知財求人 - 知財ポータルサイト「IP Force」
▶ エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドの特許一覧 ▶ エヌエスフォーカス テクノロジーズ インクの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2018-530046(P2018-530046A)
(43)【公表日】2018年10月11日
(54)【発明の名称】サイバー攻撃の検出方法および検出装置
(51)【国際特許分類】
G06F 21/55 20130101AFI20180914BHJP
【FI】
G06F21/55
【審査請求】有
【予備審査請求】未請求
【全頁数】29
(21)【出願番号】特願2018-508155(P2018-508155)
(86)(22)【出願日】2016年8月17日
(85)【翻訳文提出日】2018年3月26日
(86)【国際出願番号】CN2016095714
(87)【国際公開番号】WO2017028789
(87)【国際公開日】20170223
(31)【優先権主張番号】201510505895.9
(32)【優先日】2015年8月17日
(33)【優先権主張国】CN
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,ST,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,KM,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IR,IS,JP,KE,KG,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SA,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US
(71)【出願人】
【識別番号】511273078
【氏名又は名称】エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッド
【氏名又は名称原語表記】NSFOCUS INFORMATION TECHNOLOGY CO.,LTD
(71)【出願人】
【識別番号】515056130
【氏名又は名称】エヌエスフォーカス テクノロジーズ インク
【氏名又は名称原語表記】NSFOCUS TECHNOLOGIES,INC.
(74)【代理人】
【識別番号】110000671
【氏名又は名称】八田国際特許業務法人
(72)【発明者】
【氏名】シェン,ジュンリ
(57)【要約】
サイバー攻撃の検出方法および装置であって、検査しようとする文字列に対する単語分割処理を行って各単語を得て、検査しようとする文字列に対応している各タプルを確定し、攻撃モデルデータベースの中に各タプルに対応しているモデルタプルが存在するかどうか、各単語の中の1番目の単語に対応しているモデル単語が存在するかどうかを確定し、攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されており、存在しているならば、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、検査しようとする文字列が対応している攻撃の確率を確定し、攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、検査しようとする文字列が攻撃行為のある文字列であると確定する。
【特許請求の範囲】
【請求項1】
検査しようとする文字列を取得し、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を得るステップと、
前記検査しようとする文字列が対応している各タプルを確定するため、デフォルトタプルの構成規則に基づいて前記各単語に対するタプルの形成処理を行うステップと、
前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定するステップであって、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されて要る前記確定ステップと、
存在しているならば、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃確率を確定するステップと、
前記攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定するステップとを備えることを特徴とする、サイバー攻撃の検出方法。
前記検査しようとする文字列が対応している各タプルを確定するため、デフォルトタプルの構成規則に基づいて前記各単語に対するタプルの形成処理を行うステップと、
前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定するステップであって、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されて要る前記確定ステップと、
存在しているならば、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃確率を確定するステップと、
前記攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定するステップとを備えることを特徴とする、サイバー攻撃の検出方法。
【請求項2】
前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃確率を確定するステップは、
前記各対応モデルタプルの出現確率と前記対応モデル単語の出現確率を足して、前記検査しようとする文字列が対応している攻撃確率を得るステップを備えることを特徴とする、請求項1に記載のサイバー攻撃の検出方法。
前記各対応モデルタプルの出現確率と前記対応モデル単語の出現確率を足して、前記検査しようとする文字列が対応している攻撃確率を得るステップを備えることを特徴とする、請求項1に記載のサイバー攻撃の検出方法。
【請求項3】
前記検査しようとする文字列を取得し、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を得る前に、
攻撃サンプル集合を取得するステップであって、前記攻撃サンプル集合の中に各攻撃サンプル文字列が含まれる前記取得するステップと、
前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得るステップと、
前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理を行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定ステップと、
前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率をそれぞれ確定するステップと、
前記攻撃サンプル集合に含まれる前記各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率の関連を前記攻撃モデルデータベースの中に保存するステップとを備えることを特徴とする、請求項1に記載のサイバー攻撃の検出方法。
攻撃サンプル集合を取得するステップであって、前記攻撃サンプル集合の中に各攻撃サンプル文字列が含まれる前記取得するステップと、
前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得るステップと、
前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理を行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定ステップと、
前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率をそれぞれ確定するステップと、
前記攻撃サンプル集合に含まれる前記各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率の関連を前記攻撃モデルデータベースの中に保存するステップとを備えることを特徴とする、請求項1に記載のサイバー攻撃の検出方法。
【請求項4】
前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率を確定するステップは、
前記攻撃サンプル集合に含まれるそれぞれの各モデル単語の出現回数と、前記攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定するステップを備えることを特徴とする、請求項3に記載のサイバー攻撃の検出方法。
前記攻撃サンプル集合に含まれるそれぞれの各モデル単語の出現回数と、前記攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定するステップを備えることを特徴とする、請求項3に記載のサイバー攻撃の検出方法。
【請求項5】
前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率を確定するステップは、
次の数式に基づいて前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率を確定し、
ことを特徴とする、請求項3に記載のサイバー攻撃の検出方法。
次の数式に基づいて前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率を確定し、
【数1】
【請求項6】
検査しようとする文字列を取得し、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を取得するのに用いる第1取得モジュールと、
デフォルトタプルの構成規則に基づいて前記各単語に対するタプル形成処理を行い、前記検査しようとする文字列に対応している各タプルを確定するのに用いる第1確定モジュールと、
前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定するのに用い、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されている第2確定モジュールと、
前記第2確定モジュールは各対応モデルタプルと対応モデル単語が存在していると確定した場合、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃確率を確定するのに用いる第3確定モジュールと、
前記攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定するのに用いる第4確定モジュールとを備えることを特徴とする、サイバー攻撃検出装置。
デフォルトタプルの構成規則に基づいて前記各単語に対するタプル形成処理を行い、前記検査しようとする文字列に対応している各タプルを確定するのに用いる第1確定モジュールと、
前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定するのに用い、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されている第2確定モジュールと、
前記第2確定モジュールは各対応モデルタプルと対応モデル単語が存在していると確定した場合、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃確率を確定するのに用いる第3確定モジュールと、
前記攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定するのに用いる第4確定モジュールとを備えることを特徴とする、サイバー攻撃検出装置。
【請求項7】
前記第3確定モジュールは、
前記各対応モデルタプルの出現確率と前記対応モデル単語の出現確率を足して、前記検査しようとする文字列が対応している攻撃確率を得るのに用いることを特徴とする、請求項6に記載のサイバー攻撃検出装置。
前記各対応モデルタプルの出現確率と前記対応モデル単語の出現確率を足して、前記検査しようとする文字列が対応している攻撃確率を得るのに用いることを特徴とする、請求項6に記載のサイバー攻撃検出装置。
【請求項8】
攻撃サンプル集合を取得するのに用い、前記攻撃サンプル集合の中に各攻撃サンプル文字列が含まれている第2取得モジュールと、
前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得るのに用いる第3取得モジュールと、
前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定するのに用いる第5確定モジュールと、
前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率をそれぞれ確定するのに用いる第6確定モジュールと、
前記攻撃サンプル集合に含まれる前記各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率を関連つけて前記攻撃モデルデータベースの中に保存するのに用いる保存モジュールとをさらに備えることを特徴とする、請求項6に記載のサイバー攻撃検出装置。
前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得るのに用いる第3取得モジュールと、
前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定するのに用いる第5確定モジュールと、
前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率をそれぞれ確定するのに用いる第6確定モジュールと、
前記攻撃サンプル集合に含まれる前記各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率を関連つけて前記攻撃モデルデータベースの中に保存するのに用いる保存モジュールとをさらに備えることを特徴とする、請求項6に記載のサイバー攻撃検出装置。
【請求項9】
前記第6確定モジュールは、
前記攻撃サンプル集合に含まれるそれぞれの各モデル単語の出現回数と、前記攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定するのに用いることを特徴とする、請求項8に記載のサイバー攻撃検出装置。
前記攻撃サンプル集合に含まれるそれぞれの各モデル単語の出現回数と、前記攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定するのに用いることを特徴とする、請求項8に記載のサイバー攻撃検出装置。
【請求項10】
前記第6確定モジュールは、
次の数式に基づいて前記攻撃サンプル集合に含まれる各モデルタプルの出現確率を確定するのに用い、
ことを特徴とする、請求項8に記載のサイバー攻撃検出装置。
次の数式に基づいて前記攻撃サンプル集合に含まれる各モデルタプルの出現確率を確定するのに用い、
【数2】
【請求項11】
トランシーバーと、プロセッサーとを含み、
前記トランシーバーは、検査しようとする文字列を取得するのに用い、
前記プロセッサーは、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を得るのに用い、デフォルトタプルの構成規則に基づいて前記各単語に対するタプル形成処理を行い、前記検査しようとする文字列が対応している各タプルを確定するのに用い、
前記プロセッサーはまた、前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定し、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されており、存在しているならば、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃確率を確定し、前記攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定するのに用いることを特徴とする、サイバー攻撃検出装置。
前記トランシーバーは、検査しようとする文字列を取得するのに用い、
前記プロセッサーは、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を得るのに用い、デフォルトタプルの構成規則に基づいて前記各単語に対するタプル形成処理を行い、前記検査しようとする文字列が対応している各タプルを確定するのに用い、
前記プロセッサーはまた、前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定し、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されており、存在しているならば、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃確率を確定し、前記攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定するのに用いることを特徴とする、サイバー攻撃検出装置。
【請求項12】
前記プロセッサーは、
前記各対応モデルタプルの出現確率と前記対応モデル単語の出現確率を足して、前記検査しようとする文字列が対応している攻撃の確率を得るのに用いることを特徴とする、請求項11に記載したサイバー攻撃検出装置。
前記各対応モデルタプルの出現確率と前記対応モデル単語の出現確率を足して、前記検査しようとする文字列が対応している攻撃の確率を得るのに用いることを特徴とする、請求項11に記載したサイバー攻撃検出装置。
【請求項13】
前記トランシーバーはまた、攻撃サンプル集合を取得するのに用い、前記攻撃サンプル集合の中に各攻撃サンプル文字列が含まれており、
前記プロセッサーはまた、前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得て、前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理を行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定し、前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率をそれぞれ確定するのに用い、
さらに、前記攻撃サンプル集合に含まれる前記各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率を関連つけて前記攻撃モデルデータベースの中に保存するのに用いる記憶装置を、備えることを特徴とする、請求項11に記載のサイバー攻撃検出装置。
前記プロセッサーはまた、前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得て、前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理を行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定し、前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率をそれぞれ確定するのに用い、
さらに、前記攻撃サンプル集合に含まれる前記各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率を関連つけて前記攻撃モデルデータベースの中に保存するのに用いる記憶装置を、備えることを特徴とする、請求項11に記載のサイバー攻撃検出装置。
【請求項14】
前記プロセッサーは、
前記攻撃サンプル集合に含まれるそれぞれの各モデル単語の出現回数と、前記攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定するのに用いることを特徴とする、請求項13に記載のサイバー攻撃検出装置。
前記攻撃サンプル集合に含まれるそれぞれの各モデル単語の出現回数と、前記攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定するのに用いることを特徴とする、請求項13に記載のサイバー攻撃検出装置。
【請求項15】
前記プロセッサーは、
次の数式に基づいて前記攻撃サンプル集合に含まれる各モデルタプルの出現確率を確定するのに用い、
ことを特徴とする、請求項13に記載のサイバー攻撃検出装置。
次の数式に基づいて前記攻撃サンプル集合に含まれる各モデルタプルの出現確率を確定するのに用い、
【数3】
【発明の詳細な説明】
【技術分野】
【0001】
本願はネットワークセキュリティ領域、特にサイバー攻撃の検出方法および検出装置に関する。
【背景技術】
【0002】
サイバー攻撃はネットワークセキュリティに影響を与える1つの重要な隠れた危険であり、ネットワークの運行を保証するため、ネットワークの中に存在する攻撃行為を直ちに検出する必要がある。
【0003】
従来のサイバー攻撃検出技術はすべてライブラリの中の正規表現を使ってHTTP(Hyper Text Transfer Protocol、ハイパーテキスト・トランスファー・プロトコル)リクエストなどのネットワーク伝送データと整合することによって、伝送データの中に攻撃が存在するかどうかを判定している。
【0004】
この方法は大量の正規表現ライブラリに基づく必要があるが、このライブラリの中にはしばしば盲点が生じることがあり、しかもライブラリの中の特徴にはときどき前後関連の情況が発生し、新しい特徴を添加する人件費の高騰を招くばかりでなく、新しい特徴が古い特徴に影響を与える恐れさえあるため、古い特徴を失効させる状況をもたらし、サイバー攻撃検出の信憑性を失ってしまう可能性がある。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本願はサイバー攻撃の検出方法および検出装置を提供し、サイバー攻撃検出の信憑性を高めることを目的とする。
【課題を解決するための手段】
【0006】
本願の実施例に係るサイバー攻撃の検出方法は、検査しようとする文字列を取得し、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を得て、デフォルトタプルの構成規則に基づいて前記各単語に対するタプルの形成処理を行い、前記検査しようとする文字列に対応している各タプルを確定するステップと、
前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定するステップであって、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されている前記確定ステップと、
存在しているならば、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃の確率を確定し、前記攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定するステップとを含む。
【0007】
本願の実施例が提供する方法は、現在の検査しようとする文字列すなわちネットワーク伝送データに対して、サイバー攻撃行為があるかどうかを確定する際、まずそれに対する単語分割、タプルの構成処理を行って、対応している各タプルを得て、前もって取得した各モデルタプルおよびその対応出現確率と各モデル単語およびその対応出現確率を保存している攻撃モデルデータベースの中で、得られた各タプルに対応しているモデルタプルと1番目の単語を整合することによって、対応モデルタプルと対応モデル単語の出現確率に基づいて当該検査しようとする文字列の攻撃確率を確定し、攻撃確率が一定の限界値より大きければ、当該文字列が攻撃行為のある文字列であると確定する。攻撃モデルデータベースの中に保存している各モデル単語とモデルタプルの出現確率は大量の攻撃サンプルの統計解析で得たもので、攻撃サンプルの統計特徴を体現することができるため、当該統計特徴に基づいて検査しようとする文字列の攻撃行為の検出結果をさらに正確なものにすることができる。
【0008】
選択可能な、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃確率を確定するステップは、前記各対応モデルタプルの出現確率と前記対応モデル単語の出現確率を足して、前記検査しようとする文字列が対応している攻撃の確率を得るステップを含む。
【0009】
さらに、前記検査しようとする文字列を取得し、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を得る前に、攻撃サンプル集合を取得するステップであって、前記攻撃サンプル集合の中に各攻撃サンプル文字列が含まれる前記取得するステップと、
前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得るステップと、
前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理を行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定するステップと、
前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率をそれぞれ確定するステップと、
前記攻撃サンプル集合に含まれる各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率を関連つけて前記攻撃モデルデータベースの中に保存するステップとを含む。
【0010】
上述の方法は、攻撃モデルデータベースの中に保存している各モデル単語とモデルタプルの出現確率は大量の攻撃サンプルの統計解析で得たもので、攻撃サンプルの統計特徴を体現することができるため、当該統計特徴に基づいて検査しようとする文字列の攻撃行為の検出結果をさらに正確なものにすることができる。
【0011】
選択可能な、前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率を確定するステップは、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現回数と、前記攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定するステップを含む。
【0012】
選択可能な、前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率を確定するステップは、次の数式に基づいて前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率を確定することを含み、
【0013】
【数1】
【0014】
上述の方法は、大量の攻撃サンプル文字列の中の各単語と各タプルの出現確率の分析に基づいて、攻撃モデルデータベースを得たもので、攻撃文字列の具体的な形式が絶えずに更新されるが、その攻撃行為の特徴には本質的な変化が起きるわけではなく、すなわち、大量の攻撃サンプル文字列にはしばしば類似の確率統計特徴がある。そのため、当該攻撃モデルデータベースに基づいて、検査しようとする文字列に攻撃行為があるかどうかを正確に判定することができる。
【0015】
本願の実施例に係るサイバー攻撃の検出装置は、検査しようとする文字列を取得し、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を得るのに用いる第1取得モジュールと、
デフォルトタプルの構成規則に基づいて前記各単語に対するタプル形成処理を行い、前記検査しようとする文字列に対応している各タプルを確定するのに用いる第1確定モジュールと、
前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定するのに用い、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されている第2確定モジュールと、
前記第2確定モジュールは各対応モデルタプルと対応モデル単語が存在していると確定した場合、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃の確率を確定するのに用いる第3確定モジュールと、
前記攻撃確率がデフォルト確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定するのに用いる第4確定モジュールとを含む。
【0016】
選択可能な、前記第3確定モジュールは具体的に、前記各対応モデルタプルの出現確率と前記対応モデル単語の出現確率を足して、前記検査しようとする文字列が対応している攻撃の確率を得るのに用いる。
【0017】
選択可能な、攻撃サンプル集合を取得するのに用い、前記攻撃サンプル集合の中に各攻撃サンプル文字列が含まれている第2取得モジュールと、
前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得るのに用いる第3取得モジュールと、
前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理を行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定するのに用いる第5確定モジュールと、
前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率をそれぞれ確定するのに用いる第6確定モジュールと、
前記攻撃サンプル集合に含まれる前記各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率の関連を前記攻撃モデルデータベースの中に保存するのに用いる保存モジュールとを含む。
【0018】
選択可能な、前記第6確定モジュールは、前記攻撃サンプル集合に含まれるそれぞれの各モデル単語の出現回数と、前記攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定するのに用いる。
【0019】
選択可能な、前記第6確定モジュールは、次の数式に基づいて前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率を確定するのに用い、
【0020】
【数2】
【0021】
本願の実施例に係るサイバー攻撃の検出装置はトランシーバーと、プロセッサーとを含み、前記トランシーバーは、検査しようとする文字列を取得するのに用い、
前記プロセッサーは、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を得て、デフォルトタプルの構成規則に基づいて前記各単語に対するタプルの形成処理を行い、前記検査しようとする文字列に対応している各タプルを確定するのに用い、
前記プロセッサーはまた、前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定し、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されており、存在しているならば、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃の確率を確定し、前記攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定するのに用いる。
【0022】
選択可能な、前記プロセッサーは、前記各対応モデルタプルの出現確率と前記対応モデル単語の出現確率を足して、前記検査しようとする文字列が対応している攻撃の確率を得るのに用いる。
【0023】
選択可能な、前記プロセッサーは、前記トランシーバーはまた、攻撃サンプル集合を取得するのに用い、前記攻撃サンプル集合の中に各攻撃サンプル文字列が含まれており、
前記プロセッサーはまた、前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得て、前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理を行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定し、前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率を確定するのに用い、
さらに、前記攻撃サンプル集合に含まれる前記各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率を関連つけて前記攻撃モデルデータベースの中に保存するのに用いる記憶装置を、含む。
【0024】
選択可能な、前記プロセッサーは、前記攻撃サンプル集合に含まれるそれぞれの各モデル単語の出現回数と、前記攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定するのに用いる。
【0025】
選択可能な、プロセッサーは、次の数式に基づいて前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率を確定するのに用い、
【0026】
【数3】
【0027】
本発明の実施例の技術手段をさらにわかりやすく説明するために、次に実施例の描述に必要な図面について説明する。
【図面の簡単な説明】
【0028】
【図1】は本発明のサイバー攻撃検出方法の実施例1のフローチャートである。
【図2】は本発明のサイバー攻撃検出方法の実施例2のフローチャートである。
【図3】は本発明のサイバー攻撃検出装置の実施例1の構造説明図である。
【図4】は本発明のサイバー攻撃検出装置の実施例2の構造説明図である。
【図5】は本発明のサイバー攻撃検出装置の実施例3の構造説明図である。
【発明を実施するための形態】
【0029】
本願の目的、技術手段と長所をさらに明らかにするために、次に図面を参照しながら本願をさらに詳しく説明するが、当然なことながら、説明した実施例は本願実施例の一部に過ぎず、すべての実施例ではない。本願の実施例に基づいて、当該領域の一般技術者が創造性労働をせずに取得したすべての実施例は、すべて本願の保護範囲に属するものである。
【0030】
次に図面を参照しながら本願の実施例をさらに詳しく説明する。
【0032】
ステップ101、検査しようとする文字列を取得し、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を得る。
【0033】
本実施例において、前記検査しようとする文字列はHTTPリクエスト情報などのネットワーク伝送データを指す。語義およびキャラクター識別などの方法に基づいて、検査しようとする文字列に対する単語分割処理を行い、その中に含まれる各単語を得る。
【0034】
1条の検査しようとする文字列にとって、すべて英単語から構成されるものではなく、また数字、記号などの構成部分も含み、本実施例において、これらの構成部分をすべて単語と称することに注目されたい。
【0035】
ステップ102、デフォルトタプルの構成規則に基づいて前記各単語に対するタプルの形成処理を行い、前記検査しようとする文字列に対応している各タプルを確定する。
【0036】
前記デフォルトタプルの構成規則の中で例えばタプルの大きさすなわちそれぞれのタプルに含まれる単語の数量、およびそれぞれのタプル内の各単語の位置関係を定めている。
【0037】
例えば、仮に検査しようとする文字列Sの単語分割結果を順次に、A、B、Cの3つの単語とし、かつタプル構成規則はタプルの大きさが2つまりそれぞれのタプルに2つの単語を含むと規定し、しかも順次にそれぞれの単語にとって、その対応しているタプルは自身とその後に隣り合っている1つの単語から構成されると仮定する。それでは、前記検査しようとする文字列Sが対応しているタプルは(A、B)と(B、C)の2つのタプルを含む。
【0038】
ステップ103、前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定し、存在しているならば、ステップ104を実行し、そうでなければ、終了する。
【0039】
そのうち、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されている。
【0040】
ステップ104、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃の確率を確定する。
【0041】
ステップ105、前記攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定する。
【0042】
本実施例において、前記攻撃モデルデータベースは前もって作成し、前もって取得した大量の攻撃サンプル文字列に対する統計解析を通じて得られたもので、具体的に言えば、攻撃モデルデータベースの中に保存している各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率は、すべて大量の攻撃サンプル文字列に対する統計解析で得られたものである。
【0043】
そのうち、各モデル単語は大量の攻撃サンプル文字列に対する単語分割処理を行った後に得られた各単語を含み、各モデルタプルはそれぞれの攻撃サンプル文字列の中に含まれる各モデル単語に対するタプル構成を行った後で得られた各タプルを含む。
【0044】
具体的な攻撃モデルデータベースの作成過程は後続の実施例の中で説明する。本実施例において、攻撃モデルデータベースの使用過程しか触れない。
【0045】
具体的には、検査しようとする文字列の中に含まれる各単語と各タプルを取得した後、攻撃モデルデータベースを検索して、攻撃モデルデータベースの中に各タプルに対応しているモデルタプルが存在するかどうか、検査しようとする文字列を単語分割処理した後に得られた1番目の単語に対応しているモデル単語が存在しているかどうかを確定する。存在しているならば、対応している出現確率をそれぞれ取得する。
【0046】
そのうち、検査しようとする文字列を単語分割処理した後に得られた1番目の単語に対応しているモデル単語が存在しているかどうかを確定するのは、検査しようとする文字列の攻撃確率の計算数式によって決められたものであり、それをのちに紹介する。
【0047】
各対応モデルタプルの出現確率および1番目の単語に対応しているモデル単語の出現確率を得た後、次の方法を通じて検査しようとする文字列が対応している攻撃の確率を得ることができる。
【0048】
各対応モデルタプルの出現確率と対応モデル単語の出現確率を足す。
【0049】
引き続き上述の例で説明すると、検査しようとする文字列Sを単語分割処理した後に得られた1番目の単語はAである。仮に攻撃モデルデータベースの中に前記単語A、およびタプル(A、B)とタプル(B、C)が存在し、かつAの出現確率P(A)=p1、タプル(A、B)の出現確率P(A|B)=p2、タプル(B、C)の出現確率P(B|C)=p3であると仮定する。
【0050】
よって、検査しようとする文字列Sの攻撃確率P(S)=P(A)+P(A|B)+P(B|C)=p1+p2+p3となる。
【0051】
さらに、(p1+p2+p3)がデフォルト確率の限界値p0より大きい場合、検査しようとする文字列Sの中に多くの攻撃特徴を持つタプルと単語があることを意味するので、この際、検査しようとする文字列Sが攻撃行為のある文字列であると確定する。
【0052】
本実施例において、現在検査しようとする文字列すなわちネットワークの伝送データに対して、サイバー攻撃行為があるかどうかを確定する際、まずそれに対する単語分割、タプルの構成処理を行って、対応している各タプルを得て、さらに前もって取得した各モデルタプルおよびその対応出現確率と各モデル単語およびその対応出現確率を保存している攻撃モデルデータベースの中で、得られた各タプルに対応しているモデルタプルと1番目の単語を整合して、対応モデルタプルと対応モデル単語の出現確率に基づいて当該検査しようとする文字列の攻撃確率を確定し、攻撃の確率が一定の限界値より大きければ、当該検査しようとする文字列が攻撃行為のある文字列であると確定する。攻撃モデルデータベースの中に保存している各モデル単語とモデルタプルの出現確率は大量の攻撃サンプルの統計解析で得られたものであるため、攻撃サンプルの統計特徴を体現することができるため、当該統計特徴に基づいて検査しようとする文字列の攻撃行為の検出結果をさらに正確なものにすることができる。
【0054】
ステップ201、攻撃サンプル集合を取得し、前記攻撃サンプル集合の中に各攻撃サンプル文字列が含まれる。
【0055】
前記各攻撃サンプル文字列は前もって採集して得られたサイバー攻撃行為を有する文字列である。
【0056】
ステップ202、前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得る。
【0057】
前記実施例を参考にして、それぞれの攻撃サンプル文字列に対する単語分割処理を行い、それぞれの攻撃サンプル文字列の中に含まれるモデル単語を得て、各攻撃サンプル文字列の中に含まれるモデル単語を合併して、攻撃サンプル集合に含まれる各モデル単語を得る。
【0058】
ステップ203、前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理を行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定する。
【0059】
前記実施例を参考にして、それぞれの攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理を行い、それぞれの攻撃サンプル文字列の中に含まれるモデルタプルを得て、各攻撃サンプル文字列の中に含まれるモデルタプルを合併して、攻撃サンプル集合に含まれる各モデルタプルを得る。
【0060】
ステップ204、前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率をそれぞれ確定する。
【0061】
例えば、仮に攻撃サンプル集合の中にS1とS2の2の攻撃サンプル文字列を含み、S1単語分割の結果に順次にA、B、Cの3つのモデル単語が含まれており、(A、B)と(B、C)の2つのタプルを得て、S2単語分割の結果に順次にA、C、Dの3つモデル単語が含まれており、(A、C)と(C、D)の2つのタプルを得ると仮定する。
【0062】
そのうち、次の方法に基づいて攻撃サンプル集合に含まれる各モデル単語の出現確率を確定する。
【0063】
攻撃サンプル集合に含まれるそれぞれの各モデル単語の出現回数と、攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定する。
【0064】
上述の例で言うと、モデル単語Cに対して言えば、その出現回数が2で、攻撃サンプル集合に含まれるすべてのモデル単語の総計が6であるから、よってその出現確率は2/6である。
【0065】
そのうち、次の数式に基づいて攻撃サンプル集合に含まれる各モデルタプルの出現確率を確定し、
【0066】
【数4】
【0067】
上述の例で言うと、タプル(A、C)に対して言えば、その出現確率はP(A|C)=#(A,C)/#(A)である。
【0068】
そのうち、#(A、C)=1、#(A)=2、P(A|C)=1/2。
【0069】
ステップ205、前記攻撃サンプル集合に含まれる前記各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率を関連つけて前記攻撃モデルデータベースの中に保存する。
【0070】
本実施例において、大量の攻撃サンプル文字列の中の各単語と各タプルの出現確率の分析に基づいて、攻撃モデルデータベースを得ている。攻撃文字列の具体的な形式が絶えずに更新されるが、その攻撃行為の特徴には本質的な変化が起きるわけではなく、すなわち、大量の攻撃サンプル文字列には類似の確率統計特徴を有することがよくある。そのため、当該攻撃モデルデータベースに基づいて、検査しようとする文字列に攻撃行為があるかどうかを正確に判定することを実現することができる。
【0071】
図3は本発明のサイバー攻撃検出装置の実施例1の構造説明図で、図3に示したように、当該端末装置は、第1取得モジュール11と、第1確定モジュール12と、第2確定モジュール13と、第3確定モジュール14と、第4確定モジュール15とを含む。
【0072】
第1取得モジュール11、検査しようとする文字列を取得し、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を得るのに用いる。
【0073】
第1確定モジュール12、デフォルトタプルの構成規則に基づいて前記各単語に対するタプル形成処理を行い、前記検査しようとする文字列に対応している各タプルを確定するのに用いる。
【0074】
第2確定モジュール13、前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定するのに用い、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されている。
【0075】
第3確定モジュール14、前記第2確定モジュールは各対応モデルタプルと対応モデル単語が存在していると確定した場合、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃の確率を確定するのに用いる。
【0076】
第4確定モジュール15、前記攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定するのに用いる。
【0077】
ここで、前記第3確定モジュール14は、前記各対応モデルタプルの出現確率と前記各対応モデル単語の出現確率を足して、前記検査しようとする文字列が対応している攻撃の確率を得るのに用いる。
【0078】
本実施例の装置は図1に示した方法の実施例の技術手段を実行するのに用いることができるが、その実現原理と技術効果が類似しているので、ここでその詳細を省略する。
【0079】
図4は本発明のサイバー攻撃検出装置の実施例2の構造説明図で、図4に示したように、図3に示した実施例の上に、さらに第2取得モジュール21、第3取得モジュール22、第5確定モジュール23、第6確定モジュール24、保存モジュール25を含む。
【0080】
第2取得モジュール21、攻撃サンプル集合を取得するのに用い、前記攻撃サンプル集合の中に各攻撃サンプル文字列が含まれる。
【0081】
第3取得モジュール22、前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得るのに用いる。
【0082】
第5確定モジュール23、前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定するのに用いる。
【0083】
第6確定モジュール24、前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率をそれぞれ確定するのに用いる。
【0084】
保存モジュール25、前記攻撃サンプル集合に含まれる前記各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率を関連つけて前記攻撃モデルデータベースの中に保存するのに用いる。
【0085】
そのうち、前記第6確定モジュール24は具体的に、前記攻撃サンプル集合に含まれるそれぞれの各モデル単語の出現回数と、前記攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定するのに用いる。
【0086】
また、前記第6確定モジュール24は、次の数式に基づいて前記攻撃サンプル集合に含まれる各モデルタプルの出現確率を確定するのに用いられる。
【0087】
【数5】
【0088】
本実施例の装置は図2に示した方法の実施例の技術手段を実行するのに用いることができるが、その実現原理と技術効果が類似しているので、ここでその詳細を省略する。
【0089】
同様な技術構想に基づいて、本願の実施例はもう一種のサイバー攻撃検出装置を提供する。図5は本発明のサイバー攻撃検出装置の実施例3の構造説明図で、当該サイバー攻撃検出装置400は、トランシーバー401、プロセッサー402、記憶装置403とバスシステム404を含む。
【0090】
そのうち、記憶装置403は、プログラムを保存するのに用いる。具体的には、プログラムはプログラムコードを含んでもよく、プログラムコードはコンピュータの操作命令を含む。記憶装置403はランダムアクセスメモリー(random access memory、略称RAM)であってもよく、不揮発性記憶装置(non−volatile memory)であってもよいが、少なくとも1つのディスクのような記憶装置である。図の中に1つの記憶装置しか示していないが、当然なことながら、記憶装置は必要に応じて、複数個を設けることもできる。記憶装置403はプロセッサー402の中の記憶装置であってもよい。
【0091】
記憶装置403は次の要素を保存しており、モジュールあるいはデータ構造、あるいはそれらの部分集合、あるいはそれらの上位集合を実行することができる、操作命令は、各種の操作命令を含み、各種の操作を実現するのに用いる。
【0092】
操作システムは、各種のシステムプログラムを含み、各種の基礎的業務の実現およびハードウエアに基づく任務の処理に用いる。
【0093】
プロセッサー402はサイバー攻撃検出装置400の操作を制御し、プロセッサー402はまたCPU(Central Processing unit、中央処理装置)と称することもできる。具体的に応用する際、サイバー攻撃検出装置400のそれぞれのモジュールはバスシステム404を通じて連結しており、そのうちバスシステム404はデータバスを含むほか、また電源バス、制御バスとステータス信号バスなどを含んでもよい。しかし、わかりやすく説明するために、図の中で各種のバスをすべてバスシステム404と表示している。表示しやすくするために、図5は単に象徴的に描いただけである。
【0094】
前記本願の実施例が掲示した方法はプロセッサー402に応用するか、あるいはプロセッサー402によって実現することができる。プロセッサー402はICチップであってもよく、信号の処理能力がある。実現の過程において、前記方法の各ステップはプロセッサー402の中のハードウエアの集積論理回路あるいはソフトウェア形式の命令を通じて完成することができる。前記プロセッサー402は汎用プロセッサー、デジタル・シグナル・プロセッサー(DSP)、専用集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)あるいはその他プログラマブルロジックデバイス、ディスクリートゲートあるいはトランジスターロジックデバイス、ディスクリートハードウエアモジュールであってもよい。本願の実施例が公開した各種の方法、ステップおよびロジックブロックダイアグラムを実現または実行することができる。汎用プロセッサーはマイクロ・プロセッサであってもよく、あるいは当該プロセッサーはあらゆる通常プロセッサーなどであってもよい。本願の実施例が公開した方法のステップに合わせて直接ハードウエアディコーディングプロセッサーに体現して実行するか、あるいはディコーディングプロセッサーの中のハードウエアとソフトウェアモジュールの組み合わせで実行して完成することができる。ソフトウェアモジュールはランダムアクセスメモリー、フラッシュメモリ、リードオンリーメモリ、プログラマブルリードオンリーメモリあるいはイーイープロム、レジスターなど当該領域の成熟した記憶媒体の中にあってもよい。当該記憶媒体の記憶装置403、プロセッサー402、リードオンリーメモリ403の中にある情報は、そのハードウエアと合わせて以下のステップを実行する。
【0095】
前記トランシーバー401は、検査しようとする文字列を取得するのに用いる。
【0096】
前記プロセッサー402は、前記検査しようとする文字列に対する単語分割処理を行い、前記検査しようとする文字列の中に含まれる各単語を得て、デフォルトタプルの構成規則に基づいて前記各単語に対するタプルの形成処理を行い、前記検査しようとする文字列が対応している各タプルを確定するのに用いる。
【0097】
前記プロセッサー402はまた、前もって取得した攻撃モデルデータベースの中に、前記各タプルに対応しているモデルタプルが存在しているかどうか、前記各単語の中の1番目の単語に対応しているモデル単語が存在しているかどうかを確定し、前記攻撃モデルデータベースの中に各モデルタプルおよびそれぞれのモデルタプルの出現確率、各モデル単語およびそれぞれのモデル単語の出現確率が保存されており、存在しているならば、各対応モデルタプルおよび対応モデル単語の出現確率を取得し、前記各対応モデルタプルの出現確率および各対応モデル単語の出現確率に基づいて、前記検査しようとする文字列が対応している攻撃の確率を確定し、前記攻撃の確率がデフォルトの確率の限界値より大きいあるいは等しい場合、前記検査しようとする文字列が攻撃行為のある文字列であると確定するのに用いる。
【0098】
選択可能な、前記プロセッサー402は、前記各対応モデルタプルの出現確率と前記対応モデル単語の出現確率を足して、前記検査しようとする文字列が対応している攻撃の確率を得るのに用いる。
【0099】
選択可能な、前記トランシーバー401はまた、攻撃サンプル集合を取得するのに用い、前記攻撃サンプル集合の中に各攻撃サンプル文字列が含まれる。
【0100】
前記プロセッサー402はまた、前記各攻撃サンプル文字列に対する単語分割処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデル単語を得て、前記デフォルトタプルの構成規則に基づいて前記各攻撃サンプル文字列の中に含まれるモデル単語に対するタプル形成処理をそれぞれ行い、前記攻撃サンプル集合に含まれる前記各モデルタプルを確定し、前記攻撃サンプル集合に含まれる前記各モデル単語の出現確率および前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率をそれぞれ確定するのに用いる。
【0101】
記憶装置403は、前記攻撃サンプル集合に含まれる前記各モデル単語と前記各モデル単語の出現確率を関連つけて前記攻撃モデルデータベースの中に保存し、および前記攻撃サンプル集合に含まれる前記各モデルタプルと前記各モデルタプルの出現確率を関連つけて前記攻撃モデルデータベースの中に保存するのに用いる。
【0102】
選択可能な、前記プロセッサー402は、前記攻撃サンプル集合に含まれるそれぞれの各モデル単語の出現回数と、前記攻撃サンプル集合に含まれるすべてのモデル単語の総計の比に基づいて、前記攻撃サンプル集合に含まれるそれぞれのモデル単語の出現確率を確定するのに用いる。
【0103】
選択可能な、前記プロセッサー402は、次の数式に基づいて前記攻撃サンプル集合に含まれる前記各モデルタプルの出現確率を確定するのに用い、
【0104】
【数6】
【0105】
本願は本願の実施例の方法、装置(システム)およびコンピュータプログラム製品に基づくフローチャートと/あるいはブロック図を参照して描述したものである。コンピュータプログラム命令によってフローチャートと/あるいはブロック図の中の一つ一つのチャートと/あるいはブロック、ならびにフローチャートと/あるいはブロック図の中のチャートと/あるいはブロックの組み合わせを実現することができると理解すべきである。これらのコンピュータプログラム命令を汎用コンピュータ、専用コンピュータ、組み込み式処理機あるいはその他のプログラマブルデータ処理装置のプロセッサーに提供することによって一つの機器を形成させ、コンピュータあるいはその他のプログラマブルデータ処理装置のプロセッサーが実行する命令を通じてフローチャートの1つあるいは複数のチャートと/あるいはブロック図の1つあるいは複数のブロックに指定された機能を実現するための装置を形成させることができる。
【0106】
これらのコンピュータプログラム命令はコンピュータあるいはその他のプログラマブルデータ処理装置を誘導して特定の方式で働くコンピュータが読み取り可能な記憶装置の中に保存することも可能で、当該コンピュータが読み取り可能な記憶装置の中に保存している命令にコマンド装置を含む製造品を形成させ、当該コマンド装置がフローチャートの1つあるいは複数のチャートと/あるいはブロック図の1つあるいは複数のブロックに指定された機能を実現する。
【0107】
これらのコンピュータプログラム命令はコンピュータあるいはその他のプログラマブル処理装置に搭載することも可能で、コンピュータあるいはその他のプログラマブル装置で一連の操作ステップを実行させてコンピュータで実現する処理を形成させることによって、コンピュータあるいはその他のプログラマブル装置で実行する命令にフローチャートの1つあるいは複数のチャートと/あるいはブロック図の1つあるいは複数のブロックに指定された機能を実現するためのステップを提供させる。
【0108】
本発明の好ましい実施例について描述してきたが、当該領域の技術者は一旦基本的創造理念を知っておけば、これらの実施例を変更したり修正したりすることが可能である。そのため、本願の権利請求は好ましい実施例および本願の請求範囲に包括された如何なる変更と修正をも含むことと解釈すべきである。
【0109】
当然なことながら、当該領域の技術者は本願の精神と範囲を逸脱しない限り本願に対する種々の補正と変更を行うことができる。このように、本願のこれらの補正と変更は本願の権利請求および同等の技術範囲内に属するものであれば、本願はこれらの変更と変更をも含むことを意図する。
【0110】
本発明は、出願番号が201510505895.9であり、出願日が2015年08月17日である中国特許出願を基に提出するものであり、当該中国特許出願の優先権を主張し、当該中国特許出願のそれぞれの内容は、参照本願に援用される。
【国際調査報告】