、200b、200c生成的时,第2解析部322,解析通过系统调用解析部322a在执行历史记录部310记录的执行历史的系统调用的发生模式。
另一方面,在第1解析部321中,当资源存取监视部321a检测发生了存取与第1策略信息610a中记载的文件名对应的文件时,进而,系统调用监视部321b检测到生成与该文件名相关联的系统调用时,第2解析部322,不仅是通过系统调用监视部322a,还通过引数监视部322b进行系统调用引数的统计模式的解析,通过栈解析部322c进行调用栈的状态的发生模式的解析。
图10所示的策略信息管理部540,管理对监视对象软件200对系统资源的存取,生成策略信息,储存策略信息610。此时,策略信息管理部540根据第2解析部322的系统调用解析部322a、引数解析部322b、栈解析部322c的各个解析结果,变更策略信息。即,策略信息管理部540,具有基于系统调用解析部322a、引数解析部322b、栈解析部322c的解析结果的变更表,根据是通过哪一个解析部判断出有无背离的,来变更不同的策略信息。
另外,存取控制部530,根据第2解析部322的判断结果,限制对系统资源的存取。此时,存取控制部530,根据第2解析部322的系统调用解析部322a、引数解析部322b、栈解析部322c的各个判断结果,限制存取。即,存取控制部530,具有基于系统调用解析部322a、引数解析部322b、栈解析部322c的解析结果的变更表,根据是通过哪一个解析部判断出有无背离的,来限制对不同的系统资源的存取。
另外,进程管理部550,根据第2解析部322的判断结果,停止进程(执行中的软件)。此时,进程管理部550,根据第2解析部322的系统调用解析部322a、引数解析部322b、栈解析部322c的各个判断结果,限制存取。即,进程管理部550,具有基于系统调用解析部322a、引数解析部322b、栈解析部322c的解析结果的变更表,根据是通过哪一个解析部判断出有无背离的,来停止不同的进程。
对于执行历史记录部310和记录媒体600,因为与第2实施方式一样,因此在这里省略其说明。
(软件动作监视方法)
下面,利用图10以及图12对第3实施方式涉及的软件动作监视方法进行说明。
在图12的步骤S301,动作监视部320,进行执行中的监视对象软件200的监视。
首先,在步骤S302,第1解析部321的资源存取监视部321a,监视对系统资源的存取。然后,在步骤S303,第1解析部321的系统调用监视部321b,监视监视对象软件200a、200b、200c对操作系统生成的系统调用。
然后,在步骤S304,资源存取监视部321a或系统调用监视部321b,判断是否已检测出监视对象动作。当检测到监视对象动作时,进入步骤S305,当没有检测到时,回到步骤S302。
然后,在步骤S305,第2解析部322的系统调用解析部322a,对通过第1解析部321检测出的动作,解析系统调用的发生模式。之后,判断是否背离了软件的正常动作。
然后,在步骤S306,在资源存取监视部321a以及系统调用监视部321b双方,判断是否已检测出监视对象动作。这样,当检测出多个监视对象动作时,进入步骤S307,当没有检测到时,进入步骤S309。
然后,在步骤S307,第2解析部322的引数解析部322b,解析系统调用引数的统计模式。之后,判断是否背离软件的正常动作。
然后,在步骤S308,第2解析部322的栈解析部322c解析调用栈的状态的发生模式。之后,判断是否背离软件的正常动作。
然后,在步骤S309,策略信息管理部540,管理监视对象软件200对系统资源的存取,生成策略信息,储存策略信息610。此时,策略信息管理部540,根据第2解析部322的系统调用解析部322a、引数解析部322b、栈解析部322c的各个解析结果,变更策略信息。
然后,在步骤S310,存取控制部530,根据第2解析部322的判断结果,限制对系统资源的存取。此时,存取控制部530,根据第2解析部322的系统调用解析部322a、引数解析部322b、栈解析部322c的各个解析结果,限制存取。
然后,在步骤S311,进程管理部550,根据第2解析部322的判断结果,停止进程(执行中的软件)。此时,进程管理部550,根据第2解析部322的系统调用解析部322a、引数解析部322b、栈解析部322c的各个解析结果,限制存取。
(作用及效果)
根据第3实施方式涉及的软件动作监视装置以及软件动作监视方法,除进行轻量的监视的第1解析部、进行重量的监视的第2解析部外,还能够进行使第2解析部的一部分发挥作用的中量的监视,故可以减轻相应监视对象动作的开销。
<其他实施方式>
本发明虽然通过上述的实施方式进行了叙述,但不能理解成形成该公开的一部分的论述以及附图是限制本发明的。显然本行业者可以从该公开阐明各种代替实施方式、实施例以及运用技术。
例如,在图9及图11说明了根据第2解析部322的解析结果进行策略信息的管理(S205、S309)、存取控制(S206、S310)、进程管理(S207、S311),但这些不一定是按照附图所示的顺序进行,该顺序根据状况可前后变动。
另外,说明了可以将第1解析部321和第2解析部322作为模块包含在一个CPU中,但也可以分别包含在不同的CPU,做成不同的装置。此时,用多个装置用总线等进行连接。
Claims (11)
1.一种软件动作监视装置,其特征在于,
该软件动作监视装置,监视执行中的软件的动作;
包括:
策略信息储存单元,其储存挑选软件的监视对象动作和监视对象外动作的策略信息;
执行历史记录单元,其记录软件的执行历史;
第1解析单元,其根据所述策略信息,由所述执行中的软件的动作检测监视对象动作;和
第2解析单元,其对于由所述第1解析单元检测出的动作,解析记录在所述历史记录单元的执行历史,判断有无背离软件的正常动作。
2.根据权利要求1所述的软件动作监视装置,其特征在于,
作为所述策略信息,设定对系统资源的存取规则,该存取规则为所述软件的监视对象动作或监视对象外动作。
3.根据权利要求2所述的软件动作监视装置,其特征在于,所述系统资源就是系统调用。
4.根据权利要求1所述的软件动作监视装置,其特征在于,
还具有在所述软件的执行中变更所述策略信息的策略信息管理单元。
5.根据权利要求1所述的软件动作监视装置,其特征在于,
还具有记录所述执行中的软件的动作历史的动作历史记录单元;
所述第1解析单元,根据已记录在所述动作历史记录单元的动作历史和所述策略信息,由所述执行中的软件的动作检测监视对象动作。
6.根据权利要求1所述的软件动作监视装置,其特征在于,
还具有储存表示软件的正常动作的动作模型的动作模型储存部;
所述第2解析单元,通过判断已记录在所述执行历史记录单元的执行历史是否被所述动作模型受理,来判断有无背离软件的正常动作。
7.根据权利要求6所述的软件动作监视装置,其特征在于,
所述执行历史记录单元,记录软件对操作系统生成的系统调用;
所述动作模型包罗了在软件的正常动作中生成的系统调用的发生模式。
8.根据权利要求6所述的软件动作监视装置,其特征在于,
所述执行历史记录单元记录软件对操作系统生成的系统调用的引数;
所述动作模型包罗了在软件的正常动作中生成的系统调用引数的发生模式。
9.根据权利要求6所述的软件动作监视装置,其特征在于,
所述执行历史记录单元记录软件在调用函数时利用的调用栈的内容;
所述动作模型包罗了在软件的正常动作中生成的调用栈的内容的发生模式。
10.根据权利要求1所述的软件动作监视装置,其特征在于,
所述第1解析单元,包括监视对系统资源的存取的资源存取监视部和监视软件对操作系统生成的系统调用的系统调用监视部;
所述第2解析单元,根据所述资源存取监视部和所述系统调用监视部的监视结果,利用解析所述系统调用的发生模式的系统调用解析部、解析所述系统调用的引数的引数解析部,和解析软件在函数调用中利用的调用栈的状态的发生模式的栈解析部的一部分或全部,来进行解析。
11.一种软件动作监视方法,其特征在于,
软件动作监视方法,监视执行中的软件的动作;
包括以下步骤:
蓄积挑选软件的监视对象动作和监视对象外动作的策略信息的步骤;
记录软件的执行历史的步骤;
根据所述策略信息,由所述执行中的软件的动作检测监视对象动作的步骤;和
对通过所述检测的步骤检测出的动作,解析在所述记录的步骤中已记录的执行历史,来判断有无背离软件的正常动作的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004235433 | 2004-08-12 | ||
| JP2004235433A JP2006053788A (ja) | 2004-08-12 | 2004-08-12 | ソフトウェア動作監視装置及びソフトウェア動作監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1734389A true CN1734389A (zh) | 2006-02-15 |
| CN100356288C CN100356288C (zh) | 2007-12-19 |
Family
ID=35448164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100901973A Expired - Fee Related CN100356288C (zh) | 2004-08-12 | 2005-08-11 | 软件动作监视装置以及软件动作监视方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20060101413A1 (zh) |
| EP (1) | EP1628222A3 (zh) |
| JP (1) | JP2006053788A (zh) |
| CN (1) | CN100356288C (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101685418A (zh) * | 2008-05-26 | 2010-03-31 | 新奥特(北京)视频技术有限公司 | 一种历史记录的调用方法 |
| CN102508768A (zh) * | 2011-09-30 | 2012-06-20 | 奇智软件(北京)有限公司 | 应用程序监控方法及装置 |
| CN102810143A (zh) * | 2012-04-28 | 2012-12-05 | 天津大学 | 基于Android平台手机应用程序的安全检测系统及方法 |
| CN103336685A (zh) * | 2013-05-28 | 2013-10-02 | 中国联合网络通信集团有限公司 | 自助服务终端的监控方法及装置 |
| CN107077563A (zh) * | 2014-11-14 | 2017-08-18 | 三菱电机株式会社 | 信息处理装置、信息处理方法以及程序 |
Families Citing this family (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7457671B2 (en) * | 2004-09-30 | 2008-11-25 | Rockwell Automation Technologies, Inc. | Systems and methods that facilitate management of add-on instruction generation, selection, and/or monitoring during execution |
| JP4754922B2 (ja) | 2005-09-30 | 2011-08-24 | 富士通株式会社 | ワーム感染装置の検出装置 |
| US7685638B1 (en) * | 2005-12-13 | 2010-03-23 | Symantec Corporation | Dynamic replacement of system call tables |
| US7913092B1 (en) * | 2005-12-29 | 2011-03-22 | At&T Intellectual Property Ii, L.P. | System and method for enforcing application security policies using authenticated system calls |
| JP2007265089A (ja) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | ソフトウェア保守支援プログラム,処理方法および装置 |
| JP4849941B2 (ja) * | 2006-04-12 | 2012-01-11 | 株式会社エヌ・ティ・ティ・ドコモ | ソフトウェア動作モデル化装置 |
| JP5090661B2 (ja) * | 2006-04-12 | 2012-12-05 | 株式会社エヌ・ティ・ティ・ドコモ | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| US8272048B2 (en) * | 2006-08-04 | 2012-09-18 | Apple Inc. | Restriction of program process capabilities |
| JP4288292B2 (ja) * | 2006-10-31 | 2009-07-01 | 株式会社エヌ・ティ・ティ・ドコモ | オペレーティングシステム監視設定情報生成装置及びオペレーティングシステム監視装置 |
| KR100843701B1 (ko) * | 2006-11-07 | 2008-07-04 | 소프트캠프(주) | 콜 스택에 기록된 정보를 이용한 에이피아이 확인방법 |
| JP2008134705A (ja) * | 2006-11-27 | 2008-06-12 | Hitachi Ltd | データ処理方法及びデータ分析装置 |
| JP4496205B2 (ja) * | 2006-12-18 | 2010-07-07 | 日立オートモティブシステムズ株式会社 | 制御用マイクロコンピュータの検証装置および車載用制御装置 |
| JP4544246B2 (ja) | 2006-12-28 | 2010-09-15 | ソニー株式会社 | 制御装置および方法、プログラム、並びに記録媒体 |
| US8578347B1 (en) * | 2006-12-28 | 2013-11-05 | The Mathworks, Inc. | Determining stack usage of generated code from a model |
| JP5081480B2 (ja) * | 2007-03-28 | 2012-11-28 | 株式会社エヌ・ティ・ティ・ドコモ | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
| CN101350054B (zh) * | 2007-10-15 | 2011-05-25 | 北京瑞星信息技术有限公司 | 计算机有害程序自动防护方法及装置 |
| US8719830B2 (en) * | 2007-12-10 | 2014-05-06 | Hewlett-Packard Development Company, L.P. | System and method for allowing executing application in compartment that allow access to resources |
| JP5056396B2 (ja) * | 2007-12-19 | 2012-10-24 | 株式会社豊田中央研究所 | ソフトウェア動作監視装置、プログラム |
| US8572674B2 (en) | 2008-08-13 | 2013-10-29 | International Business Machines Corporation | System, method, and apparatus for modular, string-sensitive, access rights analysis with demand-driven precision |
| GB0816556D0 (en) * | 2008-09-10 | 2008-10-15 | Univ Napier | Improvements in or relating to digital forensics |
| DE112009002738T5 (de) * | 2008-11-19 | 2012-10-31 | Secure Works, Inc. | System und Verfahren zur Laufzeitangriffsprävention |
| US20100125830A1 (en) * | 2008-11-20 | 2010-05-20 | Lockheed Martin Corporation | Method of Assuring Execution for Safety Computer Code |
| JP5332006B2 (ja) * | 2009-08-07 | 2013-11-06 | 株式会社日立製作所 | 計算機システム、プログラム及びシミュレーションに使用する計算資源を割り当てる方法 |
| CN102486731B (zh) * | 2009-11-30 | 2015-12-09 | 国际商业机器公司 | 增强软件的软件调用栈的可视化的方法、设备和系统 |
| US8719804B2 (en) * | 2010-05-05 | 2014-05-06 | Microsoft Corporation | Managing runtime execution of applications on cloud computing systems |
| JP2011258019A (ja) * | 2010-06-09 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 異常検知装置、異常検知プログラムおよび異常検知方法 |
| JP5447668B2 (ja) * | 2010-06-30 | 2014-03-19 | 富士通株式会社 | 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法 |
| US8429744B1 (en) * | 2010-12-15 | 2013-04-23 | Symantec Corporation | Systems and methods for detecting malformed arguments in a function by hooking a generic object |
| US9189308B2 (en) | 2010-12-27 | 2015-11-17 | Microsoft Technology Licensing, Llc | Predicting, diagnosing, and recovering from application failures based on resource access patterns |
| AU2011361577B2 (en) | 2011-03-09 | 2017-04-20 | Irdeto B.V. | Method and system for dynamic platform security in a device operating system |
| US8555385B1 (en) * | 2011-03-14 | 2013-10-08 | Symantec Corporation | Techniques for behavior based malware analysis |
| US9158919B2 (en) * | 2011-06-13 | 2015-10-13 | Microsoft Technology Licensing, Llc | Threat level assessment of applications |
| US8850408B2 (en) * | 2011-08-10 | 2014-09-30 | Nintendo Of America, Inc. | Methods and/or systems for determining a series of return callstacks |
| US8850406B1 (en) * | 2012-04-05 | 2014-09-30 | Google Inc. | Detecting anomalous application access to contact information |
| US8984331B2 (en) * | 2012-09-06 | 2015-03-17 | Triumfant, Inc. | Systems and methods for automated memory and thread execution anomaly detection in a computer network |
| CN104641353B (zh) | 2012-09-21 | 2018-03-06 | 惠普发展公司,有限责任合伙企业 | 在连续部署的情况下可用的监视器 |
| US10409980B2 (en) * | 2012-12-27 | 2019-09-10 | Crowdstrike, Inc. | Real-time representation of security-relevant system state |
| US10089582B2 (en) | 2013-01-02 | 2018-10-02 | Qualcomm Incorporated | Using normalized confidence values for classifying mobile device behaviors |
| CN105074718A (zh) * | 2013-02-15 | 2015-11-18 | 高通股份有限公司 | 具有多个分析仪模型提供商的移动设备中的在线行为分析引擎 |
| CN104969191B (zh) * | 2013-03-13 | 2019-02-26 | 英特尔公司 | 针对性能和正确性使多线程软件程序的已记录执行可视化 |
| US9129063B2 (en) * | 2013-05-14 | 2015-09-08 | Oracle International Corporation | Visualizing a computer program execution history |
| JP6390208B2 (ja) * | 2014-06-27 | 2018-09-19 | 富士通株式会社 | 監視対象プログラムの選択方法、監視対象選択プログラム及び監視対象選択装置 |
| DE102014213752A1 (de) * | 2014-07-15 | 2016-01-21 | Siemens Aktiengesellschaft | Rechenvorrichtung und Verfahren zum Erkennen von Angriffen auf ein technisches System anhand von Ereignissen einer Ereignisfolge |
| US20170206351A1 (en) * | 2014-07-22 | 2017-07-20 | Viasat, Inc. | Mobile device security monitoring and notification |
| EP3200115B1 (en) | 2014-10-14 | 2019-01-09 | Nippon Telegraph and Telephone Corporation | Specification device, specification method, and specification program |
| US9954980B2 (en) * | 2014-11-25 | 2018-04-24 | enSilo Ltd. | Systems and methods for malicious code detection accuracy assurance |
| JP6276207B2 (ja) * | 2015-02-10 | 2018-02-07 | 日本電信電話株式会社 | 検出システム、検出方法および検出プログラム |
| GB201504612D0 (en) | 2015-03-18 | 2015-05-06 | Inquisitive Systems Ltd | Forensic analysis |
| US9953158B1 (en) * | 2015-04-21 | 2018-04-24 | Symantec Corporation | Systems and methods for enforcing secure software execution |
| KR102398014B1 (ko) * | 2015-08-21 | 2022-05-16 | 주식회사 케이티 | 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템 |
| US9928365B1 (en) * | 2016-10-31 | 2018-03-27 | International Business Machines Corporation | Automated mechanism to obtain detailed forensic analysis of file access |
| US10650156B2 (en) | 2017-04-26 | 2020-05-12 | International Business Machines Corporation | Environmental security controls to prevent unauthorized access to files, programs, and objects |
| GB201708671D0 (en) | 2017-05-31 | 2017-07-12 | Inquisitive Systems Ltd | Forensic analysis |
| KR102046550B1 (ko) * | 2017-10-13 | 2019-11-19 | 주식회사 안랩 | 후킹 탐지 장치 및 방법 |
| KR102408348B1 (ko) * | 2017-12-21 | 2022-06-14 | 삼성전자주식회사 | 단말 장치 및 단말 장치의 제어 방법 |
| KR102275635B1 (ko) * | 2020-06-24 | 2021-07-08 | 한양대학교 에리카산학협력단 | 함수 호출 패턴 분석을 통한 이상 검출 장치 및 방법 |
| US11741220B2 (en) | 2020-08-14 | 2023-08-29 | Nec Corporation | Mining and integrating program-level context information into low-level system provenance graphs |
| KR102370848B1 (ko) * | 2020-11-17 | 2022-03-07 | 주식회사 시큐브 | 분할된 보안 모듈을 구비하는 컴퓨터 장치 및 보안 모듈 업데이트 방법 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5551037A (en) * | 1993-11-19 | 1996-08-27 | Lucent Technologies Inc. | Apparatus and methods for visualizing operation of a system of processes |
| US6775780B1 (en) * | 2000-03-16 | 2004-08-10 | Networks Associates Technology, Inc. | Detecting malicious software by analyzing patterns of system calls generated during emulation |
| JP4177957B2 (ja) * | 2000-03-22 | 2008-11-05 | 日立オムロンターミナルソリューションズ株式会社 | アクセス制御システム |
| US7035850B2 (en) * | 2000-03-22 | 2006-04-25 | Hitachi, Ltd. | Access control system |
| US7024694B1 (en) * | 2000-06-13 | 2006-04-04 | Mcafee, Inc. | Method and apparatus for content-based instrusion detection using an agile kernel-based auditor |
| JP3744361B2 (ja) * | 2001-02-16 | 2006-02-08 | 株式会社日立製作所 | セキュリティ管理システム |
| DE10124767A1 (de) * | 2001-05-21 | 2002-12-12 | Infineon Technologies Ag | Anordnung zur Abarbeitung von Datenverarbeitungsprozessen sowie Verfahren zur Ermittlung der optimalen Zugriffsstrategie |
| US7290266B2 (en) * | 2001-06-14 | 2007-10-30 | Cisco Technology, Inc. | Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy |
| JP2003202929A (ja) * | 2002-01-08 | 2003-07-18 | Ntt Docomo Inc | 配信方法および配信システム |
| JP2003233521A (ja) * | 2002-02-13 | 2003-08-22 | Hitachi Ltd | ファイル保護システム |
| JP2003242123A (ja) * | 2002-02-21 | 2003-08-29 | Hitachi Ltd | 合議型アクセス制御方法 |
| US7228426B2 (en) * | 2002-04-03 | 2007-06-05 | Microsoft Corporation | Integrity ordainment and ascertainment of computer-executable instructions with consideration for execution context |
| US7555777B2 (en) * | 2004-01-13 | 2009-06-30 | International Business Machines Corporation | Preventing attacks in a data processing system |
| US7681226B2 (en) * | 2005-01-28 | 2010-03-16 | Cisco Technology, Inc. | Methods and apparatus providing security for multiple operational states of a computerized device |
-
2004
- 2004-08-12 JP JP2004235433A patent/JP2006053788A/ja active Pending
-
2005
- 2005-08-11 CN CNB2005100901973A patent/CN100356288C/zh not_active Expired - Fee Related
- 2005-08-11 EP EP05017502A patent/EP1628222A3/en not_active Withdrawn
- 2005-08-11 US US11/201,257 patent/US20060101413A1/en not_active Abandoned
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101685418A (zh) * | 2008-05-26 | 2010-03-31 | 新奥特(北京)视频技术有限公司 | 一种历史记录的调用方法 |
| CN102508768A (zh) * | 2011-09-30 | 2012-06-20 | 奇智软件(北京)有限公司 | 应用程序监控方法及装置 |
| CN102508768B (zh) * | 2011-09-30 | 2015-03-25 | 奇智软件(北京)有限公司 | 应用程序监控方法及装置 |
| CN102810143A (zh) * | 2012-04-28 | 2012-12-05 | 天津大学 | 基于Android平台手机应用程序的安全检测系统及方法 |
| CN102810143B (zh) * | 2012-04-28 | 2015-01-14 | 天津大学 | 基于Android平台手机应用程序的安全检测系统及方法 |
| CN103336685A (zh) * | 2013-05-28 | 2013-10-02 | 中国联合网络通信集团有限公司 | 自助服务终端的监控方法及装置 |
| CN103336685B (zh) * | 2013-05-28 | 2016-04-27 | 中国联合网络通信集团有限公司 | 自助服务终端的监控方法及装置 |
| CN107077563A (zh) * | 2014-11-14 | 2017-08-18 | 三菱电机株式会社 | 信息处理装置、信息处理方法以及程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100356288C (zh) | 2007-12-19 |
| US20060101413A1 (en) | 2006-05-11 |
| EP1628222A3 (en) | 2009-09-30 |
| JP2006053788A (ja) | 2006-02-23 |
| EP1628222A2 (en) | 2006-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1734389A (zh) | 软件动作监视装置以及软件动作监视方法 | |
| Bailey et al. | Automated classification and analysis of internet malware | |
| CN101517570B (zh) | 分析网络内容的系统和方法 | |
| CN102160048B (zh) | 收集和分析恶意软件数据 | |
| EP2447877B1 (en) | System and method for detection of malware and management of malware-related information | |
| US8572740B2 (en) | Method and system for detection of previously unknown malware | |
| US8356354B2 (en) | Silent-mode signature testing in anti-malware processing | |
| EP2469445B1 (en) | Optimization of anti-malware processing by automated correction of detection rules | |
| CN1295904C (zh) | 计算机安全和管理系统 | |
| CN1647483A (zh) | 检测和反击企业网络中的恶意代码 | |
| RU2487405C1 (ru) | Система и способ для исправления антивирусных записей | |
| CN101826139B (zh) | 一种非可执行文件挂马检测方法及其装置 | |
| US11882140B1 (en) | System and method for detecting repetitive cybersecurity attacks constituting an email campaign | |
| EP2106085A1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| US20120317644A1 (en) | Applying Antimalware Logic without Revealing the Antimalware Logic to Adversaries | |
| CN1771709A (zh) | 网络攻击特征标记的产生 | |
| US8719942B2 (en) | System and method for prioritizing computers based on anti-malware events | |
| RU91202U1 (ru) | Система обнаружения неизвестных вредоносных программ | |
| CN1550950A (zh) | 防护计算机系统使之免受恶意软件破坏的方法和系统 | |
| CN1773417A (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| CN101052934A (zh) | 用于检测网络上未经授权的扫描的方法、系统和计算机程序 | |
| CN1728706A (zh) | 过滤通信以防止恶意利用软件脆弱性通信的方法和系统 | |
| EP1880291A2 (en) | Automated client device management | |
| CN1731310A (zh) | Windows环境下的主机入侵检测方法 | |
| RU2750627C2 (ru) | Способ поиска образцов вредоносных сообщений |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20071219 Termination date: 20110811 |