本發(fā)明是涉及網(wǎng)絡(luò)安全的技術(shù)，尤其涉及對(duì)Web服務(wù)器和Web應(yīng)用進(jìn)行攻擊的訪(fǎng)問(wèn)分析訪(fǎng)問(wèn)并進(jìn)行檢測(cè)的技術(shù)。

背景技術(shù)：

使用了Web的系統(tǒng)以EC(Electronic Commerce：電子商務(wù))為代表利用于社會(huì)的各種場(chǎng)合中。但是，因?yàn)檫@樣的系統(tǒng)是一般的使用者所使用的平臺(tái)，因此Web服務(wù)器經(jīng)常暴露于攻擊的危險(xiǎn)性中。從而正在研討各種對(duì)攻擊Web服務(wù)器的訪(fǎng)問(wèn)進(jìn)行檢測(cè)的方法。

作為檢測(cè)攻擊的方式，一般是在WAF(Web Application Firewall：Web應(yīng)用防火墻)中對(duì)訪(fǎng)問(wèn)內(nèi)容進(jìn)行分析的方式和對(duì)殘留在Web服務(wù)器或應(yīng)用服務(wù)器中的日志進(jìn)行分析的方式。在攻擊檢測(cè)方法中，公知有簽名(signature)型和異態(tài)(anomaly)型2種檢測(cè)方法。

圖17是用于說(shuō)明以往的攻擊檢測(cè)方法的圖。圖17的(a)是示出簽名型的攻擊檢測(cè)方法的圖，圖17的(b)是示出異態(tài)型的攻擊檢測(cè)方法的圖。

如圖17的(a)所示，簽名型是從攻擊代碼中提取能夠判定攻擊的部分且檢測(cè)與模式(pattern)一致的請(qǐng)求作為攻擊的檢測(cè)方法。因?yàn)樵赪ebAP(Web Application：Web應(yīng)用)中存在的漏洞增加，因此通過(guò)對(duì)每1個(gè)漏洞采取對(duì)策的簽名型檢測(cè)難以防止攻擊。因此，正在進(jìn)行針對(duì)異態(tài)檢測(cè)的研究，在該異態(tài)檢測(cè)中，對(duì)WebAP根據(jù)通常請(qǐng)求生成簡(jiǎn)檔(profile)來(lái)檢測(cè)異常。

如圖17的(b)所示，異態(tài)型根據(jù)正常的請(qǐng)求生成簡(jiǎn)檔，且計(jì)算與簡(jiǎn)檔之間的相似度，檢測(cè)不同的請(qǐng)求作為異常(參照非專(zhuān)利文獻(xiàn)1和2)。以下將生成簡(jiǎn)檔的處理稱(chēng)為學(xué)習(xí)處理，將使用簡(jiǎn)檔來(lái)判定分析對(duì)象的請(qǐng)求是否是攻擊的處理稱(chēng)為檢測(cè)處理。

在非專(zhuān)利文獻(xiàn)1和2所公開(kāi)的方法中，基于WebAP的路徑部，對(duì)該路徑部所具有的參數(shù)生成具有一些特征量的簡(jiǎn)檔。說(shuō)明簡(jiǎn)檔的生成方法。

在此，僅僅考慮被認(rèn)為對(duì)檢測(cè)結(jié)果帶來(lái)的影響大的字符串的結(jié)構(gòu)和字符串的類(lèi)(class)的特征量。圖18是用于說(shuō)明簡(jiǎn)檔的特征量的圖。

將以字符串的結(jié)構(gòu)為特征量的情況作為以往技術(shù)1，將以字符串的類(lèi)為特征量的情況作為以往技術(shù)2，并對(duì)這些技術(shù)進(jìn)行簡(jiǎn)單說(shuō)明。

首先，說(shuō)明以往技術(shù)1的以字符串結(jié)構(gòu)為特征量的簡(jiǎn)檔生成方法。圖19是用于說(shuō)明以往技術(shù)1的狀態(tài)遷移模型的生成方法的圖。

學(xué)習(xí)處理的步驟為如下。

(步驟1)以所出現(xiàn)的字符作為狀態(tài)，生成列舉了全部參數(shù)值的狀態(tài)遷移模型。

(步驟2)從初始狀態(tài)(s)起結(jié)合相同的狀態(tài)，并直到無(wú)法結(jié)合為止進(jìn)行重復(fù)，并將所完成的狀態(tài)遷移模型作為簡(jiǎn)檔(關(guān)于狀態(tài)遷移模型的生成方法，參照非專(zhuān)利文獻(xiàn)3)。

此外，當(dāng)創(chuàng)建模型時(shí)必須考慮狀態(tài)遷移的概率，但在以往技術(shù)1中，檢測(cè)時(shí)并沒(méi)有考慮概率，因此可以認(rèn)為等同于生成未考慮遷移概率的模型。

在檢測(cè)處理中，如果字符串不能從簡(jiǎn)檔(狀態(tài)遷移模型)輸出則判定為異常。

接著，說(shuō)明以往技術(shù)2的以字符串型為特征量的簡(jiǎn)檔生成方法。圖20是用于說(shuō)明以往技術(shù)2的異常判定方法的圖。

學(xué)習(xí)處理的步驟為如下。

(步驟1)預(yù)先定義字符串類(lèi)(關(guān)于定義方法的一例，參照非專(zhuān)利文獻(xiàn)4)。

(步驟2)對(duì)參數(shù)值整體判定是否符合該類(lèi)，并將符合的類(lèi)作為針對(duì)該參數(shù)的簡(jiǎn)檔保持該類(lèi)名。

在檢測(cè)處理中，將參數(shù)值整體轉(zhuǎn)換成類(lèi)，在該類(lèi)與簡(jiǎn)檔的類(lèi)不一致的情況下判定為異常。

現(xiàn)有技術(shù)文獻(xiàn)

非專(zhuān)利文獻(xiàn)

非專(zhuān)利文獻(xiàn)1：Kruegel,Christopher,and Giovanni Vigna,"Anomaly Detection of Web-based Attacks",Proceedings of the 10th ACM conference on Computer and communications security,ACM,2003.

非專(zhuān)利文獻(xiàn)2：ModSecurity,SpiderLabs，インターネット＜URL：http://blog.spiderlabs.com/2011/02/modsecurity-dvanced-topic-of-the-week-real-time-application-profiling.html＞,2012

非專(zhuān)利文獻(xiàn)3：Stolcke,Andreas,and Stephen Omohundro,"Hidden Markov model induction by Bayesian model merging",Advances in neural information processing systems(1993):11-11.

非專(zhuān)利文獻(xiàn)4：OWSP Validation Regex Repository，[平成26年5月26日檢索],因特網(wǎng)＜URL：https://www.owasp.org/index.php/OWASP_Validation_Regex_Repository＞

技術(shù)實(shí)現(xiàn)要素：

發(fā)明要解決的課題

參照?qǐng)D21說(shuō)明以往技術(shù)的課題。

在以往技術(shù)1中存在如下問(wèn)題：如圖21的“課題1”所示，因?yàn)閷⒃趯W(xué)習(xí)數(shù)據(jù)中出現(xiàn)的各字符作為狀態(tài)來(lái)生成狀態(tài)遷移模型，因此在不存于學(xué)習(xí)數(shù)據(jù)中的數(shù)據(jù)(學(xué)習(xí)數(shù)據(jù)少的情況)中發(fā)生很多誤檢測(cè)。

在以往技術(shù)2中存在如下問(wèn)題：如圖21的“課題2”所示，因?yàn)閷?duì)1個(gè)參數(shù)僅生成1個(gè)字符串類(lèi)，因此在具有復(fù)雜的結(jié)構(gòu)的參數(shù)(例如，將多個(gè)預(yù)先定義的字符串類(lèi)連接、復(fù)合的參數(shù))的情況下無(wú)法生成簡(jiǎn)檔。

另外，在以往技術(shù)2中存在如下問(wèn)題：如圖21的“課題3”所示，當(dāng)人觀(guān)察時(shí)知道是類(lèi)似的，但嚴(yán)格來(lái)說(shuō)具有不同的形式，在與所準(zhǔn)備的字符串類(lèi)的正則表達(dá)式不匹配的情況下，無(wú)法生成簡(jiǎn)檔。

本發(fā)明就是為了解決如上所述的技術(shù)所具有的問(wèn)題而完成的，其目的在于提供一種針對(duì)經(jīng)由網(wǎng)絡(luò)發(fā)送給Web服務(wù)器那樣的信息處理裝置的請(qǐng)求能夠抑制將正常的數(shù)據(jù)判定為異常的日志分析裝置、攻擊檢測(cè)裝置、攻擊檢測(cè)方法以及程序。

用于解決課題的手段

用于實(shí)現(xiàn)上述目的的本發(fā)明的日志分析裝置是從與網(wǎng)絡(luò)連接的信息處理裝置收集訪(fǎng)問(wèn)日志而進(jìn)行分析的日志分析裝置，該日志分析裝置具有：

存儲(chǔ)部，其用于保存簡(jiǎn)檔，其中該簡(jiǎn)檔是用于判定分析對(duì)象數(shù)據(jù)是否表示對(duì)所述信息處理裝置的攻擊的基準(zhǔn)；

參數(shù)提取部，其從所述訪(fǎng)問(wèn)日志的請(qǐng)求中提取各參數(shù)；

類(lèi)轉(zhuǎn)換部，其針對(duì)由所述參數(shù)提取部提取的各參數(shù)，將參數(shù)值從開(kāi)頭字符起按照每個(gè)部分與預(yù)先定義的字符串類(lèi)進(jìn)行比較，且將該部分置換成與該字符串類(lèi)一致的長(zhǎng)度最長(zhǎng)的字符串類(lèi)，從而轉(zhuǎn)換成依次排列有所置換的字符串類(lèi)的類(lèi)序列；

簡(jiǎn)檔保存部，其在針對(duì)作為學(xué)習(xí)數(shù)據(jù)而正常的數(shù)據(jù)的所述訪(fǎng)問(wèn)日志由所述參數(shù)提取部和所述類(lèi)轉(zhuǎn)換部求出的所述類(lèi)序列的集合中，將出現(xiàn)頻度是規(guī)定值以上的類(lèi)序列作為所述簡(jiǎn)檔保存于所述存儲(chǔ)部中；以及

異常檢測(cè)部，其計(jì)算針對(duì)所述分析對(duì)象數(shù)據(jù)的所述訪(fǎng)問(wèn)日志由所述參數(shù)提取部和所述類(lèi)轉(zhuǎn)換部求出的所述類(lèi)序列與所述簡(jiǎn)檔之間的相似度，且按照該相似度判定是否發(fā)生了對(duì)所述信息處理裝置的攻擊。

另外，本發(fā)明的攻擊檢測(cè)裝置是檢測(cè)對(duì)與網(wǎng)絡(luò)連接的信息處理裝置的攻擊的攻擊檢測(cè)裝置，該攻擊檢測(cè)裝置具有：

存儲(chǔ)部，其用于保存簡(jiǎn)檔，其中該簡(jiǎn)檔是用于判定對(duì)所述信息處理裝置的訪(fǎng)問(wèn)請(qǐng)求是否攻擊該信息處理裝置的基準(zhǔn)；

參數(shù)提取部，其從所述訪(fǎng)問(wèn)請(qǐng)求中提取各參數(shù)；

類(lèi)轉(zhuǎn)換部，其針對(duì)由所述參數(shù)提取部提取的各參數(shù)，將參數(shù)值從開(kāi)頭字符起按照每個(gè)部分與預(yù)先定義的字符串類(lèi)進(jìn)行比較，且將該部分置換成與該字符串類(lèi)一致的長(zhǎng)度最長(zhǎng)的字符串類(lèi)，從而轉(zhuǎn)換成依次排列有所置換的字符串類(lèi)的類(lèi)序列；

簡(jiǎn)檔保存部，其在針對(duì)作為學(xué)習(xí)數(shù)據(jù)而正常的數(shù)據(jù)的所述訪(fǎng)問(wèn)請(qǐng)求由所述參數(shù)提取部和所述類(lèi)轉(zhuǎn)換部求出的所述類(lèi)序列的集合中，將出現(xiàn)頻度是規(guī)定值以上的類(lèi)序列作為所述簡(jiǎn)檔保存于所述存儲(chǔ)部中；以及

異常檢測(cè)部，其計(jì)算針對(duì)作為分析對(duì)象的所述訪(fǎng)問(wèn)請(qǐng)求由所述參數(shù)提取部和所述類(lèi)轉(zhuǎn)換部求出的所述類(lèi)序列與所述簡(jiǎn)檔之間的相似度，且按照該相似度判定是否發(fā)生了對(duì)所述信息處理裝置的攻擊。

另外，本發(fā)明的攻擊檢測(cè)方法是攻擊檢測(cè)裝置執(zhí)行的攻擊檢測(cè)方法，該攻擊檢測(cè)裝置檢測(cè)對(duì)與網(wǎng)絡(luò)連接的信息處理裝置的攻擊，在所述攻擊檢測(cè)方法中，

從作為學(xué)習(xí)數(shù)據(jù)而正常的數(shù)據(jù)的對(duì)所述信息處理裝置的訪(fǎng)問(wèn)請(qǐng)求中提取各參數(shù)，針對(duì)各參數(shù)，將參數(shù)值從開(kāi)頭字符起按照每個(gè)部分與預(yù)先定義的字符串類(lèi)進(jìn)行比較，且將該部分置換成與該字符串類(lèi)一致的長(zhǎng)度最長(zhǎng)的字符串類(lèi)，從而轉(zhuǎn)換成依次排列有所置換的字符串類(lèi)的類(lèi)序列，且將該類(lèi)序列的集合中的出現(xiàn)頻度是規(guī)定值以上的類(lèi)序列作為簡(jiǎn)檔保存于存儲(chǔ)部中，其中該簡(jiǎn)檔是用于判定分析對(duì)象數(shù)據(jù)是否表示對(duì)所述信息處理裝置的攻擊的基準(zhǔn)，

從所述分析對(duì)象數(shù)據(jù)的所述訪(fǎng)問(wèn)請(qǐng)求中提取參數(shù)，

基于所述字符串類(lèi)，將所提取的參數(shù)的值轉(zhuǎn)換成所述類(lèi)序列，

計(jì)算所述類(lèi)序列與所述簡(jiǎn)檔之間的相似度，

按照所述相似度判定是否發(fā)生了對(duì)所述信息處理裝置的攻擊。

而且，本發(fā)明的程序使檢測(cè)對(duì)與網(wǎng)絡(luò)連接的信息處理裝置的攻擊的計(jì)算機(jī)執(zhí)行下述步驟：

從作為學(xué)習(xí)數(shù)據(jù)而正常的數(shù)據(jù)的對(duì)所述信息處理裝置的訪(fǎng)問(wèn)請(qǐng)求中提取各參數(shù)，針對(duì)各參數(shù)，將參數(shù)值從開(kāi)頭字符起按照每個(gè)部分與預(yù)先定義的字符串類(lèi)進(jìn)行比較，且將該部分置換成與該字符串類(lèi)一致的長(zhǎng)度最長(zhǎng)的字符串類(lèi)，從而轉(zhuǎn)換成依次排列有所置換的字符串類(lèi)的類(lèi)序列，且將該類(lèi)序列的集合中的出現(xiàn)頻度是規(guī)定值以上的類(lèi)序列作為簡(jiǎn)檔保存于存儲(chǔ)部中的步驟，其中該簡(jiǎn)檔是用于判定分析對(duì)象數(shù)據(jù)是否表示對(duì)所述信息處理裝置的攻擊的基準(zhǔn)；

從所述分析對(duì)象數(shù)據(jù)的所述訪(fǎng)問(wèn)請(qǐng)求中提取參數(shù)的步驟；

基于所述字符串類(lèi)，將所提取的參數(shù)的值轉(zhuǎn)換成所述類(lèi)序列的步驟；

計(jì)算所述類(lèi)序列與所述簡(jiǎn)檔之間的相似度的步驟；以及

按照所述相似度判定是否發(fā)生了對(duì)所述信息處理裝置的攻擊的步驟。

發(fā)明效果

根據(jù)本發(fā)明，針對(duì)經(jīng)由網(wǎng)絡(luò)輸入到信息處理裝置的請(qǐng)求將從請(qǐng)求中提取的參數(shù)值抽象化成與各種形態(tài)的參數(shù)值對(duì)應(yīng)的類(lèi)序列，且判定分析對(duì)象的數(shù)據(jù)是正常的還是不正常的，因此能夠減少將分析對(duì)象的正常數(shù)據(jù)判定為異常的誤檢測(cè)的可能性。

附圖說(shuō)明

圖1是示出包含第1實(shí)施方式的WAF的通信系統(tǒng)的一個(gè)結(jié)構(gòu)例的框圖。

圖2是示出第1實(shí)施方式的WAF的一個(gè)結(jié)構(gòu)例的框圖。

圖3是示出第1實(shí)施方式的WAF執(zhí)行的攻擊檢測(cè)方法的處理的流程的圖。

圖4是示出第1實(shí)施方式中的簡(jiǎn)檔形成部進(jìn)行的學(xué)習(xí)處理的步驟的流程圖。

圖5是用于說(shuō)明圖4所示的步驟103和105的處理的詳細(xì)情況的圖。

圖6是用于說(shuō)明在第1實(shí)施方式中與簡(jiǎn)檔之間的相似度的計(jì)算方法的圖。

圖7是示出第1實(shí)施方式的實(shí)施例的圖。

圖8是用于說(shuō)明第2實(shí)施方式中的變形例3的圖。

圖9是示出第2實(shí)施方式中的簡(jiǎn)檔形成部進(jìn)行的學(xué)習(xí)處理的步驟的流程圖。

圖10是用于說(shuō)明在第2實(shí)施方式中與簡(jiǎn)檔之間的相似度的計(jì)算方法的圖。

圖11是示出第2實(shí)施方式的實(shí)施例的圖。

圖12是用于說(shuō)明第3實(shí)施方式的簡(jiǎn)檔生成方法的圖。

圖13是用于說(shuō)明第3實(shí)施方式中的相似度計(jì)算的圖。

圖14是示出第3實(shí)施方式中的簡(jiǎn)檔形成部進(jìn)行的學(xué)習(xí)處理的步驟的流程圖。

圖15是示出第3實(shí)施方式的實(shí)施例的圖。

圖16是示出包含本發(fā)明的攻擊檢測(cè)裝置作為日志分析服務(wù)器的日志分析系統(tǒng)的一個(gè)結(jié)構(gòu)例的框圖。

圖17是用于說(shuō)明以往的攻擊檢測(cè)方法的圖。

圖18是用于說(shuō)明簡(jiǎn)檔的特征量的圖。

圖19是用于說(shuō)明以往技術(shù)1的狀態(tài)遷移模型的生成方法的圖。

圖20是用于說(shuō)明以往技術(shù)2的異常判定方法的圖。

圖21是用于說(shuō)明以往技術(shù)的課題的圖。

圖22是用于說(shuō)明以往技術(shù)1的另一課題的圖。

具體實(shí)施方式

本發(fā)明涉及對(duì)攻擊Web服務(wù)器的訪(fǎng)問(wèn)進(jìn)行檢測(cè)的信息處理裝置和計(jì)算機(jī)，在以下的實(shí)施方式中，對(duì)信息處理裝置為WAF的情況進(jìn)行說(shuō)明，但信息處理裝置也可以是分析針對(duì)Web服務(wù)器的訪(fǎng)問(wèn)內(nèi)容(也可以是日志)的日志分析裝置。

(第1實(shí)施方式)

說(shuō)明包含本實(shí)施方式的WAF的通信系統(tǒng)的結(jié)構(gòu)。

圖1是示出包含本實(shí)施方式的WAF的通信系統(tǒng)的一個(gè)結(jié)構(gòu)例的框圖。

如圖1所示，通信系統(tǒng)具有Web服務(wù)器60和WAF 10，其中，Web服務(wù)器60是經(jīng)由網(wǎng)絡(luò)80對(duì)客戶(hù)端70提供服務(wù)的信息處理裝置的一種，WAF 10檢測(cè)針對(duì)Web服務(wù)器60的攻擊。WAF 10設(shè)置于網(wǎng)絡(luò)80與Web服務(wù)器60之間?？蛻?hù)端70經(jīng)由網(wǎng)絡(luò)80和WAF 10而與Web服務(wù)器60連接。

圖2是示出本實(shí)施方式的WAF的一個(gè)結(jié)構(gòu)例的框圖。

如圖2所示，WAF 10具有輸入部11、存儲(chǔ)部12、控制部13以及檢測(cè)結(jié)果輸出部14。輸入部11具有學(xué)習(xí)數(shù)據(jù)輸入部21和分析對(duì)象數(shù)據(jù)輸入部22。

去往Web服務(wù)器60的正常數(shù)據(jù)作為學(xué)習(xí)數(shù)據(jù)從網(wǎng)絡(luò)80輸入到學(xué)習(xí)數(shù)據(jù)輸入部21。分析對(duì)象數(shù)據(jù)從網(wǎng)絡(luò)80輸入到分析對(duì)象數(shù)據(jù)輸入部22，該分析對(duì)象數(shù)據(jù)是作為是否是攻擊Web服務(wù)器60的判定對(duì)象的數(shù)據(jù)。

在存儲(chǔ)部12中保存有簡(jiǎn)檔，其中該簡(jiǎn)檔是用于判定分析對(duì)象數(shù)據(jù)是否表示針對(duì)Web服務(wù)器60的攻擊的基準(zhǔn)。

控制部13具有簡(jiǎn)檔形成部40和分析對(duì)象數(shù)據(jù)處理部50。簡(jiǎn)檔形成部40具有參數(shù)提取部31、字符串類(lèi)轉(zhuǎn)換部32以及簡(jiǎn)檔保存部43。分析對(duì)象數(shù)據(jù)處理部50具有參數(shù)提取部31、字符串類(lèi)轉(zhuǎn)換部32以及異常檢測(cè)部53。參數(shù)提取部31與字符串類(lèi)轉(zhuǎn)換部32參與簡(jiǎn)檔形成部40和分析對(duì)象數(shù)據(jù)處理部50的處理。

控制部13具有存儲(chǔ)程序的存儲(chǔ)器(未圖示)和按照程序執(zhí)行處理的CPU(Central Processing Unit：中央處理單元)(未圖示)。CPU按照程序執(zhí)行處理，由此在WAF 10中構(gòu)成參數(shù)提取部31、字符串類(lèi)轉(zhuǎn)換部32、簡(jiǎn)檔保存部43以及異常檢測(cè)部53。另外，在存儲(chǔ)器(未圖示)中，存放有針對(duì)從訪(fǎng)問(wèn)請(qǐng)求中提取的參數(shù)的值規(guī)定了如何將字符串分成類(lèi)的字符串類(lèi)的信息。關(guān)于字符串類(lèi)的詳細(xì)情況，在后面說(shuō)明。

參數(shù)提取部31從經(jīng)由學(xué)習(xí)數(shù)據(jù)輸入部21從Web服務(wù)器60輸入的作為學(xué)習(xí)數(shù)據(jù)的訪(fǎng)問(wèn)請(qǐng)求中提取訪(fǎng)問(wèn)的各參數(shù)而向字符串類(lèi)轉(zhuǎn)換部32輸出。另外，參數(shù)提取部31從經(jīng)由分析對(duì)象數(shù)據(jù)輸入部22從網(wǎng)絡(luò)80輸入的作為分析對(duì)象數(shù)據(jù)的訪(fǎng)問(wèn)請(qǐng)求中提取訪(fǎng)問(wèn)的各參數(shù)而向字符串類(lèi)轉(zhuǎn)換部32輸出。

字符串類(lèi)轉(zhuǎn)換部32針對(duì)學(xué)習(xí)數(shù)據(jù)，將從參數(shù)提取部31收到的參數(shù)的值基于字符串類(lèi)轉(zhuǎn)換成類(lèi)序列而向簡(jiǎn)檔保存部43輸出。另外，字符串類(lèi)轉(zhuǎn)換部32針對(duì)分析對(duì)象數(shù)據(jù)，將從參數(shù)提取部31收到的參數(shù)的值基于字符串類(lèi)轉(zhuǎn)換成類(lèi)序列而向異常檢測(cè)部53輸出。

簡(jiǎn)檔保存部43針對(duì)學(xué)習(xí)數(shù)據(jù)，若收到由字符串類(lèi)轉(zhuǎn)換部32轉(zhuǎn)換后的類(lèi)序列的集合，則從各參數(shù)的類(lèi)序列的集合中選擇最頻繁出現(xiàn)的類(lèi)序列，且將所選擇的類(lèi)序列作為參數(shù)的簡(jiǎn)檔保存于存儲(chǔ)部12中。

異常檢測(cè)部53針對(duì)分析對(duì)象數(shù)據(jù)，若收到由字符串類(lèi)轉(zhuǎn)換部32轉(zhuǎn)換后的類(lèi)序列，則計(jì)算該參數(shù)的與簡(jiǎn)檔之間的相似度，對(duì)所計(jì)算出的相似度與預(yù)先決定的閾值進(jìn)行比較，由此檢測(cè)訪(fǎng)問(wèn)是否異常。異常檢測(cè)部53向檢測(cè)結(jié)果輸出部14通知該檢測(cè)結(jié)果。具體而言，異常檢測(cè)部53在所計(jì)算出的相似度比閾值大的情況下，判定為正常，在相似度比閾值小的情況下，判定為異常。即，判定為對(duì)Web服務(wù)器60或者對(duì)Web服務(wù)器60的WebAP發(fā)生了攻擊。

檢測(cè)結(jié)果輸出部14輸出從異常檢測(cè)部53收到的檢測(cè)結(jié)果。

接著，說(shuō)明本實(shí)施方式的WAF的動(dòng)作。

圖3是示出本實(shí)施方式的WAF執(zhí)行的攻擊檢測(cè)方法的處理的流程的圖。

在本實(shí)施方式中，在“用于簡(jiǎn)檔的生成的特征量”、“學(xué)習(xí)時(shí)的簡(jiǎn)檔的生成方法以及所生成的簡(jiǎn)檔(的結(jié)構(gòu)、數(shù)據(jù))”以及“檢測(cè)時(shí)的簡(jiǎn)檔與分析對(duì)象的比較、對(duì)照的方法”中存在特征。

本實(shí)施方式的攻擊檢測(cè)方法分為學(xué)習(xí)處理和檢測(cè)處理2個(gè)階段。

在學(xué)習(xí)處理中，學(xué)習(xí)數(shù)據(jù)輸入部21從網(wǎng)絡(luò)80獲取訪(fǎng)問(wèn)請(qǐng)求(學(xué)習(xí)數(shù)據(jù))。簡(jiǎn)檔形成部40從所獲取的訪(fǎng)問(wèn)請(qǐng)求中提取各參數(shù)(參數(shù)提取部31)，且將參數(shù)的值轉(zhuǎn)換成類(lèi)序列(字符串類(lèi)轉(zhuǎn)換部32)。接著，從各參數(shù)的類(lèi)序列的集合中選擇最頻繁出現(xiàn)的類(lèi)序列而作為參數(shù)的簡(jiǎn)檔(簡(jiǎn)檔保存部43)。

在檢測(cè)處理中，分析對(duì)象數(shù)據(jù)輸入部22從網(wǎng)絡(luò)80獲取訪(fǎng)問(wèn)請(qǐng)求(分析對(duì)象數(shù)據(jù))。分析對(duì)象數(shù)據(jù)處理部50從所獲取的分析對(duì)象數(shù)據(jù)的訪(fǎng)問(wèn)請(qǐng)求中與學(xué)習(xí)處理同樣地提取參數(shù)而轉(zhuǎn)換成類(lèi)序列(參數(shù)提取部31、字符串類(lèi)轉(zhuǎn)換部32)，且計(jì)算該參數(shù)的類(lèi)序列與簡(jiǎn)檔的類(lèi)序列之間的相似度，利用閾值檢測(cè)異常(異常檢測(cè)部53)。之后，檢測(cè)結(jié)果輸出部14輸出異常檢測(cè)部53的檢測(cè)結(jié)果。

此外，作為提取請(qǐng)求的參數(shù)的原數(shù)據(jù)，也可以使用分組捕獲(packet capture)等而不是訪(fǎng)問(wèn)請(qǐng)求。

接著，詳細(xì)地說(shuō)明簡(jiǎn)檔形成部40的學(xué)習(xí)處理的步驟。

圖4是示出本實(shí)施方式中的簡(jiǎn)檔形成部的學(xué)習(xí)處理的步驟的流程圖。

簡(jiǎn)檔形成部40按照學(xué)習(xí)對(duì)象的每個(gè)參數(shù)p實(shí)施如下的處理來(lái)生成該參數(shù)p的簡(jiǎn)檔L。

當(dāng)輸入了與該參數(shù)相關(guān)的所有學(xué)習(xí)數(shù)據(jù)(參數(shù)值：d1～dn)時(shí)(步驟101)，簡(jiǎn)檔形成部40取出未處理的學(xué)習(xí)數(shù)據(jù)(dx)(步驟102)。然后，簡(jiǎn)檔形成部40基于預(yù)先規(guī)定的字符串類(lèi)的定義，將該學(xué)習(xí)數(shù)據(jù)dx轉(zhuǎn)換成類(lèi)序列cx而記錄(步驟103)。

簡(jiǎn)檔形成部40判定是否有未處理的學(xué)習(xí)數(shù)據(jù)(步驟104)，在有未處理的學(xué)習(xí)數(shù)據(jù)的情況下，返回步驟102，在沒(méi)有未處理的學(xué)習(xí)數(shù)據(jù)的情況下，進(jìn)入步驟105。在步驟105中，簡(jiǎn)檔形成部40僅選擇所記錄的所有類(lèi)序列中的出現(xiàn)次數(shù)最大的類(lèi)序列(步驟105)。之后，簡(jiǎn)檔形成部40將L作為參數(shù)p的簡(jiǎn)檔記錄于存儲(chǔ)部12中(步驟106)。

使用具體例詳細(xì)地說(shuō)明圖4所示的流程圖中的步驟103和步驟105的處理。圖5是用于說(shuō)明圖4所示的步驟103和105的處理的詳細(xì)情況的圖。

圖5的上段示出將表示同種參數(shù)值的多種字符串分類(lèi)成1個(gè)類(lèi)的字符串類(lèi)的定義的一例。在字符串類(lèi)中例如有“numeric”或“space”等類(lèi)。

圖5的中段示出了從參數(shù)值的開(kāi)頭字符到最后的字符按照每個(gè)部分與字符串類(lèi)進(jìn)行比較、且將該部分置換成與字符串類(lèi)一致的長(zhǎng)度最長(zhǎng)的字符串類(lèi)而轉(zhuǎn)換成依次配置有字符串類(lèi)的類(lèi)序列的情形。圖5的下段示出了采用如上所述的方式而按照每個(gè)參數(shù)求出類(lèi)序列、且針對(duì)類(lèi)序列的集合計(jì)算每個(gè)類(lèi)序列的出現(xiàn)頻度而將出現(xiàn)頻度最大的類(lèi)序列作為簡(jiǎn)檔保存的情形。

參照?qǐng)D4說(shuō)明上述的動(dòng)作。

在步驟103中，簡(jiǎn)檔形成部40在將參數(shù)值轉(zhuǎn)換成類(lèi)序列時(shí)，針對(duì)預(yù)先準(zhǔn)備的字符串類(lèi)的正則表達(dá)式，將類(lèi)與參數(shù)值匹配的部分字符串最長(zhǎng)地一致的部分判定為1個(gè)類(lèi)，且從左開(kāi)始依次將所有字符串轉(zhuǎn)換成類(lèi)。由此，也能夠?qū)⒍鄠€(gè)在以往的定義中定義成1個(gè)字符串類(lèi)的字符串類(lèi)連接的參數(shù)、復(fù)合的參數(shù)等具有復(fù)雜的結(jié)構(gòu)的參數(shù)分類(lèi)成任意的類(lèi)。

在步驟105中，簡(jiǎn)檔形成部40在選擇類(lèi)序列時(shí)，選擇出現(xiàn)頻度最大的類(lèi)序列，并將其作為簡(jiǎn)檔保存。

此外，具體而言，步驟103的處理在字符串類(lèi)轉(zhuǎn)換部32中執(zhí)行，步驟105的處理在簡(jiǎn)檔保存部43中執(zhí)行。另外，字符串類(lèi)的定義的信息也可以存放于存儲(chǔ)部12中。

接著，說(shuō)明分析對(duì)象數(shù)據(jù)處理部50中的檢測(cè)處理。

圖6是用于說(shuō)明在本實(shí)施方式中與簡(jiǎn)檔之間的相似度的計(jì)算方法的圖。分析對(duì)象數(shù)據(jù)處理部50的異常檢測(cè)部53按照下面的步驟進(jìn)行檢測(cè)判定。在此，在分析對(duì)象數(shù)據(jù)中使用測(cè)試數(shù)據(jù)。

(步驟1)與學(xué)習(xí)處理同樣地將參數(shù)值轉(zhuǎn)換成類(lèi)序列。

(步驟2)求出與簡(jiǎn)檔的類(lèi)序列相似度。作為相似度計(jì)算方法，例如能夠使用圖6所示的LCS(最長(zhǎng)共同部分序列)。

(步驟3)在相似度S比閾值St小的情況下，判定為異常，否則判定為正常。

說(shuō)明本實(shí)施方式的實(shí)施例。圖7是示出本實(shí)施方式的實(shí)施例的圖。在本實(shí)施例中，說(shuō)明file參數(shù)的情況。另外，作為分析對(duì)象數(shù)據(jù)而使用測(cè)試數(shù)據(jù)。

在學(xué)習(xí)處理中，簡(jiǎn)檔形成部40選擇1個(gè)出現(xiàn)頻度最大的類(lèi)序列。在檢測(cè)處理中，分析對(duì)象數(shù)據(jù)處理部50進(jìn)行了類(lèi)序列轉(zhuǎn)換后，進(jìn)行相似度計(jì)算，且根據(jù)該結(jié)果判定是正常還是異常。

根據(jù)本實(shí)施方式，在利用了Web應(yīng)用的參數(shù)值的字符串結(jié)構(gòu)的WAF中，利用參數(shù)所具有的特性和字符串的格式，由此將參數(shù)值抽象化成與各種形態(tài)的參數(shù)值對(duì)應(yīng)的類(lèi)序列，來(lái)判定分析對(duì)象的數(shù)據(jù)是正常還是不正常，因此能夠減少將不存在于學(xué)習(xí)數(shù)據(jù)中的正常數(shù)據(jù)判定為異常的誤檢測(cè)的可能性。

(第2實(shí)施方式)

在第1實(shí)施方式中，在類(lèi)序列的選擇中僅僅選擇1個(gè)出現(xiàn)頻度最大的類(lèi)序列而將該類(lèi)序列作為簡(jiǎn)檔，但在本實(shí)施方式中，作為類(lèi)序列的選擇方法的其他方案，應(yīng)用下面變形例1～3的任意方案。

(變形例1)按照出現(xiàn)頻度從大到小的順序選擇u個(gè)類(lèi)序列。

(變形例2)選擇出現(xiàn)頻度為v％以上的類(lèi)序列。

(變形例3)按照從大到小的順序?qū)Τ霈F(xiàn)頻度f(wàn)x進(jìn)行排序(f'1,f'2,f'3…)，并選擇出現(xiàn)頻度之和(貢獻(xiàn)率)第一次超過(guò)Ft的(f'1+f'2+…+f'u>Ft)u個(gè)類(lèi)序列(c'1,c'2,…c'u)。

圖8是用于說(shuō)明本實(shí)施方式中的變形例3的圖。

簡(jiǎn)檔保存部43根據(jù)表示出現(xiàn)頻度的圖標(biāo)而對(duì)出現(xiàn)頻度進(jìn)行排序，并提取滿(mǎn)足圖8所示的式的u個(gè)類(lèi)序列。

說(shuō)明本實(shí)施方式中的簡(jiǎn)檔形成部的學(xué)習(xí)處理。

圖9是示出本實(shí)施方式中的簡(jiǎn)檔形成部進(jìn)行的學(xué)習(xí)處理的步驟的流程圖。

在本實(shí)施方式中，在圖4所示的流程圖中，代替步驟105的處理而執(zhí)行圖9所示的步驟105-abc的處理。在本實(shí)施方式中，對(duì)步驟105-abc的處理進(jìn)行說(shuō)明，并省略其他步驟的處理的說(shuō)明。

在步驟105-abc中，簡(jiǎn)檔形成部40在所記錄的所有類(lèi)序列中通過(guò)變形例1～3的方法中的任意的方法選擇多個(gè)類(lèi)序列。

說(shuō)明本實(shí)施方式中的檢測(cè)時(shí)的相似度計(jì)算。圖10是用于說(shuō)明在本實(shí)施方式中與簡(jiǎn)檔之間的相似度的計(jì)算方法的圖。

在變形例1～3中選擇了u個(gè)類(lèi)序列的情況下，關(guān)于在檢測(cè)中的相似度，從簡(jiǎn)檔的類(lèi)序列與u個(gè)類(lèi)序列中的各個(gè)類(lèi)序列之間的相似度(s1,s2,…,su)中將最大的相似度Smax＝max(s1,s2,…su)作為與簡(jiǎn)檔之間的相似度。

該例的情況下，測(cè)試數(shù)據(jù)與簡(jiǎn)檔之間的相似度S是0.8。

說(shuō)明本實(shí)施方式的實(shí)施例。圖11是示出本實(shí)施方式的實(shí)施例的圖。即使在本實(shí)施例中，也說(shuō)明file參數(shù)的情況。

在學(xué)習(xí)處理中，簡(jiǎn)檔形成部40使用變形例1～3中的任意的方案來(lái)選擇多個(gè)類(lèi)序列。在檢測(cè)處理中，分析對(duì)象數(shù)據(jù)處理部50進(jìn)行了類(lèi)序列轉(zhuǎn)換后，進(jìn)行相似度計(jì)算，且根據(jù)該結(jié)果判定是正常還是異常。

(第3實(shí)施方式)

在第1實(shí)施方式中，將單獨(dú)的類(lèi)序列作為簡(jiǎn)檔，在第2實(shí)施方式中將多個(gè)類(lèi)序列作為簡(jiǎn)檔，但在本實(shí)施方式中選擇對(duì)簡(jiǎn)檔使用多個(gè)類(lèi)序列(以下稱(chēng)為“類(lèi)序列集合”)還是使用不考慮類(lèi)的順序的類(lèi)集合。

此外，也可以在本實(shí)施方式中應(yīng)用在第2實(shí)施方式中選擇的多個(gè)類(lèi)序列，另外，在本實(shí)施方式中，能夠應(yīng)用在第2實(shí)施方式中說(shuō)明的變形例1～3的任意方案。

在此，說(shuō)明以往技術(shù)1的另一課題。在以往技術(shù)1中，因?yàn)樯稍趯W(xué)習(xí)數(shù)據(jù)中實(shí)際出現(xiàn)的每1個(gè)字符的狀態(tài)遷移模型，因此存在在字符串的自由度高的參數(shù)中發(fā)生很多誤檢測(cè)的問(wèn)題。將該問(wèn)題作為“課題4”。在圖22中示出課題4的一例。

說(shuō)明本實(shí)施方式的簡(jiǎn)檔生成方法。

圖12是用于說(shuō)明本實(shí)施方式的簡(jiǎn)檔生成方法的圖，示出利用了壓縮率R的簡(jiǎn)檔的生成方法。

在本實(shí)施方式中，如圖12所示，圖2所示的簡(jiǎn)檔保存部43求出類(lèi)序列集合的壓縮率(R)是否比閾值Rt小，在壓縮率比閾值小的情況下，將類(lèi)序列的集合作為簡(jiǎn)檔。

另一方面，在壓縮率比閾值大的情況下，簡(jiǎn)檔保存部43將類(lèi)集合作為簡(jiǎn)檔。類(lèi)集合是出現(xiàn)的唯一的類(lèi)的集合，類(lèi)的出現(xiàn)順序未被保持。即，在類(lèi)集合中，類(lèi)序列的集合所包含的字符串類(lèi)(alpha、numeric等)不重疊，另外，出現(xiàn)的順序也未確定。

在本實(shí)施方式中，類(lèi)序列的集合考慮字符串類(lèi)的順序，但在類(lèi)集合中不考慮字符串類(lèi)的順序。

說(shuō)明本實(shí)施方式中的檢測(cè)時(shí)的相似度計(jì)算。圖13是用于說(shuō)明本實(shí)施方式中的相似度計(jì)算的圖。

在本實(shí)施方式中，在利用類(lèi)序列集合生成簡(jiǎn)檔的情況下、以及在利用類(lèi)集合生成簡(jiǎn)檔的情況下，需要變更檢測(cè)中的相似度計(jì)算方法。

圖13的(a)示出簡(jiǎn)檔是類(lèi)序列集合型的情況下的相似度計(jì)算方法，圖13的(b)示出簡(jiǎn)檔是類(lèi)集合型的情況下的相似度計(jì)算方法。

(1)在簡(jiǎn)檔是類(lèi)序列集合型的情況下，關(guān)于在檢測(cè)中的相似度，從簡(jiǎn)檔的類(lèi)序列與u個(gè)類(lèi)序列中的各個(gè)類(lèi)序列之間的相似度(s1,s2,…,su)中將最大的相似度Smax＝max(s1,s2,…su)作為與簡(jiǎn)檔之間的相似度(與變形例1～3的相似度計(jì)算方法相同)。

(2)在簡(jiǎn)檔是類(lèi)集合型的情況下，在類(lèi)集合包含于簡(jiǎn)檔的類(lèi)集合時(shí)，將相似度S作為1.0，在不一致時(shí)，將相似度S作為0.0。

說(shuō)明本實(shí)施方式中的簡(jiǎn)檔形成部的學(xué)習(xí)處理。在此，說(shuō)明第2實(shí)施方式中的變形例2的情況。

圖14是示出本實(shí)施方式中的簡(jiǎn)檔形成部的學(xué)習(xí)處理的步驟的流程圖。

在本實(shí)施方式中，在圖9所示的流程圖中，將步驟105-abc作為與變形例2對(duì)應(yīng)的步驟105-b，在步驟105-b與步驟106的處理之間，如圖14所示地追加了步驟111～113。在本實(shí)施方式中，對(duì)步驟105-b和步驟111～113的處理進(jìn)行說(shuō)明，并省略其他步驟的處理的說(shuō)明。

在步驟105-b中，簡(jiǎn)檔形成部40根據(jù)所記錄的所有類(lèi)序列(c1～cn)計(jì)算壓縮率R。在步驟111中，簡(jiǎn)檔形成部40判定壓縮率R是否比預(yù)先規(guī)定的壓縮率閾值Rt小。

在步驟111的判定中R＜Rt的情況下，簡(jiǎn)檔形成部40將所記錄的所有類(lèi)序列中的唯一的類(lèi)序列(類(lèi)序列集合)作為簡(jiǎn)檔L(步驟112)。另一方面，在步驟111的判定中R＞Rt的情況下，簡(jiǎn)檔形成部40將所記錄的類(lèi)序列所表示的所有類(lèi)的唯一的集合(類(lèi)集合)作為簡(jiǎn)檔L(步驟113)。

說(shuō)明本實(shí)施方式的實(shí)施例。圖15是示出本實(shí)施方式的實(shí)施例的圖。在本實(shí)施例中，說(shuō)明file參數(shù)的情況。

在學(xué)習(xí)處理中，簡(jiǎn)檔形成部40通過(guò)變形例1～3的方法中的任意的方法來(lái)選擇多個(gè)類(lèi)序列。之后，因?yàn)閴嚎s率R＜Rt而保存類(lèi)序列集合。在檢測(cè)處理中，分析對(duì)象數(shù)據(jù)處理部50進(jìn)行了類(lèi)序列轉(zhuǎn)換后，因?yàn)楹?jiǎn)檔是類(lèi)序列而用類(lèi)序列進(jìn)行相似度計(jì)算，且根據(jù)該結(jié)果判定是正常還是異常。

與參照?qǐng)D21和圖22說(shuō)明的課題1～4進(jìn)行對(duì)比來(lái)說(shuō)明本發(fā)明的攻擊檢測(cè)裝置的作用。

相對(duì)于參照?qǐng)D21說(shuō)明的課題1，在本發(fā)明中，通過(guò)將字符串抽象化成類(lèi)進(jìn)行處理而能夠進(jìn)行考慮了下標(biāo)的不同等的異常判定，因此能夠減少誤檢測(cè)。另外，當(dāng)檢測(cè)時(shí)使用類(lèi)序列的LCS相似度，由此，即使在學(xué)習(xí)時(shí)的數(shù)據(jù)中出現(xiàn)附加了下標(biāo)那樣的數(shù)據(jù)也表示高相似度，因此能夠減少誤檢測(cè)。

相對(duì)于參照?qǐng)D21進(jìn)行說(shuō)明的課題2，在本發(fā)明中，因?yàn)樵谧址?lèi)轉(zhuǎn)換部中認(rèn)為參數(shù)是將多個(gè)字符串類(lèi)連接、復(fù)合的參數(shù)來(lái)生成類(lèi)序列，因此能夠生成適合于該參數(shù)的簡(jiǎn)檔。

相對(duì)于參照?qǐng)D21進(jìn)行說(shuō)明的課題3，在本發(fā)明中，通過(guò)在字符串類(lèi)中定義url、ip等復(fù)雜的字符串類(lèi)以外還定義單純字符串類(lèi)numeric、alpha等，即使不能將字符串"2014.1.1"判定為date型也能夠?qū)㈩?lèi)序列(numeric,symbol,numeric,symbol,numeric)作為簡(jiǎn)檔來(lái)生成。

相對(duì)于參照?qǐng)D22進(jìn)行說(shuō)明的課題4，在第3實(shí)施方式中說(shuō)明的發(fā)明中，通過(guò)引入類(lèi)集合的概念，針對(duì)自由度較高的參數(shù)，不是以類(lèi)的順序而是以降低了限制的是否出現(xiàn)類(lèi)的條件來(lái)判定是否異常，因此能夠減少誤檢測(cè)。

根據(jù)本發(fā)明，通過(guò)在針對(duì)Web應(yīng)用的攻擊檢測(cè)方法中利用參數(shù)值的字符串結(jié)構(gòu)且利用參數(shù)所具有的特性和字符串的格式，由此能夠減少將不存在于學(xué)習(xí)數(shù)據(jù)中的正常數(shù)據(jù)判定為異常的誤檢測(cè)和自由度高的參數(shù)中的誤檢測(cè)的可能性。

此外，也可以將在上述的實(shí)施方式中說(shuō)明的包含WAF應(yīng)用于作為日志分析服務(wù)器的日志分析系統(tǒng)中。圖16是示出包含本發(fā)明的攻擊檢測(cè)裝置作為日志分析服務(wù)器的日志分析系統(tǒng)的一個(gè)結(jié)構(gòu)例的框圖。

日志分析系統(tǒng)具有Web服務(wù)器60、日志服務(wù)器90以及日志分析服務(wù)器15。日志服務(wù)器90與Web服務(wù)器60連接。日志服務(wù)器90定期地從Web服務(wù)器60獲取訪(fǎng)問(wèn)日志的信息而保存于本裝置的存儲(chǔ)部中。

日志分析服務(wù)器15與日志服務(wù)器90連接。日志分析服務(wù)器15具有在上述的實(shí)施方式中說(shuō)明的WAF 10的功能，通過(guò)從訪(fǎng)問(wèn)日志中讀出訪(fǎng)問(wèn)請(qǐng)求而進(jìn)行分析，對(duì)向Web服務(wù)器60的攻擊進(jìn)行檢測(cè)。

標(biāo)號(hào)說(shuō)明

10：WAF；15：日志分析服務(wù)器；13：控制部；12：存儲(chǔ)部；31：參數(shù)提取部；32：字符串類(lèi)轉(zhuǎn)換部；40：簡(jiǎn)檔形成部；43：簡(jiǎn)檔保存部；50：分析對(duì)象數(shù)據(jù)處理部；53：異常檢測(cè)部；60：Web服務(wù)器。