मशीन लर्निंग के ज़रिए ज़ीरो-डे एक्सप्लॉइट का पता लगाएं

कोड इंजेक्शन एक हमले की तकनीक है जिसका हमलावर अक्सर उपयोग करते हैं, उदाहरण के लिए शून्य-दिन के शोषण में, कमजोर अनुप्रयोगों के माध्यम से पीड़ितों की मशीनों पर मनमाना कोड लॉन्च करने के लिए। घुसपैठ की रोकथाम प्रणाली के लिए हस्ताक्षर पर्याप्त क्यों नहीं हैं - मशीन लर्निंग कैसे मदद कर सकता है।

शोषण के लिए कोड इंजेक्शन की लोकप्रियता को देखते हुए, पालो ऑल्टो नेटवर्क्स ने पाया है कि पैटर्न-मिलान वाले हस्ताक्षर अक्सर नेटवर्क ट्रैफ़िक विसंगतियों की पहचान करने के लिए उपयोग किए जाते हैं। हालाँकि, इंजेक्शन कई रूपों में आ सकते हैं, और एक साधारण इंजेक्शन विदेशी स्ट्रिंग्स को जोड़कर एक हस्ताक्षर-आधारित समाधान को आसानी से बायपास कर सकता है। इसलिए, सामान्य कमजोरियों और एक्सपोजर (सीवीई) की अवधारणा के प्रमाण (पीओसी) वेरिएंट के कारण हस्ताक्षर-आधारित समाधान अक्सर विफल हो जाते हैं।

डीप लर्निंग मॉडल हमलावरों के खिलाफ अधिक मजबूत होते हैं

घुसपैठ रोकथाम प्रणाली (IPS) हस्ताक्षर लंबे समय से साइबर हमलों के लिए एक कुशल समाधान साबित हुए हैं। पूर्वनिर्धारित हस्ताक्षरों के आधार पर, आईपीएस कुछ या कोई झूठी सकारात्मकता के साथ ज्ञात खतरों का सटीक रूप से पता लगा सकता है। हालांकि, आईपीएस नियम बनाने के लिए विशिष्ट कमजोरियों की अवधारणा या तकनीकी विश्लेषण के प्रमाण की आवश्यकता होती है, जिससे आईपीएस हस्ताक्षरों को ज्ञान की कमी के कारण अज्ञात हमलों का पता लगाना मुश्किल हो जाता है।

उदाहरण के लिए, रिमोट कोड निष्पादन शोषण अक्सर कमजोर यूआरआई/पैरामीटर और दुर्भावनापूर्ण पेलोड के साथ बनाया जाता है, और खतरे का पता लगाने के लिए दोनों भागों की पहचान की जानी चाहिए। दूसरी ओर, शून्य-दिन के हमलों में, दोनों भाग या तो अज्ञात या अस्पष्ट हो सकते हैं, जिससे आवश्यक IPS हस्ताक्षर कवरेज प्राप्त करना कठिन हो जाता है।

खतरे के शोधकर्ताओं के लिए चुनौतियां

• झूठे नकारात्मक परिणाम। विविधताएं और शून्य-दिन के हमले हर दिन होते हैं, और अग्रिम हमले के विवरण की कमी के कारण आईपीएस उन सभी को कवर नहीं कर सकता।
• झूठे सकारात्मक परिणाम। वैरिएंट और जीरो-डे अटैक को कवर करने के लिए, आराम की शर्तों के साथ सामान्य नियम बनाए गए हैं, जो अनिवार्य रूप से एक गलत सकारात्मक के जोखिम का परिचय देते हैं।
• विलंबता। कमजोरियों की खोज, सुरक्षा विक्रेताओं द्वारा सुरक्षा के कार्यान्वयन, और ग्राहकों द्वारा सुरक्षा पैच के आवेदन के बीच का समय हमलावरों को अंतिम उपयोगकर्ता का शोषण करने के अवसर की एक महत्वपूर्ण खिड़की प्रदान करता है।

जबकि ये मुद्दे IPS हस्ताक्षरों में निहित हैं, मशीन लर्निंग तकनीक इन कमियों को दूर कर सकती है। वास्तविक दुनिया के शून्य-दिन के हमलों और हानिरहित यातायात के आधार पर, पालो अल्टो नेटवर्क्स ने रिमोट कोड निष्पादन और एसक्यूएल इंजेक्शन जैसे आम हमलों का पता लगाने के लिए मशीन लर्निंग मॉडल को प्रशिक्षित किया। हाल के शोध से पता चलता है कि ये मॉडल शून्य-दिन के शोषण का पता लगाने में बहुत उपयोगी हो सकते हैं, क्योंकि ये पारंपरिक आईपीएस विधियों की तुलना में अधिक मजबूत और उत्तरदायी दोनों हैं।

मशीन लर्निंग परीक्षण के परिणाम

शून्य-दिन के कारनामों का पता लगाने के लिए, पालो अल्टो नेटवर्क के शोधकर्ताओं ने दो मशीन लर्निंग मॉडल को प्रशिक्षित किया: एक SQL इंजेक्शन हमलों का पता लगाने के लिए और दूसरा कमांड इंजेक्शन हमलों का पता लगाने के लिए। शोधकर्ताओं ने पता लगाने के लिए इन मॉडलों का उपयोग करने के नकारात्मक प्रभाव को कम करने के लिए कम झूठी सकारात्मक दर पर जोर दिया। दोनों मॉडलों के लिए, उन्होंने HTTP GET और POST अनुरोधों को प्रशिक्षित किया। इन अभिलेखों को उत्पन्न करने के लिए, उन्होंने उपकरण, लाइव ट्रैफ़िक, आंतरिक IPS रिकॉर्ड और अन्य द्वारा उत्पन्न दुर्भावनापूर्ण ट्रैफ़िक सहित कई स्रोतों को संयोजित किया।

• SQL प्रश्नों वाले ~1,15 मिलियन सौम्य और ~1,5 मिलियन दुर्भावनापूर्ण पैटर्न के लिए, SQL मॉडल ने 0,02 प्रतिशत झूठी सकारात्मक दर और 90 प्रतिशत सही सकारात्मक दर हासिल की।
• वेब खोजों और संभावित कमांड इंजेक्शन वाले ~1 मिलियन सौम्य और ~2,2 मिलियन घातक नमूनों के साथ, कमांड इंजेक्शन मॉडल ने 0,011 प्रतिशत झूठी सकारात्मक दर और 92 प्रतिशत सही सकारात्मक दर हासिल की।

ये पहचानें विशेष रूप से उपयोगी हैं क्योंकि वे पारंपरिक आईपीएस हस्ताक्षरों को बायपास करने वाले छोटे परिवर्तनों के प्रतिरोधी होने के साथ-साथ नए शून्य-दिन के हमलों से सुरक्षा प्रदान कर सकते हैं।

निष्कर्ष

वेब अनुप्रयोगों को प्रभावित करने वाले सबसे आम और चिंताजनक खतरों में कमांड और एसक्यूएल इंजेक्शन हमले बने हुए हैं। जबकि पारंपरिक हस्ताक्षर-आधारित समाधान अभी भी आउट-ऑफ-द-बॉक्स कारनामों के खिलाफ प्रभावी हैं, वे अक्सर वेरिएंट का पता लगाने में विफल रहते हैं; एक प्रेरित हमलावर न्यूनतम बदलाव कर सकता है और ऐसे समाधानों को बायपास कर सकता है।

इन निरंतर विकसित होने वाले खतरों का मुकाबला करने के लिए, पालो ऑल्टो नेटवर्क्स ने एक संदर्भ-आधारित गहन शिक्षण मॉडल विकसित किया है जो नवीनतम हाई-प्रोफाइल हमलों का पता लगाने में प्रभावी साबित हुआ है। मॉडल एटलसियन कंफ्लुएंस भेद्यता, मूडल भेद्यता और Django भेद्यता जैसे शून्य-दिन के कारनामों का सफलतापूर्वक पता लगाने में सक्षम थे। इस प्रकार की लचीली पहचान एक सतत विकसित मैलवेयर परिदृश्य में व्यापक रक्षा के लिए महत्वपूर्ण साबित होगी।

PaloAltoNetworks.com पर अधिक

 

---

पालो अल्टो नेटवर्क के बारे में

पालो अल्टो नेटवर्क्स, साइबर सुरक्षा समाधानों में वैश्विक अग्रणी, क्लाउड-आधारित भविष्य को उन तकनीकों के साथ आकार दे रहा है जो लोगों और व्यवसायों के काम करने के तरीके को बदल देती हैं। हमारा मिशन पसंदीदा साइबर सुरक्षा भागीदार बनना और हमारे डिजिटल जीवन के तरीके की रक्षा करना है। हम आर्टिफिशियल इंटेलिजेंस, एनालिटिक्स, ऑटोमेशन और ऑर्केस्ट्रेशन में नवीनतम सफलताओं का लाभ उठाते हुए निरंतर नवाचार के साथ दुनिया की सबसे बड़ी सुरक्षा चुनौतियों का समाधान करने में आपकी सहायता करते हैं। एक एकीकृत मंच प्रदान करके और भागीदारों के बढ़ते पारिस्थितिकी तंत्र को सशक्त बनाकर, हम क्लाउड, नेटवर्क और मोबाइल उपकरणों में हजारों व्यवसायों की सुरक्षा करने में अग्रणी हैं। हमारा विजन एक ऐसी दुनिया है जहां हर दिन पहले से ज्यादा सुरक्षित है।

---

 

विषय से संबंधित लेख