JP6207392B2 - 異常検出装置、異常検出方法、及び異常検出プログラム - Google Patents
異常検出装置、異常検出方法、及び異常検出プログラム Download PDFInfo
- Publication number
- JP6207392B2 JP6207392B2 JP2013273322A JP2013273322A JP6207392B2 JP 6207392 B2 JP6207392 B2 JP 6207392B2 JP 2013273322 A JP2013273322 A JP 2013273322A JP 2013273322 A JP2013273322 A JP 2013273322A JP 6207392 B2 JP6207392 B2 JP 6207392B2
- Authority
- JP
- Japan
- Prior art keywords
- data string
- feature data
- attack
- abnormality detection
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005856 abnormality Effects 0.000 title claims description 108
- 238000001514 detection method Methods 0.000 title claims description 62
- 238000000034 method Methods 0.000 claims description 39
- 230000002265 prevention Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
第1の特徴データ列と第2の特徴データ列を格納する特徴データ列格納手段と、
前記ネットワークから取得された所定のデータ長の比較対象データ列と、前記特徴データ列格納手段に格納されている前記第1の特徴データ列及び前記第2の特徴データ列との比較を行うことにより、前記コンピュータへの攻撃があるか否かを判定する異常判定手段とを備え、
前記第2の特徴データ列は攻撃対象のコンピュータにおけるデータ実行防止設定を解除するための命令が格納されたメモリのアドレスを示すデータ列である
ことを特徴とする異常検出装置が提供される。
前記異常検出装置は、第1の特徴データ列と第2の特徴データ列を格納する特徴データ列格納手段を備えており、
前記ネットワークから取得された所定のデータ長の比較対象データ列と、前記特徴データ列格納手段に格納されている前記第1の特徴データ列及び前記第2の特徴データ列との比較を行うことにより、前記コンピュータへの攻撃があるか否かを判定する異常判定ステップを備え、
前記第2の特徴データ列は攻撃対象のコンピュータにおけるデータ実行防止設定を解除するための命令が格納されたメモリのアドレスを示すデータ列である
ことを特徴とする異常検出方法が提供される。
まず、本実施の形態において検知の対象として想定している攻撃について説明する。図1は、ネットワーク上で攻撃に使用される攻撃パケットの内部構成(攻撃コード)の例を示す図である。
図2に、本発明の実施の形態に係る異常検出装置10の機能構成図を示す。当該異常検出装置10は、インターネット等のネットワーク上でパケットが流れる経路上に設置され、当該パケットを取得して、後述する方法で判定を行い、異常検出を行う。なお、特定のプロトコルのパケットのペイロードのみを取得して検査したり、特定サイズ以上(あるいは特定サイズ以下)のパケットのみを検査することとしてもよい。
以下、異常検出装置10の動作をより詳細に説明する。本実施の形態では、研究の結果、ネットワーク上で、データが図3に示すようなイメージで流れることを想定している。
以上、説明したように、本実施の形態により、ネットワークを流れるデータに基づいて、コンピュータへの攻撃等の通信の異常を検出するための異常検出装置であって、第1の特徴データ列と第2の特徴データ列を格納する特徴データ列格納手段と、前記ネットワークから取得された所定のデータ長の比較対象データ列と、前記特徴データ列格納手段に格納されている前記第1の特徴データ列及び前記第2の特徴データ列との比較を行うことにより、前記通信の異常があるか否かを判定する異常判定手段とを備えることを特徴とする異常検出装置が提供される。
(第1項)
ネットワークを流れるデータに基づいて、コンピュータへの攻撃を検出するための異常検出装置であって、
第1の特徴データ列と第2の特徴データ列を格納する特徴データ列格納手段と、
前記ネットワークから取得された所定のデータ長の比較対象データ列と、前記特徴データ列格納手段に格納されている前記第1の特徴データ列及び前記第2の特徴データ列との比較を行うことにより、前記コンピュータへの攻撃があるか否かを判定する異常判定手段と
を備えることを特徴とする異常検出装置。
(第2項)
前記第2の特徴データ列は攻撃対象のコンピュータにおけるデータ実行防止設定を解除するための命令が格納されたメモリのアドレスを示すデータ列である
ことを特徴とする第1項に記載の異常検出装置。
(第3項)
前記第1の特徴データ列は、コードリユースを用いて前記命令の実行をさせるために、前記攻撃対象のコンピュータのメモリにおけるスタック領域に格納されるデータである
ことを特徴とする第2項に記載の異常検出装置。
(第4項)
前記第1の特徴データ列は、前記命令の引数、又は、前記コンピュータに存在する既存の命令を実行させるためのアドレスである
ことを特徴とする第3項に記載の異常検出装置。
(第5項)
前記異常判定手段は、前記比較対象データ列と前記第2の特徴データ列との一致を検知した場合において、当該比較対象データ列の前後における他の比較対象データ列と前記第1の特徴データ列との比較結果が所定の条件を満たす場合に前記コンピュータへの攻撃があると判定する
ことを特徴とする第1項ないし第4項のうちいずれか1項に記載の異常検出装置。
(第6項)
前記第1の特徴データ列は複数種類存在し、前記異常判定手段は、前記所定の条件の判定において、当該種類毎に前記第1の特徴データ列の重み付けを行う
ことを特徴とする第5項に記載の異常検出装置。
(第7項)
ネットワークを流れるデータに基づいて、コンピュータへの攻撃を検出するための異常検出装置が実行する異常判定方法であって、
前記異常検出装置は、第1の特徴データ列と第2の特徴データ列を格納する特徴データ列格納手段を備えており、
前記ネットワークから取得された所定のデータ長の比較対象データ列と、前記特徴データ列格納手段に格納されている前記第1の特徴データ列及び前記第2の特徴データ列との比較を行うことにより、前記コンピュータへの攻撃があるか否かを判定する異常判定ステップ
を備えることを特徴とする異常検出方法。
(第8項)
コンピュータを、第1項ないし第6項のうちいずれか1項に記載の前記異常検出装置における各手段として機能させるための異常検出プログラム。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
11 パケット取得部
12 異常判定処理部
13 特徴データ列格納部
14 異常時制御部
Claims (10)
- ネットワークを流れるデータに基づいて、コンピュータへの攻撃を検出するための異常検出装置であって、
第1の特徴データ列と第2の特徴データ列を格納する特徴データ列格納手段と、
前記ネットワークから取得された所定のデータ長の比較対象データ列と、前記特徴データ列格納手段に格納されている前記第1の特徴データ列及び前記第2の特徴データ列との比較を行うことにより、前記コンピュータへの攻撃があるか否かを判定する異常判定手段とを備え、
前記第2の特徴データ列は攻撃対象のコンピュータにおけるデータ実行防止設定を解除するための命令が格納されたメモリのアドレスを示すデータ列である
ことを特徴とする異常検出装置。 - 前記第1の特徴データ列は、コードリユースを用いて前記命令の実行をさせるために、前記攻撃対象のコンピュータのメモリにおけるスタック領域に格納されるデータである
ことを特徴とする請求項1に記載の異常検出装置。 - 前記第1の特徴データ列は、前記命令の引数、又は、前記コンピュータに存在する既存の命令を実行させるためのアドレスである
ことを特徴とする請求項2に記載の異常検出装置。 - ネットワークを流れるデータに基づいて、コンピュータへの攻撃を検出するための異常検出装置であって、
第1の特徴データ列と第2の特徴データ列を格納する特徴データ列格納手段と、
前記ネットワークから取得された所定のデータ長の比較対象データ列と、前記特徴データ列格納手段に格納されている前記第1の特徴データ列及び前記第2の特徴データ列との比較を行うことにより、前記コンピュータへの攻撃があるか否かを判定する異常判定手段とを備え、
前記異常判定手段は、前記比較対象データ列と前記第2の特徴データ列との一致を検知した場合において、当該比較対象データ列の前後における他の比較対象データ列と前記第1の特徴データ列との比較結果が所定の条件を満たす場合に前記コンピュータへの攻撃があると判定する
ことを特徴とする異常検出装置。 - 前記第1の特徴データ列は複数種類存在し、前記異常判定手段は、前記所定の条件の判定において、当該種類毎に前記第1の特徴データ列の重み付けを行う
ことを特徴とする請求項4に記載の異常検出装置。 - ネットワークを流れるデータに基づいて、コンピュータへの攻撃を検出するための異常検出装置であって、
第1の特徴データ列と第2の特徴データ列を格納する特徴データ列格納手段と、
前記ネットワークから取得された所定のデータ長の比較対象データ列と、前記特徴データ列格納手段に格納されている前記第1の特徴データ列及び前記第2の特徴データ列との比較を行うことにより、前記コンピュータへの攻撃があるか否かを判定する異常判定手段とを備え、
前記第2の特徴データ列は、所定の命令が格納されたメモリのアドレスを示すデータ列である
ことを特徴とする異常検出装置。 - ネットワークを流れるデータに基づいて、コンピュータへの攻撃を検出するための異常検出装置が実行する異常判定方法であって、
前記異常検出装置は、第1の特徴データ列と第2の特徴データ列を格納する特徴データ列格納手段を備えており、
前記ネットワークから取得された所定のデータ長の比較対象データ列と、前記特徴データ列格納手段に格納されている前記第1の特徴データ列及び前記第2の特徴データ列との比較を行うことにより、前記コンピュータへの攻撃があるか否かを判定する異常判定ステップを備え、
前記第2の特徴データ列は攻撃対象のコンピュータにおけるデータ実行防止設定を解除するための命令が格納されたメモリのアドレスを示すデータ列である
ことを特徴とする異常検出方法。 - ネットワークを流れるデータに基づいて、コンピュータへの攻撃を検出するための異常検出装置が実行する異常判定方法であって、
前記異常検出装置は、第1の特徴データ列と第2の特徴データ列を格納する特徴データ列格納手段を備えており、
前記ネットワークから取得された所定のデータ長の比較対象データ列と、前記特徴データ列格納手段に格納されている前記第1の特徴データ列及び前記第2の特徴データ列との比較を行うことにより、前記コンピュータへの攻撃があるか否かを判定する異常判定ステップを備え、
前記異常判定ステップにおいて、前記異常検出装置は、前記比較対象データ列と前記第2の特徴データ列との一致を検知した場合において、当該比較対象データ列の前後における他の比較対象データ列と前記第1の特徴データ列との比較結果が所定の条件を満たす場合に前記コンピュータへの攻撃があると判定する
ことを特徴とする異常検出方法。 - ネットワークを流れるデータに基づいて、コンピュータへの攻撃を検出するための異常検出装置が実行する異常判定方法であって、
前記異常検出装置は、第1の特徴データ列と第2の特徴データ列を格納する特徴データ列格納手段を備えており、
前記ネットワークから取得された所定のデータ長の比較対象データ列と、前記特徴データ列格納手段に格納されている前記第1の特徴データ列及び前記第2の特徴データ列との比較を行うことにより、前記コンピュータへの攻撃があるか否かを判定する異常判定ステップを備え、
前記第2の特徴データ列は、所定の命令が格納されたメモリのアドレスを示すデータ列である
ことを特徴とする異常検出方法。 - コンピュータを、請求項1ないし6のうちいずれか1項に記載の前記異常検出装置における各手段として機能させるための異常検出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013273322A JP6207392B2 (ja) | 2013-12-27 | 2013-12-27 | 異常検出装置、異常検出方法、及び異常検出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013273322A JP6207392B2 (ja) | 2013-12-27 | 2013-12-27 | 異常検出装置、異常検出方法、及び異常検出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015127906A JP2015127906A (ja) | 2015-07-09 |
JP6207392B2 true JP6207392B2 (ja) | 2017-10-04 |
Family
ID=53837875
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013273322A Active JP6207392B2 (ja) | 2013-12-27 | 2013-12-27 | 異常検出装置、異常検出方法、及び異常検出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6207392B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6297425B2 (ja) * | 2014-06-25 | 2018-03-20 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 攻撃コード検出装置、攻撃コード検出方法、及びプログラム |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4330066B2 (ja) * | 2003-10-27 | 2009-09-09 | 日本電信電話株式会社 | 侵入検知システム、侵入検知方法および記録媒体 |
JP4571184B2 (ja) * | 2006-08-24 | 2010-10-27 | デュアキシズ株式会社 | 通信管理システム |
-
2013
- 2013-12-27 JP JP2013273322A patent/JP6207392B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015127906A (ja) | 2015-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6670907B2 (ja) | スクリプトの実行をブロックするシステム及び方法 | |
US10511616B2 (en) | Method and system for detecting and remediating polymorphic attacks across an enterprise | |
JP6346632B2 (ja) | モバイルデバイスでの悪質なファイルを検出するシステム及び方法 | |
JP6188704B2 (ja) | ファジーホワイトリスト化アンチマルウェアシステムおよび方法 | |
EP2788912B1 (en) | Predictive heap overflow protection | |
JP5511097B2 (ja) | 中央集中的にマルウェアを検出するための知的ハッシュ | |
KR101607951B1 (ko) | 클라우드 기술을 사용한 멀웨어에 대한 동적 클리닝 | |
US8250569B1 (en) | Systems and methods for selectively blocking application installation | |
JP6353498B2 (ja) | ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法 | |
RU2624552C2 (ru) | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины | |
US8650638B2 (en) | System and method for detecting a file embedded in an arbitrary location and determining the reputation of the file | |
WO2014194803A1 (zh) | 基于云安全的文件处理方法及装置 | |
JP2019505943A (ja) | サイバーセキュリティシステムおよび技術 | |
US9306908B2 (en) | Anti-malware system, method of processing packet in the same, and computing device | |
JP6297425B2 (ja) | 攻撃コード検出装置、攻撃コード検出方法、及びプログラム | |
JP6207392B2 (ja) | 異常検出装置、異常検出方法、及び異常検出プログラム | |
JP6498413B2 (ja) | 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム | |
EP3151149B1 (en) | System and method for blocking execution of scripts | |
CN117668822A (zh) | 应用程序的启动控制方法、装置及电子设备 | |
WO2012057605A1 (en) | Method and system to establish a trusted interface in a network environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160705 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170424 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170606 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170807 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170822 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170905 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6207392 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |