簽名驗(yàn)證裝置及簽名驗(yàn)證方法和程序的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及驗(yàn)證簽名信息(以下也簡(jiǎn)稱為簽名)的技術(shù)。
[0002]另外，簽名信息是指記述了進(jìn)行攻擊用的命令和數(shù)據(jù)的特征的信息。
【背景技術(shù)】
[0003]關(guān)于驗(yàn)證入侵檢測(cè)裝置(Intrus1n Detect1n System:1DS)的簽名的技術(shù)，例如公知有如專利文獻(xiàn)I所述的如下方法，執(zhí)行實(shí)際進(jìn)行攻擊的程序，并確認(rèn)能否對(duì)從程序發(fā)送的通信進(jìn)行攻擊的檢測(cè)。
[0004]現(xiàn)有技術(shù)文獻(xiàn)
[0005]專利文獻(xiàn)
[0006]專利文獻(xiàn)1:日本特開2007 - 242002號(hào)公報(bào)
[0007]非專利文獻(xiàn)
[0008]非專利文獻(xiàn)1:Brumley D.等 Automatic patch-based exploit generat1nis possible:Techniques and implicat1ns.1n:Proc of the 2008IEEE Symposium onSecurity and Privacy(2008)

【發(fā)明內(nèi)容】

[0009]發(fā)明要解決的問(wèn)題
[0010]IDS將被稱為簽名的模式信息與在監(jiān)視對(duì)象網(wǎng)絡(luò)中流通的業(yè)務(wù)進(jìn)行比較，在與模式一致的業(yè)務(wù)在網(wǎng)絡(luò)中流通的情況下，將該業(yè)務(wù)視為攻擊。
[0011]簽名是按照作為檢測(cè)對(duì)象的每個(gè)攻擊來(lái)定義的。
[0012]在發(fā)生了與簽名一致的通信的情況下，視為發(fā)生了該簽名作為檢測(cè)對(duì)象的攻擊，并向網(wǎng)絡(luò)管理員進(jìn)行通報(bào)。
[0013]簽名通常是每當(dāng)發(fā)現(xiàn)新的攻擊時(shí)由IDS的開發(fā)商生成的，被定期或者根據(jù)需要發(fā)布給裝置的用戶。
[0014]但是，有關(guān)該簽名是否能夠全部檢測(cè)作為檢測(cè)對(duì)象的攻擊的信息是非公開的。
[0015]用戶為了驗(yàn)證簽名，需要用戶實(shí)際獲取攻擊工具來(lái)生成攻擊業(yè)務(wù)并輸入IDS，并判定是否能夠進(jìn)行檢測(cè)。
[0016]除非所使用的攻擊工具生成的業(yè)務(wù)能夠覆蓋所有的攻擊模式，否則即使實(shí)際上簽名存在檢測(cè)遺漏的可能性，用戶也不能識(shí)別出來(lái)。
[0017]將對(duì)能夠用于攻擊的程序的脆弱性實(shí)施了修正的程序與修正前的程序進(jìn)行比較，根據(jù)在修正后的程序中追加、變更后的命令生成攻擊脆弱性的數(shù)據(jù)，關(guān)于這樣的方法，例如公知有在非專利文獻(xiàn)I中列舉的技術(shù)。
[0018]即使是采用這種技術(shù)，對(duì)于是否能夠?qū)?shí)際生成簽名的攻擊數(shù)據(jù)全部進(jìn)行檢測(cè)，也只能由IDS使用實(shí)際生成的數(shù)據(jù)進(jìn)行試驗(yàn)，在攻擊數(shù)據(jù)的版本巨多的情況下，存在試驗(yàn)無(wú)法結(jié)束的問(wèn)題。
[0019]本發(fā)明將解決如上所述的問(wèn)題作為其主要目的之一，其主要目的在于，不需進(jìn)行數(shù)量龐大的驗(yàn)證，即可判別是否存在用簽名信息不能檢測(cè)的攻擊。
[0020]用于解決問(wèn)題的手段
[0021]本發(fā)明的簽名驗(yàn)證裝置的特征在于，該簽名驗(yàn)證裝置具有:
[0022]簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部，其進(jìn)行針對(duì)簽名信息的分析，提取用所述簽名信息不能檢測(cè)的數(shù)據(jù)的模式；
[0023]攻擊數(shù)據(jù)模式提取部，其對(duì)所述簽名信息適用的對(duì)象程序進(jìn)行分析，提取攻擊所述對(duì)象程序的攻擊數(shù)據(jù)的模式；以及
[0024]模式比較部，其將由所述簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部提取出的簽名檢測(cè)對(duì)象外數(shù)據(jù)模式與由所述攻擊數(shù)據(jù)模式提取部提取出的攻擊數(shù)據(jù)模式進(jìn)行比較，提取與簽名檢測(cè)對(duì)象外數(shù)據(jù)模式相符的攻擊數(shù)據(jù)模式，作為用所述簽名信息不能檢測(cè)的攻擊數(shù)據(jù)模式。
[0025]發(fā)明效果
[0026]根據(jù)本發(fā)明，能夠根據(jù)對(duì)簽名信息的分析結(jié)果、和對(duì)簽名信息適用的對(duì)象程序的分析結(jié)果，提取在簽名信息中不能檢測(cè)的攻擊數(shù)據(jù)模式，因而不需進(jìn)行數(shù)量龐大的驗(yàn)證，即可判別是否存在用簽名信息不能檢測(cè)的攻擊。
【附圖說(shuō)明】
[0027]圖1是示出實(shí)施方式I的簽名驗(yàn)證裝置的結(jié)構(gòu)例的圖。
[0028]圖2是示出實(shí)施方式I的簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部的動(dòng)作例的流程圖。
[0029]圖3是示出實(shí)施方式I的簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取例的圖。
[0030]圖4是示出實(shí)施方式I的攻擊數(shù)據(jù)模式提取部的動(dòng)作例的流程圖。
[0031]圖5是不出實(shí)施方式I的規(guī)范表述用的變換表的例子的圖。
[0032]圖6是示出實(shí)施方式I的模式比較部的動(dòng)作例的流程圖。
[0033]圖7是示出實(shí)施方式I的比較結(jié)果輸出部的動(dòng)作例的流程圖。
[0034]圖8是示出實(shí)施方式2的簽名驗(yàn)證裝置的結(jié)構(gòu)例的圖。
[0035]圖9是示出實(shí)施方式2的比較結(jié)果驗(yàn)證部的動(dòng)作例的流程圖。
[0036]圖10是示出實(shí)施方式2的“字符串生成”步驟的流程圖。
[0037]圖11是示出實(shí)施方式I及2的簽名驗(yàn)證裝置的硬件結(jié)構(gòu)例的圖。
【具體實(shí)施方式】
[0038]實(shí)施方式I
[0039]在本實(shí)施方式中說(shuō)明這樣的示例:通過(guò)將攻擊數(shù)據(jù)的模式與簽名直接進(jìn)行比較，不需進(jìn)行數(shù)量龐大的驗(yàn)證，即可識(shí)別簽名有無(wú)遺漏。
[0040]圖1示出本實(shí)施方式的簽名驗(yàn)證裝置103的結(jié)構(gòu)例。
[0041]簽名驗(yàn)證裝置103接收從IDS裝置101取出的簽名信息102、修正前程序110和修正后程序106。
[0042]并且，簽名驗(yàn)證裝置103輸出簽名驗(yàn)證結(jié)果111，該結(jié)果表示在簽名信息102中記述的檢測(cè)模式是否能夠沒有遺漏地檢測(cè)作為檢測(cè)對(duì)象的脆弱性攻擊。
[0043]修正前程序110是將以簽名信息102為檢測(cè)對(duì)象的脆弱性攻擊作為對(duì)象的程序，是對(duì)脆弱性進(jìn)行修正前的程序。
[0044]修正后程序106是在修正前程序110中對(duì)脆弱性進(jìn)行了修正后的程序。
[0045]在本實(shí)施方式中公開了從IDS裝置101取出簽名信息102的方法，然而當(dāng)然也能夠構(gòu)成為例如直接從IDS開發(fā)商的網(wǎng)站下載簽名信息102。
[0046]另外，在本實(shí)施方式中，簽名驗(yàn)證裝置103輸入修正前程序110、修正后程序106，除此以外也能夠輸入例如修正前程序及修正用的差別信息(所謂補(bǔ)丁)。
[0047]另外，在能夠從互聯(lián)網(wǎng)任意下載程序的情況下，簽名驗(yàn)證裝置103通過(guò)定期從互聯(lián)網(wǎng)下載程序，能夠在任意的時(shí)刻自動(dòng)獲取修正前、修正后的程序。
[0048]簽名驗(yàn)證裝置103由簽名輸入部104、簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部105、攻擊數(shù)據(jù)模式提取部107、模式比較部108、比較結(jié)果輸出部109構(gòu)成。
[0049]簽名輸入部104將簽名信息102取入簽名驗(yàn)證裝置103內(nèi)部，并取出在簽名信息102內(nèi)定義的、作為檢測(cè)對(duì)象的數(shù)據(jù)的模式定義信息。
[0050]S卩，簽名輸入部104從簽名信息102提取，該模式定義信息定義了簽名信息102作為檢測(cè)的對(duì)象的數(shù)據(jù)的模式。
[0051]簽名輸入部104相當(dāng)于模式定義信息提取部的例子。
[0052]簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部105輸入由簽名輸入部104取出的模式定義信息，并提取與用模式定義信息不能檢測(cè)的所有數(shù)據(jù)匹配的模式(簽名檢測(cè)對(duì)象外數(shù)據(jù)模式)。
[0053]S卩，簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部105分析從簽名信息102提取出的模式定義信息，并提取用模式定義信息不能檢測(cè)的數(shù)據(jù)的模式作為簽名檢測(cè)對(duì)象外數(shù)據(jù)模式。
[0054]攻擊數(shù)據(jù)模式提取部107輸入修正前程序110和修正后程序106，根據(jù)為應(yīng)對(duì)脆弱性而對(duì)程序?qū)嵤┑男拚齼?nèi)容，生成能夠攻擊脆弱性的攻擊數(shù)據(jù)的模式(攻擊數(shù)據(jù)模式)。
[0055]即，攻擊數(shù)據(jù)模式提取部107對(duì)簽名信息102適用的對(duì)象程序(修正前程序110和修正后程序106)進(jìn)行分析，并提取用于攻擊對(duì)象程序的攻擊數(shù)據(jù)的模式作為攻擊數(shù)據(jù)模式。
[0056]模式比較部108將由簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部105提取的簽名檢測(cè)對(duì)象外數(shù)據(jù)模式、和由攻擊數(shù)據(jù)模式提取部107提取的攻擊數(shù)據(jù)模式進(jìn)行比較。
[0057]并且，模式比較部108提取用簽名信息102定義的檢測(cè)模式不能檢測(cè)的攻擊數(shù)據(jù)的模式。
[0058]S卩，模式比較部108提取與簽名檢測(cè)對(duì)象外數(shù)據(jù)模式相符的攻擊數(shù)據(jù)模式，作為用簽名信息102不能檢測(cè)的攻擊數(shù)據(jù)模式。
[0059]比較結(jié)果輸出部109判定由模式比較部108提取的攻擊數(shù)據(jù)的模式是否是空的，將其結(jié)果作為簽名驗(yàn)證結(jié)果111進(jìn)行輸出。
[0060]下面，說(shuō)明簽名驗(yàn)證裝置103的各要素的動(dòng)作。
[0061]首先，說(shuō)明簽名輸入部104的動(dòng)作。
[0062]如前面所述，簽名輸入部104從所輸入的簽名信息102中取出作為檢測(cè)對(duì)象的數(shù)據(jù)的模式定義信息。
[0063]模式定義信息通常用正規(guī)語(yǔ)句表述。
[0064]簽名信息102中包含的信息的類型和格式根據(jù)IDS裝置而變化，但無(wú)論是什么樣的IDS的簽名信息，都包含作為檢測(cè)對(duì)象的數(shù)據(jù)的模式定義信息。
[0065]因此，容易按照作為分析對(duì)象的簽名信息的格式來(lái)構(gòu)成簽名輸入部104，因而在此不詳細(xì)說(shuō)明簽名輸入部104的結(jié)構(gòu)。
[0066]下面，說(shuō)明簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部105的動(dòng)作。
[0067]如前面所述，簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部105輸入由簽名輸入部104取出的模式定義信息，并生成與用模式定義信息定義的模式不能檢測(cè)的所有數(shù)據(jù)匹配的模式(簽名檢測(cè)對(duì)象外數(shù)據(jù)模式)。
[0068]圖2是示出簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部105的動(dòng)作例的流程圖。
[0069]簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部105接收作為輸入的表示簽名信息102的模式定義信息的正規(guī)語(yǔ)句，將接收到的正規(guī)語(yǔ)句存儲(chǔ)為變量S(S201)。
[0070]然后，在S202，簽名檢測(cè)對(duì)象外數(shù)據(jù)模式提取部105生成在S的兩端附加了用于受理任意的字符串的正規(guī)語(yǔ)句即”.*”的新的正規(guī)語(yǔ)句S’。
[0