KR100836439B1 - 부정감시프로그램을 포함하는 저장매체, 부정감시방법 및 부정감시시스템 - Google Patents

부정감시프로그램을 포함하는 저장매체, 부정감시방법 및 부정감시시스템 Download PDF

Info

Publication number
KR100836439B1
KR100836439B1 KR1020067007740A KR20067007740A KR100836439B1 KR 100836439 B1 KR100836439 B1 KR 100836439B1 KR 1020067007740 A KR1020067007740 A KR 1020067007740A KR 20067007740 A KR20067007740 A KR 20067007740A KR 100836439 B1 KR100836439 B1 KR 100836439B1
Authority
KR
South Korea
Prior art keywords
data
user
output instruction
computer
illegal
Prior art date
Application number
KR1020067007740A
Other languages
English (en)
Other versions
KR20060107743A (ko
Inventor
오사무 아오키
마사하루 시라스기
켄이치 코이데
히로아키 카와노
Original Assignee
가부시키가이샤 인테리젠토 웨이브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 가부시키가이샤 인테리젠토 웨이브 filed Critical 가부시키가이샤 인테리젠토 웨이브
Publication of KR20060107743A publication Critical patent/KR20060107743A/ko
Application granted granted Critical
Publication of KR100836439B1 publication Critical patent/KR100836439B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

컴퓨터에 부정한 조작을 실행시키는 부정데이터의 감시에 있어서, 네트워크뿐만 아니라 외부접속장치 간에 출력지시데이터의 감시가 가능하고, 또한 부정판정을 위한 다양한 규칙설정과 효율적인 규칙의 적용이 가능한 부정감시프로그램을 포함하는 저장매체, 부정감시방법 및 부정감시시스템을 제공한다.
데이터취득부(14)는, 네트워크 또는 외부접속버스(bus)를 흐르는 출력지시데이터와 조작자의 ID를 취득한다. 부정조작판정부(15)에 있어서는, 사용자데이터 격납부(12)에서 해당 ID에 대응하는 사용자의 속성정보를 취득하여, 부정규칙격납부(13)에 격납된 사용자의 속성마다 정해진 규칙에서 해당 속성정보에 대응하는 규칙을 참조하고, 또한 부정규칙격납부(13)에 격납된 속성에 관계없이 일반적으로 부정으로 판정해야 하는 규칙을 참조하여 부정판정을 행한다. 부정한 조작이라고 판정되면, 중단처리실행부(16)에서 해당 조작에 의해 실행되는 처리를 정지시킨다.
사용자프로필, 부정감시서버, 부정규칙격납부, 부정조작판정

Description

부정감시프로그램을 포함하는 저장매체, 부정감시방법 및 부정감시시스템{STORAGE MEDIUM COMPRISING INVALIDITY MONITORING PROGRAM, INVALIDITY MONITORING METHOD, AND INVALIDITY MONITORING SYSTEM}
본 발명은 컴퓨터에 부정한 조작을 실행시키는 부정데이터를 감시하기 위한부정감시프로그램을 포함하는 저장매체, 부정감시방법 및 부정감시시스템에 관한 것이다.
컴퓨터를 인터넷 등의 네트워크에 접속하여 사용하는 경우, 외부로부터의 부정한 데이터의 침입을 방지함과 동시에 컴퓨터의 부정조작에 의한 내부로부터의 데이터 유출이나 누설을 방지하는 것이 필요하게 된다. 부정한 데이터의 침입을 방지하기 위해서는 기업 내에 LAN 등의 내부 네트워크와 인터넷 간의 방화벽(firewall)을 설치하여 부정한 데이터를 차단하는 것이나, 내부 네트워크나 개개의 컴퓨터단말에 바이러스(virus)의 침입을 방지하는 백신 프로그램(vaccine program)을 설치하는 것이 널리 행해지고 있다. 방화벽나 백신 프로그램에 있어서는 키워드나 송신원의 IP 어드레스(IP ADDRESS) 등으로부터 부정한 데이터를 판정하기 위한 규칙을 미리 정해 두고, 해당 규칙을 참조하는 것에 의해 부정한 데이터인지 아닌지를 판정하는 것이 일반적이다.
한편, 부정한 조작에 의한 데이터가 유출하는 것을 방지하기 위한 방법에 있어서는, 예를 들면 네트워크로 송출된 데이터에 대하여 접근권이나 송신원, 송신하 는 문서의 종류 등에 대하여 미리 정해진 규칙을 참조하여, 부정의 우려가 있다고 검지(檢知)되면 통신을 절단하는 기술이 개시되어 있다.(예를 들면, 특허문헌 1참조).
특허문헌 1 : 특허공개 2002-232451호 공보
발명의 개시
발명이 해결하고자 하는 과제
방화벽이나 백신 프로그램, 상기 특허문헌 1 기재의 발명은 모두 네트워크에 있는 부정한 데이터의 침입이나 누설을 방지하기 위한 것이다. 그러나, 컴퓨터를 이용한 부정조작은 네트워크를 통하는 것에 한정되지 않고, 예를 들면 권한이 없는 제 3자가 외부 네트워크에 접속되지 않은 컴퓨터를 부정으로 조작하여, 컴퓨터 내부의 정보를 프린터로 출력하고, 외부디스크로 저장하는, 네트워크를 이용하지 않는 방법에 의한 정보유출의 위험성도 존재한다. 결국, 부정한 조작을 실행시키는 데이터의 감시는 네트워크뿐만 아니라, 프린터나 드라이브(drive)와 접속하는 드라이버 단계(driver level)에 있어서도 이루어지는 것이 바람직하다.
또한, 앞에 설명한 바와 같이, 현재의 부정데이터의 감시방법은 키워드, IP 어드레스나 MAC 어드레스 등을 등록한 규칙기준(rule base)을 주로 하는 것이지만, 이런 방법에 의해 등록가능한 규칙의 내용에는 한계가 있다. 가능한 한 정확한 판정을 행하기 위해서는 규칙의 수를 증가시키는 것이 바람직하지만, 규칙의 수가 너무 많아져도 판정에 관한 처리가 둔해지는 문제가 발생한다. 따라서, 다양한 단면의 규칙을 가능한 한 간소하게 등록하고, 또한 규칙의 참조를 효율적으로 행하는 짜임새가 있으면 효과적이다.
또한, 규칙기준에 의한 부정판정은 종래와 전혀 다른 방법에 의해 등록된 규칙에 해당하지 않는 부정조작이 실행되면, 규칙기준만으로는 그것을 감지하기 어렵다는 문제도 갖는다. 이에 대하여, 종래와 다른 사용자의 조작동작의 패턴을 포착하고, 부정 가능성을 적확(的確)하게 판정하는 것이 가능하면 효과적이다.
본 발명은, 그러한 과제에 대응하여 이루어진 것으로, 컴퓨터에 부정한 조작을 실행시키는 부정데이터의 감시에 있어서, 네트워크뿐만 아니라 외부장치 간에 입출력된 데이터의 감시가 가능하고, 동시에 부정판정을 위한 다양한 규칙설정과 효율적인 규칙의 적용이 가능한 부정감시프로그램을 포함하는 저장매체, 부정감시방법 및 부정감시시스템을 제공하는 것을 목적한다.
과제를 해결하기 위한 수단
본 발명에 관한 과제를 해결하는 제 1 발명은, 컴퓨터에 부정조작을 실행시키는 부정데이터를 감시하기 위한 프로그램을 포함하는 저장매체이고, 상기 컴퓨터에, 상기 컴퓨터와 외부장치를 접속하는 외부접속버스를 통하여, 상기 외부출력장치로 출력하기 위한 출력지시데이터를 취득하는 단계와, 상기 출력지시데이터로부터 사용자를 식별하는 식별정보를 특정하는 단계와,상기 컴퓨터의 이용권한을 갖는 사용자에 대하여 각각의 사용자 속성정보를 격납하는 사용자정보 격납부로부터, 상기 식별정보에 대응하는 속성정보의 적어도 일부를 취득하는 단계와, 상기 출력지시데이터가 부정데이터라고 판정하는 규칙을 격납하는 판정규칙격납부를 참조하여, 상기 출력지시데이터가 부정데이터인지를 판정하는 단계와, 상기 부정데이터인지를 판정하는 단계에서 부정데이터라고 판정된 경우에는, 상기 출력지시데이터에 의해 실행되는 출력지시조작을 드라이브가 실행하는 처리를 정지시키는 것에 의해 정지시키는 단계를 실행시키고, 상기 판정규칙격납부에는 사용자의 속성에 대한 판정규칙이 기억되고, 상기 부정데이터인지를 판정하는 단계에 있어서는, 상기 속성정보의 적어도 일부를 취득하는 단계에 있어서 취득한 속성정보에 대응하는 상기 판정규칙을 참조하여 부정데이터인지를 판정하는 것을 특징으로 하는 부정감시프로그램을 포함하는 저장매체이다.
제 1 발명에 있어서는, 네트워크뿐만 아니라 컴퓨터의 외부접속버스를 통하여 입출력되는 데이터를 감시하는 것에 의해 네트워크를 경유하지 않는 부정한 프린트 출력이나 디스크로의 저장 등의 조작을 지시하는 데이터를 감시하고, 부정한 조작을 중단시키는 것이 가능하다. 또는 사용자의 속성정보에 따른 판정항목을 추가하는 것에 의해 규칙의 다양화를 도모하는 것이 가능하다.
제 1 발명에 있어서, 컴퓨터는 네트워크에 접속된 외부접속버스를 구비하고 있으면, 네트워크에서 클라이언트로서 이용된 경우라도 좋고, 서버로 이용된 경우라도 좋다. 네트워크에는 LAN, 다이얼업(dial up) 등 데이터의 송수신이 가능한 모든 네트워크가 포함된다. 외부출력장치는 프린터나 드라이브 등 외부접속버스를 통하여 컴퓨터에 접속가능한 모든 주변장치가 포함된다. 부정데이터는 외부로 유출이 금지된 파일의 송신지시, 권한이 없는 사용자에 의한 조작 등, 컴퓨터의 부정조작에 관한 데이터가 해당한다. 사용자의 속성정보에는, 예를 들면 사용자의 연령, 성별, 소속부서, 직급 등이 이용된다.
또한, 제 1 발명은 상기 컴퓨터에, 상기 사용자정보격납부를 참조하여, 상기 식별정보에 대응하는 사용자가 상기 컴퓨터의 이용권한을 갖는지를 판정하는 단계와, 상기 이용권한을 판정하는 단계에서 이용권한이 없다고 판정된 경우에는, 상기 출력지시데이터에 의해 실행되는 조작을 정지시키는 단계를 실행시키고, 상기 이용권한을 판정하는 단계는, 상기 부정데이터를 판정하는 단계보다 선행하여 실행되고, 상기 이용권한을 판정하는 단계에서 이용권한이 없다고 판정된 경우에는, 상기 컴퓨터에 상기 속성정보의 적어도 일부를 취득하는 단계 또는 상기 부정데이터인지를 판정하는 단계의 적어도 하나의 단계를 실행시키지 않는 것을 특징으로 하는 것도 가능하다.
제 1 발명에 있어서는, 규칙의 1항목으로 이용하기 위해서 사용자의 속성을 미리 등록하기 때문에, 조작을 한 사용자가 컴퓨터의 이용권한을 갖는 것인지 아닌지를 용이하게 확인하는 것이 가능하다. 사용자 이용권한의 유무를 규칙의 판정 전에 행하는 것으로 하면, 최초 단계에서 처음 권한을 갖지 않은 사용자의 조작인 경우에는 규칙을 적용하기 전에 조작의 정지처리를 행하는 것에 의해, 규칙을 적용하는 처리를 효율화하는 것이 가능하다.
또한, 제 1 발명은 상기 컴퓨터에, 상기 출력지시데이터에 관한 로그데이터(log data)를, 사용자마다 프로필로 격납하는 프로필격납부를 참조하여, 상기 데이터취득단계에서 취득된 상기 출력지시데이터가 상기 사용자의 일상적인 조작경향에 비하여 특이한지를 판정하는 단계를 실행시키고, 상기 출력지시데이터에 의해 실행된 조작을 정지시키는 단계에 있어서는, 상기 특이한지를 판정하는 단계에서 특이하다고 판정된 경우에도 상기 출력지시데이터에 의해 실행되는 출력지시조작을 정지시키는 것을 특징으로 하는 것도 가능하다.
