近年，標的型攻撃による被害が深刻化している．標的型攻撃は検出が難しいため，マルウェアに感染後の端末の早期発見が重要視されている．マルウェア感染後にはC2サーバへのアクセスなど端末が感染前と異なる通信を行うケースが多い．そこで本稿では，感染前の端末のWebアクセス履歴を学習し，マルウェア感染後の端末の不審なWebアクセスを検出する手法を提案する．<br>まず，ProxyサーバのWebアクセス履歴を端末ごとに分類し，端末ごとにマルウェア感染前のWebアクセス履歴を作成する． Webアクセス履歴から，ドメインなどの7種類の単語によりコーパスを作成する．作成したコーパスをWord2vecで学習して単語ベクトルとし，単語ベクトルを基に算出する値や受信バイト数などの10種類の特徴量を抽出する．抽出した特徴量の時系列データをLSTMで学習し，リファレンスデータとする．検出対象のWebアクセスログに対しても同様に特徴量を抽出し，リファレンスデータと比較して予測値の差がしきい値以上の場合に不審なWebアクセスを検出する．<br>実験では，本学の教職員と学生のWebアクセス履歴を用いて，本手法の有効性を確認した．

APT(Advanced Persistent Threat) attacks have become serious problem in the world.<br>It is difficult to detect them by signature-based proactive measures.<br>Thus, it is important to detect infected terminals after malware infection as soon as possible.<br>Web accesses of infected terminals are different from accesses of uninfected terminals, since C2 communications are increasing.<br>First, we extract feature vectors from sequence of web accesses of each terminal by method based on Word2Vec.<br>Next, we train LSTM with the extracted feature vectors as reference data.<br>After that, we compare feature vectors extracted from new sequence of web accesses with predicted value of the LSTM.<br>We detect suspicious accesses when the difference is greater than threshold value.<br>In the experiment, we confirmed the effectiveness of our method using sequence of web accesses of faculty members and students of Osaka Prefecture University.