JP6930667B2 - 検知装置および検知プログラム - Google Patents
検知装置および検知プログラム Download PDFInfo
- Publication number
- JP6930667B2 JP6930667B2 JP2020549946A JP2020549946A JP6930667B2 JP 6930667 B2 JP6930667 B2 JP 6930667B2 JP 2020549946 A JP2020549946 A JP 2020549946A JP 2020549946 A JP2020549946 A JP 2020549946A JP 6930667 B2 JP6930667 B2 JP 6930667B2
- Authority
- JP
- Japan
- Prior art keywords
- uri
- unit
- normalized
- source
- detection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 63
- 238000010606 normalization Methods 0.000 claims description 22
- 230000004044 response Effects 0.000 claims description 20
- 238000004364 calculation method Methods 0.000 claims description 19
- 230000007717 exclusion Effects 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 20
- 238000000034 method Methods 0.000 description 18
- 230000009471 action Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 8
- 230000010365 information processing Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、検知装置および検知プログラムに関する。
Webサーバの攻撃を行おうとする攻撃者が、攻撃対象となり得る脆弱なWebサーバを探すために、Webアプリケーションのスキャンを行う場合がある。スキャンとは、脆弱なWebアプリケーションに存在するURI(Uniform Resource Identifier)を、標的のWebサーバにリクエストした際のレスポンスによって、脆弱なWebアプリケーションの有無を調査する行為のことである。このような攻撃者によるスキャン行為を早期に検知できれば、攻撃者が標的としているWebアプリケーションを特定して対策を施すことが可能となる。
従来、例えば、OSS(Open Source Software)のSnort等で用いられているシグネチャマッチによる検知技術が知られている。この技術では、通常のWebトラフィックやハニーポット等での観測から得られたシグネチャを利用して、スキャンが検知される。また、悪意のあるWebアクセスはHTTPレスポンスコードに特徴が表れることが知られている(非特許文献1参照)。これを応用することで、HTTPレスポンスに基づいてスキャンを検知することができる。例えば、スキャンによるWebアクセスに対するHTTPのレスポンスコードの多くが「ページが存在しない」ことを示す404であることから、この技術では、レスポンスコードが404のアクセスがスキャンとして抽出される。
また、Webページのアクセス順序・間隔に基づいて攻撃等の異常なWebアクセスを検知する技術が知られている(非特許文献2、3参照)。この技術を応用することで、通常のユーザがWebサーバにアクセスした際のWebページの遷移の順序やパターンと大きく異なるアクセスがスキャンとして検知される。また、URIの共起性に基づく検知技術が知られている(非特許文献4参照)。攻撃者はスキャンの際に同じIPアドレスから複数のWebサーバに対して同じURIをリクエストする傾向がある。そこでこの技術では、複数のWebサーバに対するアクセスの中で共起しているURIがスキャンの対象として検出される。
Katerina Goseva-Popstojanova,Goce Anastasovski,Risto Pantev,"Classification of malicious Web sessions",ICCCN,2012年
Kruegel Christopher,Giovanni Vigna,William Robertson,"A multi-model approach to the detection of web-based attacks",In Computer Networks,2005年
Sanghyun Cho,Sungdeok Cha,"SAD: web session anomaly detection based on parameter estimation",Computers & Security,2004年
鐘揚,折原慎吾,谷川真樹,嶋田創,村瀬勉,高倉弘喜,大嶋嘉人,"URIの共起性検知に基づくWebスキャンの実態調査",電子情報通信学会技術報告,2016年
しかしながら、従来の技術では、検知されるべきスキャン行為を検知できない場合や誤検知する場合がある。例えば、シグネチャマッチによる検知技術では、事前にシグネチャとして登録されていないスキャンを検知することはできない。また、HTTPレスポンスに基づく検知技術では、エラーとなってしまう正常なWebアクセスをスキャンと誤検知する場合がある。例えば、Webページ内のリンク先が誤っている場合や、「/favicon.ico」等のように、Webブラウザの機能によりファイルの有無に関わらず自動的にアクセスされる場合等には、誤検知が生じ得る。
また、Webページのアクセス順序・間隔に基づく検知技術では、攻撃者がページのアクセス順序を調整したりアクセス間隔を広げたりすることにより、スキャンの検知を回避できてしまう。また、URIの共起性に基づく検知技術では、広く一般にWebサーバで利用されている「/」、「/index.php」等のURIがスキャンの対象と誤検知される場合がある。また、この技術では、スキャンの対象にも正常なアクセスの対象にもなっているURIの検知は困難である。
本発明は、上記に鑑みてなされたものであって、攻撃者のスキャン行為を精度高く検知することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、複数のWebサーバへのアクセスログのURIを、複数のURI間で類似する表記を統一して正規化済URIに変更する正規化部と、送信元が同一の前記アクセスログのうち、異なる宛先の同一の前記正規化済URIを対象とした、所定のレスポンスコードであるアクセスログの割合を算出する算出部と、前記正規化済URIのそれぞれについて、算出された前記割合の最大値が所定の閾値以上の場合に、該正規化済URIをスキャンの対象と判定する判定部と、を備えることを特徴とする。
本発明によれば、攻撃者のスキャン行為を精度高く検知することが可能となる。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[第1の実施形態]
[システム構成]
図1は、本実施形態の検知装置を含むシステムを説明するための図である。様々なWebアプリケーションがインターネットを介して公開されている。このWebアプリケーションが稼働する多数のWebサーバ1が、図1に示すように、会社等の組織のネットワークnに構築され、ゲートウェイ2を介してインターネットNに接続されている。ユーザは、インターネットNを介してWebサーバ1にアクセスして、Webアプリケーションを利用する。
[システム構成]
図1は、本実施形態の検知装置を含むシステムを説明するための図である。様々なWebアプリケーションがインターネットを介して公開されている。このWebアプリケーションが稼働する多数のWebサーバ1が、図1に示すように、会社等の組織のネットワークnに構築され、ゲートウェイ2を介してインターネットNに接続されている。ユーザは、インターネットNを介してWebサーバ1にアクセスして、Webアプリケーションを利用する。
このシステムにおいて、検知装置10は、ゲートウェイ2等から、正常なユーザや攻撃者の同一のネットワークに存在するWebサーバ1群へのアクセスログを取得して、後述する検知処理を実行することにより、アクセスログから攻撃者のスキャン行為を検知する。
[検知装置の構成]
図2は、検知装置の概略構成を例示する模式図である。検知装置10では、汎用コンピュータのCPU(Central Processing Unit)等を用いて実現される制御部が、図2に示すように、正規化部11、算出部12、および判定部13として機能する。なお、これらの機能部は、それぞれあるいは一部が異なるハードウェアに実装されてもよい。
図2は、検知装置の概略構成を例示する模式図である。検知装置10では、汎用コンピュータのCPU(Central Processing Unit)等を用いて実現される制御部が、図2に示すように、正規化部11、算出部12、および判定部13として機能する。なお、これらの機能部は、それぞれあるいは一部が異なるハードウェアに実装されてもよい。
また、検知装置10では、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される記憶部に、アクセスログ14が記憶される。
ここで、アクセスログ14は、予め、例えばゲートウェイ2等から取得された多数のWebサーバ1に対する多数のHTTPアクセスログが蓄積されたものである。各アクセスログには、リクエストの送信元IPアドレスおよび送信先IPアドレスと、リクエストの対象のURIと、アクセスに対するレスポンスコードとが含まれる。
正規化部11は、複数のWebサーバ1へのアクセスログのURIを、複数のURI間で類似する表記を統一して正規化済URIに変更する。具体的には、正規化部11は、URI中のWebアプリケーションのバージョン違いや大文字小文字等の違いを統一することにより、類似した表記のURIを統一する正規化を行う。この正規化により、検知装置10は、以降の処理において、Webアプリケーション単位等のまとまった単位での処理が可能となる。
ここで、図3は、正規化部11の処理を説明するための図である。例えば、図3に示すように、正規化部11は、URI中でWebアプリケーションのバージョンを表す「2.1.1」、「3」、「3.1」等の連続した数字を全て削除する。また、正規化部11は、URI中のアルファベットの大文字を全て小文字に統一する。また、正規化部11は、URI中の「?」以降のクエリ部を削除する。
図3に示した例では、正規化部11は、「/phpMyAdmin2.1.1/setup.php」、「/phpMyAdmin3/setup.php」、「/phpmyadmin3.1/setup.php」、「/phpmyadmin2/setup.php?param=xx」等のURIを、同一の正規化済URI「/phpmyadmin/setup.php」に変更している。
図2の説明に戻る。算出部12は、送信元が同一のアクセスログのうち、異なる宛先の同一の正規化済URIを対象とした、所定のレスポンスコードであるアクセスログの割合を、送信元IPアドレスのスコアとして算出する。例えば、算出部12は、送信元IPアドレスのスコアとして、この送信元のアクセスログのうち、異なる送信先IPアドレスへの同一の正規化済URIをリクエストの対象とした、レスポンスコードが300以上であるアクセスログの割合を算出する。レスポンスコードが300以上のアクセスログとは、スキャンである可能性のある正常ではないリクエストであることを意味している。
また、判定部13は、正規化済URIのそれぞれについて、算出された送信元IPアドレスのスコアの最大値である正規化済URIのスコアが所定の閾値以上の場合に、該正規化済URIをスキャンの対象のURIと判定する。例えば、閾値が0.5であれば、判定部13は、正規化済URIのスコアが0.5以上である場合に、この正規化済URIをスキャンの対象のURIと判定する。
このように、判定部13が、送信元IPアドレスのスコアの最大値を用いてスキャン行為を判定することにより、多数の正常なユーザの中でも一人の攻撃者によるスコアの高いスキャン行為を検知することが可能となる。
ここで、図4は、算出部12および判定部13の処理を説明するための図である。図4(a)には、正規化部11でURIが正規化されたアクセスログが例示されている。このアクセスログを処理対象として、まず、算出部12が、送信元IPアドレスごとに、この送信元IPアドレスのスコアとして、同一の正規化済URIを対象とした、レスポンスコードが300以上のアクセスログの割合を算出する。
例えば、図4(a)に示す領域a1には、送信元IPアドレス「X.X.X.X」のアクセスログのうち、異なる送信先IPアドレスへの同一の正規化済URI「/phpmyadmin/setup.php」をリクエストの対象としたアクセスログが例示されている。また、図4(a)に示す領域a2には、送信元IPアドレス「X.X.X.X」の5つのアクセスログのうち、300以上であるレスポンスコードが例示されている。この場合に、異なる送信先IPアドレスへの同一の正規化済URI「/phpmyadmin/setup.php」をリクエストの対象とした、レスポンスコードが300以上のアクセスログは3つである。したがって、算出部12は、図4(b)に示すように、送信元IPアドレス「X.X.X.X」のスコアを0.6と算出する。
同様に、図4(a)に示す送信元IPアドレス「Y.Y.Y.Y」の2つのアクセスログのうち、異なる送信先IPアドレスへの同一の正規化済URIをリクエストの対象とした、レスポンスコードが300以上のアクセスログは0である。したがって、算出部12は、図4(b)に示すように、送信元IPアドレス「Y.Y.Y.Y」のスコアを0.0と算出する。
この場合に、判定部13は、図4(c)に示すように、各正規化済URIを対象としたアクセスログの送信元IPアドレスのスコアの最大値を、各正規化済URIのスコアとする。例えば、判定部13は、正規化済URI「/phpmyadmin/setup.php」のスコアとして、送信元IPアドレス「X.X.X.X」のスコア0.6、送信元IPアドレス「Y.Y.Y.Y」のスコア0.0のうちの最大値である0.6を算出している。
そして判定部13は、正規化済URIのスコアが所定の閾値以上の場合に、この正規化済URIをスキャンの対象のURIと判定する。図4に示す例では、閾値は0.5とされている。その結果、図4(c)の領域c1に示すように、URI「/phpmyadmin/setup.php」およびURI「/scripts/setup.php」が、スキャンの対象のURIと判定されている。
[検知処理]
次に、図5を参照して、本実施形態に係る検知装置10による検知処理について説明する。図5は、検知処理手順を示すフローチャートである。図5のフローチャートは、例えば、ユーザが検知処理の開始を指示する操作入力を行ったタイミングで開始される。
次に、図5を参照して、本実施形態に係る検知装置10による検知処理について説明する。図5は、検知処理手順を示すフローチャートである。図5のフローチャートは、例えば、ユーザが検知処理の開始を指示する操作入力を行ったタイミングで開始される。
まず、正規化部11が、複数のWebサーバ1へのアクセスログ14を読み込んで(ステップS1)、リクエストを示す各アクセスログに対して、ステップS3の処理を繰り返す(ステップS2)。ステップS3の処理では、正規化部11は、アクセスログのURIを、複数のURI間で類似する表記を統一して正規化済URIに変更する。具体的には、正規化部11は、URI中のWebアプリケーションのバージョン違いや大文字小文字等の違いを統一することにより、類似した表記のURIを統一する正規化を行う。
次に、算出部12が、送信元IPアドレスに対して、ステップS5の処理を繰り返す(ステップS4)。ステップS5の処理では、算出部12が、送信元が同一のアクセスログのうち、異なる宛先の同一の正規化済URIを対象とした、所定のレスポンスコードであるアクセスログの割合を、送信元IPアドレスのスコアとして算出する。例えば、算出部12は、送信元IPアドレスのスコアとして、この送信元のアクセスログのうち、異なる送信先IPアドレスへの同一の正規化済URIをリクエストの対象とした、レスポンスコードが300以上である正常な処理ではないアクセスログの割合を算出する。
次に、判定部13が、各正規化済URIに対して、ステップS7の処理を繰り返す(ステップS6)。ステップS7の処理では、判定部13が、正規化済URIのそれぞれについて、算出された送信元IPアドレスのスコアの最大値を正規化済URIのスコアとして算出する。
そして、判定部13は、正規化済URIのスコアが所定の閾値以上の場合に、該正規化済URIをスキャンの対象のURIと判定する(ステップS8)。例えば、判定部13は、正規化済URIのスコアが0.5以上であった場合に、この正規化済URIをスキャンの対象のURIと判定する。検知装置10は、判定結果のURIをディスプレイや他の装置に出力する。これにより、一連の検知が終了する。
以上、説明したように、本実施形態の検知装置10において、正規化部11が、複数のWebサーバ1へのアクセスログのURIを、複数のURI間で類似する表記を統一して正規化済URIに変更する。また、算出部12が、送信元が同一のアクセスログのうち、異なる宛先の同一の正規化済URIを対象とした、所定のレスポンスコードであるアクセスログの割合を算出する。また、判定部13が、正規化済URIのそれぞれについて、算出された割合の最大値が所定の閾値以上の場合に、該正規化済URIをスキャンの対象と判定する。
これにより、本実施形態の検知装置10は、Webアプリケーション単位等のまとまった単位でスキャン行為の解析を行うことが可能となる。また、検知装置10は、算出された割合の最大値を用いてスキャン行為を判定することにより、多数の正常なユーザの中での一人の攻撃者によるスキャン行為を検知することが可能となる。このように、検知装置10は、URIの共起性とレスポンスコードとを併せて用いることにより、従来は検知できなかったスキャンの検知や、誤検知を低減し、攻撃者のスキャン行為を精度高く検知することが可能となる。
[第2の実施形態]
本発明の検知装置10は、上記実施形態に限定されず、上記実施形態の構成(図2参照)に加え、以下に説明する機能部を含んで構成されてもよい。図6は、第2の実施形態に係る検知装置の概略構成を例示する模式図である。図6に示すように、本実施形態の検知装置10は、送信元グループ化部15、除外部16、アプリ名照合部18、または構造照合部20の一部または全てを制御部に含む。制御部に除外部16が含まれる場合には、記憶部に検出済情報DB17が記憶される。また、制御部にアプリ名照合部18が含まれる場合には、記憶部にアプリ名DB19が記憶される。なお、上記実施形態と同様の機能部については、説明を省略する。
本発明の検知装置10は、上記実施形態に限定されず、上記実施形態の構成(図2参照)に加え、以下に説明する機能部を含んで構成されてもよい。図6は、第2の実施形態に係る検知装置の概略構成を例示する模式図である。図6に示すように、本実施形態の検知装置10は、送信元グループ化部15、除外部16、アプリ名照合部18、または構造照合部20の一部または全てを制御部に含む。制御部に除外部16が含まれる場合には、記憶部に検出済情報DB17が記憶される。また、制御部にアプリ名照合部18が含まれる場合には、記憶部にアプリ名DB19が記憶される。なお、上記実施形態と同様の機能部については、説明を省略する。
送信元グループ化部15は、送信元ごとのアクセスログの対象の正規化済URIのセットの類似度が所定の閾値以上の場合に、異なる送信元を同一のグループに含める。具体的には、送信元グループ化部15は、まず、アクセスログの送信元IPアドレスごとに、リクエストの対象の正規化済URIのリストを作成する。そして、送信元グループ化部15は、異なる送信元IPアドレスについてのリストに含まれる正規化済URIのセットの類似度Sを、例えば、次式(1)により算出する。
送信元グループ化部15は、類似度Sが所定の閾値以上である場合に、送信元を同一とみなし、それらの送信元IPアドレスを同一のグループに含める。
その場合には、算出部12は、同一のグループに含まれる送信元を同一の送信元とみなして上記の処理を行って、送信元IPアドレスのスコアを算出する。これにより、検知装置10は、攻撃者が複数のIPアドレスを使い分けたり、ボットネットを用いてWebスキャンを行なったりした場合にも、スキャン行為を検知することが可能となる。
ここで、図7は、送信元グループ化部15の処理を説明するための図である。送信元グループ化部15は、まず、図7(a)に示すように、アクセスログの送信元IPアドレスごとに、リクエストの対象の正規化済URIのリストを作成する。
次に、送信元グループ化部15は、異なる送信元IPアドレスについてのリストに含まれる正規化済URIのセットの類似度を算出し、類似度が所定の閾値以上の場合に、それらの送信元IPアドレスを同一のグループに含める。なお、送信元グループ化部15は、類似度が所定の閾値以上のグループが複数あった場合には、それらの送信元IPアドレスを最も類似度の高いグループに含める。また、送信元グループ化部15は、最も類似度の高いグループが複数あった場合には、それらの送信元IPアドレスをその全てのグループに含める。
例えば、送信元グループ化部15は、図7(b)に示すように、グループ1を作成し、送信元IPアドレス「A.A.A.A」をグループ1に含める。そして、送信元グループ化部15は、送信元IPアドレス「B.B.B.B」の正規化済URIのセットについて、グループ1の正規化済URIのセットとの類似度を算出する。
図7(b)に示す例では、グループ1の正規化済URIのセットは{/aaa、/bbb}であり、送信元IPアドレス「B.B.B.B」の正規化済URIのセットは{/ccc}であるので、上記式(1)により、類似度S=0/3と算出される。閾値を2/3とした場合に、算出された類似度Sは閾値未満であるので、送信元グループ化部15は、図7(c)に示すように、送信元IPアドレス「B.B.B.B」をグループ1には含めずに、新たなグループ2に含める。
同様にして、送信元グループ化部15は、送信元IPアドレス「C.C.C.C」について、グループ1およびグループ2との類似度Sを算出する。図7(c)に示す例では、送信元IPアドレス「C.C.C.C」の正規化済URIのセットは{/aaa、/bbb、/ddd}であり、グループ1の正規化済URIのセットは{/aaa、/bbb}であるので、グループ1との類似度S=2/3と算出される。また、グループ2の正規化済URIのセットは{/ccc}であるので、類似度S=0/4と算出される。したがって、送信元グループ化部15は、図7(d)に示すように、送信元IPアドレス「C.C.C.C」を、類似度Sが閾値以上であるグループ1に含める。
このようにして同一の送信元グループに含められた送信元IPアドレス「A.A.A.A」と送信元IPアドレス「C.C.C.C」とは、同一の送信元とみなされる。この場合には、算出部12は、上記の送信元IPアドレスのスコアとして、送信元グループごとのスコアを算出する。
このように、送信元グループ化部15が、送信元ごとのアクセスログの対象の正規化済URIのセットの類似度が所定の閾値以上の場合に、異なる送信元を同一のグループに含める。この場合に、算出部12は、同一のグループに含まれる送信元を同一の送信元とみなして、送信元のスコアである割合を算出する。これにより、検知装置10は、攻撃者が複数のIPアドレスを使い分けたり、ボットネットを用いてWebスキャンを行なったりした場合にも、より精度高くスキャン行為を検知することが可能となる。
図6の説明に戻る。除外部16は、判定部13によりスキャンの対象と判定されたURIから、既知のスキャンの対象のURIを除外する。
ここで、図8は、除外部16の処理を説明するための図である。検知装置10は、図8(b)に例示するように、過去にスキャンの対象と判定されたURIや既知の攻撃情報におけるスキャンの対象のURIを、検出済情報DB17に記憶している。
そこで、除外部16は、判定部13によりスキャンの対象と判定された、図8(a)に例示したURIを、図8(b)に例示した検出済情報DB17のURIを用いてフィルタリングする。その結果、残ったURIは、新たにスキャンの対象と検知された未知のURIである。したがって、除外部16は、図8(c)に例示するように、未知のスキャン対象のURIを抽出することができる。
なお、除外部16は、抽出した未知のスキャン対象のURIを用いて、図8(d)に示すように、検出済情報DB17を更新する。図8に示す例では、例えば、判定部13により検知されたスキャン対象のURI「/eee」は、検出済情報DB17に記憶されていないことから、未知のスキャン対象のURIとして抽出され、新たに検出済情報DB17に記憶されている。
このように、除外部16が、判定部13によりスキャンの対象と判定されたURIから、既知のスキャンの対象のURIを除外する。これにより、検知装置10は、新たにスキャンの対象となった未知のURIを検知することが可能となる。
図6の説明に戻る。アプリ名照合部18は、判定部13によりスキャンの対象と判定されたURIに、既知のWebアプリケーション名が含まれていた場合に、該Webアプリケーション名を出力する。
ここで、図9は、アプリ名照合部18の処理を説明するための図である。検知装置10は、図9(b)に示すように、外部のオープンソースソフトウェア(OSS)情報サイト等からWebアプリケーション名の一覧を取得して、アプリ名DB19に記憶している。その際に、正規化部11が、取得されたWebアプリケーション名の正規化を行う。すなわち、正規化部11は、正規化済URIとの照合のため、Webアプリケーション名に対し、URI中のWebアプリケーションと同様に、バージョン違いや大文字小文字等の違いの統一を行う。
そして、アプリ名照合部18は、判定部13によりスキャンの対象と判定された、図9(a)に例示したURIに、図9(b)に例示したアプリ名DB19のWebアプリケーション名が含まれているか否かを確認する。スキャン対象と判定されたURIにWebアプリケーション名が含まれていた場合には、アプリ名照合部18は、図9(c)に例示するように、そのWebアプリケーション名とスキャン対象のURIとを対応付けて、不図示のディスプレイや外部装置等に出力する。これにより、検知装置10は、スキャンの標的となっているWebアプリケーションを推定することが可能となる。
図9に示す例では、例えば、判定部13により検知されたスキャン対象のURI「/aaa/bbb/ccc/」と「/aaa/ddd/eee/」とに、アプリ名DB19のWebアプリケーション名「aaa」が含まれている。したがって、このWebアプリケーション「aaa」がスキャンの標的となっていることが推定されている。
このように、アプリ名照合部18が、判定部13によりスキャンの対象と判定されたURIに、既知のWebアプリケーション名が含まれていた場合に、該Webアプリケーション名を出力する。これにより、検知装置10は、スキャンの標的とされたWebアプリケーションを推定することが可能となる。
なお、アプリ名照合部18は、スキャン対象と判定されたURIにWebアプリケーション名が含まれていない場合には、Webアプリケーション名を特定できない。その場合には、本実施形態の検知装置10は、後述する構造照合部20によって、Webアプリケーション名を推定することが可能となる。
図6の説明に戻る。構造照合部20は、判定部13によりスキャンの対象と判定されたURIが、既知のWebアプリケーションのリソースのディレクトリ構造と一致する場合に、該WebアプリケーションのWebアプリケーション名を出力する。
ここで、図10は、構造照合部20の処理を説明するための図である。構造照合部20は、外部のOSS情報サイト等のソースコード情報から、図10(a)に例示するように、Webアプリケーションリソースのディレクトリ構造を取得する。そして、構造照合部20は、判定部13によりスキャンの対象と判定された、図10(b)に例示したURIに、図10(a)と同様のディレクトリ構造がある場合に、該当のWebアプリケーションのURIであると推定する。
その場合に、構造照合部20は、図10(c)に例示するように、そのWebアプリケーション名とスキャン対象のURIとを対応付けて、不図示のディスプレイや外部装置等に出力する。このように、検知装置10は、URIにWebアプリケーション名が含まれていない場合にも、スキャンの標的となっているWebアプリケーションを推定することが可能となる。
図10に示す例では、例えば、判定部13により検知されたスキャン対象のURI「/aaa/bbb/ccc/」と「/aaa/fff」とのディレクトリ構造が、Webアプリケーション「XXX」のリソースのディレクトリ構造と一致している。したがって、このWebアプリケーション「XXX」がスキャンの標的となっていることが推定されている。
このように、構造照合部20が、判定部13によりスキャンの対象と判定されたURIが、既知のWebアプリケーションのリソースのディレクトリ構造と一致する場合に、該WebアプリケーションのWebアプリケーション名を出力する。これにより、検知装置10は、URIにWebアプリケーション名が含まれていない場合にも、スキャンの標的となっているWebアプリケーションを推定することが可能となる。
[プログラム]
上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistant)などのスレート端末などがその範疇に含まれる。また、検知装置10の機能を、クラウドサーバに実装してもよい。
上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistant)などのスレート端末などがその範疇に含まれる。また、検知装置10の機能を、クラウドサーバに実装してもよい。
図11は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した検知装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
10 検知装置
11 正規化部
12 算出部
13 判定部
14 アクセスログ
15 送信元グループ化部
16 除外部
17 検出済情報DB
18 アプリ名照合部
19 アプリ名DB
20 構造照合部
11 正規化部
12 算出部
13 判定部
14 アクセスログ
15 送信元グループ化部
16 除外部
17 検出済情報DB
18 アプリ名照合部
19 アプリ名DB
20 構造照合部
Claims (6)
- 複数のWebサーバへのアクセスログのURIを、複数のURI間で類似する表記を統一して正規化済URIに変更する正規化部と、
送信元が同一の前記アクセスログのうち、異なる宛先の同一の前記正規化済URIを対象とした、所定のレスポンスコードであるアクセスログの割合を算出する算出部と、
前記正規化済URIのそれぞれについて、算出された前記割合の最大値が所定の閾値以上の場合に、該正規化済URIをスキャンの対象のURIと判定する判定部と、
を備えることを特徴とする検知装置。 - 前記判定部によりスキャンの対象と判定されたURIから、既知のスキャンの対象のURIを除外する除外部をさらに備えることを特徴とする請求項1に記載の検知装置。
- 前記判定部によりスキャンの対象と判定されたURIに、既知のWebアプリケーション名が含まれていた場合に、該Webアプリケーション名を出力するアプリ名照合部をさらに備えることを特徴とする請求項1に記載の検知装置。
- 前記判定部によりスキャンの対象と判定されたURIが、既知のWebアプリケーションのリソースのディレクトリ構造と一致する場合に、該WebアプリケーションのWeb
アプリケーション名を出力する構造照合部をさらに備えることを特徴とする請求項1に記載の検知装置。 - 送信元ごとの前記アクセスログの対象の前記正規化済URIのセットの類似度が所定の閾値以上の場合に、異なる前記送信元を同一のグループに含める送信元グループ化部をさらに備え、
前記算出部は、同一の前記グループに含まれる送信元を同一の送信元とみなして、前記割合を算出することを特徴とする請求項1に記載の検知装置。 - コンピュータに、請求項1〜5のいずれか1項に記載の検知装置として機能させるための検知プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018192049 | 2018-10-10 | ||
JP2018192049 | 2018-10-10 | ||
PCT/JP2019/017310 WO2020075330A1 (ja) | 2018-10-10 | 2019-04-23 | 検知装置および検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2020075330A1 JPWO2020075330A1 (ja) | 2021-04-30 |
JP6930667B2 true JP6930667B2 (ja) | 2021-09-01 |
Family
ID=70164704
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020549946A Active JP6930667B2 (ja) | 2018-10-10 | 2019-04-23 | 検知装置および検知プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11818153B2 (ja) |
JP (1) | JP6930667B2 (ja) |
WO (1) | WO2020075330A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7533058B2 (ja) * | 2020-09-17 | 2024-08-14 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7496962B2 (en) * | 2004-07-29 | 2009-02-24 | Sourcefire, Inc. | Intrusion detection strategies for hypertext transport protocol |
JP4304249B2 (ja) * | 2007-01-04 | 2009-07-29 | 国立大学法人 大分大学 | スキャン攻撃不正侵入防御装置 |
US8286248B1 (en) * | 2007-02-01 | 2012-10-09 | Mcafee, Inc. | System and method of web application discovery via capture and analysis of HTTP requests for external resources |
JP4876962B2 (ja) * | 2007-02-20 | 2012-02-15 | ソニー株式会社 | ネットワークシステム、サービスサーバ、リモート録画予約先録画装置の決定方法、及びコンピュータプログラム |
WO2014195890A1 (en) * | 2013-06-06 | 2014-12-11 | Topspin Security Ltd. | Methods and devices for identifying the presence of malware in a network |
JP6104149B2 (ja) * | 2013-12-24 | 2017-03-29 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
US20160335373A1 (en) * | 2015-05-14 | 2016-11-17 | Honeywell International Inc. | Apparatus and method for universal annotation in industrial process control and automation system |
JP6007308B1 (ja) * | 2015-12-25 | 2016-10-12 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
US9838407B1 (en) * | 2016-03-30 | 2017-12-05 | EMC IP Holding Company LLC | Detection of malicious web activity in enterprise computer networks |
JP6756224B2 (ja) * | 2016-10-03 | 2020-09-16 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視プログラム及びネットワーク監視方法 |
US11550920B2 (en) * | 2017-01-31 | 2023-01-10 | Nippon Telegraph And Telephone Corporation | Determination apparatus, determination method, and determination program |
US11146573B2 (en) * | 2017-07-18 | 2021-10-12 | Imperva, Inc. | Insider threat detection utilizing user group to data object and/or resource group access analysis |
US11223637B2 (en) * | 2018-01-07 | 2022-01-11 | Microsoft Technology Licensing, Llc | Detecting attacks on web applications using server logs |
US12041084B2 (en) * | 2018-02-09 | 2024-07-16 | Bolster, Inc | Systems and methods for determining user intent at a website and responding to the user intent |
US11196746B2 (en) * | 2018-07-04 | 2021-12-07 | Microsoft Technology Licensing, Llc | Whitelisting of trusted accessors to restricted web pages |
RU2708508C1 (ru) * | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями |
US11196761B2 (en) * | 2019-06-12 | 2021-12-07 | Paypal, Inc. | Security risk evaluation for user accounts |
-
2019
- 2019-04-23 JP JP2020549946A patent/JP6930667B2/ja active Active
- 2019-04-23 WO PCT/JP2019/017310 patent/WO2020075330A1/ja active Application Filing
- 2019-04-23 US US17/283,021 patent/US11818153B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JPWO2020075330A1 (ja) | 2021-04-30 |
US20210344697A1 (en) | 2021-11-04 |
US11818153B2 (en) | 2023-11-14 |
WO2020075330A1 (ja) | 2020-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109583193B (zh) | 目标攻击的云检测、调查以及消除的系统和方法 | |
US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
JP5963008B2 (ja) | コンピュータシステムの分析方法および装置 | |
US11470097B2 (en) | Profile generation device, attack detection device, profile generation method, and profile generation computer program | |
US10462168B2 (en) | Access classifying device, access classifying method, and access classifying program | |
JP6503141B2 (ja) | アクセス分類装置、アクセス分類方法及びアクセス分類プログラム | |
EP3079091B1 (en) | Method and device for virus identification, nonvolatile storage medium, and device | |
US11550920B2 (en) | Determination apparatus, determination method, and determination program | |
US11985151B2 (en) | Generation device, generation method, and generation program | |
JP6930667B2 (ja) | 検知装置および検知プログラム | |
Gupta et al. | Alleviating the proliferation of JavaScript worms from online social network in cloud platforms | |
JP6564137B2 (ja) | 検知装置、検知方法、検知システム、および検知プログラム | |
Chiba et al. | Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts | |
TWI807451B (zh) | 惡意軟體掃描技術 | |
JP5684842B2 (ja) | 悪性サイト検出装置、悪性サイト検出方法およびプログラム | |
US11233809B2 (en) | Learning device, relearning necessity determination method, and relearning necessity determination program | |
CN112269990A (zh) | 一种安全事件类型确定方法、设备、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210713 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210726 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6930667 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |