AI 引擎

最近更新时间:2019-06-03 17:40:13

功能简介

WAF 当前的主流检测手段有基于正则规则和基于语义规则两种,检测上也都有其固有的局限性,难以避免“漏判”和“误判”影响业务的问题。腾讯云 Web 应用防火墙(网站管家)率先应用基于机器学习的 Web 攻击检测技术,通过 AI 引擎的自学习、自进化和自适应能力,最大限度提高已知和未知 Web 威胁的检测率和捕获率,最大限度减少误报,并且灵活适应不断变化的 Web 应用。

特别说明:

  • 此 AI 引擎采用严格模式,防护等级最高。
  • 此 AI 引擎支持学习,既支持控制台主动的反馈学习,也支持后台被动的自主学习。
  • 建议先开启此 AI 引擎的观察模式一段时间(如 20 天),直接开启拦截模式,可能会存在低概率的误报。
  • 此 AI 引擎与规则引擎为串联关系。当恶意请求被规则引擎拦截时,该恶意请求不再经过 AI 引擎检测;当恶意请求被规则引擎放行时,该恶意请求会再经过 AI 引擎检测并拦截。
  • 误报提交方式:
    1. 在【AI 误报处理】界面手动添加。
    2. 在【AI 在线验证】界面,确认验证的载荷为误报后,一键提交误报。
    3. 在【攻击详情】中,单击攻击类型为“AI 引擎检出”的日志,并确认该攻击为误报后,添加误报。
      PS:同一类型的误报攻击中,只需要添加该类攻击中的一条记录为误报。
  • 漏报提交方式:
    1. 在【AI 漏报处理】界面手动添加。
    2. 在【AI 在线验证】界面,确认验证的载荷为漏报后,一键提交漏报。
  • 当确认提交的误报或漏报有误时,可在【AI 误报处理】或【AI 漏报处理】页面勾选有误的记录,单击【删除】按钮,进行删除操作。

配置案例

  1. 登录 Web 应用防火墙(网站管家)控制台,单击【Web 应用防火墙】>【防护设置】,单击防护的域名,进入基础设置页面,将 AI 引擎模式配置为【观察】。
    1

  2. 由 AI 引擎检出的攻击,在【攻击详情】页面会有相关日志记录,攻击类型记录为“AI 引擎检出”,可通过筛选条件,查看该类型的攻击日志。
    2

  3. 单击【AI 引擎】,此页面展示共三个选项:【AI 误报处理】、【AI 漏报处理】和【AI 在线验证】。
    3

  4. 单击【AI 在线验证】选项,在此页面可以对指定访问地址的 GET 参数、POST 参数和 HEADER 参数进行验证,下面以参数名称为“a” ,参数值为“1 and 1=1”为例。
    4
    当正常的参数被 AI 引擎误报时,可单击【一键添加误报】添加到误报列表,在【AI 误报处理】页面可查看添加的误报记录,单击【学习】按钮,AI 引擎会根据误报信息更新模型、优化算法。
    5

    注意
    AI 引擎学习提交的误报的 payload,从未学习状态到已学习状态需要一定时间。

    1. 未学习状态:
      6
    2. 学习中状态:
      7
    3. 已学习状态:
      8

在 AI 引擎学习完提交的误报的 payload 之后,可在【AI 在线验证】页面,再次验证该参数是否仍会误报。
9
5.当攻击的载荷被 AI 引擎漏报时,可单击【一键添加漏报】添加到漏报列表,在【AI 漏报处理】页面可查看添加的漏报记录,单击【学习】按钮,AI 引擎会根据误报信息更新模型、优化算法,下面以参数名称为“a”,参数值为“admin^*$”为例。
10
11

注意:
AI 引擎学习提交的漏报的 payload,从未学习状态到已学习状态需要一定时间。

在 AI 引擎学习完提交的漏报 payload 之后,可在【AI 在线验证】页面,再次验证该参数是否仍会漏报。