A categorical strategy for identifying anomalies in WebAssembly applications using WASI calls

Abstract

Resumo: Na última década os navegadores Web se tornaram um dos recursos indispensável para usuários acessarem a Internet. Novos recursos e funcionalidades foram introduzidos, visando trazer mais praticidade para os usuários. O WebAssembly é um formato que foi criado para a execução de conteúdo dinâmico em navegadores web. Sendo um formato binário e portátil que vem sendo bem aceito devido a oferecer ganhos de desempenho em comparação com as soluções existentes. Atualmente o WebAssembly não está mais limitado ao uso em aplicações Web, sendo adotado por um conjunto de áreas que conseguem explorar características específicas do formato para algum tipo de ganho. Novos recursos que visam trazer praticidade para os usuários também geram novas superfícies de ataque que podem ser exploradas para comprometer a segurança do ambiente. Considerando estratégias de detecção de intrusões em um navegador Web, as estratégias de detecção estão limitadas à identificação de ataques que exploram JavaScript (JS) ou extensões. A detecção de anomalias em aplicações WebAssembly é pouco explorada na literatura. Trabalhos existentes têm foco na segurança do formato, adição de recursos e otimização do compilador e não na detecção de aplicações maliciosas que poderiam estar sendo executadas no ambiente. Visando esta lacuna na literatura, este trabalho visa propor uma estratégia de detecção de intrusão baseada em anomalias utilizando dados categóricos para aplicações WebAssembly. Através do uso de modelos de aprendizado de máquina, será realizada a classificação dos dados e detecção de anomalias. O recurso observado para a realização deste processo são as chamadas WebAssembly System Interface (WASI), que são chamadas para o suporte em tempo de execução WebAssembly análogas às chamadas de sistema em um sistema operacional. As chamadas serão modeladas usando dados categóricos, uma abordagem que vem sendo usada com sucesso na identificação de anomalias em outros contexto e que, apesar de promissora, ainda é pouco empregada em detecção de intrusões. A representação dos dados considerando a categorização permite a adição de características que não estão diretamente associadas com as chamadas WASI. Por fim, será possível discutir como estas representações podem ser melhor utilizadas no contexto de segurança computacional.

Abstract: In the last decade, Web browsers have become one of the essential resources for users to access the Internet. New features and functionalities were introduced, aiming to bring more practicality to users. WebAssembly is a format that was created for executing dynamic content in web browsers. Being a binary and portable format that has been well accepted due to offering performance gains compared to existing solutions. Currently WebAssembly is no longer limited to use in Web applications, being adopted by a set of areas that are able to exploit specific characteristics of the format for some type of gain. New features that aim to bring convenience to users also generate new attack surfaces that can be exploited to compromise the security of the environment. Considering intrusion detection strategies in a Web browser, detection strategies are limited to identifying attacks that exploit JS or extensions. Anomaly detection in WebAssembly applications is little explored in the literature. Existing work focuses on format security, adding features and optimizing the compiler and not on detecting malicious applications that could be running in the environment. Aiming at this gap in the literature, this work aims to propose an intrusion detection strategy based on anomalies using categorical data for WebAssembly applications. Through the use of machine learning models, data classification and anomaly detection will be carried out. The resource observed for carrying out this process are WASI calls, which are calls to runtime support WebAssembly analogous to system calls in an operating system. Calls will be modeled using categorical data, an approach that has been used successfully in identifying anomalies in other contexts and which, despite being promising, is still little used in intrusion detection. Data representation considering categorization allows the addition of features that are not directly associated with WASI calls. Finally, it will be possible to discuss how these representations can be better used in the context of computational security.