JP2004054330A - 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム - Google Patents
不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム Download PDFInfo
- Publication number
- JP2004054330A JP2004054330A JP2002206896A JP2002206896A JP2004054330A JP 2004054330 A JP2004054330 A JP 2004054330A JP 2002206896 A JP2002206896 A JP 2002206896A JP 2002206896 A JP2002206896 A JP 2002206896A JP 2004054330 A JP2004054330 A JP 2004054330A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- command data
- command
- data
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】新しいパターンの不正なコマンドやデータによる攻撃を防御する。
【解決手段】シグネチャテーブル25は不正コマンド・データを特徴付けるシグネチャを格納する。ヒューリスティック検査手段22は、検査対象コマンド・データが不正なコマンド・データに現れる特徴を含むかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを有する。シグネチャ検査手段21はコマンド・データがシグネチャを含む場合は不正と判断し含まない場合はヒューリスティック検査手段22に渡す。ヒューリスティック検査手段22はこれを複数の判断基準で検査し、特徴を含む判断基準の評価値合計が評価閾値を超えた場合は不正と判定し、そのコマンド・データをログファイル23に格納する。シグネチャ抽出手段24はログファイル23中の同一シグネチャの出現数が検査閾値を超えるシグネチャをシグネチャテーブル25に格納する。
【選択図】 図1
【解決手段】シグネチャテーブル25は不正コマンド・データを特徴付けるシグネチャを格納する。ヒューリスティック検査手段22は、検査対象コマンド・データが不正なコマンド・データに現れる特徴を含むかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを有する。シグネチャ検査手段21はコマンド・データがシグネチャを含む場合は不正と判断し含まない場合はヒューリスティック検査手段22に渡す。ヒューリスティック検査手段22はこれを複数の判断基準で検査し、特徴を含む判断基準の評価値合計が評価閾値を超えた場合は不正と判定し、そのコマンド・データをログファイル23に格納する。シグネチャ抽出手段24はログファイル23中の同一シグネチャの出現数が検査閾値を超えるシグネチャをシグネチャテーブル25に格納する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムに関し、特に、入力されたコマンド・データからリアルタイムで不正アクセスコマンド・データを抽出し、除去する不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムに関する。
【0002】
【従来の技術】
インターネットのようなコンピュータ・ネットワークに接続されたコンピュータ・システムは、データを搾取されたり、改ざんされたり、消去されたり、また、そのコンピュータ・システム自体がサービス不能状態にされるというようなネットワーク・セキュリティの脅威に晒されている。
【0003】
これらのネットワーク経由の外部からの攻撃を防ぐ方法の1つとして、ファイアウォールがある。ファイアウォールは、外部からアクセスできる通信ポートや端末のIP(internet protocol)アドレスを制限する方法で外部からの攻撃を防ぐ。しかし、ショッピング・サイトのように不特定のユーザにサービスを公開している場合、公開されている通信ポートを使用して、不正なコマンドやデータを送り込み、コンピュータ・システム上のコンピュータプログラムに予期しない動作を引き起こし、目的を達成するような攻撃に対しては、ファイアウォールは無力である。
【0004】
このような攻撃に対しては、コンピュータ・システム上で受信したコマンド・データをコンピュータプログラムに渡す前に検査し、不正なコマンドやデータは除去する方法で防御する必要がある。従来技術では、図4に示す構成で実現している。
【0005】
ネットワーク・セキュリティの専門家が、コンピュータ・システムに脅威を与えるような不正なコマンドやデータを収集・解析し、不正なコマンドやデータを特徴付けるバイトの一連の並び(これをシグネチャと言う)を抽出する。シグネチャは人手でシグネチャファイル128に蓄積する。シグネチャファイル入力手段127はシグネチャファイル128を入力し、シグネチャテーブル125に格納する。
【0006】
コマンド・データ入力手段111は端末プログラム131からコマンドまたはデータを入力し、コマンド・データ記憶領域112に格納する。シグネチャ検査手段121は入力したコマンドまたはデータがシグネチャテーブル125のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。含んでいれば入力したコマンドまたはデータは不正なものであると判断し、破棄する。また、端末プログラム131にエラーメッセージを送信する。
【0007】
新しい攻撃方法が見つかれば、その都度、専門家がシグネチャを抽出し、シグネチャファイル128に蓄積する。
【0008】
不正アクセス検出に関する技術として、特開平6−250861号公報に、サンプルとして与えられたコンピュータ・ウィルスからシグネチャを自動抽出する方法が記載されている。通常の通信データの中から、つまり、大部分が正常なアクセスデータの中から、リアルタイムで不正アクセスデータを抽出し、除去する方法については記載されていない。
【0009】
【発明が解決しようとする課題】
上述した従来の不正コマンド・データ検知では、シグネチャファイルに最新のシグネチャが登録されるまで新しい攻撃を防ぐことが出来ない。そのため、以下の問題がある。
(1)シグネチャの抽出が、実際に攻撃された後になるため、最初の攻撃を防ぐことが出来ない。
(2)シグネチャの抽出及びシグネチャファイルの更新を人が行うため、時間がかかる。そのため、新しい攻撃に対して無防備な状態が長くなる。
【0010】
本発明の目的は、新しいパターンの不正なコマンドやデータによる攻撃を防御する不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムを提供することにある。
【0011】
【課題を解決するための手段】
本発明の不正コマンド・データ検知方式は、不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有し、入力されたコマンド・データを複数の判断基準で検査する手段と、特徴が含まれていた判断基準の評価値の合計値を算出する手段と、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定する手段とを備えたことを特徴とする。
【0012】
本発明の不正コマンド・データ検知方式は、不正なコマンド・データを特徴付けるシグネチャを格納するシグネチャテーブルと、入力されたコマンド・データに前記シグネチャテーブルに格納されたシグネチャが含まれるかを検査して含まれていたコマンド・データを不正なものであると判断するシグネチャ検査手段と、含まれていないコマンド・データを入力されて判定するヒューリスティック検査手段とを備え、前記ヒューリスティック検査手段は、不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有し、入力されたコマンド・データを複数の判断基準で検査する手段と、特徴が含まれていた判断基準の評価値の合計値を算出する手段と、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定する手段とを含むことを特徴としてもよい。
【0013】
本発明の不正コマンド・データ検知方式は、前記ヒューリスティック検査手段が不正と判定したコマンド・データから不正を特徴付けるシグネチャを抽出して前記シグネチャテーブルに格納するシグネチャ抽出手段を有することを特徴としてもよい。
【0014】
本発明の不正コマンド・データ検知方式は、前記ヒューリスティック検査手段が不正と判定したコマンド・データを格納するログファイルと、前記ログファイルに蓄積されたコマンド・データ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検査閾値を超えるシグネチャを前記シグネチャテーブルに格納するシグネチャ抽出手段とを有することを特徴としてもよい。
【0015】
本発明の不正コマンド・データ検知方式は、ネットワークを介して接続された複数のコンピュータ・システムを有し、第1のコンピュータ・システムは、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを含み、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは第2のコンピュータ・システムに入力されたコマンド・データの不正を判定することを特徴としてもよい。
【0016】
本発明の不正コマンド・データ検知方式は、ネットワークを介して接続された複数のコンピュータ・システムを有し、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを前記複数のコンピュータ・システムに分散して搭載し、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは前記複数のコンピュータ・システムの内のいずれかのコンピュータ・システムに入力されたコマンド・データの不正を判定することを特徴としてもよい。
【0017】
本発明の不正コマンド・データ検知方法は、不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有する不正コマンド・データ検知方法であって、入力されたコマンド・データを複数の前記判断基準で検査するステップと、特徴が含まれていた前記判断基準の前記評価値の合計値を算出するステップと、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定するステップとを含むことを特徴とする。
【0018】
本発明の不正コマンド・データ検知方法は、不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有する不正コマンド・データ検知方法であって、入力されたコマンド・データに、不正なコマンド・データを特徴付けるシグネチャを格納するシグネチャテーブルに格納されたシグネチャが含まれるかを検査して、含まれていたコマンド・データは不正なものであると判断する第1のステップと、含まれていないコマンド・データを複数の前記判断基準で検査する第2のステップと、特徴が含まれていた前記判断基準の前記評価値の合計値を算出する第3のステップと、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定する第4のステップとを含むことを特徴としてもよい。
【0019】
本発明の不正コマンド・データ検知方法は、前記第4のステップで不正と判定したコマンド・データから不正を特徴付けるシグネチャを抽出して前記シグネチャテーブルに格納する第5のステップを含むことを特徴としてもよい。
【0020】
本発明の不正コマンド・データ検知方法は、前記第4のステップで不正と判定したコマンド・データをログファイルに格納する第5のステップと、前記ログファイルに蓄積されたコマンド・データ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検査閾値を超えるシグネチャを前記シグネチャテーブルに格納する第6のステップとを含むことを特徴としてもよい。
【0021】
本発明のプログラムは、請求項7〜10のいずれか1項に記載の処理をコンピュータに実行させる。
【0022】
【発明の実施の形態】
本発明の実施の形態について図面を参照して詳細に説明する。図1は本発明の実施の形態の構成を示すブロック図である。
【0023】
コンピュータ・システム10と端末30がネットワーク50を介して接続されている。端末30は端末プログラム31を含む。
【0024】
コマンド・データ入力手段11とコマンド・データ記憶領域12とコンピュータプログラム13は、本来のコンピュータ・システムを構成する。
【0025】
シグネチャ検査手段21とヒューリスティック検査手段22とログファイル23とシグネチャ抽出手段24とシグネチャテーブル25とシグネチャファイル出力手段26とシグネチャファイル入力手段27とシグネチャファイル28は不正コマンドやデータを除去する本発明の中核を構成する。
【0026】
これらはそれぞれ次のような機能を有する。端末プログラム31は対象のコンピュータ・システムとネットワークで接続され、コマンドやデータを送信する。
【0027】
コマンド・データ入力手段11は、端末プログラム31からコマンドやデータを受信し、コマンド・データ記憶領域12に格納する。コンピュータプログラム13は、コマンド・データ記憶領域12に格納されているコマンドまたはデータを処理して、結果を端末プログラム31に送信する。
【0028】
シグネチャファイル28は、ネットワーク・セキュリティの専門家が抽出したシグネチャを蓄積する。また、本発明により自動抽出したシグネチャも蓄積している。「シグネチャ」とは、不正なコマンドやデータを特徴付けるバイトの一連の並びのことである。シグネチャファイル入力手段27は、シグネチャファイル28を入力し、シグネチャテーブル25にシグネチャを格納する。シグネチャ検査手段21は、コマンド・データ記憶領域12のコマンドまたはデータにシグネチャテーブル25のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。ヒューリスティック検査手段22は、発見的方法でコマンド・データ記憶領域12のコマンドまたはデータが不正なものか検査する。ログファイル23は、ヒューリスティック検査手段22が発見した不正なコマンドやデータを蓄積する。シグネチャ抽出手段24はログファイル23からシグネチャを自動抽出し、シグネチャテーブル25に格納する。シグネチャファイル出力手段26はシグネチャテーブル25に格納されているシグネチャをシグネチャファイル28に出力する。
【0029】
次に、動作について説明する。まず、図1を参照して概要動作を説明する。シグネチャ検査手段21は、コマンド・データ記憶領域12に格納されたコマンド・データにシグネチャテーブル25に格納されたシグネチャが含まれるかを検査し、含まれていた場合はそのコマンド・データは不正なものであると判断して破棄する。含まれていなかった場合はそのコマンド・データをヒューリスティック検査手段22に渡す。ヒューリスティック検査手段22は、渡されたコマンド・データを検査し、既知のシグネチャでは検知できなかった不正なコマンド・データを発見的方法で検知し、不正と判断したコマンド・データをログファイル23に出力する。シグネチャ抽出手段24は、ログファイル23から新しい攻撃のシグネチャを抽出し、シグネチャテーブル25に追加する。追加されたシグネチャをシグネチャ検査手段21が利用する。
【0030】
次に、詳細動作を説明する。ネットワーク・セキュリティの専門家が、コンピュータ・システムに脅威を与えるような不正なコマンドやデータを収集・解析し、不正なコマンドやデータを特徴付けるバイトの一連の並び(シグネチャ)を抽出する。シグネチャは人手でシグネチャファイル28に蓄積する。シグネチャファイル入力手段27はシグネチャファイル28を入力し、シグネチャテーブル25に格納する。
【0031】
コマンド・データ入力手段11は端末プログラム31からコマンドまたはデータを入力し、コマンド・データ記憶領域12に格納する。シグネチャ検査手段21は入力したコマンドまたはデータがシグネチャテーブル25のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。含んでいれば入力したコマンドまたはデータは不正なものであると判断し、破棄する。また、端末プログラム31にエラーメッセージを送信する。
【0032】
しかし、新しい攻撃パターンの場合、シグネチャ検査手段21では発見できない。そこで、シグネチャ検査方式を補うため、ヒューリスティック検査手段22を導入する。ヒューリスティック検査手段22の動作フローチャートを図2に示す。
【0033】
ネットワーク・セキュリティの専門家が不正なコマンドやデータの多くに共通して現れる特徴を、複数個抽出する。それらの特徴毎に検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムを作成し、これを判断基準とする。それぞれの判断基準には、その特徴が不正なコマンドやデータを表す確率を表す固有の値を設定し、これを評価値とする。評価値は、確実に不正なコマンドやデータを示す場合は10、可能性が非常に低い場合は1になる。
【0034】
不正なコマンドやデータの多くに共通して現れる特徴の具体例として次のようなものがある、
(1)入力したコマンドやデータのサイズが2000バイト以上である。
(2)同じ文字が10個連続している。
(3)16進エンコーディングを2重以上掛けている。
HTTP(hypertext transfer protocol)のURL(uniform resource locator)では、文字を”%nn”と16進表示することが許されている。そこで、不正コマンドのシグネチャを16進表示し、チェックを逃れようとする。しかし、これだとデコードすると元の文字列が分かるので、16進表示した文字列をさらに16進表示して、チェックをすり抜けようとする。
一例をあげると、不正なコマンドのシグネチャを”abc”とする。
”abc” → 16進表示 ”%61%62%63”
→ さらに16進表示 ”%25%36%31%25%36%32%25%36%33”
(4)親ディレクトリを参照する文字列”../”を含んでいる。
上述した(1)〜(3)は、バイト列の規則性に関するものであり、(4)は、一連のバイトの並びである。何れもこれだけで不正なコマンドやデータと判断できるものではなく、他の特徴と合わせて不正なコマンドと判断する材料になる。
【0035】
ヒューリスティック検査手段22は、まず、評価値加算エリアをゼロクリアする(ステップS20)。次に、第一の判断基準で入力したコマンドまたはデータを評価し、特徴が合致すれば予め決めた評価値を加算する(ステップS21)。同様に、第二、第三から最後の第nまでの判断基準を順次適用し、特徴が合致した判断基準の評価値を加算する(ステップS22)。最終的に加算した評価値が予め決めた評価閾値を越えていれば(ステップS23)、入力したコマンドまたはデータを不正と判断し、ログファイル23に出力する。また、端末プログラム31にエラーメッセージを出力する(ステップS24)。この場合、コンピュータプログラム13は実行しない。ステップS23において、評価値が評価閾値を越えていなければ、入力したコマンドまたはデータは正常と判断して、コンピュータプログラム13を実行する。
【0036】
図1に戻る。ヒューリスティック検査手段22により、従来の攻撃パターンの変種に対しては、防御できるようになる。しかし、ヒューリスティック検査手段22は、バイトパターンを検査するシグネチャ検査手段21に比べて、処理速度が遅くなる。そこで、ヒューリスティック検査手段22が検出した不正なコマンドやデータを蓄積しているログファイル23を入力し、シグネチャ抽出手段24で新しい攻撃のシグネチャを抽出し、シグネチャテーブル25に追加する。
【0037】
シグネチャ抽出手段24の動作フローチャートを図3に示す。ログファイル23に蓄積されている不正なコマンドやデータの同じパターン毎の出現回数を算出する(ステップS30)。出現回数が検出閾値を超えているコマンドやデータは、シグネチャテーブル25に追加する(ステップS31)。シグネチャテーブル25に追加したコマンドやデータは、ログファイル23ではマークを付け、重複して登録することがないようにする。
【0038】
図1に戻る。シグネチャファイル出力手段26は、シグネチャテーブル25に登録されているシグネチャ全件をシグネチャファイル28に出力する。
【0039】
なお、本発明の中核機能であるシグネチャ検査手段21とヒューリスティック検査手段22とログファイル23とシグネチャ抽出手段24とシグネチャテーブル25とシグネチャファイル出力手段26とシグネチャファイル入力手段27とシグネチャファイル28の全てまたは一部は、コマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載するコンピュータ・システムとネットワークで接続された別の単一のコンピュータ・システムに搭載することも、複数のコンピュータ・システムに分散して搭載することも出来る。このことにより、各コンピュータ・システムの負荷を分散することが出来るし、コマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載する複数のコンピュータ・システムの間でシグネチャファイル28を共有することが出来る。本発明の中核機能を搭載した単一または複数のコンピュータ・システム1組でコマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載する複数のコンピュータ・システムに本発明の機能を提供し、資源の共有化が可能となり、コストを下げることが出来る。
【0040】
本発明の実施の形態におけるシグネチャ検査手段21とヒューリスティック検査手段22とシグネチャ抽出手段24の動作はプログラム処理により行わせることが可能である。すなわち、記録媒体に記録したプログラムをコンピュータ・システム10に読み込ませるか、あるいは、ネットワークからプログラムをコンピュータ・システム10に読み込ませて、実施の形態で説明した動作を実行させる。
【0041】
【発明の効果】
以上説明したように、本発明によれば、発見的な手法で不正なコマンドやデータを識別するため、新しいパターンの不正なコマンドやデータによる攻撃を防御できるという効果がある。
【0042】
また、発見的な手法で見つけた不正なコマンドやデータのシグネチャを自動抽出して、2回目以降は高速なシグネチャ検査で識別するため、不正なコマンドやデータの識別を高速にできるという効果がある。
【0043】
さらに、本発明の中核機能を搭載した単一または複数のコンピュータ・システム1組で他コンピュータ・システムに本発明の機能を提供することにより、資源が共有化できるという効果がある。
【図面の簡単な説明】
【図1】本発明の実施の形態の構成を示すブロック図である。
【図2】ヒューリスティック検査手段の動作を示すフローチャートである。
【図3】シグネチャ抽出手段の動作を示すフローチャートである。
【図4】従来技術の構成を示すブロック図である。
【符号の説明】
10 コンピュータ・システム
11 コマンド・データ入力手段
12 コマンド・データ記憶領域
13 コンピュータプログラム
21 シグネチャ検査手段
22 ヒューリスティック検査手段
23 ログファイル
24 シグネチャ抽出手段
25 シグネチャテーブル
26 シグネチャファイル出力手段
27 シグネチャファイル入力手段
28 シグネチャファイル
30 端末
31 端末プログラム
50 ネットワーク
【発明の属する技術分野】
本発明は不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムに関し、特に、入力されたコマンド・データからリアルタイムで不正アクセスコマンド・データを抽出し、除去する不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムに関する。
【0002】
【従来の技術】
インターネットのようなコンピュータ・ネットワークに接続されたコンピュータ・システムは、データを搾取されたり、改ざんされたり、消去されたり、また、そのコンピュータ・システム自体がサービス不能状態にされるというようなネットワーク・セキュリティの脅威に晒されている。
【0003】
これらのネットワーク経由の外部からの攻撃を防ぐ方法の1つとして、ファイアウォールがある。ファイアウォールは、外部からアクセスできる通信ポートや端末のIP(internet protocol)アドレスを制限する方法で外部からの攻撃を防ぐ。しかし、ショッピング・サイトのように不特定のユーザにサービスを公開している場合、公開されている通信ポートを使用して、不正なコマンドやデータを送り込み、コンピュータ・システム上のコンピュータプログラムに予期しない動作を引き起こし、目的を達成するような攻撃に対しては、ファイアウォールは無力である。
【0004】
このような攻撃に対しては、コンピュータ・システム上で受信したコマンド・データをコンピュータプログラムに渡す前に検査し、不正なコマンドやデータは除去する方法で防御する必要がある。従来技術では、図4に示す構成で実現している。
【0005】
ネットワーク・セキュリティの専門家が、コンピュータ・システムに脅威を与えるような不正なコマンドやデータを収集・解析し、不正なコマンドやデータを特徴付けるバイトの一連の並び(これをシグネチャと言う)を抽出する。シグネチャは人手でシグネチャファイル128に蓄積する。シグネチャファイル入力手段127はシグネチャファイル128を入力し、シグネチャテーブル125に格納する。
【0006】
コマンド・データ入力手段111は端末プログラム131からコマンドまたはデータを入力し、コマンド・データ記憶領域112に格納する。シグネチャ検査手段121は入力したコマンドまたはデータがシグネチャテーブル125のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。含んでいれば入力したコマンドまたはデータは不正なものであると判断し、破棄する。また、端末プログラム131にエラーメッセージを送信する。
【0007】
新しい攻撃方法が見つかれば、その都度、専門家がシグネチャを抽出し、シグネチャファイル128に蓄積する。
【0008】
不正アクセス検出に関する技術として、特開平6−250861号公報に、サンプルとして与えられたコンピュータ・ウィルスからシグネチャを自動抽出する方法が記載されている。通常の通信データの中から、つまり、大部分が正常なアクセスデータの中から、リアルタイムで不正アクセスデータを抽出し、除去する方法については記載されていない。
【0009】
【発明が解決しようとする課題】
上述した従来の不正コマンド・データ検知では、シグネチャファイルに最新のシグネチャが登録されるまで新しい攻撃を防ぐことが出来ない。そのため、以下の問題がある。
(1)シグネチャの抽出が、実際に攻撃された後になるため、最初の攻撃を防ぐことが出来ない。
(2)シグネチャの抽出及びシグネチャファイルの更新を人が行うため、時間がかかる。そのため、新しい攻撃に対して無防備な状態が長くなる。
【0010】
本発明の目的は、新しいパターンの不正なコマンドやデータによる攻撃を防御する不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムを提供することにある。
【0011】
【課題を解決するための手段】
本発明の不正コマンド・データ検知方式は、不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有し、入力されたコマンド・データを複数の判断基準で検査する手段と、特徴が含まれていた判断基準の評価値の合計値を算出する手段と、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定する手段とを備えたことを特徴とする。
【0012】
本発明の不正コマンド・データ検知方式は、不正なコマンド・データを特徴付けるシグネチャを格納するシグネチャテーブルと、入力されたコマンド・データに前記シグネチャテーブルに格納されたシグネチャが含まれるかを検査して含まれていたコマンド・データを不正なものであると判断するシグネチャ検査手段と、含まれていないコマンド・データを入力されて判定するヒューリスティック検査手段とを備え、前記ヒューリスティック検査手段は、不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有し、入力されたコマンド・データを複数の判断基準で検査する手段と、特徴が含まれていた判断基準の評価値の合計値を算出する手段と、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定する手段とを含むことを特徴としてもよい。
【0013】
本発明の不正コマンド・データ検知方式は、前記ヒューリスティック検査手段が不正と判定したコマンド・データから不正を特徴付けるシグネチャを抽出して前記シグネチャテーブルに格納するシグネチャ抽出手段を有することを特徴としてもよい。
【0014】
本発明の不正コマンド・データ検知方式は、前記ヒューリスティック検査手段が不正と判定したコマンド・データを格納するログファイルと、前記ログファイルに蓄積されたコマンド・データ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検査閾値を超えるシグネチャを前記シグネチャテーブルに格納するシグネチャ抽出手段とを有することを特徴としてもよい。
【0015】
本発明の不正コマンド・データ検知方式は、ネットワークを介して接続された複数のコンピュータ・システムを有し、第1のコンピュータ・システムは、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを含み、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは第2のコンピュータ・システムに入力されたコマンド・データの不正を判定することを特徴としてもよい。
【0016】
本発明の不正コマンド・データ検知方式は、ネットワークを介して接続された複数のコンピュータ・システムを有し、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを前記複数のコンピュータ・システムに分散して搭載し、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは前記複数のコンピュータ・システムの内のいずれかのコンピュータ・システムに入力されたコマンド・データの不正を判定することを特徴としてもよい。
【0017】
本発明の不正コマンド・データ検知方法は、不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有する不正コマンド・データ検知方法であって、入力されたコマンド・データを複数の前記判断基準で検査するステップと、特徴が含まれていた前記判断基準の前記評価値の合計値を算出するステップと、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定するステップとを含むことを特徴とする。
【0018】
本発明の不正コマンド・データ検知方法は、不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有する不正コマンド・データ検知方法であって、入力されたコマンド・データに、不正なコマンド・データを特徴付けるシグネチャを格納するシグネチャテーブルに格納されたシグネチャが含まれるかを検査して、含まれていたコマンド・データは不正なものであると判断する第1のステップと、含まれていないコマンド・データを複数の前記判断基準で検査する第2のステップと、特徴が含まれていた前記判断基準の前記評価値の合計値を算出する第3のステップと、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定する第4のステップとを含むことを特徴としてもよい。
【0019】
本発明の不正コマンド・データ検知方法は、前記第4のステップで不正と判定したコマンド・データから不正を特徴付けるシグネチャを抽出して前記シグネチャテーブルに格納する第5のステップを含むことを特徴としてもよい。
【0020】
本発明の不正コマンド・データ検知方法は、前記第4のステップで不正と判定したコマンド・データをログファイルに格納する第5のステップと、前記ログファイルに蓄積されたコマンド・データ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検査閾値を超えるシグネチャを前記シグネチャテーブルに格納する第6のステップとを含むことを特徴としてもよい。
【0021】
本発明のプログラムは、請求項7〜10のいずれか1項に記載の処理をコンピュータに実行させる。
【0022】
【発明の実施の形態】
本発明の実施の形態について図面を参照して詳細に説明する。図1は本発明の実施の形態の構成を示すブロック図である。
【0023】
コンピュータ・システム10と端末30がネットワーク50を介して接続されている。端末30は端末プログラム31を含む。
【0024】
コマンド・データ入力手段11とコマンド・データ記憶領域12とコンピュータプログラム13は、本来のコンピュータ・システムを構成する。
【0025】
シグネチャ検査手段21とヒューリスティック検査手段22とログファイル23とシグネチャ抽出手段24とシグネチャテーブル25とシグネチャファイル出力手段26とシグネチャファイル入力手段27とシグネチャファイル28は不正コマンドやデータを除去する本発明の中核を構成する。
【0026】
これらはそれぞれ次のような機能を有する。端末プログラム31は対象のコンピュータ・システムとネットワークで接続され、コマンドやデータを送信する。
【0027】
コマンド・データ入力手段11は、端末プログラム31からコマンドやデータを受信し、コマンド・データ記憶領域12に格納する。コンピュータプログラム13は、コマンド・データ記憶領域12に格納されているコマンドまたはデータを処理して、結果を端末プログラム31に送信する。
【0028】
シグネチャファイル28は、ネットワーク・セキュリティの専門家が抽出したシグネチャを蓄積する。また、本発明により自動抽出したシグネチャも蓄積している。「シグネチャ」とは、不正なコマンドやデータを特徴付けるバイトの一連の並びのことである。シグネチャファイル入力手段27は、シグネチャファイル28を入力し、シグネチャテーブル25にシグネチャを格納する。シグネチャ検査手段21は、コマンド・データ記憶領域12のコマンドまたはデータにシグネチャテーブル25のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。ヒューリスティック検査手段22は、発見的方法でコマンド・データ記憶領域12のコマンドまたはデータが不正なものか検査する。ログファイル23は、ヒューリスティック検査手段22が発見した不正なコマンドやデータを蓄積する。シグネチャ抽出手段24はログファイル23からシグネチャを自動抽出し、シグネチャテーブル25に格納する。シグネチャファイル出力手段26はシグネチャテーブル25に格納されているシグネチャをシグネチャファイル28に出力する。
【0029】
次に、動作について説明する。まず、図1を参照して概要動作を説明する。シグネチャ検査手段21は、コマンド・データ記憶領域12に格納されたコマンド・データにシグネチャテーブル25に格納されたシグネチャが含まれるかを検査し、含まれていた場合はそのコマンド・データは不正なものであると判断して破棄する。含まれていなかった場合はそのコマンド・データをヒューリスティック検査手段22に渡す。ヒューリスティック検査手段22は、渡されたコマンド・データを検査し、既知のシグネチャでは検知できなかった不正なコマンド・データを発見的方法で検知し、不正と判断したコマンド・データをログファイル23に出力する。シグネチャ抽出手段24は、ログファイル23から新しい攻撃のシグネチャを抽出し、シグネチャテーブル25に追加する。追加されたシグネチャをシグネチャ検査手段21が利用する。
【0030】
次に、詳細動作を説明する。ネットワーク・セキュリティの専門家が、コンピュータ・システムに脅威を与えるような不正なコマンドやデータを収集・解析し、不正なコマンドやデータを特徴付けるバイトの一連の並び(シグネチャ)を抽出する。シグネチャは人手でシグネチャファイル28に蓄積する。シグネチャファイル入力手段27はシグネチャファイル28を入力し、シグネチャテーブル25に格納する。
【0031】
コマンド・データ入力手段11は端末プログラム31からコマンドまたはデータを入力し、コマンド・データ記憶領域12に格納する。シグネチャ検査手段21は入力したコマンドまたはデータがシグネチャテーブル25のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。含んでいれば入力したコマンドまたはデータは不正なものであると判断し、破棄する。また、端末プログラム31にエラーメッセージを送信する。
【0032】
しかし、新しい攻撃パターンの場合、シグネチャ検査手段21では発見できない。そこで、シグネチャ検査方式を補うため、ヒューリスティック検査手段22を導入する。ヒューリスティック検査手段22の動作フローチャートを図2に示す。
【0033】
ネットワーク・セキュリティの専門家が不正なコマンドやデータの多くに共通して現れる特徴を、複数個抽出する。それらの特徴毎に検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムを作成し、これを判断基準とする。それぞれの判断基準には、その特徴が不正なコマンドやデータを表す確率を表す固有の値を設定し、これを評価値とする。評価値は、確実に不正なコマンドやデータを示す場合は10、可能性が非常に低い場合は1になる。
【0034】
不正なコマンドやデータの多くに共通して現れる特徴の具体例として次のようなものがある、
(1)入力したコマンドやデータのサイズが2000バイト以上である。
(2)同じ文字が10個連続している。
(3)16進エンコーディングを2重以上掛けている。
HTTP(hypertext transfer protocol)のURL(uniform resource locator)では、文字を”%nn”と16進表示することが許されている。そこで、不正コマンドのシグネチャを16進表示し、チェックを逃れようとする。しかし、これだとデコードすると元の文字列が分かるので、16進表示した文字列をさらに16進表示して、チェックをすり抜けようとする。
一例をあげると、不正なコマンドのシグネチャを”abc”とする。
”abc” → 16進表示 ”%61%62%63”
→ さらに16進表示 ”%25%36%31%25%36%32%25%36%33”
(4)親ディレクトリを参照する文字列”../”を含んでいる。
上述した(1)〜(3)は、バイト列の規則性に関するものであり、(4)は、一連のバイトの並びである。何れもこれだけで不正なコマンドやデータと判断できるものではなく、他の特徴と合わせて不正なコマンドと判断する材料になる。
【0035】
ヒューリスティック検査手段22は、まず、評価値加算エリアをゼロクリアする(ステップS20)。次に、第一の判断基準で入力したコマンドまたはデータを評価し、特徴が合致すれば予め決めた評価値を加算する(ステップS21)。同様に、第二、第三から最後の第nまでの判断基準を順次適用し、特徴が合致した判断基準の評価値を加算する(ステップS22)。最終的に加算した評価値が予め決めた評価閾値を越えていれば(ステップS23)、入力したコマンドまたはデータを不正と判断し、ログファイル23に出力する。また、端末プログラム31にエラーメッセージを出力する(ステップS24)。この場合、コンピュータプログラム13は実行しない。ステップS23において、評価値が評価閾値を越えていなければ、入力したコマンドまたはデータは正常と判断して、コンピュータプログラム13を実行する。
【0036】
図1に戻る。ヒューリスティック検査手段22により、従来の攻撃パターンの変種に対しては、防御できるようになる。しかし、ヒューリスティック検査手段22は、バイトパターンを検査するシグネチャ検査手段21に比べて、処理速度が遅くなる。そこで、ヒューリスティック検査手段22が検出した不正なコマンドやデータを蓄積しているログファイル23を入力し、シグネチャ抽出手段24で新しい攻撃のシグネチャを抽出し、シグネチャテーブル25に追加する。
【0037】
シグネチャ抽出手段24の動作フローチャートを図3に示す。ログファイル23に蓄積されている不正なコマンドやデータの同じパターン毎の出現回数を算出する(ステップS30)。出現回数が検出閾値を超えているコマンドやデータは、シグネチャテーブル25に追加する(ステップS31)。シグネチャテーブル25に追加したコマンドやデータは、ログファイル23ではマークを付け、重複して登録することがないようにする。
【0038】
図1に戻る。シグネチャファイル出力手段26は、シグネチャテーブル25に登録されているシグネチャ全件をシグネチャファイル28に出力する。
【0039】
なお、本発明の中核機能であるシグネチャ検査手段21とヒューリスティック検査手段22とログファイル23とシグネチャ抽出手段24とシグネチャテーブル25とシグネチャファイル出力手段26とシグネチャファイル入力手段27とシグネチャファイル28の全てまたは一部は、コマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載するコンピュータ・システムとネットワークで接続された別の単一のコンピュータ・システムに搭載することも、複数のコンピュータ・システムに分散して搭載することも出来る。このことにより、各コンピュータ・システムの負荷を分散することが出来るし、コマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載する複数のコンピュータ・システムの間でシグネチャファイル28を共有することが出来る。本発明の中核機能を搭載した単一または複数のコンピュータ・システム1組でコマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載する複数のコンピュータ・システムに本発明の機能を提供し、資源の共有化が可能となり、コストを下げることが出来る。
【0040】
本発明の実施の形態におけるシグネチャ検査手段21とヒューリスティック検査手段22とシグネチャ抽出手段24の動作はプログラム処理により行わせることが可能である。すなわち、記録媒体に記録したプログラムをコンピュータ・システム10に読み込ませるか、あるいは、ネットワークからプログラムをコンピュータ・システム10に読み込ませて、実施の形態で説明した動作を実行させる。
【0041】
【発明の効果】
以上説明したように、本発明によれば、発見的な手法で不正なコマンドやデータを識別するため、新しいパターンの不正なコマンドやデータによる攻撃を防御できるという効果がある。
【0042】
また、発見的な手法で見つけた不正なコマンドやデータのシグネチャを自動抽出して、2回目以降は高速なシグネチャ検査で識別するため、不正なコマンドやデータの識別を高速にできるという効果がある。
【0043】
さらに、本発明の中核機能を搭載した単一または複数のコンピュータ・システム1組で他コンピュータ・システムに本発明の機能を提供することにより、資源が共有化できるという効果がある。
【図面の簡単な説明】
【図1】本発明の実施の形態の構成を示すブロック図である。
【図2】ヒューリスティック検査手段の動作を示すフローチャートである。
【図3】シグネチャ抽出手段の動作を示すフローチャートである。
【図4】従来技術の構成を示すブロック図である。
【符号の説明】
10 コンピュータ・システム
11 コマンド・データ入力手段
12 コマンド・データ記憶領域
13 コンピュータプログラム
21 シグネチャ検査手段
22 ヒューリスティック検査手段
23 ログファイル
24 シグネチャ抽出手段
25 シグネチャテーブル
26 シグネチャファイル出力手段
27 シグネチャファイル入力手段
28 シグネチャファイル
30 端末
31 端末プログラム
50 ネットワーク
Claims (11)
- 不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有し、入力されたコマンド・データを複数の判断基準で検査する手段と、特徴が含まれていた判断基準の評価値の合計値を算出する手段と、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定する手段とを備えたことを特徴とする不正コマンド・データ検知方式。
- 不正なコマンド・データを特徴付けるシグネチャを格納するシグネチャテーブルと、入力されたコマンド・データに前記シグネチャテーブルに格納されたシグネチャが含まれるかを検査して含まれていたコマンド・データを不正なものであると判断するシグネチャ検査手段と、含まれていないコマンド・データを入力されて判定するヒューリスティック検査手段とを備え、前記ヒューリスティック検査手段は、不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有し、入力されたコマンド・データを複数の判断基準で検査する手段と、特徴が含まれていた判断基準の評価値の合計値を算出する手段と、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定する手段とを含むことを特徴とする不正コマンド・データ検知方式。
- 前記ヒューリスティック検査手段が不正と判定したコマンド・データから不正を特徴付けるシグネチャを抽出して前記シグネチャテーブルに格納するシグネチャ抽出手段を有することを特徴とする請求項2記載の不正コマンド・データ検知方式。
- 前記ヒューリスティック検査手段が不正と判定したコマンド・データを格納するログファイルと、前記ログファイルに蓄積されたコマンド・データ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検査閾値を超えるシグネチャを前記シグネチャテーブルに格納するシグネチャ抽出手段とを有することを特徴とする請求項2記載の不正コマンド・データ検知方式。
- ネットワークを介して接続された複数のコンピュータ・システムを有し、第1のコンピュータ・システムは、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを含み、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは第2のコンピュータ・システムに入力されたコマンド・データの不正を判定することを特徴とする請求項4記載の不正コマンド・データ検知方式。
- ネットワークを介して接続された複数のコンピュータ・システムを有し、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを前記複数のコンピュータ・システムに分散して搭載し、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは前記複数のコンピュータ・システムの内のいずれかのコンピュータ・システムに入力されたコマンド・データの不正を判定することを特徴とする請求項4記載の不正コマンド・データ検知方式。
- 不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有する不正コマンド・データ検知方法であって、入力されたコマンド・データを複数の前記判断基準で検査するステップと、特徴が含まれていた前記判断基準の前記評価値の合計値を算出するステップと、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定するステップとを含むことを特徴とする不正コマンド・データ検知方法。
- 不正なコマンド・データに現れる特徴が検査対象のコマンド・データに含まれているかを検査する判断基準と、この特徴が不正なコマンド・データを表す確率を示す評価値とを、複数の特徴のそれぞれに対応して有する不正コマンド・データ検知方法であって、入力されたコマンド・データに、不正なコマンド・データを特徴付けるシグネチャを格納するシグネチャテーブルに格納されたシグネチャが含まれるかを検査して、含まれていたコマンド・データは不正なものであると判断する第1のステップと、含まれていないコマンド・データを複数の前記判断基準で検査する第2のステップと、特徴が含まれていた前記判断基準の前記評価値の合計値を算出する第3のステップと、合計値が予め定めた評価閾値を超えた場合は入力されたコマンド・データを不正と判定する第4のステップとを含むことを特徴とする不正コマンド・データ検知方法。
- 前記第4のステップで不正と判定したコマンド・データから不正を特徴付けるシグネチャを抽出して前記シグネチャテーブルに格納する第5のステップを含むことを特徴とする請求項8記載の不正コマンド・データ検知方法。
- 前記第4のステップで不正と判定したコマンド・データをログファイルに格納する第5のステップと、前記ログファイルに蓄積されたコマンド・データ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検査閾値を超えるシグネチャを前記シグネチャテーブルに格納する第6のステップとを含むことを特徴とする請求項8記載の不正コマンド・データ検知方法。
- 請求項7〜10のいずれか1項に記載の処理をコンピュータに実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002206896A JP4309102B2 (ja) | 2002-07-16 | 2002-07-16 | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002206896A JP4309102B2 (ja) | 2002-07-16 | 2002-07-16 | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004054330A true JP2004054330A (ja) | 2004-02-19 |
| JP4309102B2 JP4309102B2 (ja) | 2009-08-05 |
Family
ID=31931496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002206896A Expired - Lifetime JP4309102B2 (ja) | 2002-07-16 | 2002-07-16 | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4309102B2 (ja) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP2009232111A (ja) * | 2008-03-21 | 2009-10-08 | Fujitsu Ltd | 通信監視装置、通信監視プログラム、および通信監視方法 |
| JP2010092203A (ja) * | 2008-10-07 | 2010-04-22 | Nec Corp | 異常検出装置および異常検出方法 |
| JP2011503715A (ja) * | 2007-11-05 | 2011-01-27 | マイクロソフト コーポレーション | クロスサイトスクリプティングフィルタ |
| JP2013513895A (ja) * | 2009-12-15 | 2013-04-22 | マイクロン テクノロジー, インク. | 適応型コンテンツ・インスペクション |
| US8646029B2 (en) | 2011-05-24 | 2014-02-04 | Microsoft Corporation | Security model for a layout engine and scripting engine |
| JP2014063490A (ja) * | 2012-09-19 | 2014-04-10 | East Security Co Ltd | 危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法 |
| WO2014103115A1 (ja) * | 2012-12-26 | 2014-07-03 | 三菱電機株式会社 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
| US9342274B2 (en) | 2011-05-19 | 2016-05-17 | Microsoft Technology Licensing, Llc | Dynamic code generation and memory management for component object model data constructs |
| US9430452B2 (en) | 2013-06-06 | 2016-08-30 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
-
2002
- 2002-07-16 JP JP2002206896A patent/JP4309102B2/ja not_active Expired - Lifetime
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP2011503715A (ja) * | 2007-11-05 | 2011-01-27 | マイクロソフト コーポレーション | クロスサイトスクリプティングフィルタ |
| JP2013242924A (ja) * | 2007-11-05 | 2013-12-05 | Microsoft Corp | クロスサイトスクリプティングフィルタ |
| JP2009232111A (ja) * | 2008-03-21 | 2009-10-08 | Fujitsu Ltd | 通信監視装置、通信監視プログラム、および通信監視方法 |
| JP2010092203A (ja) * | 2008-10-07 | 2010-04-22 | Nec Corp | 異常検出装置および異常検出方法 |
| JP2013513895A (ja) * | 2009-12-15 | 2013-04-22 | マイクロン テクノロジー, インク. | 適応型コンテンツ・インスペクション |
| US10235627B2 (en) | 2009-12-15 | 2019-03-19 | Micron Technology, Inc. | Adaptive content inspection |
| US9684867B2 (en) | 2009-12-15 | 2017-06-20 | Micron Technology, Inc. | Adaptive content inspection |
| US9342274B2 (en) | 2011-05-19 | 2016-05-17 | Microsoft Technology Licensing, Llc | Dynamic code generation and memory management for component object model data constructs |
| US10248415B2 (en) | 2011-05-19 | 2019-04-02 | Microsoft Technology Licensing, Llc | Dynamic code generation and memory management for component object model data constructs |
| US8646029B2 (en) | 2011-05-24 | 2014-02-04 | Microsoft Corporation | Security model for a layout engine and scripting engine |
| US9582479B2 (en) | 2011-05-24 | 2017-02-28 | Microsoft Technology Licensing, Llc | Security model for a layout engine and scripting engine |
| US8918759B2 (en) | 2011-05-24 | 2014-12-23 | Microsoft Corporation | Memory model for a layout engine and scripting engine |
| US9116867B2 (en) | 2011-05-24 | 2015-08-25 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
| US9244896B2 (en) | 2011-05-24 | 2016-01-26 | Microsoft Technology Licensing, Llc | Binding between a layout engine and a scripting engine |
| US8881101B2 (en) | 2011-05-24 | 2014-11-04 | Microsoft Corporation | Binding between a layout engine and a scripting engine |
| US8689182B2 (en) | 2011-05-24 | 2014-04-01 | Microsoft Corporation | Memory model for a layout engine and scripting engine |
| US8904474B2 (en) | 2011-05-24 | 2014-12-02 | Microsoft Corporation | Security model for a layout engine and scripting engine |
| US9830305B2 (en) | 2011-05-24 | 2017-11-28 | Microsoft Technology Licensing, Llc | Interface definition language extensions |
| US9830306B2 (en) | 2011-05-24 | 2017-11-28 | Microsoft Technology Licensing, Llc | Interface definition language extensions |
| JP2014063490A (ja) * | 2012-09-19 | 2014-04-10 | East Security Co Ltd | 危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法 |
| WO2014103115A1 (ja) * | 2012-12-26 | 2014-07-03 | 三菱電機株式会社 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
| US9430452B2 (en) | 2013-06-06 | 2016-08-30 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
| US10282238B2 (en) | 2013-06-06 | 2019-05-07 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
| US10353751B2 (en) | 2013-06-06 | 2019-07-16 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4309102B2 (ja) | 2009-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
| KR101811325B1 (ko) | 네트워크 환경에서의 악성 스크립트 언어 코드의 검출 | |
| Mutz et al. | An experience developing an IDS stimulator for the black-box testing of network intrusion detection systems | |
| US9001661B2 (en) | Packet classification in a network security device | |
| US11562068B2 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
| US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
| US20050216764A1 (en) | Systems and methods for dynamic threat assessment | |
| CN105959250A (zh) | 网络攻击黑名单管理方法及装置 | |
| EP1960867A2 (en) | Systems and methods for processing data flows | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN107979581B (zh) | 僵尸特征的检测方法和装置 | |
| US20090178140A1 (en) | Network intrusion detection system | |
| CN106911637A (zh) | 网络威胁处理方法和装置 | |
| Kaur et al. | Efficient hybrid technique for detecting zero-day polymorphic worms | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| CN116860489A (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| CN106911640A (zh) | 网络威胁处理方法和装置 | |
| CN107209834B (zh) | 恶意通信模式提取装置及其系统和方法、记录介质 | |
| JP4309102B2 (ja) | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム | |
| US20050086512A1 (en) | Worm blocking system and method using hardware-based pattern matching | |
| KR20070072835A (ko) | 실시간 웹로그 수집을 통한 웹해킹 대응 방법 | |
| JP2007157059A (ja) | プロアクティブな不正プログラム検出方法、検出装置及びコンピュータプログラム | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040423 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20050315 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060829 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061023 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070126 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080312 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20080612 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090414 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090507 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4309102 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120515 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120515 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130515 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140515 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |