Fortinet WAF將機器學(xué)習(xí)應(yīng)用于高級行為威脅檢測

責(zé)任編輯:cres

2018-08-16 16:46:42

摘自:IT運維網(wǎng)

Web應(yīng)用程序漏洞可能會導(dǎo)致數(shù)據(jù)泄露或關(guān)鍵業(yè)務(wù)系統(tǒng)的中斷,或者說幾乎50%的數(shù)據(jù)泄漏由web應(yīng)用漏洞導(dǎo)致,這就是許多企業(yè)機構(gòu)選擇利用Web應(yīng)用程序防火墻(WAF)來保護其網(wǎng)絡(luò)的原因。

Web應(yīng)用程序漏洞可能會導(dǎo)致數(shù)據(jù)泄露或關(guān)鍵業(yè)務(wù)系統(tǒng)的中斷,或者說幾乎50%的數(shù)據(jù)泄漏由web應(yīng)用漏洞導(dǎo)致,這就是許多企業(yè)機構(gòu)選擇利用Web應(yīng)用程序防火墻(WAF)來保護其網(wǎng)絡(luò)的原因。

      Fortinet FortiWeb在其新發(fā)布的操作系統(tǒng)6.0中應(yīng)用了機器學(xué)習(xí),將攻擊檢測準確率提高到接近100%。

      雖然WAF是保護應(yīng)用的主要安全技術(shù),但有些企業(yè)可能不愿意使用這些設(shè)備,因其所需要更多的人工干預(yù)而聞名,特別是在保障合法用戶與用戶不被阻斷時出現(xiàn)的誤報問題時。

      大多數(shù)WAF解決方案產(chǎn)生誤報的主要原因是基于行為威脅檢測方法;基于對應(yīng)用程序的學(xué)習(xí)(AL:application learning),這在大規(guī)模應(yīng)用流量的情況并不是很理想。應(yīng)用程序?qū)W習(xí)(AL)可自動構(gòu)建配置文件,以實現(xiàn)所遇到的任何基于Web的應(yīng)用程序的結(jié)構(gòu)和用法。這種檢測和響應(yīng)方法可以阻止復(fù)雜的黑客嘗試利用已知的漏洞或發(fā)起零日攻擊。

      盡管第一代WAF功能確實提高了識別和響應(yīng)Web應(yīng)用程序威脅的能力,但其精確度仍有很大改進的空間。 由于WAF解決方案可能會產(chǎn)生大量的誤報檢測結(jié)果,可能會阻止關(guān)鍵的非惡意流量,因此許多企業(yè)必須將有限的安全工程師的資源用于管理策略和異常情況。

      這是因為AL沒有更好的方法來解決正常應(yīng)用程序使用的每種變化,或者說適應(yīng)應(yīng)用程序中的變化。

用機器學(xué)習(xí)代替應(yīng)用程序?qū)W習(xí)

      FortiWeb所應(yīng)用的機器學(xué)習(xí)(ML)技術(shù)提供了一種完全不同的威脅檢測方法,即利用概率進行威脅識別。

      與AL類似的方面是,F(xiàn)ortiWeb的機器學(xué)習(xí)(ML)在與用戶與應(yīng)用程序交互的過程中收集數(shù)據(jù)。 與AL不同的是,ML是利用統(tǒng)計模型來確定HTTP請求的異常,只有當(dāng)請求偏離太遠時,F(xiàn)ortiWeb才會將其視為異常。

      這樣的智能靈活的方法只是FortiWeb新的機器學(xué)習(xí)策略提供的兩層機器學(xué)習(xí)功能中的第一個。 一旦確定了異常情況,它就會使用第二層機器學(xué)習(xí)來確定它是威脅還是簡單的良性變化,例如錯別字、以前沒有被使用過的字符、甚至是該應(yīng)用自身的一個良性 。 它通過運行通過多種威脅模型來確定異常是否為攻擊。 如果是,那么就像AL一樣,它可以采取諸如記錄,警報和/或阻斷異常等操作。

創(chuàng)建威脅模型,持續(xù)更新安全服務(wù)

      為了進一步提高威脅檢測效率,F(xiàn)ortinet將基于人工智能的先進機器學(xué)習(xí)功能與FortiWeb WAF相結(jié)合,創(chuàng)建了多種特定的威脅模型。 每個模型都代表特定的攻擊類別(SQL注入,跨站點腳本,OS注入等)。這些威脅模型經(jīng)過FortiWeb開發(fā)團隊使用來自各種來源的數(shù)十萬個真實攻擊樣本,包括眾所周知的第三方數(shù)據(jù)庫,如CVE和Exploit DB,以及FortiGuard實驗室的威脅情報,及第三方漏洞掃描程序收集的數(shù)據(jù),進行了廣泛訓(xùn)練和測試。 這些模型將作為FortiWeb解決方案的安全服務(wù),進行持續(xù)更新,以便針對需要模型再訓(xùn)練和測試的新威脅提供實時保護。

提高了準確率同時降低了開銷

      應(yīng)用了機器學(xué)習(xí)的攻擊檢測準確率提高到接近100%。 通過機器學(xué)習(xí),F(xiàn)ortiWeb可以在標記異常后,采取進一步防御動作之前快速準確確定是否威脅,確保關(guān)鍵應(yīng)用程序和事務(wù)不會中斷;而不是標記和阻止每個異常。 除了極大降低誤報外,F(xiàn)ortiWeb機器學(xué)習(xí)引擎還能夠顯著減少漏報。

總結(jié)

      Fortinet FortiWeb OS 6.0發(fā)布中對于機器學(xué)習(xí)的應(yīng)用,實現(xiàn)了WAF智能化學(xué)習(xí)及自防御,有效的提高了WAF 安全效能,降低了誤報率、漏報率和人工干預(yù),使用戶脫離出繁瑣的產(chǎn)品優(yōu)化工作,在WAF層面完善人工智能自動運維體系。

      FortiWeb 不僅可以作為硬件設(shè)備部署,還支持多主流hypervisior的虛擬化場景,以及包括AWS 、Azure 的公有云平臺部署。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號