1月7日，長(zhǎng)亭科技語(yǔ)義分析3.0暨雷池30巡回發(fā)布會(huì)首站在北京舉行。

發(fā)布會(huì)上展示了長(zhǎng)亭語(yǔ)義分析技術(shù)的最新成果、雷池（SafeLine）全新升級(jí)30版本以及WAF的最佳實(shí)踐，體現(xiàn)了長(zhǎng)亭在網(wǎng)絡(luò)安全與人工智能技術(shù)融合應(yīng)用的全新突破。此外，IDC中國(guó)高級(jí)研究經(jīng)理趙衛(wèi)京以全球網(wǎng)絡(luò)安全技術(shù)熱點(diǎn)與趨勢(shì)為主題進(jìn)行了分享，為發(fā)布會(huì)提供了國(guó)際化視角。

一、語(yǔ)義分析3.0發(fā)布，語(yǔ)義分析本身具備代際性的優(yōu)勢(shì)

作為長(zhǎng)亭科技流量檢測(cè)類產(chǎn)品的核心技術(shù)，語(yǔ)義分析相對(duì)于傳統(tǒng)的基于規(guī)則、正則表達(dá)式的Web攻擊檢測(cè)技術(shù)而言，本身就具備代際上的優(yōu)勢(shì)。

長(zhǎng)亭科技CTO 劉金釗

在傳統(tǒng)的 Web攻擊檢測(cè)里，規(guī)則式的、正則表達(dá)式的檢測(cè)方法，只是在嘗試捕獲攻擊中的文本內(nèi)容上的特點(diǎn)，但這些特點(diǎn)并不能反映攻擊的本質(zhì)，是間接特征。而語(yǔ)義分析技術(shù)就像 DNA 技術(shù)一樣，準(zhǔn)確地捕捉到“攻擊”的本質(zhì)屬性：一段符合語(yǔ)法規(guī)則同時(shí)包含惡意語(yǔ)義的代碼片段。這也是語(yǔ)義分析能夠再次將檢測(cè)效果提升一個(gè)級(jí)別的根本原因。

從1.0到2.0：融合大模型

從2016年長(zhǎng)亭交付第一個(gè)語(yǔ)義分析引擎的商業(yè)化版本，至今總計(jì)進(jìn)行了接近萬(wàn)次的引擎迭代，總共實(shí)現(xiàn)了18種針對(duì)不同攻擊手段的檢測(cè)引擎。

2023 年，伴隨AI大模型的興起，長(zhǎng)亭創(chuàng)新地將語(yǔ)義分析技術(shù)與問(wèn)津（ChaitinAI）安全大模型相結(jié)合，迎來(lái)了語(yǔ)義分析技術(shù)的一次重大飛躍——語(yǔ)義分析2.0。這一版本中，語(yǔ)義分析引擎負(fù)責(zé)提取攻擊中的關(guān)鍵語(yǔ)義信息，為大模型理解Web攻擊的本質(zhì)和意圖提供了清晰的指引。此次融合，進(jìn)一步提升了語(yǔ)義分析對(duì)復(fù)雜網(wǎng)絡(luò)攻擊的檢測(cè)能力和解釋能力。

揭秘3.0：“AI+數(shù)據(jù)”驅(qū)動(dòng)新紀(jì)元

隱藏在語(yǔ)義分析引擎高準(zhǔn)確率、高性能后面的，是復(fù)雜的技術(shù)原理，每次改進(jìn)都需要謹(jǐn)慎權(quán)衡，迭代的難度和復(fù)雜性不斷加大。如何進(jìn)一步提升語(yǔ)義分析引擎的性能？

經(jīng)過(guò)反復(fù)驗(yàn)證，長(zhǎng)亭再一次從技術(shù)路線選擇中找到了革新的路徑，其核心原理是深度融合語(yǔ)義分析技術(shù)與機(jī)器學(xué)習(xí)技術(shù)，語(yǔ)義分析3.0由此誕生。

在新的引擎架構(gòu)中，語(yǔ)義分析不再直接輸出檢測(cè)結(jié)果，而是專注于提取請(qǐng)求中的攻擊特征，包括詞法、語(yǔ)法和語(yǔ)義層面的特征。這些強(qiáng)安全特征相對(duì)穩(wěn)定，減少了對(duì)引擎的維護(hù)需求。隨后，提取到的特征被送入多個(gè)AI模型進(jìn)行判定?；谶@些強(qiáng)特征，無(wú)需復(fù)雜龐大的深度神經(jīng)網(wǎng)絡(luò)模型，即能實(shí)現(xiàn)較高的判定準(zhǔn)確率。這樣的設(shè)計(jì)既保留了語(yǔ)義分析和機(jī)器學(xué)習(xí)兩者的優(yōu)點(diǎn)，同時(shí)又減少了各自的不足。

這種架構(gòu)下的新引擎具有顯著優(yōu)勢(shì)：

性能卓越：繼承了語(yǔ)義分析的速度優(yōu)勢(shì)，綜合性能達(dá)到當(dāng)前語(yǔ)義分析1.0引擎的90%以上，且實(shí)際引擎耗時(shí)占比小，對(duì)整體性能影響不明顯。

可解釋性強(qiáng)：強(qiáng)語(yǔ)法特征和語(yǔ)義特征結(jié)合可解釋模型，能以自然語(yǔ)言輸出對(duì)攻擊的解釋，提升了安全防護(hù)的透明度。

維護(hù)簡(jiǎn)便：減少了語(yǔ)義分析部分的維護(hù)頻率，通過(guò)優(yōu)化訓(xùn)練數(shù)據(jù)分布與質(zhì)量持續(xù)提升性能，降低了維護(hù)門檻和成本。

破局?jǐn)?shù)據(jù)挑戰(zhàn)：影子模式 + 群體標(biāo)注

有了優(yōu)秀的引擎架構(gòu)，距離多方位極致提升性能就只剩下一個(gè)問(wèn)題需要解決：高質(zhì)量的安全數(shù)據(jù)集。

在安全行業(yè)，獲取高質(zhì)量數(shù)據(jù)一直是個(gè)難題。與電商等行業(yè)不同，用戶訪問(wèn)網(wǎng)站的行為本身不提供安全標(biāo)簽，安全數(shù)據(jù)標(biāo)簽只能由安全專家從日志中標(biāo)注，導(dǎo)致有效標(biāo)記數(shù)量少。而AI模型性能依賴數(shù)據(jù)質(zhì)量，這給安全行業(yè)應(yīng)用AI技術(shù)帶來(lái)巨大挑戰(zhàn)。

為解決數(shù)據(jù)問(wèn)題，語(yǔ)義分析3.0借鑒自動(dòng)駕駛技術(shù)，采用影子模式和群體標(biāo)注。

影子模式下，在現(xiàn)有檢測(cè)引擎外增加影子引擎，當(dāng)影子引擎與主引擎判定結(jié)果不同時(shí)，保存相關(guān)樣本用于優(yōu)化引擎。

群體標(biāo)注則利用大量部署設(shè)備處理的業(yè)務(wù)數(shù)據(jù)，當(dāng)模型對(duì)特定攻擊載荷性能不佳時(shí)，從海量數(shù)據(jù)中找到相似數(shù)據(jù)進(jìn)行優(yōu)化，提升對(duì)特殊攻擊向量的檢測(cè)能力。

以上方法構(gòu)建了數(shù)據(jù)驅(qū)動(dòng)的引擎迭代流程：獲取數(shù)據(jù)后進(jìn)行手工標(biāo)注與擴(kuò)充，優(yōu)化樣本分布；用高質(zhì)量數(shù)據(jù)訓(xùn)練新模型并部署；運(yùn)行中持續(xù)觀察差異，再次擴(kuò)充數(shù)據(jù)和訓(xùn)練，循環(huán)往復(fù)，不斷提升檢測(cè)準(zhǔn)確性。

數(shù)據(jù)驅(qū)動(dòng)的迭代“引擎”最終讓語(yǔ)義分析3.0將檢測(cè)性能提升至又一個(gè)新的巔峰：

準(zhǔn)確率再提升：在驗(yàn)證數(shù)據(jù)集上，語(yǔ)義分析3.0成功將檢測(cè)準(zhǔn)確率從99.9%提升至99.99%，誤報(bào)和漏報(bào)比例大幅降低。

應(yīng)急響應(yīng)更迅速：以往處理引擎誤報(bào)和漏報(bào)可能需要3至7天，而現(xiàn)在通過(guò)數(shù)據(jù)驅(qū)動(dòng)的方法，理想情況下可縮短至2至8小時(shí)。只需分析樣本數(shù)據(jù)、識(shí)別錯(cuò)誤載荷、擴(kuò)增樣本并訓(xùn)練模型，就能快速得到新引擎，極大提高了應(yīng)急響應(yīng)速度。

模型微調(diào)更精準(zhǔn)：作為AI引擎，可針對(duì)特定業(yè)務(wù)場(chǎng)景進(jìn)行精細(xì)化調(diào)優(yōu)。通過(guò)模型微調(diào)，能提高對(duì)特定業(yè)務(wù)的適應(yīng)性，減少漏報(bào)和誤報(bào)，同時(shí)可存儲(chǔ)關(guān)鍵特征數(shù)據(jù)，便于管理且保護(hù)敏感信息。

未知威脅識(shí)別更強(qiáng)：語(yǔ)義分析3.0進(jìn)一步提升了對(duì)未知威脅（0-day）的識(shí)別能力。繼承了語(yǔ)義分析識(shí)別未知攻擊的優(yōu)勢(shì)，并借助 AI 模型更強(qiáng)大的學(xué)習(xí)和泛化能力，更有效地應(yīng)對(duì)新出現(xiàn)的網(wǎng)絡(luò)安全威脅。

二、雷池WAF重磅升級(jí)

在本次大會(huì)上，除了革新的語(yǔ)義分析3.0技術(shù)，長(zhǎng)亭科技還發(fā)布了全方位重大升級(jí)的雷池（SafeLine）下一代Web應(yīng)用防火墻30版本。本次升級(jí)聚焦“創(chuàng)新、智能、融合”三大特色，主要體現(xiàn)在以下三個(gè)方面：

• 安全核心引擎智能升級(jí)

• 模式融合與架構(gòu)升級(jí)

• WAAP方案融合升級(jí)

長(zhǎng)亭科技首席安全產(chǎn)品專家郭世超

安全核心引擎智能升級(jí)

首先，得益于語(yǔ)義分析技術(shù)3.0的躍遷，新版的雷池30在性能、檢測(cè)效果、用戶業(yè)務(wù)貼合度、應(yīng)急響應(yīng)速度、0day防護(hù)、運(yùn)營(yíng)體驗(yàn)六大方面都有了跨越式的提升。

同時(shí)，雷池30的另一項(xiàng)新技術(shù)突破——流式語(yǔ)義分析技術(shù)，攻克了多年困擾行業(yè)的“大包繞過(guò)”難題。這項(xiàng)技術(shù)的核心突破在于實(shí)現(xiàn)了數(shù)據(jù)分片流式接收技術(shù)、深度解碼?？煺占夹g(shù)、語(yǔ)義分析引擎可重入技術(shù)等多項(xiàng)創(chuàng)新，將協(xié)議解析、解碼和模式匹配改造為“邊接收、邊檢測(cè)、邊轉(zhuǎn)發(fā)”的流式檢測(cè)模式。不僅有效解決了“大包繞過(guò)”問(wèn)題，還在不犧牲檢測(cè)效果的前提下大幅降低了檢測(cè)延遲，為用戶提供更優(yōu)質(zhì)的業(yè)務(wù)體驗(yàn)。

此外，針對(duì)當(dāng)下流行的大模型應(yīng)答返回采用的 HTTP SSE (Server-Sent Events) 機(jī)制，雷池30應(yīng)用響應(yīng)流式檢測(cè)和語(yǔ)義緩存技術(shù)，能夠在不影響大模型應(yīng)答效果的同時(shí)，攔截或屏蔽敏感/違規(guī)信息，進(jìn)一步拓寬了雷池30在新興技術(shù)領(lǐng)域的安全防護(hù)能力。

模式融合與架構(gòu)升級(jí)

1、數(shù)據(jù)面引擎升級(jí)：XDP 賦能超強(qiáng)性能

雷池30在數(shù)據(jù)平面引擎上全面落地XDP技術(shù)，構(gòu)建了基于eBPF的網(wǎng)絡(luò)層協(xié)議棧。

(知識(shí)點(diǎn)小Tips：XDP全稱eXpress Data Path，即快速數(shù)據(jù)路徑，是Linux內(nèi)核提供的高性能、可編程的網(wǎng)絡(luò)數(shù)據(jù)包處理框架。XDP會(huì)直接接管網(wǎng)卡的RX方向數(shù)據(jù)包，通過(guò)在內(nèi)核運(yùn)行eBPF指令快速地處理報(bào)文并無(wú)縫對(duì)接內(nèi)核協(xié)議棧)

首先，XDP在技術(shù)層面具備高性能的技術(shù)優(yōu)勢(shì)，提供高性能數(shù)據(jù)包處理效率，核心吞吐量高達(dá)每秒2400 萬(wàn)包（Mpps），同時(shí)內(nèi)核態(tài)的屬性，能夠減少數(shù)據(jù)拷貝次數(shù)、降低系統(tǒng)調(diào)用開(kāi)銷、無(wú)需專用CPU，從而整體提升系統(tǒng)整體效率

其次，XDP的內(nèi)核態(tài)方案，不受制于上游廠商和社區(qū)提供支持，雷池30在安全自主可控上又前進(jìn)一大步。相比之下，基于DPDK的kernal-bypass 方案，其用戶態(tài)驅(qū)動(dòng)(PMD)對(duì)底層硬件進(jìn)行適配之后，才能正常工作或達(dá)到預(yù)期性能。這部分通常依賴上游硬件廠商和DPDK 社區(qū)的技術(shù)支持。

2、模式升級(jí)：擺脫硬件束縛，融合多樣場(chǎng)景

模式的升級(jí)使雷池30擺脫硬件依賴，實(shí)現(xiàn)軟硬件一體架構(gòu)，既滿足軟硬形態(tài)需求，同時(shí)上云無(wú)比友好，更符合云原生概念。

雷池30模式進(jìn)行了調(diào)整優(yōu)化：

• 透明橋和透明代理合并為統(tǒng)一透明模式，普通站點(diǎn)無(wú)需配置自動(dòng)防護(hù)，降低維護(hù)成本；

• 拆分出一個(gè)獨(dú)立的路由模式，極大增強(qiáng)了在路由場(chǎng)景的能力；

• 所有模式都可以同時(shí)支持軟/硬件形態(tài)；

• 支持在頁(yè)面上便捷熱切換模式，且提供一種 "專家模式形態(tài)", 在一臺(tái) WAF上同時(shí)使用四種模式；

• 復(fù)雜網(wǎng)絡(luò)模式同樣支持虛擬機(jī)安裝，滿足超融合、云內(nèi)特殊流量接入場(chǎng)景，擴(kuò)展了WAF的使用方式，為用戶提供了更靈活、多樣化的選擇。

3、底盤升級(jí)：統(tǒng)一管理，無(wú)縫適配

雷池自誕生起就基于Docker容器技術(shù)，在云原生環(huán)境下天然具有競(jìng)爭(zhēng)力，但雷池20版本在不同部署場(chǎng)景下存在架構(gòu)設(shè)計(jì)差異，導(dǎo)致用戶體驗(yàn)不一致。雷池30引入領(lǐng)域驅(qū)動(dòng)設(shè)計(jì)（DDD）思想并參考K8s的Operator 模式，對(duì)控制面核心配置域進(jìn)行全方位升級(jí)。

這一升級(jí)實(shí)現(xiàn)了跨場(chǎng)景的一致性體驗(yàn)，無(wú)論單機(jī)、云架構(gòu)，還是硬件集群與軟件集群混合使用，用戶操作與管理都能無(wú)縫銜接，靈活適配各種復(fù)雜業(yè)務(wù)場(chǎng)景，同時(shí)維護(hù)性與擴(kuò)展性得到顯著提升。在不增加額外成本的前提下，能夠更好地滿足復(fù)雜業(yè)務(wù)需求，確保在大規(guī)模、復(fù)雜場(chǎng)景下的可用性和可靠性，為用戶提供了更穩(wěn)定、高效的網(wǎng)絡(luò)安全管理解決方案。

WAAP方案升級(jí)：一體化防護(hù)，筑牢安全網(wǎng)

任意單一的安全防護(hù)功能孤島已無(wú)法滿足當(dāng)前復(fù)雜、動(dòng)態(tài)的業(yè)務(wù)安全需求，雷池30的WAAP有別于WAF、Bot防護(hù)、API安全、CC防護(hù)等功能的簡(jiǎn)單組合，而是通過(guò)模塊融合，實(shí)現(xiàn)了各個(gè)安全模塊的無(wú)縫協(xié)同，形成了一個(gè)高效、智能的安全防護(hù)體系。

長(zhǎng)亭科技副總裁周辛酉

例如，在API安全方面，雷池30通過(guò)語(yǔ)義分析引擎和API安全實(shí)現(xiàn)了正向循環(huán)。一方面，引擎的深度解碼和語(yǔ)義分析能力有助于提取更全面的請(qǐng)求信息，提高API敏感數(shù)據(jù)識(shí)別、用戶身份識(shí)別和風(fēng)險(xiǎn)檢測(cè)的準(zhǔn)確性；同時(shí)，API識(shí)別結(jié)果又能增強(qiáng)語(yǔ)義引擎的解碼性能，通過(guò)Schema 校驗(yàn)和API基線，實(shí)現(xiàn)對(duì)異常流量的精準(zhǔn)防護(hù)并降低誤報(bào)率。API安全還能提升其他模塊的智能化水平，利用機(jī)器學(xué)習(xí)分析API調(diào)用模式并建模，根據(jù)學(xué)習(xí)結(jié)果智能動(dòng)態(tài)調(diào)整Bot防護(hù)和CC防護(hù)的閾值策略，實(shí)時(shí)應(yīng)對(duì)新型攻擊。

此外，雷池30的WAAP方案除支持單機(jī)外，在軟硬件集群/云場(chǎng)景中也能靈活落地，為用戶提供靈活的方案能力選擇。

三、全球網(wǎng)絡(luò)安全技術(shù)熱點(diǎn)與趨勢(shì)

發(fā)布會(huì)上，IDC中國(guó)高級(jí)研究經(jīng)理趙衛(wèi)京還帶來(lái)了《全球網(wǎng)絡(luò)安全技術(shù)熱點(diǎn)與趨勢(shì)》的主題分享。他指出，在全球安全市場(chǎng)發(fā)展存在諸多不確定性的當(dāng)下，人工智能將加速網(wǎng)絡(luò)安全技術(shù)的創(chuàng)新與實(shí)踐。到2030年，AI將會(huì)累積帶來(lái)近20萬(wàn)億美元的經(jīng)濟(jì)收入。其中，GenAI也將推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)加速發(fā)展，更多的企業(yè)將更愿意使用GenAI應(yīng)用到組織中的安全應(yīng)用中，并在安全工具嵌入GenAI作為安全助手提升安全效率。在安全運(yùn)營(yíng)、應(yīng)用安全、數(shù)據(jù)安全、風(fēng)險(xiǎn)/暴露面管理、安全合規(guī)等安全領(lǐng)域中，GenAI均有很多應(yīng)用方向和空間。

趙衛(wèi)京表示，在應(yīng)用安全方向，更多的企業(yè)愿意廣泛采用Web應(yīng)用防護(hù)方案，WAF作為基礎(chǔ)方案是客戶的首選。同時(shí)，主要包括WAF、API安全、DDoS緩解、Bot管理等能力的WAAP解決方案也引起了很多客戶的興趣。

IDC中國(guó)高級(jí)研究經(jīng)理 趙衛(wèi)京

長(zhǎng)亭科技自成立以來(lái)，在業(yè)界有公認(rèn)的兩大標(biāo)簽。一是在實(shí)戰(zhàn)攻防領(lǐng)域表現(xiàn)卓越，二是作為一家以技術(shù)驅(qū)動(dòng)的智能安全公司備受矚目。此次語(yǔ)義分析3.0的發(fā)布是長(zhǎng)亭擁抱AI時(shí)代的新一代檢測(cè)技術(shù)、在智能安全的方向上繼續(xù)推動(dòng)行業(yè)變革的又一里程碑。未來(lái)，長(zhǎng)亭將秉持“知攻善防、智能安全”的理念，持續(xù)推動(dòng)從應(yīng)用層、到網(wǎng)絡(luò)架構(gòu)層、再到內(nèi)核協(xié)議棧的各個(gè)層面的全棧安全創(chuàng)新。