JP7180765B2 - 学習装置、判定装置、学習方法、判定方法、学習プログラムおよび判定プログラム - Google Patents
学習装置、判定装置、学習方法、判定方法、学習プログラムおよび判定プログラム Download PDFInfo
- Publication number
- JP7180765B2 JP7180765B2 JP2021521570A JP2021521570A JP7180765B2 JP 7180765 B2 JP7180765 B2 JP 7180765B2 JP 2021521570 A JP2021521570 A JP 2021521570A JP 2021521570 A JP2021521570 A JP 2021521570A JP 7180765 B2 JP7180765 B2 JP 7180765B2
- Authority
- JP
- Japan
- Prior art keywords
- web page
- feature amount
- web
- web browser
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
- G06F16/986—Document structures and storage, e.g. HTML extensions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Description
本発明の実施の形態について説明する。図1は、実施の形態における判定システムの構成の一例を示す図である。
次に、学習装置10の構成について説明する。図2は、図1に示す学習装置10の構成の一例を示す図である。図2に示す学習装置10は、ROM(Read Only Memory)、RAM(Random Access Memory)、CPU(Central Processing Unit)等を含むコンピュータ等に所定のプログラムが読み込まれて、CPUが所定のプログラムを実行することで実現される。また、学習装置10は、NIC(Network Interface Card)等を有し、LAN(Local Area Network)やインターネットなどの電気通信回線を介した他の装置との間の通信を行うことも可能である。
次に、実施の形態に係る学習処理および判定処理の処理手順について説明する。図16は、訓練モデル生成処理のフローチャートを示す図である。図17は、判定処理のフローチャートを示す図である。
このように、実施形態に係る学習装置10は、Webブラウザを用いて、起点のWebページから一つ以上のWebページを巡回し、終点のWebページに到達するまでにWebブラウザから取得したログ情報の入力を受け付ける。そして、学習装置10は、巡回したWebページの特徴量、終点のWebページに到達するまでの経路上においてWebブラウザで行われた操作に関する特徴量、および、終点のWebページに到達するまでの経路上で発生したイベントに関する特徴量のうち、いずれか一つまたは複数の特徴量を訓練データとして用いて、訓練モデルを生成する。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
図18は、プログラムが実行されることにより、学習装置10または判定装置20が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
10 学習装置
11、21 ログ情報入力部
12、22 画像的特徴量抽出部
13、23 文書的特徴量抽出部
14、24 構造的特徴量抽出部
15、25 Webブラウザ操作特徴量抽出部
16、26 Webブラウザイベント特徴量抽出部
17 学習部
18、29 記憶部
20 判定装置
27 判定部
28 出力部
Claims (10)
- Webブラウザを用いて、起点のWebページから一つ以上のWebページを巡回し、終点のWebページに到達するまでにWebブラウザから取得したログ情報の入力を受け付ける入力部と、
前記ログ情報に含まれる各Webページの特徴量として、前記Webブラウザによって描画されたWebページの画面の画像データを抽出し、該画像データを特徴点と色の分布に基づく画像情報に変換する画像的特徴量抽出部と、
前記ログ情報に含まれる各Webページの特徴量、終点のWebページに到達するまでの経路上においてWebブラウザで行われた操作に関する特徴量、および、終点のWebページに到達するまでの経路上で発生したイベントに関する特徴量のうち、いずれか一つまたは複数の特徴量を訓練データとして用いて、訓練モデルを生成する学習部と
を有することを特徴とする学習装置。 - 前記Webページの特徴量として、前記Webページに記載された文字列情報を抽出し、該文字列情報を文書の意味やトピックと単語構成に基づく文書情報に変換する文書的特徴量抽出部をさらに有することを特徴とする請求項1に記載の学習装置。
- 前記Webページの特徴量として、前記Webページのソースコードファイルを抽出し、該ソースコードファイルを構造と統計情報に基づくHTML構造情報に変換する構造的特徴量抽出部をさらに有することを特徴とする請求項1に記載の学習装置。
- 前記操作に関する特徴量として、前記起点のWebページから前記終点のWebページに到達するまでの経路において前記Webブラウザ上で行われた操作内容の情報と、操作を行った対象のWebページ箇所の情報を抽出するWebブラウザ操作特徴量抽出部をさらに有することを特徴とする請求項1に記載の学習装置。
- 前記イベントに関する特徴量として、前記起点のWebページから前記終点のWebページに到達するまでの経路において前記Webブラウザ上で発生したイベントを抽出するWebブラウザイベント特徴量抽出部をさらに有することを特徴とする請求項1に記載の学習装置。
- Webブラウザを用いて、起点のWebページから一つ以上のWebページを巡回し、終点のWebページに到達するまでにWebブラウザから取得したログ情報の入力を受け付ける入力部と、
前記ログ情報に含まれる各Webページの特徴量として、前記Webブラウザによって描画されたWebページの画面の画像データを抽出し、該画像データを特徴点と色の分布に基づく画像情報に変換する画像的特徴量抽出部と、
前記ログ情報に含まれる各Webページの特徴量、終点のWebページに到達するまでの経路上においてWebブラウザで行われた操作に関する特徴量、および、終点のWebページに到達するまでの経路上で発生したイベントに関する特徴量のうち、いずれか一つまたは複数の特徴量を入力データとして、予め学習された訓練モデルに入力し、前記訓練モデルの出力結果に応じて前記終点のWebページが悪性であるか判定する判定部と
を有することを特徴とする判定装置。 - 学習装置によって実行される学習方法であって、
Webブラウザを用いて、起点のWebページから一つ以上のWebページを巡回し、終点のWebページに到達するまでにWebブラウザから取得したログ情報の入力を受け付ける入力工程と、
前記ログ情報に含まれる各Webページの特徴量として、前記Webブラウザによって描画されたWebページの画面の画像データを抽出し、該画像データを特徴点と色の分布に基づく画像情報に変換する画像的特徴量抽出工程と、
前記ログ情報に含まれる各Webページの特徴量、終点のWebページに到達するまでの経路上においてWebブラウザで行われた操作に関する特徴量、および、終点のWebページに到達するまでの経路上で発生したイベントに関する特徴量のうち、いずれか一つまたは複数の特徴量を訓練データとして用いて、訓練モデルを生成する学習工程と
を含むことを特徴とする学習方法。 - 判定装置によって実行される判定方法であって、
Webブラウザを用いて、起点のWebページから一つ以上のWebページを巡回し、終点のWebページに到達するまでにWebブラウザから取得したログ情報の入力を受け付ける入力工程と、
前記ログ情報に含まれる各Webページの特徴量として、前記Webブラウザによって描画されたWebページの画面の画像データを抽出し、該画像データを特徴点と色の分布に基づく画像情報に変換する画像的特徴量抽出工程と、
前記ログ情報に含まれる各Webページの特徴量、終点のWebページに到達するまでの経路上においてWebブラウザで行われた操作に関する特徴量、および、終点のWebページに到達するまでの経路上で発生したイベントに関する特徴量のうち、いずれか一つまたは複数の特徴量を入力データとして、予め学習された訓練モデルに入力し、前記訓練モデルの出力結果に応じて前記終点のWebページが悪性であるか判定する判定工程と
を含むことを特徴とする判定方法。 - Webブラウザを用いて、起点のWebページから一つ以上のWebページを巡回し、終点のWebページに到達するまでにWebブラウザから取得したログ情報の入力を受け付ける入力ステップと、
前記ログ情報に含まれる各Webページの特徴量として、前記Webブラウザによって描画されたWebページの画面の画像データを抽出し、該画像データを特徴点と色の分布に基づく画像情報に変換する画像的特徴量抽出ステップと、
前記ログ情報に含まれる各Webページの特徴量、終点のWebページに到達するまでの経路上においてWebブラウザで行われた操作に関する特徴量、および、終点のWebページに到達するまでの経路上で発生したイベントに関する特徴量のうち、いずれか一つまたは複数の特徴量を訓練データとして用いて、訓練モデルを生成する学習ステップと
をコンピュータに実行させることを特徴とする学習プログラム。 - Webブラウザを用いて、起点のWebページから一つ以上のWebページを巡回し、終点のWebページに到達するまでにWebブラウザから取得したログ情報の入力を受け付ける入力ステップと、
前記ログ情報に含まれる各Webページの特徴量として、前記Webブラウザによって描画されたWebページの画面の画像データを抽出し、該画像データを特徴点と色の分布に基づく画像情報に変換する画像的特徴量抽出ステップと、
前記ログ情報に含まれる各Webページの特徴量、終点のWebページに到達するまでの経路上においてWebブラウザで行われた操作に関する特徴量、および、終点のWebページに到達するまでの経路上で発生したイベントに関する特徴量のうち、いずれか一つまたは複数の特徴量を入力データとして、予め学習された訓練モデルに入力し、前記訓練モデルの出力結果に応じて前記終点のWebページが悪性であるか判定する判定ステップと
をコンピュータに実行させることを特徴とする判定プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/020778 WO2020240637A1 (ja) | 2019-05-24 | 2019-05-24 | 学習装置、判定装置、学習方法、判定方法、学習プログラムおよび判定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2020240637A1 JPWO2020240637A1 (ja) | 2020-12-03 |
JP7180765B2 true JP7180765B2 (ja) | 2022-11-30 |
Family
ID=73553658
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021521570A Active JP7180765B2 (ja) | 2019-05-24 | 2019-05-24 | 学習装置、判定装置、学習方法、判定方法、学習プログラムおよび判定プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US12079285B2 (ja) |
EP (1) | EP3964987A4 (ja) |
JP (1) | JP7180765B2 (ja) |
WO (1) | WO2020240637A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11632395B2 (en) * | 2021-04-07 | 2023-04-18 | ArmorBlox, Inc. | Method for detecting webpage spoofing attacks |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012043285A (ja) | 2010-08-20 | 2012-03-01 | Kddi Corp | 文書情報の文章的特徴及び外形的特徴に基づく文書分類プログラム、サーバ及び方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9436763B1 (en) * | 2010-04-06 | 2016-09-06 | Facebook, Inc. | Infrastructure enabling intelligent execution and crawling of a web application |
US8935750B2 (en) * | 2011-10-03 | 2015-01-13 | Kaspersky Lab Zao | System and method for restricting pathways to harmful hosts in computer networks |
EP3407235A1 (en) * | 2017-05-22 | 2018-11-28 | Leap in Value S.L. | A computer-implemented method, a system and a computer program for identifying malicious uri data items |
CN117171743A (zh) * | 2017-05-30 | 2023-12-05 | 赛姆普蒂夫技术公司 | 在内核模式下对隐写术的实时检测和防护 |
US10657257B2 (en) * | 2017-12-06 | 2020-05-19 | International Business Machines Corporation | Feature vector aggregation for malware detection |
US11003773B1 (en) * | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
-
2019
- 2019-05-24 EP EP19931434.5A patent/EP3964987A4/en active Pending
- 2019-05-24 JP JP2021521570A patent/JP7180765B2/ja active Active
- 2019-05-24 US US17/612,567 patent/US12079285B2/en active Active
- 2019-05-24 WO PCT/JP2019/020778 patent/WO2020240637A1/ja unknown
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012043285A (ja) | 2010-08-20 | 2012-03-01 | Kddi Corp | 文書情報の文章的特徴及び外形的特徴に基づく文書分類プログラム、サーバ及び方法 |
Non-Patent Citations (2)
Title |
---|
八木 毅 ほか5名,実践サイバーセキュリティモニタリング,第1版,株式会社コロナ社,2016年04月18日,p.54-70,特にp.68-70の「(4)Thugによる巡回で得られる情報」 |
小出 駿 ほか5名,ユーザ操作が起点となるWeb上の攻撃の収集,情報処理学会 研究報告 セキュリティ心理学とトラスト(SPT),日本,情報処理学会,2018年02月28日,2018-SPT-027 |
Also Published As
Publication number | Publication date |
---|---|
EP3964987A1 (en) | 2022-03-09 |
WO2020240637A1 (ja) | 2020-12-03 |
JPWO2020240637A1 (ja) | 2020-12-03 |
US20220237238A1 (en) | 2022-07-28 |
US12079285B2 (en) | 2024-09-03 |
EP3964987A4 (en) | 2022-11-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108347430B (zh) | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 | |
US9712560B2 (en) | Web page and web browser protection against malicious injections | |
US9509714B2 (en) | Web page and web browser protection against malicious injections | |
US10581879B1 (en) | Enhanced malware detection for generated objects | |
US10728274B2 (en) | Method and system for injecting javascript into a web page | |
CN102254111B (zh) | 恶意网站检测方法及装置 | |
US9349006B2 (en) | Method and device for program identification based on machine learning | |
Liu et al. | A novel approach for detecting browser-based silent miner | |
Rathnayaka et al. | An efficient approach for advanced malware analysis using memory forensic technique | |
CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
Tahir et al. | The browsers strike back: Countering cryptojacking and parasitic miners on the web | |
JP6674036B2 (ja) | 分類装置、分類方法及び分類プログラム | |
CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
KR20180081053A (ko) | 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들 | |
KR101859562B1 (ko) | 취약점 정보 분석 방법 및 장치 | |
JP7531816B2 (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
US20200372085A1 (en) | Classification apparatus, classification method, and classification program | |
EP3799367B1 (en) | Generation device, generation method, and generation program | |
CN116932381A (zh) | 小程序安全风险自动化评估方法及相关设备 | |
JP7439916B2 (ja) | 学習装置、検出装置、学習方法、検出方法、学習プログラムおよび検出プログラム | |
JP7180765B2 (ja) | 学習装置、判定装置、学習方法、判定方法、学習プログラムおよび判定プログラム | |
US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
WO2023072002A1 (zh) | 开源组件包的安全检测方法及装置 | |
Miao et al. | A Good Fishman Knows All the Angles: A Critical Evaluation of Google's Phishing Page Classifier | |
Huertas Celdrán et al. | Creation of a dataset modeling the behavior of malware affecting the confidentiality of data managed by IoT devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210917 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220809 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221004 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221018 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221031 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7180765 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |