Fortinet WAF將機器學習應用於高級行為威脅檢測

Web應用程序漏洞可能會導致數據泄露或關鍵業務系統的中斷，或者說幾乎50%的數據泄漏由web應用漏洞導致，這就是許多企業機構選擇利用Web應用程序防火牆（WAF）來保護其網路的原因。

Fortinet FortiWeb在其新發布的操作系統6.0中應用了機器學習，將攻擊檢測準確率提高到接近100％。

雖然WAF是保護應用的主要安全技術，但有些企業可能不願意使用這些設備，因其所需要更多的人工干預而聞名，特別是在保障合法用戶與用戶不被阻斷時出現的誤報問題時。

大多數WAF解決方案產生誤報的主要原因是基於行為威脅檢測方法；基於對應用程序的學習（AL：application learning），這在大規模應用流量的情況並不是很理想。應用程序學習（AL）可自動構建配置文件，以實現所遇到的任何基於Web的應用程序的結構和用法。這種檢測和響應方法可以阻止複雜的黑客嘗試利用已知的漏洞或發起零日攻擊。

儘管第一代WAF功能確實提高了識別和響應Web應用程序威脅的能力，但其精確度仍有很大改進的空間。 由於WAF解決方案可能會產生大量的誤報檢測結果，可能會阻止關鍵的非惡意流量，因此許多企業必須將有限的安全工程師的資源用於管理策略和異常情況。

這是因為AL沒有更好的方法來解決正常應用程序使用的每種變化，或者說適應應用程序中的變化。

用機器學習代替應用程序學習

FortiWeb所應用的機器學習（ML）技術提供了一種完全不同的威脅檢測方法，即利用概率進行威脅識別。

與AL類似的方面是，FortiWeb的機器學習（ML）在與用戶與應用程序交互的過程中收集數據。 與AL不同的是，ML是利用統計模型來確定HTTP請求的異常，只有當請求偏離太遠時，FortiWeb才會將其視為異常。

這樣的智能靈活的方法只是FortiWeb新的機器學習策略提供的兩層機器學習功能中的第一個。 一旦確定了異常情況，它就會使用第二層機器學習來確定它是威脅還是簡單的良性變化，例如錯別字、以前沒有被使用過的字元、甚至是該應用自身的一個良性 。 它通過運行通過多種威脅模型來確定異常是否為攻擊。 如果是，那麼就像AL一樣，它可以採取諸如記錄，警報和/或阻斷異常等操作。

創建威脅模型，持續更新安全服務

為了進一步提高威脅檢測效率，Fortinet將基於人工智慧的先進機器學習功能與FortiWeb WAF相結合，創建了多種特定的威脅模型。 每個模型都代表特定的攻擊類別（SQL注入，跨站點腳本，OS注入等）。這些威脅模型經過FortiWeb開發團隊使用來自各種來源的數十萬個真實攻擊樣本，包括眾所周知的第三方資料庫，如CVE和Exploit DB，以及FortiGuard實驗室的威脅情報，及第三方漏洞掃描程序收集的數據，進行了廣泛訓練和測試。 這些模型將作為FortiWeb解決方案的安全服務，進行持續更新，以便針對需要模型再訓練和測試的新威脅提供實時保護。

提高了準確率同時降低了開銷

應用了機器學習的攻擊檢測準確率提高到接近100％。 通過機器學習，FortiWeb可以在標記異常後，採取進一步防禦動作之前快速準確確定是否威脅，確保關鍵應用程序和事務不會中斷；而不是標記和阻止每個異常。 除了極大降低誤報外，FortiWeb機器學習引擎還能夠顯著減少漏報。

總結

Fortinet FortiWeb OS 6.0發布中對於機器學習的應用，實現了WAF智能化學習及自防禦，有效的提高了WAF 安全效能，降低了誤報率、漏報率和人工干預，使用戶脫離出繁瑣的產品優化工作，在WAF層面完善人工智慧自動運維體系。

FortiWeb 不僅可以作為硬體設備部署，還支持多主流hypervisior的虛擬化場景，以及包括AWS 、Azure 的公有雲平台部署。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！