WAF之机器学习的区别

WAF之机器学习的区别从Gartner去年提供的数据来看，市面上提供WAF方案的厂商有很多，毕竟WAF依然是很多企业用户部署的必选项。但从WAF中的获利通常只占到安全企业营收的很小一部分；而随着传统WAF设备销售的滑坡，WAF市场正面临两大转折：第一，云WAF仍然在稳步增长，2017年云WAF全球增长量超过30%；第二，WAF市场开始出现各种探索方向——探索的主题是更复杂的分析能力，其中包括机器学习。安恒信息在其2021年被Gartner报告荣誉提及，并且其安恒信息新一代智能WAF也终于面世，新一代智能WAF采用先进的机器学习算法模型，对Web业务系统建立正常的业务数据模型，并通过持续学习保持模型更新，实现对异常流量的检测，由机器学习自主完成已知攻击、攻击检测和防御，并具备能感知未知威胁或误报漏报的能力，使用户脱离繁琐的规则维护工作。同样，腾讯云近期发布了全新AI引擎的网站管家（WAF），宣传点是AI引擎，“采用自研基于概率图的威胁AI技术”，“借助腾讯平台海量威胁攻击及正常访问的数据训练”“提升威胁AI识别能力”“保障防护可灵活适应不断变化的Web应用”。这本质上是对WAF产品突出重围的一种尝试。实际上，近些年将机器学习应用到WAF领域的国内厂商还有好几家。借着本次安恒信息WAF与腾讯云网站管家WAF之间的区别和探讨，我们也可以稍稍了解当前WAF市场的现状及方向，以及AI在其中起到的作用。WAF市场现状：WAF依然是目前抵御Web应用攻击的大头，大部分企业用户都部署了WAF。不过从市场反馈来看，越来越多的企业开始对WAF的准确性、抵御攻击的能力感到失望。许多企业应用也正变得越来越复杂。传统WAF要为这样的应用提供防护也变得越来越难。比如某些较新的Web服务协议（如JSON）处理起来比较直接，但需大量工程工作，在WAF引擎中增加所需的网络流量解码支持；提供服务功能的更多方法，也在改变应用工作的方式。更短的应用开发周期（Agile、DevOps）也限制了传统WAF的应用场景——传统WAF是需要攻击检测规则的调整才能实现精度提升的。每当应用或API变更（可能一天几更），WAF就需要测试调整，这无疑是相当增加负担的。这些都要求WAF厂商做出改变。WAF厂商面临的主要挑战包括：（一）传统WAF厂商针对非OWASPTop10攻击防护的响应很慢，尤其那些专注API和更复杂的攻击，比如证书填充、应用逻辑漏洞的利用。所以更为高级的一些应用架构和技术出现，比如aPaaS（applicationplatformasaservice）和fPaaS（functionPaaS）。（二）大量企业组织开始抛弃实体WAF设备，转而采用获取服务的方式：包括传统的托管服务、私有云、IaaS部署的虚拟设备，还有基于云的SaaS订阅方案。（三）在转向服务，如云WAF之后，越来越多的WAF厂商开始提供额外的解决方案——如应用层DDoS防护、BOT缓解，甚至还可能包括CDN之类的非安全功能Gartner将这种新生的融合方案称作WAAP。（四）很多供应商开始着力于WAF更为复杂的分析能力、自动化的调整机制。如某些厂商采用更为传统的人工威胁研究团队（典型如Akamai）；采用DAST（动态应用安全测试）工具来为WAF提供“虚拟补丁”——这也是当代WAF的一个常见方案了。安恒信息WAF与腾讯云WAF机器学习之区别：安恒信息WAF智能语义分析引擎：是新一代智能WAF语义分析引擎采用智能识别、分析研判、综合评估相结合的方式，对攻击行为进行检测、防御，内置包括SQL注入、XSS、Webshell在内的13种语义语法检测类型。显著提高0day检出率，降低误报率、漏报率。而腾讯云网站管家WAF也为了增加AI引擎做努力，从其功能实现来看，这是完全符合Gartner预测及市场预期的一款产品。腾讯云网站管家WAF采用“自研基于概率图的威胁AI技术”，相较基于语义学习的威胁AI技术，可以“提升威胁AI识别能力”。通过业务数据特征自动化生成基于业务的“个性化防护策略”，防止特殊业务访问数据误判问题。唯一的遗憾就是其功能不稳定，存在BUG风险。安恒信息新一代智能WAF与云端威胁情报联动，威胁情报数据实时更新，主动发现可疑访问行为，快速检测僵尸IP、扫描IP、肉鸡IP等恶意IP等对业务系统的可疑访问行为。帮助客户快速定位潜在威胁。而腾讯云网站管家WAF首先就是针对云做WAF功能。这一点是传统WAF所比不了的。有一个相同点需要说明一下，安恒信息的WAF与腾讯云的WAF都具备，就是WAFAI整体是异常检测模型+威胁识别模型。每个用户刚接入时是共享威胁识别模型的，异常检测模型需要用户流量进行训练学习——这是个辅助模型，如果没有该模型，则威胁识别模型也能工作。用户可以向AI模型提交误报和漏报，这时“会分化成客户自己的模型”。在具体的操作界面上，AI引擎部分，可以由用户手动添加误报和漏报的情况。WAF的理想境界应该是拥有完美的规则，既没有漏报也没有误报——尤其误报对企业而言会产生很大伤害。但完美WAF是不大可能的，其中一个重要原因就是每个应用都有其独特性，即便是采用通用框架（WordPress、SAPHybris等）也存在差异，比如cookies设定，还有基于不同配置或插件的无规律的输出。传统WAF不经任何调整就应用的话，误报和漏报率都会较高，因为它不能理解应用行为。随着在Web应用安全领域的持续深耕，对防护技术的不断钻研，安恒信息WAF和腾讯云WAF产品收获了各行业客户青睐的同时，也获得Gartner、Frost&Sullivan、IDC、赛可达实验室、安全牛等诸多权威机构的认证和荣誉。这些荣誉也将激励产品更好