WEKO3
アイテム
悪性PowerShell検出器に対する特徴の重みを考慮した回避攻撃の試み
https://ipsj.ixsq.nii.ac.jp/records/228801
https://ipsj.ixsq.nii.ac.jp/records/228801e2801771-6660-4d15-a9cf-fcdf04db01ad
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSS2023188.pdf (1.1 MB)
2025年10月23日からダウンロード可能です。
|
Copyright (c) 2023 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, CSEC:会員:¥0, SPT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | Symposium(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2023-10-23 | |||||||||
| タイトル | ||||||||||
| タイトル | 悪性PowerShell検出器に対する特徴の重みを考慮した回避攻撃の試み | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | An attempt of evasion attacks against the malicious PowerShell detector considering feature weights | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||||
| 資源タイプ | conference paper | |||||||||
| 著者所属 | ||||||||||
| 防衛大学校 | ||||||||||
| 著者所属 | ||||||||||
| 防衛大学校 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| National Defense Academy in Japan | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| National Defense Academy in Japan | ||||||||||
| 著者名 |
杉浦, 航
× 杉浦, 航
× 三村, 守
|
|||||||||
| 著者名(英) |
Kou, Sugiura
× Kou, Sugiura
× Mamoru, Mimura
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | 近年デジタル技術への依存度が高まっており,サイバー攻撃に対するリスクが高まっている.特にPowerShellは利便性が高く,その機能が多くの攻撃者に悪用されている.先行研究では,自然言語処理と機械学習を用いて悪性PowerShellを検知する手法が提案されている.さらに,良性のみに頻出する単語を悪性PowerShellに挿入することで,その検知器を回避する攻撃が可能であることが報告されている.しかしながら,ニューラルネットワークを用いた検知器に対する回避攻撃は,ほとんど検証されていない.そこで本研究では,悪性PowerShell検知のためのモデルに対し,Attention機構を用いて抽出された特徴の重みの大きい単語を用い,回避攻撃が可能であるかを検証した.実験ではディープニューラルネットワーク(DNN) を用いたモデル,畳み込みニューラルネットワーク(CNN) を用いたモデル,再帰型ニューラルネットワーク(RNN) を用いたモデル,長短期記憶(LSTM) を用いたモデル,AttentionとLSTMを組み合わせたモデルに対し回避攻撃を試行した.その結果,全ての検知器で再現率が低下し,回避攻撃が可能であることを確認した.また良性のみに頻出する単語を挿入した場合よりも再現率が低下し,より効果的な回避攻撃が可能であることを確認した | |||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | In recent years, with the dependence on digital technology, the risk of cyber attacks has been increasing. In particular, PowerShell is highly convenient and its functions are abused by many attackers. Previous studies have proposed methods to detect malicious PowerShell using natural language processing techniques and machine learning models. Furthermore, it has been reported that it is possible to avoid the detector by inserting words that frequently appear only in benign into malicious PowerShell. However, evasion attacks against detectors using neural networks have hardly been evaluated. Therefore, in this study, we evaluated whether evasion attacks are possible by using words with large feature weights extracted using the attention mechanism for malicious PowerShell detection models. In this study, we used deep neural network (DNN), convolutional neural network (CNN), recurrent neural network (RNN), long short-term memory (LSTM), and attention with LSTM. We conducted evasion attacks on the these models. As a result, we confirmed that the recall rate decreased in all detectors and evasion attacks were possible. In addition, we confirmed that the recall rate was lower than when words that frequently appeared only in benign were inserted, and more effective evasion attacks were possible. | |||||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2023論文集 p. 1381-1388, 発行日 2023-10-23 |
|||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
