1、p工智能在WEB安全d的实践 sModSecurity开始说起 SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/_utm/|REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/*(?i:(?:(union(.*?)select(.*?)from)规范化 ODNRDPQ 规则集 多字段 转换函数 多动作 多阶段?!REVERSE(noinu)+REVERSE(tceles)un?+un/*/ion+se/*/lect+!SQL Tokenizer Parser Analyzer 语法解析 语法解析 关键词解析 语法规则 基本函

2、数 语g分析 语g分析 S94补全 环境感知 注入检测 语g行e 除j5SS94，其tS94 兼容性 兼容性 IiAiKjDBQiLKIiAiKjDBQiLK 本质，系统将尽量补全S94，而S94一旦通过语法分析，只要存在TLHDK，误报就容易出现 误报 误报 机器学i初探 输入 模式识别 输出 典型的机器学i场景 有监督学i 无监督学i VS 648 图像识别 关联新闻 机器学i初探 01 02 03 04 特征选取 算法选择 样本训练 日志审计 特征选取特征选取 基k8aSILad的特征选择，需要结合安全特性，比如关键字、字符特征、甚至请求长度，同时避免过拟合 算法选择算法选择 有监督学i

3、有诸多常算法、SV5、055、贝叶斯等等 样本训练样本训练 选取大量黑白标注样本，同时要控制样本类型的分布 日志审计a回归日志审计a回归 当前有监督学i主要应在离线日志分析d，快速发现未知攻击样本 支持向量机-XSS检测应 SV5的典型问题 特征选取 U:4长度 第三方域名c数 敏感字符 2S关键字 召回率 准确率 93%!90%!结构风险最小，而非经验风险最小 支持向量机-不足 广泛采的4iASV5，在最坏情况下复杂度e7 K2)（训练样本数平方）不适合大规模数据集训练 不适合大规模数据集训练 可u对抗基本变形，只是对原有规则系统提供一定的宽容度 本质a规则无异 本质a规则无异 对原有系统提

4、供一c离线检查机制 准确度无法满足需呀 准确度无法满足需呀 是否能够结合更多的识别方法 隐马尔可夫 最大熵模型 alert(0)!?S1,符号 S2,字符 S%,数字 S4,分割符号 观察序列 S1 S2 S4 S%V4 V2 V%V1 V5 隐含序列 加入词法之后 规范化 分词 向量化 055 200200维特征维特征 召回率召回率80%80%准确率准确率90%90%词集/6gOaJ s浅层学i走向深度神经网络 Input layer!?!0-1?!Hidden layer 1!Hidden layer 2!Hidden layer 3!Residual layer!identity!out

5、put layer!n=256!n=256!ReLU!ReLU!Tanh!n=256!n=256!Softmax!n=256!Tanh!Tanh!0!1!特征提取?!U:4长度 特殊字符数量 2S关键字数量 S94关键字数量 U-?!“数量 UKiLK 参数c数 单参数PDBQiLK 205!3!34.5!143234!285!68!296!7!13850!157!11218!847!1.23e+9!422!1004!177!0!398!13.333!125!数字化特征?!布尔特征 0!0!0!0!0!0!0!1!0!1!0!0!0!1!1!0!0!1!0!0!请求 s浅层学i走向深度神经网络

6、 见证奇迹的时刻 一m奇怪的发现 POST/index/index.php?_c=zip:/d:/KAS/WebSource/ueditor/php/upload/file/20170531/03962.zip#xxx&_m=captcha cmd=echo nnn,system(dir C:);exit;%2527!=(hex(user()0 x23)%2523 通过不断调整特征，对k变形a绕过有j神奇的抵抗能力，是准确率却无法提升 如果我们在结合:DPMLKPD呢？9595%!?!9090%!?!%00q请求 9595%!?!9090%!?!%00q请求 见证奇迹的时

7、刻 威力不止如此 如果机器学i只做文本特征检测，不能称之ep工智能 b务行e特征 威胁特征全貌威胁特征全貌 户身y特征报 访问行e特征p机识别 文本特征 IP?!?!?!IDC!?!?!?!?!?!威力不止如此 如果机器学i只做文本特征检测，不能称之ep工智能 b务行e特征 威胁特征全貌威胁特征全貌 户身y特征报 访问行e特征p机识别 文本特征?!?!?!?!?!威力不止如此 如果机器学i只做文本特征检测，不能称之ep工智能 b务行e特征 威胁特征全貌威胁特征全貌 户身y特征报 访问行e特征p机识别 文本特征?!?!?!?!?!?!户行e分析-电商案例 登录 浏览 搜索 购物车 抽奖 结算 -

8、81 SDPPiLK -0 -1 -2 -%-4 -K T-2,-1,-4,-8U T-2,-1,-4,-4U T-1,-1,-4,-8U T-0,-1,-4,-8U 无监督学i 3-JDaKP S1 S2 S%S(S8 S4 S5 S)S9 盗号 僵尸 恶意爬虫 未知威胁 o出 户行e分析-难点 通过K-gOaJ算法，o生b务MaQQDOK,分析U:4，将请求归类，实现b务抽象 b务抽象 b务抽象 去除网络、浏览器等干扰，将SDPPiLKd所有b务向量化 去噪 去噪 每SDPPiLK的-81集合，n集 关系向量化 关系向量化 不判别好坏，只寻找少数派，相信大多数户都是正常b务 如选择3值，还要考虑到的向量集合的方差 算法 算法 因e无法识别异常类型，还需要p工r入和辅助模型识别 异常识别的准确率高达95%总结 有监督学i有监督学i，有效降低规则维护工有效降低规则维护工作量作量，对k准召相比语法引擎没对k准召相比语法引擎没有突破 有突破 在样本空间扩大之后在样本空间扩大之后，/66/66相比相比SV5SV5能有效提高召回率能有效提高召回率，更多更多的应在离线场景 的应在离线场景 UB-UB-可u解决当前技术在高维空间可u解决当前技术在高维空间的不足的不足，是安全的对抗的下一c是安全的对抗的下一c风口 风口 无监督学i是未来无监督学i是未来，能突破样本空能突破样本空间限制 间限制