WEKO3
アイテム
機械学習を用いた悪性PowerShell検知モデルに対する回避攻撃の影響分析
https://doi.org/10.20729/00227600
https://doi.org/10.20729/00227600b3df3abe-6a06-49c7-8aa4-c199e550b18f
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-JNL6409014.pdf (823.6 kB)
2025年9月15日からダウンロード可能です。
|
Copyright (c) 2023 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, 論文誌:会員:¥0, DLIB:会員:¥0 | ||
| Item type | Journal(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2023-09-15 | |||||||||
| タイトル | ||||||||||
| タイトル | 機械学習を用いた悪性PowerShell検知モデルに対する回避攻撃の影響分析 | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | Impact Analysis of Evasion Attacks on Malicious PowerShell Detection Models Using Machine Learning | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | [特集:サイバー空間を安全にするコンピュータセキュリティ技術] PowerShell,回避攻撃,Latent Semantic Indexing,Doc2Vec,XGBoost | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||||
| 資源タイプ | journal article | |||||||||
| ID登録 | ||||||||||
| ID登録 | 10.20729/00227600 | |||||||||
| ID登録タイプ | JaLC | |||||||||
| 著者所属 | ||||||||||
| 防衛大学校情報工学科 | ||||||||||
| 著者所属 | ||||||||||
| 防衛大学校情報工学科 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| National Defense Academy | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| National Defense Academy | ||||||||||
| 著者名 |
目澤, 勇樹
× 目澤, 勇樹
× 三村, 守
|
|||||||||
| 著者名(英) |
Yuki, Mezawa
× Yuki, Mezawa
× Mamoru, Mimura
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | サイバー攻撃において,ファイルレスマルウェア攻撃と呼ばれる検知困難な攻撃が増大している.ファイルレスマルウェアは,その動作にPowerShellを悪用することが多い.そのような脅威に対して,機械学習モデルを用いて悪性PowerShellを検知する手法が提案されている.先行研究では,自然言語処理技術と機械学習モデルを組み合わせた手法が提案され,高い検知率を達成している.一方,機械学習モデルについては,敵対的な入力で意図的に検知を回避する攻撃の可能性が指摘されている.しかしながら,悪性PowerShell検知のための機械学習モデルを対象とした研究は少ない.そこで本研究では,悪性PowerShell検知のための機械学習モデルに対しても,回避攻撃が可能であるかを検証した.実験では,先行研究のBag-of-Words,Latent Semantic Indexing(LSI)およびSupport Vector Machineに加え,Doc2Vec,RandomForestおよびXGBoostを追加し,組合せごとの結果を比較した.その結果,すべての組合せでrecall値が低下し,PowerShellにおいても回避攻撃が可能であることを確認した.特に,Doc2Vecを用いたモデルは他のモデルよりも攻撃の影響を受けやすく,recall値が最大で0.78も低下した.その影響は主に自然言語処理技術に依存しており,LSIでは機械学習モデルごとの差がほとんど認められなかった. | |||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | In cyber attacks, the number of fileless malware attacks is increasing. PowerShell is very commonly exploited in that attacks. Against such threats, a method to detect malicious PowerShell using machine learning models has been proposed. In the previous study, a method combining natural language processing techniques and machine learning models was proposed and achieved a high detection rate. On the other hand, for machine learning models, the possibility of attacks that evade detection intentionally with hostile input has been pointed out. However, few studies have targeted machine learning models for malicious PowerShell detection. In this study, we evaluated the possibility of evasion attacks on malicious PowerShell detection models using machine learning. In addition to Bag-of-Words, Latent Semantic Indexing (LSI), and Support Vector Machine, we combined Doc2Vec, RandomForest, and XGBoost with the previous models. As a result, we confirmed that evasion attacks are also possible in PowerShell. In particular, the models using Doc2Vec decreased the recall rate by 0.78 at maximum. The effect mainly depends on the natural language processing technique, and there was almost no difference in any machine learning models with LSI. | |||||||||
| 書誌レコードID | ||||||||||
| 収録物識別子タイプ | NCID | |||||||||
| 収録物識別子 | AN00116647 | |||||||||
| 書誌情報 |
情報処理学会論文誌 巻 64, 号 9, p. 1295-1305, 発行日 2023-09-15 |
|||||||||
| ISSN | ||||||||||
| 収録物識別子タイプ | ISSN | |||||||||
| 収録物識別子 | 1882-7764 | |||||||||
| 公開者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
