不按常理出牌的瑞数信息

既然黑客不会循规蹈矩，为什么瑞数信息要按常理出牌。

简单的说，防黑客- 瑞数信息就是一家“不靠”规则的企业。有规则就容易被捕捉利用，有规则就意味着呆板繁复，而“不靠”规则和特征库防攻击既是一项技术能力，也是一种产品理念，特征库可以不必着急实时更新调优，零日攻击也不再那么令人寝食难安。

再识瑞数已不止于前

初识瑞数信息，从“动态安全”开始。既然网络威胁始终处于动态变化，则必须由动态安全予以应对。由此，动态封装、动态验证、动态混淆、动态令牌等等，都成为瑞数信息无二的技术特征。

再识瑞数信息，已不止于前，其向业内宣布“me two”，而不是“me too”。瑞数信息推出全球首款双引擎动态WAF（Web应用防火墙）——瑞数灵动RiverSafeplus。“该款产品延续了瑞数信息一贯的动态安全的技术思维，采用‘动态安全引擎’+‘AI智能威胁检测引擎’，突破了传统WAF被动受制、防护能力呆板、运营维护成本高等应用弊端。”瑞数信息首席战略官马蔚彦说。

没人进行精确统计，但中国推出WAF设备的企业就有百家以上，几乎所有的大中型用户也购买了WAF。同时，《Garter2018年WAF魔力象限报告》也较为准确地描述了WAF市场。全球WAF市场容量高达8.5亿美元，亚太地区增长率为13.5%，超过全球11.9%的增长率，而中国WAF市场更是以14%~15%的速度逐年增长。企业Web应用最有效的技术中，WAF已处于首位（占73％）。

“中国菜刀”不再锋利

但传统WAF设备真的有效吗？中肯的评价，其殚精竭虑，但又力不从心。Web应用除了要应对OWASP TOP10稳居前列的SQL注入、跨站脚本XSS、认证和Webshell木马上传等传统攻击，还要应对大量新兴安全威胁及漏洞，例如Bots攻击、API数据泄露、零日漏洞等。

这些新兴安全威胁可以轻松绕过传统验证码的人机识别技术，也使传统WAF的防护瓶颈愈加凸显。以“中国菜刀”为例，这是一种相当简洁的“一句话木马”，“中国菜刀”有非常明显的特征字符，传统WAF设备可以通过特征匹配进行防御，但黑客也看过《风声》、《暗算》等影视剧，通过动态加密技术，“一句话木马”可以轻松通过安检，原有特征字符被加密隐藏，传统WAF设备也因此无可奈何。

传统WAF类似的漏洞还有很多，例如只能通过阻拦扫描手法实现隐藏漏洞的目的，但却无法隐藏网页目录结构；只能通过规则更新阻拦零日漏洞，过于滞后和被动；只能通过信誉库、黑名单、限频规则设定等手段防御应用DDoS；只能通过策略规则识别和阻拦OWASP Top10 Web安全威胁，误报多，运维工作量大。

“me two”而不是“me too”

聚焦瑞数信息的WAF技术思路。动态安全一直是瑞数信息独特的技术标签，其将动态安全技术，融合于WAF产品中，推出区别于传统思维的双引擎动态WAF。具体分析工作机理，通过“动态安全引擎”即可区分机器发起的自动化流量，例如扫描探测、零日漏洞探测、应用层DDoS/CC攻击等，而手工威胁，则通过“AI智能威胁检测引擎”进行检测。

其中，“动态安全引擎”基于动态令牌和动态验证技术，最为体现瑞数信息此前的技术积累。其实现原理是，工作在客户端和应用服务器之间，自动化攻击不可能拿到引擎发布的动态令牌，以及验证脚本，即使鸡鸣狗盗之徒妄想窃符救赵，通过伪造客户端环境、伪造令牌的方式绕过追踪，伪造的“虎符”也不可能通过应用服务器的校验验证。

而“AI智能威胁检测引擎”则基于大数据分析技术，对客户端到服务器端所有的请求日志进行全访问记录，并利用机器学习进行深度行为分析。通过智能规则匹配，持续监控并分析流量行为，从而深入检测威胁攻击。

真的“me too”吗？

具体来看，瑞数灵动RiverSafeplus具备五大功能：

覆盖OWASPTOP10 Web安全威胁防御；

隐藏漏洞防扫描；

无需规则防零日攻击；

防应用层DDos；

精准追踪溯源。

或许单从纸面描述上述功能，传统WAF产品可能也会说“me too”，但具体区别可见下图：

以零日攻击为例，传统WAF产品事前无法设定规则和防护策略，零日漏洞公布后需要等待补丁，或者升级规则，而“空窗期”正可被黑客利用。瑞数灵动River Safeplus的工作原理则完全不同，动态安全引擎不基于规则，也不依赖于提取特征，只要其识别进行探测的是工具，而非人的正常访问，即可判为异常行为，攻击程序也将无法执行。

再以应用层DDoS攻击为例，不夸张的说，目前互联网上只有三种人：男人、女人、机器人。某大型网站每天访问量达到1.5亿次，机器人发起的异常率达到99.8%，网站正常访问响应时间由此超过10秒。也可以说，应用层DDoS攻击，类似银行挤兑现象，通常每天会遭受1000万个不同的IP地址的同时攻击。对此，马蔚彦表示，传统WAF应对DDoS攻击，主要通过信誉库、恶意IP黑名单，限制访问频率等手段，但应用多源低频DDoS攻击，依然被动无效。“而瑞数灵动River Safeplus无需信誉库更新和规则调整，能够给客户带来更安全的防护保障。”

最后说一句，瑞数灵动RiverSafeplus将首先应用于中小企业市场，这也将与此前瑞数信息的动态安全解决方案，形成梯次分布的企业布局。“而双引擎动态WAF，运维成本更低、防护效率更高等特点，正将满足中小企业用户的业务需求。”马蔚彦说。

完