CN106663166A - 检测装置、检测方法以及检测程序 - Google Patents
检测装置、检测方法以及检测程序 Download PDFInfo
- Publication number
- CN106663166A CN106663166A CN201580036747.5A CN201580036747A CN106663166A CN 106663166 A CN106663166 A CN 106663166A CN 201580036747 A CN201580036747 A CN 201580036747A CN 106663166 A CN106663166 A CN 106663166A
- Authority
- CN
- China
- Prior art keywords
- request
- unauthorized access
- inquiry
- detection means
- solicited message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
非法访问检测装置(50)的检测部(51)在请求获取部(31)所获取的与从用户所操作的终端向提供业务的业务服务器(10)发送的请求相关的信息与询问获取部(41)所获取的与从业务服务器(10)向保存与业务相关的信息的DB(20)发送的询问相关的信息之间的相关关系不同于正常模式的情况下,将询问检测为对DB(20)的非法访问。
Description
技术领域
本发明涉及检测装置、检测方法以及检测程序。
背景技术
以往,作为从恶意地利用Web应用的漏洞的攻击中保护Web应用的安全对策之一,引入了WAF(Web Application Firewall:Web应用防火墙)。WAF配置在客户端与服务器之间,保持已知的非法访问的签名。而且,WAF在对服务器中继从客户端发送的请求时,通过阻断与签名匹配的请求而防止对服务器的攻击。
现有技术文献
非专利文献
非专利文献1:“Web Application Firewall(WAF)読本”、[平成26年6月24日检索]、因特网<URL:http://www.ipa.go.jp/security/vuln/waf.html>
发明内容
发明要解决的课题
然而,在以往的技术中,存在无法检测对服务器的未知的非法访问这样的问题。例如,在上述的WAF中,由于需要保持已知的非法访问的签名,因此无法应对袭击不为人知的漏洞的攻击(零时差攻击)。当进行这样的攻击时,服务器被攻击者入侵而有时被远程操作。由于服务器具有对数据库的访问权,因此攻击者对服务器进行远程操作来访问数据库,从而有可能导致数据库的数据泄漏、篡改。
因此,本发明的目的在于,检测通过来自攻击者的攻击而从服务器对数据库进行的非法访问。
用于解决课题的手段
为了解决上述的课题并达成目的,所公开的检测装置的特征在于,具有:第1获取部,其获取第1请求信息,其中该第1请求信息与从用户所操作的终端向提供业务(service)的业务服务器发送的第1请求相关;第2获取部,其获取第2请求信息,其中该第2请求信息与从所述业务服务器向保存与所述业务相关的信息的保存装置发送的第2请求相关;以及检测部,其在所述第1请求信息与所述第2请求信息之间的相关关系不同于正常模式的情况下,将所述第2请求检测为对所述保存装置的非法访问。
发明效果
根据本申请所公开的实施方式,实现如下的效果:能够检测通过来自攻击者的攻击而从服务器对数据库进行的非法访问。
附图说明
图1是示出应用第1实施方式的非法访问检测装置的系统的概况的结构图。
图2是示出第1实施方式的非法访问检测装置中的处理的流程的流程图。
图3是用于对第1实施方式的非法访问检测装置的效果进行说明的图。
图4是示出第2实施方式的非法访问检测装置中的处理的流程的流程图。
图5是示出应用第3实施方式的非法访问检测装置的系统的概况的结构图。
图6是示出第3实施方式的正文模式(body-text pattern)存储部中存储的信息的一例的图。
图7是示出第3实施方式的非法访问检测装置中的处理的流程的流程图。
图8是示出第4实施方式的正文模式存储部中存储的信息的一例的图。
图9是示出第4实施方式的非法访问检测装置中的处理的流程的流程图。
图10是示出应用第5实施方式的非法访问检测装置的系统的概况的结构图。
图11是示出第5实施方式的会话信息DB中存储的信息的一例的图。
图12是示出第5实施方式的询问(query)模式存储部中存储的信息的一例的图。
图13是示出第5实施方式的非法访问检测装置中的处理的流程的流程图。
图14是示出应用其他实施方式的非法访问检测装置的系统的概况的结构图。
图15A是示出应用其他实施方式的非法访问检测装置的系统的概况的结构图。
图15B是示出应用其他实施方式的非法访问检测装置的系统的概况的结构图。
图16是示出执行检测程序的计算机的图。
具体实施方式
以下,根据附图详细地说明本申请的检测装置、检测方法以及检测程序的实施方式。此外,本申请的检测装置、检测方法以及检测程序不限于该实施方式。
[第1实施方式]
以下,在第1实施方式中,依次说明实施方式的非法访问检测装置的结构和处理的流程,然后,对非法访问检测装置的效果进行说明。
首先,使用图1对非法访问检测装置的结构进行说明。图1是示出应用第1实施方式的非法访问检测装置的系统的概况的结构图。如图1所示,该系统具有:业务服务器10、DB(Data base:数据库)20、日志获取装置30、40以及非法访问检测装置50。以下,对这些各部件的处理进行说明。
业务服务器10例如是提供各种网络业务(以下也简称为业务)的网络·应用服务器。例如,业务服务器10从用户所操作的终端(未图示)经由因特网5接收请求。该请求例如是HTTP(Hypertext Transfer Protocol:超文本传输协议)请求或HTTPS(HypertextTransfer Protocol Secure:安全超文本传输协议)请求。业务服务器10根据接收到的请求进行信息处理,向终端应答。
另外,业务服务器10在向终端应答时,根据需要而发布用于请求数据的检索或更新、删除等的询问,向DB 20发送。而且,业务服务器10从DB 20接收询问的执行结果,向终端应答。
DB 20保存与业务服务器10所提供的业务相关的信息。例如,DB 20从业务服务器10接收询问而执行询问中所描述的处理。而且,DB 20向业务服务器10发送询问的执行结果。此外,DB 20所保持的信息不限于SQL形式,也可以按照KVS(Key-Value Store:键值存储)形式管理。在该情况下,从业务服务器10向DB 20发送的请求被描述为KVS形式而不是询问。另外,DB 20是保存装置的一例。
日志获取装置30、40获取并记录与通信相关的日志。例如,日志获取装置30获取并记录由业务服务器10经由因特网5所交换的通信的日志。另外,日志获取装置40获取并记录在业务服务器10与DB 20之间所交换的通信的日志。此外,日志获取装置30、40例如通过NTP(Network Time Protocol:网络时间协议)等进行时刻的同步。另外,在使用HTTPS请求作为请求的情况下,虽然将请求的正文加密,但通过将日志获取装置30作为业务服务器10的反向代理,而能够在日志获取装置30侧对请求进行解密,因此能够将请求信息发送给非法访问检测装置50。
另外,日志获取装置30具有请求获取部31,日志获取装置40具有询问获取部41。
请求获取部31获取请求信息,该请求信息是与从终端向业务服务器10发送的请求相关的信息。而且,请求获取部31将所获取的请求信息发送给非法访问检测装置50。发送给非法访问检测装置50的请求信息被记录到非法访问检测装置50内部的规定的存储部(未图示)中。此外,请求获取部31是第1获取部的一例。
例如,请求获取部31至少获取业务服务器10接收到请求的接收时刻作为请求信息。而且,请求获取部31每次获取接收时刻都将所获取的接收时刻发送给非法访问检测装置50而记录到存储部中。此外,请求获取部31不限于请求的接收时刻,也可以获取请求的正文或发送源用户的IP(Internet Protocol:互联网协议)地址而发送给非法访问检测装置50。
询问获取部41获取询问信息,该询问信息是与从业务服务器10向DB 20发送的询问相关的信息。而且,询问获取部41将所获取的询问信息发送给非法访问检测装置50。发送给非法访问检测装置50的询问信息记录在非法访问检测装置50内部的规定的存储部(未图示)中。此外,询问获取部41是第2获取部的一例。
例如,询问获取部41至少获取DB 20接收到询问的接收时刻作为询问信息。而且,询问获取部41每次获取接收时刻都将所获取的接收时刻发送给非法访问检测装置50而记录到存储部中。此外,询问获取部41不限于询问的接收时刻,也可以获取询问的正文或发送源服务器的IP地址而发送给非法访问检测装置50。
非法访问检测装置50对非法访问进行检测。例如,非法访问检测装置50监视从因特网5到DB 20之间所交换的信息,而检测对DB 20的非法访问。非法访问检测装置50具有检测部51。
在请求信息与询问信息之间的相关关系不同于正常模式的情况下,检测部51将该询问检测为对DB 20的非法访问。例如,检测部51对请求的接收时刻与询问的接收时刻进行比较,如果在询问的接收时刻之前的规定的时间内未接收到请求,则视为不同于正常模式,将该询问检测为非法访问。
这里,如上所述地检测非法访问是因为作为请求信息与询问信息之间的相关关系存在如下的正常模式:在该正常模式下,在由业务服务器10发布询问之前业务服务器10接收到请求。换言之,在尽管未接收到该请求可是DB 20接收到询问的情况下,认为该询问是非法访问。例如,如果是从请求的接收起直到询问的发送为止的平均时间为0.1秒的业务服务器10,则在从询问的接收时刻的1秒前到询问的接收时刻为止的1秒钟内接收到请求是正常模式。在该情况下,如果询问的接收时刻之前的1秒之内未接收到请求,则视为不同于正常模式,检测部51将该询问检测为非法访问。此外,这里对于规定的时间是1秒的情况进行了说明,但该值可以根据业务服务器10等的性能(或者DB 20的负载状况、网络的拥塞状况等)而由非法访问检测装置50的管理者任意设定。
接着,使用图2对非法访问检测装置50中的处理的流程进行说明。图2是示出第1实施方式的非法访问检测装置中的处理的流程的流程图。
如图2所示,当到达处理时机时(步骤S101,是),非法访问检测装置50的检测部51开始进行处理。例如,检测部51以从日志获取装置40获取询问为契机而开始进行处理。此外,检测部51处于待机状态,直至到达处理时机为止(步骤S101,否)。
接着,检测部51判定在询问的接收时刻之前的规定的时间内是否接收到请求(步骤S102)。例如,如果DB 20接收到的询问的接收时刻是8时22分10秒,则检测部51判定从8时22分9秒到10秒之内业务服务器10是否接收到请求。这里,当在询问的接收时刻之前的规定的时间内接收到请求的情况下(步骤S102,是),检测部51判定为该询问不是非法访问(步骤S103)。
另一方面,当在询问的接收时刻之前的规定的时间内未接收到请求的情况下(步骤S102,否),检测部51判定为该询问是非法访问(步骤S104)。
此外,图2的例子仅是一例。例如,检测部51也可以按照规定的间隔(例如,1秒间隔)开始进行图2的处理。在该情况下,对于从上次的处理结束后到当前(本次的处理开始时刻)为止所获取的所有的询问,执行上述的处理(步骤S102~S104)。
第1实施方式的非法访问检测装置50获取与从终端向业务服务器10发送的请求相关的请求信息。而且,非法访问检测装置50获取与从业务服务器10向DB 20发送的询问相关的询问信息。而且,在请求信息与询问信息之间的相关关系不同于发布询问的请求的正常模式的情况下,非法访问检测装置50将该询问检测为对DB 20的非法访问。因此,非法访问检测装置50能够检测通过来自攻击者的攻击而从服务器对数据库进行的非法访问。
图3是用于对第1实施方式的非法访问检测装置的效果进行说明的图。如图3所示,通过零时差攻击而对服务器的远程操作成功的攻击者对业务服务器10进行远程操作,而通过(1)、向DB 20发布询问,而(2)、对DB 20中存储的信息进行收集·篡改。这里,如果是通常情况,则用户向业务服务器10发送请求,通过(3)、向DB 20发布询问,而(4)、访问DB 20中存储的信息。第1实施方式的非法访问检测装置50根据该通常情况下的请求与询问之间的相关关系、即正常模式,判定该询问是否正常。因此,非法访问检测装置50也能够应对零时差攻击。例如,即使通过了WAF的攻击者使业务服务器10发布非法询问,如果该询问不是基于来自用户的请求,则也能够检测为非法访问。另外,也可以通过公知的方法自动/手动地调查检测时刻周边的访问日志而确定攻击者。
另外,例如第1实施方式的非法访问检测装置50从与业务服务器10不同的独立的日志获取装置30、40获取请求信息和询问信息。由此,即使在业务服务器10被未知的攻击者入侵的情况下,也能够获取请求信息和询问信息,因此能够检测非法访问。
[第2实施方式]
在上述的第1实施方式中,对于根据在询问的接收时刻之前的规定的时间内接收到请求这样的正常模式而检测非法访问的情况进行了说明,但实施方式不限于此。例如,对于应用非法访问检测装置50的系统而言,存在具有如下的模式的情况:规定的期间内的询问的个数相对于请求的个数的比率大致恒定。在将非法访问检测装置50应用于这样的系统的情况下,非法访问检测装置50也可以将该模式作为正常模式而检测非法访问。因此,在第2实施方式中,对如下的情况进行说明:如果规定的期间内的询问的个数相对于请求的个数的比率超过阈值,则非法访问检测装置50将这些询问检测为非法访问。
第2实施方式的非法访问检测装置50具有与图1所示的非法访问检测装置50相同的结构,但检测部51中的处理的一部分不同。此外,在第2实施方式中,以与第1实施方式的不同点为中心进行说明,关于与第1实施方式中所说明的结构相同的功能的方面,省略说明。
第2实施方式的检测部51分别对在规定的期间内接收到的请求的个数和询问的个数进行计数,如果询问的个数相对于请求的个数的比率超过规定的阈值,则视为不同于正常模式,将这些询问检测为非法访问。
这里,如上所述地检测非法访问是因为对于系统而言作为请求信息与询问信息之间的相关关系存在如下的正常模式:规定的期间内的询问的个数相对于请求的个数的比率(以下也记为询问发布率)大致恒定。换言之,在询问的个数相对于同一期间内的请求的个数过多的情况下,认为在这些询问中包含非法访问。例如,在询问发布率为0.1左右(相对于10个请求发布1个询问)的业务服务器10中,如果存在询问发布率增加到0.3左右的期间,则视为不同于正常模式,检测部51检测为在该期间内所发布的询问中存在基于非法访问的询问。此外,这里对于阈值为0.3的情况进行了说明,但该值可以由非法访问检测装置50的管理者任意设定。
接着,使用图4对于第2实施方式的非法访问检测装置50中的处理的流程进行说明。图4是示出第2实施方式的非法访问检测装置中的处理的流程的流程图。
如图4所示,当到达处理时机时(步骤S201,是),非法访问检测装置50的检测部51开始进行处理。例如,检测部51按照规定的间隔(例如,1秒间隔)开始进行处理。此外,检测部51处于待机状态,直至到达处理时机为止(步骤S201,否)。
接着,检测部51分别对在规定的期间内接收到的请求的个数和询问的个数进行计数(步骤S202)。例如,检测部51分别对在紧接着的前1秒钟内业务服务器10接收到的请求的个数和在相同的时间内DB 20接收到的询问的个数进行计数。
而且,检测部51判定规定的期间内的询问发布率是否小于阈值(步骤S203)。例如,如果在步骤S202中所计数的请求的个数为“100”、询问的个数为“50”,则检测部51将询问发布率计算为“0.5”。而且,检测部51判定计算出的询问发布率“0.5”是否小于阈值。这里,在规定的期间内的询问发布率小于阈值的情况下(步骤S203,是),检测部51判定为该期间的询问不是非法访问(步骤S204)。
另一方面,在规定的期间内的询问发布率为阈值以上的情况下(步骤S203,否),检测部51判定为该期间的询问是非法访问(步骤S205)。
此外,图4的例子仅是一例。例如,开始进行处理的间隔、对请求和询问进行计数的期间、阈值也可以由非法访问检测装置50的管理者适当变更。
第2实施方式的非法访问检测装置50分别对在规定的期间内接收到的请求的个数和询问的个数进行计数,如果询问的个数相对于请求的个数的比率超过规定的阈值,则视为不同于正常模式,检测为在这些询问中存在基于非法访问的询问。因此,非法访问检测装置50能够检测通过来自攻击者的攻击而从服务器对数据库进行的非法访问。例如,非法访问检测装置50在1秒钟内接收100个请求这样的大规模的系统中也能够检测非法询问。
[第3实施方式]
另外,例如非法访问检测装置50也可以根据如下的正常模式来检测非法访问:在该正常模式下,发布与请求的正文模式对应的正文模式的询问。
图5是示出应用第3实施方式的非法访问检测装置的系统的概况的结构图。第3实施方式的非法访问检测装置50具有与图1所示的非法访问检测装置50基本相同的结构,但不同点在于,请求获取部31、询问获取部41以及检测部51中的处理的一部分和具有正文模式存储部52。此外,在第3实施方式中,以与第1实施方式的不同点为中心进行说明,关于与第1实施方式中所说明的结构相同的功能的方面,对于图5的各结构要素标注与图1相同的标号并省略说明。
第3实施方式的请求获取部31至少获取请求的接收时刻和请求的正文作为请求信息而发送给非法访问检测装置50。
第3实施方式的询问获取部41至少获取询问的接收时刻和询问的正文作为询问信息而发送给非法访问检测装置50。
第3实施方式的正文模式存储部52存储将请求的正文模式与询问的正文模式关联起来而得到的信息。这里,请求的正文模式是将请求的字符串中的根据登录用的请求或数据登记用的请求等请求的种类而预先决定的部分的字符串模式化而得到的。另外,询问的正文模式是在业务服务器10接收到对应的请求的情况下将从业务服务器10向DB 20发送的询问的字符串中的根据请求的种类而预先决定的部分的字符串模式化而得到的。此外,正文模式存储部52中存储的信息由非法访问检测装置50的管理者预先登记。
图6是示出第3实施方式的正文模式存储部中存储的信息的一例的图。如图6所示,正文模式存储部52例如存储将询问的正文模式“SELECT*FROM user WHERE id=?ANDpass=?”和请求的正文模式“URL=“http://www.xxx.co.jp/login.jsp””关联起来而得到的信息。此外,在图6中,“?”是任意的字符串。
第3实施方式的检测部51参照正文模式存储部52,如果在该询问的接收时刻之前的规定的时间内未接收到与询问获取部41所获取的询问的正文模式对应的正文模式的请求,则视为不同于正常模式,将该询问检测为非法访问。
这里,如上所述地检测非法访问是因为作为请求信息与询问信息之间的相关关系存在如下的正常模式:在该正常模式下,发布与请求的正文模式对应的正文模式的询问,例如如同在接收到登录用的请求时发布登录认证用的询问。换言之,如果业务服务器10未接收到与向DB 20发送的询问的正文模式对应的正文模式的请求,则认为该询问是非法访问。例如,即使在询问的接收时刻之前的1秒之内接收到请求,在这些正文模式不对应的情况下,也视为不同于正常模式,检测部51将该询问检测为非法访问。
接着,使用图7对第3实施方式的非法访问检测装置50中的处理的流程进行说明。图7是示出第3实施方式的非法访问检测装置中的处理的流程的流程图。
如图7所示,当到达处理时机时(步骤S301,是),非法访问检测装置50的检测部51开始进行处理。例如,检测部51以从日志获取装置40获取询问为契机开始进行处理。此外,检测部51处于待机状态,直至到达处理时机为止(步骤S301,否)。
接着,检测部51判定在询问的接收时刻之前的规定的时间内是否接收到与所获取的询问的正文模式对应的正文模式的请求(步骤S302)。例如,如果在8时22分10秒接收到登录认证用的询问,则检测部51判定从8时22分9秒到10秒之内业务服务器10是否接收到登录用的请求。这里,在接收到相应请求的情况下(步骤S302,是),检测部51判定为所获取的询问不是非法访问(步骤S303)。
另一方面,在未接收到相应请求的情况下(步骤S302,否),检测部51判定为所获取的询问是非法访问(步骤S304)。
此外,图7的例子仅是一例。例如,检测部51也可以按照规定的间隔(例如,1秒间隔)开始进行图7的处理。在该情况下,对于从上次的处理结束后到当前(本次处理开始时刻)为止所获取的所有的询问,执行上述的处理(步骤S302~S304)。
如果在该询问的接收时刻之前的规定的时间内未接收到与询问获取部41所获取的询问的正文模式对应的正文模式的请求,则视为不同于正常模式,第3实施方式的非法访问检测装置50将该询问检测为非法访问。因此,非法访问检测装置50能够检测通过来自攻击者的攻击而从服务器对数据库进行的非法访问。
例如,即使在询问的接收时刻之前的1秒之内接收到请求,在这些正文模式不对应的情况下,也视为不同于正常模式,非法访问检测装置50将该询问检测为非法访问。因此,非法访问检测装置50能够准确地检测非法访问。
[第4实施方式]
在上述的第2实施方式中,对于如果规定的期间内的询问的个数相对于请求的个数的比率超过阈值则检测为在这些询问中存在非法访问的情况进行了说明,但实施方式不限于此。例如,非法访问检测装置50也可以进一步使用请求和询问的正文模式来检测非法访问。
第4实施方式的非法访问检测装置50具有与图5所示的非法访问检测装置50相同的结构,但正文模式存储部52中存储的信息的一部分和检测部51中的处理的一部分不同。此外,在第4实施方式中,以与第3实施方式的不同点为中心进行说明,关于具有与第3实施方式中所说明的结构相同的功能的方面,省略说明。
第4实施方式的正文模式存储部52存储将请求的正文模式、询问的正文模式和阈值关联起来而得到的信息。阈值例如是根据询问发布率而决定的值。
图8是示出第4实施方式的正文模式存储部中存储的信息的一例的图。如图8所示,正文模式存储部52例如存储将询问的正文模式“SELECT*FROM user WHERE id=?ANDpass=?”、请求的正文模式“URL=“http://www.xxx.co.jp/login.jsp””以及询问发布率的阈值“0.2”关联起来而得到的信息。此外,在图8中,“?”是任意的字符串。
第4实施方式的检测部51参照正文模式存储部52,分别对在规定的期间内接收到的规定的正文模式的询问的个数和在相同的期间内接收到的与规定的正文模式对应的请求的个数进行计数。而且,如果询问的个数相对于请求的个数的比率(询问发布率)超过与规定的正文模式对应的阈值,则视为不同于正常模式,检测部51将该期间内所包含的询问检测为非法访问。
这里,如上所述地检测非法访问是因为即使在规定的期间内的询问发布率符合正常模式的情况下这些期间的询问也未必不是非法访问。例如,即使进行了非法访问,如果在该期间内不伴随着询问发布的请求增加,则认为表观的询问发布率无法看出显著的变化。因此,在第4实施方式中,除了询问发布率的正常模式之外,还考虑请求和询问的正文模式的正常模式,从而能够准确地检测非法访问。此外,如在第2实施方式中说明的那样,询问发布率的阈值可以由非法访问检测装置50的管理者任意地设定。
接着,使用图9对第4实施方式的非法访问检测装置50中的处理的流程进行说明。图9是示出第4实施方式的非法访问检测装置中的处理的流程的流程图。
如图9所示,当到达处理时机时(步骤S401,是),非法访问检测装置50的检测部51开始进行处理。例如,检测部51按照规定的间隔(例如,1秒间隔)开始进行处理。此外,检测部51处于待机状态,直至到达处理时机为止(步骤S401,否)。
接着,检测部51分别对在规定的期间内接收到的各正文模式的请求的个数和在规定的期间内接收到的各正文模式的询问的个数进行计数(步骤S402)。例如,检测部51分别对在紧接着的前1秒钟内由业务服务器10接收到的登录用的请求的个数和在相同的时间内由DB 20接收到的登录认证用的询问的个数进行计数。
而且,检测部51判定规定的期间内的各正文模式的询问发布率是否小于阈值(步骤S403)。例如,如果在步骤S402中所计数的请求的个数为“10”、询问的个数为“5”,则检测部51计算出询问发布率为“0.5”。而且,检测部51判定计算出的询问发布率“0.5”是否小于阈值。这里,在规定的期间内的各正文模式的询问发布率小于阈值的情况下(步骤S403,是),检测部51判定为该期间的询问不是非法访问(步骤S404)。
另一方面,在规定的期间内的各正文模式的询问发布率为阈值以上的情况下(步骤S403,否),检测部51判定为该期间内的该正文模式的询问是非法访问(步骤S405)。
此外,图9的例子仅是一例。例如,开始进行处理的间隔、对请求和询问进行计数的期间、阈值也可以由非法访问检测装置50的管理者适当变更。
第4实施方式的非法访问检测装置50参照正文模式存储部52,分别对在规定的期间内接收到的规定的正文模式的询问的个数和在相同的期间内接收到的与规定的正文模式对应的请求的个数进行计数。而且,如果询问的个数相对于请求的个数的比率(询问发布率)超过与规定的正文模式对应的阈值,则视为不同于正常模式,检测部51将该期间内所包含的询问检测为非法访问。因此,非法访问检测装置50能够检测对DB 20的未知的非法访问。例如,非法访问检测装置50在1秒钟内接收100个请求这样的大规模的系统中也能够准确地检测非法询问。
[第5实施方式]
在第5实施方式中,对于使用与业务服务器10实际连接的用户终端的信息来检测非法访问的情况进行说明。
图10是示出应用第5实施方式的非法访问检测装置的系统的概况的结构图。应用第5实施方式的非法访问检测装置50的系统与图1所示的非法访问检测装置50具有基本相同的结构,但不同点在于,请求获取部31、询问获取部41以及检测部51中的处理的一部分以及具有询问模式存储部53和会话信息DB 60。此外,在第5实施方式中,以与第1实施方式的不同点为中心进行说明,关于具有与第1实施方式中所说明的结构相同的功能的方面,对于图10的各结构要素标注与图1相同的标号并省略说明。
第5实施方式的请求获取部31至少获取请求的接收时刻和请求的正文作为请求信息而发送给非法访问检测装置50。
第5实施方式的询问获取部41至少获取询问的接收时刻和询问的正文作为询问信息而发送给非法访问检测装置50。
第5实施方式的会话信息DB 60存储与业务服务器10所连接的用户终端相关的信息。例如,会话信息DB 60存储将会话ID和用户ID关联起来而得到的信息。会话ID是用于识别与业务服务器10连接的终端的信息。另外,用户ID是用于识别利用业务服务器10所提供的业务的用户的信息。
图11是示出第5实施方式的会话信息DB中存储的信息的一例的图。如图11所示,会话信息DB 60例如存储将会话ID“31a9eab98d33bb24c”和用户ID“suzuki_taro”关联起来而得到的信息。此外,关于会话信息DB 60中存储的信息,例如当在用户终端与业务服务器10之间建立会话时由业务服务器10登记。
第5实施方式的询问模式存储部53存储将询问的正文模式与存储用户ID的变量名关联起来而得到的信息。存储用户ID的变量名是表示在对应的正文模式的询问中描述有用户ID的部位的信息。
图12是示出第5实施方式的询问模式存储部中存储的信息的一例的图。如图12所示,询问模式存储部53例如存储将询问的正文模式“SELECT?FROM userWHERE id=?”和存储用户ID的变量名“id”关联起来而得到的信息。此外,询问模式存储部53中存储的信息例如由非法访问检测装置50的管理者预先登记。另外,在图12中,“?”是任意的字符串。
第5实施方式的检测部51根据询问所包含的用户ID来确定会话ID,如果在该询问的接收时刻之前的规定的时间内未接收到包含所确定的会话ID的请求,则视为不同于正常模式,将该询问检测为非法访问。
这里,如上所述地检测非法访问是因为作为请求信息与询问信息之间的相关关系存在如下的正常模式:在该正常模式下,根据询问而确定的用户的会话ID与为了发布该询问而发送的请求所包含的会话ID一致。由此,检测部51能够更可靠地检测非法访问。此外,通常情况下,会话ID在HTTP请求的正文中记载于小型文本文件(cookie)或者URL(UniformResource Locator:统一资源定位符)部。
接着,使用图13对第5实施方式的非法访问检测装置50中的处理的流程进行说明。图13示出第5实施方式的非法访问检测装置中的处理的流程的流程图。此外,在图13的例子中,对于所获取的询问的正文是“SELECT creditcard FROM user WHERE id=suzuki_taro”的情况进行说明。
如图13所示,当到达处理时机时(步骤S501,是),非法访问检测装置50的检测部51开始进行处理。例如,检测部51按照规定的间隔(例如,1秒间隔)开始进行处理。此外,检测部51处于待机状态,直至到达处理时机为止(步骤S501,否)。
接着,检测部51参照询问模式存储部53,从所获取的询问中提取用户ID(步骤S502)。例如,检测部51参照询问模式存储部53,确定与所获取的询问的正文对应的正文模式。这里,由于接收到的询问的正文是“SELECT creditcard FROM user WHERE id=suzuki_taro”,因此检测部51确定“SELECT?FROM user WHERE id=?”作为询问的正文模式。接着,检测部51获取与所确定的正文模式对应的存储用户ID的变量名。在图12所示的例子中,由于存储与询问的正文模式“SELECT?FROM user WHERE id=?”对应的用户ID的变量名是“id”,因此检测部51获取“id”。而且,检测部51使用所获取的存储用户ID的变量名而从询问的正文中提取用户ID。在询问的正文中,由于“id”中所描述的内容是“suzuki_taro”,因此检测部51从询问的正文中提取“suzuki_taro”作为用户ID。
接着,检测部51参照会话信息DB,获取与用户ID对应的会话ID(步骤S503)。例如,检测部51参照会话信息DB 60,获取与在步骤S502中提取出的用户ID“suzuki_taro”对应的会话ID“31a9eab98d33bb24c”。
而且,检测部51判定在询问的接收时刻之前的规定的时间内是否接收到包含会话ID的请求(步骤S504)。例如,如果DB 20接收到的询问的接收时刻为8时22分10秒,则检测部51判定从8时22分9秒到10秒之内业务服务器10是否接收到包含会话ID“31a9eab98d33bb24c”的请求。这里,当在询问的接收时刻之前的规定的时间内接收到该请求的情况下(步骤S504,是),检测部51判定为该询问不是非法访问(步骤S505)。
另一方面,当在询问的接收时刻之前的规定的时间内未接收到相应请求的情况下(步骤S504,否),检测部51判定为该询问是非法访问(步骤S506)。
此外,图13的例子仅是一例。例如,检测部51也可以以从日志获取装置40获取询问为契机而开始进行图13的处理。
第5实施方式的非法访问检测装置50使用与业务服务器10实际连接的用户终端的信息来检测非法访问。因此,非法访问检测装置50能够更可靠地检测非法访问。例如,即使是1秒钟1000个请求这样的大规模的系统,非法访问检测装置50也能够高精度地检测非法访问。
[其他实施方式]
此外,在此之前对本发明的实施方式进行了说明,但本发明除了上述的实施方式以外,还可以通过各种不同的方式来实施。
[对于负载均衡装置的应用]
例如,在上述的第1~第5实施方式中,对于业务服务器10单独地发挥功能的情况进行了说明,但在配置有多个业务服务器10而实现负载均衡的情况下也可以应用。
图14是示出应用其他实施方式的非法访问检测装置的系统的概况的结构图。如图14所示,在该系统中,为了提供业务而具有3个业务服务器10A、10B、10C。
在该情况下,日志获取装置30作为LB(Load Balancer:负载均衡器)发挥功能。例如,日志获取装置30在将从用户终端发送来的请求转发给业务服务器10A、10B、10C中的任意业务服务器的情况下,在参照了各业务服务器10A、10B、10C的负载状况之后,转发给负载较少的业务服务器。而且,请求获取部31还获取请求的发送目的地的业务服务器的地址作为请求信息而发送给非法访问检测装置50。另外,询问获取部41还获取询问的发送源的业务服务器的地址作为询问信息而发送给非法访问检测装置50。
而且,检测部51对于每个所获取的请求和询问的地址,进行检测非法访问的处理。例如,如果所获取的询问的发送源是业务服务器10A,则检测部51判定发送目的地的地址是业务服务器10A的请求是否包含在该询问的接收时刻之前的规定的时间内。换言之,如果所获取的询问的发送源是业务服务器10A,则检测部51不将发送目的地的地址是业务服务器10B、10C的请求作为处理对象,而进行非法访问的检测处理。因此,非法访问检测装置50能够更准确地检测未知的非法访问。
这样,在存在多个业务服务器10的情况下,按照每个代理服务器将对DB 20的询问与请求的对应关系进行分类,从而能够提高检测性能。例如,在应用于上述的第1、3、5实施方式的情况下,在由日志获取装置30分配了请求的业务服务器与发布了询问的业务服务器不同的情况下,能够检测到非法访问。另外,在应用于第2、4实施方式的情况下,由日志获取装置30分配的对于某业务服务器的HTTP请求的个数与来自该业务服务器的询问的发布数的比例在每个业务服务器中大不相同,因而能够检测到非法访问。特别是当该比例在一部分的业务服务器中突出的情况下,能够检测出该业务服务器被入侵而发布了非法询问的可能性高。
[系统结构等]
另外,图示的各装置的各结构要素是功能概念性的,并不一定在物理上如图示那样构成。即,各装置的分散·整合的具体的方式不限于图示的内容,能够根据各种负载或使用状况等按照任意的单位在功能上或者物理上将其全部或者一部分分散·整合而构成。此外,关于各装置所进行的各处理功能,其全部或者任意的一部分可以通过CPU和由该CPU解析执行的程序来实现、或者可以作为基于线路逻辑的硬件而实现。
图15A和图15B是示出应用其他实施方式的非法访问检测装置的系统的概况的结构图。例如,如图15A所示,非法访问检测装置50除了检测部51之外还可以具有请求获取部31和询问获取部41。在该情况下,请求获取部31从业务服务器10获取请求信息,询问获取部41从DB 20获取询问信息。
另外,例如如图15B所示,非法访问检测装置50也可以构成为对业务服务器10与因特网5之间以及业务服务器10与DB 20之间的通信进行中继。换言之,业务服务器10和DB 20经由非法访问检测装置50与因特网5连接。
此外,图15A和图15B的例子仅是一例。例如,请求获取部31、询问获取部41以及检测部51也可以不是配备于一个装置,而这些部件中的任意部件可以作为另一装置而分离构成。作为一例,请求获取部31也可以构成为作为与非法访问检测装置50不同的装置(例如,作为图1的日志获取装置30)对业务服务器10与因特网5之间的通信进行中继。在该情况下,非法访问检测装置50具有询问获取部41和检测部51。这样,对于请求获取部31、询问获取部41以及检测部51,也可以任意地组合而构成。
另外,本实施方式中所说明的各处理中的作为自动地进行的处理进行说明的处理的全部或者一部分也可以手动地进行、或者作为手动地进行的处理进行说明的处理的全部或者一部分也可以通过公知的方法自动地进行。除此之外,关于上述文档中或附图中所示的处理步骤、控制步骤、具体的名称、包含各种数据或参数的信息,除了特别说明的情况之外可以任意变更。
[程序]
另外,对于上述实施方式中所说明的检测装置所执行的处理,也可以创建由计算机可执行的语言来描述的程序。例如,对于实施方式的检测装置所执行的处理,也可以创建由计算机可执行的语言来描述的检测程序。在该情况下,计算机执行检测程序,由此能够得到与上述实施方式相同的效果。此外,也可以将该检测程序记录在计算机可读取的记录介质中,使计算机读入并执行该记录介质中所记录的检测程序,由此实现与上述实施方式相同的处理。以下,对于执行检测程序的计算机的一例进行说明,该检测程序实现与图1所示的检测装置相同的功能。
图16是示出执行检测程序的计算机的图。如图16所例示,计算机1000例如具有:存储器1010、CPU 1020、硬盘驱动器接口1030、盘驱动器接口1040以及网络接口1070,这些各部件由总线1080连接。
如图16所例示,存储器1010包含ROM(Read Only Memory:只读存储器)1011和RAM(Random Access Memory:随机存取存储器)1012。ROM 1011例如存储BIOS(Basic InputOutput System:基本输入输出系统)等引导程序。如图16所例示,硬盘驱动器接口1030与硬盘驱动器1031连接。如图16所例示,盘驱动器接口1040与盘驱动器1041连接。例如磁盘或光盘等可装卸的存储介质插入于盘驱动器。
这里,如图16所例示,硬盘驱动器1031例如存储OS 1091,应用程序1092、程序模块1093以及程序数据1094。即,上述的检测程序作为描述有计算机1000所执行的指令的程序模块而存储于例如硬盘驱动器1031中。
另外,在上述实施方式中所说明的各种数据作为程序数据存储于例如存储器1010或硬盘驱动器1031中。而且,CPU 1020根据需要而将存储器1010或硬盘驱动器1031中存储的程序模块1093或程序数据1094读出到RAM 1012,来执行各步骤。
此外,检测程序的程序模块1093或程序数据1094不限于存储于硬盘驱动器1031中的情况,例如也可以存储于可装卸的存储介质中而经由盘驱动器等由CPU1020读出。或者,检测程序的程序模块1093或程序数据1094也可以存储于经由网络(LAN(Local AreaNetwork:局域网)、WAN(Wide Area Network:广域网)等)连接的其他计算机中而经由网络接口1070由CPU 1020读出。
这些实施方式或其变形包含于本申请所公开的技术中,同样地包含于权利要求书所记载的发明及其均等的范围内。
标号说明
5:因特网;10:业务服务器;20:DB;30、40:日志获取装置;31:请求获取部;41:询问获取部;50:非法访问检测装置;51:检测部。
Claims (8)
1.一种检测装置,其特征在于,该检测装置具有:
第1获取部,其获取第1请求信息,其中该第1请求信息与从用户所操作的终端向提供业务的业务服务器发送的第1请求相关;
第2获取部,其获取第2请求信息,其中该第2请求信息与从所述业务服务器向保存与所述业务相关的信息的保存装置发送的第2请求相关;以及
检测部,其在所述第1请求信息与所述第2请求信息之间的相关关系不同于正常模式的情况下,将所述第2请求检测为对所述保存装置的非法访问。
2.根据权利要求1所述的检测装置,其特征在于,
所述第1获取部获取所述业务服务器接收到所述第1请求的第1接收时刻作为所述第1请求信息,
所述第2获取部获取所述保存装置接收到所述第2请求的第2接收时刻作为所述第2请求信息,
所述检测部对所述第1接收时刻和所述第2接收时刻进行比较,如果该第1接收时刻不包含在该第2接收时刻之前的规定的时间内,则视为不同于所述正常模式,将与该第2接收时刻对应的所述第2请求检测为所述非法访问。
3.根据权利要求1所述的检测装置,其特征在于,
所述检测部分别对在规定的期间内接收到的所述第1请求的个数和所述第2请求的个数进行计数,如果所述第2请求的个数相对于所述第1请求的个数的比率超过规定的阈值,则视为不同于所述正常模式,将该第2请求检测为所述非法访问。
4.根据权利要求2所述的检测装置,其特征在于,
该检测装置还具有存储部,该存储部存储将所述第1请求的正文模式与在所述业务服务器接收到该第1请求的情况下所发送的所述第2请求的正文模式关联起来而得到的信息,
所述第1获取部获取所述第1接收时刻,并且获取所述第1请求的正文,
所述第2获取部获取所述第2接收时刻,并且获取所述第2请求的正文,
所述检测部参照所述存储部,如果在该第2请求的接收时刻之前的规定的时间内未接收到与所述第2获取部所获取的第2请求的正文模式对应的正文模式的第1请求,则视为不同于所述正常模式,将该第2请求检测为所述非法访问。
5.根据权利要求3所述的检测装置,其特征在于,
该检测装置还具有存储部,该存储部存储将所述第1请求的正文模式、在所述业务服务器接收到该第1请求的情况下所发送的所述第2请求的正文模式以及阈值关联起来而得到的信息,
所述第1获取部获取所述第1接收时刻,并且获取所述第1请求的正文,
所述第2获取部获取所述第2接收时刻,并且获取所述第2请求的正文,
所述检测部参照所述存储部,分别对在规定的期间内接收到的规定的正文模式的第2请求的个数和在该规定的期间内接收到的与该规定的正文模式对应的第1请求的个数进行计数,如果该第2请求的个数相对于该第1请求的个数的比率超过与该规定的正文模式对应的阈值,则视为不同于所述正常模式,将该第2请求检测为所述非法访问。
6.根据权利要求2所述的检测装置,其特征在于,
所述第1获取部获取所述第1接收时刻,并且获取所述第1请求的正文,
所述第2获取部获取所述第2接收时刻,并且获取所述第2请求的正文,
所述检测部根据所述第2请求所包含的所述用户的信息来确定用于识别与所述业务服务器连接的所述终端的连接信息,如果在该第2请求的接收时刻之前的规定的时间内未接收到包含所确定的连接信息的第1请求,则视为不同于所述正常模式,将该第2请求检测为所述非法访问。
7.一种由检测装置执行的检测方法,其特征在于,该检测方法包含如下的步骤:
第1获取步骤,获取第1请求信息,其中该第1请求信息与从用户所操作的终端向提供业务的业务服务器发送的第1请求相关;
第2获取步骤,获取第2请求信息,其中该第2请求信息与从所述业务服务器向保存与所述业务相关的信息的保存装置发送的第2请求相关;以及
检测步骤,在所述第1请求信息与所述第2请求信息之间的相关关系不同于正常模式的情况下,将所述第2请求检测为对所述保存装置的非法访问。
8.一种检测程序,其特征在于,该检测程序使计算机执行如下的步骤:
第1获取步骤,获取第1请求信息,其中该第1请求信息与从用户所操作的终端向提供业务的业务服务器发送的第1请求相关;
第2获取步骤,获取第2请求信息,其中该第2请求信息与从所述业务服务器向保存与所述业务相关的信息的保存装置发送的第2请求相关;以及
检测步骤,在所述第1请求信息与所述第2请求信息之间的相关关系不同于正常模式的情况下,将所述第2请求检测为对所述保存装置的非法访问。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014139796 | 2014-07-07 | ||
| JP2014-139796 | 2014-07-07 | ||
| PCT/JP2015/069073 WO2016006520A1 (ja) | 2014-07-07 | 2015-07-01 | 検知装置、検知方法及び検知プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106663166A true CN106663166A (zh) | 2017-05-10 |
Family
ID=55064156
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580036747.5A Pending CN106663166A (zh) | 2014-07-07 | 2015-07-01 | 检测装置、检测方法以及检测程序 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20170155669A1 (zh) |
| EP (1) | EP3144839A4 (zh) |
| JP (1) | JPWO2016006520A1 (zh) |
| CN (1) | CN106663166A (zh) |
| WO (1) | WO2016006520A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110413534A (zh) * | 2018-04-30 | 2019-11-05 | 爱思开海力士有限公司 | 存储器控制器及其操作方法 |
| CN114006832A (zh) * | 2021-10-08 | 2022-02-01 | 福建天泉教育科技有限公司 | 一种检测客户端与服务端之间存在代理服务的方法及终端 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140250048A1 (en) | 2013-03-01 | 2014-09-04 | RedOwl Analytics, Inc. | Analyzing behavior in light of social context |
| WO2014134630A1 (en) | 2013-03-01 | 2014-09-04 | RedOwl Analytics, Inc. | Modeling social behavior |
| US11888859B2 (en) | 2017-05-15 | 2024-01-30 | Forcepoint Llc | Associating a security risk persona with a phase of a cyber kill chain |
| US10999296B2 (en) | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Generating adaptive trust profiles using information derived from similarly situated organizations |
| US10318729B2 (en) | 2017-07-26 | 2019-06-11 | Forcepoint, LLC | Privacy protection during insider threat monitoring |
| US10803178B2 (en) | 2017-10-31 | 2020-10-13 | Forcepoint Llc | Genericized data model to perform a security analytics operation |
| US11314787B2 (en) | 2018-04-18 | 2022-04-26 | Forcepoint, LLC | Temporal resolution of an entity |
| US11810012B2 (en) | 2018-07-12 | 2023-11-07 | Forcepoint Llc | Identifying event distributions using interrelated events |
| US11436512B2 (en) | 2018-07-12 | 2022-09-06 | Forcepoint, LLC | Generating extracted features from an event |
| US10949428B2 (en) | 2018-07-12 | 2021-03-16 | Forcepoint, LLC | Constructing event distributions via a streaming scoring operation |
| US11755584B2 (en) | 2018-07-12 | 2023-09-12 | Forcepoint Llc | Constructing distributions of interrelated event features |
| US11025638B2 (en) * | 2018-07-19 | 2021-06-01 | Forcepoint, LLC | System and method providing security friction for atypical resource access requests |
| US11811799B2 (en) | 2018-08-31 | 2023-11-07 | Forcepoint Llc | Identifying security risks using distributions of characteristic features extracted from a plurality of events |
| US11025659B2 (en) | 2018-10-23 | 2021-06-01 | Forcepoint, LLC | Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors |
| US11171980B2 (en) | 2018-11-02 | 2021-11-09 | Forcepoint Llc | Contagion risk detection, analysis and protection |
| CN111083166A (zh) * | 2019-12-31 | 2020-04-28 | 紫光云(南京)数字技术有限公司 | 云数据库设置白名单的方法、装置及计算机存储介质 |
| US11570197B2 (en) | 2020-01-22 | 2023-01-31 | Forcepoint Llc | Human-centric risk modeling framework |
| US11630901B2 (en) | 2020-02-03 | 2023-04-18 | Forcepoint Llc | External trigger induced behavioral analyses |
| US11080109B1 (en) | 2020-02-27 | 2021-08-03 | Forcepoint Llc | Dynamically reweighting distributions of event observations |
| US11429697B2 (en) | 2020-03-02 | 2022-08-30 | Forcepoint, LLC | Eventually consistent entity resolution |
| US11836265B2 (en) | 2020-03-02 | 2023-12-05 | Forcepoint Llc | Type-dependent event deduplication |
| US11080032B1 (en) | 2020-03-31 | 2021-08-03 | Forcepoint Llc | Containerized infrastructure for deployment of microservices |
| US11568136B2 (en) | 2020-04-15 | 2023-01-31 | Forcepoint Llc | Automatically constructing lexicons from unlabeled datasets |
| US11516206B2 (en) | 2020-05-01 | 2022-11-29 | Forcepoint Llc | Cybersecurity system having digital certificate reputation system |
| US11544390B2 (en) | 2020-05-05 | 2023-01-03 | Forcepoint Llc | Method, system, and apparatus for probabilistic identification of encrypted files |
| US11895158B2 (en) | 2020-05-19 | 2024-02-06 | Forcepoint Llc | Cybersecurity system having security policy visualization |
| JP2021189658A (ja) * | 2020-05-28 | 2021-12-13 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
| CN111859363B (zh) * | 2020-06-24 | 2024-04-05 | 杭州数梦工场科技有限公司 | 用于识别应用未授权访问的方法、装置以及电子设备 |
| US11663353B1 (en) * | 2020-06-29 | 2023-05-30 | United Services Automobile Association (Usaa) | Systems and methods for monitoring email template usage |
| US11704387B2 (en) | 2020-08-28 | 2023-07-18 | Forcepoint Llc | Method and system for fuzzy matching and alias matching for streaming data sets |
| US11190589B1 (en) | 2020-10-27 | 2021-11-30 | Forcepoint, LLC | System and method for efficient fingerprinting in cloud multitenant data loss prevention |
| US20220400120A1 (en) * | 2021-06-10 | 2022-12-15 | Nxp B.V. | Method for partitioning a plurality of devices in a communications system and a device therefor |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070136312A1 (en) * | 2005-12-12 | 2007-06-14 | Imperva, Inc | System and method for correlating between http requests and sql queries |
| CN101370008A (zh) * | 2007-08-13 | 2009-02-18 | 杭州安恒信息技术有限公司 | Sql注入web攻击的实时入侵检测系统 |
| CN101388899A (zh) * | 2007-09-12 | 2009-03-18 | 北京启明星辰信息技术有限公司 | 一种Web服务器前后台关联审计方法及系统 |
| CN101707598A (zh) * | 2009-11-10 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 识别洪水攻击的方法、装置及系统 |
| US20100333172A1 (en) * | 2008-04-25 | 2010-12-30 | Wu Jiang | Method, apparatus and system for monitoring database security |
| CN102281298A (zh) * | 2011-08-10 | 2011-12-14 | 深信服网络科技(深圳)有限公司 | 检测和防御cc攻击的方法及装置 |
| US20130055375A1 (en) * | 2011-08-29 | 2013-02-28 | Arbor Networks, Inc. | Method and Protection System for Mitigating Slow HTTP Attacks Using Rate and Time Monitoring |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5773894B2 (ja) * | 2012-01-12 | 2015-09-02 | Kddi株式会社 | 端末間で権限情報を中継する方法及びシステム |
-
2015
- 2015-07-01 WO PCT/JP2015/069073 patent/WO2016006520A1/ja active Application Filing
- 2015-07-01 JP JP2016532900A patent/JPWO2016006520A1/ja active Pending
- 2015-07-01 EP EP15819473.8A patent/EP3144839A4/en not_active Withdrawn
- 2015-07-01 CN CN201580036747.5A patent/CN106663166A/zh active Pending
- 2015-07-01 US US15/318,855 patent/US20170155669A1/en not_active Abandoned
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070136312A1 (en) * | 2005-12-12 | 2007-06-14 | Imperva, Inc | System and method for correlating between http requests and sql queries |
| CN101370008A (zh) * | 2007-08-13 | 2009-02-18 | 杭州安恒信息技术有限公司 | Sql注入web攻击的实时入侵检测系统 |
| CN101388899A (zh) * | 2007-09-12 | 2009-03-18 | 北京启明星辰信息技术有限公司 | 一种Web服务器前后台关联审计方法及系统 |
| US20100333172A1 (en) * | 2008-04-25 | 2010-12-30 | Wu Jiang | Method, apparatus and system for monitoring database security |
| CN101707598A (zh) * | 2009-11-10 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 识别洪水攻击的方法、装置及系统 |
| CN102281298A (zh) * | 2011-08-10 | 2011-12-14 | 深信服网络科技(深圳)有限公司 | 检测和防御cc攻击的方法及装置 |
| US20130055375A1 (en) * | 2011-08-29 | 2013-02-28 | Arbor Networks, Inc. | Method and Protection System for Mitigating Slow HTTP Attacks Using Rate and Time Monitoring |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110413534A (zh) * | 2018-04-30 | 2019-11-05 | 爱思开海力士有限公司 | 存储器控制器及其操作方法 |
| CN110413534B (zh) * | 2018-04-30 | 2023-08-29 | 爱思开海力士有限公司 | 存储器控制器及其操作方法 |
| CN114006832A (zh) * | 2021-10-08 | 2022-02-01 | 福建天泉教育科技有限公司 | 一种检测客户端与服务端之间存在代理服务的方法及终端 |
| CN114006832B (zh) * | 2021-10-08 | 2023-03-21 | 福建天泉教育科技有限公司 | 一种检测客户端与服务端之间存在代理服务的方法及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170155669A1 (en) | 2017-06-01 |
| EP3144839A4 (en) | 2018-01-03 |
| EP3144839A1 (en) | 2017-03-22 |
| WO2016006520A1 (ja) | 2016-01-14 |
| JPWO2016006520A1 (ja) | 2017-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106663166A (zh) | 检测装置、检测方法以及检测程序 | |
| US10469531B2 (en) | Fraud detection network system and fraud detection method | |
| US8392963B2 (en) | Techniques for tracking actual users in web application security systems | |
| CN103825887B (zh) | 基于https加密的网站过滤方法和系统 | |
| CN105871947B (zh) | 跨域请求数据的方法及装置 | |
| Kumar | A Review on Client-Server based applications and research opportunity | |
| JP2009238065A (ja) | 通信検知装置、通信検知方法、及び通信検知プログラム | |
| EP3224984A1 (en) | Determine vulnerability using runtime agent and network sniffer | |
| CN102546576A (zh) | 一种网页挂马检测和防护方法、系统及相应代码提取方法 | |
| US20120173712A1 (en) | Method and device for identifying p2p application connections | |
| CN105635064B (zh) | Csrf攻击检测方法及装置 | |
| CN104935551B (zh) | 一种网页篡改防护装置及方法 | |
| US9444830B2 (en) | Web server/web application server security management apparatus and method | |
| US20140282891A1 (en) | Method and system for unique computer user identification for the defense against distributed denial of service attacks | |
| CN107395553B (zh) | 一种网络攻击的检测方法、装置及存储介质 | |
| CN104040538B (zh) | 一种互联网应用交互方法、装置及系统 | |
| US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
| US20180302437A1 (en) | Methods of identifying and counteracting internet attacks | |
| JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
| CN106411819A (zh) | 一种识别代理互联网协议地址的方法及装置 | |
| US11394687B2 (en) | Fully qualified domain name (FQDN) determination | |
| CN107592299B (zh) | 代理上网识别方法、计算机装置及计算机可读存储介质 | |
| CN104009999B (zh) | 防止arp欺骗的方法、装置及网络接入服务器 | |
| JP6943313B2 (ja) | ログ解析システム、解析装置、方法、および解析用プログラム | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170510 |
|
| WD01 | Invention patent application deemed withdrawn after publication |