• 欢迎光临~

AI在web安全的两种应用思路

开发技术 开发技术 2021-03-04 90次浏览

思路一:从攻击的角度,使用强化学习,模拟黑客绕过WAF思路,自动化发现现有WAF的绕过方式。

思路二:从防御的角度,通过对特定的业务模式进行学习,辅助分析异常流量和业务本身的状态。

                一、建模的考虑角度步骤

                       1、报文结构的角度

                            对于特定的业务,请求都会有特定的结构,这些结构包括:

                            *   请求会传输什么样的参数

                            *   请求会包含什么请求头

                            *   请求体是什么格式,包括其中包含的参数

                             例如:HTTP 请求的第一行,包括请求的方法、路径、query、协议版本等。

                                        ②HTTP 请求头,键值对一般有两类:常用标准请求头、自定义请求头。

                                        ③HTTP 请求体,主要有五类:AI在web安全的两种应用思路

                       2、数据的角度

        HTTP通信的主要目的是传输请求中包含的业务数据,如:query/form参数和其他类型的请求body内容等,这也是业务建模主要关注的角度。对请求中发送的数据进行分类分析,包含:

AI在web安全的两种应用思路

实践中,

① 模型的选取 。

     * 数据分布模型:包含数据长度分布、字符分布、泛化字符分布、原始字符串分布和泛化字符串分布等维度。

     * 弱特征简单数据的建模可以采用HMM模型,如大多数的请求参数、自定义Header等

     * 单分类模型可以选用 SVDD算法,但此方法中数据的向量化是前提也是难点,将对建模效果起到决定性因素。 基于N-gram思想实现向量化是常见方法 。

如何减少脏数据的影响?

     * 可与其他模块配合使用,如语义分析引擎、威胁情报等,排除掉恶意请求,以及黑 IP 相关请求等脏数据。

     * 尽量保证足够的请求样本覆盖程度:如保证足够多的IP / session 数,足够长的时间跨度。

     * 结合数据分布模型排除边缘数据:如某个特征分布在 n-sigma 之外的数据。

 

参考文献:

1、《web安全之强化学习与GAN》

2、长亭科技公众号:《学霸猛戳——WAF如何聪明的实现业务建模?》 2020-11-06

 

展开阅读全文
人工智能强化学习隐马尔可夫

© 著作权归作者所有

举报
打赏
0
0 收藏
微信 QQ 微博
分享

作者的其它热门文章

机器学习背后的数学原理--学习笔记4:统计理论中bayes学派与频率学派的差别
机器学习与信息安全--学习笔记(1):基于hmm模型的web应用异常检测中的若干问题梳理
机器学习背后的数学原理--学习笔记2
机器学习背后的数学原理--学习笔记3
程序员灯塔
转载请注明原文链接:AI在web安全的两种应用思路
喜欢 (0)