JP4091528B2 - 不正アクセス対処ルール生成方法,不正アクセス対処方法,不正アクセス対処ルール生成装置,不正アクセス対処装置およびスタックスマッシング攻撃対策システム - Google Patents
不正アクセス対処ルール生成方法,不正アクセス対処方法,不正アクセス対処ルール生成装置,不正アクセス対処装置およびスタックスマッシング攻撃対策システム Download PDFInfo
- Publication number
- JP4091528B2 JP4091528B2 JP2003390130A JP2003390130A JP4091528B2 JP 4091528 B2 JP4091528 B2 JP 4091528B2 JP 2003390130 A JP2003390130 A JP 2003390130A JP 2003390130 A JP2003390130 A JP 2003390130A JP 4091528 B2 JP4091528 B2 JP 4091528B2
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- packet
- access countermeasure
- pointer
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
・「スタック」:スタックとは,最後に格納したオブジェクトが最初に取り出されるデータ構造のことをいう。
・「スタックスマッシング攻撃」:スタックメモリ上には,サブルーチン呼び出しの際に呼び出し元へ戻るためのリターンアドレスや,サブルーチン内でのみ利用される局所変数(ローカル変数)が格納される。よって,サブルーチン内でのみ利用される局所変数として宣言されたバッファに対して,バッファの境界を越えて書き込みが発生すると,リターンアドレスが書き換わることになる。スタックスマッシング攻撃は,この性質を利用してプログラムの処理フローを変更し,任意のプログラムを実行させる攻撃である。
・「DoS(Denial Of Service:サービス不能) 攻撃」:DoS攻撃とは,あるサービスを利用不能な状態に陥れる攻撃のことをいう。
・「フック」:ある関数が呼び出されるときに制御を横取りすることを,関数をフックするという。例えばデバッグ目的で,ある関数が正確に呼び出されているかを調べるために,一旦制御を横取りしログ出力するといった利用方法がある。
White Paper,「Libsafe:Protectingcritical elements of stacks.」,"http://www.research.avayalabs.com/project/libsafe/", A.Baratloo,N.Singh,and T.Tsai,December 1999.
前記保存されたパケットを検索対象として,前記割り出されたフレームポインタ,リターンアドレスまたはオペレーティングシステムによっては例外ハンドラヘのポインタの値と一致するバイト列を検索する手段と,前記検索されたバイト列を含むパケットの持つヘッダ中の情報を取得する手段と,前記バイト列と前記ヘッダ中の情報とから,フィルタリングするパケットについて記述する不正アクセス対処ルールを生成し記録する手段とを備えることを特徴とする。
2 パケットフィルタリング装置
10 入力パケット保存部
11 入力パケットロギング部
12 サーバプログラム
13 バッファオーバーフロー検出部
14 スタックスマッシング攻撃痕跡抽出部
15 パケットフィルタリングルール生成部
16 パケットフィルタリングルール通知部
20 パケットフィルタリングルールテーブル
21 パケットフィルタリングルール受信部
22 パケットフィルタリングルール登録部
23 パケットフィルタリング部
Claims (7)
- 外部から送信されてくる不正なパケットをフィルタリングするために用いられる不正アクセス対処ルールを生成する方法であって,
外部ネットワークから送信されたパケットを保存するステップと,
メモリコピー関数のコピー先のバッファサイズをチェックしてバッファオーバーフローを検出するステップと,
前記コピー先バッファが属する関数フレームの位置から,前記バッファオーバーフローが発生したときに書き込まれることになる,フレームポインタとリターンアドレスとオペレーティングシステムによっては例外ハンドラヘのポインタを割り出すステップと,
前記保存されたパケットを検索対象として,前記割り出されたフレームポインタ,リターンアドレスまたはオペレーティングシステムによっては例外ハンドラヘのポインタの値と一致するバイト列を検索するステップと,
前記検索されたバイト列を含むパケットの持つヘッダ中の情報を取得するステップと,
前記バイト列と前記ヘッダ中の情報とをルール要素として,フィルタリングするパケットについて記述する不正アクセス対処ルールを生成し記録するステップとを有する
ことを特徴とする不正アクセス対処ルール生成方法。 - 外部から送信されてくる不正なパケットをフィルタリングするために用いられる不正アクセス対処ルールを生成する方法であって,
外部ネットワークから送信されたパケットを保存するステップと,
スタックメモリのバッファとフレームポインタとの間にガード変数を挿入して前記スタックメモリのレイアウトを変更するステップと,
前記スタックメモリのバッファとフレームポインタとの間に挿入されたガード変数が破壊されたかどうかをチェックしてバッファオーバーフローを検出するステップと,
レイアウトが変更される前の前記スタックメモリのレイアウトから,前記バッファオーバーフローが生じた際に書き込まれることになる,フレームポインタとリターンアドレスとオペレーティングシステムによっては例外ハンドラヘのポインタを割り出すステップと,
前記保存されたパケットを検索対象として,前記割り出されたフレームポインタ,リターンアドレスまたはオペレーティングシステムによっては例外ハンドラヘのポインタの値と一致するバイト列を検索するステップと,
前記検索されたバイト列を含むパケットの持つヘッダ中の情報を取得するステップと,
前記バイト列と前記ヘッダ中の情報とをルール要素として,フィルタリングするパケットについて記述する不正アクセス対処ルールを生成し記録するステップとを有する
ことを特徴とする不正アクセス対処ルール生成方法。 - 外部から送信されてくる不正なパケットをフィルタリングする方法であって,
請求項1または請求項2に記載の不正アクセス対処ルール生成方法によって生成された不正アクセス対処ルールを受信し記憶装置に登録するステップと,
前記登録された不正アクセス対処ルールをもとに,不正アクセス対処ルールにおけるヘッダ中の情報およびバイト列と,受信したパケットにおけるヘッダ中の情報およびバイト列とを照合し,一致する場合に受信したパケットは不正なパケットとして,外部から送信されてくる不正なパケットをフィルタリングするステップとを有する
ことを特徴とする不正アクセス対処方法。 - 外部から送信されてくる不正なパケットをフィルタリングするために用いられる不正アクセス対処ルールを生成する装置であって,
外部ネットワークから送信されたパケットを保存する手段と,
メモリコピー関数のコピー先のバッファサイズをチェックしてバッファオーバーフローを検出する手段と,
前記コピー先バッファが属する関数フレームの位置から,前記バッファオーバーフローが発生したときに書き込まれることになる,フレームポインタとリターンアドレスとオペレーティングシステムによっては例外ハンドラヘのポインタを割り出す手段と,
前記保存されたパケットを検索対象として,前記割り出されたフレームポインタ,リターンアドレスまたはオペレーティングシステムによっては例外ハンドラヘのポインタの値と一致するバイト列を検索する手段と,
前記検索されたバイト列を含むパケットの持つヘッダ中の情報を取得する手段と,
前記バイト列と前記ヘッダ中の情報とをルール要素として,フィルタリングするパケットについて記述する不正アクセス対処ルールを生成し記録する手段とを備える
ことを特徴とする不正アクセス対処ルール生成装置。 - 外部から送信されてくる不正なパケットをフィルタリングするために用いられる不正アクセス対処ルールを生成する装置であって,
外部ネットワークから送信されたパケットを保存する手段と,
スタックメモリのバッファとフレームポインタとの間にガード変数を挿入して前記スタックメモリのレイアウトを変更する手段と,
前記スタックメモリのバッファとフレームポインタとの間に挿入されたガード変数が破壊されたかをチェックしてバッファオーバーフローを検出する手段と,
レイアウトが変更される前の前記スタックメモリのレイアウトから,前記バッファオーバーフローが生じた際に書き込まれることになる,フレームポインタとリターンアドレスとオペレーティングシステムによっては例外ハンドラヘのポインタを割り出す手段と,
前記保存されたパケットを検索対象として,前記割り出されたフレームポインタ,リターンアドレスまたはオペレーティングシステムによっては例外ハンドラヘのポインタの値と一致するバイト列を検索する手段と,
前記検索されたバイト列を含むパケットの持つヘッダ中の情報を取得する手段と,
前記バイト列と前記ヘッダ中の情報とをルール要素として,フィルタリングするパケットについて記述する不正アクセス対処ルールを生成し記録する手段とを備える
ことを特徴とする不正アクセス対処ルール生成装置。 - 外部から送信されてくる不正なパケットをフィルタリングする装置であって,
請求項4または請求項5に記載の不正アクセス対処ルール生成装置から,前記不正アクセス対処ルールを受信し記憶装置に登録する手段と,
前記登録された不正アクセス対処ルールをもとに,不正アクセス対処ルールにおけるヘッダ中の情報およびバイト列と,受信したパケットにおけるヘッダ中の情報およびバイト列とを照合し,一致する場合に受信したパケットは不正なパケットとして,外部から送信されてくる不正なパケットをフィルタリングする手段とを備える
ことを特徴とする不正アクセス対処装置。 - 外部から送信されてくる不正なパケットをフィルタリングするスタックスマッシング攻撃対策システムであって,
請求項4または請求項5に記載の不正アクセス対処ルール生成装置と,
請求項6に記載の不正アクセス対処装置とを備える
ことを特徴とするスタックスマッシング攻撃対策システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003390130A JP4091528B2 (ja) | 2003-11-20 | 2003-11-20 | 不正アクセス対処ルール生成方法,不正アクセス対処方法,不正アクセス対処ルール生成装置,不正アクセス対処装置およびスタックスマッシング攻撃対策システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003390130A JP4091528B2 (ja) | 2003-11-20 | 2003-11-20 | 不正アクセス対処ルール生成方法,不正アクセス対処方法,不正アクセス対処ルール生成装置,不正アクセス対処装置およびスタックスマッシング攻撃対策システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005151492A JP2005151492A (ja) | 2005-06-09 |
JP4091528B2 true JP4091528B2 (ja) | 2008-05-28 |
Family
ID=34696614
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003390130A Expired - Fee Related JP4091528B2 (ja) | 2003-11-20 | 2003-11-20 | 不正アクセス対処ルール生成方法,不正アクセス対処方法,不正アクセス対処ルール生成装置,不正アクセス対処装置およびスタックスマッシング攻撃対策システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4091528B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016084076A1 (en) | 2014-11-25 | 2016-06-02 | enSilo Ltd. | Systems and methods for malicious code detection accuracy assurance |
CN113746827B (zh) * | 2021-08-31 | 2023-02-10 | 中国铁道科学研究院集团有限公司通信信号研究所 | 基于多带图灵机的实时数据链路字节流防错方法 |
-
2003
- 2003-11-20 JP JP2003390130A patent/JP4091528B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005151492A (ja) | 2005-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4320013B2 (ja) | 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体 | |
US7334264B2 (en) | Computer virus generation detection apparatus and method | |
US6941473B2 (en) | Memory device, stack protection system, computer system, compiler, stack protection method, storage medium and program transmission apparatus | |
US7665138B2 (en) | Detecting method and architecture thereof for malicious codes | |
US9043904B2 (en) | Method and system for dynamic protocol decoding and analysis | |
US7260843B2 (en) | Intrusion detection method and system | |
JP4990998B2 (ja) | プログラム実行フローの修正を防止する方法及び装置 | |
US7845008B2 (en) | Virus scanner for journaling file system | |
US20080133858A1 (en) | Secure Bit | |
JP4995170B2 (ja) | 不正検知方法、不正検知装置、不正検知プログラムおよび情報処理システム | |
US9038161B2 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
JP2006268687A (ja) | コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 | |
JP4091528B2 (ja) | 不正アクセス対処ルール生成方法,不正アクセス対処方法,不正アクセス対処ルール生成装置,不正アクセス対処装置およびスタックスマッシング攻撃対策システム | |
JP4309102B2 (ja) | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム | |
JP4643201B2 (ja) | バッファオーバーフロー脆弱性分析方法、データ処理装置、分析情報提供装置、分析情報抽出処理用プログラムおよび分析情報提供処理用プログラム | |
JP4253215B2 (ja) | 不正アクセス対処ルール生成方法、不正アクセス対処ルール生成装置、不正アクセス対処ルール生成プログラム及びそのプログラムを記録した記録媒体 | |
CN106790241A (zh) | 一种报文的处理方法及装置 | |
JP5177206B2 (ja) | ソフトウェアの改竄検出装置及び改竄検出方法 | |
JP4728619B2 (ja) | ソフトウェアの改竄検出装置、改竄防止装置、改竄検出方法及び改竄防止方法 | |
KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
JP5177205B2 (ja) | ソフトウェアの改竄防止装置及び改竄防止方法 | |
US20160337383A1 (en) | Detecting deviation from a data packet send-protocol in a computer system | |
JP2005032182A (ja) | プログラム、攻撃コード抽出装置およびその方法 | |
CN114943078A (zh) | 一种文件识别方法及装置 | |
Wu et al. | Stack protection in packet processing systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060410 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080218 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080226 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080228 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4091528 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110307 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110307 Year of fee payment: 3 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: R3D02 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110307 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120307 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130307 Year of fee payment: 5 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |