阿里雲安全研究成果入選人工智慧頂級會議 IJCAI 2019， 業界首次用AI解決又一難題！

8月10日至8月16日，國際人工智慧組織聯合會議IJCAI 2019（International Joint Conference on Artificial Intelligence 2019）在中國澳門召開。 阿里雲4篇AI研究論文在諸多論文中脫穎而出，其中一篇被主論壇收錄，三篇被AIBS Workshop 收錄。論文深入解析了AI技術在網路安全、資料安全和內容安全領域研究成果和場景化應用，展示了阿里雲安全在智慧安全領域的領導性。

自1969年首次在華盛頓特區舉辦以來，IJCAI已成為人工智慧領域最重要的頂級學術會議之一。每年被IJCAI成功收錄的論文均是AI領域最前沿的研究成果。今年IJCAI主論壇的論文收錄率僅為17.9%，比去年收錄率更低。阿里雲被主論壇收錄的論文《Locate Then Detect：Web Attack Detection via Attention-based Deep Neural Networks》， 首次解決了深度學習在Web攻擊檢測領域的結果可解釋性問題，具有前所未有的創新意義，證明阿里雲在安全AI技術的學術研究和應用方面業界領先。

《Locate Then Detect：Web Attack Detection via Attention-based Deep Neural Networks》（Tianlong Liu, Yu Qi, Liang Shi, Jianan Yan），即基於注意力機制的深度神經網路在Web攻擊檢測中的應用。

該論文提出了一種全新的兩段式Web攻擊檢測框架，稱之為Locate-Then-Detect（LTD）。LTD模型結合了Object Detection和注意力機制的思想，創造性的提出了PLN（Payload Locating Network 攻擊載荷靶向定位網路）與PCN（Payload Classification Network 攻擊載荷分類網路），透過兩個深度神經網路的結合，可以準確的定位惡意攻擊所在的位置，並對其型別進行精準識別。PLN用來定位攻擊向量的可疑位置，PCN再對識別出的可疑向量進行分類，透過靶位識別網路的提取能力，能夠使得檢測系統更加關注真正有害的攻擊，從而規避掉整個請求內容中正常部分對模型預測結果的影響。

LTD首次解決了深度學習在Web攻擊檢測領域的結果可解釋性問題（透過Payload的靶向定位實現），同時在與其他傳統方式的對比中，LTD也表現出超過了基於規則、符號特徵和傳統機器學習方法的效果。目前， LTD檢測框架已透過AI核心的形式實際應用阿里雲Web應用防火牆產品當中，透過AI核心的加持，為雲上客戶提供實時的智慧防護，保障雲上使用者安全。

被AIBS Workshop Paper（Artificial Intelligence for Business Security）收錄另外三篇論文主題均聚焦在AI技術在雲安全的最新研究成果和應用，分別為《Multi-strategy Integration Architecture for Pornographic Web Site Detection》、《Insider Threat-Data Exfiltration Detection using Node2Vec in Instant Message》、《Webshell Detection with Attention-Based Opcode Sequence Classification》。

《Multi-strategy Integration Architecture for Pornographic Web Site Detection》（Yu Pang），即基於多策略融合風險檢測模型。

隨著網際網路的不斷髮展，違禁風險內容也不斷增加，如暴力、種族歧視等，因此，必須建立一個功能強大的能夠識別和遮蔽該類風險的檢測模型。該論文針對該問題提出了一個基於多策略融合的網站風險檢測模型。與其他商業化場景中主要使用的基於網站內容的檢測模型（如關鍵字檢測或黑名單檢機制等）不同，該方法融合文字特徵、結構內容特徵和語義特徵構造檢測模型。實驗結果表明，該模型在精度和F1評分上都優於其他風險檢測模型。

《Insider Threat-Data Exfiltration Detection using Node2Vec in Instant Message》（Xiaoyu Tang, Jie Chen），即內部威脅檢測：基於Node2Vec的資料洩漏檢測模型。

資料是很多公司的核心資產，包括但不限於公司的未來規劃、交易資料、員工個人資訊資料、客戶資料等等，內部員工導致資料洩漏是代價最高而且最難以檢測的，一方面內部員工本身可能擁有公司的多種許可權，能夠接觸到大量的敏感資料；另一方面由於公司內部，和外部客戶的資料交流經常會使用即時通訊工具進行，即時通訊工具可能被一些員工用來做敏感資料備份或者是資料外移的工具。因此，在即時通訊工具層面做資料安全防護是有意義且必要的。傳統上在即時通訊工具上進行使用者行為異常檢測是使用一些統計規則，以及統計資料，這種方式由於需要更多人為經驗去進行特徵抽取，召回率和準確率都不高。經過分析和調研，本文發現可疑使用者在即時通訊工具中傳輸檔案會產生和正常使用者不同的檔案網路結構，據此，我們提出利用Node2Vec檢測異常的檔案傳輸結構的方法，能夠完成自動化的進行特徵抽取，並且在準確和召回上都有比較好的表現效果。

《Webshell Detection with Attention-Based Opcode Sequence Classification》（Wei He, Yue Xu, Liang Shi），即基於注意力機制Opcode序列的Webshell檢測。

近年來，越來越多的Web應用程式遷移到雲平臺上，它們可能包含嚴重的Webshell或者由於存在漏洞而被植入了Webshell。但是針對Webshell的檢測存在一些挑戰，因為Webshell通常在惡意和正常檔案之間沒有明確的界限。例如，WordPress中的上傳外掛和管理員維護頁面的功能與惡意Webshell非常相似，另一方面，許多Webshell為了繞過各種檢測手段模擬成正常指令碼的形態。因此，一個可靠的檢測器應該以低誤報率區分Webshell和普通Web指令碼。本文提出了一種基於操作碼序列檢測的方法，我們建立了一個序列分類模型來預測惡意Webshell的機率。此方法不處理PHP指令碼的模糊部分，而是處理執行時的實際機器程式碼。利用具有注意機制的BiLSTM來學習和識別操作碼序列。透過超過30,000個樣本的評估，實驗結果表明我們的方法達到了F1=98.78％和AUC=99.97％，超過了其他檢測模型。由於具有良好的準確性和多功能性，我們的方法可以用作常見的Webshell檢測中，而不僅僅是PHP Webshell。

阿里雲目前服務中國40%的網站，為上百萬客戶提供基礎安全防禦。每天由阿里雲成功抵禦的大流量DDoS攻擊佔全國的一半以上。豐富的實踐經驗為阿里雲的學術研究提供了有利條件，最前沿的研究成果反哺產品及攻防實踐，為客戶提供更加智慧的安全產品和服務，以保障千萬企業雲上安全。

本文作者：雲安全專家

原文連結

本文為雲棲社群原創內容，未經允許不得轉載。