Resumen

Los atacantes suben un webshell a un servidor web para lograr el propósito de robar datos, lanzar un ataque DDoS, modificar archivos con intenciones maliciosas, etc. Una vez que estos objetivos se cumplen, causarán grandes pérdidas a los administradores del sitio web. Con el desarrollo gradual de la tecnología de encriptación y confusión, el enfoque de detección más común que utiliza análisis de contaminación y coincidencia de características podría volverse menos útil. En lugar de aplicar códigos de archivo fuente, contenidos POST o todo el tráfico recibido, este documento demostró un marco inteligente y eficiente que emplea sesiones precisas derivadas de los registros web para detectar la comunicación de webshell. Se extrajeron características de los datos de secuencia en bruto en los registros web, mientras que se propuso un método estadístico basado en intervalos de tiempo para identificar sesiones específicamente. Además, el documento aprovechó la memoria a largo plazo y el modelo oculto de Markov para constituir el marco, respectivamente. Finalmente

• Materias:Cifrados de bloques Seguridad cibernética Malware Ocultación de datos Cifrado homomórfico
• Subjects:Block ciphers Cyber security Malware Data hiding Homomorphic encryption
• Palabras claves:Atacantes; Webshell; Robo de datos; Ataque DDoS; Registros web; Modelo basado en LSTM
• Keywords:Attackers; Webshell; Data stealing; DDoS attack; Web logs; LSTM-based model