阿里雲安全研究成果入選人工智能頂級會議 IJCAI 2019，業界首次用AI解決又一難題！

時間 2019-11-06

標籤阿里雲安研究成果入選人工智能頂級會議 ijcai 業界首次解決又一難題欄目阿里巴巴简体版

原文原文鏈接

8月10日至8月16日，國際人工智能組織聯合會議IJCAI 2019（International Joint Conference on Artificial Intelligence 2019）在中國澳門召開。阿里雲4篇AI研究論文在諸多論文中脫穎而出，其中一篇被主論壇收錄，三篇被AIBS Workshop 收錄。論文深刻解析了AI技術在網絡安全、數據安全和內容安全領域研究成果和場景化應用，展現了阿里雲安全在智能安全領域的領導性。shell

自1969年首次在華盛頓特區舉辦以來，IJCAI已成爲人工智能領域最重要的頂級學術會議之一。每一年被IJCAI成功收錄的論文均是AI領域最前沿的研究成果。今年IJCAI主論壇的論文收錄率僅爲17.9%，比去年收錄率更低。阿里雲被主論壇收錄的論文《Locate Then Detect：Web Attack Detection via Attention-based Deep Neural Networks》，首次解決了深度學習在Web攻擊檢測領域的結果可解釋性問題，具備史無前例的創新意義，證實阿里雲在安全AI技術的學術研究和應用方面業界領先。安全

《Locate Then Detect：Web Attack Detection via Attention-based Deep Neural Networks》（Tianlong Liu, Yu Qi, Liang Shi, Jianan Yan），即基於注意力機制的深度神經網絡在Web攻擊檢測中的應用。

該論文提出了一種全新的兩段式Web攻擊檢測框架，稱之爲Locate-Then-Detect（LTD）。LTD模型結合了Object Detection和注意力機制的思想，創造性的提出了PLN（Payload Locating Network 攻擊載荷靶向定位網絡）與PCN（Payload Classification Network 攻擊載荷分類網絡），經過兩個深度神經網絡的結合，能夠準確的定位惡意攻擊所在的位置，並對其類型進行精準識別。PLN用來定位攻擊向量的可疑位置，PCN再對識別出的可疑向量進行分類，經過靶位識別網絡的提取能力，可以使得檢測系統更加關注真正有害的攻擊，從而規避掉整個請求內容中正常部分對模型預測結果的影響。網絡

LTD首次解決了深度學習在Web攻擊檢測領域的結果可解釋性問題（經過Payload的靶向定位實現），同時在與其餘傳統方式的對比中，LTD也表現出超過了基於規則、符號特徵和傳統機器學習方法的效果。目前，LTD檢測框架已經過AI內核的形式實際應用阿里雲Web應用防火牆產品當中，經過AI內核的加持，爲雲上客戶提供實時的智能防禦，保障雲上用戶安全。框架

被AIBS Workshop Paper（Artificial Intelligence for Business Security）收錄另外三篇論文主題均聚焦在AI技術在雲安全的最新研究成果和應用，分別爲《Multi-strategy Integration Architecture for Pornographic Web Site Detection》、《Insider Threat-Data Exfiltration Detection using Node2Vec in Instant Message》、《Webshell Detection with Attention-Based Opcode Sequence Classification》。

《Multi-strategy Integration Architecture for Pornographic Web Site Detection》（Yu Pang），即基於多策略融合的色情風險檢測模型。機器學習

隨着互聯網的不斷髮展，違禁風險內容也不斷增長，如暴力、色情、種族歧視等，所以，必須創建一個功能強大的可以識別和屏蔽該類風險的檢測模型。該論文針對該問題提出了一個基於多策略融合的色情網站風險檢測模型。與其餘商業化場景中主要使用的基於網站內容的檢測模型（如關鍵字檢測或黑名單檢機制等）不一樣，該方法融合文本特徵、結構內容特徵和語義特徵構造檢測模型。實驗結果代表，該模型在精度和F1評分上都優於其餘風險檢測模型。ide

《Insider Threat-Data Exfiltration Detection using Node2Vec in Instant Message》（Xiaoyu Tang, Jie Chen），即內部威脅檢測：基於Node2Vec的數據泄漏檢測模型。工具

數據是不少公司的核心資產，包括但不限於公司的將來規劃、交易數據、員工我的信息數據、客戶數據等等，內部員工緻使數據泄漏是代價最高並且最難以檢測的，一方面內部員工自己可能擁有公司的多種權限，可以接觸到大量的敏感數據；另外一方面因爲公司內部，和外部客戶的數據交流常常會使用即時通信工具進行，即時通信工具可能被一些員工用來作敏感數據備份或者是數據外移的工具。所以，在即時通信工具層面作數據安全防禦是有意義且必要的。傳統上在即時通信工具上進行用戶行爲異常檢測是使用一些統計規則，以及統計數據，這種方式因爲須要更多人爲經驗去進行特徵抽取，召回率和準確率都不高。通過分析和調研，本文發現可疑用戶在即時通信工具中傳輸文件會產生和正經常使用戶不一樣的文件網絡結構，據此，咱們提出利用Node2Vec檢測異常的文件傳輸結構的方法，可以完成自動化的進行特徵抽取，而且在準確和召回上都有比較好的表現效果。學習

《Webshell Detection with Attention-Based Opcode Sequence Classification》（Wei He, Yue Xu, Liang Shi），即基於注意力機制Opcode序列的Webshell檢測。網站

近年來，愈來愈多的Web應用程序遷移到雲平臺上，它們可能包含嚴重的Webshell或者因爲存在漏洞而被植入了Webshell。可是針對Webshell的檢測存在一些挑戰，由於Webshell一般在惡意和正常文件之間沒有明確的界限。例如，WordPress中的上傳插件和管理員維護頁面的功能與惡意Webshell很是類似，另外一方面，許多Webshell爲了繞過各類檢測手段模擬成正常腳本的形態。所以，一個可靠的檢測器應該以低誤報率區分Webshell和普通Web腳本。本文提出了一種基於操做碼序列檢測的方法，咱們創建了一個序列分類模型來預測惡意Webshell的機率。此方法不處理PHP腳本的模糊部分，而是處理執行時的實際機器代碼。利用具備註意機制的BiLSTM來學習和識別操做碼序列。經過超過30,000個樣本的評估，實驗結果代表咱們的方法達到了F1=98.78％和AUC=99.97％，超過了其餘檢測模型。因爲具備良好的準確性和多功能性，咱們的方法能夠用做常見的Webshell檢測中，而不只僅是PHP Webshell。阿里雲

阿里雲目前服務中國40%的網站，爲上百萬客戶提供基礎安全防護。天天由阿里雲成功抵禦的大流量DDoS攻擊佔全國的一半以上。豐富的實踐經驗爲阿里雲的學術研究提供了有利條件，最前沿的研究成果反哺產品及攻防實踐，爲客戶提供更加智能的安全產品和服務，以保障千萬企業雲上安全。

原文連接本文爲雲棲社區原創內容，未經容許不得轉載。