[发明专利]非法操作检测系统和非法操作检测方法

说明书

技术领域

本发明涉及操作检测系统，特别涉及对与信息泄露事故有关的风险较高的客户PC上的操作进行检测的非法操作检测系统和非法操作检测方法。

背景技术

以往，存在如下的PC操作记录管理产品：监视信息系统的用户操作，检测管理者预先指定的动作(例如针对可移动媒体的信息写入)，对管理者发出警告。

作为对具有恶意的操作或可疑操作进行检测的操作检测系统，存在专利文献1。

现有技术文献

专利文献

专利文献1：日本特开2009-20812号公报

发明内容

发明要解决的课题

在现有的客户PC操作记录管理产品中，需要预先指定打印或输出到可移动媒体这样的信息输出操作。并且，在专利文献1所示的技术中，管理者预先生成具有恶意的非法操作样板(pattern)并登记在记录分析服务器的数据库中，然后，通过用户的操作内容的匹配度来判断危险性。在任意情况下，均需要管理者在进行了非法操作的定义之后进行初始设定。

因此，课题在于，为了对与信息泄露有关的风险较高的用户操作进行检测，不进行在进行了特定的信息输出操作的情况下发出警告的初始设定以及定义非法操作样板的初始设定，就能够实现针对信息泄露的风险较高的行为发出警告的功能。

本发明是鉴于所述现有技术的课题而完成的，其目的在于提供如下的非法操作检测系统、非法操作检测方法以及非法操作检测程序：能够识别操作内容并针对信息泄露的风险较高的操作生成警告。

用于解决课题的手段

为了实现所述目的，本发明的特征在于，构成将微处理器作为监视对象并监视针对与所述监视对象连接的输出装置的画面上的信息的操作的监视装置，所述监视装置响应用于对所述监视对象输入信息的操作，识别被输入到所述监视对象的输入信息的取得方，并且对该输入信息赋予表示所述输入信息的取得方的标识符，所述监视装置响应用于从所述监视对象输出信息的操作，识别从所述监视对象输出的输出信息的输出目的地，并且检索表示所述输出信息的取得方的标识符，判定识别到的所述输出信息的输出目的地和检索到的所述输出信息的取得方的组合是否适合非法操作的条件，根据该判定结果生成警告。

发明效果

根据本发明，通过识别操作内容，能够针对信息泄露的风险较高的操作生成警告。

附图说明

图1是示出本发明的操作检测系统的一个实施方式的系统结构图。

图2是示出本发明的客户PC的结构的一例的图。

图3是示出在客户PC上动作的代理程序的结构的一例的图。

图4是示出利用Web浏览器输入文件时用户的操作以及在对话操作监视模块与浏览器监视模块之间执行的时序的一例的图。

图5是示出利用Web浏览器输入文件时用户的操作以及在对话操作监视模块、浏览器监视模块、文件操作监视模块之间执行的时序的一例的图。

图6是示出利用邮件程序输入文件时用户的操作以及在对话操作监视模块与TCP通信监视模块之间执行的时序的一例的图。

图7是示出利用邮件程序使用拖放(drag.drop)输入文件时用户的操作以及在文件操作监视模块与TCP通信监视模块之间执行的时序的一例的图。

图8是示出利用Web浏览器输出文件时用户的操作以及在对话操作监视模块与浏览器监视模块之间执行的时序的一例的图。

图9是示出利用邮件程序输出文件时用户的操作以及在对话操作监视模块与TCP通信监视模块之间执行的时序的一例的图。

图10是示出利用邮件程序使用拖放输出文件时用户的操作以及在文件操作监视模块与TCP通信监视模块之间执行的时序的一例的图。

图11是示出在打印文件时用户的操作以及在对话操作监视模块中执行的时序的一例的图。

图12是示出在从文件服务器输入文件时和对可移动媒体输出文件时用户的操作以及在文件操作监视模块中执行的时序的一例的图。

图13是示出在代理内使用的取得方DB以及被赋予给各文件的取得方信息的格式的一例的图。

图14是示出代理内的模块即浏览器监视模块的流程图的一例的图。

图15是示出代理内的模块即对话操作监视模块的流程图的全体像的一例的图。

图16是示出代理内的模块即对话操作监视模块的基于邮件程序的下载/上传线程部分的流程图的一例的图。

图17是示出代理内的模块即对话操作监视模块的基于浏览器的下载/上传线程部分的流程图的一例的图。