JP7074739B2 - 脆弱性評価装置 - Google Patents
脆弱性評価装置 Download PDFInfo
- Publication number
- JP7074739B2 JP7074739B2 JP2019191874A JP2019191874A JP7074739B2 JP 7074739 B2 JP7074739 B2 JP 7074739B2 JP 2019191874 A JP2019191874 A JP 2019191874A JP 2019191874 A JP2019191874 A JP 2019191874A JP 7074739 B2 JP7074739 B2 JP 7074739B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- input
- information
- protected
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
図1に、入力情報が限定される電子装置に実装されるプログラムを評価対象として、不正な入力情報に起因して、プログラムが特定の不都合な状態に到達する可能性があるか否かを判定する、本実施形態に係る脆弱性評価装置100の一例を図示する。脆弱性評価装置100には入力部110、入力位置指定部120、攻撃判定位置指定部130、攻撃経路解析部140、入力値演算部150およびパケット生成部160が含まれる。脆弱性評価装置100に含まれる上記構成要素によって、評価対象のプログラムのソースコードにおける、入力情報を受け付ける位置と、プログラムに対する攻撃の成立を判定できる位置とを論理的に接続する経路を解析して導出する。脆弱性評価装置100は、導出した経路から実際に有効な攻撃経路および攻撃経路が成立する入力値を算出する。さらに、脆弱性評価装置100は、情報セキュリティ上の評価をしたい任意の評価対象である電子装置に有効かつ確実なテストを実行するためのテストパターンを生成する。なお、脆弱性評価装置100には図9に示すソースコード構造解析部170が含まれる場合もある。
従来技術においては、評価対象となるプログラムにおいて特定の状態に至らないことを、あらゆる経路について網羅的に確認する構成が存在する。しかし、あらゆる経路について網羅的に確認することは非常に冗長であり、計算リソースと計算時間に大きな無駄が発生する。
110 入力部
120 入力位置指定部
130 攻撃判定位置指定部
140 攻撃経路解析部
150 入力値演算部
160 パケット生成部
170 ソースコード構造解析部
Claims (9)
- 評価対象となるプログラムの情報セキュリティ上の脆弱性の有無を評価する脆弱性評価装置であって、
前記評価対象となるプログラムのソースコード、前記ソースコード内で示される、守りたい資産および前記守りたい資産が守れない条件である攻撃成立条件を示す情報、前記守りたい資産が守れない条件の成立を判定可能な位置である攻撃判定位置を示す情報および前記プログラムに対する入力情報を入力する入力部と、
前記ソースコードにおいて、前記プログラムに対する入力情報を入力する位置を示す入力位置を指定する入力位置指定部と、
前記ソースコードにおいて、前記守りたい資産が守れない条件の成立を判定可能な位置である攻撃判定位置を、前記攻撃判定位置を示す情報から指定する攻撃判定位置指定部と、
前記ソースコードにおいて、前記攻撃判定位置から前記入力位置に至る経路の中から、前記攻撃判定位置における特定の処理によって前記攻撃成立条件が常に成り立つ攻撃経路を、前記攻撃判定位置から前記入力位置に向かって前記経路を遡ることで特定する攻撃経路解析部と、を備える脆弱性評価装置。 - 前記守りたい資産が守れない条件の成立を判定可能な位置である攻撃判定位置を示す情報は、前記ソースコード内で示される特定の処理を示す情報、および、前記特定の処理が実行される位置を示す情報を含む請求項1に記載の脆弱性評価装置。
- 前記特定の処理は、前記守りたい資産を書き換える処理、および、前記プログラムが実装される電子装置の外部から前記守りたい資産をアクセス可能な状態にする処理のいずれかを含む請求項1または2に記載の脆弱性評価装置。
- 前記プログラムに対する入力情報は、前記ソースコード内で示される、前記攻撃経路を成立させるために使用される情報を直接的または間接的に示す情報である請求項1から3のいずれか一項に記載の脆弱性評価装置。
- 前記攻撃経路を成立させるために利用される、前記プログラムに入力される入力情報の値または値の範囲を表現する情報を攻撃情報として算出する入力値演算部をさらに備える請求項1から4のいずれか一項に記載の脆弱性評価装置。
- 前記入力値演算部は、前記攻撃経路の分岐処理において、前記攻撃経路を成立させる分岐条件を満足する情報を前記攻撃情報として算出する請求項5に記載の脆弱性評価装置。
- 前記攻撃情報を前記評価対象となるプログラムが実装される電子装置において用いられる通信プロトコルに対応したフォーマットに変換し、変換された前記攻撃情報を含む、前記電子装置に送信可能な通信パケットを生成するパケット生成部をさらに備える請求項5または6に記載の脆弱性評価装置。
- 評価対象となるプログラムの情報セキュリティ上の脆弱性の有無を評価する脆弱性評価装置であって、
前記評価対象となるプログラムのソースコード、前記ソースコード内で示される、守りたい資産および前記守りたい資産が守れない条件である攻撃成立条件を示す情報、前記守りたい資産が守れない条件の成立を判定可能な位置である攻撃判定位置を示す情報および前記プログラムに対する入力情報を入力する入力部と、
前記ソースコードを解析し、前記ソースコードで示される処理の処理手順および処理内容を論理モデルで表現するソースコード構造解析部と、
前記論理モデルの経路において、前記プログラムに対する入力情報を入力する位置を示す入力位置を指定する入力位置指定部と、
前記論理モデルの経路において、前記守りたい資産が守れない条件の成立を判定可能な位置である攻撃判定位置を、前記攻撃判定位置を示す情報から指定する攻撃判定位置指定部と、
前記論理モデルの経路において、前記攻撃判定位置から前記入力位置に至る前記論理モデルの経路の中から、前記攻撃判定位置における特定の処理によって前記攻撃成立条件が常に成り立つ攻撃経路を、前記攻撃判定位置から前記入力位置に向かって前記論理モデルの経路を遡ることで特定する攻撃経路解析部と、を備える脆弱性評価装置。 - 前記論理モデルは、制御フローグラフまたは抽象構文木である請求項8に記載の脆弱性評価装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019191874A JP7074739B2 (ja) | 2019-10-21 | 2019-10-21 | 脆弱性評価装置 |
| US17/073,911 US11429728B2 (en) | 2019-10-21 | 2020-10-19 | Vulnerability evaluation apparatus |
| EP20202686.0A EP3812933B1 (en) | 2019-10-21 | 2020-10-20 | Vulnerability evaluation apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019191874A JP7074739B2 (ja) | 2019-10-21 | 2019-10-21 | 脆弱性評価装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021068098A JP2021068098A (ja) | 2021-04-30 |
| JP7074739B2 true JP7074739B2 (ja) | 2022-05-24 |
Family
ID=72964494
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019191874A Active JP7074739B2 (ja) | 2019-10-21 | 2019-10-21 | 脆弱性評価装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11429728B2 (ja) |
| EP (1) | EP3812933B1 (ja) |
| JP (1) | JP7074739B2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115935369A (zh) * | 2020-02-10 | 2023-04-07 | 瑞典爱立信有限公司 | 使用源代码元素的数值数组表示来评估源代码的方法 |
| FR3127595B1 (fr) * | 2021-09-30 | 2023-10-06 | Citalid Cybersecurite | Procédé d’analyse de la vulnérabilité d’un système d’information à une attaque informatique |
| JP2023087212A (ja) * | 2021-12-13 | 2023-06-23 | 矢崎総業株式会社 | セキュリティ検査システム |
| JP7705202B2 (ja) * | 2022-03-29 | 2025-07-09 | パナソニックオートモーティブシステムズ株式会社 | 攻撃経路生成方法および攻撃経路生成装置 |
| CN115333829B (zh) * | 2022-08-10 | 2024-07-19 | 国网智能电网研究院有限公司 | 一种攻击行为轨迹发现方法、装置、设备及存储介质 |
| CN118250052B (zh) * | 2024-03-25 | 2024-09-06 | 江苏省工商行政管理局信息中心 | 一种级联故障网络脆弱性评估与优化系统及其方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009070322A (ja) | 2007-09-18 | 2009-04-02 | Nec Corp | データ処理装置、システム、プログラム、及び、方法 |
| JP2014174577A (ja) | 2013-03-05 | 2014-09-22 | Ntt Data Corp | 検証装置、検証方法、及びプログラム |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7530104B1 (en) * | 2004-02-09 | 2009-05-05 | Symantec Corporation | Threat analysis |
| US20070094735A1 (en) | 2005-10-26 | 2007-04-26 | Cohen Matthew L | Method to consolidate and prioritize web application vulnerabilities |
| US8413237B2 (en) | 2006-10-23 | 2013-04-02 | Alcatel Lucent | Methods of simulating vulnerability |
| US8392997B2 (en) | 2007-03-12 | 2013-03-05 | University Of Southern California | Value-adaptive security threat modeling and vulnerability ranking |
| CN106133742B (zh) * | 2014-03-13 | 2019-05-07 | 日本电信电话株式会社 | 确定装置、确定方法以及确定程序 |
| JP2018156159A (ja) | 2017-03-15 | 2018-10-04 | 株式会社東芝 | 解析装置、解析方法およびプログラム |
| US10812510B2 (en) | 2018-01-12 | 2020-10-20 | The Boeing Company | Anticipatory cyber defense |
| JP6939726B2 (ja) * | 2018-07-17 | 2021-09-22 | 日本電信電話株式会社 | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 |
-
2019
- 2019-10-21 JP JP2019191874A patent/JP7074739B2/ja active Active
-
2020
- 2020-10-19 US US17/073,911 patent/US11429728B2/en active Active
- 2020-10-20 EP EP20202686.0A patent/EP3812933B1/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009070322A (ja) | 2007-09-18 | 2009-04-02 | Nec Corp | データ処理装置、システム、プログラム、及び、方法 |
| JP2014174577A (ja) | 2013-03-05 | 2014-09-22 | Ntt Data Corp | 検証装置、検証方法、及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021068098A (ja) | 2021-04-30 |
| US11429728B2 (en) | 2022-08-30 |
| EP3812933A1 (en) | 2021-04-28 |
| EP3812933B1 (en) | 2022-02-16 |
| US20210117551A1 (en) | 2021-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7074739B2 (ja) | 脆弱性評価装置 | |
| JP6088713B2 (ja) | 脆弱性発見装置、脆弱性発見方法、及び脆弱性発見プログラム | |
| CN101616151B (zh) | 一种自动化的网络攻击特征生成方法 | |
| EP3432184B1 (en) | Intrusion detection device, intrusion detection method, and intrusion detection program | |
| JP5839967B2 (ja) | マルウェア解析システム | |
| CN109308415A (zh) | 一种面向二进制的导向性模糊测试方法与系统 | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| KR20120105759A (ko) | 악성 코드 시각화 장치와 악성 코드 탐지 장치 및 방법 | |
| KR101645019B1 (ko) | 소프트웨어 보안취약점 검출을 위한 규칙명세언어 | |
| CN108520180A (zh) | 一种基于多维度的固件Web漏洞检测方法及系统 | |
| CN105138916A (zh) | 基于数据挖掘的多轨迹恶意程序特征检测方法 | |
| JP6067195B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| KR20250083664A (ko) | 심층 강화 학습을 이용한 네트워크 공격 경로 탐지 방법 및 장치 | |
| JP6966522B2 (ja) | 脆弱性分析装置 | |
| CN106709335B (zh) | 漏洞检测方法和装置 | |
| CN110520806B (zh) | 对可编程逻辑控制器的偏差工程修改的识别 | |
| CN104751059B (zh) | 基于函数模板的软件行为分析方法 | |
| US10754719B2 (en) | Diagnosis device, diagnosis method, and non-volatile recording medium | |
| Lin et al. | The best of both worlds: Integrating semantic features with expert features for smart contract vulnerability detection | |
| WO2020008632A1 (ja) | 仮説推論装置、仮説推論方法、及びコンピュータ読み取り可能な記録媒体 | |
| CN113868646A (zh) | 基于主机的入侵检测方法及装置 | |
| JP6869869B2 (ja) | 制御システムのための対策立案システムおよび監視装置 | |
| CN112270136A (zh) | 一种基于功能域的终端设备安全威胁模型的构建方法 | |
| CN118965372B (zh) | 一种石油炼化过程控制软件的漏洞检测方法及系统 | |
| US20190018959A1 (en) | Diagnosis device, diagnosis method, and non-transitory recording medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210119 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211013 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211019 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211202 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220510 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220512 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7074739 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |