阿里云安全研究成果入选人工智能顶级会议 IJCAI 2019， 业界首次用AI解决又一难题！

8月10日至8月16日，国际人工智能组织联合会议IJCAI 2019（International Joint Conference on Artificial Intelligence 2019）在中国澳门召开。阿里云4篇AI研究论文在诸多论文中脱颖而出，其中一篇被主论坛收录，三篇被AIBS Workshop 收录。论文深刻解析了AI技术在网络安全、数据安全和内容安全领域研究成果和场景化应用，展现了阿里云安全在智能安全领域的领导性。

自1969年首次在华盛顿特区举办以来，IJCAI已成为人工智能领域最重要的顶级学术会议之一。每一年被IJCAI成功收录的论文均是AI领域最前沿的研究成果。今年IJCAI主论坛的论文收录率仅为17.9%，比去年收录率更低。阿里云被主论坛收录的论文《Locate Then Detect：Web Attack Detection via Attention-based Deep Neural Networks》，首次解决了深度学习在Web攻击检测领域的结果可解释性问题，具备史无前例的创新意义，证实阿里云在安全AI技术的学术研究和应用方面业界领先。

《Locate Then Detect：Web Attack Detection via Attention-based Deep Neural Networks》（Tianlong Liu, Yu Qi, Liang Shi, Jianan Yan），即基于注意力机制的深度神经网络在Web攻击检测中的应用。

该论文提出了一种全新的两段式Web攻击检测框架，称之为Locate-Then-Detect（LTD）。LTD模型结合了Object Detection和注意力机制的思想，创造性的提出了PLN（Payload Locating Network 攻击载荷靶向定位网络）与PCN（Payload Classification Network 攻击载荷分类网络），经过两个深度神经网络的结合，能够准确的定位恶意攻击所在的位置，并对其类型进行精准识别。PLN用来定位攻击向量的可疑位置，PCN再对识别出的可疑向量进行分类，经过靶位识别网络的提取能力，可以使得检测系统更加关注真正有害的攻击，从而规避掉整个请求内容中正常部分对模型预测结果的影响。

LTD首次解决了深度学习在Web攻击检测领域的结果可解释性问题（经过Payload的靶向定位实现），同时在与其余传统方式的对比中，LTD也表现出超过了基于规则、符号特征和传统机器学习方法的效果。目前，LTD检测框架已经过AI内核的形式实际应用阿里云Web应用防火墙产品当中，经过AI内核的加持，为云上客户提供实时的智能防御，保障云上用户安全。

被AIBS Workshop Paper（Artificial Intelligence for Business Security）收录另外三篇论文主题均聚焦在AI技术在云安全的最新研究成果和应用，分别为《Multi-strategy Integration Architecture for Pornographic Web Site Detection》、《Insider Threat-Data Exfiltration Detection using Node2Vec in Instant Message》、《Webshell Detection with Attention-Based Opcode Sequence Classification》。

《Multi-strategy Integration Architecture for Pornographic Web Site Detection》（Yu Pang），即基于多策略融合的色情风险检测模型。

随着互联网的不断发展，违禁风险内容也不断增长，如暴力、色情、种族歧视等，所以，必须创建一个功能强大的可以识别和屏蔽该类风险的检测模型。该论文针对该问题提出了一个基于多策略融合的色情网站风险检测模型。与其余商业化场景中主要使用的基于网站内容的检测模型（如关键字检测或黑名单检机制等）不一样，该方法融合文本特征、结构内容特征和语义特征构造检测模型。实验结果代表，该模型在精度和F1评分上都优于其余风险检测模型。

《Insider Threat-Data Exfiltration Detection using Node2Vec in Instant Message》（Xiaoyu Tang, Jie Chen），即内部威胁检测：基于Node2Vec的数据泄漏检测模型。

数据是不少公司的核心资产，包括但不限于公司的将来规划、交易数据、员工我的信息数据、客户数据等等，内部员工致使数据泄漏是代价最高并且最难以检测的，一方面内部员工自己可能拥有公司的多种权限，可以接触到大量的敏感数据；另外一方面因为公司内部，和外部客户的数据交流常常会使用即时通信工具进行，即时通信工具可能被一些员工用来作敏感数据备份或者是数据外移的工具。所以，在即时通信工具层面作数据安全防御是有意义且必要的。传统上在即时通信工具上进行用户行为异常检测是使用一些统计规则，以及统计数据，这种方式因为须要更多人为经验去进行特征抽取，召回率和准确率都不高。通过分析和调研，本文发现可疑用户在即时通信工具中传输文件会产生和正经常使用户不一样的文件网络结构，据此，咱们提出利用Node2Vec检测异常的文件传输结构的方法，可以完成自动化的进行特征抽取，而且在准确和召回上都有比较好的表现效果。

《Webshell Detection with Attention-Based Opcode Sequence Classification》（Wei He, Yue Xu, Liang Shi），即基于注意力机制Opcode序列的Webshell检测。

近年来，愈来愈多的Web应用程序迁移到云平台上，它们可能包含严重的Webshell或者因为存在漏洞而被植入了Webshell。可是针对Webshell的检测存在一些挑战，由于Webshell一般在恶意和正常文件之间没有明确的界限。例如，WordPress中的上传插件和管理员维护页面的功能与恶意Webshell很是类似，另外一方面，许多Webshell为了绕过各类检测手段模拟成正常脚本的形态。所以，一个可靠的检测器应该以低误报率区分Webshell和普通Web脚本。本文提出了一种基于操做码序列检测的方法，咱们创建了一个序列分类模型来预测恶意Webshell的几率。此方法不处理PHP脚本的模糊部分，而是处理执行时的实际机器代码。利用具备注意机制的BiLSTM来学习和识别操做码序列。经过超过30,000个样本的评估，实验结果代表咱们的方法达到了F1=98.78％和AUC=99.97％，超过了其余检测模型。因为具备良好的准确性和多功能性，咱们的方法能够用做常见的Webshell检测中，而不只仅是PHP Webshell。

阿里云目前服务中国40%的网站，为上百万客户提供基础安全防护。天天由阿里云成功抵御的大流量DDoS攻击占全国的一半以上。丰富的实践经验为阿里云的学术研究提供了有利条件，最前沿的研究成果反哺产品及攻防实践，为客户提供更加智能的安全产品和服务，以保障千万企业云上安全。

原文连接 本文为云栖社区原创内容，未经容许不得转载。