AI 引擎

最近更新时间:2020-04-30 15:47:53

功能简介

Web 应用防火墙当前有基于正则规则和语义规则两种主流检测手段,检测上也都有其固有的局限性,难以避免出现“漏判”和“误判”现象。腾讯云 Web 应用防火墙应用基于机器学习的 Web 攻击检测技术,通过 AI 引擎的自学习、自进化和自适应能力,最大限度减少误报,提高对已知和未知 Web 威胁的检测率和捕获率,并且灵活适应不断变化的 Web 应用。

配置案例

  1. AI 引擎模式设置

    1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 应用防火墙】>【防护设置】,在域名列表中,单击需要防护的域名,进入防护设置页面,单击【基础设置】,将 AI 引擎模式设置为【观察】。
    2. 在左侧导航栏中,选择【日志服务】>【攻击日志】,进入在攻击日志页面,单击【日志查询】,由 AI 引擎检出的攻击,会在该页面有相关日志记录,攻击类型记录为“AI 引擎检出”,可通过筛选条件,查看该类型的攻击日志。
  2. AI 在线验证
    在左侧导航栏中,选择【Web 应用防火墙】>【AI 引擎】,进入 AI 引擎页面,单击【AI 在线验证】,在此页面可以对指定访问地址的 GET 参数、POST 参数和 HEADER 参数进行验证,下面以参数名称为“a” ,参数值为“1 and 1=1”为例进行说明,当正常的参数被 AI 引擎误报时,可单击【一键添加误报】,将该误报添加到误报列表。

  3. AI 误报处理
    在上方选项卡,单击【AI 误报处理】,可查看添加的误报记录,或通过手动添加,将误报添加到误报列表中。在状态栏中,单击【学习】,AI 引擎会根据误报信息更新模型、优化算法。

    注意:

    AI 引擎学习提交的误报的 payload,从未学习状态到已学习状态需要一定时间,请耐心等待。

    在 AI 引擎学习完提交的误报的 payload 之后,可在【AI 在线验证】页面,再次验证该参数是否仍会误报。

  4. 添加漏报
    当攻击的载荷被 AI 引擎漏报时,可单击【一键添加漏报】,将该漏报信息添加到漏报列表,下面以参数名称为“a”,参数值为“admin^*$”为例进行说明。

  5. AI 漏报处理
    在上方选项卡,单击【AI 漏报处理】,可查看添加的漏报记录,或通过手动添加,将漏报添加到漏报列表中。添加完成后,在状态栏中,单击【学习】,AI 引擎会根据漏报信息更新模型、优化算法。

    注意:

    AI 引擎学习提交的漏报的 payload,从未学习状态到已学习状态需要一定时间。

    在 AI 引擎学习完提交的漏报 payload 之后,可在【AI 在线验证】页面,再次验证该参数是否仍会漏报。

特别说明

  • 此 AI 引擎采用严格模式,防护等级最高。
  • 此 AI 引擎支持学习,既支持控制台主动的反馈学习,也支持后台被动的自主学习。
  • 建议先开启此 AI 引擎的观察模式一段时间(如20天),若直接开启拦截模式,可能会存在低概率的误报。
  • 此 AI 引擎与规则引擎为串联关系。当恶意请求被规则引擎拦截时,该恶意请求不再经过 AI 引擎检测。当恶意请求被规则引擎放行时,该恶意请求会再经过 AI 引擎检测并拦截。
  • 误报提交方式:
    1. 在【AI 误报处理】界面手动添加。
    2. 在【AI 在线验证】界面,确认验证的载荷为误报后,一键提交误报。
    3. 在左侧导航栏中,选择【【日志服务】>【攻击日志】,单击攻击类型为“AI 引擎检出”的日志,确认该攻击为误报后,在右侧操作栏,单击【详情】,进入操作页面,添加误报。
      注意:

      同一类型的误报攻击中,只需要添加该类攻击中的一条记录为误报即可。

  • 漏报提交方式:
    1. 在【AI 漏报处理】界面手动添加。
    2. 在【AI 在线验证】界面,确认验证的载荷为漏报后,一键提交漏报。
  • 当确认提交的误报或漏报有误时,可在【AI 误报处理】或【AI 漏报处理】页面勾选有误的记录,单击【删除】,进行删除操作。
目录