Avances en la detección de vulnerabilidades en servidores web
Usando machine learning pa mejorar la identificación de vulnerabilidades en servidores web.
― 6 minilectura
Tabla de contenidos
En el campo de la ciberseguridad, saber el tipo y la versión del software del servidor web es clave para identificar debilidades. Las bases de datos de Vulnerabilidades listan qué versiones de software están abiertas a ataques, por lo que es esencial que los sistemas se mantengan actualizados. Este informe se centra en mejorar la detección de servidores web usando técnicas de vanguardia como Aprendizaje automático, big data y procesamiento de lenguaje natural.
Con el tiempo, los métodos tradicionales para identificar servidores web se basaban en reglas predefinidas. Estos sistemas, aunque útiles, tienen dificultades con el creciente número de servidores web y sus variaciones. Este estudio tiene como objetivo aprovechar técnicas modernas para ofrecer una solución más efectiva.
Resumen del Proyecto
El objetivo de este proyecto es usar métodos avanzados para identificar servidores web que puedan tener vulnerabilidades. Al enviar varios tipos de solicitudes a millones de dominios y analizar las respuestas, esperamos clasificar mejor los servidores web. Las partes clave de este proceso incluyen usar un tokenizador y un modelo específico de aprendizaje profundo.
En total, realizamos pruebas extensivas en 4.77 millones de dominios, enfocándonos en las respuestas del servidor a las Solicitudes HTTP. Capturamos datos de estas respuestas y creamos modelos para clasificarles. Se emplearon dos tipos de modelos: un modelo de Bosque Aleatorio y un perceptrón multicapa (MLP). Ambos modelos ofrecieron una precisión sólida para identificar los tipos de servidor más comunes.
Entendiendo la Tecnología
Huellas Digitales Tradicionales
Históricamente, los sistemas usaban métodos básicos para identificar servidores web. Estos sistemas basados en reglas examinan características específicas de las respuestas del servidor. Sin embargo, a medida que internet y el software del servidor han evolucionado, estos métodos se han vuelto menos efectivos. Muchos servidores revelan información en sus respuestas HTTP que puede ser explotada.
Importancia del Conocimiento
Saber el tipo y la versión de un servidor web ayuda a identificar vulnerabilidades. Si un servidor está ejecutando software desactualizado, es más propenso a ataques. Los atacantes pueden usar esta información para apuntar a debilidades específicas. Por lo tanto, es crucial que los administradores de servidores minimicen la información que sus servidores revelan.
El Experimento
Recolección de Datos
Para recopilar datos, enviamos varias solicitudes HTTP a servidores web y registramos sus respuestas. Esto incluyó tanto intentos exitosos como fallidos de acceder a contenido web. Usamos una variedad de métodos HTTP para provocar diferentes tipos de respuestas de los servidores.
Los resultados incluyeron información sobre códigos de respuesta y encabezados. Los detalles de estas respuestas HTTP ayudan a formar una huella digital única para cada servidor. Nos enfocamos tanto en patrones comunes en las respuestas como en la singularidad del comportamiento de cada servidor.
Enfoque de Aprendizaje Automático
Empleamos aprendizaje automático para analizar los datos recopilados. Al entrenar modelos en las características de las respuestas, buscamos clasificar los servidores de manera más efectiva que los métodos anteriores. Esto implicó usar un tipo específico de red neuronal, que entiende datos complejos mucho mejor que los sistemas anteriores.
Hallazgos de la Investigación
Rendimiento de Clasificación
Nuestros modelos lograron resultados notables al identificar tipos de servidores. El modelo MLP obtuvo una alta precisión al clasificar los cinco servidores web más comunes, alcanzando un macro F1-score de 0.96. El modelo de Bosque Aleatorio siguió de cerca, exhibiendo un macro F1-score de 0.94. Estas puntuaciones significan una excelente capacidad para distinguir entre diferentes tipos de servidores basándose solo en datos de respuesta.
Detección de Versiones
Además de identificar tipos de servidores, también buscamos clasificar versiones de software específicas. Aunque fue un desafío, el MLP logró un F1-score ponderado de 0.55 al identificar 347 combinaciones diferentes de servidor/version. Este es un resultado prometedor, que indica la capacidad del modelo para detectar no solo el tipo de servidor, sino también su versión específica.
Significado de los Resultados
Los hallazgos subrayan el potencial de usar técnicas avanzadas de aprendizaje automático para la identificación de huellas digitales de servidores web. Nuestro estudio demuestra que los algoritmos modernos pueden superar a los métodos tradicionales. Esta capacidad es crítica, ya que los sistemas basados en reglas existentes luchan con el creciente número de servidores web variables.
Retos Enfrentados
Aunque los resultados son prometedores, el estudio encontró dificultades. Un desafío es que el conjunto de datos utilizado estaba desequilibrado, con algunos tipos de servidores subrepresentados. Esto puede afectar la precisión de las predicciones. Además, varios factores, incluyendo información oculta del servidor o respuestas personalizadas, pueden complicar el proceso de clasificación.
Diversidad de Servidores
Internet alberga una vasta gama de tipos de servidores, cada uno con diferentes configuraciones. Algunos servidores pueden compartir respuestas idénticas, mientras que otros varían mucho en su comportamiento. Esta diversidad puede complicar los modelos de aprendizaje automático, que dependen de reconocer patrones en los datos. Los esfuerzos para clasificar servidores deben tener en cuenta esta variedad.
Trabajo Futuro
De cara al futuro, hay varias áreas para mejorar y explorar. Primero, expandir el conjunto de datos para incluir más tipos de servidores y configuraciones podría mejorar la robustez del modelo. Además, integrar encabezados de respuesta HTTP completos podría dar mejores resultados, ya que solo la primera línea podría perder información vital.
Mejora en la Ingeniería de Características
Refinar los casos de prueba utilizados y su análisis también beneficiará futuros esfuerzos. Esto podría implicar ajustar las pruebas existentes o crear nuevas para capturar comportamientos poco comunes. Analizar la importancia de características específicas puede arrojar luz sobre las características más reveladoras de diferentes servidores web.
Conclusión
Este estudio demuestra un avance sustancial en la capacidad para identificar versiones vulnerables de servidores web a través de técnicas avanzadas de aprendizaje automático. Los resultados indican que estos métodos pueden superar a los sistemas tradicionales, ofreciendo una forma más efectiva de clasificar y analizar servidores web.
En última instancia, el objetivo es ayudar a mejorar la seguridad de los servidores web en internet. Al implementar estos hallazgos, los administradores de servidores pueden entender mejor sus riesgos y fortalecer sus defensas contra posibles amenazas.
Título: Fingerprinting web servers through Transformer-encoded HTTP response headers
Resumen: We explored leveraging state-of-the-art deep learning, big data, and natural language processing to enhance the detection of vulnerable web server versions. Focusing on improving accuracy and specificity over rule-based systems, we conducted experiments by sending various ambiguous and non-standard HTTP requests to 4.77 million domains and capturing HTTP response status lines. We represented these status lines through training a BPE tokenizer and RoBERTa encoder for unsupervised masked language modeling. We then dimensionality reduced and concatenated encoded response lines to represent each domain's web server. A Random Forest and multilayer perceptron (MLP) classified these web servers, and achieved 0.94 and 0.96 macro F1-score, respectively, on detecting the five most popular origin web servers. The MLP achieved a weighted F1-score of 0.55 on classifying 347 major type and minor version pairs. Analysis indicates that our test cases are meaningful discriminants of web server types. Our approach demonstrates promise as a powerful and flexible alternative to rule-based systems.
Autores: Patrick Darwinkel
Última actualización: 2024-03-26 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2404.00056
Fuente PDF: https://arxiv.org/pdf/2404.00056
Licencia: https://creativecommons.org/licenses/by-sa/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.
Enlaces de referencia
- https://letsencrypt.org/2016/04/12/leaving-beta-new-sponsors.html
- https://google.com
- https://www.google.com
- https://www.rug.nl/
- https://news.netcraft.com/archives/2022/11/10/november-2022-web-server-survey
- https://w3techs.com/technologies/overview/web_server
- https://doi.org/10.48550/arxiv.1907.11692
- https://www.sbert.net/examples/applications/computing-embeddings/README.html
- https://www.sbert.net/examples/training/distillation/README.html
- https://doi.org/10.48550/arxiv.1803.08375
- https://doi.org/10.48550/arxiv.1412.6980
- https://github.com/Darwinkel/bachelor-thesis-information-science