JP6709909B2 - 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 - Google Patents

検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 Download PDF

Info

Publication number
JP6709909B2
JP6709909B2 JP2018502586A JP2018502586A JP6709909B2 JP 6709909 B2 JP6709909 B2 JP 6709909B2 JP 2018502586 A JP2018502586 A JP 2018502586A JP 2018502586 A JP2018502586 A JP 2018502586A JP 6709909 B2 JP6709909 B2 JP 6709909B2
Authority
JP
Japan
Prior art keywords
web application
response
parameter
request
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018502586A
Other languages
English (en)
Other versions
JPWO2017150003A1 (ja
Inventor
卓郎 柳田
卓郎 柳田
邦男 郷原
邦男 郷原
智宏 高井
智宏 高井
孝一 金村
孝一 金村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of JPWO2017150003A1 publication Critical patent/JPWO2017150003A1/ja
Application granted granted Critical
Publication of JP6709909B2 publication Critical patent/JP6709909B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、ネットワークからの攻撃を回避する、検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法に関する。
従来、通信情報監視装置では、予め設定されたチェックルールに基づいてクライアントからのリクエスト(リクエストメッセージ)のパラメータをチェックし、攻撃と判断してこのリクエストを排除する(例えば特許文献1参照)。
また、マルウェア解析システムでは、マルウェア候補サンプル(不正なパラメータ)がマルウェアであると判定された場合にシグネチャを自動的に生成する(例えば特許文献2参照)。
特開2007−4685号公報 特開2014−519113号公報
検知システムの一態様は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置と、を備える。ウェブアプリケーションファイアウォール装置は、ウェブクライアントから送られてきたリクエストを受信し、リクエストが正当か否かを判定する第1の制御部と、ウェブアプリケーション装置からリクエストに対応するレスポンスを受信して分析する分析受信部と、を有する。ウェブアプリケーション装置は、ウェブアプリケーションファイアウォール装置から送信されてくるリクエストを受信し、リクエストが正当か否かを判定する第2の制御部と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置にレスポンスを送信する応答生成部と、を有する。そして、リクエストに対するレスポンスは、リクエストが正当か否かの判定結果を含む。第1の制御部は、ウェブクライアントから送られてきたパラメータを含むリクエストを受信し、リクエストが不正なパラメータを含むか否かを判定する判定部と、ウェブクライアントの不正なパラメータを含むリクエストをフィルタリングするためのデータを格納している第1の記憶部と、データを生成する生成部と、を備え、判定部は、分析受信部がレスポンスから不正なパラメータの情報である不正情報を抽出した場合に、第1の記憶部に格納されているデータを更新してリクエストをフィルタリングすることにより、不正なパラメータを含むリクエストを遮断し、分析受信部は、レスポンスから不正情報を抽出した場合に、不正情報を生成部に送信し、生成部は、不正情報や不正なパラメータからデータを生成する。
また、本開示の一態様に係るウェブアプリケーション装置は、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置であって、ウェブアプリケーションファイアウォール装置から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第2の制御部と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置にレスポンスを送信する応答生成部と、を有する。そして、応答生成部は、不正なパラメータであると第2の制御部が判定した場合に、不正なパラメータの情報である不正情報をレスポンスに格納し、正当なパラメータであると第2の制御部が判定した場合に、正当なパラメータの情報である正当情報をレスポンスに格納し、応答生成部は、不正情報を含むレスポンス又は正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置に送信する。
また、本開示の一態様に係るウェブアプリケーションファイアウォール装置は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置であって、ウェブクライアントから送られてきたリクエストを受信し、リクエストが正当か否かを判定する第1の制御部と、ウェブアプリケーション装置からレスポンスを受信して分析する分析受信部と、前記ウェブクライアントのリクエストを遮断するためのデータを格納している第1の記憶部と、を備える。そして、第1の制御部は、ウェブクライアントから送られてきたパラメータを含むリクエストを受信し、リクエストが不正なパラメータを含むか否かを判定する判定部と、リクエストから不正なパラメータを遮断するシグネチャを生成する生成部と、シグネチャから不正なパラメータを遮断する規定を第1の記憶部に格納する規定部と、を有する。さらに、分析受信部は、ウェブアプリケーションから送られてきたレスポンスに不正情報が含まれていた場合、不正情報を生成部に送信する。
また、本開示の一態様に係る検知システムにおける検知方法は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置とを備える検知システムにおける検知方法であって、ウェブアプリケーションファイアウォール装置において、ウェブクライアントから送られてきたパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第1判定ステップと、ウェブアプリケーション装置からリクエストに対応するレスポンスを受信して分析する分析受信ステップと、を含む。第1判定ステップでは、分析受信ステップでレスポンスから不正なパラメータの情報である不正情報を抽出した場合に、パラメータをフィルタリングするためのデータを更新する。検知システムにおける検知方法は、さらに、ウェブアプリケーション装置において、ウェブアプリケーションファイアウォール装置から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第2判定ステップと、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置にレスポンスを送信する応答生成ステップとを含む。応答生成ステップでは、不正情報を含むレスポンス又は正当なパラメータの情報である正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置に送信する。
また、本開示の一態様に係るウェブアプリケーション装置の検知方法は、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置を備える検知システムにおける検知方法であって、ウェブアプリケーション装置からウェブアプリケーションファイアウォール装置へリクエストをフィルタリングするための情報をヘッダに含むレスポンスを送信する。
また、本開示の一態様に係るウェブアプリケーションファイアウォール装置の検知方法は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置の検知方法であって、リクエストをフィルタリングするための情報をヘッダに含むレスポンスをウェブアプリケーション装置から受信して分析する分析受信部が、レスポンスから不正なパラメータの情報である不正情報を抽出した場合に、リクエストをフィルタリングするためのデータを更新する。
ウェブアプリケーションファイアウォール装置では、リクエストを発行したウェブクライアントをフィルタリングするため、ウェブアプリケーション装置からウェブアプリケーションファイアウォール装置へ送信する情報として、少なくともIPアドレスまたはウェブクライアントを一意に特定する識別子を利用する。ウェブクライアントを一意に特定する識別子は、ウェブクライアント自身が内部ファームウェアに内包するIDであってもよく、ウェブクライアントに対して、ウェブサーバが一意に割り当てるIDであってもよく、ウェブクライアントからのログイン情報に基づいてウェブサーバが一意に割り当てるセッションIDであってもよい。
本開示によれば、上述した判定、生成、分析が、継続的かつ速やかに実現でき、サーバセキュリティが安定して確保できる。また、未知の攻撃であってもその攻撃を未然に防ぐことができる。また、正当なパラメータを有するリクエストを誤って遮断することを防止することができる。さらに、システム構築に費やすコストを低廉化することができる。
図1は、実施の形態1の検知システムを示すブロック図である。 図2は、実施の形態1の検知システムを示す説明図である。 図3は、実施の形態1の検知システムにおけるウェブアプリケーションファイアウォール装置を示すブロック図である。 図4は、実施の形態1の検知システムにおけるウェブアプリケーション装置を示すブロック図である。 図5は、実施の形態1の検知システムにおける動作を示すシーケンス図である。 図6は、実施の形態1の検知システムにおけるウェブアプリケーション装置の制御部の判定を示す説明図である。 図7は、実施の形態2の検知システムにおけるウェブアプリケーションファイアウォール装置を示すブロック図である。 図8は、実施の形態2の検知システムを示す説明図である。 図9は、実施の形態2の検知システムにおける動作を示すシーケンス図である。 図10は、実施の形態2の検知システムを示す概念図である。 図11は、検知システムにおけるウェブアプリケーション装置の制御部の判定を示す説明図である。
(発明の基礎となった知見)
インターネット等のネットワークを介したサービスの提供として、例えば、ウェブアプリケーション装置がある。ウェブクライアントは、サービスを利用する場合に、ネットワークを介してウェブアプリケーション装置にリクエストを送信する。そして、ウェブアプリケーション装置はこのリクエストに対してレスポンスをウェブクライアントに送信する。
ウェブクライアントからウェブアプリケーション装置の脆弱性を悪用した不正なパラメータを含んだリクエストが送信されてくる場合には、ウェブアプリケーション装置に影響を与え、これが誤動作等を行うことがある。このため、ウェブアプリケーションファイアウォール装置を介し、リクエストに含まれる不正なパラメータを遮断してウェブアプリケーション装置を保護している。
従来、ウェブアプリケーションファイアウォール装置では、正当なパラメータを装う攻撃として、SQLインジェクション、DDos攻撃(Distributed Denial of Service attack攻撃)等の攻撃パターンをブロックすることが知られている。
ウェブアプリケーションファイアウォール装置において、攻撃か否かの判断方法には、ブラックリスト方式とホワイトリスト方式とが知られている。
ブラックリスト方式は、ウェブアプリケーションファイアウォール装置に予め格納されている不当(実行不可能)なパラメータの情報であるブラックリストと、リクエストのパラメータとを照合し、照合が一致した場合に、リクエストを遮断することで、攻撃を未然に防止する方式である。このブラックリスト方式では、予め格納されているデータを定期的に更新しないと、このデータに記載されていない未知の攻撃を受けてしまうという課題がある。また、ブラックリストを定期的に更新したとしても、攻撃パターンの調査等による負担が増加するという課題もある。
一方、ホワイトリスト方式では、ウェブアプリケーションファイアウォール装置に予め格納されている正当(実行可能)なパラメータの情報であるホワイトリストと、リクエストのパラメータとを照合し、照合が一致した場合以外は、不正なパラメータと判定する。このホワイトリスト方式では、ブラックリスト方式よりもセキュリティの強度が高いといえるが、パラメータごとにホワイトリストを定義することが困難であり、運用負担が大きくなるという課題がある。こうしたことから現在では、ブラックリスト方式が主流となっている。
しかしながら、従来のブラックリスト方式を用いたウェブアプリケーションファイアウォール装置では、ブラックリストとして予め格納されていない未知の攻撃(最初の攻撃)防ぐことができない。また、リクエストが正当なパラメータを含んでいても、リクエストを誤って遮断(誤検出)してしまうという問題も生じている。
このため、未知の攻撃であっても、その攻撃を未然に防ぐことができたり、正当なパラメータを有するリクエストを誤って遮断することを防止することができたり、システム構築に費やすコストを低廉化することができたりすることが求められている。
そこで、上記のような課題から検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法を検討した。
以下、適宜図面を参照しながら、実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。
なお、発明者らは、当業者が本開示を十分に理解するために添付図面および以下の説明を提供するのであって、これらによって特許請求の範囲に記載の主題を限定することを意図するものではない。
なお、各図は、必ずしも厳密に図示されたものではない。また、各図において、実質的に同一の構成に対しては同一の符号を付しており、重複する説明は省略又は簡略化する。
(実施の形態1)
ここでは、本開示の実施の形態1として、本開示に関わる検知システム1について図面を参照しながら説明する。
(検知システム全体の構成)
図1は、実施の形態1の検知システム1を示すブロック図である。
図1に示すように、検知システム1は、ウェブアプリケーションファイアウォール装置3と、ウェブアプリケーション装置5とを備えている。ウェブアプリケーションファイアウォール装置3及びウェブアプリケーション装置5は、例えば、情報処理装置を用いて実現することができる。
ウェブアプリケーションファイアウォール装置3は、ウェブアプリケーション装置5に対する攻撃を防ぐために、ウェブクライアント9からのリクエストに含まれるパラメータをフィルタリングする。ウェブアプリケーションファイアウォール装置3は、通信部を介してインターネットなどのネットワーク7に接続されて、ネットワーク7を介してウェブクライアント9に接続されている。リクエストに含まれるパラメータは、例えば、セキュリティID、セキュリティIDを含むCookieなどである。
図2は、実施の形態1の検知システム1を示す説明図である。
図2に示すように、図1のウェブクライアント9からのリクエストは、図1のネットワーク7を介してウェブアプリケーションファイアウォール装置3でフィルタリングされる。ウェブアプリケーションファイアウォール装置3でフィルタリングされたリクエストは、ウェブアプリケーション装置5に送信される。ウェブアプリケーション装置5は、リクエストに対するレスポンスをウェブアプリケーションファイアウォール装置3に送信する。ウェブアプリケーションファイアウォール装置3は、図1のネットワーク7を介して図1のウェブクライアント9にレスポンスを送信する。実線の矢印で示すように、ウェブアプリケーション装置5がリクエストに含まれる不正なパラメータを検出した場合は、今後、不正なパラメータを含むリクエストを遮断するために、ウェブアプリケーションファイアウォール装置3の記憶部35(第1の記憶部)に、不正なパラメータの情報である不正情報をフィードバックする。つまり、不正情報をブラックリストに登録し、ブラックリストを更新する。なお、リクエスト及びレスポンスは、HTTP通信を用いて送信される。
ウェブアプリケーションファイアウォール装置3は、ブラックリストに登録する不正情報として、少なくともIPアドレス、またはウェブクライアント9を一意に特定する識別子を利用する。ウェブクライアント9を一意に特定する識別子は、ウェブクライアント9自身が内部ファームウェアに内包するIDであってもよく、ウェブクライアント9に対してウェブサーバが一意に割り当てるIDであってもよく、ウェブクライアント9からのログイン情報に基づいてウェブサーバが一意に割り当てるセッションIDであってもよい。
(ウェブアプリケーションファイアウォール装置の構成)
図3は、実施の形態1の検知システム1におけるウェブアプリケーションファイアウォール装置3を示すブロック図である。
図3に示すように、ウェブアプリケーションファイアウォール装置3は、分析受信部33、記憶部35(第1の記憶部)、制御部41(第1の制御部)及びインターフェイス43を有している。また、制御部41は、判定部31、生成部37、規定部39を備えている。
判定部31は、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信する。判定部31は、メソッドやURIなどのリクエストライン、ジェネラルヘッダやリクエストヘッダ等のヘッダ等を検査する。判定部31は、リクエストが不正なパラメータを含むか否かを判定する。言い換えれば、判定部31は、記憶部35に格納されているブラックリストとリクエストのパラメータとが一致するか否かを判定する。判定部31は、分析受信部33がレスポンスから不正情報を抽出した場合に、記憶部35に格納されているパラメータをフィルタリングするためのデータを更新(規定部39が生成した後述する規定を更新)する。
分析受信部33は、リクエストに対応するレスポンスを行うウェブアプリケーション装置5からレスポンスを受信し、レスポンスに含まれる情報が不正情報か正当なパラメータの情報である正当情報かを分析する。分析受信部33は、例えば、レスポンスのステータスコード、レスポンスヘッダ等の分析である。分析受信部33は、レスポンスから不正情報が抽出された場合に、不正情報を生成部37に送信する。一方、分析受信部33は、レスポンスから正当情報を抽出した場合に、正当情報を含むレスポンスがインターフェイス43を介してウェブクライアント9に送信される。
記憶部35は、例えば、HDD(Hard disk drive)などの不揮発性記録媒体により実現される。記憶部35は、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している。記憶部35のデータは、不正なパラメータといったブラックリストや、不正なパラメータを含むリクエストを遮断する規定(ルール)や、遮断することとなったエラーログなどである。このエラーログは、後に、記憶部35に格納されているエラーの解析がなされる。
生成部37は、判定部31でエラー処理されたパラメータや不正情報から不正なパラメータを遮断するシグネチャを生成する。
規定部39は、不正なパラメータを含むリクエストを検出するために、シグネチャから不正なパラメータを含むリクエストを遮断する規定(ルール)を定義する。
制御部41は、この規定を更新し、記憶部35に格納する。制御部41は、CPU、メインメモリ等が格納されている制御回路である。メインメモリは、例えば、DRAM(Dynamic Random Access Memory)等の記憶媒体である。
(ウェブアプリケーション装置の構成)
図4は、実施の形態1の検知システム1におけるウェブアプリケーション装置5を示すブロック図である。
図4に示すように、ウェブアプリケーション装置5は、フィルタリングされたリクエストに対応するHTTPレスポンスをウェブアプリケーションファイアウォール装置3に送信する。ウェブアプリケーション装置5は、制御部51(第2の制御部)、応答生成部53及び記憶部55(第2の記憶部)を有している。
制御部51は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する。言い換えれば、制御部51は、記憶部55に格納されているホワイトリストとリクエストのパラメータとが一致するか否かを判定する。記憶部55は、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している。ウェブアプリケーション装置5における記憶部55のデータは、正当なパラメータといったホワイトリストなどである。なお、記憶部55は、制御部51内に備わっていてもよい。
制御部51は、ホワイトリストとリクエストのパラメータとが一致しないと判定した場合に、検出された不正情報をレスポンスのヘッダに登録する。不正情報は、ログイン認証失敗回数、検出日時、選択した処理方法、接続元IPアドレス、接続先URL、不正だと判定したヘッダ等である。
また、制御部51は、ホワイトリストとリクエストのパラメータとが一致する場合に、検出された正当なパラメータに関する情報である正当情報をレスポンスのヘッダに登録する。
応答生成部53は、不正情報を含むレスポンス及び正当情報を含むレスポンスを選択的に生成してウェブアプリケーションファイアウォール装置3に送信する。つまり、応答生成部53は、不正情報を含むレスポンス又は正当情報を含むレスポンス(リクエストに対応するレスポンス)を生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する。応答生成部53は、不正なパラメータであると制御部51が判定した場合に、不正情報を含むレスポンスを生成し、正当なパラメータであると制御部51が判定した場合に、正当情報を含むレスポンスを生成する。
[動作]
以上のように構成された検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法について、その動作を以下に説明する。
図5は、実施の形態1の検知システム1における動作を示すシーケンス図である。図6は、実施の形態1の検知システム1におけるウェブアプリケーション装置5の制御部51の判定を示す説明図である。
図1及び図5に示すように、ウェブアプリケーションファイアウォール装置3は、ウェブクライアント9からのリクエストを受信する。ウェブアプリケーションファイアウォール装置3の判定部31は、このリクエストのパラメータと記憶部35(第1の記憶部)に格納されているブラックリストとが一致するか否かを判定する(第1判定ステップS1)。
判定部31は、このリクエストのパラメータと記憶部35に格納されているブラックリストとが一致する場合(S1ではYES)に、エラーとして処理されたパラメータ(不正なパラメータ)をエラーログとして記憶部35に格納する(S2)。なお、不正なパラメータについて、記憶部35に格納されているエラーの解析がなされる(S3)。
なお、ウェブアプリケーションファイアウォール装置3では、ステップS1でYESの場合に、検出された不正なパラメータが検出されたことをウェブクライアント9にエラーを通知してもよい。そして、分析受信部33は、エラーの通知をウェブクライアント9に送信してもよい。
判定部31は、このリクエストのパラメータと記憶部35に格納されているブラックリストとが一致しない場合(S1ではNO)に、ウェブアプリケーションファイアウォール装置3がパラメータを含むリクエストを、ウェブアプリケーション装置5に送信する(S4)。つまり、ウェブアプリケーションファイアウォール装置3では、判定部31がブラックリスト方式を採用している。
次に、制御部51は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信する。制御部51は、リクエストが正当なパラメータを含むか否かを判定する(第2判定ステップS5)。言い換えれば、制御部51は、ホワイトリストとリクエストのパラメータとが一致するか否かを判定する。
制御部51は、リクエストのパラメータと記憶部55(第2の記憶部)に格納されているホワイトリストと、が一致しない場合(S5ではNO)に、どのパラメータで一致しないとされたのか等の情報を後に判断するために、障害切り分けを行う(S6)。制御部51は、障害切り分けされた不正なパラメータの情報である不正情報を登録する(S7)。
例えば、図6に示すように、ホワイトリストのパラメータを(x1、x2)とし、リクエストのパラメータを(x1、x2、x3)とした場合に、その判定結果は、x1=正当、x2=正当、x3=不正となる。レスポンスのヘッダには、ありえないパラメータであるx3が存在することを不正情報として登録する。そして、図5に示すように、制御部51は、応答生成部53に不正情報を含むレスポンスを送信する。
応答生成部53は、不正情報を含んだレスポンスを生成する(応答生成ステップS8)。応答生成部53は、ウェブアプリケーションファイアウォール装置3の分析受信部33に不正情報を含んだレスポンス送信する(S9、ウェブアプリケーション装置5の検知方法)。
制御部51は、リクエストのパラメータと記憶部55に格納されているホワイトリストとが一致する場合(S5ではYES)に、正当なパラメータの情報である正当情報として扱う。つまり、このウェブアプリケーション装置5では、制御部51がホワイトリスト方式を採用している。
例えば、図6に示すように、ホワイトリストのパラメータを(y1、y2)とし、リクエストのパラメータを(y1、y2)とした場合に、その判定結果は、y1=正当、y2=正当となる。レスポンスのヘッダには、パラメータ(y1、y2)を含むリクエストを正当情報として登録する(図5のS10)。そして、図5に示すように、制御部51は、応答生成部53に正当情報を含むレスポンスを送信する。
応答生成部53は、正当情報を含んだレスポンスを生成する(応答生成ステップS8)。応答生成部53は、ウェブアプリケーションファイアウォール装置3の分析受信部33に正当情報を送信する(S9、ウェブアプリケーション装置5の検知方法)。
分析受信部33は、応答生成部53からレスポンスを受信する。分析受信部33は、レスポンスに正当情報が含まれているか否かを分析する(S11、分析受信ステップ)。分析受信部33は、正当情報が含まれていない場合(S11ではNO)、つまり、不正情報がレスポンスに含まれている場合に、生成部37に不正情報を送信する。
図1及び図5に示すように、生成部37は、ウェブクライアント9から不正なパラメータを含むリクエストをフィルタリングするために、不正情報に基づくシグネチャを生成する(S12)。また、生成部37は、ステップS3のエラーに基づいて生成部がシグネチャを生成したりもする。生成部37は、生成したシグネチャを規定部39に送信する。
規定部39は、シグネチャに基づいて不正なパラメータを含むリクエストを遮断する規定(ルール)を定義する(S13)。判定部31は、リクエストを遮断する規定を記憶部35に格納する(S14、ウェブアプリケーションファイアウォール装置3の検知方法)。つまり、記憶部35に新たな規定が更新されることで、ウェブアプリケーションファイアウォール装置3の判定部31は、同一のパラメータを含んだリクエストを今後遮断する。
なお、判定部31は、検出された不正なパラメータが検出されたことをウェブクライアント9にエラーを通知してもよい。そして、エラーの通知をウェブクライアント9に送信してもよい。また、なお、分析受信部33は、不正情報を検出した場合に、ウェブクライアント9にレスポンスを送信しない遮断処理を行ってもよい。
分析受信部33は、正当情報を検出した場合(S12ではYES)に、インターフェイス43を介してウェブクライアント9に、リクエストに対応するレスポンスを送信する(S15)。
[作用効果]
次に、本実施の形態に係る検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法の作用効果について説明する。
上述したように、本実施の形態に係る検知システム1では、ウェブクライアント9からのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置3と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置5とを備えている。ウェブアプリケーションファイアウォール装置3は、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信し、リクエストが不正なパラメータを含むか否かを判定する判定部31と、ウェブアプリケーション装置5からリクエストに対応するレスポンスを受信して分析する分析受信部33とを有している。ウェブアプリケーション装置5は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する制御部51と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する応答生成部53とを有している。判定部31は、分析受信部33がレスポンスから不正なパラメータの情報である不正情報を抽出した場合に、パラメータをフィルタリングするためのデータを更新する。応答生成部53は、不正情報を含むレスポンス及び正当なパラメータの情報である正当情報を含むレスポンスを選択的に生成してウェブアプリケーションファイアウォール装置3に送信する。
この構成によれば、判定部31が不正なパラメータを遮断し、制御部51が正当なパラメータを許容することができている。判定部31は、制御部51が抽出した正当なパラメータ以外のパラメータをフィルタリングするためのデータを更新することができている。これにより、ウェブアプリケーション装置5におけるホワイトリスト以外のパラメータを不正情報とし、この不正情報をウェブアプリケーションファイアウォール装置3のブラックリストに追加することができている。また、正当なパラメータを有するリクエストは、判定部31及び制御部51を通過してこのリクエストに対応するレスポンスをウェブクライアント9に送信することができている。
また、この検知システム1では、仮想マシン上や解析用の物理マシン上に、ヒューリスティックエンジンを搭載した攻撃を検出する専用の装置を必要とすることもなく、システム構築に費やすコストが増大し難い。
したがって、未知の攻撃であってもその攻撃を未然に防ぐことができる。また、正当なパラメータを有するリクエストを遮断することを防止することができる。さらに、システム構築に費やすコストを低廉化することができる。
また、本実施の形態に係る検知システム1において、ウェブアプリケーションファイアウォール装置3は、さらに、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している記憶部35と、データを生成する生成部37とを有している。また、分析受信部33は、レスポンスから不正情報を抽出した場合に、不正情報を生成部37に送信する。そして、判定部31は、記憶部35に格納されているデータを更新してリクエストをフィルタリングすることにより、不正なパラメータを含むリクエストを遮断する。
この構成によれば、ウェブアプリケーションファイアウォール装置3とウェブアプリケーション装置5とが連携してシグネチャを自動で更新することができる。シグネチャが自動で更新されていくことで、リクエストを遮断するデータに簡易に反映することができる。
上述したように、本実施の形態に係るウェブアプリケーション装置5では、フィルタリングされたリクエストに対応するレスポンスを送信する。ウェブアプリケーション装置5は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する制御部51と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する応答生成部53とを有している。応答生成部53は、不正なパラメータであると制御部51が判定した場合に、不正なパラメータの情報である不正情報をレスポンスに格納する。応答生成部53は、正当なパラメータであると制御部51が判定した場合に、正当なパラメータの情報である正当情報をレスポンスに格納する。応答生成部53は、不正情報を含むレスポンス又は正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置3に送信する。
この構成によれば、正当なパラメータの情報である正当情報と、正当なパラメータ以外のパラメータを不正なパラメータの情報である不正情報とに振り分けて、ウェブアプリケーションファイアウォール装置3にフィードバックすることができる。
上述したように、本実施の形態に係るウェブアプリケーションファイアウォール装置3では、ウェブクライアント9からのリクエストをフィルタリングする。ウェブアプリケーションファイアウォール装置3は、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信し、リクエストが不正なパラメータを含むか否かを判定する判定部31と、ウェブアプリケーション装置5からレスポンスを受信して分析する分析受信部33と、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している記憶部35と、リクエストから不正なパラメータを遮断するシグネチャを生成する生成部37と、シグネチャから不正なパラメータを遮断する規定を記憶部35に格納する規定部39と、を有している。分析受信部33は、不正なパラメータが抽出された場合に、不正なパラメータを生成部37に送信する。
この構成によれば、ウェブアプリケーションファイアウォール装置3とウェブアプリケーション装置5とが連携してこの規定を自動で更新することができる。ウェブアプリケーションファイアウォール装置3では、この規定が自動で更新されていくことで、リクエストを遮断するデータに簡易に反映することができる。このため、再度、不正なパラメータを含むリクエストがあってもウェブアプリケーションファイアウォール装置3で遮断することができる。その結果、ウェブアプリケーションファイアウォール装置3のフィルタリングを強化することができる。
特に、ウェブアプリケーションファイアウォール装置3では、ウェブアプリケーション装置5の仕様に変更が生じても、この規定を自動で更新することができるため、柔軟な対応を行うことができる。
上述したように、本実施の形態に係る検知システム1における検知方法では、ウェブクライアント9からのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置3と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置5とを備える。ウェブアプリケーションファイアウォール装置3において、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する判定ステップと、ウェブアプリケーション装置5からリクエストに対応するレスポンスを受信して分析する分析受信ステップとを含んでいる。第1判定ステップでは、分析受信部33がレスポンスから不正なパラメータの情報である不正情報を抽出した場合に、パラメータをフィルタリングするためのデータを更新する。検知システム1における検知方法は、さらに、ウェブアプリケーション装置5において、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第2判定ステップと、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する応答生成ステップとを含む。応答生成ステップでは、不正情報を含むレスポンス又は正当なパラメータの情報である正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置3に送信する。
この方法によれば、判定部31が不正なパラメータを遮断し、制御部51が正当なパラメータを許容する。判定部31は、制御部51が抽出した正当なパラメータ以外のパラメータをフィルタリングするためのデータを更新する。これにより、ウェブアプリケーション装置におけるホワイトリスト以外のパラメータを不正情報とし、この不正情報をウェブアプリケーションファイアウォール装置3のブラックリストに追加する。また、正当なパラメータを有するリクエストは、判定部31及び制御部51を通過してこのリクエストに対応するレスポンスをウェブクライアント9に送信する。
また、この検知システム1では、仮想マシン上や解析用の物理マシン上に、ヒューリスティックエンジンを搭載した攻撃を検出する専用の装置を必要とすることもなく、システム構築に費やすコストが増大し難い。
したがって、未知の攻撃であってもその攻撃を未然に防ぐことができる。また、正当なパラメータを有するリクエストを遮断することを防止することができる。さらに、システム構築に費やすコストを低廉化することができる。
上述したように、本実施の形態に係るウェブアプリケーション装置5の検知方法では、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置5を備える。ウェブアプリケーション装置5の検知方法は、ウェブアプリケーション装置5からウェブアプリケーションファイアウォール装置3へリクエストをフィルタリングするための情報をヘッダに含むレスポンスを送信する。
この方法によれば、フィルタリングを行う情報をウェブアプリケーションファイアウォール装置3にフィードバックすることができる。このため、未知の攻撃であってもその攻撃を未然に防ぐことができる。
上述したように、本実施の形態に係るウェブアプリケーションファイアウォール装置3の検知方法では、ウェブクライアントからのリクエストをフィルタリングする。この検知方法では、リクエストをフィルタリングするための情報をヘッダに含むレスポンスをウェブアプリケーション装置5から受信して分析する分析受信部33が、レスポンスから不正なパラメータの情報である不正情報を抽出した場合に、リクエストをフィルタリングするためのデータを更新する。
この方法によれば、ウェブアプリケーション装置5から受信したレスポンスを分析受信部33が分析し、不正情報を抽出してリクエストをフィルタリングするためのデータを更新する。このため、リクエストを遮断する規定を簡易に反映することができる。
(実施の形態2)
次に、本開示の実施の形態2として、本開示に関わる検知システム1について図7及び図8を参照しながら説明する。
[構成]
図7は、実施の形態2の検知システム1におけるウェブアプリケーションファイアウォール装置3を示すブロック図である。図8は、実施の形態2の検知システム1を示す説明図である。
図7に示すように、この検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法における他の構成は、実施の形態1の検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法と同様であり、同一の構成については同一の符号を付して構成に関する詳細な説明を省略する。
実施の形態1の検知システム1では分析受信部33が不正情報を生成部37に送信するが、実施の形態2の検知システム1では分析受信部33が不正情報を生成部37または規定部39に送信する点で異なっている。
図8に示すように、本開示の実施の形態2の検知システム1では、図1のウェブクライアント9がログイン認証のリクエストを送信してきた場合に、ウェブアプリケーションファイアウォール装置3がログイン認証のリクエストに含まれるパラメータをフィルタリングする。このパラメータは、Cookieに登録されている。ウェブアプリケーションファイアウォール装置3は、ログイン認証のリクエストをウェブアプリケーション装置5に送信する。ウェブアプリケーション装置5は、ログイン認証の失敗回数をカウントしてCookieに登録し、Cookieを含むレスポンスをウェブアプリケーションファイアウォール装置3に送信する。ウェブアプリケーションファイアウォール装置3は、図1のウェブクライアント9にレスポンスを送信する。
ウェブアプリケーションファイアウォール装置3は、ログイン認証の失敗回数が所定の回数以上となると、ウェブクライアント9のリクエストをウェブアプリケーションファイアウォール装置3が遮断する。ウェブアプリケーションファイアウォール装置3は、ブラックリストに登録する不正情報を記憶部35に格納し、この図1のウェブクライアント9のリクエストを遮断する。
また、ログイン認証の失敗回数が所定の回数未満でログイン認証が成功した場合は、リクエストに対応するレスポンスを図1のウェブクライアント9に送信する。
[動作]
以上のように構成された検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法について、その動作を以下に説明する。
図9は、実施の形態2の検知システム1における動作を示すシーケンス図である。
図9に示すように、実施の形態1の検知システム1とステップS1〜ステップS10のフローについては、本実施の形態2と同様であるため、説明を省略する。ステップS11では、分析受信部33がレスポンスに正当情報が含まれているか否かを分析する。分析受信部33は、不正情報がレスポンスに含まれている場合(S11ではNO)、生成部37または規定部39に不正情報を送信する。
生成部37は、不正情報を受信し、不正なパラメータを含むリクエストを検出するために、不正情報に基づくシグネチャを生成する(S12)。判定部31は、生成されたシグネチャを記憶部35(第1の記憶部)に格納する。規定部39は、不正情報に基づいて不正なパラメータを含むリクエストを遮断する規定(ルール)を定義する(S13)。判定部31は、リクエストを遮断する規定を記憶部35に格納する(S14)。これにより、記憶部35には新たな規定が更新されることで、ウェブアプリケーションファイアウォール装置3の判定部31は、再度、同一のパラメータを含んだリクエストが送信された場合に、ウェブアプリケーション装置5に送ることなく遮断する。
分析受信部33は、正当情報を検出した場合(S11ではYES)に、インターフェイス43を介してウェブクライアント9に、リクエストに対応するレスポンスを送信する(S15)。
次に、図9における分析受信部33のステップS11、生成部37のステップS12、規定部39のステップS13、及び記憶部35に規定を保存するステップS14を、図10を用いて以下に説明する。
図10は、実施の形態2の検知システム1を示す概念図である。
図10に示すように、リクエストに含まれるパラメータがウェブアプリケーション装置5の制御部51(第2の制御部)で不正情報とされ、分析受信部33にこの不正情報が送信されている状態である。また、図1のウェブクライアント9からのログイン認証の失敗回数は、3回未満とする。ログイン認証が失敗すると、不正情報を含むレスポンスが分析受信部33に送信される。
分析受信部33は、不正情報を含むレスポンスを受信し、レスポンスのヘッダの情報を分析する(S21)。分析受信部33が分析した情報は、不正情報のステップ(S22)と、正当情報のステップ(S23)とに分岐する。ステップS21が図9のステップS11に相当する。分析受信部33は、不正情報を生成部37に送信する。
生成部37は、不正情報のステップから受信した場合(S22)に、不正情報に基づくシグネチャを生成する(S24)。ステップS24が図9のステップS12に相当する。生成部37は、生成したシグネチャを規定部39に送信する。シグネチャには、パラメータ、エラー状態、現在のログイン認証の失敗回数などが格納されている。規定部39は、生成部37で生成した不正情報に基づくシグネチャを定義する(S25)。制御部41(第1の制御部)は、規定部39が生成したこの規定を記憶部35(第1の記憶部)に格納する(S40)。
レスポンスのヘッダの情報を分析(S21)で正当情報を含むレスポンスを受信した分析受信部33のステップS23の場合は、レスポンスのヘッダからログイン認証の結果を分析する(S31)。分析受信部33が分析したログイン認証の結果は、ウェブクライアント9からのログイン認証の許諾(S32)、ウェブクライアント9からのログイン認証の回数が3回以上となったことによるログイン認証の遮断(S33)、ログイン認証の失敗回数(S34)に分岐する。ステップS31も図9のステップS11に相当する。分析受信部33は、ログイン認証の許諾、ログイン認証の遮断、又はログイン認証の失敗回数のいずれかの結果を規定部39に送信する。
規定部39は、分析受信部33から受信し、ログイン認証の許諾(S35)を含むか否かを判断する。ステップS25が図9のステップS13に相当する。規定部39には、ログイン認証の失敗回数が3回未満と設定されている(S36)。規定部39は、ログイン認証の失敗回数が3回未満か否かを判断する(S37)。
ログイン認証の失敗回数が2回未満であれば(S37ではYES)、ログイン認証の失敗回数として1を追加し(S38)、制御部41がユーザのレスポンスに含まれるパラメータを記憶部35に格納する(S40)。ステップS40が図9のステップS14に相当する。制御部41は、ログイン認証の失敗について、ウェブクライアント9に送信する。
また、ステップS38でログイン認証の失敗回数が3回となれば、次に行われるログイン認証でステップS31の分岐がステップS33のログイン認証の遮断となる。この場合、ステップS35〜ステップS37まで進み、ステップS37でNOとなる。制御部41は、ユーザのレスポンスに含まれるパラメータを遮断する規定を登録(S39)し、記憶部35に格納する(S40)。具体的には、ユーザのレスポンスに含まれるパラメータを遮断するために、フィルタリングするための規定を更新する(S40)。これにより、今後、3度目以降のユーザによるログイン認証は遮断される。制御部41は、ログイン認証の失敗について、ウェブクライアント9に送信する。
規定部39は、ウェブクライアント9からのログイン認証が許諾である場合(S35ではYES)に、記憶部35の規定を更新する(S40)。また、例えば、正当情報を含むレスポンスにおいてログイン認証が1回目で成功した場合は、ステップS31の分岐がステップS32のログイン認証の許諾となり、ステップS35でYESとなる。そして、記憶部35に規定が更新される。なお、ログイン認証が1回目で成功した場合は、規定部39を介さずにステップS32でウェブクライアントにログイン認証の許諾のレスポンスを送信してもよい。
なお、ログイン認証が許諾の場合には、記憶部35に格納されているログイン認証の失敗回数をクリアにするよう、記憶部35に信号を送信してもよい。そして、記憶部35は、失敗回数が0になった情報が更新させてもよい。
実施の形態2においても、他の作用効果については、実施の形態1と同様の作用効果を奏する。
(その他変形例等)
以上、本実施の形態に係る検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法について、実施の形態1、2に基づいて説明したが、本開示は、上記実施の形態1、2に限定されるものではない。
図11は、検知システムにおけるウェブアプリケーション装置の制御部の判定を示す説明図である。図11に示すように、上記実施の形態1、2において、ウェブアプリケーション装置の仕様を変更してホワイトリストのパラメータを図6の場合よりもパラメータy3を追加した場合で、リクエストのパラメータがy1、y2の場合に、制御部の判定結果は、y3のパラメータが無いとされる。この場合でも、制御部は、レスポンスヘッダにy3のパラメータを正当情報として登録してもよい。
なお、実施の形態1、2では、ブラックリストにパラメータが登録されても、このパラメータをブラックリストから削除(判定部によるフィルタリングの解除)することができてもよい。また、ホワイトリストについても、ホワイトリストを追加、変更等を行うことができてもよい。
以上のように、本開示における技術の例示として、実施の形態1、2を説明した。そのために、添付図面および詳細な説明を提供した。
したがって、添付図面および詳細な説明に記載された構成要素の中には、課題解決のために必須な構成要素だけでなく、上記技術を例示するために、課題解決のためには必須でない構成要素も含まれ得る。そのため、それらの必須ではない構成要素が添付図面や詳細な説明に記載されていることをもって、直ちに、それらの必須ではない構成要素が必須であるとの認定をするべきではない。
また、上述の実施の形態1、2は、本開示における技術を例示するためのものであるから、特許請求の範囲またはその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。
本開示は、情報の送受信を行う、テレビ、冷蔵庫等の家電機器、車両等が備える検知システム等として有用である。
1 検知システム
3 ウェブアプリケーションファイアウォール装置
5 ウェブアプリケーション装置
31 判定部
33 分析受信部
35 記憶部(第1の記憶部)
37 生成部
39 規定部
41 制御部(第1の制御部)
51 制御部(第2の制御部)
53 応答生成部
55 記憶部(第2の記憶部)

Claims (8)

  1. ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされた前記リクエストに対応するレスポンスを送信するウェブアプリケーション装置と、を備え、
    前記ウェブアプリケーションファイアウォール装置は、
    前記ウェブクライアントから送られてきたパラメータを含む前記リクエストを受信し、前記リクエストが正当か否かを判定する第1の制御部と、
    前記ウェブアプリケーション装置から前記フィルタリングされたリクエストに対応する前記レスポンスを受信して分析する分析受信部と、を有し、
    前記ウェブアプリケーション装置は、
    前記ウェブアプリケーションファイアウォール装置から送信されてくる前記フィルタリングされたリクエストを受信し、前記ウェブアプリケーション装置の仕様に応じて追加、変更、若しくは削除される正当な前記パラメータの情報である正当情報が格納されたホワイトリストを用いて、前記フィルタリングされたリクエストが正当か否かを判定する第2の制御部と、
    前記フィルタリングされたリクエストに対応する前記レスポンスを生成し、前記ウェブアプリケーションファイアウォール装置に前記レスポンスを送信する応答生成部と、を有し、
    前記フィルタリングされたリクエストに対する前記レスポンスは、前記フィルタリングされたリクエストが正当か否かの判定結果を含み、
    前記第1の制御部は、前記パラメータを含む前記リクエストを受信し、前記リクエストが不正な前記パラメータを含むか否かを判定する判定部と、
    前記ウェブクライアントの不正な前記パラメータを含む前記リクエストをフィルタリングするためのデータを格納している第1の記憶部と、
    前記データを生成する生成部と、を備え、
    前記判定部は、前記分析受信部が前記レスポンスから不正な前記パラメータの情報である不正情報を抽出した場合に、前記第1の記憶部に格納されている前記データを更新して前記リクエストをフィルタリングすることにより、不正な前記パラメータを含む前記リクエストを遮断し、
    前記分析受信部は、前記レスポンスから前記不正情報を抽出した場合に、前記不正情報を
    前記生成部に送信し、
    前記生成部は、前記不正情報や前記不正な前記パラメータから前記データを生成する
    検知システム。
  2. 前記第2の制御部は、前記ウェブアプリケーションファイアウォール装置から送信されてくる前記パラメータを含む前記フィルタリングされたリクエストを受信し、前記ホワイトリストを用いて、前記フィルタリングされたリクエストが正当な前記パラメータを含むか否かを判定し、
    前記応答生成部は、前記不正情報を含む前記レスポンス及び前記正当情報を含む前記レスポンスを選択的に生成して前記ウェブアプリケーションファイアウォール装置に送信する請求項1に記載の検知システム。
  3. フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置であって、
    ウェブアプリケーションファイアウォール装置から送信されてくるパラメータを含む前記フィルタリングされたリクエストを受信し、前記ウェブアプリケーション装置の仕様に応じて追加、変更、若しくは削除される正当な前記パラメータの情報である正当情報が格納されたホワイトリストを用いて、前記フィルタリングされたリクエストが正当な前記パラメータを含むか否かを判定する第2の制御部と、
    前記フィルタリングされたリクエストに対応する前記レスポンスを生成し、前記ウェブアプリケーションファイアウォール装置に前記レスポンスを送信する応答生成部と、を有し、
    前記応答生成部は、不正な前記パラメータであると前記第2の制御部が判定した場合に、不正な前記パラメータの情報である不正情報を前記レスポンスに格納し、正当な前記パラメータであると前記第2の制御部が判定した場合に、正当な前記パラメータの情報である正当情報を前記レスポンスに格納し、
    前記応答生成部は、前記不正情報を含む前記レスポンス又は前記正当情報を含む前記レスポンスを生成して前記ウェブアプリケーションファイアウォール装置に送信する
    ウェブアプリケーション装置。
  4. ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置であって、
    前記ウェブクライアントから送られてきた前記リクエストを受信し、前記リクエストが正当か否かを判定する第1の制御部と、
    ウェブアプリケーション装置からレスポンスを受信して分析する分析受信部と、
    前記ウェブクライアントの前記リクエストを遮断するためのデータを格納している第1の記憶部と、を備え、
    前記第1の制御部は、
    前記ウェブクライアントから送られてきたパラメータを含む前記リクエストを受信し、前記リクエストが不正な前記パラメータを含むか否かを判定する判定部と、
    前記リクエストから不正な前記パラメータを遮断するシグネチャを生成する生成部と、
    前記シグネチャから不正な前記パラメータを遮断する規定を前記第1 の記憶部に格納する規定部と、を有し、
    前記分析受信部は、前記ウェブアプリケーション装置から送られてきた、前記ウェブアプリケーション装置の仕様に応じて追加、変更、若しくは削除される正当な前記パラメータの情報である正当情報が格納されたホワイトリストを用いて正当か否かが判定されたリクエストに対する前記レスポンスから不正情報が抽出された場合に、前記不正情報を前記生成部に送信する
    ウェブアプリケーションファイアウォール装置。
  5. 前記分析受信部は、前記ウェブアプリケーション装置から送られてきた前記レスポンス中の不正情報が抽出された場合に、前記不正情報を前記生成部または前記規定部に送信する請求項4記載のウェブアプリケーションファイアウォール装置。
  6. ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされた前記リクエストに対応するレスポンスを送信するウェブアプリケーション装置とを備える検知システムにおける検知方法であって、 前記ウェブアプリケーションファイアウォール装置において、
    前記ウェブクライアントから送られてきたパラメータを含む前記リクエストを受信し、前記リクエストが正当な前記パラメータを含むか否かを判定する第1判定ステップと、
    前記ウェブアプリケーション装置から前記フィルタリングされたリクエストに対応する前記レスポンスを受信して分析する分析受信ステップと、を含み、
    前記第1判定ステップでは、前記分析受信ステップで前記レスポンスから不正な前記パラメータの情報である不正情報を抽出した場合に、前記パラメータをフィルタリングするためのデータを更新し、
    検知システムにおける検知方法は、さらに、前記ウェブアプリケーション装置において、前記ウェブアプリケーションファイアウォール装置から送信されてくる前記パラメータを含む前記フィルタリングされたリクエストを受信し、前記ウェブアプリケーション装置の仕様に応じて追加、変更、若しくは削除される正当な前記パラメータの情報である正当情報が格納されたホワイトリストを用いて、前記フィルタリングされたリクエストが正当な前記パラメータを含むか否かを判定する第2判定ステップと、
    前記フィルタリングされたリクエストに対応するレスポンスを生成し、前記ウェブアプリケーションファイアウォール装置に前記レスポンスを送信する応答生成ステップと、を含み、
    前記応答生成ステップでは、前記不正情報を含む前記レスポンス又は正当な前記パラメータの情報である正当情報を含む前記レスポンスを生成して前記ウェブアプリケーションファイアウォール装置に送信する
    検知システムにおける検知方法。
  7. フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置の検知方法であって、
    ウェブアプリケーションファイアウォール装置から送信されてくるパラメータを含む前記フィルタリングされたリクエストを受信し、前記ウェブアプリケーション装置の仕様に応じて追加、変更、若しくは削除される正当な前記パラメータの情報である正当情報が格納されたホワイトリストを用いて、前記フィルタリングされたリクエストが正当な前記パラメータを含むか否かを判定する第2の制御ステップと、
    前記フィルタリングされたリクエストに対応する前記レスポンスを生成し、前記ウェブアプリケーションファイアウォール装置に前記レスポンスを送信する応答生成ステップと、含み、
    前記応答生成ステップは、不正な前記パラメータであると前記第2の制御ステップが判定した場合に、不正な前記パラメータの情報である不正情報を前記レスポンスに格納し、正当な前記パラメータであると前記第2の制御ステップが判定した場合に、正当な前記パラメータの情報である正当情報を前記レスポンスに格納し、
    前記応答生成ステップは、前記不正情報を含む前記レスポンス又は前記正当情報を含む前記レスポンスを生成して前記ウェブアプリケーションファイアウォール装置に送信する
    ウェブアプリケーション装置の検知方法。
  8. ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置の検知方法であって、
    前記ウェブクライアントから送られてきた前記リクエストを受信し、前記リクエストが正
    当か否かを判定する第1の制御ステップと、
    ウェブアプリケーション装置からレスポンスを受信して分析する分析受信ステップと、を含み、
    前記第1の制御ステップは、前記ウェブクライアントから送られてきたパラメータを含む前記リクエストを受信し、前記リクエストが不正な前記パラメータを含むか否かを判定する判定ステップと、
    前記リクエストから不正な前記パラメータを遮断するシグネチャを生成する生成ステップと、
    前記シグネチャから不正な前記パラメータを遮断する規定を前記第1の記憶部に格納する規定ステップと、を含み、
    前記分析受信ステップは、前記ウェブアプリケーション装置から送られてきた、前記ウェブアプリケーション装置の仕様に応じて追加、変更、若しくは削除される正当な前記パラメータの情報である正当情報が格納されたホワイトリストを用いて正当か否かが判定されたリクエストに対する前記レスポンスから不正情報が抽出された場合に、前記不正情報を前記生成ステップに送信する
    ウェブアプリケーションファイアウォール装置の検知方法。
JP2018502586A 2016-02-29 2017-01-24 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 Active JP6709909B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP2016038448 2016-02-29
JP2016038448 2016-02-29
JP2016082462 2016-04-15
JP2016082462 2016-04-15
PCT/JP2017/002250 WO2017150003A1 (ja) 2016-02-29 2017-01-24 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法

Publications (2)

Publication Number Publication Date
JPWO2017150003A1 JPWO2017150003A1 (ja) 2018-12-27
JP6709909B2 true JP6709909B2 (ja) 2020-06-17

Family

ID=59742719

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018502586A Active JP6709909B2 (ja) 2016-02-29 2017-01-24 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法

Country Status (4)

Country Link
US (1) US20180351913A1 (ja)
JP (1) JP6709909B2 (ja)
DE (1) DE112017001052T5 (ja)
WO (1) WO2017150003A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10805269B2 (en) * 2017-02-17 2020-10-13 Royal Bank Of Canada Web application firewall
TW202010325A (zh) * 2018-08-10 2020-03-01 華創車電技術中心股份有限公司 車載設備單元之資訊系統及車載資訊處理方法
JP7157200B1 (ja) * 2021-03-31 2022-10-19 エヌ・ティ・ティ・コミュニケーションズ株式会社 分析装置、分析方法及び分析プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3723076B2 (ja) * 2000-12-15 2005-12-07 富士通株式会社 不正侵入防御機能を有するip通信ネットワークシステム
JP2007004685A (ja) 2005-06-27 2007-01-11 Hitachi Ltd 通信情報監視装置
JP2008017179A (ja) * 2006-07-06 2008-01-24 Nec Corp アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
JP2010026547A (ja) * 2008-07-15 2010-02-04 Fujitsu Ltd ファイアウォール負荷分散方法及びファイアウォール負荷分散システム
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system

Also Published As

Publication number Publication date
US20180351913A1 (en) 2018-12-06
JPWO2017150003A1 (ja) 2018-12-27
WO2017150003A1 (ja) 2017-09-08
DE112017001052T5 (de) 2018-11-29

Similar Documents

Publication Publication Date Title
KR102206562B1 (ko) 원격 실행 코드 기반 노드의 제어 플로우 관리 시스템 및 그에 관한 방법
Shah et al. A survey on Classification of Cyber-attacks on IoT and IIoT devices
US20230035336A1 (en) Systems and methods for mitigating and/or preventing distributed denial-of-service attacks
US10452853B2 (en) Disarming malware in digitally signed content
US9660960B2 (en) Real-time reconfigurable web application firewall for a distributed platform
US8302198B2 (en) System and method for enabling remote registry service security audits
US8683588B2 (en) Method of and apparatus for monitoring for security threats in computer network traffic
US20190207772A1 (en) Network scan for detecting compromised cloud-identity access information
US7950056B1 (en) Behavior based processing of a new version or variant of a previously characterized program
JP5987627B2 (ja) 不正アクセス検出方法、ネットワーク監視装置及びプログラム
JP2009543163A (ja) ソフトウェア脆弱性悪用防止シールド
WO2015134034A1 (en) Network security for encrypted channel based on reputation
JP6709909B2 (ja) 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法
JP2006262019A (ja) ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置
CN111935095A (zh) 一种源代码泄露监控方法、装置及计算机存储介质
WO2016162687A1 (en) Detecting 'man-in-the-middle' attacks
CN106209907B (zh) 一种检测恶意攻击的方法及装置
CN117155716B (zh) 访问校验方法和装置、存储介质及电子设备
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
JP6814659B2 (ja) 情報処理システム及び情報処理方法
Kfouri et al. Design of a Distributed HIDS for IoT Backbone Components.
CN114422248A (zh) 一种攻击处理方法、系统、网络安全设备及存储介质
KR100695489B1 (ko) 프로파일링 기반 웹 서비스 보안 시스템 및 그 방법
JP2016021621A (ja) 通信システム及び通信方法
JP2009037651A (ja) セキュリティ管理システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180723

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190121

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20190124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191107

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200407

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200420

R151 Written notification of patent or utility model registration

Ref document number: 6709909

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

SZ03 Written request for cancellation of trust registration

Free format text: JAPANESE INTERMEDIATE CODE: R313Z03