難読化の特徴を用いたドライブバイダウンロード攻撃検知手法の設計と実装

藤原 寛高 (1351095)


ドライブバイダウンロード攻撃はユーザを悪性のウェブサイトへ誘導し、 ウェブブラウザやそのプラグインの脆弱性を悪用して ユーザの端末にマルウェアを感染させる攻撃である。 本研究では、 ドライブバイダウンロード攻撃を検知する手法の提案と評価を行った。 また、悪性のウェブサイトと正規のウェブサイトのスクリプト部分を抽出し、 調査した結果から難読化の特徴を用いて決定木を作成した。 決定木ではエンコード難読化の分類を行い、 英語のコーパスを用いて意味のある文字列を削除することで、 悪性と良性の難読化の分類の可能性を示した。 最後に、 提案した検知手法の評価を行った。 評価結果から悪性のデータセットを用いた検証では、 50%の検知率であった。 また、良性のデータセットを用いた検証では誤検知率が53%であった。