Kötü amaçlı yazılım, kötü amaçlı ağ davranışı oluşturur ve genellikle tespit edilmekten kaçınmak için bunu HTTP trafiğinde gizler. Dolayısıyla siber güvenlikte kötü amaçlı trafiğin tespiti, kötü amaçlı yazılımların neden olduğu kritik sorunlardan biridir.
Ancak bunun yanı sıra mevcut yöntemlerin tümü öncelikle yapay özelliklere ve genellemeden yoksun, güncel olmayan verilere dayanmaktadır.
İlgili üniversitelerden ve kuruluşlardan aşağıdaki siber güvenlik araştırmacıları, yakın zamanda gerçek trafiğin içinde gizlenen kötü amaçlı HTTP trafiğini nasıl tespit ettiklerini açıkladılar: –
- Xiaochun Yun (Ulusal Bilgisayar Ağı Acil Durum Müdahale Teknik Ekibi/Çin Koordinasyon Merkezi)
- Jiang Xie (Bilgi Mühendisliği Enstitüsü, Çin Bilimler Akademisi ve Siber Güvenlik Okulu, Çin Bilimler Akademisi Üniversitesi)
- Shuhao Li (Bilgi Mühendisliği Enstitüsü, Çin Bilimler Akademisi, Ağ Değerlendirme Teknolojisi Anahtar Laboratuvarı, Çin Bilimler Akademisi Üniversitesi ve Siber Güvenlik Okulu, Çin Bilimler Akademisi Üniversitesi)
- Yongzheng Zhang (Bilgi Mühendisliği Enstitüsü, Çin Bilimler Akademisi, Ağ Değerlendirme Teknolojisi Anahtar Laboratuvarı, Çin Bilimler Akademisi Üniversitesi ve Siber Güvenlik Okulu, Çin Bilimler Akademisi Üniversitesi)
- Peishuai Sun (Bilgi Mühendisliği Enstitüsü, Çin Bilimler Akademisi ve Siber Güvenlik Okulu, Çin Bilimler Akademisi Üniversitesi)
Trustifi’nin yapay zeka destekli e-posta güvenlik çözümüyle İş E-postanızı izleme, engelleme, değiştirme, kimlik avı, hesap ele geçirme, iş e-postasının ele geçirilmesi, kötü amaçlı yazılım ve fidye yazılımı gibi tehditlere karşı koruyun.
Ücretsiz demo
HTTP Tabanlı Kötü Amaçlı İletişim Davranışı
HTTP trafiği bu davranışın çoğunu taşıyor; saldırganlar masum kullanıcı davranışını taklit ediyor ve negatif verileri standart alanlar içinde saklıyor.
Zararsız trafiğe benzerliği tespit etmeyi zorlaştırıyor ve bu senaryo aynı zamanda ileri tekniklere olan ihtiyacı da artırıyor.
Tespit yöntemlerinin bilinmeyen HTTP tabanlı kötü amaçlı iletişim davranışını genelleştirme ve tanımlama yeteneğini geliştirmek çok önemlidir, ancak iki ana zorlukla karşı karşıyadır.
Aşağıda iki zorluktan bahsettik: –
- Özellik özü
- Deneysel veri kümesi
Bilinmeyen HTTP tabanlı kötü amaçlı davranışların tespit edilmesindeki zorluklar arasında, rakip koşullar altında özellik çıkarmanın zorluğu ve genelleme yeteneğini engelleyen küçük ölçekli veri kümeleri üzerinde sınırlı testler yer almaktadır.
Aşağıda, HTTP tabanlı bir kötü amaçlı yazılım saldırısının bölünebileceği dört aşamadan bahsettik: –
- İmplantasyon aşaması
- Kuluçka aşaması
- İletişim aşaması
- Yürütme aşaması
HTTP tabanlı kötü amaçlı davranışların etkili bir şekilde tespiti, kötü amaçlı etkileşimleri tanımlamak ve rakipleri bulmak için kötü amaçlı yazılım tarafından oluşturulan trafiğin analiz edilmesiyle iletişim aşamasında gerçekleşir.
Tam çift yönlü uygulama katmanı akışları, aynı beşliye sahip istek ve yanıt paketlerini içerir: –
- kaynak_ip
- kaynak_port
- dst_ip
- dst_port
- TCP
Bunun yanı sıra, siber güvenlik araştırmacıları hiyerarşik özellikleri çıkarmak için akışları paket düzeyi ve akış düzeyine bölerler.
HMCD modeli, HMCT-2020 veri setinde %99,46 oranında F1 ile mükemmel tespit performansı sergiliyor. Aynı zamanda genelleme ve gerçek dünya trafik deneylerinde diğer modellerden daha iyi performans göstererek %83,66’lık bir F1 elde ediyor.
Uzmanlar, bilinmeyen kötü amaçlı HTTP trafiğini tespit etmek için, doğru trafik gösterimini geliştirmek üzere GAN’lı hibrit bir sinir ağı kullanarak F1 ≈ %83,66’ya ulaşan HMCD Modelini önermektedir.
HMCD, veri kümelerini genişletme ve GAN tabanlı trafik oluşumunu iyileştirme planlarıyla karmaşık saldırılara karşı savunmayı geliştiriyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.