機器學習對抗流量中的風險，阿裡雲入選創新攻關成果目錄

近日，上海市經濟資訊化委釋出關于《2021年度上海市網絡安全産業創新攻關成果目錄》的通知，阿裡雲作為唯一雲廠商，其網絡流量風險智能對抗體系被“人工智能”項目收錄，阿裡雲将機器學習技術用于應對複雜網絡安全對抗的技術實力得到認可。

應對龐雜流量，雲為機器學習提供土壤

人工智能技術不僅被應用到安全防禦，更被“聰明的”攻擊者應用到攻擊中。

雲場景為機器學習落地安全提供有利土壤：

1) 強大的存儲能力，能夠留存全部的流量日志。傳統安全存儲能力受限，隻會保留攻擊日志，這樣造成的問題就是已經透過攻擊無法排查，而雲上有全部流量資料，也就為智能安全的發展提供了土壤；

2) 強大的計算能力，包括離線、實時計算平台，能夠支撐智能安全算法進行大規模的計算，充分發揮資料的價值；

3) 雲上豐富的業務場景和實踐機會。

作為全球領先的雲廠商，阿裡雲為雲上百萬客戶提供基礎安全防護，每天抵禦60億次攻擊，防禦全國50%的大流量DDoS攻擊，日均25億次風險檢測以及千萬級的Web攻擊。

在解決雲上複雜的安全問題過程中，阿裡雲充分發揮雲的天然優勢，将機器學習、深度學習等先進技術應用在與攻擊者的較量中，豐富實戰磨砺下形成了一套基于機器學習技術的網絡流量風險智能對抗體系，将第一輪複雜的流量分析和過濾交給機器來做，以留給安全專家更多的時間去解更難的安全問題，同時降低運維成本，提升應急響應效率。

阿裡雲上平均應急響應時間為1小時，遠遠低于行業24小時的平均水準，可以幫助客戶最大程度挽回業務損失。

三層一體化的網絡流量風險全局對抗

針對風險流量的分布情況，阿裡雲網絡流量風險智能對抗體系從流量攻擊對抗層、Web攻擊對抗層、業務風險對抗層3個層次出發，在每個層次中，結合基礎安全政策與人工智能算法，對網絡流量進行潛在風險的檢測與判定，并按照模型的判定結果進行相應的處置，解決DDoS防護、Web安全與Bot管理三個核心問題。

“千站千模”，流量個性化管控

在流量攻擊對抗層，阿裡雲采用“千站千模”方案，針對不同站點的網絡流量與站點自身的容量各自建構基線模型，學習站點可承受的流量範圍，同時輔助情報積累實作防禦體系不斷增強。

創新點

•基于曆史基線生成預設防禦政策：保障源站伺服器在攻擊第一時間不被攻擊沖垮，且對正常流量影響盡可能小。

•基于基線的異常流量判别，并針對異常流量生成實時處置政策：保障處置政策對正常流量影響盡可能小、對異常流量覆寫盡可能大。

•預設防禦政策+實時防禦政策結合：一方面保障源站伺服器在攻擊第一時間不被攻擊沖垮，另一方面保障處置政策對正常業務影響最小。

•政策有時效性，攻擊停止後一段時間政策自動删除：避免處置政策影響後續網站正常業務變動。

該方案已經在DDoS防護領域落地，實作了自動化、精細化的應用層資源耗盡式攻擊防禦流程，能在誤傷可控的前提下自動、精細地壓制攻擊，保障使用者業務不間斷；針對複雜的資源耗盡型DDoS攻擊實作秒級自動化防禦，實作超過99%的自動化響應。

流量分層，精細化治理

Web攻擊對抗層采用流量分層治理的思路，結合深度學習模型強大的特征表示與泛化能力打造核心攻擊檢測能力，同時輔以漏誤報感覺模型持續疊代優化，提升防護能力水位。

•将以往Web攻擊檢測中無差别、同一政策的檢測思想逐漸演進成由多元、多層、多模相融相生的檢測體系。

•依賴深度學習的學習泛化能力、檢測模型覆寫更多的未知，拓展防禦邊界。

•根據使用者正常流量定義白規則，為每個域名定制主動防禦政策，防護未知攻擊。

該方案成功應用在Web攻防場景，“流量分層治理”與“千站千面防護”模型将整體流量分為白、灰、黑三層，實作Web攻擊的精細、智能識别和自動化處置。

清除分離，高效識别與自主對抗

在業務風險對抗層，基于“清除分離”的對抗思路實作業務風險流量的高效識别與風險流量變異的自主對抗。

感覺層（查）僅用來标注風險流量，決策層（殺）從進階特征次元刻畫風險流量，對決策層産出的風險流量進行處置。同時模型持續線上疊代，當風險流量發生變異時，仍然能夠基于感覺層的标注，實作決策層模型的自動疊代與風險流量的自主處置。

•清除分離：對客戶相關資料接口上的所有流量進行一輪風險屬性打标（查），并根據不同通路特征進行UBA（User Behavior Analytics）模組化（殺）。在部署完成後的數次攻防對抗中，模型均能自動化監控并快速學習攻擊流量特征，針對攻擊流量喚起處置，無需客戶與營運介入。

•“端+雲”一體風險治理：傳統防控方案大多以“單點防控”為主，依賴黑名單和頻次限制，但應對黑灰産的交叉手法，難以達到良好的風險動态識别與管控。阿裡雲充分發揮“端+雲”聯防優勢，協同流量安全管理，将大規模的機器行為防控前置到端側，有效從源頭上發現批量攻擊；再發揮雲端無限算力優勢，通過持續學習和模型優化緩解防爬場景對抗問題。

該方案已在Bot管理方面成功應用，建構了百萬量級的風險情報庫，結合流式計算實作了分鐘級業務流量風險識别與處置能力，同時采用實時和離線雙鍊路聯合決策方案，實作了業務風險流量變異情況下對抗政策的自動化生成。

權威認可

• 在2019年的國際人工智能組織聯合會議IJCAI 2019（International Joint Conference on Artificial Intelligence 2019）上，阿裡雲4篇AI研究論文在諸多論文中脫穎而出，其中一篇被主論壇收錄，三篇被AIBS Workshop 收錄。論文深入解析了AI技術在網絡安全、資料安全和内容安全領域研究成果和場景化應用。IJCAI是人工智能領域最重要的頂級學術會議之一。每年被IJCAI成功收錄的論文均是AI領域最前沿的研究成果。
• 在全球權威咨詢機構Gartner釋出的2019 Web應用防火牆魔力象限中，阿裡雲Web應用防火牆成功入圍，是亞太地區唯一一家進入該魔力象限的廠商.在Gartner本次評測中，阿裡雲WAF的主動防禦模式及異常行為檢測能力得到高度認可，其中所用到的智能算法能力被評為強勢功能。
• 在《The Forrester Wave Web Application Firewalls Q1 2020》報告中阿裡雲作為亞太唯一廠商入選，并被評為 Contenders。
• 《The Forrester New WaveTM:Bot Management,Q1 2020》報告中，阿裡雲安全作為唯一中國廠商入選，防爬能力獲得認可。