文字出現頻度をパラメータとした機械学習による悪質な難読化JavaScriptの検出

スポンサーリンク

概要

• 論文の詳細を見る

• 近年増加しているドライブバイダウンロード攻撃では,JavaScript を介して攻撃を行うものがあり,悪意のある JavaScript を検出する手法が希求されている.本稿では,難読化が施された JavaScript の文字出現頻度が一般の JavaScript とは異なる傾向があることに着目し,スクリプトの文字出現頻度を機械学習のパラメータとすることで,悪意のある難読化スクリプトを検出する手法を提案する.また提案手法の検証として,一般サイトの JavaScript と MWS データセット内の D3M 攻撃通信データの JavaScript を入力として学習した結果を示す.

• 2014-02-27

著者

• 中尾 康二

  独立行政法人情報通信研究機構

• 星澤 裕二

  株式会社セキュアブレイン

• 井上 大介

  独立行政法人情報通信研究機構

• 中尾 康二

  (独)情報通信研究機構

• 笠間 貴弘

  横浜国立大学

• 西田 雅太

  株式会社セキュアブレイン先端技術研究所

• 衛藤 将史

  独立行政法人 情報通信研究機構

• 笠間 貴弘

  独立行政法人情報通信研究機構

• 井上 大介

  独立行政法人 情報通信研究機構

関連論文

• 状況把握のためのトラヒック振舞い分類システムの構築と評価(ネットワーク管理・オペレーション,システム開発・ソフトウェア開発論文)
• 自律型クライアントハニーポットの提案(高度インシデント分析を支える要素技術,インターネットセキュリティ,一般)
• 自律型クライアントハニーポットの提案(高度インシデント分析を支える要素技術,インターネットセキュリティ,一般)
• 1.マルウェアって?(マルウェア)
• 確率的依存関係に基づくボットネット検知の検討(高度インシデント分析を支える要素技術,インターネットセキュリティ,一般)
• パッキングされたマルウェアの類似度算出手法とその評価
• 情報埋込機能付データ圧縮ツールIH-ZIPの開発
• パケットヘッダの特徴に基づいたダークネットトラフィックのパケット生成手法の分類
• 迅速な障害対応を支援するトラヒック可視化システムの構築と評価(ネットワーク管理・オペレーション,システム開発・ソフトウェア開発論文)
• インシデント分析のためのホストプロファイリングの検討
• ウイルス仮想感染モニタリングシステム
• メモリ展開されたマルウェアの特徴抽出とその高速化に関する提案(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
• サーバ情報漏えいに耐性のあるワンタイムパスワード方式について(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
• マルウェアの分類方法とその応用に関する考察(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
• マルウェアの動作条件の抽出
• 複数手法によるリアルタイム解析を支援するトラヒックデータ配送システムの実装と評価(セキュリティ技術,セキュアでサステイナブルなインターネットアーキテクチャ論文)
• ネットワーク観測とマルウェア解析の融合に向けて : インシデント分析センターnicterの研究開発
• 独立成分分析を用いたインシデント予測の検討(情報通信基礎サブソサイエティ合同研究会)
• ネットワークトラフィックデータ間の相関に基づくインシデント検知の検討(情報通信基礎サブソサイエティ合同研究会)
• インターネットのエッジノードにおける受信トラフィックを媒体とするステガノグラフィの可能性
• インシデント分析センタnicterの可視化技術
• BS-5-14 インターネットにおける実時間イベント分析の研究開発(BS-5.次世代ネットワーク構築に向けた品質・トラヒック計測技術,シンポジウム)
• NGN/IPv6セキュリティ試験システムの設計と評価(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
• モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価(ライフログ活用技術,オフィス情報システム,マルチメディアシステム,マルチメディア通信,IP放送/映像伝送,一般)
• モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価
• モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価(ネットワークセキュリティ,ライフログ活用技術,オフィス情報システム,マルチメディアシステム,マルチメディア通信,IP放送/映像伝送,一般)
• モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPN方式(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
• B-6-83 マルウェア対策ユーザサポートシステムの検討(B-6.ネットワークシステム,一般セッション)
• インシデント分析センタnicterの可視化技術
• モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価(ネットワークセキュリティ,ライフログ活用技術,オフィス情報システム,マルチメディアシステム,マルチメディア通信,IP放送/映像伝送,一般)
• 広域分散型インシデント分析システムにおける匿名化手法のモデル化(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
• 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
• 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(第2報) (インターネットアーキテクチャ)
• 確率的依存関係に基づくボットネット検知の検討(高度インシデント分析を支える要素技術,インターネットセキュリティ,一般)
• 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(第二報)(匿名化・認証,インターネットセキュリティ,一般)
• 独立成分分析を用いたインシデント予測の検討(情報通信基礎サブソサイエティ合同研究会)
• 独立成分分析を用いたインシデント予測の検討(情報通信基礎サブソサイエティ合同研究会)
• ネットワークトラフィックデータ間の相関に基づくインシデント検知の検討(情報通信基礎サブソサイエティ合同研究会)
• ネットワークトラフィックデータ間の相関に基づくインシデント検知の検討(情報通信基礎サブソサイエティ合同研究会)
• 情報埋込機能付データ圧縮ツールIH-ZIPの開発
• 状況把握のためのトラヒック振舞い分類システムの構築と評価
• 実行時のスレッド単位の機能に着目したマルウェアの関連性解析
• 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(第二報)(匿名化・認証,インターネットセキュリティ,一般)
• ウイルス仮想感染モニタリングシステム
• nicter によるネットワーク観測および分析レポート-Confickerのの経過観測およマクロとミクロの相関分析の一例-
• nicterによるネットワーク観測および分析レポート(一般)
• 広域分散型インシデント分析システムにおける匿名化手法のモデル化(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
• 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
• サーバ情報漏えいに耐性のあるワンタイムパスワード方式について(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
• モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPN方式(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
• マルウェアの分類方法とその応用に関する考察(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
• メモリ展開されたマルウェアの特徴抽出とその高速化に関する提案(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
• CPUエミュレータとDynamic Binary Instrumentationの併用によるシェルコード動的分析手法の提案
• NGN/IPv6セキュリティ試験システムの設計と評価(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
• IP fragmentationとそのDNSSECに与える影響(セッション4)
• シミュレーションによるDNSSECのUDPトラフィック解析
• シミュレーションによるDNSSECのUDPトラフィック解析
• インシデント分析のためのホストプロファイリングの検討
• シミュレーションによるDNSSECのUDPトラフィック解析
• インシデント分析のためのホストプロファイリングの検討
• DNSSECトランスポートオーバヘッド増加に関する解析(セッション9-A : ネットワークセキュリティ(3))
• DNSSECトランスポートオーバヘッド増加に関する解析(セッション9-A : ネットワークセキュリティ(3))
• DNSSECトランスポートオーバヘッド増加に関する解析
• IPv6移行に伴うDNSペイロード長増加に関する解析と考察(DNSシステム)(インターネットアーキテクチャ技術論文特集)
• BOTコードの静的解析によるネットワークアクセス情報抽出について
• マルウェアコードの類似度判定による機能推定
• DoS 攻撃に対する DNS サーバの資源消費解析
• BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ特別企画,ソサイエティ企画)
• BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ特別企画,ソサイエティ企画)
• BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ企画)
• BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ特別企画,ソサイエティ企画)
• nicterによるネットワーク観測および分析レポート : 長期ネットワーク観測に基づく攻撃の変遷に関する分析
• 大規模ダークネット観測に基づくアラートシステムの実装と運用
• マルウェアコードの類似度判定による機能推定
• スキャンの特徴抽出による攻撃元プロファイリング手法の提案(ネットワーク観測・分析,インターネットセキュリティ,一般)
• スキャンの特徴抽出による攻撃元プロファイリング手法の提案(ネットワーク観測・分析,インターネットセキュリティ,一般)
• 災害時における大規模ダークネット観測網の活用に関する検討(災害対策,インターネットセキュリティ,一般)
• 災害時における大規模ダークネット観測網の活用に関する検討(災害対策,インターネットセキュリティ,一般)
• DoS攻撃に対するDNSサーバの資源消費解析(光ネットワーク構成技術,インターネット関連技術,及び一般)
• DoS攻撃に対するDNSサーバの資源消費解析(光ネットワーク構成技術,インターネット関連技術,及び一般)
• DoS攻撃に対するDNSサーバの資源消費解析(光ネットワーク構成技術,インターネット関連技術,及び一般)
• BOTコードの静的解析によるネットワークアクセス情報抽出について
• 公開DNS通信のセキュリティ確保
• 公開DNS通信のセキュリティ確保
• 公開DNS通信のセキュリティ確保
• インシデント分析センターnicterの研究開発概要 (ネットワークセキュリティ特集) -- (インシデント対策技術)
• バイトコードの出現頻度に着目したマルウェアの類似度判定および機能推定法
• オリジナルコードの一部を利用した自己書き換え型マルウェアに対する類似度判定法
• バイトコードの出現頻度に着目したマルウェアの類似度判定および機能推定法
• オリジナルコードの一部を利用した自己書き換え型マルウェアに対する類似度判定法
• L-029 マルウェアの部分コードによる類似度判定と機能推定(セキュリティ実装,L分野:ネットワーク・セキュリティ)
• L-028 多段パックされたマルウェアからのコード取得(セキュリティ実装,L分野:ネットワーク・セキュリティ)
• 文字出現頻度をパラメータとした機械学習による悪質な難読化JavaScriptの検出
• 文字出現頻度をパラメータとした機械学習による悪質な難読化JavaScriptの検出
• 標的型攻撃のシナリオ再現環境の構築
• 標的型攻撃のシナリオ再現環境の構築
• 電子文書型マルウェアからシェルコードを抽出する方法の提案
• 電子文書型マルウェアからシェルコードを抽出する方法の提案
• L-003 マルウェアの類似度に基づく機能推定(L分野:ネットワーク・セキュリティ,一般論文)
• L-005 マルウェアの発生時系列分布特性(L分野:ネットワーク・セキュリティ,一般論文)

もっと見る 閉じる

スポンサーリンク