JP2013542536A - コンピュータシステムの実行動作を標準化する方法 - Google Patents
コンピュータシステムの実行動作を標準化する方法 Download PDFInfo
- Publication number
- JP2013542536A JP2013542536A JP2013538027A JP2013538027A JP2013542536A JP 2013542536 A JP2013542536 A JP 2013542536A JP 2013538027 A JP2013538027 A JP 2013538027A JP 2013538027 A JP2013538027 A JP 2013538027A JP 2013542536 A JP2013542536 A JP 2013542536A
- Authority
- JP
- Japan
- Prior art keywords
- code segment
- operation request
- call
- current operation
- data structure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer And Data Communications (AREA)
- Organic Low-Molecular-Weight Compounds And Preparation Thereof (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Devices For Executing Special Programs (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Stored Programmes (AREA)
Abstract
Description
本開示はコンピュータ分野に関し、詳細にはコンピュータシステムの挙動を標準化する方法に関する。
[背景技術]
既存のコンピュータセキュリティ技術には主に、1.例えばウィルス除去ソフトウェアやファイアウォール等のソフトウェアといった、「スキャンして除去する」メカニズムに基づくコンピュータセキュリティシステム 2.例えば「タイムマシン」や「サンドボックス」等のセキュリティシステムといった、「遮る」メカニズムに基づくコンピュータセキュリティシステム 3.「セキュアなオペレーションシステム(略してセキュアなOSとする)」といった、「システムを強化する」理論に基づくコンピュータセキュリティシステムがある。
[発明の概要]
本開示は、コンピュータシステムの挙動を標準化する方法を提供する。これは、コンピュータシステムの動作の挙動及び状況に対して全体的かつ連続的な監視を実現することによって、コンピュータシステムの挙動に対して全体的かつ連続的な制御を実現し、これによりコンピュータシステムの挙動のセキュリティを確保するという目的を達成するものである。コンピュータの挙動を完全に監視することもコンピュータシステムの挙動を制御することもできないという既存の情報セキュリティ技術における不利益は克服される。
呼び出し命令を取得し、呼び出し命令によって呼び出されるコードセグメントの情報を呼び出し命令に基づいて取得し、コードセグメント呼び出しデータ構造を構築し、コードセグメント呼び出しデータ構造は、呼び出し命令がノードとして配置されているコードセグメントを取り込むとともに、呼び出し命令によって構築された、呼び出し命令を起動するコードセグメントと、呼び出しパスとして呼び出されるコードセグメントとの間の呼び出し関係を取り込むことによって構築され、コードセグメント呼び出しデータ構造は数個のサブデータ構造を有している。
規則は、決定されたイニシエータが規則の要件を満たしている場合、現在の操作要求は実施が許可され、また、決定されたイニシエータ及び決定された操作方法が規則の要件を満たしている場合、現在の操作要求は実施が許可され、さらに、決定されたイニシエータ及び決定された操作対象が規則の要件を満たしている場合、現在の操作要求は実施が許可され、決定されたイニシエータ、決定された操作方法、及び決定された操作対象が規則の要件を満たしている場合、現在の操作要求は実施が許可される。
任意に、操作対象は、現在の操作要求に対して呼び出されるコードセグメントによって操作される内容である。
任意に、現在の操作要求に関連したサブデータ構造をデータ構造から取得することは、サブデータ構造を取得するための条件を事前設定することを含む。
コンピュータの動作領域を少なくとも2つのサブ領域に分割する。
サブデータ構造を取得するための事前設定条件は、1つのサブ領域内にある操作要求が他のサブ領域内にある対象を操作するという条件である。
呼び出し命令を取得する。
呼び出し命令を起動するコードセグメント及び呼び出されるコードセグメントを取得する。
動作しているコンピュータコードに対してバイナリ変換を行って、呼び出し命令を取得する。
呼び出されるコードセグメントのアドレスを呼び出しパラメータから取得する。
本開示の技術的解決法を用いることにより、現在の操作要求に関連したサブデータ構造を、構築されたコードセグメント呼び出しデータ構造から取得し、現在の操作要求のイニシエータ、操作方法、及び操作対象をサブデータ構造に基づいて決定する。したがって、現在の操作要求は実施が許可されるかどうかを、サブデータ構造及び規則によって決定されたイニシエータ、操作方法、及び操作対象の間の比較結果によって判定する。上述の解決法により、現在の操作要求を実施前に分析可能になり、従来技術と比べて、現在の操作の危険性に対する分析が動作実行結果に依存せず、危険が発生する前に防御が可能になる。その上、従来技術において現在の操作それぞれを個々に分析するのとは違い、現在の操作要求に関連している動的かつ連続的なサブデータ構造を用いて現在の操作要求を記述する。よって、現在の操作要求を、現在の操作要求の前にあり、かつ現在の操作要求に関連している挙動と関連付けることにより、現在の操作要求が「正常」か「不正」かを効果的に判定することができる。よって、コンピュータシステムの挙動はイベント後でしか監視・分析できないという従来における不利益を解決し、現在の操作要求が「正常」か「不正」かを判断するために操作の挙動を「判定」することができないという従来における不利益を解決する。
ステップS22で、呼び出し命令を起動するコードセグメントと被呼び出しコードセグメントとを取得する。
「サブデータ構造を取得するための事前設定条件」は、メモリ実行コードのサブ領域(システムコードマッピングのメカニズムにより、システムマッピング構造における実行コードの範囲、つまり、メモリ実行コードのサブ領域を決定する)と、持続型デバイスの構造的データのサブ領域(持続型デバイスは記憶装置であり、構造的データはファイル形式で存在するデータを指す)を有している。
以下に説明する本開示の方法を用いることによって、メモリ実行コードが書き換えられたり組み替えられたりすることを抑制する。
取得された現在の操作要求のサブデータ構造にしたがって、現在の操作要求のイニシエータ、つまり、現在の操作要求を生成する全ての呼び出しプロセスまたは引用プロセス、すなわち、現在の操作要求に関連している全てのノード及び呼び出しパスを決定する。
以下に説明するように、操作要求のイニシエータを分析することにより、持続型デバイス(記憶装置)の構造的データ(ファイル形式で存在するデータ)が侵入によって破壊されることを抑制する。
Claims (10)
- コンピュータシステムの挙動を標準化する方法であって、
呼び出し命令を取得し、前記呼び出し命令によって呼び出されるコードセグメントの情報を前記呼び出し命令に基づいて取得し、コードセグメント呼び出しデータ構造を構築し、前記コードセグメント呼び出しデータ構造は、前記呼び出し命令がノードとして配置されているコードセグメントを取り込むとともに、前記呼び出し命令によって構築された、前記呼び出し命令を起動するコードセグメントと、呼び出しパスとして呼び出されるコードセグメントとの間の呼び出し関係を取り込むことによって構築され、前記コードセグメント呼び出しデータ構造は数個のサブデータ構造を備えており、
現在の操作要求に関連したサブデータ構造を前記データ構造から取得して、前記現在の操作要求のイニシエータ、操作方法、及び操作対象を前記サブデータ構造に基づいて決定し、
前記コンピュータシステムの挙動を標準化するための規則を取得し、決定された前記現在の操作要求のイニシエータ、操作方法、及び操作対象を前記規則と比較して、前記現在の操作要求が許容できるかどうかを判定する方法。 - 前記コンピュータシステムの挙動を標準化するための規則は、前記呼び出し命令のイニシエータ、前記呼び出し命令の操作方法、及び前記呼び出し命令の操作対象である3つの要素を備えており、
前記コンピュータシステムの挙動を標準化するための規則は、前記現在の操作要求の前記イニシエータが前記規則の要件を満たしている場合、前記現在の操作要求は実施が許可され、また、前記現在の操作要求の前記イニシエータ及び前記操作方法が前記規則の要件を満たしている場合、前記現在の操作要求は実施が許可され、さらに、前記現在の操作要求の前記イニシエータ及び前記操作対象が前記規則の要件を満たしている場合、前記現在の操作要求は実施が許可され、前記現在の操作要求の前記イニシエータ、前記操作方法、及び前記操作対象が前記規則の要件を満たしている場合、前記現在の操作要求は実施が許可される、請求項1記載のコンピュータシステムの挙動を標準化する方法。 - 前記イニシエータは、前記現在の操作要求よりも前にあり、前記現在の操作要求に関連している全てのノード及び呼び出しパスで構成されているサブデータ構造である、請求項1または2に記載のコンピュータシステムの挙動を標準化する方法。
- 前記操作対象は、前記現在の操作要求に対して呼び出される前記コードセグメントによって操作される内容である、請求項1記載のコンピュータシステムの挙動を標準化する方法。
- 前記操作方法は、前記現在の操作要求に対して呼び出される前記コードセグメントによって実施される操作である、請求項1記載のコンピュータシステムの挙動を標準化する方法。
- 前記現在の操作要求に関連したサブデータ構造をデータ構造から取得することは、
前記サブデータ構造を取得するための条件を事前設定し、
前記現在の操作要求が前記事前設定条件を満たしている場合には、前記データ構造に基づいて、前記現在の操作要求に関連した前記ノード及び前記呼び出しパスを後戻りして、前記現在の操作要求に関連した前記サブデータ構造を取得することを含む、請求項1記載のコンピュータシステムの挙動を標準化する方法。 - さらに、コンピュータの動作領域を少なくとも2つのサブ領域に分割し、
サブデータ構造を取得するための前記事前設定条件は、1つのサブ領域内にある操作要求が他のサブ領域内にあるコードセグメントを呼び出すという条件である、請求項6記載のコンピュータシステムの挙動を標準化する方法。 - 前記データ構造の構築は、
前記呼び出し命令を取得し、
前記呼び出し命令を起動する前記コードセグメント及び前記呼び出されるコードセグメントを取得し、
取得された前記呼び出し命令を起動する前記コードセグメント及び取得された前記呼び出されるコードセグメントを用いることによって、呼び出しノード及び被呼び出しノードをそれぞれ構築し、
前記呼び出し命令を起動する前記コードセグメントと前記呼び出されるコードセグメントとの間の呼び出し関係を構築し、前記構築された呼び出し関係を前記呼び出しノードと前記被呼び出しノードの間にある呼び出しパスとして取り込む、請求項1記載のコンピュータシステムの挙動を標準化する方法。 - 前記呼び出し命令はアセンブラ命令であり、前記呼び出し命令の取得は、動作している前記コンピュータコードに対してバイナリ変換を行って、前記呼び出し命令を取得する、請求項8記載のコンピュータシステムの挙動を標準化する方法。
- 前記呼び出し命令を起動する前記コードセグメント及び前記呼び出されるコードセグメントの取得は、
前記呼び出されるコードセグメントのアドレスを呼び出しパラメータから取得し、
前記呼び出し命令が配置されている前記コードセグメントが前記呼び出し命令を起動する前記コードセグメントである状態で、前記呼び出されるコードセグメントを前記呼び出されるコードセグメントのアドレスに基づいて取得する、請求項8記載のコンピュータシステムの挙動を標準化する方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2010/080034 WO2012083521A1 (zh) | 2010-12-21 | 2010-12-21 | 规范计算机系统行为的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013542536A true JP2013542536A (ja) | 2013-11-21 |
JP5615444B2 JP5615444B2 (ja) | 2014-10-29 |
Family
ID=46313022
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013538027A Expired - Fee Related JP5615444B2 (ja) | 2010-12-21 | 2010-12-21 | コンピュータシステムの実行動作を標準化する方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9230067B2 (ja) |
EP (1) | EP2657872A4 (ja) |
JP (1) | JP5615444B2 (ja) |
CN (1) | CN102971741A (ja) |
WO (1) | WO2012083521A1 (ja) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006330864A (ja) * | 2005-05-24 | 2006-12-07 | Hitachi Ltd | サーバ計算機システムの制御方法 |
JP2008021274A (ja) * | 2006-06-15 | 2008-01-31 | Interlex Inc | プロセス監視装置及び方法 |
WO2010001766A1 (ja) * | 2008-07-02 | 2010-01-07 | 国立大学法人 東京工業大学 | 実行時間推定方法、実行時間推定プログラムおよび実行時間推定装置 |
JP2010211257A (ja) * | 2009-03-06 | 2010-09-24 | Sky Co Ltd | 操作監視システム及び操作監視プログラム |
CN101872400A (zh) * | 2009-04-24 | 2010-10-27 | 汪家祥 | 建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法 |
WO2011041871A1 (en) * | 2009-10-08 | 2011-04-14 | Irdeto Canada Corporation | A system and method for aggressive self-modification in dynamic function call systems |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IL132915A (en) * | 1999-11-14 | 2004-05-12 | Networks Assoc Tech Inc | Method for secure function execution by calling address validation |
US7076557B1 (en) * | 2000-07-10 | 2006-07-11 | Microsoft Corporation | Applying a permission grant set to a call stack during runtime |
EP1388054B1 (en) | 2001-05-11 | 2010-08-04 | Computer Associates Think, Inc. | Method and system for transforming legacy software applications into modern object-oriented systems |
US7546587B2 (en) * | 2004-03-01 | 2009-06-09 | Microsoft Corporation | Run-time call stack verification |
US7966643B2 (en) * | 2005-01-19 | 2011-06-21 | Microsoft Corporation | Method and system for securing a remote file system |
US20060259947A1 (en) * | 2005-05-11 | 2006-11-16 | Nokia Corporation | Method for enforcing a Java security policy in a multi virtual machine system |
US8555061B2 (en) * | 2005-05-13 | 2013-10-08 | Microsoft Corporation | Transparent code |
US7950056B1 (en) * | 2006-06-30 | 2011-05-24 | Symantec Corporation | Behavior based processing of a new version or variant of a previously characterized program |
US8156536B2 (en) * | 2006-12-01 | 2012-04-10 | Cisco Technology, Inc. | Establishing secure communication sessions in a communication network |
US20090210888A1 (en) * | 2008-02-14 | 2009-08-20 | Microsoft Corporation | Software isolated device driver architecture |
CN101282332B (zh) | 2008-05-22 | 2011-05-11 | 上海交通大学 | 面向网络安全告警关联的攻击图生成系统 |
US20100125830A1 (en) * | 2008-11-20 | 2010-05-20 | Lockheed Martin Corporation | Method of Assuring Execution for Safety Computer Code |
US8468113B2 (en) * | 2009-05-18 | 2013-06-18 | Tufin Software Technologies Ltd. | Method and system for management of security rule set |
-
2010
- 2010-12-21 US US13/881,176 patent/US9230067B2/en not_active Expired - Fee Related
- 2010-12-21 WO PCT/CN2010/080034 patent/WO2012083521A1/zh active Application Filing
- 2010-12-21 CN CN201080067255XA patent/CN102971741A/zh active Pending
- 2010-12-21 JP JP2013538027A patent/JP5615444B2/ja not_active Expired - Fee Related
- 2010-12-21 EP EP10861216.9A patent/EP2657872A4/en not_active Withdrawn
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006330864A (ja) * | 2005-05-24 | 2006-12-07 | Hitachi Ltd | サーバ計算機システムの制御方法 |
JP2008021274A (ja) * | 2006-06-15 | 2008-01-31 | Interlex Inc | プロセス監視装置及び方法 |
WO2010001766A1 (ja) * | 2008-07-02 | 2010-01-07 | 国立大学法人 東京工業大学 | 実行時間推定方法、実行時間推定プログラムおよび実行時間推定装置 |
JP2010211257A (ja) * | 2009-03-06 | 2010-09-24 | Sky Co Ltd | 操作監視システム及び操作監視プログラム |
CN101872400A (zh) * | 2009-04-24 | 2010-10-27 | 汪家祥 | 建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法 |
WO2011041871A1 (en) * | 2009-10-08 | 2011-04-14 | Irdeto Canada Corporation | A system and method for aggressive self-modification in dynamic function call systems |
Also Published As
Publication number | Publication date |
---|---|
US9230067B2 (en) | 2016-01-05 |
WO2012083521A1 (zh) | 2012-06-28 |
CN102971741A (zh) | 2013-03-13 |
US20130219464A1 (en) | 2013-08-22 |
EP2657872A1 (en) | 2013-10-30 |
JP5615444B2 (ja) | 2014-10-29 |
EP2657872A4 (en) | 2017-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6317435B2 (ja) | マルウェア検出のための複雑なスコアリング | |
JP6829718B2 (ja) | 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 | |
JP5420734B2 (ja) | オブジェクトへの制御されたアクセスを有するソフトウェアシステム | |
AU2006210698B2 (en) | Intrusion detection for computer programs | |
CN110912876A (zh) | 面向信息系统的拟态防御系统、方法及介质 | |
CN104866762B (zh) | 安全管理程序功能 | |
KR100843701B1 (ko) | 콜 스택에 기록된 정보를 이용한 에이피아이 확인방법 | |
CN105408911A (zh) | 硬件和软件执行概况分析 | |
CN104700026A (zh) | 基于java字节码插桩和java方法挂钩检测java沙箱逃逸攻击 | |
CN104081404A (zh) | 使用动态优化框架的应用沙盒化 | |
CN107908958B (zh) | SELinux安全标识符防篡改检测方法及系统 | |
US20060129880A1 (en) | Method and system for injecting faults into a software application | |
US8763129B2 (en) | Vulnerability shield system | |
US20160246590A1 (en) | Priority Status of Security Patches to RASP-Secured Applications | |
CN105426751A (zh) | 一种防止篡改系统时间的方法及装置 | |
CN102222189A (zh) | 一种保护操作系统的方法 | |
EP2224369B1 (en) | Method, SOA registry and SOA repository for granting a user secure access to resources of a process | |
EP3831031B1 (en) | Listen mode for application operation whitelisting mechanisms | |
JP5615444B2 (ja) | コンピュータシステムの実行動作を標準化する方法 | |
KR102525655B1 (ko) | 문서 저장 제어 방법 | |
CN108399330A (zh) | 监控可编程逻辑控制器的执行系统的系统和方法 | |
CN113296916A (zh) | 脚本调度方法、设备、存储介质及计算机程序产品 | |
Kornienko et al. | Methodology of conflict detection and resolution in cyber attacks protection software on railway transport | |
KR102454845B1 (ko) | 스마트 컨트랙트 재작성기 | |
KR100939076B1 (ko) | TLS Callback을 이용한 코드 변조 방지 방법 및시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140414 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140422 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140718 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140819 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140909 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5615444 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |