非智能WAF,是时候转身离场了

发布者:安恒云
发布于:2021-11-29 11:36

开门见山,曾经红极一时,被安全市场广泛使用的非智能WAF(基于正则表达式的waf)如今迎来了它黯然离场的时刻。

 

身为一名安全研发人员,敢下这样的结论,当然要做到有理有据。

一、知己知彼,什么是WAF?

Waf = Web Application Firewall ,web应用防火墙,简单来说就是在http协议层面对我们的数据包进行检测,如果发现了可能是带有攻击性的语句,就会进行拦截。

非智能WAF拦截防护的难言之隐

非智能WAF的防护机制是通过正则表达式的形式撰写拦截规则,对攻击者来说,一方面如果某些正则表达式被猜测出来,防御将形同虚设;另一方面,绕过方式不胜枚举,同时还隐藏未知威胁,防御性能大大降低,从而滋生各种安全风险以及不确定性:

Ø   存在大量误报,导致正常业务无法正常使用

Ø   频繁更新规则,导致规则集臃肿、检测效率低下、安全运维成本增加

Ø   无法拦截未知威胁,数据遭窃取、被破坏

 

以上,是关于非智能WAF日薄西山、气息奄奄的论证。然而,加速它黯然离场的关键原因是:更强更好的替代者出现。它就是——智能安全引擎。

 

智能安全引擎,智能+安全双管齐下,是把数据和算法结合的安全系统数据分析平台。它以底层基础数据为支撑,通过智能算法和专家规则,实现左手计算学习,右手检测分析。

 

那些非智能WAF无法做到的,它可以:

Ø   精确识别是正常业务还是恶意攻击请求,大大降低安全运维成本

Ø   无需频繁更新规则,极简的智能算法,提升检出效率,防止黑客绕过,让未知威胁无所遁形,保护数据安全。

 

论点论据都有了,还有应用案例。举个栗子:以安恒云智能安全引擎为例,我们来围观智能安全引擎是如何秒杀非智能WAF的。

二、安恒云智能安全引擎全解析

 1、模块组成

1)        智能请求解析模块:包含启发式参数类型解析和启发式参数编码解码,能够根据请求类型自动解析请求包 根据参数自动解码

2)        智能语法分析模块:依托原生态的语法语义实现,目前支持主流的语法类型的检测

3)        智能威胁攻击拦截模块:通过基于AI的威胁检测算法,提高语法语义的准确度和拦截率

2、检测原理

对于经过智能安全引擎的数据流,首先会经过字符流的预处理,之后会进行词法分析,通过词法分析,nfa,dfa等技术转化成待检测信息流,再而通过语法树进行相关的语法分析,语义分析等一系列的检测逻辑实现智能识别语法语义的目的。

3、检测类型

目前的智能安全引擎支持检测包括但不限于例如多种OWSAP列出的典型漏洞威胁

     

三、智能安全引擎的实践力

安恒信息现已将智能安全引擎技术引入新版本玄武盾安全防护中,结合全维度数据,监测到新版本玄武盾安全防护能力在各方面均有大幅提升。

规则数量更精悍:规则总体数量方面能够减少38%左右,大大减少了开发人员对非智能正则表达式开发的依赖,大幅降低了运维成本。

检出率飞升:在部署了智能安全引擎的各节点中,最高检出占当前节点总拦截比例的55%,最低也将近20%,效果可见一斑。

误报率骤减:更为立竿见影的当属误报率和漏报率,对于SQL注入、XSS等类型的攻击,攻击特征和绕过方式千奇百怪,正常网站的请求也是五花八门,靠单一正则匹配,无异于是蠡酌管窥,引入智能安全引擎后,通过基于AI的威胁检测算法以及原生态的语法语义,根据生产环境实测,攻击的拦截率几乎可达99.99%,并且语义误报率几乎可以忽略。

 

智能安全引擎在安恒云玄武盾云防护中的应用是技术实现的第一步。通过对原子能力的持续打磨迭代,将最新、最可靠的安全技术将被注入更多解决方案中,不断革新走在错综复杂的网络安全环境的最前方。



声明:该文观点仅代表作者本人,转载请注明来自看雪