Perpustakaan Digital ITB

Ancaman siber yang semakin kompleks, khususnya serangan berbasis webshell, menjadi tantangan dalam keamanan sistem informasi. Teknik konvensional berbasis aturan seperti YARA sering kali gagal mendeteksi webshell yang disamarkan (obfuscated), terutama ketika penyerang memanipulasi atau menyamarkan kode untuk menghindari pendeteksian. Berbagai pendekatan telah dikembangkan untuk mendeteksi, namun sebagian besar masih bergantung pada pola statis atau signature tertentu. Pendekatan ini kurang adaptif terhadap variasi obfuscation seperti base64 encoding. Selain itu, deteksi berbasis signature umumnya sulit beradaptasi dengan teknik penyamaran baru yang terus berkembang. Penelitian ini mengusulkan sistem deteksi obfuscated webshell menggunakan Large Language Model (LLM) seperti Google Gemma, Meta-LLama, dan DeepSeek. Dengan menguji 459 sampel webshell dan 459 file benign, sistem menunjukan bahwa LLM mampu mengidentifikasi webshell terobfuskasi dengan baik termasuk teknik obfuskasi seperti variable function call, concatenation, dan dummy code injection. Namun, akurasi identifikasi menurun saat menghadapi teknik encoding seperti base64, sehingga dibutuhkan proses deobfuskasi terlebih dahulu sebelum dilakukan identifikasi oleh LLM. Hasil penelitian ini memperlihatkan bahwa LLM memiliki potensi sebagai solusi deteksi cerdas dan fleksibel dibanding pendekatan konvensional, serta dapat diintegrasikan dengan platform keamanan seperti Wazuh untuk menghadapi ancaman siber yang dinamis.