什么是语义分析引擎WAF

语义分析引擎WAF
当下,Web 应用防火墙大多采用规则匹配方式来识别和阻断攻击流量,但由于 Web 攻击成本低、方式复杂多样、高危漏洞不定期爆发等原因,管理者们在安全运维工作中不得不持续调整防护规则,以保障业务的可用性和安全性。尽管如此,每天依然面临着不少的误报和漏报,影响正常业务运转甚至导致 Web 服务失陷。究其原因,是由于基于规则匹配的攻击识别方法存在先天不足导致的。在乔姆斯基文法体系中,编写匹配规则的正则文法属于 3 型文法,而用于构造攻击 Payload 的程序语言属于 2 型文法,如下图所示:

做语义分析引擎的初衷

① 语义分析WAF能把误报和漏报同时做到双低吗?

对于传统WAF来说,“低漏报”和“低误报”,可以说是个“拆东墙补西墙”的两难困境。即如果正则表达式过于宽松,则会导致漏报;如果正则表达式过于严格,则会导致误报。

传统WAF因过于依赖粗糙的匹配规则而容易产生误报(错误地阻止合法请求)和漏报(未能检测到真正的威胁)。语义分析引擎通过理解请求的具体语义,可以更准确地区分恶意流量和正常流量,从而提高安全性能的同时减少误操作。

② 0day漏洞的防御依然是安全事件的重中之重!

传统WAF由于依赖于规则更新,在新的或未知的攻击类型面前,如0day攻击,通常反应不够及时。在新攻击模式被识别并添加到规则库之前,这些系统可能无法提供有效的保护。

语义分析引擎用机器学习等技术,可以不断学习正常和异常的网络行为,自动适应新的威胁环境。这样的系统能更快地识别出异常行为,即使这些行为是首次出现。

语义分析引擎的作用

抛开双低先不谈,我们先来从几个方面来看看有哪些原因促进了安全厂商对语义分析引擎的开发投入

① 检测覆盖度越来越广

客户的业务系统在不断更新升级,使用的组件和基础设施在变化,比如PHP7写的业务升级到了PHP8,那对应的安全检测引擎也必须更新,才能检测到更多类型的攻击。

 

② 网络攻击越来越复杂

传统的基于签名的安全机制难以应对如零日攻击(Zero-day attacks)、高级持续威胁(APT)等新型威胁。这促使厂商开发能够进行深入内容理解的语义分析引擎,以更有效地识别和防御这些复杂攻击。

 

③ 合规性和法规要求

随着数据保护法律和规定的实施完善,如《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《网络数据安全管理条例(征求意见稿)》等,企业需要确保他们的网络安全措施能够有效保护用户数据不被非法访问或滥用。这增加了对高级语义分析技术的需求,以确保遵守这些法律法规。

 

④ 人工智能和机器学习的技术进步

AI和ML技术的发展为语义分析提供了新的可能性。通过利用这些技术,语义分析引擎可以从历史数据中学习,实时适应新的攻击模式和行为,提高检测的精确性和效率。

语义分析引擎原理
以长亭科技雷池SafeLine产品进行原理刨析

 

通过对 HTTP 的载荷内容进行深度解码后,按照其语言类型匹配相应语法编译器,进而匹配威胁模型得到威胁评级,阻断或允许访问请求。

以SQL注入检测为例:

首先对所有进入Web应用的HTTP请求进行捕获、解码和规范化。然后,通过词法和语法分析,分解并检查请求中的数据元素,以识别是否符合SQL命令的语法结构。接着,进行语义分析,判断输入的意图和上下文,检查输入是否试图执行未授权的数据库操作。此外,WAF还应用机器学习模型,这些模型基于大量正常和恶意数据训练,能够识别并预测SQL注入的行为模式。

语义分析下一步的发展在哪里

对于安全运营来说,语义分析的下一步发展预计将聚焦于利用先进的机器学习技术,特别是深度学习,来增强威胁检测和响应的智能化和自动化水平。这将包括更精细的行为分析、异常检测以及自动化的响应策略,从而能够更快速和准确地识别复杂的攻击模式,并其对于语义特征的提取等价值,能够帮助我们进一步识别攻击背后的意图,让整个安全运营更有价值。同时,发展更可解释的AI模型也将是关键,以便安全团队能够验证和信任系统的决策过程,从而更有效地防御先进的网络威胁,并应对日益严峻的网络安全挑战。这种技术的进步将大幅提升安全运营中心(SOC)的操作效率和防御能力。

 

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/58593.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年5月16日 上午12:27
下一篇 2024年5月16日 上午12:31

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注