JP4309102B2 - 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム - Google Patents
不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム Download PDFInfo
- Publication number
- JP4309102B2 JP4309102B2 JP2002206896A JP2002206896A JP4309102B2 JP 4309102 B2 JP4309102 B2 JP 4309102B2 JP 2002206896 A JP2002206896 A JP 2002206896A JP 2002206896 A JP2002206896 A JP 2002206896A JP 4309102 B2 JP4309102 B2 JP 4309102B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- signature
- command
- illegal
- heuristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムに関し、特に、入力されたコマンド・データからリアルタイムで不正アクセスコマンド・データを抽出し、除去する不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムに関する。
【0002】
【従来の技術】
インターネットのようなコンピュータ・ネットワークに接続されたコンピュータ・システムは、データを搾取されたり、改ざんされたり、消去されたり、また、そのコンピュータ・システム自体がサービス不能状態にされるというようなネットワーク・セキュリティの脅威に晒されている。
【0003】
これらのネットワーク経由の外部からの攻撃を防ぐ方法の1つとして、ファイアウォールがある。ファイアウォールは、外部からアクセスできる通信ポートや端末のIP(internet protocol)アドレスを制限する方法で外部からの攻撃を防ぐ。しかし、ショッピング・サイトのように不特定のユーザにサービスを公開している場合、公開されている通信ポートを使用して、不正なコマンドやデータを送り込み、コンピュータ・システム上のコンピュータプログラムに予期しない動作を引き起こし、目的を達成するような攻撃に対しては、ファイアウォールは無力である。
【0004】
このような攻撃に対しては、コンピュータ・システム上で受信したコマンド・データをコンピュータプログラムに渡す前に検査し、不正なコマンドやデータは除去する方法で防御する必要がある。従来技術では、図4に示す構成で実現している。
【0005】
ネットワーク・セキュリティの専門家が、コンピュータ・システムに脅威を与えるような不正なコマンドやデータを収集・解析し、不正なコマンドやデータを特徴付けるバイトの一連の並び(これをシグネチャと言う)を抽出する。シグネチャは人手でシグネチャファイル128に蓄積する。シグネチャファイル入力手段127はシグネチャファイル128を入力し、シグネチャテーブル125に格納する。
【0006】
コマンド・データ入力手段111は端末プログラム131からコマンドまたはデータを入力し、コマンド・データ記憶領域112に格納する。シグネチャ検査手段121は入力したコマンドまたはデータがシグネチャテーブル125のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。含んでいれば入力したコマンドまたはデータは不正なものであると判断し、破棄する。また、端末プログラム131にエラーメッセージを送信する。
【0007】
新しい攻撃方法が見つかれば、その都度、専門家がシグネチャを抽出し、シグネチャファイル128に蓄積する。
【0008】
不正アクセス検出に関する技術として、特開平6−250861号公報に、サンプルとして与えられたコンピュータ・ウィルスからシグネチャを自動抽出する方法が記載されている。通常の通信データの中から、つまり、大部分が正常なアクセスデータの中から、リアルタイムで不正アクセスデータを抽出し、除去する方法については記載されていない。
【0009】
【発明が解決しようとする課題】
上述した従来の不正コマンド・データ検知では、シグネチャファイルに最新のシグネチャが登録されるまで新しい攻撃を防ぐことが出来ない。そのため、以下の問題がある。
(1)シグネチャの抽出が、実際に攻撃された後になるため、最初の攻撃を防ぐことが出来ない。
(2)シグネチャの抽出及びシグネチャファイルの更新を人が行うため、時間がかかる。そのため、新しい攻撃に対して無防備な状態が長くなる。
【0010】
本発明の目的は、新しいパターンの不正なコマンドやデータによる攻撃を防御する不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムを提供することにある。
【0011】
【課題を解決するための手段】
本発明の不正コマンド・データ検知方式は、不正なコマンドやデータの多くに共通して現れる複数の特徴に対して、特定の1つの特徴が検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムとその特徴が含まれているコマンドやデータが不正である可能性を数値化した評価値とを実装した1つの判断基準を、前記複数の特徴それぞれに対応して有し、入力されたコマンドやデータを複数の判断基準で検査する手段と、検出した特徴のそれぞれの評価値の合計値を算出する手段と、合計値が予め定めた評価閾値を超えた場合は入力されたコマンドやデータを不正と判定する手段とを備える。
【0012】
本発明の不正コマンド・データ検知方式は、不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを格納するシグネチャテーブルと、入力されたコマンドやデータに前記シグネチャテーブルに格納されているシグネチャが含まれているか否かを検査し、シグネチャを含むコマンドやデータを不正なものであると判断するシグネチャ検査手段と、シグネチャが含まれていないコマンドやデータを不正であるか否かを判定するヒューリスティック検査手段とを備え、前記ヒューリスティック検査手段は、不正なコマンドやデータの多くに共通して現れる複数の特徴に対して、特定の1つの特徴が検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムとその特徴が含まれているコマンドやデータが不正である可能性を数値化した評価値とを実装した1つの判断基準を、前記複数の特徴それぞれに対応して有し、入力されたコマンドやデータを複数の判断基準で検査する手段と、検出した特徴のそれぞれの評価値の合計値を算出する手段と、合計値が予め定めた評価閾値を超えた場合は入力されたコマンドやデータを不正と判定する手段とを含む。
【0013】
本発明の不正コマンド・データ検知方式は、前記ヒューリスティック検査手段が不正と判定したコマンドやデータから不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを抽出して前記シグネチャテーブルに格納するシグネチャ抽出手段を有する。
【0014】
本発明の不正コマンド・データ検知方式は、前記ヒューリスティック検査手段が不正と判定したコマンドやデータを格納するログファイルと、前記ログファイルに蓄積されたコマンドやデータ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検出閾値を超えるシグネチャを前記シグネチャテーブルに格納するシグネチャ抽出手段とを有する。
【0015】
本発明の不正コマンド・データ検知方式は、ネットワークを介して接続された複数のコンピュータ・システムを有し、第1のコンピュータ・システムは、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを含み、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは第2のコンピュータ・システムに入力されたコマンドやデータを不正と判定する。
【0016】
本発明の不正コマンド・データ検知方式は、ネットワークを介して接続された複数のコンピュータ・システムを有し、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを前記複数のコンピュータ・システムに分散して搭載し、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは前記複数のコンピュータ・システムの内のいずれかのコンピュータ・システムに入力されたコマンドやデータを不正と判定する。
【0017】
本発明の不正コマンド・データ検知方法は、不正なコマンドやデータの多くに共通して現れる複数の特徴に対して、特定の1つの特徴が検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムとその特徴が含まれているコマンドやデータが不正である可能性を数値化した評価値とを実装した1つの判断基準を、前記複数の特徴それぞれに対応して有する不正コマンド・データ検知方法であって、前記ヒューリスティック検査手段が、入力されたコマンドやデータを複数の判断基準で検査するステップと、前記ヒューリスティック検査手段が、検出した特徴のそれぞれの評価値の合計値を算出するステップと、前記ヒューリスティック検査手段が、合計値が予め定めた評価閾値を超えた場合は入力されたコマンドやデータを不正と判定するステップとを含む。
【0018】
本発明の不正コマンド・データ検知方法は、不正なコマンドやデータの多くに共通して現れる複数の特徴に対して、特定の1つの特徴が検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムとその特徴が含まれているコマンドやデータが不正である可能性を数値化した評価値とを実装した1つの判断基準を、前記複数の特徴それぞれに対応して有する不正コマンド・データ検知方法であって、前記シグネチャ検査手段が、入力されたコマンドやデータに、不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを格納するシグネチャテーブルに格納されたシグネチャが含まれるかを検査して、シグネチャが含まれていたコマンドやデータは不正なものであると判断する第1のステップと、前記ヒューリスティック検査手段が、シグネチャが含まれていないコマンドやデータを複数の前記判断基準で検査する第2のステップと、前記ヒューリスティック検査手段が、検出した特徴のそれぞれの評価値の合計値を算出する第3のステップと、前記ヒューリスティック検査手段が、合計値が予め定めた評価閾値を超えた場合は入力されたコマンドやデータを不正と判定する第4のステップとを含む。
【0019】
本発明の不正コマンド・データ検知方法は、前記シグネチャ抽出手段が、前記第4のステップで不正と判定したコマンドやデータから不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを抽出して前記シグネチャテーブルに格納する第5のステップを含む。
【0020】
本発明の不正コマンド・データ検知方法は、前記ヒューリスティック検査手段が、前記第4のステップで不正と判定したコマンドやデータをログファイルに格納する第5のステップと、前記シグネチャ抽出手段が、前記ログファイルに蓄積されたコマンドやデータ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検出閾値を超えるシグネチャを前記シグネチャテーブルに格納する第6のステップとを含む。
【0021】
本発明のプログラムは、請求項7〜10のいずれか1項に記載の処理をコンピュータに実行させる。
【0022】
【発明の実施の形態】
本発明の実施の形態について図面を参照して詳細に説明する。図1は本発明の実施の形態の構成を示すブロック図である。
【0023】
コンピュータ・システム10と端末30がネットワーク50を介して接続されている。端末30は端末プログラム31を含む。
【0024】
コマンド・データ入力手段11とコマンド・データ記憶領域12とコンピュータプログラム13は、本来のコンピュータ・システムを構成する。
【0025】
シグネチャ検査手段21とヒューリスティック検査手段22とログファイル23とシグネチャ抽出手段24とシグネチャテーブル25とシグネチャファイル出力手段26とシグネチャファイル入力手段27とシグネチャファイル28は不正コマンドやデータを除去する本発明の中核を構成する。
【0026】
これらはそれぞれ次のような機能を有する。端末プログラム31は対象のコンピュータ・システムとネットワークで接続され、コマンドやデータを送信する。
【0027】
コマンド・データ入力手段11は、端末プログラム31からコマンドやデータを受信し、コマンド・データ記憶領域12に格納する。コンピュータプログラム13は、コマンド・データ記憶領域12に格納されているコマンドまたはデータを処理して、結果を端末プログラム31に送信する。
【0028】
シグネチャファイル28は、ネットワーク・セキュリティの専門家が抽出したシグネチャを蓄積する。また、本発明により自動抽出したシグネチャも蓄積している。「シグネチャ」とは、不正なコマンドやデータを特徴付けるバイトの一連の並びのことである。シグネチャファイル入力手段27は、シグネチャファイル28を入力し、シグネチャテーブル25にシグネチャを格納する。シグネチャ検査手段21は、コマンド・データ記憶領域12のコマンドまたはデータにシグネチャテーブル25のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。ヒューリスティック検査手段22は、発見的方法でコマンド・データ記憶領域12のコマンドまたはデータが不正なものか検査する。ログファイル23は、ヒューリスティック検査手段22が発見した不正なコマンドやデータを蓄積する。シグネチャ抽出手段24はログファイル23からシグネチャを自動抽出し、シグネチャテーブル25に格納する。シグネチャファイル出力手段26はシグネチャテーブル25に格納されているシグネチャをシグネチャファイル28に出力する。
【0029】
次に、動作について説明する。まず、図1を参照して概要動作を説明する。シグネチャ検査手段21は、コマンド・データ記憶領域12に格納されたコマンド・データにシグネチャテーブル25に格納されたシグネチャが含まれるかを検査し、含まれていた場合はそのコマンド・データは不正なものであると判断して破棄する。含まれていなかった場合はそのコマンド・データをヒューリスティック検査手段22に渡す。ヒューリスティック検査手段22は、渡されたコマンド・データを検査し、既知のシグネチャでは検知できなかった不正なコマンド・データを発見的方法で検知し、不正と判断したコマンド・データをログファイル23に出力する。シグネチャ抽出手段24は、ログファイル23から新しい攻撃のシグネチャを抽出し、シグネチャテーブル25に追加する。追加されたシグネチャをシグネチャ検査手段21が利用する。
【0030】
次に、詳細動作を説明する。ネットワーク・セキュリティの専門家が、コンピュータ・システムに脅威を与えるような不正なコマンドやデータを収集・解析し、不正なコマンドやデータを特徴付けるバイトの一連の並び(シグネチャ)を抽出する。シグネチャは人手でシグネチャファイル28に蓄積する。シグネチャファイル入力手段27はシグネチャファイル28を入力し、シグネチャテーブル25に格納する。
【0031】
コマンド・データ入力手段11は端末プログラム31からコマンドまたはデータを入力し、コマンド・データ記憶領域12に格納する。シグネチャ検査手段21は入力したコマンドまたはデータがシグネチャテーブル25のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。含んでいれば入力したコマンドまたはデータは不正なものであると判断し、破棄する。また、端末プログラム31にエラーメッセージを送信する。
【0032】
しかし、新しい攻撃パターンの場合、シグネチャ検査手段21では発見できない。そこで、シグネチャ検査方式を補うため、ヒューリスティック検査手段22を導入する。ヒューリスティック検査手段22の動作フローチャートを図2に示す。
【0033】
ネットワーク・セキュリティの専門家が不正なコマンドやデータの多くに共通して現れる特徴を、複数個抽出する。それらの特徴毎に検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムを作成し、これを判断基準とする。それぞれの判断基準には、その特徴が不正なコマンドやデータを表す確率を表す固有の値を設定し、これを評価値とする。評価値は、確実に不正なコマンドやデータを示す場合は10、可能性が非常に低い場合は1になる。
【0034】
不正なコマンドやデータの多くに共通して現れる特徴の具体例として次のようなものがある、
(1)入力したコマンドやデータのサイズが2000バイト以上である。
(2)同じ文字が10個連続している。
(3)16進エンコーディングを2重以上掛けている。
HTTP(hypertext transfer protocol)のURL(uniform resource locator)では、文字を"%nn"と16進表示することが許されている。そこで、不正コマンドのシグネチャを16進表示し、チェックを逃れようとする。しかし、これだとデコードすると元の文字列が分かるので、16進表示した文字列をさらに16進表示して、チェックをすり抜けようとする。
一例をあげると、不正なコマンドのシグネチャを"abc"とする。
"abc" → 16進表示 "%61%62%63"
→ さらに16進表示 "%25%36%31%25%36%32%25%36%33"
(4)親ディレクトリを参照する文字列"../"を含んでいる。
上述した(1)〜(3)は、バイト列の規則性に関するものであり、(4)は、一連のバイトの並びである。何れもこれだけで不正なコマンドやデータと判断できるものではなく、他の特徴と合わせて不正なコマンドと判断する材料になる。
【0035】
ヒューリスティック検査手段22は、まず、評価値加算エリアをゼロクリアする(ステップS20)。次に、第一の判断基準で入力したコマンドまたはデータを評価し、特徴が合致すれば予め決めた評価値を加算する(ステップS21)。同様に、第二、第三から最後の第nまでの判断基準を順次適用し、特徴が合致した判断基準の評価値を加算する(ステップS22)。最終的に加算した評価値が予め決めた評価閾値を越えていれば(ステップS23)、入力したコマンドまたはデータを不正と判断し、ログファイル23に出力する。また、端末プログラム31にエラーメッセージを出力する(ステップS24)。この場合、コンピュータプログラム13は実行しない。ステップS23において、評価値が評価閾値を越えていなければ、入力したコマンドまたはデータは正常と判断して、コンピュータプログラム13を実行する。
【0036】
図1に戻る。ヒューリスティック検査手段22により、従来の攻撃パターンの変種に対しては、防御できるようになる。しかし、ヒューリスティック検査手段22は、バイトパターンを検査するシグネチャ検査手段21に比べて、処理速度が遅くなる。そこで、ヒューリスティック検査手段22が検出した不正なコマンドやデータを蓄積しているログファイル23を入力し、シグネチャ抽出手段24で新しい攻撃のシグネチャを抽出し、シグネチャテーブル25に追加する。
【0037】
シグネチャ抽出手段24の動作フローチャートを図3に示す。ログファイル23に蓄積されている不正なコマンドやデータの同じパターン毎の出現回数を算出する(ステップS30)。出現回数が検出閾値を超えているコマンドやデータは、シグネチャテーブル25に追加する(ステップS31)。シグネチャテーブル25に追加したコマンドやデータは、ログファイル23ではマークを付け、重複して登録することがないようにする。
【0038】
図1に戻る。シグネチャファイル出力手段26は、シグネチャテーブル25に登録されているシグネチャ全件をシグネチャファイル28に出力する。
【0039】
なお、本発明の中核機能であるシグネチャ検査手段21とヒューリスティック検査手段22とログファイル23とシグネチャ抽出手段24とシグネチャテーブル25とシグネチャファイル出力手段26とシグネチャファイル入力手段27とシグネチャファイル28の全てまたは一部は、コマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載するコンピュータ・システムとネットワークで接続された別の単一のコンピュータ・システムに搭載することも、複数のコンピュータ・システムに分散して搭載することも出来る。このことにより、各コンピュータ・システムの負荷を分散することが出来るし、コマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載する複数のコンピュータ・システムの間でシグネチャファイル28を共有することが出来る。本発明の中核機能を搭載した単一または複数のコンピュータ・システム1組でコマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載する複数のコンピュータ・システムに本発明の機能を提供し、資源の共有化が可能となり、コストを下げることが出来る。
【0040】
本発明の実施の形態におけるシグネチャ検査手段21とヒューリスティック検査手段22とシグネチャ抽出手段24の動作はプログラム処理により行わせることが可能である。すなわち、記録媒体に記録したプログラムをコンピュータ・システム10に読み込ませるか、あるいは、ネットワークからプログラムをコンピュータ・システム10に読み込ませて、実施の形態で説明した動作を実行させる。
【0041】
【発明の効果】
以上説明したように、本発明によれば、発見的な手法で不正なコマンドやデータを識別するため、新しいパターンの不正なコマンドやデータによる攻撃を防御できるという効果がある。
【0042】
