在非法访问检测系统(100)中生成向外部泄漏的认证信息。而且,在非法访问检测系统(100)中,将所生成的认证信息设定在解析主机(20)上,使解析对象程序在该解析主机(20)上进行动作。而且,在非法访问检测系统(100)中,对使用了认证信息的针对内容的访问进行检测,在检测出使用了认证信息的访问的情况下,将该访问确定为非法访问。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及。
技术介绍
近年来,计算机终端或服务器(在此,不对二者进行区分,以下记为主机)被作为具有恶意的软件的恶意软件(malware)感染,从而发生主机内部的信息被破坏或被恶意使用于以主机自身为跳板的新攻击中的事例。此外,恶意软件也可以未经允许而向外部泄漏主机内的信息。不仅是个人信息,还有可能泄漏公司、政府或者军事机关等的机密信息,因此恶意软件感染造成的信息泄漏成为问题。该恶意软件通过各种感染路径感染的方法已得到确认,例如为:通过伪装成邮件附件而导致用户误点击和安装而造成的感染;下载和安装伪装成在Web站点发布的一般的软件的恶意软件、伪装成P2P文件的恶意软件、在使用具有漏洞的Web浏览器浏览包含攻击代码的Web站点的情况下自动地下载和安装恶意软件而造成的感染等。此外,发生对在因特网上提供的各种服务的非法访问。大多数的非法访问存在如下两种情况:通过以蛮力方式(Brute Force)(攻击者以账户名和密码的所有可能的组合来尝试的登录)破解认证信息(例如,账户名和密码)来进行非法访问的情况;使用预先从用户那里通过某些方法盗取的正规的认证信息来进行非法访问的情况。在以蛮力方式破解认证信息的情况下,因为发生连续的登录的实施,因此能够基于单位时间的登录尝试次数的阈值利用IPS (Intrus1n Prevent1n System:入侵防止系统)等进行检测和防御(例如,参照非专利文献1)。此外,针对这些恶意软件感染,防病毒销售商制作恶意软件的标志(signature),防止主机被恶意软件感染。但是,因为标志需要恶意软件的详细的解析,因此需要用于制作标志的时间成本。作为以往的信息泄漏对策,大多数对用户设定针对信息的访问权限,来防止机密数据的流出。此时,并没有将拥有访问权限的用户故意地向外部泄漏信息的情况作为对象。此外,当该用户复制了信息的情况下,并没有将针对复制后的数据的保护作为对象。另一方面,近年来,作为基于信息中心的控制的信息泄漏防止方法,使用了被称为DLP(Data Loss Prevent1n:数据丢失预防,或者,Data Leak Prevent1n:数据泄漏预防)的技术(例如,参照非专利文献2?4)。DLP对于具有机密性的信息,监视对该信息的访问和发送,特别防止向外部发送的情况。此时,有如下方法:在主机上进行信息控制的方法;以及在网络上通过监视通信内容来控制的方法。作为前者的在主机上进行信息控制的方法,公知有使用安装于用户所使用的主机上的代理程序来监视对机密信息的访问的方法。例如,在要从文件服务器下载机密信息而复制到USB存储器等外部存储设备的情况下,在画面上显示警告文等进行防御。在作为邮件的附件要向外部发送的情况下也通过同样的处理进行防御。作为后者的在网络上监视通信内容的方法,公知有使用对网络上的通信进行分析的设备来在网络上监视通信内容的方法。例如,在作为邮件的附件要向外部发送机密信息的情况下,设备确认通信内容而进行阻止。现有技术文献非专利文献非专利文献1:“Suricata Downloads”、、、因特网< http://www.0peninfosecfoundat1n.0rg/index, php/download-suricata >非专利文献2:uTrend Micro Data Loss Prevent1n”、、、因特网< http://jp.trendmicr0.com/jp/products/enterprise/tmdlp/ >非专利文献3:“RSA DLP (Data Loss Prevent1n) Suite,,、、、因特网 < http://japan, rsa.com/node, aspx ? id = 3426 >非专利文献4:“McAfee Data Loss Prevent1n Endpoint,,、、、因特网< http://www.mcafee.com/ japan/products/data_loss_prevent1n, asp >
技术实现思路
专利技术要解决的课题但是,在以往的技术中,存在如下课题:有时候无法恰当地确定非法访问、或者无法恰当地确定进行非法访问的程序。例如,在使用从用户那里通过某些方法盗取的正规的认证信息进行了非法访问的情况下,因为攻击者使用正确的认证信息进行登录,因此难以判别正规用户的访问和攻击者的访问。由此,恰当地进行使用了已泄漏的认证信息的非法访问的检测成为课题。此外,例如,使用上述的代理程序来在主机上进行信息控制的方法中,在被恶意软件感染的情况下,可以考虑到停止该代理程序之后再进行动作的情况。因此,在主机上难以完全地防御信息泄漏动作。此外,例如,上述的网络上监视通信内容的方法中,在恶意软件对通信内容进行了加密的情况下,仅靠通信内容难以确定实际上发送哪种种类的信息。此外,例如,虽然在因特网中存在多种多样的程序,但要判别这样的程序是否是进行信息泄漏的恶意软件,而需要程序的详细的解析。但是,因为在恶意软件中一般具有代码的加扰或反调试等抗解析功能,并且因为通信内容自身也多数被加密,因此难以确定是否进行信息泄漏。因此,本专利技术目的在于恰当地确定非法访问、或者恰当地确定进行非法访问的程序。用于解决课题的手段为了解決上述课题,实现目的,非法访问检测系统的特征在于,该非法访问检测系统具有:生成部,其生成向外部泄漏的认证信息;动作部,其将由所述生成部生成的认证信息设定在主机上,且使解析对象程序在该主机上进行动作;检测部,其对使用了所述认证信息的针对内容的访问进行检测;以及确定部,其在由所述检测部检测出使用了所述认证信息的访问的情况下,将该访问确定为非法访问。此外,非法访问检测方法是由非法访问检测系统执行的非法访问检测方法,其特征在于,该非法访问检测方法包括:生成步骤,生成向外部泄漏的认证信息;动作步骤,将通过所述生成步骤生成的认证信息设定在主机上,且使解析对象程序在该主机上进行动作;检测步骤,对使用了所述认证信息的针对内容的访问进行检测;以及确定步骤,在通过所述检测步骤检测出使用了所述认证信息的访问的情况下,将该访问确定为非法访问。此外,非法访问检测系统的特征在于,该非法访问检测系统具有:生成部,其生成认证信息;动作部,其由所述生成部生成的认证信息设定在主机装置上,且使解析对象程序在该主机上进行动作;检测部,其对使用了所述认证信息的针对内容的非法访问进行检测;以及确定部,其在由所述检测部检测出使用了所述认证信息的非法访问的情况下,将在设定有该认证信息的主机上进行动作的程序确定为进行信息泄漏的程序。此外,非法访问检测方法是由非法访问检测系统执行的非法访问检测方法,其特征在于,该非法访问检测方法包括:生成步骤,生成认证信息;动作步骤,将通过所述生成步骤生成的认证信息设定在主机装置上,且使解析对象程序在该主机上进行动作;检测步骤,对使用了所述认证信息的针对内容的非法访问进行检测;以及确定步骤,在通过所述检测步骤检测出使用了所述认证信息的非法访问的情况下,将在设定有该认证信息的主机上进行动作的程序确定为进行信息泄漏的程序。专利技术效果本申请所公开的能够恰当地确定非法访问、或者恰当地确定进行非法本文档来自技高网...
【技术保护点】
一种非法访问检测系统,其特征在于,该非法访问检测系统具有:生成部,其生成向外部泄漏的认证信息;动作部,其将由所述生成部生成的认证信息设定在主机上,且使解析对象程序在该主机上进行动作;检测部,其对使用了所述认证信息的针对内容的访问进行检测;以及确定部,其在由所述检测部检测出使用了所述认证信息的访问的情况下,将该访问确定为非法访问。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:秋山满昭,八木毅,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。