The 28th Annual Conference of the Japanese Society for Artificial Intelligence, 2014
- 1 -
田中さ へ 佐藤さ へ
利用者
行動特性
用い
攻撃
対策技術
Behavior-based anti-spoofing technology for targeted cyber attack
片山
佳則
*1
寺田
剛陽
*1
津田
宏
*1
Yoshinori Katayama Takeaki Terada Hiroshi Tsuda
*1
富士通株式会社
FUJITSU LIMITED
The technique of cyber-attack assaults are sophisticated such as target e-mail attack and a remote access Trojan (RAT) attack. To cope with these threats, countermeasure must be required from not only systems but users’ risk cognition. This paper shows an approach to behavior-based anti-spoofing technology for targeted e-mail, by analyzing users’ behavioral trait of operation logs in sending e-mail, such as e-mail headers, contents, key input pattern, and mouse movements. .
1.
めに
標的型 攻撃 う , 情報搾 意図 攻
撃 手口 巧妙化 い .業務内容 や 見
攻撃や,PC 乗 , SNS 代表 ソ
乗 誘 確 い [IPA 2013].
論文 ,利 用者 行動特 性 利用 攻 撃 対 人
検知力 高 対策 い 述 .
2.
行動特性
利用
た標的型攻撃メー
対策
攻撃 ,人や部門,業務,状況 異
. 々 社 内 状 況 析 , 誤 送 信 昼
過 多 い(食 注 意 力 あ う) , 標 的
訓練 開封率 部署 大 異 いう 確
い . 過度 負担 掛 , 攻撃
被 害 化 , 人 や 部 門 わ 細
対 策 必 要 あ , 利 用 者 行 動 特 性 用 い 攻
撃対策 必要 考え .
2.1
標的型メー
攻撃対策
標的型 攻撃 対策 ,高度
検知 求 い .具体的 対策 , 訓
練 等 利 用 者 意 識 向 [IPA 2013], 信
経路や 信状況 怪 い 注意喚起
[ 岡2012], SPF ン 証 利用 対策
あ . ,標的型 攻撃 , 巧妙 改
, や経路 ン 整 性
, 必 人 あ い 課 題
あ . 高度 攻撃 対処 ,送信者 人 作
あ 正 求 .
PC操作 利用 人確 行う技術 ,打鍵 証
あ , ン時 ワ 入力 特 操作
限 .[角 2009] , 編集時 削除キ 等 入力情
報 , 程度推敲 言外 情報 伝え あ .
,PC やキ ボ ,マ 等 操作
や, 送 信状況 個人 行動特 性全般 拡大
,PC 乗 攻撃 対策
考え い.
2.2
行動特性
利用
た標的型メー
対策
図 ,送信者 行動特性 利用 対策
概要 あ . 送信時 送信者 行動 抽出 ,
ン 端 ,キ ボ 情報やマ 情報,
ン 換え 行動 蓄積 . 送信先毎 ,
う 蓄 積 , 利 用 者 自 身 特 徴 得
, 信者 正規送信者 否
可能 .
送信者毎 文面 異 ,打鍵 証 う
一 キ ワ 対 特徴 行動特性 いう
い. 願い う 多
利用 や, 研究所)佐藤 う 特 相手
対 良 使わ 在 . ,過去 送信
,比較的多 使わ 特徴 ,送信
者毎 使わ 辞書 構築 .送信者側 蓄
積 特徴 例 表1 示 .
表 送信側 蓄積 表 個 添付 行動特性
特徴
頻度 高い , 特徴的 2種類 あ
. 特 徴 用 い , 送 信 作 時 送 信 先
行 動 特 性 算 出 (表 ). 算 出 行 動 特 性 連絡先:片山佳則,富士通株式会社,神奈川県川崎市中原
田中 , aaya ay f c
4G1-4
The 28th Annual Conference of the Japanese Society for Artificial Intelligence, 2014
- 2 -
付与 送信 .送信側 状況変化 ,特徴 更新
ID 対応 ,基 的仕組 変更 対応 .
信者 ,過去 信 特徴
行動特性 蓄積 ,新 信 特性 比較
, 正規送信者 送
. , 標的 攻撃対策
課題 あ 正規 PC 乗 対
処 考え .
3.
メー
送信者
行動特性
標的型攻撃 仕組 い ,送信者側 行
動特性 特徴 規 方法 要 . 先
毎 , 特徴的 キ 入力 組 送信者
行動特徴 化 , 信者 送信者 正当性
.
3.1
行動特性と
て
特徴フ
ーズ
作 過程 い , 証処理 特 処理 送
信者 人 あ 提案 い ,標的
型攻撃 攻撃者 付入 隙 う. , 先
蓄積 特徴 自動的 抽出 ,
利用者 普段 行動特徴 考え .
行 動 抽 出 , 起 動 利 用 状 況 , キ ボ
操作,マ 操作 詳細 得 試作 ,
作 限 活 用 , 特 徴 選 出
対象 先 絞 込 .基 的 ,TF-IDF
過去 文面 出現 キ ワ 抽出 共 ,キ
入力行動 情報 , う 特徴 選 い .
特徴的 打鍵組 あ 個所
通常 異 打鍵 個所
録単語 含 個所
文 先頭部
N-gram方式 高頻度個所
入力 ン 特徴 算出 ,複数人 比較
特徴 可能 あ 試行 .
3.2
特徴フ
ーズ
行動特性抽出実験
複数 時 作 あ , 収集
, 作 キ 入力 離 保
,複数 作 画面 時 開い 交互 入力作
業 行わ , 個 検証 う い .
作 処理中 ,漢 変換 確 文 得 容易
行 え , 現状 , キ 入力 対 象
絞 込 処理 い .
< >
今回 ,PC乗 ゲ ,
あ 利用者 通常利用 い PC 体 用い ,3
利用者 文 使用 文書表現 含
文 入力 行 い ,作 文 中 特
徴的操作や違い 可能 結果 得 う
.
今回 対象 文書表現 , 各 , 世話
. ○ ○ , 攻 撃 対 策 技 術 い ,
願いい 頻度 高い、簡単 語句 含
任意 文 入力操作 行 .
表 正規PC 特徴 キ 入力
表 3 示 う ,各 対 ,キ ボ 打鍵
数,打鍵 ,Space-Enter-BS 特殊キ 打鍵組
情 報 い , 利 用 者 人 異 特 徴
表 い .特殊キ 回数 ,短い 対象 ,
異 特徴 得 い . う , う 選択
,PC 乗 自動検知
考え .行動特性 ,今回 頻度 高い
対象 実験 ,大 打鍵情報 推
や絞込 必要 . , , マ 操作 , キ ボ
打鍵以外 要素 特徴 扱え あ .
4.
まとめ
論文 , PC 遠隔操作 , 標的型 攻撃者 巧
攻撃 対処 , 先毎 特徴 キ
打鍵 いう行動特性 活用 対策方式 提案 .
,打鍵 特徴 特 ン 考え , 複数
種類 や え ン
, 複数 系列 , 時系列 ン 抽出 手法[安
部 2012] , 人 気 い い い行動特徴 マ
ニン 考え . 今 ,個人 組織 や
ンマ ニン 展開 広 い い.
個人や組織 異 , 一 キ 対策
, 効率 悪 , 効果 いう あ . 行動
特性 検知 ,対策 大 寄与 可能性 あ .
今 , 行 訓練 心理的 析 基 ,
利用者 心理的 属性 考慮 , 信側 行動特性
心理特性 配慮 ,利用者 有用 対策 実現
攻撃対策 研究開 進 い 予 あ .
謝辞
稿 内容 ,総務省委 研究 攻撃 解析 検
知 関 研究開 果 含 .
参考文献
[IP 2013] 独情 報 処 理 推 進 機 構 情 報 キ 白 書 , IP , .
[ 岡2012] 岡 片山 津田 森永 深澤 電子 特徴
情 報 用 い 標 的 型 ン 対 策 技 術 提
案 情処研究報告 P
[角 2009] 角 ,西 :言外 情報 編集過程情報
伝え 提 案 評価,情報処理 学会論文 ,
, .
[阿部2012] 阿部 津 : 複系列 生 ン 関 時
系 列 マ ニ ン 療 応 用 , 人 工 知 能 学 会 ,
V N ,