人体にとって、免疫システムはウイルスに対する「安全な防御線」です。企業にとって、WAF(Web Application Firewal、WAFと呼ばれる)は、企業のセキュリティに対する免疫システムのようなものです。これは、企業がウイルスの侵入に抵抗するのを支援する、ネットワークセキュリティ境界の最初の防衛線です。
最近、Tencent Suzaku Labは、機械学習を使用してブラックボックス内のWAFバックエンドルールを検出し、完全な回避を実現できるまったく新しい攻撃テクノロジーを発見しました。企業にとって、これは間違いなく「免疫キラー」です。新しい技術の出現は必然的に新しい影響をもたらすでしょう。安全の限界を継続的に探求し、リスクを事前に発見することによってのみ、業界の安全性の向上を促進することができます。
Suzaku Labは、TEGセキュリティプラットフォーム部門のセキュリティラボであり、実際の攻撃と防御、およびAIセキュリティの研究に重点を置いています。Tencentのビジネスと最先端のテクノロジーのセキュリティリスクを調査することで、Tencentのセキュリティを攻撃、防止、保護します。
1.ネットワーク境界の免疫システム「WAF」
2019年末に登場した新しいコロナウイルス「COVID-19」は、世界中で猛威を振るっています。ワクチンが登場する前は、ウイルスに対する耐性は、さまざまなウイルスや細菌の侵入に抵抗するための人体の「防火壁」である、自身の免疫に依存していました。
WAF(Web Application Firewal、WAFと呼ばれる)は、企業セキュリティの免疫システムのようなものです。これは、ネットワークセキュリティ境界の最初の防衛線であり、eコマース、企業ポータル、ブログフォーラム、およびその他の多くの種類のサイトで広く使用されています。ウイルスの侵入に対する人間の免疫と同様に、WAF免疫システムは、外部のハッカーの侵入、攻撃、侵入に抵抗し、それによって企業秘密の盗難やユーザーデータの漏洩などのセキュリティインシデントを防ぎます。一般に、WAFシステムは、複数のルール(通常の表現と呼びます)に基づいて外部からの攻撃を傍受します。これは、免疫システムの白血球が人体に侵入するウイルスや細菌を殺すようなものです。WAFシステムのルールは人体の白血球のようなものであり、ウイルスやバクテリアはSQLインジェクション攻撃などの一般的なネットワーク攻撃です。
2.防衛システムのX線検出
人間の免疫系に問題があると、ウイルスやバクテリアはその弱点を利用して病気を引き起こします。WAFシステムについても同じことが言えます。ハッカーがWAFルールの脆弱性をマスターすると、防御システムをバイパスして攻撃を続け、企業のセキュリティを危険にさらす可能性があります。では、ルールを逆にする方法は?
まず、セキュリティの専門家がどのようにそれを行うかを見てみましょう。これは、ModSecurityの保護ルールの例です。Updatexmlは、侵入を行う学生にはおなじみです。エラーインジェクションでデータを取得するためによく使用されます。
保護ルール:(?i)\ bupdatexml \ W * \(
このルールを分解すると、上の図に示すように、境界一致\ bと非単語一致\ Wの2つの重要な部分があります。下のグラフを見てみましょう。例として、\ Wを取り上げます。これは、文字以外のセット、つまり数値を表します。 、大文字と小文字、下線以外の文字。ここでは、さまざまな文字のフィードバックを入力することで通常の単位を推測できます。たとえば、パスフィードバックを取得するにはa1_を入力し、ブロックフィードバックを取得するには特殊文字を入力するなど、これがセット操作による\ Wルールであることがわかります。
完全なルールを取得する方法の例を次に示します。傍受されたペイロードを手動で確認する場合、最初に注意するのは特定のキーワードです。たとえば、ここではupdatexmlです。キーワードに基づいて、文字を継続的に増減、変更してフィードバックを取得することでルールをテストします。目的は1つを見つけることです。重要な点は、現時点では、文字の変更または削減は一致ルールに含まれておらず、最小一致に達していることです。これは、いわゆるシードペイロードであるupdatexml(です。
シードペイロードに基づいて、キーワードの境界にさまざまな文字が作成され、大文字と小文字が区別されるかどうかを判断したり、a1_などの単語文字を使用してキーワードの境界に一致させたり、フィードバックを取得して境界に一致する境界を決定したりするなど、通常の単位を検出します。 A1_およびその他の単語文字は、通常の単位\ Wを推測し、最後にマージして完全なルールを取得します:(?i)\ b updatexml ** \ W *** \(
要約すると、手動検出作業は次の4つのポイントに要約できます。
推定最小マッチングユニット(シードペイロード)
シードペイロードに基づいて通常のユニットを検出します
通常のユニットをマージして完全なルールを取得する
ルールの正確さをテストします。
手動検出のプロセス全体を考えると、多くの欠点があることがわかりました。一方では、テスターのレベルに依存し、経験の浅い人はそれを完了できない可能性があります。一方で、反復作業が多く、すべての人の経験も限られています。すべての攻撃方法を網羅することは困難であり、自動化を実現する方法は解決すべき緊急の問題です。
3.ディープX-RAYはあなたの保護戦略を盗みます
機械学習の強力な学習能力を考慮に入れると、十分な量のデータが提供されると、アルゴリズムはこの経験を完全に学習し、データ駆動型の方法でセキュリティ専門家のセキュリティ経験を蓄積し、それによってバッチルールを自動的に逆転させることができます。
データドリブンのコアタスクは、モデルを使用してデータに含まれる法則を学習することです。したがって、最初のタスクはペイロードデータを収集することです。ペイロードはテキストの一部と見なすことができます。通常、単語ベクトルモデルは、各単語の分散表現を生成するように事前にトレーニングされています。これらのペイロードは、アテンションメカニズムを使用してシードペイロードを抽出し、推奨モデルを通じてシードペイロードの各場所の可能な検出ワードを推奨し、正と負のフィードバックに従って場所の通常の単位を差し引きます。結果は、繰り返し検出された後に取得されます。シードペイロードに対応する保護戦略。
3.1データ収集
データは効果の上限を決定し、モデルはこの上限に近づくだけです。したがって、高品質で広くカバーされている攻撃ペイロードがこのプロジェクトの鍵となります。ここでは、ペイロードジェネレータとしてModSecurityオープンソースWAFを選択します。
具体的には、ModSecurityのオープンソースルールセットでは、トラバーサルアルゴリズムを使用して、複雑な正規式を1つのルールに自動的に分解します。例:({'REQUEST_HEADERS'}、 '^(?: ht | f)tps?://(。*?)\\ /')はhttp://(。*?)\\ /、httpsに分解されます://(。*?)\\ /およびその他の独立したルールを使用してルールをセグメント化し、省略されたルール単位を対応する文字に置き換えます。たとえば、「\ d」を0に、「\ w」を'。*'をaに置き換え、最後にhttp:// a /、https:// a /、ftp:// a /の形式で攻撃ペイロードを形成します。
Python正規式ライブラリでは、元の正規式を解析でき、ツリーをトラバースすると多数のヒットペイロードが生成される可能性があります。それらの一部を変更すると、欠落したペイロードが生成され、元の正と負が取得されます。サンプル。
\ bupdatexml \ W * \( 'ツリーを解析する
3.2単語ベクトルの事前トレーニング
データができたので、AIアルゴリズムで何ができるでしょうか。私たちが最初に考えるのは、ペイロードのセキュリティエクスペリエンス、つまり、単語がどのように一致し、どの単語が同様の意味を持つかを促進することです。これは、実際には、ペイロードのテキスト機能を抽出する自動化されたプロセスです。
機械学習には、自己監視方式で機能を学習する一種の事前トレーニングアルゴリズムがあります。ここでは、ワードベクトルと呼ばれる手法を適用して特徴を抽出します。たとえば、上の図に示すように、固定サイズのウィンドウを定義し、黒い中間の単語、つまり緑色の単語から隣人を予測すると、各単語の特徴表現を取得できます。特定の実装では、単一の隠れ層を持つ浅いネットワークを使用して完了し、ここで取得したワードベクトル機能を後続のAIモデルタスクで使用します。
3.3シードペイロードの生成
以前の手動推論プロセスによると、解決すべき最初の問題は、元のペイロードからシードペイロードを生成して、さまざまなWAF製品での検出ルールの変更に適応する方法です。下の図に示すように、このペイロードには実際には複数の攻撃パーツが含まれています。処理せずに直接検出を実行すると、実際に機能するパーツを特定することが困難になります。したがって、すべての攻撃サブシーケンスを抽出するには、制御変数メソッドを使用する必要があります。
ここでは、キーワードの配置の問題を解決するために、深層学習に注意メカニズムを適用します。注意メカニズムとは何ですか?人生の例を使って説明します。あなたとあなたの友人がバーでチャットしているとき、環境は非常に騒々しいですが、環境の無関係な背景を無視し、会話の内容だけに集中するので、彼の言うことすべてを聞くことができます。ウェイターが突然あなたの名前を呼び、あなたはすぐに反応します。この例は、アテンションがフォーカスを動的に調整できる重み付けメカニズムであり、結果に影響を与えるコンテンツが強調表示されることを示しています。
アテンションメカニズムのコアアイデアは、最終結果に寄与するローカル機能に焦点を当て、グローバルからローカルに焦点を当てることです。したがって、アテンションメカニズムを通じて、最終結果に対する各単語の重要性を取得できます。
シナリオに戻ると、ここでの注意メカニズムは、ブロックとパスの2つのタグに対する各単語の重要度のフィードバックを計算することです。これにより、検索スペースと試行回数が削減されます。実装に固有の、入力ペイロードから特徴を抽出した後、各単語に重みを付けます。この重みは、分類モデルのトレーニング中に継続的に最適化されます。最終的な予測プロセスでは、ペイロード内の対応する重みのみが必要です。値、それをソートします。
3.4単語の推奨を検出する
シードペイロードを使用して、検出プロセスを自動化できますか?手動検出プロセスがupdatexmlと(の間の専門家の経験に基づいていることを考慮すると、専門家は特別なシンボルが最初に検出される可能性があると考えます。この経験はアルゴリズムの観点から自動的にモデル化できます。最初に経験に基づいて候補検出を抽出します。検出結果に基づいて期待値を設定、変更し、モデルに環境内の習慣的なコロケーションを記憶させてから、それを新しいペイロード検出プロセスに適用します。
そのため、ここでは簡単な推奨アルゴリズムモデルを構築しました。ブロックアンドパスデータセットから始めて、分類モデルをトレーニングし、予測結果に基づいてオンライン検出を実行し、検出結果を新しいトレーニングセットとして使用します。繰り返し、最終的に増分を達成します。モデルをますます正確にする方法を学びます。実装の観点からも比較的単純です。抽出された特徴に基づいて、プーリングレイヤーによって次元数が削減され、最後にSoftmaxのレイヤーを使用して各候補ワードの確率が出力され、最大/最小の確率、つまり黒のサンプルと白のサンプルが選択されます。サンプルの場合、検出数がしきい値に達します。たとえば、6を超えると、検出が停止します。
これは、全体的な検出プロセスを説明する図です。
4、実験
まず、AWS WAFを攻撃し、各ステップのデモ図を作成しました。
ステップ1:多数の攻撃ペイロードに対するAWS WAFのさまざまな応答結果に基づいて、AIアルゴリズムはWAFルールを逆にして出力します。
ステップ2:印刷されたルールをローカルWAFとして展開します。
3番目のステップ:比較検証。同じペイロードセットのパフォーマンスはAWS WAFと非常に一貫しており、適合度は93.8%に達します。
このテストケースを通じて、AIがクラウド上のサービスに対する攻撃の効率と規模を大幅に改善できることがわかります。攻撃者はモデルルールを簡単に取得し、それらをバイパスして機密データを取得できます。
また、Google CloudとFortinetのWAF戦略もテストしました。これらの製品の保護戦略は、ModSecurityと同様であり、得られた適合率はすべて95%を超えています。
五、反省
5.1シーンのインスピレーション
WAFシナリオに加えて、この盗用方法は、オンラインフィードバックに基づいてストライク境界を検出し、バイパスするリスク制御ルール戦略にも使用できます。ただし、この種の攻撃には、カバーするのが難しいシナリオもあります。WAFがベースラインモデルを使用してリクエストを分析し、通常のビジネスからの逸脱を比較する場合、つまりホワイトリスト方式と同様に、使い果たすのは困難です。さらに、AIベースのバックエンド戦略である場合は、コンテキストを考慮すると、この戦略を正規の式の形式で明示的に出力することは困難であり、このタイプのモデルを有効にすることも困難です。
実験の過程で、一部のWAF製品が単一のIPからの複数の要求への応答を拒否することもわかりました。このシナリオでは、2番目のダイヤルIP方式を使用して戦うことができます。一方で、IPがブロックされるのを防ぐことができますが、並行して処理して短縮することもできます。時間を盗む。さらに、セマンティックモデルとAIモデルの機能のクローン作成については、学術界でもいくつかの研究があります。ローカルシャドウモデルの構築、合成データの拡張などを通じて、元のモデルの機能をブラックボックス方式でコピーできます。いくつかの論文が出ています。
5.2防衛策
防御の観点から、盗難攻撃に抵抗する最も直接的な方法は、疑似ラベルを使用してモデルトレーニングプロセスを妨害し、http応答を書き直し、ラベルの不確実性を深めることです。バックグラウンド戦略が悪意のあるペイロードをブロックすると、返される応答が403から200に変更されました。このように、間違ったラベルは実際には一種のデータポイズニングであり、モデルが正しくトレーニングできず、盗難攻撃が無効になります。
さらに、単一のIPに対する要求の数、要求率、および複数の攻撃中の検証コードの検証を制限することにより、攻撃を盗むためのエンジニアリングの難しさとコストを大幅に増やすことができ、攻撃者を思いとどまらせることができます。
5.3研究の見通し
以前、WAF保護ルールを印刷しました。これらのルールは検出言語を定義します。実際、次の図に示すように、これらのルールをさらに分解して、バッカスパラダイム文法分解ツリーを構築できます。このツリーをトラバースすると、多くの決定境界が生成されます。ペイロードは、並べ替えモデルの支援を受けて、突然変異やその他の操作に遺伝的アルゴリズムを使用して、バイパスされる可能性が最も高いペイロードを除外し、自動バイパスを実現できます。もちろん、この分野の研究は比較的最先端であり、GAN / Seq2Seqなどに基づく生成モデルが多数あり、さらなる調査のアイデアが得られます。
6.新しい脅威
Deep X-Rayは、AIセキュリティの分野におけるAnping Suzaku Labsの試みであり、主流のクラウドベンダーの防衛システムにおける現在の問題を明らかにしています。クラウドセキュリティは深刻なセキュリティの課題に直面しています。それは、変異した新しいコロナウイルスが人間の免疫系を何度も突破し、人間の生命と健康を脅かしているようなものです。
新しい技術の出現は必然的に新しい影響をもたらすでしょう。AIの成熟が生活をより便利にし、生産をより効率的にするように、それはまた新しい脅威をもたらします。人工知能の台頭は、ある程度、ネットワークセキュリティの分野に技術的変化をもたらすでしょう。ハッカーがAIを使用して自分の歯を武装させると、その害は従来のネットワーク攻撃方法をはるかに超えます。したがって、現在開発されているAIベースの防御メカニズムは、AIベースの攻撃にも大部分使用される可能性があります。ドアの神のAIバージョンに対するディープX線のシーンは、将来の攻撃と防御の練習で始まります。AI対AIは究極の安全形態です!