JP4660056B2 - データ処理装置 - Google Patents
データ処理装置 Download PDFInfo
- Publication number
- JP4660056B2 JP4660056B2 JP2002227888A JP2002227888A JP4660056B2 JP 4660056 B2 JP4660056 B2 JP 4660056B2 JP 2002227888 A JP2002227888 A JP 2002227888A JP 2002227888 A JP2002227888 A JP 2002227888A JP 4660056 B2 JP4660056 B2 JP 4660056B2
- Authority
- JP
- Japan
- Prior art keywords
- instruction
- data
- address
- code
- instruction code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012545 processing Methods 0.000 title claims description 24
- 238000000034 method Methods 0.000 claims description 30
- 238000004891 communication Methods 0.000 description 34
- 230000010365 information processing Effects 0.000 description 28
- 238000001514 detection method Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 9
- 241000700605 Viruses Species 0.000 description 8
- 238000005336 cracking Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 239000004973 liquid crystal related substance Substances 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 238000012962 cracking technique Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Devices For Executing Special Programs (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、不正な処理を実行するデータを検出するデータ装置に関する。
【0002】
【従来の技術】
インターネット網の普及に伴い、各種の情報処理装置がコンピュータウィルス、クラッキング等の攻撃の対象となり、それらの脅威に晒される可能性が高くなってきている。
例えば、近年、「ニムダ」、「コードレッド」等のコンピュータウィルスに代表されるように、システムプログラム又はウェブブラウザのようなアプリケーションプログラムの脆弱性(セキュリティホール)を利用して自己増殖させ、甚大な被害を与えたケースが存在する。
【0003】
前述のようなコンピュータウィルス、クラッキング等による攻撃では、不正な処理を行う命令コード(以下、不正コードという)を含む攻撃データを攻撃対象であるサーバ装置、パーソナルコンピュータ等の情報処理装置に対して送信し、その情報処理装置にて前記命令コードが実行されるようにしている。このような攻撃手法は様々なものが存在し、その1つとしてバッファオーバフローによる攻撃手法が知られている。バッファオーバフローでは、スタック内に確保されたバッファにおいて、確保されたバッファ以上のスタックエリアに書込みが行われている状態であり、バッファオーバフローの状態に陥った場合、予期せぬ変数破壊を招き、プログラムの誤動作の原因となり得る。バッファオーバフローによる攻撃では、プログラムの誤動作を意図的に引き起し、例えばシステムの管理者権限を取得することが行われる。
【0004】
これらのコンピュータウィルス、クラッキング等の攻撃に対処するため、従来では、受信したデータに対して不正コードにみられる特定のビットパターンの有無を検出する。そして、そのようなビットパターンが受信したデータに含まれている場合には、不正コードを含んだ攻撃データであると判定し、データの受信拒否、ユーザへの報知等の処理を行うようにしている。
【0005】
【発明が解決しようとする課題】
そのため、従来の手法により様々なコンピュータウィルス、クラッキング等の攻撃に対処するためには、各コンピュータウィルス、クラッキングに対応した特定のビットパターンをデータベースに記憶させて予め用意しておく必要があり、新種のコンピュータウィルス、クラッキング手法が発見された場合には、前記データベースを更新して対処しなければならない。
【0006】
ところで、攻撃データに対する従来の検出方法では、前述のように既知のビットパターンを検出するか、又はNOP命令(NOP : non-operation)の単純な繰り返しといった攻撃処理にとって、本質的とはいえない部分の構造を検出するようにしてきた。そのため、攻撃データのバリエーションに弱く、未知の攻撃データが現れる毎に、検出に用いるビットパターンのデータベースを更新する必要があり、データベースが更新されるまでのタイムラグが問題になっていた。
【0007】
本発明は斯かる事情に鑑みてなされたものであり、不正な処理を行う命令コード群を検出するためのビットパターンを予め用意する必要がなく、不正な処理を行う未知の命令コード群に対しても検出可能なデータ処理装置を提供することを目的とする。
【0008】
【課題を解決するための手段】
第1発明に係るデータ処理装置は、複数の命令コードを含むデータの入力を受付ける手段を備え、該手段にて受付けたデータに含まれる命令コードに基づいて実行される処理が不正処理であるか否かの判断をCPU及びメモリを用いて行うデータ処理装置において、前記CPUは、装置内に入力されたデータから所定の処理を実行する命令コード群を呼出すための命令コードを検索するステップと、前記データから前記命令コードが検索された場合、該命令コードに対応付けられているアドレスを前記メモリに記憶させるステップと、該命令コードの呼出先アドレス以降のデータを1バイトずつ順次的に読込み、読込んだデータに基づき、PUSH命令が先行しないPOP命令が前記命令コード群に含まれるか否かを判断するステップと、PUSH命令が先行しないPOP命令が前記命令コード群に含まれると前記ステップにて判断した場合、前記データが不正処理を実行するデータである旨の情報を生成し、生成した情報を出力するステップとを実行すべくなしてあり、PUSH命令が先行しないPOP命令が前記命令コード群に含まれないと判断した場合、前記CPUは、前記メモリに記憶させたアドレスの次のアドレス以降のデータについて前記各ステップを実行すべくなしてあることを特徴とする。
【0018】
第5発明にあっては、所定の処理を実行する命令コード群を呼出すための命令コードを入力されたデータから検索し、前記命令コードが検索された場合、命令コード群に復帰先アドレスを取得するための命令コードが含まれるか否かを判断するため、不正コードであるか否かの判定が簡単であり、しかも精度良く判定することができる。
【0019】
【発明の実施の形態】
以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。
実施の形態1.
図1は本発明のデータ処理装置を利用した侵入検出システムを説明する模式的構成図である。図中10は本発明のデータ処理装置を具体化した中継装置であり、例えば、ルータ、スイッチ、ブロードバンドルータ等のデータ通信を中継する装置である。中継装置10は、CPU11、メモリ12、及び通信インターフェース(以下、通信IFという)13,14を備えており、通信IF13に接続された情報処理装置20とインターネット網のようなデータ通信網Nを介して通信IF14に接続された他の情報処理装置30と間で、各種データの送受信を中継する。情報処理装置20,30は、例えば、パーソナルコンピュータ、サーバ装置、携帯電話機、PDA(Personal Digital Asistant)等のデータ通信を行うことができる装置である。
情報処理装置30から送信されたデータを中継装置10が受信した際、中継装置10は受信したデータが不正な処理を実行する命令コード(以下、不正コードという)を含んだデータであるか否かを判断し、不正コードを含んでいる場合には、通信の遮断、警報の出力等の処理を行う。
【0020】
中継装置10のメモリ12は、ルーティングテーブル12a、フィルタリングテーブル12b、及び分岐テーブル12cを備えている。
ルーティングテーブル12aには通信の経路制御情報が記憶されており、該経路制御情報によって、情報処理装置20から送信されるデータの伝送経路が決定される。フィルタリングテーブル12bには受信を拒否すべき通信相手の識別情報(例えば、IPアドレス又はポート番号等)が記憶されており、前記識別情報に該当する情報処理装置からのデータを受信した場合、そのデータを情報処理装置20へ送信しないようにしている。
また、メモリ12には本発明のコンピュータプログラムが予め記憶されており、CPU11が当該コンピュータプログラムを実行することによって、中継装置10は、不正コードを検出する侵入検出システムとして動作する。分岐テーブル12cには、前記コンピュータプログラムが起動中に取得した特定の命令コードに係るメモリアドレス(以下、単にアドレスという)が記憶され、不正コードを含んだデータであるか否かを判断する際に利用される。
中継装置10のCPU11は、これらのテーブルに対して適宜書込み処理、又は読込み処理を行い、通信制御を行うようにしている。
【0021】
以下、発明者らの知見に基づいて見出された不正コードの特徴的構造について説明する。発明者らは不正コードの普遍的な特徴として、分岐命令(以下、jmp命令という)により指定された分岐先に呼出命令(以下、call命令という)が設定されていること、そしてその呼出先がjmp命令とcall命令との間にあることを見出している。そして、call命令によって、スタックへ格納されたアドレス、すなわちcall命令の次のアドレスを呼出し先の命令コード群にて取得して、取得したアドレスを用いて起動したいコマンドを実行させるようにしている。
【0022】
図2及び図3は、不正コードの特徴的構造を説明する概念図である。前述したように、処理を分岐させるためのjmp命令の分岐先に対応させてcall命令を設定している。すなわち、jmp命令の分岐先アドレス(A10)にcall命令を対応させている。
そして、call命令の呼出し先に、外部コマンドを呼び出すための命令コード群(A2〜A6)を対応付け、そのcall命令による呼出し先が、分岐元アドレス(A1)と分岐先アドレス(A10)との間にくるように設定している。この命令コード群において、call命令によってスタックへ格納されたアドレス、すなわちcall命令の次のアドレス(A11)をpop命令によって取得し、取得したアドレスを利用して、外部コマンドを実行させるようにしている。
したがって、不正コードの作成者が意図した任意の外部コマンドをcall命令の次のアドレスに対応させることによって、これらの命令コードが実行されるときに、前記外部コマンドが呼出されて実行される構成となっている。
なお、前記命令コード群とcall命令との間(A7〜A9)にはダミーの初期データ及び作業領域を設けても良いことは勿論である。
【0023】
前述した不正コードは、図3に模式的に示した如く、(1)jmp命令の分岐先にcall命令が存在すること、(2)call命令の呼出先がcall命令とjmp命令との間に存在することを特徴としている。
中継装置10では、このような特徴的構造を持つ不正コードを通信IF14にて受信したデータから検出し、警報を出力するか又は通信の遮断を行うようにしている。
【0024】
以下、前述した特徴的構造をもつ不正コードの検出手順について説明する。図4は本実施の形態に係る侵入検出システムの処理手順を説明するフローチャートであり、図5は侵入検出の際に利用される分岐テーブル12cの一例を示す概念図である。まず、中継装置10のCPU11は通信IF14にて受信したデータを1バイト読込む(ステップS1)。そして、CPU11は、読込んだデータがjmp命令か否かを判断する(ステップS2)。読込んだデータがjmp命令である場合(S2:YES)、CPU11は、そのjmp命令で指定される分岐先のアドレスが、現在位置のアドレスよりも大きいか否かを判断する(ステップS3)。
【0025】
分岐先のアドレスが現在位置のアドレスよりも大きいと判断した場合(S3:YES)、現在位置のアドレス(分岐元アドレス)と分岐先のアドレス(分岐先アドレス)とを対応付けて分岐テーブル12cに記憶させる(ステップS4)。図2に示した如きデータの例では、アドレスA1のデータを読込んだ場合、そのデータはjmp命令であり、当該jmp命令で指定される分岐先のアドレス(A10)がアドレスA1よりも大きいため、分岐元アドレスとしてA1、分岐先アドレスとしてA10が分岐テーブル12cに記憶される(図5参照)。
【0026】
ステップS3にて、分岐先アドレスが現在位置のアドレスよりも小さいと判断した場合(S3:NO)、又はステップS4にて、分岐テーブル12cに分岐元アドレスと分岐先アドレスとを記憶させた場合、CPU11は、読込むべきデータが終了したか否かを判断し(ステップS5)、読込むべきデータが未だ残っていると判断した場合(S5:NO)、処理をステップS1へ戻し、読込むべきデータが終了したと判断した場合(S5:YES)、本ルーチンを終了する。
【0027】
ステップS2において、読込んだデータjmp命令でないと判断した場合(S2:NO)、CPU11は、現在位置のアドレスが分岐テーブル12cに記憶された分岐先アドレスに一致するか否かを判断する(ステップS6)。現在位置のアドレスが分岐先のアドレスに一致しない場合(S6:NO)、現在位置のアドレスより小さい分岐先アドレスを分岐テーブル12cから削除する(ステップS7)。そして、ステップS5の処理を行い、再度ステップS1へ処理を戻すか、又は本ルーチンの処理を終了するか否かの判断をする。
【0028】
現在位置のアドレスが分岐テーブル12cに記憶された分岐先アドレスに一致すると判断した場合(S6:YES)、CPU11は、現在位置のアドレスに対応付けられた命令コードがcall命令であるか否かを判断する(ステップS8)。現在位置のアドレスに対応付けられた命令コードがcall命令であると判断した場合(S8:YES)、CPU11は、分岐テーブル12cを参照することによって、前記call命令による呼出先が分岐元アドレスと分岐先アドレスとの間にあるか否かを判断する(ステップS9)。
ステップS8にて、call命令でないと判断した場合(S8:NO)、又はステップS9にて、呼出先が分岐元アドレスと分岐先アドレスとの間にないと判断した場合(S9:NO)、処理をステップS5へ移行させる。
【0029】
call命令による呼出先が分岐テーブル12cに記憶された分岐元アドレスと分岐先アドレスとの間にあると判断した場合(S9:YES)、CPU11は、不正コードを検出した旨の情報を生成する(ステップS10)。
【0030】
前述の不正コードを検出した旨の情報は、中継装置10に液晶ディスプレイ等の表示部を設けて表示させるようにしてもよく、また、ブザー、LEDランプ等の警報部を設けて報知するようにしてもよい。更に、前記情報を情報処理装置20へ送信し、情報処理装置20が備える表示部(不図示)にて表示させるようにしてもよい。更に、前記不正コードを検出した旨の情報が生成されたことを受けて通信を遮断するようにしてもよい。
【0031】
なお、前述したようにcall命令によりスタックへ格納されるアドレスには、実行させたい外部コマンドの文字列が存在するため、call命令の次のアドレスにアスキー文字列(コマンド名)が存在するか否かを傍証として利用することにより、不正コードの検出精度を向上させることができる。
また、call命令の次のアドレスにアスキー文字列が存在するか否かについての判断を単独で行うことによっても、不正コードの有無を検出できることが発明者らの検討により知られている。
【0032】
このように、本実施の形態では、データを逐次的に読込んで処理することにより、不正コードが含まれているか否かについて判断できるため、不正コードの有無を検出するアルゴリズムが簡単であり、しかも高速処理が可能である。
【0033】
実施の形態2.
前述の不正コードでは、call命令の次のアドレスに実行させたい外部コマンドを置くこと特徴としており、実施の形態1では、そのような外部コマンドを呼出すための特殊な構造を見出すことによって、不正コードを検出していた。しかしながら、実行させたい外部コマンドは必ずしもcall命令の次に置く必要はなく、不正コードの作者によって予め定められたアドレス分だけ位置をずらして置くことも可能である。このような不正コードをここでは偽装された不正コードと呼び、以下、この偽装された不正コードの特徴的構造、及び検出手順について説明する。なお、中継装置10の構成、及び情報処理装置20,30との接続構成は実施の形態1と同様であるため説明を省略する。
【0034】
図6及び図7は偽装された不正コードの特徴的構造を説明する概念図である。偽装された不正コードでも、call命令によって呼出された命令コード群において、起動したい外部コマンドに対応付けられているアドレスを取得するようにしていることは前述と同様であるが、call命令と外部コマンドとの間に固定長を有するダミーの命令コードを置いて偽装していることが実施の形態1で説明した不正コードと異なる。
すなわち、図6に示した構造を有する偽装された不正コードでは、call命令によりスタックへ格納されたアドレス(A2)を、A16〜A20に規定された命令コード群にて取得し、そのアドレスA2から5つ目のアドレス(A7)に対応付けられている外部コマンドを起動させるようにするのである。
【0035】
このような偽装された不正コードは、実施の形態1で説明した処理によっては検出不可能であるが、図7に模式的に示した如く、(1)call命令によって命令コード群を呼出し、(2)その命令コード群において、call命令によってスタックへ格納したアドレスをpop命令により取得するという特徴的構造を依然として有していることが分かる。したがって、call命令によって呼出された命令コード群において、push命令が先行しないpop命令を検索することによって、偽装された不正コードを検出することが可能となる。
【0036】
以下、偽装された不正コードの検出手順について説明する。
図8は本実施の形態に係る侵入検出システムの処理手順を説明するフローチャートである。まず、中継装置10のCPU11は、受信したデータからcall命令を検索する(ステップS21)。そして、検索の結果、call命令があるか否かを判断し(ステップS22)、call命令がある場合(S22:YES)、CPU11は、検索されたcall命令のアドレスをメモリ12に記憶させる(ステップS23)。受信したデータにcall命令がない場合(S22:NO)、本侵入検出システムによる処理を終了する。
【0037】
検索されたcall命令のアドレスを記憶させた後、そのcall命令により指定される呼出先アドレスへ移動させ(ステップS24)、データを1バイト読込む(ステップS25)。
次いで、CPU11は、読込んだデータがスタックへアドレスを格納するためのpush命令か否かを判断する(ステップS26)。push命令であると判断した場合(S26:YES)、現在アドレスを記憶して(ステップS27)、処理をステップS25へ戻す。
【0038】
読込んだデータがpush命令でないと判断した場合(S26:NO)、pop命令であるか否かを判断する(ステップS28)。pop命令でないと判断した場合(S28:NO)、呼出先のルーチンが終了したか否かを判断する(ステップS31)。
呼出先のルーチンが終了していないと判断した場合(S31:NO)、処理をステップS25へ戻し、呼出先のルーチンが終了したと判断した場合(S31:YES)、ステップS23にて記憶させたアドレスを参照し、呼出元の次のアドレスへ移動させ(ステップS32)、call命令を再度検索し直す。
【0039】
ステップS25で読込んだデータがpop命令であると判断した場合(S28:YES)、CPU11は、ステップS27にて記憶させたアドレスを参照することによって、push命令が先行しないpop命令であるか否かを判断する(ステップS29)。push命令が先行しないpop命令でないと判断した場合(S29:NO)、処理をステップS31へ移行する。
【0040】
ステップS25で読込んだデータが、push命令が先行しないpop命令であると判断した場合(S29:YES)、CPU11は、不正コードを検出した旨の情報を生成する(ステップS30)。
【0041】
前述の不正コードを検出した旨の情報は、実施の形態1と同様に、中継装置10に液晶ディスプレイ等の表示部を設けて表示させるようにしてもよく、また、ブザー、LEDランプ等の警報部を設けて報知するようにしてもよい。更に、前記情報を情報処理装置20へ送信し、情報処理装置20が備える表示部(不図示)にて表示させるようにしてもよい。更に、前記不正コードを検出した旨の情報が生成されたことを受けて通信を遮断するようにしてもよい。
【0042】
実施の形態3.
前述の実施の形態では、ルータ、スイッチ、ブロードバンドルータ等のデータ通信で利用される中継装置に本発明を適用した形態について説明したが、パーソナルコンピュータ、サーバ装置、携帯電話機、PDA等の通信機能を有した情報処理装置に適用することも可能である。
【0043】
図9は本実施の形態に係る侵入検知システムの構成を説明する模式図である。図中50は、パーソナルコンピュータのような情報処理装置であり、該情報処理装置50にはルータのような中継装置40を介してデータ通信網Nへ接続されている。情報処理装置50は、データ通信網N及び中継装置40を通じて各種の通信機器、及び他の情報処理装置からデータを受信するとともに、それらの通信機器、情報処理装置へデータを送信するようにしている。
【0044】
中継装置40には、CPU41、メモリ42、及び通信IF43、44を備えており、メモリ42には、通信の経路制御情報が記憶されたルーティングテーブル42aと、受信を拒否すべき通信相手の識別情報(例えば、IPアドレス又はポート番号等)が記憶されたフィルタリングテーブル42bとを有している。情報処理装置50から外部へデータを送信する際にルーティングテーブル42aにより伝送経路が設定され、外部からデータを受信する際、フィルタリングテーブル42bを参照することにより受信を拒否すべき通信相手であるか否かが判定される。
【0045】
情報処理装置50は、CPU51を備えており、バス52を介して、ROM53、RAM54、表示部55、入力部56、通信部57、補助記憶装置58、及び内部記憶装置59等の各種ハードウェアに接続されている。CPU51は、ROM53に格納された制御プログラムに従って、それらのハードウェアを制御する。RAM54は、SRAM又はフラッシュメモリ等で構成され、ROM53に格納された制御プログラムの実行時に発生するデータを記憶する。
【0046】
表示部55は、CRT、液晶ディスプレイ等の表示装置であり、入力部56は、キーボード、マウス等の入力装置である。表示部55及び入力部56は、例えば、送信すべきデータの入力及び表示をする際に利用される。通信部57は、モデム等の回線終端装置を備えており、中継装置40を介した各種データの送受信を制御する。
【0047】
補助記憶装置58は、本発明のコンピュータプログラム及びデータを記録したFD、CD−ROM等の記録媒体60からコンピュータプログラム及びデータを読取るFDドライブ、CD−ROMドライブ等からなり、読取られたコンピュータプログラム及びデータは、内部記憶装置59に記憶される。内部記憶装置59に記憶されているコンピュータプログラム及びデータは、RAM54に読込まれ、CPU51が実行することで本実施の形態に係る情報処理装置50として動作する。
なお、本発明のコンピュータプログラムは、記録媒体60により提供されるだけでなく、データ通信網Nを通じて提供される形態であってもよいことは勿論である。
【0048】
前述のコンピュータプログラムは、情報処理装置50の起動時に自動的にRAM54に読込まれる常駐型のプログラムであることが望ましく、通信部57にて外部からデータを受信した際に、自動的に不正コードを検出するようにしておくとよい。なお、不正コードの検出手順については、実施の形態1及び実施の形態2で説明した通りであるので説明を省略する。
【0049】
本実施の形態では、パーソナルコンピュータのような情報処理装置50を利用して不正コードを含んだデータを検出する構成としたが、パーソナルコンピュータの他、携帯電話機、PDA、コンピュータゲーム機、車載通信装置、各種の情報家電に適用できることは勿論である。
また、本発明のコンピュータプログラムをFD、CD−ROM等の記録媒体に記録させて提供することにより、コンピュータウィルスを検出するアプリケーションソフトウェアのパッケージとして提供することも可能である。
【0050】
【発明の効果】
第1発明による場合は、所定の処理を実行する命令コード群を呼出すための命令コードを入力されたデータから検索し、前記命令コードが検索された場合、命令コード群に復帰先アドレスを取得するための命令コードが含まれるか否かを判断するため、不正コードであるか否かの判定が簡単であり、しかも精度良く判定することができる等、本発明は優れた効果を奏する。
【図面の簡単な説明】
【図1】本発明のデータ処理装置を利用した侵入検出システムを説明する模式的構成図である。
【図2】不正コードの特徴的構造を説明する概念図である。
【図3】不正コードの特徴的構造を説明する概念図である。
【図4】本実施の形態に係る侵入検出システムの処理手順を説明するフローチャートである。
【図5】侵入検出の際に利用される分岐テーブルの一例を示す概念図である。
【図6】偽装された不正コードの特徴的構造を説明する概念図である。
【図7】偽装された不正コードの特徴的構造を説明する概念図である。
【図8】本実施の形態に係る侵入検出システムの処理手順を説明するフローチャートである。
【図9】本実施の形態に係る侵入検知システムの構成を説明する模式図である。
【符号の説明】
10 中継装置
11 CPU
12 メモリ
12a ルーティングテーブル
12b フィルタリングテーブル
12c 分岐テーブル
13 通信IF
14 通信IF
20 情報処理装置
30 情報処理装置
50 情報処理装置
N データ通信網
【発明の属する技術分野】
本発明は、不正な処理を実行するデータを検出するデータ装置に関する。
【0002】
【従来の技術】
インターネット網の普及に伴い、各種の情報処理装置がコンピュータウィルス、クラッキング等の攻撃の対象となり、それらの脅威に晒される可能性が高くなってきている。
例えば、近年、「ニムダ」、「コードレッド」等のコンピュータウィルスに代表されるように、システムプログラム又はウェブブラウザのようなアプリケーションプログラムの脆弱性(セキュリティホール)を利用して自己増殖させ、甚大な被害を与えたケースが存在する。
【0003】
前述のようなコンピュータウィルス、クラッキング等による攻撃では、不正な処理を行う命令コード(以下、不正コードという)を含む攻撃データを攻撃対象であるサーバ装置、パーソナルコンピュータ等の情報処理装置に対して送信し、その情報処理装置にて前記命令コードが実行されるようにしている。このような攻撃手法は様々なものが存在し、その1つとしてバッファオーバフローによる攻撃手法が知られている。バッファオーバフローでは、スタック内に確保されたバッファにおいて、確保されたバッファ以上のスタックエリアに書込みが行われている状態であり、バッファオーバフローの状態に陥った場合、予期せぬ変数破壊を招き、プログラムの誤動作の原因となり得る。バッファオーバフローによる攻撃では、プログラムの誤動作を意図的に引き起し、例えばシステムの管理者権限を取得することが行われる。
【0004】
これらのコンピュータウィルス、クラッキング等の攻撃に対処するため、従来では、受信したデータに対して不正コードにみられる特定のビットパターンの有無を検出する。そして、そのようなビットパターンが受信したデータに含まれている場合には、不正コードを含んだ攻撃データであると判定し、データの受信拒否、ユーザへの報知等の処理を行うようにしている。
【0005】
【発明が解決しようとする課題】
そのため、従来の手法により様々なコンピュータウィルス、クラッキング等の攻撃に対処するためには、各コンピュータウィルス、クラッキングに対応した特定のビットパターンをデータベースに記憶させて予め用意しておく必要があり、新種のコンピュータウィルス、クラッキング手法が発見された場合には、前記データベースを更新して対処しなければならない。
【0006】
ところで、攻撃データに対する従来の検出方法では、前述のように既知のビットパターンを検出するか、又はNOP命令(NOP : non-operation)の単純な繰り返しといった攻撃処理にとって、本質的とはいえない部分の構造を検出するようにしてきた。そのため、攻撃データのバリエーションに弱く、未知の攻撃データが現れる毎に、検出に用いるビットパターンのデータベースを更新する必要があり、データベースが更新されるまでのタイムラグが問題になっていた。
【0007】
本発明は斯かる事情に鑑みてなされたものであり、不正な処理を行う命令コード群を検出するためのビットパターンを予め用意する必要がなく、不正な処理を行う未知の命令コード群に対しても検出可能なデータ処理装置を提供することを目的とする。
【0008】
【課題を解決するための手段】
第1発明に係るデータ処理装置は、複数の命令コードを含むデータの入力を受付ける手段を備え、該手段にて受付けたデータに含まれる命令コードに基づいて実行される処理が不正処理であるか否かの判断をCPU及びメモリを用いて行うデータ処理装置において、前記CPUは、装置内に入力されたデータから所定の処理を実行する命令コード群を呼出すための命令コードを検索するステップと、前記データから前記命令コードが検索された場合、該命令コードに対応付けられているアドレスを前記メモリに記憶させるステップと、該命令コードの呼出先アドレス以降のデータを1バイトずつ順次的に読込み、読込んだデータに基づき、PUSH命令が先行しないPOP命令が前記命令コード群に含まれるか否かを判断するステップと、PUSH命令が先行しないPOP命令が前記命令コード群に含まれると前記ステップにて判断した場合、前記データが不正処理を実行するデータである旨の情報を生成し、生成した情報を出力するステップとを実行すべくなしてあり、PUSH命令が先行しないPOP命令が前記命令コード群に含まれないと判断した場合、前記CPUは、前記メモリに記憶させたアドレスの次のアドレス以降のデータについて前記各ステップを実行すべくなしてあることを特徴とする。
【0018】
第5発明にあっては、所定の処理を実行する命令コード群を呼出すための命令コードを入力されたデータから検索し、前記命令コードが検索された場合、命令コード群に復帰先アドレスを取得するための命令コードが含まれるか否かを判断するため、不正コードであるか否かの判定が簡単であり、しかも精度良く判定することができる。
【0019】
【発明の実施の形態】
以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。
実施の形態1.
図1は本発明のデータ処理装置を利用した侵入検出システムを説明する模式的構成図である。図中10は本発明のデータ処理装置を具体化した中継装置であり、例えば、ルータ、スイッチ、ブロードバンドルータ等のデータ通信を中継する装置である。中継装置10は、CPU11、メモリ12、及び通信インターフェース(以下、通信IFという)13,14を備えており、通信IF13に接続された情報処理装置20とインターネット網のようなデータ通信網Nを介して通信IF14に接続された他の情報処理装置30と間で、各種データの送受信を中継する。情報処理装置20,30は、例えば、パーソナルコンピュータ、サーバ装置、携帯電話機、PDA(Personal Digital Asistant)等のデータ通信を行うことができる装置である。
情報処理装置30から送信されたデータを中継装置10が受信した際、中継装置10は受信したデータが不正な処理を実行する命令コード(以下、不正コードという)を含んだデータであるか否かを判断し、不正コードを含んでいる場合には、通信の遮断、警報の出力等の処理を行う。
【0020】
中継装置10のメモリ12は、ルーティングテーブル12a、フィルタリングテーブル12b、及び分岐テーブル12cを備えている。
ルーティングテーブル12aには通信の経路制御情報が記憶されており、該経路制御情報によって、情報処理装置20から送信されるデータの伝送経路が決定される。フィルタリングテーブル12bには受信を拒否すべき通信相手の識別情報(例えば、IPアドレス又はポート番号等)が記憶されており、前記識別情報に該当する情報処理装置からのデータを受信した場合、そのデータを情報処理装置20へ送信しないようにしている。
また、メモリ12には本発明のコンピュータプログラムが予め記憶されており、CPU11が当該コンピュータプログラムを実行することによって、中継装置10は、不正コードを検出する侵入検出システムとして動作する。分岐テーブル12cには、前記コンピュータプログラムが起動中に取得した特定の命令コードに係るメモリアドレス(以下、単にアドレスという)が記憶され、不正コードを含んだデータであるか否かを判断する際に利用される。
中継装置10のCPU11は、これらのテーブルに対して適宜書込み処理、又は読込み処理を行い、通信制御を行うようにしている。
【0021】
以下、発明者らの知見に基づいて見出された不正コードの特徴的構造について説明する。発明者らは不正コードの普遍的な特徴として、分岐命令(以下、jmp命令という)により指定された分岐先に呼出命令(以下、call命令という)が設定されていること、そしてその呼出先がjmp命令とcall命令との間にあることを見出している。そして、call命令によって、スタックへ格納されたアドレス、すなわちcall命令の次のアドレスを呼出し先の命令コード群にて取得して、取得したアドレスを用いて起動したいコマンドを実行させるようにしている。
【0022】
図2及び図3は、不正コードの特徴的構造を説明する概念図である。前述したように、処理を分岐させるためのjmp命令の分岐先に対応させてcall命令を設定している。すなわち、jmp命令の分岐先アドレス(A10)にcall命令を対応させている。
そして、call命令の呼出し先に、外部コマンドを呼び出すための命令コード群(A2〜A6)を対応付け、そのcall命令による呼出し先が、分岐元アドレス(A1)と分岐先アドレス(A10)との間にくるように設定している。この命令コード群において、call命令によってスタックへ格納されたアドレス、すなわちcall命令の次のアドレス(A11)をpop命令によって取得し、取得したアドレスを利用して、外部コマンドを実行させるようにしている。
したがって、不正コードの作成者が意図した任意の外部コマンドをcall命令の次のアドレスに対応させることによって、これらの命令コードが実行されるときに、前記外部コマンドが呼出されて実行される構成となっている。
なお、前記命令コード群とcall命令との間(A7〜A9)にはダミーの初期データ及び作業領域を設けても良いことは勿論である。
【0023】
前述した不正コードは、図3に模式的に示した如く、(1)jmp命令の分岐先にcall命令が存在すること、(2)call命令の呼出先がcall命令とjmp命令との間に存在することを特徴としている。
中継装置10では、このような特徴的構造を持つ不正コードを通信IF14にて受信したデータから検出し、警報を出力するか又は通信の遮断を行うようにしている。
【0024】
以下、前述した特徴的構造をもつ不正コードの検出手順について説明する。図4は本実施の形態に係る侵入検出システムの処理手順を説明するフローチャートであり、図5は侵入検出の際に利用される分岐テーブル12cの一例を示す概念図である。まず、中継装置10のCPU11は通信IF14にて受信したデータを1バイト読込む(ステップS1)。そして、CPU11は、読込んだデータがjmp命令か否かを判断する(ステップS2)。読込んだデータがjmp命令である場合(S2:YES)、CPU11は、そのjmp命令で指定される分岐先のアドレスが、現在位置のアドレスよりも大きいか否かを判断する(ステップS3)。
【0025】
分岐先のアドレスが現在位置のアドレスよりも大きいと判断した場合(S3:YES)、現在位置のアドレス(分岐元アドレス)と分岐先のアドレス(分岐先アドレス)とを対応付けて分岐テーブル12cに記憶させる(ステップS4)。図2に示した如きデータの例では、アドレスA1のデータを読込んだ場合、そのデータはjmp命令であり、当該jmp命令で指定される分岐先のアドレス(A10)がアドレスA1よりも大きいため、分岐元アドレスとしてA1、分岐先アドレスとしてA10が分岐テーブル12cに記憶される(図5参照)。
【0026】
ステップS3にて、分岐先アドレスが現在位置のアドレスよりも小さいと判断した場合(S3:NO)、又はステップS4にて、分岐テーブル12cに分岐元アドレスと分岐先アドレスとを記憶させた場合、CPU11は、読込むべきデータが終了したか否かを判断し(ステップS5)、読込むべきデータが未だ残っていると判断した場合(S5:NO)、処理をステップS1へ戻し、読込むべきデータが終了したと判断した場合(S5:YES)、本ルーチンを終了する。
【0027】
ステップS2において、読込んだデータjmp命令でないと判断した場合(S2:NO)、CPU11は、現在位置のアドレスが分岐テーブル12cに記憶された分岐先アドレスに一致するか否かを判断する(ステップS6)。現在位置のアドレスが分岐先のアドレスに一致しない場合(S6:NO)、現在位置のアドレスより小さい分岐先アドレスを分岐テーブル12cから削除する(ステップS7)。そして、ステップS5の処理を行い、再度ステップS1へ処理を戻すか、又は本ルーチンの処理を終了するか否かの判断をする。
【0028】
現在位置のアドレスが分岐テーブル12cに記憶された分岐先アドレスに一致すると判断した場合(S6:YES)、CPU11は、現在位置のアドレスに対応付けられた命令コードがcall命令であるか否かを判断する(ステップS8)。現在位置のアドレスに対応付けられた命令コードがcall命令であると判断した場合(S8:YES)、CPU11は、分岐テーブル12cを参照することによって、前記call命令による呼出先が分岐元アドレスと分岐先アドレスとの間にあるか否かを判断する(ステップS9)。
ステップS8にて、call命令でないと判断した場合(S8:NO)、又はステップS9にて、呼出先が分岐元アドレスと分岐先アドレスとの間にないと判断した場合(S9:NO)、処理をステップS5へ移行させる。
【0029】
call命令による呼出先が分岐テーブル12cに記憶された分岐元アドレスと分岐先アドレスとの間にあると判断した場合(S9:YES)、CPU11は、不正コードを検出した旨の情報を生成する(ステップS10)。
【0030】
前述の不正コードを検出した旨の情報は、中継装置10に液晶ディスプレイ等の表示部を設けて表示させるようにしてもよく、また、ブザー、LEDランプ等の警報部を設けて報知するようにしてもよい。更に、前記情報を情報処理装置20へ送信し、情報処理装置20が備える表示部(不図示)にて表示させるようにしてもよい。更に、前記不正コードを検出した旨の情報が生成されたことを受けて通信を遮断するようにしてもよい。
【0031】
なお、前述したようにcall命令によりスタックへ格納されるアドレスには、実行させたい外部コマンドの文字列が存在するため、call命令の次のアドレスにアスキー文字列(コマンド名)が存在するか否かを傍証として利用することにより、不正コードの検出精度を向上させることができる。
また、call命令の次のアドレスにアスキー文字列が存在するか否かについての判断を単独で行うことによっても、不正コードの有無を検出できることが発明者らの検討により知られている。
【0032】
このように、本実施の形態では、データを逐次的に読込んで処理することにより、不正コードが含まれているか否かについて判断できるため、不正コードの有無を検出するアルゴリズムが簡単であり、しかも高速処理が可能である。
【0033】
実施の形態2.
前述の不正コードでは、call命令の次のアドレスに実行させたい外部コマンドを置くこと特徴としており、実施の形態1では、そのような外部コマンドを呼出すための特殊な構造を見出すことによって、不正コードを検出していた。しかしながら、実行させたい外部コマンドは必ずしもcall命令の次に置く必要はなく、不正コードの作者によって予め定められたアドレス分だけ位置をずらして置くことも可能である。このような不正コードをここでは偽装された不正コードと呼び、以下、この偽装された不正コードの特徴的構造、及び検出手順について説明する。なお、中継装置10の構成、及び情報処理装置20,30との接続構成は実施の形態1と同様であるため説明を省略する。
【0034】
図6及び図7は偽装された不正コードの特徴的構造を説明する概念図である。偽装された不正コードでも、call命令によって呼出された命令コード群において、起動したい外部コマンドに対応付けられているアドレスを取得するようにしていることは前述と同様であるが、call命令と外部コマンドとの間に固定長を有するダミーの命令コードを置いて偽装していることが実施の形態1で説明した不正コードと異なる。
すなわち、図6に示した構造を有する偽装された不正コードでは、call命令によりスタックへ格納されたアドレス(A2)を、A16〜A20に規定された命令コード群にて取得し、そのアドレスA2から5つ目のアドレス(A7)に対応付けられている外部コマンドを起動させるようにするのである。
【0035】
このような偽装された不正コードは、実施の形態1で説明した処理によっては検出不可能であるが、図7に模式的に示した如く、(1)call命令によって命令コード群を呼出し、(2)その命令コード群において、call命令によってスタックへ格納したアドレスをpop命令により取得するという特徴的構造を依然として有していることが分かる。したがって、call命令によって呼出された命令コード群において、push命令が先行しないpop命令を検索することによって、偽装された不正コードを検出することが可能となる。
【0036】
以下、偽装された不正コードの検出手順について説明する。
図8は本実施の形態に係る侵入検出システムの処理手順を説明するフローチャートである。まず、中継装置10のCPU11は、受信したデータからcall命令を検索する(ステップS21)。そして、検索の結果、call命令があるか否かを判断し(ステップS22)、call命令がある場合(S22:YES)、CPU11は、検索されたcall命令のアドレスをメモリ12に記憶させる(ステップS23)。受信したデータにcall命令がない場合(S22:NO)、本侵入検出システムによる処理を終了する。
【0037】
検索されたcall命令のアドレスを記憶させた後、そのcall命令により指定される呼出先アドレスへ移動させ(ステップS24)、データを1バイト読込む(ステップS25)。
次いで、CPU11は、読込んだデータがスタックへアドレスを格納するためのpush命令か否かを判断する(ステップS26)。push命令であると判断した場合(S26:YES)、現在アドレスを記憶して(ステップS27)、処理をステップS25へ戻す。
【0038】
読込んだデータがpush命令でないと判断した場合(S26:NO)、pop命令であるか否かを判断する(ステップS28)。pop命令でないと判断した場合(S28:NO)、呼出先のルーチンが終了したか否かを判断する(ステップS31)。
呼出先のルーチンが終了していないと判断した場合(S31:NO)、処理をステップS25へ戻し、呼出先のルーチンが終了したと判断した場合(S31:YES)、ステップS23にて記憶させたアドレスを参照し、呼出元の次のアドレスへ移動させ(ステップS32)、call命令を再度検索し直す。
【0039】
ステップS25で読込んだデータがpop命令であると判断した場合(S28:YES)、CPU11は、ステップS27にて記憶させたアドレスを参照することによって、push命令が先行しないpop命令であるか否かを判断する(ステップS29)。push命令が先行しないpop命令でないと判断した場合(S29:NO)、処理をステップS31へ移行する。
【0040】
ステップS25で読込んだデータが、push命令が先行しないpop命令であると判断した場合(S29:YES)、CPU11は、不正コードを検出した旨の情報を生成する(ステップS30)。
【0041】
前述の不正コードを検出した旨の情報は、実施の形態1と同様に、中継装置10に液晶ディスプレイ等の表示部を設けて表示させるようにしてもよく、また、ブザー、LEDランプ等の警報部を設けて報知するようにしてもよい。更に、前記情報を情報処理装置20へ送信し、情報処理装置20が備える表示部(不図示)にて表示させるようにしてもよい。更に、前記不正コードを検出した旨の情報が生成されたことを受けて通信を遮断するようにしてもよい。
【0042】
実施の形態3.
前述の実施の形態では、ルータ、スイッチ、ブロードバンドルータ等のデータ通信で利用される中継装置に本発明を適用した形態について説明したが、パーソナルコンピュータ、サーバ装置、携帯電話機、PDA等の通信機能を有した情報処理装置に適用することも可能である。
【0043】
図9は本実施の形態に係る侵入検知システムの構成を説明する模式図である。図中50は、パーソナルコンピュータのような情報処理装置であり、該情報処理装置50にはルータのような中継装置40を介してデータ通信網Nへ接続されている。情報処理装置50は、データ通信網N及び中継装置40を通じて各種の通信機器、及び他の情報処理装置からデータを受信するとともに、それらの通信機器、情報処理装置へデータを送信するようにしている。
【0044】
中継装置40には、CPU41、メモリ42、及び通信IF43、44を備えており、メモリ42には、通信の経路制御情報が記憶されたルーティングテーブル42aと、受信を拒否すべき通信相手の識別情報(例えば、IPアドレス又はポート番号等)が記憶されたフィルタリングテーブル42bとを有している。情報処理装置50から外部へデータを送信する際にルーティングテーブル42aにより伝送経路が設定され、外部からデータを受信する際、フィルタリングテーブル42bを参照することにより受信を拒否すべき通信相手であるか否かが判定される。
【0045】
情報処理装置50は、CPU51を備えており、バス52を介して、ROM53、RAM54、表示部55、入力部56、通信部57、補助記憶装置58、及び内部記憶装置59等の各種ハードウェアに接続されている。CPU51は、ROM53に格納された制御プログラムに従って、それらのハードウェアを制御する。RAM54は、SRAM又はフラッシュメモリ等で構成され、ROM53に格納された制御プログラムの実行時に発生するデータを記憶する。
【0046】
表示部55は、CRT、液晶ディスプレイ等の表示装置であり、入力部56は、キーボード、マウス等の入力装置である。表示部55及び入力部56は、例えば、送信すべきデータの入力及び表示をする際に利用される。通信部57は、モデム等の回線終端装置を備えており、中継装置40を介した各種データの送受信を制御する。
【0047】
補助記憶装置58は、本発明のコンピュータプログラム及びデータを記録したFD、CD−ROM等の記録媒体60からコンピュータプログラム及びデータを読取るFDドライブ、CD−ROMドライブ等からなり、読取られたコンピュータプログラム及びデータは、内部記憶装置59に記憶される。内部記憶装置59に記憶されているコンピュータプログラム及びデータは、RAM54に読込まれ、CPU51が実行することで本実施の形態に係る情報処理装置50として動作する。
なお、本発明のコンピュータプログラムは、記録媒体60により提供されるだけでなく、データ通信網Nを通じて提供される形態であってもよいことは勿論である。
【0048】
前述のコンピュータプログラムは、情報処理装置50の起動時に自動的にRAM54に読込まれる常駐型のプログラムであることが望ましく、通信部57にて外部からデータを受信した際に、自動的に不正コードを検出するようにしておくとよい。なお、不正コードの検出手順については、実施の形態1及び実施の形態2で説明した通りであるので説明を省略する。
【0049】
本実施の形態では、パーソナルコンピュータのような情報処理装置50を利用して不正コードを含んだデータを検出する構成としたが、パーソナルコンピュータの他、携帯電話機、PDA、コンピュータゲーム機、車載通信装置、各種の情報家電に適用できることは勿論である。
また、本発明のコンピュータプログラムをFD、CD−ROM等の記録媒体に記録させて提供することにより、コンピュータウィルスを検出するアプリケーションソフトウェアのパッケージとして提供することも可能である。
【0050】
【発明の効果】
第1発明による場合は、所定の処理を実行する命令コード群を呼出すための命令コードを入力されたデータから検索し、前記命令コードが検索された場合、命令コード群に復帰先アドレスを取得するための命令コードが含まれるか否かを判断するため、不正コードであるか否かの判定が簡単であり、しかも精度良く判定することができる等、本発明は優れた効果を奏する。
【図面の簡単な説明】
【図1】本発明のデータ処理装置を利用した侵入検出システムを説明する模式的構成図である。
【図2】不正コードの特徴的構造を説明する概念図である。
【図3】不正コードの特徴的構造を説明する概念図である。
【図4】本実施の形態に係る侵入検出システムの処理手順を説明するフローチャートである。
【図5】侵入検出の際に利用される分岐テーブルの一例を示す概念図である。
【図6】偽装された不正コードの特徴的構造を説明する概念図である。
【図7】偽装された不正コードの特徴的構造を説明する概念図である。
【図8】本実施の形態に係る侵入検出システムの処理手順を説明するフローチャートである。
【図9】本実施の形態に係る侵入検知システムの構成を説明する模式図である。
【符号の説明】
10 中継装置
11 CPU
12 メモリ
12a ルーティングテーブル
12b フィルタリングテーブル
12c 分岐テーブル
13 通信IF
14 通信IF
20 情報処理装置
30 情報処理装置
50 情報処理装置
N データ通信網
Claims (1)
- 複数の命令コードを含むデータの入力を受付ける手段を備え、該手段にて受付けたデータに含まれる命令コードに基づいて実行される処理が不正処理であるか否かの判断をCPU及びメモリを用いて行うデータ処理装置において、
前記CPUは、
装置内に入力されたデータから所定の処理を実行する命令コード群を呼出すための命令コードを検索するステップと、
前記データから前記命令コードが検索された場合、該命令コードに対応付けられているアドレスを前記メモリに記憶させるステップと、
該命令コードの呼出先アドレス以降のデータを1バイトずつ順次的に読込み、読込んだデータに基づき、PUSH命令が先行しないPOP命令が前記命令コード群に含まれるか否かを判断するステップと、
PUSH命令が先行しないPOP命令が前記命令コード群に含まれると前記ステップにて判断した場合、前記データが不正処理を実行するデータである旨の情報を生成し、生成した情報を出力するステップと
を実行すべくなしてあり、
PUSH命令が先行しないPOP命令が前記命令コード群に含まれないと判断した場合、前記CPUは、前記メモリに記憶させたアドレスの次のアドレス以降のデータについて前記各ステップを実行すべくなしてあることを特徴とするデータ処理装置。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002227888A JP4660056B2 (ja) | 2002-08-05 | 2002-08-05 | データ処理装置 |
| US10/523,690 US7805760B2 (en) | 2002-08-05 | 2003-08-04 | Data processing method, data processing device computer program and recording medium |
| AU2003252387A AU2003252387A1 (en) | 2002-08-05 | 2003-08-04 | Data processing method, data processing device, computer program, and recording medium |
| TW092121250A TW200402634A (en) | 2002-08-05 | 2003-08-04 | Data processing method, data processing device, computer program and recording medium |
| PCT/JP2003/009894 WO2004013755A1 (ja) | 2002-08-05 | 2003-08-04 | データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002227888A JP4660056B2 (ja) | 2002-08-05 | 2002-08-05 | データ処理装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008265651A Division JP4589996B2 (ja) | 2008-10-14 | 2008-10-14 | データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004070605A JP2004070605A (ja) | 2004-03-04 |
| JP4660056B2 true JP4660056B2 (ja) | 2011-03-30 |
Family
ID=31492232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002227888A Expired - Fee Related JP4660056B2 (ja) | 2002-08-05 | 2002-08-05 | データ処理装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7805760B2 (ja) |
| JP (1) | JP4660056B2 (ja) |
| AU (1) | AU2003252387A1 (ja) |
| TW (1) | TW200402634A (ja) |
| WO (1) | WO2004013755A1 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100586500B1 (ko) * | 2004-03-18 | 2006-06-07 | 학교법인고려중앙학원 | 버퍼 오버플로우 공격들을 감지하고 복구하는 방법 및 그장치 |
| JP2006018765A (ja) * | 2004-07-05 | 2006-01-19 | Infocom Corp | ソフトウエアの一時的な修正方法およびプログラム |
| US8321941B2 (en) | 2006-04-06 | 2012-11-27 | Juniper Networks, Inc. | Malware modeling detection system and method for mobile platforms |
| US9202049B1 (en) | 2010-06-21 | 2015-12-01 | Pulse Secure, Llc | Detecting malware on mobile devices |
| US8726338B2 (en) | 2012-02-02 | 2014-05-13 | Juniper Networks, Inc. | Dynamic threat protection in mobile networks |
| CN103309762B (zh) * | 2013-06-21 | 2015-12-23 | 杭州华三通信技术有限公司 | 设备异常处理方法及装置 |
| CN103473057A (zh) * | 2013-09-10 | 2013-12-25 | 江苏中科梦兰电子科技有限公司 | 一种memcpy函数的优化方法 |
| US10103890B2 (en) * | 2014-08-08 | 2018-10-16 | Haw-Minn Lu | Membership query method |
| US10728040B1 (en) * | 2014-08-08 | 2020-07-28 | Tai Seibert | Connection-based network behavioral anomaly detection system and method |
| CN105988905A (zh) * | 2015-02-12 | 2016-10-05 | 中兴通讯股份有限公司 | 异常处理方法及装置 |
| JP7351421B2 (ja) * | 2020-03-17 | 2023-09-27 | 日本電気株式会社 | 処理装置、セキュリティ制御方法、及び制御プログラム |
| JP7316613B2 (ja) * | 2020-03-27 | 2023-07-28 | パナソニックIpマネジメント株式会社 | 異常検出方法、異常検出プログラム、異常検出装置、書き換え方法、書き換えプログラム及び書き換え装置 |
| CN111552959B (zh) * | 2020-06-18 | 2023-08-29 | 南方电网科学研究院有限责任公司 | 一种程序特征序列生成方法和装置 |
| CN111930651B (zh) * | 2020-08-14 | 2022-03-08 | 山东云海国创云计算装备产业创新中心有限公司 | 一种指令执行方法、装置、设备及可读存储介质 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5313616A (en) * | 1990-09-18 | 1994-05-17 | 88Open Consortium, Ltd. | Method for analyzing calls of application program by inserting monitoring routines into the executable version and redirecting calls to the monitoring routines |
| JP2702462B2 (ja) * | 1995-10-31 | 1998-01-21 | 日本電気アイシーマイコンシステム株式会社 | 情報制御装置及びその制御方法 |
| US6148437A (en) * | 1998-05-04 | 2000-11-14 | Hewlett-Packard Company | System and method for jump-evaluated trace designation |
| US6301699B1 (en) * | 1999-03-18 | 2001-10-09 | Corekt Security Systems, Inc. | Method for detecting buffer overflow for computer security |
| US6697950B1 (en) * | 1999-12-22 | 2004-02-24 | Networks Associates Technology, Inc. | Method and apparatus for detecting a macro computer virus using static analysis |
| US7085920B2 (en) * | 2000-02-02 | 2006-08-01 | Fujitsu Limited | Branch prediction method, arithmetic and logic unit, and information processing apparatus for performing brach prediction at the time of occurrence of a branch instruction |
| US6775780B1 (en) * | 2000-03-16 | 2004-08-10 | Networks Associates Technology, Inc. | Detecting malicious software by analyzing patterns of system calls generated during emulation |
| US8341743B2 (en) * | 2000-07-14 | 2012-12-25 | Ca, Inc. | Detection of viral code using emulation of operating system functions |
| US20030041315A1 (en) * | 2001-08-21 | 2003-02-27 | International Business Machines Corporation | Debugger with automatic detection of control points influencing program behavior |
| US7340777B1 (en) * | 2003-03-31 | 2008-03-04 | Symantec Corporation | In memory heuristic system and method for detecting viruses |
-
2002
- 2002-08-05 JP JP2002227888A patent/JP4660056B2/ja not_active Expired - Fee Related
-
2003
- 2003-08-04 US US10/523,690 patent/US7805760B2/en not_active Expired - Fee Related
- 2003-08-04 AU AU2003252387A patent/AU2003252387A1/en not_active Abandoned
- 2003-08-04 WO PCT/JP2003/009894 patent/WO2004013755A1/ja active Application Filing
- 2003-08-04 TW TW092121250A patent/TW200402634A/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| US20060041863A1 (en) | 2006-02-23 |
| TW200402634A (en) | 2004-02-16 |
| JP2004070605A (ja) | 2004-03-04 |
| US7805760B2 (en) | 2010-09-28 |
| AU2003252387A1 (en) | 2004-02-23 |
| WO2004013755A1 (ja) | 2004-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11070571B2 (en) | Cloud-based gateway security scanning | |
| JP4660056B2 (ja) | データ処理装置 | |
| US10484424B2 (en) | Method and system for security protection of account information | |
| US10733297B2 (en) | Real-time signatureless malware detection | |
| US10469531B2 (en) | Fraud detection network system and fraud detection method | |
| JP4320013B2 (ja) | 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体 | |
| CN102932329B (zh) | 一种对程序的行为进行拦截的方法、装置和客户端设备 | |
| CN108881101B (zh) | 一种基于文档对象模型的跨站脚本漏洞防御方法、装置以及客户端 | |
| CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
| RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| CN106357696A (zh) | 一种sql注入攻击检测方法及系统 | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| US10873588B2 (en) | System, method, and apparatus for computer security | |
| CN101901232A (zh) | 用于处理网页数据的方法和装置 | |
| US11509691B2 (en) | Protecting from directory enumeration using honeypot pages within a network directory | |
| CN111783096A (zh) | 检测安全漏洞的方法和装置 | |
| US11487868B2 (en) | System, method, and apparatus for computer security | |
| CN110879891A (zh) | 基于web指纹信息的漏洞探测方法及装置 | |
| JP2014179025A (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| CN110135153A (zh) | 软件的可信检测方法及装置 | |
| JP4589996B2 (ja) | データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体 | |
| EP3594841A1 (en) | Real-time signatureless malware detection | |
| JP2005321897A (ja) | データ通信処理プログラムおよびウイルス駆除プログラム取得処理プログラム | |
| JP2011258018A (ja) | セキュリティサーバシステム | |
| CN111585992B (zh) | 一种检测网络攻击的方法、客户端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20041208 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20041208 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050217 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050531 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080513 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080711 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080812 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081014 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20081014 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20081117 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20081205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101112 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101228 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140107 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |