JP6998294B2 - 検知装置、検知方法及び検知プログラム - Google Patents
検知装置、検知方法及び検知プログラム Download PDFInfo
- Publication number
- JP6998294B2 JP6998294B2 JP2018232663A JP2018232663A JP6998294B2 JP 6998294 B2 JP6998294 B2 JP 6998294B2 JP 2018232663 A JP2018232663 A JP 2018232663A JP 2018232663 A JP2018232663 A JP 2018232663A JP 6998294 B2 JP6998294 B2 JP 6998294B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- homograph
- brand
- input
- learning model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
また、非特許文献2では、コンテンツを解析するために該当のドメインへのアクセスが必要であり、安全性及び効率性に課題があった。
図1は、本実施形態に係る検知装置1の機能構成を示す図である。
検知装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
画像類似度には、例えば、構造的類似性(SSIM)と呼ばれる指標が用いられてよい。画像xとyとのSSIMは、「SSIM(x,y)=(2μxμy+c1)(2σxy+c2)/(μx 2+μy 2+c1)(σx 2+σy 2+c2)」と定義される。
ここで、μx及びμyは、それぞれx及びyの画素値の平均であり、σx 2及びσy 2は、それぞれx及びyの画素値の分散を、σxyは、共分散を示す。また、c1=(k1L)2及びc2=(k2L)2は、画素値のダイナミックレンジLに応じた定数であり、例えば、c1=(0.01×(28-1))2及びc2=(0.03×(28-1))2が用いられる。
なお、全体類似度は、画像類似度の平均値であってよいが、これには限られず、例えば分散、最大値又は中央値等が用いられてもよい。
登録情報取得部13は、登録情報として、さらに、ブランドドメイン及びホモグラフドメインそれぞれの登録日、並びにホモグラフドメインの有効期限を取得してもよい。
ランキングが上位のブランドドメインは、攻撃を受けやすいため、所定のランキング以上であるか否かが後述の学習のための特徴として利用される。
攻撃を受けやすいカテゴリとして、例えば、仮想通貨、支払システム、銀行、オンラインショッピング、メールシステム、SNS、検索エンジン、オンラインゲーム等が予め設定され、ブランドドメインがこれらのカテゴリ群に属するか否かが後述の学習のための特徴として利用される。
ホモグラフドメインよりもブランドドメインの方が検索結果の数は多いと考えられるため、この大小関係が後述の学習のための特徴として利用される。
まず、ブランドドメインと、対になるホモグラフドメインとの間で、文字毎の画像類似度が得られる。
ホモグラフドメインからは、登録者、組織、登録日、有効期限を含む登録情報と、Web検索結果の数とが取得される。
学習の際に訓練データに付与される悪性か否かのラベルは、予めユーザにより判定されて付与される。
また、既知のホモグラフドメインに対して、類似のブランドドメインが前述のアクセス頻度のランキングデータベース等から抽出されてもよい。
(1)文字毎の画像類似度の平均値
(2)ホモグラフドメインの登録日がブランドドメインの登録日より後であるか否か
(3)ホモグラフドメインの登録者がブランドドメインの登録者と異なるか否か
(4)ホモグラフドメインの組織がブランドドメインの組織と異なるか否か
(5)ブランドドメインのランキングが所定以上か否か
(6)ブランドドメインのカテゴリが前述の所定のカテゴリ群に属するか否か
(7)ブランドドメインのWeb検索結果の数がホモグラフドメインより多いか否か
(8)ホモグラフドメインの登録日から有効期限までの日数が所定未満か否か
例えば、複数のアルゴリズムによる学習結果は、所定の評価指標により評価され、最高評価のアルゴリズムが選択されてもよい。
評価指標は、判定精度、F値、実行時間、真陽性率(TPR)、真陰性率(TNR)、偽陽性率(FPR)、偽陰性率(FNR)等が採用される。例えば、判定精度が高いもの、偽陽性率が低いもの、実行時間が短いものが優先して採用されてよい。
図のように、文字列全体のSSIMを用いた場合よりも、文字毎のSSIMを平均した場合の方が、精度及びFPR共に向上している。例えば、いずれの場合も最高評価のアルゴリズムは、KNeighborsClassifierとなったが、精度は86.73%から95.35%に向上し、FPRも5.41%から2.83%に向上している。
これにより、検知装置1は、ドメイン名の文字列全体の画像類似度を用いるよりもユーザの感覚に近い類似度を特徴データとして取得できる。したがって、検知装置1は、このような画像類似度と、ドメインの登録者及び組織の情報とを入力にした学習モデル21を用いて、攻撃者により登録されたホモグラフドメインを容易に精度良く検知できる。
この結果、Webユーザ、又はブランドドメインの管理者等は、フィッシングサイト等の悪性なホモグラフドメインを適切に識別することができる。
これにより、検知装置1は、ブランドドメインと悪性なホモグラフドメインとの関係を的確に表す特徴データを入力として、学習モデル21により、さらに精度良く悪性のホモグラフドメインを判定できる。
10 制御部
11 入力部
12 類似度算出部
13 登録情報取得部
14 ランキング取得部
15 カテゴリ取得部
16 検索情報取得部
17 学習部
18 判定部
20 記憶部
21 学習モデル
Claims (8)
- ブランドドメイン及びホモグラフドメインの入力を受け付ける入力部と、
ドメイン名を構成する文字毎の画像類似度に基づいて、前記ブランドドメイン及び前記ホモグラフドメインの全体類似度を算出する類似度算出部と、
前記ブランドドメイン及び前記ホモグラフドメインの登録者名及び組織名を含む登録情報を取得する登録情報取得部と、
前記全体類似度、前記登録者名が同一か否か、及び前記組織名が同一か否かを入力とした学習モデルにより、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する判定部と、を備える検知装置。 - 前記登録情報は、前記ブランドドメイン及び前記ホモグラフドメインの登録日を含み、
前記判定部は、前記登録日の前後関係を、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する請求項1に記載の検知装置。 - 前記登録情報は、前記ホモグラフドメインの有効期限を含み、
前記判定部は、前記ホモグラフドメインの前記登録日から前記有効期限までの日数が所定未満であるか否かを、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する請求項2に記載の検知装置。 - 前記ブランドドメインへのアクセス頻度のランキングを取得するランキング取得部を備え、
前記判定部は、前記ランキングが所定以上であるか否かを、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する請求項1から請求項3のいずれかに記載の検知装置。 - 前記ブランドドメインが提供するコンテンツのカテゴリを取得するカテゴリ取得部を備え、
前記判定部は、前記カテゴリが所定のカテゴリ群に含まれるか否かを、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する請求項1から請求項4のいずれかに記載の検知装置。 - 前記ブランドドメイン及び前記ホモグラフドメインのそれぞれを検索キーとしたWeb検索結果の数を取得する検索情報取得部を備え、
前記判定部は、前記Web検索結果の数の大小関係を、さらに前記学習モデルへの入力として、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する請求項1から請求項5のいずれかに記載の検知装置。 - ブランドドメイン及びホモグラフドメインの入力を受け付ける入力ステップと、
ドメイン名を構成する文字毎の画像類似度に基づいて、前記ブランドドメイン及び前記ホモグラフドメインの全体類似度を算出する類似度算出ステップと、
前記ブランドドメイン及び前記ホモグラフドメインの登録者名及び組織名を含む登録情報を取得する登録情報取得ステップと、
前記全体類似度、前記登録者名が同一か否か、及び前記組織名が同一か否かを入力とした学習モデルにより、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する判定ステップと、をコンピュータが実行する検知方法。 - ブランドドメイン及びホモグラフドメインの入力を受け付ける入力ステップと、
ドメイン名を構成する文字毎の画像類似度に基づいて、前記ブランドドメイン及び前記ホモグラフドメインの全体類似度を算出する類似度算出ステップと、
前記ブランドドメイン及び前記ホモグラフドメインの登録者名及び組織名を含む登録情報を取得する登録情報取得ステップと、
前記全体類似度、前記登録者名が同一か否か、及び前記組織名が同一か否かを入力とした学習モデルにより、前記ホモグラフドメインが攻撃者により登録されたものであるか否かを判定する判定ステップと、をコンピュータに実行させるための検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018232663A JP6998294B2 (ja) | 2018-12-12 | 2018-12-12 | 検知装置、検知方法及び検知プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018232663A JP6998294B2 (ja) | 2018-12-12 | 2018-12-12 | 検知装置、検知方法及び検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020095458A JP2020095458A (ja) | 2020-06-18 |
JP6998294B2 true JP6998294B2 (ja) | 2022-01-18 |
Family
ID=71085603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018232663A Active JP6998294B2 (ja) | 2018-12-12 | 2018-12-12 | 検知装置、検知方法及び検知プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6998294B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11856005B2 (en) * | 2021-09-16 | 2023-12-26 | Centripetal Networks, Llc | Malicious homoglyphic domain name generation and associated cyber security applications |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007122692A (ja) | 2005-09-30 | 2007-05-17 | Trend Micro Inc | セキュリティ管理装置、通信システムおよびアクセス制御方法 |
JP2009521047A (ja) | 2005-12-23 | 2009-05-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク・アドレスを評価し、アクセスするための方法 |
JP2009237949A (ja) | 2008-03-27 | 2009-10-15 | Nomura Research Institute Ltd | 通信中継装置、ウェブ端末、メールサーバ装置、電子メール端末およびサイトチェックプログラム |
US20100313266A1 (en) | 2009-06-05 | 2010-12-09 | At&T Corp. | Method of Detecting Potential Phishing by Analyzing Universal Resource Locators |
JP2012108947A (ja) | 2005-09-30 | 2012-06-07 | Trend Micro Inc | セキュリティ管理装置、通信システムおよびアクセス制御方法 |
US20180013789A1 (en) | 2016-07-11 | 2018-01-11 | Bitdefender IPR Management Ltd. | Systems and Methods for Detecting Online Fraud |
-
2018
- 2018-12-12 JP JP2018232663A patent/JP6998294B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007122692A (ja) | 2005-09-30 | 2007-05-17 | Trend Micro Inc | セキュリティ管理装置、通信システムおよびアクセス制御方法 |
JP2012108947A (ja) | 2005-09-30 | 2012-06-07 | Trend Micro Inc | セキュリティ管理装置、通信システムおよびアクセス制御方法 |
JP2009521047A (ja) | 2005-12-23 | 2009-05-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク・アドレスを評価し、アクセスするための方法 |
JP2009237949A (ja) | 2008-03-27 | 2009-10-15 | Nomura Research Institute Ltd | 通信中継装置、ウェブ端末、メールサーバ装置、電子メール端末およびサイトチェックプログラム |
US20100313266A1 (en) | 2009-06-05 | 2010-12-09 | At&T Corp. | Method of Detecting Potential Phishing by Analyzing Universal Resource Locators |
US20180013789A1 (en) | 2016-07-11 | 2018-01-11 | Bitdefender IPR Management Ltd. | Systems and Methods for Detecting Online Fraud |
Also Published As
Publication number | Publication date |
---|---|
JP2020095458A (ja) | 2020-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Jeeva et al. | Intelligent phishing url detection using association rule mining | |
CN104077396B (zh) | 一种钓鱼网站检测方法及装置 | |
JP6068506B2 (ja) | オンライン不正行為の検出の動的採点集計のシステムおよび方法 | |
Rajab | New hybrid features selection method: A case study on websites phishing | |
Tahir et al. | A hybrid model to detect phishing-sites using supervised learning algorithms | |
Moorthy et al. | Optimal detection of phising attack using SCA based K-NN | |
Tan et al. | Phishing website detection using URL-assisted brand name weighting system | |
Polakis et al. | Faces in the distorting mirror: Revisiting photo-based social authentication | |
Arab et al. | Proposing a new clustering method to detect phishing websites | |
Jeeva et al. | Phishing URL detection-based feature selection to classifiers | |
Yahya et al. | Detection of phising websites using machine learning approaches | |
Sonowal et al. | Masphid: a model to assist screen reader users for detecting phishing sites using aural and visual similarity measures | |
RU2622626C2 (ru) | Система и способ обнаружения фишинговых сценариев | |
Gabryel et al. | Application of the bag-of-words algorithm in classification the quality of sales leads | |
Kasim | Automatic detection of phishing pages with event-based request processing, deep-hybrid feature extraction and light gradient boosted machine model | |
JP6998294B2 (ja) | 検知装置、検知方法及び検知プログラム | |
Bhoj et al. | Naive and neighbour approach for phishing detection | |
Mondal et al. | Spear Phishing Detection: An Ensemble Learning Approach | |
Banik et al. | Lexical feature based feature selection and phishing URL classification using machine learning techniques | |
Hu et al. | VeriDIP: Verifying Ownership of Deep Neural Networks through Privacy Leakage Fingerprints | |
Shirazi et al. | A machine-learning based unbiased phishing detection approach | |
Awad | Collective framework for fraud detection using behavioral biometrics | |
Bustard et al. | Measuring and mitigating targeted biometric impersonation | |
Catherine | An intelligent rule based phishing website detection model | |
Kaui et al. | Detection of phishing webpages using weights computed through genetic algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201221 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211112 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211124 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211220 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6998294 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |