LSTMを用いた不審なWebアクセスの検出
書誌事項
- タイトル別名
-
- Suspicious Web Access Detection Using LSTM
抄録
近年,標的型攻撃による被害が深刻化している.標的型攻撃は検出が難しいため,マルウェアに感染後の端末の早期発見が重要視されている.マルウェア感染後にはC2サーバへのアクセスなど端末が感染前と異なる通信を行うケースが多い.そこで本稿では,感染前の端末のWebアクセス履歴を学習し,マルウェア感染後の端末の不審なWebアクセスを検出する手法を提案する.<br>まず,ProxyサーバのWebアクセス履歴を端末ごとに分類し,端末ごとにマルウェア感染前のWebアクセス履歴を作成する. Webアクセス履歴から,ドメインなどの7種類の単語によりコーパスを作成する.作成したコーパスをWord2vecで学習して単語ベクトルとし,単語ベクトルを基に算出する値や受信バイト数などの10種類の特徴量を抽出する.抽出した特徴量の時系列データをLSTMで学習し,リファレンスデータとする.検出対象のWebアクセスログに対しても同様に特徴量を抽出し,リファレンスデータと比較して予測値の差がしきい値以上の場合に不審なWebアクセスを検出する.<br>実験では,本学の教職員と学生のWebアクセス履歴を用いて,本手法の有効性を確認した.
APT(Advanced Persistent Threat) attacks have become serious problem in the world.<br>It is difficult to detect them by signature-based proactive measures.<br>Thus, it is important to detect infected terminals after malware infection as soon as possible.<br>Web accesses of infected terminals are different from accesses of uninfected terminals, since C2 communications are increasing.<br>First, we extract feature vectors from sequence of web accesses of each terminal by method based on Word2Vec.<br>Next, we train LSTM with the extracted feature vectors as reference data.<br>After that, we compare feature vectors extracted from new sequence of web accesses with predicted value of the LSTM.<br>We detect suspicious accesses when the difference is greater than threshold value.<br>In the experiment, we confirmed the effectiveness of our method using sequence of web accesses of faculty members and students of Osaka Prefecture University.
収録刊行物
-
- コンピュータセキュリティシンポジウム2020論文集
-
コンピュータセキュリティシンポジウム2020論文集 955-962, 2020-10-19
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050011097151880832
-
- NII論文ID
- 170000183962
-
- Web Site
- http://id.nii.ac.jp/1001/00208459/
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
- CiNii Articles