ArchSummit全球架构师峰会-《人工智能在WEB安全中的实践》-冯景辉

p工智能在WEB安全d的实践景辉百度安全l百度安全技术总监，百度商b安全o品总经理。安全行b11年老兵，国内第一家完全基kSaaS的l安全服务厂商安全宝的联合创始p兼研发副总反病毒企b瑞星公司担任高级软件工程师、研发经理等职务，带领团队在企b级安全o品线^先后开发j9200、9300等多款安全防护系统sModSecurity开始说起RuleREQUESTCOOKIESREQUESTCOOKIESutmREQUESTCOOKIESNAMESARGS_NAMES|ARGS|XML:/*"(?i:(?:(union(.*?)select(.*?)from)))"REVERSE(noinu)+REVERSE(tceles)绕过仍然无法避免un?+un/**/ion+se/**/lect+alyzer•关键词解析•语法规则•基本函数语g分析•S94补全•环境感知•注入检测•语g行e性除j5SS94，其tS94误报S94，而S94一旦通过语法分现典型的机器学i场景无监督学i典型的机器学i场景无监督学i机器学i初探别有监督学i648648征选取基k8aSILad的特征选择，征选取基k8aSILad的特征选择，、字符特征、甚至请求有监督学i有诸多常α算法、SV5、055、贝叶斯日志审计a回归当前有监督学i主要应α在离线日志分析d，快速发现样本机器学i初探征选取征选取SV5的典型问题结征选取SV5的典型问题结构风险最小，支持向量机-XSS检测应αU:4长度第三方域名c数合大规模数据集训练广泛采α的4iASV5，在最坏情况下复杂度e7K^2)(训练样本数平方)本质^a规则无异可u对抗基本变形，只是对原系统提供一定的宽容度需呀对原有系统提供一c离线检查<script>alert(0)</script> <script>alert(0)</script> 词词集/6gOaJ055055 符号字符字符…数字0%%V2V4隐含序列0n=256n=256n=256n=256s浅层学i走向深度神经网络0n=256n=256n=256n=256outputHiddenlayer1数字化特征Hiddenlayer2Hiddenlayer2identityn=256s浅层学i走向深度神经网络提取•U:4长度•特殊字符数量•S94关键字数量•U-•UKiLK•参数c数377900000000000011001100000011110000110000 一m奇怪的发现POST/index/index.php?_c=zip://d://KAS/WebSource/ueditor/php/upload/file/20170531/1496216087803962.zip#xxx&_m=captchacmd=echo"\n\n\n",system("dirC:");exit;%2527!=(hex(user())>0x23)%2523通过不断调整特征，对k变形a绕过有j神奇的抵抗能力，{是准确率却无法提升 b务行e特征访问行e特b务行e特征访问行e特征のp机识别α户身y特征报如果机器学i只做文本特征检测，不能称之ep工智能息b务行e特征访问行b务行e特征访问行e特征のp机识别α户身y特征报如果机器学i只做文本特征检测，不能称之ep工智能b务行e特征访问行b务行e特征访问行e特征のp机识别α户身y特征报如果机器学i只做文本特征检测，不能称之ep工智能T-2,-1,-4,-8UT-2,-1,-4,-4UT-1,-1,-4,-8UT-2,-1,-4,-8UT-2,-1,-4,-4UT-1,-1,-4,-8U无监督学i3-JDaKPS(o出α户行e分析-电商案例-81-0录-1-2-%-4-KTT-0,-1,-4,-8US)α户行e分析-难点b务抽象通过K-gOaJ算法，o生b务类，实现b务抽象SDPPiLKd所有b务向量化如}选择3值，还要考虑到的大多数α户都是正常b务因e无法识别异常类型，还需要p工r入和辅助模型识别5%有监督学i，有效降低规则维护工作量，