有奖征文|投稿上云技术实践,赢取价值5000元大奖> HOT

功能简介

Web 应用防火墙当前有基于正则规则和语义规则两种主流检测手段,检测上也都有其固有的局限性,难以避免出现“漏判”和“误判”现象。腾讯云 Web 应用防火墙应用基于机器学习的 Web 攻击检测技术,通过 AI 引擎的自学习、自进化和自适应能力,最大限度减少误报,提高对已知和未知 Web 威胁的检测率和捕获率,并且灵活适应不断变化的 Web 应用。

配置案例

步骤1:AI 引擎模式设置

  1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > 基础安全,进入基础安全页面。
  2. 在基础安全页面,左上角选择需要防护的域名,单击 WEB 安全 > AI 引擎,进入 AI 引擎页面。
  3. 在 AI 引擎页面,将 AI 引擎模式设置为观察
  4. 攻击日志页面,单击“全部攻击类型下拉框”,选择 AI 引擎检出,可通过筛选条件,查看该类型的攻击日志。

步骤2:AI 在线验证

  1. 基础安全页面,左上角选择需要防护的域名,单击 WEB 安全 > AI 引擎,进入 AI 引擎页面。
  2. 在 AI 引擎页面的 AI 在线验证模块,单击前往验证,进入 AI 在线验证页面。
  3. 在 AI 在线验证页面,可对指定访问地址的 GET 参数、POST 参数和 HEADER 参数进行验证,下面以参数名称为“a” ,参数值为“1 and 1=1”为例进行说明,当正常的参数被 AI 引擎误报时,可单击 AI 误报处理,将该误报添加到误报列表。

步骤3:AI 误报处理

  1. 在 AI 引擎页面的 AI 误报处理模块,单击前往添加
  2. 在 AI 误报处理页面,查看添加的误报记录,或单击手动添加,填写相关参数,单击添加将误报添加到误报列表中。
  3. 在 AI 误报处理页面,选择所需规则,单击学习,AI 引擎会根据误报信息更新模型、优化算法。
    说明:

    AI 引擎学习提交的误报的 payload,从未学习状态到已学习状态需要一定时间,请耐心等待。

  4. 在 AI 引擎学习完提交的误报的 payload 之后,可在 AI 在线验证页面,再次验证该参数是否仍会误报。

步骤4:添加漏报

当攻击的载荷被 AI 引擎漏报时,单击 AI 漏报处理,将该漏报信息添加到漏报列表。
下面以参数名称为“a”,参数值为“admin^*$”为例进行说明。

步骤5:AI 漏报处理

  1. 在 AI 引擎页面的 AI 漏报处理模块,单击前往添加
  2. 在 AI 漏报处理页面,可查看添加的漏报记录,或单击手动添加,填写相关参数,单击添加将漏报添加到漏报列表中。
  3. 添加完成后,在状态栏中,单击学习,AI 引擎会根据漏报信息更新模型、优化算法。
    说明:

    AI 引擎学习提交的漏报的 payload,从未学习状态到已学习状态需要一定时间。

  4. 在 AI 引擎学习完提交的漏报 payload 之后,可在 AI 在线验证页面,再次验证该参数是否仍会漏报。

特别说明

  • 此 AI 引擎采用严格模式,防护等级最高。
  • 此 AI 引擎支持学习,既支持控制台主动的反馈学习,也支持后台被动的自主学习。
  • 建议先开启此 AI 引擎的观察模式一段时间(如20天),若直接开启拦截模式,可能会存在低概率的误报。
  • 此 AI 引擎与规则引擎为串联关系。当恶意请求被规则引擎拦截时,该恶意请求不再经过 AI 引擎检测。当恶意请求被规则引擎放行时,该恶意请求会再经过 AI 引擎检测并拦截。
  • 误报提交方式:在 AI 误报处理页面手动添加。
  • 漏报提交方式:在 AI 漏报处理页面手动添加。
  • 当确认提交的误报或漏报有误时,可在 AI 误报处理AI 漏报处理页面勾选有误的记录,单击删除,经过二次确认后,即可删除。
目录