WO2004013755A1

WO2004013755A1 - データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体

Info

Publication number: WO2004013755A1
Application number: PCT/JP2003/009894
Authority: WO
Inventors: Kazunori Saito
Original assignee: Osaka Industrial Promotion Organization
Priority date: 2002-08-05
Filing date: 2003-08-04
Publication date: 2004-02-12
Also published as: US7805760B2; JP2004070605A; US20060041863A1; TW200402634A; JP4660056B2; AU2003252387A1

Abstract

分岐命令（ｊｍｐ命令）の分岐元アドレスと分岐先アドレスとを記憶し、分岐先アドレスに外部コマンドを実行させるための命令コード群を呼出すための呼出命令（ｃａｌｌ命令）が対応付けられているか否かを判断し、呼出命令が分岐先アドレスに対応付けられている場合、その呼出先が分岐元アドレスと分岐先アドレスとの間にあるか否かを判断し、呼出命令による呼出先が分岐元アドレスと分岐先アドレスとの間にある場合、不正コードを検出した旨の情報を生成する。

Description

糸田 »

データ処理方法、データ処理装置、コンビタプログラム及び記録媒体技術分野

本発明は、不正な処理を実行するデータを検出するデータ処理方法、データ処理装置、該データ処理装置を実現するためのコンビュータプログラム、及び該コンピュータプログラムが記録されているコンピュータでの読取りが可能な記録媒体に関する。背景技術

インターネット網の普及に伴い、各種の情報処理装置がコンビュータウィルス、クラッキング等の攻撃の対象となり、それらの脅威に晒される可能性が高くなってきている。

例えば、近年、「ニムダ」、「コードレッド」等のコンピュータウィルスに代表されるように、システムプログラム又はウェブブラゥザのようなアプリケーションプログラムの脆弱性 (セキュリティホール）を利用して自己増殖させ、甚大な被害を与えたケースが存在する。

前述のようなコンピュータウィルス、クラッキング等による攻撃では、不正な処理を行う命令コード（以下、不正コードという）を含む攻撃データを攻撃対象であるサーバ装置、パーソナルコンビュータ等の情報処理装置に対して送信し、その情報処理装置にて前記命令コードが実行されるようにしている。このような攻撃手法は様々なものが存在し、その 1つとしてバッファオーバフローによる攻撃手法が知られている。バッファオーバフローでは、スタック内に確保されたバッファにおいて、確保されたバッファ以上のスタックエリァに書込みが行われている状態であり、バッファオーバフロ一の状態に陥った場合、予期せぬ変数破壌を招き、プログラムの誤動作の原因となり得る。バッファオーバフローによる攻撃では、プログラムの誤動作を意図的に引き起し、例えばシステムの管理者権限を取得することが行われる。

これらのコンピュータウィルス、クラッキング等の攻撃に対処するため、従来では、受信したデータに対して不正コードにみられる特定のビットパターンの有無を検出する。そして、そのようなビットパターンが受信したデータに含まれている場合には、不正コードを含んだ攻撃データであると判定し、データの受信拒否、ユーザへの報知等の処理を行うようにしている。

そのため、従来の手法により様々なコンピュータウィルス、クラッキング等の攻撃に対処するためには、各コンピュータウィルス、クラッキングに対応した特定のビットパターンをデータベースに記憶させて予め用意しておく必要があり、新種のコンピュータウィルス、クラッキング手法が発見された場合には、前記データベースを更新して対処しなければならない。

ところで、攻撃データに対する従来の検出方法では、前述のように既知のビットパターンを検出するカ又は N O P命令（NOP ： non-op erat i on ) の単純な繰り返しといった攻撃処理にとって、本質的とはいえない部分の構造を検出するようにしてきた。そのため攻擊データのバリエーションに弱く、未知の攻撃データが現れる毎に、検出に用いるビットパターンのデータベースを更新する必要があり、データベースが更新されるまでのタイムラグが問題になっていた。

発明の開示

本発明は斯かる事情に鑑みてなされたものであり、分岐命令に係る命令コードを入力されたデータから検索し、分岐先アドレスに、所定の処理を実行する命令コード群を呼出すための命令コードが対応付けられているか否かを判断し、分岐先アドレスに前記命令コードが対応付けられていると判断した場合、前記命令コードの呼出先ァドレスが前記分岐元ァドレス及び分岐先ァドレスの間にあるか否かを判断する構成とすることにより、不正な処理を行う命令コード群を検出するためのビットパターンを予め用意する必要がなく、不正な処理を行う未知の命令コード群に対しても検出可能なデータ処理方法、データ処理装置、該データ処理装置を実現するためのコンピュータプログラム、及ぴ該コンピュータプログラムが記録されているコンピュータでの読取りが可能な記録媒体を提供することを目的とする。

第 1発明に係るデータ処理方法は、複数の命令コードを含むデータの入力を受付け、受付けたデータに含まれる命令コードに基づいて実行される処理が不正処理であるか否かを判断するデータ処理方法において、分岐命令に係る命令コードを前記データから検索し、検索された命令コードに対応付けられている分岐元ァドレス、及び前記命令コードの分岐先に対応付けられている分岐先ァドレスを記憶し、前記分岐先アドレスに、所定の処理を実行する命令コード群を呼出すための命令コードが対応付けられているか否かを判断し、前記分岐先ァドレスに前記命令コードが対応付けられていると判断した場合、前記命令コードの呼出先アドレスを記憶し、記憶した呼出先ァドレスが前記分岐元ァドレス及ぴ分岐先ァドレスの間にあるか否かを判断することを特徴とする。

第 2発明に係るデータ処理装置は、複数の命令コードを含むデータの入力を受付ける手段を備え、該手段にて受付けたデータに含まれる命令コードに基づいて実行される処理が不正処理であるか否かを判断するデータ処理装置において、分岐命令に係る命令コードを前記データから検索する手段と、検索された命令コードに対応付けられている分岐元ァドレス、及び前記命令コ一ドの分岐先に対応付けられている分岐先アドレスを記憶する手段と、前記分岐先ァドレスに、所定の処理を実行する命令コード群を呼出すための命令コードが対応付けられているか否かを判断する手段と、前記分岐先アドレスに前記命令コードが対応付けられていると判断した場合、前記命令コードの呼出先アドレスを記憶する手段と、記憶した呼出先ァドレスが前記分岐元ァドレス及び分岐先ァドレスの間にあるか否かを判断する手段と、前記呼出先アドレスが前記分岐元アドレス及び分岐先アドレスの間にある場合、前記データが不正処理を実行するデータである旨の情報を出力する手段とを備えることを特徴とする第 3発明に係るデータ処理装置は、第 2発明に係るデータ処理装置において、前記命令コード群の復帰先アドレスに所定の文字列が対応付けられているか否かの判断をする手段を更に備え、前記文字列が前記復帰先ァドレスに対応付けられている場合、前記データが不正処理を実行するデータである旨の情報を出力すべくなしてあることを特徴とする。

第 4発明に係るデータ処理装置は、複数の命令コードを含むデータの入力を受付ける手段を備え、該手段にて受付けたデータに含まれる命令コードに基づいて実行される処理が不正処理であるか否かを判断するデータ処理装置において、所定の処理を実行する命令コ一ド群を呼出すための命令コードを前記データから検索する手段と前記命令コード群の復帰先ァドレスに所定の文字列が対応付けられているか否かを判断する手段と、前記文字列が前記復帰先アドレスに対応付けられている場合、前記データが不正処理を実行するデータである旨の情報を出力する手段とを備えることを特徴とする。第 5発明に係るデータ処理装置は、複数の命令コードを含むデータの入力を受付ける手段を備え、該手段にて受付けたデータに含まれる命令コードに基づいて実行される処理が不正処理であるか否かを判断するデータ処理装置において、所定の処理を実行する命令コ一ド群を呼出すための命令コードを前記データから検索する手段と前記命令コードが検索された場合、前記命令コード群の復帰先アドレスを取得するための命令コードが前記命令コード群に含まれる力否かを判断する手段と、前記命令コードが前記命令コード群に含まれる場合、前記データが不正処理を実行するデータである旨の情報を出力する手段とを備えることを特徴とする。

第 6発明に係るコンピュータプログラムは、コンピュータに、入力された複数の命令コードを含むデータに基づいて実行される処理が不正処理であるか否かを判断させるステップを有するコンビユータプログラムにおいて、コンピュータに、分岐命令に係る命令コードを前記データから検索させるステップと、コンピュータに、検索された命令コードに対応付けられている分岐元ァドレス、及び前記命令コードの分岐先に対応付けられている分岐先ァドレスを記憶させるステップと、コンピュータに、前記分岐先アドレスに、所定の処理を実行する命令コード群を呼出すための命令コードが対応付けられているか否かを判断させるステップと、コンピュータに、前記分岐先アドレスに前記命令コードが対応付けられていると判断した場合、前記命令コードの呼出先ァドレスを記憶させるステップと、コンピュータに、記憶させた呼出先ァドレスが前記分岐元ァドレス及ぴ分岐先アドレスの間にあるか否かを判断させるステップと有することを特徴とする。

第 7発明に係るコンピュータでの読取りが可能な記録媒体は、コンピュータに、入力された複数の命令コードを含むデータに基づいて実行される処理が不正処理であるか否かを判断させるステップを有するコンピュータプログラムが記録されているコンピュータでの読取りが可能な記録媒体において、コンピュータに、分岐命令に係る命令コードを前記データから検索させるステップと、コンビユータに、検索された命令コードに対応付けられている分岐元ァドレス及ぴ前記命令コードの分岐先に対応付けられている分岐先ァドレスを記憶させるステップと、コンピュータに、前記分岐先アドレスに所定の処理を実行する命令コード群を呼出すための命令コードが対応付けられているか否かを判断させるステップと、コンピュータに前記分岐先アドレスに前記命令コードが対応付けられていると判断した場合、前記命令コードの呼出先アドレスを記憶させるステップと、コンピュータに、記憶させた呼出先アドレスが前記分岐元アドレス及び分岐先アドレスの間にあるか否かを判断させるステップと有するコンピュータプログラムが記録されていることを特徴とする第 1発明、第 2発明、第 6発明、及び第 7発明にあっては、分岐命令に係る命令コードを入力されたデータから検索し、検索された命令コードの分岐元ァドレス及び分岐先ァドレスを記憶し、分岐先ァドレスに、所定の処理を実行する命令コード群を呼出すための命令コードが対応付けられているか否かを判断し、分岐先ァドレスに前記命令コードが対応付けられていると判断した場合、命令コードの呼出先アドレスを記憶し、記憶した呼出先アドレスが分岐元アドレス及び分岐先ァドレスの間にあるか否かを判断するようにしている。したがって、通常のデータ（実行コード）には見られない普遍的な構造に着目しているため、不正コードを変形させた場合であつても検出できる可能性が高く、未知の攻擊データが現れたときでも不正コードの本質的処理が変わらない限り、不正コードを見抜くことができる。また、命令コードを逐次的に読込むことによって、不正コードであるか否かの判定が可能であるため処理速度が速く、例えば通信により受信したデータに対してリアルタイムに判定することができる。

第 3発明にあっては、命令コード群の復帰先ァドレスに所定の文字列が対応付けられているか否かの判断をする手段を更に備えているため、不正コードの検出精度が向上する。

第 4発明にあっては、所定の処理を実行する命令コード群を呼出すための命令コードを入力されたデータから検索し、命令コード群の復帰先ァドレスに所定の文字列が対応付けられているか否かを判断するため、不正コードであるか否かの判定が簡単であり、しかも精度良く判定することができる。

第 5発明にあっては、所定の処理を実行する命令コード群を呼出すための命令コードを入力されたデータから検索し、前記命令コードが検索された場合、命令コード群に復帰先ァドレスを取得するための命令コードが含まれるか否かを判断するため、不正コードであるか否かの判定が簡単であり、しかも精度良く判定することができる。図面の簡単な説明

第 1 図は本発明のデータ処理装置を利用した侵入検出システムを説明する模式的構成図、第 2図は不正コードの特徴的構造を説明する概念図、第 3図は不正コードの特徴的構造を説明する概念図、第 4図は本実施の形態に係る侵入検出システムの処理手順を説明するフローチャート、第 5図は侵入検出の際に利用される分岐テーブルの一例を示す概念図、第 6図は偽装された不正コードの特徴的構造を説明する概念図、第 7図は偽装された不正コードの特徴的構造を説明する概念図、第 8図は本実施の形態に係る侵入検出システムの処理手順を説明するフローチャート、第 9図は本実施の形態に係る侵入検知システムの構成を説明する模式図である。発明を実施するための最良の形態

以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。

実施の形態 1 .

第 1 図は本発明のデータ処理装置を利用した侵入検出システムを説明する模式的構成図である。図中 1 0は本発明のデータ処理装置を具体化した中継装置であり、例えば、ルータ、スィッチ、ブロードバンドル一タ等のデータ通信を中継する装置である。中継装置 1 0は、 C P U 1 1 、メモリ 1 2、及び通信インターフェース（以下通信 I F という） 1 3， 1 4を備えており、通信 I F 1 3 に接続された情報処理装置 2 0 とインターネット網のようなデータ通信網 N を介して通信 I F 1 4に接続された他の情報処理装置 3 0 と間で、各種データの送受信を中継する。情報処理装置 2 0， 3 0は、例えば、パーソナルコンピュータ、サーバ装置、携帯電話機、 P D A

(Personal Digital Asistant ) 等のデータ通信を行うこと力 Sできる装置である。

情報処理装置 3 0から送信されたデータを中継装置 1 0が受信した際、中継装置 1 0は受信したデータが不正な処理を実行する命令コード (以下、不正コードという）を含んだデータであるか否かを判断し、不正コードを含んでいる場合には、通信の遮断、警報の出力等の処理を行う。

中継装置 1 0 のメモリ 1 2 は、ルーティングテーブル 1 2 a 、フィルタリングテーブル 1 2 b、及び分岐テーブル 1 2 c を備えている。ルーティングテーブル 1 2 a には通信の経路制御情報が記憶されており、該経路制御情報によって、情報処理装置 2 0から送信されるデータの伝送経路が決定される。フィルタリングテーブル 1 2 b には受信を拒否すべき通信相手の識別情報（例えば、 I P アドレス又はポート番号等）が記憶されており、前記識別情報に該当する情報処理装置からのデータを受信した場合、そのデータを情報処理装置 2 0 へ送信しないようにしている。

また、メモリ 1 2 には本発明のコンピュータプログラムが予め記憶されており、 C P U 1 1が当該コンピュータプログラムを実行することによって、中継装置 1 0は、不正コードを検出する侵入検出システムとして動作する。分岐テーブル 1 2 c には、前記コンビュータプログラムが起動中に取得した特定の命令コードに係るメモリアドレス（以下、単にアドレスという）が記憶され、不正コードを含んだデータであるか否かを判断する際に利用される。

中糸降装置 1 0の C P U 1 1 は、これらのテーブルに対して適宜書込み処理、又は読込み処理を行い、通信制御を行うようにしている以下、発明者らの知見に基づいて見出された不正コードの特徴的構造について説明する。発明者らは不正コードの普遍的な特徴として、分岐命令（以下、 j m p命令という）により指定された分岐先に呼出命令（以下、 c a l 1 命令とレ、う）が設定されていること、そしてその呼出先が j m p命令と c a 1 1 命令との間にあることを見出している。そして、 c a 1 1命令によって、スタックへ格納されたアドレス、すなわち c a 1 1命令の次のアドレスを呼出し先の命令コード群にて取得して、取得したァドレスを用いて起動したいコマンドを実行させるようにしている。

第 2図及び第 3図は、不正コードの特徴的構造を説明する概念図である。前述したように、処理を分岐させるための j m p命令の分岐先に対応させて c a 1 1命令を設定している。すなわち、 j m p 命令の分岐先アドレス（A 1 0 ) に c a l 1 命令を対応させているそして、 c a 1 1命令の呼出し先に、外部コマンドを呼び出すための命令コード群（A 2 ~A 6 ) を対応付け、その c a l 1 命令による呼出し先が、分岐元アドレス（A 1 ) と分岐先アドレス（A 1 0 ) との間にくるように設定している。この命令コード群において c a 1 1 命令によってスタックへ格納されたアドレス、すなわち。 a 1 1 命令の次のアドレス（ A l l ) を p o p命令によって取得し取得したァドレスを利用して、外部コマンドを実行させるようにしている。

したがって、不正コードの作成者が意図した任意の外部コマンドを c a 1 1 命令の次のァドレスに対応させることによって、これらの命令コードが実行されるときに、前記外部コマンドが呼出されて実行される構成となっている。

なお、前記命令コード群と c a l 1命令との間（A 7〜A 9 ) にはダミーの初期データ及び作業領域を設けても良いことは勿論である。

前述した不正コードは、第 3図に模式的に示した如く、（ 1 ) j m p命令の分岐先に c a l l命令が存在すること、（ 2 ) c a l l 命令の呼出先が c a 1 1 命令と j m p命令との間に存在することを特徴としている。

中継装置 1 0では、このような特徴的構造を持つ不正コードを通信 I F 1 4にて受信したデータから検出し、警報を出力するか又は通信の遮断を行うようにしている。

' 以下、前述した特徴的構造をもつ不正コードの検出手順について説明する。第 4図は本実施の形態に係る侵入検出システムの処理手順を説明するフローチヤ一トであり、第 5図は侵入検出の際に利用される分岐テーブル 1 2 c の一例を示す概念図である。まず、中継装置 1 0の C P U 1 1 は通信 I F 1 4にて受信したデータを 1バイト読込む（ステップ S 1 ) 。そして、 C P U 1 1 は、読込んだデータが j m p命令か否かを判断する（ステップ S 2 ) 。読込んだデータが； i m p命令である場合（ S 2 ： Y E S ) 、 C P U 1 1 は、その j m p命令で指定される分岐先のァドレスが、現在位置のァドレスよりも大きいか否かを判断する（ステップ S 3 ) 。

分岐先のァドレスが現在位置のァドレスよりも大きいと判断した場合（ S 3 ： Y E S ) 、現在位置のアドレス（分岐元アドレス）と分岐先のアドレス (分岐先ァドレス）とを対応付けて分岐テーブル 1 2 c に記憶させる（ステップ S 4 ) 。第 2図に示した如きデータの例では、アドレス A 1 のデータを読込んだ場合、そのデータは j m p命令であり、当該〗 m p命令で指定される分岐先のァドレス

( A 1 0 ) がァドレス A 1 よりも大きいため、分岐元アドレスとして A l、分岐先ァドレスとして A 1 0が分岐テーブル 1 2 c に記憶される（第 5図参照）。

ステップ S 3 にて、分岐先ァドレスが現在位置のァドレスよりも小さいと判断した場合 ( S 3 ： N O) 、又はステップ S 4にて、分岐テーブル 1 2 c に分岐元ァドレスと分岐先ァドレスとを記憶させた場合、 C P U 1 1 は、読込むべきデータが終了したか否かを判断し (ステップ S 5 ) 、読込むべきデータが未だ残っていると判断した場合（ S 5 ： N O) 、処理をステップ S I へ戻し、読込むべきデ —タが終了したと判断した場合 ( S 5 ： Y E S ) 、本ルーチンを終了する。

ステップ S 2において、読込んだデータ j m p命令でないと判断した場合（ S 2 : N O) 、 C P U 1 1 は、現在位置のァドレスが分岐テーブル 1 2 c に記憶された分岐先アドレスに一致するか否かを判断する（ステップ S 6 ) 。現在位置のァドレスが分岐先のァドレスに一致しない場合（ S 6 ： N O) 、現在位置のアドレスより小さい分岐先アドレスを分岐テーブル 1 2 c から削除する（ステップ S 7 ) 。そして、ステップ S 5の処理を行い、再度ステップ S 1へ処理を戻すか、又は本ルーチンの処理を終了するか否かの判断をする現在位置のァドレスが分岐テーブル 1 2 c に記憶された分岐先ァドレスに一致すると判断した場合（ S 6 ： Y E S ) 、 C P U 1 1 は現在位置のァドレスに対応付けられた命令コードが c a 1 1命令であるか否かを判断する（ステップ S 8 ) 。現在位置のアドレスに対応付けられた命令コードが c a 1 1 命令であると判断した場合（ S 8 : Y E S ) 、 C P U 1 1 は、分岐テーブル 1 2 c を参照することによって、前記 c a 1 1 命令による呼出先が分岐元アドレスと分岐先アドレスとの間にあるか否かを判断する（ステップ S 9 ) 。

ステップ S 8 にて、 c a 1 1命令でないと判断した場合（ S 8 ： N O) 、又はステップ S 9にて、呼出先が分岐元アドレスと分岐先アドレスとの間にないと判断した場合（ S 9 ： N O ) 、処理をステップ S 5へ移行させる。

c a 1 1命令による呼出先が分岐テーブル 1 2 c に記憶された分岐元ァドレスと分岐先ァドレスとの間にあると判断した場合（ S 9 : Y E S ) 、 C P U 1 1は、不正コードを検出した旨の情報を生成する（ステップ S 1 0 ) 。

前述の不正コードを検出した旨の情報は、中継装置 1 0に液晶デイスプレイ等の表示部を設けて表示させるようにしてもよく、またブザー、 L E Dランプ等の警報部を設けて報知するようにしてもよい。更に、前記情報を情報処理装置 2 0へ送信し、情報処理装置 2 0が備える表示部（不図示）にて表示させるようにしてもよい。更に、前記不正コードを検出した旨の情報が生成されたことを受けて通信を遮断するようにしてもよい。

なお、前述したように c a 1 1命令によりスタックへ格納されるァドレスには、実行させたい外部コマンドの文字列が存在するため c a 1 1 命令の次のアドレスにアスキー文字列 (コマンド名）が存在するか否かを傍証として利用することにより、不正コードの検出精度を向上させることができる。

また、 c a 1 1 命令の次のアドレスにアスキー文字列が存在するか否かについての判断を単独で行うことによっても、不正コードの有無を検出できることが発明者らの検討により知られている。

このように、本実施の形態では、データを逐次的に読込んで処理することにより、不正コードが含まれているか否かについて判断できるため、不正コードの有無を検出するアルゴリズムが簡単でありしかも高速処理が可能である。

実施の形態 2 .

前述の不正コードでは、 c a 1 1 命令の次のァドレスに実行させたい外部コマンドを置くこと特徴としており、実施の形態 1では、そのような外部コマンドを呼出すための特殊な構造を見出すことによって、不正コードを検出していた。しかしながら、実行させたい外部コマンドは必ずしも c a 1 1 命令の次に置く必要はなく、不正コードの作者によって予め定められたァドレス分だけ位置をずらして置くことも可能である。このような不正コードをここでは偽装された不正コードと呼び、以下、この偽装された不正コードの特徴的構造、及び検出手順について説明する。なお、中継装置 1 0の構成及び情報処理装置 2 0 ， 3 0 との接続構成は実施の形態 1 と同様であるため説明を省略する。

第 6図及び第 7図は偽装された不正コードの特徴的構造を説明する概念図である。偽装された不正コードでも、 c a 1 1命令によつて呼出された命令コード群において、起動したい外部コマンドに対応付けられているァドレスを取得するようにしていることは前述と同様であるが、 c a 1 1 命令と外部コマンドとの間に固定長を有するダミーの命令コードを置いて偽装していることが実施の形態 1 で説明した不正コードと異なる。

すなわち、第 6図に示した構造を有する偽装された不正コードでは、 c a 1 1 命令によりスタックへ格納されたァドレス ( A 2 ) を A 1 6 ~ A 2 0に規定された命令コード群にて取得し、そのアドレス A 2から 5つ目のアドレス（A 7 ) に対応付けられている外部コマンドを起動させるようにするのである。

このような偽装された不正コードは、実施の形態 1 で説明した処理によっては検出不可能であるが、第 7図に模式的に示した如く、

( 1 ) c a 1 1 命令によって命令コード群を呼出し、（ 2 ) その命令コード群において、 c _a 1 1命令によってスタックへ格納したァドレスを p o p命令により取得するという特徴的構造を依然として有していることが分かる。したがって、 c a l l 命令によって呼出された命令コード群において、 p u s h命令が先行しない！ o p命令を検索することによって、偽装された不正コードを検出することが可能となる。

以下、偽装された不正コードの検出手順について説明する。

第 8図は本実施の形態に係る侵入検出システムの処理手順を説明するフローチャートである。まず、中継装置 1 0 の C P U 1 1 は、受信したデータから c a 1 1命令を検索する（ステップ S 2 1 ) 。そして、検索の結果、 c a 1 1命令があるか否かを判断し（ステツプ S 2 2 ) 、 c a 1 1 命令がある場合（ S 2 2 : Y E S ) 、 C P U 1 1 は、検索された c a 1 1命令のアドレスをメモリ 1 2に記憶させる（ステップ S 2 3 ) 。受信したデータに c a 1 1命令がない場合（ S 2 2 : N O) 、本侵入検出システムによる処理を終了する。検索された c a 1 1 命令のアドレスを記憶させた後、その c a 1 1命令により指定される呼出先ァドレスへ移動させ（ステップ S 2 4 ) 、データを 1バイト読込む（ステップ S 2 5 ) 。

次いで、 C P U 1 1 は、読込んだデータがスタックへアドレスを格納するための p u s h命令か否かを判断する（ステップ S 2 6 ) p u s h命令であると判断した場合（ S 2 6 ： Y E S ) 、現在アドレスを記憶して（ステップ S 2 7 ) 、処理をステップ S 2 5へ戻す読込んだデータが p u s h命令でないと判断した場合 ( S 2 6 ： N O) 、 p o p命令であるか否かを判断する（ステップ S 2 8 ) 。 p o p命令でないと判断した場合（ S 2 8 ： N O) 、呼出先のルーチンが終了したか否かを判断する (ステップ S 3 1 ) 。

呼出先のルーチンが終了していないと判断した場合 ( S 3 1 ： N O ) 、処理をステップ S 2 5へ戻し、呼出先のルーチンが終了したと判断した場合 ( S 3 1 ： Y E S ) 、ステップ S 2 3 にて記憶させ- たァドレスを参照し、呼出元の次のァドレスへ移動させ (ステップ S 3 2 ) 、 c a 1 1命令を再度検索し直す。

ステップ S 2 5で読込んだデータが p o p命令であると判断した場合（ S 2 8 ： Y E S ) 、 C P U 1 1 は、ステップ S 2 7 にて記憶させたァドレスを参照することによって、 p u s h命令が先行しない p o p命令であるか否かを判断する（ステップ S 2 9 ) 。 p u s h命令が先行しない； p o p命令でないと判断した場合（ S 2 9 ： N O ) 、処理をステップ S 3 1へ移行する。

ステップ S 2 5で読込んだデータが、 p u s h命令が先行しなレ、 p o p命令であると判断した場合（ S 2 9 ： Y E S ) 、 C P U 1 1 は、不正コードを検出した旨の情報を生成する（ステップ S 3 0 ) , 前述の不正コードを検出した旨の情報は、実施の形態 1 と同様に中継装置 1 0に液晶ディスプレイ等の表示部を設けて表示させるようにしてもよく、また、ブザー、 L E Dランプ等の警報部を設けて報知するようにしてもよい。更に、前記情報を情報処理装置 2 0へ送信し、情報処理装置 2 0が備える表示部（不図示）にて表示させるようにしてもよい。更に、前記不正コードを検出した旨の情報が生成されたことを受けて通信を遮断するようにしてもよい。

実施の形態 3 .

前述の実施の形態では、ルータ、スィッチ、ブロードバンドル一タ等のデータ通信で利用される中継装置に本発明を適用した形態について説明したが、パーソナルコンピュータ、サーバ装置、携帯電話機、 P D A等の通信機能を有した情報処理装置に適用することも可能である。

第 9図は本実施の形態に係る侵入検知システムの構成を説明する模式図である。図中 5 0は、パーソナルコンピュータのような情報処理装置であり、該情報処理装置 5 0 にはルータのような中継装置 4 0を介してデータ通信網 Nへ接続されている。情報処理装置 5 0 は、データ通信網 N及び中継装置 4 0を通じて各種の通信機器、及び他の情報処理装置からデータを受信するとともに、それらの通信機器、情報処理装置へデータを送信するようにしている。

中継装置 4 0 には、 C P U 4 1 、メモリ 4 2、及ぴ通信 I F 4 3 4 4を備えており、メモリ 4 2には、通信の経路制御情報が記憶されたルーティングテーブル 4 2 a と、受信を拒否すべき通信相手の識別情報（例えば、 I Pアドレス又はポート番号等）が記憶されたフィルタリングテ一ブル 4 2 b とを有している。情報処理装置 5 0 から外部へデータを送信する際にルーティングテーブル 4 2 a により伝送経路が設定され、外部からデータを受信する際、フィルタリングテーブル 4 2 b を参照することにより受信を拒否すべき通信相手であるか否かが判定される。

情報処理装置 5 0は、 C P U 5 1 を備えており、バス 5 2を介して、 R OM 5 3 、 R AM 5 4、表示部 5 5、入力部 5 6、通信部 5 7、補助記憶装置 5 8、及び内部記憶装置 5 9等の各種ハードゥエァに接続されている。 C P U 5 1 は、 R OM 5 3 に格納された制御プログラムに従って、それらのハードウェアを制御する。 R AM 5 4は、 S R AM又はフラッシュメモリ等で構成され、 R OM 5 3 に格納された制御プログラムの実行時に発生するデータを記憶する。表示部 5 5 は、 C R T、液晶ディスプレイ等の表示装置であり、入力部 5 6 は、キーボード、マウス等の入力装置である。表示部 5 5及び入力部 5 6 は、例えば、送信すべきデータの入力及び表示をする際に利用される。通信部 5 7は、モデム等の回線終端装置を備えており、中継装置 4 0を介した各種データの送受信を制御する。補助記憶装置 5 8は、本発明のコンピュータプログラム及びデータを記録した F D、 C D— R OM等の記録媒体 6 0からコンビユータプログラム及びデータを読取る F D ドライブ、 C D— R OMドライブ等からなり、読取られたコンピュータプログラム及びデータは内部記憶装置 5 9 に記憶される。内部記憶装置 5 9 に記憶されているコンピュータプログラム及びデータは、 R AM 5 4に読込まれ、 C P U 5 1 が実行することで本実施の形態に係る情報処理装置 5 0 として動作する。

なお、本発明のコンピュータプログラムは、記録媒体 6 0により提供されるだけでなく、データ通信網 Nを通じて提供される形態であってもよいことは勿論である。

前述のコンピュータプログラムは、情報処理装置 5 0の起動時に自動的に R AM 5 4に読込まれる常駐型のプログラムであることが望ましく、通信部 5 7 にて外部からデータを受信した際に、自動的に不正コードを検出するようにしておくとよい。なお、不正コードの検出手順については、実施の形態 1及ぴ実施の形態 2で説明した通りであるので説明を省略する。

本実施の形態では、パーソナルコンピュータのような情報処理装置 5 0を利用して不正コードを含んだデータを検出する構成としたが、パーソナルコンピュータの他、携帯電話機、 P D A、コンビュータゲーム機、車載通信装置、各種の情報家電に適用できることは勿論である。

また、本発明のコンピュータプログラムを F D、 C D— R O M等の記録媒体に記録させて提供することにより、コンピュータウィルスを検出するアプリケーションソフトウエアのパッケージとして提供することも可能である。産業上の利用可能性

以上、詳述したように、分岐命令に係る命令コードを入力されデータから検索し、検索された命令コードの分岐元ァドレス及び分 'ゝ岐先アドレスを記憶し、分岐先アドレスに、所定の処理を実行する命令コード群を呼出すための命令コードが対応付けられているか否かを判断し、分岐先ァドレスに前記命令コードが対応付けられていると判断した場合、命令コードの呼出先アドレスを記憶し、記憶した呼出先ァドレスが分岐元ァドレス及び分岐先ァドレスの間にあるか否かを判断するようにしている。したがって、通常の実行コードでは見られない普遍的な構造に着目しているため、不正コードを変形させた場合であっても検出できる可能性が高く、未知の攻擊デ一タが現れたときでも、不正コードの本質的処理が変わらない限り、不正コードを見抜くことができる。また、命令コードを逐次的に読込むことによって、不正コードであるか否かの判定が可能であるため処理速度が速く、例えば通信により受信したデータに対してリアルタイムに判定することができる。

また、命令コード群の復帰先ァドレスに所定の文字列が対応付けられているか否かの判断をする手段を更に備えているため、不正コ一ドの検出精度が向上する。

また、所定の処理を実行する命令コード群を呼出すための命令コードを入力されたデータから検索し、命令コード群の復帰先ァドレスに所定の文字列が対応付けられているか否かを判断するため、不正コードであるか否かの判定が簡単であり、しかも精度良く判定することができる。

更に、所定の処理を実行する命令コード群を呼出すための命令コ一ドを入力されたデータから検索し、前記命令コードが検索された場合、命令コード群に復帰先ァドレスを取得するための命令コードが含まれるか否かを判断するため、不正コードであるか否かの判定が簡単であり、しかも精度良く判定することができる等、本発明は優れた効果を奏する。

Claims

請求の範囲

1 . 複数の命令コードを含むデータの入力を受付け、受付けたデータに含まれる命令コードに基づいて実行される処理が不正処理であるか否かを判断するデータ処理方法において、

分岐命令に係る命令コードを前記データから検索し、検索された命令コードに対応付けられている分岐元ァドレス、及ぴ前記命令コードの分岐先に対応付けられている分岐先アドレスを記憶し、前記分岐先アドレスに、所定の処理を実行する命令コード群を呼出すための命令コードが対応付けられているか否かを判断し、前記分岐先ァドレスに前記命令コードが対応付けられていると判断した場合、前記命令コードの呼出先ァドレスを記憶し、記憶した呼出先ァドレスが前記分岐元ァドレス及び分岐先ァドレスの間にあるか否かを判断することを特徴とするデータ処理方法。

2 . 複数の命令コードを含むデータの入力を受付ける手段を備え該手段にて受付けたデータに含まれる命令コードに基づいて実行される処理が不正処理であるか否かを判断するデータ処理装置において、

分岐命令に係る命令コードを前記データから検索する手段と、検索された命令コ一ドに対応付けられている分岐元了ドレス、及び前記命令コ一ドの分岐先に対応付けられている分岐先ァドレスを記憶する手段と、前記分岐先アドレスに、所定の処理を実行する命令コ一ド群を呼出すための命令コードが対応付けられているか否かを判断する手段と、前記分岐先アドレスに前記命令コードが対応付けられていると判断した場合、前記命令コードの呼出先アドレスを記憶する手段と、記憶した呼出先ァドレスが前記分岐元ァドレス及ぴ分岐先ァドレスの間にあるか否かを判断する手段と、前記呼出先ァドレスが前記分岐元アドレス及び分岐先アドレスの間にある場合、前記データが不正処理を実行するデータである旨の情報を出力する手段とを備えることを特徴とするデータ処理装置。

3 . 前記命令コード群の復帰先アドレスに所定の文字列が対応付けられているか否かの判断をする手段を更に備え、前記文字列が前記復帰先アドレスに対応付けられている場合、前記データが不正処理を実行するデータである旨の情報を出力すべくなしてあることを特徴とする請求項 2に記載のデータ処理装置。

4 . 複数の命令コードを含むデータの入力を受付ける手段を備え該手段にて受付けたデータに含まれる命令コードに基づいて実行される処理が不正処理であるか否かを判断するデータ処理装置において、

所定の処理を実行する命令コード群を呼出すための命令コードを前記データから検索する手段と、前記命令コード群の復帰先ァドレスに所定の文字列が対応付けられているか否かを判断する手段と、前記文字列が前記復帰先ァドレスに対応付けられている場合、前記データが不正処理を実行するデータである旨の情報を出力する手段とを備えることを特徴とするデータ処理装置。

5 . 複数の命令コードを含むデータの入力を受付ける手段を備え該手段にて受付けたデータに含まれる命令コードに基づいて実行される処理が不正処理であるか否かを判断するデータ処理装置において、

所定の処理を実行する命令コード群を呼出すための命令コ " ドを前記データから検索する手段と、前記命令コードが検索された場合前記命令コード群の復帰先ァドレスを取得するための命令コードが前記命令コード群に含まれるか否かを判断する手段と、前記命令コ一ドが前記命令コード群に含まれる場合、前記データが不正処理を実行するデータである旨の情報を出力する手段とを備えることを特徴とするデータ処理装置。

6 . コンピュータに、入力された複数の命令コードを含むデータに基づいて実行される処理が不正処理であるか否かを判断させるステツプを有するコンピュータプログラムにおいて、

コンピュータに、分岐命令に係る命令コードを前記データから検索させるステップと、コンピュータに、検索された命令コードに対応付けられている分岐元アドレス、及び前記命令コードの分岐先に対応付けられている分岐先アドレスを記憶させるステップと、コンピュータに、前記分岐先アドレスに、所定の処理を実行する命令コ一ド群を呼出すための命令コードが対応付けられているか否かを判断させるステップと、コンピュータに、前記分岐先アドレスに前記命令コードが対応付けられていると判断した場合、前記命令コードの呼出先アドレスを記憶させるステップと、コンピュータに、記憶させた呼出先ァドレスが前記分岐元ァドレス及び分岐先ァドレスの間にあるか否かを判断させるステップと有することを特徴とするコンピュータプログラム。

7 . コンピュータに、入力された複数の命令コードを含むデータに基づいて実行される処理が不正処理であるか否かを判断させるステップを有するコンピュータプログラムが記録されているコンピュータでの読取りが可能な記録媒体において、

コンピュータに、分岐命令に係る命令コードを前記データから検索させるステップと、コンピュータに、検索された命令コードに対応付けられている分岐元ァドレス、及び前記命令コードの分岐先に対応付けられている分岐先ァドレスを記憶させるステップと、コンピュータに、前記分岐先アドレスに、所定の処理を実行する命令コ一ド群を呼出すための命令コードが対応付けられているか否かを判断させるステップと、コンピュータに、前記分岐先アドレスに前記命令コードが対応付けられていると判断した場合、前記命令コードの呼出先アドレスを記憶させるステップと、コンピュータに、記憶させた呼出先ァドレスが前記分岐元ァドレス及び分岐先ァドレスの間にあるか否かを判断させるステップと有するコンピュータプログラムが記録されていることを特徴とするコンピュータでの読取りが可能な記録媒体。