专利名称:非法操作检测系统和非法操作检测方法
技术领域:
本发明涉及操作检测系统,特别涉及对与信息泄露事故有关的风险较高的客户PC 上的操作进行检测的非法操作检测系统和非法操作检测方法。
背景技术:
以往,存在如下的PC操作记录管理产品监视信息系统的用户操作,检测管理者预先指定的动作(例如针对可移动媒体的信息写入),对管理者发出警告。作为对具有恶意的操作或可疑操作进行检测的操作检测系统,存在专利文献1。现有技术文献专利文献专利文献1 日本特开2009-20812号公报
发明内容
发明要解决的课题在现有的客户PC操作记录管理产品中,需要预先指定打印或输出到可移动媒体这样的信息输出操作。并且,在专利文献1所示的技术中,管理者预先生成具有恶意的非法操作样板(pattern)并登记在记录分析服务器的数据库中,然后,通过用户的操作内容的匹配度来判断危险性。在任意情况下,均需要管理者在进行了非法操作的定义之后进行初始设定。因此,课题在于,为了对与信息泄露有关的风险较高的用户操作进行检测,不进行在进行了特定的信息输出操作的情况下发出警告的初始设定以及定义非法操作样板的初始设定,就能够实现针对信息泄露的风险较高的行为发出警告的功能。本发明是鉴于所述现有技术的课题而完成的,其目的在于提供如下的非法操作检测系统、非法操作检测方法以及非法操作检测程序能够识别操作内容并针对信息泄露的风险较高的操作生成警告。用于解决课题的手段为了实现所述目的,本发明的特征在于,构成将微处理器作为监视对象并监视针对与所述监视对象连接的输出装置的画面上的信息的操作的监视装置,所述监视装置响应用于对所述监视对象输入信息的操作,识别被输入到所述监视对象的输入信息的取得方, 并且对该输入信息赋予表示所述输入信息的取得方的标识符,所述监视装置响应用于从所述监视对象输出信息的操作,识别从所述监视对象输出的输出信息的输出目的地,并且检索表示所述输出信息的取得方的标识符,判定识别到的所述输出信息的输出目的地和检索到的所述输出信息的取得方的组合是否适合非法操作的条件,根据该判定结果生成警告。发明效果根据本发明,通过识别操作内容,能够针对信息泄露的风险较高的操作生成警告。
图1是示出本发明的操作检测系统的一个实施方式的系统结构图。图2是示出本发明的客户PC的结构的一例的图。图3是示出在客户PC上动作的代理程序的结构的一例的图。图4是示出利用Web浏览器输入文件时用户的操作以及在对话操作监视模块与浏览器监视模块之间执行的时序的一例的图。图5是示出利用Web浏览器输入文件时用户的操作以及在对话操作监视模块、浏览器监视模块、文件操作监视模块之间执行的时序的一例的图。图6是示出利用邮件程序输入文件时用户的操作以及在对话操作监视模块与TCP 通信监视模块之间执行的时序的一例的图。图7是示出利用邮件程序使用拖放(drag.drop)输入文件时用户的操作以及在文件操作监视模块与TCP通信监视模块之间执行的时序的一例的图。图8是示出利用Web浏览器输出文件时用户的操作以及在对话操作监视模块与浏览器监视模块之间执行的时序的一例的图。图9是示出利用邮件程序输出文件时用户的操作以及在对话操作监视模块与TCP 通信监视模块之间执行的时序的一例的图。图10是示出利用邮件程序使用拖放输出文件时用户的操作以及在文件操作监视模块与TCP通信监视模块之间执行的时序的一例的图。图11是示出在打印文件时用户的操作以及在对话操作监视模块中执行的时序的一例的图。图12是示出在从文件服务器输入文件时和对可移动媒体输出文件时用户的操作以及在文件操作监视模块中执行的时序的一例的图。图13是示出在代理内使用的取得方DB以及被赋予给各文件的取得方信息的格式的一例的图。图14是示出代理内的模块即浏览器监视模块的流程图的一例的图。图15是示出代理内的模块即对话操作监视模块的流程图的全体像的一例的图。图16是示出代理内的模块即对话操作监视模块的基于邮件程序的下载/上传线程部分的流程图的一例的图。图17是示出代理内的模块即对话操作监视模块的基于浏览器的下载/上传线程部分的流程图的一例的图。图18是示出代理内的模块即对话操作监视模块的打印检查线程部分的流程图的一例的图。图19是示出代理内的模块即文件操作监视模块的流程图的一例的图。图20是示出代理内的模块即TCP通信监视模块的流程图的一例的图。图21是示出与本发明的动作有关的Web浏览器的画面的一例的图。
具体实施例方式本实施方式具有第一单元,监视针对在客户PC (Personal Computer)中工作的应用程序的操作内容,识别被输入到客户PC的输入信息的取得方,并且对输入信息赋予表示该输入信息的取得方的标识符;以及第二单元,识别从客户PC输出的输出信息的输出目的地,并且检查被赋予给输出信息的标识符,根据输出信息的取得方和输出目的地的条件
生成警告。下面,根据
本发明的一个实施方式。图1是示出本发明的非法操作检测系统的一个实施方式的系统结构图。本发明的非法操作检测系统利用广域网103连接信息中心101内的(LOCAL Area Network) 117和据点102内的网络124,所述信息中心101还经由广域网104与因特网连接。非法操作检测系统由设置在信息中心101内的管理服务器111和设置在据点102内的客户PC 121构成。管理服务器111将信息中心101内和据点102内作为管理区域,将配置在该管理区域内的设备、例如邮件服务器114、文件服务器115、组织内Web服务器116、客户PC 121、 网络打印机123等作为管理对象,对这些管理对象进行管理。在该管理服务器111中,对非法操作检测系统的全体进行统括的管理部112、用于供所述管理部管理多个客户PC所使用的 PC 管理 DB (DataBase) 113 工作。各客户PC 121由搭载有各种应用程序的微处理器构成。在各客户PC 121中,作为监视装置的代理122进行工作,该代理122将各客户PC 121作为监视对象并监视针对与该监视对象连接的输出装置的画面上的信息的操作。使用客户PC 121的用户使用电子邮件、Web服务器、文件服务器等完成业务。因此,在信息中心101设置有邮件服务器114、文件服务器115、组织内Web服务器116,并与 LAN 117连接。并且,能够从客户PC 121访问的组织外Web服务器131与因特网连接。并且,在据点102内的网络124连接有在打印中使用的网络打印机123。另外,组织外Web服务器131以及与客户PC 121连接的存储介质中的可移动媒体是管理服务器111 的管理对象以外的设备,作为检查对象来处理。图2是示出本发明的客户PC 121的结构的一例的结构框图。客户PC 121由 CPU (Central Processing Unit) 201、总线 202、存储器 203、本地文件系统 204、网络 I/O 205、器件I/O 206构成。器件1/0206例如由USB(Universal Serial Bus)接口等构成。在存储器203上传入OS (Operating System) 207,在该OS 207上,非法操作检测系统的结构要素即代理122的程序、文件资源管理器、Web浏览器、邮件程序、文字处理器或表计算软件这样的多个应用程序208进行动作。这里,使用客户PC 121的用户使用应用程序208中的任意一方,将在到达邮件服务器114的以自身为目的地的邮件中添加的文件、存储在文件服务器115内的文件、以及登记在组织内Web服务器116中的文件作为文件209,保存在客户PC 121的本地文件系统204中。有时使用应用程序208中的任意一方,将保存在本地文件系统204中的文件209 输出到客户PC 121的外部。例如,使用文件资源管理器复制到与器件I/O 206连接的可移动媒体,或者使用文字处理器或表计算软件的打印功能利用网络打印机123进行打印。并且,在利用邮件程序生成的邮件文本中添加文件并对组织内和组织外的对方发送文件,或者对位于组织内和组织外的Web服务器上传文件。图21示出此时使用的Web浏览器画面。图21是示出用户利用客户PC 121操作应用并输入文件时的画面的一例的图。
在Web浏览器画面(与客户PC 121连接的输出装置的画面)2101上,存在所谓被称为链接的当使用鼠标(与客户PC 121连接的输入装置)点击时引起画面迁移等的区域。在链接字符串2102上放置鼠标光标并点击了左按钮的情况下,执行如下处理迁移到下一个画面(也称为页面),或者显示用于下载位于所点击的链接目的地的对象的下载对话 2111。并且,在链接字符串2102上放置鼠标光标并点击了右按钮的情况下,显示所谓被称为上下文菜单的弹窗。在这里显示的上下文菜单2103中存在“将对象保存到文件(A)…” 这样的项目,通过左击该项目,执行显示用于下载对象的下载对话2111的处理。在下载对话2111中存在表示用于保存所下载的文件的场所的字段2112、显示要保存的文件夹的选择项的字段2113、以及表示要保存的文件名的2114。要保存的文件名能够改写。用户操作字段2112和2113来选择用于保存文件的文件夹,根据需要利用字段 2114变更保存文件名,通过点击保存按钮2115,能够使用Web浏览器下载文件,并在任意的文件夹中保存文件。图3是示出在客户PC 121上工作的代理122的模块结构的一例的图。代理122具有负责与管理部112之间的通信的管理部通信功能模块301、以及对监视客户PC 121上的用户操作的各种监视模块进行统括的监视模块控制模块302。作为结构要素,代理122还具有进程监视模块310,将在客户PC 121上工作的进程303的工作状况作为监视对象;打印机监视模块320,将针对包含网络打印机123的打印机304的输出操作作为监视对象;浏览器监视模块330,将基于Web浏览器305的用户操作作为监视对象;对话操作监视模块340,将显示在客户PC 121的画面上的各种对话 306作为监视对象,该各种对话306用于供用户在下载或上传时选择文件;文件操作监视模块350,将在该客户PC 121的画面上、用户使用鼠标等指示器件针对显示在所述画面上的各种应用程序307进行的操作(例如按钮的点击、显示在应用窗内的目标的拖放等)作为监视对象;以及TCP通信监视模块360,将例如邮件程序等经由网络收发数据的应用通过用户操作并使用 TCP/IP (Transmission Control Protocol/Internet Protocol)的套接字 (socket) 308等发送或接收数据流的状况作为监视对象。并且,代理122具有用于对模块的动作进行控制的设定文件即系统策略391、以及用于进行特别是与安全有关的控制的设定文件即安全策略392,并且,代理122具有取得方 DB 393,该取得方DB 393存储之前说明的监视模块组构成与用户操作有关的信息所需要的信息。取得方DB 393的内容和作用在后面叙述。进程监视模块310实现如下功能起动检测功能311,检测是否在客户PC 121上请求了进程303的起动;抑止功能312,在要起动的进程303抵触安全策略392的情况下抑止起动;以及用户通知功能313,向用户通知抑止了起动。打印机监视模块320实现如下功能打印检测功能321,检测是否在客户PC 121 上请求了使用打印机304的打印;抑止功能322,在要打印的数据抵触安全策略392的情况下抑止打印;以及用户通知功能323,向用户通知抑止了起动。浏览器监视模块330实现如下功能访问检测功能331,检测是否在客户PC 121 上使用浏览器305访问了 Web服务器;以及检测内容保持功能332,临时保持所访问的Web 月艮务器的URL (Uniform Resource Locator)、接收至Ij的html (Hypertext Markup Language)数据等。对话操作监视模块340实现如下功能对话检测功能341,检测是否由于用户操作客户PC 121上的应用程序208而显示了文件选择用对话或打印用对话;以及取得方信息赋予/检查功能342,针对使用所述对话操作的文件,执行与该文件的取得方有关的信息的赋予、以及与被赋予的取得方有关的信息的检查。这里,显示文件选择用对话的操作例如具有使用Web浏览器下载或上传文件的操作、使用邮件程序从接收邮件中保存添加文件的操作或者对发送邮件添加文件的操作。 并且,显示打印用对话的操作是指利用文字处理器或表计算软件选择打印功能的操作。文件操作监视模块350实现如下功能操作检测功能351,检测用户是否在客户PC 121上的应用程序208的窗口上进行了鼠标按钮的点击、显示在窗口内的目标的拖放等操作;以及取得方信息赋予/检查功能352,针对使用鼠标操作的文件,执行与该文件的取得方有关的信息的赋予、以及与被赋予的取得方有关的信息的检查。这里,通过鼠标按钮的点击而实现的文件操作例如是指右击在Web浏览器的画面上显示的链接并在所显示的菜单中保存链接所指示的目标作为文件的操作、拖放在邮件程序的接收消息画面中添加的文件并复制到桌面上的操作。TCP通信监视模块360具有如下功能套接字接收检测功能361,检测用户利用客户PC 121上的网络应用进行操作的结果是否经由网络进行了文件的收发;协议解析功能 362,对经由所述套接字收发的数据进行解析;以及登记/通知功能363,在经由套接字在客户PC 121上下载了文件的情况下,在取得方DB 393中登记与该文件的取得方有关的信息, 并且对取得方信息赋予/检查模块342、352通知与该文件的取得方有关的信息。上述说明的各监视模块具有如下功能根据检测到的内容与其他监视模块或取得方DB 393进行通信的功能、经由监视模块控制302和管理部通信机构301对管理者112发出(发送)警告的功能、生成警告或检测内容记录的功能。另外,在以后的说明中,利用与文件有关的信息等的表现来说明与本发明有关的信息,但是,也可以利用表等的数据结构以外的构造来表现这些信息。因此,为了表示不依赖于数据结构,有时将“与文件有关的信息”等简称为“信息”。同样,作为DB说明的部分也不是必须具有作为数据库的数据结构,所以,有时也将作为DB的说明简称为“信息”。并且,在对各信息的内容进行说明时,使用“识别信息”、“标识符”、“名”、“名称”、 “ ID”这样的表现,但是,它们可以相互置换。进而,在以后的说明中,有时将“程序”作为主语进行说明,但是,程序由处理器执行,使用存储器和通信端口(通信控制装置)进行确定的处理,所以,也可以将处理器作为主语进行说明。并且,将程序作为主语而公开的处理也可以是管理服务器111等的计算机、 信息处理装置进行的处理。并且,程序的一部分或全部也可以通过专用硬件来实现。并且, 本发明不是必须使用线程机构来实现,只要能够通过微线程或进程机构等的对OS提供的程序的执行进行管理的机构来执行,则可以使用任意的机构。并且,各种程序也可以通过程序发布服务器或存储媒体而装入各计算机中。另外,管理计算机111具有输入输出装置。作为该输入输出装置的例子,可以列举显示器、键盘、指示器件,但是,也可以是除此之外的装置。并且,代替输入输出装置,也可以将串行接口或以太网接口作为输入输出装置,在该接口上连接具有显示器或键盘或指示器件的显示用计算机,利用显示用计算机对显示用信息进行显示,受理输入,由此,代替输入输出装置的输入和显示。接着,按照图4 图7说明实现如下的第一单元的时序检测到用户针对客户PC 进行了输入操作,赋予表示进行了输入操作的标识符。图4是示出在用户利用Web浏览器下载文件时由浏览器监视模块330和对话操作监视模块340执行的处理流程的时序的一例。当用户进行在Web浏览器中显示的链接的左击操作(401)后,在Web浏览器中,产生页面迁移的用户操作事件,浏览器监视模块330检测页面迁移的用户操作事件(402)。浏览器监视模块330保存迁移后的URL (即所点击的链接目的地的目标的URL),等待来自对话操作监视模块340的信息提供请求(403)。另一方面,通过左击操作G01),在链接所指定的目标是无法利用Web浏览器在线显示的类型的目标的情况下,显示文件下载对话。该情况下,对话操作监视模块340在显示了文件下载对话时,检测对话操作事件(404),向浏览器监视模块330请求迁移后URL信息的提供,然后,从浏览器监视模块330取得迁移后URL信息(405)。当在所述文件下载对话中点击保存按钮后,对话操作监视模块340从在对话中显示的信息(基于OS 207的处理的信息)取得保存目的地文件名,取得全路径作为所述文件的保存目的地信息006)。进而,在步骤405中取得的迁移后URL所包含的服务器是组织内Web服务器116的情况下,对话操作监视模块对所述文件赋予表示取得方的标识符 (407)。作为客户PC 121利用的本地文件系统204,如果是Microsoft公司的NTFS (NT File System),则能够使用“代替流”来实现该标识符。图5是示出在用户利用Web浏览器下载文件时由浏览器监视模块330、对话操作监视模块340和文件操作监视模块350执行的处理流程的时序的一例。当用户利用Web浏览器显示页面时,浏览器监视模块330检测页面迁移的用户操作事件(501)。此时,Web浏览器保持迁移后的URL和页面资源,能够根据浏览器监视模块 330的请求交接这些迁移后的URL和页面资源。在该状态下,针对在Web浏览器中显示的链接,当用户进行右击操作(50 后,产生鼠标操作事件,文件操作监视模块350检测所述事件(505)。检测到产生鼠标操作事件后的文件操作监视模块350保存与在Web浏览器上产生鼠标操作事件的位置有关的信息作为目标关联信息,发送到浏览器监视模块330(506)。每当利用Web浏览器显示页面时,浏览器监视模块330保存迁移后的页面的URL 和页面的资源(502)。通过用户的右击,当从所显示的上下文菜单中选择与“文件的保存”有关的项目时 (504),显示文件保存对话。对话操作监视模块340检测所述对话显示事件后(507),从浏览器监视模块330取得所显示的页面的URL和页面资源(页面数据)(508),进而,取得保存所述文件的文件路径 (510),然后,在所述文件的URL所包含的服务器是组织内Web服务器116的情况下,文件的取得方对文件赋予表示取得方的标识符(511),作为不是监视对象。图6是示出在用户利用邮件程序在系统204中保存被添加到邮件中的文件时由 TCP通信监视模块360和对话操作监视模块340执行的处理流程的时序的一例。
当用户进行起动邮件程序或执行邮件的显示操作等的消息接收操作时(601),按照 POP (Post Office Protocol) 3 或 IMAP (Internet Message Access Protocol) 4 等的协议,从邮件服务器114下载消息。于是,在网络驱动器或TCP/IP协议栈中监视套接字的TCP 通信监视模块360实施邮件正文数据的解析处理(603),取得消息内的发送者名和添加文件名(604)。进而,TCP通信监视模块360对利用Base64等编码后的添加文件数据进行解码, 计算散列值(605)。将通过步骤604和步骤605得到的添加文件名、散列值以及添加文件的发送者名登记在取得方DB393中(606)。在用户使用邮件程序阅览邮件正文的进程中,有时执行将添加文件保存在本地文件系统204中的操作(有时不是在刚刚下载了邮件数据之后立即执行该操作,而是隔开一定时间执行该操作)。当邮件程序进行使用文件保存对话保存添加文件的操作时(602), 对话操作监视模块340检测对话显示事件(607),从在对话中显示的信息中取得文件名 (608),取得文件的保存目的地的全路径(609)。进而,将在所述对话中显示的文件名作为关键字来检索取得方DB 393,取得文件的发送者名等的属性(610)。这里,在添加文件名是一般的名称、例如“规格书.doc”这样的名称的情况下,认为在取得方DB 393中登记了多个记录。在这种情况下,针对在步骤608中取得的保存目的地文件名的文件计算散列值,将所述散列值作为关键字来检索取得方DB 393,由此,能够取得文件的发送者名。在步骤610中,在文件的发送者是组织内的其他用户的情况下,对所述文件赋予表示取得方的标识符(611)。图7是示出在用户利用邮件程序在本地文件系统204中保存被添加到邮件中的文件时由TCP通信监视模块360和文件操作监视模块350执行的处理流程的时序的一例。步骤701 步骤706的处理与图6中的时序(步骤601 步骤606)相同。作为在用户使用邮件程序阅览邮件正文的进程中将添加文件保存在本地文件系统204中的操作, 不光采用使用文件保存对话进行的方法,还存在将表示在邮件程序画面内显示的添加文件的图标拖放到桌面或文件资源管理器的方法。在进行这种操作的情况下,文件操作监视模块350检测来自邮件程序画面的基于鼠标的拖放事件(707)。进而,文件操作监视模块350监视针对文件系统的文件生成事件, 响应基于鼠标的拖放操作,取得在本地文件系统204中生成的文件的名称(708),并取得全路径(709),将文件名和文件的散列值作为关键字来检索取得方DB 393,取得文件的发送者名等的属性(710)。在步骤710中,在文件的发送者是组织内的其他用户的情况下,对所述文件赋予表示取得方的标识符(711)。接着,按照图8 图11说明实现如下的第二单元的时序检测到用户从客户PC进行了输出操作,确认表示已输入的标识符并发出警告。图8是示出在用户利用Web浏览器上传文件时由浏览器监视模块330和对话操作监视模块340执行的处理流程的时序的一例。在Web浏览器中显示的用于文件上传的表单画面中,当用户点击了追加上传对象的文件的按钮时(801),Web浏览器显示文件选择对话。对话操作监视模块340检测显示了文件选择对话的事件,取得所选择的文件的名称,并开始监视文件打开(805)。
当用户使用文件选择对话选择文件并在所述表单画面中点击了文件登记按钮时 (802),提交表单画面,在Web浏览器中显示的画面迁移。浏览器监视模块330检测其结果产生的页面迁移事件(80 ,保存迁移后的 URL(804)。此时,在提交了文件上传的情况下,对话操作监视模块340检测针对该文件的文件打开(806),从OS 207取得该文件的文件路径(807)。进而,对话操作监视模块340从浏览器监视模块330取得页面迁移后的URL,判定文件的输出目的地是否是检查对象,在上传文件的Web服务器是组织外的服务器的情况下,文件的输出目的地是检查对象,确认文件的取得方的标识符,在是从组织内的文件服务器115复制的文件、从组织内Web服务器116下载的文件、被添加到邮件程序并取得的文件的情况下,实施发出警告的处理(809)。发出警告的处理是指如下处理在从客户PC 121输出的输出信息的输出目的地、 例如上传文件的Web服务器是组织外Web服务器131即与管理服务器111的管理对象不同的检查对象;从客户PC 121输出的输出信息、例如在客户PC 121中进行处理后的文件是从组织内的文件服务器115复制的文件、从组织内Web服务器116下载的文件、被添加到邮件程序并取得的文件;文件的取得方是管理服务器111的管理对象时,从客户PC 121输出的输出信息(文件)是通过非法操作而生成的信息,生成表示适合非法操作的条件的警告,向管理服务器111发送所生成的警告。该情况下,管理服务器111检测到与信息泄露事故有关的风险较高的非法操作, 将伴随非法操作的信息作为应该在警告中进行处理的信息进行管理。由此,管理者能够根据管理服务器111所收集的警告,执行用于抑制信息泄露的对策等。图9是示出在用户使用邮件程序发送带添加文件的邮件时由TCP通信监视模块 360和对话操作监视模块340执行的处理流程的时序的一例。当用户在利用邮件程序生成发送邮件的进程中使用文件选择对话进行了文件添加操作时(901),对话操作监视模块340检测到文件选择对话的显示事件(906),取得所选择的文件的名称和文件的全路径(907),在发送邮件之前待机。然后,当用户利用邮件程序实施邮件发送操作时(90 ,TCP通信监视模块360对利用SMTP(Simple Mail Transfer Protocol)协议发送的数据进行解析(903),取得发送目的地和添加文件名(904)。在对发送邮件附加了添加文件且邮件发送目的地为组织外的情况下,TCP通信监视模块360对待机中的对话操作监视模块340通知向组织外的目的地发送邮件(905)。对话操作监视模块340确认表示所发送的文件的取得方的标识符,在是从组织内的文件服务器复制的文件、从组织内Web服务器下载的文件、被添加到邮件程序并取得的文件的情况下,实施发出警告的处理(908)。图10是示出在用户使用邮件程序发送带添加文件的邮件时由TCP通信监视模块 360和文件操作监视模块350执行的处理流程的时序的一例。当用户在利用邮件程序生成发送邮件的进程中使用拖放进行了文件添加操作时 (1001),文件操作监视模块350检测到将文件从文件资源管理器等拖放到邮件程序的窗口中(1006),取得所选择的文件的名称和文件的全路径(1007),在发送邮件之前待机。
然后,当用户利用邮件程序实施邮件发送操作时(102),TCP通信监视模块360对利用SMTP协议发送的数据进行解析(1003),取得发送目的地和添加文件名(1004)。在对发送邮件附加了添加文件且邮件发送目的地为组织外的情况下,TCP通信监视模块360对待机中的对话操作监视模块340通知向组织外的目的地发送邮件(1005)。文件操作监视模块350确认表示所发送的文件的取得方的标识符,在是从组织内的文件服务器复制的文件、从组织内Web服务器下载的文件、被添加到邮件程序并取得的文件的情况下,实施发出警告的处理(1008)。图11是示出在用户利用应用进行打印操作时由对话操作监视模块340执行的处理流程的时序的一例。当用户利用应用进行打印操作时(1101),对话操作监视模块340检测打印对话的显示事件(1103),取得实施打印的应用的窗口标题(1104),打开应用,取得要执行打印的文件的全路径(1105)。然后,当用户在打印对话中点击了打印按钮时(1102),对话操作监视模块340检测到关闭了对话(1206),确认表示所发送的文件的取得方的标识符,在是从组织内的文件服务器复制的文件、从组织内Web服务器下载的文件、被添加到邮件程序并取得的文件的情况下,实施发出警告的处理(1107)。图12是在用户使用文件资源管理器将文件服务器115的信息复制到本地文件系统204时通过由文件操作监视模块350执行的处理来实现第一单元的时序、以及在用户使用文件资源管理器将文件复制到可移动媒体时通过由文件操作监视模块350执行的处理来实现第二单元的时序的一例。当用户进行使用文件资源管理器的文件复制或者移动操作时(1201),文件操作监视模块350进行确定文件的复制方和复制目的地的处理(120 ,在复制方是文件服务器115、复制目的地是客户PC 121的情况下,对操作对象的文件赋予表示取得方的标识符 (1203)。另一方面,当用户使用文件资源管理器进行文件复制或者移动操作时(1211),文件操作监视模块350进行确定文件的复制方和复制目的地的处理(121 ,在复制方是客户 PC 121的本地文件系统204、复制目的地是与客户PC 121连接的可移动媒体的情况下,对操作对象的文件确认表示取得方的标识符,在是从组织内的文件服务器复制的文件、从组织内Web服务器下载的文件、被添加到邮件程序并取得的文件的情况下,实施发出警告的处理(1213)。图13是用于存储与接收到的邮件有关的信息的取得方DB 393、以及对存储在本地文件系统204中的文件209赋予的表示取得方的标识符1311的格式的一例。取得方DB 393由存储文件名的字段1301、存储邮件的发送者名的字段1302、存储字段1301所记载的文件的散列值的字段1303构成。表示取得方的标识符1311如图5所述那样,如果是Microsoft公司的NTFS,则能够使用“代替流”实现为ini文件形式的数据。如果是从邮件服务器114取得的文件,则在 From行中记载发送者的邮件地址,如果是从文件服务器115取得的文件,则在krver行中记载文件服务器的服务器名或IP地址,如果是从组织内Web服务器取得的文件,则记载表示所取得的文件的URL。可以删除未使用的行,也可以使等号以后为空白。
在本发明中,能够利用第二单元发出表示取得方的标识符1311所包含的内容作为警告。在第一单元中,在表示取得方的标识符1311中包含信息被输入到客户PC 121的时刻,由此,在警告本身中,除了能够包含从哪里取得已输出的信息以外,还能够包含是什么时候取得的信息。为了实现上述情况,作为取得方DB 393的字段,也可以追加用于存储接收到包含添加文件的邮件的时刻的字段,在步骤606、706中,TCP通信模块360还在取得方DB 393中登记邮件标题所记载的接收时刻,在取得文件属性的步骤610、710中,还取得所述时刻信息字段的内容,对表示取得方的标识符1311赋予时刻信息。图14是示出由浏览器监视模块330执行的处理的概要的流程图的一例。浏览器监视模块330在起动Web浏览器的定时被起动,设定在图4、图5、图8中说明的针对Web浏览器的用户操作事件的监视(1401),进入判别是否产生事件的循环 (1402)。在检测到产生事件的情况下,浏览器监视模块330执行用于判别是否通过用户的左击操作而迁移了页面的步骤(1403)。在通过用户的左击操作而迁移了页面的情况下,浏览器监视模块330执行取得迁移后的URL的步骤(1404),然后,执行向对话监视模块340发送URL的步骤(1404)。另一方面,在页面没有迁移的情况下,浏览器监视模块330执行通过文件操作监视模块350取得鼠标事件的浏览器上的坐标信息的步骤(1405),执行取得位于鼠标光标下的HTML的锚标签的步骤(1406),执行提取利用鼠标光标选择出的URL的步骤(1407),然后,执行向对话操作监视模块340发送URL的步骤(1404)。图15是示出由对话操作监视模块340执行的处理的概要的流程图的一例。对话操作监视模块340在用户登录客户PC 121的定时被起动,监视在图4、图5、 图6、图8、图9、图11中说明的使用对话的文件操作,例如,在进行了定时器监视等的创建 (1501)后,监视显示对话的事件(1502)。在产生事件的情况下,对话操作监视模块340检查是否显示了上传对话或下载对话(1503),在显示了对话的情况下,判别显示所述对话的应用的种类(1504)。在应用是邮件程序的情况下,实施生成邮件程序检查线程的步骤(1505),在应用是Web浏览器的情况下,实施生成Web浏览器检查线程的步骤(1506)。并且,在步骤1503中,在所显示的对话不是上传或下载对话的情况下,对话操作监视模块340判别是否是打印用对话(1507),实施生成打印检查线程的步骤(1508)。在实施了生成各线程的步骤后,对话操作监视模块340返回监视显示对话的事件的步骤(1502)。图16是示出由对话操作监视模块340执行的处理中的邮件程序检查线程的概要的流程图的一例。在本线程中,对话操作监视模块340检查是否显示了上传对话或下载对话 (1601),在显示了对话的情况下,从在对话中显示的字符串中取得文件夹名(1602),并取得文件名(1603),构成上传或下载对象的文件的全路径(1604),然后返回步骤1601。然后,当用户点击对话的保存按钮等而使对话成为非显示时,执行步骤1605以后的处理。首先,对话操作监视模块340判别是否已经执行步骤1604并构成全路径、且存在全路径所示的文件(1605),在存在文件的情况下,执行步骤1606以后的处理,在不存在文件的情况下,返回步骤1601。在存在文件的情况下,首先,对话操作监视模块340判别是否是下载对话(1606), 在是下载对话的情况下,计算在步骤1604中确定的文件的散列值(1607),如图6、图7所示,检索TCP通信监视模块360在取得方DB中登记的信息(1608),在与取得方是组织内的其他用户等的条件一致的情况下,针对在步骤1604中取得的全路径所示的文件写入取得方信息(1609)。在是上传对话的情况下,如图9、图10所示,等待来自TCP通信监视模块360的通知(1610),在将对话所指定的文件添加到邮件进行发送的情况下,读入在步骤1604中取得的添加文件的全路径所示的文件的取得方信息(1611),检查警告条件,然后生成警告,根据需要向管理服务器111发送警告(1612)。图17是示出由对话操作监视模块340执行的处理中的Web浏览器检查线程的概要的流程图的一例。在本线程中,对话操作监视模块340检查是否显示了上传对话或下载对话 (1701),在显示了对话的情况下,从在对话中显示的字符串中取得文件夹名(1702),并取得文件名(1703),构成上传或下载对象的文件的全路径(1704),然后返回步骤1701。然后,当用户点击对话的保存按钮等而使对话成为非显示时,执行步骤1705以后的处理。首先,对话操作监视模块340判别是否已经执行步骤1704并构成全路径、且存在全路径所示的文件(1705),在存在文件的情况下,执行步骤1706以后的处理,在不存在文件的情况下,返回步骤1701。在存在文件的情况下,首先判别是否是下载对话(1706), 在是下载对话的情况下,如图4、图5所示,取得浏览器监视模块330所保持的下载方信息 (1707),在与取得方是组织内的其他用户等的条件一致的情况下,针对在步骤1704中取得的全路径所示的文件写入取得方信息(1708)。在是上传对话的情况下,如图8所示,对话操作监视模块340从浏览器监视模块330取得浏览器监视模块330所保持的上传目的地信息(1709),在发送了对话所指定的文件的情况下,读入在步骤1704中取得的添加文件的全路径所示的文件的取得方信息 (1710),检查警告条件,然后生成警告,根据需要向管理服务器111发送警告(1711)。图18是示出由对话操作监视模块340执行的处理中的基于应用的打印检查线程的概要的流程图的一例。在本线程中,对话操作监视模块340检查是否显示了打印对话(1801),在显示了对话的情况下,取得打印方的应用的进程ID、(1802),并从所述进程打开的文件一览中取得文件名(1803),构成打印对象的文件的全路径(1804),然后返回步骤1801。然后,当用户点击对话的打印按钮等而使对话成为非显示时,读入打印对象文件的取得方信息(1805),检查警告条件,然后生成警告,根据需要向管理服务器111发送警告 (1806)。图19是示出由文件操作监视模块350执行的处理的概要的流程图的一例。文件操作监视模块350在用户登录客户PC 121的定时被起动,在开始鼠标事件的钩子后(1901),监视在图5、图7、图10中说明的使用鼠标的文件操作,在检测到事件时,判别检测到的鼠标操作事件是否是右击(1902)。
此时,在是右击的情况下,文件操作监视模块350取得前台窗口中的鼠标光标坐标(1903),执行针对浏览器窗口的坐标的转换处理(1904),执行对浏览器监视模块330通知在步骤1904中取得的坐标的处理(1905),返回事件监视。另一方面,在步骤1902中判定为鼠标操作事件不是右击的情况下,文件操作监视模块350执行判别是否是拖动事件的处理(1906),在不是拖动事件的情况下,返回事件监视。在事件是拖动事件的情况下,文件操作监视模块350检测放下所拖动的目标的事件,判定是否在文件资源管理器上拖动并在邮件程序上放下(1907)。在步骤1907中判定为否的情况下,文件操作监视模块350返回事件监视,在步骤 1907中判定为是的情况下,取得拖动方文件路径(1908),读入在步骤1908中取得的添加文件的全路径所示的文件的取得方信息(1909),检查警告条件,然后,根据需要向管理服务器 111发送警告(1910)。在步骤1907中放下目标的目的地不是邮件程序上的情况下,文件操作监视模块 350判定拖放事件是否在邮件程序上拖动并在文件资源管理器上放下(1911)。在步骤1921为否的情况下,文件操作监视模块350返回事件监视,在步骤1921为是的情况下,取得添加文件的放下目的地的文件路径(191 。接着,文件操作监视模块350 计算在步骤1912中取得的文件的散列值(1913),检索在取得方DB中登记的信息(1914), 在与取得方是组织内的其他用户等的条件一致的情况下,针对在步骤1912中取得的全路径所示的文件写入取得方信息(1915)。另外,关于针对图12所示的时序的文件操作监视模块350的处理,在拖动方为文件服务器115、放下目的地为本地文件系统204的情况下,只要进行以步骤1912和步骤 1915为基准的处理即可,在拖动方为本地文件系统204、放下目的地为可移动媒体的情况下,只要进行以步骤1908和步骤1910为基准的处理即可。并且,在拖动方为文件服务器115、放下目的地为可移动媒体的情况下,只要进行以步骤1910为基准的处理即可。图20是示出由TCP通信监视模块360执行的处理的概要的流程图的一例。TCP通信监视模块360在用户登录客户PC 121的定时被起动,监视SMTP、P0P3、 IMAP4的各协议中的通信数据。开始套接字通信的监视(2001),判别是否是所述协议中的收发数据000 。在步骤2002为否的情况下,返回套接字通信的监视,在步骤2002为是的情况下,实施步骤2003以后的处理。在步骤2003中,TCP通信监视模块360实施邮件数据的解析。此时,根据邮件数据的标题区域,发送者和接收者能够通过MIME (Multipurpose Internet Mail Extension) 部分的解析对添加文件的有无以及文件名称等信息进行解析。接着,TCP通信监视模块360识别是否在邮件中存在添加文件(2004),在添加了文件的情况下,进而,判别协议种类是邮件接收用的P0P3或IMAP4还是邮件发送用的 SMTP (2005) 0在是邮件接收的情况下,取得发送者名、添加文件名(2006),对添加文件的数据进行解码后计算散列值(2007),登记在取得方DB 393中,返回套接字通信的监视。另一方面,在步骤2005中是邮件发送的情况下,TCP通信监视模块360取得发送者名、添加文件名O009),向对话监视模块350和文件监视模块360发送在步骤2009中取得的信息。根据以上的结构和处理,在本系统中,能够识别从与监视对象不同的设备输入到客户PC 121的信息(输入信息)被输出到作为检查对象的设备。作为对客户PC 121输入信息的方法,具有如下方法(1)利用Web浏览器的下载(2)被添加到接收邮件中的文件(3)使用文件资源管理器的从文件服务器到本地文件系统204的复制和移动,在这些任意的操作中,对所输入的信息赋予包含与输入方有关的信息的表示取得方的标识符1311。在针对被输入到客户PC 121的本地文件系统内的信息进行复制、名称变更、移动的各处理的情况下,还对处理后的信息(包含复制后的信息)赋予表示取得方的标识符 1311,如果是具有这种功能的文件系统(例如Microsoft公司的NTFS),则作为本系统所设定的信息输出操作,在进行了如下动作时,能够发出警告(1)利用Web浏览器的文件上传(2)带添加文件的邮件的发送(3)利用应用的打印(4)针对可移动媒体的复制和移动。可以根据表示取得方的标识符1311的内容来决定使用本系统发出警告的条件。 例如,如果是通过利用Web浏览器的下载而输入的信息,则可以将组织内的所有Web服务器作为对象,如果是能够识别存储有重要信息的Web服务器的信息,则也可以设定在安全策略392中,以使得仅将在表示取得方的标识符1311中包含特定的Web服务器的URL的情况作为对象。并且,也可以根据进行输出操作的时间段、信息的种类、大小来改变发出警告的条件。根据本实施方式,能够将在将由组织内的其他计算机生成的机密信息输入到用户自己使用的客户PC 121后输出到组织外的操作检测为非法操作,能够将用户进行的与信息泄露有关的风险较高的操作检测为非法操作。由此,为了对与信息泄露有关的风险较高的用户操作进行检测,不进行在进行了特定的信息输出操作的情况下发出警告的初始设定以及定义非法操作样板的初始设定,就能够实现针对信息泄露的风险较高的非法操作发出警告的功能。并且,检测与信息泄露事故有关的风险较高的非法操作,将伴随非法操作的信息作为应该在警告中进行处理的信息进行管理,由此,能够抑制信息泄露。标号说明111 管理服务器;114 邮件服务器;115 文件服务器;116 组织内Web服务器; 121 客户PC ;122 代理程序;123 网络打印机;204 本地文件系统;310 进程监视模块; 320 打印机监视模块;330 浏览器监视模块;340 对话操作监视模块;350 文件操作监视模块;360 =TCP通信监视模块;393 取得方DB ;1311 表示取得方的标识符。
权利要求
1.一种非法操作检测系统,该非法操作检测系统具有监视装置,将搭载有应用程序的微处理器作为监视对象,监视针对与所述监视对象连接的输出装置的画面上的信息的操作;以及管理终端,将所述监视装置作为管理对象,管理所述监视装置的监视结果, 所述非法操作检测系统检测针对所述输出装置的画面上的信息的操作中的非法操作, 其特征在于,所述监视装置响应用于对所述监视对象输入信息的操作,识别被输入到所述监视对象的输入信息的取得方,并且对所述输入信息赋予表示该输入信息的取得方的标识符,所述监视装置响应用于从所述监视对象输出信息的操作,识别从所述监视对象输出的输出信息的输出目的地,并且检索表示所述输出信息的取得方的标识符,判定识别到的所述输出信息的输出目的地和检索到的所述输出信息的取得方的组合是否适合非法操作的条件,根据该判定结果生成警告。
2.如权利要求1所述的非法操作检测系统,其特征在于,所述监视装置具有对话操作监视模块,该对话操作监视模块监视针对在与所述监视对象连接的输出装置的画面上显示的对话的操作,所述对话操作监视模块在利用针对所述对话的操作来选择文件并对所述监视对象输入与所述文件有关的信息作为所述输入信息时,识别所述文件的取得方,并且对所述文件赋予表示该文件的取得方的标识符,所述对话操作监视模块在利用针对所述对话的操作从所述监视对象输出与所述文件有关的信息作为所述输出信息时,识别所述文件的输出目的地,并且识别被赋予给所述文件的标识符。
3.如权利要求2所述的非法操作检测系统,其特征在于,所述监视装置具有浏览器监视模块,该浏览器监视模块监视针对在所述输出装置的画面上显示的Web浏览器的操作,所述浏览器监视模块在利用针对所述Web浏览器的操作来选择文件并对所述监视对象输入与所述文件有关的信息作为所述输入信息时,识别所述文件的取得方,并且对所述文件赋予表示该文件的取得方的标识符并保存,所述对话操作监视模块在利用针对所述对话的操作从所述监视对象输出与所述文件有关的信息作为所述输出信息时,识别所述文件的输出目的地,并且从所述浏览器监视模块取得保存的所述标识符,识别被赋予给所述文件的标识符。
4.如权利要求3所述的非法操作检测系统,其特征在于,所述监视装置具有取得方数据库,该取得方数据库存储与取得方有关的信息, 所述浏览器监视模块在利用针对所述Web浏览器的操作来选择文件并对所述监视对象输入与所述文件有关的信息作为所述输入信息时,识别所述文件的取得方,并且对所述文件赋予表示该文件的取得方的标识符,在所述取得方数据库中登记表示所述文件的取得方的标识符,所述对话操作监视模块在利用针对所述对话的操作从所述监视对象输出与所述文件有关的信息作为所述输出信息时,识别所述文件的输出目的地,并且从所述浏览器监视模块取得在所述取得方数据库中登记的标识符,识别被赋予给所述文件的标识符。
5.如权利要求4所述的非法操作检测系统,其特征在于,所述监视装置具有通信监视模块,该通信监视模块监视在所述检查对象中的配置在所述监视装置的监视区域以外的区域的检查对象与所述监视对象之间、经由所述监视区域以外的区域的网络执行的信息的收发,所述通信监视模块在利用针对所述对话的操作来选择文件并对所述监视对象输入与所述文件有关的信息作为所述输入信息时,根据从所述检查对象接收到的信息识别所述文件的取得方,并且对所述文件赋予表示该文件的取得方的标识符。
6.如权利要求5所述的非法操作检测系统,其特征在于,所述监视装置具有文件操作监视模块,该文件操作监视模块针对所述输出装置的画面上的信息监视来自与所述监视对象连接的输入装置的操作,所述文件操作监视模块在利用来自所述输入装置的操作来选择文件并对所述监视对象输入与所述文件有关的信息作为所述输入信息时,识别所述文件的取得方,并且对所述文件赋予表示该文件的取得方的标识符,所述文件操作监视模块在利用来自所述输入装置的操作从所述监视对象输出与所述文件有关的信息作为所述输出信息时,识别所述文件的输出目的地,并且识别被赋予给所述文件的标识符。
7.如权利要求6所述的非法操作检测系统,其特征在于,所述文件操作监视模块在判定为识别到的所述输出信息的输出目的地是与所述管理终端的管理对象不同的检查对象、检索到的所述输出信息的取得方是所述管理终端的管理对象时,从所述监视对象输出的输出信息生成表示适合所述非法操作的条件的警告,向所述管理终端发送生成的所述警告。
8.如权利要求7所述的非法操作检测系统,其特征在于,所述检查对象是与所述监视对象连接的存储介质中的所述管理终端的管理对象以外的存储介质、或者与所述管理终端的管理区域以外的网络连接的设备、即所述管理终端的管理对象以外的外部设备。
9.一种非法操作检测方法,该非法操作检测方法将搭载有应用程序的微处理器作为监视对象,检测针对与所述监视对象连接的输出装置的画面的操作中的非法操作,其特征在于,响应用于对所述监视对象输入信息的操作,识别被输入到所述监视对象的输入信息的取得方,并且对所述输入信息赋予表示该输入信息的取得方的标识符,响应用于从所述监视对象输出信息的操作,识别从所述监视对象输出的输出信息的输出目的地,检索表示所述输出信息的取得方的标识符,判定识别到的所述输出信息的输出目的地和检索到的所述输出信息的取得方的组合是否适合非法操作的条件,根据所述判定结果生成警告。
10.如权利要求9所述的非法操作检测方法,其特征在于,在判定为识别到的所述输出信息的输出目的地是与所述管理终端的管理对象不同的检查对象、检索到的所述输出信息的取得方是所述管理终端的管理对象时,从所述监视对象输出的输出信息生成表示适合所述非法操作的条件的警告,向管理终端发送生成的所述警告。
11. 一种非法操作检测程序,该非法操作检测程序将搭载有应用程序的微处理器作为监视对象,检测针对与所述监视对象连接的输出装置的画面的操作中的非法操作,其特征在于,作为用于使计算机执行的步骤,所述非法操作检测程序包括以下步骤 响应用于对所述监视对象输入信息的操作,识别被输入到所述监视对象的输入信息的取得方的步骤;对在所述步骤中识别到的所述输入信息赋予表示该输入信息的取得方的标识符的步骤;响应用于从所述监视对象输出信息的操作,识别从所述监视对象输出的输出信息的输出目的地的步骤;检索表示从所述监视对象输出的输出信息的取得方的标识符的步骤; 判定在所述步骤中识别到的输出信息的输出目的地和在所述步骤中检索到的输出信息的取得方的组合是否适合非法操作的条件的步骤;以及根据所述步骤中的判定结果生成警告的步骤。
全文摘要
识别操作内容并针对信息泄露的风险较高的操作生成警告。代理监视针对在客户PC的画面上显示的对话的操作等,在利用针对所显示的对话的操作选择了文件时,对该文件赋予表示文件的取得方的标识符,在将文件作为添加文件进行发送时,识别文件的输出目的地,并且识别添加文件的输入输出方,在添加文件的输出目的地是组织外Web服务器、添加文件的输入输出方是邮件服务器时,视为执行了非法操作,生成警告,对管理服务器发送所生成的警告。
文档编号G06F21/24GK102428476SQ20108002149
公开日2012年4月25日 申请日期2010年4月2日 优先权日2010年3月10日
发明者中越洋, 礒川弘实, 萱岛信, 角尾晋一, 铃木则夫 申请人:株式会社日立制作所