AI引擎
最近更新时间: 2024-10-17 17:10:00
1. 功能简介
Web 应用防火墙当前有基于正则规则和语义规则两种主流检测手段,检测上也都有其固有的局限性,难以避免出现“漏判”和“误判”现象。腾讯云金融专区 Web 应用防火墙应用基于机器学习的 Web 攻击检测技术,通过 AI 引擎的自学习、自进化和自适应能力,最大限度减少误报,提高对已知和未知 Web 威胁的检测率和捕获率,并且灵活适应不断变化的 Web 应用。
2. 配置案例
AI 引擎模式设置
1) 登录Web 应用防火墙控制台,在左侧导航栏中,选择Web 应用防火墙>防护设置,在域名列表中,单击需要防护的域名,进入防护设置页面,单击基础设置,将 AI 引擎模式设置为观察。
2) 在左侧导航栏中,选择**日志服务**>**攻击日志**,进入在攻击日志页面,单击**日志查询**,由 AI 引擎检出的攻击,会在该页面有相关日志记录,攻击类型记录为“AI 引擎检出”,可通过筛选条件,查看该类型的攻击日志。
AI 在线验证
在左侧导航栏中,选择【Web 应用防火墙】>【AI 引擎】,进入 AI 引擎页面,单击【AI 在线验证】,在此页面可以对指定访问地址的 GET 参数、POST 参数和 HEADER 参数进行验证,下面以参数名称为“a” ,参数值为“1 and 1=1”为例进行说明,当正常的参数被 AI 引擎误报时,可单击【一键添加误报】,将该误报添加到误报列表。
AI 误报处理
在上方选项卡,单击AI 误报处理,可查看添加的误报记录,或通过手动添加,将误报添加到误报列表中。在状态栏中,单击学习,AI 引擎会根据误报信息更新模型、优化算法。
AI 引擎学习提交的误报的 payload,从未学习状态到已学习状态需要一定时间,请耐心等待。
在 AI 引擎学习完提交的误报的 payload 之后,可在AI 在线验证页面,再次验证该参数是否仍会误报。
添加漏报
当攻击的载荷被 AI 引擎漏报时,可单击一键添加漏报,将该漏报信息添加到漏报列表,下面以参数名称为“a”,参数值为“admin^*$”为例进行说明。
AI 漏报处理
在上方选项卡,单击AI 漏报处理,可查看添加的漏报记录,或通过手动添加,将漏报添加到漏报列表中。添加完成后,在状态栏中,单击学习,AI 引擎会根据漏报信息更新模型、优化算法。
AI 引擎学习提交的漏报的 payload,从未学习状态到已学习状态需要一定时间。
在 AI 引擎学习完提交的漏报 payload 之后,可在AI 在线验证页面,再次验证该参数是否仍会漏报。
3. 特别说明
此 AI 引擎采用严格模式,防护等级最高。
此 AI 引擎支持学习,既支持控制台主动的反馈学习,也支持后台被动的自主学习。
建议先开启此 AI 引擎的观察模式一段时间(如20天),若直接开启拦截模式,可能会存在低概率的误报。
此 AI 引擎与规则引擎为串联关系。当恶意请求被规则引擎拦截时,该恶意请求不再经过 AI 引擎检测。当恶意请求被规则引擎放行时,该恶意请求会再经过 AI 引擎检测并拦截。
误报提交方式:
在AI 误报处理界面手动添加。
在AI 在线验证界面,确认验证的载荷为误报后,一键提交误报。
在左侧导航栏中,选择日志服务>攻击日志,单击攻击类型为“AI 引擎检出”的日志,确认该攻击为误报后,在右侧操作栏,单击详情,进入操作页面,添加误报。
同一类型的误报攻击中,只需要添加该类攻击中的一条记录为误报即可。
- 漏报提交方式:
在AI 漏报处理界面手动添加。
在AI 在线验证界面,确认验证的载荷为漏报后,一键提交漏报。
当确认提交的误报或漏报有误时,可在AI 误报处理或AI 漏报处理页面勾选有误的记录,单击删除,进行删除操作。