基于外部决策的Web应用防火墙异常检测

Question

我对WAF有理论知识，但我不了解市场上的工具。我想知道在对异常流量进行排序时，是否有WAFs通过外部资源(真或假)的响应来做出决策。

我的想法是创建一个机器学习，例如，为了做出这个决定，WAF只需咨询它。

谢谢!

Answer 1

这可能不是一个流行的意见(提示意见)，但我不喜欢机器学习正在使用的安全行业。

当我们似乎不知道如何解决这个问题时，我总是持怀疑态度。我知道！让我们抛出ML！当然，在安全领域，ML似乎做得还不错，比如检测恶意软件和金融欺诈，但即使在那里，它也是谨慎使用的。

请记住，ML是统计学领域的一部分:检测平均病例行为的科学。在ML中，你担心的是告诉普通的狗，而不是普通的猫，不要担心5%的狗会出错。同时，安全是检测最坏情况下的对抗性行为的领域。在安全方面，您的系统需要继续强大，即使攻击者可以反向工程并提供最坏情况的输入。

现在考虑一下古德费罗、谢伦和塞吉的论文："解释和利用对抗性实例“：

几种机器学习模型，包括神经网络，总是错误地分类对抗性的例子--通过对数据集中的示例应用小而故意的最坏情况的扰动而形成的输入，从而使受干扰的输入导致模型以很高的可信度输出不正确的答案。

以下是该文件的核心图形：

如果这么容易“黑”图像分类器(可以说是ML研究得最好的子领域)，那么是什么让你认为你可以构建一个基于ML的WAF过滤器，从而更好地对付敌对黑客呢？

TL;DR:我一直在抱怨ML不应该在安全中占有一席之地，除非是那些真正知道自己在做什么的人。

Answer 2

使用ML作为WAF触发器可以显著降低页面和资源加载时间，并且在扩展到更大的使用基础时会出现重大问题。

WAF必须在请求被处理之前做出决定，这意味着您真正需要进行的就是请求。

大多数WAF已经对请求进行了分析，并寻找能够捕获许多常见攻击的模式。你如何训练ML系统来识别攻击？很难将攻击与攻击区分开来。添加到站点中的新功能。

Answer 3

罗德里戈·马丁内斯很久以前就做了一个机器学习PoC，https://github.com/SpiderLabs/owasp-modsecurity-crs/issues/1016#issuecomment-409608061提高了假阳性率。

对于小型站点来说，ML验证不应该是一个问题，但是随着请求的增加，这可能是不成功的，在许多情况下，引入等待响应的不期望的延迟可能是不可接受的。

ML可用于改进运行中的配置，以防止类似的未来请求，并跟踪攻击引起的怪异异步行为，还应向ML提供其他数据，如网络流和涉及服务器的进程/套接字创建。