网站首页

”面对当今日益严重的安全威胁，越来越多的人放弃了“银弹”思维，不指望任何灵丹妙药能解决所有的安全问题。相反，他们非常务实，“每天取得1%的进步”，不会梦想有一天突然达到完美状态。

RSA总裁在今年会议上的新言论正在各种安全场景中得到验证。在CSS2018腾讯安全探索论坛(TSec)现场，腾讯安全云顶实验室高级安全研究员刘绍东分享了“AIWAF以新的方式、更智能、更安全”。他凭借对机器学习技术的深入理解和在网站上对人工智能应用保护系统的创新实践，获得了2018年腾讯安全探索论坛科技奖。刘绍东在分享话题中说，基于悲观主义设计的AIWAF从一开始就不能保护所有网站数据的安全。它需要采用严格的标准模型来不断学习满足用户业务的安全边界。然而，它具有更友好、更安全的结构设计和防御效果，正成为未来网站防御的发展方向。

(刘绍东，腾讯安全云顶实验室高级安全研究员)

乐观的防御意识:理想化的防御规则导致虚警和疏漏的困境

在网站保护过程中，安全从业者一直致力于制定合理的规则来划定安全边界，以防止恶意请求。刘绍东在分享中说，“我们希望这个边界和网络服务的理想安全边界会越来越重合，这样在边界之外的攻击也会被抵抗，但实际上安全边界并不那么理想。”当WAF的安全边界大于Web服务的理想安全边界时，将会出现假阴性恶意请求。然而，当WAF安全边界只能覆盖一些理想的网络服务安全边界时，误报和漏报将同时发生。

乐观防御意识认为，分析攻击后制定的规则或语义可以应用于不同的业务场景，实现有效的防御。然而，它经常适得其反。尽管在这种意识下制定的防御策略和战术能够抵抗常见的攻击，但它们对不同应用场景下的实际操作和维护的适应性有限。这种策略通常由WAF制造商主导，简单地分为三个层次:宽松、标准和严格。用户在有限的模式中选择最合适的模式。在实际使用中，用户通常选择误报最少的模式。与此同时，出现了大量用户无法察觉的假阴性。

此外，在不同用户之间共享统一的规则和语义不能实现对用户业务特征的有效防御。电子商务、论坛等。在处理业务时将采用不同的负载设计和框架，他们业务的变化也会给WAF带来困难和挑战。

值得一提的是，随着漏洞的迅速增加，规则的数量也在增加。然而，新规则需要考虑它们是否能够组合或适应现有规则，并且大量规则导致高维护成本。

悲观设计理念:AIWAF自学、自我进化和持续训练引擎

随着恶意请求数量呈指数级增长，乐观主义影响下的防御策略不再能抵御网站攻击。网站安全人员基于悲观主义开始设计AIWAF，即WAF从一开始就不能保护所有网站数据的安全。它需要采用严格的标准模型来不断学习满足用户业务的安全边界。

在AIWAF实践中，在数据收集和数据旁路中的数据清理之后，通过WAF节点在异常检测模型训练器和威胁检测模型训练器中训练外部请求。同时，在线服务通过异常模型和威胁模型链接，并支持动态反馈机制，即请求通过训练器后动态更新到模型中，然后检测新的请求。

其中，异常检测结合了专家知识和无监督的隐马尔可夫模型进行检测。该模块不是必要的模块，允许一定程度的灵活性，并且倾向于设计为具有低的遗漏报告倾向和高的误报倾向。即使有一定的虚警，后续的威胁检测模块也会进行二次检测。其中，隐马尔可夫模型借鉴了许多行业的技巧实践，如采用更合适的k-means进行学习和训练，以及在设计隐马尔可夫模型的许多参数时采用一些启发式策略使模型更加精确。

威胁检测模块结合了智能解码、分词、特征工程/单词矢量化和分类器等实用技能。对向量机、CNN和LSTM的检测结果进行了深入评价，三种分类器都取得了很好的效果。在工业应用场景中，选择向量机作为分类器，延迟控制在0.2毫秒至1.3毫秒

在网站请求的重复异常检测和威胁检测之后，主动和被动学习机制消除了误报。与此同时，安全团队继续学习和纠正假阴性。最后，WAF的安全边界逐渐符合Web服务的理想安全边界。

机器学习是大势所趋:腾讯网站管事对恶意样本的检测率已升至98.77%

当面临新型变形攻击的挑战时，规则很容易被绕过，语义检测无法准确分析它们的语义。人工智能智能引擎具有泛化能力，在处理这类问题上具有明显的优势。

刘绍东在发言中提到，29000个OWASP网络攻击样本的基准测试表明，人工智能引擎的检测率绝对领先。规则+语义检测方法可以检测到84.89%的恶意负载样本，而腾讯网站管理员使用人工智能引擎实现了恶意样本检测率的质的飞跃，大大提高到98.77%。

更值得一提的是，尽管AIWAF最初采用了一个标准模型，但在对不同用户的业务给予积极反馈后，它将形成自己独特的模型。例如，一旦引擎接收到攻击假警报，它将把它提交给模型进行更新学习，然后它将不会把它确定为攻击。这种方法比关闭规则和网址粉饰更友好，并且不会引入新的安全风险。

关于WAF的发展问题，刘绍东说，WAF机器学习已经成为技术发展的大趋势。其先进的分析技术不仅能覆盖常规的专家规则，还能适应更复杂的专家经验和知识。未来，云计算的灵活性、大数据的信息处理能力和安全威胁情报共享的多点防御将进一步提升和增强网络安全能力。

这篇文章是由网站管理员的用户提交的。未经网站管理员同意，严禁复制。例如，如果大多数用户在稿件中发现虚假报告，欢迎读者反馈、纠正和报告问题(反馈入口)。

免责声明:本文是对用户的贡献。站长之家发布这篇文章只是为了传达信息。这并不意味着站长之家同意其观点，不对内容的真实性负责，仅供用户参考，不构成任何投资或使用建议。读者被要求核实真实性和可能的风险，任何后果将由读者自己承担。

• 上一篇：东芝企业存储亮相杭州人居云大会，描绘数字中国蓝图
• 下一篇：仪陇贷款王思聪坚持金融精准扶贫第一线