728x90
웹 공격을 탐지하기 위해 베이지안 분석 사용
베이지안 텍스트 분류기는 스팸 메일을 탐지하기 위해 오랫동안 사용되어 왔다.
웹 트래픽에 대해 악성 요청을 식별하기 위해 동일한 분석을 사용하지 않는 이유는 무엇일까?
이메일 분석부터 HTTP 요청 매개변수 검사까지 일반적인 개념은 적용이 가능하지만
거기에는 미세한 차이가 있다.
✔ ham vs. spam
ham은 악의적이지 않은 트래픽으로 간주하지만 spam은 공격 페이로드로 간주한다.
✔ 입력소스
베이지안 분류기는 OS의 여러 줄로 이루어진 텍스트(이메일)를 검사한다.
Modsecurity의 PoC->베이지안 분류기로의 이동은 상당한 지연을 발생시키기 때문에
우회시켜야한다. 임시변수와 루아API를 통해 직접 전달한다.
출처: ModSecurity를 활용한 웹 애플리케이션 방어 레시피_라이언 바넷 지음
728x90
'Network' 카테고리의 다른 글
| ModSecurity 1장_애플리케이션 요새화 (0) | 2021.02.17 |
|---|---|
| 해시 방어를 구현하기 위한 ModSecurity 지시자와 규칙 (0) | 2021.02.01 |
| ICS 보안을 위한 허니팟(Honeypot) conpot과 통합로그 분석 활용 (0) | 2021.01.11 |
| 허니팟 (0) | 2021.01.11 |
| Kali linux 칼리리눅스 docker 환경 구축 및 취약한 웹서비스 설치 (0) | 2021.01.11 |