JP2011118737A - ハードウェアのデータを監視する監視方法及び監視装置 - Google Patents

ハードウェアのデータを監視する監視方法及び監視装置 Download PDF

Info

Publication number
JP2011118737A
JP2011118737A JP2009276424A JP2009276424A JP2011118737A JP 2011118737 A JP2011118737 A JP 2011118737A JP 2009276424 A JP2009276424 A JP 2009276424A JP 2009276424 A JP2009276424 A JP 2009276424A JP 2011118737 A JP2011118737 A JP 2011118737A
Authority
JP
Japan
Prior art keywords
data
system call
address
processing unit
transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009276424A
Other languages
English (en)
Inventor
Chin-Wei Tien
田謹維
Yao-Ting Chung
鍾耀霆
Chih-Hung Lin
林志鴻
Jain-Shing Wu
呉建興
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute for Information Industry
Original Assignee
Institute for Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute for Information Industry filed Critical Institute for Information Industry
Priority to JP2009276424A priority Critical patent/JP2011118737A/ja
Publication of JP2011118737A publication Critical patent/JP2011118737A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

【課題】ハードウェアのデータを監視するための監視方法及び監視装置を提供する。
【解決手段】該データは個人情報と、識別情報と、少なくとも1つの第1ネットワーク送信アドレスとを含む。本監視装置は記憶部と処理部とを備える。該データは該識別情報に従って該記憶部に記憶される。該処理部は該データの該識別情報と該少なくとも1つの第1ネットワーク送信アドレスとをマーク情報テーブルに格納するよう構成されている。送信システムコールに応答して、該データの該個人情報を該少なくとも1つの第1ネットワーク送信アドレスと異なる第2ネットワーク送信アドレスへ送信するよう手配する場合、該処理部は信号を出力し、この送信を止める。
【選択図】図1A

Description

本発明は、ハードウェアのデータを監視するための監視方法及び監視装置、特に、個人情報を含むデータの不適正な送信を防ぐことができる監視方法及び監視装置に関する。
IT産業の発展と伴に、コンピュータ及びネットワークは日常生活において不可欠なものとなった。例えば、コンピュータによりネットワークを介して様々なデータを処理すること、異なる種類の情報を探すこと、及びデータを買ったり交換したりすることが人々にとって日常のことになっている。また、ネットワークサービス、例えばEクレジットカードでアカウントを設定すること、インターネットを介して注文すること、及びウェブATMからお金を引き出すことも頻繁に利用されている。
上記のネットワークサービスを使用する時、通常、ユーザは自身の個人情報を含むデータをネットワークを介してネットワークサービスプロバイダーに送信しなければならない。この個人情報はアカウント/パスワード情報、IDカード番号、又はオンライン取引記録等を含んでよい。通常、ユーザの個人情報を含むデータはブラウザーインターフェイスを介して送信される。このため、多くのハッカーは、ブラウザーインターフェイスに存在するバグを利用してネットワークサービスプロバイダーに送信されたデータを盗み、これにより個人情報侵害事件を引き起こす。
例えば、ユーザがアカウント/パスワードをネットワークサービスプロバイダー(例えばヤフー)のウェブページにおいて入力し、会員ページにログインした後、ユーザによって入力されたヤフーアカウント/パスワードに関連するデータは、ユーザのコンピュータ内に記憶パス及びデータ名を使用して記憶される。その後、ユーザがヤフーウェブページに再びログインしようとする時、コンピュータが該記憶パス及びデータ名を使用してヤフーアカウント/パスワードに関連する該データにアクセスすることで、ユーザは会員ページに直接ログインすることができる。この過程において、ハッカーは符号化スクリプト言語を介して悪意ウェアを実行させ、ヤフーアカウント/パスワードを含むデータをブラウザーを介してハッカーが予め指定したネットワークアドレスへ送信させるためにブラウザーのバグを利用することがある。
この問題を解決するために、従来技術は悪意ウェアを検出するためのソフトウェアを提供する。このソフトウェアは様々な悪意ウェアを解析し、これらの悪意ウェアの特徴(signature)のデータベースを構築する。従って、悪意ウェアを悪意ウェアの特徴に基づいて検出することができ、該ソフトウェアは悪意ウェアが実行され、ユーザの個人情報を含むデータがハッカーが予め指定したネットワークアドレスへ送信されるのを防止する。
しかし、スクリプト言語の特性により、従来の悪意ウェア検出ソフトウェアがスクリプト言語によって実行される悪意ウェアを検出することは困難であり、更に、全ての悪意ウェアの一般的特徴を含むデータベースを構築することは不可能である。言換えると、悪意ウェアのスクリプト言語が他の符号化モードで処理される場合、従来の悪意ウェア検出ソフトウェアは悪意ウェアを検出し解析することができないであろう。
従って、ネットワークサービスが高度化し、一方、悪意ウェアが氾濫しているので、個人情報が悪意ウェアによって不適正に送信されるのを防ぐことができる解決法を当業者が提供することが重要である。
本発明の目的は、ハードウェアのデータを監視するための監視装置を提供することである。該データは個人情報と、識別情報と、少なくとも1つの第1ネットワーク送信アドレスとを含む。本監視装置は記憶部と処理部とを備える。該記憶部はマーク情報テーブルを記憶し、該データを該識別情報に従って記憶するよう構成されている。該処理部は該データの該識別情報と該少なくとも1つの第1ネットワーク送信アドレスとを該マーク情報テーブルに格納するよう構成されている。該処理部はアクセスシステムコールに応答して該識別情報に従って該データにアクセスし、送信システムコールに応答して、該データの該個人情報の送信を手配する。該アクセスシステムコールは該識別情報に関連し、該送信システムコールは第2ネットワーク送信アドレスを有し、該処理部は該マーク情報テーブルに記憶された該データの該識別情報と該少なくとも1つの第1ネットワーク送信アドレスとに基づいて、該少なくとも1つの第1ネットワーク送信アドレスが該第2ネットワーク送信アドレスと同じか否かを判定する。該少なくとも1つの第1ネットワーク送信アドレスが該第2ネットワーク送信アドレスと同じでない場合、該処理部は信号を出力する。
本発明の別の目的は、ハードウェアのデータを監視するための監視方法を提供することである。該データは個人情報と、識別情報と、少なくとも1つの第1ネットワーク送信アドレスとを含む。該データは該識別情報に従って記憶部に記憶される。本監視方法は、処理部が該データの該識別情報と該少なくとも1つの第1ネットワーク送信アドレスとを該記憶部に記憶されたマーク情報テーブルに格納するのを可能にするステップと、該識別情報に関連するアクセスシステムコールに応答して、該処理部が該識別情報に従って該データにアクセスするのを可能にするステップと、第2ネットワーク送信アドレスを有する送信システムコールに応答して、該処理部が該データの該個人情報の送信を手配するのを可能にするステップと、該マーク情報テーブルに記憶された該データの該識別情報と該少なくとも1つの第1ネットワーク送信アドレスとに基づいて、該少なくとも1つの第1ネットワーク送信アドレスが該第2ネットワーク送信アドレスと同じか否かを該処理部が判定するのを可能にするステップと、該少なくとも1つの第1ネットワーク送信アドレスが該第2ネットワーク送信アドレスと同じでない場合、該処理部が信号を出力するのを可能にするステップとを含む。
また、上記の目的を達成するために、本発明は、ハードウェアのデータを監視するための上記監視方法を実行する実行可能コードを有する有形の機械読取り可能媒体からなるコンピュータプログラム記憶製品を更に提供する。該実行可能コードがコンピュータを介して監視装置にロードされ実行された時、上記監視方法が実施される。
要約すると、本発明において開示される監視方法及び監視装置は、マーク情報テーブルに個人情報を含むデータの識別情報と、該データの送信先であるネットワーク送信アドレスとを記憶する。また、該個人情報を含む該データが送信されるよう手配された時、システムコールとマーク情報テーブルに記憶された該識別情報とに従って、本発明はマーク情報テーブルに記憶された該ネットワーク送信アドレスと該手配された送信のネットワーク送信アドレスとを比較する。このようにして、本発明は悪意ウェアによる個人情報の不適正な送信を防止することができる。
本発明の詳細な技術と好適な実施形態を下記において添付の図面を参照しながら当業者が本発明の特徴をよく理解できるように説明する。
本発明の第1の実施形態に係る監視装置の概略図である。 本発明の第1の実施形態に係るマーク情報テーブルの概略図である。 本発明の第2の実施形態に係る監視方法のフローチャートである。
下記の説明において、本発明を実施形態を参照しながら説明する。本発明はハードウェアのデータを監視するための監視方法及び監視装置に関する。本発明は個人情報を含むデータが悪意ウェアによって指定されたネットワーク送信アドレスへ送信されるのを防止することができる利点がある。下記の実施形態及び添付の図面において、本発明に関連のない構成要素の説明は省略されており、添付の図面内の個別の構成要素間の寸法関係は、理解の容易さのためだけに例示され、実際の大きさを限定するためではない。
図1Aに示すように、本発明の第1の実施形態は、ハードウェア1のデータを監視するための監視装置11である。ハードウェア1はメモリー13と表示ユニット15とを備える。ユーザは、オペレーションシステム(不図示)を介してハードウェア1の個々の部品を制御することができる。このオペレーションシステムは様々な商業上入手可能なオペレーションシステム、例えばWindows(登録商標)オペレーションシステム、Macintoshオペレーションシステム、Linuxオペレーションシステム、又はUnix(登録商標)オペレーションシステムの1つである。第1の実施形態において、オペレーションシステムはWindowsオペレーションシステムである。ハードウェア1はパーソナルコンピュータ(PC)、又はアップルコンピュータ社のMacintosh(MAC)であり、第1の実施形態では、ハードウェア1はPCである。本発明はオペレーションシステム15及びハードウェア1の種類を限定するものではないことは理解されるべきである。当業者は本発明を他の種類のオペレーションシステム、ハードウェア、及びこれらの組合せを使用して実施する可能性があるが、これについては更なる説明を省略する。
監視装置11は記憶部111と処理部113とを備える。監視装置11はメモリー13と表示ユニット15とに電気的に接続されている。記憶部111はマーク情報テーブル10を記憶するよう構成されている。ユーザが個人情報を含むデータ2をブラウザー(不図示)及びハードウェア1を介して第1ネットワーク送信アドレス20へ送信しようとする時、処理部113は記憶部111及び/又はメモリー13にデータ2を記憶パス及びデータ名に従って格納する。この記憶パス及びデータ名はデータ2の識別情報22である。また、処理部113はデータ2の識別情報22と第1ネットワーク送信アドレス20とをマーク情報テーブル10に格納する。
例えば、ユーザが個人情報、即ちアカウント/パスワードを含むデータ2をブラウザー及びハードウェア1を介してネットワークサービスプロバイダー(例えばヤフー)サーバーの第1ネットワーク送信アドレス20(例えば209.191.93.53)に送信しようとする時、処理部113は記憶部111及び/又はメモリー13にデータ2を記憶パス(例えばC:\Documents and Settings\user\Local Settings\Cookies\cookie:user@yahoo.com)及びデータ名(例えばcookie:user@yahoo.com)に従って格納する。また、処理部113は記憶パス“C:\Documents and Settings\user\Local Settings\Cookies\cookie:user@yahoo.com”、データ名“cookie:user@yahoo.com”、及び第1ネットワーク送信アドレス“209.191.93.53”をマーク情報テーブル10に格納する。
なお、本発明においては、マーク情報テーブル10に記憶される第1ネットワーク送信アドレス20の数に制限はない。言換えると、ユーザは同じ識別情報22を含むデータ2を複数の第1ネットワーク送信アドレス20にブラウザー及びハードウェア1を介して送信してもよい。当業者は他の第1ネットワーク送信アドレス20を更に記憶させてもよい。これについては更なる詳細の説明を省略する。
個人情報は、ユーザの秘密情報、例えばアカウント/パスワード情報、クッキー(cookie)情報、及びブラウザー自動補完データ情報である。本発明においては、個人情報の種類に制限はない。当業者は個人情報の種類と量を任意に設定することができる。これについては更なる説明を省略する。
処理部113がアクセスシステムコール12に応答して識別情報22に従ってデータ2にアクセスする時、処理部113は一連の手続きを実行する。このアクセスシステムコール12は識別情報22に関連している。例えば、アクセスシステムコール12はデータオープンシステムコール、データリードシステムコール、データコピーシステムコール、データ移動システムコール、データクローズシステムコール、又はメモリークリアシステムコールである。
本実施形態では、データオープンシステムコールに応答して、処理部113が識別情報22に従ってデータ2を開く。ここで、データオープンシステムコールはパス・パラメータを有し、このパス・パラメータは識別情報22に対応している。より詳細には、処理部113は下記のプログラムコードからデータ2を開くことを決定する。
HANDLE WINAPI OpenFile(
_in LPCSTR cookie:user@yahoo.com,
_out LPOFSTRUCT
lpReOpenBuff,
_in UNIT uStyle)
ここで、“OpenFile”はデータオープンシステムコールを表し、“cookie:user@yahoo.com”はデータ2のデータ名を表し、“HANDLE”は識別情報22に対応するパス・パラメータである。言換えると、識別情報22に関連するパス・パラメータ“HANDLE”を有する他のシステムコールがあると、それらシステムコールは全てデータ2をアクセスするためのものであることを示す。処理部113はマーク情報テーブル10の識別情報22に従ってデータ2を開くことを決定すると、全ての関係するシステムコールの監視と記録を開始する。
次に、データリードシステムコールに応答して、処理部113は第1メモリーアドレス131にデータ2の個人情報を格納する。ここで、データリードシステムコールは上記パス・パラメータを有し、このパス・パラメータは第1メモリーアドレス131に対応している。また、処理部113は下記のプログラムコードからデータ2をリードすることを決定する。
BOOL WINAPI ReadFileEx(
_in HANDLE cookie:user@yahoo.com,
_out_opt LPVOID lpBuffer,
_in DWORD
nNumberOfBytesToRead,
_inout LPOVERLAPPED
lpOverlapped,)
ここで、“ReadFileEx”はデータリードシステムコールを表す。処理部113はパス・パラメータ“HANDLE”が識別情報22に関連しているので、データ2をリードすることを決定する。また、パラメータ“lpBuffer”はメモリー13の第1メモリーアドレス131(例えば0x04e463b9)を表す。データ2は第1メモリーアドレス131に記憶される。次に、処理部113は、データ2の個人情報が記憶されたメモリーアドレス(即ち、第1メモリーアドレス131)を記憶部111に記録する。
本実施形態では、データコピーシステムコール及び/又はデータ移動システムコールに応答して、処理部113はデータ2の個人情報をメモリー13の第1メモリーアドレス131から第2メモリーアドレス133にコピー及び/又は移動する。データ2の個人情報をコピー及び/又は移動した後、処理部113はデータ2の個人情報が現在記憶されているメモリーアドレスを記憶部111に記録及び/又は更新する。データコピーシステムコール及びデータ移動システムコールについて下記にそれぞれ説明する。
詳細には、下記のプログラムコードから、処理部113は、データ2の個人情報を第1メモリーアドレス131から第2メモリーアドレス133にコピーすることを決定する。
void *memcpy(
void *dest,
const void *src,)
ここで、“memcpy”はデータコピーシステムコールを表し、パラメータ“*dest”は第2メモリーアドレス133(例えば0x00123456)を表し、パラメータ“*src”は第1メモリーアドレス131(例えば0x04e463b9)を表す。一方、処理部113は下記のプログラムコードからデータ2を第1メモリーアドレス131から第2メモリーアドレス133へ移動することを決定する。
mov eax[ebx]
“mov”はデータ移動システムコールを表し、パラメータ“eax”は第2メモリーアドレス133(例えば0x00123456)を表し、パラメータ“ebx”は第1メモリーアドレス131(例えば0x04e463b9)を表す。
なお、データクローズシステムコール、又はメモリークリアシステムコールに応答して、処理部113がデータ2を閉じるか又はクリアすると、処理部113はマーク情報テーブル10に基づいて個人情報を含むデータがどれかアクセスされていないか監視を続ける。他の実施形態では、処理部113は下記のプログラムコードからデータ2を閉じるか又はクリアすることを決定する。
int FileClose(
Handle cookie:user@yahoo.com
);
free(
*ptr
);
xor [eax][eax]
[eax]=[eax]^[eax]
ここで、“FileClose”及び“free”はそれぞれ、データクローズシステムコール及びメモリークリアシステムコールを表す。パス・パラメータ“Handle”が識別情報22に関連しているので、処理部113はデータ2を閉じることを決定する。また、パラメータ“*ptr”は閉じる対象のデータに対応するメモリーアドレスを表し、パラメータ“eax”はクリアする対象のデータに対応するメモリーアドレスを表す。処理部113はパラメータ“*ptr”又は“eax”を現在記憶されているデータ2の個人情報に対応するメモリーアドレス(即ち、第2メモリーアドレス133)と比較し、両者が同じか否かを調べる。同じである場合、このことはデータ2を閉じるかクリアすることを意味する。
従って、本発明は、データベースと比較することで悪意ウェアを検出する従来の方法と異なる。本発明の監視装置11は、データ2の個人情報をアクセスするためのシステムコールがあるかを各システムコールのパス・パラメータから判断する。また、監視装置11は、パス・パラメータに対応するメモリーアドレスに従って記憶されているデータ2の個人情報に対応するメモリーアドレスを記録及び/又は更新することで、監視装置11は下記の監視を行うことができる。
引き続き、送信システムコール14に応答して、処理部113はデータ2の個人情報の送信を手配する。より詳細には、送信システムコール14は送信データメモリーアドレスと第2ネットワーク送信アドレス(不図示)とを有する。本実施形態では、この第2ネットワーク送信アドレスは、悪意ウェアによって設定されたネットワーク送信アドレス(例えば129.342.33.22)である。処理部113は、下記のプログラムコードに従ってデータ2の個人情報の該第2ネットワーク送信アドレスへの送信を手配する。
int connect(
_in SOCKET s,
_in const struct
sockaddr *name,
_in int namelen);
int send(
_in SOCKET s,
_in const char
*buf,
_in int len,
_in int flags)
ここで、“connect”は遠隔接続を確立するためのシステムコールを表し、“send”は確立された接続を介してデータ2の個人情報を送信するためのシステムコールを表し、パラメータ“*name”は該第2ネットワーク送信アドレス(例えば129.342.33.22)を表し、パラメータ“*buf”は送信データメモリーアドレスを表す。処理部113は送信データメモリーアドレス(即ち、パラメータ“*buf”の値)を読み出し、この送信データメモリーアドレスが、現在記憶されているデータ2の個人情報に対応するメモリーアドレス(即ち、第1メモリーアドレス131及び/又は第2メモリーアドレス133)と同じか否かを判定する。
処理部113が送信データメモリーアドレス(即ち、パラメータ“*buf”の値)が第1メモリーアドレス131(例えば0x04e463b9)及び/又は第2メモリーアドレス133(例えば0x00123456)と同じと判定した場合、このことはデータ2の個人情報を悪意ウェアによって指定されたネットワーク送信アドレスへ送信することを意味する。次に、処理部113は第2ネットワーク送信アドレスが第1ネットワーク送信アドレス20と同じか否かをマーク情報テーブル10に記憶されたデータ2の識別情報22と第1ネットワーク送信アドレス20とに基づいて判定する。本実施形態では、第2ネットワーク送信アドレス(例えば129.342.33.22)は第1ネットワーク送信アドレス20(例えば209.191.93.53)と同じでない。このことはデータ2の個人情報を悪意ウェアによって指定されたネットワーク送信アドレスへ送信することを意味する。従って、処理部113は信号100を表示ユニット15へ出力する。
次に、表示ユニット15は信号100に従って警報メッセージを表示し、処理部113は信号100に従ってデータ2の個人情報の送信を止める。一方、第2ネットワーク送信アドレスが第1ネットワーク送信アドレス20と同じである場合、処理部113はデータ2の個人情報を第2ネットワーク送信アドレスへ送信する。
他の実施形態では、処理部113が送信データメモリーアドレス(即ち、パラメータ“*buf”の値)が第1メモリーアドレス131及び/又は第2メモリーアドレス133と同じでないと判定した場合、このことは送信対象のデータは個人情報を含まないことを意味する。処理部113は該データの送信を処理し、処理部113はネットワーク送信アドレスを比較するステップを実行しない。
次に、処理部113はシステムコールがデータ2の個人情報の送信を連続的に実行しているかを監視し続ける。同時に、処理部113はマーク情報テーブル10に基づいて個人情報を含む他のデータがアクセスされているかを監視し続ける。
図2は、ハードウェアのデータを監視するための監視方法である本発明の第2の実施形態を示す。本発明の監視方法は第1の実施形態で説明した監視装置11等の監視装置において使用することができる。監視装置は記憶部と処理部とを備える。該データは個人情報、識別情報、及び少なくとも1つの第1ネットワーク送信アドレスを含む。該データは該識別情報に従って該記憶部に記憶される。該個人情報はアカウント/パスワード情報、クッキー(cookie)情報、及びブラウザー自動補完データ情報のうちの1つであってもよい。
特に、第2の実施形態の監視方法は、有形の機械読取り可能媒体からなるコンピュータプログラム記憶製品によって実現されてもよい。有形の機械読取り可能媒体に記憶された複数の実行可能コードがコンピュータを介して監視装置にロードされた後、該実行可能コードが実行され本発明の監視方法が実施される。これらの実行可能コードは有形の機械読取り可能媒体、例えば読出し専用メモリー(ROM)、フラッシュメモリー、フロッピー(登録商標)ディスク、ハードディスク、コンパクトディスク、携帯ディスク、磁気テープ、ネットワークに接続されたデータベース、又は同じ機能を有し当業者に周知の他の任意の記憶媒体に記憶されてよい。
第2の実施形態の監視方法は下記のステップを含む。先ず、ステップ201が実行され、処理部が該データの該識別情報と、該少なくとも1つの第1ネットワーク送信アドレスとをマーク情報テーブルに格納するのを可能にする。該マーク情報テーブルは該記憶部に記憶される。該識別情報は記憶パスとデータ名とを含み、該データは該記憶部に該記憶パスとデータ名に従って記憶される。
次に、ステップ202において、該識別情報に関連するアクセスシステムコールに応答して、該処理部は該識別情報に従って該データにアクセスする。
例えば、データオープンシステムコールに応答して、該処理部はステップ202において、該識別情報に従って該データを開く。該データオープンシステムコールは該識別情報に対応するパス・パラメータを有する。引き続き、データリードシステムコールに応答して、該処理部は該データの該個人情報を第1メモリーアドレスにも格納する。該データリードシステムコールは該第1メモリーアドレスに対応する該パス・パラメータを有する。
1つの実施形態では、データコピーシステムコールに応答して、該処理部は該データの該個人情報を該第1メモリーアドレスから第2メモリーアドレスにコピーする。或いは、別の実施形態では、データ移動システムコールに応答して、該処理部は該データの該個人情報を該第1メモリーアドレスから第2メモリーアドレスへ移動する。最後に、該処理部は記憶されている該データの該個人情報に対応するメモリーアドレス(即ち、第1メモリーアドレス及び/又は第2メモリーアドレス)を該記憶部に記録/更新する。ステップ202の詳細は第1の実施形態において説明した。従って、更なる説明を省略する。
ステップ203において、送信システムコールに応答して、該処理部は該データの該個人情報の送信を手配する。該送信システムコールは送信データメモリーアドレスと第2ネットワーク送信アドレスとを有する。次に、ステップ204において、該処理部は該送信システムコールの送信データメモリーアドレスを読み出し、この送信データメモリーアドレスが、記憶されている該データの個人情報に対応するメモリーアドレス(即ち、第1メモリーアドレス及び/又は第2メモリーアドレス)と同じか否かを判定する。同じである場合は、ステップ205において、該処理部はマーク情報テーブルに記憶された該データの識別情報と少なくとも1つの第1ネットワーク送信アドレスとに基づいて該少なくとも1つの第1ネットワーク送信アドレスが該第2ネットワーク送信アドレスと同じか否かを判定する。
ステップ205において、該処理部が第2ネットワーク送信アドレスは該少なくとも1つの第1ネットワーク送信アドレスと同じであると判定すると、ステップ206において、該データの該個人情報が該第2ネットワーク送信アドレスへ送信される。本監視方法はステップ202に戻り、他のアクセスシステムコールが他のデータをアクセスするのを待つ。ステップ205において、該処理部が第2ネットワーク送信アドレスは該少なくとも1つの第1ネットワーク送信アドレスと同じでないと判定すると、ステップ207が実行され該処理部は信号を出力する。次に、ステップ208において、表示ユニットがこの信号に従って警報メッセージを表示する。最後に、ステップ209が実行され該処理部はこの信号に従って該データの該個人情報の送信を止める。次に、本監視方法はステップ202に戻り、他のアクセスシステムコールが他のデータをアクセスするのを待つ。
該処理部が該送信データメモリーアドレスは該第1メモリーアドレス及び/又は第2メモリーアドレスと同じでないと判定すると、このことは該データの送信対象の情報が該個人情報でないことを意味する。本監視方法は次にステップ206を実行し、該データの該情報を該第2ネットワーク送信アドレスへ送信し、次に、ステップ202に戻り、他のアクセスシステムコールが他のデータをアクセスするのを待つ。
上記ステップに加えて、本発明の監視方法は第1の実施形態で述べた動作及び機能の全てを実行することもできる。当業者は、第1の実施形態の説明に基づいて本発明の監視方法がこれらの動作及び機能を実行する仕方を容易に理解するであろう。従って、更なる説明を省略する。
要約すると、本発明において開示した監視方法及び監視装置は、マーク情報テーブルにデータの識別情報と、該データの送信先であるネットワーク送信アドレスとを記憶することができる。本発明は個人情報を含む該データを各システムコールに応じて監視し、送信システムコールが個人情報を含む該データをマーク情報テーブルに記憶されたいずれのネットワーク送信アドレスとも一致しないネットワーク送信アドレスへ送信しようとしている場合、該データの個人情報の送信を止める。従って、本発明は 悪意ウェアによる個人情報の不適正な送信を防止することができる。
上記において、詳細な技術的内容と独創的な特徴を開示した。当業者は、本発明の開示及び示唆に基づいて本発明の範囲を逸脱することなく様々な変更及び置換えを想到する可能性がある。そのような変更及び置換えは、上記説明において完全には開示されていないが、添付の請求項にほぼ記載されている。
1 ハードウェア
2 データ
10 マーク情報テーブル
11 監視装置
12 アクセスシステムコール
13 メモリー
14 送信システムコール
15 表示ユニット
20 第1ネットワーク送信アドレス
22 識別情報
111 記憶部
113 処理部

Claims (10)

  1. 個人情報と、識別情報と、少なくとも1つの第1ネットワーク送信アドレスとを含むハードウェアのデータであって、該識別情報に従って記憶部に記憶された該データを監視するための監視方法であって、
    処理部が該データの該識別情報と該少なくとも1つの第1ネットワーク送信アドレスとを該記憶部に記憶されたマーク情報テーブルに格納するのを可能にするステップと、
    該識別情報に関連するアクセスシステムコールに応答して、該処理部が該識別情報に従って該データにアクセスするのを可能にするステップと、
    第2ネットワーク送信アドレスを有する送信システムコールに応答して、該処理部が該データの該個人情報の送信を手配するのを可能にするステップと、
    該マーク情報テーブルに記憶された該データの該識別情報と該少なくとも1つの第1ネットワーク送信アドレスとに基づいて、該少なくとも1つの第1ネットワーク送信アドレスが該第2ネットワーク送信アドレスと同じか否かを該処理部が判定するのを可能にするステップと、
    該少なくとも1つの第1ネットワーク送信アドレスが該第2ネットワーク送信アドレスと同じでない場合、該処理部が信号を出力するのを可能にするステップと
    を含む監視方法。
  2. 前記識別情報は記憶パスとデータ名とを含み、前記データは該記憶パスと該データ名とに従って前記記憶部に記憶され、前記個人情報はアカウント/パスワード情報、クッキー情報、及びブラウザー自動補完データ情報のうちの1つである請求項1に記載の監視方法。
  3. 前記データにアクセスする前記ステップは、
    パス・パラメータを有するデータオープンシステムコールに応答して、前記処理部が前記識別情報に従って該データを開くのを可能にするステップと、
    該パス・パラメータを有するデータリードシステムコールに応答して、該処理部が該データの前記個人情報を第1メモリーアドレスに格納するのを可能にするステップと
    を含み、
    該パス・パラメータは該識別情報と該第1メモリーアドレスとに対応している請求項1に記載の監視方法。
  4. 前記送信システムコールは送信データメモリーアドレスを有し、前記データの前記個人情報の送信を手配する前記ステップは、
    前記処理部が該送信システムコールの該送信データメモリーアドレスを読み出すのを可能にするステップと、
    該処理部が、該送信データメモリーアドレスが前記第1メモリーアドレスと同じか否かを判定するのを可能にするステップと
    を含み、
    該送信データメモリーアドレスが該第1メモリーアドレスと同じ場合、該処理部は該データの該個人情報の送信を手配する請求項3に記載の監視方法。
  5. 前記ハードウェアは表示ユニットを備え、
    該表示ユニットが前記信号に従って警報メッセージを表示するのを可能にするステップを更に含む請求項1に記載の監視方法。
  6. 個人情報と、識別情報と、少なくとも1つの第1ネットワーク送信アドレスとを含むハードウェアのデータを監視するための監視装置であって、
    マーク情報テーブルを記憶し、該データを該識別情報に従って記憶するよう構成された記憶部と、
    該データの該識別情報と該少なくとも1つの第1ネットワーク送信アドレスとを該マーク情報テーブルに格納し、アクセスシステムコールに応答して該識別情報に従って該データにアクセスし、送信システムコールに応答して、該データの該個人情報の送信を手配するよう構成された処理部と
    を備え、
    該アクセスシステムコールは該識別情報に関連し、該送信システムコールは第2ネットワーク送信アドレスを有し、該処理部は該マーク情報テーブルに記憶された該データの該識別情報と該少なくとも1つの第1ネットワーク送信アドレスとに基づいて、該少なくとも1つの第1ネットワーク送信アドレスが該第2ネットワーク送信アドレスと同じか否かを判定するよう更に構成され、該少なくとも1つの第1ネットワーク送信アドレスが該第2ネットワーク送信アドレスと同じでない場合、該処理部は信号を出力する監視装置。
  7. 前記識別情報は記憶パスとデータ名とを含み、前記処理部は前記データを該記憶パスと該データ名とに従って前記記憶部に格納し、前記個人情報はアカウント/パスワード情報、クッキー情報、及びブラウザー自動補完データ情報のうちの1つである請求項6に記載の監視装置。
  8. 前記アクセスシステムコールはデータオープンシステムコールとデータリードシステムコールとを含み、該データオープンシステムコールは前記識別情報に対応するパス・パラメータを有し、該データリードシステムコールは第1メモリーアドレスに対応するパス・パラメータを有し、前記処理部は該データオープンシステムコールに応答して該識別情報に従って前記データを開き、該データリードシステムコールに応答して該データの前記個人情報を該第1メモリーアドレスに格納するよう更に構成されている請求項6に記載の監視装置。
  9. 前記送信システムコールは送信データメモリーアドレスを有し、前記処理部が該送信システムコールの該送信データメモリーアドレスを読み出し、該送信データメモリーアドレスが前記第1メモリーアドレスと同じか否かを判定し、該送信データメモリーアドレスが該第1メモリーアドレスと同じ場合、前記データの前記個人情報の送信を手配する請求項8に記載の監視装置。
  10. 前記ハードウェアは、前記信号に従って警報メッセージを表示するよう構成された表示ユニットを備える請求項9に記載の監視装置。
JP2009276424A 2009-12-04 2009-12-04 ハードウェアのデータを監視する監視方法及び監視装置 Pending JP2011118737A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009276424A JP2011118737A (ja) 2009-12-04 2009-12-04 ハードウェアのデータを監視する監視方法及び監視装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009276424A JP2011118737A (ja) 2009-12-04 2009-12-04 ハードウェアのデータを監視する監視方法及び監視装置

Publications (1)

Publication Number Publication Date
JP2011118737A true JP2011118737A (ja) 2011-06-16

Family

ID=44283972

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009276424A Pending JP2011118737A (ja) 2009-12-04 2009-12-04 ハードウェアのデータを監視する監視方法及び監視装置

Country Status (1)

Country Link
JP (1) JP2011118737A (ja)

Similar Documents

Publication Publication Date Title
CA2966408C (en) A system and method for network intrusion detection of covert channels based on off-line network traffic
US10447730B2 (en) Detection of SQL injection attacks
US7752662B2 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
US8572750B2 (en) Web application exploit mitigation in an information technology environment
KR101799366B1 (ko) 다이나믹 보안모듈 서버장치 및 그 구동방법
CN104348789B (zh) 用于防止跨站脚本攻击的Web服务器及方法
CN102844750A (zh) Web浏览器中的可执行代码验证
US9245118B2 (en) Methods for identifying key logging activities with a portable device and devices thereof
WO2012065551A1 (zh) 一种云安全下载方法
JP4877145B2 (ja) 通信装置を制御するプログラム及び通信装置
CN116582365B (zh) 网络流量的安全控制方法、装置及计算机设备
CN108229180B (zh) 截图数据处理方法、装置和电子设备
US8286258B2 (en) Monitor method and monitor apparatus for monitoring data of hardware
Pevný et al. Malicons: Detecting payload in favicons
GB2475877A (en) Monitoring the retransmission of private information to a different network address
JP2011118737A (ja) ハードウェアのデータを監視する監視方法及び監視装置
US11038844B2 (en) System and method of analyzing the content of encrypted network traffic
CN113364766A (zh) 一种apt攻击的检测方法及装置
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
JP6911723B2 (ja) ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
US20200382552A1 (en) Replayable hacktraps for intruder capture with reduced impact on false positives
CN106919838B (zh) 一种恶意代码加密配置定位方法及系统
TW201633205A (zh) 用於惡意程式碼檢測之系統及方法
RU2757535C2 (ru) Способ выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами, по открытым портам
EP3588900B1 (en) System and method of analyzing the content of encrypted network traffic

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110830

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20111130

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20111205

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20111226

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120104

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120127

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120612