JP6869833B2 - 識別装置、識別方法、識別プログラム、モデル生成装置、モデル生成方法及びモデル生成プログラム - Google Patents
識別装置、識別方法、識別プログラム、モデル生成装置、モデル生成方法及びモデル生成プログラム Download PDFInfo
- Publication number
- JP6869833B2 JP6869833B2 JP2017132269A JP2017132269A JP6869833B2 JP 6869833 B2 JP6869833 B2 JP 6869833B2 JP 2017132269 A JP2017132269 A JP 2017132269A JP 2017132269 A JP2017132269 A JP 2017132269A JP 6869833 B2 JP6869833 B2 JP 6869833B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- registration information
- word
- unit
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、ドメインの種類を識別する装置、及び識別モデルの生成装置に関する。
従来、インターネットには、攻撃者が作成した悪意のあるサイトが含まれており、ユーザにとって、ウェブセキュリティは、非常に重要な課題となっている。例えば、マルウェアをユーザの端末にインストールするページに遷移させるDBD(Drive−by download)攻撃がある。
DBD攻撃では、「正当なものと思われる」ランディングページに埋め込まれたコードにより、閲覧されたページは、複数のホップポイントページを辿ってディストリビューションページにリダイレクトされ、ディストリビューションページのコードによってマルウェアがユーザの端末にインストールされる(例えば、非特許文献1参照)。
これらの攻撃に関係するページを検出することでウェブセキュリティのレベルは向上する。さらに、ランディングページにはアクセスを許すがページ遷移を禁止する、ディストリビューションページへのアクセスは禁止する等、ページの種類に応じて制限レベルを変えることで、セキュリティを維持しつつ、ユーザに適切なウェブブラウジングを提供できる。例えば、非特許文献2−5には、ページの分類技術が示されている。
また、非特許文献6及び7には、ドメインの登録情報であるWhoisを使用して悪意のあるドメインか否かを分類する技術が示されている。
また、非特許文献6及び7には、ドメインの登録情報であるWhoisを使用して悪意のあるドメインか否かを分類する技術が示されている。
N. Provos, P. Mavrommatis, M.A. Rajab, F. Monrose, "All Your iFRAMEs Point to Us". In: 17th conference on Security symposium (SS ’08), pp. 1−15, 2008.
J.W. Stokes, R. Andersen, C. Seifert, and K. Chellapilla, "WebCop: locating neighborhoods of malware on the web". In: 3rd USENIX conference on Large−scale exploits and emergent threats: botnets, spyware, worms, and more (LEET ’10), pp. 5−13, 2010.
G. Wang, J.W. Stokes, C. Herley, and D. Felstead, "Detecting Malicious Landing Pages in Malware Distribution Networks". In: 43rd Conference on Dependable Systems and Networks (DSN ’13), pp. 1−11, 2013.
T. Nelms, R. Perdisci, M. Antonakakis, and M. Ahamad, "WebWitness: Investigating, Categorizing, and Mitigating Malware Download Paths". In: 24th USENIX Security Symposium (USENIX ’15), pp. 1025−1040, 2015.
Google Safe Browsing version 4 (GSBv4), インターネット<https://developers.google.com/safe-browsing/v4/>
L. Bilge, E. Kirda, C. Kruegel, and M. Balduzzi, "EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis", Network and Distributed System Security Symposium, NDSS 2011.
M. Kuyama, Y. Kakizaki, and R. Sasaki, "Method for Detecting a Malicious Domain by using WHOIS and DNS features", 3rd Int. Conf. on Digital Security and Forensics (DigitalSec2016)
非特許文献2の手法では、ディストリビューションページが検出された際に、参照情報が存在する場合にランディングページが一部検出される。
非特許文献3又は4の手法では、ランディングページか否か、又はディストリビューションページか否かを分類するため、複数の種類を一度に識別できない。
非特許文献5で使用されるブラックリストには、ランディングページ及びディストリビューションページのラベルが付与されているものの、リストに登録されていないページを識別することはできない。
非特許文献3又は4の手法では、ランディングページか否か、又はディストリビューションページか否かを分類するため、複数の種類を一度に識別できない。
非特許文献5で使用されるブラックリストには、ランディングページ及びディストリビューションページのラベルが付与されているものの、リストに登録されていないページを識別することはできない。
非特許文献6又は7の手法では、ランディング又はディストリビューションといった詳細な分類はできないものの、Whoisに記述された属性を抽出することで、悪意のあるドメインか否かを分類する。しかしながら、Whoisの記述形式は統一されておらず、属性の抽出作業は容易ではない。
このように、従来の手法では、DBD攻撃に関係する問題のあるドメインについて、所定のブラックリストに分類された状態で登録されていなければ、ランディング・ドメイン及びディストリビューション・ドメインの両方を効率的に識別することは難しかった。
本発明は、DBD攻撃に関するドメインの種類を効率的に識別できる装置、方法及びプログラム、並びに識別するためのモデルを生成する装置、方法及びプログラムを提供することを目的とする。
本発明に係るモデル生成装置は、DBD攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを含むラベルが付与された複数のドメインについて、当該ドメインの登録情報を取得する取得部と、前記登録情報に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出部と、前記単語、及び当該単語に対する前記指標を第1の特徴量として、前記ラベルに基づく教師あり学習により識別モデルを生成する学習部と、を備える。
前記モデル生成装置は、前記登録情報の登録日及び更新日を抽出する日付抽出部を備え、前記学習部は、前記登録日からの経過日数、及び前記更新日からの経過日数を第2の特徴量として、前記識別モデルを生成してもよい。
前記モデル生成装置は、前記ドメインのページ文書において、特定種類のタグが出現する第1の回数をカウントするタグカウント部を備え、前記学習部は、前記第1の回数を第3の特徴量として、前記識別モデルを生成してもよい。
前記モデル生成装置は、前記ドメインのページ文書において、特定種類のファイル拡張子が出現する第2の回数をカウントする拡張子カウント部を備え、前記学習部は、前記第2の回数を第4の特徴量として、前記識別モデルを生成してもよい。
前記ラベルは、ホップポイント・ドメインをさらに含んでもよい。
本発明に係るモデル生成方法は、DBD攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを含むラベルが付与された複数のドメインについて、当該ドメインの登録情報を取得する取得ステップと、前記登録情報に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出ステップと、前記単語、及び当該単語に対する前記指標を第1の特徴量として、前記ラベルに基づく教師あり学習により識別モデルを生成する学習ステップと、をコンピュータが実行する。
本発明に係るモデル生成プログラムは、DBD攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを含むラベルが付与された複数のドメインについて、当該ドメインの登録情報を取得する取得ステップと、前記登録情報に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出ステップと、前記単語、及び当該単語に対する前記指標を第1の特徴量として、前記ラベルに基づく教師あり学習により識別モデルを生成する学習ステップと、をコンピュータに実行させるためのものである。
本発明に係る識別装置は、指定されたドメインの登録情報を取得する取得部と、前記登録情報に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出部と、前記単語、及び当該単語に対する前記指標を第1の特徴量として、DBD攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを識別する識別部と、を備える。
本発明に係る識別方法は、指定されたドメインの登録情報を取得する取得ステップと、前記登録情報に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出ステップと、前記単語、及び当該単語に対する前記指標を第1の特徴量として、DBD攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを識別する識別ステップと、をコンピュータが実行する。
本発明に係る識別プログラムは、指定されたドメインの登録情報を取得する取得ステップと、前記登録情報に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出ステップと、前記単語、及び当該単語に対する前記指標を第1の特徴量として、DBD攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを識別する識別ステップと、をコンピュータに実行させるためのものである。
本発明によれば、DBD攻撃に関するドメインを効率的に識別できる。
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態に係るDBD攻撃に関するドメインの種類を示す概念図である。
ユーザは、ランディング・ドメインに属するランディングページにアクセスすると、このページに埋め込まれたコードにより、ホップポイントページにリダイレクトされる。
さらに、ホップポイントページは、他の複数のホップポイントページをリダイレクトにより経由して、ユーザをディストリビューションページにアクセスさせる。
そして、ディストリビューションページに埋め込まれたコードにより、ユーザの端末にマルウェアがインストールされる。
図1は、本実施形態に係るDBD攻撃に関するドメインの種類を示す概念図である。
ユーザは、ランディング・ドメインに属するランディングページにアクセスすると、このページに埋め込まれたコードにより、ホップポイントページにリダイレクトされる。
さらに、ホップポイントページは、他の複数のホップポイントページをリダイレクトにより経由して、ユーザをディストリビューションページにアクセスさせる。
そして、ディストリビューションページに埋め込まれたコードにより、ユーザの端末にマルウェアがインストールされる。
本実施形態に係るモデル生成装置1は、ランディング・ドメイン、ホップポイント・ドメイン、ディストリビューション・ドメイン、及び他の正常なドメインを識別するためのモデルを学習により生成する。識別装置2は、モデル生成装置1により生成されたモデルを用いて、未分類のドメインを識別する。
図2は、本実施形態に係るモデル生成装置1の機能構成を示すブロック図である。
モデル生成装置1は、制御部10及び記憶部11の他、入出力及び通信のインタフェースを備えた情報処理装置(コンピュータ)であり、記憶部11に格納されたソフトウェア(モデル生成プログラム)を制御部10が読み出し実行することにより、本実施形態の各機能を実現する。
モデル生成装置1は、制御部10及び記憶部11の他、入出力及び通信のインタフェースを備えた情報処理装置(コンピュータ)であり、記憶部11に格納されたソフトウェア(モデル生成プログラム)を制御部10が読み出し実行することにより、本実施形態の各機能を実現する。
モデル生成装置1の制御部10は、取得部101と、算出部102と、日付抽出部103と、タグカウント部104と、拡張子カウント部105と、学習部106とを備える。
取得部101は、DBD攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを含むラベルが付与された複数のドメインについて、これらドメインの登録情報であるWhoisを取得する。ラベルは、ホップポイント・ドメインをさらに含んでもよい。
なお、学習の教師データとなるラベルが付与されたドメイン情報は、既存のブラックリスト、ホワイトリスト等から取得してもよいし、任意のドメインを手動で分類することにより取得してもよい。
算出部102は、Whoisに含まれる単語をテキスト解析により抽出し、これらの単語の出現頻度に関する指標を算出する。
出現頻度に関する指標は、例えばTF−IDFであり、特定のドメインに頻出する特徴語がTF−IDF値と共に、識別のための第1の特徴量として採用される。
出現頻度に関する指標は、例えばTF−IDFであり、特定のドメインに頻出する特徴語がTF−IDF値と共に、識別のための第1の特徴量として採用される。
算出部102の処理は、例えば、次の複数のステップを含む。
・Whoisに含まれる単語を抽出する。
・不要な種類の単語を除外する。
・単語の辞書を構築する。
・単語毎の文書内の出現数、及び文書数を数える。
・単語毎にTF−IDF値を算出する。
・Whoisに含まれる単語を抽出する。
・不要な種類の単語を除外する。
・単語の辞書を構築する。
・単語毎の文書内の出現数、及び文書数を数える。
・単語毎にTF−IDF値を算出する。
日付抽出部103は、Whoisの登録日及び更新日を抽出する。これらの日付から現在までの経過日数が識別のための第2の特徴量として採用される。
ここで、ランディング・ドメイン、ホップポイント・ドメイン及びディストリビューション・ドメインに関するWhoisには、例えば、次のような特徴が多く見られるため、第2の特徴量が識別性能に寄与する。
・ランディング・ドメインに関するWhoisの更新日は、ディストリビューション・ドメインに関するWhoisの更新日よりも古い。
・ランディング・ドメインに関するWhoisの登録日は、通常よりも古い。
・ディストリビューション・ドメインに関するWhoisの登録日は、通常よりも新しい。
・ホップポイント・ドメインに関するWhoisの登録日及び更新日は、ランディング・ドメインよりも古い。
・ランディング・ドメインに関するWhoisの更新日は、ディストリビューション・ドメインに関するWhoisの更新日よりも古い。
・ランディング・ドメインに関するWhoisの登録日は、通常よりも古い。
・ディストリビューション・ドメインに関するWhoisの登録日は、通常よりも新しい。
・ホップポイント・ドメインに関するWhoisの登録日及び更新日は、ランディング・ドメインよりも古い。
タグカウント部104は、ドメインに含まれるページ文書において、特定種類のタグが出現する第1の回数をカウントする。
特定種類のタグとは、例えば、<form>、<iframe>、<href>、<link>、<script>、<frame>、<object>、<embed>の8種類であり、これらの出現回数の合計が識別のための第3の特徴量として採用される。
特定種類のタグとは、例えば、<form>、<iframe>、<href>、<link>、<script>、<frame>、<object>、<embed>の8種類であり、これらの出現回数の合計が識別のための第3の特徴量として採用される。
拡張子カウント部105は、ドメインに含まれるページ文書において、特定種類のファイル拡張子が出現する第2の回数をカウントする。
特定種類の拡張子とは、例えば、jar、swf、pdfの3種類であり、これらの出現回数の合計が識別のための第4の特徴量として採用される。
特定種類の拡張子とは、例えば、jar、swf、pdfの3種類であり、これらの出現回数の合計が識別のための第4の特徴量として採用される。
学習部106は、単語、及び単語のTF−IDF値を第1の特徴量として、ラベルに基づく教師あり学習により識別モデルを生成する。
学習部106は、さらに、Whoisの登録日からの経過日数、及び更新日からの経過日数を第2の特徴量として、タグをカウントした第1の回数を第3の特徴量として、拡張子をカウントした第2の回数を第4の特徴量として、それぞれを入力に学習を行ってもよい。
学習部106は、さらに、Whoisの登録日からの経過日数、及び更新日からの経過日数を第2の特徴量として、タグをカウントした第1の回数を第3の特徴量として、拡張子をカウントした第2の回数を第4の特徴量として、それぞれを入力に学習を行ってもよい。
なお、学習アルゴリズムには、例えば、決定木、サポートベクタマシン、ナイーブベイズ、ニューラルネットワーク、確率的勾配降下法、k近傍法、ランダムフォレスト等、各種の手法が適宜用いられてよい。
図3は、本実施形態に係る識別装置2の機能構成を示すブロック図である。
識別装置2は、制御部20及び記憶部21の他、入出力及び通信のインタフェースを備えた情報処理装置(コンピュータ)であり、記憶部21に格納されたソフトウェア(識別プログラム)を制御部20が読み出し実行することにより、本実施形態の各機能を実現する。
識別装置2は、制御部20及び記憶部21の他、入出力及び通信のインタフェースを備えた情報処理装置(コンピュータ)であり、記憶部21に格納されたソフトウェア(識別プログラム)を制御部20が読み出し実行することにより、本実施形態の各機能を実現する。
識別装置2の制御部20は、取得部201と、算出部202と、日付抽出部203と、タグカウント部204と、拡張子カウント部205と、識別部206とを備える。
取得部201は、識別対象となる指定されたドメインの登録情報であるWhoisを取得する。
算出部202、日付抽出部203、タグカウント部204及び拡張子カウント部205は、それぞれモデル生成装置1の算出部102、日付抽出部103、タグカウント部104及び拡張子カウント部105と同様の機能部である。これらの機能部により、第1〜第4の特徴量が導出され、これらの特徴量が識別部206へ入力される。
算出部202、日付抽出部203、タグカウント部204及び拡張子カウント部205は、それぞれモデル生成装置1の算出部102、日付抽出部103、タグカウント部104及び拡張子カウント部105と同様の機能部である。これらの機能部により、第1〜第4の特徴量が導出され、これらの特徴量が識別部206へ入力される。
識別部206は、モデル生成装置1により生成された識別モデルが実装された、ドメインの種類を判別するための識別器である。
識別部206は、入力された第1〜第4の特徴量に基づいて、DBD攻撃におけるランディング・ドメイン、ホップポイント・ドメイン及びディストリビューション・ドメインを識別する。
識別部206は、入力された第1〜第4の特徴量に基づいて、DBD攻撃におけるランディング・ドメイン、ホップポイント・ドメイン及びディストリビューション・ドメインを識別する。
図4は、本実施形態に係る識別モデルの入力となる特徴量を示す図である。
識別モデルを生成する際の機械学習の入力、又は生成された識別器の入力となる特徴量は、ドメインに関するWhoisの情報と、ページ情報(HTML文書)とから取得される。
識別モデルを生成する際の機械学習の入力、又は生成された識別器の入力となる特徴量は、ドメインに関するWhoisの情報と、ページ情報(HTML文書)とから取得される。
Whoisからは、第1の特徴量として、文書全体をテキスト解析した結果である単語及びそのTF−IDF値が得られる。
さらに、第2特徴量として、Whoisの属性情報から登録日及び更新日が得られる。
また、ページ情報からは、第3の特徴量として特定のタグの出現回数と、第4の特徴量として特定の拡張子の出現回数とが得られる。
さらに、第2特徴量として、Whoisの属性情報から登録日及び更新日が得られる。
また、ページ情報からは、第3の特徴量として特定のタグの出現回数と、第4の特徴量として特定の拡張子の出現回数とが得られる。
本実施形態によれば、モデル生成装置1は、ドメイン毎のWhoisをテキスト解析することにより、単語の出現頻度に関する指標を特徴量として抽出し、DBD攻撃に関するランディング・ドメイン、及びディストリビューション・ドメインを含むドメインの種類を識別するためのモデルを学習により生成する。
これにより、識別装置2は、記述の形式及び用語が統一されていないWhoisから属性情報を抽出するという高コスト、かつ、精度の低い処理に対して、より容易に特徴量を抽出でき、DBD攻撃に関するドメインの種類を効率的に識別できる。
これにより、識別装置2は、記述の形式及び用語が統一されていないWhoisから属性情報を抽出するという高コスト、かつ、精度の低い処理に対して、より容易に特徴量を抽出でき、DBD攻撃に関するドメインの種類を効率的に識別できる。
この結果、ネットワーク管理者等は、ユーザのブラウジングに対して、ランディング・ドメインへのアクセスは許可するがリダイレクトを制限したり、ディストリビューション・ドメインへのアクセスを禁止したりといった、ドメインの種類に応じた適切なアクセス制御を効率的に実現できる。
また、識別モデルは、Whoisの登録日及び更新日に基づく第2の特徴量、ドメイン内のページ文書に記述された特定のタグの出現回数からなる第3の特徴量、及びページ文書に記述された特定の拡張子の出現回数からなる第4の特徴量を用いる。
これにより、ドメインの種類の識別精度が向上し、ランディング・ドメイン及びディストリビューション・ドメインに加えて、ホップポイント・ドメインを精度良く識別できることが期待できる。
これにより、ドメインの種類の識別精度が向上し、ランディング・ドメイン及びディストリビューション・ドメインに加えて、ホップポイント・ドメインを精度良く識別できることが期待できる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。
モデル生成装置1によるモデル生成方法、及び識別装置2による識別方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
1 モデル生成装置
2 識別装置
10 制御部
11 記憶部
20 制御部
21 記憶部
101 取得部
102 算出部
103 日付抽出部
104 タグカウント部
105 拡張子カウント部
106 学習部
201 取得部
202 算出部
203 日付抽出部
204 タグカウント部
205 拡張子カウント部
206 識別部
2 識別装置
10 制御部
11 記憶部
20 制御部
21 記憶部
101 取得部
102 算出部
103 日付抽出部
104 タグカウント部
105 拡張子カウント部
106 学習部
201 取得部
202 算出部
203 日付抽出部
204 タグカウント部
205 拡張子カウント部
206 識別部
Claims (10)
- DBD(Drive−by download)攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを含むラベルが付与された複数のドメインについて、当該ドメインの登録情報を取得する取得部と、
前記登録情報の記述形式に関わらず、当該登録情報の全体に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出部と、
前記単語、及び当該単語に対する前記指標を第1の特徴量として、前記ラベルに基づく教師あり学習により識別モデルを生成する学習部と、を備えるモデル生成装置。 - 前記登録情報の登録日及び更新日を抽出する日付抽出部を備え、
前記学習部は、前記登録日からの経過日数、及び前記更新日からの経過日数を第2の特徴量として、前記識別モデルを生成する請求項1に記載のモデル生成装置。 - 前記ドメインのページ文書において、特定種類のタグが出現する第1の回数をカウントするタグカウント部を備え、
前記学習部は、前記第1の回数を第3の特徴量として、前記識別モデルを生成する請求項1又は請求項2に記載のモデル生成装置。 - 前記ドメインのページ文書において、特定種類のファイル拡張子が出現する第2の回数をカウントする拡張子カウント部を備え、
前記学習部は、前記第2の回数を第4の特徴量として、前記識別モデルを生成する請求項1から請求項3のいずれかに記載のモデル生成装置。 - 前記ラベルは、ホップポイント・ドメインをさらに含む請求項1から請求項4のいずれかに記載のモデル生成装置。
- DBD(Drive−by download)攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを含むラベルが付与された複数のドメインについて、当該ドメインの登録情報を取得する取得ステップと、
前記登録情報の記述形式に関わらず、当該登録情報の全体に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出ステップと、
前記単語、及び当該単語に対する前記指標を第1の特徴量として、前記ラベルに基づく教師あり学習により識別モデルを生成する学習ステップと、をコンピュータが実行するモデル生成方法。 - DBD(Drive−by download)攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを含むラベルが付与された複数のドメインについて、当該ドメインの登録情報を取得する取得ステップと、
前記登録情報の記述形式に関わらず、当該登録情報の全体に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出ステップと、
前記単語、及び当該単語に対する前記指標を第1の特徴量として、前記ラベルに基づく教師あり学習により識別モデルを生成する学習ステップと、をコンピュータに実行させるためのモデル生成プログラム。 - 指定されたドメインの登録情報を取得する取得部と、
前記登録情報の記述形式に関わらず、当該登録情報の全体に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出部と、
前記単語、及び当該単語に対する前記指標を第1の特徴量として、DBD(Drive−by download)攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを識別する識別部と、を備える識別装置。 - 指定されたドメインの登録情報を取得する取得ステップと、
前記登録情報の記述形式に関わらず、当該登録情報の全体に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出ステップと、
前記単語、及び当該単語に対する前記指標を第1の特徴量として、DBD(Drive−by download)攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを識別する識別ステップと、をコンピュータが実行する識別方法。 - 指定されたドメインの登録情報を取得する取得ステップと、
前記登録情報の記述形式に関わらず、当該登録情報の全体に含まれる単語を抽出し、当該単語の出現頻度に関する指標を算出する算出ステップと、
前記単語、及び当該単語に対する前記指標を第1の特徴量として、DBD(Drive−by download)攻撃におけるランディング・ドメイン、及びディストリビューション・ドメインを識別する識別ステップと、をコンピュータに実行させるための識別プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017132269A JP6869833B2 (ja) | 2017-07-05 | 2017-07-05 | 識別装置、識別方法、識別プログラム、モデル生成装置、モデル生成方法及びモデル生成プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017132269A JP6869833B2 (ja) | 2017-07-05 | 2017-07-05 | 識別装置、識別方法、識別プログラム、モデル生成装置、モデル生成方法及びモデル生成プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019016115A JP2019016115A (ja) | 2019-01-31 |
| JP6869833B2 true JP6869833B2 (ja) | 2021-05-12 |
Family
ID=65358519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017132269A Active JP6869833B2 (ja) | 2017-07-05 | 2017-07-05 | 識別装置、識別方法、識別プログラム、モデル生成装置、モデル生成方法及びモデル生成プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6869833B2 (ja) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5527845B2 (ja) * | 2010-08-20 | 2014-06-25 | Kddi株式会社 | 文書情報の文章的特徴及び外形的特徴に基づく文書分類プログラム、サーバ及び方法 |
| JP5980968B2 (ja) * | 2015-01-27 | 2016-08-31 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| US9930065B2 (en) * | 2015-03-25 | 2018-03-27 | University Of Georgia Research Foundation, Inc. | Measuring, categorizing, and/or mitigating malware distribution paths |
-
2017
- 2017-07-05 JP JP2017132269A patent/JP6869833B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019016115A (ja) | 2019-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chen et al. | Tinydroid: a lightweight and efficient model for android malware detection and classification | |
| Suarez-Tangil et al. | Droidsieve: Fast and accurate classification of obfuscated android malware | |
| Shibahara et al. | Efficient dynamic malware analysis based on network behavior using deep learning | |
| US8479296B2 (en) | System and method for detecting unknown malware | |
| JP5569935B2 (ja) | ソフトウェア検出方法及び装置及びプログラム | |
| US20110041179A1 (en) | Malware detection | |
| Mehtab et al. | AdDroid: rule-based machine learning framework for android malware analysis | |
| KR101858620B1 (ko) | 기계 학습을 이용한 자바스크립트 분석 장치 및 방법 | |
| WO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
| Malisa et al. | Mobile application impersonation detection using dynamic user interface extraction | |
| Abela et al. | An automated malware detection system for android using behavior-based analysis AMDA | |
| Du et al. | A static Android malicious code detection method based on multi‐source fusion | |
| Carlin et al. | Dynamic analysis of malware using run-time opcodes | |
| Ahmadi et al. | Detecting misuse of google cloud messaging in android badware | |
| JP6505533B2 (ja) | 悪質なコードの検出 | |
| Sethi et al. | A novel malware analysis for malware detection and classification using machine learning algorithms | |
| Korine et al. | DAEMON: dataset/platform-agnostic explainable malware classification using multi-stage feature mining | |
| Deepa et al. | Investigation of feature selection methods for android malware analysis | |
| Rafiq et al. | AndroMalPack: enhancing the ML-based malware classification by detection and removal of repacked apps for Android systems | |
| JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| Hu et al. | Dynamic android malware analysis with de-identification of personal identifiable information | |
| US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
| CN113971283A (zh) | 一种基于特征的恶意应用程序检测方法及设备 | |
| Khan et al. | A dynamic method of detecting malicious scripts using classifiers | |
| Chew et al. | Real-time system call-based ransomware detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190819 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200625 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201110 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201217 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210413 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210414 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6869833 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |