非智慧WAF，是時候轉身離場了

開門見山，曾經紅極一時，被安全市場廣泛使用的非智慧WAF（基於正規表示式的waf）如今迎來了它黯然離場的時刻。

身為一名安全研發人員，敢下這樣的結論，當然要做到有理有據。

一、知己知彼，什麼是WAF？

Waf = Web Application Firewall ，web應用防火牆，簡單來說就是在http協議層面對我們的資料包進行檢測，如果發現了可能是帶有攻擊性的語句，就會進行攔截。

非智慧WAF攔截防護的難言之隱

非智慧WAF的防護機制是透過正規表示式的形式撰寫攔截規則，對攻擊者來說，一方面如果某些正規表示式被猜測出來，防禦將形同虛設；另一方面，繞過方式不勝列舉，同時還隱藏未知威脅，防禦效能大大降低，從而滋生各種安全風險以及不確定性：

Ø   存在大量誤報，導致正常業務無法正常使用

Ø   頻繁更新規則，導致規則集臃腫、檢測效率低下、安全運維成本增加

Ø   無法攔截未知威脅，資料遭竊取、被破壞

以上，是關於非智慧WAF日薄西山、氣息奄奄的論證。然而，加速它黯然離場的關鍵原因是：更強更好的替代者出現。它就是——智慧安全引擎。

智慧安全引擎，智慧+安全雙管齊下，是把資料和演算法結合的安全系統資料分析平臺。它以底層基礎資料為支撐，透過智慧演算法和專家規則，實現左手計算學習，右手檢測分析。

那些非智慧WAF無法做到的，它可以：

Ø   精確識別是正常業務還是惡意攻擊請求，大大降低安全運維成本

Ø   無需頻繁更新規則，極簡的智慧演算法，提升檢出效率，防止駭客繞過，讓未知威脅無所遁形，保護資料安全。

論點論據都有了，還有應用案例。舉個栗子：以安恆雲智慧安全引擎為例，我們來圍觀智慧安全引擎是如何秒殺非智慧WAF的。

二、安恆雲智慧安全引擎全解析

 1、模組組成

1)        智慧請求解析模組：包含啟發式引數型別解析和啟發式引數編碼解碼，能夠根據請求型別自動解析請求包 根據引數自動解碼

2)        智慧語法分析模組：依託原生態的語法語義實現，目前支援主流的語法型別的檢測

3)        智慧威脅攻擊攔截模組：透過基於AI的威脅檢測演算法，提高語法語義的準確度和攔截率

2、檢測原理

對於經過智慧安全引擎的資料流，首先會經過字元流的預處理，之後會進行詞法分析，透過詞法分析，nfa，dfa等技術轉化成待檢測資訊流，再而透過語法樹進行相關的語法分析，語義分析等一系列的檢測邏輯實現智慧識別語法語義的目的。

3、檢測型別

目前的智慧安全引擎支援檢測包括但不限於例如多種OWSAP列出的典型漏洞威脅

三、智慧安全引擎的實踐力

安恆資訊現已將智慧安全引擎技術引入新版本玄武盾安全防護中，結合全維度資料，監測到新版本玄武盾安全防護能力在各方面均有大幅提升。

規則數量更精悍：規則總體數量方面能夠減少38%左右，大大減少了開發人員對非智慧正規表示式開發的依賴，大幅降低了運維成本。

檢出率飛昇：在部署了智慧安全引擎的各節點中，最高檢出佔當前節點總攔截比例的55%，最低也將近20%，效果可見一斑。

誤報率驟減：更為立竿見影的當屬誤報率和漏報率，對於SQL隱碼攻擊、XSS等型別的攻擊，攻擊特徵和繞過方式千奇百怪，正常網站的請求也是五花八門，靠單一正則匹配，無異於是蠡酌管窺，引入智慧安全引擎後，透過基於AI的威脅檢測演算法以及原生態的語法語義，根據生產環境實測，攻擊的攔截率幾乎可達99.99%，並且語義誤報率幾乎可以忽略。

智慧安全引擎在安恆雲玄武盾雲防護中的應用是技術實現的第一步。透過對原子能力的持續打磨迭代，將最新、最可靠的安全技術將被注入更多解決方案中，不斷革新走在錯綜複雜的網路安全環境的最前方。