ホーム > 特許ランキング > サイバーマトリックス株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2021-12-22
(45)【発行日】2022-01-18
(54)【発明の名称】アクセスリクエストの不正を検知する方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20220111BHJP
【FI】
G06F21/55
【請求項の数】
5
(21)【出願番号】P 2021127587
(22)【出願日】2021-08-03
【審査請求日】2021-09-06
【早期審査対象出願】
(73)【特許権者】
【識別番号】519201961
【氏名又は名称】サイバーマトリックス株式会社
(74)【代理人】
【識別番号】100138221
【弁理士】
【氏名又は名称】影山 剛士
(74)【代理人】
【識別番号】100177987
【弁理士】
【氏名又は名称】河野上 真緒
(72)【発明者】
【氏名】四柳 勝利
【審査官】松平 英
(56)【参考文献】
【文献】特開2008-152791(JP,A)
【文献】特開2005-011234(JP,A)
【文献】特開2018-112863(JP,A)
【文献】特開2013-232716(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/50-21/57
(57)【特許請求の範囲】
【請求項1】
ユーザ端末とネットワークを介して接続するサーバ端末において、前記ユーザ端末から受け付けたアクセスリクエストの不正を検知する方法であって、前記サーバ端末の制御部は、
前記ユーザ端末からアクセスリクエストを受け付け、
前記サーバの記憶部に不正ルールデータとして格納される所定のルールに基づいて、前記アクセスリクエストが、不正なリクエストか否かを判定し、
前記アクセスリクエストが、前記所定のルールに基づいて、不正なリクエストでないと判定した場合、前記記憶部に格納される第1の学習モデルに基づいて、当該アクセスリクエストが悪性のリクエストであるか否かを判定し、
前記アクセスリクエストが、前記第1の学習モデルに基づいて、悪性であると判定した場合、前記記憶部に格納される第2の学習モデルに基づいて、当該アクセスリクエストが通常のリクエストであるかを判定し、
前記アクセスリクエストが、前記第2の学習モデルに基づいて、通常のリクエストでないと判定した場合、当該アクセスリクエストを偽陰性のあるリクエストとして検知する、方法。
【請求項2】
請求項1に記載の方法であって、前記アクセスリクエストが不正なリクエストであると判定した場合、前記第2の学習モデルに基づいて、当該アクセスリクエストが通常のリクエストであるか否かを判定し、
前記アクセスリクエストが通常であると判定した場合、当該アクセスリクエストを偽陽性
のあるリクエストとして検知する、方法。
【請求項3】
請求項1に記載の方法であって、前記所定のルールは、正規表現に基づくルールである、方法。
【請求項4】
請求項1に記載の方法であって、前記第1の学習モデルは、悪性のリクエストであると判定されたリクエストに含まれるデ
ータを学習することにより生成されたモデルである、方法。
【請求項5】
請求項1に記載の方法であって、前記第2の学習モデルは、通常のリクエストであると判定されたリクエストに含まれるデ
ータを学習することにより生成されたモデルである、方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセスリクエストの不正を検知する方法に関する。
【背景技術】
【0002】
ウェブアプリケーションの脆弱性を悪用した攻撃に対し、ウェブアプリケーションを保護するセキュリティ対策の一つとして、WAF(Web Application Firewall)の適用が挙げられる。WAFにおいては、不正なリクエストを検知するルールを構成することで、ユーザによるアクセスリクエストが、ルールに基づいて不正なリクエストに該当すると判定された場合、リクエストをブロックするが、サービスを利用する、正規なユーザリクエストをブロックしてしまう偽陽性が発生する場合がある。また、不正なリクエストであっても、WAFでは検知できない状態、すなわち、偽陰性が発生することも起こり得る。
【0003】
この偽陽性及び偽陰性を技術的課題として捉え、解決手段を提供しようとする特許文献として、特許文献1が挙げられる。
【先行技術文献】
【特許文献】
【0004】
【文献】特許第6756933号
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示の技術は、コンピューティングイベントについて、当該イベントが悪意のものである可能性を示す初期傾向スコアによる判定と、当該判定後に更新されたセキュリティ情報に基づいて更新された傾向スコアによる判定により、当該イベントが悪意のあるイベントであるかを正しく判定する、という技術に関するものであるが、時系列的に本来悪意のあるイベントであると判定されるべきイベントを捕捉することを可能とする技術であるが、偽陰性及び偽陽性の発生を根本的に解決する方法に至っていない。
【0006】
そこで、本発明は、偽陽性及び偽陰性を精度高く検知する方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明の一態様における、ユーザ端末から受け付けたアクセスリクエストの不正を検知する方法であって、ユーザ端末からアクセスリクエストを受け付け、所定のルールに基づいて、前記アクセスリクエストが、不正なリクエストか否かを判定し、前記アクセスリクエストが不正なリクエストでないと判定した場合、第1の学習モデルに基づいて、当該アクセスリクエストが悪性のリクエストであるか否かを判定し、前記アクセスリクエストが悪性であると判定した場合、第2の学習モデルに基づいて、当該アクセスリクエストが通常のリクエストであるかを判定し、前記アクセスリクエストがリクエストでないと判定した場合、当該アクセスリクエストを偽陰性のあるリクエストとして検知する。
【発明の効果】
【0008】
本発明によれば、偽陽性及び偽陰性を精度高く検知することができる。
を実現することができる。
を実現することができる。
【図面の簡単な説明】
【0009】
【図1】本発明の第一実施形態に係る、不正検知システムを示すブロック構成図である。
【図4】サーバ100に格納される不正検知ルールデータの一例を示す図である。
【図5】サーバ100に格納されるARD学習データの一例を示す図である。
【図6】サーバ100に格納されるSRD学習データの一例を示す図である。
【図7】本発明の第一実施形態に係る、不正検知方法の一例を示すフローチャートである。
【図8】本発明の第一実施形態に係る、偽陰性を検知する、不正検知方法の一例を示すフローチャートである。
【図9】本発明の第一実施形態に係る、偽陽性を検知する、不正検知方法の一例を示すフローチャートである。
【発明を実施するための形態】
【0010】
以下、本発明の実施形態について図面を参照して説明する。なお、以下に説明する実施形態は、特許請求の範囲に記載された本発明の内容を不当に限定するものではない。また、実施形態に示される構成要素のすべてが、本発明の必須の構成要素であるとは限らない。
【0011】
<構成>
図1は、本発明の第一実施形態に係る、ユーザからのウェブアプリケーションに対するアクセスリクエストについて不正を検知するシステムの構成図である。本システム1は、例えば、ユーザ端末200A、200B等の各々から受け付けた、ウェブアプリケーションに対するアクセスリクエストに対し、実装されるWAFによって実現される不正検知プロセスに基づいて、アクセスの不正を検知する、サーバ端末100、及び、上述の、ウェブアプリケーションに対するアクセスリクエストを行うユーザ端末200A、200Bで構成される。なお、説明の便宜上、各端末を単一または特定数のものとして記載しているが、各々数は制限されない。
図1は、本発明の第一実施形態に係る、ユーザからのウェブアプリケーションに対するアクセスリクエストについて不正を検知するシステムの構成図である。本システム1は、例えば、ユーザ端末200A、200B等の各々から受け付けた、ウェブアプリケーションに対するアクセスリクエストに対し、実装されるWAFによって実現される不正検知プロセスに基づいて、アクセスの不正を検知する、サーバ端末100、及び、上述の、ウェブアプリケーションに対するアクセスリクエストを行うユーザ端末200A、200Bで構成される。なお、説明の便宜上、各端末を単一または特定数のものとして記載しているが、各々数は制限されない。
【0012】
サーバ端末100及びユーザ端末200A、200Bは、ネットワークNW1を介して各々接続される。ネットワークNWは、インターネット、イントラネット、無線LAN(Local Area Network)やWAN(Wide Area Network)等により構成される。
【0013】
サーバ端末100は、例えば、ワークステーションやパーソナルコンピュータのような汎用コンピュータとしてもよいし、或いはクラウド・コンピューティングによって論理的に実現されてもよい。
【0014】
ユーザ端末200A、200Bは、例えば、パーソナルコンピュータやタブレット端末等の情報処理装置であるが、スマートフォンや携帯電話、PDA等により構成しても良い。
【0015】
本実施形態では、システム1は、サーバ端末100及びユーザ端末200A、200Bを含み、各端末のユーザが各々の端末を利用して、サーバ端末100に対する操作を行う構成として説明するが、サーバ端末100がスタンドアローンで構成され、サーバ端末自身に、各ユーザが直接操作を行う機能を備えても良い。
【0016】
【0017】
通信部110は、ネットワークNW1を介してユーザ端末200、ユーザ端末300と通信を行うための通信インターフェースであり、例えばTCP/IP(Transmission Control Protocol/Internet Protocol)等の通信規約により通信が行われる。
【0018】
記憶部120は、各種制御処理や制御部130内の各機能を実行するためのプログラム、入力データ等を記憶するものであり、RAM(Random Access Memory)、ROM(Read Only Memory)等から構成される。また、記憶部120は、アクセスリクエストに対する不正を検知するためのルールをデータとして格納する、不正ルール格納部121、ウェブアプリケーション等に対する攻撃に使用される、アクセスリクエストに含まれるペイロード等に関連するデータを学習させた学習モデルに関連するデータを格納する、ARD(Anomaly Request Detection)学習データ格納部122、及び正規ユーザがアクセスするアクセスリクエストに含まれるペイロード等に関連するデータを学習させた学習モデルに関連するデータを格納する、SRD(Suspicious Request Detection)学習データ格納部123を有する。なお、各種データを格納したデータベース(図示せず)が記憶部120またはサーバ端末100外に構築されていてもよい。
【0019】
制御部130は、記憶部120に記憶されているプログラム(WAF等のアプリケーションプログラムを含む)を実行することにより、サーバ端末100の全体の動作を制御するものであり、CPU(Central Processing Unit)やGPU(Graphics Processing Unit)等から構成される。制御部130の機能として、各端末からの情報を受け付ける情報受付部131と、アクセスリクエストの不正を検知するルールに関連する各種データを参照及び/または処理し、または、不正ルールの生成を行うための、不正ルール処理部132と、ARD学習モデル及び/またはSRD学習モデルに関連するデータを参照及び/または処理し、または、学習モデルの生成を行うための、学習データ処理部133と、アクセスリクエストの不正、偽陰性及び/または偽陽性を検知するために必要な処理を行う、リクエスト処理部134とを有する。この情報受付部131、不正ルール処理部132、学習データ処理部133、及びリクエスト処理部134は、記憶部120に記憶されているプログラムにより起動されてコンピュータ(電子計算機)であるサーバ端末100により実行される。
【0020】
情報受付部131は、サーバ端末100が提供し、ユーザ端末200A、200Bその他の端末から通信部110を介して情報を受付ける。以下、必要に応じ、ユーザ端末200A、200Bを総称してユーザ端末200として説明する。例えば、ユーザ端末200からは、ウェブアプリケーションに対するアクセスリクエスト等を受信する。
【0021】
不正ルール処理部132は、アクセスリクエストの不正を検知するルールに関連する各種データを参照及び/または処理し、または、不正ルールの生成/更新を行う。
【0022】
学習データ処理部133は、ARD学習モデル及び/またはSRD学習モデルに関連するデータを参照及び/または処理し、または、学習モデルの生成/更新を行う。
【0023】
リクエスト処理部134は、アクセスリクエストの不正、偽陰性及び/または偽陽性を検知するために必要な処理を行う。
【0024】
また、制御部130は、図示しない、画面生成部を有することもでき、求めに応じて、ユーザ端末200のユーザーインターフェースを介して表示される画面情報を生成する。例えば、記憶部120に格納された(図示しない)画像及びテキストデータを素材として、所定のレイアウト規則に基づいて、各種画像及びテキストをユーザーインターフェースの所定の領域に配置することで、ユーザーインターフェースを生成する。画像生成部に関連する処理は、GPU(Graphics Processing Unit)によって実行することもできる。
【0025】
【0026】
通信部210は、ネットワークNWを介してサーバ端末100と通信を行うための通信インターフェースであり、例えばTCP/IP等の通信規約により通信が行われる。
【0027】
表示操作部220は、ユーザが指示を入力し、制御部240からの入力データに応じてテキスト、画像等を表示するために用いられるユーザーインターフェースであり、ユーザ端末200がパーソナルコンピュータで構成されている場合はディスプレイとキーボードやマウスにより構成され、ユーザ端末200がスマートフォンまたはタブレット端末で構成されている場合はタッチパネル等から構成される。この表示操作部220は、記憶部230に記憶されている制御プログラムにより起動されてコンピュータ(電子計算機)であるユーザ端末200により実行される。
【0028】
記憶部230は、各種制御処理や制御部240内の各機能を実行するためのプログラム、入力データ等を記憶するものであり、RAMやROM等から構成される。また、記憶部230は、サーバ端末100との通信内容を一時的に記憶している。
【0029】
制御部240は、記憶部230に記憶されているプログラムを実行することにより、ユーザ端末200の全体の動作を制御するものであり、CPUやGPU等から構成される。
【0030】
図4は、サーバ100に格納される不正ルールデータの一例を示す図である。
【0031】
図4に示す不正ルールデータ1000は、アクセスリクエストの不正を検知するための各種データを格納する。不正ルールデータは、URL等、文字列の組合せを一つの文字列で表現する、正規表現に基づくルールを記述したものであり、一例として、図4に示すように、ユーザ端末200からサーバ端末100に対して送信される、GETリクエスト等が挙げられる。不正ルールデータ1000として、複数のサンプルデータが格納される。サーバ端末100は、ユーザ端末200から受信したアクセスリクエストに含まれるパラメータの値と、正規表現で組まれたルールとを比較し、これらがマッチングした場合にアクセスを拒否し、マッチングしない場合にアクセスを許可することができる。
【0032】
図5は、サーバ100に格納されるARD学習データの一例を示す図である。
【0033】
ARD学習データ2000は、ウェブアプリケーション等に対する攻撃に使用される、アクセスリクエストに含まれるペイロード等に関連するデータを学習させて構築された学習モデルに関連するデータを含む。学習データの一例として、図5に示すように、クロスサイトスクリプティングという手法を用いたウェブアプリケーションまたはエンドユーザを攻撃するために用いられるストリングが挙げられるが、例えば、10万種類以上の攻撃ストリングが格納される。
【0034】
図6は、サーバ100に格納されるSRD学習データの一例を示す図である。
【0035】
SRD学習データ3000は、正規ユーザがアクセスするアクセスリクエストに含まれるペイロード等に関連するデータを学習させて構築された学習モデルに関連するデータを含む。図6に示すように、正規データがアクセスするアクセスリクエストに含まれるペイロード等に関連するデータとして、例えば、送信元情報(ソースIP、ソースIPが所属するネットワークの大陸名、ソースIPが所属するネットワークの国名、ソースIPが属するネットワークの識別番号(AS番号))、アクセス先(URI、リクエストで利用されているパラメータ、HTTPプロトコルバージョン、HTTPメソッド)、ヘッダーフィールド(Host、UserAgent、Connection、Cache-Control、Content-Type、Content-Length、Accept-Encoding、Accept、Accept-Language、Accept-Charset、Origin、Referer、X-Forwarded-For)等のデータが含まれる。このうち、例えば、送信元情報のうちソースIP、アクセス先情報、ヘッダーフィールドに関する情報は、Webサーバのアクセスログ、WAFのログから取得可能なデータであり、その他の、ソースIPが所属するネットワークの大陸名、国名、ソースIPが属するネットワークの識別番号等は、外部のデータベースで補完されるデータである。ヘッダーフィールドは、サイトによるヘッダーフィールドが変わるため、ヘッダー全体をサイトの特徴として捉えるものとし、上記は代表的なヘッダーフィールドとして含まれるデータである。
【0036】
<処理の流れ>
図7を参照しながら、本実施形態のシステム1が実行する、アクセスリクエストの不正検知方法の処理の流れについて説明する。図7は、本発明の第一実施形態に係る、不正検知方法の一例を示すフローチャートである。本処理は、WAFを実装したサーバ端末100で実行されることを想定しているが、WAFのプログラムを実装した他のサーバ端末で実行され、他のサーバ端末からサーバ端末100に格納される各種データを参照しながら処理を実行することもできる。
図7を参照しながら、本実施形態のシステム1が実行する、アクセスリクエストの不正検知方法の処理の流れについて説明する。図7は、本発明の第一実施形態に係る、不正検知方法の一例を示すフローチャートである。本処理は、WAFを実装したサーバ端末100で実行されることを想定しているが、WAFのプログラムを実装した他のサーバ端末で実行され、他のサーバ端末からサーバ端末100に格納される各種データを参照しながら処理を実行することもできる。
【0037】
まず、ステップS101の前段の処理として、ユーザは、各端末のウェブブラウザまたはアプリケーション等を利用してサーバ端末100にアクセスする。そして、サーバ端末100の制御部130の情報受付部131は、通信部110を介して、第1のユーザに関するユーザ端末200から、ウェブアプリケーション等へのアクセスリクエストを受信する。例えば、アクセスリクエストとして、HTTPリクエストが挙げられ、HTTPリクエストは、開始行として、HTTPメソッド(GET、PUT、POST等)、URL等のアクセス先、HTTPバージョンが含まれ、ヘッダーフィールドとして、Host、UserAgent、Connection、Cache-Control、Content-Type、Content-Length、Accept-Encoding、Accept、Accept-Language、Accept-Charset、Origin、Referer、X-Forwarded-For等の情報が含まれ、本文(ペイロード)で構成される。
【0038】
続いて、ステップS101の処理として、サーバ端末100の制御部130のリクエスト処理部134は、ユーザ端末200から受け付けたアクセスリクエストが不正なリクエストであるか否か判定する。ここで、リクエスト処理部134は、不正ルール処理部132と連携しながら、不正ルール格納部121に格納された不正ルールを参照し、ユーザ端末200から受信したHTTPリクエスト(例えば、GETリクエスト)に含まれるパラメータの値と、正規表現で組まれたルールとを比較し、これらがマッチングした場合にアクセスリクエストを不正と判定し、アクセスを拒否し、マッチングしない場合にアクセスリクエストを通常のアクセスと判定し、アクセスを許可することができる。
【0039】
本実施形態においては、ステップS101において、所定のルールに基づいてアクセスリクエストが不正であると判定された場合(アクセス拒否の一次判定をする)、不正でないと判定された場合(アクセス許可の一次判定をする)のいずれにおいても、図7または図8に示す処理へと進む。
【0040】
図8は、本発明の第一実施形態に係る、偽陰性を検知する、不正検知方法の一例を示すフローチャートである。
【0041】
本図においては、ステップS101において、リクエスト処理部134が、アクセスリクエストを不正ルールとマッチングせず、当該リクエストが不正でないと判定した場合、さらに当該リクエストの偽陰性を検知するための処理を説明する。
【0042】
まず、ステップS201の処理として、リクエスト処理部134は、アクセスリクエストを基に、学習データ処理部133と連携しながら、ARD学習データ122に格納された、ARD学習モデルを参照する。
【0043】
続いて、ステップS202の処理として、リクエスト処理部134は、アクセスリクエストが悪性のリクエストであるか否かを判定する。例えば、リクエスト処理部134は、学習データ処理部133と連携しながら、アクセスリクエストを入力データとして、複数の攻撃ストリングに関するデータを学習させたARD学習モデルに基づいて、アクセスリクエストの悪性の成否について判定を行う。ARD学習モデルを介した判定処理においては、入力されたアクセスリクエストに含まれる、ヘッダーやペイロードとして含まれる文字列が、攻撃ストリングに含まれる文字列のパターン、特徴量等と類似するか否か等に基づいて、悪性の成否が判定され得る。
【0044】
ステップS202の判定処理の結果、アクセスリクエストが悪性のリクエストであると判定された場合、ステップS203の処理として、リクエスト処理部134は、アクセスリクエストを基に、学習データ処理部133と連携しながら、SRD学習データ123に格納された、SRD学習モデルを参照する。
【0045】
ステップS202の判定処理の結果、アクセスリクエストが悪性のリクエストでない(通常のリクエストである)と判定された場合、処理を終了する。
【0046】
続いて、ステップS204の処理として、リクエスト処理部134は、アクセスリクエストが疑義のあるリクエストであるか否かを判定する。例えば、リクエスト処理部134は、学習データ処理部133と連携しながら、アクセスリクエストを入力データとして、正規ユーザがアクセスするアクセスリクエストに含まれるペイロード等に関連するデータを学習させて構築されたARD学習モデルに基づいて、アクセスリクエストの疑義について判定を行う。SRD学習モデルを介した判定処理においては、入力されたアクセスリクエストに含まれる、ヘッダーやペイロードとして含まれる文字列が、正規のアクセスリクエストに含まれる、送信元情報、アクセス先、ヘッダーフィールドに含まれる各項目またはサイト全体の特徴として、文字列のパターン、特徴量等と類似するか否か等に基づいて、疑義が判定され得る。
【0047】
ステップS204の判定処理の結果、アクセスリクエストが疑義のあるリクエストであると判定された場合、ステップS205の処理として、リクエスト処理部134は、アクセスリクエストを偽陰性のあるリクエストと判定する。リクエスト処理部134は、偽陰性のあるリクエストについてユーザ端末200に通知を行うこともできる。
【0048】
ステップS204の判定処理の結果、アクセスリクエストが疑義のあるリクエストでない(通常のリクエストである)と判定された場合、ステップS206の処理に進み、通常のリクエストとして、当該リクエストに関する情報をログデータとして、記憶部120に格納する。
【0049】
ステップS206の処理においてログデータとして格納された通常のリクエストとして判定された正規のユーザリクエストは、ステップS207において、学習データ処理部123により、ホワイトリストとして生成され、ARD学習モデル生成のための学習データとして使用される。
【0050】
ここで、偽陰性はウェブアプリケーションの作りによっては攻撃の特徴と似たリクエストが送信される可能性があり、ARD学習モデルに基づいてサイトの特徴と同じようなリクエストを悪性と検知した場合に、サイトの特徴を学習させたSRDモデルを用いた判定により不正アクセスを検知し、そのサイトの特徴を考慮した偽陰性を検出することができる。
【0051】
図9は、本発明の第一実施形態に係る、偽陽性を検知する、不正検知方法の一例を示すフローチャートである。
【0052】
本図においては、ステップS101において、リクエスト処理部134が、アクセスリクエストを不正ルールとマッチし、当該リクエストが通常のリクエストであると判定した場合、さらに当該リクエストの偽陽性を検知するための処理を説明する。
【0053】
まず、ステップS301の処理として、リクエスト処理部134は、アクセスリクエストを基に、学習データ処理部133と連携しながら、SRD学習データ122に格納された、SRD学習モデルを参照する。
【0054】
続いて、ステップS302の処理として、リクエスト処理部134は、アクセスリクエストが疑義のあるリクエストであるか否かを判定する。例えば、リクエスト処理部134は、学習データ処理部133と連携しながら、アクセスリクエストを入力データとして、正規ユーザがアクセスするアクセスリクエストに含まれるペイロード等に関連するデータを学習させて構築されたARD学習モデルに基づいて、アクセスリクエストの疑義について判定を行う。SRD学習モデルを介した判定処理においては、入力されたアクセスリクエストに含まれる、ヘッダーやペイロードとして含まれる文字列が、正規のアクセスリクエストに含まれる、送信元情報、アクセス先、ヘッダーフィールドに含まれる各項目またはサイト全体の特徴として、文字列のパターン、特徴量等と類似するか否か等に基づいて、疑義が判定され得る。
【0055】
ステップS302の判定処理の結果、アクセスリクエストが疑義のあるリクエストでない(通常のリクエストである)と判定された場合、ステップS303の処理として、リクエスト処理部134は、アクセスリクエストを偽陽性のあるリクエストと判定する。リクエスト処理部134は、偽陽性のあるリクエストについてユーザ端末200に通知を行うこともできる。
【0056】
ステップS302の判定処理の結果、アクセスリクエストが疑義のあるリクエストであると判定された場合、処理を終了する。
【0057】
以上のように、偽陰性と偽陽性の検出を、不正なリクエストを学習させたモデルと、正常なユーザのリクエストを学習させたモデルとを組み合わせることで、各々精度高く検知することができる。
【0058】
以上、発明に係る実施形態について説明したが、これらはその他の様々な形態で実施することが可能であり、種々の省略、置換および変更を行なって実施することが出来る。これらの実施形態および変形例ならびに省略、置換および変更を行なったものは、特許請求の範囲の技術的範囲とその均等の範囲に含まれる。
【符号の説明】
【0059】
1 システム 100 サーバ端末、110 通信部、120 記憶部、130 制御部、200 ユーザ端末、NW1 ネットワーク
【要約】 (修正有)
【課題】偽陽性及び偽陰性を精度高く検知するアクセスリクエストの不正検知方法を提供する。
【解決手段】ユーザ端末から受け付けたアクセスリクエストの不正検知方法において、ユーザ端末からアクセスリクエストを受け付け、所定のルールに基づいて、アクセスリクエストが不正なリクエストか否かを判定し、アクセスリクエストが不正なリクエストでないと判定した場合S101許可、第1の学習モデルに基づいて、アクセスリクエストが悪性のリクエストであるか否かを判定する。アクセスリクエストが悪性であると判定した場合S101拒否、第2の学習モデルに基づいて、アクセスリクエストが通常のリクエストであるかを判定する。そして、アクセスリクエストが通常のリクエストでないと判定した場合、アクセスリクエストを偽陰性のあるリクエストとして検知する。
【選択図】図7
【解決手段】ユーザ端末から受け付けたアクセスリクエストの不正検知方法において、ユーザ端末からアクセスリクエストを受け付け、所定のルールに基づいて、アクセスリクエストが不正なリクエストか否かを判定し、アクセスリクエストが不正なリクエストでないと判定した場合S101許可、第1の学習モデルに基づいて、アクセスリクエストが悪性のリクエストであるか否かを判定する。アクセスリクエストが悪性であると判定した場合S101拒否、第2の学習モデルに基づいて、アクセスリクエストが通常のリクエストであるかを判定する。そして、アクセスリクエストが通常のリクエストでないと判定した場合、アクセスリクエストを偽陰性のあるリクエストとして検知する。
【選択図】図7
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
