Research

Pomysły badawcze

11 min. czytania

Pomysły badawcze

Ostatnia aktualizacja: 2026-05-12

Strategia: walidacja na istniejących publicznych datasetach, bez tworzenia własnych zbiorów. Zakres marek: banki + bramki płatności (PayPal, Revolut, BLIK, Stripe) + sieci płatnicze (Mastercard, Visa) + fintech. Cel: pierwsza publikacja w 4-6 miesięcy.

🔥 Wysokie priorytety

[#BP-1] Adversarially Robust Financial Brand Phishing Detector: Rozszerzenie KnowPhish o Adversarial Hardening

Status: new Priorytet: high Dodano: 2026-05-12 Czas realizacji: 4-5 miesięcy Target venues: ACSAC (Annual Computer Security Applications Conference), RAID, USENIX Security

Bazuje na: KnowPhish 2024, PhishIntention 2022, Lee 2023, Yuan 2026, Ji 2024

Gap w literaturze:

  • KnowPhish 2024 (SOTA RBPD): 96% F1 w laboratorium, ale nie testowane na adversarial perturbations
  • PhishIntention: 94% recall w lab → ~40-50% na real-world (Ji 2024, 451k stron)
  • Lee 2023: GAN logos obchodzą detektory z 95% skutecznością — brak systemu odpornego
  • Yuan 2026: delayed rendering → 100%→0% detection — żaden system nie broni
  • Wszystkie istniejące systemy testowane tylko w laboratorium, nie na realnych atakach

Architektura FinPhishGuard (4 niezależne moduły + fuzja):

M1 — URL Analyzer (LightGBM, < 5ms):

  • Homoglyph/punycode detection (рaypal.com), Levenshtein distance do brand list
  • Domain age (SSL CT logs), TLD abuse, subdomain depth
  • Wstępny filtr: jeśli p_url > 0.9 → block bez uruchamiania ciężkich modułów

M2 — Visual Logo Detector (dwustopniowy, core novelty):

  • M2a Localization: Deformable DETR lub Faster R-CNN, fine-tuned na LogoSENSE (3,060 train, bounding box)
  • M2b Fast matching: CLIP ViT-B/32 zero-shot → brand embeddings dla 150+ marek finansowych bez retrainingu (klucz: nowy neobank = dodaj opis tekstowy, gotowe)
  • M2c Adversarial verifier: fine-tuned ResNet-50/ViT-B/16 z PGD adversarial training (Madry 2018, ε=8/255, k=40) + augmentacja GAN logos (Lee 2023) + diffusion logos (Hao 2024)
  • M2d Timing defense: multi-timestamp t=0/500ms/2000ms + delta detection

CLIP vs ResNet baseline (eksperyment kluczowy):

  • H1: CLIP naturalnie odporny na GAN logos (atakuje lokalne textury, CLIP = semantic alignment)
  • H2: ViT globalny attention > ResNet lokalny receptive field dla adversarial robustności
  • Weryfikacja eksperymentalna: evasion rate GAN logos na CLIP vs ResNet-50

M3 — Content Brand Extractor (RoBERTa NER + OCR, < 100ms):

  • HTML parsing: <title>, <h1>, <meta>, <button> → candidate brand strings
  • PaddleOCR na screenshot header + formularz logowania
  • Fine-tuned RoBERTa-base: NER dla BANK/PAYMENT_GATEWAY/FINTECH/CARD_NETWORK
  • Cross-check: detected brand ↔ URL domain (Levenshtein mismatch → phishing signal)

M4 — DOM Timing Analyzer (statyczna analiza, < 10ms):

  • CSS: regex na opacity:0, display:none, visibility:hidden na elementach logo
  • JS AST: setTimeout(fn, delay>200ms) operujące na logo DOM nodes
  • Resource timing (Playwright): logo PNG fetch delay względem DOMContentLoaded

Fuzja decyzyjna:

  • s = 0.25·p_url + 0.40·p_visual + 0.25·p_content + 0.10·p_timing
  • Adaptive: jeśli visual timeout → redistribucja wag; kontekst płatności → β wzrasta
  • Override: p_timing > 0.95 → PHISHING (delayed rendering = pewna detekcja)

Financial Brand Knowledge Base (150+ marek):

  • Tier 1 Banki: PKO BP, mBank, ING, BNP Paribas, Pekao, HSBC, Deutsche Bank, JPMorgan, …
  • Tier 2 Payments: PayPal, Stripe, Square, Revolut, BLIK, Wise, Klarna, Przelewy24, iDEAL
  • Tier 3 Cards: Mastercard, Visa, Amex + mobilne: Apple Pay, Google Pay, Samsung Pay
  • Tier 4 Crypto/Fintech: Binance, Coinbase, N26, Monzo, Starling
  • CLIP zero-shot: nowe marki bez retrainingu, only text description required

Ewaluacja (wyłącznie istniejące datasety):

EksperymentDatasetBaselineMetryka
Logo detection cleanLogoSENSE (1,979 test)HOG+SVM 94.3%mAP
Adv. robustness GANLogoSENSE + GAN logosResNet-50 (evasion 95%)Recall pod atakiem
Adv. robustness diffusionLogoSENSE + diffusionHao 2024 baselineRecall pod atakiem
CLIP vs ResNetLogoSENSE + adversarialResNet-50 tripletΔ evasion rate
Timing defenseSyntetyczny (Yuan repro)Yuan PoC (1 screenshot)Recall timing
End-to-end F1Ji & Kim 2025 (19,131)PhishIntention, KnowPhishF1, FPR@95%TPR
Payment brand recallJi & Kim 2025 (subset)PhishIntentionRecall per brand tier
Multi-attackSyntetyczny A4 (URL+GAN)brak baselineRecall multi-attack

Wkład badawczy (jeden paper, 4 twierdzenia):

  1. CLIP > triplet-ResNet dla adversarial logo robustności (A1/A2 attacks)
  2. DOM static analysis wykrywa delayed rendering bez screenshotów (A3)
  3. End-to-end hybryda pobija PhishIntention i KnowPhish na Ji & Kim 2025
  4. Extended financial brand KB (150+ marek fintech/payment) wypełnia coverage gaps

Grad-CAM explainability: wizualizacja decyzji logo detectora (wymagana przez recenzentów), porównanie heatmap clean vs adversarial.

Szacowany czas: 4-5 miesięcy

[#BP-2] Financial Services Phishing Benchmark: Ewaluacja SOTA na Istniejących Danych

Status: new Priorytet: high Dodano: 2026-05-12 Czas realizacji: 2-3 miesiące (szybsza publikacja!) Target venues: IEEE S&P (workshop), ACM CCS (poster/short), NDSS workshop

Bazuje na: Ji 2024, Ji & Kim 2025, PhishIntention 2022

Gap:

  • Ji 2024: ewaluacja 451k stron → pokazuje dramatyczny spadek, ale tylko ogólne phishing, nie financial brands
  • Ji & Kim 2025: LLM vs RBPD — ale bez financial services focus, bez adversarial testing
  • Brak systematycznej ewaluacji istniejących RBPD pod kątem financial brand coverage
  • Nikt nie zmierzył ile phishing stron impersonuje fintech (Revolut, Wise, Klarna) vs tradycyjne banki

Proponowane badanie:

Systematyczna ewaluacja istniejących systemów phishingu ze skupieniem na financial brands:

  1. Brand coverage audit: sprawdź PhishIntention, KnowPhish, DynaPhish pod kątem financial services brand list

    • Banki (top 50 globalnych), payment gateways (PayPal, Stripe, Revolut, BLIK), fintech (Klarna, N26, Monzo)
    • Wynik: które marki są pominięte w knowledge base? → coverage gaps

  2. Ewaluacja na Ji & Kim 2025 dataset (19,131 stron):

    • Uruchom PhishIntention + KnowPhish na tym dataset
    • Taguj wyniki per brand category (banking vs payment vs fintech)
    • Financial brands recall vs ogólna recall — czy financial marki są trudniejsze?

  3. Extended brand evaluation: dodaj brakujące marki do knowledge base i zmierz improvement

    • Ile stron phishingowych impersonujących Revolut/BLIK/Stripe jest missed?

  4. Adversarial subset analysis: w Ji & Kim 2025 zidentyfikuj przypadki potencjalnego visual evasion (duże różnice między modelami)

Wkład badawczy:

  • Pierwszy systematyczny raport financial brand coverage gaps w RBPD
  • Benchmark na Ji & Kim 2025 (19k stron) z brand-level breakdown
  • Extended financial brand knowledge base (open source, do integracji z PhishIntention/KnowPhish)
  • Roadmap: które marki wymagają priorytetowego pokrycia

Dlaczego szybko: to jest benchmarking + measurement study — bez implementacji nowych modeli, łatwy do opublikowania jako short paper lub workshop.

Szacowany czas: 2-3 miesiące

[#BP-3] Defense Against Delayed Rendering: DOM/CSS/JS Analysis bez Screenshot Dependency

Status: new Priorytet: high Dodano: 2026-05-12 Czas realizacji: 3-4 miesiące Target venues: USENIX Security, IEEE S&P, CCS

Bazuje na: Yuan 2026, Song 2025, Petrukha 2024

Gap:

  • Yuan 2026: delayed rendering → detection 100%→0%, PoC defense = jeden dodatkowy screenshot → łatwe do ominięcia (dłuższy delay, np. 10s)
  • Song 2025: DOM-GNN jest naturalnie odporny, ale nie adresuje timing evasion explicitly
  • Petrukha 2024: on-device PoC ale nie broni timing attacks
  • Brak systemu nie polegającego na screenshotach do detekcji delayed rendering

Proponowane badanie:

TempGuard — wielosygnałowa detekcja timing evasion bez polegania na screenshotach:

  1. DOM/HTML static analysis (niezależny od renderowania):

    • Parser HTML (BeautifulSoup/lxml): szukaj logo URL w <img src>, <link rel="icon">, <div style="background-image">
    • CSS rule analysis: identyfikacja opacity:0, display:none, visibility:hidden dla elementów logo
    • JavaScript static analysis: setInterval/setTimeout z długim delay na logo-related DOM nodes
    • Heurystyki: jeśli logo element jest obecny w HTML ale ukryty przez CSS → suspicious score

  2. Network traffic analysis:

    • Monitoring HTTP requests: kiedy logo resource fetch pojawia się relative to page load?
    • Jeśli logo PNG pobierany >300ms po DOMContentLoaded → red flag
    • Proxy-based lub browser extension approach

  3. Multi-timestamp visual (fallback):

    • t=0ms, t=500ms, t=2000ms screenshots
    • Anomaly detection: “materialna zmiana” = logo pojawia się po t=0ms

Hipoteza: TempGuard osiągnie >80% recall na delayed rendering attacks (vs 0% dla single-screenshot) bez dodatkowych screenshotów.

Ewaluacja:

  • Syntetyczny zestaw testowy: reprodukcja Yuan 2026 metodologii (CSS curtain phishing pages)
  • Ji & Kim 2025 dataset: ilu stron phishingowych używa timing evasion? (measurement)
  • Porównanie z Yuan 2026 PoC (single extra screenshot baseline)

Wkład badawczy:

  • Pierwsza systematyczna DOM/CSS/JS-based obrona przed delayed rendering
  • Nie wymaga screenshotów → szybsza, mniej zasobochłonna
  • Multi-signal fusion: static DOM + network + multi-timestamp

Szacowany czas: 3-4 miesiące

📌 Średnie priorytety

[#BP-4] EUIPO/URPiE Trademark Integration: Financial Brand Zero-Day Coverage

Status: new Priorytet: medium Dodano: 2026-05-12

Gap:

  • KnowPhish: 20k brand knowledge base ale nie zawiera trademark registry data
  • Rejestry EUIPO (Class 36: financial) i URPiE: autorytarne, weryfikowane źródło marek
  • Brak integracji trademark registry z phishing detection

Proponowane badanie:

  1. EUIPO Bulk Download API → trademark graph (Class 36 financial services)
  2. Integration pipeline: EUIPO marks → PhishIntention/KnowPhish knowledge base
  3. Zero-day coverage: ile ataków na nowe fintech marki (post-2022) jest missed?
  4. Publiczny dataset: 50k+ EU financial trademark logos

Szacowany czas: 3-4 miesiące

[#BP-5] Proactive Financial Phishing Detection via SSL Certificate Transparency

Status: new Priorytet: medium Dodano: 2026-05-12

Gap:

  • Duarte 2025: SSL CT framework dla brazylijskiej instytucji bankowej, LightGBM 97.28%
  • Brak analogicznego systemu dla szerokiego sektora financial services (banki + fintech + payment)

Proponowane badanie:

  1. SSL CT monitoring (certstream.calidog.io) z filtrowaniem financial brand keywords
  2. Feature engineering: homoglyph detection (PaypaI vs Paypal), brand keyword abuse, TLD patterns
  3. Extended brand list: banki + Revolut/Wise/N26/Klarna + Mastercard/Visa
  4. Porównanie: Duarte framework (banking only) vs financial services extension

Szacowany czas: 3 miesiące

[#BP-6] Overconfidence in Financial Brand Phishing: Experimental Study (PL Replication)

Status: new Priorytet: medium Dodano: 2026-05-12

Gap: Yuan 2024: overconfidence finding (użytkownicy znający markę → gorsi w wykrywaniu, n=470, US). Brak replikacji PL/EU.

Proponowane badanie: Replikacja Yuan 2024 z PL kontekstem (PKO BP, mBank, BLIK, Revolut PL). n=200+.

Szacowany czas: 4 miesiące (wymaga etyki badań)

💡 Niskie priorytety

[#BP-7] Adversarial Logo Benchmark: GAN vs Diffusion vs Pixel Attack

Status: new Priorytet: low Dodano: 2026-05-12

Motywacja: Lee 2023 (GAN), Hao 2024 (diffusion) — brak systematycznego benchmark. Implementacja 3 klas ataków na LogoSENSE dataset.

Szacowany czas: 2 miesiące

[#BP-8] EVA-CLIP jako Drop-in Upgrade dla Visual Logo Matching w RBPD

Status: new Priorytet: medium Dodano: 2026-05-14 Czas realizacji: 1-2 miesiące (komponent do BP-1) Target venues: Komponent systemu FinPhishGuard (#BP-1); standalone ablation section

Bazuje na: Sun et al. 2023 EVA-CLIP, [#BP-1 FinPhishGuard]

Gap w literaturze:

  • Istniejące RBPD (PhishIntention, KnowPhish) uzywaja CLIP ViT-B/32 lub ViT-L/14 do dopasowania logo — modeli z 2021 roku
  • EVA-02-CLIP-E/14+ (2023) osiaga 82,0% zero-shot na ImageNet vs 75,5% dla OpenAI CLIP-L/14+ (+6,5%)
  • Nikt nie zmierzyl czy nowsze, silniejsze CLIP poprawiaja recall phishing logo detection
  • EVA-CLIP jest open-source, z wagami publicznymi — mozliwa bezposrednia integracja

Proponowane badanie:

  1. Podmiana enkodera: w systemie M2b (fast matching z BP-1) zamien CLIP ViT-B/32 na EVA-02-CLIP-L/14 i EVA-02-CLIP-E/14+
  2. Pomiar poprawy: na LogoSENSE test set (1,979 probek) porownaj:
    • Recall@1 dla brand matching (czy poprawny brand jest pierwszym wynikiem?)
    • Recall@5 (czy poprawny brand jest w top-5 wynikach?)
    • Szczegolna uwaga na rzadkie marki (fintech, nowe banki) — czy EVA-CLIP lepiej generalizuje?
  3. Zero-shot nowe marki: dodaj 20 marek nieobecnych w training data (np. nowe fintech 2022-2024) i zmierz zero-shot accuracy dla CLIP-B/32 vs EVA-02-CLIP-L/14+
  4. Adversarial robustnosc: przetestuj obie wersje na GAN-perturbowanych logo (Lee 2023) — czy lepsze wstepne embeddingi poprawiaja robustnosc?

Kluczowe hipotezy:

  • H1: EVA-02-CLIP-L/14+ osiaga wyzszy Recall@1 niz CLIP ViT-B/32 dla brand matching na LogoSENSE
  • H2: Lepsza inicjalizacja (MIM + CLIP) daje lepsze embeddingi dla adversarially perturbowanych logo
  • H3: Zero-shot coverage dla nowych marek jest wyzsza dla EVA-CLIP (silniejsze reprezentacje semantyczne)

Dlaczego wazne dla projektu:

  • EVA-CLIP osiaga SOTA zero-shot przy mniejszych kosztach niz OpenCLIP-G (1/6 param, 1/6 danych)
  • Podejscie zero-shot (bez retrainingu na markach) jest kluczowe: nowy neobank = tylko opis tekstowy
  • EVA-02-CLIP-L/14+ (428M param) jest praktyczny do deploymentu, w przeciwienstwie do 5B modeli

Ewaluacja:

  • LogoSENSE: Recall@1, Recall@5, mAP per brand (banking/payment/fintech)
  • GAN logo subset: recall pod atakiem dla CLIP-B/32 vs EVA-02-CLIP-L/14+
  • Zero-shot new brands: 20 nowych marek, accuracy vs CLIP-B/32 baseline

Szacowany czas: 1-2 miesiace (implementacja integracji + eksperymenty porownawcze)

[#BP-9] Efficient CLIP Training Techniques dla Domain-Specific Brand Models

Status: new Priorytet: low Dodano: 2026-05-14 Czas realizacji: 3-4 miesiące

Bazuje na: Sun et al. 2023 EVA-CLIP

Gap:

  • Ogolne CLIP modele (OpenAI, EVA-CLIP) trenowane na LAION — brak danych finansowych brand images
  • Drobne fine-tuning na domain-specific data (logo images + brand descriptions) moze poprawic precyzje dla waznych marek
  • EVA-CLIP pokazuje, ze proper initialization (MIM pretrain) + LAMB optimizer + FLIP masking drastycznie redukuje koszt treningu

Proponowane badanie:

Fine-tuning EVA-02-CLIP-L/14+ (lub mniejszego EVA-02-CLIP-B/16+) na domain-specific zbiorze finansowych logo:

  1. Dataset konstrukcja: zbierz pary (logo image, brand description) dla 500+ marek finansowych

    • Zrodla: strony WWW bankow, Wikipedia, rejestry EUIPO (Class 36)
    • Format: “Logo of [BankName], [Country] bank specializing in [products]”
    • Augmentacja: rozne warianty logo (white/dark background, rozne rozmiary)

  2. Fine-tuning z EVA-CLIP technikami:

    • FLIP: 50% masking image tokenow (2x szybciej)
    • LAMB optimizer (optimal dla duzych batch)
    • Inicjalizacja: EVA-02-CLIP-L/14+ (nie od zera!)
    • Male LR: 1e-5 dla vision enc, 1e-6 dla text enc (nie niszczyc ogolnych repr.)

  3. Ewaluacja: LogoSENSE + nowe marki fintech vs baseline EVA-02-CLIP-L/14+ zero-shot

Dlaczego low priority: wymaga custom dataset (zbieranie logo) — wiecej wysilku bez gwarancji przewagi nad zero-shot

Szacowany czas: 3-4 miesiace

Statystyki projektu

🚀 Rekomendowana kolejność dla szybkiej publikacji

Miesiąc 1-3:  #BP-2 (Benchmark study — najszybszy do publikacji, measurement paper)
              ↕ równolegle
Miesiąc 1-4:  #BP-3 (TempGuard — konkretna obrona, wyraźna novelty)

Miesiąc 3-7:  #BP-1 (Pełny hybrid system — główna publikacja doktoratu)
Miesiąc 4-7:  #BP-4/#BP-5 (Supplement paper lub rozdział doktoratu)

🗺️ Mapa wkładów badawczych

Luki w literaturze             Nasze rozwiązanie              Istniejący dataset
─────────────────────────────────────────────────────────────────────────────────
GAN logos → 95% evasion    → Adversarial training RBPD    → LogoSENSE (71 cyt.)
Delayed rendering → 0%     → DOM/CSS static analysis      → Syntetyczny (Yuan metod.)
Lab 94% vs real-world 40%  → Ewaluacja na Ji & Kim 2025   → 19,131 stron (publiczny)
Fintech brand blind spots  → Extended brand coverage       → PhiUSIIL (~465k stron)
Payment gateways missed    → Financial services KB         → PhishTank + OpenPhish

Graf

Odnośniki zwrotne