이처럼 사용자마다 로그데이터의 수집에 의해 사용자마다 조작의 특성을 파악한 프로필을 작성하고, 그 프로필을 참조하여 사용자가 특이한 조작을 행했는지 아닌지를 판정하는 것에 의해, 규칙으로는 판단할 수 없는 제 3자에 의한 권한이 있는 사용자로의 스프핑(spoofing)이나, 권한 범위 내에는 있지만 통상은 실행하지 않는 부정의 가능성이 있는 조작 등을 판정하는 것이 가능하다.
또한, 제 1 발명은 상기 출력지시데이터를 취득하는 단계에 있어서 네트워크로부터 상기 출력지시데이터를 취득한 경우에는, 상기 출력지시데이터에 의해 실행되는 출력지시조작을 정지시키는 단계에 있어서 섹션(section)의 절단처리를 실행시키는 것을 특징으로 하는 것도 가능하다.
또한, 제 1 발명은 상기 출력지시데이터를 취득하는 단계에 있어서, 외부접속버스로부터 상기 출력지시데이터를 취득한 경우에는, 상기 출력지시데이터에 의해 실행되는 출력지시조작을 정지시키는 단계에서는 드라이버(driver)가 실행하는 처리를 정지시키는 것을 특징으로 하여도 좋다.
제 1 발명에 있어서, 컴퓨터가 실행중 처리가 부정조작인지를 판정된 경우에는, 즉시 실행을 정지시키기 위한 처리가 이루어진다. 실행중 처리가 네트워크를 통한 데이터의 송수신인 경우에는, 실행중인 섹션의 절단처리를 행하는 것에 의해, 데이터의 외부송신에 의한 정보누설 등을 방지하는 것이 가능하다. 실행중 처리가 외부접속버스를 통한 외부(출력)장치로의 조작인 경우에는, 드라이버가 실행하는 처리를 정지시키는 것에 의해 데이터의 출력에 의한 정보누설 등을 방지하는 것이 가능하다.
본원에 관한 과제를 해결하는 제 2 발명은, 컴퓨터에 부정한 조작을 실행시키는 부정데이터를 감시하기 위한 프로그램이고, 상기 컴퓨터에, 상기 컴퓨터에 접속된 네트워크 또는 상기 컴퓨터와 외부장치를 접속하는 외부접속버스를 통하여 입출력된 출력지시데이터를 취득하는 단계와, 상기 출력지시데이터로부터 사용자를 식별하는 식별정보를 특정하는 단계와, 상기 컴퓨터의 이용권한을 갖는 사용자에 대하여 각각의 사용자 속성정보를 격납하는 사용자정보격납부로부터 상기 식별정보에 대응하는 속성정보의 적어도 일부를 취득하는 단계와, 상기 출력지시데이터가 부정데이터인지를 판정하는 규칙을 격납하는 판정규칙격납부를 참조하여 상기 출력지시데이터가 부정데이터인지를 판정하는 단계와, 상기 부정데이터 판정단계에 있어서 부정데이터이라고 판단된 경우에는 상기 출력지시데이터에 의해 실행되는 출력지시조작이 부정조작이라는 것을 상기 사용자 또는 관리자가 조작하는 단말장치로 통지하는 단계를 실행시키고, 상기 판정규칙격납부에는 사용자의 속성에 대한 판정규칙이 기억되어 있어 상기 부정데이터를 판정하는 단계에 있어서는 상기 속성정보 취득단계에서 취득한 속성정보에 대응하는 상기 판정규칙을 참조하여 부정데이터인지를 판정하는 것을 특징으로 하는 부정감시프로그램을 포함하는 저장매체이다.
이 발명에 있어서, 제 1 발명은 부정데이터로 판정하면 해당 데이터에 의해 실행되는 처리를 정지시키는 것에 대한 것이고, 해당 데이터에 관한 처리를 실행시킨 조작자인 사용자 또는 컴퓨터나 단말관리자에 대하여 경고를 통지하는 것에 의해 부정데이터에 대처하는 것을 특징으로 한다.
제 1 발명 및 제 2 발명은 상기 부정감시프로그램을 실행하는 것에 의한 부정감시방법으로 특정하는 것도 가능하다. 또한, 상기 부정감시프로그램에 이용한 부정감시시스템으로 구성하는 것도 가능하다.
결국, 제 1 발명은, 컴퓨터에 부정한 조작을 실행시키는 부정데이터를 감시하기 위한 시스템이고, 상기 컴퓨터와 외부장치를 접속하는 외부접속버스를 통하여 외부출력장치로 출력하기 위한 출력지시데이터를 취득하는 데이터취득수단과, 상기 출력지시데이터로부터 사용자를 식별하는 식별정보를 특정하는 식별정보 특정수단과, 상기 컴퓨터의 이용권한을 갖는 사용자에 대하여 각각의 사용자 속성정보를 격납하는 사용자정보 격납수단과, 상기 사용자 격납수단으로부터 상기 식별정보에 대응하는 속성정보의 적어도 일부를 취득하는 속성정보 취득수단과, 상기 출력지시데이터가 부정데이터인 것을 판정하는 규칙을 격납하는 판정규칙 격납수단과, 상기 판정규칙 격납수단을 참조하여, 상기 출력지시데이터가 부정데이터인지를 판정하는 부정데이터 판정수단과, 상기 부정데이터 판정단계에서 부정데이터라고 판정된 경우에는, 상기 출력지시데이터에 의해 실행된 출력지시조작을 드라이브가 실행하는 처리를 정지시키는 정지수단을 구비하고, 상기 판정규칙 격납수단에는 사용자의 속성에 대응하는 판정규칙이 기억되고, 상기 부정데이터를 판정수단에 있어서는, 상기 속성정보 취득수단이 취득한 속성정보에 대응하는 상기 판정규칙을 참조하여, 부정데이터인지를 판정하는 것을 특징으로 하는 부정감시시스템으로 구성하는 것도 가능하다.
또한, 제 1 발명은 상기 사용자정보 격납수단을 참조하여, 상기 식별정보에 대응하는 사용자가 상기 컴퓨터의 이용권한을 갖는지를 판정하는 이용권한 판정수단을 구비하고, 상기 정지수단은 상기 이용권한 판정수단에서 이용권한이 없다고 판정된 경우에도, 상기 출력지시데이터에 의해 실행된 조작을 정지시키고, 상기 이용권한 판정수단은 상기 부정데이터 판정수단보다 선행하여 기동되고, 상기 이용권한 판정수단에 의해 이용권한이 없다고 판정된 경우에는, 상기 속성정보 취득수단 또는 상기 부정데이터 판정수단의 적어도 하나의 수단이 기동되지 않는 것을 특징으로 하는 것도 가능하다.
또한 제 1 발명은 상기 출력지시데이터에 관한 로그데이터를 사용자마다 프로필로 격납하는 프로필격납수단과, 상기 프로필격납수단을 참조하여 상기 데이터취득수단에서 취득된 상기 출력지시데이터가 상기 사용자의 일상적인 조작경향에 비하여 특이한지를 판정하는 특이조작 판정수단을 구비하고, 상기 정지수단은 상기 특이조작 판정수단에 있어서 특이하다고 판정된 경우에도, 상기 출력지시데이터에 의해 실행되는 출력지시조작을 정지시키는 것을 특징으로 하는 것도 가능하다.
또한, 제 1 발명은 상기 데이터취득수단이 네트워크로부터 상기 출력지시데이터를 취득한 경우에는 상기 정지수단은 섹션의 절단처리를 실행하는 것을 특징으로 하는 것도 가능하다.
또한, 제 1 발명은 상기 데이터취득수단이 외부접속버스로부터 상기 출력지시데이터를 취득한 경우에는, 상기 정지수단은 드라이버가 실행하는 처리를 정지시키는 것을 특징으로 하는 것도 가능하다.
제 2 발명은, 컴퓨터에 부정한 조작을 실행시키는 부정데이터를 감시하기 위한 시스템이고, 상기 컴퓨터에 접속된 네트워크 또는 상기 컴퓨터와 외부장치를 접속하는 외부접속버스를 통하여 입출력된 출력지시데이터를 취득하는 데이터취득수단과, 상기 출력지시데이터로부터 사용자를 식별하는 식별정보를 특정하는 식별정보 특정수단과, 상기 컴퓨터의 이용권한을 갖는 사용자에 대하여 각각의 사용자 속성정보를 격납하는 사용자정보 격납수단과, 상기 사용자정보 격납수단으로부터 상기 식별정보에 대응하는 속성정보의 적어도 일부를 취득하는 속성정보 취득수단과, 상기 출력지시데이터가 부정데이터인지를 판정하는 규칙을 격납하는 판정규칙 격납수단과, 상기 판정규칙 격납수단을 참조하여 상기 출력지시데이터가 부정데이터인지를 판정하는 부정데이터 판정수단과, 상기 부정데이터 판정수단에서 부정데이터로 판정된 경우에는 상기 출력지시데이터에 의해 실행된 출력지시조작이 부정한 조작이라는 것을 상기 사용자 또는 관리자가 조작하는 단말장치로 통지하는 통지수단을 구비하고, 상기 판정규칙 격납수단에는 사용자의 속성에 대응하는 판정규칙이 기억되고, 상기 부정데이터 판정수단에 있어서는, 상기 속성정보 취득수단이 취득한 속성정보에 대응하는 상기 판정규칙을 참조하여 부정데이터인지를 판정하는 것을 특징으로 하는 부정감시시스템으로 구성하는 것도 가능하다.
도 1은, 본 발명에 관한 부정감시시스템을 네트워크의 감시에 이용하는 예를 나타내는 도면이다.
도 2는, 본 발명에 관한 부정감시시스템을 외부장치와 접속의 감시에 이용하는 예를 나타내는 도면이다.
도 3은, 본 발명에 관한 부정감시시스템의 설치위치를 나타내는 도면이다.
도 4는, 본 발명에 관한 부정감시시스템의 제 1 구성을 나타내는 블럭도이 다.
도 5는, 본 발명에 관한 부정감시시스템의 제 2 구성을 나타내는 블럭도이다.
도 6은, 본 발명에 관한 부정감시시스템의 사용자데이터격납부의 일례를 나타내는 도면이다.
도 7은, 본 발명에 관한 부정감시시스템의 부정규칙격납부의 일례를 나타내는 도면이다.
도 8은, 본 발명에 관한 부정감시프로그램의 순서를 나타내는 순서도이다.
부호의 설명
10 부정감시서버
11 부정감시프로그램
12 사용자데이터격납부
13 부정규칙격납부
14 데이터취득부
15 부정조작판정부
16 중단처리실행부
17 사용자프로필
18 특이조작판정부
19 프로필작성부
20 사용자단말
210 처리장치
211 CPU
212 RAM
213 ROM
214 HDD
22 드라이버 프로그램
23 외부접속버스
24 출력장치
25 외부기억장치
31 사용자단말
32 사용자단말
33 사용자단말
41 외부단말
42 외부단말
43 외부단말
발명을 실시하기 위한 최적의 형태
본 발명을 실시하기 위한 형태에 대하여, 도면을 이용하여 이하에 상세하게 설명한다. 또한, 이하의 설명은 본 발명의 실시형태의 일례이고, 본 발명은 그 실시형태에 한정되는 것은 아니다.
도 1, 도 2는 본 발명에 관한 부정감시시스템을 각각 네트워크의 감시, 외부장치와 접속의 감시에 이용하는 예를 나타낸 도면이다. 도 3은, 본 발명에 관한 부정감시시스템의 설치위치를 나타내는 도면이다, 도 4, 도 5는 본 발명에 관한 부정감시시스템의 제 1 구성을 나타내는 블럭도이다. 도 6은, 본 발명에 관한 부정감시시스템의 사용자데이터격납부의 일례를 나타내는 도면이다. 도 7은 본 발명에 관한 부정감시시스템의 부정규칙격납부의 일례를 나타내는 도면이다. 도 8은, 본 발명에 관한 부정감시프로그램의 순서를 나타내는 순서도이다.
본 발명에 관한 부정감시시스템은, 네트워크에 흐르는 각종 데이터를 감시할 뿐만 아니라 프린터 등의 출력장치나 외부디스크드라이브 등의 외부기록장치를 대표로하는 외부장치와 접속하기 위한 외부접속버스의 감시도 행하는 것이 가능한 것을 특징으로 한다. 도 3에 나타낸 바와 같이 본 발명에 관한 부정감시시스템은 기업 내에 LAN 등의 내부 네트워크와 인터넷의 게이트웨이(gateway)에 설치되어 네트워크를 감시해도 좋고, 전자메일서버에 설치되어 네트워크를 통한 전자메일의 송수신을 감시하여도 좋다. 또한 내부 네트워크에 있는 세그먼트(segment)의 감시에 이용되어도 좋고, 개개의 사용자단말과 네트워크와의 감시, 혹은 외부장치와 접속의 감시에 이용하여도 좋다.
도 1은, 네트워크의 감시에 이용하는 경우의 일례이고, 본 발명에 관한 부정감시시스템은 부정감시서버(10), 사용자데이터격납부(12) 및 부정규칙격납부(13)에 의해 구성된다. 부정감시서버(10)는 내부 네트워크와 인터넷의 게이트웨이에 설치되어 내부 네트워크 전체로부터의 부정한 데이터의 누설 등을 감시하는 것이어도 좋고, 내부 네트워크에 설치되어 세그먼트내에 있는 부정한 데이터의 누설 등의 감시에 이용되는 것이어도 좋다.
부정감시서버(10)에는, 네트워크를 흐르는 모든 출력지시데이터를 취득하고, 사용자데이터 격납부(12)로부터 데이터의 입출력을 행하는 사용자의 속성에 관한 정보를 취득한다. 부정규칙격납부(13)에는 일반적인 부정데이터의 판정규칙에 부가하여 사용자의 속성에 따라 부정으로 판단되는 규칙이 격납되고, 부정감시서버(10)는 부정규칙격납부(13)를 참조하여 해당 출력지시데이터에 대하여 일반적인 판정규칙을 참조함과 동시에, 사용자데이터격납부(12)로부터 취득한 속성에 대응하는 규칙을 참조하여, 해당 출력지시데이터가 부정인지 아닌지의 판정을 행한다. 부정으로 판정된 출력지시데이터에 대해서는 입출력이 행해지도록 한 섹션의 차단처리를 실행한다.
도 2는, 외부접속버스의 감시에 이용하는 경우의 일례이고, 본 발명에 관한 부정감시시스템은 처리장치(210)의 HDD(214)에 격납된 부정감시프로그램(11), 사용자데이터격납부(12) 및 부정규칙격납부(13)에 의해 구성되고, 그 프로그램이나 격납된 데이터는 감시의 실행시 HDD(214)로부터 읽혀져서, 처리장치(210)에서 연산처리된다. 처리장치(210)에 있어서는, HDD(214)에 격납된 부정감시프로그램(11)에 의한 감시를 실행하기 위해서 ROM(213)에 기억된 입력제어나 출력제어 등의 하드웨어제어를 위한 기본적인 각종 프로그램을 기동하고, RAM(212)를 부정감시프로그램(11)의 작업영역으로 기능시키면서, CPU(211)가 연산처리를 한다. 부정감시프로그램(11)의 연산처리에 있어서는 HDD(214)의 사용자데이터격납부(12) 및 부정규칙 격납부(13)로부터 필요한 데이터가 읽혀져 이용된다. 또한 처리장치에서 프로그램을 격납하는 HDD(214)에 대해서는 플래쉬메모리(flash memory) 등 프로그램을 격납하는 것이 가능한 그 밖의 기억매체를 이용하는 것이어도 좋다.
부정감시프로그램(11)은 처리장치(210)에서 드라이버 프로그램(22)이 읽혀져 외부접속버스(23)로 프리트 출력이나 외부장치 등으로 인코딩(encording) 지시데이터가 송신되면, 외부접속버스(23)를 흐르는 지시데이터를 취득하고, 사용자데이터격납부(12)로부터 해당 지시데이터에 관한 조작을 행했던 사용자의 속성에 관한 정보를 취득한다. 부정규칙격납부(13)에는 일반적인 부정데이터의 판정규칙에 부가하여, 사용자의 속성에 따라 부정으로 판단되는 규칙이 격납되어 있고, 부정감시프로그램(11)은 해당 지시데이터가 부정규칙격납부(13)에 격납된 일반적인 판정규칙에 해당하는지를 판정함과 동시에, 사용자데이터격납부(12)로부터 취득한 속성에 대응하는 규칙에 해당하는지를 판정하는 처리를 실행한다. 부정으로 판정된 지시데이터에 대해서는, 드라이버 프로그램(22)에 의해 실행된 처리를 정지시키기 위한 처리, 예를 들면 프린트 출력의 정지나 외부접속버스(23)에 직접접속된 컴퓨터와의 통신정지 등의 처리를 실행한다.
도 1의 부정감시서버(10) 및 도 2의 부정감시프로그램(11)에 있는 부정판정방법에 대하여, 도 4 및 도 5를 이용하여 더욱 상세하게 설명한다. 도 4는 부정의 판정규칙에 사용자의 속성에 따른 규칙을 부가한 판정방식을, 도 5는 규칙기준뿐만 아니라 사용자마다 프로필로부터 조작패턴을 판정하여 특이한 조작을 부정으로 판정하는 방식을 실행하기 위한 구성을 나타낸 것이다.
도 4에 있는 부정판정은, 데이터취득부(14)에 의한 판정대상이 되는 데이터의 취득, 부정조작판정부(15)에 의한 규칙기준의 부정조작의 판정, 중단처리실행부(16)에 의한 대상이 되는 처리 중지의 순서에 의해 행해진다. 또한 그 각부(各部)는 물리적으로 분리되어 있는 것이 아니라, 각각을 실행하는 부정감시프로그램(11)의 일부 프로그램으로서 HDD(214)에 격납되고, 순차적으로 읽어내어 RAM(212)을 작업영역으로 기능시키면서 CPU(211)에 연산처리가 실행되는 것이어도 좋다.
데이터취득부(14)는 네트워크 또는 외부접속버스를 흐르는 데이터를 취득한다. 취득하는 데이터에는 해당 데이터에 관한 조작을 실행한 사용자의 식별데이터가 포함된다. 식별데이터는 사용자가 컴퓨터에 로그인했을 때의 로그인ID 등에 의해 판정된다.
부정조작판정부(15)에 있어서, 사용자데이터격납부(12)로부터 데이터취득부(14)에서 취득한 사용자의 식별데이터에 대응하는 사용자의 속성정보를 취득한다. 도 6은, 사용자데이터격납부(12)에 격납된 사용자 속성정보의 일례이고, 사용자마다 설정된 레코드(record)에는 사용자ID와 부서나 직종 등의 속성정보가 격납된다.
이어서, 부정조작판정부(15)는 부정규칙격납부(13)를 참조하여, 데이터취득부(14)에서 취득한 데이터가 부정으로 판정해야 하는 규칙에 해당하는지 아닌지를 판정한다. 부정규칙격납부(13)에는 사용자의 속성에 관계없이 일반적으로 부정으로 판정해야하는 규칙과 사용자의 속성에 따라 허가되지 않은 사항을 정한 속성마다 규칙이 격납된다. 전자에 대해서는 예를 들면 키워드, URL, IP 어드레스, MAC 어드레스 등을 기준으로 부정판정에 일반적으로 이용되고 있는 규칙이 해당한다. 후자에 대해서는, 예를 들면 부서나 직급에 따른 특정조작에 대하여 정해진 조작권한 등이 해당한다.
도 7은 부정규칙격납부(13)에 격납된 사용자의 속성에 따라 정해진 판정규칙의 일례인데, 규칙단위로 설치된 레코드에는 대상이 되는 속성과 적용되는 규칙이 격납되어 있고, 그 예로는 정사원 이상만 전자메일의 송신권한을 부여한다. 예를 들면, 도 6의 예에 나타낸 인턴인 간호사가 전자메일을 송신하려고 하면 송신권한이 없다고 판단되어, 전자메일의 송신처리가 정지되는 것이다.
이처럼, 부정조작판정부(15)에서 취득한 데이터에 관한 조작이 부정한 조작이라고 판정되면, 중단처리실행부(16)에서 해당 조작에 의해 실행되는 처리를 정지시키기 위한 처리가 실행된다. 결국, 네트워크를 통한 출력지시데이터에 대해서는 입출력이 행해지도록 한 섹션의 차단처리가 실행되고, 외부접속버스를 통한 실행처리데이터에 대해서는 드라이브가 실행하는 처리를 정지시키는 것에 의해 프린트 출력의 정지나 외부디스크로 저장의 정지 등의 처리가 실행된다.
또한, 부정조작판정부(15)에 있어서, 사용자데이터격납부(12)로부터 사용자의 속성정보를 취득할 때에 사용자ID에 해당하는 데이터가 존재하지 않는 경우, 또는 사용자ID가 해당 사용자의 퇴직 등에 의해 무효가 된 경우에는, 무권한자에 의한 접근으로, 부정규칙격납부(13)에 의한 판정을 행하지 않고 부정으로 판정하여, 중단처리실행부(16)에 의한 중단을 실행하는 것으로 하여도 좋다. 이처럼 규칙기준 의 판정전에 무권한자에 의한 접근을 판정하면, 시스템의 처리부담을 경감하고, 신속한 판정과 중단처리를 실행하는 것이 가능하다.
도 5에 있는 부정판정은 데이터취득부(14)에 의한 판정의 대상이 되는 데이터의 취득, 부정조작판정부(15)에 의한 규칙기준의 부정조작의 판정, 특이조작판정부(18)에 의한 규칙기준에 따르지 않은 사용자마다 조작패턴으로부터 부정조작의 판정, 중단처리실행부(16)에 의한 대상이 되는 처리의 중지가 각각 실행된다. 또한, 그 각부에 대해서는 물리적으로 분리된 것이 아니라 각각을 실행하는 부정감시프로그램(11)의 일부 프로그램으로서 HDD(214)에 격납되고, 순차적으로 읽어내어 RAM(212)을 작업영역으로 하여 기능시키면서, CPU(211)에 의한 연산처리가 실행되는 것이어도 좋은 것은 도 4의 경우와 동일하다.
도 5에 있어서도, 데이터취득부(14)에 의한 판정의 대상이 되는 데이터의 취득과 부정조작판정부(15)에 의한 규칙기준의 부정조작판정, 중단처리실행부(16)에 의한 대상이 되는 처리중지에 대한 처리는 도 4의 경우와 동일하다. 그 구성에 있어서, 프로필작성부(19)에서 사용자마다 프로필을 작성하고, 특이조작판정부(18)에는 사용자마다 조작패턴으로부터 부정조작을 판정하는 점에 특징을 갖는다.
데이터취득부(14)에서 취득된 데이터는 규칙기준에 의한 판정을 하는 부정조작판정부(15)와 함께, 사용자마다 조작패턴에 의한 판정을 행하는 특이조작판정부(18)에 의해 판정이 실행된다. 사용자프로필(17)에는 각각 사용자의 과거조작패턴이 등록되어 있고, 특이조작판정부(18)에는 취득한 데이터에 관한 조작부와 사용자프로필(17)에 등록된 해당 사용자의 조작패턴을 대비하여 특이한 조작이라고 판 정하는 경우에는 중단처리실행부(16)에 의한 중단을 실행한다. 예를 들면 통상은 조작을 행하지 않는 시간대에 조작을 행한 경우, 통상은 실행하지 않는 타입의 조작을 대량으로 실행한 경우 등은, 해당 사용자에 의한 부정행위나 타인의 사용자ID를 이용한 스프핑일 가능성이 있는 것으로 처리가 중단된다.
또한, 사용자프로필(17)에 등록된 조작패턴은 특이조작판정부(18)에서 판정에 이용한 데이터와, 사용자데이터격납부(12)의 사용자속성정보로부터 작성하는 것이 가능하다. 데이터취득부(14)에서 취득한 데이터의 로그(log)를 이용한 것이어도 좋다. 프로필의 갱신은 새로운 데이터를 취득할 때마다 오프라인처리로 실행하여도 좋고, 정기적인 일괄처리방식(batch processing)에 의해 행하여도 좋다.
특이조작판정부(18)에는 사용자프로필(17)에 비하여 특이한 조작패턴을 판정하기 위한 지식엔진이 설치되어 있다. 지식엔진은 통상의 조작과 특이한 조작을 판별하는 인공지능의 기능을 구비하고 있는데, 인공지능의 구조는 베이지언 네트워크(Bayesian Network)에 의한 것이어도 좋고, 신경회로망(Neural Network)에 의한 것이어도 좋다.
또한, 이제까지 설명한 실시형태에 있어서는 부정조작으로 판정되면 섹션의차단처리가 실행되고, 외부접속버스를 통한 실행처리데이터에 대해서는 드라이브가 실행하는 처리를 정지시키는 것에 의해 프린트 출력의 정지나 외부디스크로 저장의 정지 등의 처리가 실행되는 것으로 경정(更正)하는데, 부정조작이라고 판정된 경우에는 해당 조작을 실행한 사용자, 컴퓨터나 네트워크의 관리자에 대하여 경고를 통지하도록 구성하여도 좋다.
도 8의 순서도를 이용하여 본 발명에 관한 부정감시프로그램의 기본적인 순서에 대하여 설명한다. 우선, 네트워크 또는 외부접속버스를 흐르는 출력지시데이터와 해당 출력지시데이터에 관한 조작을 실행한 조작자의 ID를 취득한다(S01). 취득한 ID에 대하여, 사용자의 속성정보를 격납하는 사용자 데이터베이스를 참조하고(S02), 사용자 데이터베이스에 해당 ID가 존재하지 않는 경우에는(S03) 조작권한이 없는 자에 의한 조작으로 판단하여 해당 출력지시데이터에 관한 조작의 중지처리를 실행한다(S08).
사용자 데이터베이스에 해당 ID가 존재하는 경우에는(S03), 해당 ID에 관한 속성정보를 사용자 데이터베이스로부터 취득한다(S04). 계속해서, 규칙데이터베이스를 참조하고(S05), 우선 취득한 속성이 속성마다 정해진 규칙에 해당하지 않는지를 판정한다(S06). 해당하는 경우에는 해당 조작에 관한 조작권한이 없는 자에 의한 조작으로 판단하여 해당 출력지시데이터에 관한 조작의 중지처리를 실행한다(S08). 해당하지 않는 경우에는 계속해서 취득한 출력지시데이터가 일반적인 규칙에 해당하지 않는지를 판정한다(S07). 해당하는 경우에는, 해당 조작은 부정인 조작으로 판단하여, 해당 출력지시데이터에 관한 조작의 중지처리를 실행한다(S08). 해당하지 않는 경우에는 정상조작으로서 그대로 해당 출력지시데이터에 관한 조작이 실행된다.
발명의 효과
본 발명에 의하면, 컴퓨터에 부정한 조작을 실행시키는 부정데이터의 감시시스템에 있어서, 네트워크뿐만 아니라 외부장치 간에 입출력된 데이터의 감시가 가 능하게 되고, 스프핑(spoofing)이나 권한이 없는 자에 의한 부정한 데이터출력에 의한 정보누설 등을 방지하는 것이 가능하다.
또한, 규칙의 1항목에 미리 등록된 사용자의 속성정보를 이용하는 것에 의해, 부정판정을 위한 다양한 규칙설정을 행하는 것이 가능하게 된다. 또한 속성정보를 이용하여 컴퓨터의 조작권한의 유무를 규칙의 적용에 앞서 판정하는 것에 의하여, 부정판정에 관한 처리를 효율적으로 하는 것이 가능하다. 또한 사용자마다 조작이력을 프로필로 기록하는 것에 의해 규칙으로는 판정할 수 없는 특이한 조작패턴을 인식하고, 권한이 있는 사용자로의 스프핑, 권한의 범위 내에는 있지만 통상은 실행하지 않는 부정의 가능성이 있는 조작 등을 판정하는 것도 가능하게 된다.

Claims (14)

  1. 컴퓨터에 부정조작을 실행시키는 부정데이터를 감시하기 위한 프로그램을 포함하는 저장매체이고, 상기 컴퓨터에,
    상기 컴퓨터와 외부장치를 접속하는 외부접속버스를 통하여, 외부출력장치로 출력하기 위한 출력지시데이터를 취득하는 단계와,
    상기 출력지시데이터로부터 사용자를 식별하는 식별정보를 특정하는 단계와,
    상기 컴퓨터의 이용권한을 갖는 사용자에 대하여 각각의 사용자 속성정보를 격납하는 사용자정보격납부로부터, 상기 식별정보에 대응하는 속성정보의 적어도 일부를 취득하는 단계와,
    상기 출력지시데이터가 부정데이터라고 판정하는 규칙을 격납하는 판정규칙격납부를 참조하여, 상기 출력지시데이터가 부정데이터인지를 판정하는 단계와,
    상기 부정데이터인지를 판정하는 단계에서 부정데이터라고 판정된 경우에는, 상기 출력지시데이터에 의해 실행되는 출력지시조작을 드라이브가 실행하는 처리를 정지시키는 것에 의해 정지시키는 단계를 실행시키고,
    상기 판정규칙격납부에는 사용자의 속성에 대한 판정규칙이 기억되고,
    상기 부정데이터인지를 판정하는 단계에 있어서는, 상기 속성정보의 적어도 일부를 취득하는 단계에 있어서 취득한 속성정보에 대응하는 상기 판정규칙을 참조하여 부정데이터인지를 판정하는 것을 특징으로 하는 부정감시프로그램을 포함하는 저장매체.
  2. 제 1항에 있어서,
    상기 컴퓨터에,
    상기 사용자정보격납부를 참조하여, 상기 식별정보에 대응하는 사용자가 상기 컴퓨터의 이용권한을 갖는지를 판정하는 단계와,
    상기 이용권한을 판정하는 단계에서 이용권한이 없다고 판정된 경우에는, 상기 출력지시데이터에 의해 실행되는 조작을 정지시키는 단계를 실행시키고,
    상기 이용권한을 판정하는 단계는, 상기 부정데이터를 판정하는 단계보다 선행하여 실행되고,
    상기 이용권한을 판정하는 단계에서 이용권한이 없다고 판정된 경우에는, 상기 컴퓨터에 상기 속성정보의 적어도 일부를 취득하는 단계 또는 상기 부정데이터인지를 판정하는 단계의 적어도 하나의 단계를 실행시키지 않는 것을 특징으로 하는 부정감시프로그램을 포함하는 저장매체.
  3. 제 1항 또는 제2항에 있어서,
    상기 컴퓨터에,
    상기 출력지시데이터에 관한 로그데이터를, 사용자마다 프로필로 격납하는 프로필격납부를 참조하여, 상기 데이터취득단계에서 취득된 상기 출력지시데이터가 상기 사용자의 일상적인 조작경향에 비하여 특이한지를 판정하는 단계를 실행시키고,
    상기 출력지시데이터에 의해 실행된 조작을 정지시키는 단계에 있어서는, 상기 특이한지를 판정하는 단계에서 특이하다고 판정된 경우에도 상기 출력지시데이터에 의해 실행되는 출력지시조작을 정지시키는 것을 특징으로 하는 부정감시프로그램을 포함하는 저장매체.
  4. 삭제
  5. 삭제
  6. 삭제
  7. 컴퓨터에 부정한 조작을 실행시키는 부정데이터를 감시하기 위한 방법이고,
    상기 컴퓨터가, 상기 컴퓨터와 외부장치를 접속하는 외부접속버스를 통하여 외부출력장치로 출력하기 위한 출력지시데이터를 취득하는 단계와,
    상기 컴퓨터가, 상기 출력지시데이터로부터 사용자를 식별하는 식별정보를 특정하는 단계와,
    상기 컴퓨터가, 상기 컴퓨터의 이용권한을 갖는 사용자에 대하여 각각의 사용자 속성정보를 격납하는 사용자정보격납부로부터 상기 식별정보에 대응하는 속성정보의 적어도 일부를 취득하는 단계와,
    상기 컴퓨터가, 상기 출력지시데이터가 부정데이터인 것을 판정하는 규칙을 격납하는 판정규칙격납부를 참조하여, 상기 출력지시데이터가 부정데이터인지를 판정하는 단계와,
    상기 컴퓨터가, 상기 부정데이터인지를 판정단계에서 부정데이터라고 판정된 경우에는, 상기 출력지시데이터에 의해 실행된 출력지시조작을 드라이브가 실행하는 처리를 정지시키는 것에 의해 정지시키는 단계를 갖고,
    상기 판정규칙격납부에는 사용자의 속성에 대응하는 판정규칙이 기억되고,
    상기 부정데이터인지를 판정하는 단계에 있어서는, 상기 속성정보의 적어도 일부를 취득하는 단계에서 취득한 속성정보에 대응하는 상기 판정규칙을 참조하여, 부정데이터인지를 판정하는 것을 특징으로 하는 부정감시방법.
  8. 삭제
  9. 컴퓨터에 부정한 조작을 실행시키는 부정데이터를 감시하기 위한 시스템이고,
    상기 컴퓨터와 외부장치를 접속하는 외부접속버스를 통하여 외부출력장치로 출력하기 위한 출력지시데이터를 취득하는 데이터취득수단과,
    상기 출력지시데이터로부터 사용자를 식별하는 식별정보를 특정하는 식별정보 특정수단과,
    상기 컴퓨터의 이용권한을 갖는 사용자에 대하여 각각의 사용자 속성정보를 격납하는 사용자정보 격납수단과,
    상기 사용자 격납수단으로부터 상기 식별정보에 대응하는 속성정보의 적어도 일부를 취득하는 속성정보 취득수단과,
    상기 출력지시데이터가 부정데이터인 것을 판정하는 규칙을 격납하는 판정규칙 격납수단과,
    상기 판정규칙 격납수단을 참조하여, 상기 출력지시데이터가 부정데이터인지를 판정하는 부정데이터 판정수단과,
    상기 부정데이터 판정단계에서 부정데이터라고 판정된 경우에는, 상기 출력지시데이터에 의해 실행된 출력지시조작을 드라이브가 실행하는 처리를 정지시키는 정지수단을 구비하고,
    상기 판정규칙 격납수단에는 사용자의 속성에 대응하는 판정규칙이 기억되고,
    상기 부정데이터를 판정수단에 있어서는, 상기 속성정보 취득수단이 취득한 속성정보에 대응하는 상기 판정규칙을 참조하여, 부정데이터인지를 판정하는 것을 특징으로 하는 부정감시시스템.
  10. 제 9항에 있어서,
    상기 사용자정보 격납수단을 참조하여, 상기 식별정보에 대응하는 사용자가 상기 컴퓨터의 이용권한을 갖는지를 판정하는 이용권한 판정수단을 구비하고,
    상기 정지수단은 상기 이용권한 판정수단에서 이용권한이 없다고 판정된 경우에도, 상기 출력지시데이터에 의해 실행된 조작을 정지시키고,
    상기 이용권한 판정수단은 상기 부정데이터 판정수단보다 선행하여 기동되고,
    상기 이용권한 판정수단에 의해 이용권한이 없다고 판정된 경우에는, 상기 속성정보 취득수단 또는 상기 부정데이터 판정수단의 적어도 하나의 수단이 기동되지 않는 것을 특징으로 하는 부정감시시스템.
  11. 제 9항 또는 제10항에 있어서,
    상기 출력지시데이터에 관한 로그데이터를 사용자마다 프로필로 격납하는 프로필격납수단과,
    상기 프로필격납수단을 참조하여 상기 데이터취득수단에서 취득된 상기 출력지시데이터가 상기 사용자의 일상적인 조작경향에 비하여 특이한지를 판정하는 특이조작 판정수단을 구비하고,
    상기 정지수단은 상기 특이조작 판정수단에 있어서 특이하다고 판정된 경우에도, 상기 출력지시데이터에 의해 실행되는 출력지시조작을 정지시키는 것을 특징으로 하는 부정감시시스템.
  12. 삭제
  13. 삭제
  14. 삭제
KR1020067007740A 2003-11-17 2004-07-09 부정감시프로그램을 포함하는 저장매체, 부정감시방법 및 부정감시시스템 KR100836439B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2003387212A JP3758661B2 (ja) 2003-11-17 2003-11-17 不正監視プログラム、不正監視の方法及び不正監視システム
JPJP-P-2003-00387212 2003-11-17

Publications (2)

Publication Number Publication Date
KR20060107743A KR20060107743A (ko) 2006-10-16
KR100836439B1 true KR100836439B1 (ko) 2008-06-09

Family

ID=34587420

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067007740A KR100836439B1 (ko) 2003-11-17 2004-07-09 부정감시프로그램을 포함하는 저장매체, 부정감시방법 및 부정감시시스템

Country Status (7)

Country Link
US (1) US20070083938A1 (ko)
EP (1) EP1686486A1 (ko)
JP (1) JP3758661B2 (ko)
KR (1) KR100836439B1 (ko)
CN (1) CN100590613C (ko)
HK (1) HK1098224A1 (ko)
WO (1) WO2005048114A1 (ko)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7668772B1 (en) 1998-10-21 2010-02-23 Island Intellectual Property Llc Systems and methods for money fund banking with flexible interest allocation
US7536350B1 (en) 1998-10-21 2009-05-19 Island Intellectual Property Llc Systems and methods for providing enhanced account management services for multiple banks
US7752129B2 (en) 1998-10-21 2010-07-06 Island Intellectual Property Llc Systems and methods for managing client accounts
US8150766B1 (en) 2003-01-27 2012-04-03 Island Intellectual Property Llc System and method for investing public deposits
KR100462828B1 (ko) * 2004-06-22 2004-12-30 엔에이치엔(주) 명령어의 유효성 판단 방법 및 그 시스템
US8336085B2 (en) * 2004-11-15 2012-12-18 Microsoft Corporation Tuning product policy using observed evidence of customer behavior
JP4849205B2 (ja) * 2005-09-05 2012-01-11 有限会社ヒロアイ・システムズ 不正アクセス防止手段
US7730478B2 (en) * 2006-10-04 2010-06-01 Salesforce.Com, Inc. Method and system for allowing access to developed applications via a multi-tenant on-demand database service
US7752107B1 (en) 2007-02-28 2010-07-06 Island Intellectual Property Llc System and method for managing aggregated accounts
JP4264113B2 (ja) * 2007-04-23 2009-05-13 Sky株式会社 端末監視装置及び端末監視プログラム
US8353032B1 (en) * 2007-06-29 2013-01-08 Symantec Corporation Method and system for detecting identity theft or unauthorized access
US20090210935A1 (en) * 2008-02-20 2009-08-20 Jamie Alan Miley Scanning Apparatus and System for Tracking Computer Hardware
KR101023805B1 (ko) * 2008-10-15 2011-03-21 (주)씨디네트웍스 파일 입출력정보를 이용한 디지털 콘텐츠 보호 방법 및 장치
JP2010250502A (ja) * 2009-04-14 2010-11-04 Nec Corp 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム
US8781931B1 (en) 2009-05-26 2014-07-15 Island Intellectual Property Llc Method and system for allocating deposits over a plurality of depository institutions
US8370236B1 (en) 2009-11-24 2013-02-05 Island Intellectual Property Llc Method and system for allocating funds over a plurality of time deposit instruments in depository institutions
JP5396314B2 (ja) 2010-03-10 2014-01-22 株式会社日立製作所 不正操作検知システム及び不正操作検知方法
US8589289B1 (en) 2010-06-14 2013-11-19 Island Intellectual Property Llc System, method and program product for administering fund movements
JP5417533B2 (ja) 2010-06-28 2014-02-19 株式会社日立製作所 計算機システムの管理方法及びクライアントコンピュータ
JP5525048B2 (ja) 2010-06-29 2014-06-18 株式会社日立製作所 不正操作検知方法、及び、不正操作を検知する計算機
US8583545B1 (en) 2010-09-20 2013-11-12 Island Intellectual Property Llc Systems and methods for money fund banking with flexible interest allocation
WO2012111144A1 (ja) * 2011-02-18 2012-08-23 株式会社日立製作所 不正操作検知方法、不正操作検知システム及び計算機読み取り可能な非一時的記憶媒体
US9152791B1 (en) * 2011-05-11 2015-10-06 Trend Micro Inc. Removal of fake anti-virus software
US8452702B1 (en) 2011-09-08 2013-05-28 Island Intellectual Property Llc System, method and program product for minimizing fund movements
US8655689B1 (en) 2011-10-13 2014-02-18 Island Intellectual Property Llc System, method and program product for modeling fund movements
US9805344B1 (en) 2015-01-23 2017-10-31 Island Intellectual Property, Llc Notification system and method
JP6440203B2 (ja) 2015-09-02 2018-12-19 Kddi株式会社 ネットワーク監視システム、ネットワーク監視方法およびプログラム
JP7180073B2 (ja) * 2018-01-04 2022-11-30 富士通株式会社 判定プログラム、判定方法、および判定装置
CN117648895B (zh) * 2024-01-26 2024-04-12 全智芯(上海)技术有限公司 失效分析方法及装置、计算机可读存储介质、终端

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003296193A (ja) * 2002-04-02 2003-10-17 Seiko Instruments Inc 不正アクセス監視装置及び方法、並びに不正アクセス監視プログラム

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05120194A (ja) * 1991-10-29 1993-05-18 Nec Eng Ltd フアイル保護方式
JPH06236310A (ja) * 1993-02-09 1994-08-23 Hitachi Ltd 出力データ保護方法
JPH07104882A (ja) * 1993-10-06 1995-04-21 Toshiba Corp ポータブルコンピュータシステム
JPH1125045A (ja) * 1997-06-30 1999-01-29 Nec Corp アクセス制御方法とその装置及び属性証明書発行装置並びに機械読み取り可能な記録媒体
US6658565B1 (en) * 1998-06-01 2003-12-02 Sun Microsystems, Inc. Distributed filtering and monitoring system for a computer internetwork
US7073196B1 (en) * 1998-08-07 2006-07-04 The United States Of America As Represented By The National Security Agency Firewall for processing a connectionless network packet
US7155480B2 (en) * 1998-09-21 2006-12-26 Microsoft Corporation Client-server conference and user seeking through a server storing a list comprising active conference servers and excluding nonactive conference servers
US6732149B1 (en) * 1999-04-09 2004-05-04 International Business Machines Corporation System and method for hindering undesired transmission or receipt of electronic messages
US6678827B1 (en) * 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
US7100195B1 (en) * 1999-07-30 2006-08-29 Accenture Llp Managing user information on an e-commerce system
US6986061B1 (en) * 2000-11-20 2006-01-10 International Business Machines Corporation Integrated system for network layer security and fine-grained identity-based access control
JP2003044297A (ja) * 2000-11-20 2003-02-14 Humming Heads Inc コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム
JP3723076B2 (ja) * 2000-12-15 2005-12-07 富士通株式会社 不正侵入防御機能を有するip通信ネットワークシステム
JP4220680B2 (ja) * 2001-02-02 2009-02-04 株式会社無限 通信管理方法
US7350229B1 (en) * 2001-03-07 2008-03-25 Netegrity, Inc. Authentication and authorization mapping for a computer network
US7681032B2 (en) * 2001-03-12 2010-03-16 Portauthority Technologies Inc. System and method for monitoring unauthorized transport of digital content
JP2002288087A (ja) * 2001-03-23 2002-10-04 Humming Heads Inc 情報処理装置及びその方法、情報処理システム及びその制御方法、プログラム
US7921290B2 (en) * 2001-04-18 2011-04-05 Ipass Inc. Method and system for securely authenticating network access credentials for users
US7356840B1 (en) * 2001-06-19 2008-04-08 Microstrategy Incorporated Method and system for implementing security filters for reporting systems
US20030084331A1 (en) * 2001-10-26 2003-05-01 Microsoft Corporation Method for providing user authentication/authorization and distributed firewall utilizing same
US6892309B2 (en) * 2002-02-08 2005-05-10 Enterasys Networks, Inc. Controlling usage of network resources by a user at the user's entry point to a communications network based on an identity of the user
US6990592B2 (en) * 2002-02-08 2006-01-24 Enterasys Networks, Inc. Controlling concurrent usage of network resources by multiple users at an entry point to a communications network based on identities of the users
JP2003233521A (ja) * 2002-02-13 2003-08-22 Hitachi Ltd ファイル保護システム
US7536548B1 (en) * 2002-06-04 2009-05-19 Rockwell Automation Technologies, Inc. System and methodology providing multi-tier-security for network data exchange with industrial control components
US7356695B2 (en) * 2002-08-01 2008-04-08 International Business Machines Corporation Multi-level security systems
US7386889B2 (en) * 2002-11-18 2008-06-10 Trusted Network Technologies, Inc. System and method for intrusion prevention in a communications network
US7669225B2 (en) * 2003-05-06 2010-02-23 Portauthority Technologies Inc. Apparatus and method for assuring compliance with distribution and usage policy
US7509673B2 (en) * 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7328451B2 (en) * 2003-06-30 2008-02-05 At&T Delaware Intellectual Property, Inc. Network firewall policy configuration facilitation
US7493650B2 (en) * 2003-07-01 2009-02-17 Portauthority Technologies Inc. Apparatus and method for ensuring compliance with a distribution policy

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003296193A (ja) * 2002-04-02 2003-10-17 Seiko Instruments Inc 不正アクセス監視装置及び方法、並びに不正アクセス監視プログラム

Also Published As

Publication number Publication date
CN100590613C (zh) 2010-02-17
KR20060107743A (ko) 2006-10-16
WO2005048114A1 (ja) 2005-05-26
US20070083938A1 (en) 2007-04-12
JP2005149243A (ja) 2005-06-09
CN1882924A (zh) 2006-12-20
EP1686486A1 (en) 2006-08-02
HK1098224A1 (en) 2007-07-13
JP3758661B2 (ja) 2006-03-22

Similar Documents

Publication Publication Date Title
KR100836439B1 (ko) 부정감시프로그램을 포함하는 저장매체, 부정감시방법 및 부정감시시스템
US11783069B2 (en) Enterprise document classification
US8286255B2 (en) Computer file control through file tagging
US11729193B2 (en) Intrusion detection system enrichment based on system lifecycle
US7870598B2 (en) Policy specification framework for insider intrusions
US7814021B2 (en) Managed distribution of digital assets
US8090852B2 (en) Managing use of proxies to access restricted network locations
US11582242B2 (en) System, computer program product and method for risk evaluation of API login and use
CN108683652A (zh) 一种基于行为权限的处理网络攻击行为的方法及装置
US20090247125A1 (en) Method and system for controlling access of computer resources of mobile client facilities
EA023426B1 (ru) Система и способ обеспечения когнитивности данных, включающих автономные средства защиты безопасности
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
JP2006252256A (ja) ネットワーク管理システム、方法およびプログラム
CN110099060A (zh) 一种网络信息安全保护方法及系统
CN109766694A (zh) 一种工控主机的程序协议白名单联动方法及装置
US8949194B1 (en) Active records management
CN114297717A (zh) 一种数据防泄漏方法、装置、电子设备及存储介质
CN111131166B (zh) 一种用户行为预判方法及相关设备
JP2005322261A (ja) 不正監視プログラム、不正監視の方法及び不正監視システム
CN110401621A (zh) 一种敏感指令的防护方法、设备及存储介质
JP2006023916A (ja) 情報保護方法、情報セキュリティ管理装置、情報セキュリティ管理システム、情報セキュリティ管理プログラム
JP2008250728A (ja) 情報漏洩監視システムおよび情報漏洩監視方法
US20180124076A1 (en) Method for transmitting data
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法
CN115577369B (zh) 源代码泄露行为检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130424

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140414

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150520

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160407

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170420

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180308

Year of fee payment: 11