玩转攻击检测用机器学习-HITCON.PDFVIP

⽤机器学习 玩转攻击检测 ID: tang3 绿盟科技 申军利 WHOAMI • ID ：tang3 • 绿盟科技安全研究员 • WEB——Java Web相关、 PHP代码审计、渗透攻防技术 研究 • 机器学习围观⼈员 • 健⾝爱好研究者 • 棋臭瘾⼤围棋渣 ⺫的：思路分享 思路、⼼得、实践 常⻅机器学习⽅向 • 预测 • 分类 • 聚类 机器学习是 将现实问题转换为数学问题求解的过程 思考步骤 • 确认待解决问题是哪⼀类的问题 • 先正则后机器学习（量→质） 没⾜够数量级的样本说个P 思考步骤 • 确认待解决问题是哪⼀类的问题分类 • 先正则后机器学习（量→质） • 特征量如何数字化（数据预处理） 数据的预处理—— 将数据内容转化为可以计算的模样 思考步骤 • 确认待解决问题是哪⼀类的问题分类 • 先正则后机器学习（量→质） • 特征量如何数字化（数据预处理） • 选择最适合的算法 • 初期效果不错后再对算法进⾏进⼀步完善 机器学习不是万灵药，它也有适合不适合的场景 实战环节 攻击检测引擎的实现 问题思考 • 正常与攻击的⼆分类问题（逻辑回归？） • 攻击语句按照类型可以很容易得到⼤量样本 • 特征量是什么？怎么数字化？ -1 and union select password from admin —+ 垃圾邮件分类器 朴素⻉叶斯算法 (Naive Bayes , NB 算法) 问题思考 • 正常与攻击的⼆分类问题（逻辑回归？） • 攻击语句按照类型可以很容易得到⼤量样本 • 特征量是什么？怎么数字化？ 统计！ 词与词的 关系 问题思考 • 正常与攻击的⼆分类问题（逻辑回归？） • 攻击语句按照类型可以很容易得到⼤量样本 • 特征量是什么？怎么数字化？ • 算法：朴素⻉叶斯 公式推演 • D为整个⽂本，h+/h-分别代表攻击和⾮攻击，W1 代表D中的第⼀个单词 • P(h+|D) = P(h+)*P(D|h+)/P(D) • P(h-|D) = P(h-)*P(D|h-)/P(D) • P(h+|D)P(h-|D) • 使⽤朴素⻉叶斯来简化计算 P(D|h+)=P(W1|h+)*P(W2|h+)*P(W3|h+)… 
 P(D|h-)=P(W1|h-)*P(W2|h-)*P(W3|h-)… 公式实际应⽤ • -1 union select 1,123,2 —+ • p(-1 union select 1,123,2 --+|h+) = p(-1|h+) · p(union|h+) · p(select|h+) · p(1|h+) · … 使⽤统计 • ⼤数定理 • 1000个攻击相关的单词，union出现了10次，