コード インジェクションは、脆弱なアプリケーションを介して被害者のマシン上で任意のコードを起動するために、攻撃者がゼロデイ エクスプロイトなどでよく使用する攻撃手法です。 署名が侵入防止システムに十分でない理由 - 機械学習がどのように役立つか。
エクスプロイトのためのコード インジェクションが広く行われていることから、Palo Alto Networks は、ネットワーク トラフィックの異常を特定するためにパターン マッチング シグネチャがよく使用されることを発見しました。 ただし、インジェクションにはさまざまな形式があり、単純なインジェクションでは、外部文字列を追加することで署名ベースのソリューションを簡単に回避できます。 したがって、署名ベースのソリューションは、Common Vulnerabilities and Exposures (CVE) の概念実証 (PoC) バリアントが原因で失敗することがよくあります。
攻撃者に対してより堅牢なディープ ラーニング モデル
侵入防止システム (IPS) シグネチャは、サイバー攻撃に対する効率的なソリューションであることが長い間証明されてきました。 定義済みのシグネチャに応じて、IPS は既知の脅威を正確に検出し、誤検知をほとんど、またはまったく発生させません。 ただし、IPS ルールの作成には、概念実証または特定の脆弱性の技術分析が必要であり、知識不足により、IPS シグネチャが未知の攻撃を検出することは困難です。
たとえば、リモート コード実行エクスプロイトは、多くの場合、脆弱な URI/パラメーターと悪意のあるペイロードで構築されており、脅威を確実に検出するには、両方の部分を特定する必要があります。 一方、ゼロデイ攻撃では、両方の部分が不明または難読化されている可能性があり、必要な IPS シグネチャ カバレッジの達成が困難になります。
脅威研究者の課題
- 偽陰性の結果。 バリエーションやゼロデイ攻撃は毎日のように発生しており、事前の攻撃の詳細が不足しているため、IPS ではすべてをカバーすることはできません。
- 偽陽性の結果。 バリアントとゼロデイ攻撃をカバーするために、一般的なルールが緩和された条件で作成されます。これにより、必然的に誤検出のリスクが生じます。
- レイテンシ。 脆弱性の発見、セキュリティ ベンダーによる保護の実装、および顧客によるセキュリティ パッチの適用の間のタイム ラグは、攻撃者にエンド ユーザーを悪用する大きな機会を提供します。
これらの問題は IPS シグネチャに固有のものですが、機械学習技術はこれらの欠点に対処できます。 実際のゼロデイ攻撃と無害なトラフィックに基づいて、Palo Alto Networks は機械学習モデルをトレーニングし、リモート コード実行や SQL インジェクションなどの一般的な攻撃を検出しました。 最近の調査によると、これらのモデルは、従来の IPS 方式よりも堅牢で応答性が高いため、ゼロデイ エクスプロイトの検出に非常に役立つことが示されています。
機械学習のテスト結果
ゼロデイ エクスプロイトを検出するために、Palo Alto Networks の研究者は XNUMX つの機械学習モデルをトレーニングしました。XNUMX つは SQL インジェクション攻撃を検出するモデル、もう XNUMX つはコマンド インジェクション攻撃を検出するモデルです。 研究者は、これらのモデルを検出に使用することによる悪影響を最小限に抑えるために、誤検知率が低いことを強調しました。 どちらのモデルでも、HTTP GET および POST リクエストをトレーニングしました。 これらのレコードを生成するために、ツールによって生成された悪意のあるトラフィック、ライブ トラフィック、内部 IPS レコードなどを含む複数のソースを組み合わせました。
- SQL クエリを含む約 1,15 万件の無害なパターンと約 1,5 万件の悪意のあるパターンについて、SQL モデルは 0,02% の偽陽性率と 90% の真陽性率を達成しました。
- Web 検索と可能性のあるコマンド インジェクションを含む約 1 万の良性サンプルと約 2,2 万の悪性サンプルを使用して、コマンド インジェクション モデルは 0,011% の偽陽性率と 92% の真陽性率を達成しました。
これらの検出は、従来の IPS シグネチャをバイパスする可能性のある小さな変更に耐性を持ちながら、新しいゼロデイ攻撃に対する保護を提供できるため、特に役立ちます。
結論
コマンドおよび SQL インジェクション攻撃は、Web アプリケーションに影響を与える最も一般的で心配な脅威の XNUMX つです。 従来のシグネチャ ベースのソリューションは、すぐに使用できるエクスプロイトに対して依然として効果的ですが、多くの場合、亜種を検出できません。 動機のある攻撃者は、最小限の変更を加えて、そのようなソリューションを回避できます。
これらの絶え間なく進化する脅威に対抗するために、Palo Alto Networks はコンテキストベースのディープ ラーニング モデルを開発しました。 モデルは、Atlassian Confluence の脆弱性、Moodle の脆弱性、Django の脆弱性などのゼロデイ エクスプロイトを正常に検出できました。 このタイプの柔軟な検出は、進化し続けるマルウェア環境での包括的な防御に不可欠であることが証明されます。
詳しくは PaloAltoNetworks.com をご覧ください
パロアルトネットワークスについて サイバーセキュリティ ソリューションのグローバル リーダーである Palo Alto Networks は、人々や企業の働き方を変革するテクノロジーによって、クラウドベースの未来を形作っています。 私たちの使命は、優先されるサイバーセキュリティ パートナーとなり、私たちのデジタル ライフを保護することです。 人工知能、分析、自動化、およびオーケストレーションにおける最新のブレークスルーを活用した継続的なイノベーションにより、世界最大のセキュリティの課題に対処するお手伝いをします。 統合プラットフォームを提供し、拡大するパートナーのエコシステムを強化することで、クラウド、ネットワーク、モバイル デバイス全体で何万もの企業を保護するリーダーとなっています。 私たちのビジョンは、毎日が以前よりも安全な世界です。
トピックに関連する記事