JP5090661B2 - ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 - Google Patents
ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 Download PDFInfo
- Publication number
- JP5090661B2 JP5090661B2 JP2006110036A JP2006110036A JP5090661B2 JP 5090661 B2 JP5090661 B2 JP 5090661B2 JP 2006110036 A JP2006110036 A JP 2006110036A JP 2006110036 A JP2006110036 A JP 2006110036A JP 5090661 B2 JP5090661 B2 JP 5090661B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- stack
- software
- termination
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/28—Error detection; Error correction; Monitoring by checking the correct order of processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/20—Software design
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
Description
(ソフトウェア動作モデル化装置)
第1の実施形態に係るソフトウェア動作モデル化装置100は、図1に示すように、監視対象プロセス10、監視対象プロセスが利用するメモリ空間20、任意でしきい値30を用いて、監視対象プロセス10の正常な動作を表すモデル情報50と、終端情報40を生成し、出力する。ここで、「監視対象プロセス10」とは、ソフトウェアの動作を監視すべきソフトウェアの実行形態をいう。当該監視対象プロセス10の監視指示は、ユーザによって外部から与えられてもよく、ソフトウェア配信者がソフトウェアに付与したメタ情報によって与えられてもよい。
次に、第1の実施形態に係るソフトウェア動作モデル化方法について、図5を参照して説明する。
次に、第1の実施形態に係る、監視対象プロセス10の動作の正常異常判定を行うソフトウェア動作監視装置について、図9を用いて説明する。
次に、第1の実施形態に係るソフトウェア動作監視方法について、図12を参照して説明する。
第1の実施形態に係るソフトウェア動作モデル化装置は、記録した終端情報を抽出し、終端情報に基づいて、スタック情報からソフトウェアの動作モデルを生成する。
(ソフトウェア動作モデル化及びソフトウェア動作監視装置)
図14は、第2の実施形態に係るソフトウェア動作モデル化及びソフトウェア動作監視装置1000の構成例を示すブロック図である。
第2の実施形態に係るソフトウェア動作モデル化及びソフトウェア動作監視装置によると、同一の端末上でのモデル化、監視の実現に加え、終端情報を利用した効率のよいコールスタックの探索を実現できる。
図15は、第3の実施形態に係るソフトウェア動作監視装置5100の構成例を示すブロック図である。
次に、第3の実施形態に係るソフトウェア動作監視方法について、図24及び図25を参照して説明する。
非特許文献1の手法を考慮すると、終端情報以降に現れるスタックフレーム情報で示される関数は、検証対象からはずされる。すなわち、この一致部分に存在する関数の関数モデルはメモリ上に存在していなくてもよい。そこで、第3の実施形態に係るソフトウェア動作監視装置は、コールスタックの探索の際に、終端情報とマッチする復帰アドレスの検知を契機に、コールスタックの探索を中断し、更にキャッシュに記録していた関数モデルを廃棄する。
関数モデルの廃棄は、次のシステムコール発生時のスタック差分情報の検証の際に必要となる関数モデルの廃棄をしてしまう恐れがある。そこで、終端情報取得部は、事前に取得したスタック情報の時系列から、任意の期間、コールスタックの底からみて定位置に存在するスタックフレーム情報を終端情報として記録した情報を取得することで,検証の際に、ある期間利用されない関数モデルのみを廃棄することができるので、終端情報に基づく関数モデルの廃棄に伴うリスクを軽減することができる。
15…システムコール
20…メモリ空間
25…コールスタックの状況
30…しきい値
35…終端情報
40…結果
50…モデル情報
55…関数モデル
70…ソフトウェア識別子
100…ソフトウェア動作モデル化装置
110…システムコール情報取得部
115…システムコール情報
120…スタック情報記録部
125…スタック情報
130…スタック差分情報生成部
135…スタック差分情報
140…モデル生成部
150…終端情報記録部
200…メモリ使用量
335…スタック差分情報
500…ソフトウェア動作監視装置
510…システムコール情報取得部
515A、515B…システムコール情報
520…スタック差分情報取得部
530…スタック差分情報生成部
530…動作モデル
535…スタック差分情報
540…動作監視部
550…終端情報取得部
555…終端情報
560…モデル取得部
565…モデル
1000…ソフトウェア動作監視装置
1010…システムコール取得部
1010…システムコール情報取得部
1020…スタック情報記録部
1030…スタック情報取得部
1040…スタック差分情報生成部
1050…モデル生成部
1055…モデル情報
1060…モデル取得部
1070…動作監視部
1080…終端情報記録部
1085…終端情報
1090…終端情報取得部
5100…ソフトウェア動作監視装置
5110…システムコール発行検知部
5115…検知情報
5120…スタック情報取得部
5120…スタック情報記録部
5125A…スタック情報
5125B…終端到達情報
5130…スタック差分情報生成部
5135A…pop情報
5135B…push情報
5140…動作監視部
5150…モデル廃棄部
5155…廃棄命令
5160…モデル廃棄部
5160…終端情報取得部
5165…終端情報
5170…モデル取得部
5175…関数モデル
5180…モデル記憶部
5185…関数モデル
Claims (12)
- ソフトウェアの実行環境において、ソフトウェア実行中に、特定のイベントが発生した時点でのコールスタックに積まれたスタックフレームを識別するスタックフレーム情報を、コールスタックに積まれた順がわかるように取得し、特定のイベント発生順に記録するスタック情報記録部と、
iを自然数とし、前記スタック情報記録部によって記録されたi-1番目のスタック情報とi番目のスタック情報とを、コールスタック底から順に比較して行き、コールスタックの位置とスタックフレーム情報が一致している部分を一致部分、コールスタックの位置とスタックフレーム情報が異なるスタックフレーム情報を検知してから以降の部分を不一致部分とし、一致部分と不一致部分との境界をつくるスタックフレーム情報である終端情報を記録する終端情報記録部と、
前記終端情報記録部が記録した終端情報を用いて、前記スタック情報のスタック上位から終端情報が検知されるまでの前記i-1番目のスタック情報と前記i番目のスタック情報をお互い連結させた情報をスタック差分情報として生成する第1のスタック差分情報生成部と、
前記スタック差分情報のハッシュ値をとる、または前記特定のイベントの識別子と前記スタック差分情報との相関規則を導出することによって、当該ソフトウェアの動作モデルを生成するモデル生成部と、
を備え、
前記終端情報記録部は、前記スタック情報記録部が記録したスタック情報の時系列から、任意の期間、コールスタックの底からみて定位置に存在するスタックフレーム情報を前記終端情報として記録することを特徴とするソフトウェア動作モデル化装置。 - 前記終端情報記録部は、前記特定のイベントの識別子と終端情報の共起関係に基づいて、前記特定のイベントの識別子と前記終端情報との共起頻度の高い終端情報を、前記特定のイベントの識別子とともに記録し、
前記第1のスタック差分情報生成部は、前記終端情報記録部が記録した終端情報から、特定のイベントの識別子を利用して、スタック差分情報の生成に用いる終端情報を取得することを特徴とする請求項1に記載のソフトウェア動作モデル化装置。 - 前記終端情報記録部は、スタックフレーム情報がコールスタックの底からみて定位置に存在する期間の長さを把握し、前記期間が長いスタックフレーム情報を終端情報として記録することを特徴とする請求項1に記載のソフトウェア動作モデル化装置。
- 前記モデル生成部によって生成された、監視対象となるソフトウェアの動作モデルを取得するモデル取得部と、
前記終端情報記録部によって記録された終端情報を取得する終端情報取得部と、
コールスタックを検索している際に、前記終端情報取得部によって伝えられた終端情報を検知した時点で、コールスタックからのスタックフレーム情報の取得を中断し、特定のイベント発生順に記録するスタック情報取得部と、
前記スタック情報取得部によって取得されたi-1番目のスタック情報とi番目のスタック情報をお互い連結させた情報をスタック差分情報として生成する第2のスタック差分情報生成部と、
前記第2のスタック差分情報生成部が生成した前記スタック差分情報と、前記モデル取得部が取得した前記動作モデルとの乖離を判定する動作監視部と
を更に備えることを特徴とする請求項1〜3のいずれか1項に記載のソフトウェア動作モデル化装置。 - 前記スタックフレーム情報は、復帰アドレスであることを特徴とする請求項1〜4のいずれか1項に記載のソフトウェア動作モデル化装置。
- 監視対象ソフトウェアが発行した特定のイベントであるシステムコール間で実行された関数の呼出および前記関数の復帰の発行順との共起関係を示した動作モデルを関数モデルとしたとき、前記監視対象のソフトウェアが発行した特定のイベントごとに、関数モデルを取得するモデル取得部と、
ソフトウェアの実行環境において、前記監視対象ソフトウェア識別子と、前記監視対象のソフトウェアによって発行された終端情報を取得する終端情報取得部と、
前記監視対象のソフトウェア実行中に、前記監視対象ソフトウェアが発行した特定のイベントが発生した時点でのコールスタックに積まれたスタックフレームを識別するスタックフレーム情報を、コールスタックに積まれた順がわかるように取得するとともに、コールスタックを探索している際に、前記終端情報取得部によって伝えられた終端情報を検知した時点で、コールスタックからのスタックフレーム情報の取得を中断し、特定のイベント発生順に記録するスタック情報取得部と、
前記スタック情報取得部によって取得されたi-1番目のスタック情報とi番目のスタック情報をお互い連結させた情報をスタック差分情報として生成するスタック差分情報生成部と、
前記スタック差分情報生成部が生成した前記スタック差分情報と、前記モデル取得部が取得した前記動作モデルとの乖離を判定する動作監視部と
を備え、
前記終端情報取得部は、前記スタック情報の時系列から、任意の期間、コールスタックの底からみて定位置に存在するスタックフレーム情報を終端情報として記録した情報を取得することを特徴とするソフトウェア動作監視装置。 - 前記モデル取得部によって取得された前記関数モデルを廃棄するモデル廃棄部とを更に備え、
前記モデル取得部は、事前に監視対象ソフトウェアのコードから関数ごとに生成した、関数相互の呼び出しの関係を示す関数モデルを取得し、
前記動作監視部は、前記スタック差分情報生成部によって生成されたスタック差分情報と、前記モデル取得部が取得した前記関数モデルとの乖離を判定し、
前記スタック情報取得部は、コールスタックからスタックフレーム情報を取得する際に、終端情報と一致するスタックフレーム情報を検知した場合に、スタックフレーム情報の取得を中断し、
前記モデル廃棄部は、前記モデル取得部が以前のスタック差分情報の監視のために記録した関数モデルを廃棄することを特徴とする請求項6に記載のソフトウェア動作監視装置。 - 前記終端情報取得部は、スタックフレーム情報がコールスタックの底からみて定位置に存在する期間が長いスタックフレーム情報を終端情報として記録した情報を取得することを特徴とする請求項6に記載のソフトウェア動作監視装置。
- 前記モデル廃棄部は、システムの現在の使用メモリ量を把握し、終端情報に基づく関数モデルの廃棄を行うか否かを切り替えることを特徴とする請求項7に記載のソフトウェア動作監視装置。
- 関数モデルを記憶するモデル記憶部を更に備え、
前記モデル取得部は、取得した関数モデルに識別子をつけて前記モデル記憶部に記録し、
前記モデル廃棄部は、前記識別子で廃棄する関数モデルを指定する廃棄命令を前記モデル記憶部に伝えることを特徴とする請求項7または9に記載のソフトウェア動作監視装置。 - ソフトウェア動作モデル化装置が、ソフトウェアの実行環境において、ソフトウェア実行中に、特定のイベントが発生した時点でのコールスタックに積まれたスタックフレームを識別するスタックフレーム情報を、コールスタックに積まれた順がわかるように取得し、特定のイベント発生順に記録するステップと、
前記ソフトウェア動作モデル化装置が、iを自然数とし、前記スタックフレーム情報を記録するステップにおいて記録されたi-1番目のスタック情報とi番目のスタック情報とを、コールスタック底から順に比較して行き、コールスタックの位置とスタックフレーム情報が一致している部分を一致部分、コールスタックの位置とスタックフレーム情報が異なるスタックフレーム情報を検知してから以降の部分を不一致部分とし、一致部分と不一致部分との境界をつくるスタックフレーム情報である終端情報を記録するステップと、
前記ソフトウェア動作モデル化装置が、記録された終端情報を用いて、前記スタック情報のスタック上位から終端情報が検知されるまでの前記i-1番目のスタック情報と前記i番目のスタック情報をお互い連結させた情報をスタック差分情報として生成するステップと、
前記ソフトウェア動作モデル化装置が、前記スタック差分情報のハッシュ値をとる、または前記特定のイベントの識別子と前記スタック差分情報との相関規則を導出することによって、当該ソフトウェアの動作モデルを生成するステップと
を含み、
前記終端情報を記録するステップでは、記録したスタック情報の時系列から、任意の期間、コールスタックの底からみて定位置に存在するスタックフレーム情報を前記終端情報として記録することを特徴とするソフトウェア動作モデル化方法。 - ソフトウェア動作監視装置が、監視対象ソフトウェアが発行した特定のイベントであるシステムコール間で実行された関数の呼出および前記関数の復帰の発行順との共起関係を示した動作モデルを関数モデルとしたとき、前記監視対象のソフトウェアが発行した特定のイベントごとに、関数モデルを取得するステップと、
前記ソフトウェア動作監視装置が、ソフトウェアの実行環境において、前記監視対象ソフトウェア識別子と、前記監視対象のソフトウェアによって発行された終端情報を取得するステップと、
前記ソフトウェア動作監視装置が、前記監視対象のソフトウェア実行中に、前記監視対象ソフトウェアが発行した特定のイベントが発生した時点でのコールスタックに積まれたスタックフレームを識別するスタックフレーム情報を、コールスタックに積まれた順がわかるように取得するとともに、コールスタックを探索している際に、前記終端情報を検知した時点で、コールスタックからのスタックフレーム情報の取得を中断し、特定のイベント発生順に記録するステップと、
前記ソフトウェア動作監視装置が、取得されたi-1番目のスタック情報とi番目のスタック情報をお互い連結させた情報をスタック差分情報として生成するステップと、
前記ソフトウェア動作監視装置が、生成した前記スタック差分情報と、取得された前記動作モデルとの乖離を判定するステップと
を含み、
前記終端情報を取得するステップでは、前記スタック情報の時系列から、任意の期間、コールスタックの底からみて定位置に存在するスタックフレーム情報を終端情報として記録した情報を取得することを特徴とするソフトウェア動作監視方法。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006110036A JP5090661B2 (ja) | 2006-04-12 | 2006-04-12 | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
CN2007800132742A CN101432754B (zh) | 2006-04-12 | 2007-04-12 | 软件动作模型化装置、软件动作监视装置、软件动作模型化方法以及软件动作监视方法 |
PCT/JP2007/058061 WO2007119781A1 (ja) | 2006-04-12 | 2007-04-12 | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
US12/296,999 US8301433B2 (en) | 2006-04-12 | 2007-04-12 | Software behavior modeling apparatus, software behavior monitoring apparatus, software behavior modeling method, and software behavior monitoring method |
EP07741497A EP2026237A4 (en) | 2006-04-12 | 2007-04-12 | SOFTWARE OPERATION MODELING DEVICE, SOFTWARE OPERATION MONITORING DEVICE, SOFTWARE OPERATION MODELING PROCESS, AND SOFTWARE OPERATION MONITORING METHOD |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006110036A JP5090661B2 (ja) | 2006-04-12 | 2006-04-12 | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007286686A JP2007286686A (ja) | 2007-11-01 |
JP5090661B2 true JP5090661B2 (ja) | 2012-12-05 |
Family
ID=38609541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006110036A Expired - Fee Related JP5090661B2 (ja) | 2006-04-12 | 2006-04-12 | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8301433B2 (ja) |
EP (1) | EP2026237A4 (ja) |
JP (1) | JP5090661B2 (ja) |
CN (1) | CN101432754B (ja) |
WO (1) | WO2007119781A1 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8713513B2 (en) * | 2006-12-13 | 2014-04-29 | Infosys Limited | Evaluating programmer efficiency in maintaining software systems |
JP4572259B1 (ja) * | 2009-04-27 | 2010-11-04 | 株式会社フォティーンフォティ技術研究所 | 情報機器、プログラム及び不正なプログラムコードの実行防止方法 |
CN102891916B (zh) * | 2011-07-18 | 2016-01-20 | 中兴通讯股份有限公司 | 一种预测用户操作的方法及移动终端 |
US8707434B2 (en) | 2011-08-17 | 2014-04-22 | Mcafee, Inc. | System and method for indirect interface monitoring and plumb-lining |
FR2994290B1 (fr) * | 2012-08-06 | 2018-04-06 | Rambus Inc. | Systeme de detection de modification d'une pile d'appel de sous-programme |
TW201423469A (zh) * | 2012-12-03 | 2014-06-16 | Inst Information Industry | 電子數位資料匿篩裝置、方法及其電腦可讀取紀錄媒體 |
US10019395B2 (en) | 2013-11-08 | 2018-07-10 | Nxp Usa, Inc. | Processing system with stack management and method for stack management |
US9977897B2 (en) * | 2014-07-16 | 2018-05-22 | Leviathan Security Group, Inc. | System and method for detecting stack pivot programming exploit |
CN107077341B (zh) | 2014-10-24 | 2020-07-14 | 谷歌有限责任公司 | 用于基于软件执行跟踪自动加标签的方法和系统 |
US9817971B2 (en) * | 2015-10-29 | 2017-11-14 | International Business Machines Corporation | Using call stack snapshots to detect anomalous computer behavior |
US10241847B2 (en) * | 2016-07-19 | 2019-03-26 | 2236008 Ontario Inc. | Anomaly detection using sequences of system calls |
US11120106B2 (en) | 2016-07-30 | 2021-09-14 | Endgame, Inc. | Hardware—assisted system and method for detecting and analyzing system calls made to an operating system kernel |
US11151251B2 (en) | 2017-07-13 | 2021-10-19 | Endgame, Inc. | System and method for validating in-memory integrity of executable files to identify malicious activity |
US11151247B2 (en) * | 2017-07-13 | 2021-10-19 | Endgame, Inc. | System and method for detecting malware injected into memory of a computing device |
US11314855B2 (en) * | 2018-12-05 | 2022-04-26 | Webroot Inc. | Detecting stack pivots using stack artifact verification |
CN112395598B (zh) * | 2019-08-15 | 2024-04-19 | 奇安信安全技术(珠海)有限公司 | 指令执行序列被破坏的防护方法、装置及设备 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004126854A (ja) | 2002-10-01 | 2004-04-22 | Mitsubishi Electric Corp | 攻撃対策装置 |
CN1310151C (zh) * | 2003-07-17 | 2007-04-11 | 中国科学院计算技术研究所 | 一种面向动态资源管理的软件故障模型及检测方法 |
JP2006053788A (ja) * | 2004-08-12 | 2006-02-23 | Ntt Docomo Inc | ソフトウェア動作監視装置及びソフトウェア動作監視方法 |
-
2006
- 2006-04-12 JP JP2006110036A patent/JP5090661B2/ja not_active Expired - Fee Related
-
2007
- 2007-04-12 CN CN2007800132742A patent/CN101432754B/zh not_active Expired - Fee Related
- 2007-04-12 EP EP07741497A patent/EP2026237A4/en not_active Withdrawn
- 2007-04-12 WO PCT/JP2007/058061 patent/WO2007119781A1/ja active Application Filing
- 2007-04-12 US US12/296,999 patent/US8301433B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN101432754B (zh) | 2013-04-17 |
CN101432754A (zh) | 2009-05-13 |
US8301433B2 (en) | 2012-10-30 |
EP2026237A1 (en) | 2009-02-18 |
US20090187396A1 (en) | 2009-07-23 |
JP2007286686A (ja) | 2007-11-01 |
EP2026237A4 (en) | 2013-02-20 |
WO2007119781A1 (ja) | 2007-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5090661B2 (ja) | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 | |
JP4732874B2 (ja) | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 | |
US10242043B2 (en) | Software security via control flow integrity checking | |
US9990583B2 (en) | Match engine for detection of multi-pattern rules | |
TWI419003B (zh) | 自動化分析與分類惡意程式之方法及系統 | |
US20110154487A1 (en) | Software behavior modeling device, software behavior modeling method, software behavior verification device, and software behavior verification method | |
CN110647748B (zh) | 一种基于硬件特性的代码复用攻击检测系统及方法 | |
Kulik et al. | A framework for threat-driven cyber security verification of iot systems | |
JP2019185223A (ja) | 情報処理装置及び情報処理方法 | |
US11354409B1 (en) | Malware detection using locality sensitive hashing of API call sequences | |
JP4913353B2 (ja) | ソフトウェア動作モデル化装置及びソフトウェア動作監視装置 | |
JP7019533B2 (ja) | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
Zhang et al. | Android encryption database forensic analysis based on static analysis | |
CN109165509B (zh) | 软件实时可信度量的方法、设备、系统及存储介质 | |
Hessam et al. | A new approach for detecting violation of data plane integrity in Software Defined Networks | |
JP4849941B2 (ja) | ソフトウェア動作モデル化装置 | |
CN111796911A (zh) | 一种面向云平台虚拟设备的攻击检测方法及电子装置 | |
JP2007334767A (ja) | ソフトウェア動作モデル化装置及びソフトウェア動作モデル化方法 | |
Kumar et al. | A Parallel-SQLIA Detector for Web Security | |
JP2008305085A (ja) | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 | |
Stakhanova | A framework for adaptive, cost-sensitive intrusion detection and response system | |
CN115883202A (zh) | 一种实时识别网络攻击行为的序列分析方法、装置及设备 | |
CN114095236A (zh) | 密钥查找方法、装置、计算设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090224 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110830 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111031 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111129 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120130 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120228 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120501 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120522 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120816 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20120823 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120911 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120913 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150921 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5090661 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |