JP7424393B2 - 推定システム、推定方法及び推定プログラム - Google Patents

推定システム、推定方法及び推定プログラム Download PDF

Info

Publication number
JP7424393B2
JP7424393B2 JP2021572968A JP2021572968A JP7424393B2 JP 7424393 B2 JP7424393 B2 JP 7424393B2 JP 2021572968 A JP2021572968 A JP 2021572968A JP 2021572968 A JP2021572968 A JP 2021572968A JP 7424393 B2 JP7424393 B2 JP 7424393B2
Authority
JP
Japan
Prior art keywords
attack
query
subtree
unit
search
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021572968A
Other languages
English (en)
Other versions
JPWO2021149317A1 (ja
Inventor
琴海 黒木
楊 鐘本
一史 青木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2021149317A1 publication Critical patent/JPWO2021149317A1/ja
Application granted granted Critical
Publication of JP7424393B2 publication Critical patent/JP7424393B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9027Trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9538Presentation of query results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

特許法第30条第2項適用 2020年暗号と情報セキュリティシンポジウム https://www.iwsec.org/scis/2020/program.html ウェブサイトの掲載日 2020年1月21日 2020年暗号と情報セキュリティシンポジウム論文集 発行日 2020年1月21日
本発明は、推定システム、推定方法及び推定プログラムに関する。
従来、SQLインジェクションの対策を行うための技術が知られている。ここで、SQLインジェクションは、Webサーバに不正なSQLクエリを実行させる攻撃である。SQLインジェクションは、データベースを備えたWebサーバを利用するWebアプリケーションが多いことや攻撃自体が容易なことから、Webサーバに対する攻撃の中でも特に数が多い。
例えば、SQLインジェクションを検知する技術として、事前に用意した正規表現等のルールに一致するトラフィックを攻撃として検知又はブロックするWAF(Web Application Firewall)が知られている(例えば、非特許文献1を参照)。また、データベースで実行されるSQLクエリに対してSVM(Support Vector Machine)を適用して攻撃を検知する技術が知られている(例えば、非特許文献2を参照)。
また、エミュレート結果とレスポンスに基づいて、SQLインジェクションの攻撃成否を判定する技術が知られている(例えば、特許文献1を参照)。
また、機械学習を用いて、SQLインジェクションの攻撃タイプを分類し検知する技術が知られている(例えば、非特許文献3を参照)。また、正規表現を用いてSQLインジェクションの攻撃タイプを分類し、さらに、レスポンスのペイロードから漏洩した文字列を抽出する技術が知られている(例えば、非特許文献4を参照)。
国際公開第2019/013266号
OWASP ModSecurity Core Rule Set: https://coreruleset.org/ D. Kar, S. Panigrahi, and S. Sundararajan, "SQLiGoT: Detecting SQL injection attacks using graph of tokens and SVM," Comput. Secur., vol.60, pp. 206-225, 2016. Naghmeh Moradpoor Sheykhkanloo, "A Learning-based Neural Network Model for the Detection and Classification of SQL Injection Attacks," International Journal of Cyber Warfare and Terrorism (IJCWT), 2017. Haifeng Gu, Jianning Zhang, Tian Liu, Ming Hu, Junlong Zhou, Tongquan Wei and Mingsong Chen, "DIAVA: A Traffic-Based Framework for Detection of SQL Injection Attacks and Vulnerability Analysis of Leaked Data," IEEE Transactions on Reliability, 2019.
しかしながら、従来の技術には、SQLインジェクションの攻撃対象を特定することが困難な場合があるという問題がある。SQLインジェクションを検知できたとしても、どのDB(database)又はシステムが攻撃の対象になっているかが不明であれば、対策の内容等の検討を効率良く行うことができないことが考えられる。
例えば、非特許文献1及び非特許文献2に記載されたWAF及びSVMでは、攻撃を検知できたとしても、攻撃方法及び攻撃対象を特定できない場合がある。また、特許文献1に記載の技術は、攻撃の成否を判定するものである。また、非特許文献3及び非特許文献4に記載の技術は、攻撃タイプを特定するものである。このように、従来の技術では、SQLインジェクションによる攻撃対象を特定することは困難である。
上述した課題を解決し、目的を達成するために、推定システムは、Webリクエストに挿入されたクエリから作成された構文木に含まれる部分木から、推定対象のクエリと合致する部分木を検索する検索部と、前記検索部による検索によって得られた部分木にあらかじめ対応付けられた、攻撃の被害の種類及び攻撃対象を特定する情報を提示する提示部と、を有することを特徴とする。
本発明によれば、SQLインジェクションの攻撃対象を特定することができる。
図1は、第1の実施形態に係る推定システムの構成例を示す図である。 図2は、第1の実施形態に係る推定装置の構成例を示す図である。 図3は、攻撃クエリの一例を示す図である。 図4は、攻撃クエリの一例を示す図である。 図5は、その他の攻撃クエリの例を示す図である。 図6は、引用符及び括弧が補完された攻撃クエリの例を示す図である。 図7は、引用符の補完方法の例を示す図である。 図8は、括弧の補完方法の例を示す図である。 図9は、括弧の補完方法の詳細を説明する図である。 図10は、ノードの凡例を示す図である。 図11は、構文木の一例を示す図である。 図12は、typeノードの例を示す図である。 図13は、tokenノードの例を示す図である。 図14は、構文木の変換方法の一例を示す図である。 図15は、意味解析ルールの例を示す図である。 図16は、ルール2を充足する部分木の一例を示す図である。 図17は、ルール3を充足する部分木の一例を示す図である。 図18は、ルール4を充足する部分木の一例を示す図である。 図19は、ルール5を充足する部分木の一例を示す図である。 図20は、ルール6を充足する部分木の一例を示す図である。 図21は、攻撃タイプがBoolean-based blindである部分木の一例を示す図である。 図22は、攻撃タイプがTime-based blindである部分木の一例を示す図である。 図23は、攻撃タイプがUnion-basedである部分木の一例を示す図である。 図24は、攻撃タイプがStacked queriesである部分木の一例を示す図である。 図25は、脆弱性の調査を識別するためのルールの一例を示す図である。 図26は、システム情報の漏洩を識別するためのルールの一例を示す図である。 図27は、システム情報の漏洩を識別するためのルールの一例を示す図である。 図28は、テーブル内容の漏洩を識別するためのルールの一例を示す図である。 図29は、改ざんを識別するためのルールの一例を示す図である。 図30は、第1の実施形態に係る推定装置の処理の流れを示すフローチャートである。 図31は、括弧の補完処理の流れを示すフローチャートである。 図32は、解析処理の流れを示すフローチャートである。 図33は、識別処理の流れを示すフローチャートである。 図34は、第2の実施形態に係る推定装置の構成例を示す図である。 図35は、攻撃対象の推定方法を説明する図である。 図36は、第2の実施形態に係る推定装置の処理の流れを示すフローチャートである。 図37は、推定プログラムを実行するコンピュータの一例を示す図である。
以下に、本願に係る推定システム、推定方法及び推定プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態]
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る推定システムの構成について説明する。図1は、第1の実施形態に係る推定システムの構成例を示す図である。図1に示すように、推定システム1は、サーバ3、検知装置4及び推定装置10を有する。また、サーバ3は、検知装置4を介してインターネット2に接続されている。
サーバ3は、Webアプリケーションを実行するためのWebサーバである。サーバ3は、データベース、又はデータベースを利用するWebアプリケーションを実行する。サーバ3は、インターネット2を介してWebリクエストを受け付け、当該Webリクエストに従って処理を実行し、レスポンスを返す。ここで、サーバ3は、Webリクエストに含まれる所定のクエリを基にSQLクエリを構築し、データベースに対し当該SQLクエリを実行することができる。
検知装置4は、インターネット2を介して送られてきたWebリクエストであって、サーバ3への攻撃を目的とするWebリクエストを検知する。例えば、検知装置4はWAFとして機能し、非特許文献1に記載の技術を使って検知を行うことができる。
推定装置10は、検知装置4によって検知されたWebリクエストに基づき、当該Webリクエストに従ってサーバ3が処理を実行した場合に発生する被害に関する推定を行う。特に、推定装置10は、SQLインジェクションによって発生する被害の内容を推定することができる。
図2を用いて、推定装置10の構成について説明する。図2は、推定装置の構成例を示す図である。図2に示すように、推定装置10は、インタフェース部11、記憶部12及び制御部13を有する。
インタフェース部11は、データの入出力及びデータの通信を行うためのインタフェースである。例えば、インタフェース部11は、キーボード及びマウス等の入力装置からデータの入力を受け付ける。また、例えば、インタフェース部11は、ディスプレイ及びスピーカ等の出力装置にデータを出力する。また、例えば、インタフェース部11はNIC(Network Interface Card)であってもよい。
記憶部12は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部12は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部12は、推定装置10で実行されるOS(Operating System)や各種プログラムを記憶する。記憶部12は、意味解析ルール121、攻撃タイプ識別ルール122及び被害識別ルール123を記憶する。
意味解析ルール121は、攻撃クエリの意味的な解析を行うためのルールである。攻撃タイプ識別ルール122は、攻撃クエリによる攻撃のタイプを識別するためのルールである。被害識別ルール123は、攻撃クエリによる攻撃にともない発生する被害を識別するためのルールである。
制御部13は、推定装置10全体を制御する。制御部13は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部13は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部13は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部13は、抽出部131、補完部132、作成部133、付与部134及び識別部135を有する。
抽出部131は、攻撃であることが検知されたWebリクエストから攻撃クエリを抽出する。ここで、攻撃クエリとは、攻撃であることが検知されたWebリクエストに挿入されたクエリである。例えば、攻撃クエリを基に生成されたSQLクエリが実際に攻撃を実行する場合がある。攻撃クエリは、「攻撃に利用されることが疑われるクエリ」のように言い換えられてもよい。
図3及び図4は、攻撃クエリの一例を示す図である。図3のGETメソッドのWebリクエスト及び図4のPOSTメソッドのWebリクエストは、検知装置4によって検知されたWebリクエストである。例えば、図3及び図4に示すように、抽出部131は、Webリクエストの攻撃クエリ内の変数の値を抽出する。つまり、抽出部131は、図3に示すWebリクエストの「?」の後に現れる「id=」以降の文字列を攻撃クエリとして抽出する。また、抽出部131は、図4に示すWebリクエストの「?」の後に現れる「id=」以降であって、「&」より前の文字列を攻撃クエリとして抽出する。
図3の例では、抽出部131は、「a' OR 1=1 --」を攻撃クエリとして抽出する。また、図4の例では、抽出部131は、「1 ;WAITFOR DELAY '0:0:5'--」を攻撃クエリとして抽出する。その他にも、抽出部131は、図5に示すような攻撃クエリを抽出する。また、抽出部131は、既存の正規表現等を用いて攻撃クエリを抽出してもよい。
補完部132は、攻撃クエリの構文解析を容易にするため、攻撃クエリに掛けている引用符や括弧を追加する。図6は、引用符及び括弧が補完された攻撃クエリの例を示す図である。図6に示すように、補完部132は、各種の引用符及び丸括弧等を補完することができる。なお、引用符には、シングルクォート「'」、ダブルクォート「"」、バッククォート「`」等がある。
図7は、引用符の補完方法の例を示す図である。図7に示すように、攻撃クエリに引用符が含まれている場合、補完部132は、攻撃クエリに含まれている引用符と同じ引用符を攻撃クエリの前後に追加する。一方、攻撃クエリに引用符が含まれていない場合、補完部132は引用符の補完を行わない。
図8は、括弧の補完方法の例を示す図である。図8に示すように、補完部132は、攻撃クエリ内に含まれている括弧の中で、対応する反対の括弧が攻撃クエリ内に存在しない場合、対応する括弧を攻撃クエリの前後に追加する。一方、対応する括弧が攻撃クエリ内に存在する場合、補完部132は、当該括弧に囲まれた部分については、完結しているとみなし、括弧の補完を行わない。
図9は、括弧の補完方法の詳細を説明する図である。図9に示すように、まず、補完部132は、攻撃クエリから括弧のみを抽出する。そして、補完部132は、抽出した括弧のうち、完結している括弧を削除していく。ここで、図9の例では、対応する括弧が存在しない括弧として2つの閉じ括弧「) )」が残るので、補完部132は、攻撃クエリの先頭に2つの開き括弧「( (」を追加する。
作成部133は、抽出部131によって抽出された攻撃クエリから、あらかじめ定義されたルールに従って構文木を作成する。例えば、作成部133は、抽出部131によって抽出された攻撃クエリに含まれる文の種類を表す第1のノードと、文に含まれる文字列を表す第2のノードとを持つ構文木を作成する。このように、作成部133は、攻撃クエリの構文解析を行い、構文木を作成する。
本実施形態では、第1のノード及び第2のノードを、それぞれtypeノード及びtokenノードと呼ぶ。typeノードは、攻撃クエリに含まれる文の種類を表す。また、tokenノードは、文に含まれる文字列を表す。
図10は、ノードの凡例を示す図である。以降の説明では、typeノードを角丸四角形で表す。また、tokenノードは、仕切りによって2つの領域に分けられた四角形で表す。tokenノードの左側の領域には、tokenの種類が記載される。また、tokenノードの右側の領域には、tokenの値が記載される。
図11は、構文木の一例を示す図である。図11に示す構文木は、補完部132による補完が行われた攻撃クエリ「'a' OR 1=1 --'」から、作成部133が作成したものである。図11の「sqli-query」、「statement」、「condition」は、攻撃クエリに含まれる文の種類の例である。また、図11の「STRING」、「SQL-WORD」、「NUMBER」等は、tokenの種類の例である。また、図11の「'a'」、「OR」、「1」等は、tokenの値の例である。
例えば、作成部133は、SQLの構文に含まれる単語、演算子、引用符で囲まれた文字列、数値、変数名及びコメントの少なくともいずれかの種別に分類される文字列を第2のノードとし、第2のノードの種別の組み合わせであって、あらかじめ定義された文法に合致する組み合わせを第1のノードとする構文木を作成する。
図12は、typeノードの例を示す図である。図12は、構文木を作成するための文法を示している。作成部133は、図12に示す文法に従ってtypeノードを作成する。例えば、作成部133は、攻撃クエリのうち、「<items> | (<SQL-WORD> [ <items> [<NAME>] ] )+」という文法に合致する部分から、typeノード<statement>をルートとする部分木を作成する。そして、作成部133は、<SQL-WORD>及び<NAME>に該当する文字列から、typeノード<statement>の下に位置するtokenノードを作成する。なお、<SQL-WORD>及び<NAME>は、tokenの種類である。なお、部分木には、単独のノードも含まれるものとする。
図13は、tokenノードの例を示す図である。図13に示すように、<SQL-WORD>は、SQLの構文に含まれる単語であり、例えば「SELECT」、「FROM」等である。また、<NAME>は、変数名、テーブル名等であり、「abc」、「a1」のような任意の文字列等である。なお、以降の説明では、tokenノードを<種類:値>のように表記する場合がある。例えば、tokenノードを、<SQL-WORD:SELECT>、<NAME:abc>、<STRING:'abc'>のように表記する。
付与部134は、第1のノードをルートとする部分木に対応する部分クエリを実行した場合の結果を基に、部分木にラベルを付与する。付与部134は、構文木の一部である部分木に対応する部分クエリを実行した場合の結果を基に、部分木にラベルを付与する。このように、付与部134は、攻撃クエリの意味解析を行い、ラベルを付与する。
また、付与部134は、ラベルの付与を行う前に、構文木の変換を行ってもよい。図14は、構文木の変換方法の一例を示す図である。図14に示すように、付与部134は、部分木ごとのエミュレーションの結果を基に変換を行う。
付与部134は、まず、末端に近いtypeノードをルートとする部分木に含まれるtokenを結合する。図14の例では、付与部134は、typeノード<condition>をルートとする部分木に含まれるtokenノードの値「1」、「=」及び「1」を結合する。さらに、付与部134は、結合による得られた文字列の先頭に「SELECT」を追加し、末尾に「;」を追加する。
このとき、付与部134は、「SELECT 1=1;」というSQLクエリを得る。ここで得られたSQLクエリ「SELECT 1=1;」は、部分クエリの一例である。つまり、部分クエリは、構文木全体から構成されるSQLクエリの一部である。「SELECT 1=1;」をエミュレータ上で実行すると「1」が得られるため、図14に示すように、付与部134は、typeノード<condition>をルートとする部分木を、tokenノード<NUMBER:1>に変換する。このように、付与部134は、構文木を簡略化することができる。
付与部134は、意味解析ルール121に従って各部分木の変換及びラベルの付与を行う。図15は、意味解析ルールの例を示す図である。条件の(1)から(5)は、下記の通りである。
(1)ルートの子ノードが全てtokenノード。
(2)部分木内に環境依存のラベルが存在。
(3)エミュレーション結果がエラー。
(4)エミュレーション結果がテーブル等が存在しないエラー。
(5)エミュレーション結果が既存のテーブルを参照。
(1)及び(2)は、木構造に関する条件ということができる。また、(3)から(5)は、エミュレーション結果に関する情報ということができる。また、図15の○は、条件が満たされることを意味する。また、図15の-は、条件の判定を行わないことを意味する。また、図15の×は、条件が満たされないことを意味する。
部分木のルートがtypeノード<statement>であり、ルートの親ノードがtypeノード<sqli-query>である場合、付与部134は、ルール1が充足されると判定する。この場合、付与部134は、変換及びラベルの付与を行わない。
図16は、ルール2を充足する部分木の一例を示す図である。条件(1)が満たされ、条件(2)、(3)、(5)が満たされない場合、付与部134は、ルール2が充足されると判定する。つまり、付与部134は、ルートの子ノードが全てtokenノードであり(条件(1)、○)、部分木内に環境依存のラベルが存在せず(条件(2)、×)、エミュレーション結果がエラーではなく(条件(3)、×)、エミュレーション結果が既存のテーブルを参照しない(条件(5)、×)場合、ルール2が充足されると判定する。この場合、付与部134は、部分木を実行結果に変換する。図16の例では、付与部134は、typeノード<function>をルートとする部分木をtokenノード<STRING:'a'>に変換する。
図17は、ルール3を充足する部分木の一例を示す図である。条件(1)、(3)が満たされ、条件(2)、(4)が満たされない場合、付与部134は、ルール3が充足されると判定する。つまり、付与部134は、ルートの子ノードが全てtokenノードであり(条件(1)、○)、部分木内に環境依存のラベルが存在せず(条件(2)、×)、エミュレーション結果がエラーであり(条件(3)、○)、エミュレーション結果がテーブル等が存在しないエラーではない(条件(4)、×)、場合、ルール3が充足されると判定する。この場合、付与部134は、部分クエリの文字列をtokenノードとし、エラーを表すラベルを付与する。図17の例では、付与部134は、typeノード<function>をルートとする部分木をtokenノード<QUERY:EXP(10000)>に変換し、ラベル「ERROR」を付与する。
図18は、ルール4を充足する部分木の一例を示す図である。部分木のルートがtypeノード<function>であり、子ノードの数が3であり、条件(1)が満たされ、条件(3)が満たされない場合、付与部134は、ルール4が充足されると判定する。つまり、付与部134は、部分木のルートがtypeノード<function>であり、子ノードの数が3であり、ルートの子ノードが全てtokenノードであり(条件(1)、○)、エミュレーション結果がエラーではない(条件(3)、×)場合、ルール4が充足されると判定する。この場合、付与部134は、部分クエリの文字列をtokenノードとし、環境依存関数を表すラベルを付与する。図18の例では、付与部134は、typeノード<function>をルートとする部分木をtokenノード<QUERY:VERSION()>に変換し、ラベル「環境依存関数」を付与する。
図19は、ルール5を充足する部分木の一例を示す図である。条件(1)、(5)が満たされ、条件(2)が満たされない場合、付与部134は、ルール5が充足されると判定する。つまり、付与部134は、ルートの子ノードが全てtokenノードであり(条件(1)、○)、部分木内に環境依存のラベルが存在せず(条件(2)、×)、エミュレーション結果が既存のテーブルを参照する(条件(6)、×)場合、ルール5が充足されると判定する。この場合、付与部134は、部分クエリの文字列をtokenノードとし、環境依存のシステムテーブルへのアクセスを表すラベルを付与する。図19の例では、付与部134は、typeノード<statement>をルートとする部分木をtokenノード<QUERY: SELECT * FROM sys.user>に変換し、ラベル「環境依存のシステムテーブル」を付与する。
図20は、ルール6を充足する部分木の一例を示す図である。条件(1)、(3)、(4)が満たされ、条件(2)が満たされない場合、付与部134は、ルール5が充足されると判定する。つまり、付与部134は、ルートの子ノードが全てtokenノードであり(条件(1)、○)、部分木内に環境依存のラベルが存在せず(条件(2)、×)、エミュレーション結果が通常のエラーであり(条件(3)、○)、そのエラーがテーブル等が存在しないエラーである(条件(4)、○)場合、ルール6が充足されると判定する。この場合、付与部134は、部分クエリの文字列をtokenノードとし、サーバ固有のテーブルへのアクセスを表すラベルを付与する。図20の例では、付与部134は、typeノード< statement>をルートとする部分木をtokenノード<QUERY: SELECT * FROM abc>に変換し、ラベル「環境依存テーブル」を付与する。
このように、付与部134は、部分木に、エラーを表すラベル、環境依存関数を表すラベル、環境依存のシステムテーブルへのアクセスを表すラベル、環境依存のサーバ固有テーブルへのアクセスを表すラベルのいずれかを付与することができる。
識別部135は、付与部134によって付与されたラベルを基に、Webリクエストによる攻撃の被害の種類を識別する。識別部135は、付与部134によって付与されたラベルを基に、Webリクエストによる攻撃のタイプを識別する。
識別部135は、構文木の少なくとも一部が、あらかじめ攻撃のタイプと対応付けられた木構造と一致する場合、当該攻撃のタイプを、Webリクエストによる攻撃のタイプとして識別し、当該木構造のうちあらかじめ指定された位置にある部分木に付与されたラベルを基に、Webリクエストによる攻撃の被害の種類を識別する。
図21は、攻撃タイプがBoolean-based blindである部分木の一例を示す図である。図22は、攻撃タイプがTime-based blindである部分木の一例を示す図である。図23は、攻撃タイプがUnion-basedである部分木の一例を示す図である。図24は、攻撃タイプがStacked queriesである部分木の一例を示す図である。また、識別部135は、図21から図24における「被害識別対象」と記載された位置にあるノード又は部分木を基に、攻撃による被害の種類を識別する。このようなノード又は部分木を、被害識別対象部分木と呼ぶ。また、図21から図24に示すような攻撃のタイプに関するルールは、攻撃タイプ識別ルール122として記憶部12に格納されているものとする。
図25は、脆弱性の調査を識別するためのルールの一例を示す図である。識別部135は、被害識別対象部分木に環境依存ラベルが付与されていない場合、当該被害識別対象部分木を含む攻撃クエリによる攻撃の被害を、脆弱性の調査と識別する。このような攻撃には、出力に環境依存の特定の文字列等の情報を含まないという特徴がある。
図26及び図27は、システム情報の漏洩を識別するためのルールの一例を示す図である。識別部135は、被害識別対象部分木にラベル「環境依存関数」又はラベル「環境依存システムテーブル」が付与されている場合、当該被害識別対象部分木を含む攻撃クエリによる攻撃の被害を、システム情報の漏洩と識別する。このような攻撃には、デフォルトで存在するシステム用のテーブルへのアクセスやシステム情報を出力する関数を実行するという特徴がある。
図28は、テーブル内容の漏洩を識別するためのルールの一例を示す図である。識別部135は、被害識別対象部分木にラベル「環境依存テーブル」が付与されている場合、当該被害識別対象部分木を含む攻撃クエリによる攻撃の被害を、テーブル内容の漏洩と識別する。このような攻撃には、サーバ固有のテーブルの内容を漏洩させるという特徴がある。
図29は、改ざんを識別するためのルールの一例を示す図である。識別部135は、被害識別対象部分木がtokenノード<SQL-WORD:DROP>である場合、当該被害識別対象部分木を含む攻撃クエリによる攻撃の被害を、改ざんと識別する。このような攻撃には、データベースの内容を書き換えるという特徴がある。
このように、識別部135は、部分木にラベルが付与されていない場合、被害の種類を脆弱性の調査と識別し、部分木に環境依存関数を表すラベル、又は環境依存のシステムテーブルへのアクセスを表すラベルが付与されている場合、被害の種類をシステム情報の漏洩と識別し、部分木に環境依存のサーバ固有テーブルへのアクセスを表すラベルが付与されている場合、被害の種類をテーブル内容の漏洩と識別する。また、図25から図29に示すような被害を識別するためのルールは、被害識別ルール123として記憶部12に格納されているものとする。
[第1の実施形態の処理の流れ]
図30は、第1の実施形態に係る推定装置の処理の流れを示すフローチャートである。図30に示すように、まず、推定装置10は、取得した攻撃クエリの補完を行う(ステップS10)。推定装置10は、括弧の補完を行う(ステップS11)。そして、推定装置10は、構文解析を行う(ステップS20)。ここで、構文解析が可能であった場合(ステップS21、Yes)、推定装置10は、ステップS30へ進む。一方、構文解析が可能でなかった場合(ステップS21、No)、推定装置10は、ステップS12へ進む。
推定装置10は、攻撃クエリに含まれる各引用符について、ステップS12とステップS16の間の処理を繰り返す。引用符が攻撃クエリに含まれない場合(ステップS13、No)、推定装置10は、ステップS12に戻り、処理を繰り返す。一方、引用符が攻撃クエリに含まれる場合(ステップS13、Yes)、推定装置10は、引用符の補完を行う(ステップS14)。さらに、推定装置10は、括弧の補完を行う(ステップS15)。
さらに、推定装置10は、補完が終わった後、構文解析を行う(ステップS22)。ここで、構文解析が可能であった場合(ステップS23、Yes)、推定装置10は、ステップS30へ進む。一方、構文解析が可能でなかった場合(ステップS23、No)、推定装置10は、ステップS16へ進む。
図31を用いて、括弧の補完処理(図30のステップS11、S15)の流れを説明する。図31は、括弧の補完処理の流れを示すフローチャートである。まず、推定装置10は、攻撃クエリから括弧を全て抽出する(ステップS101)。ここで、推定装置10は、抽出した括弧列の中に閉じた括弧"()"がなくなるまで、閉じた括弧"()"を削除する(ステップS102、S103、S104)。
そして、推定装置10は、抽出括弧列中に残った閉じ括弧")"の数だけ攻撃クエリの先頭に開き括弧"("を追加する(ステップS105)。また、推定装置10は、抽出括弧列中に残った開き括弧"("の数だけ攻撃クエリの末尾に閉じ括弧")"を追加する(ステップS106)。
図32を用いて、解析処理(図30のステップS20、S22、30)の流れを説明する。図32は、解析処理の流れを示すフローチャートである。ここでは、構文解析と意味解析が連続して行われるものとして説明する。推定装置10は、末端に近いtypeノードから順に全てのtypeノードに対して繰り返し処理を行う(ステップS201、S210)。
推定装置10は、選択したtypeノードをルートとする部分木に含まれるtokenを連結した文字列(部分クエリ)を取得する(ステップS202)。ここで、部分クエリの先頭が"SELECT"である場合(ステップS203、Yes)、推定装置10はステップS205へ進む。一方、部分クエリの先頭が"SELECT"でない場合(ステップS203、No)、推定装置10は部分クエリの先頭に"SELECT"を追加する(ステップS204)。さらに、推定装置10は、追加クエリの末尾に";"を追加してエミュレーションを実行する(ステップS205)。
ここで、推定装置10は、各意味解析ルールに対して、条件に一致するか否かを判定する処理を繰り返す(ステップS206、S207、S208)。条件に一致した場合(ステップS207、Yes)、推定装置10は、ルールの変換方法に従って部分木を変換する(ステップS209)。
図33を用いて、識別処理の流れを説明する。図33は、識別処理の流れを示すフローチャートである。識別処理は、例えば、図30のステップS16の後に行われてもよい。推定装置10は、各攻撃タイプルールに対して、ステップS301とステップS310の間の処理を繰り返す。
推定装置10は、ルールに指定された木構造に一致する部分木のリストを取得する(ステップS302)。ここで、推定装置10は、リスト内の各部分木に対して、ステップS303とステップS309の間の処理を繰り返す。推定装置10は、ルールに従って被害識別対象の部分木を抽出する(ステップS304)。
ここで、推定装置10は、各被害ルールに対して、被害識別対象部分木内に被害ルールが一致する部分木が存在するか否かを判定する処理を繰り返す(ステップS305、S306、S307)。条件に一致した場合(ステップS306、Yes)、推定装置10は、攻撃タイプと被害を出力する(ステップS308)。
[第1の実施形態の効果]
これまで説明してきたように、推定装置10の抽出部131は、攻撃であることが検知されたWebリクエストに挿入された攻撃クエリを抽出する。作成部133は、抽出部131によって抽出された攻撃クエリから、あらかじめ定義されたルールに従って構文木を作成する。付与部134は、構文木の一部である部分木に対応する攻撃クエリを実行した場合の結果を基に、部分木にラベルを付与する。識別部135は、付与部134によって付与されたラベルを基に、Webリクエストによる攻撃の被害の種類を識別する。このように、推定装置10は、Webリクエストの攻撃クエリから被害の種類を識別する。その結果、本実施形態によれば、SQLインジェクションによって発生する被害を推定することができる。
また、作成部133は、抽出部131によって抽出された攻撃クエリに含まれる文の種類を表す第1のノードと、文に含まれる文字列を表す第2のノードとを持つ構文木を作成する。付与部134は、第1のノードをルートとする部分木に対応する攻撃クエリを実行した場合の結果を基に、部分木にラベルを付与する。このように、推定装置10は、文と文に含まれる文字列をノードとする木構造を生成する。その結果、本実施形態によれば、攻撃クエリに含まれる各文字列間の関係を明確にすることで、被害をより正確に推定することができる。
また、作成部133は、SQLの構文に含まれる単語、演算子、引用符で囲まれた文字列、数値、変数名及びコメントの少なくともいずれかの種別に分類される文字列を第2のノードとし、第2のノードの種別の組み合わせであって、あらかじめ定義された文法に合致する組み合わせを第1のノードとする構文木を作成する。このように、推定装置10は、攻撃クエリの各文字列の、SQLにおける役割が明確になるような構文木を作成する。その結果、本実施形態によれば、攻撃の結果をより正確に推定することができる。
識別部135は、構文木の少なくとも一部が、あらかじめ攻撃のタイプと対応付けられた木構造と一致する場合、当該攻撃のタイプを、Webリクエストによる攻撃のタイプとして識別し、当該木構造のうちあらかじめ指定された位置にある部分木に付与されたラベルを基に、Webリクエストによる攻撃の被害の種類を識別する。このように、推定装置10は、攻撃タイプを識別する。これにより、本実施形態によれば、攻撃クエリによる被害をより正確に推定することができる。
付与部134は、部分木に、エラーを表すラベル、環境依存関数を表すラベル、環境依存のシステムテーブルへのアクセスを表すラベル、環境依存のサーバ固有テーブルへのアクセスを表すラベルのいずれかを付与する。このように、本実施形態によれば、攻撃クエリの各部分の役割を明確化することができる。
識別部135は、部分木にラベルが付与されていない場合、被害の種類を脆弱性の調査と識別し、部分木に環境依存関数を表すラベル、又は環境依存のシステムテーブルへのアクセスを表すラベルが付与されている場合、被害の種類をシステム情報の漏洩と識別し、部分木に環境依存のサーバ固有テーブルへのアクセスを表すラベルが付与されている場合、被害の種類をテーブル内容の漏洩と識別する。このように、本実施形態によれば、攻撃クエリによる被害を分かりやすく分類することができる。
[第2の実施形態]
推定システムは、さらにSQLインジェクションによる具体的な攻撃対象を推定し、その推定結果を出力してもよい。第2の実施形態の推定システムは、構文木を用いて被害の種類を識別するだけでなく、具体的な攻撃対象を特定することができる。攻撃対象には、例えばDB及びシステム等がある。例えば、推定システムは、攻撃対象として、DBに含まれるテーブル名を特定することができる。
[第2の実施形態の構成]
第2の実施形態の構成について説明する。ここで、第2の実施形態は、図1に示す推定システム1における推定装置10を推定装置10aに置き換えることによって実現されてもよい。
図34は、第2の実施形態に係る推定装置の構成例を示す図である。図34に示すように、第2の実施形態の推定装置10aは、インタフェース部11、記憶部12及び制御部13を有する。
推定装置10aは、第1の実施形態の推定装置10と同等の構成に加え、推定部136を有する。推定部136は、攻撃対象を特定するための情報を検索し、その結果を提示する。なお、推定部136は、検索部及び提示部に相当する。
推定部136は、Webリクエストに挿入されたクエリから作成された構文木に含まれる部分木から、推定対象のクエリと合致する部分木を検索する。また、推定部136は、推定部136による検索によって得られた部分木にあらかじめ対応付けられた、攻撃の被害の種類及び攻撃対象を特定する情報を提示する。この結果、第2の実施形態によれば、SQLインジェクションの攻撃対象を特定することができる。
なお、第1の実施形態では、Webリクエストのクエリから部分木を含む構文木が構築される。逆に、第2の実施形態では、クエリから構文木に含まれる部分木が検索される。このため、推定部136による部分木の検索を、逆引きと呼ぶ場合がある。
図35は、攻撃対象の推定方法を説明する図である。図35に示すように、まず、推定部136は、元のリクエストに含まれるクエリに合致する部分木を検索する。そして、推定部136は、検索によって得られた被害対象部分木を参照し、具体的なテーブル名等が記載されたノードを参照し、攻撃対象を特定する情報を取得する。
例えば、推定部136は、図13に示すtokenノードのうち、<NAME>を参照して攻撃対象のテーブル名等を特定することができる。また、クエリにおいて、テーブル名やシステム名が引用符で囲まれている場合も考えられる。その場合、推定部136は、<STRING>を参照して攻撃対象を特定することもできる。
図35の例では、推定部136は、「SELECT * FROM users」に合致する被害識別対象部分木を検索結果として得る。そして、<NAME>に記載されたテーブル名を表す文字列「users」を特定する。
推定部136は、攻撃対象推定結果として、攻撃対象ホスト、被害、攻撃対象テーブルを対応付けたデータを生成する。ここでの被害は、識別部135によって識別される被害の種類である。また、推定部136は、生成したデータを記憶部12に蓄積してもよいし、インタフェース部11を介して出力してもよい。
推定装置10aは、第1の実施形態の推定装置10と同等の機能を有する。すなわち、抽出部131は、攻撃であることが検知されたWebリクエストに挿入された攻撃クエリを抽出する。作成部133は、抽出部131によって抽出された攻撃クエリから、あらかじめ定義されたルールに従って構文木を作成する。付与部134は、構文木の一部である部分木に対応する攻撃クエリを実行した場合の結果を基に、部分木にラベルを付与する。識別部135は、付与部134によって付与されたラベルを基に、Webリクエストによる攻撃の被害の種類を識別する。推定部136は、作成部によって作成された構文木に含まれる部分木から、推定対象のクエリと合致する部分木を検索する。推定部136は、推定部136による検索によって得られた部分木及び部分木に付与されたラベルを基に、攻撃の被害の種類及び攻撃対象を特定する情報を提示する。このように、第2の実施形態では、構文木の生成及び攻撃対象の特定を一貫して実施することができる。
[第2の実施形態の処理の流れ]
図36は、第2の実施形態に係る推定装置の処理の流れを示すフローチャートである。図36に示すように、まず、推定装置10aは、リクエストのクエリから部分木を逆引きする(ステップS501)。
そして、推定装置10aは、逆引きした部分木を基に攻撃対象を特定する(ステップS502)。例えば、推定装置10aは、部分木に含まれる所定のノードを参照し、攻撃対象のテーブル名やシステム名を特定する。
さらに、推定装置10aは、特定した攻撃対象を出力(ステップS503)。このとき、推定装置10aは、攻撃対象を攻撃による被害の種類とともに出力することができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、推定装置10aは、パッケージソフトウェアやオンラインソフトウェアとして上記の推定処理を実行する推定プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の推定プログラムを情報処理装置に実行させることにより、情報処理装置を推定装置10aとして機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、推定装置10aは、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の推定処理に関するサービスを提供する推定サーバ装置として実装することもできる。例えば、推定サーバ装置は、Webリクエストを入力とし、攻撃による被害の識別結果及び攻撃対象を特定する情報を出力とする推定サービスを提供するサーバ装置として実装される。この場合、推定サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の推定処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図37は、推定プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(BASIC Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、推定装置10aの各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、推定装置10aにおける機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 推定システム
2 インターネット
3 サーバ
4 検知装置
10 推定装置
11 インタフェース部
12 記憶部
13 制御部
121 意味解析ルール
122 攻撃タイプ識別ルール
123 被害識別ルール
131 抽出部
132 補完部
133 作成部
134 付与部
135 識別部
136 推定部

Claims (5)

  1. Webリクエストに挿入されたクエリから作成された構文木であって、前記クエリに含まれる文字列を表すノードを持つ構文木に含まれる部分木から、推定対象のクエリと合致する部分木を検索する検索部と、
    前記検索部による検索によって得られた部分木に含まれる前記ノードが表す文字列を基に、攻撃の被害の種類及び攻撃対象を特定する情報を提示する提示部と、
    を有することを特徴とする推定システム。
  2. 前記提示部は、前記攻撃対象を特定する情報として、テーブル名を提示することを特徴とする請求項1に記載の推定システム。
  3. 攻撃であることが検知されたWebリクエストに挿入されたクエリを抽出する抽出部と、
    前記抽出部によって抽出されたクエリから、あらかじめ定義されたルールに従って構文木であって、前記クエリに含まれる文字列を表すノードを持つ構文木を作成する作成部と、
    前記構文木の一部である部分木に含まれる前記ノードが表す文字列を連結したクエリを実行した場合の結果を基に、前記部分木にラベルを付与する付与部と、
    前記付与部によって付与されたラベルを基に、前記Webリクエストによる攻撃の被害の種類を識別する識別部と、
    をさらに有し、
    前記検索部は、前記作成部によって作成された構文木に含まれる部分木から、推定対象のクエリと合致する部分木を検索し、
    前記提示部は、前記検索部による検索によって得られた部分木及び前記部分木に付与された前記ラベルを基に、攻撃の被害の種類及び攻撃対象を特定する情報を提示することを特徴とする請求項1に記載の推定システム。
  4. 推定システムによって実行される推定方法であって、
    Webリクエストに挿入されたクエリから作成された構文木であって、前記クエリに含まれる文字列を表すノードを持つ構文木に含まれる部分木から、推定対象のクエリと合致する部分木を検索する検索工程と、
    前記検索工程による検索によって得られた部分木に含まれる前記ノードが表す文字列を基に、攻撃の被害の種類及び攻撃対象を特定する情報を提示する提示工程と、
    を含むことを特徴とする推定方法。
  5. Webリクエストに挿入されたクエリから作成された構文木であって、前記クエリに含まれる文字列を表すノードを持つ構文木に含まれる部分木から、推定対象のクエリと合致する部分木を検索する検索ステップと、
    前記検索ステップによる検索によって得られた部分木に含まれる前記ノードが表す文字列を基に、攻撃の被害の種類及び攻撃対象を特定する情報を提示する提示ステップと、
    をコンピュータに実行させることを特徴とする推定プログラム。
JP2021572968A 2020-01-20 2020-10-26 推定システム、推定方法及び推定プログラム Active JP7424393B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/JP2020/001781 WO2021149119A1 (ja) 2020-01-20 2020-01-20 推定システム及び推定プログラム
JPPCT/JP2020/001781 2020-01-20
PCT/JP2020/040152 WO2021149317A1 (ja) 2020-01-20 2020-10-26 推定システム、推定方法及び推定プログラム

Publications (2)

Publication Number Publication Date
JPWO2021149317A1 JPWO2021149317A1 (ja) 2021-07-29
JP7424393B2 true JP7424393B2 (ja) 2024-01-30

Family

ID=76992126

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021572968A Active JP7424393B2 (ja) 2020-01-20 2020-10-26 推定システム、推定方法及び推定プログラム

Country Status (3)

Country Link
US (1) US12081564B2 (ja)
JP (1) JP7424393B2 (ja)
WO (2) WO2021149119A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150205951A1 (en) 2014-01-20 2015-07-23 Prevoty, Inc. Systems and methods for sql query constraint solving
US20190207974A1 (en) 2017-12-29 2019-07-04 Cyphort Inc. System for query injection detection using abstract syntax trees

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080047009A1 (en) * 2006-07-20 2008-02-21 Kevin Overcash System and method of securing networks against applications threats
JP5501156B2 (ja) * 2010-08-23 2014-05-21 キヤノン株式会社 情報処理装置、情報処理方法、及びプログラム
KR101436874B1 (ko) * 2013-10-18 2014-09-11 한국전자통신연구원 침입 탐지 시스템의 탐지 성능 향상 장치 및 방법
AU2018298640B2 (en) * 2017-07-12 2021-01-07 Nippon Telegraph And Telephone Corporation Determination device, determination method, and determination program
EP3783846B1 (en) * 2018-05-21 2022-06-15 Nippon Telegraph And Telephone Corporation Determination method, determination device and determination program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150205951A1 (en) 2014-01-20 2015-07-23 Prevoty, Inc. Systems and methods for sql query constraint solving
US20190207974A1 (en) 2017-12-29 2019-07-04 Cyphort Inc. System for query injection detection using abstract syntax trees

Also Published As

Publication number Publication date
JPWO2021149317A1 (ja) 2021-07-29
WO2021149317A1 (ja) 2021-07-29
WO2021149119A1 (ja) 2021-07-29
US20230007020A1 (en) 2023-01-05
US12081564B2 (en) 2024-09-03

Similar Documents

Publication Publication Date Title
US11483319B2 (en) Security model
RU2722692C1 (ru) Способ и система выявления вредоносных файлов в неизолированной среде
US20200074080A1 (en) Malware clustering based on function call graph similarity
JP6557334B2 (ja) アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム
US20200285716A1 (en) Detection and monitoring of software license terms and conditions
US9973525B1 (en) Systems and methods for determining the risk of information leaks from cloud-based services
US11620179B1 (en) Method, apparatus, device, storage medium and program product for log information processing
US11366843B2 (en) Data classification
US20160098563A1 (en) Signatures for software components
JP7092192B2 (ja) 判定方法、判定装置および判定プログラム
CN113688240B (zh) 威胁要素提取方法、装置、设备及存储介质
JP7486579B2 (ja) 仮想マシンのコンテンツに基づくクラスタ・セキュリティ
JP6282217B2 (ja) 不正プログラム対策システムおよび不正プログラム対策方法
US20240146755A1 (en) Risk-based vulnerability management
US20230222223A1 (en) Computer-implemented method for testing the cybersecurity of a target environment
JP7424393B2 (ja) 推定システム、推定方法及び推定プログラム
WO2023138047A1 (zh) 网络威胁信息提取方法、设备、存储介质及装置
JP6666475B2 (ja) 解析装置、解析方法及び解析プログラム
KR102411383B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
WO2021166271A1 (ja) 解析装置、解析方法及び解析プログラム
US10789067B2 (en) System and method for identifying open source usage
US10515219B2 (en) Determining terms for security test
Luh et al. Advanced threat intelligence: detection and classification of anomalous behavior in system processes
Liljebjörn et al. Mantis the black-box scanner: Finding XSS vulnerabilities through parse errors
US11632380B2 (en) Identifying large database transactions

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220615

A80 Written request to apply exceptions to lack of novelty of invention

Free format text: JAPANESE INTERMEDIATE CODE: A801

Effective date: 20220615

A80 Written request to apply exceptions to lack of novelty of invention

Free format text: JAPANESE INTERMEDIATE CODE: A80

Effective date: 20220615

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230815

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231006

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240101

R150 Certificate of patent or registration of utility model

Ref document number: 7424393

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150