UEWAF重大新功能“机器学习智能检测引擎”上线

前言
有人的地方就有江湖，有网络的地方就有安全威胁。在黑白灰并存的网络空间，恶意机器流量已成为黑客攻击客户Web业务系统的一大杀器，“道高一尺，魔高一丈”，攻防双方从来都是此消彼长的。
UEWAF安全人员通过研究机器学习大数据分析等技术，成功研发出机器学习智能检测引擎，能有效帮助用户识别Web业务系统面临的各种恶意机器流量，成为用户网络空间的防御利器。

图一：UEWAF机器流量智能检测模型

UEWAF自主研发的智能检测引擎可识别恶意机器流量：Web扫描、恶意爬虫、敏感访问、重复访问、CC攻击、可疑爬虫、行为异常等。
据Imperva Incapsula 2016年研究报告显示，网络机器流量（正常机器流量+恶意机器流量）占据总流量的51.8%，高于人类产生的流量。恶意机器流量出自攻击者之手，会导致用户业务服务可用性降低、数据被爬、网站被攻击等安全问题。
UEWAF安全人员通过不断追踪研究黑客攻击时的方式方法，结合多年安全经验并引入机器学习大数据分析技术，实现了UEWAF对机器流量的智能检测能力。
知彼
网络空间是现实世界的映射，在错综复杂的名利、政治等因素影响下，每时每刻都在上演着精彩而残酷的攻防大战。正如安全行业的一句话“世界上只有两种人,一种是知道自己被黑了的,另外一种是被黑了还不知道的”。
Web业务系统承载着企事业单位等众多业务系统，时刻面临各种攻击类型的恶意流量或威胁，例：
（1）CC攻击：耗尽服务资源，导致Web不可正常提供访问服务；
（2）信息探测：获取Web相关资源信息，比如操作系统信息、Web服务器信息，为后续攻击做好准备；
（3）漏洞扫描：针对Web系统进行漏洞扫描，扫描成功即可利用漏洞，非授权获取后台数据；
（4）0day攻击：黑客利用未被披露的漏洞攻击相应系统，所到之处，如入无人之境，重要数据悄无声息泄漏而不得知；
（5）恶意爬虫：伪造正常爬虫信息，恶意抓取平台数据等。

图二：Web业务系统面临诸多威胁

知己
网络空间恶意流量肆虐，UCloud成功研发的机器流量智能检测功能在实战之中见本领，例：
1.正常机器行为
（1）搜索引擎爬虫

机器学习智能检测引擎结合IP情报技术，能准确识别出主流搜索引擎的爬虫。
（2）内部请求

机器学习智能检测引擎可识别出源自自身其他服务发起的请求。
2.恶意机器行为
（1）恶意爬虫

机器学习智能检测引擎配合识别算法，可以准确识别各类恶意爬虫，例如伪造ua、低速率请求等。
（2）CC攻击

机器学习智能检测引擎能在开始阶段准确检测识别出CC攻击，配合自动封堵策略，可以无人工干预的实现自动CC拦截。
（3）敏感访问

敏感访问单独识别用于提供更准确的信息反馈给用户。验证码、登录、注册、短信等重要接口的异常访问需要重点监测，而机器流量智能检测引擎则会检测敏感类接口，无需客户配置。
（4）重复访问

重复访问的恶意机器流量现象比较突出，其目的也多种多样，涉及到具体的请求资源加以识别。
（5）Web扫描

机器学习智能检测引擎配合智能的payload载荷检测引擎，可以准确识别出针对Web服务进行的各类扫描动作。
（6）行为异常

机器学习智能检测引擎针对没有合适分类的恶意机器流量时，会标记为行为异常。这类异常包含面可能比较广，其表现与客户业务的主要行为模式不符合而被标记。
知己知彼，方能百战百胜。机器学习智能检测引擎可以结合威胁情报准确识别出机器流量中不同类型的恶意流量。

小结
利剑出鞘，所向披靡。UCloud安全中心全员本着匠心精神打造工匠级安全产品，最终迎来了UEWAF机器流量智能检测时代，将有效识别恶意爬虫、CC攻击等恶意流量行为，解客户之所忧，满客户之所需，重客户之价值。