Vấn đề: Các WAF truyền thống sử dụng mô hình tiêu cực (chặn những gì đã biết là xấu) không hiệu quả với tấn công mới hoặc zero-day.

• Giải pháp: Machine learning giúp xây dựng mô hình tích cực – mô tả hành vi “tốt” của ứng dụng → phát hiện bất thường.
• - Ví dụ tấn công:
•   + Shellshock: chuỗi ký tự hợp lệ nhưng theo thứ tự đặc biệt → khai thác lỗ hổng.
•   + CVE-2015-1635 (Range Header): giá trị số lớn gây RCE → khó phát hiện bằng chữ ký.
• - Machine learning giúp phân tích chuỗi ký tự, thứ tự, độ dài → phát hiện tấn công.
• - So sánh supervised vs unsupervised:
•   + Unsupervised: học từ traffic sạch, phát hiện bất thường → triển khai nhanh, phát hiện zero-day.
•   + Supervised: phân loại chính xác → hữu ích trong điều tra APT, hỗ trợ SIEM.
• - Thuật toán nổi bật:
•   + RNN: xử lý chuỗi dữ liệu dài, học mối quan hệ phức tạp → xác định vị trí và loại tấn công.
•   + HMM: phân loại HTTP request dựa trên nhiều tiêu chí → giảm false positives.
• - DDoS: RNN có thể phân tích theo thời gian, vị trí, trình duyệt, cường độ traffic → phát hiện tấn công tinh vi.
• - Cảnh báo: Hacker cũng có thể dùng machine learning → cần chủ động phòng thủ.