また、発見的な手法で見つけた不正なコマンドやデータのシグネチャを自動抽出して、2回目以降は高速なシグネチャ検査で識別するため、不正なコマンドやデータの識別を高速にできるという効果がある。
【0043】
さらに、本発明の中核機能を搭載した単一または複数のコンピュータ・システム1組で他コンピュータ・システムに本発明の機能を提供することにより、資源が共有化できるという効果がある。
【図面の簡単な説明】
【図1】本発明の実施の形態の構成を示すブロック図である。
【図2】ヒューリスティック検査手段の動作を示すフローチャートである。
【図3】シグネチャ抽出手段の動作を示すフローチャートである。
【図4】従来技術の構成を示すブロック図である。
【符号の説明】
10 コンピュータ・システム
11 コマンド・データ入力手段
12 コマンド・データ記憶領域
13 コンピュータプログラム
21 シグネチャ検査手段
22 ヒューリスティック検査手段
23 ログファイル
24 シグネチャ抽出手段
25 シグネチャテーブル
26 シグネチャファイル出力手段
27 シグネチャファイル入力手段
28 シグネチャファイル
30 端末
31 端末プログラム
50 ネットワーク
【発明の属する技術分野】
本発明は不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムに関し、特に、入力されたコマンド・データからリアルタイムで不正アクセスコマンド・データを抽出し、除去する不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムに関する。
【0002】
【従来の技術】
インターネットのようなコンピュータ・ネットワークに接続されたコンピュータ・システムは、データを搾取されたり、改ざんされたり、消去されたり、また、そのコンピュータ・システム自体がサービス不能状態にされるというようなネットワーク・セキュリティの脅威に晒されている。
【0003】
これらのネットワーク経由の外部からの攻撃を防ぐ方法の1つとして、ファイアウォールがある。ファイアウォールは、外部からアクセスできる通信ポートや端末のIP(internet protocol)アドレスを制限する方法で外部からの攻撃を防ぐ。しかし、ショッピング・サイトのように不特定のユーザにサービスを公開している場合、公開されている通信ポートを使用して、不正なコマンドやデータを送り込み、コンピュータ・システム上のコンピュータプログラムに予期しない動作を引き起こし、目的を達成するような攻撃に対しては、ファイアウォールは無力である。
【0004】
このような攻撃に対しては、コンピュータ・システム上で受信したコマンド・データをコンピュータプログラムに渡す前に検査し、不正なコマンドやデータは除去する方法で防御する必要がある。従来技術では、図4に示す構成で実現している。
【0005】
ネットワーク・セキュリティの専門家が、コンピュータ・システムに脅威を与えるような不正なコマンドやデータを収集・解析し、不正なコマンドやデータを特徴付けるバイトの一連の並び(これをシグネチャと言う)を抽出する。シグネチャは人手でシグネチャファイル128に蓄積する。シグネチャファイル入力手段127はシグネチャファイル128を入力し、シグネチャテーブル125に格納する。
【0006】
コマンド・データ入力手段111は端末プログラム131からコマンドまたはデータを入力し、コマンド・データ記憶領域112に格納する。シグネチャ検査手段121は入力したコマンドまたはデータがシグネチャテーブル125のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。含んでいれば入力したコマンドまたはデータは不正なものであると判断し、破棄する。また、端末プログラム131にエラーメッセージを送信する。
【0007】
新しい攻撃方法が見つかれば、その都度、専門家がシグネチャを抽出し、シグネチャファイル128に蓄積する。
【0008】
不正アクセス検出に関する技術として、特開平6−250861号公報に、サンプルとして与えられたコンピュータ・ウィルスからシグネチャを自動抽出する方法が記載されている。通常の通信データの中から、つまり、大部分が正常なアクセスデータの中から、リアルタイムで不正アクセスデータを抽出し、除去する方法については記載されていない。
【0009】
【発明が解決しようとする課題】
上述した従来の不正コマンド・データ検知では、シグネチャファイルに最新のシグネチャが登録されるまで新しい攻撃を防ぐことが出来ない。そのため、以下の問題がある。
(1)シグネチャの抽出が、実際に攻撃された後になるため、最初の攻撃を防ぐことが出来ない。
(2)シグネチャの抽出及びシグネチャファイルの更新を人が行うため、時間がかかる。そのため、新しい攻撃に対して無防備な状態が長くなる。
【0010】
本発明の目的は、新しいパターンの不正なコマンドやデータによる攻撃を防御する不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラムを提供することにある。
【0011】
【課題を解決するための手段】
本発明の不正コマンド・データ検知方式は、不正なコマンドやデータの多くに共通して現れる複数の特徴に対して、特定の1つの特徴が検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムとその特徴が含まれているコマンドやデータが不正である可能性を数値化した評価値とを実装した1つの判断基準を、前記複数の特徴それぞれに対応して有し、入力されたコマンドやデータを複数の判断基準で検査する手段と、検出した特徴のそれぞれの評価値の合計値を算出する手段と、合計値が予め定めた評価閾値を超えた場合は入力されたコマンドやデータを不正と判定する手段とを備える。
【0012】
本発明の不正コマンド・データ検知方式は、不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを格納するシグネチャテーブルと、入力されたコマンドやデータに前記シグネチャテーブルに格納されているシグネチャが含まれているか否かを検査し、シグネチャを含むコマンドやデータを不正なものであると判断するシグネチャ検査手段と、シグネチャが含まれていないコマンドやデータを不正であるか否かを判定するヒューリスティック検査手段とを備え、前記ヒューリスティック検査手段は、不正なコマンドやデータの多くに共通して現れる複数の特徴に対して、特定の1つの特徴が検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムとその特徴が含まれているコマンドやデータが不正である可能性を数値化した評価値とを実装した1つの判断基準を、前記複数の特徴それぞれに対応して有し、入力されたコマンドやデータを複数の判断基準で検査する手段と、検出した特徴のそれぞれの評価値の合計値を算出する手段と、合計値が予め定めた評価閾値を超えた場合は入力されたコマンドやデータを不正と判定する手段とを含む。
【0013】
本発明の不正コマンド・データ検知方式は、前記ヒューリスティック検査手段が不正と判定したコマンドやデータから不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを抽出して前記シグネチャテーブルに格納するシグネチャ抽出手段を有する。
【0014】
本発明の不正コマンド・データ検知方式は、前記ヒューリスティック検査手段が不正と判定したコマンドやデータを格納するログファイルと、前記ログファイルに蓄積されたコマンドやデータ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検出閾値を超えるシグネチャを前記シグネチャテーブルに格納するシグネチャ抽出手段とを有する。
【0015】
本発明の不正コマンド・データ検知方式は、ネットワークを介して接続された複数のコンピュータ・システムを有し、第1のコンピュータ・システムは、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを含み、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは第2のコンピュータ・システムに入力されたコマンドやデータを不正と判定する。
【0016】
本発明の不正コマンド・データ検知方式は、ネットワークを介して接続された複数のコンピュータ・システムを有し、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを前記複数のコンピュータ・システムに分散して搭載し、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは前記複数のコンピュータ・システムの内のいずれかのコンピュータ・システムに入力されたコマンドやデータを不正と判定する。
【0017】
本発明の不正コマンド・データ検知方法は、不正なコマンドやデータの多くに共通して現れる複数の特徴に対して、特定の1つの特徴が検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムとその特徴が含まれているコマンドやデータが不正である可能性を数値化した評価値とを実装した1つの判断基準を、前記複数の特徴それぞれに対応して有する不正コマンド・データ検知方法であって、前記ヒューリスティック検査手段が、入力されたコマンドやデータを複数の判断基準で検査するステップと、前記ヒューリスティック検査手段が、検出した特徴のそれぞれの評価値の合計値を算出するステップと、前記ヒューリスティック検査手段が、合計値が予め定めた評価閾値を超えた場合は入力されたコマンドやデータを不正と判定するステップとを含む。
【0018】
本発明の不正コマンド・データ検知方法は、不正なコマンドやデータの多くに共通して現れる複数の特徴に対して、特定の1つの特徴が検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムとその特徴が含まれているコマンドやデータが不正である可能性を数値化した評価値とを実装した1つの判断基準を、前記複数の特徴それぞれに対応して有する不正コマンド・データ検知方法であって、前記シグネチャ検査手段が、入力されたコマンドやデータに、不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを格納するシグネチャテーブルに格納されたシグネチャが含まれるかを検査して、シグネチャが含まれていたコマンドやデータは不正なものであると判断する第1のステップと、前記ヒューリスティック検査手段が、シグネチャが含まれていないコマンドやデータを複数の前記判断基準で検査する第2のステップと、前記ヒューリスティック検査手段が、検出した特徴のそれぞれの評価値の合計値を算出する第3のステップと、前記ヒューリスティック検査手段が、合計値が予め定めた評価閾値を超えた場合は入力されたコマンドやデータを不正と判定する第4のステップとを含む。
【0019】
本発明の不正コマンド・データ検知方法は、前記シグネチャ抽出手段が、前記第4のステップで不正と判定したコマンドやデータから不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを抽出して前記シグネチャテーブルに格納する第5のステップを含む。
【0020】
本発明の不正コマンド・データ検知方法は、前記ヒューリスティック検査手段が、前記第4のステップで不正と判定したコマンドやデータをログファイルに格納する第5のステップと、前記シグネチャ抽出手段が、前記ログファイルに蓄積されたコマンドやデータ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検出閾値を超えるシグネチャを前記シグネチャテーブルに格納する第6のステップとを含む。
【0021】
本発明のプログラムは、請求項7〜10のいずれか1項に記載の処理をコンピュータに実行させる。
【0022】
【発明の実施の形態】
本発明の実施の形態について図面を参照して詳細に説明する。図1は本発明の実施の形態の構成を示すブロック図である。
【0023】
コンピュータ・システム10と端末30がネットワーク50を介して接続されている。端末30は端末プログラム31を含む。
【0024】
コマンド・データ入力手段11とコマンド・データ記憶領域12とコンピュータプログラム13は、本来のコンピュータ・システムを構成する。
【0025】
シグネチャ検査手段21とヒューリスティック検査手段22とログファイル23とシグネチャ抽出手段24とシグネチャテーブル25とシグネチャファイル出力手段26とシグネチャファイル入力手段27とシグネチャファイル28は不正コマンドやデータを除去する本発明の中核を構成する。
【0026】
これらはそれぞれ次のような機能を有する。端末プログラム31は対象のコンピュータ・システムとネットワークで接続され、コマンドやデータを送信する。
【0027】
コマンド・データ入力手段11は、端末プログラム31からコマンドやデータを受信し、コマンド・データ記憶領域12に格納する。コンピュータプログラム13は、コマンド・データ記憶領域12に格納されているコマンドまたはデータを処理して、結果を端末プログラム31に送信する。
【0028】
シグネチャファイル28は、ネットワーク・セキュリティの専門家が抽出したシグネチャを蓄積する。また、本発明により自動抽出したシグネチャも蓄積している。「シグネチャ」とは、不正なコマンドやデータを特徴付けるバイトの一連の並びのことである。シグネチャファイル入力手段27は、シグネチャファイル28を入力し、シグネチャテーブル25にシグネチャを格納する。シグネチャ検査手段21は、コマンド・データ記憶領域12のコマンドまたはデータにシグネチャテーブル25のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。ヒューリスティック検査手段22は、発見的方法でコマンド・データ記憶領域12のコマンドまたはデータが不正なものか検査する。ログファイル23は、ヒューリスティック検査手段22が発見した不正なコマンドやデータを蓄積する。シグネチャ抽出手段24はログファイル23からシグネチャを自動抽出し、シグネチャテーブル25に格納する。シグネチャファイル出力手段26はシグネチャテーブル25に格納されているシグネチャをシグネチャファイル28に出力する。
【0029】
次に、動作について説明する。まず、図1を参照して概要動作を説明する。シグネチャ検査手段21は、コマンド・データ記憶領域12に格納されたコマンド・データにシグネチャテーブル25に格納されたシグネチャが含まれるかを検査し、含まれていた場合はそのコマンド・データは不正なものであると判断して破棄する。含まれていなかった場合はそのコマンド・データをヒューリスティック検査手段22に渡す。ヒューリスティック検査手段22は、渡されたコマンド・データを検査し、既知のシグネチャでは検知できなかった不正なコマンド・データを発見的方法で検知し、不正と判断したコマンド・データをログファイル23に出力する。シグネチャ抽出手段24は、ログファイル23から新しい攻撃のシグネチャを抽出し、シグネチャテーブル25に追加する。追加されたシグネチャをシグネチャ検査手段21が利用する。
【0030】
次に、詳細動作を説明する。ネットワーク・セキュリティの専門家が、コンピュータ・システムに脅威を与えるような不正なコマンドやデータを収集・解析し、不正なコマンドやデータを特徴付けるバイトの一連の並び(シグネチャ)を抽出する。シグネチャは人手でシグネチャファイル28に蓄積する。シグネチャファイル入力手段27はシグネチャファイル28を入力し、シグネチャテーブル25に格納する。
【0031】
コマンド・データ入力手段11は端末プログラム31からコマンドまたはデータを入力し、コマンド・データ記憶領域12に格納する。シグネチャ検査手段21は入力したコマンドまたはデータがシグネチャテーブル25のシグネチャで示されるバイトの一連の並びを含んでいるか検査する。含んでいれば入力したコマンドまたはデータは不正なものであると判断し、破棄する。また、端末プログラム31にエラーメッセージを送信する。
【0032】
しかし、新しい攻撃パターンの場合、シグネチャ検査手段21では発見できない。そこで、シグネチャ検査方式を補うため、ヒューリスティック検査手段22を導入する。ヒューリスティック検査手段22の動作フローチャートを図2に示す。
【0033】
ネットワーク・セキュリティの専門家が不正なコマンドやデータの多くに共通して現れる特徴を、複数個抽出する。それらの特徴毎に検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムを作成し、これを判断基準とする。それぞれの判断基準には、その特徴が不正なコマンドやデータを表す確率を表す固有の値を設定し、これを評価値とする。評価値は、確実に不正なコマンドやデータを示す場合は10、可能性が非常に低い場合は1になる。
【0034】
不正なコマンドやデータの多くに共通して現れる特徴の具体例として次のようなものがある、
(1)入力したコマンドやデータのサイズが2000バイト以上である。
(2)同じ文字が10個連続している。
(3)16進エンコーディングを2重以上掛けている。
HTTP(hypertext transfer protocol)のURL(uniform resource locator)では、文字を"%nn"と16進表示することが許されている。そこで、不正コマンドのシグネチャを16進表示し、チェックを逃れようとする。しかし、これだとデコードすると元の文字列が分かるので、16進表示した文字列をさらに16進表示して、チェックをすり抜けようとする。
一例をあげると、不正なコマンドのシグネチャを"abc"とする。
"abc" → 16進表示 "%61%62%63"
→ さらに16進表示 "%25%36%31%25%36%32%25%36%33"
(4)親ディレクトリを参照する文字列"../"を含んでいる。
上述した(1)〜(3)は、バイト列の規則性に関するものであり、(4)は、一連のバイトの並びである。何れもこれだけで不正なコマンドやデータと判断できるものではなく、他の特徴と合わせて不正なコマンドと判断する材料になる。
【0035】
ヒューリスティック検査手段22は、まず、評価値加算エリアをゼロクリアする(ステップS20)。次に、第一の判断基準で入力したコマンドまたはデータを評価し、特徴が合致すれば予め決めた評価値を加算する(ステップS21)。同様に、第二、第三から最後の第nまでの判断基準を順次適用し、特徴が合致した判断基準の評価値を加算する(ステップS22)。最終的に加算した評価値が予め決めた評価閾値を越えていれば(ステップS23)、入力したコマンドまたはデータを不正と判断し、ログファイル23に出力する。また、端末プログラム31にエラーメッセージを出力する(ステップS24)。この場合、コンピュータプログラム13は実行しない。ステップS23において、評価値が評価閾値を越えていなければ、入力したコマンドまたはデータは正常と判断して、コンピュータプログラム13を実行する。
【0036】
図1に戻る。ヒューリスティック検査手段22により、従来の攻撃パターンの変種に対しては、防御できるようになる。しかし、ヒューリスティック検査手段22は、バイトパターンを検査するシグネチャ検査手段21に比べて、処理速度が遅くなる。そこで、ヒューリスティック検査手段22が検出した不正なコマンドやデータを蓄積しているログファイル23を入力し、シグネチャ抽出手段24で新しい攻撃のシグネチャを抽出し、シグネチャテーブル25に追加する。
【0037】
シグネチャ抽出手段24の動作フローチャートを図3に示す。ログファイル23に蓄積されている不正なコマンドやデータの同じパターン毎の出現回数を算出する(ステップS30)。出現回数が検出閾値を超えているコマンドやデータは、シグネチャテーブル25に追加する(ステップS31)。シグネチャテーブル25に追加したコマンドやデータは、ログファイル23ではマークを付け、重複して登録することがないようにする。
【0038】
図1に戻る。シグネチャファイル出力手段26は、シグネチャテーブル25に登録されているシグネチャ全件をシグネチャファイル28に出力する。
【0039】
なお、本発明の中核機能であるシグネチャ検査手段21とヒューリスティック検査手段22とログファイル23とシグネチャ抽出手段24とシグネチャテーブル25とシグネチャファイル出力手段26とシグネチャファイル入力手段27とシグネチャファイル28の全てまたは一部は、コマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載するコンピュータ・システムとネットワークで接続された別の単一のコンピュータ・システムに搭載することも、複数のコンピュータ・システムに分散して搭載することも出来る。このことにより、各コンピュータ・システムの負荷を分散することが出来るし、コマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載する複数のコンピュータ・システムの間でシグネチャファイル28を共有することが出来る。本発明の中核機能を搭載した単一または複数のコンピュータ・システム1組でコマンド・データ入力手段11とコマンドデータ・記憶領域12とコンピュータプログラム13を搭載する複数のコンピュータ・システムに本発明の機能を提供し、資源の共有化が可能となり、コストを下げることが出来る。
【0040】
本発明の実施の形態におけるシグネチャ検査手段21とヒューリスティック検査手段22とシグネチャ抽出手段24の動作はプログラム処理により行わせることが可能である。すなわち、記録媒体に記録したプログラムをコンピュータ・システム10に読み込ませるか、あるいは、ネットワークからプログラムをコンピュータ・システム10に読み込ませて、実施の形態で説明した動作を実行させる。
【0041】
【発明の効果】
以上説明したように、本発明によれば、発見的な手法で不正なコマンドやデータを識別するため、新しいパターンの不正なコマンドやデータによる攻撃を防御できるという効果がある。
【0042】
また、発見的な手法で見つけた不正なコマンドやデータのシグネチャを自動抽出して、2回目以降は高速なシグネチャ検査で識別するため、不正なコマンドやデータの識別を高速にできるという効果がある。
【0043】
さらに、本発明の中核機能を搭載した単一または複数のコンピュータ・システム1組で他コンピュータ・システムに本発明の機能を提供することにより、資源が共有化できるという効果がある。
【図面の簡単な説明】
【図1】本発明の実施の形態の構成を示すブロック図である。
【図2】ヒューリスティック検査手段の動作を示すフローチャートである。
【図3】シグネチャ抽出手段の動作を示すフローチャートである。
【図4】従来技術の構成を示すブロック図である。
【符号の説明】
10 コンピュータ・システム
11 コマンド・データ入力手段
12 コマンド・データ記憶領域
13 コンピュータプログラム
21 シグネチャ検査手段
22 ヒューリスティック検査手段
23 ログファイル
24 シグネチャ抽出手段
25 シグネチャテーブル
26 シグネチャファイル出力手段
27 シグネチャファイル入力手段
28 シグネチャファイル
30 端末
31 端末プログラム
50 ネットワーク
Claims (9)
- 不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを格納するシグネチャテーブルと、入力されたコマンドやデータに前記シグネチャテーブルに格納されているシグネチャが含まれているか否かを検査し、シグネチャを含むコマンドやデータを不正なものであると判断するシグネチャ検査手段と、シグネチャが含まれていないコマンドやデータを不正であるか否かを判定するヒューリスティック検査手段とを備え、前記ヒューリスティック検査手段は、不正なコマンドやデータの多くに共通して現れる複数の特徴に対して、特定の1つの特徴が検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムとその特徴が含まれているコマンドやデータが不正である可能性を数値化した評価値とを実装した1つの判断基準を、前記複数の特徴それぞれに対応して有し、入力されたコマンドやデータを複数の判断基準で検査する手段と、検出した特徴のそれぞれの評価値の合計値を算出する手段と、合計値が予め定めた評価閾値を超えた場合は入力されたコマンドやデータを不正と判定する手段とを含む不正コマンド・データ検知方式。
- 前記ヒューリスティック検査手段が不正と判定したコマンドやデータから不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを抽出して前記シグネチャテーブルに格納するシグネチャ抽出手段を有する請求項1記載の不正コマンド・データ検知方式。
- 前記ヒューリスティック検査手段が不正と判定したコマンドやデータを格納するログファイルと、前記ログファイルに蓄積されたコマンドやデータ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検出閾値を超えるシグネチャを前記シグネチャテーブルに格納するシグネチャ抽出手段とを有する請求項1記載の不正コマンド・データ検知方式。
- ネットワークを介して接続された複数のコンピュータ・システムを有し、第1のコンピュータ・システムは、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを含み、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは第2のコンピュータ・システムに入力されたコマンドやデータを不正と判定する請求項3記載の不正コマンド・データ検知方式。
- ネットワークを介して接続された複数のコンピュータ・システムを有し、前記シグネチャテーブルと前記シグネチャ検査手段と前記ヒューリスティック検査手段と前記ログファイルと前記シグネチャ抽出手段とを前記複数のコンピュータ・システムに分散して搭載し、前記シグネチャ検査手段と前記ヒューリスティック検査手段とは前記複数のコンピュータ・システムの内のいずれかのコンピュータ・システムに入力されたコマンドやデータを不正と判定する請求項3記載の不正コマンド・データ検知方式。
- 不正なコマンドやデータの多くに共通して現れる複数の特徴に対して、特定の1つの特徴が検査対象のコマンドやデータに含まれているか否かを検査するアルゴリズムとその特徴が含まれているコマンドやデータが不正である可能性を数値化した評価値とを実装した1つの判断基準を、前記複数の特徴それぞれに対応して有する不正コマンド・データ検知方法であって、シグネチャ検査手段が、入力されたコマンドやデータに、不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを格納するシグネチャテーブルに格納されたシグネチャが含まれるかを検査して、シグネチャが含まれていたコマンドやデータは不正なものであると判断する第1のステップと、ヒューリスティック検査手段が、シグネチャが含まれていないコマンドやデータを複数の前記判断基準で検査する第2のステップと、前記ヒューリスティック検査手段が、検出した特徴のそれぞれの評価値の合計値を算出する第3のステップと、前記ヒューリスティック検査手段が、合計値が予め定めた評価閾値を超えた場合は入力されたコマンドやデータを不正と判定する第4のステップとを含む不正コマンド・データ検知方法。
- 前記シグネチャ抽出手段が、前記第4のステップで不正と判定したコマンドやデータから不正なコマンドやデータを識別するバイトの一連の並びであるシグネチャを抽出して前記シグネチャテーブルに格納する第5のステップを含む請求項6記載の不正コマンド・データ検知方法。
- 前記ヒューリスティック検査手段が、前記第4のステップで不正と判定したコマンドやデータをログファイルに格納する第5のステップと、前記シグネチャ抽出手段が、前記ログファイルに蓄積されたコマンドやデータ中の同一シグネチャの出現回数を算出して出現回数が予め定めた検出閾値を超えるシグネチャを前記シグネチャテーブルに格納する第6のステップとを含む請求項6記載の不正コマンド・データ検知方法。
- 請求項6〜8のいずれか1項に記載の方法をコンピュータに実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002206896A JP4309102B2 (ja) | 2002-07-16 | 2002-07-16 | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002206896A JP4309102B2 (ja) | 2002-07-16 | 2002-07-16 | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004054330A JP2004054330A (ja) | 2004-02-19 |
| JP4309102B2 true JP4309102B2 (ja) | 2009-08-05 |
Family
ID=31931496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002206896A Expired - Lifetime JP4309102B2 (ja) | 2002-07-16 | 2002-07-16 | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4309102B2 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| US20090119769A1 (en) * | 2007-11-05 | 2009-05-07 | Microsoft Corporation | Cross-site scripting filter |
| JP4992780B2 (ja) * | 2008-03-21 | 2012-08-08 | 富士通株式会社 | 通信監視装置、通信監視プログラム、および通信監視方法 |
| JP2010092203A (ja) * | 2008-10-07 | 2010-04-22 | Nec Corp | 異常検出装置および異常検出方法 |
| US8489534B2 (en) | 2009-12-15 | 2013-07-16 | Paul D. Dlugosch | Adaptive content inspection |
| US9342274B2 (en) | 2011-05-19 | 2016-05-17 | Microsoft Technology Licensing, Llc | Dynamic code generation and memory management for component object model data constructs |
| US8881101B2 (en) | 2011-05-24 | 2014-11-04 | Microsoft Corporation | Binding between a layout engine and a scripting engine |
| KR101402057B1 (ko) * | 2012-09-19 | 2014-06-03 | 주식회사 이스트시큐리티 | 위험도 계산을 통한 리패키지 애플리케이션의 분석시스템 및 분석방법 |
| JP2016033690A (ja) * | 2012-12-26 | 2016-03-10 | 三菱電機株式会社 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
| US9430452B2 (en) | 2013-06-06 | 2016-08-30 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
-
2002
- 2002-07-16 JP JP2002206896A patent/JP4309102B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004054330A (ja) | 2004-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
| Pang et al. | The devil and packet trace anonymization | |
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
| TWI396995B (zh) | 惡意軟體清除方法、系統及電腦程式產品與儲存媒體 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN105959250A (zh) | 网络攻击黑名单管理方法及装置 | |
| KR101060612B1 (ko) | 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법 | |
| CN107979581B (zh) | 僵尸特征的检测方法和装置 | |
| CN113938308B (zh) | 应用集群安全防护系统、方法、电子设备及存储介质 | |
| CN106911637A (zh) | 网络威胁处理方法和装置 | |
| EP1122932A2 (en) | Protection of computer networks against malicious content | |
| US20040030931A1 (en) | System and method for providing enhanced network security | |
| CN107209834B (zh) | 恶意通信模式提取装置及其系统和方法、记录介质 | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| JP4309102B2 (ja) | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム | |
| CN110336835A (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
| CN116860489A (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| CN106911640A (zh) | 网络威胁处理方法和装置 | |
| CN106663176A (zh) | 检测装置、检测方法以及检测程序 | |
| CN115695031A (zh) | 主机失陷检测方法、装置及设备 | |
| WO2017217247A1 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040423 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20050315 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060829 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061023 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070126 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080312 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20080612 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090414 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090507 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4309102 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120515 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120515 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130515 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140515 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |