Enjeksiyon güvenlik açıkları artarken Web kabukları ciddi bir endişe kaynağı haline geldi.
Saldırganların web sunucularına yetkisiz erişim sağlamasına ve kötü amaçlı kod çalıştırmasına olanak tanır.
Çeşitli formlara, gizleme tekniklerine ve gizli özelliklere sahip web kabuklarının doğru tespiti için onları masum verilerden ayıran benzersiz özelliklerin belirlenmesi gerekmektedir.
Aşağıdaki siber güvenlik araştırmacıları, yapay zeka ve derin öğrenme modellerinin, kodun, işlem kodlarının veya ağ trafiğinin vektörleştirilmiş temsillerinden elde edilen soyut özellikleri kullanarak geleneksel statik ve kural tabanlı yöntemlerden daha iyi performans gösterebileceğini keşfetti: –
- Mingrui Ma
- Lansheng Han
- Chunjie Zhou
Bununla birlikte, sürekli değişen Web kabukları ortamıyla mücadelede güçlü yönlerini, zayıf yönlerini ve gelecekteki potansiyellerini anlamak için bu yapay zeka destekli tekniklerin kapsamlı bir incelemesi yapılmalıdır.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Teknik Analiz
Son zamanlarda yapay zeka (AI) web kabuğu tespitinde bir patlama yaşandı ve veri hazırlamadan model oluşturmaya kadar her aşama optimize edildi.
Teknikler, dikkat mekanizmalarından ve kelime yerleştirmelerden soyut sözdizimi ağacı analizine, işlem kodu vektörleştirmesine, kalıp eşleştirmeye, web günlüklerinden oturum modellemeye ve statik ve dinamik özelliklerin birleştirilmesine kadar uzanır.
Her ne kadar bu yöntemler tespit oranı açısından geleneksel yöntemleri geride bırakmış olsa da, esnek olmayan filtreleme kuralları ve belirli dillere dayanmaları nedeniyle hala sınırlıdırlar.
Bilinmeyen yaklaşımlar, farklı uygulamalarda veri iletimi veya yürütülmesiyle ilgili temel web kabuğu davranışlarını tanımlamak için belirsiz eşleşmeyi tekrarlayan sinir ağlarıyla birleştirir.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free
.
Gelişen web kabuğu tehditlerine ayak uydurmak için özellik mühendisliği daha da geliştirilmeli ve yeni model mimarileri daha iyi tespit doğruluğu ve güvenilirliği sağlayacak şekilde tasarlanmalıdır.
Bunun yanı sıra, özellik dilleri madenciliği yapmak için yazarlar 1 gramlık ve 4 gramlık işlem kodlarını kullandılar ve aynı n gramlara sahip algoritmaları kullanarak seçilmiş özellikleri kullandılar.
Web kabuklarını tespit etmek için LR, SVM, MLP ve RF sınıflandırıcılarını ağırlıklı değerlerle entegre etmenin, yavaş tespit hızlarına neden olduğunu gözlemlediler.
Ayrıca, özelliklere dayalı olarak hem statik hem de dinamik yöntemlerin bazı sınırlamalarına ve dolayısıyla bu yöntemlerin daha eksiksiz bir setini gerektirdiğine dikkat çektiler.
Karşılaşılan en büyük zorluklar dengesiz veri kümeleri, alakasız özellikler ve tespit algoritmasındaki sınırlamalardı.
Veri dengesizlikleri, tekilleştirme, SMOTE ve topluluk öğrenimi aracılığıyla çözüldü.
CNN ve LSTM gibi farklı derin öğrenme yaklaşımları, çeşitli füzyon yöntemleriyle birlikte denendi.
Veri kullanımıyla ilgili gizlilik endişeleri dikkate alınarak, uzun komut dosyalarının tanımlanması gibi sorunların yanı sıra özellik mühendisliği kısıtlamalarıyla başa çıkmak için yeni teknikler tasarlandı.
Ancak, farklı sistemler arasındaki performans karşılaştırması ve işleme amaçları için gereken büyük miktarda veri ile ilgili sorunlar devam etti.
Son olarak, işlem kodu dönüşümünün sınırlı olduğu kaynak kodu düzeyinde, algılama doğruluğunun diğer düzey ve katmanlara göre daha yüksek olduğu bulunmuştur ancak bu her zaman geçerli olmayabilir.
Web kabuklarını tespit etmek için veri temsili hala tartışma konusudur.
Kaynak kodu daha fazla anlamsal bilgi içerirken aynı zamanda diller arası problemlerle de karşılaşıyor, diğer yandan opcode ve statik özellikler bazı verileri kaybetme pahasına yeni türleri tanıyabiliyor.
AST’ler ve akış trafik bilgileri, programlama dillerinin getirdiği sınırlamaların üstesinden gelebildikleri için diğer seçenekler olarak önerilmiştir, ancak bunlar ayrıntılı ön işleme adımları gerektirir.
Derin öğrenme somut örneklerden genellemeler yapma konusunda iyi olsa da çok büyük girdileri işleyemez.
Dengesiz veri kümeleri üzerinde eğitilen modellerin, yeni örneklerle sunulduğunda düşük performans gösterdiği bulunmuştur.
Bu nedenle sektörlerin daha adil temsiller oluşturmak için birlikte çalışması gerekiyor, bu da gelecekte kullanım için daha iyi yapay zeka eğitim setlerine yol açacak.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide