中國IDC圈12月28日報道，12月20-22日，第十一屆中國IDC財富年度大典（IDCC2016）在北京國度集會會議中心謹慎召開。本次大會由中國信息通信研究院、云計較成長與政策論壇、數據中心同盟指導，中國IDC財富年度大典組委會主辦，中國IDC圈承辦，并受到諸多媒體的大力大舉支持。

中國IDC財富年度大典作為海內云計較和數據中心規模局限最大、最具影響力的符號性盛會，之前已樂成舉行過十屆，在本屆大會無論是規格照舊局限都"更上一層樓"，引來現場人員爆滿，影響力全面包圍數據中心、互聯網、云計較、大數據等多個規模。

會上，長亭科技高級研發工程師 李昌志 出席IDC處事大會并為當天的安詳運維分論壇做《論正則防護系統的全自動繞過與下一代防護方案》主題演講。

長亭科技高級研發工程師 李昌志

以下是演講實錄：

各人好，本日跟各人分享的議題是說一下正責防護系統的全自動繞過方案，以及提一個下一代防護方案。簡樸做一下自我先容。我來自長亭科技，叫李昌志，之前在騰訊安詳應急響應中心，認真應急響應事情，2015恩年插手長亭科技，此刻做長亭雷池WAF產物相關的事情。

我們先看一下WAF，以WAF此刻的環境來說，業內有兩種方案是做這種對象。一種是傳統的要領，在一個通用的正則體系有許多的法則，當一個請求出發到一個法則就會出發WAF內部的法則，在處事器后端干掉。新一點的方案就是基于沒有法則的無法則體系，匹配一整套法則的文本，用這種方法會到達一個較量高的精確率和召回率。今朝來看，從2014年年底提出這種方案到實施到產物落地或許有兩年，我們是全球第一家提出用這種方法去做外部進攻檢測的公司。到今朝為止，業內有許多廠家附和我們的這種做法。2015年，我們在全球發了一個議題，也是講關于這個對象，其時同行也以為這個方案很是好。可以看到前幾天阿里云發了一篇文章，說阿里云的WAF云盾已經做了一些相關的事情。在上一周阿里云也宣布了一套新的WAF的檢測體系，也是基于這種法則。傳統的WAF利用的方案已經較量陳舊，已經存在大量的被繞過、被進攻的大概，要辦理這么多問題，必需要提出一個新的思路，怎么去成立一個較量新的外部檢測的流程和方案。

先看一下傳統WAF是怎么做這個對象的。首先一個傳統的WAF拿到用戶的請求，會看到一個這樣的UIL，首先進入WAF今后，這是WAF整個內部的執行流程，它首先會有流量清晰的模塊，像這樣的UIL被理會今后，大概會PASS成上面這種環境，它有Q參數，這個Q參數的內容是這個對象，這個對象照舊有編碼的，這邊普通的用戶都利用不了它，WAF會在下一步有輸入尺度化的對象，輸入尺度化的模塊在后端可以把它領略為解碼的尺度，可是在傳統的WAF內里，它并沒有很好地實現解碼這個成果。看一下功效，當它沒有去實現一些常常的解碼成果，它就會利用一系列較量陳腐的替換方案。好比它看到這個%3C，就會替換成小于號，它會通過這樣的方案，把一些巨細寫的問題都轉成小寫，通過這個輸入尺度化模塊今后，這個請求就會獲得一條像輸入尺度化何處列出來的責任標簽的對象，顛末這個對象今后，WAF在最后尚有一個匹配的法則集，傳統的WAF會有傳統的法則系統，按照黑客的進攻特征，會抽象出許多的法則和特征。當某一個請求內里PASS出來的對象，PC到某一條法則，我們就認為它是一條進攻。可以看到這邊輸入尺度化出來的對象，在何處輸入法則集內里匹配的第一條法則，我們就認為它是一個匹配那條進攻的法則。當WAF知道此刻請求已經被匹配了，WAF說你是個進攻，在最后它就會執行一個相應的計策，這個計策是由打點員來設置的，大概是把你干掉，可能是記一些相關的日志。這就是整個傳統WAF對流量的理會和攔截的進程。

我們看一下思考題。寫過代碼的同學各人應該都知道，這是一個括號匹配的問題。傳統的WAF既然是利用正則表達式去抽象一些法則，那怎么去利用正則表達式描寫這樣的法則呢？你怎么寫一個正則表達式，使你寫出的正則表達式可以匹配出括號需要的法則。你如何利用正則表達式描寫這樣的法則，有N個A和N個B的鏈接行為。利用正則表達式完全做不到這一點，當一個進攻切合這樣的特點，如果有5個A跟5個B，那一個正則表達式是完全沒有步伐匹配到這樣的特征。當一個進攻切合這樣的特征，你利用傳統的WAF團結體系就基礎沒有步伐攔截這樣的進攻。這是一個很是大的弱點。

我們說下RE與FA。RE就是正則表達式，FA是有限自念頭。它們之間有什么干系呢？我們先看幾張圖。