Análise Exploratória de Criação de Regras do WAF ModSecurity Utilizando Cinco LLMs Distintos
Resumo
Este trabalho apresenta uma análise exploratória da aplicação de cinco Large Language Models (LLMs) contemporâneos: OpenAI GPT-4o, DeepSeek-Chat, Google Gemini 2.5 Pro, Claude Sonnet 3.7 e Meta LLaMA 4, no processo de criação de regras para o ModSecurity. A partir da interação de dois profissionais não especialistas na ferramenta, coautores deste estudo, demonstra-se a viabilidade de gerar regras funcionais para o ModSecurity com o apoio das LLMs, por meio do refinamento iterativo de prompts, conforme evidenciado em dois cenários distintos de ataque.Referências
Babaey, V. and Ravindran, A. (2025). Gensqli: A generative artificial intelligence framework for automatically securing web application firewalls against structured query language injection attacks. Future Internet, 17(1).
eWWEK (2025). 9 Melhores Modelos de Linguagem Ampla (2025) para sua Pilha de Tecnologia. [link]. Acessado em 29 de Julho de 2025.
Hemmati, M. and Hadavi, M. A. (2021). Using deep reinforcement learning to evade web application firewalls. In 18th ISCISC, pages 35–41. IEEE.
Kraemer, S., Carayon, P., and Duggan, R. (2004). Red team performance for improved computer security. In Proceedings of the Human Factors and Ergonomics Society Annual Meeting, volume 48, pages 1605–1609.
Montaruli, B., Floris, G., Scano, C., Demetrio, L., Valenza, A., Compagna, L., Ariu, D., Piras, L., Balzarotti, D., and Biggio, B. (2024). Modsec-advlearn: Countering adversarial sql injections with robust machine learning.
Pałka, D. and Zachara, M. (2011). Learning web application firewall-benefits and caveats. In International Conference on Availability, Reliability, and Security. Springer.
Scano, C., Floris, G., Montaruli, B., Demetrio, L., Valenza, A., Compagna, L., Ariu, D., Piras, L., Balzarotti, D., and Biggio, B. (2024). Modsec-learn: Boosting modsecurity with machine learning. In International Symposium on Distributed Computing and Artificial Intelligence, pages 23–33. Springer.
Schulhoff, S., Ilie, M., Balepur, N., Kahadze, K., Liu, A., Si, C., Li, Y., Gupta, A., Han, H., Schulhoff, S., et al. (2024). The prompt report: a systematic survey of prompt engineering techniques. arXiv preprint arXiv:2406.06608.
TI Inside (2025). Investimentos em cibersegurança no brasil. Relatório técnico, TI Inside Research. Acessado em: 16 mai. 2025.
Tukey, J. W. (1977). Exploratory Data Analysis. Addison-Wesley, Reading, Massachusetts.
Vahid Babaey, A. R. (2025). GenXSS: an AI-Driven Framework for Automated Detection of XSS Attacks in WAFs. [link].
eWWEK (2025). 9 Melhores Modelos de Linguagem Ampla (2025) para sua Pilha de Tecnologia. [link]. Acessado em 29 de Julho de 2025.
Hemmati, M. and Hadavi, M. A. (2021). Using deep reinforcement learning to evade web application firewalls. In 18th ISCISC, pages 35–41. IEEE.
Kraemer, S., Carayon, P., and Duggan, R. (2004). Red team performance for improved computer security. In Proceedings of the Human Factors and Ergonomics Society Annual Meeting, volume 48, pages 1605–1609.
Montaruli, B., Floris, G., Scano, C., Demetrio, L., Valenza, A., Compagna, L., Ariu, D., Piras, L., Balzarotti, D., and Biggio, B. (2024). Modsec-advlearn: Countering adversarial sql injections with robust machine learning.
Pałka, D. and Zachara, M. (2011). Learning web application firewall-benefits and caveats. In International Conference on Availability, Reliability, and Security. Springer.
Scano, C., Floris, G., Montaruli, B., Demetrio, L., Valenza, A., Compagna, L., Ariu, D., Piras, L., Balzarotti, D., and Biggio, B. (2024). Modsec-learn: Boosting modsecurity with machine learning. In International Symposium on Distributed Computing and Artificial Intelligence, pages 23–33. Springer.
Schulhoff, S., Ilie, M., Balepur, N., Kahadze, K., Liu, A., Si, C., Li, Y., Gupta, A., Han, H., Schulhoff, S., et al. (2024). The prompt report: a systematic survey of prompt engineering techniques. arXiv preprint arXiv:2406.06608.
TI Inside (2025). Investimentos em cibersegurança no brasil. Relatório técnico, TI Inside Research. Acessado em: 16 mai. 2025.
Tukey, J. W. (1977). Exploratory Data Analysis. Addison-Wesley, Reading, Massachusetts.
Vahid Babaey, A. R. (2025). GenXSS: an AI-Driven Framework for Automated Detection of XSS Attacks in WAFs. [link].
Publicado
01/09/2025
Como Citar
MORAIS, Tiago W.; QUINCOZES, Silvio E.; KREUTZ, Diego; KAZIENKO, Juliano F.; QUINCOZES, Vagner E..
Análise Exploratória de Criação de Regras do WAF ModSecurity Utilizando Cinco LLMs Distintos. In: SIMPÓSIO BRASILEIRO DE CIBERSEGURANÇA (SBSEG), 25. , 2025, Foz do Iguaçu/PR.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2025
.
p. 963-970.
DOI: https://doi.org/10.5753/sbseg.2025.11419.
