RequestBERT-BiLSTM: Detecção de anomalias em Requisições HTTP sem
Log Parser
Requisição HTTP, RequestBERT-BiLSTM, Detecção de Ataques
No cenário atual da internet, a maioria dos serviços, como compartilhamento
de informações, entretenimento e educação são prestados por servidores web.
Essa gama de serviços compartilhados tornou a web o principal foco de
atuação para invasores e fraudadores. A maioria das técnicas defensivas nos
servidores web não consegue lidar com a complexidade e evolução dos ataques
cibernéticos em requisições HTTP. No entanto, as abordagens de aprendizagem
de máquina podem ajudar a detectar ataques, sejam eles conhecidos ou
desconhecidos. Neste trabalho, é apresentado o modelo RequestBert-BiLSTM, o
qual permite detectar possíveis ataques em requisições HTTP sem a
utilização de Log Parser. O Log Parser é uma fase importante na detecção
automática de ataques atual, mas também uma fonte de possíveis erros na
detecção dos ataques. O modelo proposto foi testado nos conjuntos de dados
públicos CSIC 2010, ECML/PKDD 2007, BGL. Além disso, foi construído um
conjunto de dados baseado em um ambiente real. Observou-se que o modelo
proposto apresentou o melhor desempenho, quando comparado com outros
modelos da literatura, na detecção de ataques. Outra contribuição a
destacar é que este trabalho evidencia que a etapa de análise de log pode
prejudicar o desempenho do modelo na detecção de ataques devido a erros
gerados pelos métodos tradicionais de parser. A proposta ainda sugere que
modelos baseados em aprendizado de máquina são promissores estratégias para
detecção de ataques na web.