Zararlı web sayfalarının tespiti ve sınıflandırılması için yeni bir sistem önerisi

Abstract

Gün geçtikçe değişen ve büyüyen web teknolojileri, kullanıcıların bunlara olan ilgisinin artmasını fırsat bilen saldırganlar tarafından hedef haline gelmiştir. Kullanıcılar web sayfaları ile alışveriş, bankacılık, rezervasyon, fatura ödeme gibi etkileşim gerektiren önemli işlerini yapabildikleri gibi yalnızca bilgi de edinebilmektedir. Tüm bu işlemlerde başka kimselerin eline geçmesi istenmeyen hassas bilgiler paylaşılabilmektedir. Yalnızca bu web sayfalarına girilmesi halinde bile bu bilgilere ulaşılabilmek mümkün olmaktadır. Bu saldırılardan korunmak için web sayfasının güvenliğinden emin olmak gerekmektedir. Kurum ve kuruluşlarca kullanılan siber tehdit istihbaratı ile zararlı web sayfası tespitinin önemi daha da artmakla beraber bu amaçla yapılan çalışmalar da artarak geliştirilmiştir. Bu çalışmada da zararlı web sayfalarını tespit etmek için yeni bir sistem önerilmiştir. Zararlı ve zararsız web sayfalarının sözcüksel ve popülerlik özelliklerini, HTML özelliklerini ve JavaScript özelliklerini içeren bir veri seti oluşturulmuştur. Veri setindeki özellikler, incelenen çalışmalardan seçilen ve şüpheli olabileceği değerlendirilip önerilen özelliklerden seçilmiştir. K-En Yakın Komşu (K-EYK), Destek Vektör Makineleri (DVM) ve Yapay Sinir Ağları (YSA) yöntemleri ile sınıflandırma işlemleri yapılmıştır. Yapılan testlerde YSA kullanımıyla %98,71 doğruluk oranına ulaşılmıştır. Veri seti üzerinde hesaplanan en düşük yanlış pozitif oranı ise DVM sınıflandırıcısı kullanılan testlerde %0,006 olarak ölçülmüştür. Elde edilen bu oranlar incelenen çalışmalardan daha yüksek olup, seçilen özellik sayısı da daha azdır. Bu özelliği ile işlem karmaşıklığı azaltılmıştır.

Web technologies which are changing and increasing day by day become a target by attackers who take advantage of web users growing attention. Users can do not only important things require interaction such as shopping, banking, reservation, paying bills but also get information. All these procedures they can share sensitive/critical informations about them. Even if it only entered into this web page it is possible to access these informations. To ensure the security of the web page is needed to prevent these attacks. The importance of identifying malicious web pages with cyber threat intelligence used by institutions and organizations has increased. The works carried out for this purpose has also been improved. In this study, a new system for detecting malicious web pages have been proposed. The systems used for this purpose and the work done have been examined and a detection approach based on machine learning has been developed. A dataset containing lexical and popular features, HTML features and JavaScript features of harmful and harmless web pages has been created. The features in the data set are selected from the studies examined and from the features that are considered to be suspicious.The classification step has been done with K-Nearest Neighbor (K-NN), Support Vector Machines (SVM) and Artificial Neural Networks (ANN) methods. With the use of ANN, accuracy rate of 98.71% has been achieved in the tests. The lowest false positive rate calculated on the dataset was measured as %0,006 in tests using SVM classifier. These rates are higher than the examined studies and the number of selected features is lower