专利名称:非法监视程序、非法监视方法及非法监视系统的制作方法
技术领域:
本发明涉及一种用于监视在计算机上执行非法操作的非法数据的非法监视程序、非法监视方法及非法监视系统。
背景技术:
将计算机连接于互联网等网络上进行使用时,在防止外部非法数据入侵计算机的同时,也有必要防止由于计算机的非法操作而导致计算机内部数据的外流或泄漏。为了防止非法数据的入侵,通常是在企业内部局域网等内部网络与互联网之间通过设置防火墙来拦截非法数据,或者是在内部网络与每台计算机终端上安装防止病毒入侵的杀毒软件。防火墙和杀毒软件一般是根据关键词或源IP地址等预先设定用来判定非法数据的规则,并通过对照该规则来判定是否为非法数据。
另一方面,关于防止因非法操作而导致的数据泄漏的方法,以下技术已为公众所知。例如对于发送往网络的数据,参照预先设定的有关访问权限、源地址、传送文件类型等规则、一旦检测出可能有非法企图就切断通讯的技术(例如参照专利文献1)。
专利文献1日本特开2002-232451号公报发明内容发明所要解决的问题防火墙和杀毒软件以及上述专利文献1中所记载的发明当中的任何一种都是用于防止网络上非法数据的入侵以及防止内部数据的外泄。但是,使用计算机的非法操作不只限于通过网络、也存在通过所谓的不使用网络的方法而使信息外流的危险性。例如没有权限的第三者在没有连接到外部网络的计算机上进行非法操作,将计算机内部的信息输出至打印机或写入外部磁盘。换言之,不只是在网络之间,最好在与打印机及驱动器等相连接的驱动程序级也进行对执行非法操作的数据的监视。
此外,如上所述,目前的非法数据的监视方法主要是以登录了关键词、IP地址、网络接口的硬件地址(即MAC地址,Media Access Control Address)等信息的规则库为主,根据这些方法可登录的规则的内容非常有限。虽然为了尽量进行准确的判定可以增加规则数,但是如果规则数增加过多的话,则产生了相关判定的处理负荷变重的问题。因此,最佳的是能尽量简洁地登录各式各样的接口规则,并且具有参照规则可进行高效处理的构成。
而且,基于规则库的非法判定也存在问题当通过完全不同于以往的方法执行不符合已登录规则的非法操作时,仅通过规则库来查知该非法操作是很困难的。对此,最佳的是可以掌握不同于以往的用户操作行为模式,并准确判断非法操作的可能性。
针对上述问题,本发明的目的是提供一种非法监视程序、非法监视方法及非法监视系统,用于监视在计算机上执行非法操作的非法数据,该非法数据可以是在计算机与网络或外部装置之间输入输出的数据,并且可以灵活地设定用于判定非法操作的各种规则并有效地利用这些规则。
用于解决问题的方法解决本申请所涉及的问题的第一种方案是一种非法监视程序。该程序是一种用于监视在计算机上执行非法操作的非法数据的程序,其特征在于在计算机上执行了如下步骤获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输入输出数据;根据所述的输入输出数据确定用来识别用户的识别信息;从用户信息存储部获取至少一部分与上述识别信息相对应的属性信息,所述的用户信息存储部存储有关于具有所述计算机的使用权限的用户的用户属性信息;参照存储有用于判定所述的输入输出数据是否为非法数据的规则的判定规则存储部,判定上述输入输出数据是否为非法数据;在上述非法数据判定步骤中判定出非法数据时,停止根据所述的输入输出数据执行的操作。并且,在所述的判定规则存储部存储有与用户属性相对应的判定规则,在所述的判定是否为非法数据的步骤中,参照与在上述属性信息的获取步骤中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
在第一种方案中,由于不仅仅监视通过网络输入输出的数据,也监视通过计算机的外部连接总线输入输出的数据,因此可以监视不经过网络进行写入非法打印机及磁盘等操作的指令数据,中断非法操作。而且,由于增加了与用户的属性信息相对应的判定项目,因此可以使得规则多样化。
在第一种方案中,如果具备连接于网络的外部连接总线,既可以在网络上将计算机作为客户端使用,也可以将计算机作为服务器使用。所述的网络包括LAN、拨号等可以收发数据的所有网络。外部装置包括通过外部连接总线可以连接于计算机之上的打印机、驱动器等所有的周边装置。非法数据是指禁止外流文件的发送指令、无权限用户的操作等有关计算机非法操作的数据。用户的属性信息可使用例如用户的年龄、性别、所属工作岗位、职务等信息。
此外,第一种方案还可具备如下特征在所述计算机上执行参照所述用户信息存储部判定与所述识别信息相对应的用户是否拥有所述计算机的使用权限的步骤,以及在上述判定使用权限的步骤中判定出无使用权限时,停止根据所述输入输出数据执行的操作的步骤。并且,较之上述判定非法数据的步骤先予执行上述判定使用权限的步骤,在上述判定使用权限的步骤中被判定无使用权限时,在上述计算机上有关上述获取属性信息的步骤或者上述判定非法数据的步骤至少有一个步骤不被执行。
在第一种方案中,由于预先登录了用户的属性信息作为规则的一个项目使用,因此可以简单地确认进行了操作的用户是否拥有计算机的使用权限。若在规则的判定之前先确认用户有无使用权限,则在最初的阶段中原本无权限的用户进行操作时,通过在适用规则前进行了操作的停止处理,因此可以提高规则适用处理的效率。
此外,第一种方案还可包括如下步骤在所述计算机上,参照将所述输入输出数据的相关记录数据作为各个用户的协议子集存储的协议子集存储部,执行将在上述数据获取步骤中所获取的输入输出数据与所述的用户的日常操作习惯及倾向相比较,判定是否存在异常;并且,在停止根据所述输入输出数据所执行的操作的步骤中,在上述判定是否存在异常的步骤中判定出异常时,停止根据所述输入输出数据所执行的操作步骤。
如此,通过各个用户的记录数据的收集创建把握了各个用户的操作特点的协议子集,通过参照相关协议子集判定用户是否进行了异常操作,可以判定通过规则无法判定的第三者冒充有权限的用户,及虽在权限范围内但通常不执行的带有非法可能性的操作等。
而且,第一种方案还可具备如下特征在上述输入输出数据的获取步骤中,从网络获得所述的输入输出数据时,在停止根据所述的输入输出数据执行的操作的步骤中,执行通道的切断处理。
此外,第一种方案还可具备如下特征在上述输入输出数据的获取步骤中,从外部连接总线获得所述的输入输出数据时,在停止根据上述输入输出数据所执行的操作的步骤中,停止驱动程序的执行处理。
在第一种方案中,当计算机被判定出正在执行的处理为非法操作时,立即停止执行的处理。正在执行的处理是通过网络收发数据时,通过切断正在执行的通道,可以防止由于数据发送至外部而产生信息泄漏。正在执行中的处理是通过外部连接总线将数据发送往外部装置的操作时,通过停止驱动程序的执行,就可以防止由于数据输出而导致的信息外泄。
解决本申请所涉及问题的第二种方案是一种非法监视程序,用于监视在计算机上执行非法操作的非法数据,其特征在于该程序在计算机上执行如下步骤获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输入输出数据;根据所述的输入输出数据确定用来识别用户的识别信息;从用户信息存储部获取至少一部分与所述识别信息相对应的属性信息,所述的用户信息存储部存储有与具有所述计算机的使用权限的用户相关的各种用户属性信息;参照存储有用于判定所述输入输出数据是否为非法数据的规则的判定规则存储部,判定所述输入输出数据是否为非法数据;在上述非法数据判定步骤中判定出非法数据时,将根据所述输入输出数据执行的操作为非法操作的情况通知所述用户或者是管理员所操作的终端设备。并且,在所述的判定规则存储部存储有与用户属性相对应的判定规则,在上述判定是否为非法数据的步骤中,参照与在上述属性信息的获取步骤中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
该发明的特征在于针对一旦被判定为非法数据则停止通过该数据所执行的处理,第一种方案是通过警告通知执行了与该数据相关的处理的用户或计算机以及终端的管理员等操作者而进行非法数据的处理。
第一种方案及第二种方案也可以是通过执行上述非法监视程序而确定的非法监视方法。此外,第一种方案及第二种方案也可以是使用了上述非法监视程序的非法监视系统。
