<div dir="ltr">Hi Josh<div>Well, I don't want to get in deep theoretical discussions about AI :-) but let's remember that Bayesian networks is a 'little' different than Bayesian analysis alone. If you think ModSecurity can do all this for the competition then why not try it ;-)?</div>
<div><br></div><div>However, the challenges will come when unexpected attacks, where no historical data is present  are launched. The competition has the caliber of attacks based on DEFCON competitions and honestly , I think it requires a lot more thought to write the proposal and create an autonomous system able to resist attacks of this type than just go ahead with ModSecurity, ESAPI and AppSensor alone.</div>
<div><br></div><div>regards</div><div><br></div><div>Johanna</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Dec 6, 2013 at 6:06 PM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Johanna,<br><br>I don't want to get into an argument over semantics, but I politely disagree with your assertion that Bayesian analysis is "not exactly AI".  While there may be multiple forms that Artificial Intelligence can take, there is a wealth of knowledge on the use of Bayesian analysis for neural networks as you suggest dating back many many years.  Here is one such example:<br>

<br><a href="http://www.lce.hut.fi/publications/pdf/LampinenVehtari_NN2001_preprint.pdf" target="_blank">http://www.lce.hut.fi/publications/pdf/LampinenVehtari_NN2001_preprint.pdf</a><br><br></div>The whole point of Bayesian analysis is to make future predictions based on past data.  It is an autonomous learning algorithm and can most certainly be used for Artificial Intelligence.  I'm not sure how you can possibly argue otherwise.<br>

<br></div>As for the competition going beyond AppSec, I'm not sure, but the site does say:<br><br>During the competition, automatic systems would reason about software 
flaws, formulate patches and deploy them on a network in real time.<br><br></div>Perhaps I'm oversimplifying, but detection of software flaws and automated virtual patching is most certainly something that ModSecurity is capable of.<span class="HOEnZb"><font color="#888888"><br>

<br></font></span></div><span class="HOEnZb"><font color="#888888">~josh<br></font></span></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Dec 6, 2013 at 3:29 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Josh<br><div title="Page 6">
                        <div>
                                <div>
                                        <p><span style="font-size:12pt;font-family:Calibri">"The CGC competitions require a fully automated solution – no human assistance is permitted in
any cyber reasoning processes, including reverse engineering and patch formulation. </span></p><p><span style="font-family:Calibri;font-size:medium">Bayesian analysis is not exactly AI....</span></p><p><span style="font-family:Calibri;font-size:medium">"</span><span style="line-height:19px;font-size:13px;font-family:sans-serif">In </span><a href="http://en.wikipedia.org/wiki/Statistics" title="Statistics" style="font-size:13px;text-decoration:none;color:rgb(11,0,128);background-image:none;font-family:sans-serif;line-height:19px" target="_blank">statistics</a><span style="line-height:19px;font-size:13px;font-family:sans-serif">, </span><b style="line-height:19px;font-size:13px;font-family:sans-serif">Bayesian inference</b><span style="line-height:19px;font-size:13px;font-family:sans-serif"> is a method of </span><a href="http://en.wikipedia.org/wiki/Statistical_inference" title="Statistical inference" style="font-size:13px;text-decoration:none;color:rgb(11,0,128);background-image:none;font-family:sans-serif;line-height:19px" target="_blank">inference</a><span style="line-height:19px;font-size:13px;font-family:sans-serif"> in which </span><a href="http://en.wikipedia.org/wiki/Bayes%27_rule" title="Bayes' rule" style="font-size:13px;text-decoration:none;color:rgb(11,0,128);background-image:none;font-family:sans-serif;line-height:19px" target="_blank">Bayes' rule</a><span style="line-height:19px;font-size:13px;font-family:sans-serif"> is used to update the probability estimate for a hypothesis as additional </span><a href="http://en.wikipedia.org/wiki/Evidence" title="Evidence" style="font-size:13px;text-decoration:none;color:rgb(11,0,128);background-image:none;font-family:sans-serif;line-height:19px" target="_blank">evidence</a><span style="line-height:19px;font-size:13px;font-family:sans-serif"> is acquired. Bayesian updating is an important technique throughout statistics, and especially </span><font color="#000000" face="sans-serif"><span style="line-height:19px">in mathematical</span></font><a href="http://en.wikipedia.org/wiki/Mathematical_statistics" title="Mathematical statistics" style="font-size:13px;text-decoration:none;color:rgb(11,0,128);background-image:none;font-family:sans-serif;line-height:19px" target="_blank"> statistics</a>"</p>


<p><span style="font-family:Calibri;font-size:medium">I don't think that ESAPI and APPSENSOR are that far as described above, however I believe you can use part of that knowledge to construct this solution. Also the areas in the challenge go further than application security alone.</span></p>


<p><font face="Calibri" size="3">I believe you need Neural networks or some Prolog. I think that a combination of semantics for programming the rules and decisions (models) will be a possible approach.</font></p><p><font face="Calibri" size="3"><br>


</font></p><p><font face="Calibri" size="3">Regards</font></p><span><font color="#888888"><p><font face="Calibri" size="3"><br></font></p><p><font face="Calibri" size="3">Johanna</font></p>
                                </font></span></div>
                        </div>
                </div></div><div><div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Dec 6, 2013 at 5:19 PM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>Johanna,<br><br></div>Pick up a copy of Ryan Barnett's Web Application Defenders Cookbook and you'll start to realize just how close to AI it is.  Especially given it's ability to perform bayesian analysis and take automated action based on those results.  And if the application can be hooked with ESAPI and AppSensor, then you can do similar based on events at the code level as well.  Autonomous sounds like "AI" to me as well, but I'm pretty sure that toolset is capable with some forethought and minor modifications.<span><font color="#888888"><br>



<br></font></span></div><span><font color="#888888">~josh<br></font></span></div><div><div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Dec 6, 2013 at 3:13 PM, Tom Brennan - OWASP <span dir="ltr"><<a href="mailto:tomb@owasp.org" target="_blank">tomb@owasp.org</a>></span> wrote:<br>



<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Now we have the start of a party...</div><div><br></div><div><span><a href="http://www.darpa.mil/cybergrandchallenge/" target="_blank">http://www.darpa.mil/cybergrandchallenge/</a></span></div>



<div><div><div><br>On Dec 6, 2013, at 4:03 PM, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div>
<div dir="ltr">Well, not so fast , because ...<div title="Page 4">
                        <div>
                                <div>
                                        <p><span style="font-size:12pt;font-family:Calibri">"DARPA is soliciting
innovative proposals from teams that will develop and field<b> autonomous Cyber Reasoning
Systems</b> capable of comprehending and protecting software during a live exercise. Specifically
excluded is research that primarily results in evolutionary improvements to the existing state of
practice." </span></p><p><span style="font-family:Calibri;font-size:12pt">...</span><br></p><p><span style="font-family:Calibri;font-size:12pt">The DARPA Cyber Grand Challenge will utilize a series of competition events to test the abilities
of a new generation of fully automated cyber defense systems. During a final competition
event, automated Cyber Reasoning Systems will compete against each other in real time. This
event will be held in a public setting and documented for research purposes. </span><br></p><p><span style="font-size:12pt;font-family:Calibri"><br></span></p><p><span style="font-size:12pt;font-family:Calibri">This smells Artificial intelligence ...</span></p>





                                </div>
                        </div>
                </div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Dec 6, 2013 at 4:56 PM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br>




<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>ModSecurity + ESAPI + AppSensor.  Done.<br><br></div>~josh<br></div><div class="gmail_extra"><br><br>




<div class="gmail_quote"><div><div>On Fri, Dec 6, 2013 at 2:15 PM, Tom Brennan - OWASP <span dir="ltr"><<a href="mailto:tomb@owasp.org" target="_blank">tomb@owasp.org</a>></span> wrote:<br>
</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="auto"><a href="http://www.theregister.co.uk/2013/12/06/darpa_enlists_def_con_talent_for_2m_security_bugswatting_challenge" target="_blank">http://www.theregister.co.uk/2013/12/06/darpa_enlists_def_con_talent_for_2m_security_bugswatting_challenge</a><div>





<br></div><div>Interested?  </div><div><br></div><div>Now that AppSecUSA is over its time for the next OWASP mission focused project.   Add a 2M dollar bounty you got my attention - how about yours?</div><div><br></div></div>





<br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></blockquote></div></div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>