JP2020095458A - 検知装置、検知方法及び検知プログラム - Google Patents
検知装置、検知方法及び検知プログラム Download PDFInfo
- Publication number
- JP2020095458A JP2020095458A JP2018232663A JP2018232663A JP2020095458A JP 2020095458 A JP2020095458 A JP 2020095458A JP 2018232663 A JP2018232663 A JP 2018232663A JP 2018232663 A JP2018232663 A JP 2018232663A JP 2020095458 A JP2020095458 A JP 2020095458A
- Authority
- JP
- Japan
- Prior art keywords
- domain
- homograph
- brand
- name
- registered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】攻撃者により登録されたホモグラフドメインを容易に精度良く検知できる検知装置、検知方法及び検知プログラムを提供すること。【解決手段】検知装置1は、ブランドドメイン及びホモグラフドメインの入力を受け付ける入力部11と、ドメイン名を構成する文字毎の画像類似度に基づいて、ブランドドメイン及びホモグラフドメインの全体類似度を算出する類似度算出部12と、ブランドドメイン及びホモグラフドメインの登録者名及び組織名を含む登録情報を取得する登録情報取得部13と、全体類似度、登録者名が同一か否か、及び組織名が同一か否かを入力とした学習モデル21により、ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する判定部18と、を備える。【選択図】図1
Description
本発明は、ホモグラフドメインの検知装置、検知方法及び検知プログラムに関する。
従来、URLのドメイン名として、正当なサイト(ブランドドメイン)と酷似した文字列(ホモグラフ)を使用して、ユーザをフィッシングサイト等の偽のサイトに誘導するホモグラフ攻撃が知られている。特に、国際化ドメイン名(IDN)では、Unicodeの他、非ASCII文字が使用可能なため、視覚的な区別が非常に困難なホモグラフが用いられる場合がある。
このようなホモグラフ攻撃に対して、非特許文献1では、登録されたドメイン名と人気ドメイン名それぞれとの間の画像類似度に基づいてホモグラフを検出する手法が提案されている。非特許文献2では、HTMLコンテンツとスクリーンショットとを分析してホモグラフを検出する手法が提案されている。非特許文献3では、ASCII文字毎の類似文字に基づいてホモグラフを検出する手法が提案されている。
B. Liu, C. Lu, Z. Li, Y. Liu, H. Duan, S. Hao, and Z. Zhang, "A Reexamination of Internationalized Domain Names: the Good, the Bad and the Ugly," 48th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN 2018).
K. Tian, S. Jan, H. Hu, D. Yao, and G. Wang, "Needle in a Haystack: Tracking Down Elite Phishing Domains in the Wild," Internet Measurement Conference (IMC 2018).
J. Abawajy and R. Aghbari, "Securing Websites Against Homograph Attacks," Conference on Security and Privacy in Communication Systems (SecureComm 2017).
しかしながら、非特許文献1及び3では、視覚的な類似性の判定精度が十分ではなく、さらに、ブランドドメインによって自身を保護するために登録されたホモグラフであるか攻撃者により登録されたホモグラフであるかを区別できないといった課題があった。
また、非特許文献2では、コンテンツを解析するために該当のドメインへのアクセスが必要であり、安全性及び効率性に課題があった。
また、非特許文献2では、コンテンツを解析するために該当のドメインへのアクセスが必要であり、安全性及び効率性に課題があった。
本発明は、攻撃者により登録されたホモグラフドメインを容易に精度良く検知できる検知装置、検知方法及び検知プログラムを提供することを目的とする。
本発明に係る検知装置は、ブランドドメイン及びホモグラフドメインの入力を受け付ける入力部と、ドメイン名を構成する文字毎の画像類似度に基づいて、前記ブランドドメイン及び前記ホモグラフドメインの全体類似度を算出する類似度算出部と、前記ブランドドメイン及び前記ホモグラフドメインの登録者名及び組織名を含む登録情報を取得する登録情報取得部と、前記全体類似度、前記登録者名が同一か否か、及び前記組織名が同一か否かを入力とした学習モデルにより、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する判定部と、を備える。
前記登録情報は、前記ブランドドメイン及び前記ホモグラフドメインの登録日を含み、前記判定部は、前記登録日の前後関係を、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定してもよい。
前記登録情報は、前記ホモグラフドメインの有効期限を含み、前記判定部は、前記ホモグラフドメインの前記登録日から前記有効期限までの日数が所定未満であるか否かを、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定してもよい。
前記検知装置は、前記ブランドドメインへのアクセス頻度のランキングを取得するランキング取得部を備え、前記判定部は、前記ランキングが所定以上であるか否かを、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定してもよい。
前記検知装置は、前記ブランドドメインが提供するコンテンツのカテゴリを取得するカテゴリ取得部を備え、前記判定部は、前記カテゴリが所定のカテゴリ群に含まれるか否かを、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定してもよい。
前記検知装置は、前記ブランドドメイン及び前記ホモグラフドメインのそれぞれを検索キーとしたWeb検索結果の数を取得する検索情報取得部を備え、前記判定部は、前記Web検索結果の数の大小関係を、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定してもよい。
本発明に係る検知方法は、ブランドドメイン及びホモグラフドメインの入力を受け付ける入力ステップと、ドメイン名を構成する文字毎の画像類似度に基づいて、前記ブランドドメイン及び前記ホモグラフドメインの全体類似度を算出する類似度算出ステップと、前記ブランドドメイン及び前記ホモグラフドメインの登録者名及び組織名を含む登録情報を取得する登録情報取得ステップと、前記全体類似度、前記登録者名が同一か否か、及び前記組織名が同一か否かを入力とした学習モデルにより、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する判定ステップと、をコンピュータが実行する。
本発明に係る検知プログラムは、ブランドドメイン及びホモグラフドメインの入力を受け付ける入力ステップと、ドメイン名を構成する文字毎の画像類似度に基づいて、前記ブランドドメイン及び前記ホモグラフドメインの全体類似度を算出する類似度算出ステップと、前記ブランドドメイン及び前記ホモグラフドメインの登録者名及び組織名を含む登録情報を取得する登録情報取得ステップと、前記全体類似度、前記登録者名が同一か否か、及び前記組織名が同一か否かを入力とした学習モデルにより、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する判定ステップと、をコンピュータに実行させるためのものである。
本発明によれば、攻撃者により登録されたホモグラフドメインを容易に精度良く検知できる。
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係る検知装置1の機能構成を示す図である。
検知装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
図1は、本実施形態に係る検知装置1の機能構成を示す図である。
検知装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
制御部10は、検知装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
記憶部20は、ハードウェア群を検知装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスク(HDD)等であってよい。具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(検知プログラム)及び学習モデル21等を記憶する。
制御部10は、入力部11と、類似度算出部12と、登録情報取得部13と、ランキング取得部14と、カテゴリ取得部15と、検索情報取得部16と、学習部17と、判定部18とを備える。制御部10は、これらの機能部により、ホモグラフドメインを識別する学習モデル21を生成し、攻撃者が登録したホモグラフドメインを検知する。
入力部11は、学習モデル21の訓練データ、又は学習モデル21による識別対象として、ブランドドメイン及びホモグラフドメインの組み合わせの入力を受け付ける。
類似度算出部12は、入力されたドメイン名を構成する文字毎の画像類似度に基づいて、ブランドドメイン及びホモグラフドメインの全体類似度を算出する。
画像類似度には、例えば、構造的類似性(SSIM)と呼ばれる指標が用いられてよい。画像xとyとのSSIMは、「SSIM(x,y)=(2μxμy+c1)(2σxy+c2)/(μx 2+μy 2+c1)(σx 2+σy 2+c2)」と定義される。
ここで、μx及びμyは、それぞれx及びyの画素値の平均であり、σx 2及びσy 2は、それぞれx及びyの画素値の分散を、σxyは、共分散を示す。また、c1=(k1L)2及びc2=(k2L)2は、画素値のダイナミックレンジLに応じた定数であり、例えば、c1=(0.01×(28−1))2及びc2=(0.03×(28−1))2が用いられる。
画像類似度には、例えば、構造的類似性(SSIM)と呼ばれる指標が用いられてよい。画像xとyとのSSIMは、「SSIM(x,y)=(2μxμy+c1)(2σxy+c2)/(μx 2+μy 2+c1)(σx 2+σy 2+c2)」と定義される。
ここで、μx及びμyは、それぞれx及びyの画素値の平均であり、σx 2及びσy 2は、それぞれx及びyの画素値の分散を、σxyは、共分散を示す。また、c1=(k1L)2及びc2=(k2L)2は、画素値のダイナミックレンジLに応じた定数であり、例えば、c1=(0.01×(28−1))2及びc2=(0.03×(28−1))2が用いられる。
類似度算出部12は、例えば、「ab.jp」と「xy.vn」との類似度を算出する場合、「a」と「x」との画像類似度、「b」と「y」との画像類似度、「j」と「v」との画像類似度、「p」と「n」との画像類似度をそれぞれ算出し、これらを統計処理(例えば、平均)して全体類似度を算出する。
なお、全体類似度は、画像類似度の平均値であってよいが、これには限られず、例えば分散、最大値又は中央値等が用いられてもよい。
なお、全体類似度は、画像類似度の平均値であってよいが、これには限られず、例えば分散、最大値又は中央値等が用いられてもよい。
登録情報取得部13は、ブランドドメイン及びホモグラフドメインの登録者名及び組織名を含む登録情報を取得する。登録情報は、Whois(登録商標)情報が用いられてよい。
登録情報取得部13は、登録情報として、さらに、ブランドドメイン及びホモグラフドメインそれぞれの登録日、並びにホモグラフドメインの有効期限を取得してもよい。
登録情報取得部13は、登録情報として、さらに、ブランドドメイン及びホモグラフドメインそれぞれの登録日、並びにホモグラフドメインの有効期限を取得してもよい。
ランキング取得部14は、ブランドドメインへのアクセス頻度のランキングを取得する。ランキングは、例えば、Alexa(登録商標)等の公開されたデータベースから取得されてよい。
ランキングが上位のブランドドメインは、攻撃を受けやすいため、所定のランキング以上であるか否かが後述の学習のための特徴として利用される。
ランキングが上位のブランドドメインは、攻撃を受けやすいため、所定のランキング以上であるか否かが後述の学習のための特徴として利用される。
カテゴリ取得部15は、ブランドドメインが提供するコンテンツのカテゴリを取得する。カテゴリは、ユーザにより入力されてもよいし、公開されたデータベースが利用されてもよい。
攻撃を受けやすいカテゴリとして、例えば、仮想通貨、支払システム、銀行、オンラインショッピング、メールシステム、SNS、検索エンジン、オンラインゲーム等が予め設定され、ブランドドメインがこれらのカテゴリ群に属するか否かが後述の学習のための特徴として利用される。
攻撃を受けやすいカテゴリとして、例えば、仮想通貨、支払システム、銀行、オンラインショッピング、メールシステム、SNS、検索エンジン、オンラインゲーム等が予め設定され、ブランドドメインがこれらのカテゴリ群に属するか否かが後述の学習のための特徴として利用される。
検索情報取得部16は、ブランドドメイン及びホモグラフドメインのそれぞれを検索キーとした所定の検索エンジンによるWeb検索結果の数を取得する。
ホモグラフドメインよりもブランドドメインの方が検索結果の数は多いと考えられるため、この大小関係が後述の学習のための特徴として利用される。
ホモグラフドメインよりもブランドドメインの方が検索結果の数は多いと考えられるため、この大小関係が後述の学習のための特徴として利用される。
図2は、本実施形態に係る検知装置1がブランドドメイン及びホモグラフドメインに関して取得する情報の関係を示す図である。
まず、ブランドドメインと、対になるホモグラフドメインとの間で、文字毎の画像類似度が得られる。
まず、ブランドドメインと、対になるホモグラフドメインとの間で、文字毎の画像類似度が得られる。
ブランドドメインからは、登録者、組織、登録日、有効期限を含む登録情報と、Web検索結果の数と、ランキングと、カテゴリとが取得される。
ホモグラフドメインからは、登録者、組織、登録日、有効期限を含む登録情報と、Web検索結果の数とが取得される。
ホモグラフドメインからは、登録者、組織、登録日、有効期限を含む登録情報と、Web検索結果の数とが取得される。
学習部17は、ブランドドメイン及びホモグラフドメインの組み合わせに関する、前述した類似度、登録情報、ランキング、カテゴリ、Web検索結果の数に基づく特徴データの入力に対して、ホモグラフドメインが悪性か否か、すなわち攻撃者により登録されたホモグラフドメインであるか否かを出力する学習モデル21を生成する。
学習の際に訓練データに付与される悪性か否かのラベルは、予めユーザにより判定されて付与される。
学習の際に訓練データに付与される悪性か否かのラベルは、予めユーザにより判定されて付与される。
なお、訓練データは、ブランドドメイン及びホモグラフドメインの組み合わせの他、既存のデータを利用して収集されてよい。具体的には、例えば、類似文字を定義したデータベースを用いて、アクセス頻度の高いブランドドメインに対して、一部の文字を置換したホモグラフドメインが生成されてもよい。この場合、生成されたホモグラフドメインは、前述の登録情報により実在ことが確認される。
また、既知のホモグラフドメインに対して、類似のブランドドメインが前述のアクセス頻度のランキングデータベース等から抽出されてもよい。
また、既知のホモグラフドメインに対して、類似のブランドドメインが前述のアクセス頻度のランキングデータベース等から抽出されてもよい。
学習モデル21への入力は、例えば、以下の(1)〜(8)の特徴データが採用され、少なくとも(1)、(3)及び(4)が用いられることが望ましい。
(1)文字毎の画像類似度の平均値
(2)ホモグラフドメインの登録日がブランドドメインの登録日より後であるか否か
(3)ホモグラフドメインの登録者がブランドドメインの登録者と異なるか否か
(4)ホモグラフドメインの組織がブランドドメインの組織と異なるか否か
(5)ブランドドメインのランキングが所定以上か否か
(6)ブランドドメインのカテゴリが前述の所定のカテゴリ群に属するか否か
(7)ブランドドメインのWeb検索結果の数がホモグラフドメインより多いか否か
(8)ホモグラフドメインの登録日から有効期限までの日数が所定未満か否か
(1)文字毎の画像類似度の平均値
(2)ホモグラフドメインの登録日がブランドドメインの登録日より後であるか否か
(3)ホモグラフドメインの登録者がブランドドメインの登録者と異なるか否か
(4)ホモグラフドメインの組織がブランドドメインの組織と異なるか否か
(5)ブランドドメインのランキングが所定以上か否か
(6)ブランドドメインのカテゴリが前述の所定のカテゴリ群に属するか否か
(7)ブランドドメインのWeb検索結果の数がホモグラフドメインより多いか否か
(8)ホモグラフドメインの登録日から有効期限までの日数が所定未満か否か
また、学習モデル21は、サポートベクタマシン、ナイーブベイズ、決定木、ニューラルネットワーク、確率的勾配降下法、最近傍探索等、各種の学習アルゴリズムから適宜選択されてよい。
例えば、複数のアルゴリズムによる学習結果は、所定の評価指標により評価され、最高評価のアルゴリズムが選択されてもよい。
評価指標は、判定精度、F値、実行時間、真陽性率(TPR)、真陰性率(TNR)、偽陽性率(FPR)、偽陰性率(FNR)等が採用される。例えば、判定精度が高いもの、偽陽性率が低いもの、実行時間が短いものが優先して採用されてよい。
例えば、複数のアルゴリズムによる学習結果は、所定の評価指標により評価され、最高評価のアルゴリズムが選択されてもよい。
評価指標は、判定精度、F値、実行時間、真陽性率(TPR)、真陰性率(TNR)、偽陽性率(FPR)、偽陰性率(FNR)等が採用される。例えば、判定精度が高いもの、偽陽性率が低いもの、実行時間が短いものが優先して採用されてよい。
判定部18は、学習部17により生成された学習モデル21により、ブランドドメインと共に入力されたホモグラフドメインが攻撃者により登録されたものであるか否かを判定する。
図3は、本実施形態に係る学習部17が採用可能な学習アルゴリズムを例示すると共に、各アルゴリズムを用いて生成された学習モデル21による判定の実験結果を示す図である。
ここでは、サポートベクタマシン(SVM)では、SVC、NuSVC及びLinearSVCの3つのアルゴリズムによる結果を示している。ナイーブベイズでは、GaussianNB、MultinomialNB及びBernoulliNBの3つのアルゴリズムによる結果を示している。最近傍探索では、KNeighborsClassifier、RadiusNeighborsClassifier及びNearestCentroidの3つのアルゴリズムによる結果を示している。さらに、CARTアルゴリズムによる決定木(DecisionTreeClassifier)、多層パーセプトロンによるニューラルネットワーク(MLPClassifier)、確率的勾配降下法(SGDClassifier)及びロジスティック回帰(LogisticRegression)による実験結果を示している。
また、画像類似度として、ドメイン名の文字列全体のSSIMを用いた場合と、文字毎のSSIMの平均値を用いた場合とを比較し、評価指標として、精度(%)とFPR(%)とを示した。
図のように、文字列全体のSSIMを用いた場合よりも、文字毎のSSIMを平均した場合の方が、精度及びFPR共に向上している。例えば、いずれの場合も最高評価のアルゴリズムは、KNeighborsClassifierとなったが、精度は86.73%から95.35%に向上し、FPRも5.41%から2.83%に向上している。
図のように、文字列全体のSSIMを用いた場合よりも、文字毎のSSIMを平均した場合の方が、精度及びFPR共に向上している。例えば、いずれの場合も最高評価のアルゴリズムは、KNeighborsClassifierとなったが、精度は86.73%から95.35%に向上し、FPRも5.41%から2.83%に向上している。
なお、この例では、画像類似度の算出方法によらず、同一の学習アルゴリズムが高評価となったが、判定対象のデータ群によっては、異なるアルゴリズムが高評価となる場合もある。
本実施形態によれば、検知装置1は、ドメイン名を構成する文字毎の画像類似度に基づいて、ブランドドメイン及びホモグラフドメインの全体類似度を算出する。さらに、検知装置1は、ドメイン名の登録情報を取得することで、全体類似度、登録者名が同一か否か、及び組織名が同一か否かを入力とした学習モデル21により、ホモグラフドメインが攻撃者により登録された悪性のドメインであるか否かを判定する。
これにより、検知装置1は、ドメイン名の文字列全体の画像類似度を用いるよりもユーザの感覚に近い類似度を特徴データとして取得できる。したがって、検知装置1は、このような画像類似度と、ドメインの登録者及び組織の情報とを入力にした学習モデル21を用いて、攻撃者により登録されたホモグラフドメインを容易に精度良く検知できる。
この結果、Webユーザ、又はブランドドメインの管理者等は、フィッシングサイト等の悪性なホモグラフドメインを適切に識別することができる。
これにより、検知装置1は、ドメイン名の文字列全体の画像類似度を用いるよりもユーザの感覚に近い類似度を特徴データとして取得できる。したがって、検知装置1は、このような画像類似度と、ドメインの登録者及び組織の情報とを入力にした学習モデル21を用いて、攻撃者により登録されたホモグラフドメインを容易に精度良く検知できる。
この結果、Webユーザ、又はブランドドメインの管理者等は、フィッシングサイト等の悪性なホモグラフドメインを適切に識別することができる。
また、検知装置1は、さらに、ブランドドメイン及びホモグラフドメインの登録日の前後関係、ホモグラフドメインの登録日から有効期限までの日数、ブランドドメインへのアクセス頻度のランキング、ブランドドメインが提供するコンテンツのカテゴリ、ブランドドメイン及びホモグラフドメインのそれぞれを検索キーとしたWeb検索結果の数を学習モデル21の入力とする。
これにより、検知装置1は、ブランドドメインと悪性なホモグラフドメインとの関係を的確に表す特徴データを入力として、学習モデル21により、さらに精度良く悪性のホモグラフドメインを判定できる。
これにより、検知装置1は、ブランドドメインと悪性なホモグラフドメインとの関係を的確に表す特徴データを入力として、学習モデル21により、さらに精度良く悪性のホモグラフドメインを判定できる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
検知装置1による検知方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
1 検知装置
10 制御部
11 入力部
12 類似度算出部
13 登録情報取得部
14 ランキング取得部
15 カテゴリ取得部
16 検索情報取得部
17 学習部
18 判定部
20 記憶部
21 学習モデル
10 制御部
11 入力部
12 類似度算出部
13 登録情報取得部
14 ランキング取得部
15 カテゴリ取得部
16 検索情報取得部
17 学習部
18 判定部
20 記憶部
21 学習モデル
Claims (8)
- ブランドドメイン及びホモグラフドメインの入力を受け付ける入力部と、
ドメイン名を構成する文字毎の画像類似度に基づいて、前記ブランドドメイン及び前記ホモグラフドメインの全体類似度を算出する類似度算出部と、
前記ブランドドメイン及び前記ホモグラフドメインの登録者名及び組織名を含む登録情報を取得する登録情報取得部と、
前記全体類似度、前記登録者名が同一か否か、及び前記組織名が同一か否かを入力とした学習モデルにより、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する判定部と、を備える検知装置。 - 前記登録情報は、前記ブランドドメイン及び前記ホモグラフドメインの登録日を含み、
前記判定部は、前記登録日の前後関係を、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する請求項1に記載の検知装置。 - 前記登録情報は、前記ホモグラフドメインの有効期限を含み、
前記判定部は、前記ホモグラフドメインの前記登録日から前記有効期限までの日数が所定未満であるか否かを、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する請求項2に記載の検知装置。 - 前記ブランドドメインへのアクセス頻度のランキングを取得するランキング取得部を備え、
前記判定部は、前記ランキングが所定以上であるか否かを、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する請求項1から請求項3のいずれかに記載の検知装置。 - 前記ブランドドメインが提供するコンテンツのカテゴリを取得するカテゴリ取得部を備え、
前記判定部は、前記カテゴリが所定のカテゴリ群に含まれるか否かを、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する請求項1から請求項4のいずれかに記載の検知装置。 - 前記ブランドドメイン及び前記ホモグラフドメインのそれぞれを検索キーとしたWeb検索結果の数を取得する検索情報取得部を備え、
前記判定部は、前記Web検索結果の数の大小関係を、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する請求項1から請求項5のいずれかに記載の検知装置。 - ブランドドメイン及びホモグラフドメインの入力を受け付ける入力ステップと、
ドメイン名を構成する文字毎の画像類似度に基づいて、前記ブランドドメイン及び前記ホモグラフドメインの全体類似度を算出する類似度算出ステップと、
前記ブランドドメイン及び前記ホモグラフドメインの登録者名及び組織名を含む登録情報を取得する登録情報取得ステップと、
前記全体類似度、前記登録者名が同一か否か、及び前記組織名が同一か否かを入力とした学習モデルにより、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する判定ステップと、をコンピュータが実行する検知方法。 - ブランドドメイン及びホモグラフドメインの入力を受け付ける入力ステップと、
ドメイン名を構成する文字毎の画像類似度に基づいて、前記ブランドドメイン及び前記ホモグラフドメインの全体類似度を算出する類似度算出ステップと、
前記ブランドドメイン及び前記ホモグラフドメインの登録者名及び組織名を含む登録情報を取得する登録情報取得ステップと、
前記全体類似度、前記登録者名が同一か否か、及び前記組織名が同一か否かを入力とした学習モデルにより、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する判定ステップと、をコンピュータに実行させるための検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018232663A JP6998294B2 (ja) | 2018-12-12 | 2018-12-12 | 検知装置、検知方法及び検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018232663A JP6998294B2 (ja) | 2018-12-12 | 2018-12-12 | 検知装置、検知方法及び検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020095458A true JP2020095458A (ja) | 2020-06-18 |
| JP6998294B2 JP6998294B2 (ja) | 2022-01-18 |
Family
ID=71085603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018232663A Active JP6998294B2 (ja) | 2018-12-12 | 2018-12-12 | 検知装置、検知方法及び検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6998294B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230093453A1 (en) * | 2021-09-16 | 2023-03-23 | Centripetal Networks, Inc. | Malicious homoglyphic domain name generation and associated cyber security applications |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007122692A (ja) * | 2005-09-30 | 2007-05-17 | Trend Micro Inc | セキュリティ管理装置、通信システムおよびアクセス制御方法 |
| JP2009521047A (ja) * | 2005-12-23 | 2009-05-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク・アドレスを評価し、アクセスするための方法 |
| JP2009237949A (ja) * | 2008-03-27 | 2009-10-15 | Nomura Research Institute Ltd | 通信中継装置、ウェブ端末、メールサーバ装置、電子メール端末およびサイトチェックプログラム |
| US20100313266A1 (en) * | 2009-06-05 | 2010-12-09 | At&T Corp. | Method of Detecting Potential Phishing by Analyzing Universal Resource Locators |
| JP2012108947A (ja) * | 2005-09-30 | 2012-06-07 | Trend Micro Inc | セキュリティ管理装置、通信システムおよびアクセス制御方法 |
| US20180013789A1 (en) * | 2016-07-11 | 2018-01-11 | Bitdefender IPR Management Ltd. | Systems and Methods for Detecting Online Fraud |
-
2018
- 2018-12-12 JP JP2018232663A patent/JP6998294B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007122692A (ja) * | 2005-09-30 | 2007-05-17 | Trend Micro Inc | セキュリティ管理装置、通信システムおよびアクセス制御方法 |
| JP2012108947A (ja) * | 2005-09-30 | 2012-06-07 | Trend Micro Inc | セキュリティ管理装置、通信システムおよびアクセス制御方法 |
| JP2009521047A (ja) * | 2005-12-23 | 2009-05-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク・アドレスを評価し、アクセスするための方法 |
| JP2009237949A (ja) * | 2008-03-27 | 2009-10-15 | Nomura Research Institute Ltd | 通信中継装置、ウェブ端末、メールサーバ装置、電子メール端末およびサイトチェックプログラム |
| US20100313266A1 (en) * | 2009-06-05 | 2010-12-09 | At&T Corp. | Method of Detecting Potential Phishing by Analyzing Universal Resource Locators |
| US20180013789A1 (en) * | 2016-07-11 | 2018-01-11 | Bitdefender IPR Management Ltd. | Systems and Methods for Detecting Online Fraud |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230093453A1 (en) * | 2021-09-16 | 2023-03-23 | Centripetal Networks, Inc. | Malicious homoglyphic domain name generation and associated cyber security applications |
| US11856005B2 (en) * | 2021-09-16 | 2023-12-26 | Centripetal Networks, Llc | Malicious homoglyphic domain name generation and associated cyber security applications |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6998294B2 (ja) | 2022-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jeeva et al. | Intelligent phishing url detection using association rule mining | |
| US9674214B2 (en) | Social network profile data removal | |
| US9674212B2 (en) | Social network data removal | |
| Tahir et al. | A hybrid model to detect phishing-sites using supervised learning algorithms | |
| CN108111478A (zh) | 一种基于语义理解的网络钓鱼识别方法和装置 | |
| WO2016201938A1 (zh) | 一种多阶段钓鱼网站检测方法与系统 | |
| CN104217160A (zh) | 一种中文钓鱼网站检测方法及系统 | |
| US20190014148A1 (en) | Methods for automated social phishing | |
| Tan et al. | Phishing website detection using URL-assisted brand name weighting system | |
| JPWO2018159337A1 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
| US20180288070A1 (en) | Social media rule engine | |
| Zhou et al. | Visual similarity based anti-phishing with the combination of local and global features | |
| US20190058721A1 (en) | Social threat correlation | |
| Jeeva et al. | Phishing URL detection-based feature selection to classifiers | |
| RU2622626C2 (ru) | Система и способ обнаружения фишинговых сценариев | |
| Zhang et al. | A novel anomaly detection approach for mitigating web-based attacks against clouds | |
| Aksu et al. | Detecting phishing websites using support vector machine algorithm | |
| Sahu et al. | Kernel K-means clustering for phishing website and malware categorization | |
| JP6998294B2 (ja) | 検知装置、検知方法及び検知プログラム | |
| Pramila et al. | A Survey on Adaptive Authentication Using Machine Learning Techniques | |
| Ahmed et al. | A framework for phishing attack identification using rough set and formal concept analysis | |
| Chen et al. | Fraud analysis and detection for real-time messaging communications on social networks | |
| Dangwal et al. | Feature selection for machine learning-based phishing websites detection | |
| Shirazi et al. | A machine-learning based unbiased phishing detection approach | |
| KR20220157565A (ko) | 웹 스캐닝 공격 탐지 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201221 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211112 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211124 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211220 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6998294 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |