Neue Studie automatisiert WebShell‑Familienklassifizierung mit KI‑gestützten Traces

Eine neue Untersuchung aus dem Bereich der Cyber‑Sicherheit hat einen wichtigen Schritt nach vorne gemacht: Sie automatisiert die Klassifizierung von WebShell‑Familien, ein bislang größtenteils manuelles und zeitaufwändiges Verfahren. WebShells, die sich in kritische digitale Infrastrukturen einschleusen, stellen eine wachsende Bedrohung für Sektoren wie Gesundheitswesen und Finanzdienstleistungen dar.

Während die Forschung bereits bedeutende Fortschritte bei der Erkennung von WebShells erzielt hat, geht die neue Studie einen Schritt weiter. Sie nutzt dynamische Funktionsaufruf‑Spuren, um das Verhalten von Malware zu erfassen – ein Ansatz, der gegenüber Verschlüsselung und Obfuskation robust ist. Um die Vielfalt und Stabilität der Bewertung zu erhöhen, werden diese realen Spuren mit neuen Varianten ergänzt, die mithilfe großer Sprachmodelle generiert wurden.

Die gesammelten Spuren werden anschließend in Sequenzen, Graphen und Bäume abstrahiert, wodurch ein umfassendes Benchmark‑Set für verschiedene Repräsentationsmethoden entsteht. Dazu gehören klassische sequentielle Einbettungen wie CBOW und GloVe, moderne Transformer‑Modelle wie BERT und SimCSE sowie strukturorientierte Algorithmen wie Graph‑Kernel, Graph‑Edit‑Distance und Graph2Vec. Das Ergebnis ist ein leistungsfähiges, automatisiertes System, das die schnelle und präzise Identifizierung von WebShell‑Familien ermöglicht und damit die Grundlage für proaktive Verteidigungsmaßnahmen legt.