语义分析检测算法

传统规则防护，在当下为什么失灵？

当下，Web 应用防火墙大多采用规则匹配方式来识别和阻断攻击流量，但由于 Web 攻击成本低、方式复杂多样、高危漏洞不定期爆发等原因，管理者们在安全运维工作中不得不持续调整防护规则，以保障业务的可用性和安全性。尽管如此，每天依然面临着不少的误报和漏报，影响正常业务运转甚至导致 Web 服务失陷。

究其原因，是由于基于规则匹配的攻击识别方法存在先天不足导致的。在乔姆斯基文法体系中，编写匹配规则的正则文法属于 3 型文法，而用于构造攻击 Payload 的程序语言属于 2 型文法，如下图所示：

从文法表达能力比较，3 型文法包含在 2 型文法之内，基于正则的规则描述无法完全覆盖基于程序语言的攻击 Payload，这也是基于规则匹配识别攻击的 WAF 防护效果低于预期的根本原因。

雷池的解决之道：算法的革新重构 WAF

长亭科技自成立起便深入探索 Web 安全防护的新思路，创新性提出以 “智能语义分析算法” 解决 Web 攻击识别问题，给 WAF 内置 “智能大脑”，使其具备自主识别攻击行为的能力，同时结合机器学习建模，不断增强和完善 “大脑” 的分析能力，不依赖传统的规则库即可满足 Web 应用日常安全防护需求。

雷池通过对 Web 请求和返回内容进行智能分析，使 WAF 具备智能判断攻击威胁的能力。智能语义分析算法由词法分析、语法分析、语义分析和威胁模型匹配 4 个步骤组成。

雷池内置涵盖常用编程语言的编译器，通过对 HTTP 的载荷内容进行深度解码后，按照其语言类型匹配相应语法编译器，进而匹配威胁模型得到威胁评级，阻断或允许访问请求。

与规则匹配型威胁检测方式相比，智能语义分析技术具有准确率高、误报率低的特点。以 SQL 注入检测为例：

作为全球范围内第一款以智能语义分析算法为核心引擎能力打造的下一代 WAF，雷池展现出了更多让安全产品 “更聪明” 的可能。除了形成了质变的检测引擎的精准程度，它可以通过插件形式灵活扩展、实现瑞士军刀般的功能增加，可以变形适配、安装部署进各种网络环境，可以跟机器学习等前沿技术更好的融合、增强流量分析的能力等。