非智能WAF,是时候转身离场了
开门见山,曾经红极一时,被安全市场广泛使用的非智能WAF(基于正则表达式的WAF)如今迎来了它黯然离场的时刻。身为一名安全研发人员,敢下这样的结论,当然要做到有理有据。
知己知彼,什么是WAF?
WAF=Web Application Firewall,web应用防火墙,简单来说就是在http协议层面对我们的数据包进行检测,如果发现了可能是带有攻击性的语句,就会进行拦截。
非智能WAF拦截防护的难言之隐
非智能WAF的防护机制是通过正则表达式的形式撰写拦截规则。对攻击者来说,一方面如果某些正则表达式被猜测出来,防御将形同虚设;另一方面,绕过方式不胜枚举,同时还隐藏未知威胁,防御性能大大降低,从而滋生各种安全风险以及不确定性:
存在大量误报,导致正常业务无法正常使用;
频繁更新规则,导致规则集臃肿、检测效率低下、安全运维成本增加;
无法拦截未知威胁,数据遭窃取、被破坏;
以上,是关于非智能WAF日薄西山、气息奄奄的论证。然而,加速它黯然离场的关键原因是:更强更好的替代者出现。它就是——智能安全引擎。
智能安全引擎,智能+安全双管齐下,是把数据和算法结合的安全系统数据分析平台。它以底层基础数据为支撑,通过智能算法和专家规则,实现左手计算学习,右手检测分析。那些非智能WAF无法做到的,它可以:
精确识别是正常业务还是恶意攻击请求,大大降低安全运维成本;
无需频繁更新规则,极简的智能算法,提升检出效率,防止黑客绕过,让未知威胁无所遁形,保护数据安全;
论点论据都有了,还有应用案例。举个栗子:以安恒云智能安全引擎为例,我们来围观智能安全引擎是如何秒杀非智能WAF的。
一
安恒云智能安全引擎全解析
1、模块组成
1)智能请求解析模块:包含启发式参数类型解析和启发式参数编码解码,能够根据请求类型自动解析请求包,根据参数自动解码
2)智能语法分析模块:依托原生态的语法语义实现,目前支持主流的语法类型的检测
3)智能威胁攻击拦截模块:通过基于AI的威胁检测算法,提高语法语义的准确度和拦截率
2、检测原理
对于经过智能安全引擎的数据流,首先会经过字符流的预处理,之后会进行词法分析,通过词法分析,nfa,dfa等技术转化成待检测信息流,再而通过语法树进行相关的语法分析,语义分析等一系列的检测逻辑实现智能识别语法语义的目的。
3、检测类型
目前的智能安全引擎支持检测包括但不限于例如多种OWSAP列出的典型漏洞威胁。
二
安恒云智能安全引擎全解析
安恒信息现已将智能安全引擎技术引入新版本玄武盾安全防护中,结合全维度数据,监测到新版本玄武盾安全防护能力在各方面均有大幅提升。
规则数量更精悍:规则总体数量方面能够减少38%左右,大大减少了开发人员对非智能正则表达式开发的依赖,大幅降低了运维成本。
检出率飞升:在部署了智能安全引擎的各节点中,最高检出占当前节点总拦截比例的55%,最低也将近20%,效果可见一斑。
误报率骤减:更为立竿见影的当属误报率和漏报率,对于SQL注入、XSS等类型的攻击,攻击特征和绕过方式千奇百怪,正常网站的请求也是五花八门,靠单一正则匹配,无异于是蠡酌管窥,引入智能安全引擎后,通过基于AI的威胁检测算法以及原生态的语法语义,根据生产环境实测,攻击的拦截率几乎可达99.99%,并且语义误报率几乎可以忽略。
智能安全引擎在安恒云玄武盾云防护中的应用是技术实现的第一步。通过对原子能力的持续打磨迭代,最新、最可靠的安全技术将被注入更多解决方案中,不断革新走在错综复杂的网络安全环境的最前方。
往期精选
围观
热文
热文