RequestBERT-BiLSTM : detecção de ataques em requisições HTTP sem log parser

Abstract

No cenário atual da internet, a maioria dos serviços, como compartilhamento de infor- mações, entretenimento e educação, são prestados por servidores Web. Com o surgimento de diversos serviços, a Web se tornou o principal local de atuação para invasores e fraudadores. A maioria das técnicas defensivas nos servidores Web não consegue lidar com a complexi- dade e evolução dos ataques cibernéticos em requisições HTTP. No entanto, as abordagens de aprendizagem de máquina podem ajudar a detectar ataques, sejam eles conhecidos ou desconhecidos. Neste trabalho, será apresentado o modelo RequestBERT-BiLSTM, o qual permite detectar ataques em requisições HTTP sem a utilização de Log Parser ou analisador de log. Para aferir o desempenho do modelo proposto foi necessário testá-lo nos conjuntos de dados públicos: CSIC 2010, ECML/PKDD 2007, BGL e no conjunto de dados construído neste trabalho baseado em um ambiente real, onde as requisições foram extraídas do ativo de segurança: F5 Big-IP. Observou-se que o modelo proposto teve desempenho superior aos modelos criados e da literatura. Outra contribuição deste trabalho é a dificuldade que a etapa de análise de log pode trazer devido a erros gerados pelos métodos tradicionais de analisadores de logs. Os experimentos realizados com os analisadores de log demonstram a dificuldade que esse processo traz ao problema de detecção de ataques. A proposta ainda sugere que modelos baseados em aprendizado de máquina são estratégias promissoras para detecção de ataques na Web.