意库资讯网 意库资讯网

当前位置: 首页 » 热门动态 »

技术应用 | AI+动态安全 :构建智能应用防护新体系

创始人 更新于 2025-07-08 10:54:15 首发于 2025-07-08 10:54:50 热门动态 0

文/中国邮政储蓄银行运营数据中心 冯冰君 李伟 李万宝 汪加伟

2022年末发布的关键信息基础设施安全保护要求中,提出了主动防御和收敛暴露面的明确要求。邮储银行通过构建全新的智能应用动态安全防护体系,以创新的“动态安全”技术为核心,打造“AI+动态安全”双引擎协同工作机制,护航邮储银行应用安全建设。作为重要的金融单位,邮储银行在数字金融时代构建自我迭代、优化和学习的综合性安全防护体系,在建设开放、灵活且可持续的安全运营能力的道路上不断探索与实践。

数字化金融面临的安全威胁挑战

数字化金融伴随移动互联网的快速发展,衍生出金融行业各种Web应用与移动应用,带来便利的同时也带来了各种安全风险。主要面临的威胁攻击早已由单一人工的方式转向以专业工具辅助人工的拟合形式。特别是近年来人工智能和大模型技术的涌现,同样引起了大量黑灰产团伙的觊觎,其利用AI生成自动化攻击技术、强化攻击能力,加快了攻击者的入侵速度,提高了其入侵的效率,同时弱化了他们对技术的依附性。2024年的全国两会《政府工作报告》中,首次提出“AI+安全”理念,提高应对网络空间安全风险与不确定性的能力。我们需要不断探索新技术、新模式,融入大数据和人工智能技术,提升金融科技的安全防护能力,应对更为复杂和隐蔽的网络攻击和业务应用风险。

安全防护任重道远需不断探索创新

网络安全威胁的演变与复杂化,使传统静态、被动式的防御策略显得力不从心。以往那种以产品堆砌、“护城河式”模式的安全架构,虽然看似层层设防,但在日益泛滥的互联网自动化攻击面前,其效果已经越来越有限。在此安全理念转型的时刻,邮储银行持续优化安全防御体系,尝试转变静态防御思维,构建一个全新的动态防御体系,实时掌握关键信息,能够灵活应对各种安全挑战,制定符合自身业务需求和风险预期的安全运营策略,提升应用安全运营能力。

邮储银行构建的应用动态安全防护体系是以创新的“动态安全”技术为核心,结合行为分析技术,构建“AI+动态安全”双引擎协同工作机制,提供传统Web安全防御能力的同时,更能轻松应对新兴和快速变化的恶意流量、自动化攻击、API攻击和CC攻击。其提供了对银行中各类Web、App、API业务的威胁感知和高强度对抗能力,覆盖Gartner WAAP全功能,实现应用安全全功能超融合防护。

“4D动态技术”突破“固守成规”

邮储银行以动态防护理念为指导思想,采用“4D动态技术”,即动态变换(Dynamic Morphism)、动态感知(Dynamic Awareness)、动态智能(Dynamic Intelligence),以及动态响应(Dynamic Response),突破传统安全领域静态特征匹配的被动防护局面,有效抑制自动化攻击,构筑应用动态安全防护体系。

“4D动态技术”通过对数据的动态变幻,隐藏了可能存在的安全漏洞,具有动态感知能力,判断终端操作的合法性。加上动态智能技术基于外部威胁情报精确预测攻击行为,结合动态响应机制随时调整防御手段,不仅覆盖各类Web攻击,同时借助AI智能引擎的高识别率、高捕获率,有效降低误报率和漏报率,自动精准区分攻击行为、恶意自动化访问和用户请求。

“动态防护”助力“主动防御”

邮储银行的应用动态防护体系(见图1)提供面向业务层的主动防御,高效甄别伪装和假冒正常行为的已知和未知自动化攻击,拦截未知威胁。业务威胁防护能力通过大数据结合业务威胁的特征,对流量进行实时监控,可全方位透视自动化攻击的类型、工具、目标和来源,并对攻击者进行画像,建立IP信誉库、指纹信誉库和账号信誉库,作为威胁情报供给,继而优化AI模型进行响应拦截,形成安全联防,让攻击者无所遁形。

图1 应用动态安全防护体系

动态安全防护系统的整体架构共分为展示层、功能层、处理层,主要的安全防护能力通过功能层四个动态模块实现,定制化的业务威胁与分析工作则通过数据处理层和展示层完成。处理层:主要功能包括数据收集、数据解析。功能层:它是系统最核心的组件,以“动态技术”为核心,包含动态封装、动态验证、动态令牌、动态混淆,结合AI智能威胁检测技术,提供面向业务层的主动防御。展现层:提供用户可视化界面,实现用户管理、日志查询、报表统计和配置管理功能。

简化部署实现降本增效

动态安全防护技术的落地只需要对Nginx、Apache的配置进行适当地变更(见图2)。一方面,利用Nginx、Apache等中间件自身的流量牵引技术,无感实现业务应用快速接入;另一方面,利用Nginx的Upstream Server及Apache的Proxy balancer负载均衡配置实现动态防护节点的高可用;再一方面,利用Server Group及BalanceMember预留的服务器Backup逃生通道,实现动态防护集群的快速绕过,最大程度保障业务的可用性。不依赖于SSL、负载均衡等网络设备,不改变原有的网络结构,更加贴近业务自身。

图2 动态安全防护系统部署示意图

通过以上方式,邮储银行在2个月内便完成数百个业务应用的全量动态防护覆盖,构筑起“AI+动态安全”的应用安全铜墙铁壁。

实战检验凸显防御成效

邮储银行通过一系列能力的完善,逐步实现有效的自适应互联网自动化恶意流量识别和防护方法。通过基于访问流量的自适应学习引擎进行深度分析,动态生成各类型业务场景防护策略。系统正式上线后对WebShell攻击、高级自动化工具攻击、重放攻击等进行了有效的检测、发现和拦截。特别是在实战攻防演练期间实现有效拦截各类网络攻击数百万次,其中绕过传统WAF的WebShell攻击和敏感信息扫描等威胁拦截达数万次,对于历次重保都会重点检查的0/Nday漏洞探测也进行了高达8000多次的拦截防护,应用安全防护效果成效显著。

展望未来,探索持续提升

动态安全防护作为一种主动性防御能力,将网络安全由被动响应化为源于业务本身需求的主动防御,成为护航邮储银行应用安全建设的重要手段。

未来,邮储银行将更加深入研究运用动态防护技术,对自动化攻击的类型、工具、目标和来源进行采集、富化、聚类,通过结合大数据、大模型,建立全程式业务威胁感知和智能分析能力,补充传统风控对于自动化业务威胁和欺诈行为识别的不足,实现业务威胁的深度感知,切实提升网络安全防护水平,为邮储银行高质量发展保驾护航。

(此文刊发于《金融电子化》2025年3月上半月刊)

未经允许不得转载: 意库资讯网 » 技术应用 | AI+动态安全 :构建智能应用防护新体系

热门标签

热门排行

最新更新

友情链接

Copyright © 2025 意库资讯网