Методика оценивания результативности функционирования систем обнаружения веб-бэкдоров

Обложка

Цитировать

Полный текст

Аннотация

В настоящее время наблюдается значительный рост инцидентов информационной безопасности, связанных с атаками на веб-ресурсы. Получение несанкционированного доступа к веб-ресурсам остается одним из основных методов проникновения в корпоративные сети организаций и расширения возможностей злоумышленников. В связи с этим множество исследований направлено на разработку систем обнаружения веб-бэкдоров (СОВБ), однако существует задача оценивания результативности функционирования данных систем. Цель данного исследования заключается в разработке объективного подхода для оценки результативности функционирования СОВБ. В данной работе было установлено, что объективно результативность СОВБ проявляется в процессе их использования, поэтому тестирование таких систем необходимо проводить в условиях, максимально приближенных к реальным. В связи с этим в статье предложена методика оценивания результативности функционирования СОВБ. Она основана на расчете трех групп частных показателей, характеризующих действенность, ресурсоемкость и оперативность работы системы обнаружения, а также вычислении обобщенного показателя результативности. На основе анализа исследований в данной области была составлена классификация веб-бэкдоров, встраиваемых злоумышленником в исходный код веб-приложений. Эта классификация используется при формировании тестовых наборов данных для вычисления частных показателей действенности. Разработанная методика применима для СОВБ, которые работают на основе анализа исходного кода веб-страниц. Также для ее использования необходим ряд исходных данных, таких как допустимые предельные ошибки частных показателей действенности и вероятность нахождения их в доверительном интервале, а также весовые коэффициенты частных показателей действенности, которые подбираются экспертными методами. Данная работа может быть полезной для специалистов и исследователей в области информационной безопасности, которые хотят проводить объективную оценку своих СОВБ.

Об авторах

В. Е Боровков

Московский Государственный Технический Университет имени Н.Э. Баумана

Email: vbscience@yandex.ru
2-я Бауманская улица 5/4

П. Г Ключарёв

Московский Государственный Технический Университет имени Н.Э. Баумана

Email: pk.iu8@yandex.ru
2-я Бауманская улица 5/4

Д. И Денисенко

-

Email: researchDD_journal@mail.ru
2-я Бауманская улица 5/4

Список литературы

  1. Актуальные киберугрозы: итоги 2022 года. URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022/ (дата обращения: 02.12.2023).
  2. Albalawi M.M., Aloufi R.B., Alamrani N.A., Albalawi N.N., Aljaedi O.A., Alharbi A.R. Website Defacement Detection and Monitoring Methods: A Review // Electronics. 2022. vol. 11(21). DOI: /10.3390/electronics11213573.
  3. Кибербезопасность в 2023–2024 гг.: тренды и прогнозы. Часть третья. URL: https://www.ptsecurity.com/ru-ru/research/analytics/kiberbezopasnost-v-2023-2024-gg-trendy-i-prognozy-chast-tretya/#id2 (дата обращения: 02.02.2024).
  4. Боровков В.Е., Ключарёв П.Г. Методы защиты веб-приложений от злоумышленников // Вопросы кибербезопасности. 2023. № 5(57). С. 89–99.
  5. ГОСТ Р ИСО 9000-2015. Системы менеджмента качества. Основные положения и словарь // М.: Стандартинформ. 2018.
  6. Sam L.T., Aurelien F. Backdoors: Definition, Deniability and Detection // Research in Attacks, Intrusions, and Defenses (RAID 2018). 2018. pp. 92–113.
  7. Киселев А.Н. Подход к обнаружению вредоносного программного обеспечения web-shell на основе анализа сетевого трафика web-инфраструктуры // Труды Военно-космической академии имени А.Ф. Можайского. 2021. № 677. С. 143–152.
  8. Ma M., Han L., Zhou C. Research and application of artificial intelligence based webshell detection model: A literature review // arXiv preprint arXiv.2405.00066. 2024.
  9. Omer A. Performance Comparison of Static Malware Analysis Tools Versus Antivirus Scanners To Detect Malware // 1 Performance Comparison of Static Malware Analysis Tools Versus Antivirus Scanners To Detect Malware. 2017. pp. 1–6.
  10. Real-World Protection Test July-October 2022. URL: https://www.av-comparatives.org/tests/real-world-protection-test-july-october-2022/ (дата обращения: 02.12.2023)
  11. Лысенко А.В., Кожевникова И.С., Ананьин Е.В. Анализ методов обнаружения вредоносных программ // Молодой ученый. 2016. № 21(125). С. 758–761.
  12. Fu J, Li L., Wang Y. Webshell Detection Based on Convolutional Neural Network // Journal of Zhengzhou University (Natural Science Edition). 2019. vol. 51(2). pp. 1–8.
  13. WebShell detection based on semantic features. URL: https://litheory.github.io/publication/webshell-detection-based-on-semantic-features/ (дата обращения: 11.01.2024).
  14. Word2vec. URL: https://www.tensorflow. org/text/tutorials/word2vec (дата обращения: 11.01.2024).
  15. Pan Z., Chen Y., Chen Y., Shen Y., Guo X. Webshell Detection Based on Executable Data Characteristics of PHP Code // Wireless Communications and Mobile Computing. 2021. no. 1. pp. 1–12. doi: 10.1155/2021/5533963.
  16. Kaushik K., Aggarwal S., Mudgal S., Saravgi S., Mathur V. A novel approach to generate a reverse shell: Exploitation and Prevention // International Journal of Intelligent Communication, Computing, and Networks. 2021. vol. 2. doi: 10.51735/ijiccn/001/33.
  17. p0wnyshell – Single-file PHP Shell. URL: https://github.com/flozz/p0wny-shell (дата обращения: 12.01.2024).
  18. WordPress. URL: http://wordpress.com (дата обращения: 12.01.2024).
  19. Obfuscation Techniques in MARIJUANA Shell «Bypass». URL: https://blog.sucuri.net/2020/12/obfuscation-techniques-in-marijuana-shell-bypass.html (дата обращения: 20.01.2024).
  20. Keeping Web Shells under Cover (Web Shells Part 3). URL: https://www.acunetix.com/blog/articles/keeping-web-shells-undercover-an-introduction-to-web-shells-part-3/ (дата обращения: 21.01.2024).
  21. Петухов Г.Б., Якунин В.И. Методологические основы внешнего проектирования целенаправленных процессов и целеустремленных систем. М.: АСТ. 2006. 504 c.
  22. Гаценко О.Ю., Мирзабаев А.Н., Самонов А.В. Методы и средства оценивания качества реализации функциональных и эксплуатационно-технических характеристик систем обнаружения и предупреждения вторжений нового поколения // Вопросы кибербезопасности. 2018. № 2(26). C. 24–32.
  23. Zhu T., Weng Z., Fu L., Ruan L. A Web Shell Detection Method Based on Multiview Feature Fusion // Applied Sciences. 2020. vol. 10(18). doi: 10.3390/app10186274.
  24. Pu A., Feng X.., Zhang Y., Wan X., Han J., Huang C. BERT-Embedding-Based JSP Webshell Detection on Bytecode Level Using XGBoost // Security and Communication Networks. 2022. pp. 1–11. doi: 10.1155/2022/4315829.
  25. Nguyen N., Le V., Phung V., Du P. Toward a Deep Learning Approach for Detecting PHP Webshell // SoICT 2019: Proceedings of the Tenth International Symposium on Information and Communication Technology. 2019. pp. 514–521. doi: 10.1145/3368926.3369733.
  26. Zhang H., Liu M., Yue Z., Xue Z., Shi Y., He X. A PHP and JSP Web Shell Detection System with Text Processing Based on Machine Learning // 2020 IEEE 19th International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom). 2020. pp. 1584–1591.
  27. Оценка качества в задачах классификации и регрессии. URL: https://neerc.ifmo.ru/wiki/index.php?title=Оценка_качества_в_задачах_классификации_и_регрессии (дата обращения: 15.11.2023).
  28. DS_WBDT. URL: https://github.com/scienceMGtech (дата обращения: 20.10.2023).
  29. Zhao J., Lu J., Wang X., Zhu K., Yu L. WTA: A Static Taint Analysis Framework for PHP Webshell // Applied Sciences. 2021. vol. 11(16). doi: 10.3390/app11167763.
  30. Ниворожкина Л.И. и др. Статистические методы анализа данных // РИОР, 2016. 333 с.
  31. Илышев А.М. Общая теория статистики. Учебник для студентов вузов, обучающихся по специальностям экономики и управления. М.: ЮНИТИ. 2012. 535 c.
  32. Соловьев Ю.П. Неравенства. М.: МЦНМО, 2005. 16 с.
  33. WebShell Scan Detection and Killing Tools. URL: https://cloud.tencent.com/developer/article/1745883 (дата обращения: 27.02.2024).

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».