Fortinet WAF将机器学习应用于高级行为威胁检测
作者: 日期:2018年08月16日 阅:19,183

Web应用程序漏洞可能会导致数据泄露或关键业务系统的中断,或者说几乎50%的数据泄漏由web应用漏洞导致,这就是许多企业机构选择利用Web应用程序防火墙(WAF)来保护其网络的原因。

Fortinet FortiWeb在其新发布的操作系统6.0中应用了机器学习,将攻击检测准确率提高到接近100%。

虽然WAF是保护应用的主要安全技术,但有些企业可能不愿意使用这些设备,因其所需要更多的人工干预而闻名,特别是在保障合法用户与用户不被阻断时出现的误报问题时。

大多数WAF解决方案产生误报的主要原因是基于行为威胁检测方法;基于对应用程序的学习(AL:application learning),这在大规模应用流量的情况并不是很理想。应用程序学习(AL)可自动构建配置文件,以实现所遇到的任何基于Web的应用程序的结构和用法。这种检测和响应方法可以阻止复杂的黑客尝试利用已知的漏洞或发起零日攻击。

尽管第一代WAF功能确实提高了识别和响应Web应用程序威胁的能力,但其精确度仍有很大改进的空间。 由于WAF解决方案可能会产生大量的误报检测结果,可能会阻止关键的非恶意流量,因此许多企业必须将有限的安全工程师的资源用于管理策略和异常情况。

这是因为AL没有更好的方法来解决正常应用程序使用的每种变化,或者说适应应用程序中的变化。

  • 用机器学习代替应用程序学习

FortiWeb所应用的机器学习(ML)技术提供了一种完全不同的威胁检测方法,即利用概率进行威胁识别。

与AL类似的方面是,FortiWeb的机器学习(ML)在与用户与应用程序交互的过程中收集数据。 与AL不同的是,ML是利用统计模型来确定HTTP请求的异常,只有当请求偏离太远时,FortiWeb才会将其视为异常。

这样的智能灵活的方法只是FortiWeb新的机器学习策略提供的两层机器学习功能中的第一个。 一旦确定了异常情况,它就会使用第二层机器学习来确定它是威胁还是简单的良性变化,例如错别字、以前没有被使用过的字符、甚至是该应用自身的一个良性 。 它通过运行通过多种威胁模型来确定异常是否为攻击。 如果是,那么就像AL一样,它可以采取诸如记录,警报和/或阻断异常等操作。

  • 创建威胁模型,持续更新安全服务

为了进一步提高威胁检测效率,Fortinet将基于人工智能的先进机器学习功能与FortiWeb WAF相结合,创建了多种特定的威胁模型。 每个模型都代表特定的攻击类别(SQL注入,跨站点脚本,OS注入等)。这些威胁模型经过FortiWeb开发团队使用来自各种来源的数十万个真实攻击样本,包括众所周知的第三方数据库,如CVE和Exploit DB,以及FortiGuard实验室的威胁情报,及第三方漏洞扫描程序收集的数据,进行了广泛训练和测试。 这些模型将作为FortiWeb解决方案的安全服务,进行持续更新,以便针对需要模型再训练和测试的新威胁提供实时保护。

  • 提高了准确率同时降低了开销

应用了机器学习的攻击检测准确率提高到接近100%。 通过机器学习,FortiWeb可以在标记异常后,采取进一步防御动作之前快速准确确定是否威胁,确保关键应用程序和事务不会中断;而不是标记和阻止每个异常。 除了极大降低误报外,FortiWeb机器学习引擎还能够显著减少漏报。

总结

Fortinet FortiWeb OS 6.0发布中对于机器学习的应用,实现了WAF智能化学习及自防御,有效的提高了WAF 安全效能,降低了误报率、漏报率和人工干预,使用户脱离出繁琐的产品优化工作,在WAF层面完善人工智能自动运维体系。

FortiWeb 不仅可以作为硬件设备部署,还支持多主流hypervisior的虚拟化场景,以及包括AWS 、Azure 的公有云平台部署。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章