JP7166969B2 - Router attack detection device, router attack detection program, and router attack detection method - Google Patents

Router attack detection device, router attack detection program, and router attack detection method Download PDF

Info

Publication number
JP7166969B2
JP7166969B2 JP2019053769A JP2019053769A JP7166969B2 JP 7166969 B2 JP7166969 B2 JP 7166969B2 JP 2019053769 A JP2019053769 A JP 2019053769A JP 2019053769 A JP2019053769 A JP 2019053769A JP 7166969 B2 JP7166969 B2 JP 7166969B2
Authority
JP
Japan
Prior art keywords
packet
attack
router
candidate
operation log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019053769A
Other languages
Japanese (ja)
Other versions
JP2020155986A (en
Inventor
正之 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Information Network Corp
Original Assignee
Mitsubishi Electric Information Network Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Information Network Corp filed Critical Mitsubishi Electric Information Network Corp
Priority to JP2019053769A priority Critical patent/JP7166969B2/en
Publication of JP2020155986A publication Critical patent/JP2020155986A/en
Application granted granted Critical
Publication of JP7166969B2 publication Critical patent/JP7166969B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法に関する。 The present invention relates to a router attack detection device, a router attack detection program, and a router attack detection method.

インターネットに接続するルータに脆弱性が公表された場合、そのルータで脆弱性対策が実施されるまでの間に外部から攻撃され、サービス不能(DoS)、ハングアップ及び任意コード実行のような事象が起きるリスクがある。
このようなリスクに対しては、ルータとインターネットの間に存在するIDS/IPSのようなセキュリティ機器によって、攻撃を一部防御できる。ここで、IDS/IPSでの攻撃検知方法にはアノマリ型とシグネチャ型がある(例えば特許文献1)。 If a vulnerability is disclosed in a router connected to the Internet, it will be attacked from the outside until the vulnerability countermeasure is implemented on that router, and events such as denial of service (DoS), hang-up, and arbitrary code execution will occur. there is a risk of it happening.
Against such risks, security devices such as IDS/IPS that exist between routers and the Internet can partially defend against attacks. Attack detection methods in IDS/IPS include an anomaly type and a signature type (for example, Patent Document 1).

アノマリ型は、トラフィックを分析して、統計的に異常なパケットを攻撃として検知するため、未知のパターンの攻撃を検知することは可能であるが、統計的処理のため、攻撃の通過や、正常通信を攻撃と判定する「誤検知」が起こる可能性がある。 The anomaly type analyzes traffic and detects statistically abnormal packets as attacks, so it is possible to detect attacks with unknown patterns. There is a possibility of "false positives" that the communication is judged as an attack.

シグネチャ型は、事前に登録したパターンとパケットとの照合により、攻撃を精度高く検知できる。しかし、新たな攻撃については、パターンを管理者が作成しない限り検知できず、作成までに時間がかかることもあり、また、管理者は情報不足によりパターンを作成できないこともある。 The signature type can detect attacks with high accuracy by matching pre-registered patterns with packets. However, new attacks cannot be detected unless a pattern is created by the administrator, and it may take time to create such an attack, and the administrator may not be able to create the pattern due to lack of information.

従って、脆弱性公表からルータで対策が実施されるまでの間、アノマリ型及びシグネチャ型の対策では攻撃を防げない場合がある。 Therefore, there are cases where attacks cannot be prevented by anomaly-type and signature-type countermeasures from the vulnerability announcement to the implementation of countermeasures on routers.

特開2018-121262号公報JP 2018-121262 A

本発明は、ルータの脆弱性公表からルータで脆弱性対策が実施されるまでの間、ルータへの攻撃を防ぐ、ルータ攻撃検出装置の提供を目的とする。 SUMMARY OF THE INVENTION It is an object of the present invention to provide a router attack detection device that prevents attacks on a router from the announcement of the router's vulnerability until the router implements vulnerability countermeasures.

この発明のルータ攻撃検出装置は、
パケットの入力に伴ってルータが生成する第1動作ログと、前記ルータへの攻撃事象が記載されている発生ログとの比較により、前記第1動作ログに前記攻撃事象が存在するかどうかを判定する攻撃事象判定部と、
前記第1動作ログに前記攻撃事象が存在すると判定された場合、前記ルータに入力されるパケットを格納するパケット格納装置から攻撃パケットの候補となる候補パケットを取り出し、前記ルータに代替する代替ルータへ前記候補パケットを入力し、前記候補パケットの入力に伴って前記代替ルータが生成する第2動作ログを取得し、前記発生ログと前記第2動作ログとの比較により、前記第2動作ログに前記攻撃事象が存在するかどうかを判定し、前記第2動作ログに前記攻撃事象が存在する場合、前記第2動作ログでの前記攻撃事象の発生タイミングと、前記候補パケットの前記代替ルータへの入力タイミングとに基づいて、前記攻撃パケットとなる候補パケットを決定する攻撃パケット決定部と、
前記攻撃パケットと決定された前記候補パケットの有するパケット情報を用いて、前記ルータへ入力される前記パケットが前記攻撃パケットかどうかを特定するシグネチャを生成するシグネチャ作成部と
を備える。 The router attack detection device of this invention is
A determination is made as to whether or not the attack event exists in the first operation log by comparing a first operation log generated by a router with packet input and an occurrence log describing an attack event to the router. an attack event determination unit that
If it is determined that the attack event exists in the first operation log, a candidate packet that is a candidate for the attack packet is extracted from a packet storage device that stores packets input to the router, and sent to an alternative router that substitutes for the router. The candidate packet is input, the second operation log generated by the alternative router is obtained in accordance with the input of the candidate packet, and the second operation log is obtained by comparing the occurrence log and the second operation log. determining whether or not an attack event exists, and if the attack event exists in the second operation log, inputting timing of occurrence of the attack event in the second operation log and input of the candidate packet to the alternative router an attack packet determination unit that determines a candidate packet to be the attack packet based on the timing;
a signature creation unit that creates a signature specifying whether the packet input to the router is the attack packet, using packet information of the candidate packet determined to be the attack packet.

前記攻撃パケット決定部は、前記候補パケットとして、
前記第1動作ログに前記攻撃事象が存在すると判定された判定時刻から定まる一定期間に前記パケット格納装置に格納されたパケットを取り出す。 The attack packet determining unit, as the candidate packet,
Packets stored in the packet storage device for a certain period of time determined from the determination time when it is determined that the attack event exists in the first operation log are retrieved.

前記攻撃パケット決定部は、
安全な安全パケットの有するパケット情報が記載されたホワイトリストの前記パケット情報と、前記候補パケットの有するパケット情報との比較により、前記安全パケットである前記候補パケットを決定し、前記安全パケットと決定された前記候補パケットを前記代替ルータへの入力から除外する。 The attack packet determination unit,
By comparing the packet information of the whitelist in which the packet information of the safe secure packet is described with the packet information of the candidate packet, the candidate packet that is the secure packet is determined, and the candidate packet is determined as the secure packet. excluding the candidate packet from input to the alternate router.

前記攻撃パケット決定部は、
攻撃パケットである可能性を予測する情報が記載されている攻撃パケット予測情報を用いて、前記候補パケットが前記攻撃パケットである確度を決定し、前記攻撃パケットである確度の高い順に前記代替ルータへ、前記候補パケットを入力する。 The attack packet determination unit,
Using attack packet prediction information that describes information for predicting the possibility of being an attack packet, the probability that the candidate packet is the attack packet is determined, and the candidate packet is sent to the alternative router in descending order of probability that it is the attack packet. , input said candidate packet.

前記シグネチャ作成部は、
前記シグネチャとして、前記攻撃パケットと決定された複数の前記候補パケットに共通する項目を有する共通項目シグネチャを作成する。 The signature creation unit
As the signature, a common item signature having items common to the attack packet and the determined plurality of candidate packets is created.

この発明のルータ攻撃検出プログラムは、
コンピュータに、
パケットの入力に伴ってルータが生成する第1動作ログと、前記ルータへの攻撃事象が記載されている発生ログとの比較により、前記第1動作ログに前記攻撃事象が存在するかどうかを判定する攻撃事象判定処理と、
前記第1動作ログに前記攻撃事象が存在すると判定された場合、前記ルータに入力されるパケットを格納するパケット格納装置から攻撃パケットの候補となる候補パケットを取り出し、前記ルータに代替する代替ルータへ前記候補パケットを入力し、前記候補パケットの入力に伴って前記代替ルータが生成する第2動作ログを取得し、前記発生ログと前記第2動作ログとの比較により、前記第2動作ログに前記攻撃事象が存在するかどうかを判定し、前記第2動作ログに前記攻撃事象が存在する場合、前記第2動作ログでの前記攻撃事象の発生タイミングと、前記候補パケットの前記代替ルータへの入力タイミングとに基づいて、前記攻撃パケットとなる候補パケットを決定する攻撃パケット決定処理と、
前記攻撃パケットと決定された前記候補パケットの有するパケット情報を用いて、前記ルータへ入力される前記パケットが前記攻撃パケットかどうかを特定するシグネチャを生成するシグネチャ作成処理とを実行させる。 The router attack detection program of this invention comprises:
to the computer,
A determination is made as to whether or not the attack event exists in the first operation log by comparing a first operation log generated by a router with packet input and an occurrence log describing an attack event to the router. an attack event determination process to
If it is determined that the attack event exists in the first operation log, a candidate packet that is a candidate for the attack packet is extracted from a packet storage device that stores packets input to the router, and sent to an alternative router that substitutes for the router. The candidate packet is input, the second operation log generated by the alternative router is obtained in accordance with the input of the candidate packet, and the second operation log is obtained by comparing the occurrence log and the second operation log. determining whether or not an attack event exists, and if the attack event exists in the second operation log, inputting timing of occurrence of the attack event in the second operation log and input of the candidate packet to the alternative router an attack packet determination process for determining a candidate packet to be the attack packet based on the timing;
and signature creation processing for creating a signature specifying whether the packet input to the router is the attack packet using packet information of the candidate packet determined to be the attack packet.

この発明のルータ攻撃検出方法は、
コンピュータが、
パケットの入力に伴ってルータが生成する第1動作ログと、前記ルータへの攻撃事象が記載されている発生ログとの比較により、前記第1動作ログに前記攻撃事象が存在するかどうかを判定し、
前記第1動作ログに前記攻撃事象が存在すると判定された場合、前記ルータに入力されるパケットを格納するパケット格納装置から攻撃パケットの候補となる候補パケットを取り出し、前記ルータに代替する代替ルータへ前記候補パケットを入力し、前記候補パケットの入力に伴って前記代替ルータが生成する第2動作ログを取得し、前記発生ログと前記第2動作ログとの比較により、前記第2動作ログに前記攻撃事象が存在するかどうかを判定し、前記第2動作ログに前記攻撃事象が存在する場合、前記第2動作ログでの前記攻撃事象の発生タイミングと、前記候補パケットの前記代替ルータへの入力タイミングとに基づいて、前記攻撃パケットとなる候補パケットを決定し、
前記攻撃パケットと決定された前記候補パケットの有するパケット情報を用いて、前記ルータへ入力される前記パケットが前記攻撃パケットかどうかを特定するシグネチャを生成する。 The router attack detection method of the present invention comprises:
the computer
A determination is made as to whether or not the attack event exists in the first operation log by comparing a first operation log generated by a router with packet input and an occurrence log describing an attack event to the router. death,
If it is determined that the attack event exists in the first operation log, a candidate packet that is a candidate for the attack packet is extracted from a packet storage device that stores packets input to the router, and sent to an alternative router that substitutes for the router. The candidate packet is input, the second operation log generated by the alternative router is obtained in accordance with the input of the candidate packet, and the second operation log is obtained by comparing the occurrence log and the second operation log. determining whether or not an attack event exists, and if the attack event exists in the second operation log, inputting timing of occurrence of the attack event in the second operation log and input of the candidate packet to the alternative router determining a candidate packet to be the attack packet based on the timing;
Using the packet information of the candidate packet determined to be the attack packet, a signature for identifying whether the packet input to the router is the attack packet is generated.

本発明によれば、ルータの脆弱性公表からルータで脆弱性対策が実施されるまでの間、ルータへの攻撃を防ぐ、ルータ攻撃検出装置を提供できる。 ADVANTAGE OF THE INVENTION According to this invention, the router attack detection apparatus which prevents an attack to a router from vulnerability countermeasures being implemented by a router after vulnerability countermeasures are implemented by a router can be provided.

実施の形態1の図で、ルータ攻撃検出装置100の機能ブロック図。FIG. 2 is a diagram of the first embodiment, and is a functional block diagram of the router attack detection device 100; 実施の形態1の図で、ルータ攻撃検出装置100のハードウェア構成を示す図。FIG. 2 is a diagram of the first embodiment, showing the hardware configuration of the router attack detection device 100; 実施の形態1の図で、ルータ攻撃検出装置100の動作を説明するフローチャート。4 is a diagram of the first embodiment and is a flow chart for explaining the operation of the router attack detection device 100. FIG. 実施の形態1の図で、パケット一時保存DB11が保存する保存パケット情報11aを示す図。4 is a diagram of the first embodiment, showing stored packet information 11a stored in a temporary packet storage DB 11; FIG. 実施の形態1の図で、ログ保存DB12が一時的に保存する保存ログ情報12aを示す図。4 is a diagram of the first embodiment, showing saved log information 12a temporarily saved in a log saving DB 12; FIG. 実施の形態1の図で、ホワイトリストDB13が保存するホワイトリスト13aを示す図。Fig. 4 is a diagram of the first embodiment, showing a whitelist 13a stored in a whitelist DB 13; 実施の形態1の図で、脆弱性情報DB14が格納している脆弱性情報140Aを示す図。Fig. 10 is a diagram of the first embodiment, showing vulnerability information 140A stored in a vulnerability information DB 14; 実施の形態1の図で、実事象発生通知21aを示す図。Fig. 10 is a diagram of the first embodiment, showing an actual event occurrence notification 21a; 実施の形態1の図で、シグネチャDB15が格納しているシグネチャ情報15aを示す図。FIG. 4 is a diagram of the first embodiment, showing signature information 15a stored in a signature DB 15; 実施の形態1の図で、攻撃パケット抽出部22が攻撃パケット701を抽出する動作を示すフローチャート。FIG. 10 is a flowchart showing an operation of extracting an attack packet 701 by an attack packet extraction unit 22 in the diagram of the first embodiment; FIG. 実施の形態1の図で、攻撃パケット抽出部22が攻撃パケット701を抽出する動作を示す続きのフローチャート。FIG. 11 is a flowchart of the continuation of the operation of extracting the attack packet 701 by the attack packet extraction unit 22 in the diagram of the first embodiment; FIG.

以下、本発明の実施の形態について、図を用いて説明する。なお、各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。 BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the drawings. In each figure, the same reference numerals are given to the same or corresponding parts. In the description of the embodiments, the description of the same or corresponding parts will be omitted or simplified as appropriate.

実施の形態1.
***構成の説明***
図1から図11を参照して、実施の形態1のルータ攻撃検出装置100を説明する。
図1は、ルータ攻撃検出装置100の機能ブロックを示している。また図1は、ルータ攻撃検出装置100が使用されるシステムの概要を示している。ルータ攻撃検出装置100は、インターネット600に接続している。インターネット600からはルータ300へパケットが入力される。ルータ攻撃検出装置100はインターネット600とルータ300との間に接続されている。またルータ300とルータ攻撃検出装置100との間にはスイッチ210が接続されている。内部IPネットワーク500とルータ300との間には、スイッチ220が接続されている。 Embodiment 1.
*** Configuration description ***
A router attack detection device 100 according to the first embodiment will be described with reference to FIGS. 1 to 11. FIG.
FIG. 1 shows functional blocks of a router attack detection device 100. As shown in FIG. Also, FIG. 1 shows an outline of a system in which the router attack detection device 100 is used. Router attack detection device 100 is connected to Internet 600 . A packet is input to the router 300 from the Internet 600 . Router attack detection device 100 is connected between Internet 600 and router 300 . A switch 210 is connected between the router 300 and the router attack detection device 100 . A switch 220 is connected between the internal IP network 500 and the router 300 .

攻撃者400は、ルータ300への攻撃のため、インターネット600経由で攻撃パケット701をルータ300へ送信する。攻撃パケット701は、ルータ脆弱性を突く、加工されたパケットである。 Attacker 400 transmits attack packet 701 to router 300 via Internet 600 in order to attack router 300 . An attack packet 701 is a processed packet that exploits router vulnerability.

図1では、以下を前提としている。
(1)攻撃者400
(1.1)攻撃者400は何らかの手段で攻撃対象(IPアドレス)と内在している脆弱性を把握している。
(1.2)攻撃者400は攻撃対象にダメージを与えるため、同じ脆弱性を突いた攻撃を繰り返し行い、通常の利用者が攻撃対象のサービスを利用できない状態にさせる目的を持っている。
(1.3)攻撃者400はルータ300で対処されていない既知の脆弱性を攻撃に使用する。攻撃者400が操れる攻撃元装置(IPアドレス)の数は限界があり、したがって、攻撃元のIPアドレスのバリエーションには限度がある。
(2)攻撃対象(攻撃を受けるサービス提供者)
(2.1)接続元のIPアドレスを絞り込むことはできないものとする。
(2.2)既知の脆弱性であっても、即時にはソフトウェアバージョンアップの対応が出来ない環境であるとする。
(3)その他
数分間など短時間で影響が出る攻撃を対象とする。 FIG. 1 assumes the following.
(1) Attacker 400
(1.1) The attacker 400 grasps the target of attack (IP address) and inherent vulnerabilities by some means.
(1.2) The attacker 400 repeats attacks exploiting the same vulnerability in order to damage the attack target, and has the purpose of making the target service unusable by normal users.
(1.3) Attacker 400 uses known vulnerabilities not addressed in router 300 in attacks. There is a limit to the number of attack source devices (IP addresses) that can be manipulated by the attacker 400, and therefore there is a limit to variations in attack source IP addresses.
(2) Target of attack (service provider to be attacked)
(2.1) It is assumed that the IP address of the connection source cannot be narrowed down.
(2.2) Even if there is a known vulnerability, it is assumed that the environment is such that it is not possible to immediately upgrade the software version.
(3) Target attacks that have effects in a short period of time, such as a few minutes.

ルータ攻撃検出装置100は、パケット保存DB11、ログ保存DB12、ホワイトリストDB13、脆弱性情報DB14、シグネチャDB15、事象発生判定部21、攻撃パケット抽出部22、仮想ルータ23、シグネチャ作成部24を備えている。仮想ルータ23は代替ルータである。仮想ルータ23はソフトウェアで実現することを想定しているが、現物のハードウェアを用いてもよい。なおDBはデータベースを示す。これらの機能は後述する。事象発生判定部21は、攻撃事象判定部である。攻撃パケット抽出部22は、攻撃パケット決定部である。パケット保存DB11はパケット格納装置である。 The router attack detection device 100 includes a packet storage DB 11, a log storage DB 12, a whitelist DB 13, a vulnerability information DB 14, a signature DB 15, an event occurrence determination unit 21, an attack packet extraction unit 22, a virtual router 23, and a signature creation unit 24. there is Virtual router 23 is an alternate router. Although it is assumed that the virtual router 23 is implemented by software, actual hardware may be used. Note that DB indicates a database. These functions are described later. The event occurrence determination unit 21 is an attack event determination unit. The attack packet extraction unit 22 is an attack packet determination unit. The packet storage DB 11 is a packet storage device.

図2は、ルータ攻撃検出装置100のハードウェア構成を示す。ルータ攻撃検出装置100は、コンピュータである。ルータ攻撃検出装置100は、プロセッサ110を備えるとともに、主記憶装置120、補助記憶装置130、入力IF140、出力IF150及び通信IF160といった他のハードウェアを備える。なおIFはインタフェースを示す。プロセッサ110は、信号線170を介して他のハードウェアと接続され、これら他のハードウェアを制御する。 FIG. 2 shows the hardware configuration of the router attack detection device 100. As shown in FIG. The router attack detection device 100 is a computer. The router attack detection device 100 includes a processor 110 as well as other hardware such as a main storage device 120, an auxiliary storage device 130, an input IF 140, an output IF 150 and a communication IF 160. Note that IF indicates an interface. Processor 110 is connected to and controls other hardware via signal lines 170 .

ルータ攻撃検出装置100は、機能要素として、事象発生判定部21、攻撃パケット抽出部22、仮想ルータ23、シグネチャ作成部24を備える。仮想ルータ23はソフトウェアで実現される仮想的なルータである。事象発生判定部21、攻撃パケット抽出部22、仮想ルータ23及びシグネチャ作成部24の機能は、ルータ攻撃検出プログラム101により実現される。 The router attack detection device 100 includes an event occurrence determination unit 21, an attack packet extraction unit 22, a virtual router 23, and a signature creation unit 24 as functional elements. The virtual router 23 is a virtual router realized by software. The functions of the event occurrence determination unit 21 , the attack packet extraction unit 22 , the virtual router 23 and the signature creation unit 24 are implemented by the router attack detection program 101 .

プロセッサ110は、ルータ攻撃検出プログラム101を実行する装置である。ルータ攻撃検出プログラム101は、事象発生判定部21、攻撃パケット抽出部22、仮想ルータ23及びシグネチャ作成部24の機能を実現するプログラムである。プロセッサ110は、演算処理を行うIC(Integrated Circuit)である。プロセッサ110の具体例は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。 Processor 110 is a device that executes router attack detection program 101 . The router attack detection program 101 is a program that implements the functions of the event occurrence determination unit 21 , attack packet extraction unit 22 , virtual router 23 and signature creation unit 24 . The processor 110 is an IC (Integrated Circuit) that performs arithmetic processing. Specific examples of the processor 110 are a CPU (Central Processing Unit), a DSP (Digital Signal Processor), and a GPU (Graphics Processing Unit).

主記憶装置120は記憶装置である。主記憶装置120の具体例は、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。主記憶装置120は、プロセッサ110の演算結果を保持する。 The main memory device 120 is a storage device. Specific examples of the main memory device 120 are SRAM (Static Random Access Memory) and DRAM (Dynamic Random Access Memory). The main memory device 120 holds the computation results of the processor 110 .

補助記憶装置130は、データを不揮発的に保管する記憶装置である。補助記憶装置130の具体例は、HDD(Hard Disk Drive)である。また、補助記憶装置130は、SD(登録商標)(Secure Digital)メモリカード、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。
補助記憶装置130は、ルータ攻撃検出プログラム101、パケット保存DB11、ログ保存DB12、ホワイトリストDB13、脆弱性情報DB14、シグネチャDB15を格納している。なお、ルータ攻撃検出プログラム101、パケット保存DB11、ログ保存DB12、ホワイトリストDB13、脆弱性情報DB14、シグネチャDB15のようなデータは、クラウドサーバのような他の装置に格納されており、ルータ攻撃検出装置100が他の装置から取得してもよい。 The auxiliary storage device 130 is a storage device that stores data in a non-volatile manner. A specific example of the auxiliary storage device 130 is an HDD (Hard Disk Drive). The auxiliary storage device 130 is a portable recording medium such as an SD (registered trademark) (Secure Digital) memory card, a NAND flash, a flexible disk, an optical disk, a compact disk, a Blu-ray (registered trademark) disk, and a DVD (Digital Versatile Disk). There may be.
Auxiliary storage device 130 stores router attack detection program 101, packet storage DB 11, log storage DB 12, whitelist DB 13, vulnerability information DB 14, and signature DB 15. FIG. Data such as the router attack detection program 101, the packet storage DB 11, the log storage DB 12, the whitelist DB 13, the vulnerability information DB 14, and the signature DB 15 are stored in another device such as a cloud server, and can be used for router attack detection. The device 100 may obtain from other devices.

入力IF140は、各種機器が接続され、各種機器からデータが入力されるポートである。出力IF150は、各種機器が接続され、各種機器にプロセッサ110によりデータが出力されるポートである。通信IF160はプロセッサが他の装置と通信するための通信ポートである。 The input IF 140 is a port to which various devices are connected and data is input from the various devices. The output IF 150 is a port to which various devices are connected and data is output from the processor 110 to the various devices. Communication IF 160 is a communication port for the processor to communicate with other devices.

プロセッサ110は補助記憶装置130からルータ攻撃検出プログラム101を主記憶装置120にロードし、主記憶装置120からルータ攻撃検出プログラム101を読み込み実行する。主記憶装置120には、ルータ攻撃検出プログラム101だけでなく、OS(Operating System)も記憶されている。プロセッサ110は、OSを実行しながら、ルータ攻撃検出プログラム101を実行する。ルータ攻撃検出装置100は、プロセッサ110を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、ルータ攻撃検出プログラム101の実行を分担する。それぞれのプロセッサは、プロセッサ110と同じように、ルータ攻撃検出プログラム101を実行する装置である。ルータ攻撃検出プログラム101により利用、処理または出力されるデータ、情報、信号値及び変数値は、主記憶装置120、補助記憶装置130、または、プロセッサ110内のレジスタあるいはキャッシュメモリに記憶される。 The processor 110 loads the router attack detection program 101 from the auxiliary storage device 130 to the main storage device 120, reads the router attack detection program 101 from the main storage device 120, and executes it. The main storage device 120 stores not only the router attack detection program 101 but also an OS (Operating System). The processor 110 executes the router attack detection program 101 while executing the OS. The router attack detection device 100 may include multiple processors that substitute for the processor 110 . These multiple processors share the execution of the router attack detection program 101 . Each processor, like the processor 110, is a device that executes the router attack detection program 101. FIG. Data, information, signal values and variable values used, processed or output by the router attack detection program 101 are stored in the main memory 120, the auxiliary memory 130, or the registers or cache memory within the processor 110. FIG.

ルータ攻撃検出プログラム101は、事象発生判定部21、攻撃パケット抽出部22、仮想ルータ23及びシグネチャ作成部24の「部」及び「仮想ルータ」を、「処理」、「手順」あるいは「工程」に読み替えた各処理、各手順あるいは各工程をコンピュータに実行させるプログラムである。 The router attack detection program 101 divides the “parts” and “virtual routers” of the event occurrence determination unit 21, the attack packet extraction unit 22, the virtual router 23, and the signature creation unit 24 into “processing,” “procedure,” or “process.” It is a program that causes a computer to execute each processing, each procedure, or each step that has been read.

また、ルータ攻撃検出プログラム101は、コンピュータであるルータ攻撃検出装置100が、ルータ攻撃検出プログラム101を実行することにより行われる方法である。ルータ攻撃検出プログラム101は、コンピュータ読み取り可能な記録媒体に格納されて提供されてもよいし、プログラムプロダクトとして提供されてもよい。 Also, the router attack detection program 101 is a method performed by the router attack detection device 100, which is a computer, executing the router attack detection program 101. FIG. The router attack detection program 101 may be stored in a computer-readable recording medium and provided, or may be provided as a program product.

***動作の説明***
図3は、ルータ攻撃検出装置100の動作を説明するフローチャートである。図3を参照して、ルータ攻撃検出装置100の動作を説明する。ルータ攻撃検出装置100の動作は、ルータ攻撃検出方法に相当する。ルータ攻撃検出装置100の動作は、ルータ攻撃検出プログラム101の処理に相当する。 ***Description of operation***
FIG. 3 is a flowchart for explaining the operation of the router attack detection device 100. As shown in FIG. The operation of the router attack detection device 100 will be described with reference to FIG. The operation of the router attack detection device 100 corresponds to the router attack detection method. The operation of the router attack detection device 100 corresponds to the processing of the router attack detection program 101 .

<ステップS11>
ステップS11において、図1で述べたように、攻撃パケット701を含む複数のパケットが、インターネット600を介してルータ300へ送信される。パケット保存DB11は、インターネット600からルータ300へ送信されたパケットを、保存パケット情報11aとして一時的に保存する。
図4は、パケット一時保存DB11が保存する保存パケット情報11aを示す。保存パケット情報11aでは例1と例2を示している。保存パケット情報11aは、項目として、1.パケット番号、2.パケットの受信時刻、3.レイヤ3、4プロトコル、4.送信元IPアドレス、5.送信元ポート、6.宛先IPアドレス、7.宛先ポート、8.ペイロードデータ、9.パケット長を含む。
「1.パケット番号」は、受信順に昇順で整数が付与される。「2.パケットの受信時刻」は、日付を含む。「3.レイヤ3、4プロトコル」のプロトコル名は、ICMP,IP,TCP,UDP,ESP,IKEv1,IKEv2,...のような名称である。「5.送信元ポート」は、TCP/UDPポート番号である。「7.宛先ポート」は、TCP/UDPポート番号である。「8.ペイロードデータ」は、プロトコルで送信するデータ内容である。「9.パケット長さ」は、IPパケット長である。 <Step S11>
In step S11, multiple packets including the attack packet 701 are sent to the router 300 via the Internet 600, as described with reference to FIG. The packet storage DB 11 temporarily stores packets transmitted from the Internet 600 to the router 300 as stored packet information 11a.
FIG. 4 shows stored packet information 11a stored in the packet temporary storage DB 11. As shown in FIG. Examples 1 and 2 are shown in the saved packet information 11a. The stored packet information 11a has the following items: 1. packet number;2. packet reception time;3. Layer 3, 4 protocols;4. source IP address;5. source port;6. destination IP address;7. 8. destination port; payload data;9. Contains packet length.
"1. Packet number" is assigned an integer in ascending order of reception. "2. Packet reception time" includes the date. The protocol names of "3. Layer 3, 4 protocol" are ICMP, IP, TCP, UDP, ESP, IKEv1, IKEv2, . . . is a name such as "5. Source port" is the TCP/UDP port number. "7. Destination port" is the TCP/UDP port number. "8. Payload data" is the data content to be transmitted by the protocol. "9. Packet length" is the IP packet length.

<ステップS12>
ステップS12において、ログDB12は、ルータ300および接続機器であるスイッチ210,220が、パケットの受信に伴って作成する、動作ログ及び操作ログを、一時的に保存する。
図5は、ログ保存DB12が一時的に保存する保存ログ情報12aを示す。図5では、保存ログ情報12aとして、例1及び例2を示している。保存ログ情報12aとは、ルータ300、接続機器であるスイッチ210,220から受信したシステムログ、稼働データである。受信したデータは時刻情報が付与されて保存ログ情報12aとして保存される。ログの種別は、1から4の以下を想定している。ログ種別1=システムログ、ログ種別2=SNMPTrap(ルータ)、ログ種別3=SNMPTrap(周辺機器)、ログ種別4=その他である。図5に示すように、保存ログ情報12aは項目として、1.データの日付を含む受信時刻、2.ログ種別、3.ログデータを含む。 <Step S12>
In step S12, the log DB 12 temporarily stores operation logs and operation logs created by the router 300 and the switches 210 and 220, which are connection devices, upon reception of packets.
FIG. 5 shows saved log information 12a temporarily saved by the log save DB 12. As shown in FIG. In FIG. 5, examples 1 and 2 are shown as the saved log information 12a. The saved log information 12a is system logs and operation data received from the router 300 and the switches 210 and 220, which are connected devices. The received data is added with time information and stored as the storage log information 12a. The types of logs are assumed to be 1 to 4 below. Log type 1=system log, log type 2=SNMPTrap (router), log type 3=SNMPTrap (peripheral device), log type 4=others. As shown in FIG. 5, the saved log information 12a has items of 1. Received time including date of data;2. 3. log type; Contains log data.

<ステップS13>
ステップS13において、ホワイトリストDB13は、安全な接続元アドレス情報を記載したホワイトリスト13aを、事前に格納する。
図6は、ホワイトリストDB13が保存するホワイトリスト13aを示す。図6に示すように、ホワイトリスト13aは項目として、IPアドレスを含む。図6では、ホワイトリスト13aの情報として、例1及び例2を示している。例1は、社内ネットワークを想定したIPアドレスであり、例2は、VPNルータグローバルIPアドレスを想定したIPアドレスである。 <Step S13>
In step S13, the whitelist DB 13 pre-stores the whitelist 13a describing the safe connection source address information.
FIG. 6 shows the whitelist 13a stored in the whitelist DB 13. As shown in FIG. As shown in FIG. 6, the whitelist 13a includes IP addresses as items. FIG. 6 shows examples 1 and 2 as the information of the whitelist 13a. Example 1 is an IP address assuming an in-house network, and Example 2 is an IP address assuming a VPN router global IP address.

<ステップS14>
ステップS14において、脆弱性情報DB14は、公表された脆弱性情報140Aを格納する。
図7は、脆弱性情報DB14が格納している脆弱性情報140Aを示す。脆弱性情報140Aは、攻撃パケット要件14a,発生事象14b,発生ログ14cを含む。図7では、脆弱性情報140A1と脆弱性情報140A2との2つの脆弱性情報140Aを示している。脆弱性情報140Aは、公表された脆弱性の情報である。脆弱性情報140Aは、ルータ攻撃検出装置100がパケットを受信した場合に、そのパケットが攻撃パケット701であるかどうかを決定することはできないが、攻撃パケット701である可能性を示す確度を決定できる情報である。確度は後述の一致率である。
(a)攻撃パケット要件14aは、攻撃パケット701の仕様の一部の情報である。攻撃パケット要件14aでは攻撃パケット701を特定できない。攻撃パケット要件14aは、項目として、1.脆弱性識別番号、2.レイヤ3、4プロトコル、3.送信元IPアドレス、4.送信元ポート、5.宛先IPアドレス、6.宛先ポート、7.ペイロードデータ、8.パケット長、を含む。
(b)発生事象は、攻撃を受けた場合にルータ300に発生する事象である。
攻撃パケット要件14aは、項目として、1.脆弱性識別番号、2.発生事象14bの種別を含む。
発生する事象の種別として以下を想定する。
発生事象種別1=起動、発生事象種別2=再起動、発生事象種別3=CPU高負荷、発生事象種別4=通信停止、発生事象種別5=ハングアップ、発生事象種別6=クラッシュ、発生事象種別7=任意コード実行、発生事象種別8=その他である。
(c)発生ログ14cは、攻撃パケット701による攻撃の際に、ルータ300及びスイッチ210、220が生成し、出力するログである。発生ログ14cは、項目として、1.脆弱性識別番号、2.発生ログの内容を含む。 <Step S14>
In step S14, the vulnerability information DB 14 stores the published vulnerability information 140A.
FIG. 7 shows vulnerability information 140A stored in the vulnerability information DB 14. As shown in FIG. The vulnerability information 140A includes attack packet requirements 14a, occurrence events 14b, and occurrence logs 14c. FIG. 7 shows two pieces of vulnerability information 140A: vulnerability information 140A1 and vulnerability information 140A2. Vulnerability information 140A is information about published vulnerabilities. When the router attack detection device 100 receives a packet, the vulnerability information 140A cannot determine whether or not the packet is the attack packet 701, but can determine the degree of certainty indicating the possibility that the packet is the attack packet 701. Information. Accuracy is the matching rate described later.
(a) The attack packet requirement 14a is part of the specification of the attack packet 701 . The attack packet requirement 14a cannot specify the attack packet 701. FIG. The attack packet requirement 14a includes the following items: 1. Vulnerability identification number;2. Layer 3, 4 protocols;3. source IP address;4. source port;5. destination IP address;6. 7. destination port; payload data;8. including packet length.
(b) Occurrence events are events that occur in the router 300 when attacked.
The attack packet requirement 14a includes the following items: 1. Vulnerability identification number;2. It contains the type of the occurrence event 14b.
The following are assumed as the types of events that occur.
Event type 1 = startup, event type 2 = restart, event type 3 = CPU high load, event type 4 = communication stop, event type 5 = hangup, event type 6 = crash, event type 7=Arbitrary Code Execution, Occurrence Type 8=Other.
(c) The occurrence log 14c is a log generated and output by the router 300 and the switches 210 and 220 when the attack packet 701 attacks. The occurrence log 14c has items of 1. Vulnerability identification number;2. Contains the contents of the incident log.

<ステップS15>
ステップS15において、事象発生判定部21は、パケットの入力に伴ってルータ300が生成する第1動作ログと、ルータ300への攻撃事象が記載されている発生ログ14cとの比較により、第1動作ログに攻撃事象が存在するかどうかを判定する。具体的には以下のようである。事象発生判定部21は、ログDB12の保存ログ(第1動作ログ)を、脆弱性情報DB14の発生ログ14cと照合し、保存ログの内容(攻撃事象)が発生ログ14cの攻撃事象に一致するか判定する。なお、数値など可変部分は除いて判定する。 <Step S15>
In step S15, the event occurrence determination unit 21 compares the first action log generated by the router 300 with the input of the packet and the occurrence log 14c in which the attack event to the router 300 is described, thereby determining the first action Determine if there is an attack event in the log. Specifically, it is as follows. The event occurrence determination unit 21 compares the saved log (first operation log) of the log DB 12 with the occurrence log 14c of the vulnerability information DB 14, and the content of the saved log (attack event) matches the attack event of the occurrence log 14c. determine whether Note that variable parts such as numerical values are excluded from the determination.

<ステップS16>
ステップS16において、事象発生判定部21は、保存ログの内容が脆弱性情報(発生ログ)に一致した場合、脆弱性攻撃による事象が発生したと判定する。事象発生判定部21は、脆弱性攻撃による事象が発生したと判定した場合、実事象発生通知21aを攻撃パケット抽出部22に送信する。
図8は、実事象発生通知21aを示す。実事象発生通知21aは項目として、実事象発生時刻と発生事象14bを有する。図8では例1と例2を示している。 <Step S16>
In step S16, the event occurrence determination unit 21 determines that an event due to a vulnerability attack has occurred when the content of the saved log matches the vulnerability information (occurrence log). The event occurrence determination unit 21 transmits an actual event occurrence notification 21 a to the attack packet extraction unit 22 when determining that an event due to a vulnerability attack has occurred.
FIG. 8 shows the real event occurrence notification 21a. The actual event occurrence notification 21a has items of the actual event occurrence time and the occurrence event 14b. Examples 1 and 2 are shown in FIG.

<ステップS17>
ステップS17において、ルータ300の生成する第1動作ログに攻撃事象が存在すると判定された場合、ルータ300に入力されるパケットを格納するパケット保存DB11から攻撃パケットの候補となる候補パケットを取り出す。
そして攻撃パケット抽出部22は、ルータ300に代替する代替ルータである仮想ルータ23へ候補パケットを入力し、候補パケットの入力に伴って仮想ルータ23が生成する第2動作ログを取得する。
攻撃パケット抽出部22は、発生ログ14cと第2動作ログとの比較により、第2動作ログに攻撃事象が存在するかどうかを判定する。攻撃パケット抽出部22は、第2動作ログに攻撃事象が存在する場合、第2動作ログでの攻撃事象の発生タイミングと、候補パケットの仮想ルータ23への入力タイミングとに基づいて、攻撃パケットとなる候補パケットを決定する。この攻撃事象の発生タイミングと、候補パケットの仮想ルータ23への入力タイミングとに基づいて、攻撃パケットとなる候補パケットを決定する処理は、後述の図11のステップS39に該当する。
攻撃パケット抽出部22は、攻撃パケット701の候補になる候補パケットとして、ルータ300の作成した第1動作ログに発生ログ14cに記載されている攻撃事象が存在すると判定された判定時刻から定まる一定期間にパケット保存DB11に格納されたパケットを取り出す。具体的には以下のようである。 <Step S17>
In step S17, if it is determined that an attack event exists in the first operation log generated by the router 300, candidate packets that are attack packet candidates are extracted from the packet storage DB 11 that stores packets input to the router 300. FIG.
Then, the attack packet extraction unit 22 inputs the candidate packet to the virtual router 23, which is an alternative router that substitutes for the router 300, and acquires the second operation log generated by the virtual router 23 in accordance with the input of the candidate packet.
The attack packet extraction unit 22 determines whether or not an attack event exists in the second operation log by comparing the occurrence log 14c and the second operation log. If an attack event exists in the second operation log, the attack packet extraction unit 22 extracts the attack packet and the determine the candidate packets that are The process of determining the candidate packet to be the attack packet based on the attack event occurrence timing and the input timing of the candidate packet to the virtual router 23 corresponds to step S39 in FIG. 11 described later.
The attack packet extracting unit 22 determines that the attack event described in the occurrence log 14c in the first operation log created by the router 300 exists as a candidate packet for the attack packet 701 for a certain period of time determined from the determination time. , the packet stored in the packet storage DB 11 is taken out. Specifically, it is as follows.

攻撃パケット抽出部22は、判定時刻である実事象発生通知21aの示す実事象発生時刻の直前(5分程度)のパケットに攻撃パケットが含まれるとみなし、パケット保存DB11から、その時間帯のパケットを取り出す。 The attack packet extraction unit 22 considers that the attack packet is included in the packet immediately before (about 5 minutes) the actual event occurrence time indicated by the actual event occurrence notification 21a, which is the determination time, and extracts the packet in that time period from the packet storage DB 11. take out.

<ステップS18>
ステップS18において、攻撃パケット抽出部22は、攻撃パケットである可能性を予測する情報が記載されている攻撃パケット予測情報である脆弱性情報140Aを用いて、候補パケットが攻撃パケットである確度を決定し、攻撃パケットである確度の高い順に代替ルータである仮想ルータ23へ、候補パケットを入力する。
攻撃パケット抽出部22は、安全な安全パケットの有するパケット情報が記載されたホワイトリスト13aのパケット情報と、候補パケットの有するパケット情報との比較により、安全パケットである候補パケットを決定し、安全パケットと決定された候補パケットを仮想ルータ23への入力から除外する。具体的には、仮想ルータ23への入力の際に、攻撃パケット抽出部22は、取り出した候補パケットから、ホワイトリスト13aの情報、脆弱性情報140A(攻撃パケット要件14a)により、攻撃パケットではないものを除外する。この除外後、攻撃パケット抽出部22は、各パケットについて一致率を算出する。 <Step S18>
In step S18, the attack packet extraction unit 22 determines the probability that the candidate packet is an attack packet using the vulnerability information 140A, which is the attack packet prediction information containing information for predicting the possibility of being an attack packet. Then, candidate packets are input to the virtual router 23, which is an alternative router, in descending order of probability that they are attack packets.
The attack packet extracting unit 22 compares the packet information of the whitelist 13a in which the packet information of the safe packets is described with the packet information of the candidate packets to determine candidate packets that are safe packets. are excluded from the input to the virtual router 23. Specifically, when the attack packet is input to the virtual router 23, the attack packet extraction unit 22 determines that the extracted candidate packet is not an attack packet based on the whitelist 13a information and the vulnerability information 140A (attack packet requirement 14a). Exclude things. After this exclusion, the attack packet extraction unit 22 calculates the match rate for each packet.

<ステップS19>
ステップS19において、攻撃パケット抽出部22は、一致率の高い順に、パケットを仮想ルータ23へ入力する。
ステップS20において、攻撃パケット抽出部22は、実際に発生した発生ログ14cと同じ動作ログ(第2動作ログ)が仮想ルータ23に発生した場合には、仮想ルータ23に流し込んだ候補パケットを攻撃パケットと判定する。 <Step S19>
In step S19, the attack packet extraction unit 22 inputs the packets to the virtual router 23 in descending order of matching rate.
In step S20, when an operation log (second operation log) identical to the actually generated log 14c occurs in the virtual router 23, the attack packet extracting unit 22 extracts the candidate packet that has flowed into the virtual router 23 as an attack packet. I judge.

<ステップS21>
ステップS21において、シグネチャ作成部24は、攻撃パケットと決定された候補パケットの有するパケット情報を用いて、ルータ300へ入力されるパケットが攻撃パケットかどうかを特定するシグネチャを生成する。具体的には以下のようである。
シグネチャ作成部24は、攻撃と判定されたパケットをブロックするシグネチャを自動生成し、従来のIPS相当部のシグネチャDB15を更新する。これにより、以後、同じ攻撃パケットはルータ300に届かない。
図9は、シグネチャDB15が格納しているシグネチャ情報15aを示す。図9では、シグネチャ情報15aとしてシグネチャ1及びシグネチャ2を示している。シグネチャ15aは、項目として、攻撃パケット701を特定するための「攻撃パケット特定要件」と、攻撃パケットを特定した場合の処置を含む。図9では、「攻撃パケット特定要件」としては、以下の7つを記載している。1.レイヤ3、4プロトコル、2.送信元IPアドレス、3.送信元ポート、4.宛先IPアドレス、5.宛先ポート、6.ペイロードデータ、7.パケット長である。 <Step S21>
In step S21, the signature creation unit 24 creates a signature that specifies whether a packet input to the router 300 is an attack packet using packet information of the candidate packet determined to be the attack packet. Specifically, it is as follows.
The signature creation unit 24 automatically creates a signature for blocking packets determined to be attacks, and updates the signature DB 15 of the conventional IPS equivalent unit. As a result, the same attack packet will not reach the router 300 thereafter.
FIG. 9 shows signature information 15a stored in the signature DB 15. As shown in FIG. FIG. 9 shows signature 1 and signature 2 as signature information 15a. The signature 15a includes, as items, "attack packet identification requirements" for identifying the attack packet 701 and measures to be taken when the attack packet is identified. In FIG. 9, the following seven items are described as "attack packet specification requirements". 1. Layer 3, 4 protocols;2. source IP address;3. source port;4. 5. destination IP address; 6. destination port; payload data;7. is the packet length.

図10、図11は、攻撃パケット抽出部22が攻撃パケット701を抽出する動作を説明するフローチャートである。図11には図10に続く動作を記載している。図10、図11を参照して、攻撃パケット抽出部22による攻撃パケット701の抽出動作を説明する。 10 and 11 are flowcharts for explaining the operation of extracting the attack packet 701 by the attack packet extraction unit 22. FIG. FIG. 11 describes the operation following FIG. The extraction operation of the attack packet 701 by the attack packet extraction unit 22 will be described with reference to FIGS. 10 and 11. FIG.

<ステップS31>
まず、ルータ攻撃検出装置100が起動する。ステップS31において、攻撃パケット抽出部22は、事象発生判定部21から実事象発生通知21aの通知待ち状態になる。 <Step S31>
First, the router attack detection device 100 is activated. In step S31, the attack packet extractor 22 waits for the actual event occurrence notification 21a from the event occurrence determiner 21. FIG.

<ステップS32、ステップS33>
ステップS32で事象発生判定部21から実事象発生通知21aを受信した場合、ステップS33において、攻撃パケット抽出部22は、一定期間における複数のパケットをパケット保存DB11から取り出す。攻撃パケット抽出部22は、ステップS17で述べたように、実事象発生通知21aに記載されている実事象発生時刻の直前の5分間にルータ攻撃検出装置100が受信したパケットを、パケット保存DB11から取り出す。 <Step S32, Step S33>
When the actual event occurrence notification 21a is received from the event occurrence determination unit 21 in step S32, the attack packet extraction unit 22 extracts a plurality of packets in a certain period from the packet storage DB 11 in step S33. As described in step S17, the attack packet extraction unit 22 extracts from the packet storage DB 11 the packets received by the router attack detection device 100 within five minutes immediately before the actual event occurrence time described in the actual event occurrence notification 21a. Take out.

<ステップS34>
ステップS34において、攻撃パケット抽出部22は、パケット保存DB11から取得したパケットをホワイトリスト13aと照合し、取得したパケットのうち、ホワイトリスト13aに一致したパケットを除外する。 <Step S34>
In step S34, the attack packet extraction unit 22 checks the packets acquired from the packet storage DB 11 against the whitelist 13a, and excludes the packets that match the whitelist 13a among the acquired packets.

<ステップS35>
ステップS35において、攻撃パケット抽出部22はパケットの一致率を計算する。攻撃パケット抽出部22は、残ったパケットの持つパケット情報を、脆弱性情報DB14の脆弱性情報140Aと照合する。攻撃パケット抽出部22は、各パケットのパケット情報について、脆弱性情報140Aの攻撃パケット要件14aと照合する。攻撃パケット抽出部22は、攻撃パケット要件14aにおける、「2.レイヤ3、4プロトコル」、「3.送信元IPアドレス」、「4.送信元ポート」、「5.宛先IPアドレス」、「6.宛先ポート」、「7.ペイロードデータ」、「8.パケット長」を参照する。なお、各パケットのパケット情報は攻撃パケット要件14aの有する項目を持つ。この例では、パケット情報は、「2.レイヤ3、4プロトコル」から「8.パケット長」のデータ項目(フィールド)を有すると共に、これらのデータ項目は記載されている。攻撃パケット抽出部22は、各パケットについて、そのパケットのパケット情報と、攻撃パケット要件14aとの一致率を計算する。例示すれば以下のようである。
一致率は確度である。
パケットAの持つパケット情報は、図7に示す脆弱性情報140A1の攻撃パケット要件14aとの一致率が70%である。パケットBの持つパケット情報は、図7に示す脆弱性情報140A2の攻撃パケット要件14aとの一致率が40%である。 <Step S35>
In step S35, the attack packet extraction unit 22 calculates the matching rate of packets. The attack packet extraction unit 22 collates the packet information of the remaining packets with the vulnerability information 140A of the vulnerability information DB 14 . The attack packet extraction unit 22 collates the packet information of each packet with the attack packet requirements 14a of the vulnerability information 140A. The attack packet extraction unit 22 extracts "2. Layer 3, 4 protocol", "3. Source IP address", "4. Source port", "5. Destination IP address", "6 Destination port”, “7. Payload data”, and “8. Packet length”. The packet information of each packet has items of the attack packet requirements 14a. In this example, the packet information has data items (fields) from "2. Layer 3, 4 protocol" to "8. Packet length", and these data items are described. For each packet, the attack packet extraction unit 22 calculates the match rate between the packet information of that packet and the attack packet requirement 14a. An example is as follows.
Concordance is probability.
The packet information possessed by the packet A has a match rate of 70% with the attack packet requirements 14a of the vulnerability information 140A1 shown in FIG. The packet information of the packet B has a match rate of 40% with the attack packet requirements 14a of the vulnerability information 140A2 shown in FIG.

<ステップS36>
図11のステップS36において、攻撃パケット抽出部22は、一致率が高い順に、パケットを並べ替える。攻撃パケット抽出部22は、パケットA、パケットC、パケットD、パケットB、パケットR・・・のように、パケットをソートする。 <Step S36>
In step S36 of FIG. 11, the attack packet extraction unit 22 rearranges the packets in descending order of matching rate. The attack packet extraction unit 22 sorts the packets into packet A, packet C, packet D, packet B, packet R, and so on.

<ステップS37、ステップS38>
ステップS37において、攻撃パケット抽出部22は、一致率が高いパケットから順に、仮想ルータ23に投入する。ステップS38において、攻撃パケット抽出部22、仮想ルータ23で生成される動作ログ(第2動作ログ)を仮想ルータ23から取得する。 <Step S37, Step S38>
In step S37, the attack packet extraction unit 22 injects the packets into the virtual router 23 in descending order of the matching rate. In step S<b>38 , the attack packet extraction unit 22 acquires from the virtual router 23 an operation log (second operation log) generated by the virtual router 23 .

<ステップS39>
ステップS39において、攻撃パケット抽出部22は、仮想ルータ23から取得した動作ログに、
発生ログ14cに記載されている事象が発生しているかどうかを確認する。発生していない場合は、処理はステップS37に戻る。発生している場合は、処理はステップS40に進む。 <Step S39>
In step S39, the attack packet extraction unit 22 adds the following to the operation log acquired from the virtual router 23:
Check whether an event described in the occurrence log 14c has occurred. If not, the process returns to step S37. If so, the process proceeds to step S40.

<ステップS40>
ステップS40において、攻撃パケット抽出部22は、発生ログ14cに記載されている事象と同じ事象が仮想ルータ23の動作ログに発生している場合、その動作ログを発生させた投入したパケットを、攻撃パケットと決定する。攻撃パケット抽出部22は、順次、すべてのパケットを仮想ルータ23に投入する(ステップS39のNO、後述するステップS42でNO)。 <Step S40>
In step S40, if the same event as the event described in the occurrence log 14c has occurred in the operation log of the virtual router 23, the attack packet extraction unit 22 extracts the injected packet that generated the operation log as an attack packet. Decide on a packet. The attack packet extraction unit 22 sequentially injects all packets into the virtual router 23 (NO in step S39, NO in step S42 described later).

<ステップS41>
ステップS41において、攻撃パケット抽出部22は、攻撃パケット701として確定したパケットの持つパケット情報をシグネチャ作成部24へ通知する。 <Step S41>
In step S<b>41 , the attack packet extraction unit 22 notifies the signature creation unit 24 of the packet information of the packet determined as the attack packet 701 .

ステップS42において、攻撃パケット抽出部22は、仮想ルータ23へ入力したパケットが、ステップS36で並び替えたうちの最後のパケットかどうかを判定する。最後のパケットであれば、攻撃パケット抽出部22は処理をステップS31に進め、最後のパケットでなければ、攻撃パケット抽出部22は処理をステップS37へ進める。 In step S42, the attack packet extraction unit 22 determines whether the packet input to the virtual router 23 is the last packet among those rearranged in step S36. If it is the last packet, the attack packet extraction unit 22 advances the process to step S31, and if it is not the last packet, the attack packet extraction unit 22 advances the process to step S37.

以下に、シグネチャ作成部24によるシグネチャの作成動作を説明する。攻撃パケット抽出部22から攻撃パケット701と決定されたパケットのパケット情報を受け取ったシグネチャ作成部24は、以下の処理を行う。 The signature creation operation by the signature creation unit 24 will be described below. Upon receiving the packet information of the packet determined to be the attack packet 701 from the attack packet extraction unit 22, the signature creation unit 24 performs the following processing.

攻撃パケット抽出部22が、攻撃パケットを1個しか見つけることができなかった場合は、シグネチャ作成部24は、その単一のパケットを特定するシグネチャを作成する。この場合は、図9において、シグネチャ1のみが作成されるような場合である。 If the attack packet extraction unit 22 can find only one attack packet, the signature creation unit 24 creates a signature that identifies the single packet. In this case, in FIG. 9, only signature 1 is created.

シグネチャ作成部24は、シグネチャとして、攻撃パケットと決定された複数の候補パケットに共通する項目を有する共通項目シグネチャを作成する。具体的には以下のようである。
攻撃パケット抽出部22が攻撃パケットとして、パケットC、パケットD、パケットEのように複数のパケットを攻撃パケット701として決定し、攻撃パケット抽出部22から各パケットのパケット情報を取得した場合、シグネチャ作成部24は、複数のパケットに共通するシグネチャである共通項シグネチャを作成する。シグネチャ作成部24は、各パケットのパケット情報から共通する項目の値を抽出し、値が一致しない項目は変数化して共通項シグネチャを作成し、共通項シグネチャをシグネチャDB15に登録する。例示すれば以下のようである。
以下は、パケットCとパケットDのパケット情報を示している。
パケットC:送信元1:1.1.1、プロトコル:UDP、宛先ポート:500、サイズ:210byte.
パケットD:送信元1:1.1.2、プロトコル:UDP、宛先ポート:500、サイズ:210byte
シグネチャ作成部24は、共通項シグネチャとして、送信元1.1.1.0/24、プロトコル:UDP、宛先ポート:500、サイズ:210byteを作成する。 The signature creation unit 24 creates, as a signature, a common item signature having items common to a plurality of candidate packets determined as attack packets. Specifically, it is as follows.
When the attack packet extraction unit 22 determines a plurality of packets such as packet C, packet D, and packet E as the attack packets 701 and acquires the packet information of each packet from the attack packet extraction unit 22, signature creation is performed. A unit 24 creates a common term signature that is a signature common to a plurality of packets. The signature creation unit 24 extracts common item values from the packet information of each packet, converts items with mismatched values into variables, creates common item signatures, and registers the common item signatures in the signature DB 15 . An example is as follows.
The following shows the packet information for packet C and packet D.
Packet C: source 1: 1.1.1, protocol: UDP, destination port: 500, size: 210 bytes.
Packet D: source 1: 1.1.2, protocol: UDP, destination port: 500, size: 210 bytes
The signature creation unit 24 creates a common term signature of source 1.1.1.0/24, protocol: UDP, destination port: 500, size: 210 bytes.

なお、シグネチャ作成部24は、シグネチャの作成方法として、攻撃パケット抽出部22によって今回決定された攻撃パケットの有するパケット情報と、すでにシグネチャDB15に登録されているシグネチャとを照合することにより、既存のシグネチャを新たに攻撃パケットと決定されたパケットのパケット情報を用いて更新してもよい。 Note that the signature creation unit 24 compares the packet information of the attack packet determined this time by the attack packet extraction unit 22 with the signatures already registered in the signature DB 15 as a signature creation method. A signature may be updated using packet information of a packet newly determined as an attack packet.

また、シグネチャ作成部24は、ログ保存DB12に保存されているログで発生した事象と、登録済みの脆弱性情報140Aの発生事象とを照合して、ログ保存DB12に保存されているログから疑わしい脆弱性情報を抽出する。実際にはシグネチャ作成部24は、事前に設定した事象発生時の発生ログ14cと、新たに出力されるログDB12のログとを照合し、可変部分以外が一致するかどうか確認し、一致する事象を脆弱性情報として抽出する。 Further, the signature creation unit 24 compares the event that occurred in the log stored in the log storage DB 12 with the event that occurred in the registered vulnerability information 140A, and from the log stored in the log storage DB 12, suspected Extract vulnerability information. In practice, the signature creation unit 24 compares the event occurrence log 14c set in advance with the newly output log of the log DB 12, confirms whether or not there is a match except for the variable part, and confirms whether or not the event matches. is extracted as vulnerability information.

***実施の形態1の効果***
実施の形態1のルータ攻撃検出装置100によれば、ルータの脆弱性公表からルータで脆弱性対策が実施されるまでの間、ルータへの攻撃を防ぐ、ルータ攻撃検出装置を提供できる。
また、ルータ攻撃検出装置100はルータ攻撃検出プログラム101として既存のソフトウェアに組み込むことができるので、ハードウェア構成を変更することなく、既存の装置に適用できる。 *** Effect of Embodiment 1 ***
According to the router attack detection device 100 of Embodiment 1, it is possible to provide a router attack detection device that prevents attacks on routers from the announcement of the router's vulnerability until the router implements vulnerability countermeasures.
Moreover, since the router attack detection device 100 can be incorporated into existing software as the router attack detection program 101, it can be applied to existing devices without changing the hardware configuration.

以上、実施の形態1について説明したが、実施の形態1のうち、1つを部分的に実施しても構わない。あるいは、実施の形態1のうち、2つ以上を部分的に組み合わせて実施しても構わない。なお、本発明は、実施の形態1に限定されるものではなく、必要に応じて種々の変更が可能である。 Although the first embodiment has been described above, one of the first embodiments may be partially implemented. Alternatively, two or more of the first embodiment may be partially combined and implemented. The present invention is not limited to Embodiment 1, and various modifications are possible as required.

11 パケット保存DB、11a 保存パケット情報、12 ログ保存DB、12a 保存ログ情報、13 ホワイトリストDB、13a ホワイトリスト、14 脆弱性情報DB、14a 攻撃パケット要件、14b 発生事象、14c 発生ログ、15 シグネチャDB、21 事象発生判定部、21a 実事象発生通知、22 攻撃パケット抽出部、23 仮想ルータ、24 シグネチャ作成部、100 ルータ攻撃検出装置、101 ルータ攻撃検出プログラム、110 プロセッサ、120 主記憶装置、130 補助記憶装置、140 入力IF、150 出力IF、160 通信IF、210 スイッチ、220 スイッチ、300 ルータ、400 攻撃者、500 内部IPネットワーク、600 インターネット。 11 Packet storage DB, 11a Storage packet information, 12 Log storage DB, 12a Storage log information, 13 Whitelist DB, 13a Whitelist, 14 Vulnerability information DB, 14a Attack packet requirements, 14b Occurrence event, 14c Occurrence log, 15 Signature DB, 21 event occurrence determination unit, 21a actual event occurrence notification, 22 attack packet extraction unit, 23 virtual router, 24 signature creation unit, 100 router attack detection device, 101 router attack detection program, 110 processor, 120 main storage device, 130 Auxiliary Storage Device, 140 Input IF, 150 Output IF, 160 Communication IF, 210 Switch, 220 Switch, 300 Router, 400 Attacker, 500 Internal IP Network, 600 Internet.

Claims (7)

パケットの入力に伴ってルータが生成する第1動作ログと、前記ルータへの攻撃事象が記載されている発生ログとの比較により、前記第1動作ログに前記攻撃事象が存在するかどうかを判定する攻撃事象判定部と、
前記第1動作ログに前記攻撃事象が存在すると判定された場合、前記ルータに入力されるパケットを格納するパケット格納装置から攻撃パケットの候補となる候補パケットを取り出し、前記ルータに代替する代替ルータへ前記候補パケットを入力し、前記候補パケットの入力に伴って前記代替ルータが生成する第2動作ログを取得し、前記発生ログと前記第2動作ログとの比較により、前記第2動作ログに前記攻撃事象が存在するかどうかを判定し、前記第2動作ログに前記攻撃事象が存在する場合、前記第2動作ログでの前記攻撃事象の発生タイミングと、前記候補パケットの前記代替ルータへの入力タイミングとに基づいて、前記攻撃パケットとなる候補パケットを決定する攻撃パケット決定部と、
前記攻撃パケットと決定された前記候補パケットの有するパケット情報を用いて、前記ルータへ入力される前記パケットが前記攻撃パケットかどうかを特定するシグネチャを生成するシグネチャ作成部と
を備えるルータ攻撃検出装置。 A determination is made as to whether or not the attack event exists in the first operation log by comparing a first operation log generated by a router with packet input and an occurrence log describing an attack event to the router. an attack event determination unit that
If it is determined that the attack event exists in the first operation log, a candidate packet that is a candidate for the attack packet is extracted from a packet storage device that stores packets input to the router, and sent to an alternative router that substitutes for the router. The candidate packet is input, the second operation log generated by the alternative router is obtained in accordance with the input of the candidate packet, and the second operation log is obtained by comparing the occurrence log and the second operation log. determining whether or not an attack event exists, and if the attack event exists in the second operation log, inputting timing of occurrence of the attack event in the second operation log and input of the candidate packet to the alternative router an attack packet determination unit that determines a candidate packet to be the attack packet based on the timing;
A router attack detection device, comprising: a signature creation unit that generates a signature specifying whether the packet input to the router is the attack packet, using packet information of the candidate packet determined to be the attack packet. 前記攻撃パケット決定部は、前記候補パケットとして、
前記第1動作ログに前記攻撃事象が存在すると判定された判定時刻から定まる一定期間に前記パケット格納装置に格納されたパケットを取り出す請求項1に記載のルータ攻撃検出装置。 The attack packet determining unit, as the candidate packet,
2. The router attack detection device according to claim 1, wherein the packets stored in said packet storage device are extracted during a certain period of time determined from a judgment time when said attack event is judged to exist in said first operation log. 前記攻撃パケット決定部は、
安全な安全パケットの有するパケット情報が記載されたホワイトリストの前記パケット情報と、前記候補パケットの有するパケット情報との比較により、前記安全パケットである前記候補パケットを決定し、前記安全パケットと決定された前記候補パケットを前記代替ルータへの入力から除外する請求項1または請求項2に記載のルータ攻撃検出装置。 The attack packet determination unit,
By comparing the packet information of the whitelist in which the packet information of the safe secure packet is described with the packet information of the candidate packet, the candidate packet that is the secure packet is determined, and the candidate packet is determined as the secure packet. 3. The router attack detection device according to claim 1, wherein said candidate packet is excluded from input to said alternative router. 前記攻撃パケット決定部は、
攻撃パケットである可能性を予測する情報が記載されている攻撃パケット予測情報を用いて、前記候補パケットが前記攻撃パケットである確度を決定し、前記攻撃パケットである確度の高い順に前記代替ルータへ、前記候補パケットを入力する請求項1から請求項3のいずれか一項に記載のルータ攻撃検出装置。 The attack packet determination unit,
Using attack packet prediction information that describes information for predicting the possibility of being an attack packet, the probability that the candidate packet is the attack packet is determined, and the candidate packet is sent to the alternative router in descending order of probability that it is the attack packet. , the router attack detection device according to any one of claims 1 to 3, wherein the candidate packet is input. 前記シグネチャ作成部は、
前記シグネチャとして、前記攻撃パケットと決定された複数の前記候補パケットに共通する項目を有する共通項目シグネチャを作成する請求項1から請求項4のいずれか一項に記載のルータ攻撃検出装置。 The signature creation unit
The router attack detection device according to any one of claims 1 to 4, wherein, as the signature, a common item signature having items common to the plurality of candidate packets determined as the attack packet is created. コンピュータに、
パケットの入力に伴ってルータが生成する第1動作ログと、前記ルータへの攻撃事象が記載されている発生ログとの比較により、前記第1動作ログに前記攻撃事象が存在するかどうかを判定する攻撃事象判定処理と、
前記第1動作ログに前記攻撃事象が存在すると判定された場合、前記ルータに入力されるパケットを格納するパケット格納装置から攻撃パケットの候補となる候補パケットを取り出し、前記ルータに代替する代替ルータへ前記候補パケットを入力し、前記候補パケットの入力に伴って前記代替ルータが生成する第2動作ログを取得し、前記発生ログと前記第2動作ログとの比較により、前記第2動作ログに前記攻撃事象が存在するかどうかを判定し、前記第2動作ログに前記攻撃事象が存在する場合、前記第2動作ログでの前記攻撃事象の発生タイミングと、前記候補パケットの前記代替ルータへの入力タイミングとに基づいて、前記攻撃パケットとなる候補パケットを決定する攻撃パケット決定処理と、
前記攻撃パケットと決定された前記候補パケットの有するパケット情報を用いて、前記ルータへ入力される前記パケットが前記攻撃パケットかどうかを特定するシグネチャを生成するシグネチャ作成処理と
を実行させるルータ攻撃検出プログラム。 to the computer,
A determination is made as to whether or not the attack event exists in the first operation log by comparing a first operation log generated by a router with packet input and an occurrence log describing an attack event to the router. an attack event determination process to
If it is determined that the attack event exists in the first operation log, a candidate packet that is a candidate for the attack packet is extracted from a packet storage device that stores packets input to the router, and sent to an alternative router that substitutes for the router. The candidate packet is input, the second operation log generated by the alternative router is obtained in accordance with the input of the candidate packet, and the second operation log is obtained by comparing the occurrence log and the second operation log. determining whether or not an attack event exists, and if the attack event exists in the second operation log, inputting timing of occurrence of the attack event in the second operation log and input of the candidate packet to the alternative router an attack packet determination process for determining a candidate packet to be the attack packet based on the timing;
A router attack detection program for executing a signature creation process for creating a signature specifying whether the packet input to the router is the attack packet using packet information of the candidate packet determined to be the attack packet. . コンピュータが、
パケットの入力に伴ってルータが生成する第1動作ログと、前記ルータへの攻撃事象が記載されている発生ログとの比較により、前記第1動作ログに前記攻撃事象が存在するかどうかを判定し、
前記第1動作ログに前記攻撃事象が存在すると判定された場合、前記ルータに入力されるパケットを格納するパケット格納装置から攻撃パケットの候補となる候補パケットを取り出し、前記ルータに代替する代替ルータへ前記候補パケットを入力し、前記候補パケットの入力に伴って前記代替ルータが生成する第2動作ログを取得し、前記発生ログと前記第2動作ログとの比較により、前記第2動作ログに前記攻撃事象が存在するかどうかを判定し、前記第2動作ログに前記攻撃事象が存在する場合、前記第2動作ログでの前記攻撃事象の発生タイミングと、前記候補パケットの前記代替ルータへの入力タイミングとに基づいて、前記攻撃パケットとなる候補パケットを決定し、
前記攻撃パケットと決定された前記候補パケットの有するパケット情報を用いて、前記ルータへ入力される前記パケットが前記攻撃パケットかどうかを特定するシグネチャを生成するルータ攻撃検出方法。 the computer
A determination is made as to whether or not the attack event exists in the first operation log by comparing a first operation log generated by a router with packet input and an occurrence log describing an attack event to the router. death,
If it is determined that the attack event exists in the first operation log, a candidate packet that is a candidate for the attack packet is extracted from a packet storage device that stores packets input to the router, and sent to an alternative router that substitutes for the router. The candidate packet is input, the second operation log generated by the alternative router is obtained in accordance with the input of the candidate packet, and the second operation log is obtained by comparing the occurrence log and the second operation log. determining whether or not an attack event exists, and if the attack event exists in the second operation log, inputting timing of occurrence of the attack event in the second operation log and input of the candidate packet to the alternative router determining a candidate packet to be the attack packet based on the timing;
A router attack detection method for generating a signature identifying whether the packet input to the router is the attack packet, using packet information of the candidate packet determined to be the attack packet.
JP2019053769A 2019-03-20 2019-03-20 Router attack detection device, router attack detection program, and router attack detection method Active JP7166969B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019053769A JP7166969B2 (en) 2019-03-20 2019-03-20 Router attack detection device, router attack detection program, and router attack detection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019053769A JP7166969B2 (en) 2019-03-20 2019-03-20 Router attack detection device, router attack detection program, and router attack detection method

Publications (2)

Publication Number Publication Date
JP2020155986A JP2020155986A (en) 2020-09-24
JP7166969B2 true JP7166969B2 (en) 2022-11-08

Family

ID=72559946

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019053769A Active JP7166969B2 (en) 2019-03-20 2019-03-20 Router attack detection device, router attack detection program, and router attack detection method

Country Status (1)

Country Link
JP (1) JP7166969B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023042709A1 (en) * 2021-09-16 2023-03-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Communication analysis system, analysis method, and program
WO2023042710A1 (en) * 2021-09-16 2023-03-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Communication analysis system, analysis method, and program

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060101517A1 (en) 2004-10-28 2006-05-11 Banzhof Carl E Inventory management-based computer vulnerability resolution system
JP2007058514A (en) 2005-08-24 2007-03-08 Mitsubishi Electric Corp Information processor, information processing method and program
JP2007129482A (en) 2005-11-02 2007-05-24 Nippon Telegr & Teleph Corp <Ntt> Method and system for protection against network attack, relay device, protection device, program for relay device, and program for protection device
JP2014021509A (en) 2012-07-12 2014-02-03 Mitsubishi Electric Corp Fraudulence detection system, terminal unit, fraudulence sensing device, computer program, and fraudulence detection method
JP2015121968A (en) 2013-12-24 2015-07-02 三菱電機株式会社 Log analyzer, log analysis method, and log analysis program
JP2015138509A (en) 2014-01-24 2015-07-30 株式会社日立システムズ Vulnerability risk diagnostic system and vulnerability risk diagnostic method
WO2018159362A1 (en) 2017-03-03 2018-09-07 日本電信電話株式会社 Log analysis apparatus, log analysis method, and log analysis program

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060101517A1 (en) 2004-10-28 2006-05-11 Banzhof Carl E Inventory management-based computer vulnerability resolution system
JP2007058514A (en) 2005-08-24 2007-03-08 Mitsubishi Electric Corp Information processor, information processing method and program
JP2007129482A (en) 2005-11-02 2007-05-24 Nippon Telegr & Teleph Corp <Ntt> Method and system for protection against network attack, relay device, protection device, program for relay device, and program for protection device
JP2014021509A (en) 2012-07-12 2014-02-03 Mitsubishi Electric Corp Fraudulence detection system, terminal unit, fraudulence sensing device, computer program, and fraudulence detection method
JP2015121968A (en) 2013-12-24 2015-07-02 三菱電機株式会社 Log analyzer, log analysis method, and log analysis program
JP2015138509A (en) 2014-01-24 2015-07-30 株式会社日立システムズ Vulnerability risk diagnostic system and vulnerability risk diagnostic method
WO2018159362A1 (en) 2017-03-03 2018-09-07 日本電信電話株式会社 Log analysis apparatus, log analysis method, and log analysis program

Also Published As

Publication number Publication date
JP2020155986A (en) 2020-09-24

Similar Documents

Publication Publication Date Title
JP7460696B2 (en) Real-time detection and protection from malware and steganography in kernel mode
US10657251B1 (en) Multistage system and method for analyzing obfuscated content for malware
RU2531861C1 (en) System and method of assessment of harmfullness of code executed in addressing space of confidential process
RU2568295C2 (en) System and method for temporary protection of operating system of hardware and software from vulnerable applications
US9147073B2 (en) System and method for automatic generation of heuristic algorithms for malicious object identification
US9548990B2 (en) Detecting a heap spray attack
KR102271545B1 (en) Systems and Methods for Domain Generation Algorithm (DGA) Malware Detection
US10972490B2 (en) Specifying system, specifying device, and specifying method
US9584550B2 (en) Exploit detection based on heap spray detection
RU2724790C1 (en) System and method of generating log when executing file with vulnerabilities in virtual machine
US20160196427A1 (en) System and Method for Detecting Branch Oriented Programming Anomalies
JP7166969B2 (en) Router attack detection device, router attack detection program, and router attack detection method
US9306908B2 (en) Anti-malware system, method of processing packet in the same, and computing device
JP6592196B2 (en) Malignant event detection apparatus, malignant event detection method, and malignant event detection program
KR102382889B1 (en) Method and system for detecting web shell using process information
Osorio et al. Segmented sandboxing-a novel approach to malware polymorphism detection
RU2510530C1 (en) Method for automatic generation of heuristic algorithms for searching for malicious objects
RU2747464C2 (en) Method for detecting malicious files based on file fragments
JP7255679B2 (en) Attack graph processing device, method and program
KR101934381B1 (en) Method for detecting hacking tool, and user terminal and server for performing the same
US20230022279A1 (en) Automatic intrusion detection based on malicious code reuse analysis
JP7427146B1 (en) Attack analysis device, attack analysis method, and attack analysis program
RU2774042C1 (en) System and method for identifying potentially malicious changes in an application
JP7067187B2 (en) Communication control device, communication control method, and program
JP6498413B2 (en) Information processing system, information processing apparatus, control server, generation server, operation control method, and operation control program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220111

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221019

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221025

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221026

R150 Certificate of patent or registration of utility model

Ref document number: 7166969

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150