JP4849941B2 - ソフトウェア動作モデル化装置 - Google Patents
ソフトウェア動作モデル化装置 Download PDFInfo
- Publication number
- JP4849941B2 JP4849941B2 JP2006109577A JP2006109577A JP4849941B2 JP 4849941 B2 JP4849941 B2 JP 4849941B2 JP 2006109577 A JP2006109577 A JP 2006109577A JP 2006109577 A JP2006109577 A JP 2006109577A JP 4849941 B2 JP4849941 B2 JP 4849941B2
- Authority
- JP
- Japan
- Prior art keywords
- stack
- information
- software
- acquisition unit
- threshold
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
H.Fengら, "Anomaly Detection Using Call Stack Information", The proc. of IEEE Symposium on Security and Privacy 2003, pp.62.
(ソフトウェア動作モデル化装置)
図1は、第1の実施形態に係るソフトウェア動作モデル化装置の構成例を示すブロック図である。
次に、第1の実施形態に係るソフトウェア動作モデル化方法について、図5を用いて説明する。
第1の実施形態に係るソフトウェア動作モデル化装置及びソフトウェア動作モデル化方法によると、しきい値を利用することにより、スタック下位から必要なリストのみを取り出すことができ、プログラム監視中に低速なメモリアクセスを伴うスタック情報取得回数を削減することを可能とするモデルを生成することができる。
図9は、第2の実施形態に係る、ソフトウェア動作モデル化装置の構成例を示すブロック図である。
第2の実施形態に係るソフトウェア動作モデル化方法は、図5に示す第1の実施形態とおおまかな流れは同様であるが、ステップS102において、しきい値生成処理ではなく、終端情報取得処理及びステップ値生成処理が行われることが大きく異なる。
第2の実施形態に係るソフトウェア動作モデル化装置及びソフトウェア動作モデル化方法によると、ステップ値を利用することにより、コールスタックから必要なリストのみを取り出すことができ、プログラム監視中に低速なメモリアクセスを伴うスタック情報取得回数を削減することができる。
図14は、第3の実施形態に係る、ソフトウェア動作モデル化装置100の構成例を示すブロック図である。
次に、第3の実施形態に係るソフトウェア動作モデル化方法について、図15を用いて説明する。
第3の実施形態に係るソフトウェア動作モデル化装置及びソフトウェア動作モデル化方法によると、算出されたしきい値が大きくなり冗長性を低減できない場合、もしくは復帰アドレスの繰り返しが少ないためステップしても冗長性を低減できない場合、もう一方の方法を採用することによって補完しあうことができる。
図16は、第4の実施形態に係るソフトウェア動作モデル化装置の構成例を示すブロック図である。
次に、第4の実施形態に係るソフトウェア動作監視方法について、図17を用いて説明する。
第4の実施形態に係るソフトウェア動作監視装置及びソフトウェア動作監視方法によると、スタック下位から必要なリストのみを取り出すことができ、プログラム監視中に低速なメモリアクセスを伴うスタック情報取得回数を削減することができる。
図18は、第5の実施形態に係るソフトウェア動作モデル化装置の構成例を示すブロック図である。
次に、第5の実施形態に係るソフトウェア動作監視方法について、図19を用いて説明する。
第5の実施形態に係るソフトウェア動作監視装置及びソフトウェア動作監視方法によると、コールスタックから必要なリストのみを取り出すことができ、プログラム監視中に低速なメモリアクセスを伴うスタック情報取得回数を削減することができる。
例えば、第1〜第3の実施形態に係るソフトウェア動作モデル化装置は、システムコール情報取得部110、スタック情報取得部120、スタック差分情報取得部130、モデル生成部140、しきい値生成部150を備えると説明したが、それらが二つあるいはそれ以上の装置に分かれていても構わない。その際はそれらのソフトウェア動作モデル化装置間でデータのやりとりが行えるようにバスなどで装置間を接続しているとする。第4及び第5の実施形態に係るソフトウェア動作監視装置に関しても同様である。
15…システムコール
20…メモリ空間
25…スタック状況
30…アクセス制御ポリシー
40…しきい値情報
41…ステップ値情報
42…終端情報
50…動作モデル
90…検証結果
100…ソフトウェア動作モデル化装置
110…システムコール情報取得部
115…システムコール情報
120…スタック情報取得部
122…システムコール
125…スタック情報
130…スタック差分情報取得部
135…スタック差分情報
140…モデル生成部
145…しきい値生成用情報
150…しきい値生成部
155…しきい値
156…ステップ値
160…ステップ値生成部
170…終端情報取得部
180…方式判別部
190…セキュリティレベル/要求速度取得部
200…ソフトウェアモデル化装置
201…CPU
202…RAM
203…ROM
204…入力デバイス
205…HDD
250…セキュリティレベル
500…ソフトウェア動作監視装置
510…システムコール情報取得部
515…システムコール情報
520…スタック情報取得部
525…スタック情報
530…スタック差分情報取得部
535…スタック差分情報
540…モデル検証部
545…終端判断
550…モデル取得部
555…終端情報
560…モデル取得部
560…終端情報探索部
Claims (4)
- ソフトウェアの実行環境において、当該ソフトウェア実行中に、特定のイベントが発生した時点でのコールスタックに積まれた情報であるスタック情報を、前記コールスタックに積まれた順に基づいて取得するスタック情報取得部と、
iを自然数とし、前記スタック情報取得部によって取得されたi-1番目のスタック情報とi番目のスタック情報との差分情報をしきい値生成用スタック差分情報とし、前記スタック情報の長さ、もしくは、前記しきい値生成用スタック差分情報の長さの分布を含んだしきい値生成用情報に基づいて、モデル生成に必要なスタック情報の長さを決定するしきい値を生成するしきい値生成部と、
前記しきい値生成部によって生成されたしきい値を利用して、前記スタック情報取得部によって取得されたスタック情報のスタック上位からしきい値分までの情報をスタック差分情報として取得するスタック差分情報取得部と、
前記スタック差分情報取得部によって取得されたスタック差分情報から、当該ソフトウェアの動作モデルを生成するモデル生成部と
を備えることを特徴とするソフトウェア動作モデル化装置。 - 前記スタック情報取得部は、前記スタック情報として復帰アドレスを取得することを特徴とする請求項1に記載のソフトウェア動作モデル化装置。
- 前記しきい値生成部は、監視対象ソフトウェアのセキュリティレベルを更に入力とし、当該セキュリティレベルと前記しきい値生成用スタック差分情報の長さの分布とから、前記しきい値を生成することを特徴とする請求項1又は2に記載のソフトウェア動作モデル化装置。
- 前記しきい値生成部は、監視対象ソフトウェアに要求される実行速度を更に入力とし、当該要求速度と前記しきい値生成用スタック差分情報の長さの分布とから、前記しきい値を生成することを特徴とする請求項1又は2に記載のソフトウェア動作モデル化装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006109577A JP4849941B2 (ja) | 2006-04-12 | 2006-04-12 | ソフトウェア動作モデル化装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006109577A JP4849941B2 (ja) | 2006-04-12 | 2006-04-12 | ソフトウェア動作モデル化装置 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2007286656A JP2007286656A (ja) | 2007-11-01 |
JP2007286656A5 JP2007286656A5 (ja) | 2009-04-30 |
JP4849941B2 true JP4849941B2 (ja) | 2012-01-11 |
Family
ID=38758401
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006109577A Expired - Fee Related JP4849941B2 (ja) | 2006-04-12 | 2006-04-12 | ソフトウェア動作モデル化装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4849941B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9003543B2 (en) * | 2010-12-21 | 2015-04-07 | Microsoft Technology Licensing, Llc | Providing a security boundary |
KR102046550B1 (ko) * | 2017-10-13 | 2019-11-19 | 주식회사 안랩 | 후킹 탐지 장치 및 방법 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09179753A (ja) * | 1995-12-26 | 1997-07-11 | Nec Software Ltd | リターン処理を契機とするスタック情報収集方式 |
JP3154408B2 (ja) * | 1998-12-21 | 2001-04-09 | 日本電気株式会社 | スタックサイズ設定装置 |
JP2000259452A (ja) * | 1999-03-11 | 2000-09-22 | Yamatake Corp | 記憶領域管理方法及び装置 |
JP4125056B2 (ja) * | 2002-06-28 | 2008-07-23 | キヤノン株式会社 | ログ取得方法 |
JP2004126854A (ja) * | 2002-10-01 | 2004-04-22 | Mitsubishi Electric Corp | 攻撃対策装置 |
JP2006053788A (ja) * | 2004-08-12 | 2006-02-23 | Ntt Docomo Inc | ソフトウェア動作監視装置及びソフトウェア動作監視方法 |
-
2006
- 2006-04-12 JP JP2006109577A patent/JP4849941B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007286656A (ja) | 2007-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4732874B2 (ja) | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 | |
JP5090661B2 (ja) | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 | |
EP1942431B1 (en) | Software or other information integrity verification using variable block length and selection | |
JP4020912B2 (ja) | 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 | |
JP2021518705A (ja) | ブロックチェーン台帳のためのランタイム自己修正 | |
US7962952B2 (en) | Information processing apparatus that executes program and program control method for executing program | |
CN110225029B (zh) | 注入攻击检测方法、装置、服务器及存储介质 | |
US9679139B1 (en) | System and method of performing an antivirus scan of a file on a virtual machine | |
CN111222176B (zh) | 基于区块链的云存储持有性证明方法、系统及介质 | |
JP2006031109A (ja) | 管理システム及び管理方法 | |
JP2007047884A (ja) | 情報処理システム | |
WO2019144548A1 (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
CN116827677A (zh) | 检测异常的系统和方法 | |
CN115248919A (zh) | 一种函数接口的调用方法、装置、电子设备及存储介质 | |
JP4849941B2 (ja) | ソフトウェア動作モデル化装置 | |
CN109255238B (zh) | 终端威胁检测与响应方法及引擎 | |
CN108701158A (zh) | 对信息资源上的内容的基于散列的动态限制 | |
US20050010752A1 (en) | Method and system for operating system anti-tampering | |
CN111949479B (zh) | 交互系统和索引创建情况的确定方法、设备 | |
CN109583204B (zh) | 一种混合环境下静态对象篡改的监测方法 | |
US20210089497A1 (en) | Method, device, and computer program product for managing data object | |
US20200401561A1 (en) | Method, device, and computer program product for managing data object | |
CN114556346A (zh) | 事件日志防篡改 | |
JP4862619B2 (ja) | ログ管理方式及びログ管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090313 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090313 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110713 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110726 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110926 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111011 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111018 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141028 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |