JP7092192B2 - 判定方法、判定装置および判定プログラム - Google Patents

判定方法、判定装置および判定プログラム Download PDF

Info

Publication number
JP7092192B2
JP7092192B2 JP2020521094A JP2020521094A JP7092192B2 JP 7092192 B2 JP7092192 B2 JP 7092192B2 JP 2020521094 A JP2020521094 A JP 2020521094A JP 2020521094 A JP2020521094 A JP 2020521094A JP 7092192 B2 JP7092192 B2 JP 7092192B2
Authority
JP
Japan
Prior art keywords
attack
request
server
feature
code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020521094A
Other languages
English (en)
Other versions
JPWO2019225216A1 (ja
Inventor
楊 鐘本
一史 青木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2019225216A1 publication Critical patent/JPWO2019225216A1/ja
Application granted granted Critical
Publication of JP7092192B2 publication Critical patent/JP7092192B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、判定方法、判定装置および判定プログラムに関する。
webアプリケーションは多くのサービスで利用されている一方で、不特定多数からアクセス可能なため攻撃に晒されやすい性質を持つ。攻撃は、WAF(Web Application Firewall)、NIDS(Network-based Intrusion Detection System)等により検知することができるが、攻撃が成功したか否かについては大量のアラートを調査・検証する必要がある。そこで、例えば、攻撃が成功したか否かを判定するため、攻撃リクエストに対応するレスポンスを検査し、攻撃が成功した際に現れる特徴があれば攻撃が成功したと判定し、攻撃が成功した際に現れる特徴がなければ攻撃が失敗したと判定する技術が考えられる(例えば、非特許文献1参照)。
鐘揚、青木一史、三好潤、嶋田創、高倉弘喜、"AVT Lite: 攻撃コードのエミュレーションに基づくWeb攻撃の成否判定手法"、コンピュータセキュリティシンポジウム 2017 論文集、2017
しかしながら、上記した従来の技術では、攻撃リクエストに対応するレスポンスを検査対象とするので、攻撃リクエストに対応するレスポンスとは異なるレスポンスに攻撃の痕跡(特徴)が現れる場合には、攻撃の成否を適切に判定することが出来ない場合があるという課題があった。
本発明は、上記に鑑みてなされたものであって、攻撃リクエストに対応するレスポンスとは異なるレスポンスに攻撃の痕跡が現れる場合であっても、攻撃の成否を適切に判定することを容易にすることを目的とする。
上述した課題を解決し、目的を達成するために、本発明の判定方法は、攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定方法であって、前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定ステップと、前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施し、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバからのレスポンスに現れる特徴を抽出する特徴抽出ステップと、前記攻撃リクエスト以降の前記サーバへの複数のリクエストにそれぞれ対応する複数のレスポンスが、前記抽出した特徴を有するかそれぞれ検査し、前記複数のレスポンスのうち少なくともいずれか一つが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定ステップとを含んだことを特徴とする。
また、本発明の判定装置は、攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定装置であって、前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定部と、前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施し、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバからのレスポンスに現れる特徴を抽出する特徴抽出部と、前記攻撃リクエスト以降の前記サーバへの複数のリクエストにそれぞれ対応する複数のレスポンスが、前記抽出した特徴を有するかそれぞれ検査し、前記複数のレスポンスのうち少なくともいずれか一つが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定部とを備えたことを特徴とする。
また、本発明の判定プログラムは、攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定プログラムであって、前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定ステップと、前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施し、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバからのレスポンスに現れる特徴を抽出する特徴抽出ステップと、前記攻撃リクエスト以降の前記サーバへの複数のリクエストにそれぞれ対応する複数のレスポンスが、前記抽出した特徴を有するかそれぞれ検査し、前記複数のレスポンスのうち少なくともいずれか一つが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定ステップとをコンピュータに実行させることを特徴とする。
本発明によれば、攻撃リクエストに対応するレスポンスとは異なるレスポンスに攻撃の痕跡が現れる場合であっても、攻撃の成否を適切に判定することができるという効果を奏する。
図1は、第1の実施形態の判定装置の動作概要を説明する図である。 図2は、第1の実施形態の判定装置の動作概要を説明する図である。 図3は、図1の判定装置の構成例を示す図である。 図4は、図3の攻撃タイプ別キーワードリストの例を示す図である。 図5は、図3の判定装置による攻撃の成否を判定する処理を説明する図である。 図6は、図3の判定装置による攻撃の成否を判定する処理を説明する図である。 図7は、図3の判定装置の処理手順を示すフローチャートである。 図8は、第1の実施形態の判定装置の効果を説明する図である。 図9は、第1の実施形態の判定装置の効果を説明する図である。 図10は、第1の実施形態の判定装置の効果を説明する図である。 図11は、第2の実施形態の判定装置の構成例を示す図である。 図12は、第2の実施形態の判定装置による入出力URLルールを作成する処理を説明する図である。 図13は、第2の実施形態の判定装置による入出力URLルールを作成する処理を説明する図である。 図14は、第2の実施形態の判定装置による攻撃の成否を判定する処理を説明する図である。 図15は、第3の実施形態の判定装置の構成例を示す図である。 図16は、第3の実施形態の判定装置によるファイル名ルールテーブルを作成する処理を説明する図である。 図17は、第3の実施形態の判定装置による攻撃の成否を判定する処理を説明する図である。 図18は、各実施形態の判定装置を含むネットワークの構成例を示す図である。 図19は、判定プログラムを実行するコンピュータを示す図である。
以下、図面を参照しながら、本発明の実施形態を説明する。本発明は本実施形態に限定されない。
[第1の実施形態]
[概要]
図1および図2を用いて、第1の実施形態の判定装置10の動作概要を説明する。まず、判定装置10は、例えば、図1に示すように、webアプリケーション(webサーバ)への攻撃リクエスト(1)を受信すると、この攻撃リクエストに含まれる攻撃コードと、攻撃タイプとを特定する。そして、判定装置10は、特定した攻撃タイプ(例えば、OS(Operating System)コマンドを悪用する攻撃タイプ)に応じたエミュレータで攻撃コードを実行し、実行の結果のwebサーバから出力される情報を攻撃の成功時に出力される特徴(例えば、「root:*:0:/bin/sh…」)として抽出する(2)。
その後、判定装置10は、webサーバからのレスポンス(3)を検査し、レスポンスに、(2)で抽出した特徴(例えば、「root:*:0:/bin/sh」)が含まれている場合、攻撃は成功と判定する((4)検査結果 攻撃は成功)。ここで、第1の実施形態の判定装置10では、図2に示すように、攻撃リクエストがあった際、抽出された特徴を攻撃リクエストに対するレスポンスだけでなく、それ以後のレスポンスであって、所定の条件に合致した全てのレスポンスを検査対象として、抽出した特徴が含まれているか否かを判定し、抽出した特徴が含まれている場合には、攻撃は成功と判定する。
このようにすることで、判定装置10は、攻撃リクエストがあった際、抽出された痕跡を用いて、そのリクエストに対するレスポンスだけでなく、以後のレスポンスに対しても検査を行うことで複数リクエストに跨る攻撃の成否を判定することができる。この結果、判定装置10では、既存のシステムを改変することなく、複数のリクエストに跨る攻撃に対して、その攻撃の成否を適切に判定することが可能である。
[構成]
次に、図3を用いて判定装置10の構成を説明する。判定装置10は、記憶部11と、攻撃検知部121と、攻撃タイプ判定部122と、攻撃コード解析部(特徴抽出部)123と、特徴選定部124と、成否判定部125とを備える。
攻撃タイプ別キーワードリスト111は、攻撃タイプごとに、当該攻撃タイプの攻撃コードに含まれるキーワードを示した情報である。この攻撃タイプ別キーワードリスト111は、攻撃タイプ判定部122が、攻撃コードに含まれるキーワードから攻撃タイプを判定する際に参照される。
なお、攻撃タイプは、例えば、A.OSコマンドを悪用する攻撃タイプ、B.プログラムコードを悪用する攻撃タイプ、C.SQLコマンド(DBの機能)を悪用する攻撃タイプ(例えば、SQL Injection等)、D.HTTPレスポンスを悪用する攻撃タイプ(例えば、XSS、Header Injection等)、E.ファイル操作を悪用する攻撃タイプ(例えば、ディレクトリトラバーサル等)の5つのタイプに分けられる。
なお、図4に例示するように、上記のA.の攻撃タイプではOSコマンドの名前をキーワードとする。また、B.の攻撃タイプではプログラミング言語で利用する固有表現をキーワードとする。例えば、PHPであればprint_r、var_dump、base64_decode等のPHPに固有の関数あるいはPHPの固有表現等($_GET、$_POST等)をキーワードとする。その他のプログラミング言語(Java(登録商標)、Perl、Ruby、Python等)においても同等である。そのため、B.の攻撃タイプではプログラミング言語毎に攻撃タイプ別キーワードリストを保持している。このとき、どのプログラミング言語に当たるかの情報は、例えば、図4に示すように、サブ攻撃タイプとして保持する。
また、C.の攻撃タイプではSQLコマンドの名前(select、update、insert、drop等)やDBアクセスの際の特徴的な表現をキーワードとする。例えば、MySQLの場合、information_schema、@@version、mysql等である。さらに、D.の攻撃タイプではHTMLやJavascript(登録商標)で利用される固有表現(alert、onclick等)をキーワードとする。また、E.の攻撃タイプではディレクトリトラバーサル攻撃で利用される固有表現(../等)をキーワードとする。
図3の説明に戻る。特徴候補DB112は、攻撃コード解析部123よる攻撃コードのエミュレーションの結果、webサーバから出力された情報(特徴候補)を記憶する。
リクエスト・レスポンスDB113は、様々なwebアプリケーション(webサーバ)へのリクエストおよび様々なwebアプリケーション(webサーバ)からのレスポンスを記憶する。なお、このリクエスト・レスポンスDB113は、特徴選定部124が、特徴候補から、通常のレスポンスに頻繁に登場する語(普遍的な語)を除外する際に参照されるための情報も記憶してもよい。この場合には、リクエスト・レスポンスDB113は、例えば、攻撃が来ないことが保証されている試験環境でレスポンスを取得して作成される。あるいは、攻撃検知部121で検知されなかったリクエストに対応するレスポンスを用いて作成される。
特徴DB114は、攻撃コードによる攻撃の成功時にwebサーバから出力される特徴を記憶する。具体的には、特徴DB114は、特徴候補DB112に記憶される特徴候補の中から特徴選定部124により選定された特徴を記憶する。この特徴DB114に記憶される特徴は、成否判定部125が、webサーバからのレスポンスに基づき、攻撃が成功したか否かを判定する際に参照される。
攻撃検知部121は、webサーバへのリクエストが攻撃か否かの判定(攻撃検知)を行う。攻撃検知のアルゴリズムは、既存のシグネチャ検知のアルゴリズム(例えば、Snort (https://www.snort.org/)や、Bro(https://www.bro.org/))や、異常検知のアルゴリズム(例えば、Detecting Malicious Inputs of Web Application Parameters Using Character Class Sequences, COMPSAC, 2015)を用いてよい。
なお、ここでは、攻撃検知部121が処理対象とするリクエストにおけるURLエンコードやHTMLエンコードはデコード済みであるとする。例えば、リクエストが「GET /index.php?id=1234%3Bcat%20%2Fetc%2Fpasswd%3B」である場合、「GET /index.php?id=1234;cat /etc/passwd;」にデコード済みであるものとする。
また、リクエストにおける攻撃コードの部分は、上記の既存のシグネチャ検知や異常検知のアルゴリズムにより出力されるものとする。例えば、リクエストが「GET /index.php?id=1234;cat /etc/passwd;」である場合、上記のアルゴリズムにより、上記のリクエストの攻撃コードの部分である「1234;cat /etc/passwd;」が出力されるものとする。
攻撃タイプ判定部122は、攻撃検知部121により攻撃と判定されたリクエストに含まれる攻撃コードに対して攻撃タイプの判定を行う。
ここで、攻撃タイプ判定部122は、例えば、webアプリケーションに対する攻撃の中でも特に重要と思われる、5つの攻撃タイプ(上記のA.~E.の攻撃タイプ)のいずれであるかを判定する。ここでの攻撃タイプの判定は、攻撃コードに含まれるキーワードが、攻撃タイプ別キーワードリスト111(図3参照)に示されるどの攻撃タイプのキーワードとマッチするかにより行われる。
例えば、攻撃タイプ判定部122は、攻撃タイプ別キーワードリスト111を参照して、攻撃コードに「cat」が含まれていれば、当該攻撃コードをA.の攻撃タイプ(OSコマンドを悪用する攻撃タイプ)と判定する。また、攻撃タイプ判定部122は、攻撃コードに「print_r」が含まれていれば、当該攻撃コードをB.の攻撃タイプ(プログラムコードを悪用する攻撃タイプ)であり、その中でもphpを用いた攻撃タイプであると判定する。
なお、攻撃タイプ判定部122は、攻撃コードが、攻撃タイプ別キーワードリスト111(図3参照)に示される複数の攻撃タイプのキーワードとマッチした場合、例えば、攻撃コードの最初(攻撃コード内で最も左の位置)に出現したキーワードの攻撃タイプであると判定する。
一例を挙げると、攻撃コードが「;php -e “$i=123456789;var_dump($1)”;」の場合、攻撃タイプ別キーワードリスト111において、A.の攻撃タイプのキーワードである「php」と、B.の攻撃タイプのキーワードである「var_dump」とが出現する。このような場合、攻撃タイプ判定部122は、上記の攻撃コードにおいて「php」の方が「var_dump」よりも初めに出現しているので、A.の攻撃タイプと判定する。
なお、攻撃タイプ判定部122は、攻撃タイプ別キーワードリスト111を参照して、攻撃コードがどの攻撃タイプともマッチしなかった場合は判定不可とする。
攻撃コード解析部123は、攻撃コードについてエミュレータを用いた動的解析を行うことにより、当該攻撃コードを実行した際にwebサーバからのレスポンスに現れる特徴(出力)を抽出する。
具体的には、攻撃コード解析部123は、攻撃タイプ判定部122で判定された攻撃コードの攻撃タイプに応じたエミュレータを用いて、当該攻撃コードによるwebアプリケーションへの攻撃のエミュレーションを実施する。そして、攻撃コード解析部123は、攻撃コードのエミュレーションにおいて攻撃に対するレスポンスに現れる出力を、攻撃の成功時に現れる特徴候補として抽出する。
なお、上記の各攻撃タイプに応じたエミュレータは、例えば、デバッガやインタープリタを応用して事前に作成しておき、攻撃コード解析部123は、事前作成されたエミュレータから、攻撃タイプに応じたエミュレータを選択する。
攻撃コード解析部123は、例えば、以下のようにして攻撃コードを実行した際のリクエストに対するレスポンスに現れる特徴(出力)を抽出する。
例えば、攻撃コードの攻撃タイプがA.OSコマンドを悪用する攻撃タイプである場合、攻撃コード解析部123は、OSコマンドを実行できる環境(例えば、Windows(登録商標)のコマンドプロンプト、Linux(登録商標)のbash、あるいはコマンドをエミュレートできるエミュレータ)を用いて、当該攻撃コードをコマンドとして実行する。
一例を挙げると、攻撃コード解析部123は、「bash -c "cat /etc/passwd;”」というように、bashコマンドに-c引数で指定したコマンドを実行させる。そして、攻撃コード解析部123は、コマンドの実行による標準出力、標準エラー出力の内容を特徴候補として抽出する。例えば、攻撃コード解析部123は、攻撃コード「cat /etc/passwd;」に対し、標準出力:「root:*:0:/bin/sh …」、標準エラー出力「なし」という情報を特徴候補として抽出する。
また、例えば、攻撃コードの攻撃タイプが、B.プログラムコードを悪用する攻撃タイプである場合、攻撃コード解析部123は、プログラミング言語に対して適切なインタープリタあるいはエミュレータを用いて、当該攻撃コードを実行する。
一例を挙げると、攻撃コードが、phpコードの場合、攻撃コード解析部123は、「php -r ”print(‘123456789’);die();”」というように、phpインタープリタに-r引数で指定したコードを実行させる。また、攻撃コードがpythonコードの場合、攻撃コード解析部123は、「python -c “import sys;print 123456789;sys.exit()”」というように、pythonインタープリタに-c引数で指定したコードを実行させる。
そして、攻撃コード解析部123は、コードの実行後、標準出力、標準エラー出力の内容を特徴候補として抽出する。例えば、phpコードの場合、攻撃コード「print(‘123456789’);die();」に対し、標準出力「123456789」、標準エラー出力「なし」という情報を特徴候補として抽出する。
また、攻撃コードの攻撃タイプが、C.SQLコマンド(DBの機能)を悪用する攻撃タイプ(例えば、SQL Injection等)である場合、攻撃コード解析部123は、DBに対してSQL文を実行できるターミナルあるいはエミュレータを用いて、当該攻撃コードを実行する。
なお、SQL Injection攻撃によって挿入されるSQL文(SQLコマンド)は部分的なものであり、そのままでは実行できない。よって、攻撃コード解析部123は、SQL文の整形を行う。例えば、攻撃コード解析部123は、SQL文のSELECT句等より前の部分を消去することにより、SQL文をSELECT句等が攻撃コードの最初に現れるように変更する。なお、攻撃コード解析部123が、SQL文の句のうち、最初に現れるように調整するキーワードはSELECT句以外の句(例えば、update、delete、drop等の句)であってもよく、これらの句は攻撃タイプ別キーワードリスト111(図3参照)で与えられているものとする。
攻撃コード解析部123は、整形後のSQL文の実行による標準出力、標準エラー出力の内容を特徴候補として抽出する。例えば、攻撃コード解析部123は、攻撃コード「’ union select 123456789 -」を「select 123456789」に整形する。そして、攻撃コード解析部123は、整形後の攻撃コードの実行による標準出力「123456789」、標準エラー出力「なし」という情報を特徴候補として抽出する。
また、攻撃コードの攻撃タイプが、D.HTTPレスポンスを悪用する攻撃タイプ(例えば、XSS、Header Injection等)である場合、攻撃コード解析部123は、攻撃の性質上、攻撃コードそのものがレスポンスとしてクライアントに送られるため、攻撃コードそのものを特徴候補として抽出する。
例えば、攻撃コードがXSSによる攻撃コード「<script>alert(1)</script>」である場合、攻撃コード解析部123は、「<script>alert(1)</script>」を特徴候補として抽出する。また、攻撃コードがHeader Injectionによる攻撃コード「\r\nSet-Cookie:1234;」である場合、攻撃コード解析部123は、「\r\nSet-Cookie:1234;」を特徴候補として抽出する。
また、攻撃コードの攻撃タイプが、E.ファイル操作を悪用する攻撃タイプ(例えば、ディレクトリトラバーサル等)である場合、攻撃コード解析部123は、攻撃コードに現れるファイル名をOS内で検索し、そのファイル名のファイルの内容を特徴候補として抽出する。
例えば、攻撃コードが「../../../../etc/passwd」である場合、攻撃コード解析部123は、OS内から検索された、当該攻撃コードに現れるファイル名のファイルの内容である「root:*:0:/bin/sh …」を特徴候補として抽出する。
このようにすることで、攻撃コード解析部123は、攻撃コードの攻撃タイプに応じたエミュレーションを実行し、当該攻撃コードによる攻撃の成功時の特徴(特徴候補)を抽出することができる。なお、攻撃コード解析部123により抽出された特徴候補は特徴候補DB112に記憶される。
特徴選定部124は、攻撃コード解析部123により抽出された特徴候補の中から、特徴としては不適切な候補を除外する。具体的には、特徴選定部124は、特徴候補DB112に記憶される特徴候補の中から、普遍的過ぎて攻撃の成否の判定に利用できない可能性の高い特徴候補を除外する。
例えば、特徴選定部124は、特徴候補DB112に記憶される特徴候補のうち、文字列長が極端に短い(例えば、文字列長が2以下の)特徴候補を除外し、その後、通常のレスポンスにも現れる普遍的な語の特徴候補を除外し、残った特徴候補を攻撃成功時の特徴として、特徴DB114に記憶する。
例えば、特徴選定部124は、特徴候補「1、2、title、page、123456789」の中から、文字列長が所定値(例えば、2)以下の特徴候補「1、2」を除外する。その後、特徴選定部124は、文字列長が所定値(例えば、2)以下の特徴候補を除外した「title、page、123456789」から普遍的な語を除外する。
ここでの普遍的な語は、例えば、攻撃でないリクエストに対するレスポンスに含まれる語であるものとする。従って、特徴選定部124は、リクエスト・レスポンスDB113を参照して、特徴候補「title、page、123456789」のうち、リクエスト・レスポンスDB113における出現回数が1以上の特徴候補を除外する。そして、特徴選定部124は、除外の結果の残った特徴候補を攻撃成功時の特徴として、特徴DB114に記憶する。
一例を挙げる。ここでは、リクエスト・レスポンスDB113にレスポンス「<html><title>My blog page</title><p>Hello world ! Date : 2017/4/1</p></html>」が記憶されている場合を考える。この場合、特徴選定部124は、特徴候補「title、page、123456789」のうち、当該レスポンスに出現する特徴候補「title、page」を除外する。そして、特徴選定部124は、除外の結果の残った特徴候補「123456789」を攻撃成功時の特徴として、特徴DB114に記憶する。
このようにすることで、特徴選定部124は、特徴候補DB112から、普遍的な語を除外する際、リクエスト・レスポンスDB113を用いることとしたが、予め用意された普遍的な語のリストを用いることとしてもよい。
また、特徴選定部124は、攻撃コード解析部123により抽出された特徴候補に対し、上記のように、文字列長が極端に短い特徴候補の除外と、普遍的な語の特徴候補の除外とを行ってもよいし、いずれか一方のみを行ってもよい。
成否判定部125は、攻撃リクエスト以降のwebサーバへの複数のリクエストにそれぞれ対応する複数のレスポンスが、抽出した特徴を有するかそれぞれ検査し、複数のレスポンスのうち少なくともいずれか一つが、抽出した特徴を有する場合、攻撃コードによる攻撃が成功したと判定する。一方、成否判定部125は、当該のレスポンスに、特徴DB114に記憶される特徴が含まれない場合、攻撃は失敗したと判定する。そして、成否判定部125は、攻撃の成否(成功/失敗)の判定結果を出力する。
つまり、成否判定部125では、攻撃リクエストから抽出できた痕跡(特徴)を特徴DB114から取得し、レスポンスにその痕跡の有無を検査することで攻撃の成否を判定する。
例えば、成否判定部125では、攻撃リクエストから所定の閾値T時間以内にwebサーバへ送信された複数のリクエストにそれぞれ対応する複数のレスポンスが、抽出した特徴を有するかそれぞれ検査し、複数のレスポンスのうち少なくともいずれか一つが、抽出した特徴を有する場合、攻撃コードによる攻撃が成功したと判定する。具体的には、成否判定部125は、攻撃リクエストがあった際、その攻撃リクエストの痕跡を、攻撃リクエストに対するレスポンスだけでなく、所定の閾値T時間以内の送信元IPアドレスが攻撃リクエストと同じ、全てのレスポンスに対して攻撃痕跡の検査を行う。なお、時間条件以外にも、特徴DB114に保持されているリクエスト数あるいは痕跡数が閾値になるまで、送信元IPアドレスが攻撃リクエストと同じ、全てのレスポンスに対して攻撃痕跡の検査を行うようにしてもよい。
ここで、図5および図6の例を用いて、攻撃の成否を判定する処理について説明する。図5および図6は、図3の判定装置による攻撃の成否を判定する処理を説明する図である。図5の例では、リクエスト1が攻撃と判定され,攻撃痕跡が抽出された際に検査対象となるレスポンスはどれかを表している。この例では検査する対象となるレスポンスは1、2及び4である。また、レスポンス3は攻撃リクエストの送信元IPアドレスと異なるため、検査対象外であり、レスポンス5はリクエスト1からT時間以上経過しているため、検査対象外である。このように送信元IPアドレスによって制限を設けた理由としては検証するレスポンスの候補数をできるだけ減らすことによって処理パフォーマンスを向上させるためである。
また、図6で例示するように、リクエスト1による攻撃がレスポンス3で攻撃痕跡と一致したので攻撃が成功したと判定している例である。つまり、成否判定部125では、攻撃リクエスト1があった際、抽出された痕跡をそのリクエスト1に対するレスポンス1だけでなく、以後のレスポンス3に対しても検査を行うことで複数リクエストに跨る攻撃の成否を判定することができる。
[処理手順]
次に、図7を用いて、判定装置10の処理手順を説明する。まず、判定装置10の攻撃検知部121は、webアプリケーションへのリクエストが攻撃か否かを判定する(S1)。ここで、当該リクエストが攻撃であれば(S1でYes)、攻撃タイプ判定部122は、攻撃タイプ別キーワードリスト111を参照して、当該リクエストに含まれる攻撃コードの攻撃タイプを判定する(S2)。攻撃タイプ判定部122が攻撃タイプを判定可能な場合(S3でYes)、攻撃コード解析部123は、判定された攻撃タイプに基づき、攻撃コードのエミュレーションを実行し、実行の結果出力された情報を、攻撃成功時の特徴候補として抽出する攻撃コード解析処理を行う(S4)。なお、S1において攻撃検知部121がwebアプリケーションへのリクエストは攻撃ではないと判定した場合(S1でNo)、処理を終了する。
S4の後、特徴選定部124は、S4で抽出された特徴候補の中から、特徴としては不適切な特徴候補(例えば、普遍的な語)を除外した特徴候補を、攻撃の成否の判定に用いる特徴として選定する(S5)。この攻撃の成否の判定に用いる特徴は、例えば、特徴DB114に記憶される。
S5の後、特徴DB114に特徴が存在すれば(S6でYes)、成否判定部125は、攻撃リクエストがあってから一定時間Tが経過したか判定する(S7)。この結果、攻撃リクエストがあってから一定時間Tが経過していれば(S7でYes)、成否判定部125は、攻撃は失敗したとして、外部装置等に通知する(S10)。また、攻撃リクエストがあってから一定時間Tが経過していなければ(S7でNo)、成否判定部125は、到着したリクエストのレスポンス内に特徴DB114に記憶される特徴が含まれるか判定する(S8)。例えば、成否判定部125は、特徴DB114に記憶される特徴と、攻撃の成否の判定対象となるwebアプリケーションからのレスポンスとを照合することにより、攻撃が成功したか否かを判定する。
S8の特徴検査において、成否判定部125が、到着したリクエストのレスポンス内に特徴DB114に記憶される特徴が含まれると判定した場合(S8でYes)、攻撃は成功したとして、外部装置等に通知する(S9)。また、到着したリクエストのレスポンス内に特徴DB114に記憶される特徴が含まれていないと判定した場合(S8でNo)、S7に戻り、上記の処理を繰り返す。つまり、成否判定部125は、攻撃リクエストがあってから一定時間T以内のレスポンスに、特徴DB114に記憶される特徴が含まれている場合、当該webアプリケーションへの攻撃が成功したと判定する。
なお、S3において攻撃タイプ判定部122が攻撃タイプの判定不可能な場合(S3でNo)、あるいは、S6において特徴DB114に特徴が存在しないと判定された場合(S6でNo)、判定装置10は、攻撃の成否判定は不可として、外部装置等に通知する(S11)。
[第1の実施形態の効果]
このような判定装置10によれば、攻撃リクエストに対応するレスポンスとは異なるレスポンスに攻撃の痕跡が現れる場合であっても、攻撃の成否を適切に判定することができるという効果を奏する。
攻撃リクエストに対応するレスポンスとは異なるレスポンスに攻撃の痕跡が現れるような、複数のリクエストに跨る典型的な攻撃には、例えば、Second order SQL injection、Stored XSS、Blind command injection、Command execution via File Uploadなどが存在する。ここで、図8~図10の具体例を用いて、第1の実施形態の判定装置10の効果を説明する。図8~図10は、第1の実施形態の判定装置の効果を説明する図である。
まず、図8を用いて、Second order SQL injectionやStored XSS等の攻撃に対する第1の実施形態の判定装置の効果を説明する。例えば、ブログアプリケーションで記事を編集するURL(/edit.php)と記事を閲覧するURL(/view.php)が存在するとする。また、以下のように記事IDを指定して、記事を編集したり閲覧したりする仕様であるとする。
編集:GET /edit.php?id=1&content=My first post
閲覧:GET /view.php?id=1
contentパラメタのサニタイズ処理に脆弱性があり、SQLインジェクションやXSSの脆弱性がある場合、図8に例示するリクエスト(1)やリクエスト(3)のように攻撃が可能である。アプリケーションの仕様上、攻撃コード「union select version()--」や「<script>alert(1);</script>」は記事の編集時ではなく、記事を閲覧する時に実行されるため、/edit.phpにアクセスした際に攻撃成功の痕跡が現れる訳ではなく、その後記事を閲覧する/view.phpにアクセスした際に攻撃成功の痕跡が現れる。ここで、攻撃の痕跡とは、攻撃コードを実行した証跡であり、例えばSQLインジェクションである「union select version()--」の場合には、DBのバージョン情報(10.0.3-MariaDB等の文字列)が漏洩する。
第1の実施形態の判定装置10では、リクエスト(1)やリクエスト(3)に対応するレスポンス(1)、(3)だけでなく、リクエスト(2)やリクエスト(4)に対応するレスポンス(2)、(4)も検査対象とするので、攻撃リクエストに対応するレスポンスとは異なるレスポンスに攻撃の痕跡が現れる場合であっても、攻撃の成否を適切に判定することができる。
次に、図9を用いて、Blind command injectionの攻撃に対する第1の実施形態の判定装置の効果を説明する。この攻撃は任意のコマンド/コードが実行できる脆弱性がある場合に、アプリケーションの仕様により出力に制約がある場合でも利用できる攻撃手法である。例えば、図9に例示するリクエスト(1)の攻撃が行われた場合,攻撃者が挿入した攻撃コード部分である「;cat /etc/passwd」が実行され、意図しないファイル(/etc/passwd)の内容が漏洩する。
しかし、アプリケーションの仕様によっては出力に制限があるため、上記の攻撃コードではファイルの内容を出力できない場合がある。そのため攻撃者はリクエスト(1)に示すように、ファイルの内容を一旦公開されているディレクトリにファイルとして書き込み、その後そのファイルに直接アクセスすることで攻撃コードの実行結果を漏洩させることができる(例えば、参考文献参照)。
参考文献:Commix: Detecting & Exploiting Command Injection Flaws.
https://www.blackhat.com/docs/eu-15/materials/eu-15-Stasinopoulos-Commix-Detecting-And-Exploiting-Command-Injection-Flaws.pdf
このような攻撃では攻撃コードが含まれているのはリクエスト(1)であるが、攻撃成功の痕跡であるファイル/etc/passwdの内容はレスポンス(2)に現れる。第1の実施形態の判定装置10では、リクエスト(1)に対応するレスポンス(1)だけでなく、リクエスト(2)に対応するレスポンス(2)も検査対象とするので、攻撃リクエストに対応するレスポンスとは異なるレスポンスに攻撃の痕跡が現れる場合であっても、攻撃の成否を適切に判定することができる。
次に、図10を用いて、Command execution via File Uploadの攻撃に対する第1の実施形態の判定装置の効果を説明する。この攻撃手法はファイルをアップロードできる機能を悪用するものである。例えば、ブログ等のコンテンツを管理するアプリケーションでは画像などのメディアのみに限ってファイルをアップロードする機能が存在するが、実装の脆弱性によりPHP等のサーバ上実行可能なファイルもアップロードできてしまう場合がある。
例えば、図10に例示するリクエスト(1)は/upload.phpを経由して攻撃コード「<?php system(“cat /etc/passwd”)?>」が書かれたファイルexploit.jpg.phpをアップロードしている。アップロードしたファイルが/uploadfileというディレクトリに保存されることがわかっていれば、下記に示すリクエスト(2)のようにアクセスすることで攻撃コードを実行できる。この攻撃では下記のように、攻撃コードが含まれているのはリクエスト(1)であるが、攻撃成功の痕跡であるファイル/etc/passwdの内容はレスポンス(2)に現れる。
第1の実施形態の判定装置10では、リクエスト(1)に対応するレスポンス(1)だけでなく、リクエスト(2)に対応するレスポンス(2)も検査対象とするので、攻撃リクエストに対応するレスポンスとは異なるレスポンスに攻撃の痕跡が現れる場合であっても、攻撃の成否を適切に判定することができる。
[第2の実施形態]
上記した第1の実施形態の判定装置10では、送信元IPアドレスによる制約を設けることによって検査対象を絞り込んでいたが、攻撃者によってはリクエスト毎に異なるIPアドレスを使用してアクセスする可能性も存在し、検査漏れとなる。このため、送信元IPアドレスの制約をなくすことで、検査漏れを減らすことができるが、検査対象が膨大になり処理性能に影響を及ぼす。
このため、攻撃手法に応じた個別の制約を設けることで検査対象を絞り込むようにしてもよい。例えば、Second order SQL injectionやStored XSSによる攻撃手法では入力と出力の関係性を事前にリクエスト・レスポンスの内容からルール化し、リクエストのURLに制約となるルールを設けることで検査対象を絞り込む。この場合の判定装置10を、第2の実施形態の判定装置10aとして説明する。前述した実施形態と同じ構成については同じ符号を付して説明を省略する。
図11を用いて第2の実施形態の判定装置10aの構成を説明する。図11に示すように、第2の実施形態の判定装置10aは、第1の実施形態の判定装置10と比較して、入出力URLルールテーブル115および入出力URLルール作成部126を有する点が異なる。
入出力URLルールテーブル115は、入力URLおよび出力URLの組を、検査対象のリクエストを検索するための入出力URLルールとして規定したテーブルである。
入出力URLルール作成部126は、過去のリクエストとレスポンスから、所定のキーワードが含まれるリクエストのURLパス部分を入力URLとし、所定のキーワードを含まれるレスポンスに対応するリクエストのURLパス部分を出力URLとし、該入力URLおよび出力URLの組を、検査対象のリクエストを検索するための入出力URLルールとして作成する。
つまり、入出力URLルール作成部126では、入出力URLルール作成部では過去のリクエストとレスポンスから、ユーザから入力を受け取るURLとその入力が処理されて出力されるURLのルールを作成する。以下に入出力URLルール作成部126の具体的な処理例を記載する。
まず、入出力URLルール作成部126は、リクエストURLからパラメタ値を抽出し、入力がキーワードとなる文字列かどうか判定する。キーワードとなる文字列はそのアプリケーションの一般的な出力やHTMLとして普遍的な表現を除外した固有的な表現である文字列である。例えば、図12の例ではidパラメタの1、2、3は一般的な表現であるが、contentの1234abcd,5678wxyzはキーワードである。
そして、入出力URLルール作成部126は、キーワードが含まれるレスポンスが存在する場合、キーワードが含まれるリクエストのURLパス部分を入力URLとする。キーワードが含まれるレスポンスに対するリクエストのURLパス部分を出力URLとする。例えば、図12の例では入力URLは/edit.php、出力URLは/view.phpとなる。
入出力URLルール作成部126は、上記の入力URLと出力URLの対応を一つのタプル(入力URL,出力URL)として集計し、タプルの出現回数が閾値N以上出現した場合、入出力URLルールテーブル115に格納する。例えば、入出力URLルールテーブル115では、図13の例に例示するように、入出力URLルール作成部126によって格納された入力URLと出力URLとの組が記憶されている。
成否判定部125は、攻撃リクエストのURLパス部分が入出力URLルールの入力URLと一致する場合に、攻撃リクエスト以降のwebサーバへのリクエストのうち、該入力URLに対応する出力URLに一致するリクエストに対応するレスポンスが、抽出した特徴を有するか検査し、抽出した特徴を有する場合、攻撃コードによる攻撃が成功したと判定する。
具体的には、成否判定部125は、攻撃リクエストのURLパスが入出力URLルールテーブル115の入力URLに存在するか検査する。そして、成否判定部125は、存在する場合、その入力URLに対応する出力URLに一致するリクエストのURLパスのレスポンスのみを検査対象とする。例えば、図13に例示する入出力URLルールの場合には、攻撃リクエストのURLパスが/edit.phpならば、リクエストURLパスが/view.phpとなるリクエストのレスポンスのみを検査することとなる。
図14での例では、リクエスト1による攻撃がレスポンス3で攻撃痕跡と一致したので攻撃が成功したと判定している。なお、この例では、入出力URLルールテーブル115は、図13に例示したものを利用しているものとする。図14に例示するように、第1の実施形態の判定装置10では、リクエスト3は送信元IPアドレスがリクエスト1のものと異なるため、検査対象外となり検知漏れが発生していたが、第2の実施形態の判定装置10aでは、リクエストURLパスが/view.phpとなるリクエストのレスポンスを検査するので、リクエスト3が検査対象となり、攻撃が成功したと正しく判定することが可能である。
このように、第2の実施形態の判定装置10aでは、攻撃リクエストの送信元IPアドレスが変化しても、攻撃の入出力が異なるURLとなる攻撃についても検査対象とすることができ、検知漏れを減らすことが可能である。
[第3の実施形態]
上記した第2の実施形態の判定装置10aでは、入出力のURLに着目して検査対象を絞り込むことをしていたが、Blind command injectionやCommand execution via File Uploadは入出力でURLは変化しないため、第2の実施形態の判定装置10aでは対応できない。しかし、これらの攻撃手法はファイルを介するため、作成されるファイル名とリクエストのURLを比較することで検査対象を絞りこむことが可能である。この場合の判定装置10を、第3の実施形態の判定装置10bとして説明する。前述した実施形態と同じ構成については同じ符号を付して説明を省略する。
図15を用いて第3の実施形態の判定装置10bの構成を説明する。図15に示すように、第3の実施形態の判定装置10bは、第2の実施形態の判定装置10aと比較して、ファイル名ルールテーブル116およびファイル名ルール作成部127を有する点が異なる。
ファイル名ルールテーブル116は、攻撃コードから作成されたファイル名を、検査対象のリクエストを検索するためのファイル名ルールとして規定したテーブルである。
ファイル名ルール作成部127は、攻撃コードから作成されたファイル名を抽出し、該抽出したファイル名を、検査対象のリクエストを検索するためのファイル名ルールとして作成し、ファイル名ルールテーブル116に格納する。
例えば、Blind command injectionの場合には、攻撃者はOSのリダイレクト機能等を用いてファイルを作成するため、リダイレクトの表現に続くファイル名を抽出する。例えば、攻撃コードが「cat /etc/passwd > /var/www/secret」の場合リダイレクトの表現が「> 」であり、それに続くファイル名はsecretであるため、ファイル名ルール作成部127は、図16に例示するように、secretをファイル名ルールテーブル116に保存する。
また、例えば、Command execution via File Uploadの場合には、ファイルアップロードはリクエストメソッドがPOSTでかつ、ヘッダに「Content-Type: multipart/form-data; boundary=----」等の表現が現れるため、リクエストの内容から判別することができる。そして、ファイルはfilename等のパラメタに保存されているため、その値を抽出することでアップロードされるファイル名を判別できる。そして、ファイル名ルール作成部127は、抽出したファイルはファイル名ルールテーブル116に保存する。
成否判定部125は、攻撃リクエスト以降のwebサーバへのリクエストのうち、ファイル名ルールのファイル名が含まれるリクエストに対応するレスポンスが、抽出した特徴を有するか検査し、抽出した特徴を有する場合、攻撃コードによる攻撃が成功したと判定する。つまり、成否判定部125は、リクエストのURLにファイル名ルールテーブル116に存在するか検索を行い、存在する場合のみ、そのリクエストのレスポンスは検査対象とする。
図17は、リクエスト1による攻撃がレスポンス3で攻撃痕跡と一致したので攻撃が成功したと判定している例である。ファイル名ルールテーブル116には、前述したように、ファイル名ルールとして、secretが保存されているものとする。第1の実施形態の判定装置10では、リクエスト3は送信元IPアドレスがリクエスト1のものと異なるため、検査対象外となり検知漏れが発生していたが、第3の実施形態の判定装置10bでは、リクエスト3のURLにはsecretが含まれており、リクエスト3が検査対象となるため、攻撃が成功したと正しく判定される。
このように、第3の実施形態の判定装置10bでは、攻撃リクエストの送信元IPアドレスが変化しても、攻撃コードの出力をファイルに介する攻撃についても検査対象とすることができ、検知漏れを減らすことが可能である。
[その他の実施形態]
なお、各実施形態で述べた判定装置10、10a、10bにおける攻撃検知部121は、判定装置10の外部に設置されていてもよい。例えば、図18(a)、(b)に示すように、判定装置10、10a、10bの外部に設置されるWAF等の攻撃検知機器により実現されてもよい。また、判定装置10、10a、10bは、図18(a)に示すように、攻撃の成否の判定対象となるwebサーバと直接接続する構成(インライン構成)としてもよいし、図18(b)に示すように、webサーバとWAF等の攻撃検知機器経由で接続する構成(タップ構成)としてもよい。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記の実施形態で述べた判定装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を判定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、判定装置10を、クラウドサーバに実装してもよい。
図19を用いて、上記のプログラム(判定プログラム)を実行するコンピュータの一例を説明する。図19に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図19に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、上記の判定プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 判定装置
11 記憶部
111 攻撃タイプ別キーワードリスト
112 特徴候補DB
113 リクエスト・レスポンスDB
114 特徴DB
115 入出力URLルールテーブル
116 ファイル名ルールテーブル
121 攻撃検知部
122 攻撃タイプ判定部
123 攻撃コード解析部
124 特徴選定部
125 成否判定部
126 入出力URLルール作成部
127 ファイル名ルール作成部

Claims (7)

  1. 攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定方法であって、
    前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定ステップと、
    前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施し、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバからのレスポンスに現れる特徴候補を抽出し、特徴候補の中から、特徴候補の文字列長が所定値以下の特徴候補、または、特徴候補の語が所定の語と一致する特徴候補を、攻撃の成否の判定に利用できない特徴候補として除外して、特徴を抽出する特徴抽出ステップと、
    前記攻撃リクエスト以降の前記サーバへの複数のリクエストにそれぞれ対応する複数のレスポンスが、前記抽出した特徴を有するかそれぞれ検査し、前記複数のレスポンスのうち少なくともいずれか一つが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定ステップと
    を含んだことを特徴とする判定方法。
  2. 前記成否判定ステップは、前記攻撃リクエストから所定時間以内に前記サーバへ送信された複数のリクエストにそれぞれ対応する複数のレスポンスが、前記抽出した特徴を有するかそれぞれ検査し、前記複数のレスポンスのうち少なくともいずれか一つが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定することを特徴とする請求項1に記載の判定方法。
  3. 前記成否判定ステップは、前記攻撃リクエスト以降の前記サーバへのリクエストであって、且つ、前記攻撃リクエストと送信元IPアドレスが同じ複数のリクエストにそれぞれ対応する複数のレスポンスが、前記抽出した特徴を有するかそれぞれ検査し、前記複数のレスポンスのうち少なくともいずれか一つが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定することを特徴とする請求項1に記載の判定方法。
  4. 過去のリクエストとレスポンスから、所定のキーワードが含まれるリクエストのURLパス部分を入力URLとし、所定のキーワードを含まれるレスポンスに対応するリクエストのURLパス部分を出力URLとし、該入力URLおよび出力URLの組を、検査対象のリクエストを検索するための入出力URLルールとして作成する入出力URLルール作成ステップをさらに含み、
    前記成否判定ステップは、前記攻撃リクエストのURLパス部分が前記入出力URLルールの入力URLと一致する場合に、前記攻撃リクエスト以降の前記サーバへのリクエストのうち、該入力URLに対応する出力URLに一致するリクエストに対応するレスポンスが、前記抽出した特徴を有するか検査し、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定することを特徴とする請求項1に記載の判定方法。
  5. 前記攻撃コードから作成されたファイル名を抽出し、該抽出したファイル名を、検査対象のリクエストを検索するためのファイル名ルールとして作成するファイル名ルール作成ステップをさらに含み、
    前記成否判定ステップは、前記攻撃リクエスト以降の前記サーバへのリクエストのうち、前記ファイル名ルールのファイル名が含まれるリクエストに対応するレスポンスが、前記抽出した特徴を有するか検査し、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定することを特徴とする請求項1に記載の判定方法。
  6. 攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定装置であって、
    前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定部と、
    前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施し、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバからのレスポンスに現れる特徴候補を抽出し、特徴候補の中から、特徴候補の文字列長が所定値以下の特徴候補、または、特徴候補の語が所定の語と一致する特徴候補を、攻撃の成否の判定に利用できない特徴候補として除外して、特徴を抽出する特徴抽出部と、
    前記攻撃リクエスト以降の前記サーバへの複数のリクエストにそれぞれ対応する複数のレスポンスが、前記抽出した特徴を有するかそれぞれ検査し、前記複数のレスポンスのうち少なくともいずれか一つが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定部と
    を備えたことを特徴とする判定装置。
  7. 攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定プログラムであって、
    前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定ステップと、
    前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施し、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバからのレスポンスに現れる特徴候補を抽出し、特徴候補の中から、特徴候補の文字列長が所定値以下の特徴候補、または、特徴候補の語が所定の語と一致する特徴候補を、攻撃の成否の判定に利用できない特徴候補として除外して、特徴を抽出する特徴抽出ステップと、
    前記攻撃リクエスト以降の前記サーバへの複数のリクエストにそれぞれ対応する複数のレスポンスが、前記抽出した特徴を有するかそれぞれ検査し、前記複数のレスポンスのうち少なくともいずれか一つが、前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定ステップと
    をコンピュータに実行させることを特徴とする判定プログラム。
JP2020521094A 2018-05-21 2019-04-15 判定方法、判定装置および判定プログラム Active JP7092192B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018097418 2018-05-21
JP2018097418 2018-05-21
PCT/JP2019/016222 WO2019225216A1 (ja) 2018-05-21 2019-04-15 判定方法、判定装置および判定プログラム

Publications (2)

Publication Number Publication Date
JPWO2019225216A1 JPWO2019225216A1 (ja) 2020-12-10
JP7092192B2 true JP7092192B2 (ja) 2022-06-28

Family

ID=68616393

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020521094A Active JP7092192B2 (ja) 2018-05-21 2019-04-15 判定方法、判定装置および判定プログラム

Country Status (5)

Country Link
US (1) US11805149B2 (ja)
EP (1) EP3783846B1 (ja)
JP (1) JP7092192B2 (ja)
AU (1) AU2019273974B2 (ja)
WO (1) WO2019225216A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020246011A1 (ja) * 2019-06-06 2020-12-10 日本電気株式会社 ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体
WO2021149119A1 (ja) * 2020-01-20 2021-07-29 日本電信電話株式会社 推定システム及び推定プログラム
JPWO2022264239A1 (ja) * 2021-06-14 2022-12-22
CN114389863B (zh) * 2021-12-28 2024-02-13 绿盟科技集团股份有限公司 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017130911A (ja) 2016-01-18 2017-07-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 評価装置、評価システム及び評価方法

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8615800B2 (en) * 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US9654495B2 (en) * 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
KR20080065084A (ko) * 2007-01-08 2008-07-11 유디코스모 주식회사 모의 공격을 이용한 네트워크 취약점 분석 방법 및 장치
US8504504B2 (en) * 2008-09-26 2013-08-06 Oracle America, Inc. System and method for distributed denial of service identification and prevention
US8069471B2 (en) * 2008-10-21 2011-11-29 Lockheed Martin Corporation Internet security dynamics assessment system, program product, and related methods
US8935773B2 (en) * 2009-04-09 2015-01-13 George Mason Research Foundation, Inc. Malware detector
WO2015186662A1 (ja) * 2014-06-06 2015-12-10 日本電信電話株式会社 ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
CN106663171B (zh) * 2014-08-11 2019-12-10 日本电信电话株式会社 浏览器模拟器装置、构建装置、浏览器模拟方法以及构建方法
US9787695B2 (en) * 2015-03-24 2017-10-10 Qualcomm Incorporated Methods and systems for identifying malware through differences in cloud vs. client behavior
US10609079B2 (en) * 2015-10-28 2020-03-31 Qomplx, Inc. Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US10243971B2 (en) * 2016-03-25 2019-03-26 Arbor Networks, Inc. System and method for retrospective network traffic analysis
US10257214B2 (en) * 2016-06-23 2019-04-09 Cisco Technology, Inc. Using a machine learning classifier to assign a data retention priority for network forensics and retrospective detection
RU2634211C1 (ru) * 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
JP2018022419A (ja) * 2016-08-05 2018-02-08 シャープ株式会社 画像形成装置、攻撃耐性評価プログラムおよび攻撃耐性評価システム
US11271955B2 (en) * 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
GB2574209B (en) * 2018-05-30 2020-12-16 F Secure Corp Controlling Threats on a Computer System by Searching for Matching Events on other Endpoints
US11050793B2 (en) * 2018-12-19 2021-06-29 Abnormal Security Corporation Retrospective learning of communication patterns by machine learning models for discovering abnormal behavior
US11681804B2 (en) * 2020-03-09 2023-06-20 Commvault Systems, Inc. System and method for automatic generation of malware detection traps
CN112019575B (zh) * 2020-10-22 2021-01-29 腾讯科技(深圳)有限公司 数据包处理方法、装置、计算机设备以及存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017130911A (ja) 2016-01-18 2017-07-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 評価装置、評価システム及び評価方法

Also Published As

Publication number Publication date
WO2019225216A1 (ja) 2019-11-28
US11805149B2 (en) 2023-10-31
JPWO2019225216A1 (ja) 2020-12-10
EP3783846A4 (en) 2022-01-12
US20210306374A1 (en) 2021-09-30
AU2019273974A1 (en) 2020-12-10
EP3783846A1 (en) 2021-02-24
AU2019273974B2 (en) 2022-03-17
EP3783846B1 (en) 2022-06-15

Similar Documents

Publication Publication Date Title
JP7092192B2 (ja) 判定方法、判定装置および判定プログラム
US9953162B2 (en) Rapid malware inspection of mobile applications
US9083729B1 (en) Systems and methods for determining that uniform resource locators are malicious
JP6708794B2 (ja) 判定装置、判定方法、および、判定プログラム
US11544384B2 (en) Applying machine learning techniques to discover security impacts of application programming interfaces
US11601462B2 (en) Systems and methods of intelligent and directed dynamic application security testing
JP6687761B2 (ja) 結合装置、結合方法および結合プログラム
KR100968126B1 (ko) 웹쉘 탐지 시스템 및 웹쉘 탐지 방법
JPWO2017217163A1 (ja) アクセス分類装置、アクセス分類方法及びアクセス分類プログラム
JP6557334B2 (ja) アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム
US11005877B2 (en) Persistent cross-site scripting vulnerability detection
Ravi et al. Analysing corpus of office documents for macro-based attacks using machine learning
US20140068771A1 (en) Transforming User-Input Data in Scripting Language
JP6867552B2 (ja) 判定方法、判定装置および判定プログラム
CN115310082A (zh) 信息处理方法、装置、电子设备及存储介质
CN111159111A (zh) 一种信息处理方法、设备、系统和计算机可读存储介质
JP7424393B2 (ja) 推定システム、推定方法及び推定プログラム
Gundoor Identification Of Dominant Features in Non-Portable Executable Malicious File
CN117828608A (zh) 系统漏洞识别方法、装置、设备及介质
CN115225291A (zh) 网页访问安全性检测方法、装置和存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210601

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210726

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220530

R150 Certificate of patent or registration of utility model

Ref document number: 7092192

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150