8月10日至8月16日,国际人工智能组织联合会议IJCAI 2019(International Joint Conference on Artificial Intelligence 2019)在中国澳门召开。阿里云4篇AI研究论文在诸多论文中脱颖而出,其中一篇被主论坛收录,三篇被AIBS Workshop 收录。论文深入解析了AI技术在网络安全、数据安全和内容安全领域研究成果和场景化应用,展示了阿里云安全在智能安全领域的领导性。
自1969年首次在华盛顿特区举办以来,IJCAI已成为人工智能领域最重要的顶级学术会议之一。每年被IJCAI成功收录的论文均是AI领域最前沿的研究成果。今年IJCAI主论坛的论文收录率仅为17.9%,比去年收录率更低。阿里云被主论坛收录的论文《Locate Then Detect:Web Attack Detection via Attention-based Deep Neural Networks》,首次解决了深度学习在Web攻击检测领域的结果可解释性问题,具有前所未有的创新意义,证明阿里云在安全AI技术的学术研究和应用方面业界领先。
《Locate Then Detect:Web Attack Detection via Attention-based Deep Neural Networks》(Tianlong Liu, Yu Qi, Liang Shi, Jianan Yan),即基于注意力机制的深度神经网络在Web攻击检测中的应用。
该论文提出了一种全新的两段式Web攻击检测框架,称之为Locate-Then-Detect(LTD)。LTD模型结合了Object Detection和注意力机制的思想,创造性的提出了PLN(Payload Locating Network 攻击载荷靶向定位网络)与PCN(Payload Classification Network 攻击载荷分类网络),通过两个深度神经网络的结合,可以准确的定位恶意攻击所在的位置,并对其类型进行精准识别。PLN用来定位攻击向量的可疑位置,PCN再对识别出的可疑向量进行分类,通过靶位识别网络的提取能力,能够使得检测系统更加关注真正有害的攻击,从而规避掉整个请求内容中正常部分对模型预测结果的影响。
LTD首次解决了深度学习在Web攻击检测领域的结果可解释性问题(通过Payload的靶向定位实现),同时在与其他传统方式的对比中,LTD也表现出超过了基于规则、符号特征和传统机器学习方法的效果。目前,LTD检测框架已通过AI内核的形式实际应用阿里云Web应用防火墙产品当中,通过AI内核的加持,为云上客户提供实时的智能防护,保障云上用户安全。
被AIBS Workshop Paper(Artificial Intelligence for Business Security)收录另外三篇论文主题均聚焦在AI技术在云安全的最新研究成果和应用,分别为《Multi-strategy Integration Architecture for Pornographic Web Site Detection》、《Insider Threat-Data Exfiltration Detection using Node2Vec in Instant Message》、《Webshell Detection with Attention-Based Opcode Sequence Classification》。
《Multi-strategy Integration Architecture for Pornographic Web Site Detection》(Yu Pang),即基于多策略融合的色情风险检测模型。
随着互联网的不断发展,违禁风险内容也不断增加,如暴力、色情、种族歧视等,因此,必须建立一个功能强大的能够识别和屏蔽该类风险的检测模型。该论文针对该问题提出了一个基于多策略融合的色情网站风险检测模型。与其他商业化场景中主要使用的基于网站内容的检测模型(如关键字检测或黑名单检机制等)不同,该方法融合文本特征、结构内容特征和语义特征构造检测模型。实验结果表明,该模型在精度和F1评分上都优于其他风险检测模型。
《Insider Threat-Data Exfiltration Detection using Node2Vec in Instant Message》(Xiaoyu Tang, Jie Chen),即内部威胁检测:基于Node2Vec的数据泄漏检测模型。
数据是很多公司的核心资产,包括但不限于公司的未来规划、交易数据、员工个人信息数据、客户数据等等,内部员工导致数据泄漏是代价最高而且最难以检测的,一方面内部员工本身可能拥有公司的多种权限,能够接触到大量的敏感数据;另一方面由于公司内部,和外部客户的数据交流经常会使用即时通讯工具进行,即时通讯工具可能被一些员工用来做敏感数据备份或者是数据外移的工具。因此,在即时通讯工具层面做数据安全防护是有意义且必要的。传统上在即时通讯工具上进行用户行为异常检测是使用一些统计规则,以及统计数据,这种方式由于需要更多人为经验去进行特征抽取,召回率和准确率都不高。经过分析和调研,本文发现可疑用户在即时通讯工具中传输文件会产生和正常用户不同的文件网络结构,据此,我们提出利用Node2Vec检测异常的文件传输结构的方法,能够完成自动化的进行特征抽取,并且在准确和召回上都有比较好的表现效果。
《Webshell Detection with Attention-Based Opcode Sequence Classification》(Wei He, Yue Xu, Liang Shi),即基于注意力机制Opcode序列的Webshell检测。
近年来,越来越多的Web应用程序迁移到云平台上,它们可能包含严重的Webshell或者由于存在漏洞而被植入了Webshell。但是针对Webshell的检测存在一些挑战,因为Webshell通常在恶意和正常文件之间没有明确的界限。例如,WordPress中的上传插件和管理员维护页面的功能与恶意Webshell非常相似,另一方面,许多Webshell为了绕过各种检测手段模拟成正常脚本的形态。因此,一个可靠的检测器应该以低误报率区分Webshell和普通Web脚本。本文提出了一种基于操作码序列检测的方法,我们建立了一个序列分类模型来预测恶意Webshell的概率。此方法不处理PHP脚本的模糊部分,而是处理执行时的实际机器代码。利用具有注意机制的BiLSTM来学习和识别操作码序列。通过超过30,000个样本的评估,实验结果表明我们的方法达到了F1=98.78%和AUC=99.97%,超过了其他检测模型。由于具有良好的准确性和多功能性,我们的方法可以用作常见的Webshell检测中,而不仅仅是PHP Webshell。
阿里云目前服务中国40%的网站,为上百万客户提供基础安全防御。每天由阿里云成功抵御的大流量DDoS攻击占全国的一半以上。丰富的实践经验为阿里云的学术研究提供了有利条件,最前沿的研究成果反哺产品及攻防实践,为客户提供更加智能的安全产品和服务,以保障千万企业云上安全。
本文作者:云安全专家
本文为云栖社区原创内容,未经允许不得转载。