베이지안 Bayesian 공격 페이로드 탐지

웹 공격을 탐지하기 위해 베이지안 분석 사용

베이지안 텍스트 분류기는 스팸 메일을 탐지하기 위해 오랫동안 사용되어 왔다.

웹 트래픽에 대해 악성 요청을 식별하기 위해 동일한 분석을 사용하지 않는 이유는 무엇일까?

 

이메일 분석부터 HTTP 요청 매개변수 검사까지 일반적인 개념은 적용이 가능하지만

거기에는 미세한 차이가 있다.

 

✔ ham vs. spam

ham은 악의적이지 않은 트래픽으로 간주하지만 spam은 공격 페이로드로 간주한다.

 

✔ 입력소스

베이지안 분류기는 OS의 여러 줄로 이루어진 텍스트(이메일)를 검사한다.

Modsecurity의 PoC->베이지안 분류기로의 이동은 상당한 지연을 발생시키기 때문에

우회시켜야한다. 임시변수와 루아API를 통해 직접 전달한다.

 

---

출처: ModSecurity를 활용한 웹 애플리케이션 방어 레시피_라이언 바넷 지음