專利名稱:非法操作判定系統(tǒng)��、非法操作判定方法及非法操作判定程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于判定計(jì)算機(jī)所接受的操作是否為非法操作的非法操作判定系統(tǒng)�����、非法操作判定方法及非法操作判定程序�����。
背景技術(shù):
為了防止因非法獲取存儲(chǔ)于計(jì)算機(jī)上的信息或者從計(jì)算機(jī)非法侵入網(wǎng)絡(luò)等由計(jì)算機(jī)的非法操作所造成的侵害,產(chǎn)生了現(xiàn)有的各種技術(shù)����。例如,根據(jù)身份����、密碼等認(rèn)證操作權(quán)限的方法被廣泛應(yīng)用,但是根據(jù)該方法無法防止擁有身份��、密碼的有權(quán)限者的非法操作以及非法取得身份�、密碼的第三者所進(jìn)行的操作等��。
為了解決上述問題����,一般將具有較高非法操作可能性的操作模式作為規(guī)則登錄,根據(jù)判定非法操作可能性的規(guī)則庫(kù)���,將計(jì)算機(jī)接受的操作對(duì)照規(guī)則進(jìn)行判定�。例如�����,對(duì)于被發(fā)送往網(wǎng)絡(luò)的數(shù)據(jù),參照預(yù)先設(shè)定好的有關(guān)訪問權(quán)限��、源地址���、傳送文件類型等規(guī)則�,檢測(cè)出具有非法可能并切斷通訊的技術(shù)已被公開(參照專利文獻(xiàn)1)���。但是��,根據(jù)規(guī)則庫(kù)的判定存在以下問題即使是具有非法意圖的操作但如果不在規(guī)則范圍內(nèi)的話則無法被判定為非法�����,而且��,根據(jù)與以往完全不同的方法執(zhí)行不符合已登錄規(guī)則的非法操作時(shí)�����,計(jì)算機(jī)將無法感知該非法操作�。
現(xiàn)有技術(shù)中�,已有一些方法注意到異于日常操作且在一定時(shí)間發(fā)生異常的一般性非法操作,根據(jù)計(jì)算機(jī)的操作歷史創(chuàng)建設(shè)定了用戶行為模式的協(xié)議子集,將計(jì)算機(jī)所接受的操作對(duì)照協(xié)議子集以判定非法操作的可能性����。例如已公開的下列技術(shù)根據(jù)用戶的網(wǎng)絡(luò)使用情況創(chuàng)建協(xié)議子集并檢測(cè)網(wǎng)絡(luò)的非法入侵的技術(shù)(參照專利文獻(xiàn)2),或者根據(jù)計(jì)算機(jī)的操作歷史登錄日常的操作內(nèi)容�����,將與登錄內(nèi)容不一致的操作判定為非法操作的技術(shù)(參照專利文獻(xiàn)3)�����。
專利文獻(xiàn)1日本特開2002-232451號(hào)公報(bào)專利文獻(xiàn)2日本特開2002-135248號(hào)公報(bào)專利文獻(xiàn)3日本特開2002-258972號(hào)公報(bào)發(fā)明內(nèi)容發(fā)明所要解決的問題上述專利文獻(xiàn)2及專利文獻(xiàn)3所記載的發(fā)明中的任意一項(xiàng)都是以計(jì)算機(jī)的用戶為單位設(shè)定計(jì)算機(jī)操作模式的���。例如,由于在企業(yè)等用于業(yè)務(wù)的計(jì)算機(jī)通常都是在1臺(tái)計(jì)算機(jī)上設(shè)置多個(gè)帳戶由多個(gè)用戶共同使用����,因此較佳的是以用戶為單位設(shè)定作為判定非法標(biāo)準(zhǔn)的協(xié)議子集。但是�,以用戶為單位設(shè)定協(xié)議子集的方法存在以下問題。
首先�,在通過網(wǎng)絡(luò)連接于多個(gè)計(jì)算機(jī)上的管理服務(wù)器上進(jìn)行非法操作的判定時(shí),有的用戶即使在與通常使用的計(jì)算機(jī)不同的其他計(jì)算機(jī)上進(jìn)行操作����,但只要是在自己的協(xié)議子集的范圍內(nèi)進(jìn)行操作����,也會(huì)被判定為正常操作�����。當(dāng)該用戶為了進(jìn)行某些非法操作��,使用雖然在同一網(wǎng)絡(luò)但通常不使用的計(jì)算機(jī)時(shí)����,例如,在總公司具有使用有關(guān)帳目數(shù)據(jù)權(quán)限的職員在通常不使用的倉(cāng)庫(kù)的計(jì)算機(jī)上進(jìn)行有關(guān)帳目數(shù)據(jù)的操作時(shí)�,無論是否具有異常操作的非法可能性,僅根據(jù)以用戶為單位的協(xié)議子集無法判定相關(guān)操作為非法操作���。
此外��,以用戶為單位創(chuàng)建協(xié)議子集時(shí)�,在特定的計(jì)算機(jī)上設(shè)置新用戶帳戶時(shí)���,為了創(chuàng)建可信度高的新用戶的協(xié)議子集����,不得不等到該用戶的操作歷史達(dá)到一定時(shí)間的積累,但這就產(chǎn)生了在此積累期間無法進(jìn)行有效判定的問題�。
為了解決這些問題,最佳的是不只限于以用戶為單位設(shè)定用于進(jìn)行非法操作判定的協(xié)議子集�����,也以計(jì)算機(jī)為單位進(jìn)行設(shè)定并根據(jù)雙方的信息綜合判定�。為了進(jìn)行相關(guān)判定,計(jì)算機(jī)在接受各種操作的過程中��,必須有效地創(chuàng)建以計(jì)算機(jī)為單位的協(xié)議子集和以用戶為單位的協(xié)議子集���。
針對(duì)上述問題����,本發(fā)明提供一種用于將計(jì)算機(jī)所接受的操作對(duì)照以計(jì)算機(jī)為單位的協(xié)議子集和以用戶為單位的協(xié)議子集�,判定是否為非法操作的非法操作判定系統(tǒng)��、非法操作判定方法及非法操作判定程序��。
用于解決問題的方法為了解決這些問題�����,本發(fā)明提供一種用于判定計(jì)算機(jī)所接受的操作是否為非法操作的非法操作判定系統(tǒng),其特征為包括以下裝置操作接受裝置��,接受用于執(zhí)行所述操作的指令數(shù)據(jù)���;第一協(xié)議子集創(chuàng)建裝置���,根據(jù)所述指令數(shù)據(jù)創(chuàng)建有關(guān)所述計(jì)算機(jī)接受指令數(shù)據(jù)的操作的第一協(xié)議子集;第一協(xié)議子集存儲(chǔ)裝置����,存儲(chǔ)根據(jù)所述第一協(xié)議子集創(chuàng)建裝置創(chuàng)建而成的第一協(xié)議子集;第二協(xié)議子集創(chuàng)建裝置���,根據(jù)所述指令數(shù)據(jù)確定實(shí)施執(zhí)行了所述操作的用戶����,創(chuàng)建有關(guān)所述用戶實(shí)施執(zhí)行的操作的第二協(xié)議子集��;第二協(xié)議子集存儲(chǔ)裝置���,以用戶為單位存儲(chǔ)根據(jù)所述第二協(xié)議子集創(chuàng)建裝置創(chuàng)建的第二協(xié)議子集����;分值算出裝置,將所述指令數(shù)據(jù)與存儲(chǔ)于所述第一協(xié)議子集存儲(chǔ)裝置或者所述第二協(xié)議子集存儲(chǔ)裝置中的至少一個(gè)協(xié)議子集相對(duì)照����,計(jì)算出用于判定所述操作是否為非法操作的數(shù)值。
在本發(fā)明中�����,根據(jù)計(jì)算機(jī)所接受的操作分別以計(jì)算機(jī)單位�����、用戶單位為標(biāo)準(zhǔn)創(chuàng)建并存儲(chǔ)協(xié)議子集����,將新接受的操作與分別對(duì)應(yīng)的協(xié)議子集相比較進(jìn)行非法操作的判定,據(jù)此���,不只限于根據(jù)以用戶為標(biāo)準(zhǔn)的異常操作進(jìn)行判定��,也可以對(duì)針對(duì)計(jì)算機(jī)進(jìn)行的異常操作進(jìn)行判定。因此�����,也可以應(yīng)對(duì)有權(quán)限的用戶更換計(jì)算機(jī)進(jìn)行的非法操作或尚未創(chuàng)建用戶協(xié)議子集的新用戶的非法操作。
在協(xié)議子集的創(chuàng)建過程中��,也可以根據(jù)接受操作時(shí)已登錄用戶的用戶身份�、包含于已接受操作的指令數(shù)據(jù)中的用戶身份等對(duì)特定用戶的操作進(jìn)行識(shí)別,根據(jù)特定用戶在已登錄計(jì)算機(jī)的狀態(tài)下的操作創(chuàng)建以用戶為單位的協(xié)議子集�����。以計(jì)算機(jī)為單位的協(xié)議子集的創(chuàng)建可以只以特定用戶未登錄但計(jì)算機(jī)已處于被操作狀態(tài)時(shí)的操作為對(duì)象�,也可以以包括特定用戶處于已登錄狀態(tài)的所有操作為對(duì)象。
此外���,本發(fā)明還可有以下特征具有存儲(chǔ)有關(guān)所述計(jì)算機(jī)的運(yùn)行記錄數(shù)據(jù)的第一運(yùn)行記錄數(shù)據(jù)存儲(chǔ)裝置�、以及存儲(chǔ)有關(guān)所述計(jì)算機(jī)的以用戶為單位的運(yùn)行記錄數(shù)據(jù)的第二運(yùn)行記錄數(shù)據(jù)存儲(chǔ)裝置����。所述第一協(xié)議子集創(chuàng)建裝置是參照所述第一運(yùn)行記錄數(shù)據(jù)存儲(chǔ)裝置創(chuàng)建所述第一協(xié)議子集的;所述第二協(xié)議子集創(chuàng)建裝置是參照所述第二運(yùn)行記錄數(shù)據(jù)存儲(chǔ)裝置創(chuàng)建所述第二協(xié)議子集的�。
以計(jì)算機(jī)為單位的協(xié)議子集、以用戶為單位的協(xié)議子集分別用來定義計(jì)算機(jī)��、用戶的操作傾向��。因此,也可以在協(xié)議子集的創(chuàng)建過程中使用作為運(yùn)行記錄數(shù)據(jù)的以往的操作歷史�。
進(jìn)而,本發(fā)明可以具有以下特征具備執(zhí)行用于檢測(cè)特定用戶是否已登錄所述計(jì)算機(jī)的處理的登錄檢測(cè)裝置�����,根據(jù)所述登錄檢測(cè)裝置檢測(cè)出特定用戶已登錄后��,所述第二協(xié)議子集創(chuàng)建裝置創(chuàng)建有關(guān)所述用戶的協(xié)議子集���。本發(fā)明亦可有以下特征所述登錄檢測(cè)裝置執(zhí)行了檢測(cè)處理也無法檢測(cè)出特定用戶已登錄時(shí)�����,所述第一協(xié)議子集創(chuàng)建裝置創(chuàng)建有關(guān)所述計(jì)算機(jī)的協(xié)議子集���。在所述各個(gè)構(gòu)成中,所述登錄檢測(cè)裝置還可以是在所述計(jì)算機(jī)運(yùn)行期間每間隔一定的時(shí)間執(zhí)行檢測(cè)處理��。
根據(jù)以上構(gòu)成�����,即使未進(jìn)行用于創(chuàng)建協(xié)議子集的特定操作,只要一檢測(cè)出用戶已登錄則可以馬上將該用戶使用計(jì)算機(jī)的操作歷史記錄下來��。而且即使用戶未登錄也可以在計(jì)算機(jī)運(yùn)行期間將該用戶使用計(jì)算機(jī)的操作歷史記錄下來��。如此�����,被記錄的操作歷史可以根據(jù)運(yùn)行時(shí)間分析用戶或計(jì)算機(jī)的操作傾向并用于協(xié)議子集的創(chuàng)建����。
進(jìn)而�����,本發(fā)明還可具有以下特征具備有第三協(xié)議子集創(chuàng)建裝置和第三協(xié)議子集存儲(chǔ)裝置��,該第三協(xié)議子集創(chuàng)建裝置根據(jù)所述指令數(shù)據(jù)確定實(shí)施執(zhí)行了所述操作的用戶就是初次操作所述計(jì)算機(jī)的初始用戶后��,創(chuàng)建有關(guān)被確定為初始用戶的用戶所實(shí)施執(zhí)行的操作的第三協(xié)議子集�����;該第三協(xié)議子集存儲(chǔ)裝置存儲(chǔ)所述第三協(xié)議子集創(chuàng)建裝置創(chuàng)建的第三協(xié)議子集�;所述分值算出裝置也可以使用存儲(chǔ)于替換了所述第二協(xié)議子集存儲(chǔ)裝置的所述第三協(xié)議子集存儲(chǔ)裝置中的至少一個(gè)協(xié)議子集來判定所述操作是否為非法操作。此外���,本發(fā)明還可具有以下特征具備操作歷史存儲(chǔ)裝置和初始用戶判定裝置���,該操作歷史存儲(chǔ)裝置以用戶為單位存儲(chǔ)操作所述計(jì)算機(jī)的用戶登錄所述計(jì)算機(jī)的次數(shù)�、操作所述計(jì)算機(jī)的操作時(shí)間��、或者操作所述計(jì)算機(jī)的操作天數(shù)中至少一個(gè)操作歷史的相關(guān)累積值�,該初始用戶判定裝置參照所述操作歷史存儲(chǔ)裝置,當(dāng)上述累積值未達(dá)到預(yù)先設(shè)定的標(biāo)準(zhǔn)值時(shí)���,判定執(zhí)行了所述操作的用戶為初次操作所述計(jì)算機(jī)的初始用戶�����。所述第三協(xié)議子集創(chuàng)建裝置以在所述初始用戶判定裝置中被判定為初始用戶的用戶所實(shí)施執(zhí)行的操作為對(duì)象創(chuàng)建所述第三協(xié)議子集���;所述分值算出裝置使用所述初始用戶判定裝置判定初始用戶時(shí),使用存儲(chǔ)于所述第三協(xié)議子集存儲(chǔ)裝置中的至少一個(gè)協(xié)議子集來判定所述操作是否為非法操作�。
對(duì)于初次使用還未創(chuàng)建用戶協(xié)議子集的計(jì)算機(jī)的初始用戶,雖然可以根據(jù)所操作計(jì)算機(jī)的協(xié)議子集判定一般的非法操作����,但是根據(jù)所述構(gòu)成的話,可以通過比較初始用戶的一般操作傾向,進(jìn)行更為準(zhǔn)確的非法操作的判定����。作為初始用戶的用戶既可以被限定為完全是初次操作該計(jì)算機(jī)的用戶,而在第2次使用計(jì)算機(jī)后到適當(dāng)?shù)挠脩魠f(xié)議子集被創(chuàng)建前�����,也可以使用一般的初始用戶使用的協(xié)議子集�����。在使用初始用戶用的協(xié)議子集期間�����,不限于初次���,都可以自由設(shè)定規(guī)則,以指定一定的登錄次數(shù)����、指定一定的操作時(shí)間(例如,總計(jì)登錄時(shí)間99個(gè)小時(shí)等)�、指定一定的操作天數(shù)(例如,初次操作開始10天內(nèi)的期間等)等。
進(jìn)而���,本發(fā)明也可具有以下特征所述分值算出裝置是根據(jù)所述指令數(shù)據(jù)和記錄于所述協(xié)議子集的數(shù)據(jù)之間的偏差計(jì)算算出分值的��。
而且���,在本發(fā)明中,也可以包括當(dāng)所述分值超過標(biāo)準(zhǔn)值時(shí)��,執(zhí)行所述操作的停止處理的操作停止裝置�����。也可以包括當(dāng)所述分值超過標(biāo)準(zhǔn)值時(shí)�����,執(zhí)行在所述計(jì)算機(jī)的操作畫面上顯示警告的處理���、或者執(zhí)行在所述計(jì)算機(jī)上產(chǎn)生警告音的處理的警告處理裝置�����。也可以包括當(dāng)所述分值超過標(biāo)準(zhǔn)值時(shí)���,將警告非法操作可能性的通知發(fā)往所述計(jì)算機(jī)的管理員所操作的管理服務(wù)器上的警告通知發(fā)送裝置���。
如此,可以根據(jù)有關(guān)已接受操作的指令數(shù)據(jù)和作為一般操作傾向的協(xié)議子集之間的偏差計(jì)算算出分值��,進(jìn)而根據(jù)分值是否超過所定的標(biāo)準(zhǔn)值來進(jìn)行是否為非法操作的判定�。在判定出非法操作時(shí),既可以中止操作�,也可以在計(jì)算機(jī)上顯示警告畫面、發(fā)出警告音�����,也可以通過網(wǎng)絡(luò)將發(fā)生非法操作的情況通知管理員�����。
本發(fā)明也可以是使用了到目前為止已說明的非法操作判定系統(tǒng)的各個(gè)構(gòu)成的非法操作判定方法�。此外�,用于非法操作判定系統(tǒng)的各個(gè)構(gòu)成也可以是非法操作判定程序。而且�,所述非法操作判定方法及非法操作判定程序根據(jù)將協(xié)議子集存儲(chǔ)于計(jì)算機(jī)內(nèi)進(jìn)行非法操作判定的情況和將協(xié)議子集存儲(chǔ)于連接于網(wǎng)絡(luò)的其他計(jì)算機(jī)內(nèi)進(jìn)行判定的情況而存在程序次序上的不同。
換言之��,本發(fā)明所涉及的第一非法操作判定方法是用于判定計(jì)算機(jī)所接受的操作是否為非法操作的非法操作判定方法。其特征為包括以下步驟所述計(jì)算機(jī)接受用于執(zhí)行所述操作的指令數(shù)據(jù)�����;所述計(jì)算機(jī)創(chuàng)建有關(guān)所述計(jì)算機(jī)所接受指令數(shù)據(jù)的操作的第一協(xié)議子集�,并將之存儲(chǔ)于第一協(xié)議子集存儲(chǔ)部;所述計(jì)算機(jī)確定實(shí)施執(zhí)行了所述指令數(shù)據(jù)的所述操作的用戶�����,創(chuàng)建有關(guān)所述用戶實(shí)施執(zhí)行的操作的第二協(xié)議子集�,并將之存儲(chǔ)于第二協(xié)議子集存儲(chǔ)部;所述計(jì)算機(jī)將所述指令數(shù)據(jù)與存儲(chǔ)于所述第一協(xié)議子集存儲(chǔ)部或所述第二協(xié)議子集存儲(chǔ)部的協(xié)議子集中的至少一個(gè)協(xié)議子集進(jìn)行對(duì)照并計(jì)算出用于判定所述操作是否為非法操作的分值�。
本發(fā)明所涉及的第二非法操作判定方法是用于判定計(jì)算機(jī)所接受的操作是否為非法操作的非法操作判定方法。其特征為包括以下步驟所述計(jì)算機(jī)接受用于執(zhí)行所述操作的指令數(shù)據(jù)�;所述計(jì)算機(jī)創(chuàng)建有關(guān)所述計(jì)算機(jī)所接受指令數(shù)據(jù)的操作的第一協(xié)議子集,并將之發(fā)送往第一協(xié)議子集存儲(chǔ)裝置����;所述計(jì)算機(jī)確定實(shí)施執(zhí)行了所述指令數(shù)據(jù)的所述操作的用戶,創(chuàng)建有關(guān)所述用戶實(shí)施執(zhí)行的操作的第二協(xié)議子集�,并將之發(fā)送往第二協(xié)議子集存儲(chǔ)裝置;所述計(jì)算機(jī)從所述第一協(xié)議子集存儲(chǔ)裝置或者所述第二協(xié)議子集存儲(chǔ)裝置中獲取至少一個(gè)協(xié)議子集���,將所述指令數(shù)據(jù)與所述協(xié)議子集進(jìn)行對(duì)照��,并計(jì)算出用于判定所述操作是否為非法操作的分值����。
此外,本發(fā)明所涉及的第一非法操作判定程序是一種用于判定計(jì)算機(jī)所接受的操作是否為非法操作的非法操作判定程序��。其特征是執(zhí)行了以下步驟所述計(jì)算機(jī)接受用于執(zhí)行所述操作的指令數(shù)據(jù)���;所述計(jì)算機(jī)創(chuàng)建有關(guān)所接受指令數(shù)據(jù)的操作的第一協(xié)議子集���,并將之存儲(chǔ)于第一協(xié)議子集存儲(chǔ)部;所述計(jì)算機(jī)確定實(shí)施執(zhí)行了所述指令數(shù)據(jù)的所述操作的用戶���,創(chuàng)建有關(guān)所述用戶實(shí)施執(zhí)行的操作的第二協(xié)議子集�����,并將之存儲(chǔ)于第二協(xié)議子集存儲(chǔ)部;將所述指令數(shù)據(jù)與存儲(chǔ)于所述第一協(xié)議子集存儲(chǔ)部或所述第二協(xié)議子集存儲(chǔ)部的協(xié)議子集中的至少一個(gè)協(xié)議子集進(jìn)行對(duì)照并計(jì)算出用于判定所述操作是否為非法操作的分值�����。
本發(fā)明所涉及的第二非法操作判定程序是一種用于判定計(jì)算機(jī)所接受的操作是否為非法操作的非法操作判定程序�����。其特征是執(zhí)行了以下步驟所述計(jì)算機(jī)接受用于執(zhí)行所述操作的指令數(shù)據(jù);所述計(jì)算機(jī)創(chuàng)建有關(guān)所述計(jì)算機(jī)所接受指令數(shù)據(jù)的操作的第一協(xié)議子集�����,并將之發(fā)送往第一協(xié)議子集存儲(chǔ)裝置�����;所述計(jì)算機(jī)確定實(shí)施執(zhí)行了所述指令數(shù)據(jù)的所述操作的用戶��,創(chuàng)建有關(guān)所述用戶實(shí)施執(zhí)行的操作的第二協(xié)議子集���,并將之發(fā)送往第二協(xié)議子集存儲(chǔ)裝置����;從所述第一協(xié)議子集存儲(chǔ)裝置或所述第二協(xié)議子集存儲(chǔ)裝置中獲取至少一個(gè)協(xié)議子集��,將所述指令數(shù)據(jù)與所述協(xié)議子集進(jìn)行對(duì)照��,并計(jì)算出用于判定所述操作是否為非法操作的分值��。
本發(fā)明的優(yōu)點(diǎn)和積極效果針對(duì)無法用規(guī)則庫(kù)進(jìn)行判定的計(jì)算機(jī)所進(jìn)行的異常操作���,可以根據(jù)本發(fā)明判定其是否為非法操作���。同時(shí)�����,不只限于根據(jù)以用戶為基準(zhǔn)的異常操作的判定��,也可以對(duì)針對(duì)計(jì)算機(jī)所進(jìn)行的異常操作進(jìn)行判定���。因此,可以應(yīng)對(duì)有權(quán)限的用戶更換計(jì)算機(jī)所進(jìn)行的非法操作���,或尚未創(chuàng)建用戶協(xié)議子集的新用戶的非法操作����,可以顯著提高應(yīng)對(duì)計(jì)算機(jī)非法操作的安全性���。
具體實(shí)施例方式
關(guān)于本發(fā)明的最佳實(shí)施方式,以下將結(jié)合附圖進(jìn)行詳細(xì)說明���。而且��,以下的說明雖然以判定連接于網(wǎng)絡(luò)的計(jì)算機(jī)的非法操作為例進(jìn)行說明��,但是這僅是本發(fā)明的實(shí)施方式的一個(gè)例子��,也可以是僅使用獨(dú)立的計(jì)算機(jī)�����,并不只限于本發(fā)明所涉及的實(shí)施方式中所提到的����。
圖1是表示本發(fā)明所涉及的非法操作判定系統(tǒng)的概要的說明圖。圖2�、圖3是分別表示本發(fā)明所涉及的非法操作判定系統(tǒng)的第1、第2實(shí)施方式的分解圖��。圖4表示本發(fā)明所涉及的非法操作判定系統(tǒng)的構(gòu)成的分解圖����。圖5、圖6是分別表示根據(jù)本發(fā)明所涉及的非法操作判定系統(tǒng)創(chuàng)建節(jié)點(diǎn)協(xié)議子集與用戶協(xié)議子集的第1�����、第2模式的說明圖。圖7是表示本發(fā)明所涉及的非法操作判定系統(tǒng)的流程的流程圖�。
下面結(jié)合圖1,就本發(fā)明所涉及的非法操作判定系統(tǒng)的概要進(jìn)行說明����。在圖1所示的例子中,本發(fā)明所涉及的非法操作判定系統(tǒng)是存在于連接于網(wǎng)絡(luò)的客戶端上����。客戶端被多個(gè)用戶使用��,并設(shè)有與各個(gè)用戶相對(duì)應(yīng)的帳戶��。
某個(gè)用戶在客戶端上執(zhí)行了某些操作����,則該客戶端分別認(rèn)知所接受的操作的傾向以及該用戶所執(zhí)行的操作傾向并分別創(chuàng)建節(jié)點(diǎn)協(xié)議子集和用戶協(xié)議子集。依此創(chuàng)建的節(jié)點(diǎn)協(xié)議子集和用戶協(xié)議子集分別存儲(chǔ)于節(jié)點(diǎn)協(xié)議子集狀態(tài)表和根據(jù)不同的用戶設(shè)置的用戶協(xié)議子集狀態(tài)表�。
創(chuàng)建了有關(guān)該用戶已執(zhí)行的操作的協(xié)議子集后,接著對(duì)該操作是否為異常操作進(jìn)行判定��。參照存儲(chǔ)于節(jié)點(diǎn)協(xié)議子集狀態(tài)表的節(jié)點(diǎn)協(xié)議子集和存儲(chǔ)于用戶協(xié)議子集狀態(tài)表的用戶協(xié)議子集����,根據(jù)和通常的操作模式之間的偏差計(jì)算進(jìn)行判定����。參照的狀態(tài)表根據(jù)操作的內(nèi)容既可以包括節(jié)點(diǎn)協(xié)議子集與用戶協(xié)議子集兩種���,也可以只是其中的任意一種。
偏差計(jì)算的結(jié)果是計(jì)算出表示非法操作可能性的分值���。由于在分值中設(shè)定了一定的標(biāo)準(zhǔn)值���,因此對(duì)于超過標(biāo)準(zhǔn)值且非法操作可能性較高的操作,可以設(shè)定執(zhí)行操作的中止處理���、顯示器上的警告顯示��、發(fā)送給管理員的通知等預(yù)先設(shè)定的處理���。
本發(fā)明所涉及的非法操作判定系統(tǒng)既可在獨(dú)立的計(jì)算機(jī)上使用,也可以在計(jì)算機(jī)連接于網(wǎng)絡(luò)時(shí)使用����。對(duì)于后者,既可以是客戶端單獨(dú)進(jìn)行非法操作的判定��,也可以是客戶端和用于非法監(jiān)視的服務(wù)器共同協(xié)作進(jìn)行非法操作的判定。圖2是表示本發(fā)明所涉及的客戶端單獨(dú)進(jìn)行非法操作判定的非法操作判定系統(tǒng)的第1實(shí)施方式���。圖3是表示本發(fā)明所涉及的客戶端和用于非法監(jiān)視的服務(wù)器共同協(xié)作進(jìn)行非法操作判定的非法操作判定系統(tǒng)的第2實(shí)施方式����。
圖2所示的本發(fā)明所涉及的非法操作判定系統(tǒng)存在于用戶終端20的處理裝置210�����,對(duì)用戶終端20所接受的操作是否為非法操作進(jìn)行判定����。非法操作判定系統(tǒng)的功能是通過存儲(chǔ)于處理裝置210的硬盤驅(qū)動(dòng)器214的認(rèn)知程序10及非法判定程序11而實(shí)現(xiàn)的。而且�����,關(guān)于處理裝置中用于存儲(chǔ)程序的硬盤驅(qū)動(dòng)器214�,也可以是可存儲(chǔ)程序的閃存等其他的存儲(chǔ)媒介。
首先�����,將用戶終端20通上電源�����,啟動(dòng)存儲(chǔ)在只讀存儲(chǔ)器213中用于輸入控制和輸出控制等硬件控制的各種基本程序,同時(shí)從硬盤驅(qū)動(dòng)器214讀取并啟動(dòng)計(jì)算機(jī)的操作系統(tǒng)��。同時(shí)�,從硬盤驅(qū)動(dòng)器214讀取并啟動(dòng)認(rèn)知程序10及非法判定程序11��,一方面將隨機(jī)存取存儲(chǔ)器212作為工作區(qū)域使其發(fā)揮作用����,一方面由中央處理器211進(jìn)行運(yùn)算處理。
認(rèn)知程序10及非法判定程序11例如可以是掌握了寫出至電子集成驅(qū)動(dòng)器(IDE��,Integrated drive Electronics��,個(gè)人電腦���、硬盤驅(qū)動(dòng)器����、只讀光盤驅(qū)動(dòng)器等接口的標(biāo)準(zhǔn)規(guī)格)的內(nèi)容作為執(zhí)行了某些操作的事件����,從而據(jù)此進(jìn)行有關(guān)所述事件的認(rèn)知及非法判定的處理���。也可以是監(jiān)視寫出至外部連接總線22的數(shù)據(jù),實(shí)施執(zhí)行作為在輸出裝置23和外部存儲(chǔ)裝置24執(zhí)行的操作的認(rèn)知及非法判定的處理���。也可以是監(jiān)視處理裝置210中被執(zhí)行了發(fā)往網(wǎng)絡(luò)的發(fā)送處理的數(shù)據(jù)����,監(jiān)視這些數(shù)據(jù)并進(jìn)行有關(guān)與網(wǎng)絡(luò)之間收發(fā)的認(rèn)知及非法判定的處理�����。
關(guān)于認(rèn)知��,是將所接受的操作和存儲(chǔ)于運(yùn)行記錄數(shù)據(jù)存儲(chǔ)部14的運(yùn)行記錄進(jìn)行對(duì)比并分析操作的傾向�����,根據(jù)分析結(jié)果創(chuàng)建協(xié)議子集�����,將用戶終端20的不確定用戶的操作的全部協(xié)議子集存儲(chǔ)于節(jié)點(diǎn)協(xié)議子集存儲(chǔ)部12�,將確定了用戶的協(xié)議子集存儲(chǔ)于用戶協(xié)議子集存儲(chǔ)部13。關(guān)于非法判定��,有關(guān)用戶終端20的一般性判定是參照節(jié)點(diǎn)協(xié)議子集存儲(chǔ)部12,關(guān)于各個(gè)用戶的判定是參照用戶協(xié)議子集存儲(chǔ)部13��。
如此�,存儲(chǔ)用于判定非法操作的協(xié)議子集的節(jié)點(diǎn)協(xié)議子集存儲(chǔ)部12以及用戶協(xié)議子集存儲(chǔ)部13既可以設(shè)置于用戶終端20的內(nèi)部,也可以如圖3的第2實(shí)施方式所示���,設(shè)置于通過網(wǎng)絡(luò)連接于用戶終端20的非法監(jiān)視服務(wù)器30的硬盤驅(qū)動(dòng)器314內(nèi)���。本發(fā)明所涉及的非法操作判定系統(tǒng)雖然可以與使用協(xié)議子集進(jìn)行判定以外的一般規(guī)則庫(kù)所進(jìn)行的判定配合使用��,但是也可以如第2實(shí)施方式中所示�����,例如非法監(jiān)視服務(wù)器30上連接有多個(gè)用戶終端��,積存了很多的協(xié)議子集��,根據(jù)這些協(xié)議子集在網(wǎng)絡(luò)中創(chuàng)建通用的規(guī)則并將之存儲(chǔ)于通用規(guī)則存儲(chǔ)部16��。而且���,圖3中雖沒有表示���,但是也可以將認(rèn)知程序10及非法判定程序11的裝置設(shè)置于非法監(jiān)視服務(wù)器30內(nèi)�����。
結(jié)合圖4��,就本發(fā)明所涉及的非法操作判定系統(tǒng)中相關(guān)的各個(gè)裝置進(jìn)行說明���。首先,在用戶終端20上如果執(zhí)行了某些操作�,則數(shù)據(jù)認(rèn)知部100接受用于執(zhí)行該操作的數(shù)據(jù)。數(shù)據(jù)認(rèn)知部100參照運(yùn)行記錄數(shù)據(jù)存儲(chǔ)部14創(chuàng)建以異常操作判定為標(biāo)準(zhǔn)的協(xié)議子集�。
該操作是在電源的開、關(guān)等未登錄用戶帳戶狀態(tài)下的操作時(shí)���,在運(yùn)行記錄數(shù)據(jù)存儲(chǔ)部14參照有關(guān)不確定用戶的用戶終端20的一般運(yùn)行記錄����,數(shù)據(jù)認(rèn)知部100創(chuàng)建有關(guān)不確定用戶的用戶終端20的一般協(xié)議子集并將之存儲(chǔ)于節(jié)點(diǎn)協(xié)議子集存儲(chǔ)部12���。
另一方面����,該操作是在登錄了特定的用戶帳戶后的操作時(shí),在運(yùn)行記錄數(shù)據(jù)存儲(chǔ)部14確定該帳戶相對(duì)應(yīng)用戶的用戶身份等�,參照相應(yīng)用戶的運(yùn)行記錄,數(shù)據(jù)認(rèn)知部100創(chuàng)建確定了用戶的協(xié)議子集����,并將之存儲(chǔ)于用戶協(xié)議子集存儲(chǔ)部13的相應(yīng)用戶的相關(guān)狀態(tài)表中。同一用戶在處于維持登錄狀態(tài)下執(zhí)行了多個(gè)操作時(shí)����,將有關(guān)各個(gè)操作在登錄時(shí)已確定的用戶身份等作為關(guān)鍵字確定用戶、創(chuàng)建協(xié)議子集���。對(duì)于用戶的確定,例如可以將在登錄時(shí)已確定的用戶身份等在維持登錄狀態(tài)期間一直保存于隨機(jī)存儲(chǔ)存儲(chǔ)器212等的運(yùn)算處理范圍內(nèi)�����,在創(chuàng)建協(xié)議子集時(shí)讀取���。也可以是在已登錄狀態(tài)時(shí)在指示執(zhí)行操作的指令數(shù)據(jù)里附加確定用戶身份的主題等���,將該主題作為關(guān)鍵字確定用戶。而且�����,有關(guān)確定了用戶的操作,也可以作為同一計(jì)算機(jī)所接受的操作����,同時(shí)創(chuàng)建有關(guān)不確定用戶的用戶終端20的一般協(xié)議子集并將之存儲(chǔ)于節(jié)點(diǎn)協(xié)議子集存儲(chǔ)部12。
其次��,參照異常操作判定部110的相對(duì)應(yīng)的協(xié)議子集����,對(duì)用于執(zhí)行該操作的數(shù)據(jù)的非法操作可能性進(jìn)行判定。當(dāng)該操作是不可確定用戶的操作時(shí)�,參照存儲(chǔ)于節(jié)點(diǎn)協(xié)議子集存儲(chǔ)部12的協(xié)議子集,進(jìn)行是否存在異常操作的判定���;當(dāng)該操作是可確定用戶的操作時(shí)�,參照存儲(chǔ)于用戶協(xié)議子集存儲(chǔ)部13的相對(duì)應(yīng)用戶的協(xié)議子集��,進(jìn)行是否存在異常操作的判定����。
異常操作的判定是根據(jù)與所接受的操作相對(duì)應(yīng)的協(xié)議子集的偏差計(jì)算進(jìn)行的。偏差計(jì)算的標(biāo)準(zhǔn)例如可以使用接受操作的時(shí)間段或其標(biāo)準(zhǔn)值、操作頻率��、處理所需要的數(shù)據(jù)量等各種可以數(shù)值化的數(shù)據(jù)���。
如果在異常操作判定部110執(zhí)行了偏差計(jì)算����,則在分值算出部111將非法操作可能性以分值計(jì)算出來����。分值的設(shè)定既可以是根據(jù)與偏差計(jì)算算出的協(xié)議子集之間的偏差度來決定,也可以根據(jù)在算出的分值上設(shè)定一定的標(biāo)準(zhǔn)值�,當(dāng)超過標(biāo)準(zhǔn)值時(shí)判定為非法操作,并執(zhí)行操作的中止處理等�����。
而且�����,所述已說明的數(shù)據(jù)認(rèn)知部100��、異常操作判定部110��、分值算出部111的各個(gè)部分實(shí)際上并不是被分離設(shè)置��,而是包含于認(rèn)知程序10以及非法判定程序11中�����,并被依次讀取��。其中認(rèn)知程序10和非法判定程序11作為用來執(zhí)行各個(gè)處理的程序存儲(chǔ)于硬盤驅(qū)動(dòng)器214內(nèi)����。同時(shí)一方面將隨機(jī)存儲(chǔ)存儲(chǔ)器212作為工作區(qū)域發(fā)揮作用,一方面通過中央處理器211進(jìn)行運(yùn)算處理的��。
此外��,所述說明中是在接受操作和進(jìn)行認(rèn)知后進(jìn)行異常操作判定的��,但是處理的順序不只限于此�,也可以在進(jìn)行已接受操作的異常判定之后,進(jìn)行有關(guān)該操作的認(rèn)知并創(chuàng)建新的協(xié)議子集��。
其次�����,結(jié)合圖5、圖6就根據(jù)本發(fā)明所涉及的非法操作判定系統(tǒng)創(chuàng)建節(jié)點(diǎn)協(xié)議子集與用戶協(xié)議子集的順序的具體例子進(jìn)行說明����。圖5是針對(duì)用戶不確定時(shí)的操作創(chuàng)建節(jié)點(diǎn)協(xié)議子集,針對(duì)用戶已確定時(shí)的操作創(chuàng)建用戶協(xié)議子集的第1模式的說明圖��。圖6是表示針對(duì)所有的操作創(chuàng)建節(jié)點(diǎn)協(xié)議子集��,針對(duì)用戶已確定時(shí)的操作創(chuàng)建用戶協(xié)議子集的第2模式的說明圖���。
在如圖5所示的第1模式中��,在將計(jì)算機(jī)通上電源啟動(dòng)操作系統(tǒng)后����,本發(fā)明所涉及的非法操作判定系統(tǒng)就被啟動(dòng)��。在此�,掌握所謂計(jì)算機(jī)通上電源的操作事件,創(chuàng)建有關(guān)計(jì)算機(jī)啟動(dòng)時(shí)間等的協(xié)議子集�,但是由于此時(shí)用戶尚未登錄無法確定,因此創(chuàng)建作為與該計(jì)算機(jī)相關(guān)的一般協(xié)議子集的節(jié)點(diǎn)協(xié)議子集����。
接著,啟動(dòng)計(jì)算機(jī)的用戶1從自己的帳戶登錄后�,作為用戶1已登錄的操作事件創(chuàng)建與用戶1相關(guān)的協(xié)議子集。也可以掌握用戶1在登錄中進(jìn)行的應(yīng)用的啟動(dòng)��、操作或者訪問網(wǎng)絡(luò)����、打印等各種操作事件,根據(jù)這些事件也可以創(chuàng)建有關(guān)用戶1的協(xié)議子集��。用戶1退出后可以創(chuàng)建有關(guān)用戶1的退出操作的協(xié)議子集��。
用戶1退出后至其他用戶登錄前的這段期間���,進(jìn)行電源的開關(guān)以及其他操作時(shí)�,創(chuàng)建作為用戶不確定時(shí)的操作的協(xié)議子集����。其后用戶2登錄時(shí),與用戶1一樣��,創(chuàng)建有關(guān)用戶2的協(xié)議子集���。根據(jù)用戶身份等將用戶2的協(xié)議子集區(qū)別于用戶協(xié)議子集1并將之存儲(chǔ)于不同的狀態(tài)表中�����。
在計(jì)算機(jī)所接受操作的非法操作判定中�,與所述區(qū)分一樣,用戶不確定時(shí)使用節(jié)點(diǎn)協(xié)議子集��,用戶已確定時(shí)使用與各個(gè)用戶相對(duì)應(yīng)的用戶協(xié)議子集�����。使用在登錄時(shí)所接受的用戶身份等可以確定與各個(gè)用戶相對(duì)應(yīng)的協(xié)議子集����。
在如圖6所示的第2模式中,在創(chuàng)建用戶已確定時(shí)所接受的操作的各個(gè)用戶協(xié)議子集的同時(shí)�����,創(chuàng)建用戶不確定時(shí)的有關(guān)該計(jì)算機(jī)的節(jié)點(diǎn)協(xié)議子集��。即使是用戶已確定時(shí)的操作����,由于毫無疑問是該計(jì)算機(jī)所接受的操作,因此節(jié)點(diǎn)協(xié)議子集也可以以從電源開到電源關(guān)為止的所有的操作為對(duì)象�����。
此外�,雖然沒有執(zhí)行作為創(chuàng)建協(xié)議子集的對(duì)象的操作,但是也可以在創(chuàng)建協(xié)議子集時(shí)使用計(jì)算機(jī)通電狀態(tài)或特定用戶維持處于已登錄狀態(tài)的事件�����。因此�����,例如以1個(gè)小時(shí)1次的頻率啟動(dòng)進(jìn)行該處理的程序����、可以檢測(cè)出電源是否已開、特定用戶是否已登錄���,并根據(jù)這些結(jié)果創(chuàng)建協(xié)議子集��。
而且��,在到目前為止已說明的圖5及圖6所示的任意一種模式中�,雖然都以已登錄的是1個(gè)用戶為前提�����,但是在操作系統(tǒng)中進(jìn)行1臺(tái)計(jì)算機(jī)可以有多個(gè)登錄的設(shè)定等,在多個(gè)用戶的操作同時(shí)進(jìn)行的情況下�,用戶協(xié)議子集的創(chuàng)建、使用用戶協(xié)議子集進(jìn)行非法操作的判定也可設(shè)定為可以同時(shí)進(jìn)行以多個(gè)用戶協(xié)議子集為對(duì)象的處理�。節(jié)點(diǎn)協(xié)議子集也可以是以各個(gè)用戶的所有操作為對(duì)象,同時(shí)進(jìn)行協(xié)議子集的創(chuàng)建及根據(jù)協(xié)議子集所進(jìn)行的判定���。
結(jié)合圖7的流程圖就本發(fā)明所涉及的非法操作判定系統(tǒng)的流程進(jìn)行說明�����。而且����,以下說明的流程只是本發(fā)明所涉及的非法操作判定系統(tǒng)的處理流程的一個(gè)例子����,對(duì)于協(xié)議子集的創(chuàng)建及分值算出的順序、已確定用戶的操作是否創(chuàng)建有節(jié)點(diǎn)協(xié)議子集等���,本發(fā)明并不只限于以下流程所示的例子����。
首先,將計(jì)算機(jī)通上電源啟動(dòng)非法操作判定系統(tǒng)��,創(chuàng)建有關(guān)計(jì)算機(jī)啟動(dòng)的節(jié)點(diǎn)協(xié)議子集(S01)���。已創(chuàng)建的節(jié)點(diǎn)協(xié)議子集是存儲(chǔ)于節(jié)點(diǎn)協(xié)議子集狀態(tài)表中(S02)。
其次��,有關(guān)計(jì)算機(jī)的啟動(dòng)�,將涉及該電源開的操作和存儲(chǔ)于節(jié)點(diǎn)協(xié)議子集狀態(tài)表中的與計(jì)算機(jī)電源開相關(guān)的節(jié)點(diǎn)協(xié)議子集相比較進(jìn)行偏差計(jì)算(S03),算出分值(S04)����。將已算出的分值與預(yù)先設(shè)定的標(biāo)準(zhǔn)值相比較(S05),超過標(biāo)準(zhǔn)值時(shí)作為具有較高非法操作可能性的情況�,執(zhí)行操作的停止處理,具體而言是執(zhí)行停止計(jì)算機(jī)啟動(dòng)處理的操作(S06)�����。
另一方面��,當(dāng)分值未達(dá)到標(biāo)準(zhǔn)值時(shí)�,照舊繼續(xù)接受操作。接受有關(guān)確定用戶的登錄(S07)��,識(shí)別已登錄用戶的用戶身份(S08)。創(chuàng)建有關(guān)該用戶進(jìn)行登錄的用戶協(xié)議子集(S09)���,將已創(chuàng)建的用戶協(xié)議子集存儲(chǔ)于與該用戶的用戶身份相對(duì)應(yīng)的用戶協(xié)議子集狀態(tài)表中(S10)����。
接著��,有關(guān)該用戶的登錄�,是將該用戶登錄的相關(guān)操作和存儲(chǔ)于與該用戶相對(duì)應(yīng)的用戶協(xié)議子集狀態(tài)表中的與登錄相關(guān)的用戶協(xié)議子集進(jìn)行比較并進(jìn)行偏差計(jì)算(S11),算出分?jǐn)?shù)值(S12)�����。將已算出的分值和預(yù)先設(shè)定的標(biāo)準(zhǔn)值進(jìn)行比較(S13)�,當(dāng)超過標(biāo)準(zhǔn)值時(shí)作為具有較高非法操作可能性的情況,執(zhí)行操作的停止處理��,具體而言是執(zhí)行停止接受登錄處理的操作(S14)�����。
另一方面�����,當(dāng)分值未達(dá)到標(biāo)準(zhǔn)值時(shí),照舊繼續(xù)接受操作��。雖然已登錄用戶進(jìn)行了各種應(yīng)用的處理���,但非法操作判定系統(tǒng)是根據(jù)監(jiān)視將新應(yīng)用等的啟動(dòng)寫出至電子集成驅(qū)動(dòng)器的情況進(jìn)行檢測(cè)的(S15)�����。如果不存在寫出至電子集成驅(qū)動(dòng)器的情況,則繼續(xù)監(jiān)視����。如果檢測(cè)出存在寫出至電子集成驅(qū)動(dòng)器的情況時(shí),創(chuàng)建有關(guān)根據(jù)被寫出的數(shù)據(jù)所進(jìn)行的操作的用戶協(xié)議子集(S16)����,在與該用戶的用戶身份相對(duì)應(yīng)的用戶協(xié)議子集狀態(tài)表中,存儲(chǔ)已創(chuàng)建的用戶協(xié)議子集(S17)�。而且,雖然是根據(jù)監(jiān)視將新應(yīng)用等的啟動(dòng)寫出至電子集成驅(qū)動(dòng)器的情況進(jìn)行檢測(cè)���,但是也可以通過監(jiān)視作為應(yīng)用等的工作區(qū)域的存儲(chǔ)器區(qū)域����,檢測(cè)已進(jìn)行的新操作。
其次�,有關(guān)該用戶的登錄,是將該用戶的應(yīng)用的啟動(dòng)等相關(guān)操作和存儲(chǔ)于與該用戶相對(duì)應(yīng)的用戶協(xié)議子集狀態(tài)表中的應(yīng)用的啟動(dòng)等的相關(guān)用戶協(xié)議子集進(jìn)行比較并進(jìn)行偏差計(jì)算(S18)��,算出分值(S19)����。將已算出的分值和預(yù)先設(shè)定的標(biāo)準(zhǔn)值進(jìn)行比較(S20),當(dāng)超過標(biāo)準(zhǔn)值時(shí)作為具有較高非法操作可能性的情況���,執(zhí)行操作的停止處理�,具體而言是執(zhí)行應(yīng)用的中止處理等操作(S21)���。另一方面��,當(dāng)分值未達(dá)到標(biāo)準(zhǔn)值時(shí)�,繼續(xù)對(duì)連續(xù)寫出至電子集成驅(qū)動(dòng)器的監(jiān)視(S15)�����。
圖1是表示本發(fā)明所涉及的非法操作判定系統(tǒng)的概要的說明圖�����。
圖2是表示本發(fā)明所涉及的非法操作判定系統(tǒng)的第1實(shí)施方式的分解圖。
圖3是表示本發(fā)明所涉及的非法操作判定系統(tǒng)的第2實(shí)施方式的分解圖���。
圖4是表示本發(fā)明所涉及的非法操作判定系統(tǒng)的構(gòu)成的分解圖�����。
圖5是表示根據(jù)本發(fā)明所涉及的非法操作判定系統(tǒng)創(chuàng)建節(jié)點(diǎn)協(xié)議子集和用戶協(xié)議子集的第1模式的說明圖�����。
圖6是表示根據(jù)本發(fā)明所涉及的非法操作判定系統(tǒng)創(chuàng)建節(jié)點(diǎn)協(xié)議子集和用戶協(xié)議子集的第2模式的說明圖����。
圖7(a����、b)是表示本發(fā)明所涉及的非法操作判定系統(tǒng)的流程的流程圖����。
附圖符號(hào)的說明10 認(rèn)知程序
100 數(shù)據(jù)認(rèn)知部11 非法判定程序110 異常操作判定部111 分值算出部12 節(jié)點(diǎn)協(xié)議子集存儲(chǔ)部13 用戶協(xié)議子集存儲(chǔ)部14 運(yùn)算記錄數(shù)據(jù)存儲(chǔ)部15 運(yùn)算記錄數(shù)據(jù)存儲(chǔ)部16 通用規(guī)則存儲(chǔ)部20 用戶終端210 處理裝置211 中央處理器212 隨機(jī)存取存儲(chǔ)器213 只讀存儲(chǔ)器214 硬盤驅(qū)動(dòng)器22 外部連接總線23 輸出裝置24 外部存儲(chǔ)裝置30 非法監(jiān)視服務(wù)器311 中央處理器312 隨機(jī)存取存儲(chǔ)器313 只讀存儲(chǔ)器314 硬盤驅(qū)動(dòng)器
權(quán)利要求
1.一種非法操作判定系統(tǒng),用于判定計(jì)算機(jī)所接受的操作是否為非法操作�,其特征在于包括以下裝置操作接受裝置,接受用于在所述計(jì)算機(jī)上執(zhí)行操作的指令數(shù)據(jù);第一協(xié)議子集創(chuàng)建裝置����,根據(jù)所述指令數(shù)據(jù)創(chuàng)建有關(guān)所述計(jì)算機(jī)所接受指令數(shù)據(jù)的操作的第一協(xié)議子集;第一協(xié)議子集存儲(chǔ)裝置��,存儲(chǔ)根據(jù)所述第一協(xié)議子集創(chuàng)建裝置創(chuàng)建而成的第一協(xié)議子集����;第二協(xié)議子集創(chuàng)建裝置,根據(jù)所述指令數(shù)據(jù)確定實(shí)施執(zhí)行了所述操作的用戶���,創(chuàng)建有關(guān)所述用戶實(shí)施執(zhí)行的操作的第二協(xié)議子集����;第二協(xié)議子集存儲(chǔ)裝置�,以用戶為單位存儲(chǔ)根據(jù)所述第二協(xié)議子集創(chuàng)建裝置創(chuàng)建的第二協(xié)議子集;分值算出裝置���,將所述指令數(shù)據(jù)與存儲(chǔ)于所述第一協(xié)議子集存儲(chǔ)裝置或者所述第二協(xié)議子集存儲(chǔ)裝置中的至少一個(gè)協(xié)議子集相對(duì)照��,計(jì)算出用于判定所述操作是否為非法操作的數(shù)值���。
2.根據(jù)權(quán)利要求1所述的非法操作判定系統(tǒng)����,其特征在于還包括存儲(chǔ)有關(guān)所述計(jì)算機(jī)的運(yùn)行記錄數(shù)據(jù)的第一運(yùn)行記錄數(shù)據(jù)存儲(chǔ)裝置��;和存儲(chǔ)有關(guān)所述計(jì)算機(jī)的以用戶為單位的運(yùn)行記錄數(shù)據(jù)的第二運(yùn)行記錄數(shù)據(jù)存儲(chǔ)裝置�����;所述第一協(xié)議子集創(chuàng)建裝置是參照所述第一運(yùn)行記錄數(shù)據(jù)存儲(chǔ)裝置創(chuàng)建所述第一協(xié)議子集的��;所述第二協(xié)議子集創(chuàng)建裝置是參照所述第二運(yùn)行記錄數(shù)據(jù)存儲(chǔ)裝置創(chuàng)建所述第二協(xié)議子集的����。
3.根據(jù)權(quán)利要求1所述的非法操作判定系統(tǒng),其特征在于包括執(zhí)行用于檢測(cè)特定用戶是否已登錄所述計(jì)算機(jī)的處理的登錄檢測(cè)裝置�,當(dāng)根據(jù)所述登錄檢測(cè)裝置檢測(cè)出特定用戶已登錄時(shí),所述第二協(xié)議子集創(chuàng)建裝置創(chuàng)建有關(guān)所述用戶的協(xié)議子集�。
4.根據(jù)權(quán)利要求3所述的非法操作判定系統(tǒng),其特征在于所述登錄檢測(cè)裝置在所述計(jì)算機(jī)運(yùn)行期間每間隔一定的時(shí)間執(zhí)行檢測(cè)處理��。
5.根據(jù)權(quán)利要求3所述的非法操作判定系統(tǒng)���,其特征在于所述登錄檢測(cè)裝置執(zhí)行了檢測(cè)處理也無法檢測(cè)出特定用戶已登錄時(shí),所述第一協(xié)議子集創(chuàng)建裝置創(chuàng)建有關(guān)所述計(jì)算機(jī)的第一協(xié)議子集�����。
6.根據(jù)權(quán)利要求5所述的非法操作判定系統(tǒng),其特征在于所述登錄檢測(cè)裝置在所述計(jì)算機(jī)運(yùn)行期間每間隔一定的時(shí)間執(zhí)行檢測(cè)處理�����。
7.根據(jù)權(quán)利要求1所述的非法操作判定系統(tǒng)���,其特征在于具備有第三協(xié)議子集創(chuàng)建裝置和第三協(xié)議子集存儲(chǔ)裝置���,所述的第三協(xié)議子集創(chuàng)建裝置根據(jù)所述指令數(shù)據(jù)確定實(shí)施執(zhí)行了所述操作的用戶就是初次操作所述計(jì)算機(jī)的初始用戶后,創(chuàng)建有關(guān)被確定為初始用戶的用戶所實(shí)施執(zhí)行的操作的第三協(xié)議子集����;所述的第三協(xié)議子集存儲(chǔ)裝置存儲(chǔ)所述第三協(xié)議子集創(chuàng)建裝置創(chuàng)建的第三協(xié)議子集;所述分值算出裝置也可以使用存儲(chǔ)于替換了所述第二協(xié)議子集存儲(chǔ)裝置的所述第三協(xié)議子集存儲(chǔ)裝置中的至少一個(gè)協(xié)議子集來判定所述操作是否為非法操作�。
8.根據(jù)權(quán)利要求7所述的非法操作判定系統(tǒng),其特征在于具備操作歷史存儲(chǔ)裝置和初始用戶判定裝置����,所述的操作歷史存儲(chǔ)裝置以用戶為單位存儲(chǔ)操作所述計(jì)算機(jī)的用戶登錄所述計(jì)算機(jī)的次數(shù)、操作所述計(jì)算機(jī)的操作時(shí)間�、或者操作所述計(jì)算機(jī)的操作天數(shù)中至少一個(gè)操作歷史的相關(guān)累積值;所述的初始用戶判定裝置參照所述操作歷史存儲(chǔ)裝置��,當(dāng)所述累積值未達(dá)到預(yù)先設(shè)定的標(biāo)準(zhǔn)值時(shí),判定執(zhí)行了所述操作的用戶為初次操作所述計(jì)算機(jī)的初始用戶�����;所述的第三協(xié)議子集創(chuàng)建裝置以在所述初始用戶判定裝置中被判定為初始用戶的用戶所實(shí)施執(zhí)行的操作為對(duì)象創(chuàng)建所述第三協(xié)議子集���;所述分值算出裝置使用所述初始用戶判定裝置判定初始用戶時(shí)�����,使用存儲(chǔ)于所述第三協(xié)議子集存儲(chǔ)裝置中的至少一個(gè)協(xié)議子集來判定所述操作是否為非法操作��。
9.根據(jù)權(quán)利要求1至8中的任意一項(xiàng)所述的非法操作判定系統(tǒng)�,其特征在于所述分值算出裝置是根據(jù)所述指令數(shù)據(jù)和記錄于所述協(xié)議子集的數(shù)據(jù)之間的偏差計(jì)算算出分值的����。
10.根據(jù)權(quán)利要求1至8中的任意一項(xiàng)所述的非法操作判定系統(tǒng),其特征在于還包括當(dāng)所述分值超過標(biāo)準(zhǔn)值時(shí)�����,執(zhí)行所述操作的停止處理的操作停止裝置���。
11.根據(jù)權(quán)利要求1至8中的任意一項(xiàng)所述的非法操作判定系統(tǒng)�����,其特征在于還包括當(dāng)所述分值超過標(biāo)準(zhǔn)值時(shí)���,執(zhí)行在所述計(jì)算機(jī)的操作畫面上顯示警告、或者在所述計(jì)算機(jī)上產(chǎn)生警告音的處理的警告處理裝置�����。
12.根據(jù)權(quán)利要求1至8中的任意一項(xiàng)所述的非法操作判定系統(tǒng)�,其特征在于還包括當(dāng)所述分值超過標(biāo)準(zhǔn)值時(shí),將警告非法操作可能性的通知發(fā)送往所述計(jì)算機(jī)的管理員所操作的管理服務(wù)器上的警告通知發(fā)送裝置�����。
13.一種非法操作判定方法���,用于判定計(jì)算機(jī)所接受的操作是否為非法操作�����,其特征是包括以下步驟所述計(jì)算機(jī)接受用于執(zhí)行所述操作的指令數(shù)據(jù)�����;所述計(jì)算機(jī)創(chuàng)建有關(guān)所述計(jì)算機(jī)所接受指令數(shù)據(jù)的操作的第一協(xié)議子集���,并將之存儲(chǔ)于第一協(xié)議子集存儲(chǔ)部��;所述計(jì)算機(jī)確定實(shí)施執(zhí)行了所述指令數(shù)據(jù)的所述操作的用戶��,創(chuàng)建有關(guān)所述用戶實(shí)施執(zhí)行的操作的第二協(xié)議子集�,并將之存儲(chǔ)于第二協(xié)議子集存儲(chǔ)部��;所述計(jì)算機(jī)將所述指令數(shù)據(jù)與存儲(chǔ)于所述第一協(xié)議子集存儲(chǔ)部或所述第二協(xié)議子集存儲(chǔ)部中的至少一個(gè)協(xié)議子集進(jìn)行對(duì)照并計(jì)算出用于判定所述操作是否為非法操作的分值����。
14.一種非法操作判定方法,用于判定計(jì)算機(jī)所接受的操作是否為非法操作�,其特征是包括以下步驟所述計(jì)算機(jī)接受用于執(zhí)行所述操作的指令數(shù)據(jù);所述計(jì)算機(jī)創(chuàng)建有關(guān)所述計(jì)算機(jī)所接受指令數(shù)據(jù)的操作的第一協(xié)議子集����,并將之發(fā)送往第一協(xié)議子集存儲(chǔ)裝置;所述計(jì)算機(jī)確定實(shí)施執(zhí)行了所述指令數(shù)據(jù)的所述操作的用戶�����,創(chuàng)建有關(guān)所述用戶實(shí)施執(zhí)行的操作的第二協(xié)議子集,并將之發(fā)送往第二協(xié)議子集存儲(chǔ)裝置��;所述計(jì)算機(jī)從所述第一協(xié)議子集存儲(chǔ)裝置或者所述第二協(xié)議子集存儲(chǔ)裝置中獲取至少一個(gè)協(xié)議子集�,將所述指令數(shù)據(jù)與所述協(xié)議子集進(jìn)行對(duì)照����,并計(jì)算出用于判定所述操作是否為非法操作的分值。
15.一種非法操作判定程序�,用于判定計(jì)算機(jī)所接受的操作是否為非法操作,其特征是執(zhí)行了以下步驟所述計(jì)算機(jī)接受用于執(zhí)行所述操作的指令數(shù)據(jù)�����;所述計(jì)算機(jī)創(chuàng)建有關(guān)所述計(jì)算機(jī)所接受指令數(shù)據(jù)的操作的第一協(xié)議子集�����,并將之存儲(chǔ)于第一協(xié)議子集存儲(chǔ)部���;所述計(jì)算機(jī)確定實(shí)施執(zhí)行了所述指令數(shù)據(jù)的所述操作的用戶���,創(chuàng)建有關(guān)所述用戶實(shí)施執(zhí)行的操作的第二協(xié)議子集,并將之存儲(chǔ)于第二協(xié)議子集存儲(chǔ)部���;所述計(jì)算機(jī)將所述指令數(shù)據(jù)與存儲(chǔ)于所述第一協(xié)議子集存儲(chǔ)部或所述第二協(xié)議子集存儲(chǔ)部的協(xié)議子集中的至少一個(gè)協(xié)議子集進(jìn)行對(duì)照并計(jì)算出用于判定所述操作是否為非法操作的分值��。
16.一種非法操作判定程序�����,用于判定計(jì)算機(jī)所接受的操作是否為非法操作��,其特征是執(zhí)行了以下步驟所述計(jì)算機(jī)接受用于執(zhí)行所述操作的指令數(shù)據(jù)����;所述計(jì)算機(jī)創(chuàng)建有關(guān)所述計(jì)算機(jī)所接受指令數(shù)據(jù)的操作的第一協(xié)議子集,并將之發(fā)送往第一協(xié)議子集存儲(chǔ)裝置�����;所述計(jì)算機(jī)確定實(shí)施執(zhí)行了所述指令數(shù)據(jù)的所述操作的用戶����,創(chuàng)建有關(guān)所述用戶實(shí)施執(zhí)行的操作的第二協(xié)議子集,并將之發(fā)送往第二協(xié)議子集存儲(chǔ)裝置����;所述計(jì)算機(jī)從所述第一協(xié)議子集存儲(chǔ)裝置或所述第二協(xié)議子集存儲(chǔ)裝置中獲取至少一個(gè)協(xié)議子集,將所述指令數(shù)據(jù)與所述協(xié)議子集進(jìn)行對(duì)照�����,并計(jì)算出用于判定所述操作是否為非法操作的分值。
全文摘要
一種用于針對(duì)計(jì)算機(jī)所接受的操作���,根據(jù)異常行為參照協(xié)議子集判定是否為非法操作的非法操作判定系統(tǒng)���。也可以應(yīng)對(duì)有權(quán)限的用戶更換計(jì)算機(jī)進(jìn)行的非法操作或者尚未創(chuàng)建用戶協(xié)議子集的新用戶的非法操作����。用戶執(zhí)行了某些操作后,認(rèn)知該操作的傾向以及該用戶所執(zhí)行操作的傾向����,分別創(chuàng)建節(jié)點(diǎn)協(xié)議子集和用戶協(xié)議子集,并將之分別存儲(chǔ)于節(jié)點(diǎn)協(xié)議子集狀態(tài)表和各個(gè)用戶的用戶協(xié)議子集狀態(tài)表中�。如此參照已創(chuàng)建的節(jié)點(diǎn)協(xié)議子集和用戶協(xié)議子集,進(jìn)行所接受操作與通常操作模式之間的偏差計(jì)算��,判定該操作是否為異常操作����,并將非法操作可能性以分值計(jì)算出來。
文檔編號(hào)G06F1/00GK1882931SQ20048003381
公開日2006年12月20日 申請(qǐng)日期2004年5月13日 優(yōu)先權(quán)日2003年11月17日
發(fā)明者青木修, 白杉政晴, 小出研一, 河野?����;?申請(qǐng)人:株式會(huì)社知識(shí)潮