“
——“站住，通关密码？”

——“’ or 1=1#”

——“非法密码，禁止进入”

”
这是一条常见的SQL攻击的命令，WAF的原理，就是基于这类的正则表达式匹配，去判断一条请求是否是攻击请求。但是无论是早期的软硬件WAF和现在逐渐成为主流的云WAF，进行正则匹配的位置是片段化的每个请求而不是基于整个session流程，正则表达式的局限性造成的绕过、误报和漏报对企业来说是致命的。

如何及时捕获互联网中的新型攻击，如何针对已知漏洞迅速构建拦截规则，如何完整化地对整个访问流程的行为进行监控分析，如何及时发现漏报误报甚至是在制定规则时就防止漏报、误报的产生？这些都是当前云WAF面临的瓶颈。

近几年，机器学习和深度学习在云安全领域的应用使得突破瓶颈有了可能，网宿也于早几年开始着眼于智能云WAF的开发，并将这两项技术应用到了第一代智能云WAF中。

那么要如何合理利用机器学习和深度学习并将其应用到云安全中呢？

其实智能模型的开发与大部分事情相同，并没有那么神秘。可以想象一下我们做一道料理的过程，我们需要准备什么呢？

首先，我们一定要有一个足够使用的厨房和厨具，一些些精心准备的食材，一个厨艺出色的你。

这实际上对应着模型研发过程中三个最关键的元素：算力、数据与算法。

网宿作为全球领先的互联网基础设施平台，在这方面有着天然的优势。网宿平台分布全球的1500+边缘节点和庞大的带宽储备，提供了强大的算力。

云安全平台上的客户不仅数目庞大且种类繁多，海量攻防样本为攻防团队提供了相当全面的数据。

有了这些数据，接下来就交给网宿云WAF的算法工程师们了，他们需要严密分析，大开脑洞，为智能云WAF设计出一套套算法。

第一步：食材准备

制作料理的第一步是对不同食材的清洗处理，将你需要的部分保留下来。对数据的处理同样如此，我们需要去除噪声、重复数据等等，将我们所关心的数据呈现出来。

第二步：食材处理

针对你想呈现的口味，对食材可以采用不同的做法，例如一条鲜活的鱼，我们可以清蒸、红烧、油炸等等。对数据特征的抽取同样如此，在网宿WAF人机识别中，我们采用了基于序列的特征与基于物理学的特征；在攻击检测方面，我们采用了分词、分字的方式进行n-gram的划分、基于语义进行划分、基于统计学特性的特征抽取等等。

并且智能云WAF会针对不同数据形态，进行分布调整、交叉特征、特征组合、特征选择、降维等操作，采用当前state of the art的方法进行处理。并且在算法层面，灵活运用判别模型与生成模型、传统机器学习与深度学习。

除了在规则方面智能化之外，我们正在WAF打造为一个真正的能够自我提升的AI WAF。我们投入研究了基于生成模型的智能fuzz技术，采用智能化的手段自动探测自身规则漏洞，做到无时无刻都在提升。

第三步：烹饪创新

随着大众需求和口味的变化，许多融合创新菜也出现在大家的菜单上。

同样地，除了通过智能模型来用于防御一些0day或者未知类型攻击之外，一些最新最前沿的防御技术也被应用于网宿智能云WAF中，例如通过态势感知与威胁情报，主动判断网站的攻击威胁等级，从而动态调整WAF的整体策略，做到了主动防御技术。或是通过搭建GAN（生成对抗网络）模型，不断的生成攻击模型与防御模型等等。

智能云WAF不会只依赖于单一模型，我们投入大量精力对单一问题提出不同的解决方式，最后将不同的方案作为单独的模块进行加载与判断，并且严格监控中间过程以防止解决方案的过期或效果抖动。

通过不断地跟自己“死磕”，智能云WAF能大大降低误报、漏报的概率，生成最接近完美的规则。