CN107851156B - 分析方法、分析装置和记录介质 - Google Patents
分析方法、分析装置和记录介质 Download PDFInfo
- Publication number
- CN107851156B CN107851156B CN201680043698.2A CN201680043698A CN107851156B CN 107851156 B CN107851156 B CN 107851156B CN 201680043698 A CN201680043698 A CN 201680043698A CN 107851156 B CN107851156 B CN 107851156B
- Authority
- CN
- China
- Prior art keywords
- event
- module
- request
- attack
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
为了将在同一个Web服务器内发生的不同种类的多个事件正确地关联起来,正确地检测对Web应用的攻击,事件取得部(151)取得包括针对Web服务器的HTTP请求的事件的日志,事件相关部(152)使用对日志中包含的事件进行处理的进程的进程ID,将HTTP请求和与之关联的事件的集合制作为事件模块,攻击检测部(155)将由攻击检测对象的事件的日志制作的事件模块与由正常事件制作的概况列表(143)的概况进行对比来求出相似度,在该相似度在规定的阈值以下的情况下,检测为包含基于攻击的异常事件的事件模块。事件相关部(152)还使用在事件中包含的发送源端口号制作事件模块。
Description
技术领域
本发明涉及分析方法、分析装置和记录介质。
背景技术
近些年来,Web应用被用于多种服务,正在成为社会基础的一部分。同时,恶意使用Web应用的脆弱性的攻击也随之增加。若由于这种攻击而发生了内容篡改或信息泄漏,则会对服务提供者带来巨大的损害,因此需要对攻击进行检测。
为了检测对Web应用的攻击,已知将在同一个Web服务器内发生的HTTP请求事件与其他的事件等的不同种类的多个事件关联起来的技术。例如,对HTTP请求和FireWall日志进行比较,将事件的发生时刻较近的内容作为相互存在关联的事件关联起来(参照非专利文献1)。
在先技术文献
非专利文献
非专利文献1:Florian Skopik、Roman Fiedler、“Intrusion Detection inDistributed Systems using Fingerprinting and Massive Event Correlation”[online]、2012年,[2015年7月16日检索],网址<URL:http://www.ait.ac.at/uploads/media/Skopik_Fiedler_2013_02.pdf>
发明内容
发明要解决的课题
然而,若仅参照事件的发生时刻来进行事件的关联,则可能会发生无法正确进行关联的情况。例如,若不存在关联的多个事件偶然发生于接近的时刻,则有时会被错误地关联起来。另一方面,若存在关联的多个事件的发生时刻大幅不同,则尽管存在关联有时也无法进行关联。这样,若无法正确地进行多个事件的关联,则可能无法正确地检测对Web应用的攻击。
本发明就是鉴于上述情况而完成的,其目的在于将在同一个服务器内发生的不同种类的多个事件正确地关联起来,从而正确地检测对Web应用的攻击。
用于解决课题的手段
为了解决上述课题,达成目的,本发明的分析方法的特征在于,该分析方法包括:事件取得工序,取得事件的日志,该事件包括针对服务器的请求;事件模块制作工序,使用对在所述日志中包含的事件进行处理的进程的进程ID,将所述请求和与之关联的事件的集合制作为事件模块;以及攻击检测工序,将由攻击检测对象的事件的日志制作的事件模块与由正常事件制作的事件模块进行对比来求出相似度,在该相似度在规定的阈值以下的情况下,检测为包含基于攻击的异常事件的事件模块。
发明效果
根据本发明,能够将在同一个服务器内发生的不同种类的多个事件正确地关联起来,从而能够正确地检测对Web应用的攻击。
附图说明
图1是表示本发明的一个实施方式的分析装置的分析对象的系统的概略结构的示意图。
图2是表示本实施方式的分析装置的概略结构的示意图。
图3是用于说明作为本实施方式的分析处理的对象的事件的说明图。
图4是用于说明本实施方式的事件模块的说明图。
图5是举例示出本实施方式的进程树的示意图。
图6是用于说明本实施方式的发送源端口号方式的说明图。
图7是用于说明针对本实施方式的事件模块的ID赋予的说明图。
图8是举例示出本实施方式的概况列表的图。
图9是表示本实施方式的攻击检测处理的说明图。
图10是表示本实施方式的分析处理步骤的流程图。
图11A是用于说明其他的实施方式的说明图。
图11B是用于说明其他的实施方式的说明图。
图12是用于说明其他的实施方式的说明图。
图13是表示执行分析程序的计算机的图。
具体实施方式
以下,参照附图,对本发明的一个实施方式详细进行说明。另外,本发明不限于该实施方式。此外,在附图的描述中,对同一部分赋予同一标号进行表示。
[系统结构]
图1是举例示出作为本实施方式的分析装置的分析对象的系统的概略结构的示意图。如图1所示,服务提供者运用的Web服务器1通过网络2受理来自客户端终端3的HTTP请求等的针对Web服务器1的请求,并向客户端终端3的使用者提供Web应用服务。Web服务器1将与Web应用服务提供有关的HTTP请求、文件访问、网络访问、指令执行和数据库(DB)访问等的事件的日志存储在适当的存储区域内。
在这种系统中,本实施方式的分析装置10从Web服务器1取得事件的日志,通过后述的分析处理,进行在Web服务器1内发生的不同种类的多个事件的关联。另外,可以将分析装置10和Web服务器1由同一硬件构成。这种情况下,Web服务器1进行分析处理。
[分析装置的结构]
图2是表示本实施方式的分析装置的概略结构的示意图。分析装置10由工作站或个人计算机等的通用计算机来实现,具有输入部11、输出部12、通信控制部13、存储部14和控制部15。
输入部11使用键盘或鼠标等的输入器件而实现,对应于数据分析者做出的输入操作,对控制部15输入处理开始等的各种指示信息。输出部12由液晶显示器等的显示装置、打印机等的印刷装置、信息通信装置等实现,向数据分析者输出后述的分析处理的结果等。通信控制部13由NIC(Network Interface Card:网络适配器)等实现,控制通过LAN(LocalArea Network:局域网)和因特网等的电气通信线路进行的Web服务器1等的外部的装置与控制部15的通信。
存储部14由RAM(Random Access Memory:随机存取存储器)、闪存(Flash Memory)等的半导体存储器元件或硬盘、光盘等的存储装置实现,存储未关联事件列表141、事件模块列表142和概况列表143。这些信息如后述那样,根据通过通信控制部13或输入部11而从Web服务器1取得的事件的日志在分析处理中生成。另外,存储部14还可以构成为通过通信控制部13与控制部15进行通信。
控制部15通过由CPU(Central Processing Unit:中央处理单元)等的运算处理装置执行存储在存储器中的处理程序,由此如图2中例示的那样,作为事件取得部151、事件相关部152、事件ID赋予部153、概况化部154和攻击检测部155发挥功能。
事件取得部151取得包含针对服务器的请求的事件的日志。具体地,事件取得部151从Web服务器1取得包含HTTP请求的事件的日志,如图3中例示的那样,为了便于进行后述的分析处理而对形式进行了整理。例如,事件取得部151对从Web服务器1取得的下式(1)中例示的HTTP请求如下式(2)中例示那样进行形式的整形。
【数1】
【数2】
{type:http_req,method:GET,url:/index.php,pid:1001...}…(2)
在该整形中,例如将HTTP请求、文件访问、网络访问、指令执行或数据库(DB)访问等的事件的种类设定给项目“type”。具体而言,例如,HTTP请求被设定为“type:http_req”,文件访问被设定为“type:file”,网络访问被设定为“type:net”,指令执行被设定为“type:command”,DB访问被设定为“type:db”。
事件相关部152对由事件取得部151取得的事件,使用对事件进行了处理的进程的进程ID,进行将HTTP请求和与之关联的事件的集合制作为事件模块的事件模块制作处理。具体地,事件相关部152如图4中例示的那样,根据被整形的事件制作事件模块,并储存于存储部14的事件模块列表142中。此外,事件相关部152将不包含于事件模块中的事件储存于存储部14的未关联事件列表141中。
事件相关部152在进行事件模块制作处理时,作为确认各事件间的关联的有无的方式,根据事件的种类,使用进程ID方式、发送源端口号方式这2种方式中的任意一种。这里,在进程ID方式中,使用各事件的进程ID(以下,有时简称为PID)。另一方面,在发送源端口号方式中,使用各事件的发送源端口号(以下,有时简称为SRC_PORT)。
在进程ID方式中,事件相关部152确认HTTP请求的PID与各事件的PID或主进程的PID(主进程ID,以下简称为PPID)的关系来进行关联。该进程ID方式中,包含HTTP请求以及文件访问、网络访问、指令执行等的PID和/或PPID的事件成为对象。
具体地,事件相关部152首先如图5中例示的那样,求出通过树结构表现以对HTTP请求进行处理的进程作为主进程的各事件的亲子关系的进程树。进程树例如通过使用UNIX(注册商标)的pstree等的OS的功能而求出。在图5的示例中,基于HTTP请求的PID与文件访问、指令执行和网络访问的PID或PPID一致等而表现处于亲子关系。即,HTTP请求、文件访问、网络访问的PID一致(PID=1001)。此外,接在文件访问后的指令执行的PPID(=1001)与文件访问的PID一致,因而可确认到亲子关系。该指令执行的PID(=1002)与此后的指令执行的PPID(=1002)一致,因而可确认到亲子关系。
接着,事件相关部152将包含构成所求出的进程树的PID的事件中的、与作为主进程的HTTP请求的发生时刻之差在规定时间Δ以内的事件作为与该HTTP请求存在关联的事件来进行关联。
这里,规定时间Δ指的是到Web服务器1的OS在不同的进程中重新使用同一个PID为止的最短的时间。通常,Web服务器1通过被称作Prefork的模式动作以防止存储器泄漏。在该Prefork模式下,对各HTTP请求分配进程,无法在1个进程中同时进行多个HTTP请求的处理。因此,在规定时间Δ以内可通过PID来识别各HTTP请求。
在发送源端口号方式中,事件相关部152将所包含的发送源端口号与在上述的进程ID方式中与HTTP请求关联起来的事件一致的事件与该HTTP请求关联起来。该发送源端口号方式中,包含网络访问、DB访问等的发送源端口号的事件成为对象。
具体地,事件相关部152针对所包含的发送源端口号与以进程ID方式与HTTP请求关联起来的网络访问一致的DB访问,确认发生时刻。并且,若与HTTP请求的发生时刻之差在Δ以内,则事件相关部152将该DB访问作为与HTTP请求和网络访问存在关联的事件建立关联。
通常,在进行使用TCP通信向Web服务器1的外部的DB进行访问的DB访问时,不被赋予HTTP请求的PID。于是,通过对在Web服务器与DB之间的TCP通信中使用的发送源端口号进行确认,由此能够确认针对DB请求的响应,能够确定与HTTP请求存在关联的DB访问。由此,如图6中例示的那样,通过发送源端口号方式将DB访问与HTTP请求和网络访问建立关联。
在图6的示例中,HTTP请求与网络访问的PID一致(PID=1001),因而通过进程ID方式而被关联起来。而且,网络访问与DB访问的发送源端口号一致(SRC_PORT=50001),因而通过发送源端口号方式而被关联起来。
同样地,在图4的示例中,event1与event2、event3和event6的PID一致(pid:1001),因而通过进程ID方式而被关联起来。此外,event4的PPID(:1001)与event1的PID(:1001)一致、即event1是event4的主进程,因而通过进程ID方式而被关联起来。此外,event8的PPID(:1002)与event4的PID(:1002)一致、即event4是event8的主进程,因而通过进程ID方式而被关联起来。并且,event6与event7的发送源端口号(src_port:50001)一致,因而通过发送源端口号方式而被关联起来。
事件ID赋予部153赋予能够识别事件模块内的各事件的事件ID。例如,如图7中例示的那样,被赋予web1、file2、network1、command1、db1等那样的能够将各事件与事件的种类一起进行识别的事件ID。在图7的示例中,HTTP请求表现为“web”,文件访问表现为“file”,网络访问表现为“network”,指令执行表现为“command”,DB访问表现为“db”。
概况化部154对事件模块进行抽象表现来制作概况。具体而言,概况化部154根据事件模块列表142的事件模块,将能够识别被关联起来的事件的事件ID和顺序的图案制作为概况。例如,根据图7中例示的事件模块,制作出下式(3)中例示的概况。另外,式(3)表示各事件发生了几次。例如,Web1:1表示Web1的事件发生了1次。
【数3】
{web1:1,file1:1,file2:1,command1:1,network1:1,...}…(3)
并且,概况化部154将所制作的概况如图8中例示的那样,储存在概况列表143中。另外,上述的事件ID赋予部153进行的事件ID赋予处理和概况化部154进行的概况制作处理相当于用于后述的攻击检测部155进行的攻击检测处理的学习。
攻击检测部155进行将由攻击检测对象的事件的日志制作的事件模块与由正常事件制作的概况列表143的概况进行对比来求出相似度,在该相似度在规定的阈值以下的情况下,检测为包含基于攻击的异常事件的事件模块的攻击检测处理。
具体地,攻击检测部155如图9中例示的那样,首先,将检测对象的事件模块与概况进行对比。即,攻击检测部155列举作为主进程的HTTP请求(web1)、以及在该事件模块中包含的事件(web1、file1、file2、command1、command2、network1、db1)。在图9所示的示例中,一并示出各事件的发生次数。
并且,攻击检测部155对在检测对象的事件模块中包含的各事件与概况列表143的概况的各事件的相似度进行计算。这里,相似度例如可使用根据TF(Term Frequency,单词的出现频度)和IDF(Inverse Document Frequency,逆文本频度)这两个指标计算出的TF-IDF等。在图9的示例中,取代相似度而计算非相似度,在该非相似度示出大于规定的阈值的异常值的情况下,攻击检测部155判定为基于攻击的异常。例如,在图9所示的例子中,command2的非相似度2.3是大于规定的阈值的异常值,因而攻击检测部155判定为基于攻击的异常。
另外,攻击检测部155还可以取代计算攻击检测对象的事件模块的各事件的相似度,而计算事件模块本身与概况列表143的概况的相似度。此外,攻击检测部155还可以使用根据异常事件制作的概况列表143。在这种情况下,攻击检测部155在与概况列表143的概况的相似度高于规定的阈值的情况下,判定为基于攻击的异常。
[分析处理]
接着,参照图10的流程图,对分析装置10中的分析处理步骤进行说明。图10的流程图中,例如示出在由数据分析者通过输入部11做出了分析开始的指示输入的定时开始执行以下的处理(步骤S1、No),直至做出了表示分析结束的命令的输入(步骤S1、Yes)为止。
事件相关部152首先检查是否存在未处理的事件(步骤S2)。事件相关部152在不存在未处理的事件的情况下(步骤S2、No),返回步骤S1的处理,然后检查是否存在下一个未处理的事件。若存在未处理的事件(步骤S2、Yes),则确认是否为HTTP请求(步骤S3)。
如果是HTTP请求(步骤S3、Yes),则事件相关部152制作包含该HTTP请求的事件模块(步骤S31)。此外,事件相关部152在未关联事件列表141中存在能够与该HTTP请求关联起来的事件的情况下,将其从未关联事件列表141除去,并加入该事件模块(步骤S32),返回步骤S1的处理,然后检查是否存在下一个未处理事件。另一方面,若并非HTTP请求(步骤S3、No),则事件相关部152确认是否为包含PID的事件(步骤S4)。
若是包含PID的事件(步骤S4、Yes),则事件相关部152确认是否能够与在步骤S31的处理中制作完毕的事件模块建立关联(步骤S41)。在能够建立关联的情况下(步骤S41、Yes),事件相关部152将该事件加入事件模块(步骤S42),返回步骤S1的处理,然后参照下一个事件。另一方面,在无法建立关联的情况下(步骤S41、No),事件相关部152将该事件加入未关联事件列表141(步骤S43),返回步骤S1的处理,然后参照下一个事件。若并非包含PID的事件(步骤S4、No),则事件相关部152确认是否为包含SRC_PORT的事件(步骤S5)。
若是包含SRC_PORT的事件(步骤S5、Yes),则事件相关部152确认能否与在步骤S31的处理中制作完毕的事件模块的网络访问事件建立关联(步骤S51)。在能够建立关联的情况下(步骤S51、Yes),事件相关部152将该事件加入事件模块(步骤S52),返回步骤S1的处理,然后参照下一个事件。另一方面,在无法建立关联的情况下(步骤S51、No),事件相关部152将该事件加入未关联事件列表141(步骤S53),返回步骤S1的处理,然后参照下一个事件。若并非包含SRC_PORT的事件(步骤S5、No),则事件相关部152返回步骤S1的处理,然后参照下一个事件。
事件相关部152在通过上述的处理而由正常事件制作了事件模块后,根据攻击检测对象的事件的日志制作事件模块。并且,攻击检测部155将根据攻击检测对象的事件的日志制作的事件模块与根据正常事件而由事件ID赋予部153和概况化部154制作的概况列表143的概况进行对比来求出相似度。此外,攻击检测部155在求出的相似度在规定的阈值以下的情况下,进行检测作为包含基于攻击的异常事件的事件模块的攻击检测处理。由此,一系列的分析处理结束。
以上,如所说明的那样,在本实施方式的分析装置10中,事件取得部151取得包含针对Web服务器1的HTTP请求的事件的日志,事件相关部152使用对事件进行处理的进程的进程ID,将HTTP请求和与之关联的事件的集合制作为事件模块。由此,能够将在同一个Web服务器1内发生的不同种类的多个事件正确地建立关联。
此外,攻击检测部155将由攻击检测对象的事件的日志制作的事件模块与由正常事件制作的概况列表143的概况进行对比来求出相似度,在该相似度在规定的阈值以下的情况下,检测为包含基于攻击的异常事件的事件模块。因此,能够正确地检测对Web应用的攻击。
另外,在上述事件相关部152的处理中,通过PID来识别规定时间Δ以内的各HTTP请求。其中,如图11A所示,在规定时间Δ以内那样的短时间内发生了多个HTTP请求的情况下,存在通过同一个PID(=1)进行处理的可能性。这种情况下,后续的事件可能会被错误地与不同的HTTP请求关联起来。于是,如图11B所示,事件取得部151对于Web服务器1的HTTP请求,将处理开始和处理结束作为事件取得。这样,事件相关部152将在从HTTP请求的处理开始到处理结束为止的期间内发生的事件与该HTTP请求关联起来即可。
具体而言,如图12中例示的那样,事件取得部151将event1的HTTP请求的处理开始取得为event1-1,将处理结束取得为event1-2。此外,将event2的HTTP请求的处理开始取得为event2-1,将处理结束取得为event2-2。这里,将包含start的事件作为eventx-1,将包含end的事件作为eventx-2。由此,事件相关部152在event1(event1-1、event1-2)、event2(event2-1、event2-2)的PID相同(pid:1001)的情况下,也能够将event3正确地与event2建立关联。即,事件相关部152参照各事件的发生时刻timestamp,确认event3的发生时刻在从event2-1的发生时刻即event2的处理开始到event2-2的发生时刻即event2的处理结束为止的期间内。由此,event3被正确地与event2关联起来而并非与event1关联起来。
[程序]
还可以制作通过计算机可执行的语言来记述由上述实施方式的分析装置10执行的处理的程序。这种情况下,计算机执行程序,由此可获得与上述实施方式同样的效果。而且,通过将相关程序记录在计算机可读取的记录介质中,并将在该记录介质中记录的程序读入计算机使其执行,从而也可以实现与上述实施方式同样的处理。以下,对执行实现与分析装置10同样的功能的分析程序的计算机的一例进行说明。
如图13所示,执行分析程序的计算机1000例如具有存储器1010、CPU1020、硬盘驱动器接口1030、磁盘驱动器接口1040、串行端口接口1050、视频适配器1060和网络接口1070。这些各部通过总线1080而连接起来。
存储器1010包括ROM(Read Only Memory:只读存储器)1011和RAM1012。ROM1011例如存储BIOS(Basic Input Output System:基本输入输出系统)等的BOOT程序。硬盘驱动器接口1030与硬盘驱动器1031连接。磁盘驱动器接口1040与磁盘驱动器1041连接。磁盘驱动器1041例如供磁盘或光盘等的可装卸的存储介质插入。串行端口接口1050例如连接有鼠标1051和键盘1052。视频适配器1060例如连接有显示器1061。
这里,如图13所示,硬盘驱动器1031例如存储OS1091、应用程序1092、程序模块1093和程序数据1094。在上述实施方式中说明的各图表例如被存储于硬盘驱动器1031或存储器1010中。
此外,分析程序例如作为记述有由计算机1000执行的指令的程序模块1093而被存储于硬盘驱动器1031。具体而言,记述有在上述实施方式中说明的供分析装置10执行的各处理的程序模块被存储于硬盘驱动器1031。
此外,用于分析程序的信息处理中的数据作为程序数据1094例如被存储于硬盘驱动器1031。并且,CPU1020根据需要将存储于硬盘驱动器1031中的程序模块1093和程序数据1094读出到RAM1012,执行上述各步骤。
另外,分析程序的程序模块1093和程序数据1094不限于存储于硬盘驱动器1031中的情况,例如还可以存储于可装卸的存储介质中,通过磁盘驱动器1041等而由CPU1020读出。或者,分析程序的程序模块1093和程序数据1094还可以被存储于通过LAN(Local AreaNetwork:局域网)和WAN(Wide Area Network:广域网)等的网络连接的其他的计算机中,通过网络接口1070而由CPU1020读出。
以上,对应用本发明人做出的发明的实施方式进行了说明,然而本发明不限于构成基于本实施方式的本发明的公开的一部分的记述和附图。即,根据本实施方式而能够由本领域普通技术人员等实施的其他实施方式、实施例和运用技术等都属于本发明的范畴。
产业上的可使用性
如上所述,本发明可用于对Web应用的攻击的检测。
标号说明
1:Web服务器,2:网络,3:客户端终端,10:分析装置,11:输入部,12:输出部,13:通信控制部,14:存储部,141:未关联事件列表,142:事件模块列表,143:概况列表,15:控制部,151:事件取得部,152:事件相关部,153:事件ID赋予部,154:概况化部,155:攻击检测部。
Claims (3)
1.一种分析方法,其特征在于,该分析方法包括:
事件取得工序,取得事件的日志而对形式进行整形,该事件包括针对服务器的请求;
事件模块制作工序,使用对所述日志中包含的事件进行处理的进程的进程ID,根据进行所述整形后的事件,将所述请求和与之关联的事件的集合制作为事件模块;
事件ID赋予工序,赋予能够识别所述事件模块内的各事件的事件ID;
概况化工序,将能够识别对所述事件模块进行抽象表现而被关联起来的事件的事件ID和顺序的图案制作为概况;以及
攻击检测工序,将由攻击检测对象的事件的日志制作的事件模块的概况与由正常事件制作的所述概况进行对比来求出相似度,在该相似度在规定的阈值以下的情况下,检测为包含基于攻击的异常事件的事件模块,
在所述事件模块制作工序中,还使用所述事件中包含的发送源端口号来制作事件模块,
在所述事件取得工序中,针对所述请求,分别取得处理开始和处理结束,作为事件,
在所述事件模块制作工序中,针对以所述进程ID的方式与针对服务器的请求关联起来的网络访问和所包含的所述发送源端口号一致的数据库访问,确认发生时刻,将发生时刻在从该请求的处理开始的事件的发生时刻到处理结束的事件的发生时刻之间的事件作为与该请求存在关联的事件包含于所述事件模块。
2.一种分析装置,其特征在于,该分析装置具有:
事件取得部,其取得事件的日志而对形式进行整形,该事件包括针对服务器的请求;
事件模块制作部,其使用对所述日志中包含的事件进行处理的进程的进程ID,根据进行所述整形后的事件,将所述请求和与之关联的事件的集合制作为事件模块;
事件ID赋予部,其赋予能够识别所述事件模块内的各事件的事件ID;
概况化部,其将能够识别对所述事件模块进行抽象表现而被关联起来的事件的事件ID和顺序的图案制作为概况;以及
攻击检测部,其将由攻击检测对象的事件的日志制作的事件模块的概况与由正常事件制作的所述概况进行对比来求出相似度,在该相似度在规定的阈值以下的情况下,检测为包含基于攻击的异常事件的事件模块,
所述事件模块制作部还使用所述事件中包含的发送源端口号来制作事件模块,
所述事件取得部针对所述请求,分别取得处理开始和处理结束,作为事件,
所述事件模块制作部针对以所述进程ID的方式与针对服务器的请求关联起来的网络访问和所包含的所述发送源端口号一致的数据库访问,确认发生时刻,将发生时刻在从该请求的处理开始的事件的发生时刻到处理结束的事件的发生时刻之间的事件作为与该请求存在关联的事件包含于所述事件模块。
3.一种记录介质,其存储有分析程序,该分析程序用于使计算机执行如下步骤:
事件取得步骤,取得事件的日志而对形式进行整形,该事件包含针对服务器的请求;
事件模块制作步骤,使用对所述日志中包含的事件进行处理的进程的进程ID,根据进行所述整形后的事件,将所述请求和与之关联的事件的集合制作为事件模块;
事件ID赋予步骤,赋予能够识别所述事件模块内的各事件的事件ID;
概况化步骤,将能够识别对所述事件模块进行抽象表现而被关联起来的事件的事件ID和顺序的图案制作为概况;以及
攻击检测步骤,将由攻击检测对象的事件的日志制作的事件模块的概况与由正常事件制作的所述概况进行对比来求出相似度,在该相似度在规定的阈值以下的情况下,检测为包含基于攻击的异常事件的事件模块,
在所述事件模块制作步骤中,还使用所述事件中包含的发送源端口号来制作事件模块,
在所述事件取得步骤中,针对所述请求,分别取得处理开始和处理结束,作为事件,
在所述事件模块制作步骤中,针对以所述进程ID的方式与针对服务器的请求关联起来的网络访问和所包含的所述发送源端口号一致的数据库访问,确认发生时刻,将发生时刻在从该请求的处理开始的事件的发生时刻到处理结束的事件的发生时刻之间的事件作为与该请求存在关联的事件包含于所述事件模块。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015151264 | 2015-07-30 | ||
| JP2015-151264 | 2015-07-30 | ||
| PCT/JP2016/071720 WO2017018377A1 (ja) | 2015-07-30 | 2016-07-25 | 分析方法、分析装置、および分析プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107851156A CN107851156A (zh) | 2018-03-27 |
| CN107851156B true CN107851156B (zh) | 2021-06-04 |
Family
ID=57884374
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680043698.2A Active CN107851156B (zh) | 2015-07-30 | 2016-07-25 | 分析方法、分析装置和记录介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10516685B2 (zh) |
| EP (1) | EP3293657B1 (zh) |
| JP (1) | JP6473234B2 (zh) |
| CN (1) | CN107851156B (zh) |
| WO (1) | WO2017018377A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018148834A1 (en) * | 2017-02-17 | 2018-08-23 | Royal Bank Of Canada | Web application firewall |
| US11233809B2 (en) * | 2017-03-03 | 2022-01-25 | Nippon Telegrape And Telephone Corporation | Learning device, relearning necessity determination method, and relearning necessity determination program |
| CN109034781B (zh) * | 2018-06-27 | 2022-02-22 | 美味不用等(上海)信息科技股份有限公司 | 一种收银系统识别方法、识别装置及计算机可读存储介质 |
| US11017085B2 (en) * | 2018-07-06 | 2021-05-25 | Percepio AB | Methods and nodes for anomaly detection in computer applications |
| JP7302223B2 (ja) * | 2019-03-26 | 2023-07-04 | 日本電気株式会社 | スクリプト検出装置、方法及びプログラム |
| US11765131B2 (en) * | 2019-10-07 | 2023-09-19 | Schlumberger Technology Corporation | Security system and method for pressure control equipment |
| CN112165471B (zh) * | 2020-09-22 | 2022-05-24 | 杭州安恒信息技术股份有限公司 | 一种工控系统流量异常检测方法、装置、设备及介质 |
| CN115801305B (zh) * | 2022-09-08 | 2023-11-07 | 武汉思普崚技术有限公司 | 一种网络攻击的检测识别方法及相关设备 |
| CN116881917B (zh) * | 2023-09-08 | 2023-11-10 | 北京安天网络安全技术有限公司 | 恶意进程关联处理方法、装置、电子设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0985995A1 (en) * | 1998-09-09 | 2000-03-15 | International Business Machines Corporation | Method and apparatus for intrusion detection in computers and computer networks |
| US8516575B2 (en) * | 2007-06-08 | 2013-08-20 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for enforcing a security policy in a network including a plurality of components |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004186878A (ja) * | 2002-12-02 | 2004-07-02 | Keyware Solutions Inc | 侵入検知装置及び侵入検知プログラム |
| JP4129207B2 (ja) | 2003-07-18 | 2008-08-06 | 株式会社日立製作所 | 不正侵入分析装置 |
| US8069374B2 (en) * | 2009-02-27 | 2011-11-29 | Microsoft Corporation | Fingerprinting event logs for system management troubleshooting |
| JP5530897B2 (ja) | 2010-10-28 | 2014-06-25 | 株式会社日立メディコ | 機器障害分析装置、機器障害分析方法、および機器障害分析プログラム |
| EP2754049A4 (en) * | 2011-09-09 | 2015-08-26 | Hewlett Packard Development Co | SYSTEMS AND METHOD FOR EVALUATING EVENTS BASED ON A REFERENCE BASE LINE AFTER THE TIME POSITION IN A SUCCESS OF EVENTS |
| US9705772B2 (en) | 2013-04-26 | 2017-07-11 | Hitachi, Ltd. | Identification apparatus, identification method and identification program |
| JP5640167B1 (ja) | 2014-03-31 | 2014-12-10 | 株式会社ラック | ログ分析システム |
-
2016
- 2016-07-25 EP EP16830482.2A patent/EP3293657B1/en active Active
- 2016-07-25 US US15/579,463 patent/US10516685B2/en active Active
- 2016-07-25 WO PCT/JP2016/071720 patent/WO2017018377A1/ja active Application Filing
- 2016-07-25 CN CN201680043698.2A patent/CN107851156B/zh active Active
- 2016-07-25 JP JP2017530856A patent/JP6473234B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0985995A1 (en) * | 1998-09-09 | 2000-03-15 | International Business Machines Corporation | Method and apparatus for intrusion detection in computers and computer networks |
| US8516575B2 (en) * | 2007-06-08 | 2013-08-20 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for enforcing a security policy in a network including a plurality of components |
Non-Patent Citations (1)
| Title |
|---|
| Real-time log file analysis using the Simple Event Correlator(SEC);John P. Rouillard;<USENIX>;20040908;page1-18 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2017018377A1 (ja) | 2017-12-07 |
| JP6473234B2 (ja) | 2019-02-20 |
| US20180167406A1 (en) | 2018-06-14 |
| EP3293657A1 (en) | 2018-03-14 |
| EP3293657B1 (en) | 2019-09-18 |
| WO2017018377A1 (ja) | 2017-02-02 |
| EP3293657A4 (en) | 2019-01-02 |
| CN107851156A (zh) | 2018-03-27 |
| US10516685B2 (en) | 2019-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107851156B (zh) | 分析方法、分析装置和记录介质 | |
| CN107918733B (zh) | 检测网页的恶意元素的系统和方法 | |
| JP6106340B2 (ja) | ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム | |
| US9900344B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
| US10944784B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
| CN107241296B (zh) | 一种Webshell的检测方法及装置 | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| US11019096B2 (en) | Combining apparatus, combining method, and combining program | |
| CN107992738B (zh) | 一种账号登录异常检测方法、装置及电子设备 | |
| EP3256978B1 (en) | Method and apparatus for assigning device fingerprints to internet devices | |
| CN107508809B (zh) | 识别网址类型的方法及装置 | |
| CN107808095B (zh) | 用于检测网页的异常元素的系统和方法 | |
| JP6691240B2 (ja) | 判定装置、判定方法、および、判定プログラム | |
| CN111222137A (zh) | 一种程序分类模型训练方法、程序分类方法及装置 | |
| US10417422B2 (en) | Method and apparatus for detecting application | |
| CN111368128A (zh) | 目标图片的识别方法、装置和计算机可读存储介质 | |
| KR20210076455A (ko) | Xss 공격 검증 자동화 방법 및 그 장치 | |
| KR101725450B1 (ko) | 웹 페이지에 안전성을 제공하기 위한 평판관리 시스템 및 방법 | |
| US20220035914A1 (en) | Information processing device, control method, and program | |
| CN117081801A (zh) | 网站的内容管理系统的指纹识别方法、装置及介质 | |
| CN113360900A (zh) | 脚本检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |