WO2021149119A1

WO2021149119A1 - 推定システム及び推定プログラム

Info

Publication number: WO2021149119A1
Application number: PCT/JP2020/001781
Authority: WO
Inventors: 琴海黒木; 楊鐘本; 一史青木
Original assignee: 日本電信電話株式会社
Priority date: 2020-01-20
Filing date: 2020-01-20
Publication date: 2021-07-29
Also published as: JPWO2021149317A1; WO2021149317A1; JP7424393B2; US20230007020A1

Abstract

推定装置（１０）の抽出部（１３１）は、攻撃であることが検知されたWebリクエストに挿入された攻撃クエリを抽出する。作成部（１３３）は、抽出部（１３１）によって抽出された攻撃クエリから、あらかじめ定義されたルールに従って構文木を作成する。付与部（１３４）は、構文木の一部である部分木に対応する部分クエリを実行した場合の結果を基に、部分木にラベルを付与する。識別部（１３５）は、付与部（１３４）によって付与されたラベルを基に、Webリクエストによる攻撃の被害の種類を識別する。

Description

推定システム及び推定プログラム

　本発明は、推定システム及び推定プログラムに関する。

　従来、SQLインジェクションの対策を行うための技術が知られている。ここで、SQLインジェクションは、Webサーバに不正なSQLクエリを実行させる攻撃である。SQLインジェクションは、データベースを備えたWebサーバを利用するWebアプリケーションが多いことや攻撃自体が容易なことから、Webサーバに対する攻撃の中でも特に数が多い。

　例えば、SQLインジェクションを検知する技術として、事前に用意した正規表現等のルールに一致するトラフィックを攻撃として検知又はブロックするWAF（Web Application Firewall）が知られている（例えば、非特許文献１を参照）。また、データベースで実行されるSQLクエリに対してSVM（Support Vector Machine）を適用して攻撃を検知する技術が知られている（例えば、非特許文献２を参照）。

　また、エミュレート結果とレスポンスに基づいて、SQLインジェクションの攻撃成否を判定する技術が知られている（例えば、特許文献１を参照）。

　また、機械学習を用いて、SQLインジェクションの攻撃タイプを分類し検知する技術が知られている（例えば、非特許文献３を参照）。また、正規表現を用いてSQLインジェクションの攻撃タイプを分類し、さらに、レスポンスのペイロードから漏洩した文字列を抽出する技術が知られている（例えば、非特許文献４を参照）。

国際公開第２０１９／０１３２６６号

OWASP ModSecurity Core Rule Set: https://coreruleset.org/ D. Kar, S. Panigrahi, and S. Sundararajan,　"SQLiGoT: Detecting SQL injection attacks using graph of tokens and SVM," Comput. Secur., vol.60, pp. 206-225, 2016. Naghmeh Moradpoor Sheykhkanloo,　"A Learning-based Neural Network Model for the Detection and Classification of SQL Injection Attacks," International Journal of Cyber Warfare and Terrorism (IJCWT), 2017. Haifeng Gu, Jianning Zhang, Tian Liu, Ming Hu, Junlong Zhou, Tongquan Wei and Mingsong Chen,　"DIAVA: A Traffic-Based Framework for Detection of SQL Injection Attacks and Vulnerability Analysis of Leaked Data," IEEE Transactions on Reliability, 2019.

　しかしながら、従来の技術には、SQLインジェクションによって発生する被害を推定することが困難な場合があるという問題がある。SQLインジェクションを検知できたとしても、その攻撃が成功した際にどのような被害が想定されるかが不明であれば、対策の内容等の検討を効率良く行うことができないことが考えられる。

　例えば、非特許文献１及び非特許文献２に記載された技術では、検知したSQLインジェクションが、実際にどういった方法で攻撃を行うかを識別することは困難である。また、特許文献１に記載の技術では、攻撃の成否は判定できるが、攻撃タイプ、被害の種類、及び漏洩した情報の種類を特定することは困難である。また、非特許文献３及び非特許文献４に記載された技術では、攻撃タイプは特定できるが、漏洩した情報の種類を特定することは困難である。

　上述した課題を解決し、目的を達成するために、推定システムは、攻撃であることが検知されたWebリクエストに挿入されたクエリを抽出する抽出部と、前記抽出部によって抽出されたクエリから、あらかじめ定義されたルールに従って構文木を作成する作成部と、前記構文木の一部である部分木に対応するクエリを実行した場合の結果を基に、前記部分木にラベルを付与する付与部と、前記付与部によって付与されたラベルを基に、前記Webリクエストによる攻撃の被害の種類を識別する識別部と、を有することを特徴とする。

　本発明によれば、SQLインジェクションによって発生する被害を推定することができる。

図１は、第１の実施形態に係る推定システムの構成例を示す図である。図２は、推定装置の構成例を示す図である。図３は、攻撃クエリの一例を示す図である。図４は、攻撃クエリの一例を示す図である。図５は、その他の攻撃クエリの例を示す図である。図６は、引用符及び括弧が補完された攻撃クエリの例を示す図である。図７は、引用符の補完方法の例を示す図である。図８は、括弧の補完方法の例を示す図である。図９は、括弧の補完方法の詳細を説明する図である。図１０は、ノードの凡例を示す図である。図１１は、構文木の一例を示す図である。図１２は、typeノードの例を示す図である。図１３は、tokenノードの例を示す図である。図１４は、構文木の変換方法の一例を示す図である。図１５は、意味解析ルールの例を示す図である。図１６は、ルール２を充足する部分木の一例を示す図である。図１７は、ルール３を充足する部分木の一例を示す図である。図１８は、ルール４を充足する部分木の一例を示す図である。図１９は、ルール５を充足する部分木の一例を示す図である。図２０は、ルール６を充足する部分木の一例を示す図である。図２１は、攻撃タイプがBoolean-based blindである部分木の一例を示す図である。図２２は、攻撃タイプがTime-based blindである部分木の一例を示す図である。図２３は、攻撃タイプがUnion-basedである部分木の一例を示す図である。図２４は、攻撃タイプがStacked queriesである部分木の一例を示す図である。図２５は、脆弱性の調査を識別するためのルールの一例を示す図である。図２６は、システム情報の漏洩を識別するためのルールの一例を示す図である。図２７は、システム情報の漏洩を識別するためのルールの一例を示す図である。図２８は、テーブル内容の漏洩を識別するためのルールの一例を示す図である。図２９は、改ざんを識別するためのルールの一例を示す図である。図３０は、推定装置の処理の流れを示すフローチャートである。図３１は、括弧の補完処理の流れを示すフローチャートである。図３２は、解析処理の流れを示すフローチャートである。図３３は、識別処理の流れを示すフローチャートである。図３４は、推定プログラムを実行するコンピュータの一例を示す図である。

　以下に、本願に係る推定システム及び推定プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。

［第１の実施形態の構成］
　まず、図１を用いて、第１の実施形態に係る推定システムの構成について説明する。図１は、第１の実施形態に係る推定システムの構成例を示す図である。図１に示すように、推定システム１は、サーバ３、検知装置４及び推定装置１０を有する。また、サーバ３は、検知装置４を介してインターネット２に接続されている。

　サーバ３は、Webアプリケーションを実行するためのWebサーバである。サーバ３は、データベース、又はデータベースを利用するWebアプリケーションを実行する。サーバ３は、インターネット２を介してWebリクエストを受け付け、当該Webリクエストに従って処理を実行し、レスポンスを返す。ここで、サーバ３は、Webリクエストに含まれる所定のクエリを基にSQLクエリを構築し、データベースに対し当該SQLクエリを実行することができる。

　検知装置４は、インターネット２を介して送られてきたWebリクエストであって、サーバ３への攻撃を目的とするWebリクエストを検知する。例えば、検知装置４はWAFとして機能し、非特許文献１に記載の技術を使って検知を行うことができる。

　推定装置１０は、検知装置４によって検知されたWebリクエストに基づき、当該Webリクエストに従ってサーバ３が処理を実行した場合に発生する被害に関する推定を行う。特に、推定装置１０は、SQLインジェクションによって発生する被害の内容を推定することができる。

　図２を用いて、推定装置１０の構成について説明する。図２は、推定装置の構成例を示す図である。図２に示すように、推定装置１０は、インタフェース部１１、記憶部１２及び制御部１３を有する。

　インタフェース部１１は、データの入出力及びデータの通信を行うためのインタフェースである。例えば、インタフェース部１１は、キーボード及びマウス等の入力装置からデータの入力を受け付ける。また、例えば、インタフェース部１１は、ディスプレイ及びスピーカ等の出力装置にデータを出力する。また、例えば、インタフェース部１１はNIC（Network　Interface　Card）であってもよい。

　記憶部１２は、HDD（Hard　Disk　Drive）、SSD（Solid　State　Drive）、光ディスク等の記憶装置である。なお、記憶部１２は、RAM（Random　Access　Memory）、フラッシュメモリ、NVSRAM（Non　Volatile　Static　Random　Access　Memory）等のデータを書き換え可能な半導体メモリであってもよい。記憶部１２は、推定装置１０で実行されるOS（Operating　System）や各種プログラムを記憶する。記憶部１２は、意味解析ルール１２１、攻撃タイプ識別ルール１２２及び被害識別ルール１２３を記憶する。

　意味解析ルール１２１は、攻撃クエリの意味的な解析を行うためのルールである。攻撃タイプ識別ルール１２２は、攻撃クエリによる攻撃のタイプを識別するためのルールである。被害識別ルール１２３は、攻撃クエリによる攻撃にともない発生する被害を識別するためのルールである。

　制御部１３は、推定装置１０全体を制御する。制御部１３は、例えば、CPU（Central　Processing　Unit）、MPU（Micro　Processing　Unit）等の電子回路や、ASIC（Application　Specific　Integrated　Circuit）、FPGA（Field　Programmable　Gate　Array）等の集積回路である。また、制御部１３は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部１３は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部１３は、抽出部１３１、補完部１３２、作成部１３３、付与部１３４及び識別部１３５を有する。

　抽出部１３１は、攻撃であることが検知されたWebリクエストから攻撃クエリを抽出する。ここで、攻撃クエリとは、攻撃であることが検知されたWebリクエストに挿入されたクエリである。例えば、攻撃クエリを基に生成されたSQLクエリが実際に攻撃を実行する場合がある。攻撃クエリは、「攻撃に利用されることが疑われるクエリ」のように言い換えられてもよい。

　図３及び図４は、攻撃クエリの一例を示す図である。図３のGETメソッドのWebリクエスト及び図４のPOSTメソッドのWebリクエストは、検知装置４によって検知されたWebリクエストである。例えば、図３及び図４に示すように、抽出部１３１は、Webリクエストの攻撃クエリ内の変数の値を抽出する。つまり、抽出部１３１は、図３に示すWebリクエストの「?」の後に現れる「id=」以降の文字列を攻撃クエリとして抽出する。また、抽出部１３１は、図４に示すWebリクエストの「?」の後に現れる「id=」以降であって、「&」より前の文字列を攻撃クエリとして抽出する。

　図３の例では、抽出部１３１は、「a' OR 1=1 --」を攻撃クエリとして抽出する。また、図４の例では、抽出部１３１は、「1 ;WAITFOR DELAY '0:0:5'--」を攻撃クエリとして抽出する。その他にも、抽出部１３１は、図５に示すような攻撃クエリを抽出する。また、抽出部１３１は、既存の正規表現等を用いて攻撃クエリを抽出してもよい。

　補完部１３２は、攻撃クエリの構文解析を容易にするため、攻撃クエリに掛けている引用符や括弧を追加する。図６は、引用符及び括弧が補完された攻撃クエリの例を示す図である。図６に示すように、補完部１３２は、各種の引用符及び丸括弧等を補完することができる。なお、引用符には、シングルクォート「'」、ダブルクォート「"」、バッククォート「`」等がある。

　図７は、引用符の補完方法の例を示す図である。図７に示すように、攻撃クエリに引用符が含まれている場合、補完部１３２は、攻撃クエリに含まれている引用符と同じ引用符を攻撃クエリの前後に追加する。一方、攻撃クエリに引用符が含まれていない場合、補完部１３２は引用符の補完を行わない。

　図８は、括弧の補完方法の例を示す図である。図８に示すように、補完部１３２は、攻撃クエリ内に含まれている括弧の中で、対応する反対の括弧が攻撃クエリ内に存在しない場合、対応する括弧を攻撃クエリの前後に追加する。一方、対応する括弧が攻撃クエリ内に存在する場合、補完部１３２は、当該括弧に囲まれた部分については、完結しているとみなし、括弧の補完を行わない。

　図９は、括弧の補完方法の詳細を説明する図である。図９に示すように、まず、補完部１３２は、攻撃クエリから括弧のみを抽出する。そして、補完部１３２は、抽出した括弧のうち、完結している括弧を削除していく。ここで、図９の例では、対応する括弧が存在しない括弧として２つの閉じ括弧「)　)」が残るので、補完部１３２は、攻撃クエリの先頭に２つの開き括弧「(　(」を追加する。

　作成部１３３は、抽出部１３１によって抽出された攻撃クエリから、あらかじめ定義されたルールに従って構文木を作成する。例えば、作成部１３３は、抽出部１３１によって抽出された攻撃クエリに含まれる文の種類を表す第１のノードと、文に含まれる文字列を表す第２のノードとを持つ構文木を作成する。このように、作成部１３３は、攻撃クエリの構文解析を行い、構文木を作成する。

　本実施形態では、第１のノード及び第２のノードを、それぞれtypeノード及びtokenノードと呼ぶ。typeノードは、攻撃クエリに含まれる文の種類を表す。また、tokenノードは、文に含まれる文字列を表す。

　図１０は、ノードの凡例を示す図である。以降の説明では、typeノードを角丸四角形で表す。また、tokenノードは、仕切りによって２つの領域に分けられた四角形で表す。tokenノードの左側の領域には、tokenの種類が記載される。また、tokenノードの右側の領域には、tokenの値が記載される。

　図１１は、構文木の一例を示す図である。図１１に示す構文木は、補完部１３２による補完が行われた攻撃クエリ「'a' OR 1=1 --'」から、作成部１３３が作成したものである。図１１の「sqli-query」、「statement」、「condition」は、攻撃クエリに含まれる文の種類の例である。また、図１１の「STRING」、「SQL-WORD」、「NUMBER」等は、tokenの種類の例である。また、図１１の「'a'」、「OR」、「1」等は、tokenの値の例である。

　例えば、作成部１３３は、SQLの構文に含まれる単語、演算子、引用符で囲まれた文字列、数値、変数名及びコメントの少なくともいずれかの種別に分類される文字列を第２のノードとし、第２のノードの種別の組み合わせであって、あらかじめ定義された文法に合致する組み合わせを第１のノードとする構文木を作成する。

　図１２は、typeノードの例を示す図である。図１２は、構文木を作成するための文法を示している。作成部１３３は、図１２に示す文法に従ってtypeノードを作成する。例えば、作成部１３３は、攻撃クエリのうち、「<items>　|　(<SQL-WORD>　[　<items>　[<NAME>]　]　)+」という文法に合致する部分から、typeノード<statement>をルートとする部分木を作成する。そして、作成部１３３は、<SQL-WORD>及び<NAME>に該当する文字列から、typeノード<statement>の下に位置するtokenノードを作成する。なお、<SQL-WORD>及び<NAME>は、tokenの種類である。なお、部分木には、単独のノードも含まれるものとする。

　図１３は、tokenノードの例を示す図である。図１３に示すように、<SQL-WORD>は、SQLの構文に含まれる単語であり、例えば「SELECT」、「FROM」等である。また、<NAME>は、変数名、テーブル名等であり、「abc」、「a1」のような任意の文字列等である。なお、以降の説明では、tokenノードを<種類：値>のように表記する場合がある。例えば、tokenノードを、<SQL-WORD:SELECT>、<NAME:abc>、<STRING:'abc'>のように表記する。

　付与部１３４は、第１のノードをルートとする部分木に対応する部分クエリを実行した場合の結果を基に、部分木にラベルを付与する。付与部１３４は、構文木の一部である部分木に対応する部分クエリを実行した場合の結果を基に、部分木にラベルを付与する。このように、付与部１３４は、攻撃クエリの意味解析を行い、ラベルを付与する。

　また、付与部１３４は、ラベルの付与を行う前に、構文木の変換を行ってもよい。図１４は、構文木の変換方法の一例を示す図である。図１４に示すように、付与部１３４は、部分木ごとのエミュレーションの結果を基に変換を行う。

　付与部１３４は、まず、末端に近いtypeノードをルートとする部分木に含まれるtokenを結合する。図１４の例では、付与部１３４は、typeノード<condition>をルートとする部分木に含まれるtokenノードの値「1」、「=」及び「1」を結合する。さらに、付与部１３４は、結合による得られた文字列の先頭に「SELECT」を追加し、末尾に「;」を追加する。

　このとき、付与部１３４は、「SELECT 1=1;」というSQLクエリを得る。ここで得られたSQLクエリ「SELECT 1=1;」は、部分クエリの一例である。つまり、部分クエリは、構文木全体から構成されるSQLクエリの一部である。「SELECT 1=1;」をエミュレータ上で実行すると「1」が得られるため、図１４に示すように、付与部１３４は、typeノード<condition>をルートとする部分木を、tokenノード<NUMBER:1>に変換する。このように、付与部１３４は、構文木を簡略化することができる。

　付与部１３４は、意味解析ルール１２１に従って各部分木の変換及びラベルの付与を行う。図１５は、意味解析ルールの例を示す図である。条件の（１）から（５）は、下記の通りである。
（１）ルートの子ノードが全てtokenノード。
（２）部分木内に環境依存のラベルが存在。
（３）エミュレーション結果がエラー。
（４）エミュレーション結果がテーブル等が存在しないエラー。
（５）エミュレーション結果が既存のテーブルを参照。

　（１）及び（２）は、木構造に関する条件ということができる。また、（３）から（５）は、エミュレーション結果に関する情報ということができる。また、図１５の○は、条件が満たされることを意味する。また、図１５の-は、条件の判定を行わないことを意味する。また、図１５の×は、条件が満たされないことを意味する。

　部分木のルートがtypeノード<statement>であり、ルートの親ノードがtypeノード<sqli-query>である場合、付与部１３４は、ルール１が充足されると判定する。この場合、付与部１３４は、変換及びラベルの付与を行わない。

　図１６は、ルール２を充足する部分木の一例を示す図である。条件（１）が満たされ、条件（２）、（３）、（５）が満たされない場合、付与部１３４は、ルール２が充足されると判定する。つまり、付与部１３４は、ルートの子ノードが全てtokenノードであり（条件（１）、○）、部分木内に環境依存のラベルが存在せず（条件（２）、×）、エミュレーション結果がエラーではなく（条件（３）、×）、エミュレーション結果が既存のテーブルを参照しない（条件（５）、×）場合、ルール２が充足されると判定する。この場合、付与部１３４は、部分木を実行結果に変換する。図１６の例では、付与部１３４は、typeノード<function>をルートとする部分木をtokenノード<STRING:'a'>に変換する。

　図１７は、ルール３を充足する部分木の一例を示す図である。条件（１）、（３）が満たされ、条件（２）、（４）が満たされない場合、付与部１３４は、ルール３が充足されると判定する。つまり、付与部１３４は、ルートの子ノードが全てtokenノードであり（条件（１）、○）、部分木内に環境依存のラベルが存在せず（条件（２）、×）、エミュレーション結果がエラーであり（条件（３）、○）、エミュレーション結果がテーブル等が存在しないエラーではない（条件（４）、×）、場合、ルール３が充足されると判定する。この場合、付与部１３４は、部分クエリの文字列をtokenノードとし、エラーを表すラベルを付与する。図１７の例では、付与部１３４は、typeノード<function>をルートとする部分木をtokenノード<QUERY:EXP(10000)>に変換し、ラベル「ERROR」を付与する。

　図１８は、ルール４を充足する部分木の一例を示す図である。部分木のルートがtypeノード<function>であり、子ノードの数が３であり、条件（１）が満たされ、条件（３）が満たされない場合、付与部１３４は、ルール４が充足されると判定する。つまり、付与部１３４は、部分木のルートがtypeノード<function>であり、子ノードの数が３であり、ルートの子ノードが全てtokenノードであり（条件（１）、○）、エミュレーション結果がエラーではない（条件（３）、×）場合、ルール４が充足されると判定する。この場合、付与部１３４は、部分クエリの文字列をtokenノードとし、環境依存関数を表すラベルを付与する。図１８の例では、付与部１３４は、typeノード<function>をルートとする部分木をtokenノード<QUERY:VERSION()>に変換し、ラベル「環境依存関数」を付与する。

　図１９は、ルール５を充足する部分木の一例を示す図である。条件（１）、（５）が満たされ、条件（２）が満たされない場合、付与部１３４は、ルール５が充足されると判定する。つまり、付与部１３４は、ルートの子ノードが全てtokenノードであり（条件（１）、○）、部分木内に環境依存のラベルが存在せず（条件（２）、×）、エミュレーション結果が既存のテーブルを参照する（条件（６）、×）場合、ルール５が充足されると判定する。この場合、付与部１３４は、部分クエリの文字列をtokenノードとし、環境依存のシステムテーブルへのアクセスを表すラベルを付与する。図１９の例では、付与部１３４は、typeノード<statement>をルートとする部分木をtokenノード<QUERY: SELECT * FROM sys.user>に変換し、ラベル「環境依存のシステムテーブル」を付与する。

　図２０は、ルール６を充足する部分木の一例を示す図である。条件（１）、（３）、（４）が満たされ、条件（２）が満たされない場合、付与部１３４は、ルール５が充足されると判定する。つまり、付与部１３４は、ルートの子ノードが全てtokenノードであり（条件（１）、○）、部分木内に環境依存のラベルが存在せず（条件（２）、×）、エミュレーション結果が通常のエラーであり（条件（３）、○）、そのエラーがテーブル等が存在しないエラーである（条件（４）、○）場合、ルール６が充足されると判定する。この場合、付与部１３４は、部分クエリの文字列をtokenノードとし、サーバ固有のテーブルへのアクセスを表すラベルを付与する。図２０の例では、付与部１３４は、typeノード< statement>をルートとする部分木をtokenノード<QUERY: SELECT * FROM abc>に変換し、ラベル「環境依存テーブル」を付与する。

　このように、付与部１３４は、部分木に、エラーを表すラベル、環境依存関数を表すラベル、環境依存のシステムテーブルへのアクセスを表すラベル、環境依存のサーバ固有テーブルへのアクセスを表すラベルのいずれかを付与することができる。

　識別部１３５は、付与部１３４によって付与されたラベルを基に、Webリクエストによる攻撃の被害の種類を識別する。識別部１３５は、付与部１３４によって付与されたラベルを基に、Webリクエストによる攻撃のタイプを識別する。

　識別部１３５は、構文木の少なくとも一部が、あらかじめ攻撃のタイプと対応付けられた木構造と一致する場合、当該攻撃のタイプを、Webリクエストによる攻撃のタイプとして識別し、当該木構造のうちあらかじめ指定された位置にある部分木に付与されたラベルを基に、Webリクエストによる攻撃の被害の種類を識別する。

　図２１は、攻撃タイプがBoolean-based blindである部分木の一例を示す図である。図２２は、攻撃タイプがTime-based blindである部分木の一例を示す図である。図２３は、攻撃タイプがUnion-basedである部分木の一例を示す図である。図２４は、攻撃タイプがStacked queriesである部分木の一例を示す図である。また、識別部１３５は、図２１から図２４における「被害識別対象」と記載された位置にあるノード又は部分木を基に、攻撃による被害の種類を識別する。このようなノード又は部分木を、被害識別対象部分木と呼ぶ。また、図２１から図２４に示すような攻撃のタイプに関するルールは、攻撃タイプ識別ルール１２２として記憶部１２に格納されているものとする。

　図２５は、脆弱性の調査を識別するためのルールの一例を示す図である。識別部１３５は、被害識別対象部分木に環境依存ラベルが付与されていない場合、当該被害識別対象部分木を含む攻撃クエリによる攻撃の被害を、脆弱性の調査と識別する。このような攻撃には、出力に環境依存の特定の文字列等の情報を含まないという特徴がある。

　図２６及び図２７は、システム情報の漏洩を識別するためのルールの一例を示す図である。識別部１３５は、被害識別対象部分木にラベル「環境依存関数」又はラベル「環境依存システムテーブル」が付与されている場合、当該被害識別対象部分木を含む攻撃クエリによる攻撃の被害を、システム情報の漏洩と識別する。このような攻撃には、デフォルトで存在するシステム用のテーブルへのアクセスやシステム情報を出力する関数を実行するという特徴がある。

　図２８は、テーブル内容の漏洩を識別するためのルールの一例を示す図である。識別部１３５は、被害識別対象部分木にラベル「環境依存テーブル」が付与されている場合、当該被害識別対象部分木を含む攻撃クエリによる攻撃の被害を、テーブル内容の漏洩と識別する。このような攻撃には、サーバ固有のテーブルの内容を漏洩させるという特徴がある。

　図２９は、改ざんを識別するためのルールの一例を示す図である。識別部１３５は、被害識別対象部分木がtokenノード<SQL-WORD:DROP>である場合、当該被害識別対象部分木を含む攻撃クエリによる攻撃の被害を、改ざんと識別する。このような攻撃には、データベースの内容を書き換えるという特徴がある。

　このように、識別部１３５は、部分木にラベルが付与されていない場合、被害の種類を脆弱性の調査と識別し、部分木に環境依存関数を表すラベル、又は環境依存のシステムテーブルへのアクセスを表すラベルが付与されている場合、被害の種類をシステム情報の漏洩と識別し、部分木に環境依存のサーバ固有テーブルへのアクセスを表すラベルが付与されている場合、被害の種類をテーブル内容の漏洩と識別する。また、図２５から図２９に示すような被害を識別するためのルールは、被害識別ルール１２３として記憶部１２に格納されているものとする。

［処理の流れ］
　図３０は、推定装置の処理の流れを示すフローチャートである。図３０に示すように、まず、推定装置１０は、取得した攻撃クエリの補完を行う（ステップＳ１０）。推定装置１０は、括弧の補完を行う（ステップＳ１１）。そして、推定装置１０は、構文解析を行う（ステップＳ２０）。ここで、構文解析が可能であった場合（ステップＳ２１、Ｙｅｓ）、推定装置１０は、ステップＳ３０へ進む。一方、構文解析が可能でなかった場合（ステップＳ２１、Ｎｏ）、推定装置１０は、ステップＳ１２へ進む。

　推定装置１０は、攻撃クエリに含まれる各引用符について、ステップＳ１２とステップＳ１６の間の処理を繰り返す。引用符が攻撃クエリに含まれない場合（ステップＳ１３、Ｎｏ）、推定装置１０は、ステップＳ１２に戻り、処理を繰り返す。一方、引用符が攻撃クエリに含まれる場合（ステップＳ１３、Ｙｅｓ）、推定装置１０は、引用符の補完を行う（ステップＳ１４）。さらに、推定装置１０は、括弧の補完を行う（ステップＳ１５）。

　さらに、推定装置１０は、補完が終わった後、構文解析を行う（ステップＳ２２）。ここで、構文解析が可能であった場合（ステップＳ２３、Ｙｅｓ）、推定装置１０は、ステップＳ３０へ進む。一方、構文解析が可能でなかった場合（ステップＳ２３、Ｎｏ）、推定装置１０は、ステップＳ１６へ進む。

　図３１を用いて、括弧の補完処理（図３０のステップＳ１１、Ｓ１５）の流れを説明する。図３１は、括弧の補完処理の流れを示すフローチャートである。まず、推定装置１０は、攻撃クエリから括弧を全て抽出する（ステップＳ１０１）。ここで、推定装置１０は、抽出した括弧列の中に閉じた括弧"()"がなくなるまで、閉じた括弧"()"を削除する（ステップＳ１０２、Ｓ１０３、Ｓ１０４）。

　そして、推定装置１０は、抽出括弧列中に残った閉じ括弧")"の数だけ攻撃クエリの先頭に開き括弧"("を追加する（ステップＳ１０５）。また、推定装置１０は、抽出括弧列中に残った開き括弧"("の数だけ攻撃クエリの末尾に閉じ括弧")"を追加する（ステップＳ１０６）。

　図３２を用いて、解析処理（図３０のステップＳ２０、Ｓ２２、３０）の流れを説明する。図３２は、解析処理の流れを示すフローチャートである。ここでは、構文解析と意味解析が連続して行われるものとして説明する。推定装置１０は、末端に近いtypeノードから順に全てのtypeノードに対して繰り返し処理を行う（ステップＳ２０１、Ｓ２１０）。

　推定装置１０は、選択したtypeノードをルートとする部分木に含まれるtokenを連結した文字列（部分クエリ）を取得する（ステップＳ２０２）。ここで、部分クエリの先頭が"SELECT"である場合（ステップＳ２０３、Ｙｅｓ）、推定装置１０はステップＳ２０５へ進む。一方、部分クエリの先頭が"SELECT"でない場合（ステップＳ２０３、Ｎｏ）、推定装置１０は部分クエリの先頭に"SELECT"を追加する（ステップＳ２０４）。さらに、推定装置１０は、追加クエリの末尾に";"を追加してエミュレーションを実行する（ステップＳ２０５）。

　ここで、推定装置１０は、各意味解析ルールに対して、条件に一致するか否かを判定する処理を繰り返す（ステップＳ２０６、Ｓ２０７、Ｓ２０８）。条件に一致した場合（ステップＳ２０７、Ｙｅｓ）、推定装置１０は、ルールの変換方法に従って部分木を変換する（ステップＳ２０９）。

　図３３を用いて、識別処理の流れを説明する。図３３は、識別処理の流れを示すフローチャートである。識別処理は、例えば、図３０のステップＳ１６の後に行われてもよい。推定装置１０は、各攻撃タイプルールに対して、ステップＳ３０１とステップＳ３１０の間の処理を繰り返す。

　推定装置１０は、ルールに指定された木構造に一致する部分木のリストを取得する（ステップＳ３０２）。ここで、推定装置１０は、リスト内の各部分木に対して、ステップＳ３０３とステップＳ３０９の間の処理を繰り返す。推定装置１０は、ルールに従って被害識別対象の部分木を抽出する（ステップＳ３０４）。

　ここで、推定装置１０は、各被害ルールに対して、被害識別対象部分木内に被害ルールが一致する部分木が存在するか否かを判定する処理を繰り返す（ステップＳ３０５、Ｓ３０６、Ｓ３０７）。条件に一致した場合（ステップＳ３０６、Ｙｅｓ）、推定装置１０は、攻撃タイプと被害を出力する（ステップＳ３０８）。

［第１の実施形態の効果］
　これまで説明してきたように、推定装置１０の抽出部１３１は、攻撃であることが検知されたWebリクエストに挿入された攻撃クエリを抽出する。作成部１３３は、抽出部１３１によって抽出された攻撃クエリから、あらかじめ定義されたルールに従って構文木を作成する。付与部１３４は、構文木の一部である部分木に対応する攻撃クエリを実行した場合の結果を基に、部分木にラベルを付与する。識別部１３５は、付与部１３４によって付与されたラベルを基に、Webリクエストによる攻撃の被害の種類を識別する。このように、推定装置１０は、Webリクエストの攻撃クエリから被害の種類を識別する。その結果、本実施形態によれば、SQLインジェクションによって発生する被害を推定することができる。

　また、作成部１３３は、抽出部１３１によって抽出された攻撃クエリに含まれる文の種類を表す第１のノードと、文に含まれる文字列を表す第２のノードとを持つ構文木を作成する。付与部１３４は、第１のノードをルートとする部分木に対応する攻撃クエリを実行した場合の結果を基に、部分木にラベルを付与する。このように、推定装置１０は、文と文に含まれる文字列をノードとする木構造を生成する。その結果、本実施形態によれば、攻撃クエリに含まれる各文字列間の関係を明確にすることで、被害をより正確に推定することができる。

　また、作成部１３３は、SQLの構文に含まれる単語、演算子、引用符で囲まれた文字列、数値、変数名及びコメントの少なくともいずれかの種別に分類される文字列を第２のノードとし、第２のノードの種別の組み合わせであって、あらかじめ定義された文法に合致する組み合わせを第１のノードとする構文木を作成する。このように、推定装置１０は、攻撃クエリの各文字列の、SQLにおける役割が明確になるような構文木を作成する。その結果、本実施形態によれば、攻撃の結果をより正確に推定することができる。

　識別部１３５は、構文木の少なくとも一部が、あらかじめ攻撃のタイプと対応付けられた木構造と一致する場合、当該攻撃のタイプを、Webリクエストによる攻撃のタイプとして識別し、当該木構造のうちあらかじめ指定された位置にある部分木に付与されたラベルを基に、Webリクエストによる攻撃の被害の種類を識別する。このように、推定装置１０は、攻撃タイプを識別する。これにより、本実施形態によれば、攻撃クエリによる被害をより正確に推定することができる。

　付与部１３４は、部分木に、エラーを表すラベル、環境依存関数を表すラベル、環境依存のシステムテーブルへのアクセスを表すラベル、環境依存のサーバ固有テーブルへのアクセスを表すラベルのいずれかを付与する。このように、本実施形態によれば、攻撃クエリの各部分の役割を明確化することができる。

　識別部１３５は、部分木にラベルが付与されていない場合、被害の種類を脆弱性の調査と識別し、部分木に環境依存関数を表すラベル、又は環境依存のシステムテーブルへのアクセスを表すラベルが付与されている場合、被害の種類をシステム情報の漏洩と識別し、部分木に環境依存のサーバ固有テーブルへのアクセスを表すラベルが付与されている場合、被害の種類をテーブル内容の漏洩と識別する。このように、本実施形態によれば、攻撃クエリによる被害を分かりやすく分類することができる。

［システム構成等］
　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　一実施形態として、推定装置１０は、パッケージソフトウェアやオンラインソフトウェアとして上記の推定処理を実行する推定プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の推定プログラムを情報処理装置に実行させることにより、情報処理装置を推定装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS（Personal　Handyphone　System）等の移動体通信端末、さらには、PDA（Personal　Digital　Assistant）等のスレート端末等がその範疇に含まれる。

　また、推定装置１０は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の推定処理に関するサービスを提供する推定サーバ装置として実装することもできる。例えば、推定サーバ装置は、Webリクエストを入力とし、攻撃による被害の識別結果を出力とする推定サービスを提供するサーバ装置として実装される。この場合、推定サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の推定処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。

　図３４は、推定プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、CPU１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ROM（Read　Only　Memory）１０１１及びRAM１０１２を含む。ROM１０１１は、例えば、BIOS（BASIC　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、OS１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、推定装置１０の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、推定装置１０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、SSDにより代替されてもよい。

　また、上述した実施形態の処理で用いられる設定データは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、CPU１０２０は、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてRAM１０１２に読み出して、上述した実施形態の処理を実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してCPU１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（LAN（Local　Area　Network）、WAN（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してCPU１０２０によって読み出されてもよい。

　１　推定システム
　２　インターネット
　３　サーバ
　４　検知装置
　１０　推定装置
　１１　インタフェース部
　１２　記憶部
　１３　制御部
　１２１　意味解析ルール
　１２２　攻撃タイプ識別ルール
　１２３　被害識別ルール
　１３１　抽出部
　１３２　補完部
　１３３　作成部
　１３４　付与部
　１３５　識別部

Claims

　攻撃であることが検知されたWebリクエストに挿入されたクエリを抽出する抽出部と、
　前記抽出部によって抽出されたクエリから、あらかじめ定義されたルールに従って構文木を作成する作成部と、
　前記構文木の一部である部分木に対応するクエリを実行した場合の結果を基に、前記部分木にラベルを付与する付与部と、
　前記付与部によって付与されたラベルを基に、前記Webリクエストによる攻撃の被害の種類を識別する識別部と、
　を有することを特徴とする推定システム。
　前記作成部は、前記抽出部によって抽出されたクエリに含まれる文の種類を表す第１のノードと、前記文に含まれる文字列を表す第２のノードとを持つ構文木を作成し、
　前記付与部は、前記第１のノードをルートとする部分木に対応するクエリを実行した場合の結果を基に、前記部分木にラベルを付与することを特徴とする請求項１に記載の推定システム。
　前記作成部は、SQLの構文に含まれる単語、演算子、引用符で囲まれた文字列、数値、変数名及びコメントの少なくともいずれかの種別に分類される文字列を前記第２のノードとし、前記第２のノードの種別の組み合わせであって、あらかじめ定義された文法に合致する組み合わせを前記第１のノードとする構文木を作成することを特徴とする請求項２に記載の推定システム。
　前記識別部は、前記構文木の少なくとも一部が、あらかじめ攻撃のタイプと対応付けられた木構造と一致する場合、当該攻撃のタイプを、前記Webリクエストによる攻撃のタイプとして識別し、当該木構造のうちあらかじめ指定された位置にある部分木に付与されたラベルを基に、前記Webリクエストによる攻撃の被害の種類を識別することを特徴とする請求項１に記載の推定システム。
　前記付与部は、前記部分木に、エラーを表すラベル、環境依存関数を表すラベル、環境依存のシステムテーブルへのアクセスを表すラベル、環境依存のサーバ固有テーブルへのアクセスを表すラベルのいずれかを付与することを特徴とする請求項１に記載の推定システム。
　前記識別部は、部分木にラベルが付与されていない場合、被害の種類を脆弱性の調査と識別し、部分木に環境依存関数を表すラベル、又は環境依存のシステムテーブルへのアクセスを表すラベルが付与されている場合、被害の種類をシステム情報の漏洩と識別し、部分木に環境依存のサーバ固有テーブルへのアクセスを表すラベルが付与されている場合、被害の種類をテーブル内容の漏洩と識別することを特徴とする請求項５に記載の推定システム。
　攻撃であることが検知されたWebリクエストに挿入されたクエリを抽出する抽出ステップと、
　前記抽出ステップによって抽出されたクエリから、あらかじめ定義されたルールに従って構文木を作成する作成ステップと、
　前記構文木の一部である部分木に対応するクエリを実行した場合の結果を基に、前記部分木にラベルを付与する付与ステップと、
　前記付与ステップによって付与されたラベルを基に、前記Webリクエストによる攻撃の被害の種類を識別する識別ステップと、
　をコンピュータに実行させることを特徴とする推定プログラム。