ホーム > 特許ランキング > 日本電信電話株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-11-25
(45)【発行日】2024-12-03
(54)【発明の名称】判定装置、判定方法、および、判定プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20241126BHJP
【FI】
G06F21/55 320
【請求項の数】
7
(21)【出願番号】P 2023514299
(86)(22)【出願日】2021-04-16
(86)【国際出願番号】 JP2021015718
(87)【国際公開番号】W WO2022219806
(87)【国際公開日】2022-10-20
【審査請求日】2023-08-08
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】鐘本 楊
【審査官】高橋 克
(56)【参考文献】
【文献】特表2019-533841(JP,A)
【文献】上原 孝之,一歩進んだネット安全対策欠かせない運用管理とログ監視,日経コミュニケーション,日本,日経BP社,1999年03月15日,第290号,pp.216-221,ISSN 0910-7215,
【文献】GU Haifeng et al.,DIAVA: A Traffic-Based Framework for Detection of SQL Injection Attacks and Vulnerability Analysis of Leaked Data,IEEE Transactions on Reliability,米国,IEEE,2019年07月24日,vol. 69, no. 1,pp. 188-202,[online], [令和6年5月20日検索], インターネット <URL: https://ieeexplore.ieee.org/document/8771368> <doi: 10.1109/TR.2019.2925415>,ISSN 0018-9529,
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
攻撃の検知対象の通信ログにおけるリクエスト先のURLを用いて、リクエスト先のウェブアプリケーションの機能に応じて被害が異なる攻撃の通信ログを検知する攻撃検知部と、前記攻撃を検知した通信ログについて、リクエスト先のURLにおけるログインフォームの有無、および、リクエストに対するレスポンスサイズと、当該ウェブアプリケーションの機能がログインフォームを有するか否か、および、外部装置へレスポンスを返す際のレスポンスサイズの範囲を示した当該ウェブアプリケーションの機能のプロファイル情報を照合することにより、前記攻撃が成功したか否かを判定する成否判定部と、
前記判定の結果を出力する判定結果出力部と
を備えることを特徴とする判定装置。
【請求項2】
前記攻撃検知部は、正規表現“OR.*=.*#”、正規表現“OR (1|'t') (#|--)”および正規表現“.+['"] (#|--)”の少なくともいずれか1つを攻撃検知シグネチャとして用いて、リクエスト先のウェブアプリケーションの機能に応じて被害が異なる攻撃の通信ログを検知する
ことを特徴とする請求項1に記載の判定装置。
【請求項3】
外部装置とウェブアプリケーションの機能との間で行われた正常な通信に基づき、前記ウェブアプリケーションの機能のプロファイル情報を作成する機能プロファイル作成部をさらに備えることを特徴とする請求項1に記載の判定装置。
【請求項4】
前記成否判定部は、前記攻撃を検知した通信ログについて、前記リクエスト先のURLにログインフォームがあり、かつ、ステータスコードが300~309のいずれかであると判定した場合、認証バイパスを狙う攻撃に成功したと判定する
ことを特徴とする請求項1に記載の判定装置。
【請求項5】
前記成否判定部は、前記攻撃を検知した通信ログについて、前記リクエスト先のURLにログインフォームがなく、かつ、リクエストに対するレスポンスサイズが、当該ウェブアプリケーションの機能のプロファイル情報に示されるレスポンスサイズの範囲から所定値以上超えると判定した場合、情報漏洩を狙う攻撃に成功したと判定する
ことを特徴とする請求項1に記載の判定装置。
【請求項6】
判定装置により実行される判定方法であって、攻撃の検知対象の通信ログにおけるリクエスト先のURLを用いて、リクエスト先のウェブアプリケーションの機能に応じて被害が異なる攻撃の通信ログを検知する工程と、
前記攻撃を検知した通信ログについて、リクエスト先のURLにおけるログインフォームの有無、および、リクエストに対するレスポンスサイズと、当該ウェブアプリケーションの機能がログインフォームを有するか否か、および、外部装置へレスポンスを返す際のレスポンスサイズの範囲を示した当該ウェブアプリケーションの機能のプロファイル情報を照合することにより、前記攻撃が成功したか否かを判定する工程と、
前記判定の結果を出力する工程と
を含むことを特徴とする判定方法。
【請求項7】
攻撃の検知対象の通信ログにおけるリクエスト先のURLを用いて、リクエスト先のウェブアプリケーションの機能に応じて被害が異なる攻撃の通信ログを検知する工程と、前記攻撃を検知した通信ログについて、リクエスト先のURLにおけるログインフォームの有無、および、リクエストに対するレスポンスサイズと、当該ウェブアプリケーションの機能がログインフォームを有するか否か、および、外部装置へレスポンスを返す際のレスポンスサイズの範囲を示した当該ウェブアプリケーションの機能のプロファイル情報を照合することにより、前記攻撃が成功したか否かを判定する工程と、
前記判定の結果を出力する工程と
をコンピュータに実行させるための判定プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、攻撃が成功したか否かを判定するための、判定装置、判定方法、および、判定プログラムに関する。
【背景技術】
【0002】
従来、ウェブサーバ等への攻撃を検知する技術が提案されている。しかし、すべての攻撃を検知してアラートを発すると、保守者や監視者がアラートを見逃してしまう場合がある。したがって、攻撃が成功した場合にのみ、アラートを発することが好ましい。ここで、従来、攻撃が成功したか否かを、ウェブサーバ等へ攻撃を行った際のレスポンスを検査することにより判定する技術がある(特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【文献】特許第6708794号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、従来技術は、攻撃による痕跡がウェブサーバ等へ攻撃を行った際のレスポンスに出現することを前提としている。したがって、例えば、以下のように、攻撃の痕跡が明示的にレスポンスに出現しない攻撃については、攻撃が成功したか否かが判定できなかった。
【0005】
[例1:認証バイパスの場合]
例えば、ウェブアプリケーション/login.phpにはSQLインジェクションの脆弱性が存在し、以下のような攻撃を受けたとする。
例えば、ウェブアプリケーション/login.phpにはSQLインジェクションの脆弱性が存在し、以下のような攻撃を受けたとする。
【0006】
GET /login.php?id=admin&pw=1’ OR 1=1
<html><title>Login successful! Welcome admin</title></html>
<html><title>Login successful! Welcome admin</title></html>
【0007】
この攻撃が成功すると、攻撃者は、adminユーザのパスワードを知らなくてもadminとしてログインできてしまう。この攻撃は成功しても、レスポンスの内容に攻撃の痕跡は出現しない。
【0008】
[例2:情報漏洩]
例えば、個人情報を表示するウェブアプリケーション/show.phpにはSQLインジェクションの脆弱性が存在し、以下のような攻撃を受けたとする。
例えば、個人情報を表示するウェブアプリケーション/show.phpにはSQLインジェクションの脆弱性が存在し、以下のような攻撃を受けたとする。
【0009】
GET /show.php?id=alice&pw=1’ OR 1=1
<html>
<div>alice / tel: 12345678 / alice@example.com </div>
<div>admin / tel: 23456789 / admin@example.com</div>
</html>
<html>
<div>alice / tel: 12345678 / alice@example.com </div>
<div>admin / tel: 23456789 / admin@example.com</div>
</html>
【0010】
この攻撃が成功すると、攻撃者は、aliceの情報だけを閲覧できるだけでなく、パスワードを知らなくてもalice以外の情報を閲覧できてしまう。また、この攻撃も、攻撃に成功しても、レスポンスの内容に攻撃の痕跡は出現しない。
【0011】
また、上記の攻撃はいずれも、ウェブアプリケーションの機能の脆弱性に対する攻撃であり、その攻撃の被害はウェブアプリケーションの機能により異なるため、攻撃が成功したか否かを判定することが困難であった。
【0012】
そこで、本発明は、前記した問題を解決し、ウェブアプリケーションの機能に応じて被害が異なる攻撃であっても、攻撃が成功したか否かを判定することを課題とする。
【課題を解決するための手段】
【0013】
前記した課題を解決するため、本発明は、攻撃の検知対象の通信ログのリクエスト先のURLを用いて、リクエスト先のウェブアプリケーションの機能に応じて被害が異なる攻撃を検知し、前記攻撃を検知した前記通信ログから、前記リクエスト先のURLにおけるログインフォームの有無、リクエストに対するレスポンスサイズ、および、ステータスコードを特定する攻撃検知部と、前記攻撃を検知した前記通信ログについて、リクエスト先のURLにおけるログインフォームの有無、リクエストに対するレスポンスサイズ、および、ステータスコードの少なくともいずれかを用いて、前記攻撃が成功したか否かを判定する成否判定部と、前記判定の結果を出力する判定結果出力部とを備えることを特徴とする。
【発明の効果】
【0014】
本発明によれば、攻撃対象のウェブアプリケーションの機能に応じて被害が異なる攻撃であっても、攻撃が成功したか否かを判定することができる。
【図面の簡単な説明】
【0015】
【発明を実施するための形態】
【0016】
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は、以下に説明する実施形態に限定されない。
【0017】
[概要]
図1を用いて、本実施形態の判定装置10の概要を説明する。例えば、まず、判定装置10は、ウェブアプリケーションを備えるウェブサーバへの通信ログを取得する。そして、判定装置10は、予め用意した攻撃検知シグネチャ等を用いて、通信ログから、ウェブアプリケーションの機能に応じて被害が異なる攻撃の攻撃リクエストを検知する。その後、判定装置10は、検知した攻撃リクエストに対するレスポンスのステータスコード、レスポンス等を用いて、攻撃が成功したか否かを判定する。
図1を用いて、本実施形態の判定装置10の概要を説明する。例えば、まず、判定装置10は、ウェブアプリケーションを備えるウェブサーバへの通信ログを取得する。そして、判定装置10は、予め用意した攻撃検知シグネチャ等を用いて、通信ログから、ウェブアプリケーションの機能に応じて被害が異なる攻撃の攻撃リクエストを検知する。その後、判定装置10は、検知した攻撃リクエストに対するレスポンスのステータスコード、レスポンス等を用いて、攻撃が成功したか否かを判定する。
【0018】
ここではウェブサーバへのリクエストが符号101,102に示すリクエストであり、符号101に示すリクエストに対するステータスコードは「302」であり、符号102に示すリクエストに対するレスポンスサイズは「10000」である場合を例に説明する。
【0019】
この場合、判定装置10は、ウェブアプリケーションの機能に応じて被害が異なる攻撃の検知シグネチャ(例えば、“OR.*=.*#”)を用いて、符号101に示すリクエストを認証バイパス攻撃と特定し、ステータスコード(「302」)から攻撃成功と判定する。また、判定装置10は、ウェブアプリケーションの機能に応じて被害が異なる攻撃の検知シグネチャを用いて、符号102に示すリクエストを情報漏洩攻撃と特定し、レスポンスサイズ(「10000」)から攻撃成功と判定する。
【0020】
このような判定装置10によれば、攻撃対象のウェブアプリケーションの機能に応じて被害が異なる攻撃であっても、攻撃が成功したか否かを判定することができる。
【0021】
[構成例]
次に、判定装置10の構成例を説明する。判定装置10は、記憶部11と、制御部12とを備える。記憶部11は、制御部12が各種処理を実行する際に参照するデータや、各種処理の実行により生成されたデータを記憶する。
次に、判定装置10の構成例を説明する。判定装置10は、記憶部11と、制御部12とを備える。記憶部11は、制御部12が各種処理を実行する際に参照するデータや、各種処理の実行により生成されたデータを記憶する。
【0022】
例えば、記憶部11は、機能プロファイルの作成に用いる通信ログである第1の通信ログ、攻撃検知の対象となる通信ログである第2の通信ログ、制御部12により作成された機能プロファイル(詳細は後記)、検知データ(詳細は後記)、攻撃が成功したか否かの判定結果データ等を記憶する。なお、第1の通信ログおよび第2の通信ログは、例えば、判定装置10の入出力部(図示省略)経由で入力される。
【0023】
第1の通信ログは、例えば、図3に示すように、通信のリクエスト先のURL、リクエストに対するステータスコード、レスポンスサイズ、レスポンスの内容等を含む。また、第2の通信ログも上記と同様の情報を含む。
【0024】
制御部12は、判定装置10全体の制御を司る。制御部12は、機能プロファイル作成部121と、攻撃検知部122と、成否判定部123と、判定結果出力部124とを備える。
【0025】
機能プロファイル作成部121は、外部装置とウェブアプリケーションとの間で行われた正常な通信の通信ログに基づき、ウェブアプリケーションの機能ごとに、ログインフォームの有無、レスポンスサイズの範囲等の情報を示すプロファイル情報(機能プロファイル)を作成する。
【0026】
例えば、機能プロファイル作成部121は、図3に示す第1の通信ログから、正常な通信(攻撃以外の通信)の通信ログを取り出す。例えば、機能プロファイル作成部121は、図3に示す第1の通信ログから、攻撃検知部122により攻撃として検知されなかった通信ログ(No.1,2,3)を取得する。
【0027】
そして、機能プロファイル作成部121は、ウェブアプリケーションの機能の識別情報(プロファイルID)ごとに、ログインフォームの有無、レスポンスサイズの範囲、関連リクエストのNo等の情報を示す機能プロファイルを作成する。機能プロファイル作成部121は、作成した機能プロファイルを記憶部11に格納する。
【0028】
例えば、図3に例示する機能プロファイルは、ウェブアプリケーションの/login.phpには、ログインフォームが有り、当該機能へのリクエストに対する正常なレスポンスサイズの範囲は[0,100]であることを示す。また、関連リクエストは[1,3]であることを示す。
【0029】
また、ウェブアプリケーションの/show.phpには、ログインフォームが無く、当該機能へのリクエストに対する正常なレスポンスサイズの範囲は[0,100]であることを示す。また、関連リクエストは[2]であることを示す。
【0030】
図2の説明に戻る。攻撃検知部122は、第2の通信ログに示される通信ログにおけるリクエスト先のURLを用いて、リクエスト先のウェブアプリケーションの機能に応じて被害が異なる攻撃の通信ログを検知する。
【0031】
例えば、攻撃検知シグネチャを正規表現“OR.*=.*#”とした場合、攻撃検知部122は、第2の通信ログに示される通信ログのうち、リクエスト先のURLが“OR.*=.*#”を含む通信ログを、ウェブアプリケーションの機能に応じて被害が異なる攻撃の通信ログとして検知する。
【0032】
一例を挙げると、攻撃検知部122は、正規表現“OR.*=.*#”を攻撃検知シグネチャとして用いて、第2の通信ログにおけるNo.4,5,6を攻撃の通信ログとして検知する(図4参照)。そして、攻撃検知部122は、攻撃を検知した通信ログのNo(識別情報)と、攻撃を検知した対象箇所(例えば、リクエスト先のURLのうち、攻撃検知シグネチャにマッチした箇所)および攻撃の内容とを対応付けた情報を検知データとして記憶部11に格納する。
【0033】
なお、攻撃検知部122が、攻撃検知に用いる攻撃検知シグネチャは、正規表現“OR (1|'t') (#|--)”や、正規表現“.+['"] (#|--)”等であってもよい。
【0034】
図2の説明に戻る。成否判定部123は、攻撃検知部122により攻撃の通信ログとして検知された通信ログについて、リクエスト先のURLにおけるログインフォームの有無、レスポンスサイズ、および、ステータスコードの少なくともいずれかを用いて、攻撃が成功したか否かを判定する。
【0035】
例えば、成否判定部123は、攻撃検知部122により攻撃の通信ログとして検知された通信ログについて、リクエスト先のURLにおけるログインフォームの有無およびレスポンスサイズと、機能プロファイル情報(図3参照)とを照合することにより、攻撃が成功したか否かを判定する。
【0036】
成否判定部123は、例えば、検知データおよび機能プロファイル情報(図3参照)を用いて以下の2つの条件により、攻撃が成功したか否かを判定する。
【0037】
(1)攻撃を検知した通信ログのリクエスト先のURLにログインフォームがあり、リクエストに対するステータスコードがログイン成功を示す30X番台(300~309のいずれか)であれば、成否判定部123は認証バイパス攻撃に攻撃成功したと判定する。そうでなければ、成否判定部123は攻撃失敗と判定する。
【0038】
(2)攻撃を検知した通信ログのリクエスト先のURLにログインフォームがなく、リクエストに対するレスポンスサイズが、通常のレスポンスサイズの範囲を著しく超えている場合、成否判定部123は、情報漏洩を狙う攻撃に成功したと判定する。そうでなければ、成否判定部123は、攻撃失敗と判定する。
【0039】
なお、レスポンスサイズが通常のレスポンスサイズの範囲を著しく超えるか否かは、例えば、レスポンスサイズの標準偏差σを求め、攻撃を検知した通信ログにおけるレスポンスサイズがn×σを超えるか否かにより判定される。なお、nは、判定装置10のユーザが指定する定数である。例えば、n=3σである。
【0040】
例えば、図5のNo.4に示す通信ログは、ウェブアプリケーションの/login.phpに対する攻撃である。よって、成否判定部123は、ウェブアプリケーションの/login.phpの機能プロファイル(図3参照)に基づき、当該通信ログのリクエスト先(攻撃先)のURLにログインフォームが有るか否かを確認する。この通信ログのリクエスト先のURLにはログインフォームが有るので、成否判定部123は、当該通信ログを、認証バイパスを狙う攻撃と判定する。次に、成否判定部123が、当該通信ログのステータスコードを見ると、302である。つまり、リダイレクト(つまり、ログイン成功)を示す30X番台(300~309のいずれか)である。よって、成否判定部123は、認証バイパスを狙う攻撃に成功したと判定する。
【0041】
また、図5のNo5に示す通信ログも、ウェブアプリケーションの/login.phpに対する攻撃である。よって、成否判定部123は、ウェブアプリケーションの/login.phpの機能プロファイル(図3参照)に基づき、当該通信ログのリクエスト先(攻撃先)のURLにログインフォームが有るか否かを確認する。この通信ログのリクエスト先のURLにはログインフォームが有るので、成否判定部123は、当該通信ログを、認証バイパスを狙う攻撃と判定する。次に、成否判定部123が、当該通信ログのステータスコードを見ると、200である。つまり、リダイレクト(つまり、ログイン成功)を示す30X番台(300~309のいずれか)ではない。よって、成否判定部123は、認証バイパスを狙う攻撃に失敗したと判定する。
【0042】
さらに、図5のNo.6に示す通信ログは、ウェブアプリケーションの/show.phpに対する攻撃である。よって、成否判定部123は、ウェブアプリケーションの/show.phpの機能プロファイル(図3参照)に基づき、当該通信ログのリクエスト先(攻撃先)のURLにログインフォームが有るか否かを確認する。この通信ログのリクエスト先のURLにログインフォームはないので、成否判定部123は、当該通信ログを、情報漏洩を狙う攻撃として判定する。次に、成否判定部123が、当該通信ログのレスポンスサイズを見ると、10000である。このレスポンスサイズはウェブアプリケーションの/show.phpの機能プロファイルに示される通常のレスポンスサイズの範囲([0,100])を著しく超える。よって、成否判定部123は、情報漏洩を狙う攻撃に成功したと判定する。
【0043】
図2の説明に戻る。判定結果出力部124は、成否判定部123による判定結果を出力する。例えば、判定結果出力部124は、どのウェブアプリケーションの機能に対し、どのような攻撃が行われ、その攻撃が成功したか否かの判定結果を出力する。一例を挙げると、判定結果出力部124は、ウェブアプリケーションの/login.phpの認証バイパスを狙う攻撃が行われ、その攻撃が成功したか否かや、ウェブアプリケーションの/show.phpの情報漏洩を狙う攻撃が行われ、その攻撃が成功したか否かを出力する。判定結果は、例えば、記憶部11に格納される。
【0044】
このような判定装置10によれば、攻撃対象のウェブアプリケーションの機能に応じて被害が異なる攻撃が行われた場合でも、攻撃が成功したか否かを判定することができる。
【0045】
【0046】
判定装置10が新たな通信ログを取得すると(S1)、当該通信ログが攻撃検知部122で該当する攻撃(ウェブアプリケーションの機能に応じて被害が異なる攻撃)として検知されたか否かを判定する(S2)。
【0047】
そして、S1で取得された通信ログが攻撃検知部122で該当する攻撃(ウェブアプリケーションの機能に応じて被害が異なる攻撃)として検知されなかった場合(S2でNo)、機能プロファイル作成部121は、当該通信ログを用いて、ウェブアプリケーションの機能(URI)単位のプロファイル(機能プロファイル)を作成する(S3)。そして、機能プロファイル作成部121はS3で作成した機能プロファイルを記憶部11に格納する。
【0048】
一方、S1で取得された通信ログが攻撃検知部122で該当する攻撃(ウェブアプリケーションの機能に応じて被害が異なる攻撃)として検知された場合(S2でYes)、機能プロファイル作成部121は、当該通信ログを用いた機能プロファイルの作成処理は行わず、処理を終了する。
【0049】
次に、図7を用いて、判定装置10が、機能プロファイルを用いて、攻撃が成功したか否かを判定する手順の例を説明する。
【0050】
まず、判定装置10が新たな通信ログを取得すると(S11)、当該通信ログが攻撃検知部122で、該当する攻撃(ウェブアプリケーションの機能に応じて被害が異なる攻撃)として検知されたか否かを判定する(S12)。当該通信ログが攻撃検知部122で該当する攻撃(ウェブアプリケーションの機能に応じて被害が異なる攻撃)として検知された場合(S12でYes)、成否判定部123で機能プロファイルをもとに攻撃の成否を判定する(S13)。そして、判定結果出力部124は、S13における判定の結果を出力する(S14)。一方、当該通信ログが攻撃検知部122で該当する攻撃(ウェブアプリケーションの機能に応じて被害が異なる攻撃)として検知されなかった場合(S12でNo)、処理を終了する。
【0051】
判定装置10が上記の処理を行うことで、攻撃対象のウェブアプリケーションの機能に応じて被害が異なる攻撃であっても、攻撃が成功したか否かを判定することができる。その結果、保守者や管理者は、上記の攻撃に関し、優先すべきアラートとそうでないアラートを分別できるので、セキュリティオペレーションを効率的に行うことができる。
【0052】
[その他の実施形態]
なお、判定装置10における攻撃検知部122は、判定装置10の外部に設置されていてもよい。例えば、攻撃検知部122は、図8の(1)および(2)に示すように、判定装置10の外部に設置されるWAF(Web Application Firewall)等の攻撃検知機器により実現されてもよい。また、判定装置10は、図8の(1)に示すように、攻撃の成否の判定対象となるウェブサーバと直接接続する構成(インライン構成)としてもよいし、図8の(2)に示すように、ウェブサーバとWAF等の攻撃検知機器経由で接続する構成(タップ構成)としてもよい。
なお、判定装置10における攻撃検知部122は、判定装置10の外部に設置されていてもよい。例えば、攻撃検知部122は、図8の(1)および(2)に示すように、判定装置10の外部に設置されるWAF(Web Application Firewall)等の攻撃検知機器により実現されてもよい。また、判定装置10は、図8の(1)に示すように、攻撃の成否の判定対象となるウェブサーバと直接接続する構成(インライン構成)としてもよいし、図8の(2)に示すように、ウェブサーバとWAF等の攻撃検知機器経由で接続する構成(タップ構成)としてもよい。
【0053】
[システム構成等]
また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0054】
また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
【0055】
[プログラム]
前記した判定装置10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を判定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等の端末等がその範疇に含まれる。
前記した判定装置10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を判定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等の端末等がその範疇に含まれる。
【0056】
また、判定装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
【0057】
図8は、判定プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
【0058】
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
【0059】
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の判定装置10が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、判定装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
【0060】
また、上述した実施形態の処理で用いられるデータは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
【0061】
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続される他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
【符号の説明】
【0062】
10 判定装置
11 記憶部
12 制御部
121 機能プロファイル作成部
122 攻撃検知部
123 成否判定部
124 判定結果出力部
11 記憶部
12 制御部
121 機能プロファイル作成部
122 攻撃検知部
123 成否判定部
124 判定結果出力部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】