 fox
II/IDEC networks :: habra.16 :: / Защита сайта от атак с использованием WAF: от сигнатур до искусственного интеллекта
|
Login |
[#]
Защита сайта от атак с использованием WAF: от сигнатур до искусственного интеллекта
habrabot(difrex,1) — All
2017-08-23 15:30:05
![][1]
В статье будет рассмотрены практики защиты уязвимого веб-приложения — от сигнатурного метода до искусственного интеллекта с использованием Web Application Firewall (коммерческая и Opensource версии). В качестве коммерческого решения мы будем использовать Nemesida WAF, в качестве некоммерческого — NAXSI. Статья содержит общую и техническую информацию по работе WAF, а также сравнение методов обнаружения атак, разбор их особенностей и недостатков.
## Детектирование атак
Первая и основная задача любого WAF — максимально точно определить атаку с минимальным количеством ложных срабатываний (false positive). В NAXSI заложен только сигнатурный механизм определения атак (поведенческий анализ находится в начальном состоянии, поэтому мы его считать не будем), в Nemesida WAF — три: сигнатурный, качественный поведенческий анализ и машинное обучение. Говоря о комплексном методе определения атак мы подразумеваем симбиоз этих трех методов. Почему три? Давайте разберемся.
### Сигнатурный метод определения атак
Несмотря на стремительное развитие технологий, большая часть атак выявляется сигнатурным методом, и от того, насколько качественно пишутся сигнатуры, зависит точность работы всех методов, построенных на базе сигнатурного анализа (в том числе машинное обучение). Рассмотрим пример определения атаки на веб-приложение сигнатурным методом:
`index.php?id=-1'+union+select+1,2,3,4,5+--+1`
В данном случае сигнатурой атаки будет вхождение цепочки «union+select».
Пример атаки, которую пропустит NAXSI:
`index.php?id=-1'+Union+Select+1,2,3,4,5+--+1`
[Читать дальше →][2]
[1]: https://habrastorage.org/web/8b9/1e4/3eb/8b91e43eb2ac48c5bba713bb065490a2.png
[2]: https://habrahabr.ru/post/334998/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2017-08-23 15:30:05
![][1]
В статье будет рассмотрены практики защиты уязвимого веб-приложения — от сигнатурного метода до искусственного интеллекта с использованием Web Application Firewall (коммерческая и Opensource версии). В качестве коммерческого решения мы будем использовать Nemesida WAF, в качестве некоммерческого — NAXSI. Статья содержит общую и техническую информацию по работе WAF, а также сравнение методов обнаружения атак, разбор их особенностей и недостатков.
## Детектирование атак
Первая и основная задача любого WAF — максимально точно определить атаку с минимальным количеством ложных срабатываний (false positive). В NAXSI заложен только сигнатурный механизм определения атак (поведенческий анализ находится в начальном состоянии, поэтому мы его считать не будем), в Nemesida WAF — три: сигнатурный, качественный поведенческий анализ и машинное обучение. Говоря о комплексном методе определения атак мы подразумеваем симбиоз этих трех методов. Почему три? Давайте разберемся.
### Сигнатурный метод определения атак
Несмотря на стремительное развитие технологий, большая часть атак выявляется сигнатурным методом, и от того, насколько качественно пишутся сигнатуры, зависит точность работы всех методов, построенных на базе сигнатурного анализа (в том числе машинное обучение). Рассмотрим пример определения атаки на веб-приложение сигнатурным методом:
`index.php?id=-1'+union+select+1,2,3,4,5+--+1`
В данном случае сигнатурой атаки будет вхождение цепочки «union+select».
Пример атаки, которую пропустит NAXSI:
`index.php?id=-1'+Union+Select+1,2,3,4,5+--+1`
[Читать дальше →][2]
[1]: https://habrastorage.org/web/8b9/1e4/3eb/8b91e43eb2ac48c5bba713bb065490a2.png
[2]: https://habrahabr.ru/post/334998/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut