JP2022002036A - 検出装置、検出システム及び検出プログラム - Google Patents
検出装置、検出システム及び検出プログラム Download PDFInfo
- Publication number
- JP2022002036A JP2022002036A JP2020107052A JP2020107052A JP2022002036A JP 2022002036 A JP2022002036 A JP 2022002036A JP 2020107052 A JP2020107052 A JP 2020107052A JP 2020107052 A JP2020107052 A JP 2020107052A JP 2022002036 A JP2022002036 A JP 2022002036A
- Authority
- JP
- Japan
- Prior art keywords
- web page
- detection
- detection device
- configuration information
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 110
- 238000000034 method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000010365 information processing Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】未知のフィッシングサイトを精度良く検出できる検出装置、検出システム及び検出プログラムを提供すること。【解決手段】検出装置10は、ブラウザにおいてWebページを構成するためにアクセスしたリソースの種類及びサイズを含むアクセスログを取得する取得部111と、アクセスログから、Webページ毎に、リソースの種類及びサイズからなるリソース情報の集合を、当該Webページの構成情報として取得する解析部112と、Webページの構成情報に対して、ブラックリストに格納された構成情報それぞれとの類似度を算出し、当該類似度が閾値以上の既知のフィッシングサイトが存在する場合、当該Webページをフィッシングサイトとして検出する検出部114と、を備える。【選択図】図1
Description
本発明は、フィッシングサイトを検出するための装置、システム及びプログラムに関する。
近年、有名企業又は公的機関等の信頼された主体になりすましてメールを送り、公式サイトを装った偽サイト(フィッシングサイト)に誘導することで、ログインID及びパスワード等の個人情報を盗み出す行為による被害が急増している。
このような被害を防ぐため、アクセス先がフィッシングサイトであることを検出する技術が望まれている。
このような被害を防ぐため、アクセス先がフィッシングサイトであることを検出する技術が望まれている。
例えば、非特許文献1では、あるWebサイトを構成するリソースの統計情報と、既知のフィッシングサイトを構成するリソースの統計情報とを比較し、両者が一致した場合に、このWebサイトをフィッシングサイトと判定する技術が提案されている。
田中 翔真,松中 隆志,山田 明,窪田 歩,「リソース統計情報を用いたフィッシングサイト検知」,コンピュータセキュリティシンポジウム2019論文集,2019,926−933
従来技術では、あるWebサイトを構成するリソースの種類毎の総アクセス数及び総サイズに基づく統計情報が、既知のフィッシングサイトを構成するリソースの統計情報と完全一致している場合にのみ未知のフィッシングサイトとして検知される。
しかしながら、一部のリソースのサイズに差異がある場合、又はWebアクセスログに一部欠損がある場合に、リソースの種類毎の総サイズ及び総アクセス数に差分が生じるため、既知のフィッシングサイトのリソースの統計情報と完全に一致せず、見逃しが発生してしまうことがあった。
しかしながら、一部のリソースのサイズに差異がある場合、又はWebアクセスログに一部欠損がある場合に、リソースの種類毎の総サイズ及び総アクセス数に差分が生じるため、既知のフィッシングサイトのリソースの統計情報と完全に一致せず、見逃しが発生してしまうことがあった。
本発明は、未知のフィッシングサイトを精度良く検出できる検出装置、検出システム及び検出プログラムを提供することを目的とする。
本発明に係る検出装置は、ブラウザにおいてWebページを構成するためにアクセスしたリソースの種類及びサイズを含むアクセスログを取得する取得部と、前記アクセスログから、前記Webページ毎に、前記リソースの種類及びサイズからなるリソース情報の集合を、当該Webページの構成情報として取得する解析部と、前記Webページの構成情報に対して、ブラックリストに格納された構成情報それぞれとの類似度を算出し、当該類似度が閾値以上の既知のフィッシングサイトが存在する場合、当該Webページをフィッシングサイトとして検出する検出部と、を備える。
前記解析部は、前記Webページのドメインが所定期間に出現した回数を計測し、当該回数が閾値以上の場合、当該Webページを検出対象から除外してもよい。
前記検出部は、前記Webページの構成情報のうち、前記既知のフィッシングサイトと共通する前記リソース情報の個数が閾値未満の場合、当該Webページを検出対象から除外してもよい。
前記検出部は、前記既知のフィッシングサイトと共通する前記リソース情報のうち、所定以上のサイズのリソースに関するリソース情報の個数が閾値未満の場合に、前記Webページを検出対象から除外してもよい。
前記解析部は、予め設定された所定のドメインのリソースを除外して前記構成情報を取得してもよい。
前記解析部は、前記Webページが所定のステータスコードを有する場合、当該Webページを検出対象から除外してもよい。
前記検出部は、前記類似度として、Jaccard係数を用いてもよい。
前記検出装置は、前記検出部によりフィッシングサイトと判定された前記WebページのURLを、既知のフィッシングサイトのURLリストに追加登録する登録部を備え、前記検出部は、前記構成情報を前記ブラックリストと照合する前に、前記URLリストを参照し、前記WebページのURLが当該URLリストに含まれる場合に、前記Webページをフィッシングサイトとして検出してもよい。
本発明に係る検出システムは、前記検出装置と、ユーザ端末と、を備え、前記ユーザ端末は、前記ブラウザによるネットワークへのアクセスを監視し、ユーザのID及び前記ブラウザのタブを識別するIDを含む前記アクセスログを生成し、前記検出装置へ送信する。
本発明に係る検出プログラムは、前記検出装置としてコンピュータを機能させるためのものである。
本発明によれば、未知のフィッシングサイトを精度良く検出できる。
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態における検出システム1の機能構成を示すブロック図である。
検出システム1は、検出装置10と、ユーザ端末20とを備え、両者は、ネットワークを介して互いに接続される。
図1は、本実施形態における検出システム1の機能構成を示すブロック図である。
検出システム1は、検出装置10と、ユーザ端末20とを備え、両者は、ネットワークを介して互いに接続される。
検出装置10は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部11及び記憶部12の他、各種データの入出力デバイス及び通信デバイス等を備える。
ユーザ端末20は、パーソナルコンピュータ、タブレット端末又はスマートフォン等の情報処理装置(コンピュータ)であり、アプリケーション・ソフトウェアとしてブラウザを備え、インターネットに接続される。
また、ユーザ端末20は、例えばブラウザのアドオン機能として設けられたブラウザセンサ21により、ブラウザを介したネットワークへのアクセスを監視し、ユーザのID及びブラウザのタブを識別するIDを含むWebアクセスログを生成し、検出装置10へ送信する。
また、ユーザ端末20は、例えばブラウザのアドオン機能として設けられたブラウザセンサ21により、ブラウザを介したネットワークへのアクセスを監視し、ユーザのID及びブラウザのタブを識別するIDを含むWebアクセスログを生成し、検出装置10へ送信する。
Webアクセスログは、ブラウザセンサ21によって取得されるWebブラウジングの履歴データであり、次の情報を含む。
(1)ユーザを識別するID(ユーザID)
(2)ブラウザのタブを識別するID(タブID)
(3)リソースの種類
(4)リソースのサイズ
(5)リソースのURL
(1)ユーザを識別するID(ユーザID)
(2)ブラウザのタブを識別するID(タブID)
(3)リソースの種類
(4)リソースのサイズ
(5)リソースのURL
ここで、リソースは、Webページを構成する画像、動画又はスクリプト等の要素であり、例えば、WebAPIを介して、「main_frame」、「sub_frame」、「stylesheet」、「script」、「image」、「font」、「objet」、「xmlhttprequest」、「ping」、「csp_report」、「media」、「websocket」、「other」といった種類が特定される。
また、各リソースのサイズは、例えば、HTTPレスポンスヘッダの「content−length」であってよい。
また、各リソースのサイズは、例えば、HTTPレスポンスヘッダの「content−length」であってよい。
なお、「main_frame」は、ブラウザのタブにロードされたトップレベルのドキュメントであり、次に「main_frame」がロードされる直前までの一連のWebアクセスログが、一つのWebページを構成するためのリソースを示している。
検出装置10の制御部11は、記憶部12に格納されたソフトウェア(検出プログラム)を読み出して実行することにより、取得部111、解析部112、リスト生成部113、検出部114、及びURL登録部115として機能する。
検出装置10は、これらの機能部により、既知のフィッシングサイトのURLリスト121とは別に、これらのフィッシングサイトのWebページを構成する際にアクセスするリソースの構成情報をブラックリスト122として生成する。なお、URLリスト121は、記憶部12に予め記憶されていてもよいし、外部サーバにより提供されてもよい。
これにより、検出装置10は、ユーザ端末20がブラウザによりアクセスしたサイトのWebページを表示する際に、このWebページを構成するリソースの構成情報をブラックリスト122と照合して、アクセスしたサイトがフィッシングサイトであることを検出する。
これにより、検出装置10は、ユーザ端末20がブラウザによりアクセスしたサイトのWebページを表示する際に、このWebページを構成するリソースの構成情報をブラックリスト122と照合して、アクセスしたサイトがフィッシングサイトであることを検出する。
取得部111は、ブラウザにおいてWebページを構成するためにアクセスしたリソースの種類及びサイズを含むWebアクセスログを取得する。
解析部112は、一連のWebアクセスログから、Webページそれぞれに関するリソースの種類及びサイズからなるリソース情報の集合を、Webページ毎の構成情報として取得する。
図2は、本実施形態におけるWebページ毎の構成情報を例示する図である。
この例では、リソースの種類(type)が「main_frame」であるWebアクセスログ(url1)に続いて、各種のリソース(script、image、…)に対するWebアクセスログ(url2、url3、・・・)が取得されている。
この例では、リソースの種類(type)が「main_frame」であるWebアクセスログ(url1)に続いて、各種のリソース(script、image、…)に対するWebアクセスログ(url2、url3、・・・)が取得されている。
ここで、url10の次のWebアクセスログ(url11)が「main_frame」であるため、url1へのアクセスにより表示されるWebページは、url1からurl10までのリソースにより構成されていることが分かる。
したがって、構成情報は、url1に紐づけて、url2からurl10までのリソース情報の集合として記述される。
なお、url1(main_frame)のリソース情報がWebページの構成情報に追加されてもよい。
したがって、構成情報は、url1に紐づけて、url2からurl10までのリソース情報の集合として記述される。
なお、url1(main_frame)のリソース情報がWebページの構成情報に追加されてもよい。
例えば、リソースの種類が「script」、リソースのサイズが200バイトの場合、リソース情報は「script−200」と表され、各リソースのリソース情報からなる次のような集合がWebページの構成情報となる。
{script−200,image−300,image−500,image−200,media−300,media−400,stylesheet−500,font−600,other−1000}
このように、例えば、画像(image)が複数あっても、それぞれ別々のリソース情報として構成情報の要素に追加される。
{script−200,image−300,image−500,image−200,media−300,media−400,stylesheet−500,font−600,other−1000}
このように、例えば、画像(image)が複数あっても、それぞれ別々のリソース情報として構成情報の要素に追加される。
ここで、解析部112は、Webページのドメインが月毎の1か月間、あるいは現在までの1か月間等、所定期間に出現した回数を計測し、回数が閾値以上の場合、このWebページを通常のサイトと判断し、フィッシングサイトの検出対象から除外してもよい。
また、解析部112は、良性サイト及び悪性サイトが共通してアクセスするリソースとして、予め設定された所定のドメインのリソースを除外して構成情報を取得してもよい。例えば、アクセスカウンタ等の一般的に用いられるパーツ等が除外される。
さらに、解析部112は、Webページが所定のステータスコードを有する場合、このWebページを検出対象から除外する。具体的には、例えば、main_frameのステータスコードが400番台又は500番台であるエラーサイトは、フィッシングサイトではないとして、構成情報の作成対象から除外される。
リスト生成部113は、WebページのURL(「main_frame」のURL)が既知のフィッシングサイトのURLリスト121に含まれる場合に、このWebページに関する構成情報を、フィッシングサイトを検出するために記憶部12に格納されたブラックリスト122に記録する。
検出部114は、取得されたWebページの構成情報に対して、ブラックリスト122に格納された構成情報それぞれとの類似度を算出し、類似度が閾値以上の既知のフィッシングサイトが存在する場合、このWebページをフィッシングサイトとして検出する。
検出部114は、構成情報の類似度として、例えば、Jaccard係数を用いることができる。
検出部114は、構成情報の類似度として、例えば、Jaccard係数を用いることができる。
図3は、本実施形態における構成情報の類似度を例示する図である。
例えば、判定対象のWebページの構成情報が9個のリソース情報の集合で、既知のフィッシングサイトの構成情報が8個のリソース情報の集合であり、7個のリソース情報が共通している場合、両者の積集合の要素数は7、和集合の要素数は10となる。
この場合、Jaccard係数(類似度)は、7/10=0.7である。
例えば、判定対象のWebページの構成情報が9個のリソース情報の集合で、既知のフィッシングサイトの構成情報が8個のリソース情報の集合であり、7個のリソース情報が共通している場合、両者の積集合の要素数は7、和集合の要素数は10となる。
この場合、Jaccard係数(類似度)は、7/10=0.7である。
ここで、検出部114は、取得されたWebページの構成情報のうち、既知のフィッシングサイトと共通するリソース情報の個数が閾値未満の場合、このWebページを検出対象から除外してもよい。
さらに、検出部114は、既知のフィッシングサイトと共通するリソース情報のうち、所定以上のサイズのリソースに関するリソース情報の個数が閾値未満の場合に、このWebページを検出対象から除外してもよい。
さらに、検出部114は、既知のフィッシングサイトと共通するリソース情報のうち、所定以上のサイズのリソースに関するリソース情報の個数が閾値未満の場合に、このWebページを検出対象から除外してもよい。
また、検出部114は、構成情報をブラックリスト122と照合する前に、既知のフィッシングサイトのURLリスト121を参照し、WebページのURLがこのURLリスト121に含まれる場合に、アクセスしたWebページをフィッシングサイトとして検出してもよい。
URL登録部115は、検出部114により構成情報に基づいてフィッシングサイトと判定されたWebページのURLを、既知のフィッシングサイトのURLリスト121に追加登録する。
図4は、本実施形態におけるブラックリスト122の生成、及びフィッシングサイトの検出を行う処理の流れを示すフローチャートである。
ステップS1において、取得部111は、一定期間のWebアクセスログを取得する。
ステップS2において、解析部112は、ステップS1で取得したWebアクセスログをユーザID及びタブIDでソートし、ユーザID及びタブID毎に以下の処理を実行する。
ステップS3において、解析部112は、あるmain_frameのURL(例えば、図2のurl1)へのアクセスに関して、次のmain_frameのURL(例えば、図2のurl11)にアクセスするまでの間にアクセスしたリソースのリソース情報を取得し、Webページの構成情報を作成してmain_frameのURL(url1)に紐付ける。
ステップS4において、検出部114は、ステップS3で観測されたmain_frameのURL(url1)が既知のフィッシングサイトのURLリスト121に含まれているか否かを判定する。この判定がYESの場合、処理はステップS5に移り、判定がNOの場合、処理はステップS6に移る。
ステップS5において、リスト生成部113は、既知のフィッシングサイトと判定されたWebページの構成情報をブラックリスト122に記録する。
その後、処理はステップS8に移る。
その後、処理はステップS8に移る。
ステップS6において、検出部114は、ステップS3で取得した構成情報と、ブラックリスト122に含まれる構成情報それぞれとの類似度を算出し、閾値以上の類似度の構成情報がブラックリスト122に存在するか否かを判定する。この判定がYESの場合、処理はステップS7に移り、判定がNOの場合、処理はステップS9に移る。
ステップS7において、URL登録部115は、新たに判明したフィッシングサイトのURL(url1)をURLリスト121に登録する。
ステップS8において、検出部114は、アクセスしたWebページ(url1)がフィッシングサイトであることを、検出結果として出力する。
ステップS9において、検出部114は、アクセスしたWebページ(url1)がフィッシングサイトではないことを、検出結果として出力する。
なお、このフローチャートでは、ユーザ端末20のWebアクセスに応じてブラックリスト122が生成されるが、ブラックリスト122は、既知のフィッシングサイトのリストに基づいて予め生成されてもよい。
例えば、既存のインターネットサービスから取得した既知のフィッシングサイトのリストに基づいて、クローリングサーバによるWebアクセスログが取得部111に入力されてもよい。
例えば、既存のインターネットサービスから取得した既知のフィッシングサイトのリストに基づいて、クローリングサーバによるWebアクセスログが取得部111に入力されてもよい。
本実施形態によれば、検出装置10は、既知のフィッシングサイトを構成する際にアクセスするリソースの構成情報を、ブラックリスト122に記録する。そして、検出装置10は、ユーザ端末20がアクセスしたWebページを構成するリソースの構成情報と、ブラックリスト122に格納された構成情報との類似度が閾値以上である場合に、アクセスしたWebページをフィッシングサイトとして検出する。
したがって、検出装置10は、個別のリソース単位の情報に基づく構成情報をブラックリスト122と詳細に照合しつつも、一部のリソースのサイズの誤差、又はリソース情報を取得する際のアクセスログの一部の欠損等に起因する構成情報の誤差を許容して、既知のフィッシングサイトに類似した未知のフィッシングサイトを精度良く検知できる。
したがって、検出装置10は、個別のリソース単位の情報に基づく構成情報をブラックリスト122と詳細に照合しつつも、一部のリソースのサイズの誤差、又はリソース情報を取得する際のアクセスログの一部の欠損等に起因する構成情報の誤差を許容して、既知のフィッシングサイトに類似した未知のフィッシングサイトを精度良く検知できる。
検出装置10は、Webページのドメインが所定期間に出現した回数を計測し、この回数が閾値以上の場合、このWebページをフィッシングサイトの検出対象から除外する。
したがって、検出装置10は、頻繁にアクセスされるWebページを通常の良性サイトと判断して、誤検出を抑制すると共に、処理負荷を低減できる。
したがって、検出装置10は、頻繁にアクセスされるWebページを通常の良性サイトと判断して、誤検出を抑制すると共に、処理負荷を低減できる。
検出装置10は、Webページの構成情報のうち、既知のフィッシングサイトと共通するリソース情報の個数が閾値未満の場合、このWebページを検出対象から除外する。
これにより、検出装置10は、僅かなリソースの偶然の一致による誤検出を抑制できる。
さらに、検出装置10は所定以上のサイズのリソースに関するリソース情報の個数が閾値未満の場合に、Webページを検出対象から除外することで、識別性の低いリソース情報による判定を行わず、例えば画像がファビコンだけのようなサイトを除外して、ブラックリスト122との偶然の一致による誤検出を抑制できる。
これにより、検出装置10は、僅かなリソースの偶然の一致による誤検出を抑制できる。
さらに、検出装置10は所定以上のサイズのリソースに関するリソース情報の個数が閾値未満の場合に、Webページを検出対象から除外することで、識別性の低いリソース情報による判定を行わず、例えば画像がファビコンだけのようなサイトを除外して、ブラックリスト122との偶然の一致による誤検出を抑制できる。
検出装置10は、予め設定された所定のドメインのリソースを除外して構成情報を取得する。
したがって、検出装置10は、様々なサイトで一般的に用いられるパーツ等のリソース情報を除外して、サイトの特徴を適切に表した構成情報により、フィッシングサイトを精度良く検出できる。
したがって、検出装置10は、様々なサイトで一般的に用いられるパーツ等のリソース情報を除外して、サイトの特徴を適切に表した構成情報により、フィッシングサイトを精度良く検出できる。
検出装置10は、Webページが所定のステータスコードを有する場合、このWebページを検出対象から除外する。
したがって、検出装置10は、エラーページ等、フィッシングサイトではないことが明らかなWebページの誤検出を防ぐと共に、処理負荷を低減できる。
したがって、検出装置10は、エラーページ等、フィッシングサイトではないことが明らかなWebページの誤検出を防ぐと共に、処理負荷を低減できる。
検出装置10は、構成情報の類似度として、Jaccard係数を用いることにより、容易に適切な類似判定を行うことができる。
検出装置10は、構成情報に基づいてフィッシングサイトと判定したWebページのURLを、既知のフィッシングサイトのURLリスト121に追加してもよい。
これにより、検出装置10は、URLに基づいて検出できるフィッシングサイトの数を自動で拡張することができる。この結果、検出装置10は、構成情報に基づく検出の前にURLに基づく判定を行うことで、同一のURLに対する重複した処理を削減し、処理負荷を低減できる。
これにより、検出装置10は、URLに基づいて検出できるフィッシングサイトの数を自動で拡張することができる。この結果、検出装置10は、構成情報に基づく検出の前にURLに基づく判定を行うことで、同一のURLに対する重複した処理を削減し、処理負荷を低減できる。
検出システム1は、ユーザ端末20においてブラウザによるネットワークへのアクセスを監視することにより、ユーザID及びタブIDを含むWebアクセスログを生成できる。
これにより、検出装置10は、ユーザの閲覧したWebページがフィッシングサイトであるか否かを適時に判定し、通知することができる。
これにより、検出装置10は、ユーザの閲覧したWebページがフィッシングサイトであるか否かを適時に判定し、通知することができる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
前述の実施形態では、URLリスト121及びブラックリスト122が検出装置10の記憶部12に格納されることとしたが、これには限られず、外部サーバに格納されてもよい。
また、検出装置10の機能は、ブラックリスト122を生成する解析装置と、ブラックリスト122に基づいてフィッシングサイトを検出する検出装置とに分散されてもよい。
また、検出装置10の機能は、ブラックリスト122を生成する解析装置と、ブラックリスト122に基づいてフィッシングサイトを検出する検出装置とに分散されてもよい。
検出装置10による検出方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
1 検出システム
10 検出装置
11 制御部
12 記憶部
20 ユーザ端末
21 ブラウザセンサ
111 取得部
112 解析部
113 リスト生成部
114 検出部
115 URL登録部
121 URLリスト
122 ブラックリスト
10 検出装置
11 制御部
12 記憶部
20 ユーザ端末
21 ブラウザセンサ
111 取得部
112 解析部
113 リスト生成部
114 検出部
115 URL登録部
121 URLリスト
122 ブラックリスト
Claims (10)
- ブラウザにおいてWebページを構成するためにアクセスしたリソースの種類及びサイズを含むアクセスログを取得する取得部と、
前記アクセスログから、前記Webページ毎に、前記リソースの種類及びサイズからなるリソース情報の集合を、当該Webページの構成情報として取得する解析部と、
前記Webページの構成情報に対して、ブラックリストに格納された構成情報それぞれとの類似度を算出し、当該類似度が閾値以上の既知のフィッシングサイトが存在する場合、当該Webページをフィッシングサイトとして検出する検出部と、を備える検出装置。 - 前記解析部は、前記Webページのドメインが所定期間に出現した回数を計測し、当該回数が閾値以上の場合、当該Webページを検出対象から除外する請求項1に記載の検出装置。
- 前記検出部は、前記Webページの構成情報のうち、前記既知のフィッシングサイトと共通する前記リソース情報の個数が閾値未満の場合、当該Webページを検出対象から除外する請求項1又は請求項2に記載の検出装置。
- 前記検出部は、前記既知のフィッシングサイトと共通する前記リソース情報のうち、所定以上のサイズのリソースに関するリソース情報の個数が閾値未満の場合に、前記Webページを検出対象から除外する請求項3に記載の検出装置。
- 前記解析部は、予め設定された所定のドメインのリソースを除外して前記構成情報を取得する請求項1から請求項4のいずれかに記載の検出装置。
- 前記解析部は、前記Webページが所定のステータスコードを有する場合、当該Webページを検出対象から除外する請求項1から請求項5のいずれかに記載の検出装置。
- 前記検出部は、前記類似度として、Jaccard係数を用いる請求項1から請求項6のいずれかに記載の検出装置。
- 前記検出部によりフィッシングサイトと判定された前記WebページのURLを、既知のフィッシングサイトのURLリストに追加登録する登録部を備え、
前記検出部は、前記構成情報を前記ブラックリストと照合する前に、前記URLリストを参照し、前記WebページのURLが当該URLリストに含まれる場合に、前記Webページをフィッシングサイトとして検出する請求項1から請求項7のいずれかに記載の検出装置。 - 請求項1から請求項8のいずれかに記載の検出装置と、ユーザ端末と、を備え、
前記ユーザ端末は、前記ブラウザによるネットワークへのアクセスを監視し、ユーザのID及び前記ブラウザのタブを識別するIDを含む前記アクセスログを生成し、前記検出装置へ送信する検出システム。 - 請求項1から請求項8のいずれかに記載の検出装置としてコンピュータを機能させるための検出プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020107052A JP2022002036A (ja) | 2020-06-22 | 2020-06-22 | 検出装置、検出システム及び検出プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020107052A JP2022002036A (ja) | 2020-06-22 | 2020-06-22 | 検出装置、検出システム及び検出プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2022002036A true JP2022002036A (ja) | 2022-01-06 |
Family
ID=79244728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020107052A Pending JP2022002036A (ja) | 2020-06-22 | 2020-06-22 | 検出装置、検出システム及び検出プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2022002036A (ja) |
-
2020
- 2020-06-22 JP JP2020107052A patent/JP2022002036A/ja active Pending
Non-Patent Citations (2)
| Title |
|---|
| 田中 翔真 ほか: "リソース統計情報を用いたフィッシングサイト検知", 情報処理学会 シンポジウム コンピュータセキュリティシンポジウム, JPN6023009025, 16 December 2019 (2019-12-16), JP, ISSN: 0005144084 * |
| 田中 翔真: "Webサイトを構成するリソースの種類・サイズを用いたフィッシングサイト検知", 2020年 暗号と情報セキュリティシンポジウム予稿集, JPN6023009026, 21 January 2020 (2020-01-21), JP, ISSN: 0005144083 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9462009B1 (en) | Detecting risky domains | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| US8321934B1 (en) | Anti-phishing early warning system based on end user data submission statistics | |
| US11381598B2 (en) | Phishing detection using certificates associated with uniform resource locators | |
| CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
| US9262638B2 (en) | Hygiene based computer security | |
| EP2805286B1 (en) | Online fraud detection dynamic scoring aggregation systems and methods | |
| US9830453B1 (en) | Detection of code modification | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| US11960604B2 (en) | Online assets continuous monitoring and protection | |
| CN114003903B (zh) | 一种网络攻击追踪溯源方法及装置 | |
| CN107682345B (zh) | Ip地址的检测方法、检测装置及电子设备 | |
| CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
| CN107294919A (zh) | 一种水平权限漏洞的检测方法及装置 | |
| CN113711559B (zh) | 检测异常的系统和方法 | |
| US11470114B2 (en) | Malware and phishing detection and mediation platform | |
| CN115190108B (zh) | 一种检测被监控设备的方法、装置、介质及电子设备 | |
| CN108282446A (zh) | 识别扫描器的方法及设备 | |
| JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
| KR101464736B1 (ko) | 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법 | |
| KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
| CN116451071A (zh) | 样本标注方法、设备及可读存储介质 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| JP2022002036A (ja) | 検出装置、検出システム及び検出プログラム | |
| JP7069090B2 (ja) | 解析装置、検出装置、システム及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220607 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230307 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230905 |