近年來，Web應(yīng)用已成攻擊者首要目標(biāo)。根據(jù)Gartner調(diào)查顯示，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用層而非網(wǎng)絡(luò)層面上，2/3的Web站點都相當(dāng)脆弱，易受攻擊。

作為一種成熟的安全產(chǎn)品品類，WAF能夠基于規(guī)則和特征為Web應(yīng)用提供各種安全規(guī)則，并通過不斷維護(hù)規(guī)則庫，對Web應(yīng)用進(jìn)行保護(hù)。

然而，隨著攻防水平的不斷升級，這一套傳統(tǒng)的防御體系正在被打破。

傳統(tǒng)WAF可以“被繞過”

由于傳統(tǒng)WAF基于規(guī)則構(gòu)建安全策略，只要針對Web服務(wù)器、Web應(yīng)用對協(xié)議解析、字符解析、文件名解析、編碼解析以及SQL語法解析的差異進(jìn)行變形，就可能達(dá)到繞過WAF的效果。

傳統(tǒng)WAF無法對新型的攻擊進(jìn)行有效的識別和阻斷

目前市面上大多數(shù)的WAF都是基于規(guī)則匹配的，但規(guī)則的更新往往是滯后于攻擊發(fā)生，例如：0 day漏洞攻擊，沒有預(yù)配置的規(guī)則，只能在漏洞披露后，依據(jù)漏洞特征建立防護(hù)規(guī)則。再比如，利用海量IP地址池的多源低頻攻擊，使得限頻限IP的規(guī)則失效。

傳統(tǒng)WAF對于邏輯漏洞的防御捉襟見肘

傳統(tǒng)WAF對攻擊的識別來自于已經(jīng)設(shè)定好的規(guī)則庫，對于看似“正?！钡臉I(yè)務(wù)邏輯漏洞卻無能為力。例如越權(quán)操作，入侵者可以用低權(quán)限賬號登陸系統(tǒng)后，通過攔截并修改用戶參數(shù)，以達(dá)到查看或者修改其它權(quán)限賬號的目的，而傳統(tǒng)WAF并不能識別這一看似正常的操作。

可以看到，傳統(tǒng)WAF技術(shù)存在較大的局限性，已不再適應(yīng)當(dāng)下復(fù)雜的網(wǎng)絡(luò)攻擊形勢，因此WAF技術(shù)的革新成為必然。

瑞數(shù)下一代WAF - WAAP平臺：三大引擎全面升級應(yīng)用安全防護(hù)

瑞數(shù)下一代WAF - WAAP平臺提供全面的Bot防護(hù)、DDoS防御、API保護(hù)等功能，而基于“動態(tài)安全引擎”+ “智能威脅檢測引擎”+“規(guī)則引擎”三大引擎的核心技術(shù)則進(jìn)一步升級為更高效全面的應(yīng)用防護(hù)能力，在提供傳統(tǒng)Web安全防御能力的同時，更能將威脅提前止于攻擊的漏洞探測和踩點階段，輕松應(yīng)對新興和快速變化的Bots攻擊、0day攻擊和應(yīng)用DDoS攻擊，幫助用戶打造覆蓋Web、APP、云和API資產(chǎn)等應(yīng)用的主動防護(hù)體系。

三大引擎之一：動態(tài)安全引擎  

基于瑞數(shù)信息獨創(chuàng)的動態(tài)安全技術(shù)，內(nèi)置的動態(tài)安全引擎會對當(dāng)前頁面內(nèi)的合法請求地址授予一定時間內(nèi)有效的動態(tài)令牌，阻攔沒有令牌的非法請求；并且通過在頁面中隨機(jī)自動插入動態(tài)驗證腳本，實現(xiàn)對訪問客戶端的人機(jī)識別，從而識別腳本、程序等Bots自動化攻擊行為，同時保障應(yīng)用邏輯的正確運行。

采用動態(tài)安全引擎的主動式防護(hù)技術(shù)，可以在無規(guī)則升級的情況下對Web 已知漏洞的探測攻擊、0-day探測進(jìn)行有效阻斷，防范于攻擊之前。同時，對無明顯惡意特征的模擬操作行為的Bot自動化威脅能有效甄別，實時攔截，無懼Bot工具手法的變化。

三大引擎之二：智能威脅檢測引擎  

內(nèi)置的智能威脅檢測引擎，擁有業(yè)界領(lǐng)先的AI模型檢測技術(shù)，無需復(fù)雜配置，自動防護(hù)已知和未知威脅。具體而言，智能威脅檢測引擎是基于AI機(jī)器學(xué)習(xí)算法，使用數(shù)百萬的業(yè)務(wù)樣本和攻擊樣本來建立智能威脅檢測模型，同時當(dāng)有新的數(shù)據(jù)樣本后，可以很快訓(xùn)練生成新的智能模型并應(yīng)用到防護(hù)中。在“動態(tài)安全引擎”對各類Bots威脅高效攔截之外，在深度威脅行為的識別上更加智能和針對性。從技術(shù)上看主要包含四個方向：

業(yè)務(wù)流量自學(xué)習(xí)技術(shù) –業(yè)務(wù)異常智能識別

建立正常業(yè)務(wù)流量模型，自動發(fā)現(xiàn)訪問行為的偏差；持續(xù)學(xué)習(xí)保持模型更新，實現(xiàn)對異常流量的檢測；還具備復(fù)雜字符集的學(xué)習(xí)能力，可以應(yīng)對各類復(fù)雜的業(yè)務(wù)場景，從而提供精細(xì)和智能的業(yè)務(wù)防御能力。

語義分析技術(shù) - 惡意代碼精準(zhǔn)分析

采用詞法分析、語法解析、威脅語義評分機(jī)制對攻擊行為進(jìn)行檢測、防御，針對實際業(yè)務(wù)接近于零誤報；同時對于一些通過編碼混淆而繞過規(guī)則的攻擊代碼，也能有效防護(hù)，顯著提高0day檢出率，降低誤報率、漏報率。

行為分析技術(shù)- 多應(yīng)用異常訪問監(jiān)控

通過對客戶端到服務(wù)器端所有的請求日志進(jìn)行全訪問記錄，并利用機(jī)器學(xué)習(xí)進(jìn)行深度行為分析，智能規(guī)則匹配，持續(xù)監(jiān)控并分析Web、App、API訪問行為，從而深入檢測攻擊和異常的訪問操作，精準(zhǔn)追蹤溯源。

Webshell檢測技術(shù)- 針對性智能檢測

基于AI檢測Webshell，即通過大量的訓(xùn)練樣本，針對不同特點數(shù)據(jù)構(gòu)建適宜的算法模型，自動學(xué)習(xí)數(shù)據(jù)內(nèi)在特征和聯(lián)系，通過瑞數(shù)專家經(jīng)驗訓(xùn)練調(diào)參以達(dá)到最優(yōu)效果。 AI檢測能克服傳統(tǒng)Webshell檢測方式的單一性和滯后性，對新型變種具備一定的識別效果，同時能很好處理通過加密編碼等繞過靜態(tài)檢測的Webshell。

在剛剛結(jié)束的“第三屆中國人工智能大賽”中，瑞數(shù)信息AI團(tuán)隊在Webshell檢測識別方向，憑借檢出評價、誤報評價、效果測試三個方面均為第一名的好成績，勇奪大賽網(wǎng)絡(luò)安全方向A級冠軍，足見瑞數(shù)信息過硬的AI安全技術(shù)實力。

三大引擎之三：規(guī)則引擎

內(nèi)置豐富特征規(guī)則庫，全面覆蓋OWASP TOP 10攻擊場景，包括注入攻擊防護(hù)、跨站腳本攻擊防護(hù)、Webshell防護(hù)、文件上傳下載攻擊防護(hù)、跨站請求偽造防護(hù)、敏感信息過濾等。同時，規(guī)則庫支持離線升級和在線自動更新。作為Web應(yīng)用安全防護(hù)最基礎(chǔ)的規(guī)則引擎，豐富的特征庫是覆蓋應(yīng)用威脅類型最為全面，應(yīng)對手動攻擊基礎(chǔ)而高效的技術(shù)。

內(nèi)置的三大引擎在能力上互補(bǔ)，引擎中的技術(shù)在Web、App、API等多應(yīng)用訪問中依據(jù)各自特點發(fā)揮作用。其中，“動態(tài)引擎”在很大程度上阻攔了Bot自動化工具的攻擊，而“AI智能威脅檢測引擎”+“規(guī)則引擎”則針對人工滲透攻擊以及在威脅識別智能化、針對性和精細(xì)度上做了很好的補(bǔ)充。同時，三大引擎也可以獨立使用，通過無規(guī)則和輕規(guī)則的更新和調(diào)優(yōu)，可以適配不同企業(yè)用戶的業(yè)務(wù)場景。

實現(xiàn)應(yīng)用安全一體化防御 降低安全運維成本

對于企業(yè)用戶而言，通過瑞數(shù)下一代WAF - WAAP平臺既可以應(yīng)對已知攻擊威脅，同時也有多種防護(hù)手段應(yīng)對未知威脅攻擊，以極低的資源消耗就能防止人機(jī)攻擊行為、保障多類型的應(yīng)用安全，讓企業(yè)的安全運維成本大幅降低。

目前，瑞數(shù)下一代WAF - WAAP平臺已廣泛應(yīng)用在運營商、金融、政府、教育、醫(yī)院、企業(yè)客戶中，幫助政企機(jī)構(gòu)真正實現(xiàn)網(wǎng)站/APP/小程序/API的安全防護(hù)，有效抗擊黑產(chǎn)，降低其安全風(fēng)險和經(jīng)濟(jì)損失。

同時，瑞數(shù)信息參與了多次攻防實戰(zhàn)演練、進(jìn)博會保障、建國70周年保障等國家級網(wǎng)絡(luò)安全重保工作，在近兩年的攻防實戰(zhàn)演練中參與了30多家國家重要部門、大型銀行的防守工作，其下一代WAF產(chǎn)品在實戰(zhàn)演練中取得了良好的成績，因而被用戶贊譽(yù)為“重保神器”。