ELECTRONIC INSTRUMENT, AND ATTACK DETECTING METHOD FOR ELECTRONIC INSTRUMENT

• Main Authors: TOBA Tadanobu, SHIMBO Kenichi
• Format: Patent
• Language: English; French; Japanese
• Published: 17.06.2021
• Subjects: CALCULATING; COMPUTING; COUNTING; ELECTRIC DIGITAL DATA PROCESSING; PHYSICS

The objective of the present invention is to detect, in real-time, a malware infection or an abnormal operation resulting from a malicious attack, even in an electronic instrument having relatively poor processing capability.　This electronic instrument is provided with an executable code identifying unit which accepts an executable code string output from a processor, and identifies, at least, an execution address in a user program area of an operating system (OS), and an execution address in a kernel area, and a determining unit which compares a prescribed characteristic value obtained from an identification result obtained by the executable code identifying unit at a prescribed timing with a prescribed expected value, and if the difference is equal to or greater than a prescribed difference, determines that there has been an attack, wherein the identification unit notifies the processor using a prescribed abnormality notification signal if it is determined that there has been an attack. L'objectif de la présente invention est de détecter, en temps réel, une infection par un logiciel malveillant ou une opération anormale résultant d'une attaque malveillante, même dans un instrument électronique ayant une capacité de traitement relativement faible.　Cet instrument électronique est pourvu d'une unité d'identification de code exécutable qui accepte une chaîne de code exécutable produite par un processeur, et identifie au moins une adresse d'exécution dans une zone de programme d'utilisateur d'un système d'exploitation (OS), et une adresse d'exécution dans une zone de noyau, et une unité de détermination qui compare une valeur caractéristique préétablie obtenue à partir d'un résultat d'identification obtenu par l'unité d'identification de code exécutable à un instant préétabli avec une valeur attendue préétablie, et si la différence est supérieure ou égale à une différence préétablie, elle détermine qu'une attaque s'est produite, l'unité d'identification effectuant la notification au processeur en utilisant un signal de notification d'anomalie préétabli s'il est déterminé qu'une attaque s'est produite. 処理能力が比較的劣る電子機器であっても、マルウェア感染や、悪意のある攻撃による異常動作をリアルタイムに検知する。　電子機器であって、プロセッサから出力される実行コード列を受け付けて、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）のユーザープログラム領域の実行アドレスと、カーネル領域の実行アドレスと、を少なくとも識別する実行コード識別部と、所定のタイミングで実行コード識別部による識別結果から得られる所定の特徴値を所定の期待値と照合して所定以上の差がある場合に攻撃があると判定する判定部と、を備え、判定部は、攻撃があると判定すると、プロセッサに所定の異常通知信号を通知する。