WO2004077295A1 - 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体 - Google Patents

Abstract

本発明にかかる不正処理方法、データ処理装置、コンピュータプログラム、及び記録媒体は、バッファメモリに記憶させたデータをバイト単位で読出し、読出し位置がそれぞれ異なる複数の命令系列について、順次的にどのような命令コードが含まれているか解析してゆく。そして、解析した命令系列に、ｉｎｔ命令が含まれており、命令コードが特定の出現パターンを持ち、記憶させたコマンドデータに"／"に対応した文字コードが含まれている場合、当該命令系列に不正コードが含まれていると判定する。

Description

糸田 ¾

不正処理判定方法、 データ処理装置、 コ ンピュータプログラム、 及び記録媒体 技術分野

本発明は、 不正処理を実行するデータを検出する不正処理判定方 法、 データ処理装置、 該データ処理装置を実現するためのコ ンビュ ータプログラム、 及び該コ ン ピュータプログラムが記録されている コ ンピュータでの読取りが可能な記録媒体に関する。

背景技術

イ ンターネッ ト網の普及に伴い、 各種の情報処理装置がコ ンビュ ータ ウ ィ ルス、 クラ ッキング等の攻撃の対象となり 、 それらの脅威 に晒される可能性が高く なってきている。例えば、近年、 「ニムダ J 、 「コー ドレ ツ ド」 等のコ ン ピュータ ゥイ ノレス に代表されるよ う に、 システムプログラム又はウェブブラ ウザのよ う なアプリ ケーシ ョ ン プログラムの脆弱性 （セキュ リティホール） を利用 して自 己増殖さ せ、 甚大な被害を与えたケースが存在する。

前述のよ う なコ ン ピュータ ウ ィ ルス、 ク ラ ッキング等による攻撃 では、 不正な処理を行う命令コー ド （以下、 不正コー ドという） を 含む攻撃データを攻撃対象であるサーバ装置、 パーソナルコ ンビュ ータ等の情報処理装置に対して送信し、 その情報処理装置にて前記 命令コー ドが実行される よ う に している。 このよ う な攻撃手法は 様々なものが存在し、 その 1つと してノ ッ フ ァオー バフ ロ ーによる 攻撃手法が知られている。 ノ ッ フ ァオー バフ ロ ーでは、 スタ ック内 に確保されたバッファにおいて、 確保されたバッファ以上のスタ ッ クエ リ ァに書込みが行われている状態であ り 、 バ ッ フ ァオーバフ ロ 一の状態に陥つた場合、 予期せぬ変数破壌を招き、 プロ グラムの誤 動作の原因と な り 得る。 バッファオーバフローによ る攻撃では、 プ ロ グラ ムの誤動作を意図的に引き起し、 例えばシステムの管理者権 限を取得する こ とが行われる。

これらのコ ンピュータ ウイ /レス 、 ク ラ ッキング等の攻擊に対処す るため、 例えば 、 特開平 9 — 3 1 9 5 7 4号公報に記載されている よ う に、 不正コ一ドにみられる よ う な特定のビッ トノヽ。タ一ンの有無 を受信 したデ一タ に対して検出する処理が行われていた そ して、 そのよ う なビシ トパターンが受信 したデータに含まれている場合に は、 不正コー ド、を含んだ攻擊デ一タである と判定し、 デ一タの受信 拒否、 ユーザへの報知等を行う よ う に していた。

そのため、 従来の手法によ り様々 なコ ンピュータ ウイルス、 ク ラ ッキング等の攻撃に対処するためには、 各コ ンピュータゥイノレス、 ク ラ ッキングに対応した特定のビッ トパターンをデータベ一/ Vし B己 憶させて予め 意しておく 必要があ り 、 新種のコ ン ビュ ―タ ウィル ス、 ク ラ ツキング手法が発見された場合には、 前記データベース 更新して対処しなければならない'

と ころで、 攻擊データ に対する従来の検出方法では、 述のよ う に既知の ビ ッ ト ノ、。タ ー ンを検出する か、 又は N O P命令 （NOP ： no n-op era t i o n ) の単純な繰り 返しといった攻撃処理にと つて、 本質 的と はいえない部分の構造を検出する よ う に してきた。 そのため、 攻撃データのバリ エーショ ンに弱く 、 未知の攻撃データが現れる毎 に、 検出に用いる ビッ トパターンのデータベースを更新する必要が あ り 、 データベースが更新されるまでのタイ ムラグが問題になって いた。

本発明は斯かる事情に鑑みなされたも のであ り 、 その 目的とする と ころは、 夫々が連続したバイ ト列からな り 、 各バイ ト列の先頭バ ィ 卜が異なる読出し位置に対応した複数のデータ系列について、 各 デ一タ系列に現れる命令コ一 の出現パターンを検出し 、 その検出 結果に基づいて各データ系列による処理が不正処理であるか否かを 判定する構成とするこ とによ り 不正な処理を行う命令コ一 ド群を 検出するための ビッ トノ タ一ン等を予め用意する必要がな < ヽ 不正 な処理を行う未知の命令コ一 ド、群に対しても検出可能な不正処理判 定方法、 データ処理装置、 該テ一タ処理装置を実現するための n ン ピュータプログラム、 及び該コンピュータプログラムが記録されて いるコ ン ビュータでの読取り が可能な記録媒体を提供するこ とであ

発明の開示

第 1発明に係る不正処理判疋 J 法は 、 異なるバィ ト長の命令コ一 ドを複数含んだデ一タを受信する P .

¾ in手 と 、 受信したデータを記 憶する記憶手段とを 兄るァータ処理 置を用い 、 pL Ί®し i<~テ一 タに含まれる命令 一 ドに基づいて実行する処理力 不正処理である か否かを判定する不正処理判疋 h法に いて 、 m記記憶手段に記 したデータをバイ 卜単位で順次的 RJC出し 夫々が連続したバィ 卜 列からな り 、 各バィ ト列の先頭バィ 卜が異なる E出し位置に対応し た複数のデータ系列について 、 各了 ―タ系列に現れる命令コー の 出現パターンを検出 レ、 検 111 した命令 の出現パターンに基づ いて各データ系列による処理が不正処理であるか否かを判定する ·>· とを特徴とする。

第 2発明に係るテータ処理装置は、 異なるバイ ト長の命令コ一 ド、 を複数含んだデータを受信する受信手段とヽ 受信したデ―タを記 する記憶手段と、 記 '|思し / ァ一タに含まれる命令コー ドに基づいて 実行される処理が不正処理であるか否かを判定する判定手段とを備 えるデータ処理装置において、 前記記憶手段に記憶したデータをバ ィ ト単位で順次的に読出す手段と、 夫々が連続したバイ ト列からな り 、 各バイ ト列の先頭バイ トが異なる読出し位置に対応した複数の データ系列について、 各データ系列に現れる命令コー ドの出現パタ ーンを検出する検出手段とを備え、 前記判定手段は、 前記検出手段 が検出した命令コー ドの出現パターンに基づいて各データ系列によ る処理が不正処理であるか否かを判定すべく なしてあるこ とを特徴 とする。

第 3発明に係るデータ処理装置は、 第 2発明に係るデータ処理装 置において、 命令コー ドの 1バイ ト 目のデータ と該命令コー ドのバ イ ト長との対応関係を記憶したテーブルを更に備えるこ とを特徴と する。

第 4発明に係るデータ処理装置は、 第 2発明に係るデータ処理装 置において、 前記検出手段が検出すべき出現パターンを含むデータ 系列は、 実行中の命令コー ド群が置かれた前記記憶手段上のァ ドレ ス を取得する処理を含むこ とを特徴とする。

第 5発明に係るデータ処理装置は、 第 2発明又は第 4発明に係る データ処理装置において、 前記検出手段が検出すべき出現パターン の 1 つは、 所定の処理を実行する命令コー ド群を呼出すための命令 コー ドを含み、 前記命令コー ド群は、 前記命令コー ドの復帰先のァ ドレス を取得する命令コー ドを含むこ とを特徴とする。

第 6発明に係るデータ処理装置は、 第 5発明に係るデータ処理装 置において、 前記出現パターンは、 分岐命令に係る命令コー ドを更 に含み、 該命令コー ドの分岐先のア ド レスが、 前記命令コー ド群を 呼出すための命令コー ドに対応付けられていることを特徴とする。

第 7発明に係るデータ処理装置は、 第 5発明に係るデータ処理装 置において、 前記出現パターンは、 システム コールを起動する命令 コー ドを更に含むことを特徴とする。

第 8発明に係るデータ処理装置は、 第 5発明に係るデータ処理装 置において、 前記出現パターンは、 前記ア ド レスを起点と したデー タの書換えを指示する命令コー ドを更に含むことを特徴とする。

第 9発明に係るデータ処理装置は、 第 5発明に係るデータ処理装 置において、 前記出現パターンは、 前記命令コー ドの後に所定の文 字コー ドを更に含むことを特徴とする。

第 1 0発明に係るデータ処理装置は、 第 2発明に係るデータ処理 装置において、 検出すべき出現パターンの 1つを前記検出手段が検 出した場合、 前記判定手段は、 検出したデータ系列が不正処理を実 行するデータである と判定すべく なしてあることを特徴とする。

第 1 1発明に係るデータ処理装置は、 第 2発明に係るデータ処理 装置において、 前記判定手段が、 検出したデータ系列が不正処理を 実行するデータである と判定した場合、 外部へその旨の情報を報知 する手段を更に備えるこ とを特徴とする。

第 1 2発明に係るコ ン ピュータプログラムは、 コ ン ピュータに、 入力された異なるバイ ト長の命令コー ドを複数含んだデータに基づ いて実行される処理が不正処理であるか否かを判定させるステップ を有するコ ンピュータプログラムにおいて、 コ ン ピュータに、 夫々 が連続したバイ ト列からなり、 各バイ ト列の先頭バイ トを異なる読 出 し位置に対応させて読出 した複数のデータ系列について、 各デー タ系冽に現れる命令コー ドの出現パターンを検出させるステップと、 コ ンピュータに、 検出した命令コー ドの出現パターンに基づいて各 データ系列による処理が不正処理であるか否かを判定させるステツ プとを有することを特徴とする。

第 1 3発明に係るコ ン ピュータでの読取り が可能な記録媒体は、 コ ンピュータに、 入力された異なるバイ ト長の命令コー ドを複数含 んだデータに基づいて実行される処理が不正処理であるか否かを判 定させるステップを有するコ ンビュ タプロダラムが記録されてい るコンピュータでの読取り が可能な記録媒体において 、 コンピュー タに、 夫々が連続したバィ 卜歹 Uからな り 、 各バイ 卜列の先頭バイ ト を異なる読出し位置に対 、させて読出した複数のデ一タ系列につい て、 各データ系列に現れる命令コー ド、の出現パタ ンを検出させる ステツプと、 コ ンビユータに、 検出した命令コー ド、の出現パターン に基づいて各データ系列による処理が不正処理でめる力 かを判定 させるステップとを有するコ ン ビュ タプロダラムが記録されてい ることを特徴とする。

第 1発明、 第 2発明、 第 1 2 '発明、 及び第 1 3発明にあつては、 記憶手段からデータをバイ ト単位で順次的に読出して不正処理を実 行する命令コ一 ドが含まれているか否かを判定する際、 読出 し位置 が異なる複数のデータ系列について、 命令コー ドの出現パターンを 検出よ う にしている。 したがつて 、 通常のデータには見られないよ う な命令コー ドの出現パターンに着目 して検出を行う こ とで 、 未知 の不正コー ドが現れたときで ヽ 不正コー ドの本質的な処理内容が 変わらない限り対処するこ とが可能となる。 また、 本発明では命令 コ一ドの出現パターンに基づレ、て検出を行うため、 検出の開始位置 をどこに設定するかによって検出する出現パターンが異なつてく る 場合が生じるが、 読出し位置を順次異ならせた複数のデータ系列に ついて検出するよ う にしているため、 誤った判定をするこ とが少な く なり、 検出精度が高まる。

第 3発明にあっては、 命令コ一 の 1 バイ ト 目 のデータ と 、 命令 コー ドのバイ ト長との対応関係を記憶したテーブルを備えているた め、 データ の読出し位置がある命令系列において命令コー ド、の先頭 バイ ト以外に位置している と含には、 不正コー ドの検出を行わない よ う にするこ とができ、 処理速度の向上が図れる。

第 4発明にあっては、 実行中の命令コー ド群が置かれた記憶手段 上のァ ド レスを取得する処理が含まれる出現パターンを検出するよ う にしているため、 不正コードの本質的な構造に着目 した検出手法 の提案が可能となる。

第 5発明にめつては、 所定の処理を実行する命令コード群を呼出 すための命令コ一ドを含みヽ 呼出し先の命令コー ド群において、 前 記命令コ一ドの復帰先のァ ド、 レスを取得する命令コードを含んでい

·>- る出現ハタ一ンを検出するよ Ό にしている。 したがって 、 不正処理 を実行させる うなデータでめるか否かを容易に判定することがで さ、 しかもその本質的な構 te.に基づいて検出 しているため、 未知の 不正コー ドに対しても対処することが可能となる。

第 6発明にあっては、 分岐命令の分岐先が前述の命令コード群に 対応付けられている出現パターンを検出するよ う にしている。 した がって、 不正処理を実行させる よ う なデータであるか否かを容易に 判定するこ とができ、 しかもその本質的な構造に基づいて検出 して いるため、未知の不正コー ドに対しても対処するこ とが可能となる。

第 7発明にめつては 更にシステム ールを起動する命令コ一ド を含んだ出現パタ一ンを検出するよ 5 にしている。 したがって 、 不 正コー ドが実行される蓋然性が高く なる場合を検出できるため 、 検 出精度が高ま

第 8発明にめつてはヽ 復帰先ア ドレスを起点と したデータの書換

X.を指示する命令コ一ド、を含んだ出現パターンを検出するよ う にし ている。 したがつて 、 実行前の段階でどのよ うな処理が実行される のかが分からないよ な不正コー ドに 対処するこ とが可能となる。 第 9発明にあつてはヽ 述の命令 一ドを呼び出すための命令コ 一ドの後に所定の文字コ ドを含んでいるか否かを判定するよ う に しているため、 特定の C P Uに対する不正コ一ドの検出処理におい て検出精度が高まる,

第 1 0発明にあつては 、 検出すべき命令 一ドの出現パターンを 検出した場合、 そのテ一タが不正処理を実行するテ一タである と判 定するよ う にしているため、 不正処理を実行させるよ うなデータで

- あるか否かを容易に判定する とがでさ、. しかもその本質的な構造 に基づいて判定しているため 、 未知の不正 一ドに対しても対処す ることが可能となる

第 1 1発明にあつては 、 検出したデ一タ系列が不正処理を実行す るデータである と判定した場 、 外部 その旨を報知するよ う にし ている 。 したがって 、 不正コ一ドを検出した時点で通 の遮断等を 行って 、 当該不正コ一ドによ り生じる不具 を防止するこ とが可能 となる 図面の簡単な説明

第 1 図は、 本実施の形態に係るデータ処理装置のブ口 ック図であ る。

第 2図は、 データ処理装置が実行する処理を説明する模式図であ る。

第 3図は、 解析対象データの構成を説明する模式図である。

第 4図は、 データ処理装置による不正コー ドの検出手順を説明す るフローチャー トである。

第 5 図は、 データ処理装置による不正コー ドの検出手順を説明す るフローチヤ一トである。

第 6 図は、 解析 ' 判定処理ルーチンの手順を説明するフローチヤ 一トである。

第 7図は、 データ処理装置の解析処理によ り検出する命令コード の出現パターンを説明する模式図である。

第 8図は 、 テータ処理装置の解析処理によ り検出する命令コード の出現パターンを説明する模式図である。

第 9図は . 解析処理ルーチンの処理手順を説明するフローチャー トである

第 1 0図は、 解析処理ルーチンの処理手順を説明するフローチヤ ー トである

第 1 1 図は、 解析処理ルーチンの処理手順を説明するフローチヤ ー トである

第 1 2図は、 解析処理ルーチンの処理手順を説明する フローチヤ ー トであ

第 1 3 図は、 解析処理ルーチンの処理手順を説明するフローチヤ ー トである

第 1 4図は、 判定処理ルーチンの処理手順を説明するフロ一チヤ ー トである

第 1 5図は、 本実施の形態に係る解析処理ルーチンの処理手順を 説明するフ α一チヤ一トである。

第 1 6図は、 本実施の形態に係る解析処理ル一チンの処理手順を 説明するフ Π一チヤ一トである。

第 1 7図は、 本実施の形態に係る解析処理ルーチンの処理手順を 説明するフ Π一チヤ一トである。

第 1 8 図は、 本実施の形態に係る解析処理ルーチンの処理手順を 説明するフ Ρ一チヤ一トである。

第 1 9図は、 本実施の形態に係る解析処理ルーチンの処理手順を 説明するフ Π一チヤ一トである。

第 2 0図は、 本実施の形態に係る判定処理ル チンの処理手順を 説明するフ Π一チヤ一トである。 第 2 1 図は、 本実施の形態に係るデータ処理装置の構成を説明す る模式図である。 発明を実施するための最良の形態

以下、 本発明をその実施の形態を示す図面を参照して具体的に説 明する。

(第 1実施の形態）

第 1 図は本実施の形態に係るデータ処理装置のブロ ック図である。 図中 1 0 は、 データ処理装置であり 、 C P U 1 1、 外部ネ -y ト ヮー クへ接続するための通信ィ ンタ フエース 1 5 a 、 及び内部ィ、 ッ 卜 ヮ ークへ接続するための通信イ ンタ フェース 1 5 b を備えている。 了 ータ処理装置 1 0は、 具体的にはルータ、 プ 一ドバン ドルータ、 スィ ツチ等の通信ネッ ト ワーク上で送受信されるデータを中継する 装置であ り 、 通信イ ンタフェース 1 5 a には通信相手となる情報処 理装置及び通信装置等が外部ネッ ト ワークを介して接続されヽ S. ίρ イ ンタ フェース 1 5 b にはユーザが利用する情報処理装置及ぴ通信 装置等が内部ネッ ト ワークを介して接続される 。 前記情報処理装置 には、パーソナルコンピュータ、 ワークステーショ ン、サーバ装置、

P D A (Personal Digital Assistant) 等力 S含まれ、 前記通信装置 には携帯電話機等が含まれる。

C P U 1 1 には、 メモ リ 1 2 、 ノ ッファ メモリ 1 3、 及びルーテ イ ング部 1 4等のハー ドウェアが接続されており 、 C P U 1 1 がメ モ リ 1 2 に予め格納された制御プログラムを読込んで実行するこ と によ り前述の各ハー ドウエアを制御し、 外部ネッ トワーク と内部ネ ッ ト ワーク との間で送受信される各種データを中継する装置と して 動作させる。 また、 メモ リ 1 2 には、 各ハー ドウェアを動作させる ための制御プロ グラムの他、 通信経路を定めるために送信先のネ ッ ト ワークァ ド レスを記憶したルーティ ングテーブル、 及び本発明の コンピュータプログラムが格納されている。

内部ネ ッ ト ヮ一ク側から外部ネ ッ ト ヮ ク側へ丁 タを送信する 際にデータ処理装置 1 0 の通信イ ンタフェ一ス 1 5 b が当該データ を受信した場合 、 C P U 1 1 はメ モ リ 1 2 内に格納されたノレーティ ングテ一ブルを参照して通信経路を定めヽ 定めた通信経路に従って ルーテ ィ ング部 1 4 を制御する。 そ して 、 通信ィ ンタフ ェース 1 5 a を介して送信先の情報処理装置又は通信装置へァ一タ を送信する また、 外部ネッ ト ワーク側から内部ネ ッ 卜 ヮ一ク側へ送信するデ ータは、 前述と 同様の手順に従ってデータ処理装置 1 0 によ り 中継 される。 このと きデータ処理装置 1 0 は 、 信ィ ンタフェース 1 5 a 【こ飞受 1目 した外部ネ ッ ト ヮ一ク側からのァ一タ を一時的にバッフ ァ メモ リ 1 3 に記憶させ、 記憶させたデータ について解析を行う こ と によ り 、 ある特定の C P U (以下、 保護対象 C P U とい う ） につ いて不正処理を実行させる よ う な命令コー ド （以下、 不正コー ドと い う ） がそのデータに含まれているか否かを判定する。 バッファ メ モ リ 1 3 に記憶させたデータを解析 ' 判定するにあたって、 C P U 1 1 は、 本発明のコ ン ピュータプロ グラムをメ モ リ 1 2 から読込ん で実行し、 自身の内部にデータ を解析 ■ 判定するための環境を与え る仮想 C P U実行環境部 1 1 a を作成する。 仮想 C P U実行環境部 1 1 a は、 保護対象 C P Uが用いる レジスタ、 スタ ック に対応する 仮想レジス タ、 仮想ス タ ッ ク等を備えてお り 、 解析対象のデータを 保護対象 C P Uの命令コードと解釈して仮想的にデコー ドし、 その と きに生成されたパラ メータ等を記憶する。そ して、 C P U 1 1 は、 仮想 C P U実行環境部 1 1 a が備える仮想レジス タ及び仮想ス タ ツ ク の状態等を監視する こ とで不正コー ドの有無を判定する。 なお、 本実施の形態では、 C P U 1 1、 メモリ 1 2、 及びバッフ ァメ モ リ 1 3 を夫々個別に設ける構成と したが、 ノ ッ フ ァ メ モ リ及 び本発明のコ ンピュータプロ グラムを記憶した I C ( Integrated Circuit ) を 1 つ のチ ッ プ に実装 し た A S I C ( Application Specified IC) 等を設ける構成と しても良い。

第 2図はデータ処理装置 1 0が実行する処理を説明する模式図で ある。 データ処理装置 1 0が実行する処理は、 大別して （ 1 ) 外部 ネ ッ ト ワークからのデータの受信、 （ 2 ) 解析対象とするデータの 抽出、 （ 3 ) 解析対象のデータから派生させた複数の命令系列に対 する解析、 （ 4 ) 各命令系列における不正コ一 ドの検出、 に分かれ る。 以下では各処理について説明する。

( 1 ) データの受信

データ処理装置 1 0 の通信イ ンタ フェース 1 5 a は、 接続された 外部ネッ ト ワークの通信規格に準拠した通信手順に従って所定の単 位 （例えば、 パケッ ト単位） でデータを受信する。 受信するデータ の各単位は所定のバィ ト長を有しており、 送信元及び送信先のァ ド レス情報を含んだ通信ヘッダ、 並びにユーザが任意に作成したユー ザデータから構成される。 ユーザデータには、 ユーザが所望する処 理を実行させるための命令コ一 ドが含まれており 、 当該命令コー ド によって不正処理が実行される虡がある。

( 2 ) 解析対象データの抽出

そこで、 データ処理装置 1 0 は、 受信したデータをバイ ト単位で 順次的に抽出し、 バ ッ フ ァ メ モ リ 1 3 に記憶させて解析を行う。 デ ータの抽出を開始する位置、 すなわち解析開始位置は予め定められ た任意の位置とするこ とができる。 例えば、 受信したデータの先頭 バイ トを解析開始位置と しても良く 、 通信ヘッダを除いたユーザデ ータの先頭バイ トを解析開始位置と しても良い。 また、 解析対象と して抽出 したデータを記憶させるバッファ メモ リ 1 3 のバッファサ ィズは予め定められており 、 保護対象 C P Uがデコー ドするこ とが できる命令コー ドの内、 最大の命令長を有する命令コー ドが少なく と も 1つ以上記憶されるよ うなサイズに予め設定されている。

( 3 ) 複数の命令系列の解析

次いで、 バッファメモリ 1 3 に記憶させた解析対象データについ て複数の命令系列を派生させながら解析を行う。 こ こで、 命令系列 とは解析対象データについて指定した位置から始まる保護対象 C P Uの命令コ一 ドの並びをいう。

C P U 1 1 は 、 解析対象データについて解析を行う にあたり 、 バ ッファ メ モ V 1 3 の先頭バイ トから順次的に 1 ノ ィ トずつデータを

HK if ₀ し P U 1 1 f 、 込んだ 1 バイ トのデータが保護対象 C P

Uにおいてどのよ うな命令コ一ドの先頭バィ トに該当するか解釈し、 その解釈結果に基づいて命令の種類、 次の命令の開始位置、 及び当 該命令で使 されるノヽ。ラメ一タを記憶する 。 実際には本発明のコン ピュータプ P グラム中に保護対象 C P Uで使用される命令コー ドの 先頭バイ トの文ナコー ドと、 当該命令コ一ドの命令長及び使用され るパラメ一タ等との間の対応関係を規定したテーブル （以下、 命令 テーブルという ) を有しており 、 C P U 1 1 が本発明のコ ンビユー タプログラムを π ― ドした際に育 IJ言己命令テ一ブルがメモリ 1 2上に 格納される o C P U 1 1 は、 当該命令テープルを参照するこ とによ つて、 バッファメモリ 1 3から gin込んた 1バイ トのデータの解釈を 行 Ό 。

読込んだ 1 バイ トのデータの解釈を終えた後、 バッファ メモ リ 1 3からの読出し位置に対応する解析開始バッファ位置を .1バイ トず ら して更にデータを 1バイ ト読込み、 読込んだデータの読出し位置 を先頭バイ ト と した命令系列について解析を行う。 このよ うな処理 を解析開始バッファ位置を順次的にずら しながら繰返して実行する こ とによ り 、 読出し位置が異なる複数の命令系列について解析を行 ラ

また、 解析を終えたバ ッ ファメ モ リ 1 3 の解析開始ノ^ V ファ位 fc には、 受信したデータから次の読込みデータ位置のテ一タが sd憶 れる

( 4 ) 不正コー ドの検出

次いで、 データ処理装置 1 0 の C P U 1 1 は、 仮 ； i C P U実行環 境部 1 1 a が備える仮想レジス タ及び仮想スタ ックの状態等に基づ いて特定の構造 （出現パターン） を有する命令系列を検出するよ う にしており 、 特定の構造を有する命令系列を検出した場ム

1=1 、 不正コ 一 ドを検出したと判定する。 本実施の形態では以下の 2種類の構造 を有するデータを検出する。

1 つは、 分岐命令 （以下、 j m p命令とい う ） の分岐先が 、 命令 コ一 ド群を呼出す命令コー ド 、以 ！ ^、 c a 1 1 ·ρ卩 " という ) のア ド レス に対応付けられており 、 その c a 1 1 命令の呼出し先が 、 j m p命令と c a l 1 命令との間のァ ド レス に対応している構造である 以下では本構造を 「 ； j m p → c a 1 丄 」 構造と称する 通吊 、 後述 する 「 c a l l → p o p」 構造と組み合わされ攻撃者の不正コー ド に見出されるこ とが多い。

本構造をもつ不正コー ドでは、 j m p命令と c a 1 1 命令との間 の命令コー ド群で c a 1 1 命令直後のア ドレス（復帰先のア ドレス） の情報を取得し、 そのァ ド レスを手掛かり と して不正コー ド自身の 中に埋め込まれた外部コマン ドを取得し、 当該外部コマン ドを実行 したり 、 不正コー ド自身を書き換えたりするこ とが行われる。

も う 1つは、 c a l l 命令の呼出し先において、 p u s h命令が 先行しない p o p命令が存在する構造である。 こ こで、 ^ u s h命 令は、 ァ ドレス値等をスタ ック領域へ一時的に格納させるための命 令であ り 、 p o p命令は、 逆にスタ ック領域へ格納されたア ド レス 値等を取得する命令である。 以下では本構造を 「 c a 1 1 → p o p」 構造と称する。

本構造をもつ不正コー ドも基本的には前述の「 j m p → c a 1 1 J 構造と同様の手法を用いて、 外部コマン ドを実行したり 、 不正コー ド自身を書き換えたりする。 すなわち、 c a 1 1 命令が実行された と きに、 ス タ ッ ク領域に格納される復帰先のア ド レスの情報を P o p命令によ り取得し、 そのァ ド レスを手掛かり と して、 外部コマン ドを実行したり、 不正コー ド自身を書き換えたりする。

前述の 2種類の命令構造は一般のデータに見られる構造ではない ため、 データ処理装置 1 0がそれらの構造を持つ命令コー ドの出現 パタ ーンを検出した場合、 不正コー ドが含まれている蓋然性が高い と判定する。

なお、 「 j m p → c a 1 1 」 構造、 及び 「 c a 1 1 — > ρ ο ρ」 構 造を用いた不正コ一ドの動作については、後に詳述するこ と とする。

第 3 図は解析対象データの構成を説明する模式図である。 保護対 象 C P Uで使用される命令コ一 ドの命令長は必ずしも一定ではなく 、 様々な命令長の命令コー ドを使用する場合がある。 また、 受信する データには、 例えば、 画像データ、 文書データ等の命令コー ドでは ない単なるデータが含まれている場合もある。 したがって、 解析対 象とするデータ の読出し位置を適切に設定しないと きは、 命令コー ドを正しく解釈できない虞があ り 、 不正コー ドの有無についての判 定を誤る場合が生じる。

そこで、 本実施の形態では、 単なるデータ と命令コー ドとの境界 及び 2つの命令コー ド間の境界 （命令境界） を正しく把握するため に、 ノくッファメモリ 1 3 に記憶させた解析対象のデータを 1 バイ ト ずつ読込み、 それをある命令コー ドの先頭バイ ト とみな してデータ の解析を進める。 前述した命令テーブルを参照する こ と によ り 、 読 込んだ 1 バイ トのデータから次の命令コ ー ドの位置が分かるため、 順次的に命令コー ドを把握する こ とが可能と な り 、 解析対象データ を複数の命令コー ドが連続した 1 つの並び （命令系列） と解釈する こ とができ る。 また、 1 バイ トずつデータの読込み位置をずら しな が ら解釈を行う ため、 先頭バイ トの位置がそれぞれ異なる複数の命 令系列を順次的に派生させる こ とができ、 それらの命令系列の中に 含まれる こ と と なる正しい命令境界を持つ命令系列について解析を 行う こ とが可能となる。

以下、 第 3 図を用いて具体的に説明する。 第 3 図に示した解析対- 象デ一タ は、 先頭から 4バイ トの単なるデータ、 2バイ トの命令コ ー ド (命令 1 ) 、 4バイ トの命令コ ー ド (命令 2 ) 、 4バイ トの命 令コー ド （命令 3 ) 、 1 バイ トの命令コー ド （命令 4 ) …が連続し たデータである。 まず、 解析開始バッファ位置を b 1 に設定して 1 バイ トのデータを読込み、 命令内容、 次の命令コー ドの位置、 及び その命令コ ー ドで使用されるパラメ ータ等の情報を取得する と と も に、 b 1 を先頭バイ ト と した命令系列 1 についての解析を始める。 そ して、 解析開始バッファ位置を b 2 , b 3 ， b 4 … と順次的にず ら しなが ら、 各読込み位置が先頭バイ ト と なる命令系列 2、 命令系 列 3 、 命令系列 4 …についての解析を同時並行して行う。 第 3 図に 示した例では、 b 5 の位置を先頭バイ ト と した命令系列 5 が正 しい 命令コー ドの並びと な り 、 命令系列 5 を解析したと きに 「 ； j m p → c a 1 1 」 構造、 又は 「 c a 1 l → p ₀ p 」 構造が検出された場合 に、 不正コー ドを検出 したと判定する。

なお、 b 7 から始まるデータ系列 7 、 b 1 1 から始まるデータ系 列 1 1 、 及ぴ b 1 5 から始まるデータ系列 1 5 等はデータ系列 5 の 一部と して含まれているため、 データの解析を省略するこ とができ る。

以下では、 データ処理装置 1 0 による不正コー ドの検出手順につ いて説明する。 第 4図及び第 5図はデータ処理装置 1 0 による不正 コー ドの検出手順を説明するフローチャー トである。 外部ネッ トヮ ークからのデータを通信インタフェース 1 5 a にて受信した場合、 まず、 読込みデータ位置、 及び解析開始位置を初期化し （ステ ップ S 1 ) 、 バッファメモリ 1 3へデータを読込む (ステップ S 2 ) 。 この初期段階での読込みでは、 バッファメモ リ 1 3 のバッファサイ ズ分だけデータを読込む。 そして、 読込データ位置にバッファサィ ズを加算した位置を次の読込データ位匱と して設定する (ステ ップ S 3 ) 。 また、 解析中の命令系列がある場合には、 その命令系列の 集合を初期化する (ステ ップ S 4 ) 。

そ して、 解析開始バッファ位置のデータが受信したデータの終端 であるか否かを判断する （ステップ S 5 ) 。 解析開始バッファ位置 のデータが終端した場合 ( S 5 ： Y E S ) 、 本フローチャー トによ る不正コー ドの検出処理を終了し、 解析開始バッフ ァ位置のデータ が終端していない場合 （ S 5 ： N O ) 、 解析開始バッファ位置のデ ータを 1バイ ト読込む (ステ ップ S 6 ) 。 次いで、 読込んだ 1バイ トのデータに基づいて次の命令開始位置、 命令の種類、 及びパラメ ータを取得し、それらをメ モ リ 1 2 に記憶させる （ステップ S 7 ) 。

次いで、 C P U 1 1 は、 解析中の命令系列の中で、 現在位置が記 憶させた次の開始位置に一致する命令系列があるか否かを判断する

(ステ ップ S 8 ) 。 現在位置と記憶させた次の開始位置とがー致す る命令系列がある場合 （ S 8 ： Y E S ) 、 それらすベての命令系列 について後述する解析 ■ 判定処理を実行する （ステップ S 1 0 ) 。 現在位置と記憶させた次の開始位置とがー致する命令系列がない 場合 （ S 8 ： N O ) 、 現在位置から始まる命令系列を解析 · 判定処 理の対象とするために新しい命令系列と して追加した上で （ステツ プ S 9 ) 、 解析 . 判定処理を実行する （ S 1 0 ) 。

次いで、 書込みバッファ位置を解析開始バッファ位置と し （ステ ップ S 1 1 ) 、 読込みデータ位置を 1つだけ増加させる （ステップ S 1 2 ) 。 そして、 読込みデータ位置からバッファメモ リ 1 3上の 書込みバッファ位置へデータを 1バイ ト読込む（ステップ S 1 3 )。 次いで、 解析バッファ位置を 1つだけ増加させた値をバッファサイ ズで除算したときの余り を次の解析開始バッファ位置と して設定し (ステップ S 1 4 ) 、 処理をステップ S 5へ戻し、 解析を繰返し行 う

第 6図は解析 ■ 判定処理ルーチンの手順を説明するフローチヤ一 トである。 バッファメモ リ 1 3から読込んだ 1バイ トのデータが命 令コー ドの先頭バイ トに該当する ものを含んだ命令系列の全てにつ いて後述の解析処理を行う (ステ ップ S 2 1 ) 。 解析処理について は後に詳述する こ と とするが、 こ こでは、 読込んだ 1バイ トのデ一 タを元に命令テーブルを参照して、 命令の内容及び使用するパラ メ ータ、 並びに次の命令の位置等を記憶する と と もに、 仮想 C P U実 行環境部 1 1 a 内の仮想スタ ック内の状態を監視して解析を行う。

解析処理が終了した場合、 C P U 1 1 は解析した命令系列が終端 したか否かを判断し (ステップ S 2 2 ) 、 また、 命令系列が終了 し ていない場合 （ S 2 2 ： N O ) 、 本解析 ■ 判定処理ルーチンを終了 して、 第 5図のステップ S I 1 の処理へ移行させる。

また、 命令系列が終端したと判定した場合 （ S 2 2 ： Y E S ) 、 後述する判定処理を行う （ステップ S 2 3 ) 。 そして、 C P U 1 1 は、 その判定処理の結果を受けて不正コー ドを検出したか否かを判 断し （ステップ S 2 4 ) 、 不正コー ドを検出していないと判断した 場合（ S 2 4 ·· N O ) 、現在の命令系列を削除し （ステップ S 2 6 ) 、 不正コー ドを検出したと.判断した場合 ( S 2 4 ： Y E S ) 、 不正コ 一 ドを検出した旨の情報を出力する （ステクプ S 2 5 ) 情報の出 力は、 通信イ ンタフエース 1 5 b を介して内部ネッ 卜 ヮ一クに接続 された情報処理装置へ送信する構成でめつてあよ く 、 また 、 データ 処理装置 1 0 に文字情報と して表示する表示部、 又は光によ り報知 する発光部を設けて出力する構成であつてあよい。 またヽ 不正コー ドを検出した旨の情報を出力した後に通信を遮断するよ な処理を 行う構成と しても良い。

、、/1及び第 8図はデ一タ処理装置 1 0 の解析処理によ り検出す る命令コー ドの出現パタ一ンを説明する模式図である。 第 7図では

「 j m ρ → c a 1 1 」 構造を用レ、た不正 — ドの要部構成を示し、 第 8 図には 「 c a 1 1 → P o p j 構造を用いた不正 · Kの要部構 成を示す。

刖述し / よ つ に 「 j m p c a 1 1 J ォ冓 は、 当該 〗 m p命令の 分岐先力 S c a 1 1 命令のァ ド、レス に対応し 、 その c a 1 1 命令の呼 出し先が j m p命令と c a 1 1 命令との間にあるよ う な構造を有し ている (第 7図 ( b ) 参照 ) 。 第 7図 ( a ) に示した例では、 ァ ド レス A 1 の j m p命令によつて、 ァ ド、レス A 1 0 の c a 1 1 命令へ 分岐し 、 その c a 1 1 命令によってァ ド、レス A 2 〜A 6 の命令コー ド群を呼出 している。 ア ドレス A 1 0 の c a 1 1 命令が実行された と き、 その c a 1 1 命令の復帰先のァ ド、レス ( A 1 1 ) がスタ ック 領域に一時的に格納される スタ ツク領域に格納された復帰先のァ ド レスは、 P o p命令によ り取得できるため 、 そのァ ド レスを手が かり と して外部コマン ドを実行させる - とが可能となる。すなわち、 第 7図に示した不正コー ドは 、 ァ ドレス A 2 の p o p命令によ り c a 1 1 命令の復帰先であるァ ドレス A 1 1 を取得し、 ソフ ト ウェア 割込みである i n t命令によ り システム コールの呼出して、 攻撃者 がア ド レス A 1 1 に作成した外部コマン ド （例えば、 シェルプロ グ ラム） を実行させる構成である。 - 次に、 「 c a 1 1 → p o p」 構造は、 c a 1 1 命令の呼出先の命 令コー ド群において _p u s h命令が先行しない p o p命令を有する 構造をしている （第 8図 （ b ) 参照） 。 第 8図 （ a ) に示した例で は、 ア ド レス A 1 の c a 1 1 命令によって、 A 1 6〜A 2 0 の命令 コー ド群を呼出し、 その中で p o p命令によ り c a 1 1 命令の復帰 先のァ ド レスを取得している。 なお、 第 8図 ( a ) に示した例では、 c a 1 1 命令の直後に起動したい外部コマン ドの文字列を配置する 構成とせずに、 攻撃者が予め定めた固定長のダミーの命令コー ドを 挿入しているが、 この場合でも前述と同様の効果が得られる。 すな わち、 第 8図 （ a ) に示した例では、 c a 1 1 命令の呼出し先の命 令コー ド群に存在する p u s h命令が先行しない； o p命令によ り、 c a 1 1 命令の復帰先であるァ ド レス A 2を取得し、 演算処理によ つてァ ド レス A 7の値を算出 してァ ド レス A 2 0 の i n t命令によ り システムコールを呼出 し、 ァ ド レス A 7に配置された文字列の外 部コマン ド (シェルプログラム） を実行させる構成と している。

なお、 第 7図及び第 8 図に示したァ ドレスは便宜的に付与したァ ドレスであって、 必ずしもスタ ック領域上の連続したメ モ リ ァ ドレ スを表している訳ではない。

第 9図〜第 1 3図は解析処理ルーチンの処理手順を説明するフロ 一チャー トである。 データ処理装置 1 0の C P U 1 1 は、 前述の命 令テーブルを参照するこ とによ り 、 バッファメ モ リ 1 3から読込ん だ 1バイ トのデータから始まる命令系列が j m p命令であるか否か を判断する （ステップ S 3 1 ) 。 j m p命令である と判断した場合 ( S 3 1 ： Y E S ) 、 当該 j m p命令によ り指示される分岐先のァ ド レスが、 現在位置のア ド レス よ り も大きいか否かを判断する （ス テツプ S 3 2 ) 。 分岐先のァ ド レスが現在位置のァ ド レス よ り も小 さいと判断した場合 （ S 3 2 ： N O) 、 本ルーチンを終了 して解析 - 判定処理ルーチンへ処理を戻す。

また、 分岐先ァ ドレスが現在位置のァ ドレス よ り も大きいと判断 した場合 （ S 3 2 : Y E S ) 、 メモリ 1 2内の所定の記憶領域 （以 下、 分岐先テーブルとする） に既に記憶された分岐先ア ドレスが存 在するか否かを判断する (ステ ップ S 3 3 ) 。 分岐先テーブルに既 に記憶された分岐先ァ ド レスが存在しない場合 ( S 3 3 ： N O ) 、 ステ ップ S 3 1 で検出した j m p命令の分岐先ァ ド レスを分岐先テ ―ブルに記憶する (ステップ S 3 4 ) 。 また、 既に記憶された分岐 先のア ド レスが存在する場合 （ S 3 3 ： Y E S ) 、 小さい方の分岐 先のァ ド レスを選択して (ステ ップ S 3 5 ) 、 分岐先テーブルに記 憶させる分岐先ァ ドレスを更新する (ステ ップ S 3 6 ) 。

分岐先ァ ドレスを更新又は記憶した場合、 次の命令位置をメ モ リ 1 2 に記憶させ (ステ ップ S 3 7 ) 、 処理を解析 ■ 判定処理ルーチ ンへ戻す。

ステップ S 3 1 において j m p命令でないと判断した場合 ( S 3 1 ： N O ) 、 バ ッ フ ァ メ モ リ 1 3から読込んだ 1 バイ ト のデータが i n t命令であるか否かを判断する (ステ ッ プ S 4 1 ) 。 i n t命 令である と判断した場合 （ S 4 1 ： Y E S ) 、 i n t命令を検出し た旨をメ モ リ 1 2に記憶させる （ステップ S 4 2 ) 。 そして、 前述 の分岐先テーブルに既に記憶された分岐先ア ド レスがあるか否かを 判断する （ステ ップ S 4 3 ) 。 分岐先テーブルに記憶された分岐先 テープルがない場合 （ S 4 3 ： N O ) 、 現在解析している命令系列 を終端させ （ステップ S 4 4 ) 、 処理を解析 ■ 判定ルーチンへ戻し て後述する判定処理へ移行させる。 また、 既に記憶された分岐先ア ド レスがある場 A ( S 4 3 ： Y E

S ) 、 現在位置のア ド レスが分岐先テーブルに記 ' された分岐先ァ ドレス よ り も大きいか否かを判断する （ステップ S 4 5 ) 現在位 置のァ ドレスが記憶された分岐先ァ ド レス よ り も小さい場 a ( S 4

5 ： N O ) 、 現在解析している命令系列を終端させ （ S 4 4 ) 、 解 析 · 判定処理ルーチンへ戻して判定処理へ移行させる また 、 現在 位置のァ ド レスが記憶された分岐先ァ ド レス よ り も大さレ、場合 （ s

4 5 ： Y E S ) 、 命令系列を終端させるこ となく解析 • 判定処理ル 一チンへ処理を戻す。

ステップ S 4 1 において i n t命令でないと判断した場合 （ S 4 1 ： N O ) 、 ノ ッファメ モ リ 1 3から読込んだ 1バイ トのデータか ら始まる命令コー ドが c a 1 1 命令であるか否かを判断する (ステ ップ S 5 1 ) 。 c a 1 1 命令である と判断した場合 ( S 5 1 ： Y E S ) 、 当該 c a 1 1 命令の呼出先ア ド レスが現在位置のア ドレス よ り も大きいか否かを判断する (ステ ッ プ S 5 2 ) 。 呼出先ァ ド レス が現在位置のァ ド レス よ り も大きいと判断した場合 ( S 5 2 ： Y E S ) 、 既に記憶された呼出先ァ ド レスがあるか否かを判断する (ス テツプ S 5 3 ) 。 既に記憶された呼出先ァ ドレスがない場合 ( S 5 3 ： N O ) 、 ステップ S 5 1 で検出した c a 1 1 命令の呼出先ア ド レスを記憶させる （ステ ップ S 5 4 ) 。 また、 既に記憶された呼出 先ァ ド レス がある場合 ( S 5 3 ： Y E S ) 、 小さい方の呼出先ァ ド レスを選択して （ステップ S 5 5 ) 、 記憶している呼出先ア ド レス を更新する （ステ ップ S 5 6 ) 。

呼出先ア ド レスを更新又は記憶した場合、 次の命令位置から数バ ィ ト のデータを コマン ドデータ と してメ モ リ 1 2 に記憶させる （ス テツプ S 5 7 ) 。

ステ ップ S 5 2 において、 ステ ップ S 5 1 で検出した c a 1 1 命 令の呼出先ァ ド レスが現在位置よ り も小さいと判断した場合 （ S 5 2 ： N O ) 、 次の命令位置から数バイ トのデータをコマン ドデータ と してメモリ 1 2に記憶させる （ステップ S 5 8 ) 。

そして、 p o p命令が置かれた場所のリ ス トに呼出先ァ ド レスが あるか否かを判断する (ステ ップ S 5 9 ) 、 こ こで、 リ ス ト と は、 p o p命令が置かれているア ドレスをリ ス ト形式で記憶させている 記憶領域のこ とをいう。 リ ス ド上に呼出先ア ド レスがある と判断し た場合 （ S 5 9 ： Y E S ) 、 「 c a l l → p o p」 構造を検出した 旨をメモリ 1 2 に記憶させ （ステップ S 6 0 ) 、 現在解析している 命令系列を終端させる (ステ ップ S 6 1 ) 。 命令系列を終端させた 場合、 処理を解析 · 判定処理ルーチンへ戻し、 判定処理へと移行さ せる。

リ ス ト上に呼出先ァ ドレスがないと判断した場合（ S 5 9 : N O)、 i n t命令が検出されているか否かを判断し （ステップ S 6 2 ) 、 i n t命令が検出されていない場合 （ S 6 2 ： N O ) 、 命令系列を 終端させることなく処理を解析 · 判定処理ルーチンへ戻す。

i n t命令が検出されている場合 ( S 6 2 ： Y E S ) 、 分岐先テ 一ブルを参照して j m p命令の分岐先ァ ドレス が現在位置のァ ドレ ス ょ り小さいか否かを判断する (ステ ッ プ S 6 3 ) 。 分岐先ァ ド レ スが現在位置よ り大きいと判断した場合 ( S 6 3 ： N O ) 、 命令系 列を終端させることなく 処理を解析 ■ 判定処理ルーチンへ戻す。

分岐先ア ドレスが現在位置よ り小さいと判断した場合 （ S 6 3 ： Y E S ) 、 呼出先ア ド レスが j m p命令と現在位置との間にあるか 否かを判断する （ステップ S 6 4 ) 。 呼出先ア ドレスが j m p命令 と現在位置との間にない場合 （ S 6 4 ： N O ) 、 命令系列を終端さ せるこ となく処理を解析 ' 判定処理ルーチンへ戻す。 また、 呼出先 ァ ド レスが j m p命令と現在位置との間にある と判断した場合 （ S 6 4 ： Y E S ) 、 「 ； j m p → c a 1 1 」 構造を検出 した旨をメ モ リ 1 2 に記憶させ （ステップ S 6 5 ) 、 現在解析している命令系列を 終端させる （ステップ S 6 6 ) 。 命令系列を終端させた場合、 処理 を解析 · 判定処理ルーチンへ戻し、 判定処理へと移行させる。

ステップ S 5 1 において c a 1 1 命令でないと判断した場合 （ S 5 1 ： N O ) 、 ノ ッ フ ァ メ モ リ 1 3力 ら読込んだ 1 ノ イ ト のデータ から始まる命令コー ドが p o p命令であるか否かを判断する （ステ ップ S 7 1 )。 p o p命令である と判断した場合（ S 7 1 ： Y E S ) 、 リ ス トに現在位置のァ ド レスを記憶させる (ステップ S 7 2 ) 。 そ して、 c a 1 1 命令の呼出先ア ド レスが現在位置のア ドレス に一致 するか否かを判断する (ステップ S 7 3 ) 。 一致する場合 （ S 7 3 ： Y E S ) 、 Γ c a 1 1 → p o p j 構造を検出 した旨をメモリ 1 2 に 記憶させ （ステ ップ S 7 4 ) 、 処理を解析 ' 判定処理ルーチンへ戻 す。 また、 c a l l 命令の呼出先ア ド レスが現在位置のア ドレスに 一致しない場合 ( S 7 3 ： N O ) 、 処理を解析 ' 判定処理ルーチン へ戾す。

なお、 解析対象データにおいて、 j m p命令と c a 1 1 命令との 間、 又は c a 1 1 命令と p o p命令との間にダミーのデータが揷入 されているケースでは、命令境界を正しく解釈できない場合があり、 1つの命令系列の中で 「 ； j m p → c a 1 1 」 構造、 及び 「 c a 1 1 → p o p j 構造を検出できないこ とがある。 しかしながら、 本実施 の形態では、 次の命令位置よ り も大きい分岐先ァ ド レスをもつ j m P命令、 及び次の命令位置よ り も大きい呼出先ア ド レスをもつ c a 1 1 命令を検出した場合、 分岐先ア ド レス及び呼出先ア ド レスを、 それぞれの次の命令コー ドの開始位置と して解析を行う ため、 ダミ 一のデータが挿入されている場合にも前述の 「 ； j m p → c a 1 1 J 構造、 及び 「 c a ί 1 → ρ ₀ ρ」 構造を検出するこ とができる。 ステップ S 7 1 において c a 1 1 命令でないと判断した場合 （ S 7 1 ： N O ) 、 / ッ フ ァ メ モ リ 1 3 から読込んだ 1バイ ト のデータ 力 r e t命令、 1 r e t命令、 i n t 3命令、 又は i r e t命令の 何れかであるか否かを判断する （ステップ S 8 1 ) 。 これらの命令 は何れも呼出先のルーチンか ら呼出元のルーチンへ制御を戻すため の命令を表している。前述の何れかの命令である場合には（ S 8 1 ： Y E S )、現在解析している命令系列を終端させ（ステ ップ S 8 2 )、 処理を解析 · 判定処理ルーチンへ戻す。 また、 前述の何れの命令で もないと判断した場合 ( S 8 1 ： N O ) 、 命令系列を終端させるこ となく 、 処理を解析 ' 判定処理ルーチンへ戻す。

第 1 4図は判定処理ルーチンの処理手順を説明するフ ロ ーチヤ一 トである。 データ処理装置 1 0の C P U 1 1 は、 前述の解析処理ル 一チンによって終端した命令系列に i n t命令が検出されているか 否かを判断する （ステ ップ S 9 1 ) 。 i n t命令が検出されていな い場合 ( S 9 1 ： N O ) 、 割込み処理によ り システム コ一ルが呼出 されて外部コマン ドが実行される こ とがないため、 不正コード無し と判定する (ステ ップ S 9 2 ) 。

解析処理によ り終端した命令系列に i n t命令が検出されている 場合 （ S 9 1 ： Y E S ) 、 C P U 1 1 は、 「 c a 1 l → p o p」 構 造、 又は 「 ： j m p→ c a 1 1 」 構造が検出されているか否かを判断 する （ステ ップ S 9 3 ) 。 何れの構造も検出されていない場合 （ S 9 3 ： N O) 、 不正コー ド無しと判断する （ S 9 2 ) 。

「 c a 1 l → p o p」 構造、 又は 「 ； j m p→ c a 1 1 」 構造の何 れかを検出した場合 （ S 9 3 ： Y E S ) 、 コマン ドデータにパスの 区切り を表す" /" に対応する文字コー ドがあるか否かを判断する (ステ ッ プ S 9 4 ) 。 コマン ドデータに前記文字コー ドがない場合 ( S 9 4 ： N O ) 、 不正コー ド無しと判定する （ S 9 2 ) 。 また、 コマン ドデータに前記文字コー ドがある場合 （ S 9 4 ： Y E S ) 、 割込み処理によってシステムコールが呼出されて外部コマン ド （シ エルコー ド） が実行される蓋然性が高いと判断し、 不正コー ド有り と判定する （ステップ S 9 5 ) 。

なお 、 本実施の形態では 、 不正コ ドの検出ネ月 &を ί¾めるために 外部コマン ドにノヽ⁰スの区切り を示す / " が含まれているか否かを 判断して傍証を行う よ う にしているが 、 ステ Vプ S 9 3で Γ j m p

→ c a 1 1 」 構造又は 「 c a 1 1 → P o 」 構造を検出した段階で 不正コー ド有り と判定するよ う に しても良い したがつてヽ 検出 冃 度が要求されるよ うな環境での使用が予定されている場 a にはステ ップ S 9 4による傍証まで行い、 検出精度が要求されないよ う な環 境での使用が予定されている場合にはステツプ S 9 4による傍証を 省略するよ うにしても良い < 〕

また 、 本実施の形態では 、 パスの区切り を表す文字コ一 の例と して " / " を挙げたが、 異なる種類の保 αΜ対象 C P Uではヽ パス の 区切り を示す文字コー ドと して" ¥ "が使用されてレヽる場 Π ちあ り、 傍証に用いる文字コー ドは必ずしも / " に限定されずヽ 保護対象

C P Uの種類に応じて予め設定しておく ことが必要となる。

(第 2実施の形態）

第 1 実施の形態で説明した解析 · 判定処理ルーチンを用いて不正 コー ドを検出する手法の他に、 本実施の形態で説明するルーチンを 用いて不正コー ドを検出するこ と も可能である。 なお、 データ処理 装置 1 0のハー ドウェアの構成、 第 図及.び第 5図に示したデータ の読込みに関するルーチン、 及び第 6図に示した解析 · 判定処理ル 一チンは、 本実施の形態においてもそのまま援用できる.ため、 その 説明は省略すること とする。

第 1 5図〜第 1 9図は本実施の形態に係る解析処理ルーチンの処 理手順を説明するフローチャー トである。 データ処理装置 1 0 の C P U 1 1 は、 まず、 状態、 変数、 カ ウンタのそれぞれに付随する生 存期間をデク リ メ ン トする （ステップ S 1 0 1 ) 。 本実施の形態で は解析中の状況を示すパラメータ と して状態、 変数、 及ぴカ ウンタ を導入しており 、 それぞれのパラメータをセッ ト したときに生存期 間と して正の既定値をセッ トする よ う にしている。後述する よ う に、 状態と しては、 p o p命令が出現する とを待機している状態を示 す 「 P o 命令待機中」 状態、 「 c a 1 1 → p o p」 構造を確認す べき状態にあるこ と を示す 「 c a 1 1 → p o p確認」 状態を導入す

O。 3；た、 変数と しては、 u s h命令及び P o p命令の出現回数 の/ ランスを調べるための P u s li 一 P o p バラ ンス変数を導入す た、 カ ウンタには、 「 c a 1 1 → p o p」 構造が出現する蓋 然性が高い状態を計数する c a 1 1 → P o p確認、カ ウンタを導入す る。 生存期間は、 各パラメータ毎に予め設定された値であ り 、 解析 処理ル一チンを繰り返す毎に 1ずつ減少させてゆく こ とで、 解析処 理ルーチンの実行回数に対する有効性を示している。 なお、 本ステ ップで生存期間をデク リ メ ン ト した 果 、 生存期間が 0 となったも のは、 こ こで初期化が行われる。

次いで、 C P U 1 1 は、 命令テ ―ブルを参照するこ とによ り 、 バ ッファ メ モ リ 1 3から読込んだ 1 ノ^ィ トのデータが j m p命令であ る力 否かを判断する (ステ ップ S 1 0 2 ) 。 j m p命令である と判 断した場合 （ S 1 0 2 ： Y E S ) 、 当該 j m p命令によ り指示され る分岐先ア ドレスが、 次の命令位置よ り も大きいか否かを判断する

(ステップ S 1 0 3 ) 。 分岐先ァ ド、レスが次の命令位置よ り も小さ いと判断した場合 （ S 1 0 3 ： N O ) 、 本ルーチンを終了して解析 - 判定処理ルーチンへ処理を戻す。

また、 分岐先ア ドレスが次の命令位置よ り も大きいと判断した場 合 （ S 1 0 3 ： Y E S ) 、 分岐先ア ドレス と と もに次の命令位置を 対と して分岐先リ ス ト に記憶する （ステ ッ プ S 1 0 4 ) 。 こ こで、 分岐先リ ス トは複数のァ ド レスを記憶できる リ ス ト形式の記憶領域 であり 、 メ モ リ 1 2 内にその記憶領域が確保される。 そして、 次の 命令位置を分岐先ア ド レス に変更した後 （ステ ップ S 1 0 5 ) 、 処 理を解析 · 判定処理ルーチンへ戻す。

ステ ップ S 1 0 2 において ； j m p命令でないと判断した場合 （ S 1 0 2 ： N O ) 、 C P U 1 1 は、 バ ッ フ ァ メ モ リ 1 3 から読込んだ 1 バイ ト のデータが c a 1 1 命令であるか否かを判断する (ステ ツ プ S 1 0 6 ) 。 c a 1 1 命令である と判断した場合 ( S 1 0 6 ： Y E S ) 、 呼出先ァ ドレスが次の命令位置よ り大きいか否かを判断す る (ステ ッ プ S 1 0 7 ) 。 呼出先ァ ド レスが次の命令位置よ り も大 きいと判断した場合 ( S 1 0 7 ： Y E S ) 、 呼出先ァ ド レス と次の 命令位置との差が既定値 （例えば、 1 0バイ ト程度） よ り小さいか 否かを判断する (ステ ップ S 1 0 8 ) 。 差が既定値よ り も大きいと 判断した場合 （ S 1 0 8 ： N O ) 、 処理を解析 · 判定処理ルーチン へ戻す。

差が既定値よ り あ小さいと判断した場合 ( s 1 0 8 ： Y E S ) 、 p u s h 一 o p ノ^ラ ンス変数をク リ ア し , Γ P o p命令待機中」 状態である こ と を記憶する （ステツプ S 1 0 9 ) 。 本実施の形態で は、 c a 1 1 命令から 1 0バイ ト程度の fa囲内にその呼出先ァ ドレ スが有る場合 、 s h命令が先行しない P o P命令を検出するた めに、 p u s h — p o p ノくラ ンス変数を導入する 。 すなわち、 ステ ップ S 1 1 8以降で 、 u s h命令を見つけた場合、 u s h — p o p ノ ラ ンス変数をイ ンク リ メ ン ト し、 p o p命令を見つけた場合、 P u s h - p o p バラ ンス変数をデク リ メ ン ト して、 最終的に p U s h - p o pバランス変数の正負を判定するこ とで p u s h命令が 先行しない： o p命令を検出するよ う にしている。

「 p o p命令待機中」 状態であるこ とを記憶した後、 C P U 1 1 は、次の命令位置を呼出先ア ド レスに変更し（ステ ッ プ S 1 1 0 ) 、 処理を解析 ■ 判定処理ルーチンへ戻す。

一方、 ステップ S 1 0 7 において、 c a l 1 命令の呼出先ア ドレ スが次の命令位置よ り も小さいと判断した場合（ S 1 0 7 ： N O ) 、 呼出先ァ ド レスが解析開始位置よ り小さいか否かを判断する （ステ ップ S 1 1 1 ) 。 呼出先ア ド レスが解析開始位置よ り も小さいと判 断した場合 （ S 1 1 1 ： Y E S ) 、 処理を解析 ' 判定処理ルーチン へ戻す。 また、 呼出先ア ドレスが解析開始位置よ り も大きいと判断 した場合 ( S 1 1 1 ： N O ) 、 前述した分岐先リ ス トに記憶されて いる次の命令位置と分岐先ァ ドレス と の間に、 呼出先ァ ドレスが位 置する も のがあるか否かを判断する （ステ ップ S 1 1 2 ) 。 次の命 令位置と分岐先ァ ド レス との間に、 呼出先ァ ドレスが位置するもの がある場合 （ S 1 1 2 ： Y E S ) 、 p o p命令が置かれた場所のリ ス ト内のア ド レスが、 呼出先ア ド レスか ら所定範囲 （例えば、 数バ ィ ト） 内に存在するか否かを判断する （ステ ップ S 1 1 3 ) 。

呼出先ァ ド レスか ら所定範囲内に、 p o p命令が置かれた場所の リ ス ト 内のア ドレスが存在する場合 （ S 1 1 3 ： Y E S ) 、 呼出先 ァ ド レスが、 p o p命令が置かれた場所のリ ス ト内のァ ド レス に一 致するか否かを判断する （ステップ S 1 1 4 ) 。 そ して、 一致する と判断した場合 （ S 1 1 4 ： Y E S ) 、 「 c a 1 l → p o p」 構造 を検出 した旨を記憶し （ステ ップ S 1 1 5 ) 、 一致しない場合 （ S 1 1 4 _: N O) 、 「 ； i m p → _C a l l 」 構造を検出した旨を記憶す る （ステップ S 1 1 6 ) 。 そして、 命令系列を終端させ （ステップ S 1 1 7 ) 、 処理を解析 ' 判定処理ルーチンへ処理を戻す。 なお、 ステップ S 1 1 2において、 呼出先ア ドレスが次の命令位置と分岐 先ア ド レス と の間にない場合 （ S 1 1 2 ： N O ) 、 ステ ッ プ S' 1 1 3 において、 呼出先ァ ドレスから所定範囲内に、 p o p命令が置か れた場所のリ ス ト内のア ド レスが存在しない場合（ S 1 1 3 : N〇）、 命令系列を終端させるこ となく解析 · 判定処理ルーチンへ処理を戻 す。

ス テ ッ プ S 1 0 6 において c a 1 1 命令でないと判断した場合 ( S 1 0 6 ： N O ) 、 C P U 1 1 は、 バ ッ フ ァ メ モ リ 1 3から読込 んだ 1バイ ト のデータが p o p命令であるか否かを判断する (ステ ップ S 1 1 8 ) 。 p o p命令である と判断した場合 ( S 1 1 8 ： Y E S ) 、 リ ス ト に現在位置を記憶し （ステ ッ プ S 1 1 9 ) 、 p u s h — p o p バラ ンス変数をデク リ メ ン トする（ステ ップ S 1 2 0 )。 そして、 C P U 1 1 は、 現在の状態が 「 p o p命令待機中」 状態で あ り 、 しかも p u s h — p o p バランス変数が負であるか否かを判 断する （ステップ S 1 2 1 ) 。 「 p o p命令待機中」 状態であ り 、 しかも p u s h - p o p バラ ンス変数が負である と判断した場合 ( S 1 2 1 ： Y E S ) 、 p o p命令で使用されたレジス タ番号を記 憶し、 「 c a 1 l → p o p確認」 状態であるこ とをメ モ リ 1 2 に記 憶する (ステップ S 1 2 2 ) 。 そして、 c a 1 1 → p o p確認カ ウ ンタをク リ ア した上で (ステップ S 1 2 3 ) 、 処理を解析 · 判定ル 一チンへ戻す。 また、 「 p o p命令待機中」 でない場合、 又は p u s h - p o pバランス変数が負でない場合 ( S 1 2 1 ： N O ) 、 本 ルーチンを終了して解析 ■ 判定処理ルーチンへ処理を戻す。

ステップ S 1 1 8 において p o p命令でないと判断した場合 （ S 1 1 8 ： N O ) 、 C P U 1 1 は、 ノ ッ フ ァ メ モ リ 1 3力 ら読込んだ 1バイ トのデータが p u s h命令であるか否かを判断する （ステツ プ S 1 2 4 ) 。 p u s h命令である と判断した場合 （ S 1 2 4 : Y E S ) 、 p u s h — p o p バラ ンス変数をイ ンク リ メ ン ト した上で (ステ Vプ S 1 2 5 ) .、 処理を解析 ■ 判定処理ルーチンへ戻す。

ステ シプ S 1 2 4 に ：お 、て ： u s h命令でない と判断 した場合

( S 1 2 4 ： Ν Ο ) 、 C P U 1 1 は、 ノ ッ フ ァ メ モ リ 1 3 から読み 込んだ 1 バイ ト のテ一タが m o V命令である力 、 又は論理演算命令 であるか否かを判断する (ステ ップ S 1 2 6 ) 。 m o V命令又は論 理演算命令である と判断した場合 （ S 1 2 6 : Y E S ) 、 「 c a l

1→ p o Ρ確認」 状態でメモ リ ァ ド レ ッ シングのベース レジス タ に ad憶されてレヽる レジスタ番号を使用 しているか否かを判断する (ス テ ツプ S 1 2 7 ) 記レジスタ番号を使用 している と判断した場 合 （ S 1 2 7 ： Υ E S ) 、 c a 1 1→ p o p確認カ ウ ンタをイ ンク リ メ ン 卜 し （ステ ッ プ S 1 2 8 ) 、 c a 1 l → p o p 確認、カ ウ ンタ の値が既定値 （例えばヽ 3 〜 5程度） 以上であるか否かを判断する

(ステ プ S 1 2 9 ) c a 1 l → p o p確認カ ウ ンタ の値が既定 値以上である と判断した 合 （ S 1 2 9 : Y E S ) 、 「 c a l l → p o J 構造を検出 した を記憶し (ステ ッ プ S 1 3 0 ) 、 命令系 列を終端させた上で （ステ ップ S 1 3 1 ) 、 処理を解析 ' 判定処理 ルーチン 3 なお 、 ステ ツプ S 1 2 7 において、 記憶されてい る レジスタ番号を使用 していないと判断した場合（ S 1 2 7 ： N〇）、 また、 ステツプ s 1 2 9 において、 c a l l → p o p確認カ ウンタ の値が既定値よ り も小さいと判断した場合 （ S 1 2 9 ： N O ) 、 命 令系列を終端させる こ と なく 処理を解析 ·判定処理ルーチンへ戻す。

ステ ップ S 1 2 6 において、 m o V命令でも論理演算命令でもな いと判断した場合 ( s 1 2 6 ： N O) 、 終端命令とマーク された命 令であるか否かを判断する (ステ ップ S 1 3 2 ) 。 本実施の形態で は、 命令コー ドとその命令コー ドの命令長等と の関係を規定した命 令テーブルを用いているが、 その命令テーブルにて終端命令を予め マーク しておく こ と で、 終端命令とマーク された命令であるか否か を判断するこ とができる。 終端命令と してマーク しておく べき命令 には以下のものが存在する。 （ 1 ) システムプログラムでしか使わ れない保護機能命令 （A R P L , L G D T， L I D T , S G D T , S I D T , L L D T , L T R， S L D T , S T R， L M S W, S M S W , L A R , L S L， V E R W , C L T S , H L T， コ ン ト 口 一 ルレジスタ、 デバック レジスタに対する M O V等） 、 （ 2 ) セグメ ン ト セ レク タ を使用する命令 ( m o V , u s h , p o p の一部、 L E S， L D S等） 、 （ 3 ) 入出力命令 （ I N , O U T , I N S , O U T S等） 、 （ 4 ) まれにしか使用されない命令 （D A A, D A S , AA A , A A S , B O U N D , P U S H F , P O P F , S A H F， L A H F ) 、 ( 5 ) 関数又は割込みルーチンの開始、 終了を指 示する命令 （ E N T E R , L E A V E , R E T , L R E T , I N T 3 , I N T O , I R E T ) 。 なお、 これらの命令は、 特定の C P U に特化した命令であ り 、 保護対象 C P Uが変われば終端命令と して マーク しておく べき命令が変わるのは勿論のこ とである。 ステ ップ

S 1 3 2 において、 終端命令とマーク された命令である と判断した 場合 ( S 1 3 2 ： Y E S ) 、 解析中の命令系列を終端させた上で ( S 1 3 1 ) 、 処理を解析 · 判定処理ルーチンへ戻し、 終端命令とマー ク された命令でないと判断した場合 ( S 1 3 2 ： N O ) 、 命令系列 を終端させるこ となく 処理を解析'判定処理ルーチンへ戻す。また、 終端命令を検出する代わり に、 不正なァ ドレ ッ シング形式を持つ命 令を検出した場合、 不正なプレフィ ッタスが使用されているこ とを 検出 した場合にも、 命令系列を終端させた上で処理を解析 ■ 判定処 理ルーチンへ戻すよ う にしても良い。

第 2 0図は本実施の形態に係る判定処理ルーチンの処理手順を説 明するフローチャー トである。 本判定処理ルーチンでは、 データ処 理装置 1 0 の C P U 1 1 が、 「 c a 1 l → p o p」 構造又は 「 ； j m p→ c a 1 1 」 構造が検出されているか否かを判断し （ステップ S 1 4 1 ) 、 何れかの構造が検出されたと判断した場合 （ S 1 4 1 ： Y E S ) 、 不正コー ド有り と判定し （ステップ S 1 4 2 ) 、 何れの 構造も検出されていないと判断した場合 （ S 1 4 1 ： N O ) 、 不正 コー ド無しと判定する （ステップ S 1 4 3 ) 。 そして、 解析 ' 判定 処理ルーチンへ処理を戻す。

(第 3実施の形態）

第 1 実施の形態では、 ルータ、 ブロー ドバン ドルータ、 スィ ッチ 等のデータ通信で利用される中継装置に本発明を適用 した形態につ いて説明したが、 パーソナルコ ンピュータ、 サーバ装置、 携帯電話 機、 P D A等の通信機能を有した情報処理装置に適用するこ と も可 能である。

第 2 1 図は本実施の形態に係るデータ処理装置の構成を説明する 模式図である。 図中 1 0 0は、 パーソナルコ ンピュータのよ う な情 報処理装置であり 、 情報処理装置 1 0 0は、 C P U 1 0 1 を備えて おり 、 バス 1 0 2 を介して、 R O M 1 0 3、 R A M 1 0 4、 操作部 1 0 5、 表示部 1 0 6、 通信部 1 0 7、 内部記憶装置 1 0 8 、 及び 補助記憶装置 1 0 9 等の各種ハー ドウェアに接続されている。 C P U 1 0 1 は、 R O M 1 0 3 に格納された制御プロ グラムに従って、 それらのハー ドウェアを制御する。 R AM I 0 4は、 S R AM又は フラ ッシュメ モ リ等で構成され、 R O M 1 0 3 に格納された制御プ ログラムの実行時に発生するデータ、 通信部 1 0 7 を介して受信し た外部ネッ ト ワークからの各種のデータを受信する。

操作部 1 0 5 は、 キーボー ド、 マウス等の入力装置であ り 、 表示 部 1 0 6 は、 C R T、 液晶ディ スプレイ等の表示装置である。 操作 部 1 0 5及び表示部 1 0 6 は、 例えば、 送信すべきデータの入力及 び表示をする際に利用される。 通信部 1 0 7は、 モデム等の回線終 端装置を備えてお り 、 外部ネッ ト ワーク との間でやり 取り される各 種データの送受信を制御する。

補助記憶装置 1 0 9 は、 本発明のコ ンピュータプロ グラム等を記 録した F D、 C D— R OM等の記録媒体 Mから コ ンピュータプロ グ ラム等を読取る F D ドライブ、 C D— R OM ドライブ等からな り 、 読取られたコ ンピュータプロ グラムは、 内部記憶装置 1 0 8 に格納 される。 内部記憶装置 1 0 8 に格納されたコ ン ピュータプロ グラム は、 C P U 1 0 1 からの指示に応じて適宜 R AM I 0 4 に読込まれ て実行される。 C P U 1 0 1 が本発明のコ ン ピュータプロ グラムを 実行する こ と によって情報処理装置 1 0 0 は通信部 1 0 7 にて受信 したデータから不正コー ドを検出する装置と して機能する。

刖述のコンピュータプロ グラムは、 情報処理装置 1 0 0 の起動時 に自動的に R AM I 0 4 に読込まれる常駐型のプロ グラムである こ とが望ま しく 、 通 1S部 1 0 7 にて外部からデータを受信した際に、 自動的に不正コー ドを検出する よ う に しておく と よい なお 、 不正 コー ドの検出手順については、 実施の形態 1 で説明

した通 り であるので説明を省略する。

なお、 本発明のコ ンピュータプロ グラムは、 記録媒体 Mによ り提 供される形態と して説明 したが、 通信部 1 0 7 を介した通信手段に よって提供される形態であってもよい。

また、 本実施の形態では、 パーソナルコンピュータのよ う な情報 処理装置 1 0 0 を利用 して不正コー ドを検出する構成と したが、 パ 一ソナルコ ンピュータ の他、 携帯電話機、 P D A、 コ ンピュータゲ ーム機、 車載通信装置、 各種の情報家電に適用でき る こ と は勿論で あ 。

また、 本発明のコ ンピュータプロ グラムを F D、 C D— R OM等 の記録媒体に記録させて提供する こ と によ り 、 コ ンピュータ ウィル スを検出するアプリ ケーショ ンソフ ト ウエアのパッケージと して提 供するこ と も可能である。 産業上の利用可能性

第 1発明、第 2発明、第 1 2発明、及び第 1 3発明による場合は、 記憶手段からデータをバイ ト単位で順次的に読出して不正処理を実 行する命令コー ドが含まれているか否かを判定する際、 読出し位置 が異なる複数のデータ系列について、.命令コー ドの出現パターンを 検出よ う にしている。 したがって、 通常のデータには見られないよ う な命令コー ドの出現パターンに着目 して検出を行う こ とで、 未知 の不正コー ドが現れたときでも、 不正コー ドの本質的な処理内容が 変わらない限り対処するこ とが可能となる。 また、 本発明では命令 コー ドの出現パターンに基づいて検出を行うため、 検出の開始位置 をどこに設定するかによって検出する出現パターンが異なってく る 場合が生じるが、 読出し位置を順次異ならせた複数のデータ系列に ついて検出するよ う にしているため、 誤った判定をする こ とが少な く なり、 検出精度を高めるこ とができる。

第 3発明による場合は、 命令コー ドの 1バイ ト 目 のデータ と、 命 令コー ドのバイ ト長との対応関係を記憶したテーブルを備えている ため、 データの読出し位置がある命令系列において命令コー ドの先 頭バイ ト以外に位置している ときには、 不正コー ドの検出を行わな いよ う にするこ とができ、 処理速度の向上を図ることができる。 第 4発明による場合は、 実行中の命令コー ド群が置かれた記憶手 段上のア ドレスを取得する処理が含まれる出現パターンを検出する よ う に しているため、 不正コー ドの本質的な構造に着目 した検出手 法の提案が可能となる。

第 5発明による場合は、 所定の処理を実行する命令コー ド群を呼 出すための命令コー ドを含み、 呼出し先の命令コー ド群において、 前記命令コー ドの復帰先のァ ドレスを取得する命令コー ドを含んで いる出現パターンを検出するよ う にしている。 したがって、 不正処 理を実行させるよ う なデータであるか否かを容易に判定するこ とが でき、 しかもその本質的な構造に基づいて検出しているため、 未知 の不正コ一 ドに対しても対処することが可能となる。

第 6発明による場合は、 分岐命令の分岐先が前述の命令コー ド群 に対応付けられている出現パターンを検出するよ う にしている。 し たがって、 不正処理を実行させるよ う なデータであるか否かを容易 に判定するこ とができ、 しかもその本質的な構造に基づいて検出し ているため、 未知の不正コー ドに対しても対処することができる。 第 7発明による場合は、 更にシステムコールを起動する命令コー ドを含んだ出現パターンを検出するよ う にしている。 したがって、 不正コー ドが実行される蓋然性が高く なる場合を検出できるため、 検出精度を高めるこ とができる。

第 8発明による場合は、 復帰先ァ ド レスを起点と したデータの書 換えを指示する命令コー ドを含んだ出現パターンを検出するよ う に している。 したがって、 実行前の段階でどのよ う な処理が実行され るのかが分からないよ うな不正コー ドにも対処するこ とが可能とな る。

第 9発明による場合は、 前述の命令コー ドを呼び出すための命令 コー ドの後に所定の文字コー ドを含んでいるか否かを判定するよ う にしているため、 特定の C P Uに対する不正コー ドの検出処理にお いて検出精度を高めることができる。

第 1 0発明による場合は、 検出すべき命令コー ドの出現パターン を検出した場合、 そのデータが不正処理を実行するデータである と 判定する よ う にしているため、 不正処理を実行させるよ う なデータ - であるか否かを容易に判定する とがでさヽ しかもその本 的な構 造に基づいて判定して ヽるため 、 未知の不正コー ドに対しても対処 するこ とが可能とな 。

第 1 1発明による場合は 、 検出 したテ タ系列が不正処理を実行 する丁 ―タである と判定した場 、 外部 その旨を報知するよ う に している 。 したがつて、 不正 一ドを検出した時点で通信の遮断等 を行つて 、 当該不正コー ドによ り生じる不 合を防止する とがで きる。

Claims

請求の範囲

1 . 異なるバイ ト長の命令コー ドを複数含んだデータを受信する 受信手段と、 受信したデータを記憶する記憶手段とを備えるデータ 処理装置を用いて、 記憶したデータに含まれる命令コー ドに基づい て実行する処理が不正処理であるか否かを判定する不正処理判定方 法において、 前記記憶手段に記憶したデータをバイ ト単位で順次的 に読出し、 夫々が連続したバイ ト列からなり 、 各バイ ト列の先頭バ ィ トが異なる読出 し位置に対応した複数のデータ系列について、 各 データ系列に現れる命令コー ドの出現パターンを検出し、 検出した 命令コー ドの出現パターンに基づいて各データ系列による処理が不 正処理であるか否かを判定するこ とを特徴とする不正処理判定方法。

2 . 異なるバイ ト長の命令コー ドを複数含んだデータを受信する 受信手段と、 受信したデータを記憶する記憶手段と、 記憶したデー タに含まれる命令コー ドに基づいて実行される処理が不正処理であ るか否かを判定する判定手段とを備えるデータ処理装置において、 前記記憶手段に記憶したデータをバイ ト単位で順次的に読出す手段 と、 夫々が連続したバイ ト列からなり 、 各バイ ト列の先頭バイ トが 異なる読出し位置に対応した複数のデータ系列について、 各データ 系列に現れる命令コー ドの出現パターンを検出する検出手段とを備 え、 前記判定手段は、 前記検出手段が検出 した命令コー ドの出現パ ターンに基づいて各データ系列による処理が不正処理であるか否か を判定すべく なしてあることを特徴とするデータ処理装置。

3 . 命令コー ドの 1バイ ト 目のデータ と該命令コー ドのバイ ト長 との対応関係を記憶したテーブルを更に備えるこ とを特徴とする請 求項 2に記載のデータ処理装置。

4 .前記検出手段が検出すべき出現パターンを含むデータ系列は、 実行中の命令コー ド群が置かれた前記記憶手段上のァ ドレスを取得 する処理を含むこ とを特徴とする請求項 2に記載のデータ処理装置。

5 . 前記検出手段が検出すべき出現パターンの 1つは、 所定の処 理を実行する命令コー ド群を呼出すための命令コー ドを含み、 前記 命令コ ー ド群は、 前記命令コ ー ドの復帰先のァ ド レスを取得する命 令コー ドを含むことを特徴とする請求項 2又は請求項 4に記載のデ ータ処理装置。

6 .前記出現パターンは、分岐命令に係る命令コー ドを更に含み、 該命令コー ドの分岐先のア ド レスが、 前記命令コー ド群を呼出すた めの命令コ ー ドに対応付けられているこ とを特徴とする請求項 5 に 記載のデータ処理装置。

7 . 前記出現パターンは、 システム コールを起動する命令コ ー ド を更に含むことを特徴とする請求項 5 に記載のデータ処理装置。

8 . 前記出現パターンは、 前記ア ド レスを起点と したデータの書 換えを指示する命令コー ドを更に含むこ とを特徴とする請求項 5 に 記載のデータ処理装置。

9 . 前記出現パターンは、 前記命令コ 一 ドの後に所定の文字コ ー ドを更に含むことを特徴とする請求項 5に記載のデータ処理装置。

1 0 . 検出すべき出現パターンの 1つを前記検出手段が検出した 場合、 前記判定手段は、 検出したデータ系列が不正処理を実行する データである と判定すべく なしてあるこ と を特徴とする請求項 2 に 記載のデータ処理装置。

1 1 . 前記判定手段が、 検出したデータ系列が不正処理を実行す るデータである と判定した場合、 外部へその旨の情報を報知する手 段を更に備えるこ とを特徴とする請求項 2 に記載のデータ処理装置。

1 2 . コ ンピュータに、 入力された異なるバイ ト長の命令コー ド を複数含んだデータに基づいて実行される処理が不正処理であるか 否かを判定させるステップを有するコ ンピュータプロ グラ ムにおい て、 コ ンピュータ に、 夫々が連続したバイ ト列からな り 、 各バイ ト 列の先頭バイ ト を異なる読出 し位置に対応させて読出 した複数のデ ータ系列について、 各データ系列に現れる命令コー ドの出現パター ンを検出させるステ ップと、 コ ンピュータに、 検出 した命令コー ド の出現パターンに基づいて各データ系列による処理が不正処理であ るか否かを判定させるステップと を有する こ と を特徴とする コ ン ビ ユータプロ グラム。

1 3 . コ ンピュータ に、 入力された異なるバイ ト長の命令コー ド を複数含んだデータに基づいて実行される処理が不正処理であるか 否かを判定させるステ ップを有する コ ン ピュータプロ グラムが記録 されている コ ンピュータでの読取り が可能な記録媒体において、 コ ンピュータ に、 夫々が連続したバイ ト列からな り 、 各バイ ト列の先 頭バイ ト を異なる読出 し位置に対応させて読出 した複数のデータ系 列について、 各データ系列に現れる命令コー ドの出現パターンを検 出させるステ ップと 、 コ ン ピュータに、 検出 した命令コー ドの出現 パターンに基づいて各データ系列による処理が不正処理であるか否 かを判定させるステ ップと を有する コ ン ピュータプロ グラムが記録 されている こ と を特徴とする コンピュータでの読取り が可能な記録 媒体。