ベイジアンネットワークを使ったウェブ侵入検知
はじめに 私たちが提供しているSaaS型のWAFサービス、Scutum(スキュータム)では、より高精度な攻撃検知を実現するために、ベイジアンネットワークの技術を利用しています。今回は「ウェブセキュリティ」「不正検知」「異常検知」「攻撃検知」といった観点から、ベイジアンネットワークについて解説します。 ベイジアンネットワークとは? ウィキペディアによると、ベイジアンネットワークは次のようなものです。 ベイジアンネットワーク(英: Bayesian network)は、因果関係を確率により記述するグラフィカルモデルの1つで、複雑な因果関係の推論を有向グラフ構造により表すとともに、個々の変数の関係を条件つき確率で表す確率推論のモデルである。 非常に的を射た説明ですが、「わかっている人にはわかるし、わかっていない人にはわからない」という感じもするかもしれません。基本からしっかり理解したいという場合
Ruby on Railsの脆弱性(CVE-2013-0156)を狙った攻撃を観測
脆弱性の公表と攻撃の開始 数日前に公表されたRuby on Railsの脆弱性(CVE-2013-0156)は、リモートからの任意のコード実行が可能なインパクトの大きいものでした。PoCコードがgithubなどにすぐに出回ったため、私たちのSaaS型WAFサービス、Scutum(スキュータム)では大急ぎでシグネチャの作成や検知エンジンの開発を行いました。 以前、PHPをCGIモードで実行している環境について脆弱性が発見されたときには、発表からわずか数日後に実際にExploitコードによる攻撃を観測しました。そのため、今回も同じように、すぐに実際の攻撃が来るだろうと予想していました。 まず2つのリクエストを観測 予想通り、本日まず2つのリクエストを観測しました。以下のようなものです。(Hostフィールドは伏せ字にしてあります。ウェブサーバのIPアドレスが直接指定されていました。) POST
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
