如何将AI落地云WAF，云安全干货分享

2018年6月23日，由IT趣学社主办的“架构和运维技术高峰论坛”在上海举行。本次论坛以运维技术体系为核心，设置了《安全实践&白帽Live专场》，邀请了业内最顶级的技术大咖做专题分享。上海云盾作为新一代云安全服务商，其CTO胡金涌获邀参加本次论坛。此次演讲吸引了众多技术同行，现场反响热烈，主办方更是临时加场让更多参会者能汲取干货。

此次分享主题为《用AI重新定义云WAF》，这是第一次公开详解云安全——智能云WAF的打造过程，提供了AI技术落地实践经验，与现场观众共同探讨人工智能在安全领域中的更多可能性。

智能云WAF颠覆传统不足

传统WAF多采用正则表达式集合作为核心引擎，需要人工维护规则以应对已知威胁，对未知威胁无防护能力。同时，由于正则表达式的局限性以及 PHP 、 Shell 语言的灵活多变性，传统WAF极易被绕过或误触发，存在严重的漏报误报情况。显然传统WAF已无法应对日益严峻的WEB安全形势，急需AI技术赋予WAF未知威胁检测、业务安全防护、黑客攻击追溯的高级智能分析能力。上海云盾基于海量攻击特征打造出的新一代企业级云WAF产品，能为客户WEB应用提供入侵、篡改、漏洞、WebShell、业务安全等类型的防护。云WAF通过大数据行为模型对黑客进行全网追溯，让攻击可感知、可防御、可追溯、可推演。

智能云WAF框架打造

本次论坛中，胡金涌分享了利用大数据技术和机器学习赋能的智能云WAF防护架构。该架构通过平台内外威胁情报大数据和智能分析模型，配合安全专家团队，能协同防御、毫秒级检测防御攻击行为。

利用平台大数据挖掘分析和机器学习能力，云WAF每日通过对数亿条数据进行安全分析，不断丰富防御规则、IP信誉、设备指纹，同步下发到全网安全节点，扩展防御能力。同时，WAF规则运营平台捕获0day漏洞并生成防护规则，24h内防护，全球同步。通过大数据聚类分析构建黑客画像，可绘制出黑客攻击关联网络、攻击发起地、攻击链路、攻击手法、擅长攻击手段和活跃度，形成清晰的黑客画像和完备的黑客档案。通过构建高性能WAF架构，颠覆了单点、被动式防御弊端。

神经网络模型训练

目前人工智能的应用多是针对特定场景的识别问题， 如大家广泛知晓的面部识别软件、人机对弈。安全防御本质上也是在特定场景下识别恶意请求，利用AI技术在安全领域的研究和尝试，上海云盾也有了一定成果。 此次论坛中详细讲解了将AI应用到WAF的基本过程，以及在Webshell、 SQL 注入检测中的落地流程和防御效果。

以上过程是WAF神经网络模型的核心训练流程。上海云盾研究了大量不同业务场景下的WEB攻击行为，根据请求特征进行多维度建模，并通过特定场景下的海量正负样本数据和机器学习能力对模型进行训练、调优，形成贴合实际场景的智能WAF。

将以上模型应用到Webshell、SQL注入检测等web攻击场景后，云WAF检测速度、准确率、全面度得到了极大地提升，并且拥有对未知威胁的检测能力;结合企业业务场景数据学习和训练，配合设备指纹技术，云WAF可精准防御业务威胁。总体而言，AI 从性能、智能两方面 重新定义了云WAF。

智能云WAF只是上海云盾安全防御体系中的一个模块，我们正在将AI技术全面应用到网络安全空间上，打造YUNDUN安全智脑驱动的防御体系，全方位应对日益复杂的黑客攻击。