平码五不中公式规律
  • / 24
  • 下载费用:30 金币  

检测装置、检测方法以及检测程序.pdf

关 键 ?#21097;?/dt>
检测 装置 方法 以及 程序
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
摘要
申请专利号:

CN201580036747.5

申请日:

2015.07.01

公开号:

CN106663166A

公开日:

2017.05.10

当前法律状态:

实审

有效性:

审中

法?#19978;?#24773;: 实质审查的生效IPC(主分类):G06F 21/55申请日:20150701|||公开
IPC分类号: G06F21/55; G06F13/00 主分类号: G06F21/55
申请人: 日?#38236;?#20449;电话株式会社
发明人: 首藤裕一; 波户邦夫; 滨田贵广; 上野正巳; 北爪秀雄
地址: 日本东京都
优?#28909;ǎ?/td> 2014.07.07 JP 2014-139796
专利代理机构: ?#26412;?#19977;友知识产权代理有限公司 11127 代理人: 李辉;黄纶伟
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

CN201580036747.5

授权公告号:

|||

法律状态公告日:

2017.06.06|||2017.05.10

法律状态类型:

实质审查的生效|||公开

摘要

非法访问检测装置(50)的检测部(51)在请求获取部(31)所获取的与从用户所操作的终端向提供业务的业务服务器(10)发送的请求相关的信息与询问获取部(41)所获取的与从业务服务器(10)向保存与业务相关的信息的DB(20)发送的询问相关的信息之间的相关关系不同于正常模式的情况下,将询问检测为对DB(20)的非法访问。

权利要求书

1.一种检测装置,其特征在于,该检测装置具有:
第1获取部,其获取第1请求信息,其中该第1请求信息与从用户所操作的终端向提供业
务的业务服务器发送的第1请求相关;
第2获取部,其获取第2请求信息,其中该第2请求信息与从所述业务服务器向保存与所
述业务相关的信息的保存装置发送的第2请求相关;以及
检测部,其在所述第1请求信息与所述第2请求信息之间的相关关系不同于正常模式的
情况下,将所述第2请求检测为对所述保存装置的非法访问。
2.根据权利要求1所述的检测装置,其特征在于,
所述第1获取部获取所述业务服务器接收到所述第1请求的第1接收时刻作为所述第1
请求信息,
所述第2获取部获取所述保存装置接收到所述第2请求的第2接收时刻作为所述第2请
求信息,
所述检测部对所述第1接收时刻和所述第2接收时刻进行比较,如果该第1接收时刻不
包含在该第2接收时刻之前的规定的时间内,则视为不同于所述正常模式,将与该第2接收
时刻对应的所述第2请求检测为所述非法访问。
3.根据权利要求1所述的检测装置,其特征在于,
所述检测部分别对在规定的期间内接收到的所述第1请求的个数和所述第2请求的个
数进行计数,如果所述第2请求的个数相对于所述第1请求的个数的比?#39135;?#36807;规定的阈值,
则视为不同于所述正常模式,将该第2请求检测为所述非法访问。
4.根据权利要求2所述的检测装置,其特征在于,
该检测装置还具有存储部,该存储部存储将所述第1请求的正文模式与在所述业务服
务器接收到该第1请求的情况下所发送的所述第2请求的正文模式关联起来而得到的信息,
所述第1获取部获取所述第1接收时刻,并且获取所述第1请求的正?#27169;?br />所述第2获取部获取所述第2接收时刻,并且获取所述第2请求的正?#27169;?br />所述检测部参照所述存储部,如果在该第2请求的接收时刻之前的规定的时间内未接
收到与所述第2获取部所获取的第2请求的正文模式对应的正文模式的第1请求,则视为不
同于所述正常模式,将该第2请求检测为所述非法访问。
5.根据权利要求3所述的检测装置,其特征在于,
该检测装置还具有存储部,该存储部存储将所述第1请求的正文模式、在所述业务服务
器接收到该第1请求的情况下所发送的所述第2请求的正文模式以及阈值关联起来而得到
的信息,
所述第1获取部获取所述第1接收时刻,并且获取所述第1请求的正?#27169;?br />所述第2获取部获取所述第2接收时刻,并且获取所述第2请求的正?#27169;?br />所述检测部参照所述存储部,分别对在规定的期间内接收到的规定的正文模式的第2
请求的个数和在该规定的期间内接收到的与该规定的正文模式对应的第1请求的个数进行
计数,如果该第2请求的个数相对于该第1请求的个数的比?#39135;?#36807;与该规定的正文模式对应
的阈值,则视为不同于所述正常模式,将该第2请求检测为所述非法访问。
6.根据权利要求2所述的检测装置,其特征在于,
所述第1获取部获取所述第1接收时刻,并且获取所述第1请求的正?#27169;?br />所述第2获取部获取所述第2接收时刻,并且获取所述第2请求的正?#27169;?br />所述检测部根据所述第2请求所包含的所述用户的信息来确定用于识别与所述业务服
务器连接的所述终端的连接信息,如果在该第2请求的接收时刻之前的规定的时间内未接
收到包含所确定的连接信息的第1请求,则视为不同于所述正常模式,将该第2请求检测为
所述非法访问。
7.一种由检测装置执行的检测方法,其特征在于,该检测方法包含如下的步骤:
第1获取步骤,获取第1请求信息,其中该第1请求信息与从用户所操作的终端向提供业
务的业务服务器发送的第1请求相关;
第2获取步骤,获取第2请求信息,其中该第2请求信息与从所述业务服务器向保存与所
述业务相关的信息的保存装置发送的第2请求相关;以及
检测步骤,在所述第1请求信息与所述第2请求信息之间的相关关系不同于正常模式的
情况下,将所述第2请求检测为对所述保存装置的非法访问。
8.一种检测程序,其特征在于,该检测程序使计算机执行如下的步骤:
第1获取步骤,获取第1请求信息,其中该第1请求信息与从用户所操作的终端向提供业
务的业务服务器发送的第1请求相关;
第2获取步骤,获取第2请求信息,其中该第2请求信息与从所述业务服务器向保存与所
述业务相关的信息的保存装置发送的第2请求相关;以及
检测步骤,在所述第1请求信息与所述第2请求信息之间的相关关系不同于正常模式的
情况下,将所述第2请求检测为对所述保存装置的非法访问。

