Web应用程序漏洞可能会导致数据泄露或关键业务系统的中断，或者说几乎50%的数据泄露由Web应用漏洞导致，这是许多企业选择利用Web应用程序防火墙（WAF）来保护其网络的原因。近日，安全架构与解决方案提供商Fortinet FortiWeb（防特网）在其新发布的操作系统6.0中宣布应用了机器学习，可将攻击检测准确率“提高到接近100％”。

“虽然WAF是保护应用的主要安全技术，但有些企业可能不愿意使用这些设备——它们因其需要更多的人工干预而闻名，特别是在保障合法用户与用户不被阻断出现的误报问题时。”Fortinet中国区技术总监张略向《中国科学报》记者介绍说，在这种背景下，FortiWeb所应用的机器学习（ML）技术提供了一种完全不同的威胁检测方法，即利用概率进行威胁识别。

张略介绍说，与传统的应用程序学习（AL）类似的方面是，FortiWeb的机器学习在用户与应用程序交互的过程中收集数据。与AL不同的是，ML是利用统计模型来确定HTTP请求的异常，只有当请求偏离太远时，FortiWeb才会将其视为异常。

“这样的智能灵活的方法只是FortiWeb新的机器学习策略提供的两层机器学习功能中的第一个。”张略说，一旦确定了异常情况，它就会使用第二层机器学习来确定它是威胁还是简单的良性变化，例如错别字、以前没有被使用过的字符，甚至是该应用自身的一个良性。“它通过运行多种威胁模型来确定异常是否为攻击。如果是，那么就像AL一样，它可以采取诸如记录、警报或阻断异常等操作。”

为了进一步提高威胁检测效率，Fortinet将基于人工智能的先进机器学习功能与FortiWeb WAF相结合，创建了多种特定的威胁模型。张略解释说，每个模型都代表特定的攻击类别。这些威胁模型经过FortiWeb开发团队使用来自各种来源的数十万个真实攻击样本，包括众所周知的第三方数据库，如FortiGuard实验室的威胁情报及第三方漏洞扫描程序收集的数据，进行了广泛训练和测试。

“这些模型将作为FortiWeb解决方案的安全服务，进行持续更新，以便针对需要模型再训练和测试的新威胁提供实时保护。”张略说。

胡丹丹表示，应用了机器学习的攻击检测准确率提高到接近100％。“通过机器学习，FortiWeb可以在标记异常后，采取进一步防御动作之前快速准确确定是否是威胁，确保关键应用程序和事务不会中断，而不是标记和阻止每个异常。”基于此他进一步提到，除了极大降低误报外，FortiWeb机器学习引擎还能够显著减少漏报。（赵广立）