干货 | 机器学习在web攻击检测中的应用实践

作者简介 岳良， 携程信息安全部高级安全工程师。2015年加入携程，主要负责渗透测试，安全评审，安全产品设计。一、背景在web应用攻击检测的发展历史中，到目前为止，基本是依赖于规则的黑名单检测机制，无论是web应用防火墙或ids等等，主要依赖于检测引擎内置的正则，进行报文的匹配。虽说能够抵御绝大部分的攻击，但我们认为其存在以下几个问题：1. 规则库维护困难，人员交接工作，甚至时间一长，原作者都很难理解当初写的规则，一旦有误报发生，上线修改都很困难。2. 规则写的太宽泛易误杀，写的太细易绕过。例如一条检测sql注入的正则语句如下：Stringinj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";一条正常的 ………………………………