JABBERWOCK: Un Nuovo Strumento per Rilevare Siti Web Malintenzionati
JABBERWOCK usa WebAssembly per migliorare l'efficace rilevamento di siti web malevoli.
― 5 leggere min
Indice
I siti web malevoli sono un problema comune nel mondo digitale. Possono causare vari crimini informatici come il phishing e il furto di informazioni personali. I metodi tradizionali per rilevare questi siti includono l’inserimento in blacklist di quelli già noti per essere malevoli. Tuttavia, con l’aumento di nuovi siti malevoli, c’è bisogno di metodi di rilevamento migliori. Un approccio che ha guadagnato attenzione è l’uso del machine learning, dove i computer vengono addestrati a riconoscere le caratteristiche dei siti malevoli, anche quelli nuovi e sconosciuti.
Con questo spostamento verso il machine learning, è stato sviluppato un nuovo strumento chiamato JABBERWOCK. Questo strumento si concentra sull'uso di WebAssembly, una tecnologia che consente alle applicazioni web di funzionare più velocemente, come parte del dataset per rilevare i siti malevoli. JABBERWOCK aiuta a generare i dataset necessari per testare e addestrare i modelli di machine learning.
Cos’è WebAssembly?
WebAssembly è un tipo di codice che può essere eseguito nei principali browser web. È progettato per essere veloce ed efficiente, rendendolo un’opzione appetibile per gli sviluppatori web. Il codice WebAssembly gira in una macchina virtuale, quindi può funzionare su diversi tipi di dispositivi. È stato scoperto che WebAssembly può eseguire codice molto più velocemente di JavaScript, un altro linguaggio comune usato per lo sviluppo web. Questa velocità lo ha reso una scelta popolare tra gli sviluppatori, e il suo utilizzo sui siti web è previsto in crescita nel futuro.
Perché usare WebAssembly per il rilevamento di siti web malevoli?
L'integrazione di WebAssembly nel rilevamento dei siti web malevoli è interessante per vari motivi. Molti siti ora utilizzano WebAssembly per migliorare le prestazioni, il che significa che ci saranno più campioni disponibili in futuro. Mentre i metodi tradizionali si concentrano su informazioni testuali come i nomi di dominio, l'uso di WebAssembly consente un’analisi più profonda del comportamento e della struttura del codice del sito.
Tuttavia, ci sono delle sfide. Un ostacolo significativo è che non esiste un dataset pubblico di campioni di WebAssembly. Raccogliere abbastanza campioni per addestrare i modelli di machine learning è essenziale. Senza abbastanza dati, è difficile insegnare al modello come differenziare efficacemente tra siti benigni e malevoli.
Introducendo JABBERWOCK
JABBERWOCK è uno strumento creato per affrontare la mancanza di dataset di WebAssembly. Raccoglie codice JavaScript da vari siti web e converte questo codice in WebAssembly. Lo strumento automatizza questo processo, permettendo di generare rapidamente molti campioni.
Ecco come funziona JABBERWOCK, spiegato in passaggi semplici:
Raccolta di codice JavaScript: JABBERWOCK raccoglie codice JavaScript da una lista di URL. Questi possono essere sia siti benigni che malevoli.
Conversione in WebAssembly: Il codice JavaScript raccolto viene poi convertito in WebAssembly. Questo passaggio è cruciale poiché prepara il codice per un’analisi successiva.
Vettorizzazione: Infine, il codice WebAssembly viene trasformato in vettori, che sono rappresentazioni numeriche utilizzabili per addestrare modelli di machine learning.
Performance di JABBERWOCK
Una delle caratteristiche chiave di JABBERWOCK è la sua velocità. Può generare un dataset in circa 4,5 secondi per ogni campione. Questa velocità è essenziale per stare al passo con la rapida evoluzione dello sviluppo web e il paesaggio in continuo cambiamento dei siti malevoli.
Nei test, JABBERWOCK ha dimostrato che i dataset che genera sono statisticamente simili ai veri campioni di WebAssembly trovati su internet. Questa somiglianza è cruciale perché rende il dataset generato più efficace per addestrare i modelli di machine learning.
Accuratezza del rilevamento dei siti web malevoli
Utilizzando i dataset generati da JABBERWOCK, i modelli di machine learning hanno dimostrato un’alta accuratezza nel rilevare siti web malevoli. In fase di testing, un modello addestrato con questi dataset ha ottenuto un impressionante F1-score del 99%. Questo punteggio è una misura dell'accuratezza del modello, considerando sia la sua precisione (quanti dei siti rilevati sono effettivamente malevoli) sia il richiamo (quanti dei siti malevoli reali sono stati rilevati).
L’alto F1-score indica che i campioni generati da JABBERWOCK aiutano a creare una chiara distinzione tra siti benigni e malevoli. Questo è un notevole miglioramento rispetto all'uso solo del codice JavaScript, dove le differenze tra i due tipi di campioni non sono così marcate.
Perché la performance è così alta?
La performance di JABBERWOCK nel rilevamento dei siti malevoli può essere attribuita a diversi fattori:
Generazione di dati: Convertendo il codice JavaScript in WebAssembly, JABBERWOCK crea campioni che evidenziano caratteristiche critiche dei siti malevoli. Questa trasformazione aiuta a chiarire le differenze tra siti benigni e malevoli.
Ricchezza delle caratteristiche: WebAssembly offre più complessità rispetto al solo JavaScript. Le caratteristiche aggiuntive consentono ai modelli di machine learning di apprendere meglio i pattern di identificazione.
Integrazione del modello: JABBERWOCK può essere combinato con strumenti di rilevamento di siti web malevoli esistenti per migliorare ulteriormente l’accuratezza del rilevamento. Questa integrazione assicura che i dataset generati possano completare altre funzionalità utilizzate nei modelli di rilevamento.
Sfide e lavoro futuro
Sebbene JABBERWOCK mostri grandi promesse, ci sono ancora sfide da affrontare. Un problema significativo è la presenza di valori mancanti. A volte, il codice JavaScript potrebbe non convertirsi correttamente in WebAssembly, portando a lacune nel dataset. Affrontare questo problema potrebbe migliorare le prestazioni complessive dello strumento.
Un'altra sfida è l'applicazione di JABBERWOCK in contesti in tempo reale. Il tempo di elaborazione attuale potrebbe renderlo impraticabile per esigenze di rilevamento immediate. Sviluppi futuri potrebbero concentrarsi sulla riduzione del tempo di conversione per renderlo adatto al monitoraggio dei siti web in tempo reale.
Conclusione
In sintesi, JABBERWOCK rappresenta un passo innovativo nel rilevamento dei siti web malevoli. Sfruttando WebAssembly, questo strumento genera dataset che migliorano l'accuratezza dei modelli di machine learning nell'identificare minacce. Con punteggi F1-alti raggiunti nei test, JABBERWOCK si dimostra una soluzione efficace nella continua lotta contro la criminalità informatica.
Man mano che il panorama digitale evolve, si prevede che l’uso di tecnologie come WebAssembly per il rilevamento di siti web malevoli cresca. Lo sviluppo e il perfezionamento continui di strumenti come JABBERWOCK saranno cruciali per tenere il passo con le minacce emergenti. Il lavoro futuro si concentrerà sull'affrontare le limitazioni attuali e migliorare le prestazioni complessive, aprendo la strada a metodi di rilevamento ancora più efficaci.
Titolo: JABBERWOCK: A Tool for WebAssembly Dataset Generation and Its Application to Malicious Website Detection
Estratto: Machine learning is often used for malicious website detection, but an approach incorporating WebAssembly as a feature has not been explored due to a limited number of samples, to the best of our knowledge. In this paper, we propose JABBERWOCK (JAvascript-Based Binary EncodeR by WebAssembly Optimization paCKer), a tool to generate WebAssembly datasets in a pseudo fashion via JavaScript. Loosely speaking, JABBERWOCK automatically gathers JavaScript code in the real world, convert them into WebAssembly, and then outputs vectors of the WebAssembly as samples for malicious website detection. We also conduct experimental evaluations of JABBERWOCK in terms of the processing time for dataset generation, comparison of the generated samples with actual WebAssembly samples gathered from the Internet, and an application for malicious website detection. Regarding the processing time, we show that JABBERWOCK can construct a dataset in 4.5 seconds per sample for any number of samples. Next, comparing 10,000 samples output by JABBERWOCK with 168 gathered WebAssembly samples, we believe that the generated samples by JABBERWOCK are similar to those in the real world. We then show that JABBERWOCK can provide malicious website detection with 99\% F1-score because JABBERWOCK makes a gap between benign and malicious samples as the reason for the above high score. We also confirm that JABBERWOCK can be combined with an existing malicious website detection tool to improve F1-scores. JABBERWOCK is publicly available via GitHub (https://github.com/c-chocolate/Jabberwock).
Autori: Chika Komiya, Naoto Yanai, Kyosuke Yamashita, Shingo Okamura
Ultimo aggiornamento: 2023-06-09 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2306.05698
Fonte PDF: https://arxiv.org/pdf/2306.05698
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://github.com/c-chocolate/Jabberwock
- https://github.com/rustwasm/wasm-pack
- https://radimrehurek.com/gensim/models/doc2vec.html
- https://publicwww.com
- https://www.npmjs.com/package/wasm2wat
- https://urlhaus.abuse.ch
- https://www.malwaredomainlist.com/mdl.php
- https://cybercrime-tracker.net
- https://phishtank.org
- https://www.mdpi.com/2079-9292/10/13/1606