换言之,第一种方案也可以是一种非法监视系统,用于监视在计算机上执行非法操作的非法数据,其特征在于,该系统包括数据获取装置,用于获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输入输出数据;识别信息确定装置,用于根据所述输入输出数据确定用来识别用户的识别信息;用户信息存储装置,用于存储和具有所述计算机使用权限的用户相关的各种用户属性信息;属性信息获取装置,用于从所述用户信息存储装置中获取至少一部分与所述识别信息相对应的属性信息;判定规则存储装置,存储用于判定所述输入输出数据是否为非法数据的规则;非法数据判定装置,参照所述判定规则存储装置,判定上述输入输出数据是否为非法数据;停止装置,在所述非法数据判定装置中判定出非法数据时,停止根据所述输入输出数据所执行的操作。并且,在所述判定规则存储装置中存储有与用户属性相对应的判定规则,在上述非法数据判定装置中,参照与在所述属性信息的获取装置中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
此外,第一种方案的非法监视系统还可以包括使用权限判定装置,用于参照所述用户信息存储部判定与所述识别信息相对应的用户是否拥有所述计算机的使用权限。在所述使用权限判定装置中判定出无使用权限时,所述停止装置停止根据所述输入输出数据所执行的操作。在所述非法数据判定装置启动前首先启动所述的使用权限判定装置,在通过所述使用权限判定装置判定有无使用权限时,所述属性信息获取装置或者所述非法数据判定装置中至少有一个装置不被启动。
此外,第一种方案的非法监视系统还可以包括协议子集存储装置和异常操作判定装置,所述的协议子集存储装置用于将所述输入输出数据的相关记录数据作为各个用户的协议子集存储;所述的异常操作判定装置用于参照所述协议子集存储装置,将在所述数据获取装置中所获取的输入输出数据与所述用户的日常操作习惯及倾向相比较,判定是否存在异常。并且,在所述异常操作判定装置中判定出异常时,停止根据所述输入输出数据所执行的操作。
而且,第一种方案的非法监视系统也可具备如下特征所述数据获取装置从网络获得所述输入输出数据时,所述停止功能执行通道的切断处理。
此外,第一种方案的非法监视系统也可具备如下特征所述数据获取装置从外部连接总线获得所述输入输出数据时,所述停止装置停止驱动程序的执行处理。
第二种方案也可以是一种非法监视系统。该系统是一种用于监视在计算机上执行非法操作的非法数据的系统。其特征在于该系统包括数据获取装置,用于获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输入输出数据;识别信息确定装置,用于根据所述输入输出数据确定用来识别用户的识别信息;用户信息存储装置,用于存储与具有所述计算机使用权限的用户相关的各种用户属性信息;属性信息获取装置,用于从所述用户信息存储装置中获取至少一部分与所述识别信息相对应的属性信息;判定规则存储装置,用于存储用来判定所述输入输出数据是否为非法数据的规则;非法数据判定装置,用于参照所述判定规则存储装置,判定所述输入输出数据是否为非法数据;通知装置,用于在所述非法数据判定装置中判定出非法数据时,将根据所述输入输出数据执行的操作确定为非法操作的情况通知所述用户或者是管理员所操作的终端设备。并且,在所述判定规则存储装置中存储有与用户属性相对应的判定规则,在所述非法数据判定装置中,参照与在所述属性信息的获取装置中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
本发明的优点和积极效果根据本发明,对于在计算机上执行非法操作的非法数据的监视,不仅可以监视在计算机与网络之间输入输出的数据,而且也可以监视在计算机与外部装置之间输入输出的数据,并且可以防止因冒充者以及无权限者的非法数据输出而导致的信息泄漏。
此外,由于用预先登录的用户的属性信息作为规则的一个项目,因此可以进行用于判定非法操作的各种规则的设定。而且,由于在规则适用之前以属性信息判定有无计算机的操作权限,可以提高涉及非法判定的相关处理的效率。此外,通过记录作为协议子集的各个用户的操作历史,识别通过规则无法判断的异常操作模式,可以判定冒充有权限用户的操作以及虽在权限范围内但通常不执行的带有非法可能性的操作等。
具体实施例方式
以下,根据附图就本发明的最佳实施方式进行说明。同时,以下的说明仅是本发明的实施方式的一个例子,本发明并非仅限于所涉及的实施方式。
图1、图2是将本发明所涉及的非法监视系统分别用于监视网络以及监视与外部装置的连接的示例的说明图。图3是表示本发明所涉及的非法监视系统的设置位置的说明图。图4、图5是表示本发明所涉及的非法监视系统的第一构成的分解图。图6是表示本发明所涉及的非法监视系统的用户数据存储部的一个示例的说明图。图7是表示本发明所涉及的非法监视系统的非法规则存储部的一个示例的说明图。图8是表示本发明所涉及的非法监视程序的流程图。
本发明所涉及的非法监视系统不仅仅可以监视网络上传输的各种数据,也可以监视用于接续打印机等输出装置及外部磁盘驱动器等外部存储装置为首的外部装置的外部连接总线。如图3所示,本发明所涉及的非法监视系统既可以设置于企业内部局域网等内部网络和互联网的网关进行网络监视,也可以设置于邮件服务器上监视通过网络进行的邮件收发。此外,既可以用于监视内部网络的网段,也可以用于监视各个用户终端与网络之间,或者各个用户终端与外部装置之间的连接。
图1是表示用于监视网络的一个示例,本发明所涉及的非法监视系统是由非法监视服务器10、用户数据存储部12以及非法规则存储部13构成的。非法监视服务器10既可以是用来监视设置于内部网络与互联网的网关的整个内部网络的非法数据的泄漏等,也可以是用来监视设置于内部网络的网段内的非法数据的泄漏等。
非法监视服务器10获取在网络上传输的所有的输入输出数据,并且获取有关从用户数据存储部12进行数据输入输出的用户属性的信息。在非法规则存储部13内除了一般的非法数据的判定规则以外,还存储有与用户属性相对应的被判定为非法的规则。非法监视服务器10在参照非法规则存储部13以及参照有关该输入输出数据的一般判定规则的同时,参照用户数据存储部12获得的与属性相对应的规则,进行该输入输出数据是否非法的判定。针对被判定为非法的输入输出数据,对欲进行输入输出的通道进行拦截。
图2是表示用于监视外部连接总线的一个示例,本发明所涉及的非法监视系统是由存储于处理装置210的硬盘驱动器214的非法监视程序11、用户数据存储部12以及非法规则存储部13构成的。在进行监视时,从硬盘驱动器214读取这些程序及被存储的数据,在处理装置210上进行运算处理。为了通过存储于硬盘驱动器214的非法监视程序11进行监视,在处理装置210上启动存储于只读存储器213的用于输入控制及输出控制等的硬件控制的各种基本程序,将随机存取存储器212作为非法监视程序11的工作区域使其发挥作用,同时在中央处理器211进行运算处理。在非法监视程序11的运算处理中,从硬盘驱动器214的用户数据存储部12及非法规则存储部13读取并使用必要的数据。而且,处理装置上的用于存储程序的硬盘驱动器214也可以是闪存等可以存储程序的其他存储介质。
当处理装置210中的驱动程序22被读取,且打印及存储到外部磁盘等的指令数据被发送往外部连接总线23时,非法监视程序11获得在外部连接总线23中传输的指令数据,且从用户数据存储部12获取有关进行了该指令数据的相关操作的用户属性信息。在非法规则存储部13内除了一般的非法数据的判定规则以外,还存储有与用户属性相对应的被判定为非法的规则。非法监视程序11在判定该指令数据与存储于非法规则存储部13的一般判定规则是否一致的同时,执行是否与从用户数据存储部12获得的属性相对应的规则一致的判定处理。针对被判定为非法操作的指令数据,停止已通过驱动程序22执行的处理,例如执行停止打印或停止与直接连接于外部连接总线23的计算机之问的通讯等处理。
关于图1的非法监视服务器10及图2的非法监视程序11的非法判定方法,在图4及图5中进一步进行详细说明。图4是表示用于执行在非法判定规则上增加了与用户属性相对应的规则的判定方式的构成,图5不仅表示规则库,也表示用于执行从各个用户协议子集判定操作模式并判定异常操作为非法的判定方式的构成。
图4的非法判定方式是按照以下顺序进行的通过数据获取部14获取作为判定对象的数据,通过非法操作判定部15判定规则库的非法操作,通过中断处理执行部16中止被判定为非法操作的处理。而且,以上各个部分也可以实际上不加分离,而是作为执行了各个处理的非法监视程序11的一部分存储于硬盘驱动器214内,按照顺序被读取并将随机存取存储器212作为工作区域使其发挥作用,同时通过中央处理器211执行运算处理。
数据获取部14获取在网络或者外部连接总线中传输的数据。获得的数据包括执行了该数据的相关操作的用户的识别数据。识别数据是根据用户登录计算机时的登录身份等来确定的。
非法操作判定部15是从用户数据存储部12获取与在数据获取部14获得的用户的识别数据相对应的用户属性信息。图6是表示存储于用户数据存储部12的用户属性信息的一个示例。每个用户记录里都保存有用户身份、所属工作岗位、职务等属性信息。
此外,非法操作判定部15参照非法规则存储部13判定从数据获取部14获得的数据与非法判定规则是否一致。非法规则存储部13存储有与用户属性无关的一般性非法判定规则、以及与用户属性相对应的规定有非许可事项的各个属性规则。前者是指例如以关键词、链接、IP地址、网络接口硬件地址为标准,用于非法判定的一般性规则。后者是指例如规定有与工作岗位,职务相对应的特定操作有关的操作权限等的规则。
图7是存储于非法规则存储部13内的对应于用户属性而设定的判定规则的一个示例。以规则为单位而设定的记录里存储有适用于作为判定对象的属性的规则,在这个例子中只有正式员工以上的人才有发送邮件的权限。例如,如图6的例子所示的实习护士如果想发送邮件的话,将被判断为无发送权限,邮件的发送处理就被停止了。
如此在非法操作判定部15中,已获得数据的相关操作被判定为非法操作时,在中断处理执行部16中停止通过该操作而被执行的处理。换言之,对经过网络的输入输出数据,当其欲进行输入输出时,对通道进行拦截处理;对经过外部链接总线进行处理的数据,当其欲打印或写入至外部磁盘时,执行停止上述打印或写入的处理。
而且,当从用户数据存储部12获取用户属性信息时,不存在与用户身份相一致的数据时,或者用户身份因该用户的辞职等原因而导致无效时,对于无权限者的访问,非法操作判定部15也可以不需要通过非法规则存储部13就可以判断出非法操作,再由中断处理执行部16执行中断处理。如此,在规则库的判定前就可以判定无权限者的访问,从而可以减轻系统的处理负荷,加快判定以及中断处理。
图5中的非法判定是分别执行的通过数据获取部14获取作为判定对象的数据,通过非法操作判定部15判定规则库的非法操作,不通过规则库而通过异常操作判定部18判定从各个用户的操作模式反映出的非法操作,通过中断处理执行部16中止判定对象的处理。而且,与图4所示的情况一样,以上各个部分也可以实际上不加分离,而是作为执行了各个处理的非法监视程序11的一部分程序存储于硬盘驱动器214内,按照顺序被读取并将随机存取存储器212作为工作区域使其发挥作用,同时通过中央处理器211执行运算处理。
在图5中,以下处理与图4所示的情况相同通过数据获取部14获取成为判定对象的数据;通过非法操作判定部15判定规则库的非法操作;通过中断处理执行部16中止判定对象的处理。在此构成中具有以下特征在协议子集创建部19中创建各个用户的协议子集;在异常操作判定部18中判定从各个用户的操作模式反映出的非法操作。
在数据获取部14中获得的数据,是由根据各个用户的操作模式进行判定的异常操作判定部18和通过规则库进行判定的非法操作判定部15同时进行判定的。在用户协议子集17中登录有各个用户过去的操作模式,在异常操作判定部18中将获得数据的相关操作与用户协议子集17中已登录的该用户的操作模式相比较,判定为异常操作时,通过中断处理执行部16执行中断处理。例如,在通常不进行操作的时间段内进行操作,大量进行了通常不进行的操作类型等情况下,存在该用户进行了非法操作行为或者使用他人的用户身份冒充他人的可能性,处理就因此被中断。
而且,通过异常操作判定部18中的用于判定的数据以及用户数据存储部12中的用户属性信息可以创建登录于用户协议子集17的操作模式。也可以使用在数据获取部14中获得的数据的运行记录。协议子集的更新既可以在每次获得新数据时在线进行处理,也可以定期进行分次处理。
在异常操作判定部18中设置有用于与用户协议子集17相比较且判定异常操作模式的知识引擎(Knowledge engine)。知识引擎具有判断区分通常的操作与异常操作的人工智能的功能,该人工智能的构造方式既可以是贝叶斯网络(BayesianNetwork)也可以是神经网络(Neural Network)。
而且,到目前为止已说明的实施方式中,被判定为非法操作时就进行拦截处理,对于通过外部链接总线进行处理的数据,则变成停止打印或停止存入外部磁盘的处理。但是被判定为非法操作时,也可以进行通知警告执行了该操作的用户、计算机或网络的管理员的处理。
用图8的流程图对本发明所涉及的非法监视程序的基本流程进行说明。首先,获取在网络或外部连接总线中传输的输入输出数据以及执行了该输入输出数据的相关操作的操作者身份(S01);对于已获得的身份,参照存储有用户属性信息的用户数据库(S02);用户数据库内该用户身份不存在时(S03);对于判定为无操作权限者的操作,执行与该输入输出数据相关操作的中止处理(S08);用户数据库里存在该身份时(S03),从用户数据库获取有关该身份的属性信息(S04);接着参照规则数据库(S05);首先判定已获取的属性和代表各个属性的规则是否一致(S06);两者一致时,判定该操作为无操作权限者的操作,执行有关该输入输出数据的操作的中止处理(S08);两者不一致时,接着判定已获得的输入输出数据与一般规则是否一致(S07);两者一致时,判定该操作为非法操作,执行有关该输入输出数据的相关操作的中止处理(S08);两者不一致时,作为正常的操作,继续执行有关该输入输出数据的操作。
图1是表示本发明所涉及的用于监视网络的非法监视系统的示例的说明图。
图2是表示本发明所涉及的用于监视与外部装置的连接的非法监视系统的示例的说明图。
图3是表示本发明所涉及的非法监视系统的设置位置的说明图。
图4是表示本发明所涉及的非法监视系统的第一构成的分解图。
图5是表示本发明所涉及的非法监视系统的第二构成的分解图。
图6是表示本发明所涉及的非法监视系统的用户数据存储部的一个示例的说明图。
图7是表示本发明所涉及的非法监视系统的非法规则存储部的一个示例的说明图。
图8是表示本发明所涉及的非法监视程序的流程的流程图。
附图符号的说明10非法监视服务器11非法监视程序12用户数据存储部13非法规则存储部14数据获取部15非法操作判定部16中断处理执行部17用户协议子集18异常操作判定部19协议子集创建部20用户终端210 处理装置211 中央处理器212 随机存取存储器213 只读存储器214 硬盘驱动器22驱动程序23外部连接总线
24输出装置25外部存储装置31用户终端32用户终端33用户终端41外部终端42外部终端43外部终端
权利要求
1.一种非法监视程序,用于监视在计算机上执行非法操作的非法数据,其特征在于,在所述计算机上执行了以下步骤获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输入输出数据;根据所述输入输出数据确定用于识别用户的识别信息;从用户信息存储部获取至少一部分与所述识别信息相对应的属性信息,所述用户信息存储部存储有与具有所述计算机使用权限的用户相关的用户属性信息;参照判定规则存储部判定所述输入输出数据是否为非法数据,所述的判定规则存储部存储有用于判定所述输入输出数据是否为非法数据的规则;在所述非法数据判定步骤中判定出非法数据时,停止根据所述输入输出数据所执行的操作;并且,在所述判定规则存储部存储有与用户属性相对应的判定规则,在所述判定是否为非法数据的步骤中,参照与在所述属性信息获取步骤中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
2.根据权利要求1所述的非法监视程序,其特征在于,还包括在所述计算机上执行参照所述用户信息存储部判定与所述识别信息相对应的用户是否拥有所述计算机的使用权限的步骤;以及在所述判定使用权限的步骤中判定出无使用权限时,停止根据所述输入输出数据执行的操作的步骤;并且,较之判定所述非法数据的步骤先予执行判定所述使用权限的步骤,在判定所述使用权限的步骤中判定出无使用权限时,所述的获取所述属性信息的步骤或者判定所述非法数据的步骤中至少有一个步骤不被执行。
3.根据权利要求1所述的非法监视程序,其特征在于,还包括以下步骤在所述计算机上,参照将所述输入输出数据的相关运行记录数据作为各个用户协议子集存储的协议子集存储部,执行将在所述数据获取步骤中所获取的输入输出数据与所述用户的日常操作习惯及倾向相比较,判定是否存在异常;并且,在所述判定是否存在异常的步骤中判定出异常时,在停止根据所述输入输出数据所执行的操作的步骤中,停止根据所述输入输出数据所执行的操作。
4.根据权利要求1至3中的任何一项所述的非法监视程序,其特征在于在所述输入输出数据的获取步骤中,从网络获得所述输入输出数据时,在停止通过所述输入输出数据所执行的操作的步骤中,执行通道的切断处理。
5.根据权利要求1至3中的任何一项所述的非法监视程序,其特征在于在所述输入输出数据的获取步骤中,从外部连接总线获得所述输入输出数据时,在停止通过所述输入输出数据所执行的操作的步骤中,停止驱动程序的执行处理。
6.一种非法监视程序,用于监视在计算机上执行非法操作的非法数据,其特征在于,在所述计算机上执行了以下步骤获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输入输出数据;根据所述输入输出数据确定识别用户的识别信息;从用户信息存储部获取至少一部分与所述识别信息相对应的属性信息,所述用户信息存储部存储有与具有所述计算机使用权限的用户相关的用户的属性信息;参照判定规则存储部判定所述输入输出数据是否为非法数据,所述的判定规则存储部存储有用于判定所述输入输出数据是否为非法数据的规则;在所述非法数据判定步骤中判定出非法数据时,将根据所述输入输出数据执行的操作是非法操作的情况通知所述用户或者是管理员所操作的终端设备;并且,在所述判定规则存储部存储有与用户属性相对应的判定规则,在所述判定是否为非法数据的步骤中,参照与在所述属性信息获取步骤中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
7.一种非法监视方法,用于监视在计算机上执行非法操作的非法数据,其特征在于,包括如下步骤获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输入输出数据;所述计算机根据所述输入输出数据确定用于识别用户的识别信息;从用户信息存储部获取至少一部分与所述识别信息相对应的属性信息,所述用户信息存储部存储有与具有所述计算机使用权限的用户相关的用户的属性信息;参照判定规则存储部判定所述输入输出数据是否为非法数据,所述的判定规则存储部存储有用于判定所述输入输出数据是否为非法数据的规则;在所述非法数据判定步骤中判定出非法数据时,停止根据所述输入输出数据所执行的操作;并且,在所述判定规则存储部存储有与用户属性相对应的判定规则,在所述判定是否为非法数据的步骤中,参照与在所述属性信息获取步骤中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
8.一种非法监视方法,用于监视在计算机上执行非法操作的非法数据,其特征在于,包括如下步骤获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输入输出数据;所述计算机根据所述输入输出数据确定识别用户的识别信息;从用户信息存储部获取至少一部分与所述识别信息相对应的属性信息,所述用户信息存储部存储有与具有所述计算机使用权限的用户相关的用户的属性信息;参照判定规则存储部判定所述输入输出数据是否为非法数据,所述的判定规则存储部存储有用于判定所述输入输出数据是否为非法数据的规则;在所述非法数据判定步骤中判定出非法数据时,将根据所述输入输出数据执行的操作是非法操作的情况通知所述用户或者是管理员所操作的终端设备;并且,在所述判定规则存储部存储有与用户属性相对应的判定规则,在所述判定是否为非法数据的步骤中,参照与在所述属性信息获取步骤中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
9.一种非法监视系统,用于监视在计算机上执行非法操作的非法数据,其特征在于,包括数据获取装置,用于获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输入输出数据;识别信息确定装置,用于根据所述输入输出数据确定识别用户的识别信息;用户信息存储装置,用于存储有关拥有所述计算机使用权限的用户的用户属性信息;属性信息获取装置,用于从所述用户信息存储装置中获取至少一部分与所述识别信息相对应的属性信息;判定规则存储装置,用于存储用来判定所述输入输出数据是否为非法数据的规则;非法数据判定装置,用于参照所述判定规则存储装置,判定所述输入输出数据是否为非法数据;停止装置,用于在所述非法数据判定装置中判定出非法数据时,停止根据所述输入输出数据所执行的操作;并且,在所述判定规则存储装置中存储有与用户属性相对应的判定规则,在所述非法数据判定装置中,参照与在所述属性信息获取装置中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
10.根据权利要求9所述的非法监视系统,其特征在于还包括使用权限判定装置,用于参照所述用户信息存储部判定与所述识别信息相对应的用户是否拥有所述计算机的使用权限;在所述使用权限判定装置中判定出无使用权限时,所述停止装置停止根据所述输入输出数据所执行的操作,在启动所述非法数据判定装置前先启动所述使用权限判定装置,在通过所述使用权限判定装置判定有无使用权限时,在所述属性信息获取装置或者所述非法数据判定装置中,至少有一个装置不被启动。
11.据权利要求9所述的非法监视系统,其特征在于还包括协议子集存储装置,用于将所述输入输出数据的相关记录数据作为各个用户协议子集存储;异常操作判定装置,用于参照所述协议子集存储装置,将在所述数据获取装置中所获取的输入输出数据与所述用户的日常操作习惯及倾向相比较,判定是否存在异常;并且,在上述异常操作判定装置中判定出存在异常时,所述停止装置停止根据上述输入输出数据所执行的操作。
12.根据权利要求9至权利要求11中的任何一项所述的非法监视系统,其特征在于所述数据获取装置从网络获得所述输入输出数据时,所述停止装置执行通道的切断处理。
13.根据权利要求9至权利要求11中的任何一项所述的非法监视系统,其特征在于所述数据获取装置从外部连接总线获得所述输入输出数据时,所述停止装置停止驱动程序的执行处理。
14.一种非法监视系统,用于监视在计算机上执行非法操作的非法数据,其特征在于,该系统包括下述装置数据获取装置,用于获取通过连接于所述计算机上的网络或者通过连接所述计算机与外部装置的外部连接总线输入输出的输入输出数据;识别信息确定装置,用于从所述输入输出数据中确定用于识别用户的识别信息;用户信息存储装置,用于存储与具有所述计算机使用权限的用户相关的用户属性信息;属性信息获取装置,用于从所述用户信息存储装置中获取至少一部分与所述识别信息相对应的属性信息;判定规则存储装置,用于存储用来判定所述输入输出数据是否为非法数据的规则;非法数据判定装置,用于参照所述判定规则存储装置,判定所述输入输出数据是否为非法数据;通知装置,用于在所述非法数据判定装置中判定出非法数据时,将根据所述输入输出数据执行的操作是非法操作的情况通知所述用户或者是管理员所操作的终端设备;并且,在所述判定规则存储装置中存储有与用户属性相对应的判定规则,在所述非法数据判定装置中,参照与在所述属性信息获取装置中所获取的属性信息相对应的所述判定规则,判定是否为非法数据。
全文摘要
一种在计算机上执行非法操作的非法数据的监视程序、监视方法及系统,不仅可以监视计算机与网络之间的输入输出数据,也可以监视计算机与外部连接装置之间的输入输出数据。而且,可以设定各种用于非法操作判定的规则并高效地适用这些规则。数据获取部14获取在网络或外部连接总线中传输的输入输出数据与操作者身份。在非法操作判定部15中,从用户数据存储部12获取与该身份相对应的用户属性信息,参照存储于非法规则存储部13的代表用户属性的规则中与该属性信息相对应的规则,进而参照存储于非法规则存储部13的与用户属性无关的一般性非法判定规则,进行非法判定。判定出非法操作时,在中断处理执行部16中停止根据该操作进行的处理。
文档编号G06F13/00GK1882924SQ20048003378
公开日2006年12月20日 申请日期2004年7月9日 优先权日2003年11月17日
发明者青木修, 白杉政晴, 小出研一, 河野裕晃 申请人:株式会社知识潮