JP6902037B2 - パターンマッチングベースのデータセット抽出 - Google Patents
パターンマッチングベースのデータセット抽出 Download PDFInfo
- Publication number
- JP6902037B2 JP6902037B2 JP2018538236A JP2018538236A JP6902037B2 JP 6902037 B2 JP6902037 B2 JP 6902037B2 JP 2018538236 A JP2018538236 A JP 2018538236A JP 2018538236 A JP2018538236 A JP 2018538236A JP 6902037 B2 JP6902037 B2 JP 6902037B2
- Authority
- JP
- Japan
- Prior art keywords
- captured
- data
- subset
- framework
- matched
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000605 extraction Methods 0.000 title description 10
- 230000006870 function Effects 0.000 claims description 251
- 238000000034 method Methods 0.000 claims description 208
- 230000008569 process Effects 0.000 claims description 106
- 238000012545 processing Methods 0.000 claims description 64
- 230000000694 effects Effects 0.000 claims description 36
- 238000012544 monitoring process Methods 0.000 claims description 29
- 239000000284 extract Substances 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 11
- 230000002596 correlated effect Effects 0.000 claims description 8
- 239000010979 ruby Substances 0.000 claims description 8
- 229910001750 ruby Inorganic materials 0.000 claims description 8
- 239000000523 sample Substances 0.000 claims description 8
- 230000014509 gene expression Effects 0.000 claims description 4
- 238000007792 addition Methods 0.000 claims description 3
- 238000010801 machine learning Methods 0.000 description 27
- 239000003795 chemical substances by application Substances 0.000 description 18
- 238000010586 diagram Methods 0.000 description 16
- 238000004891 communication Methods 0.000 description 13
- 230000006399 behavior Effects 0.000 description 9
- 238000005259 measurement Methods 0.000 description 9
- 239000004744 fabric Substances 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 230000006835 compression Effects 0.000 description 6
- 238000007906 compression Methods 0.000 description 6
- 230000000875 corresponding effect Effects 0.000 description 5
- 241000287219 Serinus canaria Species 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 244000035744 Hura crepitans Species 0.000 description 3
- 230000001186 cumulative effect Effects 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004883 computer application Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000032258 transport Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000002354 daily effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000010419 fine particle Substances 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000007790 scraping Methods 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2457—Query processing with adaptation to user needs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Description
本明細書で引用する全ての特許、特許出願公報及び参考文献の全教示内容は、参照をもって本明細書に取り入れたものとする。
図2に、セキュリティ攻撃に対して脆弱であり得る例示的なウェブフェーシングアプリケーションインフラストラクチャを示す。当該インフラストラクチャは、遠隔のウェブクライアント220を含む。ウェブクライアント220からユーザ又はマシンが、特定のウェブサイトでのトランザクションを実行するためのウェブ要求を生成する。当該ユーザ又はマシンはそのウェブ要求を、URLを入力したり当該ユーザのためにURLを入力するグラフィカルな選択肢を選択したりすることによって生成できる。ウェブクライアント220がそのウェブ要求を(例えば、HTTP、SOAP、REST、他の規格化された又は規格化されていない要求等として)ウェブサーバ240に送信して、当該ウェブサーバ240はそのウェブ要求を、他の大量のユーザからのウェブ要求と共にデータストリームとして受信できる。ウェブサーバ240は、当該データストリームを処理するアプリケーションサーバ260に動作可能に接続されている。ウェブサーバ240およびアプリケーションサーバ260は、バイナリ(Binary)、.NET、JAVA、PHP、Ruby、Pythonなどを含むがこれらに限定されないウェブフェーシングアプリケーションフレームワークタイプで構成されている。当該ウェブフェーシングアプリケーションフレームワークは、プレゼンテーションロジック層、ビジネスロジック層、データロジック層などを含むがこれらに限定されない複数のロジック層に分けられている可能性がある。
図4は、本発明の実施形態における暗号化されていないデータストリームでのパターンマッチングベースのデータセット抽出のブロック図である。図4では、パケットキャプチャアプリケーション(パケット捕捉アプリケーション)つまりツール302が、前記フレームワークの前記処理パイプライン(フレームワーク入力310)に到達する、データ1を含む大量のデータの入力データストリーム305を捕捉するように構成されている。図4にはWiresharkパケットキャプチャツールの使用が描かれているが、他の実施形態では任意の他のパケットキャプチャツール/アプリケーションが使用されてもよく、特に制限はない。当該パケットキャプチャツール/アプリケーションは、データ1を含むデータストリーム305からの生データパケットを、前記フレームワークのタイプに基づいて捕捉する。例えば、特定のフレームワーク(例えば、PHP等)のデータパケットは特定のデータヘッダ又は他の特定のフィールドを含んでもよく、当該特定のデータヘッダ又は他の特定のフィールドが前記パケットキャプチャツール/アプリケーションによって認識され(リッスンされ)てもよい。当該パケットキャプチャツール/アプリケーションは、捕捉された前記生データパケットからのデータ(例えば、TCPデータ等)の一部(Pm)を、記録および処理のために、パターンマッチング/機械学習エンジン360に送信する。一部の実施形態では、当該データが、パイプなどのストリーミングトランスポートを用いてパターンマッチング/機械学習エンジン360に送信されてもよい。パターンマッチング/機械学習エンジン360が、データの一部から、ユーザ、セッション情報、通信プロトコル、IPアドレス、ポート番号、トラフィック方向などを含むがこれらに限定されない特定のデータアイテムを抽出してもよい。
パターンマッチング/機械学習エンジン360は、さらに、関係データ1セットのデータセット350を関係データ2セットのデータセット355と相関させてもよい。パターンマッチング/機械学習エンジン360は当該相関を、前記フレームワークのプロセス又はスレッド間の通信用に構成されたコンテキストデータ構造を利用することによって行ってもよい。このようなコンテキストデータ構造は、ウェブフェーシングアプリケーションフレームワークの処理パイプラインにおいて用いられる。プロファイラ312、プロファイラ322または動作可能に接続されたコンピュータアプリケーションが、これらのコンテキストデータ構造に、データ1を処理するのに用いられるプロセス/スレッドを、データ2を処理するのに用いられるプロセス/スレッドへと追跡することを可能にする特定情報(例えば、ユーザ、セッションなどの情報等)を挿入してもよい。前記プロファイラは、データ2を含むデータストリーム325,335により起動される関数又はデータベースクエリを捕捉するときに、関連するプロセス/スレッドおよび挿入された対応する特定情報も捕捉してもよい。プロファイラ312,322はこれらのプロセス/スレッドおよび対応する特定情報もパターンマッチング/機械学習エンジン360に送信し、当該パターンマッチング/機械学習エンジン360で当該プロセス/スレッドおよび特定情報が、対応するデータセット内に記録されて且つ当該データセット内の関連する関数やデータベースクエリに対してマッピングされる。パターンマッチング/機械学習エンジン360は、データセット2のデータ/関数に対してマッピングされた前記特定情報を、データセット1のデータ/関数に対してマッピングされた前記特定情報(あるいは、データセット1のデータ/関数のフィールド/パラメータ)と照合させることにより、データセット2の関数/クエリに関連するデータセット1のデータ/関数を突き止めてもよい。
図5は、本発明の実施形態における暗号化されたデータストリームでのパターンマッチングベースのデータセット抽出のブロック図である。図5の実施形態では、前記フレームワークに到達する、データ1を含むデータストリーム505が暗号化されている。パケットキャプチャツール302は、暗号化された前記データストリームを、前記フレームワークに到達する前にインターセプトする。そして、暗号変換モジュール510がデータストリーム505を、復号された同等のデータストリーム305に変換するように構成されている。暗号変換モジュール510は、前記フレームワークにより使用されている暗号化プロトコル(例えば、SSL等)を突き止めることによりこのような変換を行い、前記データストリームのデータパケットを、突き止められた前記暗号化プロトコルに従ってクリアテキストへと復号してもよい。暗号変換モジュール510は、データストリーム505の前記データパケットの復号を実行するために、ライブラリ関数(例えば、ssl_read、ssl_write等)、アプリケーションプログラミングインターフェース(API)関数、および突き止められた前記暗号化プロトコルに関係する他のこのような機能を参照してもよい。復号されたデータストリーム305は、前記フレームワーク(フレームワーク入力310)に到達すると(パケットキャプチャツールではなく)プロファイラ308により捕捉される。データストリーム305は、スケーラビリティの目的で前記フレームワークの端で復号される。つまり、本発明の実施形態では、前記フレームワークの端で復号を実行することにより、所与のフレームワークとアクセスの種類(HTTP、REST、SOA、非規格など)とを用いるどのようなビジネスロジックにも対処することができる。データ1を含む復号されたデータストリーム305は、図4で説明したものと同じ様式で引き続き前記フレームワークの前記処理パイプライン内を進む。
図4または図5で得られた前記データセットは、前記フレームワークの様々なステージ(エンドツーエンド)にわたって前記アプリケーションの活動を探査してサイバー攻撃を検知するのに用いられてもよい。得られた当該データセットに基づいて解析エンジンが、特定のウェブフェーシングアプリケーションの活動を監視・探査するために前記フレームワークの計測されたコードを経由して、特定の関数およびデータベースクエリをリッスンするようにチューニングされてもよい。このようにして当該解析エンジンは、前記データストリームにおけるノイズを除去して、前記アプリケーションにおいてユーザデータを処理する特定の関数(又はメソッド)、スレッドおよびメモリアクセスのみに集中してもよく、つまりこのようなものだけを選別してもよい。また、前記データセットは、当該データセット内に記録された、パケット、関数、データベースクエリ、スレッド及びメモリアクセスに関係するコンテキストに基づき、当該パケット、関数、データベースクエリ、スレッドおよびメモリアクセスの、データパラメータ及びフィールドを探査してもよい。さらに、前記データセットに基づいて前記解析エンジンは、前記フレームワークにわたって活動を、特定のユーザ、セッションなどに関して追跡および探査するようにチューニングされてもよい。
図6は、本発明の実施形態におけるパターンマッチングベースのデータセット抽出の例示的な方法600を示すフローチャートである。図6の方法は、ステップ610で、ウェブフェーシングアプリケーションのフレームワークで受信したデータストリームを捕捉することによって開始する。当該方法はパケットキャプチャツールを用いて、前記アプリケーションの前記フレームワーク固有のデータパケットを待ち受けて(リッスンして)且つ当該データパケットの特定のデータ部分(データの一部)(例えば、TCPデータ等)を抽出してもよい。次に当該方法は、ステップ620で、ビジネスロジックが処理する前の前記データストリームを処理するように前記フレームワークによって起動される、第1のセットの関数(又はメソッド)(第1の関数セット又は第1のメソッドセット)、スレッドIDおよびメモリアクセスを捕捉する。次に当該方法は、ステップ625で、前記ビジネスロジックが処理した後の前記データストリームを処理するように前記フレームワークによって起動される、第2のセットの関数(又はメソッド)(第2の関数セット又は第2のメソッドセット)、スレッドIDおよびメモリアクセスを捕捉する。一部の実施形態では、当該方法が、さらに、前記フレームワークの各方向における最後の関数を、前記第1および第2のセットの関数の一部として捕捉してもよい。捕捉された当該関数がデータのフラグメントを取り扱うものである場合には、当該方法が、さらに、前記処理パイプラインにおける当該関数のその前の関数とその次の関数とを捕捉してもよい。当該方法はステップ620で、さらに、捕捉されたセットの関数の、パラメータ、スレッドID、メモリアクセス、このようなアクセスのコンテンツおよび関連するデータを抽出してもよい。そして、当該方法は、ステップ630で、前記フレームワークにより生成された、バックエンドデータベースをクエリするデータベースサーバへの、ネットワークを介したデータベースクエリ、スレッドIDおよびメモリアクセスを捕捉する。当該方法はステップ630で、さらに、捕捉されたデータベースクエリにおける、表現式(式)、フィールドおよび関連するデータも捕捉してもよい。当該方法は、プロファイラを用いて前記第1および第2のセットの関数を捕捉し(ステップ620およびステップ625)、第2のパケットキャプチャツールを用いて前記データベースクエリを捕捉してもよい(ステップ630)。
図7Aは、例示的なアプリケーション実行時監視解析(ARMAS)インフラストラクチャの上位レベルブロック図である。図2〜図6のシステムおよび方法から生成された前記データセットは、特定のアプリケーションに関係する活動を監視および解析するように解析エンジン737をチューニングするのに用いられてもよい。このインフラストラクチャは、スマートフォン、タブレット、ラップトップ及びデスクトップからハイエンドサーバにわたるコンピュータ装置を含む、各種ハードウェアで構成されてもよい。図7Aに示すように、監視エージェント702により実行されるデータ収集は、解析エンジン737により実行される解析から切り離されてもよく、これにより前記アプリケーションがオーバーヘッドとなってその性能が低下するのを抑制する。前記インフラストラクチャは、マルウェア攻撃に対する防御をハッカーが破るのを阻止することを可能にする。監視エージェント702は、ロードタイム及び実行時にデータを収集するようにアプリケーションと相互作用する。一部の実施形態では、監視エージェント702が、前記アプリケーションのフレームワークで受信されて処理されるデータストリームを捕捉する図4および図5の前記パケットキャプチャツールおよびプロファイラであってもよい。また、監視エージェント702は、捕捉された前記データストリームからデータセットを生成するために、パターンマッチング/機械学習エンジンと通信してもよい。
1.GUI
2.監視・解析エンジン
3.クライアントメッセージルータ
4.ストリーミングエンジン
5.クライアント側デーモン
6.CLIエンジン
7.クライアントウォッチドッグ
8.クライアント圧縮ブロック
9.クライアントiWarpイーサネットドライバ(100Mb/1Gb/10Gb)
[各PCIカードエンティティ(開始アドレス=20+n*20)]
20.セキュラライザTOEブロック
21.セキュラライザPCIブリッジ
22.解凍ブロック
23.メッセージ検証ブロック
24.パケットハッシングブロック
25.タイムスタンピングブロック
26.メッセージタイムアウトタイマブロック
27.統計カウンタブロック
28.セキュラライザクエリルータエンジン
29.セキュラライザアシスト
[セキュラライザホストエンティティ]
200.セキュラライザPCIeドライバ
201.ホストルーティングエンジン
202.コンテンツ解析エンジン
203.ログマネージャ
204.デーモン
205.ウェブエンジン
206.ウォッチドッグ
207.IPCメッセージングバス
208.構成データベース
209.ログデータベース
[SIEMコネクタ]
220.SIEMコネクタ1−Virsec Dashboard(ダッシュボード)
221.SIEMコネクタ2−HP ArcSight
222.SIEMコネクタ3−IBM QRadar
223.SIEMコネクタ4−Alien Vault USM
[セキュラライザインフラストラクチャエンティティ]
230.Virsecダッシュボード
231.SMTPサーバ
232.LDAPサーバ
233.SMSサーバ
234.エンタイトルメントサーバ
235.データベースバックアップサーバ
236.OTPクライアント
237.OTPサーバ
238.チェックサムサーバ
239.チケッティングサーバ
240.Virsecルールサーバ
241.Virsecアップデートサーバ
[全てのユーザアプリケーション]
255.ユーザアプリケーション(アプリケーションPIDが、クエリを発行するアプリケーションを特定するのに使用される。)
図8に、本発明の実施形態が実現可能なコンピュータネットワーク又は同様のデジタル処理環境を示す。
なお、本発明は、実施の態様として以下の内容を含む。
〔態様1〕
コンピュータに実装される方法であって、
ウェブフェーシングアプリケーションのフレームワークで受信されたデータストリームを捕捉する過程と、
前記データストリームを処理する前記フレームワークによって起動される関数の第1の関数セットを捕捉する過程と、
捕捉された前記第1の関数セットのサブセットを、捕捉された前記データストリームのデータパケットと照合する過程と、
捕捉された前記第1の関数セットのうちの適合した前記サブセットと前記データパケットのデータとを、データセットに抽出する過程と、
セキュリティ攻撃を検知するために、抽出された前記データセットに基づいて前記ウェブフェーシングアプリケーションの活動を探査する過程と、
を備える、方法。
〔態様2〕
態様1に記載の方法において、さらに、
前記データストリームを処理する前記フレームワークによって起動される関数の第2の関数セットを捕捉する過程と、
データベースサーバへのデータベースクエリであって、前記フレームワークにより生成されるデータベースクエリを捕捉する過程と、
捕捉された少なくとも1つの前記データベースクエリを、捕捉された前記第2の関数セットのサブセットと照合する過程と、
捕捉されたデータベースクエリであって、適合した少なくとも1つの前記データベースクエリと、捕捉された前記第2の関数セットのうちの適合した前記サブセットとを、抽出された前記データセットに抽出する過程と、
を備える、方法。
〔態様3〕
態様2に記載の方法において、さらに、
適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および前記少なくとも1つのデータベースクエリの間の関係を相関させる過程であって、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセットおよび前記少なくとも1つのデータベースクエリを処理するのに用いられるスレッドを追跡することに基づく、相関させる過程と、
前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および前記少なくとも1つのデータベースクエリを、相関された前記関係に基づいてマッピングする過程と、
前記ウェブフェーシングアプリケーションの活動を、抽出された前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および前記少なくとも1つのデータベースクエリの前記マッピングに基づいて探査する過程と、
を備える、方法。
〔態様4〕
態様3に記載の方法において、捕捉された前記少なくとも1つのデータベースクエリを照合する前記過程が、前記第2の関数セットの捕捉された前記サブセットにおける少なくとも1つの捕捉された関数のパラメータのデータを、捕捉された前記少なくとも1つのデータベースクエリの表現式のデータとパターン照合することを含む、方法。
〔態様5〕
態様3に記載の方法において、前記活動を探査する前記過程が、さらに、
前記ウェブフェーシングアプリケーションのフレームワークで受信されたデータパケットを実行時に捕捉すること、
抽出された前記データセット内における、捕捉された前記第1の関数セットのうちの適合した前記サブセットおよび捕捉された前記第2の関数セットのうちの適合した前記サブセットそれぞれの起動される関数を前記データセット内に捕捉し、捕捉された前記データベースクエリそれぞれの起動されるデータベースクエリを前記データセット内に実行時に捕捉すること、
前記第1の関数セットの起動される関数ごとに、前記第2の関数セットのマッピングされた前記サブセットの起動と、マッピングされた前記少なくとも1つのデータベースクエリの起動とがないかを調べること、
前記第2の関数セットのマッピングされた前記サブセットとマッピングされた少なくとも1つのデータクエリとのうちの少なくとも一方が起動されない場合にセキュリティ攻撃と断定すること、
を含む、方法。
〔態様6〕
態様2に記載の方法において、(i)前記第1の関数セットの前記サブセットが、前記フレームワークのビジネスロジック層へのインターフェースで前記フレームワークによって起動され、(ii)前記第2の関数セットの前記サブセットが、前記フレームワークの前記ビジネスロジック層からのインターフェースで前記フレームワークによって起動される、方法。
〔態様7〕
態様1に記載の方法において、捕捉された前記第1の関数セットの前記サブセットを照合する前記過程が、捕捉された前記第1の関数セットの前記サブセットにおける少なくとも1つの捕捉された関数のパラメータにおけるデータを、前記データパケットのフィールドのデータとパターン照合することを含む、方法。
〔態様8〕
態様1に記載の方法において、データストリームを捕捉する前記過程が、さらに、前記データストリームを前記フレームワークのプロトコル構成に基づいて復号することを含む、方法。
〔態様9〕
態様1に記載の方法において、さらに、
前記データストリームの処理から、ユーザ、ユーザデータ、セッション情報、IPアドレス、ポート番号、プロトコルコンテキスト、スレッドID、スレッドコンテキスト、メモリへの読み書きの命令のアドレス、オペレートされるメモリの範囲、およびトラフィック方向のうちの少なくとも1つを、前記ウェブフェーシングアプリケーションの活動を探査するために、抽出された前記データセットに抽出する過程、
を備える、方法。
〔態様10〕
態様1に記載の方法において、前記フレームワークが、バイナリ言語、.NET言語、JAVA(登録商標)言語、PHP言語、Ruby言語およびPython言語のうちの少なくとも1つに従って構成されている、方法。
〔態様11〕
態様1に記載の方法において、さらに、
前記フレームワークにおける前記データストリームの処理の間に各メモリアクセスのコンテンツを捕捉する過程と、
捕捉された前記第1の関数セットおよび捕捉された第2の関数セットの命令であって、ユーザデータを処理するのに用いられる命令を特定するように、抽出された前記データセットを捕捉された各メモリアクセスと比較する過程と、
特定された前記命令のチェーンを作成する過程であって、作成された前記チェーンは、前記ウェブフェーシングアプリケーションにおける脆弱性を表すように前記データセットに抽出される、過程と、
前記作成されたチェーンを監視することにより、実行時に前記ウェブフェーシングアプリケーションの前記活動を探査する過程であって、捕捉された各関数の出力にユーザコンテンツを付加すること、および捕捉された各関数の入力からコンテキストを除去することを含む、探索する過程と、
を備える、方法。
〔態様12〕
ウェブフェーシングアプリケーションのフレームワークで受信されたデータストリームを捕捉するように構成された第1のトラフィックアナライザと、
前記データストリームを処理する前記フレームワークによって起動される第1の関数セットを捕捉するように構成された第1のプロファイラと、
捕捉された前記第1の関数セットのサブセットを、捕捉された前記データストリームのデータパケットと照合し、かつ、捕捉された前記第1の関数セットのうちの適合したサブセットをデータセットに抽出するように構成されたパターン照合エンジンと、
セキュリティ攻撃を検知するために、抽出された前記データセットに基づいて前記ウェブフェーシングアプリケーションの活動を監視するように構成されたプローブと、
を備える、コンピュータシステム。
〔態様13〕
態様12に記載のシステムにおいて、さらに、
前記データストリームを処理する前記フレームワークによって起動される第2の関数セットを捕捉するように構成された第2のプロファイラと、
データベースサーバへのデータベースクエリであって、前記フレームワークにより生成されるデータベースクエリを捕捉するように構成された第2のトラフィックアナライザと、
を備え、
前記パターン照合エンジンが、さらに、
捕捉された少なくとも1つの前記データベースクエリを、捕捉された前記第2の関数セットのサブセットと照合し、かつ、
捕捉されたデータベースクエイルであって、適合した少なくとも1つの前記データベースクエリと、捕捉された前記第2の関数セットの前記サブセットとを、抽出された前記データセットに抽出するように構成されている、システム。
〔態様14〕
態様13に記載のシステムにおいて、
前記パターンマッチングエンジンが、さらに、
適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリの間の関係を相関し、かつ、
抽出された前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリを、相関された前記関係に基づいてマッピングするように構成されており、
前記相関は、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリを処理するのに用いられるスレッドを追跡することに基づき、
前記プローブが、さらに、前記ウェブフェーシングアプリケーションの活動を、抽出された前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリのマッピングに基づいて監視するように構成されている、システム。
〔態様15〕
態様14に記載のシステムにおいて、さらに、
ウェブフェーシングアプリケーションのフレームワークで受信されたデータパケットを実行時に捕捉するように構成された第3のトラフィックアナライザと、
捕捉された前記第1の関数セットのうちの適合した前記サブセットの起動される各関数を実行時に捕捉するように構成されたる第3のプロファイラと、
抽出された前記データセット内における、捕捉された前記第2の関数セットのうちの適合した前記サブセットの起動される各関数を前記データセット内に実行時に捕捉するように構成された第4のプロファイラと、
捕捉された前記データベースクエリのうち起動される各データベースクエリを前記データセット内に実行時に捕捉するように構成された第4のトラフィックアナライザと、
を備え、
前記プローブが、さらに、
前記第1の関数セットの起動される関数ごとに、前記第2のセットの関数のマッピングされた前記サブセットの起動と、マッピングされた前記少なくとも1つのデータベースクエリの起動とがないかを調べ、かつ、
前記第2の関数セットの前記マッピングされたサブセットとマッピングされた少なくとも1つのデータクエリとのうちの少なくとも一方が起動されなかった場合にセキュリティ攻撃と断定するように構成されている、システム。
〔態様16〕
態様14に記載のシステムにおいて、捕捉された前記少なくとも1つのデータベースクエリを照合することが、捕捉された前記第2の関数セットのパラメータにおけるデータを、捕捉された前記少なくとも1つのデータベースクエリの表現式のデータとパターン照合することを含む、システム。
〔態様17〕
態様12に記載のシステムにおいて、前記第1の関数セットを照合することが、前記第1の関数セットのパラメータにおけるデータを、前記データパケットのフィールドのデータとパターン照合することを含む、システム。
〔態様18〕
態様12に記載のシステムにおいて、(i)前記第1の関数セットの前記サブセットが、前記フレームワークのビジネスロジック層へのインターフェースで前記フレームワークによって起動され、(ii)前記第2の関数セットの前記サブセットが、前記フレームワークの前記ビジネスロジック層からのインターフェースで前記フレームワークによって起動される、システム。
〔態様19〕
態様12に記載のシステムにおいて、前記第1のトラフィックアナライザが、さらに、前記データストリームを前記フレームワークのプロトコル構成に基づいて復号するように構成されている、システム。
〔態様20〕
態様12に記載のシステムにおいて、前記パターンマッチングエンジンが、さらに、前記データストリームの処理から、ユーザ、ユーザデータ、セッション情報、IPアドレス、ポート番号、プロトコルコンテキスト、スレッドID、スレッドコンテキスト、メモリへの読み書きの命令のアドレス、オペレートされるメモリの範囲、およびトラフィック方向のうちの少なくとも1つを、前記ウェブフェーシングアプリケーションの活動を探査するために、抽出された前記データセットに抽出するように構成されている、システム。
〔態様21〕
態様12に記載のシステムにおいて、前記フレームワークが、バイナリ言語、.NET言語、JAVA(登録商標)言語、PHP言語、Ruby言語およびPython言語のうちの少なくとも1つに従って構成されている、システム。
〔態様22〕
態様12に記載のシステムにおいて、前記第1のプロファイラおよび第2のプロファイラが、さらに、前記フレームワークにおける前記データストリームの処理の間に各メモリアクセスのコンテンツを捕捉するように構成され、
前記パターンマッチングエンジンが、さらに、
捕捉された前記関数の命令であって、ユーザデータを処理するのに用いられる命令を特定するように、抽出された前記データセットを捕捉された各メモリアクセスと比較し、かつ、
特定された前記命令のチェーンを作成するように構成されており、
作成された前記チェーンは、前記ウェブフェーシングアプリケーションにおける脆弱性を表すように前記データセットに抽出され、
前記プローブが、さらに、前記作成されたチェーンを実行時に監視することにより、前記ウェブフェーシングアプリケーションの前記活動を監視するように構成され、当該監視が、捕捉された各関数の出力にユーザコンテンツを付加すること、捕捉された各関数の入力からコンテキストを除去すること、およびこれら付加および除去を解析エンジンに報告することを含む、システム。
Claims (22)
- コンピュータに実装される方法であって、
ウェブフェーシングアプリケーションのフレームワークで受信されたデータストリームを捕捉する過程と、
前記データストリームを処理する前記フレームワークによって起動される関数の第1の関数セットを捕捉する過程と、
捕捉された前記第1の関数セットのサブセットを、捕捉された前記データストリームのデータパケットと照合する過程と、
捕捉された前記第1の関数セットのうちの適合した前記サブセットと前記データパケットのデータとを、データセットに抽出する過程と、
セキュリティ攻撃を検知するために、抽出された前記データセットに基づいて前記ウェブフェーシングアプリケーションの活動を探査する過程と、
を備える、方法。 - 請求項1に記載の方法において、さらに、
前記データストリームを処理する前記フレームワークによって起動される関数の第2の関数セットを捕捉する過程と、
データベースサーバへのデータベースクエリであって、前記フレームワークにより生成されるデータベースクエリを捕捉する過程と、
捕捉された少なくとも1つの前記データベースクエリを、捕捉された前記第2の関数セットのサブセットと照合する過程と、
捕捉されたデータベースクエリであって、適合した少なくとも1つの前記データベースクエリと、捕捉された前記第2の関数セットのうちの適合した前記サブセットとを、抽出された前記データセットに抽出する過程と、
を備える、方法。 - 請求項2に記載の方法において、さらに、
適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および前記少なくとも1つのデータベースクエリの間の関係を相関させる過程であって、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセットおよび前記少なくとも1つのデータベースクエリを処理するのに用いられるスレッドを追跡することに基づく、相関させる過程と、
前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および前記少なくとも1つのデータベースクエリを、相関された前記関係に基づいてマッピングする過程と、
前記ウェブフェーシングアプリケーションの活動を、抽出された前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および前記少なくとも1つのデータベースクエリの前記マッピングに基づいて探査する過程と、
を備える、方法。 - 請求項3に記載の方法において、捕捉された前記少なくとも1つのデータベースクエリを照合する前記過程が、前記第2の関数セットの捕捉された前記サブセットにおける少なくとも1つの捕捉された関数のパラメータのデータを、捕捉された前記少なくとも1つのデータベースクエリの表現式のデータとパターン照合することを含む、方法。
- 請求項3に記載の方法において、前記活動を探査する前記過程が、さらに、
前記ウェブフェーシングアプリケーションのフレームワークで受信されたデータパケットを実行時に捕捉すること、
抽出された前記データセット内における、捕捉された前記第1の関数セットのうちの適合した前記サブセットおよび捕捉された前記第2の関数セットのうちの適合した前記サブセットそれぞれの起動される関数を前記データセット内に捕捉し、捕捉された前記データベースクエリそれぞれの起動されるデータベースクエリを前記データセット内に実行時に捕捉すること、
前記第1の関数セットの起動される関数ごとに、前記第2の関数セットのマッピングされた前記サブセットの起動と、マッピングされた前記少なくとも1つのデータベースクエリの起動とがないかを調べること、
前記第2の関数セットのマッピングされた前記サブセットとマッピングされた少なくとも1つのデータクエリとのうちの少なくとも一方が起動されない場合にセキュリティ攻撃と断定すること、
を含む、方法。 - 請求項2に記載の方法において、(i)前記第1の関数セットの前記サブセットが、前記フレームワークのビジネスロジック層へのインターフェースで前記フレームワークによって起動され、(ii)前記第2の関数セットの前記サブセットが、前記フレームワークの前記ビジネスロジック層からのインターフェースで前記フレームワークによって起動される、方法。
- 請求項1に記載の方法において、捕捉された前記第1の関数セットの前記サブセットを照合する前記過程が、捕捉された前記第1の関数セットの前記サブセットにおける少なくとも1つの捕捉された関数のパラメータにおけるデータを、前記データパケットのフィールドのデータとパターン照合することを含む、方法。
- 請求項1に記載の方法において、データストリームを捕捉する前記過程が、さらに、前記データストリームを前記フレームワークのプロトコル構成に基づいて復号することを含む、方法。
- 請求項1に記載の方法において、さらに、
前記データストリームの処理から、ユーザ、ユーザデータ、セッション情報、IPアドレス、ポート番号、プロトコルコンテキスト、スレッドID、スレッドコンテキスト、メモリへの読み書きの命令のアドレス、オペレートされるメモリの範囲、およびトラフィック方向のうちの少なくとも1つを、前記ウェブフェーシングアプリケーションの活動を探査するために、抽出された前記データセットに抽出する過程、
を備える、方法。 - 請求項1に記載の方法において、前記フレームワークが、バイナリ言語、.NET言語、JAVA(登録商標)言語、PHP言語、Ruby言語およびPython言語のうちの少なくとも1つに従って構成されている、方法。
- 請求項1に記載の方法において、さらに、
前記フレームワークにおける前記データストリームの処理の間に各メモリアクセスのコンテンツを捕捉する過程と、
捕捉された前記第1の関数セットおよび捕捉された第2の関数セットの命令であって、ユーザデータを処理するのに用いられる命令を特定するように、抽出された前記データセットを捕捉された各メモリアクセスと比較する過程と、
特定された前記命令のチェーンを作成する過程であって、作成された前記チェーンは、前記ウェブフェーシングアプリケーションにおける脆弱性を表すように前記データセットに抽出される、過程と、
前記作成されたチェーンを監視することにより、実行時に前記ウェブフェーシングアプリケーションの前記活動を探査する過程であって、捕捉された各関数の出力にユーザコンテンツを付加すること、および捕捉された各関数の入力からコンテキストを除去することを含む、探索する過程と、
を備える、方法。 - ウェブフェーシングアプリケーションのフレームワークで受信されたデータストリームを捕捉するように構成された第1のトラフィックアナライザと、
前記データストリームを処理する前記フレームワークによって起動される第1の関数セットを捕捉するように構成された第1のプロファイラと、
捕捉された前記第1の関数セットのサブセットを、捕捉された前記データストリームのデータパケットと照合し、かつ、捕捉された前記第1の関数セットのうちの適合したサブセットをデータセットに抽出するように構成されたパターン照合エンジンと、
セキュリティ攻撃を検知するために、抽出された前記データセットに基づいて前記ウェブフェーシングアプリケーションの活動を監視するように構成されたプローブと、
を備える、コンピュータシステム。 - 請求項12に記載のシステムにおいて、さらに、
前記データストリームを処理する前記フレームワークによって起動される第2の関数セットを捕捉するように構成された第2のプロファイラと、
データベースサーバへのデータベースクエリであって、前記フレームワークにより生成されるデータベースクエリを捕捉するように構成された第2のトラフィックアナライザと、
を備え、
前記パターン照合エンジンが、さらに、
捕捉された少なくとも1つの前記データベースクエリを、捕捉された前記第2の関数セットのサブセットと照合し、かつ、
捕捉されたデータベースクエリであって、適合した少なくとも1つの前記データベースクエリと、捕捉された前記第2の関数セットの前記サブセットとを、抽出された前記データセットに抽出するように構成されている、システム。 - 請求項13に記載のシステムにおいて、
前記パターン照合エンジンが、さらに、
適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリの間の関係を相関し、かつ、
抽出された前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリを、相関された前記関係に基づいてマッピングするように構成されており、
前記相関は、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリを処理するのに用いられるスレッドを追跡することに基づき、
前記プローブが、さらに、前記ウェブフェーシングアプリケーションの活動を、抽出された前記データセット内における、適合した前記データパケット、捕捉された前記第1の関数セットのうちの適合した前記サブセット、捕捉された前記第2の関数セットのうちの適合した前記サブセット、および適合した前記少なくとも1つのデータベースクエリのマッピングに基づいて監視するように構成されている、システム。 - 請求項14に記載のシステムにおいて、さらに、
ウェブフェーシングアプリケーションのフレームワークで受信されたデータパケットを実行時に捕捉するように構成された第3のトラフィックアナライザと、
捕捉された前記第1の関数セットのうちの適合した前記サブセットの起動される各関数を実行時に捕捉するように構成されたる第3のプロファイラと、
抽出された前記データセット内における、捕捉された前記第2の関数セットのうちの適合した前記サブセットの起動される各関数を前記データセット内に実行時に捕捉するように構成された第4のプロファイラと、
捕捉された前記データベースクエリのうち起動される各データベースクエリを前記データセット内に実行時に捕捉するように構成された第4のトラフィックアナライザと、
を備え、
前記プローブが、さらに、
前記第1の関数セットの起動される関数ごとに、前記第2の関数セットのマッピングされた前記サブセットの起動と、マッピングされた前記少なくとも1つのデータベースクエリの起動とがないかを調べ、かつ、
前記第2の関数セットの前記マッピングされたサブセットとマッピングされた少なくとも1つのデータクエリとのうちの少なくとも一方が起動されなかった場合にセキュリティ攻撃と断定するように構成されている、システム。 - 請求項14に記載のシステムにおいて、捕捉された前記少なくとも1つのデータベースクエリを照合することが、捕捉された前記第2の関数セットのパラメータにおけるデータを、捕捉された前記少なくとも1つのデータベースクエリの表現式のデータとパターン照合することを含む、システム。
- 請求項12に記載のシステムにおいて、前記第1の関数セットを照合することが、前記第1の関数セットのパラメータにおけるデータを、前記データパケットのフィールドのデータとパターン照合することを含む、システム。
- 請求項13に記載のシステムにおいて、(i)前記第1の関数セットの前記サブセットが、前記フレームワークのビジネスロジック層へのインターフェースで前記フレームワークによって起動され、(ii)前記第2の関数セットの前記サブセットが、前記フレームワークの前記ビジネスロジック層からのインターフェースで前記フレームワークによって起動される、システム。
- 請求項12に記載のシステムにおいて、前記第1のトラフィックアナライザが、さらに、前記データストリームを前記フレームワークのプロトコル構成に基づいて復号するように構成されている、システム。
- 請求項12に記載のシステムにおいて、前記パターン照合エンジンが、さらに、前記データストリームの処理から、ユーザ、ユーザデータ、セッション情報、IPアドレス、ポート番号、プロトコルコンテキスト、スレッドID、スレッドコンテキスト、メモリへの読み書きの命令のアドレス、オペレートされるメモリの範囲、およびトラフィック方向のうちの少なくとも1つを、前記ウェブフェーシングアプリケーションの活動を探査するために、抽出された前記データセットに抽出するように構成されている、システム。
- 請求項12に記載のシステムにおいて、前記フレームワークが、バイナリ言語、.NET言語、JAVA(登録商標)言語、PHP言語、Ruby言語およびPython言語のうちの少なくとも1つに従って構成されている、システム。
- 請求項12に記載のシステムにおいて、前記第1のプロファイラおよび第2のプロファイラが、さらに、前記フレームワークにおける前記データストリームの処理の間に各メモリアクセスのコンテンツを捕捉するように構成され、
前記パターン照合エンジンが、さらに、
捕捉された前記関数の命令であって、ユーザデータを処理するのに用いられる命令を特定するように、抽出された前記データセットを捕捉された各メモリアクセスと比較し、かつ、
特定された前記命令のチェーンを作成するように構成されており、
作成された前記チェーンは、前記ウェブフェーシングアプリケーションにおける脆弱性を表すように前記データセットに抽出され、
前記プローブが、さらに、前記作成されたチェーンを実行時に監視することにより、前記ウェブフェーシングアプリケーションの前記活動を監視するように構成され、当該監視が、捕捉された各関数の出力にユーザコンテンツを付加すること、捕捉された各関数の入力からコンテキストを除去すること、およびこれら付加および除去を解析エンジンに報告することを含む、システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662286282P | 2016-01-22 | 2016-01-22 | |
US62/286,282 | 2016-01-22 | ||
PCT/US2017/014354 WO2017127691A1 (en) | 2016-01-22 | 2017-01-20 | Pattern matching based dataset extraction |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2019506674A JP2019506674A (ja) | 2019-03-07 |
JP2019506674A5 JP2019506674A5 (ja) | 2020-02-27 |
JP6902037B2 true JP6902037B2 (ja) | 2021-07-14 |
Family
ID=58191561
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018538236A Active JP6902037B2 (ja) | 2016-01-22 | 2017-01-20 | パターンマッチングベースのデータセット抽出 |
Country Status (9)
Country | Link |
---|---|
US (1) | US10382465B2 (ja) |
EP (1) | EP3405902B1 (ja) |
JP (1) | JP6902037B2 (ja) |
KR (1) | KR20180120157A (ja) |
CN (1) | CN108780485B (ja) |
AU (1) | AU2017210221B2 (ja) |
CA (1) | CA3012193A1 (ja) |
DK (1) | DK3405902T3 (ja) |
WO (1) | WO2017127691A1 (ja) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10200369B1 (en) * | 2016-02-16 | 2019-02-05 | Symantec Corporation | Systems and methods for dynamically validating remote requests within enterprise networks |
US11068453B2 (en) * | 2017-03-09 | 2021-07-20 | data.world, Inc | Determining a degree of similarity of a subset of tabular data arrangements to subsets of graph data arrangements at ingestion into a data-driven collaborative dataset platform |
US10606502B2 (en) * | 2017-07-05 | 2020-03-31 | Sap Se | Data aging infrastructure for automatically determining aging temperature |
US10698752B2 (en) | 2017-10-26 | 2020-06-30 | Bank Of America Corporation | Preventing unauthorized access to secure enterprise information systems using a multi-intercept system |
US10628591B2 (en) * | 2017-11-20 | 2020-04-21 | Forcepoint Llc | Method for fast and efficient discovery of data assets |
US11025638B2 (en) | 2018-07-19 | 2021-06-01 | Forcepoint, LLC | System and method providing security friction for atypical resource access requests |
US11134087B2 (en) | 2018-08-31 | 2021-09-28 | Forcepoint, LLC | System identifying ingress of protected data to mitigate security breaches |
US11171980B2 (en) | 2018-11-02 | 2021-11-09 | Forcepoint Llc | Contagion risk detection, analysis and protection |
US11245723B2 (en) | 2018-11-02 | 2022-02-08 | Forcepoint, LLC | Detection of potentially deceptive URI (uniform resource identifier) of a homograph attack |
US11295026B2 (en) | 2018-11-20 | 2022-04-05 | Forcepoint, LLC | Scan, detect, and alert when a user takes a photo of a computer monitor with a mobile phone |
US11297099B2 (en) | 2018-11-29 | 2022-04-05 | Forcepoint, LLC | Redisplay computing with integrated data filtering |
US11050767B2 (en) | 2018-12-17 | 2021-06-29 | Forcepoint, LLC | System for identifying and handling electronic communications from a potentially untrustworthy sending entity |
US10984113B1 (en) * | 2018-12-18 | 2021-04-20 | NortonLifeLock Inc. | Identifying and protecting against a computer security threat while preserving privacy of individual client devices using differential privacy machine learning for streaming data |
US11379426B2 (en) | 2019-02-05 | 2022-07-05 | Forcepoint, LLC | Media transfer protocol file copy detection |
US11562093B2 (en) | 2019-03-06 | 2023-01-24 | Forcepoint Llc | System for generating an electronic security policy for a file format type |
US10868892B1 (en) | 2019-05-31 | 2020-12-15 | Micro Focus Llc | Replacement code implementing full-duplex communication channel protocol for message interception |
CN112688793B (zh) * | 2019-10-18 | 2023-01-03 | 北京字节跳动网络技术有限公司 | 数据包获取方法、装置及电子设备 |
US11588829B2 (en) * | 2020-05-07 | 2023-02-21 | Mcafee, Llc | Methods and apparatus for network detection of malicious data streams inside binary files |
US20220075877A1 (en) | 2020-09-09 | 2022-03-10 | Self Financial, Inc. | Interface and system for updating isolated repositories |
US11641665B2 (en) | 2020-09-09 | 2023-05-02 | Self Financial, Inc. | Resource utilization retrieval and modification |
US11475010B2 (en) * | 2020-09-09 | 2022-10-18 | Self Financial, Inc. | Asynchronous database caching |
US11470037B2 (en) | 2020-09-09 | 2022-10-11 | Self Financial, Inc. | Navigation pathway generation |
CN115129687A (zh) * | 2022-03-16 | 2022-09-30 | 希望知舟技术(深圳)有限公司 | 基于异常工况数据库管理的方法、相关装置及介质和程序 |
CN115688071B (zh) * | 2022-12-29 | 2023-03-17 | 深圳市光速时代科技有限公司 | 一种防止智能手表信息篡改的处理方法及系统 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6782478B1 (en) | 1999-04-28 | 2004-08-24 | Thomas Probert | Techniques for encoding information in computer code |
US20110238855A1 (en) * | 2000-09-25 | 2011-09-29 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
US7941849B2 (en) | 2003-03-21 | 2011-05-10 | Imprivata, Inc. | System and method for audit tracking |
US20080229415A1 (en) | 2005-07-01 | 2008-09-18 | Harsh Kapoor | Systems and methods for processing data flows |
JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
US8249350B2 (en) * | 2006-06-30 | 2012-08-21 | University Of Geneva | Brand protection and product autentication using portable devices |
JP4995170B2 (ja) * | 2008-10-06 | 2012-08-08 | 日本電信電話株式会社 | 不正検知方法、不正検知装置、不正検知プログラムおよび情報処理システム |
US9230455B2 (en) | 2009-12-11 | 2016-01-05 | Digital Immunity Llc | Steganographic embedding of executable code |
WO2011139302A2 (en) | 2009-12-11 | 2011-11-10 | Probert Thomas H | Steganographic messaging system using code invariants |
US8578487B2 (en) * | 2010-11-04 | 2013-11-05 | Cylance Inc. | System and method for internet security |
US20130238548A1 (en) * | 2011-01-25 | 2013-09-12 | Muthian George | Analytical data processing |
US20130160130A1 (en) * | 2011-12-20 | 2013-06-20 | Kirill Mendelev | Application security testing |
-
2017
- 2017-01-20 JP JP2018538236A patent/JP6902037B2/ja active Active
- 2017-01-20 CA CA3012193A patent/CA3012193A1/en active Pending
- 2017-01-20 DK DK17707992.8T patent/DK3405902T3/da active
- 2017-01-20 AU AU2017210221A patent/AU2017210221B2/en active Active
- 2017-01-20 CN CN201780019569.4A patent/CN108780485B/zh active Active
- 2017-01-20 WO PCT/US2017/014354 patent/WO2017127691A1/en active Application Filing
- 2017-01-20 US US15/411,605 patent/US10382465B2/en active Active
- 2017-01-20 EP EP17707992.8A patent/EP3405902B1/en active Active
- 2017-01-20 KR KR1020187024103A patent/KR20180120157A/ko not_active Application Discontinuation
Also Published As
Publication number | Publication date |
---|---|
WO2017127691A1 (en) | 2017-07-27 |
EP3405902B1 (en) | 2021-12-15 |
AU2017210221A1 (en) | 2018-08-16 |
CN108780485B (zh) | 2022-03-04 |
KR20180120157A (ko) | 2018-11-05 |
US10382465B2 (en) | 2019-08-13 |
AU2017210221B2 (en) | 2020-02-06 |
US20170214705A1 (en) | 2017-07-27 |
CA3012193A1 (en) | 2017-07-27 |
EP3405902A1 (en) | 2018-11-28 |
DK3405902T3 (da) | 2022-03-21 |
CN108780485A (zh) | 2018-11-09 |
JP2019506674A (ja) | 2019-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6902037B2 (ja) | パターンマッチングベースのデータセット抽出 | |
US10447730B2 (en) | Detection of SQL injection attacks | |
JP7046111B2 (ja) | マルウェアのランタイム中の自動検出 | |
US10509906B2 (en) | Automated code lockdown to reduce attack surface for software | |
US9973519B2 (en) | Protecting a server computer by detecting the identity of a browser on a client computer |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200117 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200117 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210127 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210216 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210511 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210525 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210618 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6902037 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |