非法操作判定系统、非法操作判定方法及非法操作判定程序

2024年6月13日发(作者：)

(19)中华人民共和国国家知识产权局

(12)发明专利说明书

(21)申请号 CN2.X

(22)申请日 2004.05.13

(71)申请人 株式会社知识潮

地址 日本国东京都

(72)发明人 青木修 白杉政晴 小出研一 河野裕晃

(74)专利代理机构 北京君尚知识产权代理事务所

代理人 余功勋

(51)

(10)申请公布号 CN 1882931 A

(43)申请公布日 2006.12.20

权利要求说明书 说明书 幅图

(54)发明名称

非法操作判定系统、非法操作判定

方法及非法操作判定程序

(57)摘要

一种用于针对计算机所接受的操

作，根据异常行为参照协议子集判定是否

为非法操作的非法操作判定系统。也可以

应对有权限的用户更换计算机进行的非法

操作或者尚未创建用户协议子集的新用户

的非法操作。用户执行了某些操作后，认

知该操作的倾向以及该用户所执行操作的

倾向，分别创建节点协议子集和用户协议

子集，并将之分别存储于节点协议子集状

态表和各个用户的用户协议子集状态表

中。如此参照已创建的节点协议子集和用

户协议子集，进行所接受操作与通常操作

模式之间的偏差计算，判定该操作是否为

异常操作，并将非法操作可能性以分值计

算出来。

法律状态

法律状态公告日

法律状态信息

2021-04-23

未缴年费专利权终止

2009-05-27

授权

2007-02-14

实质审查的生效

2006-12-20

公开

法律状态

未缴年费专利权终止

授权

实质审查的生效

公开

权 利 要 求 说 明 书

1.一种非法操作判定系统，用于判定计算机所接受的操作是否为非法操作，其特征

在于包括以下装置：

操作接受装置，接受用于在所述计算机上执行操作的指令数据；

第一协议子集创建装置，根据所述指令数据创建有关所述计算机所接受指令数据的

操作的第一协议子集；

第一协议子集存储装置，存储根据所述第一协议子集创建装置创建而成的第一协议

子集；

第二协议子集创建装置，根据所述指令数据确定实施执行了所述操作的用户，创建

有关所述用户实施执行的操作的第二协议子集；

第二协议子集存储装置，以用户为单位存储根据所述第二协议子集创建装置创建的

第二协议子集；

分值算出装置，将所述指令数据与存储于所述第一协议子集存储装置或者所述第二

协议子集存储装置中的至少一个协议子集相对照，计算出用于判定所述操作是否为

非法操作的数值。

2.根据权利要求1所述的非法操作判定系统，其特征在于还包括：

存储有关所述计算机的运行记录数据的第一运行记录数据存储装置；和存储有关所

述计算机的以用户为单位的运行记录数据的第二运行记录数据存储装置；

所述第一协议子集创建装置是参照所述第一运行记录数据存储装置创建所述第一协

议子集的；所述第二协议子集创建装置是参照所述第二运行记录数据存储装置创建

所述第二协议子集的。

3.根据权利要求1所述的非法操作判定系统，其特征在于：包括执行用于检测特定

用户是否已登录所述计算机的处理的登录检测装置，当根据所述登录检测装置检测

出特定用户已登录时，所述第二协议子集创建装置创建有关所述用户的协议子集。

4.根据权利要求3所述的非法操作判定系统，其特征在于：所述登录检测装置在所

述计算机运行期间每间隔一定的时间执行检测处理。

5.根据权利要求3所述的非法操作判定系统，其特征在于：所述登录检测装置执行

了检测处理也无法检测出特定用户已登录时，所述第一协议子集创建装置创建有关

所述计算机的第一协议子集。

6.根据权利要求5所述的非法操作判定系统，其特征在于：所述登录检测装置在所

述计算机运行期间每间隔一定的时间执行检测处理。

7.根据权利要求1所述的非法操作判定系统，其特征在于：具备有第三协议子集创

建装置和第三协议子集存储装置，

所述的第三协议子集创建装置根据所述指令数据确定实施执行了所述操作的用户就

是初次操作所述计算机的初始用户后，创建有关被确定为初始用户的用户所实施执

行的操作的第三协议子集；

所述的第三协议子集存储装置存储所述第三协议子集创建装置创建的第三协议子集；

所述分值算出装置也可以使用存储于替换了所述第二协议子集存储装置的所述第三

协议子集存储装置中的至少一个协议子集来判定所述操作是否为非法操作。

8.根据权利要求7所述的非法操作判定系统，其特征在于：具备操作历史存储装置

和初始用户判定装置，

所述的操作历史存储装置以用户为单位存储操作所述计算机的用户登录所述计算机

的次数、操作所述计算机的操作时间、或者操作所述计算机的操作天数中至少一个

操作历史的相关累积值；

所述的初始用户判定装置参照所述操作历史存储装置，当所述累积值未达到预先设

定的标准值时，判定执行了所述操作的用户为初次操作所述计算机的初始用户；

所述的第三协议子集创建装置以在所述初始用户判定装置中被判定为初始用户的用

户所实施执行的操作为对象创建所述第三协议子集；

所述分值算出装置使用所述初始用户判定装置判定初始用户时，使用存储于所述第

三协议子集存储装置中的至少一个协议子集来判定所述操作是否为非法操作。

9.根据权利要求1至8中的任意一项所述的非法操作判定系统，其特征在于：所述

分值算出装置是根据所述指令数据和记录于所述协议子集的数据之间的偏差计算算

出分值的。

10.根据权利要求1至8中的任意一项所述的非法操作判定系统，其特征在于还包

括：当所述分值超过标准值时，执行所述操作的停止处理的操作停止装置。

11.根据权利要求1至8中的任意一项所述的非法操作判定系统，其特征在于还包

括：当所述分值超过标准值时，执行在所述计算机的操作画面上显示警告、或者在

所述计算机上产生警告音的处理的警告处理装置。

12.根据权利要求1至8中的任意一项所述的非法操作判定系统，其特征在于还包

括：当所述分值超过标准值时，将警告非法操作可能性的通知发送往所述计算机的

管理员所操作的管理服务器上的警告通知发送装置。

13.一种非法操作判定方法，用于判定计算机所接受的操作是否为非法操作，其特

征是包括以下步骤：

所述计算机接受用于执行所述操作的指令数据；

所述计算机创建有关所述计算机所接受指令数据的操作的第一协议子集，并将之存

储于第一协议子集存储部；

所述计算机确定实施执行了所述指令数据的所述操作的用户，创建有关所述用户实

施执行的操作的第二协议子集，并将之存储于第二协议子集存储部；

所述计算机将所述指令数据与存储于所述第一协议子集存储部或所述第二协议子集

存储部中的至少一个协议子集进行对照并计算出用于判定所述操作是否为非法操作

的分值。

14.一种非法操作判定方法，用于判定计算机所接受的操作是否为非法操作，其特

征是包括以下步骤：

所述计算机接受用于执行所述操作的指令数据；

所述计算机创建有关所述计算机所接受指令数据的操作的第一协议子集，并将之发

送往第一协议子集存储装置；

所述计算机确定实施执行了所述指令数据的所述操作的用户，创建有关所述用户实

施执行的操作的第二协议子集，并将之发送往第二协议子集存储装置；

所述计算机从所述第一协议子集存储装置或者所述第二协议子集存储装置中获取至

少一个协议子集，将所述指令数据与所述协议子集进行对照，并计算出用于判定所

述操作是否为非法操作的分值。

15.一种非法操作判定程序，用于判定计算机所接受的操作是否为非法操作，其特

征是执行了以下步骤：

所述计算机接受用于执行所述操作的指令数据；

所述计算机创建有关所述计算机所接受指令数据的操作的第一协议子集，并将之存

储于第一协议子集存储部；

所述计算机确定实施执行了所述指令数据的所述操作的用户，创建有关所述用户实

施执行的操作的第二协议子集，并将之存储于第二协议子集存储部；

所述计算机将所述指令数据与存储于所述第一协议子集存储部或所述第二协议子集

存储部的协议子集中的至少一个协议子集进行对照并计算出用于判定所述操作是否

为非法操作的分值。

16.一种非法操作判定程序，用于判定计算机所接受的操作是否为非法操作，其特

征是执行了以下步骤：

所述计算机接受用于执行所述操作的指令数据；

所述计算机创建有关所述计算机所接受指令数据的操作的第一协议子集，并将之发

送往第一协议子集存储装置；

所述计算机确定实施执行了所述指令数据的所述操作的用户，创建有关所述用户实

施执行的操作的第二协议子集，并将之发送往第二协议子集存储装置；

所述计算机从所述第一协议子集存储装置或所述第二协议子集存储装置中获取至少

一个协议子集，将所述指令数据与所述协议子集进行对照，并计算出用于判定所述

操作是否为非法操作的分值。

说 明 书

技术领域

本发明涉及一种用于判定计算机所接受的操作是否为非法操作的非法操作判定系统、

非法操作判定方法及非法操作判定程序。

背景技术

为了防止因非法获取存储于计算机上的信息或者从计算机非法侵入网络等由计算机

的非法操作所造成的侵害，产生了现有的各种技术。例如，根据身份、密码等认证

操作权限的方法被广泛应用，但是根据该方法无法防止拥有身份、密码的有权限者

的非法操作以及非法取得身份、密码的第三者所进行的操作等。

为了解决上述问题，一般将具有较高非法操作可能性的操作模式作为规则登录，根

据判定非法操作可能性的规则库，将计算机接受的操作对照规则进行判定。例如，

对于被发送往网络的数据，参照预先设定好的有关访问权限、源地址、传送文件类

型等规则，检测出具有非法可能并切断通讯的技术已被公开(参照专利文献1)。但

是，根据规则库的判定存在以下问题：即使是具有非法意图的操作但如果不在规则

范围内的话则无法被判定为非法，而且，根据与以往完全不同的方法执行不符合已

登录规则的非法操作时，计算机将无法感知该非法操作。

现有技术中，已有一些方法注意到异于日常操作且在一定时间发生异常的一般性非

法操作，根据计算机的操作历史创建设定了用户行为模式的协议子集，将计算机所

接受的操作对照协议子集以判定非法操作的可能性。例如已公开的下列技术：根据

用户的网络使用情况创建协议子集并检测网络的非法入侵的技术(参照专利文献2)，

或者根据计算机的操作历史登录日常的操作内容，将与登录内容不一致的操作判定

为非法操作的技术(参照专利文献3)。

专利文献1：日本特开2002-232451号公报

专利文献2：日本特开2002-135248号公报

专利文献3：日本特开2002-258972号公报

发明内容

发明所要解决的问题

上述专利文献2及专利文献3所记载的发明中的任意一项都是以计算机的用户为单

位设定计算机操作模式的。例如，由于在企业等用于业务的计算机通常都是在1台

计算机上设置多个帐户由多个用户共同使用，因此较佳的是以用户为单位设定作为

判定非法标准的协议子集。但是，以用户为单位设定协议子集的方法存在以下问题。

首先，在通过网络连接于多个计算机上的管理服务器上进行非法操作的判定时，有

的用户即使在与通常使用的计算机不同的其他计算机上进行操作，但只要是在自己

的协议子集的范围内进行操作，也会被判定为正常操作。当该用户为了进行某些非

法操作，使用虽然在同一网络但通常不使用的计算机时，例如，在总公司具有使用

有关帐目数据权限的职员在通常不使用的仓库的计算机上进行有关帐目数据的操作

时，无论是否具有异常操作的非法可能性，仅根据以用户为单位的协议子集无法判

定相关操作为非法操作。

此外，以用户为单位创建协议子集时，在特定的计算机上设置新用户帐户时，为了

创建可信度高的新用户的协议子集，不得不等到该用户的操作历史达到一定时间的

积累，但这就产生了在此积累期间无法进行有效判定的问题。

为了解决这些问题，最佳的是不只限于以用户为单位设定用于进行非法操作判定的

协议子集，也以计算机为单位进行设定并根据双方的信息综合判定。为了进行相关

判定，计算机在接受各种操作的过程中，必须有效地创建以计算机为单位的协议子

集和以用户为单位的协议子集。

针对上述问题，本发明提供一种用于将计算机所接受的操作对照以计算机为单位的

协议子集和以用户为单位的协议子集，判定是否为非法操作的非法操作判定系统、

非法操作判定方法及非法操作判定程序。

用于解决问题的方法

为了解决这些问题，本发明提供一种用于判定计算机所接受的操作是否为非法操作

的非法操作判定系统，其特征为包括以下装置：操作接受装置，接受用于执行所述

操作的指令数据；第一协议子集创建装置，根据所述指令数据创建有关所述计算机

接受指令数据的操作的第一协议子集；第一协议子集存储装置，存储根据所述第一

协议子集创建装置创建而成的第一协议子集；第二协议子集创建装置，根据所述指

令数据确定实施执行了所述操作的用户，创建有关所述用户实施执行的操作的第二

协议子集；第二协议子集存储装置，以用户为单位存储根据所述第二协议子集创建

装置创建的第二协议子集；分值算出装置，将所述指令数据与存储于所述第一协议

子集存储装置或者所述第二协议子集存储装置中的至少一个协议子集相对照，计算

出用于判定所述操作是否为非法操作的数值。

在本发明中，根据计算机所接受的操作分别以计算机单位、用户单位为标准创建并

存储协议子集，将新接受的操作与分别对应的协议子集相比较进行非法操作的判定，

据此，不只限于根据以用户为标准的异常操作进行判定，也可以对针对计算机进行

的异常操作进行判定。因此，也可以应对有权限的用户更换计算机进行的非法操作

或尚未创建用户协议子集的新用户的非法操作。

在协议子集的创建过程中，也可以根据接受操作时已登录用户的用户身份、包含于

已接受操作的指令数据中的用户身份等对特定用户的操作进行识别，根据特定用户

在已登录计算机的状态下的操作创建以用户为单位的协议子集。以计算机为单位的

协议子集的创建可以只以特定用户未登录但计算机已处于被操作状态时的操作为对

象，也可以以包括特定用户处于已登录状态的所有操作为对象。

此外，本发明还可有以下特征：具有存储有关所述计算机的运行记录数据的第一运

行记录数据存储装置、以及存储有关所述计算机的以用户为单位的运行记录数据的

第二运行记录数据存储装置。所述第一协议子集创建装置是参照所述第一运行记录

数据存储装置创建所述第一协议子集的；所述第二协议子集创建装置是参照所述第

二运行记录数据存储装置创建所述第二协议子集的。

以计算机为单位的协议子集、以用户为单位的协议子集分别用来定义计算机、用户

的操作倾向。因此，也可以在协议子集的创建过程中使用作为运行记录数据的以往

的操作历史。

进而，本发明可以具有以下特征：具备执行用于检测特定用户是否已登录所述计算

机的处理的登录检测装置，根据所述登录检测装置检测出特定用户已登录后，所述

第二协议子集创建装置创建有关所述用户的协议子集。本发明亦可有以下特征：所

述登录检测装置执行了检测处理也无法检测出特定用户已登录时，所述第一协议子

集创建装置创建有关所述计算机的协议子集。在所述各个构成中，所述登录检测装

置还可以是在所述计算机运行期间每间隔一定的时间执行检测处理。

根据以上构成，即使未进行用于创建协议子集的特定操作，只要一检测出用户已登

录则可以马上将该用户使用计算机的操作历史记录下来。而且即使用户未登录也可

以在计算机运行期间将该用户使用计算机的操作历史记录下来。如此，被记录的操

作历史可以根据运行时间分析用户或计算机的操作倾向并用于协议子集的创建。

进而，本发明还可具有以下特征：具备有第三协议子集创建装置和第三协议子集存

储装置，该第三协议子集创建装置根据所述指令数据确定实施执行了所述操作的用

户就是初次操作所述计算机的初始用户后，创建有关被确定为初始用户的用户所实

施执行的操作的第三协议子集；该第三协议子集存储装置存储所述第三协议子集创

建装置创建的第三协议子集；所述分值算出装置也可以使用存储于替换了所述第二

协议子集存储装置的所述第三协议子集存储装置中的至少一个协议子集来判定所述

操作是否为非法操作。此外，本发明还可具有以下特征：具备操作历史存储装置和

初始用户判定装置，该操作历史存储装置以用户为单位存储操作所述计算机的用户

登录所述计算机的次数、操作所述计算机的操作时间、或者操作所述计算机的操作

天数中至少一个操作历史的相关累积值，该初始用户判定装置参照所述操作历史存

储装置，当上述累积值未达到预先设定的标准值时，判定执行了所述操作的用户为

初次操作所述计算机的初始用户。所述第三协议子集创建装置以在所述初始用户判

定装置中被判定为初始用户的用户所实施执行的操作为对象创建所述第三协议子集；

所述分值算出装置使用所述初始用户判定装置判定初始用户时，使用存储于所述第

三协议子集存储装置中的至少一个协议子集来判定所述操作是否为非法操作。

对于初次使用还未创建用户协议子集的计算机的初始用户，虽然可以根据所操作计

算机的协议子集判定一般的非法操作，但是根据所述构成的话，可以通过比较初始

用户的一般操作倾向，进行更为准确的非法操作的判定。作为初始用户的用户既可

以被限定为完全是初次操作该计算机的用户，而在第2次使用计算机后到适当的用

户协议子集被创建前，也可以使用一般的初始用户使用的协议子集。在使用初始用

户用的协议子集期间，不限于初次，都可以自由设定规则，以指定一定的登录次数、

指定一定的操作时间(例如，总计登录时间99个小时等)、指定一定的操作天数(例

如，初次操作开始10天内的期间等)等。

进而，本发明也可具有以下特征：所述分值算出装置是根据所述指令数据和记录于

所述协议子集的数据之间的偏差计算算出分值的。

而且，在本发明中，也可以包括当所述分值超过标准值时，执行所述操作的停止处

理的操作停止装置。也可以包括当所述分值超过标准值时，执行在所述计算机的操

作画面上显示警告的处理、或者执行在所述计算机上产生警告音的处理的警告处理

装置。也可以包括当所述分值超过标准值时，将警告非法操作可能性的通知发往所

述计算机的管理员所操作的管理服务器上的警告通知发送装置。

如此，可以根据有关已接受操作的指令数据和作为一般操作倾向的协议子集之间的

偏差计算算出分值，进而根据分值是否超过所定的标准值来进行是否为非法操作的

判定。在判定出非法操作时，既可以中止操作，也可以在计算机上显示警告画面、

发出警告音，也可以通过网络将发生非法操作的情况通知管理员。

本发明也可以是使用了到目前为止已说明的非法操作判定系统的各个构成的非法操

作判定方法。此外，用于非法操作判定系统的各个构成也可以是非法操作判定程序。

而且，所述非法操作判定方法及非法操作判定程序根据将协议子集存储于计算机内

进行非法操作判定的情况和将协议子集存储于连接于网络的其他计算机内进行判定

的情况而存在程序次序上的不同。

换言之，本发明所涉及的第一非法操作判定方法是用于判定计算机所接受的操作是

否为非法操作的非法操作判定方法。其特征为包括以下步骤：所述计算机接受用于

执行所述操作的指令数据；所述计算机创建有关所述计算机所接受指令数据的操作

的第一协议子集，并将之存储于第一协议子集存储部；所述计算机确定实施执行了

所述指令数据的所述操作的用户，创建有关所述用户实施执行的操作的第二协议子

集，并将之存储于第二协议子集存储部；所述计算机将所述指令数据与存储于所述

第一协议子集存储部或所述第二协议子集存储部的协议子集中的至少一个协议子集

进行对照并计算出用于判定所述操作是否为非法操作的分值。

本发明所涉及的第二非法操作判定方法是用于判定计算机所接受的操作是否为非法

操作的非法操作判定方法。其特征为包括以下步骤：所述计算机接受用于执行所述

操作的指令数据；所述计算机创建有关所述计算机所接受指令数据的操作的第一协

议子集，并将之发送往第一协议子集存储装置；所述计算机确定实施执行了所述指

令数据的所述操作的用户，创建有关所述用户实施执行的操作的第二协议子集，并

将之发送往第二协议子集存储装置；所述计算机从所述第一协议子集存储装置或者

所述第二协议子集存储装置中获取至少一个协议子集，将所述指令数据与所述协议

子集进行对照，并计算出用于判定所述操作是否为非法操作的分值。

此外，本发明所涉及的第一非法操作判定程序是一种用于判定计算机所接受的操作

是否为非法操作的非法操作判定程序。其特征是执行了以下步骤：所述计算机接受

用于执行所述操作的指令数据；所述计算机创建有关所接受指令数据的操作的第一

协议子集，并将之存储于第一协议子集存储部；所述计算机确定实施执行了所述指

令数据的所述操作的用户，创建有关所述用户实施执行的操作的第二协议子集，并

将之存储于第二协议子集存储部；将所述指令数据与存储于所述第一协议子集存储

部或所述第二协议子集存储部的协议子集中的至少一个协议子集进行对照并计算出

用于判定所述操作是否为非法操作的分值。

本发明所涉及的第二非法操作判定程序是一种用于判定计算机所接受的操作是否为

非法操作的非法操作判定程序。其特征是执行了以下步骤：所述计算机接受用于执

行所述操作的指令数据；所述计算机创建有关所述计算机所接受指令数据的操作的

第一协议子集，并将之发送往第一协议子集存储装置；所述计算机确定实施执行了

所述指令数据的所述操作的用户，创建有关所述用户实施执行的操作的第二协议子

集，并将之发送往第二协议子集存储装置；从所述第一协议子集存储装置或所述第

二协议子集存储装置中获取至少一个协议子集，将所述指令数据与所述协议子集进

行对照，并计算出用于判定所述操作是否为非法操作的分值。

本发明的优点和积极效果

针对无法用规则库进行判定的计算机所进行的异常操作，可以根据本发明判定其是

否为非法操作。同时，不只限于根据以用户为基准的异常操作的判定，也可以对针

对计算机所进行的异常操作进行判定。因此，可以应对有权限的用户更换计算机所

进行的非法操作，或尚未创建用户协议子集的新用户的非法操作，可以显著提高应

对计算机非法操作的安全性。

具体实施方式

关于本发明的最佳实施方式，以下将结合附图进行详细说明。而且，以下的说明虽

然以判定连接于网络的计算机的非法操作为例进行说明，但是这仅是本发明的实施

方式的一个例子，也可以是仅使用独立的计算机，并不只限于本发明所涉及的实施

方式中所提到的。

图1是表示本发明所涉及的非法操作判定系统的概要的说明图。图2、图3是分别

表示本发明所涉及的非法操作判定系统的第1、第2实施方式的分解图。图4表示

本发明所涉及的非法操作判定系统的构成的分解图。图5、图6是分别表示根据本

发明所涉及的非法操作判定系统创建节点协议子集与用户协议子集的第1、第2模

式的说明图。图7是表示本发明所涉及的非法操作判定系统的流程的流程图。

下面结合图1，就本发明所涉及的非法操作判定系统的概要进行说明。在图1所示

的例子中，本发明所涉及的非法操作判定系统是存在于连接于网络的客户端上。客

户端被多个用户使用，并设有与各个用户相对应的帐户。

某个用户在客户端上执行了某些操作，则该客户端分别认知所接受的操作的倾向以

及该用户所执行的操作倾向并分别创建节点协议子集和用户协议子集。依此创建的

节点协议子集和用户协议子集分别存储于节点协议子集状态表和根据不同的用户设

置的用户协议子集状态表。

创建了有关该用户已执行的操作的协议子集后，接着对该操作是否为异常操作进行

判定。参照存储于节点协议子集状态表的节点协议子集和存储于用户协议子集状态

表的用户协议子集，根据和通常的操作模式之间的偏差计算进行判定。参照的状态

表根据操作的内容既可以包括节点协议子集与用户协议子集两种，也可以只是其中

的任意一种。

偏差计算的结果是计算出表示非法操作可能性的分值。由于在分值中设定了一定的

标准值，因此对于超过标准值且非法操作可能性较高的操作，可以设定执行操作的

中止处理、显示器上的警告显示、发送给管理员的通知等预先设定的处理。

本发明所涉及的非法操作判定系统既可在独立的计算机上使用，也可以在计算机连

接于网络时使用。对于后者，既可以是客户端单独进行非法操作的判定，也可以是

客户端和用于非法监视的服务器共同协作进行非法操作的判定。图2是表示本发明

所涉及的客户端单独进行非法操作判定的非法操作判定系统的第1实施方式。图3

是表示本发明所涉及的客户端和用于非法监视的服务器共同协作进行非法操作判定

的非法操作判定系统的第2实施方式。

图2所示的本发明所涉及的非法操作判定系统存在于用户终端20的处理装置210，

对用户终端20所接受的操作是否为非法操作进行判定。非法操作判定系统的功能

是通过存储于处理装置210的硬盘驱动器214的认知程序10及非法判定程序11而

实现的。而且，关于处理装置中用于存储程序的硬盘驱动器214，也可以是可存储

程序的闪存等其他的存储媒介。

首先，将用户终端20通上电源，启动存储在只读存储器213中用于输入控制和输

出控制等硬件控制的各种基本程序，同时从硬盘驱动器214读取并启动计算机的操

作系统。同时，从硬盘驱动器214读取并启动认知程序10及非法判定程序11，一

方面将随机存取存储器212作为工作区域使其发挥作用，一方面由中央处理器211

进行运算处理。

认知程序10及非法判定程序11例如可以是掌握了写出至电子集成驱动器(IDE，

Integrated drive Electronics，个人电脑、硬盘驱动器、只读光盘驱动器等接口的标

准规格)的内容作为执行了某些操作的事件，从而据此进行有关所述事件的认知及

非法判定的处理。也可以是监视写出至外部连接总线22的数据，实施执行作为在

输出装置23和外部存储装置24执行的操作的认知及非法判定的处理。也可以是监

视处理装置210中被执行了发往网络的发送处理的数据，监视这些数据并进行有关

与网络之间收发的认知及非法判定的处理。

关于认知，是将所接受的操作和存储于运行记录数据存储部14的运行记录进行对

比并分析操作的倾向，根据分析结果创建协议子集，将用户终端20的不确定用户

的操作的全部协议子集存储于节点协议子集存储部12，将确定了用户的协议子集

存储于用户协议子集存储部13。关于非法判定，有关用户终端20的一般性判定是

参照节点协议子集存储部12，关于各个用户的判定是参照用户协议子集存储部13。

如此，存储用于判定非法操作的协议子集的节点协议子集存储部12以及用户协议

子集存储部13既可以设置于用户终端20的内部，也可以如图3的第2实施方式所

示，设置于通过网络连接于用户终端20的非法监视服务器30的硬盘驱动器314内。

本发明所涉及的非法操作判定系统虽然可以与使用协议子集进行判定以外的一般规

则库所进行的判定配合使用，但是也可以如第2实施方式中所示，例如非法监视服

务器30上连接有多个用户终端，积存了很多的协议子集，根据这些协议子集在网

络中创建通用的规则并将之存储于通用规则存储部16。而且，图3中虽没有表示，

但是也可以将认知程序10及非法判定程序11的装置设置于非法监视服务器30内。

结合图4，就本发明所涉及的非法操作判定系统中相关的各个装置进行说明。首先，

在用户终端20上如果执行了某些操作，则数据认知部100接受用于执行该操作的

数据。数据认知部100参照运行记录数据存储部14创建以异常操作判定为标准的

协议子集。

该操作是在电源的开、关等未登录用户帐户状态下的操作时，在运行记录数据存储

部14参照有关不确定用户的用户终端20的一般运行记录，数据认知部100创建有

关不确定用户的用户终端20的一般协议子集并将之存储于节点协议子集存储部12。

另一方面，该操作是在登录了特定的用户帐户后的操作时，在运行记录数据存储部

14确定该帐户相对应用户的用户身份等，参照相应用户的运行记录，数据认知部

100创建确定了用户的协议子集，并将之存储于用户协议子集存储部13的相应用

户的相关状态表中。同一用户在处于维持登录状态下执行了多个操作时，将有关各

个操作在登录时已确定的用户身份等作为关键字确定用户、创建协议子集。对于用

户的确定，例如可以将在登录时已确定的用户身份等在维持登录状态期间一直保存

于随机存储存储器212等的运算处理范围内，在创建协议子集时读取。也可以是在

已登录状态时在指示执行操作的指令数据里附加确定用户身份的主题等，将该主题

作为关键字确定用户。而且，有关确定了用户的操作，也可以作为同一计算机所接

受的操作，同时创建有关不确定用户的用户终端20的一般协议子集并将之存储于

节点协议子集存储部12。

其次，参照异常操作判定部110的相对应的协议子集，对用于执行该操作的数据的

非法操作可能性进行判定。当该操作是不可确定用户的操作时，参照存储于节点协

议子集存储部12的协议子集，进行是否存在异常操作的判定；当该操作是可确定

用户的操作时，参照存储于用户协议子集存储部13的相对应用户的协议子集，进

行是否存在异常操作的判定。

异常操作的判定是根据与所接受的操作相对应的协议子集的偏差计算进行的。偏差

计算的标准例如可以使用接受操作的时间段或其标准值、操作频率、处理所需要的

数据量等各种可以数值化的数据。

如果在异常操作判定部110执行了偏差计算，则在分值算出部111将非法操作可能

性以分值计算出来。分值的设定既可以是根据与偏差计算算出的协议子集之间的偏

差度来决定，也可以根据在算出的分值上设定一定的标准值，当超过标准值时判定

为非法操作，并执行操作的中止处理等。

而且，所述已说明的数据认知部100、异常操作判定部110、分值算出部111的各

个部分实际上并不是被分离设置，而是包含于认知程序10以及非法判定程序11中，

并被依次读取。其中认知程序10和非法判定程序11作为用来执行各个处理的程序

存储于硬盘驱动器214内。同时一方面将随机存储存储器212作为工作区域发挥作

用，一方面通过中央处理器211进行运算处理的。

此外，所述说明中是在接受操作和进行认知后进行异常操作判定的，但是处理的顺

序不只限于此，也可以在进行已接受操作的异常判定之后，进行有关该操作的认知

并创建新的协议子集。

其次，结合图5、图6就根据本发明所涉及的非法操作判定系统创建节点协议子集

与用户协议子集的顺序的具体例子进行说明。图5是针对用户不确定时的操作创建

节点协议子集，针对用户已确定时的操作创建用户协议子集的第1模式的说明图。

图6是表示针对所有的操作创建节点协议子集，针对用户已确定时的操作创建用户

协议子集的第2模式的说明图。

在如图5所示的第1模式中，在将计算机通上电源启动操作系统后，本发明所涉及

的非法操作判定系统就被启动。在此，掌握所谓计算机通上电源的操作事件，创建

有关计算机启动时间等的协议子集，但是由于此时用户尚未登录无法确定，因此创

建作为与该计算机相关的一般协议子集的节点协议子集。

接着，启动计算机的用户1从自己的帐户登录后，作为用户1已登录的操作事件创

建与用户1相关的协议子集。也可以掌握用户1在登录中进行的应用的启动、操作

或者访问网络、打印等各种操作事件，根据这些事件也可以创建有关用户1的协议

子集。用户1退出后可以创建有关用户1的退出操作的协议子集。

用户1退出后至其他用户登录前的这段期间，进行电源的开关以及其他操作时，创

建作为用户不确定时的操作的协议子集。其后用户2登录时，与用户1一样，创建

有关用户2的协议子集。根据用户身份等将用户2的协议子集区别于用户协议子集

1并将之存储于不同的状态表中。

在计算机所接受操作的非法操作判定中，与所述区分一样，用户不确定时使用节点

协议子集，用户已确定时使用与各个用户相对应的用户协议子集。使用在登录时所

接受的用户身份等可以确定与各个用户相对应的协议子集。

在如图6所示的第2模式中，在创建用户已确定时所接受的操作的各个用户协议子

集的同时，创建用户不确定时的有关该计算机的节点协议子集。即使是用户已确定

时的操作，由于毫无疑问是该计算机所接受的操作，因此节点协议子集也可以以从

电源开到电源关为止的所有的操作为对象。

此外，虽然没有执行作为创建协议子集的对象的操作，但是也可以在创建协议子集

时使用计算机通电状态或特定用户维持处于已登录状态的事件。因此，例如以1个

小时1次的频率启动进行该处理的程序、可以检测出电源是否已开、特定用户是否

已登录，并根据这些结果创建协议子集。

而且，在到目前为止已说明的图5及图6所示的任意一种模式中，虽然都以已登录

的是1个用户为前提，但是在操作系统中进行1台计算机可以有多个登录的设定等，

在多个用户的操作同时进行的情况下，用户协议子集的创建、使用用户协议子集进

行非法操作的判定也可设定为可以同时进行以多个用户协议子集为对象的处理。节

点协议子集也可以是以各个用户的所有操作为对象，同时进行协议子集的创建及根

据协议子集所进行的判定。

结合图7的流程图就本发明所涉及的非法操作判定系统的流程进行说明。而且，以

下说明的流程只是本发明所涉及的非法操作判定系统的处理流程的一个例子，对于

协议子集的创建及分值算出的顺序、已确定用户的操作是否创建有节点协议子集等，

本发明并不只限于以下流程所示的例子。

首先，将计算机通上电源启动非法操作判定系统，创建有关计算机启动的节点协议

子集(S01)。已创建的节点协议子集是存储于节点协议子集状态表中(S02)。

其次，有关计算机的启动，将涉及该电源开的操作和存储于节点协议子集状态表中

的与计算机电源开相关的节点协议子集相比较进行偏差计算(S03)，算出分值(S04)。

将已算出的分值与预先设定的标准值相比较(S05)，超过标准值时作为具有较高非

法操作可能性的情况，执行操作的停止处理，具体而言是执行停止计算机启动处理

的操作(S06)。

另一方面，当分值未达到标准值时，照旧继续接受操作。接受有关确定用户的登录

(S07)，识别已登录用户的用户身份(S08)。创建有关该用户进行登录的用户协议子

集(S09)，将已创建的用户协议子集存储于与该用户的用户身份相对应的用户协议

子集状态表中(S10)。

接着，有关该用户的登录，是将该用户登录的相关操作和存储于与该用户相对应的

用户协议子集状态表中的与登录相关的用户协议子集进行比较并进行偏差计算

(S11)，算出分数值(S12)。将已算出的分值和预先设定的标准值进行比较(S13)，当

超过标准值时作为具有较高非法操作可能性的情况，执行操作的停止处理，具体而

言是执行停止接受登录处理的操作(S14)。

另一方面，当分值未达到标准值时，照旧继续接受操作。虽然已登录用户进行了各

种应用的处理，但非法操作判定系统是根据监视将新应用等的启动写出至电子集成

驱动器的情况进行检测的(S15)。如果不存在写出至电子集成驱动器的情况，则继

续监视。如果检测出存在写出至电子集成驱动器的情况时，创建有关根据被写出的

数据所进行的操作的用户协议子集(S16)，在与该用户的用户身份相对应的用户协

议子集状态表中，存储已创建的用户协议子集(S17)。而且，虽然是根据监视将新

应用等的启动写出至电子集成驱动器的情况进行检测，但是也可以通过监视作为应

用等的工作区域的存储器区域，检测已进行的新操作。

其次，有关该用户的登录，是将该用户的应用的启动等相关操作和存储于与该用户

相对应的用户协议子集状态表中的应用的启动等的相关用户协议子集进行比较并进

行偏差计算(S18)，算出分值(S19)。将已算出的分值和预先设定的标准值进行比较

(S20)，当超过标准值时作为具有较高非法操作可能性的情况，执行操作的停止处

理，具体而言是执行应用的中止处理等操作(S21)。另一方面，当分值未达到标准

值时，继续对连续写出至电子集成驱动器的监视(S15)。

附图说明

图1是表示本发明所涉及的非法操作判定系统的概要的说明图。

图2是表示本发明所涉及的非法操作判定系统的第1实施方式的分解图。

图3是表示本发明所涉及的非法操作判定系统的第2实施方式的分解图。

图4是表示本发明所涉及的非法操作判定系统的构成的分解图。

图5是表示根据本发明所涉及的非法操作判定系统创建节点协议子集和用户协议子

集的第1模式的说明图。

图6是表示根据本发明所涉及的非法操作判定系统创建节点协议子集和用户协议子

集的第2模式的说明图。

图7(a、b)是表示本发明所涉及的非法操作判定系统的流程的流程图。

附图符号的说明

10 认知程序

100 数据认知部

11 非法判定程序

110 异常操作判定部

111 分值算出部

12 节点协议子集存储部

13 用户协议子集存储部

14 运算记录数据存储部

15 运算记录数据存储部

16 通用规则存储部

20 用户终端

210 处理装置

211 中央处理器

212 随机存取存储器

213 只读存储器

214 硬盘驱动器

22 外部连接总线

23 输出装置

24 外部存储装置

30 非法监视服务器

311 中央处理器

312 随机存取存储器

313 只读存储器

314 硬盘驱动器