JP6503084B2 - 脆弱性発見装置、脆弱性発見方法、および、脆弱性発見プログラム - Google Patents

脆弱性発見装置、脆弱性発見方法、および、脆弱性発見プログラム Download PDF

Info

Publication number
JP6503084B2
JP6503084B2 JP2017544442A JP2017544442A JP6503084B2 JP 6503084 B2 JP6503084 B2 JP 6503084B2 JP 2017544442 A JP2017544442 A JP 2017544442A JP 2017544442 A JP2017544442 A JP 2017544442A JP 6503084 B2 JP6503084 B2 JP 6503084B2
Authority
JP
Japan
Prior art keywords
program code
vulnerability
location
similarity
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017544442A
Other languages
English (en)
Other versions
JPWO2017061270A1 (ja
Inventor
明日香 中島
明日香 中島
誠 岩村
誠 岩村
健 矢田
健 矢田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2017061270A1 publication Critical patent/JPWO2017061270A1/ja
Application granted granted Critical
Publication of JP6503084B2 publication Critical patent/JP6503084B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Stored Programmes (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、脆弱性発見装置、脆弱性発見方法、および、脆弱性発見プログラムに関する。
サイバー攻撃やマルウェア感染の根本的な原因の一つとしてソフトウェア中に存在する脆弱性が挙げられる。攻撃者は脆弱性を利用する攻撃コードや、マルウェアを通じてコンピュータに悪意のある行為を行う。こうした攻撃を未然に防ぐため、攻撃者より先に脆弱性を発見・修正し、脆弱性を攻撃の足がかりとして利用させない対策が大事である。
こうした状況から、ソフトウェアを検査し、ソフトウェア中に存在している脆弱性を発見する手法の研究が行われている。ソフトウェア中に存在している脆弱性を発見する手法の一つとして、コードクローンを用いた脆弱性発見手法がある。
コードクローンとは、ソフトウェア中に存在している類似または一致したコードを指す。このコードクローンは、ソフトウェア開発者がソフトウェア開発中に、特定の機能のプログラムを実現するため、類似機能を持った他のプログラムのソースコードをコピー&ペーストする行為によって発生する。ここで、コピー元のソースコードに脆弱性が発見された場合、コピー元のソースコードを修正するだけでは無く、コピー先のソースコードも同じ様に修正されなければならない。しかし、コピー元で脆弱性が発見されたとしても、開発者が発見された脆弱性部分のコードクローンを全て把握していなければ、コードクローンによって生じた脆弱性の修正は難しい。コードクローンによる脆弱性発見手法とは、これらの脆弱性が発見された部分のコードクローンを検査対象のソフトウェアにおいて発見することで、検査対象のソフトウェアにおいて未知の脆弱性を発見する手法である。
コードクローンを用いた脆弱性発見手法として、ソフトウェアのソースコードを利用した方法(非特許文献1、非特許文献2参照)がある。この方法では、過去に脆弱性が発見されたソフトウェアから、脆弱性箇所のソースコードを抽出し、検査対象ソフトウェアのソースコードを検査することにより、検査対象ソフトウェアに内包されている脆弱性箇所のコードクローンを発見するものである。
特開2009−193161号公報
J. Jang, A. Agrawal, and D. Brumley, "ReDeBug: Finding Unpatched Code Clones in Entire OS Distributions", In IEEE Symposium on Security and Privacy, 2012. Hongzhe Li, Hyuckmin Kwon, Jonghoon Kwon, and Heejo Lee, "A Scalable Approach for Vulnerability Discovery Based on Security Patches", Application and Techniques in Information Security, 2014. Andreas Saebjoernsen, Jeremiah Willcock, Thomas Panas, Daniel Quinlan, and Zhendong Su, "Detecting Code Clones in Binary Executables", In Proceedings of ISSTA '09, 2009. SB. Needleman, CD. Wunsch, "A General Method Applicable to the Search for Similarities in the Amino Acid Sequence of Two Proteins", Journal of Molecular Biology vol.48, p443-453, 1970. Gotoh Osamu, "An Improved Algorithm for Matching Biological Sequences", Journal of Molecular Biology. 162, p705-708, 1982.
しかしながら、ソフトウェアのプログラムコードを検査対象として、コードクローンにより脆弱性を発見する技術は存在しなかった。換言すれば、ソフトウェア開発者がコードクローンによりソフトウェアの脆弱性を発見するためには、検査対象のソフトウェアのソースコードを知る必要があった。従って、ソースコードの入手や利用が困難なソフトウェア(例えば、個人所有のソフトウェア、独占排他権の設定されたソフトウェア)に関しては、未知の脆弱性の発見が困難であった。
そこで、本発明は、前記した問題を解決し、検査対象のソフトウェアのソースコードが無い場合であっても、未知の脆弱性を発見することを課題とする。
前記した課題を解決するため、本発明は、ソフトウェアの未修正の脆弱性箇所に該当する第1のプログラムコードを抽出する抽出部と、前記抽出部により抽出された第1のプログラムコードと、脆弱性箇所の検査対象となるソフトウェアの第2のプログラムコードとに含まれるパラメータのうち、コンパイル環境により変化するパラメータを正規化する正規化処理部と、前記正規化後の第2のプログラムコードの任意の箇所を比較対象として前記第1のプログラムコードとの類似度である第1の類似度を算出する類似度算出部と、算出した前記第1の類似度が所定の閾値を超える第2のプログラムコードの箇所について、脆弱性関連情報を参照して、当該第2のプログラムコードの箇所が未知の脆弱性箇所か否かを判定する判定部と、前記未知の脆弱性箇所と判定された第2のプログラムコードの箇所を出力する出力部とを備えることを特徴とする。
本発明によれば、検査対象のソフトウェアのソースコードが無い場合であっても、未知の脆弱性を発見することができる。
図1は、脆弱性発見装置の構成を示すブロック図である。 図2は、正規化処理部の処理を説明するための図である。 図3は、類似度算出部の処理を説明するための図である。 図4は、類似度算出に用いる行列Xの一例を示す図である。 図5は、類似度算出に用いる行列Yの一例を示す図である。 図6は、類似度算出に用いる行列Zの一例を示す図である。 図7は、判定部の処理手順を示すフローチャートである。 図8は、脆弱性発見プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。
以下、図面を参照しながら、本発明の実施の形態(実施形態)を説明する。本発明は以下に説明する実施形態に限定されない。
まず、図1を用いて脆弱性発見装置10の構成を説明する。脆弱性発見装置10は、ソフトウェアのコードクローンを用いて、検査対象となるソフトウェア(検査対象ソフトウェア)の脆弱性箇所を発見する。例えば、脆弱性発見装置10は、未修正の脆弱性を持つ(つまりパッチを適用していない)ソフトウェアのコードクローンを用いて、検査対象ソフトウェアのプログラムコード中から脆弱性箇所を発見する。そして、脆弱性発見装置10は、その脆弱性箇所を、パッチを適用済みのプログラムコードと比較し、パッチを適用済みのプログラムコードと類似していなければ、当該脆弱性箇所を未知の脆弱性箇所候補として出力する。
この脆弱性発見装置10は、脆弱性関連DB11と、逆アセンブル部12と、脆弱性箇所抽出部13と、正規化処理部14と、類似度算出部15と、判定部16と、出力部17とを有する。
脆弱性関連DB11は、脆弱性関連情報を記憶する。この脆弱性関連情報は、例えば、攻撃検証コード、共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)、脆弱性に関するセキュリティパッチ、パッチ適用済み(修正済み)のプログラムコード等である。
逆アセンブル部12は、ソフトウェアの逆アセンブルを行う。例えば、逆アセンブル部12は、入力された検査対象ソフトウェア、未修正の脆弱性を持つソフトウェアを逆アセンブルする。
脆弱性箇所抽出部13は、ソフトウェアの逆アセンブル結果から脆弱性箇所のプログラムコードを抽出する。例えば、脆弱性箇所抽出部13は、未修正の脆弱性を持つソフトウェアの逆アセンブル結果を逆アセンブル部12から受け取ると、脆弱性関連DB11の脆弱性関連情報を参照して、当該逆アセンブル結果から脆弱性箇所のプログラムコードを抽出する。
具体例を挙げると、脆弱性箇所抽出部13は、脆弱性関連情報のうち、攻撃検証コードを利用する場合、未修正の脆弱性箇所を持つソフトウェアの逆アセンブル結果に対して攻撃検証コードを実行し、攻撃の起点となる部分を、脆弱性箇所のプログラムコードとして抽出する。あるいは、脆弱性箇所抽出部13は、脆弱性関連情報のうち、共通脆弱性識別子を利用する場合、CVEDB(Common Vulnerabilities and Exposures Data Base)を参照して、未修正の脆弱性箇所を持つソフトウェアの逆アセンブル結果から当該ソフトウェアの情報を基に特定された部分を、脆弱性箇所のプログラムコードとして抽出する。
正規化処理部14は、プログラムコードの正規化処理を行う。この正規化処理とは、逆アセンブルにより得られたプログラムコードのうち、コンパイル環境により変化する箇所(例えば、レジスタの種類、アクセス先のメモリアドレスの値、即値等の可変パラメータ)を抽象化する処理である。
例えば、正規化処理部14は、脆弱性箇所抽出部13から未修正の脆弱性箇所のプログラムコードを取得し、また、逆アセンブル部12から検査対象ソフトウェアの逆アセンブル結果(検査対象ソフトウェアのプログラムコード)を取得する。そして、正規化処理部14は、この未修正の脆弱性箇所のプログラムコードおよび検査対象ソフトウェアのプログラムコードの正規化処理を行う。
具体例を挙げると、図2に示す様に、正規化処理部14は、コンパイル環境により変化する箇所を、その属性だけを表す文字列に変換する。例えば、正規化処理部14は、プログラムコード中の“0x10”、“00402198”、“0040189C”、“ebx,ebx”の各値を、それぞれ“VAL”、“MEM”、“MEM”、“REG,REG”の各文字列に変換することにより抽象化する。これにより、正規化処理部14は、検査対象ソフトウェアがコンパイルされた環境に左右されない正確な類似度計算を可能とする。なお、正規化処理では、機械語命令からオペランド部分を除いた情報である縮約命令を用いてもよい。
類似度算出部15は、正規化後の検査対象ソフトウェアのプログラムコードの任意の箇所を比較対象として、正規化後の未修正の脆弱性箇所のプログラムコードとの類似度を算出する。
例えば、類似度算出部15は、図3に示すように、正規化後の検査対象ソフトウェアのプログラムコード(B)の任意の箇所について、正規化後の未修正の脆弱性箇所のプログラムコード(A)全体との類似度を算出する。例えば、類似度算出部15は、正規化後の検査対象ソフトウェアのプログラムコード(B)のうち、符号302に示す箇所について、正規化後の未修正の脆弱性箇所のプログラムコード(A)全体との類似度を77%と算出する。この類似度算出部15の詳細は後記する。
判定部16は、類似度算出部15により算出された類似度が所定の閾値を超える正規化後の検査対象ソフトウェアのプログラムコードの箇所(例えば、図3の符号301に示す箇所)について、脆弱性関連DB11を参照して、当該箇所が未知の脆弱性箇所か否かを判定する。この判定部16の詳細は後記する。
