2023 绿盟科技天枢实验室引入英特尔® 流量分析开发工具套件打造针对Web攻击的AI高性能检测方案 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所 创业板上市， 证券代码 ： 300369。 绿盟科技在国内设有 50 余个分支机构， 为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企 业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运 营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗 设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业 的中国品牌。 关于英特尔 英特尔（NASDAQ: INTC）作为行业引领者，创造改变世界的科技， 推动全球进步并让生活丰富多彩。在摩尔定律的启迪下，我们不断致力 于推进半导体设计与制造，帮助我们的客户应对最重大的挑战。通过将 智能融入云、网络、边缘和各种计算设备，我们释放数据潜能，助力商 业和社会变得更美好。如需了解英特尔创新的更多信息，请访问英特尔 中国新闻中心 newsroom.intel.cn 以及官方网站 intel.cn。 版权声明 为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经过 匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息，均 不会出现在本报告中。“在网络安全隐患日益凸显的大环境下，利用 AI技术综合提升 Web防护产品的防 御能力，来弥补传统规则匹配的 Web攻击缺陷已成为业内共识，但 AI引擎的加入也增 加了对性能的要求。为此，我们基于英特尔 TADK打造了针对 Web攻击的 AI高性能 检测方案。该方案具有较高检测准确率及泛化能力，为持续创新开发 Web防护产品提 供了宝贵经验。” 顾杜娟 主任研究员 绿盟科技天枢实验室CONTENTS执行摘要 001 1 背景与挑战：Web 防护解决方案需要借助人工智能来 提升效能 002 2 解决方案：基于英特尔 TADK，打造应对 Web 攻击 的 AI 高性能检测方案 005 3 方案价值与收益 009 4 展望 011 参考文献 013001 执行摘要执行摘要 近年来广受关注的 Web 防护产品，如 Web 应用程序和 API 保护平台 (WAAP) 等，能在 应用层⸺即开放式系统互联 (Open System Interconnection ，OSI) 模型的第七层提供针对 黑客攻击的有效方案。 但传统 Web 防护解决方案通常依靠规则引擎等方法来防御 Web 攻击， 而随着技术迭代速度的加快以及企业业务场景的变化，基于 Web 应用构建的业务场景具有越 来越高的复杂度，使基于规则构建的安全策略的缺陷日益凸显，迫使企业需要不断调整规则 来应对攻击者的挑战。然而，这不仅极为依赖专家资源，使运维成本居高不下，同时漏报率、 误报率等问题也不断攀升。 得益于人工智能 (Artificial Intelligence，AI) 技术的发展，结合 AI 技术来提升 Web 防护产 品的防御能力已逐渐成为业界共识。借助 AI 安全分析引擎对 Web 访问数据进行智能学习和 建模，能有效增强识别未知威胁的能力，提升 Web 防护产品的检测准确率。因应这一趋势， 绿盟科技集团股份有限公司 ( 以下简称“绿盟科技”) 天枢实验室基于数据智能安全的前沿研 究，不断探索将各类 AI 算法应用于包括 Web 防护产品在内的安全解决方案中。 为进一步提升融合 AI 分析引擎的 Web 防护产品的应用效能，并加速商用化落地，绿 盟科技天枢实验室与英特尔合作，基于英特尔 流量分析开发工具套件 (Traffic Analytics Development Kit，TADK) 打造针对 SQL 注入 (SQL Injection ，SQLI) 攻击、跨站脚本 (Cross Site Scripting ，XSS) 攻击的 AI 高性能检测方案。下述一系列测试结果表明，新方案中基于英 特尔 TADK 获得的 AI 模型有着良好的检测准确率[1]，并具有较高的泛化能力 (Generalization Ability)。01 背景与挑战：Web 防 护解决方案需要借助 人工智能来提升效能003 背景与挑战：Web 防护解决方案需要借助人工智能来提升效能各类 Web 应用，包括各类互联网站点、企业信息化系统等在为人们的日常生活、企业的 业务发展带来更多便利的同时，也正在成为黑客攻击的重要目标。攻击者利用形形色色的攻 击手段，诸如 SQL 注入攻击、 XSS 攻击等对用户的隐私、企业关键数据进行窃取或内容篡改， 不仅严重侵害用户利益，也对企业信息安全造成巨大危害。 为应对新型攻击，越来越多的企业与组织正将面向 Web 安全构建的高级 Web API 防护、 Web 应用安全防护等方案放在越来越重要的位置。而这些方案中，基于规则引擎、语义引擎 等方法的产品已在市场中获得了广泛的运用。 规则引擎是目前 Web 防护产品中识别和阻止已知攻击的常见检测方法，具有解释性好、 检出问题后有明确处置建议等优势。以业内 Web 应用防护系统为例，得益于所积累的大量静 态规则，系统可对风险特征、行为进行精准防护，具备较强的匹配能力。而当静态规则与基 于上下文的动态语义分析相结合时，还可基于规则对网络层、 HTTP 请求 / 应答中的已知威 胁进行检测，并对基于嵌套编码的攻击进行解码。通过词法、语法进行深层次分析，还可以 识别隐藏极深的威胁，弥补基于规则引擎的 Web 防攻击技术的不足。 随着 WEB 应用所涉及的技术方案不断迭代、业务流程日益复杂，且应用场景更为多样化， 其提供的安全保护也日益受到挑战。一方面，攻击者的攻击频次越来越高，攻击手段越来越 多变且日趋智能化；另一方面，规则引擎和语义分析与客户环境缺乏实时关联，使漏报、误 报的缺陷也逐渐凸显出来，甚至在 0day 漏洞防护时显得略为滞后。 AI 应用具备自主学习和自我更新的能力，能根据数据的迭代，通过不断学习来对模型参 数进行调整，实现自我更新进化。而在 Web 应用防护中，同样也可借助 AI 技术，以现网流 量数据来自我学习，理解应用的业务逻辑，从而为 Web 应用建立安全访问基线，成为阻断未 知 Web 威胁的有效方法。通过与规则引擎、语义引擎融合，形成联合防御机制，全新的 AI 安全分析引擎能有效提升 Web 防护产品的工作效能。 拥抱智能化趋势，包括绿盟科技在内的安全厂商积极探索在规则引擎与语义分析之上， 引入 AI 安全分析引擎来协同检测 Web 攻击，进而通过加持 AI 能力的 Web 防护产品为 Web 安全保驾护航。但随着各类 AI 安全分析引擎在 Web 防护产品中的运用越来越广泛，也带来 了新的挑战。在 AI 引擎对流量明细、条件参数等进行学习，进而输出算法模型，产生防护“智 慧”的过程中，会产生较大的性能开销。特别是在基于深度学习的 AI 引擎中，参数往往达到绿盟科技天枢实验室引入英特尔 流量分析开发工具 套件，打造针对 Web 攻击的 AI 高性能检测方案 004上万甚至上亿个，训练过程中有着大量张量运算。此时训练过程就会占用较高的处理器资源， 使训练过程十分漫长，需要进一步通过优化来提升性能。 为有效应对这一挑战，英特尔与绿盟科技天枢实验室一起展开深入合作，借助英特尔 TADK 内置的多个优势功能特性与能力引擎，并与其它 AI 加速技术和 AI 框架优化进行协同， 使基于深度学习方法构建的 AI 高性能检测方案提升了性能表现及检测能力，从而有力推动 AI 安全分析模型从实验室走进网络安全攻防实战。