| Item type |
Symposium(1) |
| 公開日 |
2019-10-14 |
| タイトル |
|
|
タイトル |
単語レベルの言語モデルを用いた悪性PowerShellの検出 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Detection of Malicious PowerShell Using a Word Level Language Model |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
PowerShell,潜在意味インデックス,Doc2Vec |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
防衛大学校情報工学科 |
| 著者所属 |
|
|
|
防衛大学校情報工学科 |
| 著者所属(英) |
|
|
|
en |
|
|
National Defense Academy in Japan |
| 著者所属(英) |
|
|
|
en |
|
|
National Defense Academy in Japan |
| 著者名 |
田尻, 裕貴
三村, 守
|
| 著者名(英) |
Yui, Tajiri
Mamoru, Mimura
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
サイバー攻撃において,攻撃対象の端末にインストールされている正規のツールを利用する傾向が強まっている.特に攻撃ツールとして,Microsoft社が提供するPowerShellを悪用するケースが年々増加しており問題となっている.先行研究では,文字ベースのディープラーニングを用いた悪性 PowerShell コマンドを検知する手法が提案された.提案された手法は,伝統的な自然言語処理および文字レベルでの畳み込みニューラルネットワークを組み合わせた手法である.この手法では,前処理に動的解析を用いており,解析に時間を要する.そこで本研究では,静的解析のみを用い,単語ベースの言語モデルによって悪性および良性のサンプルから特徴ベクトルを作成し,未知のサンプルを分類する手法を提案する.データセットは,HybridAnalysis から入手した良性および悪性のサンプル,および github から入手した良性サンプルから作成した.検証実験では,F 値は 0.82 となった.また,未知の悪性サンプルを約 5 割検知できることを確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
There is a growing tendency for cybercriminals to abuse legitimate tools installed on the target computers for cyberattacks. In particular, the use of PowerShell provided by Microsoft has been increasing every year and has become a problem. In previous studies, a method to detect malicious PowerShell commands using character-based deep learning was proposed. The proposed method combines traditional natural language processing and character-level convolutional neural network. This method, however, requires dynamic analysis for preprocessing, and thereby requires time. This paper proposes a method to classify unknown PowerShell by using only static analysis. Our method uses feature vectors extracted from malicious and benign PowerShell scripts using a word-based language model for classification. Datasets were generated from benign and malicious PowerShell scripts obtained from HybridAnalysis, and benign PowerShell scripts obtained from github. Our experiment shows that the F-measure achieves more than 0.82.Furthermore, we confirmed that almost 50% of unknown malicious PowerShell script could be detected. |
| 書誌レコードID |
|
|
|
識別子タイプ |
NCID |
|
|
関連識別子 |
ISSN 1882-0840 |
| 書誌情報 |
コンピュータセキュリティシンポジウム2019論文集
巻 2019,
p. 170-177,
発行日 2019-10-14
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2019025.pdf (649.8 kB)
