① 语义分析WAF能把误报和漏报同时做到双低吗?
对于传统WAF来说,“低漏报”和“低误报”,可以说是个“拆东墙补西墙”的两难困境。即如果正则表达式过于宽松,则会导致漏报;如果正则表达式过于严格,则会导致误报。
传统WAF因过于依赖粗糙的匹配规则而容易产生误报(错误地阻止合法请求)和漏报(未能检测到真正的威胁)。语义分析引擎通过理解请求的具体语义,可以更准确地区分恶意流量和正常流量,从而提高安全性能的同时减少误操作。
② 0day漏洞的防御依然是安全事件的重中之重!
传统WAF由于依赖于规则更新,在新的或未知的攻击类型面前,如0day攻击,通常反应不够及时。在新攻击模式被识别并添加到规则库之前,这些系统可能无法提供有效的保护。
语义分析引擎用机器学习等技术,可以不断学习正常和异常的网络行为,自动适应新的威胁环境。这样的系统能更快地识别出异常行为,即使这些行为是首次出现。
抛开双低先不谈,我们先来从几个方面来看看有哪些原因促进了安全厂商对语义分析引擎的开发投入
① 检测覆盖度越来越广
客户的业务系统在不断更新升级,使用的组件和基础设施在变化,比如PHP7写的业务升级到了PHP8,那对应的安全检测引擎也必须更新,才能检测到更多类型的攻击。
② 网络攻击越来越复杂
传统的基于签名的安全机制难以应对如零日攻击(Zero-day attacks)、高级持续威胁(APT)等新型威胁。这促使厂商开发能够进行深入内容理解的语义分析引擎,以更有效地识别和防御这些复杂攻击。
③ 合规性和法规要求
随着数据保护法律和规定的实施完善,如《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《网络数据安全管理条例(征求意见稿)》等,企业需要确保他们的网络安全措施能够有效保护用户数据不被非法访问或滥用。这增加了对高级语义分析技术的需求,以确保遵守这些法律法规。
④ 人工智能和机器学习的技术进步
AI和ML技术的发展为语义分析提供了新的可能性。通过利用这些技术,语义分析引擎可以从历史数据中学习,实时适应新的攻击模式和行为,提高检测的精确性和效率。
通过对 HTTP 的载荷内容进行深度解码后,按照其语言类型匹配相应语法编译器,进而匹配威胁模型得到威胁评级,阻断或允许访问请求。
以SQL注入检测为例:
首先对所有进入Web应用的HTTP请求进行捕获、解码和规范化。然后,通过词法和语法分析,分解并检查请求中的数据元素,以识别是否符合SQL命令的语法结构。接着,进行语义分析,判断输入的意图和上下文,检查输入是否试图执行未授权的数据库操作。此外,WAF还应用机器学习模型,这些模型基于大量正常和恶意数据训练,能够识别并预测SQL注入的行为模式。
对于安全运营来说,语义分析的下一步发展预计将聚焦于利用先进的机器学习技术,特别是深度学习,来增强威胁检测和响应的智能化和自动化水平。这将包括更精细的行为分析、异常检测以及自动化的响应策略,从而能够更快速和准确地识别复杂的攻击模式,并其对于语义特征的提取等价值,能够帮助我们进一步识别攻击背后的意图,让整个安全运营更有价值。同时,发展更可解释的AI模型也将是关键,以便安全团队能够验证和信任系统的决策过程,从而更有效地防御先进的网络威胁,并应对日益严峻的网络安全挑战。这种技术的进步将大幅提升安全运营中心(SOC)的操作效率和防御能力。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/58593.html
