机器学习在网络安全防御中的作用

Question

黑客和恶意软件比网络安全专家领先了一步，每次向市场发布技术，漏洞都会很快被发现和利用。

机器学习技术在防范SQLi攻击(SQLi)方面的效果如何？这是解决问题的正确方法吗？

Answer 1

与基于签名的系统相比，机器学习技术在范围上当然更好。对于有关SQLi攻击的示例，签名可以在HTTP有效负载中查找特定的命令/字符串作为检测手段。基于ML的方法可以将行为定义为在db服务器上产生的进程或不必要的只读操作等。如果有另一种新的SQLi攻击逃避签名(字符串不匹配)，但相应的行为保持不变(进程生成或不必要的只读操作)，那么ML方法就会出现。

尽管如此，基于ML的方法只能检测它所训练的行为。在上面的例子中，如果SQLi攻击导致一个新的反向隧道向另一个主机开放，但是我们没有为这个行为训练模型，那么ML方法也不会成功。

(回答前面关于签名系统与基于ML的系统有何不同的问题)

是。签名只检查特定漏洞和多个漏洞(最多是多个漏洞)。然而，机器学习的重点是攻击的行为，这并不一定意味着攻击是如何处理的，而是在感染后活动等。

旁白:开发基于ML的安全系统是我白天的工作。