说明书

检测装置、检测方法以及检测程序

技术领域

本发明涉及检测装置、检测方法以及检测程序。

背景技术

以往,作为从恶意地利用Web应用的漏洞的攻击中保护Web应用的安全对策之一,
引入了WAF(Web Application Firewall:Web应用防火墙)。WAF配置在客户端与服务器之
间,保持已知的非法访问的签名。而且,WAF在对服务器中继从客户端发送的请求?#20445;?#36890;过阻
断与签名匹配的请求而防止对服务器的攻击。

现有技术文献

非专利文献

非专利文献1:“Web Application Firewall(WAF)読本”、[平成26年6月24日检
索]、因特网<URL:http://www.ipa.go.jp/security/vuln/waf.html>

发明内容

发明要解决的课题

然而,在以往的技术中,存在无法检测对服务器的未知的非法访问这样的问题。例
如,在上述的WAF中,由于需要保持已知的非法访问的签名,因?#23435;?#27861;应对袭击不为人知的
漏洞的攻击(零时差攻击)。当进行这样的攻击?#20445;?#26381;务器?#36824;?#20987;者入侵而有时?#36745;?#31243;操作。
由于服务器具有对数据库的访问权,因此攻击者对服务器进行远程操作来访问数据库,从
而有可能导致数据库的数据泄漏、篡改。

因此,本发明的目的在于,检测通过来自攻击者的攻击而从服务器对数据库进行
的非法访问。

用于解决课题的手段

为?#31169;?#20915;上述的课题并达成目的,所公开的检测装置的特征在于,具有:第1获取
部,其获取第1请求信息,其中该第1请求信息与从用户所操作的终端向提供业务(service)
的业务服务器发送的第1请求相关;第2获取部,其获取第2请求信息,其中该第2请求信息与
从所述业务服务器向保存与所述业务相关的信息的保存装置发送的第2请求相关;以及检
测部,其在所述第1请求信息与所述第2请求信息之间的相关关系不同于正常模式的情况
下,将所述第2请求检测为对所述保存装置的非法访问。

发明效果

根据本申请所公开的实施方式,实现如下的效果:能够检测通过来自攻击者的攻
击而从服务器对数据库进行的非法访问。

附图说明

图1是示出应用第1实施方式的非法访问检测装置的系统的概况的结构图。

图2是示出第1实施方式的非法访问检测装置中的处理的流程的流程图。

图3是用于对第1实施方式的非法访问检测装置的效果进行说明的图。

图4是示出第2实施方式的非法访问检测装置中的处理的流程的流程图。

图5是示出应用第3实施方式的非法访问检测装置的系统的概况的结构图。

图6是示出第3实施方式的正文模式(body-text pattern)存储部中存储的信息的
一例的图。

图7是示出第3实施方式的非法访问检测装置中的处理的流程的流程图。

图8是示出第4实施方式的正文模式存储部中存储的信息的一例的图。

图9是示出第4实施方式的非法访问检测装置中的处理的流程的流程图。

图10是示出应用第5实施方式的非法访问检测装置的系统的概况的结构图。

图11是示出第5实施方式的会话信息DB中存储的信息的一例的图。

图12是示出第5实施方式的询问(query)模式存储部中存储的信息的一例的图。

图13是示出第5实施方式的非法访问检测装置中的处理的流程的流程图。

图14是示出应用其他实施方式的非法访问检测装置的系统的概况的结构图。

图15A是示出应用其他实施方式的非法访问检测装置的系统的概况的结构图。

图15B是示出应用其他实施方式的非法访问检测装置的系统的概况的结构图。

图16是示出执行检测程序的计算机的图。

具体实施方式

以下,根据附图详细地说明本申请的检测装置、检测方法以及检测程序的实施方
式。?#36865;猓?#26412;申请的检测装置、检测方法以及检测程序不限于该实施方式。

[第1实施方式]

以下,在第1实施方式中,?#26469;?#35828;明实施方式的非法访问检测装置的结构和处理的
流程,然后,对非法访问检测装置的效果进行说明。

首先,使用图1对非法访问检测装置的结构进行说明。图1是示出应用第1实施方式
的非法访问检测装置的系统的概况的结构图。如图1所示,该系统具有:业务服务器10、DB
(Data base:数据库)20、日志获取装置30、40以及非法访问检测装置50。以下,对这些各部
件的处理进行说明。

业务服务器10例如是提供各种网络业务(以下也简称为业务)的网络·应用服务
器。例如,业务服务器10从用户所操作的终端(未图示)经由因特网5接收请求。该请求例如
是HTTP(Hypertext Transfer Protocol:超文本传输协议)请求或HTTPS(Hypertext
Transfer Protocol Secure:安全超文本传输协议)请求。业务服务器10根据接收到的请求
进行信息处理,向终端应答。

另外,业务服务器10在向终端应答?#20445;?#26681;据需要而发布用于请求数据的检索或更
新、删除等的询问,向DB 20发送。而且,业务服务器10从DB 20接收询问的执行结果,向终端
应答。

DB 20保存与业务服务器10所提供的业务相关的信息。例如,DB 20从业务服务器
10接收询问而执行询问中所描述的处理。而且,DB 20向业务服务器10发送询问的执行结
果。?#36865;猓珼B 20所保持的信息不限于SQL?#38382;劍部?#20197;按照KVS(Key-Value Store:键值存
储)?#38382;?#31649;理。在该情况下,从业务服务器10向DB 20发送的请求被描述为KVS?#38382;?#32780;不是询
问。另外,DB 20是保存装置的一例。

日志获取装置30、40获取并记录与通信相关的日志。例如,日志获取装置30获取并
记?#21152;?#19994;务服务器10经由因特网5所交换的通信的日志。另外,日志获取装置40获取并记录
在业务服务器10与DB 20之间所交换的通信的日志。?#36865;猓?#26085;志获取装置30、40例如通过NTP
(Network Time Protocol:网络时间协议)等进行时刻的同步。另外,在使用HTTPS请求作为
请求的情况下,虽然将请求的正文?#29992;埽?#20294;通过将日志获取装置30作为业务服务器10的反
向代理,而能够在日志获取装置30侧对请求进行解密,因此能够将请求信息发送给非法访
问检测装置50。

另外,日志获取装置30具有请求获取部31,日志获取装置40具有询问获取部41。

请求获取部31获取请求信息,该请求信息是与从终端向业务服务器10发送的请求
相关的信息。而且,请求获取部31将所获取的请求信息发送给非法访问检测装置50。发送给
非法访问检测装置50的请求信息被记录到非法访问检测装置50内部的规定的存储部(未图
示)中。?#36865;猓?#35831;求获取部31是第1获取部的一例。

例如,请求获取部31至少获取业务服务器10接收到请求的接收时刻作为请求信
息。而且,请求获取部31每次获取接收时刻都将所获取的接收时刻发送给非法访问检测装
置50而记录到存储部中。?#36865;猓?#35831;求获取部31不限于请求的接收时刻,?#37096;?#20197;获取请求的正
文或发送?#20174;?#25143;的IP(Internet Protocol:互联网协议)地址而发送给非法访问检测装置
50。

询问获取部41获取询问信息,该询问信息是与从业务服务器10向DB 20发送的询
问相关的信息。而且,询问获取部41将所获取的询问信息发送给非法访问检测装置50。发送
给非法访问检测装置50的询问信息记录在非法访问检测装置50内部的规定的存储部(未图
示)中。?#36865;猓?#35810;问获取部41是第2获取部的一例。

例如,询问获取部41至少获取DB 20接收到询问的接收时刻作为询问信息。而且,
询问获取部41每次获取接收时刻都将所获取的接收时刻发送给非法访问检测装置50而记
录到存储部中。?#36865;猓?#35810;问获取部41不限于询问的接收时刻,?#37096;?#20197;获取询问的正文或发送
源服务器的IP地址而发送给非法访问检测装置50。

非法访问检测装置50对非法访问进行检测。例如,非法访问检测装置50监视从因
特网5到DB 20之间所交换的信息,而检测对DB 20的非法访问。非法访问检测装置50具有检
测部51。

在请求信息与询问信息之间的相关关系不同于正常模式的情况下,检测部51将该
询问检测为对DB 20的非法访问。例如,检测部51对请求的接收时刻与询问的接收时刻进行
比较,如果在询问的接收时刻之前的规定的时间内未接收到请求,则视为不同于正常模式,
将该询问检测为非法访问。

这里,如上所述地检测非法访问是因为作为请求信息与询问信息之间的相关关系
存在如下的正常模式:在该正常模式下,在由业务服务器10发布询问之前业务服务器10接
收到请求。换言之,在尽管未接收到该请求可是DB 20接收到询问的情况下,认为该询问是
非法访问。例如,如果是从请求的接收起直到询问的发送为止的平均时间为0.1秒的业务服
务器10,则在从询问的接收时刻的1秒前到询问的接收时刻为止的1秒钟内接收到请求是正
常模式。在该情况下,如果询问的接收时刻之前的1秒之内未接收到请求,则视为不同于正
常模式,检测部51将该询问检测为非法访问。?#36865;猓?#36825;里对于规定的时间是1秒的情况进行
了说明,但该值可以根据业务服务器10等的性能(或者DB 20的负载状况、网络的?#31561;?#29366;况
等)而由非法访问检测装置50的管理者?#25105;?#35774;定。

接着,使用图2对非法访问检测装置50中的处理的流程进行说明。图2是示出第1实
施方式的非法访问检测装置中的处理的流程的流程图。

如图2所示,当到达处理时机时(步骤S101,是),非法访问检测装置50的检测部51
开始进行处理。例如,检测部51以从日志获取装置40获取询问为契机而开始进行处理。此
外,检测部51处于待机状态,直至到达处理时机为止(步骤S101,否)。

接着,检测部51判定在询问的接收时刻之前的规定的时间内是否接收到请求(步
骤S102)。例如,如果DB 20接收到的询问的接收时刻是8时22分10秒,则检测部51判定从8时
22分9秒到10秒之内业务服务器10是否接收到请求。这里,当在询问的接收时刻之前的规定
的时间内接收到请求的情况下(步骤S102,是),检测部51判定为该询问不是非法访问(步骤
S103)。

另一方面,当在询问的接收时刻之前的规定的时间内未接收到请求的情况下(步
骤S102,否),检测部51判定为该询问是非法访问(步骤S104)。

?#36865;猓?#22270;2的例子仅是一例。例如,检测部51?#37096;?#20197;按照规定的间隔(例如,1秒间
隔)开始进行图2的处理。在该情况下,对于从上次的处理结束后到当前(本次的处理开始时
刻)为止所获取的所有的询问,执行上述的处理(步骤S102~S104)。

第1实施方式的非法访问检测装置50获取与从终端向业务服务器10发送的请求相
关的请求信息。而且,非法访问检测装置50获取与从业务服务器10向DB 20发送的询问相关
的询问信息。而且,在请求信息与询问信息之间的相关关系不同于发布询问的请求的正常
模式的情况下,非法访问检测装置50将该询问检测为对DB 20的非法访问。因此,非法访问
检测装置50能够检测通过来自攻击者的攻击而从服务器对数据库进行的非法访问。

图3是用于对第1实施方式的非法访问检测装置的效果进行说明的图。如图3所示,
通过零时差攻击而对服务器的远程操作成功的攻击者对业务服务器10进行远程操作,而通
过(1)、向DB 20发布询问,而(2)、对DB 20中存储的信息进行收集·篡改。这里,如果是通常
情况,则用户向业务服务器10发送请求,通过(3)、向DB 20发布询问,而(4)、访问DB 20中存
储的信息。第1实施方式的非法访问检测装置50根据该通常情况下的请求与询问之间的相
关关系、即正常模式,判定该询问是否正常。因此,非法访问检测装置50也能够应对零时差
攻击。例如,即使通过了WAF的攻击者使业务服务器10发布非法询问,如果该询问不是基于
来自用户的请求,则也能够检测为非法访问。另外,?#37096;?#20197;通过公知的方法自动/手动地调
查检测时刻周边的访问日志而确定攻击者。

另外,例如第1实施方式的非法访问检测装置50从与业务服务器10不同的独立的
日志获取装置30、40获取请求信息和询问信息。由此,即使在业务服务器10被未知的攻击者
入侵的情况下,也能够获取请求信息和询问信息,因此能够检测非法访问。

[第2实施方式]

在上述的第1实施方式中,对于根据在询问的接收时刻之前的规定的时间内接收
到请求这样的正常模式而检测非法访问的情况进行了说明,但实施方式不限于此。例如,对
于应用非法访问检测装置50的系统而?#35029;?#23384;在具有如下的模式的情况:规定的期间内的询
问的个数相对于请求的个数的比率大致恒定。在将非法访问检测装置50应用于这样的系统
的情况下,非法访问检测装置50?#37096;?#20197;将该模式作为正常模式而检测非法访问。因此,在第
2实施方式中,对如下的情况进行说明:如果规定的期间内的询问的个数相对于请求的个数
的比?#39135;?#36807;阈值,则非法访问检测装置50将这些询问检测为非法访问。

第2实施方式的非法访问检测装置50具有与图1所示的非法访问检测装置50相同
的结构,但检测部51中的处理的一部分不同。?#36865;猓?#22312;第2实施方式中,以与第1实施方式的
不同点为中心进行说明,关于与第1实施方式中所说明的结构相同的功能的方面,省?#36816;?br />明。

第2实施方式的检测部51分别对在规定的期间内接收到的请求的个数和询问的个
数进行计数,如果询问的个数相对于请求的个数的比?#39135;?#36807;规定的阈值,则视为不同于正
常模式,将这些询问检测为非法访问。

这里,如上所述地检测非法访问是因为对于系统而言作为请求信息与询问信息之
间的相关关系存在如下的正常模式:规定的期间内的询问的个数相对于请求的个数的比率
(以下也记为询问发布率)大致恒定。换言之,在询问的个数相对于同一期间内的请求的个
数过多的情况下,认为在这些询问中包含非法访问。例如,在询问发布率为0.1左右(相对于
10个请求发布1个询问)的业务服务器10中,如果存在询问发布?#35797;?#21152;到0.3左右的期间,则
视为不同于正常模式,检测部51检测为在该期间内所发布的询问中存在基于非法访问的询
问。?#36865;猓?#36825;里对于阈值为0.3的情况进行了说明,但该值可以由非法访问检测装置50的管
理者?#25105;?#35774;定。

接着,使用图4对于第2实施方式的非法访问检测装置50中的处理的流程进行说
明。图4是示出第2实施方式的非法访问检测装置中的处理的流程的流程图。

如图4所示,当到达处理时机时(步骤S201,是),非法访问检测装置50的检测部51
开始进行处理。例如,检测部51按照规定的间隔(例如,1秒间隔)开始进行处理。?#36865;猓?#26816;测
部51处于待机状态,直至到达处理时机为止(步骤S201,否)。

接着,检测部51分别对在规定的期间内接收到的请求的个数和询问的个数进行计
数(步骤S202)。例如,检测部51分别对在紧接着的前1秒钟内业务服务器10接收到的请求的
个数和在相同的时间内DB 20接收到的询问的个数进行计数。

而且,检测部51判定规定的期间内的询问发布率是否小于阈值(步骤S203)。例如,
如果在步骤S202中所计数的请求的个数为“100”、询问的个数为“50?#20445;?#21017;检测部51将询问发
布率计算为“0.5”。而且,检测部51判定计算出的询问发布率“0.5”是否小于阈值。这里,在
规定的期间内的询问发布率小于阈值的情况下(步骤S203,是),检测部51判定为该期间的
询问不是非法访问(步骤S204)。

另一方面,在规定的期间内的询问发布率为阈值以上的情况下(步骤S203,否),检
测部51判定为该期间的询问是非法访问(步骤S205)。

?#36865;猓?#22270;4的例子仅是一例。例如,开始进行处理的间隔、对请求和询问进行计数的
期间、阈值?#37096;?#20197;由非法访问检测装置50的管理者适当变更。

第2实施方式的非法访问检测装置50分别对在规定的期间内接收到的请求的个数
和询问的个数进行计数,如果询问的个数相对于请求的个数的比?#39135;?#36807;规定的阈值,则视
为不同于正常模式,检测为在这些询问中存在基于非法访问的询问。因此,非法访问检测装
置50能够检测通过来自攻击者的攻击而从服务器对数据库进行的非法访问。例如,非法访
问检测装置50在1秒钟内接收100个请求这样的大规模的系?#25345;?#20063;能够检测非法询问。

[第3实施方式]

另外,例如非法访问检测装置50?#37096;?#20197;根据如下的正常模式来检测非法访问:在
该正常模式下,发布与请求的正文模式对应的正文模式的询问。

图5是示出应用第3实施方式的非法访问检测装置的系统的概况的结构图。第3实
施方式的非法访问检测装置50具有与图1所示的非法访问检测装置50基本相同的结构,但
不同点在于,请求获取部31、询问获取部41以及检测部51中的处理的一部分和具有正文模
式存储部52。?#36865;猓?#22312;第3实施方式中,以与第1实施方式的不同点为中心进行说明,关于与
第1实施方式中所说明的结构相同的功能的方面,对于图5的各结构要素标注与图1相同的
标号并省?#36816;?#26126;。

第3实施方式的请求获取部31至少获取请求的接收时刻和请求的正文作为请求信
息而发送给非法访问检测装置50。

第3实施方式的询问获取部41至少获取询问的接收时刻和询问的正文作为询问信
息而发送给非法访问检测装置50。

第3实施方式的正文模式存储部52存储将请求的正文模式与询问的正文模式关联
起来而得到的信息。这里,请求的正文模式是将请求的?#22336;?#20018;中的根据登录用的请求或数
据登记用的请求等请求的种类而预先决定的部分的?#22336;?#20018;模式化而得到的。另外,询问的
正文模式是在业务服务器10接收到对应的请求的情况下将从业务服务器10向DB 20发送的
询问的?#22336;?#20018;中的根据请求的种类而预先决定的部分的?#22336;?#20018;模式化而得到的。?#36865;猓?#27491;
文模式存储部52中存储的信息由非法访问检测装置50的管理者预先登记。

图6是示出第3实施方式的正文模式存储部中存储的信息的一例的图。如图6所示,
正文模式存储部52例如存储将询问的正文模式“SELECT*FROM user WHERE id=?AND
pass=?”和请求的正文模式“URL=“http://www.xxx.co.jp/login.jsp””关联起来而得到
的信息。?#36865;猓?#22312;图6中,“?”是?#25105;?#30340;?#22336;?#20018;。

第3实施方式的检测部51参照正文模式存储部52,如果在该询问的接收时刻之前
的规定的时间内未接收到与询问获取部41所获取的询问的正文模式对应的正文模式的请
求,则视为不同于正常模式,将该询问检测为非法访问。

这里,如上所述地检测非法访问是因为作为请求信息与询问信息之间的相关关系
存在如下的正常模式:在该正常模式下,发布与请求的正文模式对应的正文模式的询问,例
如如同在接收到登录用的请求时发布登录?#29616;?#29992;的询问。换言之,如果业务服务器10未接
收到与向DB 20发送的询问的正文模式对应的正文模式的请求,则认为该询问是非法访问。
例如,即使在询问的接收时刻之前的1秒之内接收到请求,在这些正文模式不对应的情况
下,也视为不同于正常模式,检测部51将该询问检测为非法访问。

接着,使用图7对第3实施方式的非法访问检测装置50中的处理的流程进行说明。
图7是示出第3实施方式的非法访问检测装置中的处理的流程的流程图。

如图7所示,当到达处理时机时(步骤S301,是),非法访问检测装置50的检测部51
开始进行处理。例如,检测部51以从日志获取装置40获取询问为契机开始进行处理。?#36865;猓?br />检测部51处于待机状态,直至到达处理时机为止(步骤S301,否)。

接着,检测部51判定在询问的接收时刻之前的规定的时间内是否接收到与所获取
的询问的正文模式对应的正文模式的请求(步骤S302)。例如,如果在8时22分10秒接收到登
录?#29616;?#29992;的询问,则检测部51判定从8时22分9秒到10秒之内业务服务器10是否接收到登录
用的请求。这里,在接收到相应请求的情况下(步骤S302,是),检测部51判定为所获取的询
问不是非法访问(步骤S303)。

另一方面,在未接收到相应请求的情况下(步骤S302,否),检测部51判定为所获取
的询问是非法访问(步骤S304)。

?#36865;猓?#22270;7的例子仅是一例。例如,检测部51?#37096;?#20197;按照规定的间隔(例如,1秒间
隔)开始进行图7的处理。在该情况下,对于从上次的处理结束后到当前(本?#26410;?#29702;开始时
刻)为止所获取的所有的询问,执行上述的处理(步骤S302~S304)。

如果在该询问的接收时刻之前的规定的时间内未接收到与询问获取部41所获取
的询问的正文模式对应的正文模式的请求,则视为不同于正常模式,第3实施方式的非法访
问检测装置50将该询问检测为非法访问。因此,非法访问检测装置50能够检测通过来自攻
击者的攻击而从服务器对数据库进行的非法访问。

例如,即使在询问的接收时刻之前的1秒之内接收到请求,在这些正文模式不对应
的情况下,也视为不同于正常模式,非法访问检测装置50将该询问检测为非法访问。因此,
非法访问检测装置50能够准确地检测非法访问。

[第4实施方式]

在上述的第2实施方式中,对于如果规定的期间内的询问的个数相对于请求的个
数的比?#39135;?#36807;阈值则检测为在这些询问中存在非法访问的情况进行了说明,但实施方式不
限于此。例如,非法访问检测装置50?#37096;?#20197;进一步使用请求和询问的正文模式来检测非法
访问。

第4实施方式的非法访问检测装置50具有与图5所示的非法访问检测装置50相同
的结构,但正文模式存储部52中存储的信息的一部分和检测部51中的处理的一部分不同。
?#36865;猓?#22312;第4实施方式中,以与第3实施方式的不同点为中心进行说明,关于具有与第3实施
方式中所说明的结构相同的功能的方面,省?#36816;?#26126;。

第4实施方式的正文模式存储部52存储将请求的正文模式、询问的正文模式和阈
值关联起来而得到的信息。阈值例如是根据询问发布?#35782;?#20915;定的值。

图8是示出第4实施方式的正文模式存储部中存储的信息的一例的图。如图8所示,
正文模式存储部52例如存储将询问的正文模式“SELECT*FROM user WHERE id=?AND
pass=?”、请求的正文模式“URL=“http://www.xxx.co.jp/login.jsp””以及询问发布率
的阈值“0.2”关联起来而得到的信息。?#36865;猓?#22312;图8中,“?”是?#25105;?#30340;?#22336;?#20018;。

第4实施方式的检测部51参照正文模式存储部52,分别对在规定的期间内接收到
的规定的正文模式的询问的个数和在相同的期间内接收到的与规定的正文模式对应的请
求的个数进行计数。而且,如果询问的个数相对于请求的个数的比率(询问发布率)超过与
规定的正文模式对应的阈值,则视为不同于正常模式,检测部51将该期间内所包含的询问
检测为非法访问。

这里,如上所述地检测非法访问是因为即使在规定的期间内的询问发布率符合正
常模式的情况下这些期间的询问也未必不是非法访问。例如,即使进行了非法访问,如果在
该期间内不伴随着询问发布的请求增加,则认为表观的询问发布率无法看出显著的变化。
因此,在第4实施方式中,除了询问发布率的正常模式之外,还考虑请求和询问的正文模式
的正常模式,从而能够准确地检测非法访问。?#36865;猓?#22914;在第2实施方式中说明的那样,询问发
布率的阈值可以由非法访问检测装置50的管理者?#25105;?#22320;设定。

接着,使用图9对第4实施方式的非法访问检测装置50中的处理的流程进行说明。
图9是示出第4实施方式的非法访问检测装置中的处理的流程的流程图。

如图9所示,当到达处理时机时(步骤S401,是),非法访问检测装置50的检测部51
开始进行处理。例如,检测部51按照规定的间隔(例如,1秒间隔)开始进行处理。?#36865;猓?#26816;测
部51处于待机状态,直至到达处理时机为止(步骤S401,否)。

接着,检测部51分别对在规定的期间内接收到的各正文模式的请求的个数和在规
定的期间内接收到的各正文模式的询问的个数进行计数(步骤S402)。例如,检测部51分别
对在紧接着的前1秒钟内由业务服务器10接收到的登录用的请求的个数和在相同的时间内
由DB 20接收到的登录?#29616;?#29992;的询问的个数进行计数。

而且,检测部51判定规定的期间内的各正文模式的询问发布率是否小于阈值(步
骤S403)。例如,如果在步骤S402中所计数的请求的个数为“10”、询问的个数为“5?#20445;?#21017;检测
部51计算出询问发布率为“0.5”。而且,检测部51判定计算出的询问发布率“0.5”是否小于
阈值。这里,在规定的期间内的各正文模式的询问发布率小于阈值的情况下(步骤S403,
是),检测部51判定为该期间的询问不是非法访问(步骤S404)。

另一方面,在规定的期间内的各正文模式的询问发布率为阈值以上的情况下(步
骤S403,否),检测部51判定为该期间内的该正文模式的询问是非法访问(步骤S405)。

?#36865;猓?#22270;9的例子仅是一例。例如,开始进行处理的间隔、对请求和询问进行计数的
期间、阈值?#37096;?#20197;由非法访问检测装置50的管理者适当变更。

第4实施方式的非法访问检测装置50参照正文模式存储部52,分别对在规定的期
间内接收到的规定的正文模式的询问的个数和在相同的期间内接收到的与规定的正文模
式对应的请求的个数进行计数。而且,如果询问的个数相对于请求的个数的比率(询问发布
率)超过与规定的正文模式对应的阈值,则视为不同于正常模式,检测部51将该期间内所包
含的询问检测为非法访问。因此,非法访问检测装置50能够检测对DB 20的未知的非法访
问。例如,非法访问检测装置50在1秒钟内接收100个请求这样的大规模的系?#25345;?#20063;能够准
确地检测非法询问。

[第5实施方式]

在第5实施方式中,对于使用与业务服务器10实际连接的用户终端的信息来检测
非法访问的情况进行说明。

图10是示出应用第5实施方式的非法访问检测装置的系统的概况的结构图。应用
第5实施方式的非法访问检测装置50的系统与图1所示的非法访问检测装置50具有基本相
同的结构,但不同点在于,请求获取部31、询问获取部41以及检测部51中的处理的一部分以
及具有询问模式存储部53和会话信息DB 60。?#36865;猓?#22312;第5实施方式中,以与第1实施方式的
不同点为中心进行说明,关于具有与第1实施方式中所说明的结构相同的功能的方面,对于
图10的各结构要素标注与图1相同的标号并省?#36816;?#26126;。

第5实施方式的请求获取部31至少获取请求的接收时刻和请求的正文作为请求信
息而发送给非法访问检测装置50。

第5实施方式的询问获取部41至少获取询问的接收时刻和询问的正文作为询问信
息而发送给非法访问检测装置50。

第5实施方式的会话信息DB 60存储与业务服务器10所连接的用户终端相关的信
息。例如,会话信息DB 60存储将会话ID和用户ID关联起来而得到的信息。会话ID是用于识
别与业务服务器10连接的终端的信息。另外,用户ID是用于识别利用业务服务器10所提供
的业务的用户的信息。

图11是示出第5实施方式的会话信息DB中存储的信息的一例的图。如图11所示,会
话信息DB 60例如存储将会话ID“31a9eab98d33bb24c”和用户ID“suzuki_taro”关联起来
而得到的信息。?#36865;猓?#20851;于会话信息DB 60中存储的信息,例如当在用户终端与业务服务器
10之间建立会话时由业务服务器10登记。

第5实施方式的询问模式存储部53存储将询问的正文模式与存储用户ID的变量名
关联起来而得到的信息。存储用户ID的变量名是表示在对应的正文模式的询问中描述有用
户ID的部位的信息。

图12是示出第5实施方式的询问模式存储部中存储的信息的一例的图。如图12所
示,询问模式存储部53例如存储将询问的正文模式“SELECT?FROM userWHERE id=?”和存
储用户ID的变量名“id”关联起来而得到的信息。?#36865;猓?#35810;问模式存储部53中存储的信息例
如由非法访问检测装置50的管理者预先登记。另外,在图12中,“?”是?#25105;?#30340;?#22336;?#20018;。

第5实施方式的检测部51根据询问所包含的用户ID来确定会话ID,如果在该询问
的接收时刻之前的规定的时间内未接收到包含所确定的会话ID的请求,则视为不同于正常
模式,将该询问检测为非法访问。

这里,如上所述地检测非法访问是因为作为请求信息与询问信息之间的相关关系
存在如下的正常模式:在该正常模式下,根据询问而确定的用户的会话ID与为了发布该询
问而发送的请求所包含的会话ID一致。由此,检测部51能够更可靠地检测非法访问。?#36865;猓?br />通常情况下,会话ID在HTTP请求的正文中记载于小型文本文件(cookie)或者URL(Uniform
Resource Locator?#21644;?#19968;资源定位符)部。

接着,使用图13对第5实施方式的非法访问检测装置50中的处理的流程进行说明。
图13示出第5实施方式的非法访问检测装置中的处理的流程的流程图。?#36865;猓?#22312;图13的例子
中,对于所获取的询问的正文是“SELECT creditcard FROM user WHERE id=suzuki_
taro”的情况进行说明。

如图13所示,当到达处理时机时(步骤S501,是),非法访问检测装置50的检测部51
开始进行处理。例如,检测部51按照规定的间隔(例如,1秒间隔)开始进行处理。?#36865;猓?#26816;测
部51处于待机状态,直至到达处理时机为止(步骤S501,否)。

接着,检测部51参照询问模式存储部53,从所获取的询问中提取用户ID(步骤
S502)。例如,检测部51参照询问模式存储部53,确定与所获取的询问的正文对应的正文模
式。这里,由于接收到的询问的正文是“SELECT creditcard FROM user WHERE id=
suzuki_taro?#20445;?#22240;此检测部51确定“SELECT?FROM user WHERE id=?”作为询问的正文模
式。接着,检测部51获取与所确定的正文模式对应的存储用户ID的变量名。在图12所示的例
子中,由于存储与询问的正文模式“SELECT?FROM user WHERE id=?”对应的用户ID的变量
名是“id?#20445;?#22240;此检测部51获取“id”。而且,检测部51使用所获取的存储用户ID的变量名而从
询问的正文中提取用户ID。在询问的正文中,由于“id”中所描述的内容是“suzuki_taro?#20445;?br />因此检测部51从询问的正文中提取“suzuki_taro”作为用户ID。

接着,检测部51参照会话信息DB,获取与用户ID对应的会话ID(步骤S503)。例如,
检测部51参照会话信息DB 60,获取与在步骤S502中提取出的用户ID“suzuki_taro”对应
的会话ID“31a9eab98d33bb24c”。

而且,检测部51判定在询问的接收时刻之前的规定的时间内是否接收到包含会话
ID的请求(步骤S504)。例如,如果DB 20接收到的询问的接收时刻为8时22分10秒,则检测部
51判定从8时22分9秒到10秒之内业务服务器10是否接收到包含会话ID
“31a9eab98d33bb24c”的请求。这里,当在询问的接收时刻之前的规定的时间内接收到该请
求的情况下(步骤S504,是),检测部51判定为该询问不是非法访问(步骤S505)。

另一方面,当在询问的接收时刻之前的规定的时间内未接收到相应请求的情况下
(步骤S504,否),检测部51判定为该询问是非法访问(步骤S506)。

?#36865;猓?#22270;13的例子仅是一例。例如,检测部51?#37096;?#20197;以从日志获取装置40获取询问
为契机而开始进行图13的处理。

第5实施方式的非法访问检测装置50使用与业务服务器10实际连接的用户终端的
信息来检测非法访问。因此,非法访问检测装置50能够更可靠地检测非法访问。例如,即使
是1秒钟1000个请求这样的大规模的系?#24120;?#38750;法访问检测装置50也能够高精度地检测非法
访问。

[其他实施方式]

?#36865;猓?#22312;此之前对本发明的实施方式进行了说明,但本发明除了上述的实施方式
以外,还可以通过各种不同的方式?#35789;?#26045;。

[对于负载均衡装置的应用]

例如,在上述的第1~第5实施方式中,对于业务服务器10单独地发挥功能的情况
进行了说明,但在配置有多个业务服务器10而实现负载均衡的情况下?#37096;?#20197;应用。

图14是示出应用其他实施方式的非法访问检测装置的系统的概况的结构图。如图
14所示,在该系?#25345;校?#20026;了提供业务而具有3个业务服务器10A、10B、10C。

在该情况下,日志获取装置30作为LB(Load Balancer:负载均衡器)发挥功能。例
如,日志获取装置30在将从用户终端发送来的请求转发给业务服务器10A、10B、10C中的任
意业务服务器的情况下,在参照了各业务服务器10A、10B、10C的负载状况之后,转发给负载
较少的业务服务器。而且,请求获取部31还获取请求的发送目的地的业务服务器的地址作
为请求信息而发送给非法访问检测装置50。另外,询问获取部41还获取询问的发送源的业
务服务器的地址作为询问信息而发送给非法访问检测装置50。

而且,检测部51对于每个所获取的请求和询问的地址,进行检测非法访问的处理。
例如,如果所获取的询问的发送源是业务服务器10A,则检测部51判定发送目的地的地址是
业务服务器10A的请求是否包含在该询问的接收时刻之前的规定的时间内。换言之,如果所
获取的询问的发送源是业务服务器10A,则检测部51不将发送目的地的地址是业务服务器
10B、10C的请求作为处理对象,而进行非法访问的检测处理。因此,非法访问检测装置50能
够更准确地检测未知的非法访问。

这样,在存在多个业务服务器10的情况下,按照每个代理服务器将对DB 20的询问
与请求的对应关系进行分类,从而能够提高检测性能。例如,在应用于上述的第1、3、5实施
方式的情况下,在由日志获取装置30分配了请求的业务服务器与发布了询问的业务服务器
不同的情况下,能够检测到非法访问。另外,在应用于第2、4实施方式的情况下,由日志获取
装置30分配的对于某业务服务器的HTTP请求的个数与来自该业务服务器的询问的发布数
的比例在每个业务服务器中大不相同,因而能够检测到非法访问。特别是?#22791;?#27604;例在一部
分的业务服务器中突出的情况下,能够检测出该业务服务器被入侵而发布了非法询问的可
能性高。

[系统结构等]

另外,图示的各装置的各结构要素是功能概念性的,并不一定在物理上如图示那
样构成。即,各装置的分散·整合的具体的方式不限于图示的内容,能够根据各种负载或使
用状况等按照?#25105;?#30340;单位在功能上或者物理上将其全部或者一部分分散·整合而构成。此
外,关于各装置所进行的各处理功能,其全部或者?#25105;?#30340;一部分可以通过CPU和由该CPU解
析执行的程序?#35789;?#29616;、或者可以作为基于线路逻辑的硬件而实现。

图15A和图15B是示出应用其他实施方式的非法访问检测装置的系统的概况的结
构图。例如,如图15A所示,非法访问检测装置50除了检测部51之外还可以具有请求获取部
31和询问获取部41。在该情况下,请求获取部31从业务服务器10获取请求信息,询问获取部
41从DB 20获取询问信息。

另外,例如如图15B所示,非法访问检测装置50?#37096;?#20197;构成为对业务服务器10与因
特网5之间以及业务服务器10与DB 20之间的通信进行中继。换言之,业务服务器10和DB 20
经由非法访问检测装置50与因特网5连接。

?#36865;猓?#22270;15A和图15B的例子仅是一例。例如,请求获取部31、询问获取部41以及检
测部51?#37096;?#20197;不是配备于一个装置,而这些部件中的?#25105;?#37096;件可以作为另一装置而分离构
成。作为一例,请求获取部31?#37096;?#20197;构成为作为与非法访问检测装置50不同的装置(例如,
作为图1的日志获取装置30)对业务服务器10与因特网5之间的通信进行中继。在该情况下,
非法访问检测装置50具有询问获取部41和检测部51。这样,对于请求获取部31、询问获取部
41以及检测部51,?#37096;?#20197;?#25105;?#22320;组合而构成。

另外,本实施方式中所说明的各处理中的作为自动地进行的处理进行说明的处理
的全部或者一部分?#37096;?#20197;手动地进行、或者作为手动地进行的处理进行说明的处理的全部
或者一部分?#37096;?#20197;通过公知的方法自动地进行。除此之外,关于上述文档中或附图中所示
的处理步骤、控制步骤、具体的名称、包含各种数据或?#38382;?#30340;信息,除了特别说明的情况之
外可以?#25105;?#21464;更。

[程序]

另外,对于上述实施方式中所说明的检测装置所执行的处理,?#37096;?#20197;创建由计算
机可执行的语言来描述的程序。例如,对于实施方式的检测装置所执行的处理,?#37096;?#20197;创建
由计算机可执行的语言来描述的检测程序。在该情况下,计算机执行检测程序,由此能够得
到与上述实施方式相同的效果。?#36865;猓部?#20197;将该检测程序记录在计算机可读取的记录介
质中,使计算机读入并执行该记录介质中所记录的检测程序,由此实现与上述实施方式相
同的处理。以下,对于执行检测程序的计算机的一例进行说明,该检测程序实现与图1所示
的检测装置相同的功能。

图16是示出执行检测程序的计算机的图。如图16所例示,计算机1000例如具有:存
储器1010、CPU 1020、硬盘驱动器接口1030、盘驱动器接口1040以及网络接口1070,这些各
部件由总线1080连接。

如图16所例示,存储器1010包含ROM(Read Only Memory:只读存储器)1011和RAM
(Random Access Memory:随机存取存储器)1012。ROM 1011例如存储BIOS(Basic Input
Output System:基本输入输出系统)等引导程序。如图16所例示,硬盘驱动器接口1030与硬
盘驱动器1031连接。如图16所例示,盘驱动器接口1040与盘驱动器1041连接。例如磁盘或光
盘等可装卸的存储介质插入于盘驱动器。

这里,如图16所例示,硬盘驱动器1031例如存储OS 1091,应用程序1092、程序模块
1093以及程序数据1094。即,上述的检测程序作为描述有计算机1000所执行的指令的程序
模块而存储于例如硬盘驱动器1031中。

另外,在上述实施方式中所说明的各种数据作为程序数据存储于例如存储器1010
或硬盘驱动器1031中。而且,CPU 1020根据需要而将存储器1010或硬盘驱动器1031中存储
的程序模块1093或程序数据1094读出到RAM 1012,来执行各步骤。

?#36865;猓?#26816;测程序的程序模块1093或程序数据1094不限于存储于硬盘驱动器1031中
的情况,例如?#37096;?#20197;存储于可装卸的存储介质中而经由盘驱动器等由CPU1020读出。或者,
检测程序的程序模块1093或程序数据1094?#37096;?#20197;存储于经由网络(LAN(Local Area
Network:局域网)、WAN(Wide Area Network:广域网)等)连接的其他计算机中而经由网络
接口1070由CPU 1020读出。

这些实施方式或其变?#20255;?#21547;于本申请所公开的技术中,同样地包含于权利要求书
所记载的发明及其均等的?#27573;?#20869;。

标号说明

5:因特网;10:业务服务器;20:DB;30、40:日志获取装置;31:请求获取部;41:询问
获取部;50:非法访问检测装置;51:检测部。

关于本文
本文标题:检测装置、检测方法以及检测程序.pdf
链接地址:http://www.pqiex.tw/p-6091868.html
关于我们 - 网站声明 - 网?#38236;?#22270; - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
平码五不中公式规律 湖北11选5软件安装 福建十一选五在线计划 pk10九码滚雪球一个月 澳洲幸运8走势 排列三已出号码和未出号码查询 pk10北京赛车官网 双色球红球复式投注奖金计算表 山东群英会走势图表乐乐 官方网上棋牌 股票涨跌知识