近日,上海市经济信息化委发布关于《2021年度上海市网络安全产业创新攻关成果目录》的通知,阿里云作为唯一云厂商,其网络流量风险智能对抗体系被“人工智能”项目收录,阿里云将机器学习技术用于应对复杂网络安全对抗的技术实力得到认可。
应对庞杂流量,云为机器学习提供土壤
人工智能技术不仅被应用到安全防御,更被“聪明的”攻击者应用到攻击中。
云场景为机器学习落地安全提供有利土壤:
1) 强大的存储能力,能够留存全部的流量日志。传统安全存储能力受限,只会保留攻击日志,这样造成的问题就是已经透过攻击无法排查,而云上有全部流量数据,也就为智能安全的发展提供了土壤;
2) 强大的计算能力,包括离线、实时计算平台,能够支撑智能安全算法进行大规模的计算,充分发挥数据的价值;
3) 云上丰富的业务场景和实践机会。
作为全球领先的云厂商,阿里云为云上百万客户提供基础安全防护,每天抵御60亿次攻击,防御全国50%的大流量DDoS攻击,日均25亿次风险检测以及千万级的Web攻击。
在解决云上复杂的安全问题过程中,阿里云充分发挥云的天然优势,将机器学习、深度学习等先进技术应用在与攻击者的较量中,丰富实战磨砺下形成了一套基于机器学习技术的网络流量风险智能对抗体系,将第一轮复杂的流量分析和过滤交给机器来做,以留给安全专家更多的时间去解更难的安全问题,同时降低运维成本,提升应急响应效率。
阿里云上平均应急响应时间为1小时,远远低于行业24小时的平均水平,可以帮助客户最大程度挽回业务损失。
三层一体化的网络流量风险全局对抗
针对风险流量的分布情况,阿里云网络流量风险智能对抗体系从流量攻击对抗层、Web攻击对抗层、业务风险对抗层3个层次出发,在每个层次中,结合基础安全策略与人工智能算法,对网络流量进行潜在风险的检测与判定,并按照模型的判定结果进行相应的处置,解决DDoS防护、Web安全与Bot管理三个核心问题。
“千站千模”,流量个性化管控
在流量攻击对抗层,阿里云采用“千站千模”方案,针对不同站点的网络流量与站点自身的容量各自构建基线模型,学习站点可承受的流量范围,同时辅助情报积累实现防御体系不断增强。
创新点
•基于历史基线生成默认防御策略:保障源站服务器在攻击第一时间不被攻击冲垮,且对正常流量影响尽可能小。
•基于基线的异常流量判别,并针对异常流量生成实时处置策略:保障处置策略对正常流量影响尽可能小、对异常流量覆盖尽可能大。
•默认防御策略+实时防御策略结合:一方面保障源站服务器在攻击第一时间不被攻击冲垮,另一方面保障处置策略对正常业务影响最小。
•策略有时效性,攻击停止后一段时间策略自动删除:避免处置策略影响后续网站正常业务变动。
该方案已经在DDoS防护领域落地,实现了自动化、精细化的应用层资源耗尽式攻击防御流程,能在误伤可控的前提下自动、精细地压制攻击,保障用户业务不间断;针对复杂的资源耗尽型DDoS攻击实现秒级自动化防御,实现超过99%的自动化响应。
流量分层,精细化治理
Web攻击对抗层采用流量分层治理的思路,结合深度学习模型强大的特征表示与泛化能力打造核心攻击检测能力,同时辅以漏误报感知模型持续迭代优化,提升防护能力水位。
创新点
•将以往Web攻击检测中无差别、同一策略的检测思想逐步演进成由多维、多层、多模相融相生的检测体系。
•依赖深度学习的学习泛化能力、检测模型覆盖更多的未知,拓展防御边界。
•根据用户正常流量定义白规则,为每个域名定制主动防御策略,防护未知攻击。
该方案成功应用在Web攻防场景,“流量分层治理”与“千站千面防护”模型将整体流量分为白、灰、黑三层,实现Web攻击的精细、智能识别和自动化处置。
查杀分离,高效识别与自主对抗
在业务风险对抗层,基于“查杀分离”的对抗思路实现业务风险流量的高效识别与风险流量变异的自主对抗。
感知层(查)仅用来标注风险流量,决策层(杀)从高级特征维度刻画风险流量,对决策层产出的风险流量进行处置。同时模型持续在线迭代,当风险流量发生变异时,仍然能够基于感知层的标注,实现决策层模型的自动迭代与风险流量的自主处置。
创新点
•查杀分离:对客户相关数据接口上的所有流量进行一轮风险属性打标(查),并根据不同访问特征进行UBA(User Behavior Analytics)建模(杀)。在部署完成后的数次攻防对抗中,模型均能自动化监控并快速学习攻击流量特征,针对攻击流量唤起处置,无需客户与运营介入。
•“端+云”一体风险治理:传统防控方案大多以“单点防控”为主,依赖黑名单和频次限制,但应对黑灰产的交叉手法,难以达到良好的风险动态识别与管控。阿里云充分发挥“端+云”联防优势,协同流量安全管理,将大规模的机器行为防控前置到端侧,有效从源头上发现批量攻击;再发挥云端无限算力优势,通过持续学习和模型优化缓解防爬场景对抗问题。
该方案已在Bot管理方面成功应用,构建了百万量级的风险情报库,结合流式计算实现了分钟级业务流量风险识别与处置能力,同时采用实时和离线双链路联合决策方案,实现了业务风险流量变异情况下对抗策略的自动化生成。
权威认可
- 在2019年的国际人工智能组织联合会议IJCAI 2019(International Joint Conference on Artificial Intelligence 2019)上,阿里云4篇AI研究论文在诸多论文中脱颖而出,其中一篇被主论坛收录,三篇被AIBS Workshop 收录。论文深入解析了AI技术在网络安全、数据安全和内容安全领域研究成果和场景化应用。IJCAI是人工智能领域最重要的*学术会议之一。每年被IJCAI成功收录的论文均是AI领域最前沿的研究成果。
- 在全球权威咨询机构Gartner发布的2019 Web应用防火墙魔力象限中,阿里云Web应用防火墙成功入围,是亚太地区唯一一家进入该魔力象限的厂商.在Gartner本次评测中,阿里云WAF的主动防御模式及异常行为检测能力得到高度认可,其中所用到的智能算法能力被评为强势功能。
- 在《The Forrester Wave Web Application Firewalls Q1 2020》报告中阿里云作为亚太唯一厂商入选,并被评为 Contenders。
- 《The Forrester New WaveTM:Bot Management,Q1 2020》报告中,阿里云安全作为唯一中国厂商入选,防爬能力获得认可。