特許ウォッチ

公開番号2024057575
公報種別公開特許公報(A)
公開日2024-04-24
出願番号2023131025
出願日2023-08-10
発明の名称ファジングデータ生成装置、ファジングデータ生成システム、パケット構成解析装置、及び、ネットワーク状態遷移管理装置
出願人三菱電機株式会社
代理人個人,個人
主分類G06F 21/57 20130101AFI20240417BHJP(計算;計数)
要約【課題】効率的にファジングの試験を行うことが可能な技術を提供することを目的とする。
【解決手段】ファジングデータ生成装置は、試験パケットの基礎となる基礎構成を、試験パケット構成定義として定義する試験パケット構成定義部と、変更パターン定義を定義する変更パターン定義部と、試験パケット構成定義と、変更パターン定義とに基づいて試験パケットを生成し、試験パケットに基づいてファジングデータを生成する試験パケット生成部とを備える。
【選択図】図1
特許請求の範囲【請求項１】
試験パケットが有する複数の要素に対応する複数の構成要素を含み、前記試験パケットの基礎となる基礎構成を、試験パケット構成定義として定義する試験パケット構成定義部と、
前記基礎構成に含まれる前記複数の構成要素の少なくとも１つを変更するための変更パターンを、変更パターン定義として定義する変更パターン定義部と、
前記試験パケット構成定義と、前記変更パターン定義とに基づいて前記試験パケットを生成し、前記試験パケットに基づいてファジングデータを生成する試験パケット生成部と
を備える、ファジングデータ生成装置。
続きを表示（約 1,800 文字）【請求項２】
請求項１に記載のファジングデータ生成装置であって、
前記構成要素は、
要素タイプとして固定部が設定された、前記試験パケットの生成時にサイズが可変されない構成要素、または、要素タイプとして可変部が設定された、前記試験パケットの生成時にサイズが可変される構成要素である、ファジングデータ生成装置。
【請求項３】
請求項１または請求項２に記載のファジングデータ生成装置と、
前記ファジングデータ生成装置と協働するパケット構成解析装置と
を備え、
前記パケット構成解析装置は、
前記ファジングデータによって試験される試験対象装置のネットワークから複数のパケットを収集するパケット収集部と、
前記複数のパケットの構成を解析し、その解析結果に基づいて前記基礎構成を生成するパケット構成解析部と
を備える、ファジングデータ生成システム。
【請求項４】
請求項１または請求項２に記載のファジングデータ生成装置と、
前記ファジングデータ生成装置と協働するネットワーク状態遷移管理装置と
を備え、
前記ネットワーク状態遷移管理装置は、
前記ファジングデータによって試験される試験対象装置のネットワークから複数のパケットを取得し、前記複数のパケットに基づいて、前記試験対象装置で用いられる序列付けられたプロトコルの状態遷移を推定する状態遷移推定部を備え、
前記ファジングデータ生成装置の前記試験パケット生成部は、
前記状態遷移に従って前記試験対象装置の状態を遷移させるためのデータを生成する、ファジングデータ生成システム。
【請求項５】
請求項４に記載のファジングデータ生成システムであって、
前記状態遷移推定部は、
前記複数のパケットのうち、前記試験対象装置から受信される複数の受信パケット、及び、前記試験対象装置へ送信される複数の送信パケットの少なくともいずれかに基づいて、前記状態遷移を推定する、ファジングデータ生成システム。
【請求項６】
請求項４に記載のファジングデータ生成システムであって、
前記状態遷移推定部は、前記状態遷移を示す状態遷移表を生成する、ファジングデータ生成システム。
【請求項７】
請求項１または請求項２に記載のファジングデータ生成装置と、
前記ファジングデータ生成装置と協働するネットワーク状態遷移管理装置と
を備え、
前記ネットワーク状態遷移管理装置は、
前記ファジングデータによって試験される試験対象装置のネットワークから複数のパケットを取得し、前記複数のパケットに基づいて、前記試験対象装置で用いられる序列付けられたプロトコルの状態遷移を推定する状態遷移推定部を備え、
前記ファジングデータ生成装置の前記試験パケット生成部は、
前記状態遷移と部分的に異なる別の状態遷移に従って前記試験対象装置の状態を遷移させるためのデータを生成する、ファジングデータ生成システム。
【請求項８】
ファジングデータによって試験される試験対象装置のネットワークから複数のパケットを収集するパケット収集部と、
前記複数のパケットの構成を解析するパケット構成解析部と
を備える、パケット構成解析装置。
【請求項９】
ファジングデータによって試験される試験対象装置のネットワークから複数のパケットを取得し、前記複数のパケットに基づいて、前記試験対象装置で用いられる序列付けられたプロトコルの状態遷移を推定する状態遷移推定部を備える、ネットワーク状態遷移管理装置。
【請求項１０】
請求項１または請求項２に記載のファジングデータ生成装置であって、
前記変更パターン定義部の複数の前記変更パターン定義を組み合わせる方法を、変更パターン組み合わせ定義として定義する変更パターン組み合わせ定義部をさらに備え、
前記試験パケット生成部は、
前記ファジングデータを生成するための前記変更パターン定義として、前記変更パターン組み合わせ定義で定義されている前記複数の変更パターン定義の組み合わせを用いる、ファジングデータ生成装置。

発明の詳細な説明【技術分野】
【０００１】
本開示は、ファジングデータ生成装置、ファジングデータ生成システム、パケット構成解析装置、及び、ネットワーク状態遷移管理装置に関する。
続きを表示（約 2,300 文字）【背景技術】
【０００２】
試験対象装置のセキュリティ脆弱性を検出するために、ブラックボックステストの一つとしてファジングとよばれるセキュリティテストが利用されている。ファジングでは、正規のプロトコルを意図的に変更した試験プロトコルを試験対象装置に入力し、試験対象装置に異常を発生させることによって、試験対象装置の脆弱性を判定する。
【０００３】
ＴＣＰ及びＵＤＰなどのよく用いられるプロトコルのファジングについては、一般的に試験装置ツールが提供されているが、独自プロトコルについては試験装置ツールが提供されていない。そこで、例えば特許文献１～３のように、独自プロトコルについてファジングの試験を行う技術が提案されている。
【先行技術文献】
【特許文献】
【０００４】
特開２０１６－１１３１２２号公報
特開２０１８－１９５２８８号公報
特開２０２２－１１７８１０号公報
【発明の概要】
【発明が解決しようとする課題】
【０００５】
従来技術では、特定の要素、つまり特定の項目の値だけを変更して試験プロトコルの試験パケットを生成し、当該試験パケットからファジングデータを生成する。しかしながら、このような構成によれば、様々な要素について要素ごとに試験パケットを変更してファジングデータを生成しないので、効率的にファジングの試験を行うことができないという問題があった。
【０００６】
そこで、本開示は、上記のような問題点に鑑みてなされたものであり、効率的にファジングの試験を行うことが可能な技術を提供することを目的とする。
【課題を解決するための手段】
【０００７】
本開示に係るファジングデータ生成装置は、試験パケットが有する複数の要素に対応する複数の構成要素を含み、前記試験パケットの基礎となる基礎構成を、試験パケット構成定義として定義する試験パケット構成定義部と、前記基礎構成に含まれる前記複数の構成要素の少なくとも１つを変更するための変更パターンを、変更パターン定義として定義する変更パターン定義部と、前記試験パケット構成定義と、前記変更パターン定義とに基づいて前記試験パケットを生成し、前記試験パケットに基づいてファジングデータを生成する試験パケット生成部とを備える。
【発明の効果】
【０００８】
本開示によれば、試験パケット構成定義と、変更パターン定義とに基づいて試験パケットを生成し、試験パケットに基づいてファジングデータを生成する。このような構成によれば、効率的にファジングの試験を行うことができる。
【図面の簡単な説明】
【０００９】
実施の形態１に係るファジングデータ生成システムの構成を示すブロック図である。
実施の形態１に係る試験パケット構成定義の一例を示す図である。
実施の形態１に係る試験パケット構成定義の一例を示す図である。
実施の形態１に係る変更パターンの一例を示す図である。
実施の形態１に係る変更パターンの一例を示す図である。
実施の形態１に係るファジングデータ生成システムの動作を示すフローチャートである。
実施の形態２に係るファジングデータ生成システムの構成を示すブロック図である。
実施の形態２に係るファジングデータ生成システムの動作を示すフローチャートである。
実施の形態２に係るファジングデータ生成システムの動作を説明するための図である。
実施の形態２に係るファジングデータ生成システムの動作を説明するための図である。
実施の形態２に係るファジングデータ生成システムの動作を説明するための図である。
実施の形態２に係るファジングデータ生成システムの動作を説明するための図である。
実施の形態３に係るファジングデータ生成システムの構成を示すブロック図である。
実施の形態３に係るファジングデータ生成システムの動作を示すフローチャートである。
実施の形態３に係るファジングデータ生成システムの動作を説明するための図である。
実施の形態３に係る状態遷移表の一例を示す図である。
実施の形態４に係るファジングデータ生成システムの構成を示すブロック図である。
実施の形態４に係る変更パターン組み合わせ定義の一例を示す図である。
実施の形態４に係る変更パターン組み合わせ定義の一例を示す図である。
その他の変形例に係るファジングデータ生成装置のハードウェア構成を示すブロック図である。
その他の変形例に係るファジングデータ生成装置のハードウェア構成を示すブロック図である。
【発明を実施するための形態】
【００１０】
＜実施の形態１＞
図１は、本実施の形態１に係るファジングデータ生成システムの構成を示すブロック図である。図１のファジングデータ生成システムは、ファジングデータ生成装置１００と、試験対象装置２００と、試験実行装置２０１とを備える。ファジングデータ生成装置１００、試験対象装置２００及び試験実行装置２０１は、インターネットやＬＡＮ（Local Area Network）などのネットワークを介して通信可能に接続されている。
（【００１１】以降は省略されています）

関連特許