JP4320013B2 - 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体 - Google Patents

不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体 Download PDF

Info

Publication number
JP4320013B2
JP4320013B2 JP2005502932A JP2005502932A JP4320013B2 JP 4320013 B2 JP4320013 B2 JP 4320013B2 JP 2005502932 A JP2005502932 A JP 2005502932A JP 2005502932 A JP2005502932 A JP 2005502932A JP 4320013 B2 JP4320013 B2 JP 4320013B2
Authority
JP
Japan
Prior art keywords
instruction
virtual
data
instruction code
register
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005502932A
Other languages
English (en)
Other versions
JPWO2004077294A1 (ja
Inventor
和典 齋藤
Original Assignee
株式会社セキュアウェア
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社セキュアウェア filed Critical 株式会社セキュアウェア
Publication of JPWO2004077294A1 publication Critical patent/JPWO2004077294A1/ja
Application granted granted Critical
Publication of JP4320013B2 publication Critical patent/JP4320013B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Devices For Executing Special Programs (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Executing Machine-Instructions (AREA)

Description

本発明は、不正処理を実行するデータを検出する不正処理判定方法、データ処理装置、該データ処理装置を実現するためのコンピュータプログラム、及び該コンピュータプログラムが記録されているコンピュータでの読取りが可能な記録媒体に関する。
インターネット網の普及に伴い、各種の情報処理装置がコンピュータウィルス、クラッキング等の攻撃の対象となり、それらの脅威に晒される可能性が高くなってきている。例えば、近年、「ニムダ」、「コードレッド」等のコンピュータウィルスに代表されるように、システムプログラム又はウェブブラウザのようなアプリケーションプログラムの脆弱性(セキュリティホール)を利用して自己増殖させ、甚大な被害を与えたケースが存在する。
前述のようなコンピュータウィルス、クラッキング等による攻撃では、不正な処理を行う命令コード(以下、不正コードという)を含む攻撃データを攻撃対象であるサーバ装置、パーソナルコンピュータ等の情報処理装置に対して送信し、その情報処理装置にて前記命令コードが実行されるように構成されている。このような攻撃手法は様々なものが存在し、その1つとしてバッファオーバフローによる攻撃手法が知られている。バッファオーバフローでは、スタック内に確保されたバッファにおいて、確保されたバッファ以上のスタックエリアに書込みが行われている状態であり、バッファオーバフローの状態に陥った場合、予期せぬ変数破壊を招き、プログラムの誤動作の原因となり得る。バッファオーバフローによる攻撃では、プログラムの誤動作を意図的に引き起し、例えばシステムの管理者権限を取得することが行われる。
これらのコンピュータウィルス、クラッキング等の攻撃に対処するため、例えば、特開平9−319574号公報に記載されているように、不正コードにみられるような特定のビットパターンの有無を受信したデータに対して検出する処理が実行されていた。そして、そのようなビットパターンが受信したデータに含まれている場合には、不正コードを含んだ攻撃データであると判定し、データの受信拒否、ユーザへの報知等を行うようにしていた。
特開平9−319574号公報
そのため、従来の手法により様々なコンピュータウィルス、クラッキング等の攻撃に対処するためには、各コンピュータウィルス、クラッキングに対応した特定のビットパターンをデータベースに記憶させて予め用意しておく必要があり、新種のコンピュータウィルス、クラッキング手法が発見された場合には、前記データベースを更新して対処しなければならない。
ところで、攻撃データに対する従来の検出方法では、前述のように既知のビットパターンを検出するか、又はNOP命令(NOP:non−operation)の単純な繰り返しといった攻撃処理にとって、本質的とはいえない部分の構造を検出するようにしてきた。そのため、攻撃データのバリエーションに弱く、未知の攻撃データが現れる毎に、検出に用いるビットパターンのデータベースを更新する必要があり、データベースが更新されるまでのタイムラグが問題になっていた。
本発明は斯かる事情に鑑みてなされたものであり、その目的とするところは、不正な処理を行う命令コード群を検出するためのビットパターン等を予め用意する必要がなく、不正な処理を行う未知の命令コード群に対しても検出可能な不正処理判定方法、データ処理装置、該データ処理装置を実現するためのコンピュータプログラム、及び該コンピュータプログラムが記録されているコンピュータでの読取りが可能な記録媒体を提供することである。
本発明に係る不正処理判定方法は、CPU、メモリ、複数バイトからなるデータを受信する受信部、該受信部にて受信したデータを記憶するバッファメモリ、及び仮想レジスタと仮想スタックとを有する仮想CPU実行環境部を備えたデータ処理装置が、前記バッファメモリに記憶したデータを、不正処理の保護の対象とする保護対象CPUの命令コードとしてデコードする処理、及びデコードした命令コードを仮想的に実行し、前記仮想レジスタ及び仮想スタックで保持する内容を更新する処理を前記仮想CPU実行環境部にて行い、前記仮想CPU実行環境部にてデコードされた命令コードを含み、一連の処理を実行するための複数の命令コードからなる命令系列により不正処理が実行されるか否かを、前記CPUが前記仮想レジスタ及び仮想スタックを参照して解析及び判定する不正処理判定方法であって、前記仮想CPU実行環境部にてデコードされた命令コードの次の命令コードの開始位置を示す次命令開始位置を前記メモリに記憶させるステップと、前記仮想CPU実行環境部にてデコードされた命令コードの開始位置に一致する次命令開始位置が前記メモリに既に記憶されているか否かを判断するステップと、記憶されていると判断した場合、前記命令コードを追加した命令系列を解析及び判定の対象として設定し、記憶されていないと判断した場合、前記開始位置から始まる新たな命令系列を解析及び判定の対象として設定するステップと、設定した命令系列がシステムコールを起動するための命令コードを含み、前記仮想スタックに構成された文字列により表される外部コマンドが実行されるか否かを、前記仮想レジスタ及び前記仮想スタックに保持される内容を参照して解析するステップと、該ステップでの解析により、前記命令系列がシステムコールを起動するための命令コードを含み、前記文字列により表される外部コマンドが実行されると判断した場合、前記受信部にて受信したデータが不正処理を実行するデータであると判定するステップとを有し、前記命令系列についての解析及び判定が終了した場合、解析及び判定の対象を、前記バッファメモリ上で1バイト進めたデータをデコードして得られる命令コードを含んだ命令系列に再設定し、再設定した命令系列について前記各ステップによる処理を繰り返すことを特徴とする。
本発明に係るデータ処理装置は、CPU、メモリ、複数バイトからなるデータを受信する受信部、該受信部にて受信したデータを記憶するバッファメモリ、及び仮想レジスタと仮想スタックとを有する仮想CPU実行環境部を備え、前記バッファメモリに記憶したデータを、不正処理の保護対象とする保護対象CPUの命令コードとしてデコードする処理、及びデコードした命令コードを仮想的に実行して前記仮想レジスタ及び仮想スタックで保持する内容を更新する処理を前記仮想CPU実行環境部にて行い、前記仮想CPU実行環境部にてデコードされた命令コードを含み、一連の処理を実行するための複数の命令コードからなる命令系列により不正処理が実行されるか否かを、前記CPUが前記仮想レジスタ及び仮想スタックを参照して解析及び判定するデータ処理装置であって、前記仮想CPU実行環境部にてデコードされた命令コードの次の命令コードの開始位置を示す次命令開始位置を前記メモリに記憶させる手段と、前記仮想CPU実行環境部にてデコードされた命令コードの開始位置に一致する次命令開始位置が前記メモリに既に記憶されているか否かを判断する手段と、記憶されていると判断した場合、前記命令コードを追加した命令系列を解析及び判定の対象として設定し、記憶されていないと判断した場合、前記開始位置から始まる新たな命令系列を解析及び判定の対象として設定する手段と、設定した命令系列がシステムコールを起動するための命令コードを含み、前記仮想スタックに構成された文字列により表される外部コマンドが実行されるか否かを、前記仮想レジスタ及び前記仮想スタックに保持される内容を参照して解析する手段と、該手段による解析により、前記命令系列がシステムコールを起動するための命令コードを含み、前記文字列により表される外部コマンドが実行されると判断した場合、前記受信部にて受信したデータが不正処理を実行するデータであると判定する手段とを備え、前記命令系列についての解析及び判定が終了した場合、解析及び判定の対象を、前記バッファメモリ上で1バイト進めたデータをデコードして得られる命令コードを含んだ命令系列に再設定し、再設定した命令系列について前記各手段による処理を繰り返すようにしてあることを特徴とする。
本発明に係るデータ処理装置は、即値を前記仮想スタックへ退避させる処理が2回以上実行されたか否かを解析することにより、前記仮想スタックに文字列が構成されたかを判断するようにしてあることを特徴とする。
本発明に係るデータ処理装置は、デコードして得られる命令コードがmov命令であり、該mov命令がレジスタへの即値の読込みを示す場合、前記仮想レジスタに前記即値を記憶させ、前記mov命令がレジスタへの前記メモリの値の読込みを示す場合、前記仮想レジスタに0を記憶させ、前記mov命令がレジスタへの該レジスタの値の読込みを示す場合、前記値を前記仮想レジスタに記憶させ、デコードして得られる命令コードがlea命令であり、該lea命令により即値をレジスタへ読み込むことになる場合、前記仮想レジスタに前記即値を記憶させ、デコードして得られる命令コードがpush命令であり、該push命令がレジスタの値をスタックへ退避させる場合、前記仮想レジスタの値が0でなければ、前記仮想レジスタの値を前記仮想スタックへ退避させ、即値を前記仮想スタックへ退避させる処理を計数するカウンタを1だけインクリメントし、前記push命令が即値をスタックへ退避させる場合、前記即値を前記仮想スタックへ退避させ、前記カウンタを1だけインクリメントし、デコードして得られる命令コードがcall命令である場合、前記仮想スタック及び前記カウンタを初期化し、デコードして得られる命令コードが演算命令であり、演算結果をレジスタへ書き込む場合、前記演算命令による演算を前記仮想レジスタを用いて実行することにより、即値を前記仮想スタックへ退避させる処理が2回以上実行されたか否かを解析するようにしてあることを特徴とする。
本発明に係るデータ処理装置は、受信したデータが不正処理を実行するデータであると判断した場合、外部へその旨の情報を報知する手段を更に備えることを特徴とする。
本発明に係るコンピュータプログラムは、入力された複数バイトからなるデータをバッファメモリに記憶させ、仮想レジスタ及び仮想スタックを備えた仮想CPU実行環境部にて、前記バッファメモリに記憶させたデータを、不正処理の保護の対象とする保護対象CPUの命令コードとしてデコードする処理、及びデコードした命令コードを仮想的に実行させて前記仮想レジスタ及び仮想スタックで保持する内容を更新する処理を実行させ、前記仮想CPU実行環境部にてデコードされた命令コードを含み、一連の処理を実行するための複数の命令コードからなる命令系列により不正処理が実行されるか否かを解析及び判定させる手順をコンピュータに実行させるコンピュータプログラムであって、コンピュータに、前記仮想CPU実行環境部にてデコードされた命令コードの次の命令コードの開始位置を示す次命令開始位置を記憶させるステップと、コンピュータに、前記仮想CPU実行環境部にてデコードされた命令コードの開始位置に一致する次命令開始位置が既に記憶されているか否かを判断させるステップと、コンピュータに、記憶されていると判断した場合、前記命令コードを追加した命令系列を解析及び判定の対象として設定させ、記憶されていないと判断した場合、前記開始位置から始まる新たな命令系列を解析及び判定の対象として設定させるステップと、コンピュータに、設定させた命令系列がシステムコールを起動するための命令コードを含み、前記仮想スタックに構成された文字列により表される外部コマンドが実行されるか否かを、前記仮想レジスタ及び前記仮想スタックに保持される内容を参照させて解析させるステップと、コンピュータに、該ステップでの解析により、前記命令系列がシステムコールを起動するための命令コードを含み、前記文字列により表される外部コマンドが実行されると判断した場合、入力されたデータが不正処理を実行するデータであると判定させるステップと、コンピュータに、前記命令系列についての解析及び判定が終了した場合、解析及び判定の対象を、前記バッファメモリ上で1バイト進めたデータをデコードして得られる命令コードを含んだ命令系列に再設定させ、再設定させた命令系列について前記各ステップによる処理を繰り返し実行させるステップとを有することを特徴とする。
本発明に係るコンピュータでの読取りが可能な記録媒体は、入力された複数バイトからなるデータをバッファメモリに記憶させ、仮想レジスタ及び仮想スタックを備えた仮想CPU実行環境部にて、前記バッファメモリに記憶させたデータを、不正処理の保護の対象とする保護対象CPUの命令コードとしてデコードする処理、及びデコードした命令コードを仮想的に実行させて前記仮想レジスタ及び仮想スタックで保持する内容を更新する処理を実行させ、前記仮想CPU実行環境部にてデコードされた命令コードを含み、一連の処理を実行するための複数の命令コードからなる命令系列により不正処理が実行されるか否かを解析及び判定させる手順をコンピュータに実行させるコンピュータプログラムが記録されているコンピュータでの読取りが可能な記録媒体であって、コンピュータに、前記仮想CPU実行環境部にてデコードされた命令コードの次の命令コードの開始位置を示す次命令開始位置を記憶させるステップと、コンピュータに、前記仮想CPU実行環境部にてデコードされた命令コードの開始位置に一致する次命令開始位置が既に記憶されているか否かを判断させるステップと、コンピュータに、記憶されていると判断した場合、前記命令コードを追加した命令系列を解析及び判定の対象として設定させ、記憶されていないと判断した場合、前記開始位置から始まる新たな命令系列を解析及び判定の対象として設定させるステップと、コンピュータに、設定させた命令系列がシステムコールを起動するための命令コードを含み、前記仮想スタックに構成された文字列により表される外部コマンドが実行されるか否かを、前記仮想レジスタ及び前記仮想スタックに保持される内容を参照させて解析させるステップと、コンピュータに、該ステップでの解析により、前記命令系列がシステムコールを起動するための命令コードを含み、前記文字列により表される外部コマンドが実行されると判断した場合、入力されたデータが不正処理を実行するデータであると判定させるステップと、コンピュータに、前記命令系列についての解析及び判定が終了した場合、解析及び判定の対象を、前記バッファメモリ上で1バイト進めたデータをデコードして得られる命令コードを含んだ命令系列に再設定させ、再設定させた命令系列について前記各ステップによる処理を繰り返し実行させるステップとを有するコンピュータプログラムが記録されていることを特徴とする。
本発明にあっては、記憶手段からデータをバイト単位で順次的に読出して不正処理を実行する命令コードが含まれているか否かを判定する際、読出し位置が異なる複数のデータ系列について、例えば、外部コマンド及びシステムコールに引き渡すパラメータ等の不正処理を実行する際に用いる文字列を生成するか否かを検出するようにしている。したがって、通常のデータ(実行コード)には見られないような普遍的構造に着目して検出を行うことで、未知の不正コードが現れたときでも、不正コードの本質的な処理内容が変わらない限り対処することが可能となる。また、本発明では命令コード毎に検出を行うため、検出の開始位置をどこに設定するかによって検出結果が異なる場合が生じるが、読出し位置を順次異ならせた複数のデータ系列について検出するようにしているため、誤った判定が少なくなり、検出精度を高めることができる。
また、本発明にあっては、文字コードを生成する処理を実行する命令コードの後に、システムコールを起動する命令コードが含まれているか否かを検出するようにしているため、生成した文字コードからなるパラメータをシステムコールに引き渡している蓋然性が高く、不正処理を実行させる命令コードが含まれていると判定することができる。
更に、本発明にあっては、生成する文字コードをデータ中の即値に対応させているため、レジスタ領域及びスタック領域を監視することで、容易に不正コードの有無を検出することが可能となり、検出精度を高めることができる。
更に、本発明にあっては、検出したデータ系列が不正処理を実行するデータであると判定した場合、外部へその旨を報知するようにしている。したがって、不正コードを検出した時点で通信の遮断等を行って、当該不正コードにより生じる不具合を防止することが可能となる。
以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。
(第1実施の形態)
図1は本実施の形態に係るデータ処理装置のブロック図である。図中10は、データ処理装置であり、CPU11、外部ネットワークへ接続するための通信インタフェース15a、及び内部ネットワークへ接続するための通信インタフェース15bを備えている。データ処理装置10は、具体的にはルータ、ブロードバンドルータ、スイッチ等の通信ネットワーク上で送受信されるデータを中継するための装置であり、通信インタフェース15aには通信相手となる情報処理装置及び通信装置等が外部ネットワークを介して接続され、通信インタフェース15bにはユーザが利用する情報処理装置及び通信装置等が内部ネットワークを介して接続される。前記情報処理装置には、パーソナルコンピュータ、ワークステーション、サーバ装置、PDA(Personal Digital Assistant)等が含まれ、前記通信装置には携帯電話機等が含まれる。
CPU11には、メモリ12、バッファメモリ13、及びルーティング部14等のハードウェアが接続されており、CPU11がメモリ12に予め格納された制御プログラムを読込んで実行することにより前述の各ハードウェアを制御し、外部ネットワークと内部ネットワークとの間で送受信される各種データを中継する装置として動作させる。また、メモリ12には、各ハードウェアを動作させるための制御プログラムの他、通信経路を定めるために送信先のネットワークアドレスを記憶したルーティングテーブル、及び本発明のコンピュータプログラムが格納されている。
内部ネットワーク側から外部ネットワーク側へデータを送信する際にデータ処理装置10の通信インタフェース15bが当該データを受信した場合、CPU11はメモリ12内に格納されたルーティングテーブルを参照して通信経路を定め、定めた通信経路に従ってルーティング部14を制御する。そして、通信インタフェース15aを介して送信先の情報処理装置又は通信装置へデータを送信する。
また、外部ネットワーク側から内部ネットワーク側へ送信するデータは、前述と同様の手順に従ってデータ処理装置10により中継される。このときデータ処理装置10は、通信インタフェース15aにて受信した外部ネットワーク側からのデータを一時的にバッファメモリ13に記憶させ、記憶させたデータについて解析することにより、ある特定のCPU(以下、保護対象CPUという)について不正処理を実行させるような命令コード(以下、不正コードという)がそのデータに含まれているか否かを判定する。バッファメモリ13に記憶させたデータを解析・判定するにあたって、CPU11は、本発明のコンピュータプログラムをメモリ12から読込んで実行し、自身の内部にデータを解析・判定するための環境を与える仮想CPU実行環境部11aを作成する。仮想CPU実行環境部11aは、保護対象CPUが用いるレジスタ、スタックに対応する仮想レジスタ、仮想スタック等を備えており、解析対象のデータを保護対象CPUの命令コードと解釈して仮想的にデコードし、そのときに生成されたパラメータ等を記憶する。そして、CPU11は、仮想CPU実行環境部11aが備える仮想レジスタ及び仮想スタックの状態等を監視することで不正コードの有無を判定する。
なお、本実施の形態では、CPU11、メモリ12、及びバッファメモリ13を夫々個別に設ける構成としたが、バッファメモリ及び本発明のコンピュータプログラムを記憶したIC(Integrated Circuit)を1つのチップに実装したASIC(Application Specified IC)等を設ける構成としても良い。
図2はデータ処理装置10が実行する処理を説明する模式図である。データ処理装置10が実行する処理は、大別して(1)外部ネットワークからのデータの受信、(2)解析対象とするデータの抽出、(3)解析対象のデータから派生させた複数の命令系列に対する解析、(4)各命令系列における不正コードの検出、に分かれる。以下では各処理について説明する。
(1)データの受信
データ処理装置10の通信インタフェース15aは、接続された外部ネットワークの通信規格に準拠した通信手順に従って所定の単位(例えば、パケット単位)でデータを受信する。受信するデータの各単位は所定のバイト長を有しており、送信元及び送信先のアドレス情報を含んだ通信ヘッダ、並びにユーザが任意に作成したユーザデータから構成される。ユーザデータには、ユーザが所望する処理を実行させるための命令コードが含まれており、当該命令コードによって不正処理が実行される虞がある。
(2)解析対象データの抽出
そこで、データ処理装置10は、受信したデータをバイト単位で順次的に抽出し、バッファメモリ13に記憶させて解析を行う。データの抽出を開始する位置、すなわち解析開始位置は予め定められた任意の位置とすることができる。例えば、受信したデータの先頭バイトを解析開始位置としても良く、通信ヘッダを除いたユーザデータの先頭バイトを解析開始位置としても良い。また、解析対象として抽出したデータを記憶させるバッファメモリ13のバッファサイズは予め定められており、保護対象CPUがデコードすることができる命令コードの内、最大の命令長を有する命令コードが少なくとも1つ以上記憶されるようなサイズに予め設定されている。
(3)複数の命令系列の解析
次いで、バッファメモリ13に記憶させた解析対象データについて複数の命令系列を派生させながら解析を行う。ここで、命令系列とは解析対象データについて指定した位置から始まる保護対象CPUの命令コードの並びをいう。
CPU11は、解析対象データについて解析を行うにあたり、バッファメモリ13の先頭バイトから順次的に1バイトずつデータを読込む。CPU11は、読込んだ1バイトのデータが保護対象CPUにおいてどのような命令コードの先頭バイトに該当するかを解釈し、その解釈結果に基づいて命令の種類、次の命令の開始位置、及び当該命令で使用されるパラメータを記憶する。実際には本発明のコンピュータプログラム中に保護対象CPUで使用される命令コードの先頭バイトの文字コードと、当該命令コードの命令長及び使用されるパラメータ等との間の対応関係を規定したテーブル(以下、命令テーブルという)を有しており、CPU11が本発明のコンピュータプログラムをロードした際に前記命令テーブルがメモリ12上に格納される。CPU11は、当該命令テーブルを参照することによって、バッファメモリ13から読込んだ1バイトのデータの解釈を行う。
読込んだ1バイトのデータの解釈を終えた後、バッファメモリ13からの読出し位置に対応する解析開始バッファ位置を1バイトずらして更にデータを1バイト読込み、読込んだデータの読出し位置を先頭バイトとした命令系列について解析を行う。このような処理を解析開始バッファ位置を順次的にずらしながら繰返して実行することにより、読出し位置が異なる複数の命令系列について解析を行う。
また、解析を終えたバッファメモリ13の解析開始バッファ位置には、受信したデータから次の読込みデータ位置のデータが記憶される。
(4)不正コードの検出
次いで、データ処理装置10のCPU11は、仮想CPU実行環境部11aが備える仮想レジスタ及び仮想スタックの状態等に基づいて、外部コマンドの文字列又はシステムコールに引き渡すパラメータ等を生成させるような命令コードを含んだ命令系列を検出するようにしており、前記命令系列を検出した場合、不正コードを検出したと判定する。以下では、外部コマンドのコマンド名を構成する文字列を生成するような不正コードについて説明を行う。
攻撃者が実行させたい外部コマンドのコマンド名の文字列をスタック上に作成する場合、例えば、即値をスタック上へ直接プッシュして前記文字列をスタック上に組上げる手法、レジスタに一度書込んだ即値をスタック上へプッシュして、前記文字列をスタック上に組上げる手法、又はレジスタに書込んだ即値を利用して演算処理を行い、その演算結果をスタックへプッシュして前記文字列をスタック上に組上げる手法等が採られる。
図2に示した例では、mov命令によってレジスタaxに即値Aを書込み、書込んだ即値Aをpush命令によってスタック上にプッシュしている。また、同様に、mov命令によってレジスタbxに即値Bを書込み、書込んだ即値Bをpush命令によってスタック上にプッシュしている。即値A及び即値Bを何らかの文字コードに対応させることによって、スタック上に所望の文字列を作成することが可能となり、作成した文字列を外部コマンドとして実行するようにしている。
したがって、前述のような処理を実行する命令コード群をデータ処理装置10により検出する場合は、レジスタ及びスタックの状態を監視することによって、不正処理を実行する外部コマンドの文字列がスタック上に作成されようとしているか否かを検出することができる。なお、本実施の形態では、受信したデータを保護対象CPUの命令コードであると解釈し、実際のレジスタ及びスタックの状態を、仮想CPU実行環境部11a内の仮想スタック及び仮想レジスタに反映させることによって監視するようにしている。
そして、前述のような命令コード群はコンパイラによって生成される一般的なコードではないため、データ処理装置10がこのような命令コード群を検出した場合、不正コードが含まれている蓋然性が高いと判定する。
図3は解析対象データの構成を説明する模式図である。保護対象CPUで使用される命令コードの命令長は必ずしも一定ではなく、様々な命令長の命令コードを使用する場合がある。また、受信するデータには、例えば、画像データ、文書データ等の命令コードではない単なるデータが含まれている場合もある。したがって、解析対象とするデータの読出し位置を適切に設定しないときは、命令コードを正しく解釈できない虞があり、不正コードの有無についての判定を誤る場合が生じる。
そこで、本実施の形態では、単なるデータと命令コードとの境界及び2つの命令コード間の境界(命令境界)を正しく把握するために、バッファメモリ13に記憶させた解析対象のデータを1バイトずつ読込み、それをある命令コードの先頭バイトとみなしてデータの解析を進める。前述した命令テーブルを参照することにより、読込んだ1バイトのデータから次の命令コードの位置が分かるため、順次的に命令コードを把握することが可能となり、解析対象データを複数の命令コードが連続した1つの並び(命令系列)と解釈することができる。また、1バイトずつデータの読込み位置をずらしながら解釈を行うため、先頭バイトの位置がそれぞれ異なる複数の命令系列を順次的に派生させることができ、それらの命令系列の中に含まれることとなる正しい命令境界を持つ命令系列について解析を行うことが可能となる。
以下、図3を用いて具体的に説明する。図3に示した解析対象データは、先頭から4バイトの単なるデータ、2バイトの命令コード(命令1)、4バイトの命令コード(命令2)、4バイトの命令コード(命令3)、1バイトの命令コード(命令4)…が連続したデータである。まず、解析開始バッファ位置をb1に設定して1バイトのデータを読込み、命令内容、次の命令コードの位置、及びその命令コードで使用されるパラメータ等の情報を取得するとともに、b1を先頭バイトとした命令系列1についての解析を始める。そして、解析開始バッファ位置をb2,b3,b4…と順次的にずらしながら、各読込み位置が先頭バイトとなる命令系列2、命令系列3、命令系列4…についての解析を同時並行して行う。図3に示した例では、b5の位置を先頭バイトとした命令系列5が正しい命令コードの並びとなり、命令系列5を解析したときに外部コマンドの文字列を生成させるような命令コード群が検出された場合に、不正コードを検出したと判定する。
なお、b7から始まるデータ系列7、b11から始まるデータ系列11、及びb15から始まるデータ系列15等はデータ系列5の一部として含まれているため、データの解析を省略することができる。
以下では、データ処理装置10による不正コードの検出手順について説明する。図4及び図5はデータ処理装置10による不正コードの検出手順を説明するフローチャートである。外部ネットワークからのデータを通信インタフェース15aにて受信した場合、まず、読込みデータ位置、及び解析開始位置を初期化し(ステップS1)、バッファメモリ13へデータを読込む(ステップS2)。この初期段階での読込みでは、バッファメモリ13のバッファサイズ分だけデータを読込む。そして、読込データ位置にバッファサイズを加算した位置を次の読込データ位置として設定する(ステップS3)。また、解析中の命令系列がある場合には、その命令系列の集合を初期化する(ステップS4)。
そして、解析開始バッファ位置のデータが受信したデータの終端であるか否かを判断する(ステップS5)。解析開始バッファ位置のデータが終端した場合(S5:YES)、本フローチャートによる不正コードの検出処理を終了し、解析開始バッファ位置のデータが終端していない場合(S5:NO)、解析開始バッファ位置のデータを1バイト読込む(ステップS6)。次いで、読込んだ1バイトのデータに基づいて次の命令開始位置、命令の種類、及びパラメータを取得し、それらをメモリ12に記憶させる(ステップS7)。
次いで、CPU11は、解析中の命令系列の中で、現在位置が記憶させた次の開始位置に一致する命令系列があるか否かを判断する(ステップS8)。現在位置と記憶させた次の開始位置とが一致する命令系列がある場合(S8:YES)、それらすべての命令系列について後述する解析・判定処理を実行する(ステップS10)。
現在位置が記憶させた次の開始位置に一致する命令系列がない場合(S8:NO)、現在位置から始まる命令系列を解析・判定処理の対象とするために新しい命令系列として追加した上で(ステップS9)、解析・判定処理を実行する(S10)。
次いで、書込みバッファ位置を解析開始バッファ位置とし(ステップS11)、読込みデータ位置を1つだけ増加させる(ステップS12)。そして、読込みデータ位置からバッファメモリ13上の書込みバッファ位置へデータを1バイト読込む(ステップS13)。次いで、解析バッファ位置を1つだけ増加させた値をバッファサイズで除算したときの余りを次の解析開始バッファ位置として設定し(ステップS14)、処理をステップS5へ戻し、解析を繰返し行う。
図6は解析・判定処理ルーチンの手順を説明するフローチャートである。バッファメモリ13から読込んだ1バイトのデータが命令コードの先頭バイトに該当するものを含んだ命令系列の全てについて後述の解析処理を行う(ステップS21)。解析処理については後に詳述することとするが、ここでは、読込んだ1バイトのデータを元に命令テーブルを参照して、命令の内容及び使用するパラメータ、並びに次の命令の位置等を記憶するとともに、仮想CPU実行環境部11a内の仮想スタック内の状態を監視して解析を行う。
解析処理が終了した場合、CPU11は解析した命令系列が終端したか否かを判断し(ステップS22)、また、命令系列が終了していない場合(S22:NO)、本解析・判定処理ルーチンを終了して、図5のステップS11の処理へ移行させる。
また、命令系列が終端したと判定した場合(S22:YES)、後述する判定処理を行う(ステップS23)。そして、CPU11は、その判定処理の結果を受けて不正コードを検出したか否かを判断し(ステップS24)、不正コードを検出していないと判断した場合(S24:NO)、現在の命令系列を削除し(ステップS26)、不正コードを検出したと判断した場合(S24:YES)、不正コードを検出した旨の情報を出力する(ステップS25)。情報の出力は、通信インタフェース15bを介して内部ネットワークに接続された情報処理装置へ送信する構成であってもよく、また、データ処理装置10に文字情報として表示する表示部、又は光を放出して報知する表示灯を設けて出力する構成であってもよい。また、不正コードを検出した場合には通信を遮断するような処理を行う構成としても良い。
図7は不正コードの一例を示す模式図である。図7(a)は実際の不正コードの一部を示している。ここで、注目すべき点は、ラベル<Shellcode+211>の処理でスタック上に即値(0x68732f6e)をプッシュしていること、及びラベル<Shellcode+216>の処理でスタック上に即値(0x69622f2f)をプッシュしていることである。
すなわち、図7(b)に示したように、ラベル<Shellcode+211>の処理が実行された段階で、スタックの低位側から順に”n”,”/”,”s”,”h”という4バイトの文字列が作成され、ラベル<Shellcode+216>の処理が実行された段階で、スタックの低位側から順に”/”,”/”,”b”,”i”,”n”,”/”,”s”,”h”という8バイトの文字列が作成されることとなる。
そして、ラベル<Shellcode+231>の処理において、続くint命令で使用される機能番号が指定され、ラベル<Shellcode+233>の処理でシステムコールが呼出され、作成した文字列(//bin/sh)で指定されるプログラム(外部コマンド)が実行される構成となっている。
図8は不正コードの他の例を示す模式図である。図8(a)は実際の不正コードの一部を示している。この例では、ラベル<bsdcode+11>及びラベル<bsdcode+18>の処理によって2つの即値をそれぞれレジスタに書込み、ラベル<bsdcode+22>の処理でそれら2つの即値の論理演算を行い、ラベル<bsdcode+24>の処理でスタックへ論理演算の結果をプッシュしている。この段階でスタックへプッシュするレジスタの値は0x68732f2fであり、スタックの低位側から順に”/”,”/”,”s”,”h”という4バイトの文字列が作成されることとなる(図8(b)参照)。
また、ラベル<bsdcode+25>の処理によって3つ目の即値(0x61a0b49)をレジスタに書込み、ラベル<bsdcode+30>の処理において、ラベル<bsdcode+11>の処理で書込んだ即値との論理演算を行い、ラベル<bsdcode+32>の処理でスタックへ論理演算の結果をプッシュしている。この段階でスタックへプッシュするレジスタの値は0x6e69622fであり、スタックの低位側から順に”/”,”b”,”i”,”n”,”/”,”/”,”s”,”h”という8バイトの文字列が作成されることとなる(図8(b)参照)。
そして、ラベル<bsdcode+40>の処理において、続くint命令で使用される機能番号が指定され、ラベル<bsdcode+43>の処理でシステムコールが呼出され、作成した文字列(/bin//sh)によるプログラム(外部コマンド)が実行される構成となっている。
図7及び図8に示した命令コード群に共通した特徴は、(1)即値を直接的に、又は間接的にスタック上へ2回以上プッシュしていること、(2)call命令が実行されることなくint命令が実行されていることである。すなわち、(1)によって、攻撃者が実行させたい外部コマンド名の文字列をスタック上に作成し、(2)によってシステムコールを呼び出して当該外部コマンドを実行させるようにしている。また、外部コマンド名にはパスの区切りを示す”/”が含まれていることが多いため、その文字コードが外部コマンド名の文字列に含まれているか否かという条件を課すことによって誤検出率を小さくして、検出精度を高めることも可能である。また、int命令で使用される機能番号に0x3bが使われているか否かという条件を更に課して、検出精度を更に高める構成であっても良い。
なお、(2)において、int命令が実行される前にcall命令が実行された場合には、作成した文字列は呼出し先の関数へ引渡すパラメータと解釈できるため、不正コードであると判定することは出来ない。
図9〜図11は解析処理ルーチンの処理手順を説明するフローチャートである。データ処理装置10のCPU11は、前述の命令テーブルを参照することにより、バッファメモリ13から読込んだ1バイトのデータから始まる命令コードがmov命令であるか否かを判断する(ステップS31)。mov命令であると判断した場合(S31:YES)、当該mov命令で使用されるパラメータを参照し、レジスタへの即値の読込みであるか否かを判断する(ステップS32)。レジスタへの即値の読込みであると判断した場合(S32:YES)、仮想CPU実行環境部11aの仮想レジスタに即値を記憶させ(ステップS33)、処理を解析・判定処理ルーチンへ戻す。
レジスタへの即値の読込みでないと判断した場合(S32:NO)、レジスタへのメモリの値の読込みであるか否かを判断する(ステップS34)。レジスタへのメモリの値の読込みであると判断した場合(S34:YES)、対応する仮想レジスタに0を記憶させ(ステップS35)、処理を解析・判定処理ルーチンへ戻す。
レジスタへのメモリの値の読込みでないと判断した場合(S34:NO)、レジスタへのレジスタの値の読込みか否かを判断する(ステップS36)。レジスタへのレジスタの値の読込みであると判断した場合(S36:YES)、対応する仮想レジスタに仮想レジスタの値を記憶させ(ステップS37)、処理を解析・判定処理ルーチンへ戻す。また、レジスタの値の読込みでないと判断した場合も(S36:NO)、処理を解析・判定処理ルーチンへ戻す。
ステップS31において、mov命令でないと判断した場合(S31:NO)、バッファメモリ13から読込んだ1バイトのデータから始まる命令コードがlea命令であるか否かを判断する(ステップS38)。ここで、lea命令とは有効なアドレスをロードするための命令である。lea命令であると判断した場合(S38:YES)、当該lea命令によって即値を読込む結果となるか否かを判断する(ステップS39)。即値を読込む結果となる場合(S39:YES)、対応する仮想レジスタへ即値を記憶させ(ステップS40)、処理を解析・判定処理ルーチンへ戻す。また、即値を読込む結果とならない場合(S39:NO)、処理を解析・判定処理ルーチンへ戻す。
ステップS38において、lea命令でないと判断した場合(S38:NO)、バッファメモリ13から読込んだ1バイトのデータから始まる命令コードがpush命令であるか否かを判断する(ステップS41)。push命令であると判断した場合(S41:YES)、当該push命令で使用されるパラメータを参照することにより、レジスタの値をプッシュするか否かを判断する(ステップS42)。レジスタの値をプッシュする場合(ステップS42:YES)、対応する仮想レジスタの値は0であるか否かを判断する(ステップS43)。対応する仮想レジスタの値が0である場合(S43:YES)、処理を解析・判定処理ルーチンへ戻す。また、対応する仮想レジスタの値が0でない場合(S43:NO)、仮想レジスタの値を仮想スタックへプッシュする(ステップS44)。そして、プッシュカウンタを1だけ増加させ(ステップS45)、処理を解析・判定処理ルーチンへ戻す。ここで、プッシュカウンタとは、仮想スタックへプッシュする回数を数えるためのカウンタである。
また、ステップS42において、レジスタの値をプッシュしないと判断した場合(S42:NO)、即値をプッシュするか否かを判断する(ステップS46)。即値をプッシュする場合(S46:YES)、プッシュされる値を仮想スタックへプッシュし(ステップS47)、プッシュカウンタを1だけ増加させる(ステップS48)。そして、処理を解析・判定処理ルーチンへ戻す。また、即値をプッシュしないと判断した場合(S46:NO)、処理を解析・判定処理ルーチンへ戻す。
ステップS41において、push命令でないと判断した場合(S41:NO)、バッファメモリ13から読込んだ1バイトのデータから始まる命令コードがcall命令であるか否かを判断する(ステップS49)。call命令であると判断した場合(S49:YES)、仮想スタック及びプッシュカウンタを初期化して(ステップS50)、処理を解析・判定処理ルーチンへ戻す。
ステップS49でcall命令でないと判断した場合(S49:NO)、バッファメモリ13から読込んだ1バイトのデータから始まる命令コードが演算命令であるか否かを判断する(ステップS51)。検出すべき演算命令には、算術演算に関する命令、及び論理演算に関する命令が含まれる。演算命令であると判断した場合(S51:YES)、当該演算命令による演算結果をレジスタへ書込むか否かを判断する(ステップS52)。演算結果をレジスタへ書込むと判断した場合(S52:YES)、対応する演算命令を仮想レジスタを用いて実行し(ステップS53)、処理を解析・判定処理ルーチンへ戻す。また、演算結果をレジスタに書込まない場合(S52:NO)、処理を解析・判定処理ルーチンへ戻す。
ステップS51において、演算命令でないと判断した場合(S51:NO)、バッファメモリ13から読込んだ1バイトのデータから始まる命令コードがint命令であるか否かを判断する(ステップS54)。int命令であると判断した場合(S54:YES)、int命令を検出した旨をメモリ12に記憶させ(ステップS55)、処理を解析・判定処理ルーチンへ戻す。
なお、プッシュカウンタが1より大きい状態でint命令が検出された場合には、前述のシェルコード又はシステムコールに引き渡すパラメータを表す文字コードが生成されている蓋然性が高くなるので、続く解析・判定処理ルーチンのステップS22の判断において命令系列が終端したものとみなし、判定処理(S23)を行わせる。
ステップS54においてint命令でないと判断した場合(S54:NO)、バッファメモリ13から読込んだ1バイトのデータから始まる命令コードがret命令、lret命令、int3命令、又はiret命令の何れかであるか否かを判断する(ステップS56)。これらの命令は何れも呼出先のルーチンから呼出元のルーチンへ制御を戻すための命令を表している。前述の何れかの命令である場合には(S56:YES)、現在解析している命令系列を終端させ(ステップS57)、処理を解析・判定処理ルーチンへ戻す。また、前述の何れの命令でもないと判断した場合(S56:NO)、命令系列を終端させることなく、処理を解析・判定処理ルーチンへ戻す。
図12は判定処理ルーチンの処理手順を説明するフローチャートである。データ処理装置10のCPU11は、前述の解析処理ルーチンによって終端した命令系列にint命令が検出されているか否かを判断する(ステップS61)。int命令が検出されていない場合(S61:NO)、割込み処理によりシステムコールが呼出されて外部コマンドが実行されることがないため、不正コード無しと判定する(ステップS62)。
解析処理により終端した命令系列にint命令が検出されている場合(S61:YES)、CPU11は、プッシュカウンタが1より大きいか否かを判断する(ステップS63)。プッシュカウンタが0又は1であると判断した場合(S63:NO)、攻撃者が実行させたい外部コマンド名の文字列が生成されていないとみなすことができるため、不正コード無しと判定する(S62)。
プッシュカウンタが1よりも大きいと判断した場合(S63:YES)、仮想スタックにパスの区切りを表す”/”に対応する文字コードがあるか否かを判断する(ステップS64)。仮想スタックに前記文字コードがない場合(S64:NO)、不正コード無しと判定する(S64)。また、仮想スタックに前記文字コードがある場合(S64:YES)、割込み処理によってシステムコールが呼出されて外部コマンドが実行される蓋然性が高いと判断し、不正コード有りと判定する(ステップS65)。
なお、本実施の形態では、不正コードの検出精度を高めるために外部コマンドにパスの区切りを示す”/”が仮想スタックに含まれているか否かを判断して傍証を行っているが、ステップS63において、プッシュカウンタが1よりも大きいことを検出した段階で何らかの外部コマンド名の文字列が生成されたと判断し、不正コード有りと判定するようにしても良い。したがって、検出精度が要求されるような環境での使用が予定されている場合にはステップS64による傍証まで行い、検出精度が要求されないような環境での使用が予定されている場合にはステップS64による傍証を省略することも可能である。
また、本実施の形態では、パスの区切りを表す文字コードの例として”/”を挙げたが、異なる種類の保護対象CPUでは、パスの区切りを示す文字コードとして”¥”が使用されている場合もあり、傍証に用いる文字コードは必ずしも”/”に限定されず、保護対象CPUの種類に応じて予め設定しておくことが必要となる。
(第2実施の形態)
実施の形態1では、ルータ、ブロードバンドルータ、スイッチ等のデータ通信で利用される中継装置に本発明を適用した形態について説明したが、パーソナルコンピュータ、サーバ装置、携帯電話機、PDA等の通信機能を有した情報処理装置に適用することも可能である。
図13は本実施の形態に係るデータ処理装置の構成を説明する模式図である。図中100は、パーソナルコンピュータのような情報処理装置であり、情報処理装置100は、CPU101を備えており、バス102を介して、ROM103、RAM104、操作部105、表示部106、通信部107、内部記憶装置108、及び補助記憶装置109等の各種ハードウェアに接続されている。CPU101は、ROM103に格納された制御プログラムに従って、それらのハードウェアを制御する。RAM104は、SRAM又はフラッシュメモリ等で構成され、ROM103に格納された制御プログラムの実行時に発生するデータ、通信部107を介して受信した外部ネットワークからの各種のデータを受信する。
操作部105は、キーボード、マウス等の入力装置であり、表示部106は、CRT、液晶ディスプレイ等の表示装置である。操作部105及び表示部106は、例えば、送信すべきデータの入力及び表示をする際に利用される。通信部107は、モデム等の回線終端装置を備えており、外部ネットワークとの間でやり取りされる各種データの送受信を制御する。
補助記憶装置109は、本発明のコンピュータプログラム等を記録したFD、CD−ROM等の記録媒体Mからコンピュータプログラム等を読取るFDドライブ、CD−ROMドライブ等からなり、読取られたコンピュータプログラム等は、内部記憶装置108に格納される。内部記憶装置108に格納されたコンピュータプログラムは、CPU101からの指示に応じて適宜RAM104に読込まれて実行される。CPU101が本発明のコンピュータプログラムを実行することで情報処理装置100は、通信部107にて受信したデータから不正コードを検出する装置として機能する。
前述のコンピュータプログラムは、情報処理装置100の起動時に自動的にRAM104に読込まれる常駐型のプログラムであることが望ましく、通信部107にて外部からデータを受信した際に、自動的に不正コードを検出するようにしておくとよい。なお、不正コードの検出手順については、実施の形態1で説明した通りであるので説明を省略する。
なお、本発明のコンピュータプログラムは、記録媒体Mにより提供される形態として説明したが、通信部107を介した通信手段によって提供される形態であってもよい。
本実施の形態では、パーソナルコンピュータのような情報処理装置100を利用して不正コードを検出する構成としたが、パーソナルコンピュータの他、携帯電話機、PDA、コンピュータゲーム機、車載通信装置、各種の情報家電に適用できることは勿論である。
また、本発明のコンピュータプログラムをFD、CD−ROM等の記録媒体に記録させて提供することにより、コンピュータウィルスを検出するアプリケーションソフトウェアのパッケージとして提供することも可能である。
本実施の形態に係るデータ処理装置のブロック図である。 データ処理装置が実行する処理を説明する模式図である。 解析対象データの構成を説明する模式図である。 データ処理装置による不正コードの検出手順を説明するフローチャートである。 データ処理装置による不正コードの検出手順を説明するフローチャートである。 解析・判定処理ルーチンの手順を説明するフローチャートである。 不正コードの一例を説明する模式図である。 不正コードの他の例を説明する模式図である。 解析処理ルーチンの処理手順を説明するフローチャートである。 解析処理ルーチンの処理手順を説明するフローチャートである。 解析処理ルーチンの処理手順を説明するフローチャートである。 判定処理ルーチンの処理手順を説明するフローチャートである。 本実施の形態に係るデータ処理装置の構成を説明する模式図である。
10 データ処理装置
11 CPU
11a 仮想CPU実行環境部
12 メモリ
13 バッファメモリ
14 ルーティング部
15a,15b 通信インタフェース

Claims (7)

  1. CPU、メモリ、複数バイトからなるデータを受信する受信部、該受信部にて受信したデータを記憶するバッファメモリ、及び仮想レジスタと仮想スタックとを有する仮想CPU実行環境部を備えたデータ処理装置が、前記バッファメモリに記憶したデータを、不正処理の保護の対象とする保護対象CPUの命令コードとしてデコードする処理、及びデコードした命令コードを仮想的に実行し、前記仮想レジスタ及び仮想スタックで保持する内容を更新する処理を前記仮想CPU実行環境部にて行い、
    前記仮想CPU実行環境部にてデコードされた命令コードを含み、一連の処理を実行するための複数の命令コードからなる命令系列により不正処理が実行されるか否かを、前記CPUが前記仮想レジスタ及び仮想スタックを参照して解析及び判定する不正処理判定方法であって、
    前記仮想CPU実行環境部にてデコードされた命令コードの次の命令コードの開始位置を示す次命令開始位置を前記メモリに記憶させるステップと、
    前記仮想CPU実行環境部にてデコードされた命令コードの開始位置に一致する次命令開始位置が前記メモリに既に記憶されているか否かを判断するステップと、
    記憶されていると判断した場合、前記命令コードを追加した命令系列を解析及び判定の対象として設定し、記憶されていないと判断した場合、前記開始位置から始まる新たな命令系列を解析及び判定の対象として設定するステップと、
    設定した命令系列がシステムコールを起動するための命令コードを含み、前記仮想スタックに構成された文字列により表される外部コマンドが実行されるか否かを、前記仮想レジスタ及び前記仮想スタックに保持される内容を参照して解析するステップと、
    該ステップでの解析により、前記命令系列がシステムコールを起動するための命令コードを含み、前記文字列により表される外部コマンドが実行されると判断した場合、前記受信部にて受信したデータが不正処理を実行するデータであると判定するステップとを有し、
    前記命令系列についての解析及び判定が終了した場合、解析及び判定の対象を、前記バッファメモリ上で1バイト進めたデータをデコードして得られる命令コードを含んだ命令系列に再設定し、再設定した命令系列について前記各ステップによる処理を繰り返すことを特徴とする不正処理判定方法。
  2. CPU、メモリ、複数バイトからなるデータを受信する受信部、該受信部にて受信したデータを記憶するバッファメモリ、及び仮想レジスタと仮想スタックとを有する仮想CPU実行環境部を備え、前記バッファメモリに記憶したデータを、不正処理の保護対象とする保護対象CPUの命令コードとしてデコードする処理、及びデコードした命令コードを仮想的に実行して前記仮想レジスタ及び仮想スタックで保持する内容を更新する処理を前記仮想CPU実行環境部にて行い、
    前記仮想CPU実行環境部にてデコードされた命令コードを含み、一連の処理を実行するための複数の命令コードからなる命令系列により不正処理が実行されるか否かを、前記CPUが前記仮想レジスタ及び仮想スタックを参照して解析及び判定するデータ処理装置であって、
    前記仮想CPU実行環境部にてデコードされた命令コードの次の命令コードの開始位置を示す次命令開始位置を前記メモリに記憶させる手段と、
    前記仮想CPU実行環境部にてデコードされた命令コードの開始位置に一致する次命令開始位置が前記メモリに既に記憶されているか否かを判断する手段と、
    記憶されていると判断した場合、前記命令コードを追加した命令系列を解析及び判定の対象として設定し、記憶されていないと判断した場合、前記開始位置から始まる新たな命令系列を解析及び判定の対象として設定する手段と、
    設定した命令系列がシステムコールを起動するための命令コードを含み、前記仮想スタックに構成された文字列により表される外部コマンドが実行されるか否かを、前記仮想レジスタ及び前記仮想スタックに保持される内容を参照して解析する手段と、
    該手段による解析により、前記命令系列がシステムコールを起動するための命令コードを含み、前記文字列により表される外部コマンドが実行されると判断した場合、前記受信部にて受信したデータが不正処理を実行するデータであると判定する手段とを備え、
    前記命令系列についての解析及び判定が終了した場合、解析及び判定の対象を、前記バッファメモリ上で1バイト進めたデータをデコードして得られる命令コードを含んだ命令系列に再設定し、再設定した命令系列について前記各手段による処理を繰り返すようにしてあることを特徴とするデータ処理装置。
  3. 即値を前記仮想スタックへ退避させる処理が2回以上実行されたか否かを解析することにより、前記仮想スタックに文字列が構成されたかを判断するようにしてあることを特徴とする請求項2に記載のデータ処理装置。
  4. デコードして得られる命令コードがmov命令であり、該mov命令がレジスタへの即値の読込みを示す場合、前記仮想レジスタに前記即値を記憶させ、前記mov命令がレジスタへの前記メモリの値の読込みを示す場合、前記仮想レジスタに0を記憶させ、前記mov命令がレジスタへの該レジスタの値の読込みを示す場合、前記値を前記仮想レジスタに記憶させ、
    デコードして得られる命令コードがlea命令であり、該lea命令により即値をレジスタへ読み込むことになる場合、前記仮想レジスタに前記即値を記憶させ、
    デコードして得られる命令コードがpush命令であり、該push命令がレジスタの値をスタックへ退避させる場合、前記仮想レジスタの値が0でなければ、前記仮想レジスタの値を前記仮想スタックへ退避させ、即値を前記仮想スタックへ退避させる処理を計数するカウンタを1だけインクリメントし、前記push命令が即値をスタックへ退避させる場合、前記即値を前記仮想スタックへ退避させ、前記カウンタを1だけインクリメントし、
    デコードして得られる命令コードがcall命令である場合、前記仮想スタック及び前記カウンタを初期化し、
    デコードして得られる命令コードが演算命令であり、演算結果をレジスタへ書き込む場合、前記演算命令による演算を前記仮想レジスタを用いて実行することにより、
    即値を前記仮想スタックへ退避させる処理が2回以上実行されたか否かを解析するようにしてあることを特徴とする請求項3に記載のデータ処理装置。
  5. 受信したデータが不正処理を実行するデータであると判断した場合、外部へその旨の情報を報知する手段を更に備えることを特徴とする請求項2に記載のデータ処理装置。
  6. 入力された複数バイトからなるデータをバッファメモリに記憶させ、仮想レジスタ及び仮想スタックを備えた仮想CPU実行環境部にて、前記バッファメモリに記憶させたデータを、不正処理の保護の対象とする保護対象CPUの命令コードとしてデコードする処理、及びデコードした命令コードを仮想的に実行させて前記仮想レジスタ及び仮想スタックで保持する内容を更新する処理を実行させ、前記仮想CPU実行環境部にてデコードされた命令コードを含み、一連の処理を実行するための複数の命令コードからなる命令系列により不正処理が実行されるか否かを解析及び判定させる手順をコンピュータに実行させるコンピュータプログラムであって、
    コンピュータに、前記仮想CPU実行環境部にてデコードされた命令コードの次の命令コードの開始位置を示す次命令開始位置を記憶させるステップと、
    コンピュータに、前記仮想CPU実行環境部にてデコードされた命令コードの開始位置に一致する次命令開始位置が既に記憶されているか否かを判断させるステップと、
    コンピュータに、記憶されていると判断した場合、前記命令コードを追加した命令系列を解析及び判定の対象として設定させ、記憶されていないと判断した場合、前記開始位置から始まる新たな命令系列を解析及び判定の対象として設定させるステップと、
    コンピュータに、設定させた命令系列がシステムコールを起動するための命令コードを含み、前記仮想スタックに構成された文字列により表される外部コマンドが実行されるか否かを、前記仮想レジスタ及び前記仮想スタックに保持される内容を参照させて解析させるステップと、
    コンピュータに、該ステップでの解析により、前記命令系列がシステムコールを起動するための命令コードを含み、前記文字列により表される外部コマンドが実行されると判断した場合、入力されたデータが不正処理を実行するデータであると判定させるステップと、
    コンピュータに、前記命令系列についての解析及び判定が終了した場合、解析及び判定の対象を、前記バッファメモリ上で1バイト進めたデータをデコードして得られる命令コードを含んだ命令系列に再設定させ、再設定させた命令系列について前記各ステップによる処理を繰り返し実行させるステップと
    を有することを特徴とするコンピュータプログラム。
  7. 入力された複数バイトからなるデータをバッファメモリに記憶させ、仮想レジスタ及び仮想スタックを備えた仮想CPU実行環境部にて、前記バッファメモリに記憶させたデータを、不正処理の保護の対象とする保護対象CPUの命令コードとしてデコードする処理、及びデコードした命令コードを仮想的に実行させて前記仮想レジスタ及び仮想スタックで保持する内容を更新する処理を実行させ、前記仮想CPU実行環境部にてデコードされた命令コードを含み、一連の処理を実行するための複数の命令コードからなる命令系列により不正処理が実行されるか否かを解析及び判定させる手順をコンピュータに実行させるコンピュータプログラムが記録されているコンピュータでの読取りが可能な記録媒体であって、
    コンピュータに、前記仮想CPU実行環境部にてデコードされた命令コードの次の命令コードの開始位置を示す次命令開始位置を記憶させるステップと、
    コンピュータに、前記仮想CPU実行環境部にてデコードされた命令コードの開始位置に一致する次命令開始位置が既に記憶されているか否かを判断させるステップと、
    コンピュータに、記憶されていると判断した場合、前記命令コードを追加した命令系列を解析及び判定の対象として設定させ、記憶されていないと判断した場合、前記開始位置から始まる新たな命令系列を解析及び判定の対象として設定させるステップと、
    コンピュータに、設定させた命令系列がシステムコールを起動するための命令コードを含み、前記仮想スタックに構成された文字列により表される外部コマンドが実行されるか否かを、前記仮想レジスタ及び前記仮想スタックに保持される内容を参照させて解析させるステップと、
    コンピュータに、該ステップでの解析により、前記命令系列がシステムコールを起動するための命令コードを含み、前記文字列により表される外部コマンドが実行されると判断した場合、入力されたデータが不正処理を実行するデータであると判定させるステップと、
    コンピュータに、前記命令系列についての解析及び判定が終了した場合、解析及び判定の対象を、前記バッファメモリ上で1バイト進めたデータをデコードして得られる命令コードを含んだ命令系列に再設定させ、再設定させた命令系列について前記各ステップによる処理を繰り返し実行させるステップと
    を有するコンピュータプログラムが記録されていることを特徴とするコンピュータでの読取りが可能な記録媒体。
JP2005502932A 2003-02-26 2004-02-26 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体 Expired - Fee Related JP4320013B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2003049912 2003-02-26
JP2003049912 2003-02-26
PCT/JP2004/002310 WO2004077294A1 (ja) 2003-02-26 2004-02-26 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体

Publications (2)

Publication Number Publication Date
JPWO2004077294A1 JPWO2004077294A1 (ja) 2006-06-08
JP4320013B2 true JP4320013B2 (ja) 2009-08-26

Family

ID=32923330

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005502932A Expired - Fee Related JP4320013B2 (ja) 2003-02-26 2004-02-26 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体

Country Status (4)

Country Link
US (1) US7827612B2 (ja)
JP (1) JP4320013B2 (ja)
TW (1) TW200416542A (ja)
WO (1) WO2004077294A1 (ja)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8046834B2 (en) * 2005-03-30 2011-10-25 Alcatel Lucent Method of polymorphic detection
US7571476B2 (en) * 2005-04-14 2009-08-04 Webroot Software, Inc. System and method for scanning memory for pestware
US7349931B2 (en) 2005-04-14 2008-03-25 Webroot Software, Inc. System and method for scanning obfuscated files for pestware
US7591016B2 (en) * 2005-04-14 2009-09-15 Webroot Software, Inc. System and method for scanning memory for pestware offset signatures
US8239939B2 (en) 2005-07-15 2012-08-07 Microsoft Corporation Browser protection module
US8225392B2 (en) 2005-07-15 2012-07-17 Microsoft Corporation Immunizing HTML browsers and extensions from known vulnerabilities
JP4754922B2 (ja) * 2005-09-30 2011-08-24 富士通株式会社 ワーム感染装置の検出装置
US8255992B2 (en) * 2006-01-18 2012-08-28 Webroot Inc. Method and system for detecting dependent pestware objects on a computer
US7802089B2 (en) * 2006-01-25 2010-09-21 Microsoft Corporation Analyzing interpretable code for harm potential
US8291377B2 (en) * 2006-01-25 2012-10-16 Microsoft Corporation External configuration of processing content for script
US8819822B1 (en) * 2006-03-30 2014-08-26 Vmware, Inc. Security method for detecting intrusions that exploit misinterpretation of supplied data
US7581136B2 (en) * 2006-05-19 2009-08-25 Hitachi, Ltd. Method and apparatus for data recovery
US8185737B2 (en) 2006-06-23 2012-05-22 Microsoft Corporation Communication across domains
US8700915B2 (en) * 2006-07-12 2014-04-15 Irdeto Corporate B.V. Method and system for verifying authenticity of at least part of an execution environment for executing a computer module
US8190868B2 (en) 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
WO2008053723A1 (fr) 2006-11-02 2008-05-08 Nec Corporation Circuit intégré semi-conducteur et procédé pour détecter une panne dans une unité de fonctionnement
KR100945247B1 (ko) * 2007-10-04 2010-03-03 한국전자통신연구원 가상 환경을 이용한 비실행 파일 내의 악성 코드 분석 방법및 장치
US8549624B2 (en) * 2008-04-14 2013-10-01 Mcafee, Inc. Probabilistic shellcode detection
IL197477A0 (en) * 2009-03-08 2009-12-24 Univ Ben Gurion System and method for detecting new malicious executables, based on discovering and monitoring of characteristic system call sequences
US8402541B2 (en) * 2009-03-12 2013-03-19 Microsoft Corporation Proactive exploit detection
US11489857B2 (en) 2009-04-21 2022-11-01 Webroot Inc. System and method for developing a risk profile for an internet resource
JP4572259B1 (ja) * 2009-04-27 2010-11-04 株式会社フォティーンフォティ技術研究所 情報機器、プログラム及び不正なプログラムコードの実行防止方法
US8621626B2 (en) * 2009-05-01 2013-12-31 Mcafee, Inc. Detection of code execution exploits
US9032517B2 (en) * 2009-10-31 2015-05-12 Hewlett-Packard Development Company, L.P. Malicious code detection
US8042186B1 (en) * 2011-04-28 2011-10-18 Kaspersky Lab Zao System and method for detection of complex malware
US9519775B2 (en) 2013-10-03 2016-12-13 Qualcomm Incorporated Pre-identifying probable malicious behavior based on configuration pathways
US9213831B2 (en) 2013-10-03 2015-12-15 Qualcomm Incorporated Malware detection and prevention by monitoring and modifying a hardware pipeline
US10103890B2 (en) * 2014-08-08 2018-10-16 Haw-Minn Lu Membership query method
US10728040B1 (en) * 2014-08-08 2020-07-28 Tai Seibert Connection-based network behavioral anomaly detection system and method
US9361458B1 (en) * 2014-10-08 2016-06-07 Trend Micro Incorporated Locality-sensitive hash-based detection of malicious codes
US9514301B1 (en) 2016-01-06 2016-12-06 International Business Machines Corporation Interlinking modules with differing protections using stack indicators
US9606855B1 (en) 2016-01-06 2017-03-28 International Business Machines Corporation Caller protected stack return address in a hardware managed stack architecture
US10120745B2 (en) 2016-01-06 2018-11-06 International Business Machines Corporation Providing instructions to protect stack return addresses in a hardware managed stack architecture
US9576128B1 (en) 2016-01-06 2017-02-21 International Business Machines Corporation Interlinking routines with differing protections using stack indicators
US9495237B1 (en) 2016-01-06 2016-11-15 International Business Machines Corporation Detection of corruption of call stacks
US10228992B2 (en) 2016-01-06 2019-03-12 International Business Machines Corporation Providing instructions to facilitate detection of corrupt stacks
US9582274B1 (en) 2016-01-06 2017-02-28 International Business Machines Corporation Architected store and verify guard word instructions

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01237834A (ja) * 1988-03-18 1989-09-22 Fujitsu Ltd ロードモジュールの編集表示方式
US5826013A (en) * 1995-09-28 1998-10-20 Symantec Corporation Polymorphic virus detection module
JPH09319574A (ja) 1996-05-29 1997-12-12 Nec Niigata Ltd コンピュータウィルスチェックシステム
US5951698A (en) 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
JP3597686B2 (ja) * 1997-12-02 2004-12-08 富士通株式会社 ウィルスチェックネットワークシステム及びウィルスチェック装置
US6301699B1 (en) * 1999-03-18 2001-10-09 Corekt Security Systems, Inc. Method for detecting buffer overflow for computer security
US6058372A (en) * 1999-06-11 2000-05-02 Sweet; Stephen R. Interactive self-service hard drive copying system
US6405303B1 (en) * 1999-08-31 2002-06-11 Advanced Micro Devices, Inc. Massively parallel decoding and execution of variable-length instructions
JP2001344128A (ja) * 2000-06-02 2001-12-14 Nec Microsystems Ltd 逆アセンブル表示アドレスの設定方法および記録媒体
US7360076B2 (en) * 2001-06-13 2008-04-15 Itt Manufacturing Enterprises, Inc. Security association data cache and structure
US6832302B1 (en) * 2001-10-24 2004-12-14 At&T Corp. Methods and apparatus for detecting heap smashing

Also Published As

Publication number Publication date
JPWO2004077294A1 (ja) 2006-06-08
US20050283838A1 (en) 2005-12-22
US7827612B2 (en) 2010-11-02
TW200416542A (en) 2004-09-01
WO2004077294A1 (ja) 2004-09-10

Similar Documents

Publication Publication Date Title
JP4320013B2 (ja) 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体
KR102137773B1 (ko) 보안 애플리케이션을 통해 안전한 데이터를 전송하기 위한 시스템 및 그에 관한 방법
JP6371790B2 (ja) 変更されたウェブページを判定するためのシステム及び方法
US7895655B2 (en) Malicious-process-determining method, data processing apparatus and recording medium
KR101811325B1 (ko) 네트워크 환경에서의 악성 스크립트 언어 코드의 검출
Parampalli et al. A practical mimicry attack against powerful system-call monitors
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
US8627458B2 (en) Detecting malicious computer program activity using external program calls with dynamic rule sets
US20090133125A1 (en) Method and apparatus for malware detection
EP3270318B1 (en) Dynamic security module terminal device and method for operating same
JP2004304752A (ja) 攻撃防御システムおよび攻撃防御方法
CN102932329A (zh) 一种对程序的行为进行拦截的方法、装置和客户端设备
JP2010092174A (ja) 不正検知方法、不正検知装置、不正検知プログラムおよび情報処理システム
CN111444519A (zh) 保护日志数据的完整性
KR100985076B1 (ko) Usb 디바이스 보안 장치 및 방법
US20050086512A1 (en) Worm blocking system and method using hardware-based pattern matching
JP4497450B2 (ja) プログラム認証システム
JP4838109B2 (ja) プログラム修正システム及びプログラム修正装置
JP4091528B2 (ja) 不正アクセス対処ルール生成方法,不正アクセス対処方法,不正アクセス対処ルール生成装置,不正アクセス対処装置およびスタックスマッシング攻撃対策システム
JP6207392B2 (ja) 異常検出装置、異常検出方法、及び異常検出プログラム
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
RU2757330C1 (ru) Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя
JP6498413B2 (ja) 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム
CN115883244A (zh) 应用系统中guid脆弱性检测方法及装置
CN115460012A (zh) 外联设备处理方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081028

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090526

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090529

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120605

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150605

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150605

Year of fee payment: 6

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150605

Year of fee payment: 6

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees