アノマリベースのWebアプリケーションファイアウォール

チェック ModSecurity -それはかなりまともなアプローチです、それは異常と同様に集合的なスコアリングシステムを含みます。 コアルール を見ることができます。異常なエントリもあります。 コアルールをModSecurityにロードするだけで、すべて必要なのは、アプリケーションをテストし、最終的にいくつかのルールを削除、追加、変更することです。

異常エントリは、主に自動化されたボットやその他の疑わしいクライアントが非常に異常な要求を行うことから保護します。特定のアプリケーション用に作成されたルールがない場合（一般的なcmsesにはルールがあります）、それが防ぐのは、たとえば、非標準のヘッダーセットを使用してWebコンテンツを要求することです。

特定のアプリケーションにルールがある場合、特定のアプリケーションに一般的ではない一部のリクエストが防止されますが、これが具体的にどのように機能し、どのレベルまでコアルールを確認する必要があります。

これらのルールは特別なものではありませんが、大きな哲学がなくてもルールに基づいて異常をスコアリングするというより実用的なアプローチがあり、特定のアプリでこれを機能させるには多くの調整と変更が必要です。基本的には、ルールにあることと、自分でできることを実行します。

彼らは悪い言葉から保護しませんが、それは簡単に追加できます。また、よく難読化されて設計された攻撃からも保護しません。

ModSecurity の一部である Core Rules からの保護のリストを次に示します。

• HTTP保護-HTTPプロトコルおよびローカルで定義された使用ポリシーの違反を検出します。
• リアルタイムブラックリストルックアップ-サードパーティのIPレピュテーションを利用
• Webベースのマルウェア検出-GoogleSafe Browsing APIと照合して、悪意のあるWebコンテンツを識別します。
• HTTPサービス拒否保護-HTTPフラッディングおよび低速HTTPDoS攻撃に対する防御。
• 一般的なWeb攻撃の保護-一般的なWebアプリケーションのセキュリティ攻撃を検出します。
• 自動化の検出-ボット、クローラー、スキャナー、その他の表面的な悪意のあるアクティビティを検出します。
• ファイルアップロードのAVスキャンとの統合-Webアプリケーションを介してアップロードされた悪意のあるファイルを検出します。
• 機密データの追跡-クレジットカードの使用状況を追跡し、漏洩をブロックします。
• トロイの木馬保護-トロイの木馬へのアクセスを検出します。
• アプリケーションの欠陥の特定-アプリケーションの設定ミスに関するアラート。
• エラーの検出と非表示-サーバーから送信された偽装エラーメッセージ。

ModSecurityは、インターネットの広大なスペースで使用されています。たとえば、最大のCDNであるAkamaiは、ModSecurityを統合したり、独自のソフトウェアにフォークしたりしたため、多くのサーバーにインストールされています。これは、クラウドに対応しているためです（集合ベースの異常検出）。情報は複数のサーバーから取得されるため、サーバー間で地理的に分散している異常を検出します。