特許
J-GLOBAL ID:200903021011675754
ネットワークフロー内のエクスプロイトコードの検出
発明者:
,
出願人/特許権者:
代理人 (2件):
谷 義一
, 阿部 和夫
公報種別:公表公報
出願番号(国際出願番号):特願2007-540369
公開番号(公開出願番号):特表2008-519374
出願日: 2005年10月28日
公開日(公表日): 2008年06月05日
要約:
ネットワークフロー内のエクスプロイトコードを検出する方法および装置を開示する。ネットワークデータパケットは、フローモニタによってインターセプトされ、フローモニタは、インターセプトされたデータパケットからデータフローを生成する。コンテンツフィルタは、データフローから正規のプログラムをフィルタリングし、フィルタリングされていない部分は、実行コードを検出するコードレコグナイザに提供される。フィルタリングされていないデータフロー部分の中に組み込まれている実行コードは、ネットワークフロー内のエクスプロイトである疑いがあるものとして識別される。実行コードレコグナイザは、データフローのフィルタリングされていない部分に対してコンバージェント・バイナリ・ディスアセンブリを行うことによって、実行コードを認識する。次いで、実行コードレコグナイザは、実行コードを検出するために、制御フローグラフを作成して、制御フロー分析とデータフロー分析と制約強化とを行う。検出した実行コードをエクスプロイト候補として識別することに加えて、その後、検出した実行コードは、エクスプロイトを検出する際に他のシステムによって使用されるように、エクスプロイト候補のシグネチャを生成するために利用することもできる。
請求項(抜粋):
ネットワークトラヒックをモニタリングする方法であって、
ネットワークデータパケットをインターセプトするステップと、
前記インターセプトしたデータパケットからデータフローを生成するステップと、
前記データフローの少なくとも一部分をフィルタリングするステップと、
前記データフローのフィルタリングされていない部分の中の実行コードを検出するステップと
を備えることを特徴とする方法。
IPC (2件):
FI (2件):
G06F9/06 660N
, G06F15/00 330A
Fターム (9件):
5B276FD08
, 5B276FD09
, 5B285AA05
, 5B285AA06
, 5B285AA07
, 5B285BA01
, 5B285CA32
, 5B285CA37
, 5B285DA05
引用特許:
前のページに戻る