Методика оценивания результативности функционирования систем обнаружения веб-бэкдоров
Ключевые слова:
кибербезопасность, веб-уязвимости, веб-бэкдоры, веб-шеллы, машинное обучение, методы и средства тестированияАннотация
В настоящее время наблюдается значительный рост инцидентов информационной безопасности, связанных с атаками на веб-ресурсы. Получение несанкционированного доступа к веб-ресурсам остается одним из основных методов проникновения в корпоративные сети организаций и расширения возможностей злоумышленников. В связи с этим множество исследований направлено на разработку систем обнаружения веб-бэкдоров (СОВБ), однако существует задача оценивания результативности функционирования данных систем. Цель данного исследования заключается в разработке объективного подхода для оценки результативности функционирования СОВБ. В данной работе было установлено, что объективно результативность СОВБ проявляется в процессе их использования, поэтому тестирование таких систем необходимо проводить в условиях, максимально приближенных к реальным. В связи с этим в статье предложена методика оценивания результативности функционирования СОВБ. Она основана на расчете трех групп частных показателей, характеризующих действенность, ресурсоемкость и оперативность работы системы обнаружения, а также вычислении обобщенного показателя результативности. На основе анализа исследований в данной области была составлена классификация веб-бэкдоров, встраиваемых злоумышленником в исходный код веб-приложений. Эта классификация используется при формировании тестовых наборов данных для вычисления частных показателей действенности. Разработанная методика применима для СОВБ, которые работают на основе анализа исходного кода веб-страниц. Также для ее использования необходим ряд исходных данных, таких как допустимые предельные ошибки частных показателей действенности и вероятность нахождения их в доверительном интервале, а также весовые коэффициенты частных показателей действенности, которые подбираются экспертными методами. Данная работа может быть полезной для специалистов и исследователей в области информационной безопасности, которые хотят проводить объективную оценку своих СОВБ.
Литература
2. Albalawi M.M., Aloufi R.B., Alamrani N.A., Albalawi N.N., Aljaedi O.A., Alharbi A.R. Website Defacement Detection and Monitoring Methods: A Review // Electronics. 2022. vol. 11(21). DOI: /10.3390/electronics11213573.
3. Кибербезопасность в 2023–2024 гг.: тренды и прогнозы. Часть третья. URL: https://www.ptsecurity.com/ru-ru/research/analytics/kiberbezopasnost-v-2023-2024-gg-trendy-i-prognozy-chast-tretya/#id2 (дата обращения: 02.02.2024).
4. Боровков В.Е., Ключарёв П.Г. Методы защиты веб-приложений от злоумышленников // Вопросы кибербезопасности. 2023. № 5(57). С. 89–99.
5. ГОСТ Р ИСО 9000-2015. Системы менеджмента качества. Основные положения и словарь // М.: Стандартинформ. 2018.
6. Sam L.T., Aurelien F. Backdoors: Definition, Deniability and Detection // Research in Attacks, Intrusions, and Defenses (RAID 2018). 2018. pp. 92–113.
7. Киселев А.Н. Подход к обнаружению вредоносного программного обеспечения web-shell на основе анализа сетевого трафика web-инфраструктуры // Труды Военно-космической академии имени А.Ф. Можайского. 2021. № 677. С. 143–152.
8. Ma M., Han L., Zhou C. Research and application of artificial intelligence based webshell detection model: A literature review // arXiv preprint arXiv.2405.00066. 2024.
9. Omer A. Performance Comparison of Static Malware Analysis Tools Versus Antivirus Scanners To Detect Malware // 1 Performance Comparison of Static Malware Analysis Tools Versus Antivirus Scanners To Detect Malware. 2017. pp. 1–6.
10. Real-World Protection Test July-October 2022. URL: https://www.av-comparatives.org/tests/real-world-protection-test-july-october-2022/ (дата обращения: 02.12.2023)
11. Лысенко А.В., Кожевникова И.С., Ананьин Е.В. Анализ методов обнаружения вредоносных программ // Молодой ученый. 2016. № 21(125). С. 758–761.
12. Fu J, Li L., Wang Y. Webshell Detection Based on Convolutional Neural Network // Journal of Zhengzhou University (Natural Science Edition). 2019. vol. 51(2). pp. 1–8.
13. WebShell detection based on semantic features. URL: https://litheory.github.io/publication/webshell-detection-based-on-semantic-features/ (дата обращения: 11.01.2024).
14. Word2vec. URL: https://www.tensorflow. org/text/tutorials/word2vec (дата обращения: 11.01.2024).
15. Pan Z., Chen Y., Chen Y., Shen Y., Guo X. Webshell Detection Based on Executable Data Characteristics of PHP Code // Wireless Communications and Mobile Computing. 2021. no. 1. pp. 1–12. DOI: 10.1155/2021/5533963.
16. Kaushik K., Aggarwal S., Mudgal S., Saravgi S., Mathur V. A novel approach to generate a reverse shell: Exploitation and Prevention // International Journal of Intelligent Communication, Computing, and Networks. 2021. vol. 2. DOI: 10.51735/ijiccn/001/33.
17. p0wnyshell – Single-file PHP Shell. URL: https://github.com/flozz/p0wny-shell (дата обращения: 12.01.2024).
18. WordPress. URL: http://wordpress.com (дата обращения: 12.01.2024).
19. Obfuscation Techniques in MARIJUANA Shell «Bypass». URL: https://blog.sucuri.net/2020/12/obfuscation-techniques-in-marijuana-shell-bypass.html (дата обращения: 20.01.2024).
20. Keeping Web Shells under Cover (Web Shells Part 3). URL: https://www.acunetix.com/blog/articles/keeping-web-shells-undercover-an-introduction-to-web-shells-part-3/ (дата обращения: 21.01.2024).
21. Петухов Г.Б., Якунин В.И. Методологические основы внешнего проектирования целенаправленных процессов и целеустремленных систем. М.: АСТ. 2006. 504 c.
22. Гаценко О.Ю., Мирзабаев А.Н., Самонов А.В. Методы и средства оценивания качества реализации функциональных и эксплуатационно-технических характеристик систем обнаружения и предупреждения вторжений нового поколения // Вопросы кибербезопасности. 2018. № 2(26). C. 24–32.
23. Zhu T., Weng Z., Fu L., Ruan L. A Web Shell Detection Method Based on Multiview Feature Fusion // Applied Sciences. 2020. vol. 10(18). DOI: 10.3390/app10186274.
24. Pu A., Feng X.., Zhang Y., Wan X., Han J., Huang C. BERT-Embedding-Based JSP Webshell Detection on Bytecode Level Using XGBoost // Security and Communication Networks. 2022. pp. 1–11. DOI: 10.1155/2022/4315829.
25. Nguyen N., Le V., Phung V., Du P. Toward a Deep Learning Approach for Detecting PHP Webshell // SoICT 2019: Proceedings of the Tenth International Symposium on Information and Communication Technology. 2019. pp. 514–521. DOI: 10.1145/3368926.3369733.
26. Zhang H., Liu M., Yue Z., Xue Z., Shi Y., He X. A PHP and JSP Web Shell Detection System with Text Processing Based on Machine Learning // 2020 IEEE 19th International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom). 2020. pp. 1584–1591.
27. Оценка качества в задачах классификации и регрессии. URL: https://neerc.ifmo.ru/wiki/index.php?title=Оценка_качества_в_задачах_классификации_и_регрессии (дата обращения: 15.11.2023).
28. DS_WBDT. URL: https://github.com/scienceMGtech (дата обращения: 20.10.2023).
29. Zhao J., Lu J., Wang X., Zhu K., Yu L. WTA: A Static Taint Analysis Framework for PHP Webshell // Applied Sciences. 2021. vol. 11(16). DOI: 10.3390/app11167763.
30. Ниворожкина Л.И. и др. Статистические методы анализа данных // РИОР, 2016. 333 с.
31. Илышев А.М. Общая теория статистики. Учебник для студентов вузов, обучающихся по специальностям экономики и управления. М.: ЮНИТИ. 2012. 535 c.
32. Соловьев Ю.П. Неравенства. М.: МЦНМО, 2005. 16 с.
33. WebShell Scan Detection and Killing Tools. URL: https://cloud.tencent.com/developer/article/1745883 (дата обращения: 27.02.2024).
Опубликован
Как цитировать
Раздел
Copyright (c) Владислав Евгеньевич Боровков, Петр Георгиевич Ключарёв, Денис Игоревич Денисенко
Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями: Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале. Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале. Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).