手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

Web攻击检测机器学习深度实践

来源:本站整理 作者:佚名 时间:2019-06-25 TAG: 我要投稿

一、概述
1.1 传统WAF的痛点
传统的WAF,依赖规则和黑白名单的方式来进行Web攻击检测。该方式过分依赖安全人员的知识广度,针对未知攻击类型无可奈何;另一方面即使是已知的攻击类型,由于正则表达式天生的局限性,以及shell、php等语言极其灵活的语法,理论上就是可以绕过,因此误拦和漏拦是天生存在的?#27426;?#25552;高正则准确性的代价就是添加更多精细化正则,由此陷入一个永无止境打补丁的漩涡,拖累了整体性能。
针对上述问题,目前主流安全厂商的研究方向大体分为两个阵营:语义解析和AI识别。
1.2 语义解析
从http载荷中提取的疑似可执行代码段,用沙箱去解析下看是否可以执行。
对于常见的shell命令cat来说,如果用shell的语法去理解,cat c’a't c”’a”’t ””c’a’t””都是一回事。语义理解理论上可以解决部分正则漏报误报问题,不过也存在一些难点。比如http协议?#24515;?#37096;分是疑似可执行的代码段,http协议中如何截断和拼接才能保证正常解析,这些是比?#19979;?#28902;的;另外sql语法、sehll语法、js语法还需要分别实现。
就Libinjection语义解析库的来看,就有很多情况的绕过和漏拦,并且它本身也使用到了规则,在传统WAF规则的基础上做了一层抽象,换了一种规则的判别方式。其实市面上已经出现了一些基于语义的WAF口号也很响亮,究竟前景如何目前还不是很明朗。
1.3 AI识别
?#34892;〢I的拥趸者,?#27490;?#22320;认为机器学习、深度学习是解决传统WAF痛点的终极解决方案,额…或许吧,或许只是现在还没发明出一个比较完美的AI解决方案。即便如此,单纯就机器学习为WAF赋能方面来看,还是有一片广阔天地。
在安全识别领域,人类利用AI技术,以数据为媒介,将构造出的具有区分能力的特征进行数学表达,然后通过训练模型的方式使之具备区分?#27809;?#30340;能力。
因此,模型的?#27809;?#26368;终取决于数据的质量和特征的?#27809;擔?#23427;们决定了模型所能够达到的上界,而算法则是为了让模型去尝试?#27426;?#35302;碰这个上界。
特征提取就是一个“挖掘大自然美好规律的过程”,某一类特征能够区分相对应具备该类特征的攻击类型,核心是这一类特征如何选取既能让模型有较好的区分能力,同时又具备良好的泛化能里和通用性,甚至是对未知攻击类型的区分能力。
相对于图像识别、语音识别等领域,AI在Web安全领域的应用起步略晚,应用也不够深彻。究其原因,机器学习对Web安全的识别准确度和可维护性尚不能完美替代传统的WAF规则;基于正则匹配的安全防护,所见即所得,维护即生效。因此,利用AI进行Web攻击识别若要提高其?#35270;?#24615;需从以下几个方向入手:
- 提高准确度
- 优化逻辑,提高性能
- 模型的高效自我更新迭代
- 对未知攻击类型的识别
二、Web攻击特征分析
先来看下攻击样例:
1.XSS跨站脚本
script>alert(0)script>
img src=0 onerror=alert(0)>
2.SQl注入
+and+(select+0+from+(select+count(*),concat(floor(rand(0)*0),
union all select null,null,null,null,null,null,null,null#
3.命令执行
${@print(eval($_post[c]))}
exec xp_cmdshell('cat ../../../etc/passwd')#
可以看出Web攻击请求的特征大体上分为两个方向:
威?#34917;?#38190;词特征:如
select,script,etc/passwd
不规范结构特征:如
${@print(eval($_post[c]))}
2.1 基于状态转换的结构特征提取
我们普遍的做法是将具有相似属性的字符泛化为一个状态,用一个固定的字符来代替。如:字母泛化为’N’、中文字符泛化为’Z’、数字泛化为’0’、分隔符泛化为’F’等。其核心思想是,用不同的状态去表达不同的字符属性,尽可能让在Web攻击中具有含义的字符与其他字符区分开来,然后将一个payload转换成一连串的状态链去训?#28902;?#19968;个概?#39318;?#25442;矩阵。
常用的模型是隐马尔可夫链模型。如果用黑样本训练HHM模型,可以实现以黑找黑的目的,这样的好处是误判?#31995;停?#29992;白样本训练HHM模型,则能发现未知的攻击类型,但同时会有较高的误判。在利用收集好的训?#36153;?#26412;测试的时候发现,针对部分XSS攻击、插入分隔符的攻击变种这类在请求?#38382;?#32467;构上存在明显特征的Web攻击?#38382;?#35813;方式具备良好的识别能力?#27426;?#23545;无结构特征的SQL注入或者敏?#24515;?#24405;执行无法识别,这也完全符合预期。
?#27426;?#35813;方式存在一个知名的缺陷:从请求?#38382;?#32467;构异常的角度去观察,结构体异常不一定都是Web攻击;结构体正常不保证不是Web攻击。
(1)结构异常xss攻击 ——> 识别
var _=i[c].id;u.test(_)&&(s=(s+=(_=_.substring(0))+"#@#").replace(/\\|/g," "))}""!==s?(s=s.substring(0,s.length-0),_sendexpodatas
(2)结构异常变形xss攻击 ——> 识别
/m/101/bookdetail/comment/129866160.page?title=xxx
(3)结构异常sql注入 ——> 识别
/wap/home.htm?utm_source=union%' and 3356=dbms_pipe.receive_message(chr(107)||chr(78)||chr(72)||chr(79),5) and '%'='&utm_medium=14&utm_campaign=32258543&utm_content=504973

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类?#35753;?/li>
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        澳洲幸运8开奖 北京赛车pk开奖官网 北京赛车pk10开奖结果 野性孟加拉虎APP下载 新赫罗纳游记攻略 2013电脑主机游戏配置 云达不莱梅球衣2011 金角兽援彩金 羽毛球竞赛规则 浙江20选5跨度走势图