JABBERWOCK: Una nueva herramienta para detectar sitios web maliciosos
JABBERWOCK usa WebAssembly para mejorar la detección de sitios web maliciosos de manera efectiva.
― 7 minilectura
Tabla de contenidos
Los sitios web maliciosos son un problema común en el mundo digital. Pueden causar varios crímenes cibernéticos como phishing y robo de información personal. Los métodos tradicionales para detectar estos sitios incluyen poner en una lista negra los sitios maliciosos conocidos. Sin embargo, con el aumento de nuevos sitios maliciosos, hay una necesidad de mejores métodos de detección. Un enfoque que ha ganado atención es el uso de Aprendizaje automático, donde las computadoras se entrenan para reconocer las características de los sitios web maliciosos, incluso aquellos que son nuevos y no se han visto antes.
Con este cambio hacia el aprendizaje automático, se ha desarrollado una nueva herramienta llamada JABBERWOCK. Esta herramienta se enfoca en usar WebAssembly, una tecnología que permite que las aplicaciones web funcionen más rápido, como parte del conjunto de datos para detectar sitios web maliciosos. JABBERWOCK ayuda a generar los Conjuntos de datos necesarios para probar y entrenar modelos de aprendizaje automático.
¿Qué es WebAssembly?
WebAssembly es un tipo de código que puede ejecutarse en los principales navegadores web. Está diseñado para ser rápido y eficiente, lo que lo convierte en una opción deseable para los desarrolladores web. El código de WebAssembly se ejecuta en una máquina virtual, por lo que puede funcionar en diferentes tipos de dispositivos. Se ha descubierto que WebAssembly puede ejecutar código mucho más rápido que JavaScript, que es otro lenguaje comúnmente usado para el desarrollo web. Esta velocidad lo ha convertido en una elección popular entre los desarrolladores, y se espera que su uso en sitios web crezca en el futuro.
¿Por qué usar WebAssembly para la detección de sitios maliciosos?
La integración de WebAssembly en la detección de sitios web maliciosos es interesante por varias razones. Muchos sitios ahora usan WebAssembly para mejorar el rendimiento, lo que significa que habrá más muestras disponibles en el futuro. Mientras que los métodos tradicionales se enfocan en información textual como nombres de dominio, el uso de WebAssembly permite un análisis más profundo del comportamiento y la estructura de codificación del sitio.
Sin embargo, hay desafíos. Un obstáculo importante es que no hay un conjunto de datos de muestras de WebAssembly disponible públicamente. Recoger suficientes muestras para entrenar modelos de aprendizaje automático es esencial. Sin suficientes datos, es difícil enseñar al modelo cómo diferenciar entre sitios benignos y maliciosos de manera efectiva.
Presentando JABBERWOCK
JABBERWOCK es una herramienta creada para abordar la falta de conjuntos de datos de WebAssembly. Recoge código JavaScript de varios sitios web y convierte este código en WebAssembly. La herramienta automatiza este proceso, permitiendo la generación rápida de muchas muestras.
Así es como funciona JABBERWOCK, desglosado en pasos simples:
Recolección de Código JavaScript: JABBERWOCK reúne código JavaScript de una lista de URLs. Estos pueden ser sitios benignos y maliciosos.
Conversión a WebAssembly: El código JavaScript recogido se convierte en WebAssembly. Este paso es crucial ya que prepara el código para un análisis posterior.
Vectorización: Finalmente, el código de WebAssembly se transforma en vectores, que son representaciones numéricas que pueden ser usadas para entrenar modelos de aprendizaje automático.
Rendimiento de JABBERWOCK
Una de las características clave de JABBERWOCK es su velocidad. Puede generar un conjunto de datos en aproximadamente 4.5 segundos por cada muestra. Esta velocidad es esencial para mantenerse al día con la naturaleza dinámica del desarrollo web y el paisaje siempre cambiante de los sitios web maliciosos.
En pruebas, JABBERWOCK ha demostrado que los conjuntos de datos que genera son estadísticamente similares a muestras reales de WebAssembly encontradas en internet. Esta similitud es crucial porque hace que el conjunto de datos generado sea más efectivo para entrenar modelos de aprendizaje automático.
Precisión en la Detección de Sitios Maliciosos
Usando los conjuntos de datos generados por JABBERWOCK, los modelos de aprendizaje automático han demostrado una alta precisión en la detección de sitios web maliciosos. En pruebas, un modelo entrenado con estos conjuntos de datos logró un impresionante puntaje F1 de 99%. Este puntaje es una medida de la precisión del modelo, considerando tanto su precisión (cuántos de los sitios detectados son realmente maliciosos) como el recall (cuántos sitios maliciosos reales fueron detectados).
El alto puntaje F1 indica que las muestras generadas por JABBERWOCK ayudan a crear una clara distinción entre sitios benignos y maliciosos. Esta es una mejora significativa en comparación con el uso solo de código JavaScript, donde las diferencias entre los dos tipos de muestras no son tan pronunciadas.
¿Por qué es tan alto el rendimiento?
El rendimiento de JABBERWOCK en la detección de sitios maliciosos puede atribuirse a varios factores:
Generación de Datos: Al convertir el código JavaScript en WebAssembly, JABBERWOCK crea muestras que destacan características críticas de los sitios web maliciosos. Esta transformación ayuda a aclarar las diferencias entre sitios benignos y maliciosos.
Riqueza de Características: WebAssembly ofrece más complejidades en comparación con JavaScript solo. Las características adicionales permiten que los modelos de aprendizaje automático aprendan mejores patrones para la identificación.
Integración del Modelo: JABBERWOCK puede combinarse con herramientas existentes de detección de sitios maliciosos para mejorar aún más la precisión de detección. Esta integración asegura que los conjuntos de datos generados puedan complementar otras características utilizadas en los modelos de detección.
Desafíos y Trabajo Futuro
Aunque JABBERWOCK muestra gran promesa, todavía hay desafíos que superar. Un problema importante es la presencia de valores faltantes. A veces, el código JavaScript puede no convertirse correctamente en WebAssembly, lo que lleva a lagunas en el conjunto de datos. Abordar este problema podría mejorar el rendimiento general de la herramienta.
Otro desafío es la aplicación de JABBERWOCK en entornos en tiempo real. El tiempo de procesamiento actual puede hacerlo impráctico para necesidades de detección inmediata. Los desarrollos futuros podrían enfocarse en reducir el tiempo de conversión para que sea adecuado para el monitoreo de sitios web en tiempo real.
Conclusión
En resumen, JABBERWOCK representa un paso innovador en la detección de sitios web maliciosos. Al aprovechar WebAssembly, esta herramienta genera conjuntos de datos que mejoran la precisión de los modelos de aprendizaje automático en la identificación de amenazas. Con altos puntajes F1 logrados en pruebas, JABBERWOCK demuestra ser una solución efectiva en la lucha continua contra el cibercrimen.
A medida que el paisaje digital evoluciona, se espera que el uso de tecnologías como WebAssembly para la detección de sitios web maliciosos crezca. El desarrollo y la mejora continua de herramientas como JABBERWOCK serán cruciales para mantener el ritmo con las amenazas emergentes. El trabajo futuro se centrará en abordar las limitaciones actuales y mejorar el rendimiento general, allanando el camino para métodos de detección aún más efectivos.
Título: JABBERWOCK: A Tool for WebAssembly Dataset Generation and Its Application to Malicious Website Detection
Resumen: Machine learning is often used for malicious website detection, but an approach incorporating WebAssembly as a feature has not been explored due to a limited number of samples, to the best of our knowledge. In this paper, we propose JABBERWOCK (JAvascript-Based Binary EncodeR by WebAssembly Optimization paCKer), a tool to generate WebAssembly datasets in a pseudo fashion via JavaScript. Loosely speaking, JABBERWOCK automatically gathers JavaScript code in the real world, convert them into WebAssembly, and then outputs vectors of the WebAssembly as samples for malicious website detection. We also conduct experimental evaluations of JABBERWOCK in terms of the processing time for dataset generation, comparison of the generated samples with actual WebAssembly samples gathered from the Internet, and an application for malicious website detection. Regarding the processing time, we show that JABBERWOCK can construct a dataset in 4.5 seconds per sample for any number of samples. Next, comparing 10,000 samples output by JABBERWOCK with 168 gathered WebAssembly samples, we believe that the generated samples by JABBERWOCK are similar to those in the real world. We then show that JABBERWOCK can provide malicious website detection with 99\% F1-score because JABBERWOCK makes a gap between benign and malicious samples as the reason for the above high score. We also confirm that JABBERWOCK can be combined with an existing malicious website detection tool to improve F1-scores. JABBERWOCK is publicly available via GitHub (https://github.com/c-chocolate/Jabberwock).
Autores: Chika Komiya, Naoto Yanai, Kyosuke Yamashita, Shingo Okamura
Última actualización: 2023-06-09 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2306.05698
Fuente PDF: https://arxiv.org/pdf/2306.05698
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.
Enlaces de referencia
- https://github.com/c-chocolate/Jabberwock
- https://github.com/rustwasm/wasm-pack
- https://radimrehurek.com/gensim/models/doc2vec.html
- https://publicwww.com
- https://www.npmjs.com/package/wasm2wat
- https://urlhaus.abuse.ch
- https://www.malwaredomainlist.com/mdl.php
- https://cybercrime-tracker.net
- https://phishtank.org
- https://www.mdpi.com/2079-9292/10/13/1606