出力部17は、判定部16により未知の脆弱性箇所と判定された箇所を未知の脆弱性箇所候補として出力する。
(類似度算出部)
次に、図3を参照しながら、類似度算出部15が行う処理の詳細を説明する。ここで、正規化後の未修正の脆弱性箇所のプログラムコードをA、正規化後の検査対象ソフトウェアのプログラムコードをBとすると、Bの中でAと類似した箇所を、スコアを基にした類似度の算出により特定する。
ここでは、Aの長さを|A|=M、Bの長さを|B|=Nとし、A=a =a,a,a,…,a,B=b =b,b,b,…,bとする。スコアは動的計画法に基づいた類似文字列検索アルゴリズムであるNeedleman-Wunsch(非特許文献4参照)に、文字列の挿入または削除部分中の位置に応じて減点を区別するアフィンギャップと呼ばれる手法(非特許文献5参照)を適用し、さらにスコア算出部分を変更することによって算出できる。そして、類似度算出部15は、A,B間のスコアをF(A,B)とすると、F(A,B)/F(A,A)を求めることでA,B間の類似度を算出することがきる。
スコア算出のための具体的な処理内容について説明する。まず、類似度算出部15は、A,B間で、3つのスコア行列X={xij|0≦i≦M,0≦j≦N}、スコア行列Y={yij|0≦i≦M,0≦j≦N}、スコア行列Z={zij|0≦i≦M,0≦j≦N}の各要素を下記の式(1)〜式(3)で算出する。なお、このスコア行列Xは、A,B間のmatch,mismatchスコアを管理する行列である。また、スコア行列Yは、Bにおける挿入のギャップスコアを管理する行列である。さらに、スコア行列Zは、Aにおける削除のギャップスコアを管理する行列である。
Figure 0006503084
Figure 0006503084
Figure 0006503084
なお、式(1)におけるmatch(文字列同士が合致する)、mismatch(文字列同士が合致しない)のスコアは任意に設定できるが、match(第1の値)>mismatch(第2の値)となり、かつ|match|と|mismatch|が極端に離れすぎない値が好ましい。また、式(2)および式(3)における、o(open gap)はギャップ(文字列の挿入または削除)の開始スコアとし、e(extended gap)はギャップの継続スコアとする。o(第3の値)とe(第4の値)のスコアは任意の値を設定できるが、e>mismatch、e>o、o<mismatch、e<0、かつ、(mismatch×2)<(e+o)となる値が好ましい。この理由については後記する。
例えば、類似度算出部15は、図3に示すように、match、mismatch、o(open gap)、e(extended gap)それぞれの設定スコアとして、match=+2、mismatch=−2、o(open gap)=−3、e(extended gap)=−0.5を用いる。
つまり、類似度算出部15は、Bの文字列のうち、Aの文字列と同じ文字列の箇所についてはスコアを「match=+2」とし、Bの文字列のうち、Aの文字列と異なる文字列の箇所についてはスコアを「mismatch=−2」とする。
また、類似度算出部15は、BについてAとは異なる文字列が挿入されている区間、または、BについてAの文字列が一部削除されている区間(ギャップが生じている区間)がある場合、当該区間の開始点の文字列についてはスコアを「o=−3」とし、当該区間の継続点の文字列についてはスコアを「e=−0.5」とする。
例えば、類似度算出部15が、図3に示すBの符号302に示す箇所について、A全体と比較すると、符号301に示す箇所は、Aと同じ文字列が並んでいるが、符号302に示す区間はAとは異なる文字列が挿入されている。したがって、類似度算出部15は、スコアの算出にあたり、Bの符号301に示す箇所のうち、符号302に示す区間の文字列以外の文字列についてはそれぞれ「2」を加算する(match=+2)。一方、類似度算出部15は、符号302に示す区間の開始点(符号303に示す文字列)については「3」を減算し(o=−3)、区間の継続点(符号304に示す文字列)についてはそれぞれ「0.5」を減算する(e=−0.5)。
なお、ここでは説明を省略しているが、類似度算出部15は、Bの符号302に示す箇所にAの文字列と異なる文字列があれば当該文字列についてそれぞれ「2」を減算し(mismatch=−2)、BについてAの文字列が一部削除されている区間がある場合、当該区間の開始点の文字列については「3」を減算し(o=−3)、当該区間の継続点の文字列についてはそれぞれ「0.5」を減算する(e=−0.5)。
また、上記のスコア算出において、o=−3、e=−0.5のように、e>oとなり、かつ、(mismatch×2)<(e+o)となるような値を用いることで、Bに、Aの一部分が挿入または削除された区間(ギャップの生じている区間)があった場合に、当該挿入または削除を反映したスコア算出を行うことができる。
例えば、類似度算出部15が、図3の符号302に示す区間の文字列すべてについてmismatchであるとして、それぞれ「−2」としてスコア算出を行うと、当該区間のスコアは「−2×5=−10」となってしまうが、上記のo=−3、e=−0.5のように(mismatch×2)<(e+o)となるような値を用いることで当該区間のスコアは「−3+(−0.5)×4=−5」となる。
さらに、類似度算出部15が、o、eについて、上記のo=−3、e=−0.5のように、e>oとなるような値を用いることで、Bにおけるギャップの生じている区間の長さによってスコアの値に大きな差が生じないようにすることができる。例えば、Bにおけるギャップの生じている区間の長さが「2」である場合、スコアは「−3+(−0.5)=−3.5」となる。一方、Bにおけるギャップの生じている区間の長さが「5」である場合、スコアは「−3+(−0.5)×4=−5」となる。したがって、Bにおけるギャップの生じている区間が「2」である場合と「5」である場合とで、それぞれのスコアの差は「1.5」程度にすることができる。
類似度算出部15は、上記手法を用いて計算した3つのスコア行列を利用して、以下の式(4)で得られる最大スコア点jmaxを基に、F(A,B)/F(A,A)を算出する。
Figure 0006503084
例えば、類似度算出部15は、図3に例示したA,Bを対象として上記の式(1)〜式(3)を用いて、スコア行列(行列)X,Y,Zを算出すると、その算出結果はそれぞれ図4〜図6に示すようになる。ここで、類似度算出部15が式(4)に基づき、最大スコア点jmaxを算出すると「18.5」になる(図4に示す行列Xのjmax参照)。つまり、F(A,B)=jmax=18.5となる。また、F(A,A)=match×|A|=24となる。したがって、類似度算出部15は、図3のBの符号301に示す箇所について、A全体との類似度を、F(A,B)/F(A,A)=18.5/24≒類似度77%と算出する。
なお、類似度算出部15は、BからさらにAの類似箇所を探索するためには、Bから前回の類似度算出で最大スコア点jmax(例えば、18.5)となった区間以外を対象として、上記と同様の処理を実行し、最大スコア点jmaxを算出し、F(A,B)/F(A,A)を算出する。このようにすることで、類似度算出部15は、Bの任意の箇所について、Aとの類似度を算出することができる。なお、算出結果については、脆弱性発見装置10の記憶部(図示省略)の所定領域に記憶しておき、判定部16による判定処理時に読み出される。
(判定部)
次に、判定部16が行う処理について、図7を用いて詳しく説明する。判定部16では、まず類似度算出部15で算出された、正規化後の未修正の脆弱性箇所のプログラムコード(以下、未修正の脆弱性箇所のプログラムコードと略す)との類似度が所定の閾値を超える正規化後の検査対象プログラムコード(以下、検査対象プログラムコードと略す)の箇所について、脆弱性のコードクローン部分であるとみなし、当該箇所が未知の脆弱性箇所か否かを判定する。
具体的には、まず、判定部16は、記憶部(図示省略)から、類似度算出部15による検査対象プログラムコードの各箇所の類似度の算出結果を読み出し、検査対象プログラムコードの各箇所について、未修正の脆弱性箇所のプログラムコードとの類似度(Sim1)が所定の閾値を超えるか否かを判定する(S1)。ここで、検査対象プログラムコードに、未修正の脆弱性箇所のプログラムコードとの類似度(Sim1)が所定の閾値を超える箇所があれば(S1でYes)、判定部16は、当該箇所について、修正済みの脆弱性箇所のプログラムコードとの類似度(Sim2)を算出する(S2)。ここでの類似度の算出は、例えば、前記した類似度算出部15での類似度算出と同様の方法で行えばよく、また、修正済みの脆弱性箇所のプログラムコードは、例えば、脆弱性関連DB11内の脆弱性関連情報に含まれるパッチ適用済みのプログラムコードの情報を参照する。一方、判定部16は、検査対象プログラムコードに、未修正の脆弱性箇所のプログラムコードとの類似度(Sim1)が所定の閾値を超える箇所がないと判定した場合(S1でNo)、処理を終了する。
S2の後、判定部16は、当該箇所について、S2で算出した修正済みの脆弱性箇所のプログラムコードとの類似度(Sim2)と、未修正の脆弱性箇所のプログラムコードとの類似度(Sim1)とを比較し、判定部16がSim2>Sim1と判定した場合(S3でYes)、処理を終了する。つまり、判定部16は、当該箇所について、未修正の脆弱性箇所のプログラムコードよりも、修正済みの脆弱性箇所のプログラムコードと類似している場合、処理を終了する。一方、判定部16が、Sim2≦Sim1と判定した場合(S3でNo)、当該箇所を未知の脆弱性箇所候補と判定する(S4)。つまり、判定部16は、当該箇所についての未修正の脆弱性箇所のプログラムコードとの類似度(Sim1)が、S2で算出した修正済みの脆弱性箇所のプログラムコードとの類似度(Sim2)以上である場合、当該箇所を未知の脆弱性箇所候補と判定する。換言すると、判定部16は、Sim2がSim1以上と判定した箇所については、既知の脆弱性箇所である可能性が高いと判断し、未知の脆弱性箇所候補から除外する。
なお、当該箇所が、検査対象プログラムコードにおけるどの箇所であるかは、類似度算出部15で算出した最大スコア点jmaxを起点に、jmax算出までに至った各行列(スコア行列X,Y,Z)の算出式の中の要素選択順序を逆順に、i=1になるまで辿っていくことで求めることができる。この操作をトレースバックと呼ぶ。トレースバックでは、現在着目している要素を算出した1つ前の要素、つまり、(i−1,j−1)、(i−1,j)、(i,j−1)のいずれかを辿ることになる。具体的には、トレースバックを行うには、類似度算出部15が3つのスコア行列X,Y,Zを算出する際に、別途各スコア行列に応じた選択順序を保持した以下の式(5)に示すポインタ行列P,Q,Rを作成しておき、記憶部(図示省略)に記憶しておく。なお、ポインタとしては、現在の要素の計算に使われた要素の行列の種類と要素の場所が保持される。
Figure 0006503084
類似度算出部15は、3つのポインタ行列の各要素を下記の式(6)〜式(8)により算出する。
Figure 0006503084
Figure 0006503084
Figure 0006503084
以上説明した脆弱性発見装置10によれば、検査対象プログラムコードからコードクローンを用いて、未知の脆弱性箇所の候補を発見することができる。
また、上記の実施形態で述べた脆弱性発見装置10は、上記の処理を実行する脆弱性発見プログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記の脆弱性発見プログラムを情報処理装置に実行させることにより、情報処理装置を脆弱性発見装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等のスレート端末等がその範疇に含まれる。また、脆弱性発見装置10を、Webサーバやクラウドとして実装してもよい。
(プログラム)
図8は、脆弱性発見プログラムを実行するコンピュータを示す図である。図8に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図8に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報、データは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、脆弱性発見プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した脆弱性発見装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。
また、脆弱性発見プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、脆弱性発見プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、脆弱性発見プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 脆弱性発見装置
11 脆弱性関連DB
12 逆アセンブル部
13 脆弱性箇所抽出部
14 正規化処理部
15 類似度算出部
16 判定部
17 出力部

Claims (6)

  1. ソフトウェアの未修正の脆弱性箇所に該当する第1のプログラムコードを抽出する抽出部と、
    前記抽出部により抽出された第1のプログラムコードと、脆弱性箇所の検査対象となるソフトウェアの第2のプログラムコードとに含まれるパラメータのうち、コンパイル環境により変化するパラメータの値を前記値の属性を表す文字列に変換する正規化処理部と、
    前記変換後の第2のプログラムコードの任意の箇所を比較対象として前記第1のプログラムコードとの類似度である第1の類似度を算出する類似度算出部と、
    算出した前記第1の類似度が所定の閾値を超える第2のプログラムコードの箇所について、脆弱性関連情報を参照して、当該第2のプログラムコードの箇所が未知の脆弱性箇所か否かを判定する判定部と、
    前記未知の脆弱性箇所と判定された第2のプログラムコードの箇所を出力する出力部と
    を備えることを特徴とする脆弱性発見装置。
  2. 前記類似度算出部は、前記第1の類似度を算出する際、前記変換後の第2のプログラムコードのうち、前記第1のプログラムコードの文字列と同じ文字列の箇所については第1の値を加算し、前記第1のプログラムコードの文字列と異なる文字列の箇所については前記第1の値よりも低い第2の値を加算し、前記変換後の第2のプログラムコードに、前記第1のプログラムコードとは異なる文字列が挿入されている区間、または、前記第1のプログラムコードの文字列が一部削除されている区間がある場合、前記区間の開始点の文字列については前記第2の値よりも低い第3の値を加算し、当該区間の継続点の文字列については前記第3の値よりも高く、かつ、0よりも低い第4の値を加算することを特徴とする請求項1に記載の脆弱性発見装置。
  3. 前記類似度算出部は、前記第3の値および前記第4の値として、前記第3の値および前記第4の値の合計値が、前記第2の値の2倍の値よりも高くなるような値を設定することを特徴とする請求項2に記載の脆弱性発見装置。
  4. 前記判定部は、前記第1の類似度が所定の閾値を超える第2のプログラムコードの箇所について、当該箇所の前記脆弱性関連情報に登録される修正済みの脆弱性箇所のプログラムコードとの類似度である第2の類似度を算出し、算出した前記第2の類似度が前記第1の類似度以上の場合、当該第2のプログラムコードの箇所を未知の脆弱性箇所から除外することを特徴とする請求項1に記載の脆弱性発見装置。
  5. ソフトウェアの未修正の脆弱性箇所に該当する第1のプログラムコードを抽出するステップと、
    抽出された第1のプログラムコードと、脆弱性箇所の検査対象となるソフトウェアの第2のプログラムコードとに含まれるパラメータのうち、コンパイル環境により変化するパラメータの値を前記値の属性を表す文字列に変換するステップと、
    前記変換後の第2のプログラムコードの任意の箇所を比較対象として前記第1のプログラムコードとの類似度である第1の類似度を算出するステップと、
    算出した前記第1の類似度が所定の閾値を超える第2のプログラムコードの箇所について、脆弱性関連情報を参照して、当該第2のプログラムコードの箇所が未知の脆弱性箇所か否かを判定するステップと、
    前記未知の脆弱性箇所と判定された第2のプログラムコードの箇所を出力するステップと
    を含んだことを特徴とする脆弱性発見方法。
  6. ソフトウェアの未修正の脆弱性箇所に該当する第1のプログラムコードを抽出するステップと、
    抽出された第1のプログラムコードと、脆弱性箇所の検査対象となるソフトウェアの第2のプログラムコードとに含まれるパラメータのうち、コンパイル環境により変化するパラメータの値を前記値の属性を表す文字列に変換するステップと、
    前記変換後の第2のプログラムコードの任意の箇所を比較対象として前記第1のプログラムコードとの類似度である第1の類似度を算出するステップと、
    算出した前記第1の類似度が所定の閾値を超える第2のプログラムコードの箇所について、脆弱性関連情報を参照して、当該第2のプログラムコードの箇所が未知の脆弱性箇所か否かを判定するステップと、
    前記未知の脆弱性箇所と判定された第2のプログラムコードの箇所を出力するステップと
    をコンピュータに実行させるための脆弱性発見プログラム。
JP2017544442A 2015-10-09 2016-09-20 脆弱性発見装置、脆弱性発見方法、および、脆弱性発見プログラム Active JP6503084B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015201165 2015-10-09
JP2015201165 2015-10-09
PCT/JP2016/077738 WO2017061270A1 (ja) 2015-10-09 2016-09-20 脆弱性発見装置、脆弱性発見方法、および、脆弱性発見プログラム

Publications (2)

Publication Number Publication Date
JPWO2017061270A1 JPWO2017061270A1 (ja) 2018-02-22
JP6503084B2 true JP6503084B2 (ja) 2019-04-17

Family

ID=58487541

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017544442A Active JP6503084B2 (ja) 2015-10-09 2016-09-20 脆弱性発見装置、脆弱性発見方法、および、脆弱性発見プログラム

Country Status (5)

Country Link
US (1) US10747887B2 (ja)
EP (1) EP3330879B1 (ja)
JP (1) JP6503084B2 (ja)
CN (1) CN108140091B (ja)
WO (1) WO2017061270A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6734479B2 (ja) * 2017-06-14 2020-08-05 日本電信電話株式会社 特定支援装置、特定支援方法及び特定支援プログラム
US10592677B2 (en) * 2018-05-30 2020-03-17 Paypal, Inc. Systems and methods for patching vulnerabilities
KR102505127B1 (ko) 2018-05-30 2023-03-02 삼성전자주식회사 소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법
JP7075011B2 (ja) * 2018-07-19 2022-05-25 富士通株式会社 情報処理装置、パッチ適用確認システム、パッチ適用確認方法、およびパッチ適用確認プログラム
CN109344622A (zh) * 2018-09-26 2019-02-15 杭州迪普科技股份有限公司 漏洞攻击的入侵检测方法及相关设备
US11347850B2 (en) 2018-10-01 2022-05-31 Blackberry Limited Analyzing binary software code
US10984102B2 (en) * 2018-10-01 2021-04-20 Blackberry Limited Determining security risks in binary software code
US11106791B2 (en) 2018-10-01 2021-08-31 Blackberry Limited Determining security risks in binary software code based on network addresses
CN110766402B (zh) * 2019-06-27 2021-09-03 深圳市润鹏华通创新科技有限公司 交易顺序依赖漏洞检测方法、系统、电子装置及存储介质
US11514171B2 (en) * 2019-10-29 2022-11-29 Dell Products L.P. Code vulnerability detection and remediation
CN111866023A (zh) * 2020-08-04 2020-10-30 深圳供电局有限公司 一种异常用户行为审计方法和装置
CN112651028B (zh) * 2021-01-05 2022-09-30 西安工业大学 基于上下文语义和补丁验证的漏洞代码克隆检测方法
CN114785574B (zh) * 2022-04-07 2023-09-29 国网浙江省电力有限公司宁波供电公司 一种基于ai辅助的远程漏洞精确验证方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6282698B1 (en) 1998-02-09 2001-08-28 Lucent Technologies Inc. Detecting similarities in Java sources from bytecodes
US7284273B1 (en) * 2003-05-29 2007-10-16 Symantec Corporation Fuzzy scanning system and method
JP5009186B2 (ja) 2008-02-12 2012-08-22 日本電信電話株式会社 逆アセンブル方法および逆アセンブル装置
JP5301411B2 (ja) 2009-10-16 2013-09-25 日本電信電話株式会社 類似性算出装置、類似性算出方法、類似性算出プログラム、及び類似性解析装置
US8819856B1 (en) * 2012-08-06 2014-08-26 Google Inc. Detecting and preventing noncompliant use of source code
TWI515598B (zh) * 2013-08-23 2016-01-01 國立交通大學 產生純化惡意程式的方法、偵測惡意程式之方法及其系統
JP6088713B2 (ja) 2014-08-20 2017-03-01 日本電信電話株式会社 脆弱性発見装置、脆弱性発見方法、及び脆弱性発見プログラム
CN107229563B (zh) * 2016-03-25 2020-07-10 中国科学院信息工程研究所 一种跨架构的二进制程序漏洞函数关联方法

Also Published As

Publication number Publication date
WO2017061270A1 (ja) 2017-04-13
US20180225460A1 (en) 2018-08-09
EP3330879A1 (en) 2018-06-06
EP3330879A4 (en) 2019-04-03
JPWO2017061270A1 (ja) 2018-02-22
CN108140091B (zh) 2021-12-31
EP3330879B1 (en) 2019-12-18
US10747887B2 (en) 2020-08-18
CN108140091A (zh) 2018-06-08

Similar Documents

Publication Publication Date Title
JP6503084B2 (ja) 脆弱性発見装置、脆弱性発見方法、および、脆弱性発見プログラム
JP6088713B2 (ja) 脆弱性発見装置、脆弱性発見方法、及び脆弱性発見プログラム
US9946880B2 (en) Software vulnerability analysis method and device
US10200391B2 (en) Detection of malware in derived pattern space
US10339315B2 (en) Apparatus and method for detecting malicious mobile app
JP5963008B2 (ja) コンピュータシステムの分析方法および装置
US8931092B2 (en) System and method for computer inspection of information objects for shared malware components
US20170193230A1 (en) Representing and comparing files based on segmented similarity
US10198576B2 (en) Identification of mislabeled samples via phantom nodes in label propagation
CN110023938B (zh) 利用函数长度统计确定文件相似度的系统和方法
US10691798B2 (en) Analysis device, analysis method, and analysis program
US10417422B2 (en) Method and apparatus for detecting application
CN116868193A (zh) 固件组件标识和漏洞评估
US11366902B2 (en) System and method of detecting malicious files based on file fragments
US10909243B2 (en) Normalizing entry point instructions in executable program files
US9223569B1 (en) Automatic software catalog content creation based on bio-inspired computing prediction
JPWO2019049478A1 (ja) コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラム
RU2628922C1 (ru) Способ определения похожести составных файлов
EP3767510A1 (en) System and method of detecting malicious files based on file fragments
US20220366047A1 (en) Multivariate malware detection methods and systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190108

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190322

R150 Certificate of patent or registration of utility model

Ref document number: 6503084

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150