JPWO2015186662A1 - ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム - Google Patents

ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム Download PDF

Info

Publication number
JPWO2015186662A1
JPWO2015186662A1 JP2016525161A JP2016525161A JPWO2015186662A1 JP WO2015186662 A1 JPWO2015186662 A1 JP WO2015186662A1 JP 2016525161 A JP2016525161 A JP 2016525161A JP 2016525161 A JP2016525161 A JP 2016525161A JP WO2015186662 A1 JPWO2015186662 A1 JP WO2015186662A1
Authority
JP
Japan
Prior art keywords
class
profile
parameter
character string
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016525161A
Other languages
English (en)
Other versions
JP6106340B2 (ja
Inventor
揚 鐘
揚 鐘
浩志 朝倉
浩志 朝倉
慎吾 折原
慎吾 折原
一史 青木
一史 青木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Application granted granted Critical
Publication of JP6106340B2 publication Critical patent/JP6106340B2/ja
Publication of JPWO2015186662A1 publication Critical patent/JPWO2015186662A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

情報処理装置に対する攻撃か否かの判定基準となるプロファイルを保存するための記憶部(12)と、アクセスリクエストから各パラメタを抽出するパラメタ抽出部(31)と、各パラメタについて、パラメタ値の部分毎に予め定義された文字列クラスと比較し、一致する長さが最長になる文字列クラスにその部分を置換し、置換した順に並べたクラス列に変換する文字列クラス変換部(32)と、学習データとして正常なデータのアクセスリクエストについての上記クラス列の集合のうち、出現頻度が所定値以上のクラス列をプロファイルとして記憶部(12)に保存するプロファイル保存部(43)と、分析対象のアクセスリクエストについて上記クラス列とプロファイルとの類似度にしたがって攻撃の有無を判定する異常検知部(53)と、を有する。

Description

本発明は、ネットワークセキュリティに関する技術であり、特に、WebサーバおよびWebアプリケーションに対して攻撃を行うアクセスに対して、アクセスを分析し、検知する技術に関する。
Webを使用したシステムはEC(Electronic Commerce)をはじめ、社会の様々な所で利用されている。しかし、そのようなシステムは一般利用者が使用する基盤であるが故に、Webサーバは常に攻撃の危険性に晒されている。Webサーバに対して攻撃を行うアクセスを検知する方法が種々検討されている。
攻撃を検知する方式として、WAF(Web Application Firewall)でアクセス内容を分析する方式と、Webサーバやアプリケーションサーバに残るログを分析する方式が一般的である。攻撃検知方法には、シグネチャ型とアノマリ型の2種類の検知方法が知られている。
図17は従来の攻撃検知方法を説明するための図である。図17(a)はシグネチャ型の攻撃検知方法を示す図であり、図17(b)はアノマリ型の攻撃検知方法を示す図である。
シグネチャ型は、図17(a)に示すように、攻撃コードから攻撃を判定できる部分を抽出し、パターンに一致したリクエストを攻撃として検知するものである。WebAP(Web Application)に存在する脆弱性が増加したため、1つ1つの脆弱性について対策を行うシグネチャ型検知で攻撃を防ぐことが困難になった。そのため、WebAPに対して通常リクエストからプロファイルを作成し、異常を検知するアノマリ検知に対する研究が行われてきた。
アノマリ型は、図17(b)に示すように、正常なリクエストからプロファイルを作成し、プロファイルとの類似度を計算し、異なるリクエストを異常として検知するものである(非特許文献1および2参照)。以下では、プロファイルを作成する処理を学習処理と称し、プロファイルを用いて、分析対象のリクエストが攻撃か否かを判定する処理を検知処理と称する。
非特許文献1および2に開示された方法では、WebAPのパス部を元にそのパス部が持つパラメタに対していくつかの特徴量をもつプロファイルを作成する。プロファイルの作成方法を説明する。
ここでは、検知結果に影響が大きいと考えられる、文字列の構造と文字列のクラスの特徴量についてのみ考える。図18はプロファイルの特徴量を説明するための図である。
文字列の構造を特徴量とする場合を従来技術1とし、文字列のクラスを特徴量とする場合を従来技術2として、これらの技術を簡単に説明する。
はじめに、従来技術1による、文字列構造を特徴量としたプロファイル作成方法を説明する。図19は従来技術1の状態遷移モデルの作成方法を説明するための図である。
学習処理の手順は、次の通りである。
(手順1)出現する文字を状態とし、全パラメタ値を列挙した状態遷移モデルを作成する。
(手順2)初期状態(s)から同じ状態を結合し、結合できなくなるまで繰り返し、出来上がった状態遷移モデルをプロファイルとする(状態遷移モデルの作り方は非特許文献3参照)。
なお、モデルを作るときは状態遷移の確率を考慮に入れなければいけないが、従来技術1では検知時に確率を考慮しないため遷移確率を考慮しないモデルを作成することと同等と考える。
検知処理では、文字列がプロファイル(状態遷移モデル)から出力不可能であれば異常と判定する。
次に、従来技術2による、文字列型を特徴量としたプロファイル作成方法を説明する。図20は従来技術2の異常判定方法を説明するための図である。
学習処理の手順は、次の通りである。
(手順1)文字列クラスをあらかじめ定義する(定義方法の一例は非特許文献4を参照)。
(手順2)パラメタ値全体に対してそのクラスに当てはまるかを判定し、当てはまるクラスをそのパラメタに対するプロファイルとしてそのクラス名を保持する。
検知処理では、パラメタ値全体をクラスに変換し、それがプロファイルのクラスと一致しない場合は異常と判定する。
Kruegel, Christopher, and Giovanni Vigna, "Anomaly Detection of Web-based Attacks", Proceedings of the 10th ACM conference on Computer and communications security, ACM, 2003. ModSecurity, SpiderLabs,インターネット<URL:http:// blog. spiderlabs.com/2011/02/modsecurity-dvanced-topic-of-the-week-real-time- application-profiling. html>, 2012 Stolcke, Andreas, and Stephen Omohundro, "Hidden Markov model induction by Bayesian model merging", Advances in neural information processing systems (1993): 11-11. OWSP Validation Regex Repository,[平成26年5月26日検索],インターネット<URL: https://www.owasp.org/index.php/ OWASP_Validation_ Regex_Repository>
図21を参照して、従来技術の課題を説明する。
従来技術1では、図21の「課題1」に示すように、学習データに現われる各文字を状態として状態遷移モデルを作成するため学習データにないデータ(学習データが少ない場合)では誤検知が多く発生するという問題がある。
従来技術2では、図21の「課題2」に示すように、1つのパラメタに対して1つの文字列クラスしか作成しないため、複雑な構造を持つパラメタ(例えば、予め定義されている文字列クラスが複数個連接、複合したもの)の場合はプロファイルが作成されないという問題がある。
また、従来技術2では、図21の「課題3」に示すように、人間が見れば類似していると分かるが、厳密には異なる形式を持っており、用意された文字列クラスの正規表現にマッチしない場合、プロファイルが作成されないという問題がある。
本発明は上述したような技術が有する問題点を解決するためになされたものであり、ネットワークを介してWebサーバのような情報処理装置に送信されるリクエストについて、正常なデータを異常と判定することを抑制可能にしたログ分析装置、攻撃検知装置、攻撃検知方法およびプログラムを提供することを目的とする。
上記目的を達成するための本発明のログ分析装置は、ネットワークに接続される情報処理装置からアクセスログを収集して分析するログ分析装置であって、
分析対象データが前記情報処理装置に対する攻撃を示すものであるか否かを判定するための基準となるプロファイルを保存するための記憶部と、
前記アクセスログのリクエストから各パラメタを抽出するパラメタ抽出部と、
前記パラメタ抽出部によって抽出された各パラメタについて、パラメタ値を先頭文字から部分毎に予め定義された文字列クラスと比較し、該文字列クラスとの一致が最長になる文字列クラスに該部分を置換し、置換した文字列クラスを順に並べたクラス列に変換するクラス変換部と、
学習データとして正常なデータの前記アクセスログについて前記パラメタ抽出部および前記クラス変換部によって求められた前記クラス列の集合のうち、出現頻度が所定値以上のクラス列を前記プロファイルとして前記記憶部に保存するプロファイル保存部と、
前記分析対象データの前記アクセスログについて前記パラメタ抽出部および前記クラス変換部によって求められた前記クラス列と前記プロファイルとの類似度を計算し、該類似度にしたがって前記情報処理装置への攻撃が発生したか否かを判定する異常検知部と、
を有する。
また、本発明の攻撃検知装置は、ネットワークに接続される情報処理装置に対する攻撃を検知する攻撃検知装置であって、
前記情報処理装置へのアクセスリクエストが該情報処理装置を攻撃するものであるか否かを判定するための基準となるプロファイルを保存するための記憶部と、
前記アクセスリクエストから各パラメタを抽出するパラメタ抽出部と、
前記パラメタ抽出部によって抽出された各パラメタについて、パラメタ値を先頭文字から部分毎に予め定義された文字列クラスと比較し、該文字列クラスとの一致が最長になる文字列クラスに該部分を置換し、置換した文字列クラスを順に並べたクラス列に変換するクラス変換部と、
学習データとして正常なデータの前記アクセスリクエストについて前記パラメタ抽出部および前記クラス変換部によって求められた前記クラス列の集合のうち、出現頻度が所定値以上のクラス列を前記プロファイルとして前記記憶部に保存するプロファイル保存部と、
分析対象の前記アクセスリクエストについて前記パラメタ抽出部および前記クラス変換部によって求められた前記クラス列と前記プロファイルとの類似度を計算し、該類似度にしたがって前記情報処理装置への攻撃が発生したか否かを判定する異常検知部と、
を有する。
また、本発明の攻撃検知方法は、ネットワークに接続される情報処理装置に対する攻撃を検知する攻撃検知装置による攻撃検知方法であって、
学習データとして正常なデータの前記情報処理装置へのアクセスリクエストから各パラメタを抽出し、各パラメタについて、パラメタ値を先頭文字から部分毎に予め定義された文字列クラスと比較し、該文字列クラスとの一致が最長になる文字列クラスに該部分を置換し、置換した文字列クラスを順に並べたクラス列に変換し、該クラス列の集合のうち、出現頻度が所定値以上のクラス列を、分析対象データが前記情報処理装置に対する攻撃を示すものであるか否かを判定するための基準となるプロファイルとして記憶部に保存し、
前記分析対象データの前記アクセスリクエストからパラメタを抽出し、
抽出したパラメタの値を前記文字列クラスに基づいて前記クラス列に変換し、
前記クラス列と前記プロファイルとの類似度を計算し、
前記類似度にしたがって前記情報処理装置への攻撃が発生したか否かを判定するものである。
さらに、本発明のプログラムは、ネットワークに接続される情報処理装置に対する攻撃を検知するコンピュータに、
学習データとして正常なデータの前記情報処理装置へのアクセスリクエストから各パラメタを抽出し、各パラメタについて、パラメタ値を先頭文字から部分毎に予め定義された文字列クラスと比較し、該文字列クラスとの一致が最長になる文字列クラスに該部分を置換し、置換した文字列クラスを順に並べたクラス列に変換し、該クラス列の集合のうち、出現頻度が所定値以上のクラス列を、分析対象データが前記情報処理装置に対する攻撃を示すものであるか否かを判定するための基準となるプロファイルとして記憶部に保存する手順と、
前記分析対象データの前記アクセスリクエストからパラメタを抽出する手順と、
抽出したパラメタの値を前記文字列クラスに基づいて前記クラス列に変換する手順と、
前記クラス列と前記プロファイルとの類似度を計算する手順と、
前記類似度にしたがって前記情報処理装置への攻撃が発生したか否かを判定する手順を実行させるものである。
本発明によれば、情報処理装置にネットワークを介して入力されるリクエストについて、リクエストから抽出したパラメタ値を種々の形態のパラメタ値に対応したクラス列に抽象化し、分析対象のデータが正常か不正かを判定しているので、分析対象の正常なデータを異常と判定する誤検知の可能性を減少させることができる。
第1の実施形態のWAFを含む通信システムの一構成例を示すブロック図である。 第1の実施形態のWAFの一構成例を示すブロック図である。 第1の実施形態のWAFによる攻撃検知方法の処理の流れを示す図である。 第1の実施形態におけるプロファイル化部による学習処理の手順を示すフローチャートである。 図4に示すステップ103および105の処理の詳細を説明するための図である。 第1の実施形態において、プロファイルとの類似度の計算方法を説明するための図である。 第1の実施形態の実施例を示す図である。 第2の実施形態における変形例3を説明するための図である。 第2の実施形態におけるプロファイル化部による学習処理の手順を示すフローチャートである。 第2の実施形態において、プロファイルとの類似度の計算方法を説明するための図である。 第2の実施形態の実施例を示す図である。 第3の実施形態のプロファイル作成方法を説明するための図である。 第3の実施形態における類似度計算を説明するための図である。 第3の実施形態におけるプロファイル化部による学習処理の手順を示すフローチャートである。 第3の実施形態の実施例を示す図である。 ログ分析サーバとして本発明の攻撃検知装置を含むログ分析システムの一構成例を示すブロック図である。 従来の攻撃検知方法を説明するための図である。 プロファイルの特徴量を説明するための図である。 従来技術1の状態遷移モデルの作成方法を説明するための図である。 従来技術2の異常判定方法を説明するための図である。 従来技術の課題を説明するための図である。 従来技術1の別の課題を説明するための図である。
本発明は、Webサーバに対して攻撃を行うアクセスを検知する情報処理装置およびコンピュータに関するものであり、以下の実施形態では、情報処理装置がWAFの場合で説明するが、Webサーバに対するアクセス内容(ログであってもよい)を分析するログ分析装置であってもよい。
(第1の実施形態)
本実施形態のWAFを含む通信システムの構成を説明する。
図1は本実施形態のWAFを含む通信システムの一構成例を示すブロック図である。
図1に示すように、通信システムは、ネットワーク80を介してクライアント70にサービスを提供する情報処理装置の一種であるWebサーバ60と、Webサーバ60に対する攻撃を検知するWAF10とを有する。WAF10は、ネットワーク80とWebサーバ60との間に設けられる。クライアント70はネットワーク80およびWAF10を介してWebサーバ60と接続される。
図2は本実施形態のWAFの一構成例を示すブロック図である。
図2に示すように、WAF10は、入力部11と、記憶部12と、制御部13と、検知結果出力部14とを有する。入力部11は、学習データ入力部21および分析対象データ入力部22を有する。
学習データ入力部21には、学習データとして、Webサーバ60への正常なデータがネットワーク80から入力される。分析対象データ入力部22には、Webサーバ60を攻撃するものであるか否かの判定対象となるデータである分析対象データがネットワーク80から入力される。
記憶部12には、分析対象データがWebサーバ60に対する攻撃を示すものであるか否かを判定するための基準となるプロファイルが保存される。
制御部13は、プロファイル化部40と、分析対象データ処理部50とを有する。プロファイル化部40は、パラメタ抽出部31と、文字列クラス変換部32と、プロファイル保存部43とを有する。分析対象データ処理部50は、パラメタ抽出部31と、文字列クラス変換部32と、異常検知部53とを有する。パラメタ抽出部31と文字列クラス変換部32はプロファイル化部40と分析対象データ処理部50の処理に携わる。
制御部13は、プログラムを記憶するメモリ(不図示)と、プログラムにしたがって処理を実行するCPU(Central Processing Unit)(不図示)とを有する。CPUがプログラムにしたがって処理を実行することで、パラメタ抽出部31、文字列クラス変換部32、プロファイル保存部43、および異常検知部53がWAF10に構成される。また、メモリ(不図示)には、アクセスリクエストから抽出されるパラメタの値について、文字列をどのようにクラス分けするかを定めた文字列クラスの情報が格納されている。文字列クラスの詳細は後で説明する。
パラメタ抽出部31は、学習データ入力部21を介してWebサーバ60から入力される学習データとなるアクセスリクエストからアクセスの各パラメタを抽出して文字列クラス変換部32に出力する。また、パラメタ抽出部31は、分析対象データ入力部22を介してネットワーク80から入力される分析対象データとなるアクセスリクエストからアクセスの各パラメタを抽出して文字列クラス変換部32に出力する。
文字列クラス変換部32は、学習データに関して、パラメタ抽出部31から受け取るパラメタの値を文字列クラスに基づいてクラス列に変換してプロファイル保存部43に出力する。また、文字列クラス変換部32は、分析対象データに関して、パラメタ抽出部31から受け取るパラメタの値を文字列クラスに基づいてクラス列に変換して異常検知部53に出力する。
プロファイル保存部43は、学習データに関して、文字列クラス変換部32による変換後のクラス列の集合を受け取ると、各パラメタのクラス列の集合から最も頻出するクラス列を選択し、選択したクラス列をパラメタのプロファイルとして記憶部12に保存する。
異常検知部53は、分析対象データに関して、文字列クラス変換部32による変換後のクラス列を受け取ると、そのパラメタのプロファイルとの類似度を計算し、算出した類似度を予め決められた閾値と比較することで、アクセスが異常か否かを検知する。異常検知部53は、その検知結果を検知結果出力部14に通知する。具体的には、異常検知部53は、算出した類似度が閾値より大きい場合、正常と判定し、類似度が閾値より小さい場合、異常と判定する。つまり、Webサーバ60に対して、または、Webサーバ60のWebAPに対して、攻撃が発生したと判定する。
検知結果出力部14は、異常検知部53から受け取る検知結果を出力する。
次に、本実施形態のWAFの動作を説明する。
図3は本実施形態のWAFによる攻撃検知方法の処理の流れを示す図である。
本実施形態では、「プロファイルの作成に使用する特徴量」、「学習時におけるプロファイルの作成方法および作成されるプロファイル(の構造、データ)」および「検知時におけるプロファイルと分析対象との比較、照合の方法」に特徴がある。
本実施形態の攻撃検知方法は、学習処理と検知処理の2フェーズに分かれる。
学習処理では、学習データ入力部21がネットワーク80からアクセスリクエスト(学習データ)を取得する。プロファイル化部40は、取得したアクセスリクエストから各パラメタを抽出し(パラメタ抽出部31)、パラメタの値をクラス列に変換する(文字列クラス変換部32)。次に、各パラメタのクラス列の集合から最も頻出するクラス列を選択し、パラメタのプロファイルとする(プロファイル保存部43)。
検知処理では、分析対象データ入力部22がネットワーク80からアクセスリクエスト(分析対象データ)を取得する。分析対象データ処理部50は、取得した分析対象データのアクセスリクエストからパラメタを学習処理と同様に抽出してクラス列に変換し(パラメタ抽出部31、文字列クラス変換部32)、そのパラメタのクラス列とプロファイルのクラス列との類似度を計算し、閾値によって異常を検知する(異常検知部53)。その後、検知結果出力部14は、異常検知部53の検知結果を出力する。
なお、リクエストのパラメタを抽出する元データとしては、アクセスリクエストからではなく、パケットキャプチャなどを用いてもよい。
次に、プロファイル化部40による学習処理の手順を詳細に説明する。
図4は本実施形態におけるプロファイル化部による学習処理の手順を示すフローチャートである。
プロファイル化部40は、学習対象のパラメタp毎に次のような処理を実施し、当該パラメタpのプロファイルLを作成する。
当該パラメタに関する全ての学習データ(パラメタ値:d1〜dn)が入力されると(ステップ101)、プロファイル化部40は未処理の学習データ(dx)を取り出す(ステップ102)。そして、プロファイル化部40は当該学習データdxを予め定めた文字列クラスの定義に基づき、クラス列cxに変換し、記録する(ステップ103)。
プロファイル化部40は、未処理の学習データがあるか否かを判定し(ステップ104)、未処理の学習データがある場合には、ステップ102に戻り、未処理の学習データがない場合には、ステップ105に進む。ステップ105において、プロファイル化部40は記録した全てのクラス列のうち、出現回数が最大となるクラス列のみを選択する(ステップ105)。その後、プロファイル化部40はパラメタpのプロファイルとしてLを記憶部12に記録する(ステップ106)。
図4に示したフローチャートのうち、ステップ103とステップ105の処理を、具体例を用いて詳細に説明する。図5は図4に示すステップ103および105の処理の詳細を説明するための図である。
図5の上段は、同種のパラメタ値を示す、複数種の文字列を1つのクラスに分類した文字列クラスの定義の一例を示す。文字列クラスには、例えば、「numeric」や「space」などのクラスがある。
図5の中段は、パラメタ値の先頭文字から最後の文字にかけて部分毎に文字列クラスと比較し、文字列クラスとの一致が最長になる文字列クラスにその部分を置換し、文字列クラスが順に配置されたクラス列に変換される様子を示している。図5の下段は、上記のようにして、パラメタ毎にクラス列を求め、クラス列の集合について、クラス列毎の出現頻度を算出し、出現頻度が最大となるクラス列をプロファイルとして保存する様子を示している。
上述の動作を、図4を参照して説明する。
ステップ103において、プロファイル化部40は、パラメタ値をクラス列に変換する際、予め用意した文字列クラスの正規表現に対して、パラメタ値のマッチした部分文字列とクラスが最長一致した部分を1つのクラスと判定し、左から順にすべての文字列をクラスへ変換する。これにより、従来の定義で1つの文字列クラスに定義されたものが複数個連接されたもの、複合されたものなどの、複雑な構造を持つパラメタも、いずれかのクラスに分類可能となる。
ステップ105において、プロファイル化部40は、クラス列を選出する際、出現頻度が最大となるクラス列を選択し、それをプロファイルとして保存する。
なお、具体的には、ステップ103の処理は文字列クラス変換部32で実行され、ステップ105の処理はプロファイル保存部43で実行される。また、文字列クラスの定義の情報は、記憶部12に格納されていてもよい。
次に、分析対象データ処理部50における検知処理を説明する。
図6は本実施形態において、プロファイルとの類似度の計算方法を説明するための図である。分析対象データ処理部50の異常検知部53は次の手順で検知判定を行う。ここでは、分析対象データにテストデータを用いている。
(手順1)学習処理と同様に、パラメタ値をクラス列に変換する。
(手順2)プロファイルとのクラス列類似度を求める。類似度算出方法としては、例えば、図6に示すLCS(最長共通部分列)を用いることができる。
(手順3)類似度Sが閾値Stより小さい場合、異常と判定、そうでなければ正常と判定する。
本実施形態の実施例を説明する。図7は本実施形態の実施例を示す図である。本実施例では、fileパラメタの場合で説明する。また、分析対象データとして、テストデータを用いている。
学習処理では、プロファイル化部40が、出現頻度が最大となるクラス列を1個選出する。検知処理では、分析対象データ処理部50は、クラス列変換を行った後、類似度計算を行い、その結果により、正常か、異常かを判定する。
本実施形態によれば、Webアプリケーションのパラメタ値の文字列構造を利用したWAFにおいて、パラメタの持つ特性と文字列のフォーマットを利用することで、パラメタ値を種々の形態のパラメタ値に対応したクラス列に抽象化し、分析対象のデータが正常か不正かを判定しているので、学習データにない正常データを異常と判定する誤検知の可能性を、減少させることができる。
(第2の実施形態)
第1の実施形態では、クラス列の選出において出現頻度が最大となるクラス列を1つだけ選択し、そのクラス列をプロファイルとしたが、本実施形態では、クラス列の選択方法の別の案として、次の変形例1〜3のいずれかを適用するものである。
(変形例1)出現頻度が大きい順にu個のクラス列を選出する。
(変形例2)出現頻度がv%以上となるクラス列を選出する。
(変形例3)出現頻度fxを大きい順にソート(f'1, f'2, f'3 …)し、出現頻度の和(寄与率)が初めてFtを超える(f'1 + f'2 + … + f'u > Ft)u個のクラス列(c'1, c'2, … c'u)を選出する。
図8は本実施形態における変形例3を説明するための図である。
プロファイル保存部43は、出現頻度を示すグラフから出現頻度をソートし、図8に示す式を満たすようなu個のクラス列を抽出する。
本実施形態におけるプロファイル化部による学習処理を説明する。
図9は本実施形態におけるプロファイル化部による学習処理の手順を示すフローチャートである。
本実施形態では、図4に示したフローチャートにおいて、ステップ105の処理の代わりに、図9に示すステップ105−abcの処理が実行される。本実施形態では、ステップ105−abcの処理について説明し、他のステップの処理の説明を省略する。
ステップ105−abcにおいて、プロファイル化部40は、記録した全てのクラス列のうち、変形例1〜3の方法のうち、いずれかの方法によって複数のクラス列を選択する。
本実施形態における検知時の類似度計算を説明する。図10は本実施形態において、プロファイルとの類似度の計算方法を説明するための図である。
変形例1〜3においてu個のクラス列を選出した場合、検知においての類似度はプロファイルのクラス列とu個のクラス列それぞれとの類似度(s1, s2, … , su)から最大となる類似度Smax = max(s1, s2, … su)をプロファイルとの類似度とする。
この例の場合テストデータとプロファイルの類似度Sは0.8となる。
本実施形態の実施例を説明する。図11は本実施形態の実施例を示す図である。本実施例においても、fileパラメタの場合で説明する。
学習処理では、プロファイル化部40が、変形例1〜3のうち、いずれかの案を用いて、クラス列を複数個選出する。検知処理では、分析対象データ処理部50は、クラス列変換を行った後、類似度計算を行い、その結果により、正常か、異常かを判定する。
(第3の実施形態)
第1の実施形態では単独のクラス列をプロファイルとし、第2の実施形態では複数のクラス列をプロファイルとするものであったが、本実施形態は、プロファイルに、複数のクラス列(以下では、「クラス列集合」と称する)を用いるか、クラスの順序を考慮しないクラス集合を用いるかを選択するものである。
なお、本実施形態に第2の実施形態で選出される複数のクラス列を適用してもよく、また、本実施形態では、第2の実施形態で説明した変形例1〜3のいずれかを適用することが可能である。
ここで、従来技術1の別の課題を説明する。従来技術1では、学習データに実際に現われた1文字ずつの状態遷移モデルを作成するため文字列の自由度が高いパラメタでは誤検知が多く発生するという問題がある。この問題を「課題4」とする。課題4の一例を図22に示す。
本実施形態のプロファイル作成方法を説明する。
図12は本実施形態のプロファイル作成方法を説明するための図であり、圧縮率Rを利用したプロファイルの作成方法を示す。
本実施形態では、図2に示したプロファイル保存部43は、図12に示すように、クラス列集合の圧縮率(R)が閾値Rtより小さいかを求め、圧縮率が閾値よりも小さい場合はクラス列の集合をプロファイルとする。
一方、圧縮率が閾値よりも大きい場合、プロファイル保存部43は、クラス集合をプロファイルとする。クラス集合とは、出現するユニークなクラスの集まりのことであり、クラスの出現順序は保持されない。つまり、クラス集合では、クラス列の集合に含まれる文字列クラス(alpha、numericなど)が重ならず、また、出現する順序も決められていない。
本実施形態では、クラス列の集合は文字列クラスの順序を考慮するが、クラス集合では文字列クラスの順序を考慮しない。
本実施形態における検知時の類似度計算を説明する。図13は本実施形態における類似度計算を説明するための図である。
本実施形態では、クラス列集合を利用してプロファイルを作成した場合と、クラス集合を利用してプロファイルを作成した場合とで、検知における類似度計算方法を変更する必要がある。
図13(a)はプロファイルがクラス列集合型の場合の類似度計算方法を示し、図13(b)はプロファイルがクラス集合型の場合の類似度計算方法を示す。
(1)プロファイルがクラス列集合型の場合、検知においての類似度はプロファイルのクラス列とu個のクラス列それぞれとの類似度(s1, s2, … , su)から最大となる類似度Smax = max(s1, s2, … su)をプロファイルとの類似度とする(変形例1〜3の類似度計算方法と同じ)。
(2)プロファイルがクラス集合型の場合、クラス集合がプロファイルのクラス集合に含まれる場合、類似度Sを1.0とする、一致しない場合は0.0とする。
本実施形態におけるプロファイル化部による学習処理を説明する。ここでは、第2の実施形態における変形例2の場合で説明する。
図14は本実施形態におけるプロファイル化部による学習処理の手順を示すフローチャートである。
本実施形態では、図9に示したフローチャートにおいて、ステップ105−abcを変形例2に対応したステップ105−bとし、ステップ105−bとステップ106の処理の間に、図14に示すように、ステップ111〜113が追加される。本実施形態では、ステップ105−b、およびステップ111〜113の処理について説明し、他のステップの処理の説明を省略する。
ステップ105−bにおいて、プロファイル化部40は、記録した全てのクラス列(c1〜cn)より、圧縮率Rを算出する。ステップ111において、プロファイル化部40は、圧縮率Rは予め定められた圧縮率閾値Rtより小さいか否かを判定する。
ステップ111の判定でR<Rtの場合、プロファイル化部40は、記録した全てのクラス列のうち、ユニークなもの(クラス列集合)をプロファイルLとする(ステップ112)。一方、ステップ111の判定でR>Rtの場合、プロファイル化部40は、記録したクラス列に表れる全てのクラスのユニークな集合(クラス集合)をプロファイルLとする(ステップ113)。
本実施形態の実施例を説明する。図15は本実施形態の実施例を示す図である。本実施例では、fileパラメタの場合で説明する。
学習処理では、プロファイル化部40が、変形例1〜3の手法のいずれかにより、クラス列を複数個選出する。その後、圧縮率R<Rtのためクラス列集合を保存する。検知処理では、分析対象データ処理部50は、クラス列変換を行った後、プロファイルはクラス列のためクラス列で類似度計算を行い、その結果により、正常か、異常かを判定する。
本発明の攻撃検知装置による作用を、図21および図22を参照して説明した課題1〜4と対比して説明する。
図21を参照して説明した課題1に対して、本発明では、文字列をクラスへと抽象化して扱うことで添字の異なりなどを考慮した異常判定を行えるため、誤検知を減少させられる。また、検知時にクラス列のLCS類似度を利用することで学習時のデータに添字を付加したようなデータが現れても高い類似度を示すことから誤検知を減少させられる。
図21を参照して説明した課題2に対して、本発明では、文字列クラス変換部でパラメタを文字列クラスが複数個連接、複合したものと考えてクラス列を作成しているため、そのパラメタに適合したプロファイルが作成できる。
図21を参照して説明した課題3に対して、本発明では、文字列クラスにはurl、ipなどの複雑な文字列クラスを定義する以外に単純文字列クラスnumeric, alphaなどを定義することで、文字列"2014.1.1"をdate型と判定できなくてもクラス列(numeric, symbol, numeric, symbol, numeric)をプロファイルとして作成できる。
図22を参照して説明した課題4に対して、第3の実施形態で説明した発明では、クラス集合という概念を導入することで自由度の高いパラメタについてはクラスの順序ではなく制約を下げたクラスが出現するかどうかの条件で異常かどうか判定するため誤検知を減少させることができる。
本発明によれば、Webアプリケーションに対する攻撃検知方法において、パラメタ値の文字列構造を利用し、パラメタの持つ特性と文字列のフォーマットを利用することで、学習データにない正常データを異常と判定する誤検知および自由度の高いパラメタにおける誤検知の可能性を減少させることができる。
なお、上述の実施形態で説明したWAFをログ分析サーバとして含むログ分析システムに適用してもよい。図16はログ分析サーバとして本発明の攻撃検知装置を含むログ分析システムの一構成例を示すブロック図である。
ログ分析システムは、Webサーバ60と、ログサーバ90と、ログ分析サーバ15とを有する。ログサーバ90はWebサーバ60と接続されている。ログサーバ90は、定期的にWebサーバ60からアクセスログの情報を取得して自装置の記憶部に保存する。
ログ分析サーバ15はログサーバ90と接続されている。ログ分析サーバ15が、上述の実施形態で説明したWAF10の機能を備え、アクセスログからアクセスリクエストを読み出して分析することで、Webサーバ60への攻撃を検知する。
10 WAF
15 ログ分析サーバ
13 制御部
12 記憶部
31 パラメタ抽出部
32 文字列クラス変換部
40 プロファイル化部
43 プロファイル保存部
50 分析対象データ処理部
53 異常検知部
60 Webサーバ

Claims (8)

  1. ネットワークに接続される情報処理装置からアクセスログを収集して分析するログ分析装置であって、
    分析対象データが前記情報処理装置に対する攻撃を示すものであるか否かを判定するための基準となるプロファイルを保存するための記憶部と、
    前記アクセスログのリクエストから各パラメタを抽出するパラメタ抽出部と、
    前記パラメタ抽出部によって抽出された各パラメタについて、パラメタ値を先頭文字から部分毎に予め定義された文字列クラスと比較し、該文字列クラスとの一致が最長になる文字列クラスに該部分を置換し、置換した文字列クラスを順に並べたクラス列に変換するクラス変換部と、
    学習データとして正常なデータの前記アクセスログについて前記パラメタ抽出部および前記クラス変換部によって求められた前記クラス列の集合のうち、出現頻度が所定値以上のクラス列を前記プロファイルとして前記記憶部に保存するプロファイル保存部と、
    前記分析対象データの前記アクセスログについて前記パラメタ抽出部および前記クラス変換部によって求められた前記クラス列と前記プロファイルとの類似度を計算し、該類似度にしたがって前記情報処理装置への攻撃が発生したか否かを判定する異常検知部と、
    を有するログ分析装置。
  2. ネットワークに接続される情報処理装置に対する攻撃を検知する攻撃検知装置であって、
    前記情報処理装置へのアクセスリクエストが該情報処理装置を攻撃するものであるか否かを判定するための基準となるプロファイルを保存するための記憶部と、
    前記アクセスリクエストから各パラメタを抽出するパラメタ抽出部と、
    前記パラメタ抽出部によって抽出された各パラメタについて、パラメタ値を先頭文字から部分毎に予め定義された文字列クラスと比較し、該文字列クラスとの一致が最長になる文字列クラスに該部分を置換し、置換した文字列クラスを順に並べたクラス列に変換するクラス変換部と、
    学習データとして正常なデータの前記アクセスリクエストについて前記パラメタ抽出部および前記クラス変換部によって求められた前記クラス列の集合のうち、出現頻度が所定値以上のクラス列を前記プロファイルとして前記記憶部に保存するプロファイル保存部と、
    分析対象の前記アクセスリクエストについて前記パラメタ抽出部および前記クラス変換部によって求められた前記クラス列と前記プロファイルとの類似度を計算し、該類似度にしたがって前記情報処理装置への攻撃が発生したか否かを判定する異常検知部と、
    を有する攻撃検知装置。
  3. 請求項2に記載の攻撃検知装置において、
    前記プロファイル保存部は、
    前記クラス列の集合のうち、前記出現頻度が最大となる1つのクラス列を前記プロファイルとして前記記憶部に保存する、攻撃検知装置。
  4. 請求項2に記載の攻撃検知装置において、
    前記プロファイル保存部は、
    前記クラス列の集合のうち、前記出現頻度が所定値以上となる複数のクラス列を前記プロファイルとして前記記憶部に保存する、攻撃検知装置。
  5. 請求項2に記載の攻撃検知装置において、
    前記プロファイル保存部は、
    前記クラス列の集合が所定の条件を満たす場合、該クラス列の集合に含まれる全ての前記文字列クラスのユニークな集合を前記プロファイルとして前記記憶部に保存し、
    前記異常検知部は、
    前記クラス列の集合が所定の条件を満たす場合、前記類似度による判定の際、分析対象データのクラス列の前記文字列クラスのユニークな集合が前記プロファイルに全て含まれているか否かで攻撃が発生したか否かを判定し、
    前記クラス列の集合が所定の条件を満たさない場合、前記分析対象データの前記クラス列と前記プロファイルとの前記類似度を計算する、攻撃検知装置。
  6. 請求項4に記載の攻撃検知装置において、
    前記プロファイル保存部は、
    前記複数のクラス列が所定の条件を満たす場合、該複数のクラス列に含まれる全ての前記文字列クラスのユニークな集合を前記プロファイルとして前記記憶部に保存し、
    前記異常検知部は、
    前記複数のクラス列の集合が所定の条件を満たす場合、前記類似度による判定の際、分析対象データのクラス列の前記文字列クラスのユニークな集合が前記プロファイルに全て含まれているか否かで攻撃が発生したか否かを判定し、
    前記複数のクラス列の集合が所定の条件を満たさない場合、前記分析対象データのクラス列と前記プロファイルに含まれる前記複数のクラス列のそれぞれとの前記類似度のうち、最大値の類似度を用いて判定する、攻撃検知装置。
  7. ネットワークに接続される情報処理装置に対する攻撃を検知する攻撃検知装置による攻撃検知方法であって、
    学習データとして正常なデータの前記情報処理装置へのアクセスリクエストから各パラメタを抽出し、各パラメタについて、パラメタ値を先頭文字から部分毎に予め定義された文字列クラスと比較し、該文字列クラスとの一致が最長になる文字列クラスに該部分を置換し、置換した文字列クラスを順に並べたクラス列に変換し、該クラス列の集合のうち、出現頻度が所定値以上のクラス列を、分析対象データが前記情報処理装置に対する攻撃を示すものであるか否かを判定するための基準となるプロファイルとして記憶部に保存し、
    前記分析対象データの前記アクセスリクエストからパラメタを抽出し、
    抽出したパラメタの値を前記文字列クラスに基づいて前記クラス列に変換し、
    前記クラス列と前記プロファイルとの類似度を計算し、
    前記類似度にしたがって前記情報処理装置への攻撃が発生したか否かを判定する、攻撃検知方法。
  8. ネットワークに接続される情報処理装置に対する攻撃を検知するコンピュータに、
    学習データとして正常なデータの前記情報処理装置へのアクセスリクエストから各パラメタを抽出し、各パラメタについて、パラメタ値を先頭文字から部分毎に予め定義された文字列クラスと比較し、該文字列クラスとの一致が最長になる文字列クラスに該部分を置換し、置換した文字列クラスを順に並べたクラス列に変換し、該クラス列の集合のうち、出現頻度が所定値以上のクラス列を、分析対象データが前記情報処理装置に対する攻撃を示すものであるか否かを判定するための基準となるプロファイルとして記憶部に保存する手順と、
    前記分析対象データの前記アクセスリクエストからパラメタを抽出する手順と、
    抽出したパラメタの値を前記文字列クラスに基づいて前記クラス列に変換する手順と、
    前記クラス列と前記プロファイルとの類似度を計算する手順と、
    前記類似度にしたがって前記情報処理装置への攻撃が発生したか否かを判定する手順とを実行させるためのプログラム。
JP2016525161A 2014-06-06 2015-06-01 ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム Active JP6106340B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014117756 2014-06-06
JP2014117756 2014-06-06
PCT/JP2015/065772 WO2015186662A1 (ja) 2014-06-06 2015-06-01 ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム

Publications (2)

Publication Number Publication Date
JP6106340B2 JP6106340B2 (ja) 2017-03-29
JPWO2015186662A1 true JPWO2015186662A1 (ja) 2017-04-20

Family

ID=54766733

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016525161A Active JP6106340B2 (ja) 2014-06-06 2015-06-01 ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム

Country Status (5)

Country Link
US (1) US10243982B2 (ja)
EP (1) EP3136249B1 (ja)
JP (1) JP6106340B2 (ja)
CN (1) CN106415507B (ja)
WO (1) WO2015186662A1 (ja)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017045347A (ja) * 2015-08-28 2017-03-02 日本電気株式会社 情報管理装置、通信管理システム、情報通信装置、情報管理方法、および情報管理用プログラム
CN108322428B (zh) * 2017-01-18 2021-11-05 阿里巴巴集团控股有限公司 一种异常访问检测方法及设备
JP6680945B2 (ja) * 2017-03-03 2020-04-15 日本電信電話株式会社 ログ分析装置、ログ分析方法およびログ分析プログラム
JP6697123B2 (ja) * 2017-03-03 2020-05-20 日本電信電話株式会社 プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
WO2018159380A1 (ja) * 2017-03-03 2018-09-07 日本電信電話株式会社 学習装置、再学習要否判定方法及び再学習要否判定プログラム
US11153331B2 (en) * 2017-04-24 2021-10-19 HeFei HoloNet Security Technology Co.. Ltd. Detection of an ongoing data breach based on relationships among multiple network elements
CN107204991A (zh) * 2017-07-06 2017-09-26 深信服科技股份有限公司 一种服务器异常检测方法及系统
US11216554B2 (en) * 2017-07-12 2022-01-04 Nippon Telegraph And Telephone Corporation Determining apparatus, determining method, and determining program
CN107483425B (zh) * 2017-08-08 2020-12-18 北京盛华安信息技术有限公司 基于攻击链的复合攻击检测方法
CN107644166A (zh) * 2017-09-22 2018-01-30 成都知道创宇信息技术有限公司 一种基于自动学习的web应用安全防护方法
CN107707545B (zh) * 2017-09-29 2021-06-04 深信服科技股份有限公司 一种异常网页访问片段检测方法、装置、设备及存储介质
JP6866930B2 (ja) * 2017-10-16 2021-04-28 富士通株式会社 生産設備監視装置、生産設備監視方法及び生産設備監視プログラム
JPWO2019181005A1 (ja) * 2018-03-19 2021-03-11 日本電気株式会社 脅威分析システム、脅威分析方法および脅威分析プログラム
CN108683670B (zh) * 2018-05-21 2021-08-03 中国科学院计算机网络信息中心 基于网站应用系统访问的恶意流量识别方法及系统
US20210203677A1 (en) * 2018-05-21 2021-07-01 Nippon Telegraph And Telephone Corporation Learning method, learning device, and learning program
EP3783846B1 (en) * 2018-05-21 2022-06-15 Nippon Telegraph And Telephone Corporation Determination method, determination device and determination program
US20210209504A1 (en) * 2018-05-21 2021-07-08 Nippon Telegraph And Telephone Corporation Learning method, learning device, and learning program
JP6954466B2 (ja) 2018-06-04 2021-10-27 日本電信電話株式会社 生成方法、生成装置および生成プログラム
KR102344293B1 (ko) * 2018-10-30 2021-12-27 삼성에스디에스 주식회사 보안 로그 전처리 장치 및 방법
JP7297787B2 (ja) * 2018-11-21 2023-06-26 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知方法、及び異常検知装置
CN109657475A (zh) * 2018-12-14 2019-04-19 平安城市建设科技(深圳)有限公司 代码漏洞排查方法、装置、设备及存储介质
RU2724710C1 (ru) * 2018-12-28 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ классификации объектов вычислительной системы
JP7186637B2 (ja) * 2019-02-21 2022-12-09 三菱電機株式会社 検知ルール群調整装置および検知ルール群調整プログラム
US11716338B2 (en) * 2019-11-26 2023-08-01 Tweenznet Ltd. System and method for determining a file-access pattern and detecting ransomware attacks in at least one computer network
CN111988304B (zh) * 2019-12-18 2022-06-21 北京极光智讯信息科技有限公司 基于物联网的分布式数据节点异常行为检测方法及装置
US20230025208A1 (en) * 2019-12-24 2023-01-26 Nec Corporation Information processing apparatus, threat information evaluation system, informationprocessing method, and non-transitory computer readable medium
CN110798488B (zh) * 2020-01-03 2020-04-14 北京东方通科技股份有限公司 Web应用攻击检测方法
CN112003824B (zh) * 2020-07-20 2023-04-18 中国银联股份有限公司 攻击检测方法、装置及计算机可读存储介质
AU2020477732B2 (en) * 2020-11-19 2024-02-01 Nippon Telegraph And Telephone Corporation Estimation device, estimation method, and estimation program
CN114039796B (zh) * 2021-11-26 2023-08-22 安天科技集团股份有限公司 网络攻击的确定方法、装置、计算机设备及存储介质
CN114785621B (zh) * 2022-06-17 2022-11-01 上海斗象信息科技有限公司 漏洞检测方法、装置、电子设备及计算机可读存储介质
CN117389980B (zh) * 2023-12-08 2024-02-09 成都康特电子科技股份有限公司 日志文件分析方法及装置、计算机设备和可读存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011086192A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP2013236308A (ja) * 2012-05-10 2013-11-21 Fujitsu Ltd メールチェック方法、メールチェック装置、及び、メールチェックプログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2881597A1 (fr) * 2005-02-01 2006-08-04 France Telecom Procede et systeme de detection automatique d'intrusions
US20070282982A1 (en) * 2006-06-05 2007-12-06 Rhonda Childress Policy-Based Management in a Computer Environment
CN100504903C (zh) 2007-09-18 2009-06-24 北京大学 一种恶意代码自动识别方法
CN101350054B (zh) * 2007-10-15 2011-05-25 北京瑞星信息技术有限公司 计算机有害程序自动防护方法及装置
US9110882B2 (en) * 2010-05-14 2015-08-18 Amazon Technologies, Inc. Extracting structured knowledge from unstructured text
CN101950340B (zh) * 2010-09-17 2012-05-23 北京航空航天大学 一种面向计算机网络防御策略转换的语义相似度检测系统
US9679491B2 (en) * 2013-05-24 2017-06-13 Qualcomm Incorporated Signaling device for teaching learning devices

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011086192A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP2013236308A (ja) * 2012-05-10 2013-11-21 Fujitsu Ltd メールチェック方法、メールチェック装置、及び、メールチェックプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
鐘 揚 他: "「Webアプリケーションのパラメタを悪用する攻撃のアノマリ検知手法」", CSS2014 コンピュータセキュリティシンポジウム2014論文集, vol. 第2014巻, JPN6015024119, 15 October 2014 (2014-10-15), pages 474 - 481, ISSN: 0003504409 *

Also Published As

Publication number Publication date
EP3136249A4 (en) 2018-01-03
EP3136249B1 (en) 2018-12-19
CN106415507A (zh) 2017-02-15
JP6106340B2 (ja) 2017-03-29
CN106415507B (zh) 2019-05-21
US10243982B2 (en) 2019-03-26
US20170126724A1 (en) 2017-05-04
EP3136249A1 (en) 2017-03-01
WO2015186662A1 (ja) 2015-12-10

Similar Documents

Publication Publication Date Title
JP6106340B2 (ja) ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
Jerlin et al. A new malware detection system using machine learning techniques for API call sequences
US9781139B2 (en) Identifying malware communications with DGA generated domains by discriminative learning
US9032516B2 (en) System and method for detecting malicious script
Kim et al. Improvement of malware detection and classification using API call sequence alignment and visualization
CN102047260B (zh) 用于集中式恶意软件检测的智能散列
JP6697123B2 (ja) プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
JP6503141B2 (ja) アクセス分類装置、アクセス分類方法及びアクセス分類プログラム
CN107851156B (zh) 分析方法、分析装置和记录介质
Abbas et al. Low-complexity signature-based malware detection for IoT devices
WO2018066221A1 (ja) 分類装置、分類方法及び分類プログラム
JP2016091549A (ja) マルウェアイベントとバックグラウンドイベントとを分離するためのシステム、デバイス、および方法
JP6691240B2 (ja) 判定装置、判定方法、および、判定プログラム
Vadrevu et al. Maxs: Scaling malware execution with sequential multi-hypothesis testing
JP6505533B2 (ja) 悪質なコードの検出
Khan et al. A dynamic method of detecting malicious scripts using classifiers
Sahu et al. Kernel K-means clustering for phishing website and malware categorization
CN108319853B (zh) 病毒特征码处理方法及装置
CN112163217B (zh) 恶意软件变种识别方法、装置、设备及计算机存储介质
KR20220157565A (ko) 웹 스캐닝 공격 탐지 장치 및 방법
US20210336973A1 (en) Method and system for detecting malicious or suspicious activity by baselining host behavior
Uwagbole et al. Applied web traffic analysis for numerical encoding of SQL injection attack features
KR101619059B1 (ko) 악성 스크립트 탐지를 위한 경량 시그니처 생성 및 배포 장치, 시스템 및 방법
Vyawhare et al. Machine Learning System for Malicious Website Detection using Concept Drift Detection
Wilson et al. Detecting motifs in system call sequences

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170228

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170303

R150 Certificate of patent or registration of utility model

Ref document number: 6106340

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150