JP2005128933A - 情報処理装置、不正侵入検出方法及び不正侵入検出プログラム - Google Patents

情報処理装置、不正侵入検出方法及び不正侵入検出プログラム Download PDF

Info

Publication number
JP2005128933A
JP2005128933A JP2003365995A JP2003365995A JP2005128933A JP 2005128933 A JP2005128933 A JP 2005128933A JP 2003365995 A JP2003365995 A JP 2003365995A JP 2003365995 A JP2003365995 A JP 2003365995A JP 2005128933 A JP2005128933 A JP 2005128933A
Authority
JP
Japan
Prior art keywords
program
information
detection
processing apparatus
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003365995A
Other languages
English (en)
Inventor
Fumimitsu Miura
史光 三浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2003365995A priority Critical patent/JP2005128933A/ja
Publication of JP2005128933A publication Critical patent/JP2005128933A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 通信データの監視では検出不能な不正侵入をより効果的に防止する。
【解決手段】 情報処理装置10は、通信部11と、被侵入プログラム17と、被侵入プログラム17からアクセスが可能なシェル12と、シェル12への入力手段、シェル12からの出力手段及びシェル12を起動したプログラムに関する情報を含む不正侵入検出用情報をシェル12の起動時に取得する不正侵入検出用情報取得部13と、不正侵入検出用情報と不正侵入の可能性との関係を規定する検出ルールに基づき、不正侵入検出用情報取得部13により取得される不正侵入検出用情報から、情報処理装置10に不正侵入のおそれがあることを検出する検出部14と、不正侵入のおそれがあることが検出された場合に、シェル12の操作を受け入れ禁止とする制御等を行う制御部15とを含んで構成される。
【選択図】 図1

Description

本発明は、他のプログラムから起動可能なプログラムを備える情報処理装置、当該情報処理装置における不正侵入検出方法、及び不正侵入検出プログラムに関する。
インターネット等の通信システムにおいては、不正侵入による遠隔操作、データの破壊及び改ざん及び窃取、並びに計算機資源の不当な利用等の攻撃の脅威が常に存在する。
上記の攻撃の手段として多く用いられているものに、バッファオーバーフローと呼ばれるセキュリティホールを利用したものがある。即ち、プログラムが予期しないデータを扱うときに、メモリ上のプログラムが壊れたり、メモリ上のデータ構造が破壊されるというプログラムの欠陥を利用し外部から攻撃プログラムを侵入させ、侵入させたプログラムに制御を移すことによって攻撃者の意図する動作を行わせるという攻撃である。このように、攻撃プログラムの侵入を受けるプログラムを以下「被侵入プログラム」と呼ぶ。
このような攻撃においては、被侵入プログラムの欠陥を突いて攻撃プログラムを受け入れさせる第1段階と、第1段階で受け入れさせた攻撃プログラムに制御を移す第2段階とがある。
上記第1段階においては、何度もくり返し試行することが必要な場合が多いため、送り込む攻撃プログラムは小さい方が被攻撃装置に送り込むのに適している。その一方、上記第2段階においては、様々な機能を持たせるほど多様な攻撃が可能となるため、送り込む攻撃プログラムは大きい方が攻撃に適している。
上記のジレンマを解決する手段として、被攻撃装置に既に備わっているプログラムを上記攻撃の手段として利用するものがある。既に備わっているプログラムを上記攻撃の手段として利用すれば、様々な機能を持たせた攻撃プログラムを送り込む必要がなくなる。上記攻撃の手段として利用されるプログラム(以下、「被利用プログラム」と呼ぶ)としては、様々な指示を受け入れて実行する能力があるものが攻撃者にとって都合がよい。上記の性質を有するプログラムとして、例えば、プラットフォームに通常は少数備わっているシェルがある。このようなシェルの例としては、UNIX(商標)においては/bin/sh、Microsoft Windows(登録商標)においてはcmd.exeが挙げられる。
被攻撃装置に既に備わっている被利用プログラムを攻撃の手段として利用するには以下の手順をとる。それには、まず、被利用プログラムにアクセス可能な被侵入プログラムが被攻撃装置に備わっている必要がある。但し、当該アクセスは、通常の使用では行われないような、当該被侵入プログラムの設計者が意図しないものである。
攻撃者は、攻撃の前段階として、上記の被侵入プログラムの欠陥を突き、当該被侵入プログラムの制御を奪取する。続いて、制御を奪取した被侵入プログラムから、被利用プログラムにアクセスし、攻撃を行うよう操作を行う。上記の方法により、攻撃するものの例として、MSBlast(コンピュータウィルス)がある。
従来、上記のような攻撃を検出する技術として、IDS(Intrusion Detection System)がある。IDSは、既知の不正侵入に関する通信データをデータベース化し保持しておき、情報処理装置が受信する通信データを監視し、当該データと不正侵入のデータとを比較することで、不正侵入を検出する(下記の特許文献1参照)。
特開2001−34553号公報
しかしながら、従来技術では、通信データに関して既知の不正侵入行為についてしか不正侵入を検出することができないという問題点があった。また、不正侵入行為に該当する通信パターンを随時アップデートしなければならないという点で、不正侵入の防止に多大な労力が必要となっていた。
本発明は、上記課題を解決するためになされたものであり、通信データの監視では検出不能な不正侵入をより効果的に防止することができる情報処理装置、不正侵入検出方法及び不正侵入検出プログラムを提供することを目的とする。
上記目的を達成するために、本発明に係る情報処理装置は、他のプログラムから起動可能なプログラムを備える情報処理装置であって、上記他のプログラムが上記プログラムを起動したときに、上記プログラムへの入力手段、上記プログラムからの出力手段、及び上記プログラムを起動した他のプログラムのうち少なくとも1つに関する情報を含む不正侵入検出用情報を取得する不正侵入検出用情報取得手段と、上記プログラムへの入力手段、上記プログラムからの出力手段、及び上記プログラムを起動した他のプログラムに関する情報と不正侵入の可能性との関係を規定する検出ルールに基づき、上記不正侵入検出用情報取得手段により取得される不正侵入検出用情報から、上記情報処理装置に不正侵入のおそれがあることを検出する検出手段とを備えることを特徴とする。
なお、上記不正侵入検出用情報取得手段及び検出手段は、上記プログラムと一体になっていてもよいし、別構成になっていてもよい。また、本発明の構成要素である情報処理装置に備えられるプログラムは、上述の被利用プログラムとなりえるプログラムとする。被利用プログラムとなりえるプログラムは、様々な指示を受け入れて実行する能力がある、例えばシェルなどの特定のプログラムである。また、他のプログラムは、上述の被侵入プログラムを想定したものである。
本発明に係る情報処理装置では、上記プログラムの起動時に、不正侵入検出用情報取得手段が、当該プログラムへの入力手段、当該プログラムからの出力手段及び当該プログラムを起動した他のプログラムに関する情報を含む不正侵入検出用情報を取得する。
続いて、検出手段が、上記プログラムへの入力手段、上記プログラムからの出力手段、及び上記プログラムを起動した他のプログラムに関する情報と不正侵入の可能性との関係を規定する検出ルールに基づき、上記不正侵入検出用情報取得手段により取得された不正侵入検出用情報から、上記情報処理装置に不正侵入のおそれがあることを検出する。なお、上記検出ルールは、検出手段が特定のファイルを参照すること、あるいは別のプログラムに問い合わせること等により取得される。また、上記検出ルールは、上記プログラムに内蔵されていてもよい。
上記により、本発明に係る情報処理装置は、特定のプログラムの起動に対してのみ監視を行い、不正侵入のおそれがあることを検出するので、通信データの監視では検出不能な不正侵入をより効果的に防止することができる。更に、当該検出に用いるルールは特定のプログラムの起動に関するものであり、侵入のパターンのようにデータの中身に関するものではないため、随時のアップデートを必要せず、その点において、より効率的である。
また、より具体的には、本発明に係る情報処理装置は、他のプログラムから起動可能なプログラムを備える情報処理装置であって、上記他のプログラムが上記プログラムを起動したときに、上記プログラムへの入力手段、及び上記プログラムからの出力手段のうち少なくとも1つに関する情報を含む不正侵入検出用情報を取得する不正侵入検出用情報取得手段と、上記不正侵入検出用情報取得手段により取得される不正侵入検出用情報から、上記入力手段又は上記出力手段が特定の通信方法を用いているか否かを判断することで、上記情報処理装置に不正侵入のおそれがあることを検出する検出手段とを備える構成とすることが望ましい。
上記プログラムが起動された時、入力手段又は出力手段が特定の通信方法を用いていることは極めてまれであるので、入力手段又は出力手段が特定の通信方法を用いている場合、当該起動による不正侵入のおそれがあると判断することができる。したがって、上記により、本発明に係る情報処理装置は、特定のプログラムの起動に対してのみ監視を行い、上記の特定の通信方法を用いた不正侵入のおそれがあることを検出するので、通信データの監視では検出不能な不正侵入をより効果的に防止することができる。なお、上記の特定の通信方法を用いている例として、遠隔の装置との通信に用いるTCPを用いている場合などが考えられる。
また、本発明の情報処理装置において、上記検出手段は、上記情報処理装置に不正侵入のおそれがあることを検出した場合であっても、予め定められた例外ルールに基づき不正侵入のおそれがないとの判断をさらに行う構成とすることが望ましい。
これにより、上記のプログラムを例外的に運用している場合、当該例外的運用を不正侵入のおそれとして検出することがないので、より適切な情報処理装置の運用を図ることができる。
また、本発明の情報処理装置において、上記検出手段により、上記情報処理装置に不正侵入のおそれがあることが検出された場合に、上記プログラムの操作を受け入れ禁止とする制御、上記プログラムの動作停止の制御、警告の発信及び上記プログラムの操作の記録のうち少なくとも1つを行う制御手段をさらに備えた構成とすることが望ましい。
これにより、本発明に係る情報処理装置は、不正侵入のおそれがあることを検知した後、当該不正侵入に対し、上記プログラムの操作を受け入れ禁止とする等の対処を取ることができる。
ところで、本発明は、上記のように情報処理装置の発明として記述できる他に、以下のように不正侵入検出方法及び不正侵入検出プログラムの発明としても記述することができる。これらはカテゴリーが異なるだけで、実質的に同一の発明であり、同様の作用・効果を奏する。
即ち、本発明に係る不正侵入検出方法は、他のプログラムから起動可能なプログラムを備える情報処理装置における不正侵入検出方法であって、上記他のプログラムが上記プログラムを起動したときに、上記プログラムへの入力手段、上記プログラムからの出力手段、及び上記プログラムを起動した他のプログラムのうち少なくとも1つに関する情報を含む不正侵入検出用情報を取得する不正侵入検出用情報取得ステップと、上記プログラムへの入力手段、上記プログラムからの出力手段、及び上記プログラムを起動した他のプログラムに関する情報と不正侵入の可能性との関係を規定する検出ルールに基づき、上記不正侵入検出用情報取得ステップにより取得される不正侵入検出用情報から、上記情報処理装置に不正侵入のおそれがあることを検出する検出ステップとを備えたことを特徴とする。
また、本発明に係る不正侵入検出プログラムは、他のプログラムから起動可能なプログラムを備える情報処理装置に、上記他のプログラムが上記プログラムを起動したときに、上記プログラムへの入力手段、上記プログラムからの出力手段、及び上記プログラムを起動した他のプログラムのうち少なくとも1つに関する情報を含む不正侵入検出用情報を取得する不正侵入検出用情報取得機能と、上記プログラムへの入力手段、上記プログラムからの出力手段、及び上記プログラムを起動した他のプログラムに関する情報と不正侵入の可能性との関係を規定する検出ルールに基づき、上記不正侵入検出用情報取得機能により取得される不正侵入検出用情報から、前記情報処理装置に不正侵入のおそれがあることを検出する検出機能とを実現させることを特徴とする。
上記のように、本発明によれば、特定のプログラムの起動に対してのみ監視を行い、不正侵入のおそれがあることを検出するので、通信データの監視では検出不能な不正侵入をより効果的に防止することができる。更に、当該検出に用いるルールは特定のプログラムの起動に関するものであり、侵入のパターンのようにデータの中身に関するものではないため、随時のアップデートを必要せず、その点において、より効率的である。
以下、図面を参照しながら本発明に係る実施形態について説明する。
図1は、本実施形態における、情報処理装置10、ネットワーク20及び攻撃主体30を含む全体構成図を示す。図1に示すように、情報処理装置10は、ネットワーク20との通信を行う通信部11と、被侵入プログラム17と、被侵入プログラム17からアクセスが可能なシェル12と、シェル12への入力手段、シェル12からの出力手段及びシェル12を起動したプログラムに関する情報を含む不正侵入検出用情報をシェル12の起動時に取得する不正侵入検出用情報取得部13と、シェル12への入力手段、シェル12からの出力手段、及びシェル12を起動した他のプログラムに関する情報と不正侵入の可能性との関係を規定する検出ルールに基づき、不正侵入検出用情報取得部13により取得される不正侵入検出用情報から、情報処理装置10に不正侵入のおそれがあることを検出する検出部14と、検出部14により、情報処理装置10に不正侵入のおそれがあることが検出された場合に、シェル12の操作を受け入れ禁止とする制御、シェル12の動作停止の制御、警告の発信及びシェル12の操作の記録を行う制御部15と、CPU及びメモリ等から成り情報処理装置10の機能全体を司る情報処理機能部16とを含んで構成される。ネットワーク20は、情報処理装置10の通信対象であり、例えばインターネット等が相当する。攻撃主体30は、ネットワーク20を介し、被侵入プログラム17及びシェル12を利用して、情報処理装置10に不正侵入をしようとする装置である。ここで、シェル12は、上述の被利用プログラムであり、発明の構成要素の「他のプログラムから起動可能なプログラム」に相当する。また、通信部11は、自装置10内部の他のモジュールとの通信を行うこともあり、その結果、内部に存在する攻撃主体から攻撃を受けることもある。本情報処理装置10は、このような攻撃にも対応するものである。
シェル12への入力手段及び出力手段に関する情報としては、UNIXプログラムで使用される「getpeername()」等のAPIを用いることにより取得できるソケットの情報等が相当する。また、シェル12を起動したプログラムに関する情報としては、UNIXプログラムで使用される「getppid()」等のAPIを用いることにより取得できる親プロセスのプロセスID、同じくUNIXで使用される管理プログラム「ps」やprocファイルシステムを用いることにより取得できるプログラム名等が相当する。
検出部14で用いられる検出ルールは、不正侵入検出用情報取得部13により取得されうる不正侵入検出用情報に不正侵入とすべきか否かを示す情報を対応させファイルで保持しておき、検出部14が検出の際に当該ファイルを参照するものとする。但し、上記検出ルールの取得はこれに限定されるものではなく、別のプログラムに問い合わせて取得する方法によるもの等でもよく、また、シェル12自体に上記検出ルールが内蔵されていてもよい。
また、検出部14で用いられる検出ルールの、不正侵入とすべき情報の例として「入力手段又は出力手段が、遠隔の装置との通信に用いるTCPを使用している」、「入力手段又は出力手段がunix domain socket又はnamed pipeを用いている」、「シェル12に通常アクセスするプログラム以外のプログラムから起動された」等が挙げられる。
以下、図2を用いて、本実施形態における情報処理装置10により実行される処理を説明する。
シェル12が起動されることにより処理が開始される。まず、シェル12が起動されると、不正侵入検出用情報取得部13が、シェル12への入力手段、シェル12からの出力手段及びシェル12を起動したプログラムに関する情報を取得する(S01)。
続いて、検出部14が、上記取得されたシェル12への入力手段に関する情報を検出ルール中の不正侵入とすべき情報と照合することにより、不正侵入のおそれがあることを検出する(S02)。ここで、当該起動は攻撃主体30によるものであるとする。即ち、攻撃主体30が、被侵入プログラム17の欠陥を突き被侵入プログラム17の制御を奪取し、被侵入プログラム17を操作しシェル12を起動したとする。そのような場合は、検出部14が、「当該起動の際のシェル12への入力手段は遠隔の装置との通信に用いるTCPを使用している」と判断することができ、上記の検出ルールに基づき、不正侵入のおそれがあることを検出することができる。
上記のように不正侵入のおそれがあることが検出されると、制御部15が、シェル12の操作を受け入れ禁止とする制御、シェル12の動作停止の制御、警告の発信及びシェル12の操作の記録を行う(S05)。
ここで、例えば、シェル12に、情報処理装置10に接続されている端末からの指示等により、入力がなされていた場合等は上記の検出ルールに規定されておらず、上記の不正侵入のおそれがあることは検出されない(ここで、上記端末は物理端末と論理端末とがある)。その場合、続いて、検出部14が、不正侵入検出用情報取得部13により取得されたシェル12からの出力手段に関する情報を検出ルール中の不正侵入である情報と照合することにより、不正侵入のおそれがあることを検出する(S03)。例えば、当該出力手段に関する情報から、遠隔の装置との通信に用いるTCPを使用していると判断した場合、不正侵入のおそれがあることを検出する。
上記と同様に、その場合は、制御部15がシェル12の操作を受け入れ禁止とする制御等を行う(S05)。
ここで、例えば、シェル12から、情報処理装置10に接続されている端末へ動作結果の出力がなされていた場合等は上記の検出ルールに規定されておらず、上記の不正侵入のおそれがあることは検出されない。その場合、続いて、検出部14が不正侵入検出用情報取得部13により取得されたシェル12を起動したプログラムに関する情報を検出ルール中の不正侵入である情報と照合することにより、不正侵入のおそれがあることを検出する(S04)。例えば、シェル12を起動したプログラムに関する情報から、シェル12に通常アクセスするプログラム以外のプログラムから起動されたと判断した場合、不正侵入のおそれがあることを検出する。
上記と同様に、その場合は、制御部15がシェル12の操作を受け入れ禁止とする制御等を行う(S05)。
ここで、不正侵入のおそれが検出されない場合には、シェル12は通常の処理、即ちシェル12が正常に起動する(S06)。
上記により、本実施形態によれば、特定のプログラムの起動に対してのみ監視を行い、不正侵入のおそれがあることを検出するので、通信データの監視では検出不能な不正侵入をより効果的に防止することができる。更に、当該検出に用いるルールは特定のプログラムの起動に関するものであり、侵入のパターンのようにデータの中身に関するものではないため、随時のアップデートを必要せず、その点において、より効率的である。
なお、特定の通信のポート番号、ユーザIDでの起動は不正侵入としない等の例外ルールを設定することで、例外的運用を可能とすることができる。
また、本実施形態では、不正侵入検出用情報として、「シェル12への入力手段」、「シェル12からの出力手段」及び「シェル12を起動したプログラム」に関する情報の3つの情報全てを含むこととしているが、必ずしも3つの情報を用いて検出する必要はなく、当該情報のうち少なくとも1つの情報を用いることとしてもよい。
また、本実施形態では、不正侵入検出後に制御部15が行う制御として、「シェル12の操作を受け入れ禁止とする制御」、「シェル12の動作停止の制御」、「警告の発信」及び「シェル12の操作の記録」の4つの制御全てを行うこととしているが、必ずしも4つの制御全てを行う必要はなく、当該制御のうち少なくとも1つの制御を行うこととしてもよい。
最後に、上述した一連の処理を情報処理装置10に実行させるための不正侵入検出プログラムについて説明する。図3に示すように、不正侵入検出プログラム41は、情報処理装置10内の記録媒体40に形成されたプログラム格納領域40a内に格納されている。
不正侵入検出プログラム41は、シェル12への入力手段、シェル12からの出力手段及びシェル12を起動したプログラムに関する情報を含む不正侵入検出用情報をシェル12の起動時に取得する不正侵入検出用情報取得モジュール41aと、シェル12への入力手段、シェル12からの出力手段、及びシェル12を起動した他のプログラムに関する情報と不正侵入の可能性との関係を規定する検出ルールに基づき、不正侵入検出用情報取得部13により取得される不正侵入検出用情報から、情報処理装置10に不正侵入のおそれがあることを検出する検出モジュール41bとを備えて構成される。
不正侵入検出用情報取得モジュール41aを実行させることによって実現する機能は、情報処理装置10の有する不正侵入検出用情報取得部13の機能と同様である。また、検出モジュール41bを実行させることによって実現する機能は、情報処理装置10の有する検出部14の機能と同様である。
不正侵入検出プログラム41は、その一部若しくは全部が、通信回線等の伝送媒体を介して伝送され、他の機器により受信されて記録(インストールを含む)される構成としてもよい。
本発明の実施形態における情報処理装置、通信ネットワーク及び攻撃主体を含む全体構成図である。 情報処理装置により実行される処理を示す流れ図である。 本発明に係る不正侵入検出プログラムの構成を示す図である。
符号の説明
10…情報処理装置、11…通信部、12…シェル、13…不正侵入検出用情報取得部、14…検出部、15…制御部、16…情報処理機能部、17…被侵入プログラム、20…ネットワーク、30…攻撃主体、40…記録媒体、40a…プログラム格納領域、41…不正侵入検出プログラム、41a…不正侵入検出用情報取得モジュール、41b…検出モジュール。

Claims (6)

  1. 他のプログラムから起動可能なプログラムを備える情報処理装置であって、
    前記他のプログラムが前記プログラムを起動したときに、前記プログラムへの入力手段、前記プログラムからの出力手段、及び前記プログラムを起動した他のプログラムのうち少なくとも1つに関する情報を含む不正侵入検出用情報を取得する不正侵入検出用情報取得手段と、
    前記プログラムへの入力手段、前記プログラムからの出力手段、及び前記プログラムを起動した他のプログラムに関する情報と不正侵入の可能性との関係を規定する検出ルールに基づき、前記不正侵入検出用情報取得手段により取得される不正侵入検出用情報から、前記情報処理装置に不正侵入のおそれがあることを検出する検出手段と
    を備える情報処理装置。
  2. 他のプログラムから起動可能なプログラムを備える情報処理装置であって、
    前記他のプログラムが前記プログラムを起動したときに、前記プログラムへの入力手段、及び前記プログラムからの出力手段のうち少なくとも1つに関する情報を含む不正侵入検出用情報を取得する不正侵入検出用情報取得手段と、
    前記不正侵入検出用情報取得手段により取得される不正侵入検出用情報から、前記入力手段又は前記出力手段が特定の通信方法を用いているか否かを判断することで、前記情報処理装置に不正侵入のおそれがあることを検出する検出手段と
    を備える情報処理装置。
  3. 前記検出手段は、前記情報処理装置に不正侵入のおそれがあることを検出した場合であっても、予め定められた例外ルールに基づき不正侵入のおそれがないとの判断をさらに行う
    ことを特徴とする請求項1又は2に記載の情報処理装置。
  4. 前記検出手段により、前記情報処理装置に不正侵入のおそれがあることが検出された場合に、前記プログラムの操作を受け入れ禁止とする制御、前記プログラムの動作停止の制御、警告の発信及び前記プログラムの操作の記録のうち少なくとも1つを行う制御手段を
    さらに備えた請求項1〜3のいずれかに記載の情報処理装置。
  5. 他のプログラムから起動可能なプログラムを備える情報処理装置における不正侵入検出方法であって、
    前記他のプログラムが前記プログラムを起動したときに、前記プログラムへの入力手段、前記プログラムからの出力手段、及び前記プログラムを起動した他のプログラムのうち少なくとも1つに関する情報を含む不正侵入検出用情報を取得する不正侵入検出用情報取得ステップと、
    前記プログラムへの入力手段、前記プログラムからの出力手段、及び前記プログラムを起動した他のプログラムに関する情報と不正侵入の可能性との関係を規定する検出ルールに基づき、前記不正侵入検出用情報取得ステップにより取得される不正侵入検出用情報から、前記情報処理装置に不正侵入のおそれがあることを検出する検出ステップと
    を備えた不正侵入検出方法。
  6. 他のプログラムから起動可能なプログラムを備える情報処理装置に、
    前記他のプログラムが前記プログラムを起動したときに、前記プログラムへの入力手段、前記プログラムからの出力手段、及び前記プログラムを起動した他のプログラムのうち少なくとも1つに関する情報を含む不正侵入検出用情報を取得する不正侵入検出用情報取得機能と、
    前記プログラムへの入力手段、前記プログラムからの出力手段、及び前記プログラムを起動した他のプログラムに関する情報と不正侵入の可能性との関係を規定する検出ルールに基づき、前記不正侵入検出用情報取得機能により取得される不正侵入検出用情報から、前記情報処理装置に不正侵入のおそれがあることを検出する検出機能と
    を実現させるための不正侵入検出プログラム。
JP2003365995A 2003-10-27 2003-10-27 情報処理装置、不正侵入検出方法及び不正侵入検出プログラム Pending JP2005128933A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003365995A JP2005128933A (ja) 2003-10-27 2003-10-27 情報処理装置、不正侵入検出方法及び不正侵入検出プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003365995A JP2005128933A (ja) 2003-10-27 2003-10-27 情報処理装置、不正侵入検出方法及び不正侵入検出プログラム

Publications (1)

Publication Number Publication Date
JP2005128933A true JP2005128933A (ja) 2005-05-19

Family

ID=34644482

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003365995A Pending JP2005128933A (ja) 2003-10-27 2003-10-27 情報処理装置、不正侵入検出方法及び不正侵入検出プログラム

Country Status (1)

Country Link
JP (1) JP2005128933A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008023424A1 (fr) * 2006-08-24 2008-02-28 Duaxes Corporation Système de gestion de communication et procédé de gestion de communication associé
US8572759B2 (en) 2006-08-24 2013-10-29 Duaxes Corporation Communication management system and communication management method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008023424A1 (fr) * 2006-08-24 2008-02-28 Duaxes Corporation Système de gestion de communication et procédé de gestion de communication associé
US8463727B2 (en) 2006-08-24 2013-06-11 Duaxes Corporation Communication management system and communication management method
US8572759B2 (en) 2006-08-24 2013-10-29 Duaxes Corporation Communication management system and communication management method

Similar Documents

Publication Publication Date Title
US10893068B1 (en) Ransomware file modification prevention technique
JP3900501B2 (ja) ネットワーク接続制御プログラム、ネットワーク接続の制御方法及びネットワーク接続制御システム
US7665139B1 (en) Method and apparatus to detect and prevent malicious changes to tokens
US8272059B2 (en) System and method for identification and blocking of malicious code for web browser script engines
US7631356B2 (en) System and method for foreign code detection
US7721333B2 (en) Method and system for detecting a keylogger on a computer
US20140053267A1 (en) Method for identifying malicious executables
US7331063B2 (en) Method and system for limiting software updates
KR100368947B1 (ko) 실행 모듈 및 이에 연관된 보호 서비스 제공자 모듈의 무결성 검사
US8984629B2 (en) Apparatus and method for preemptively protecting against malicious code by selective virtualization
US7823201B1 (en) Detection of key logging software
US7607122B2 (en) Post build process to record stack and call tree information
US20090165131A1 (en) Detection and prevention of malicious code execution using risk scoring
US20070079373A1 (en) Preventing the installation of rootkits using a master computer
EP2637121A1 (en) A method for detecting and removing malware
CN104820801A (zh) 一种保护指定应用程序的方法及装置
CN101826139A (zh) 一种非可执行文件挂马检测方法及其装置
US7757284B1 (en) Threat-resistant installer
KR100745640B1 (ko) 커널 메모리를 보호하는 방법 및 그 장치
KR100745639B1 (ko) 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치
US20060015939A1 (en) Method and system to protect a file system from viral infections
JP4792352B2 (ja) ネットワーク接続制御プログラム、ネットワーク接続制御方法及びネットワーク接続制御システム
US7620983B1 (en) Behavior profiling
JP2005128933A (ja) 情報処理装置、不正侵入検出方法及び不正侵入検出プログラム
JP2006277063A (ja) ハッキング防御装置及びハッキング防御プログラム