1月7日，長亭科技語義分析3.0暨雷池30巡回發布會首站在北京舉行。

發布會上展示了長亭語義分析技術的最新成果、雷池（SafeLine）全新升級30版本以及WAF的最佳實踐，體現了長亭在網絡安全與人工智能技術融合應用的全新突破。此外，IDC中國高級研究經理趙衛京以全球網絡安全技術熱點與趨勢為主題進行了分享，為發布會提供了國際化視角。

一、語義分析3.0發布，語義分析本身具備代際性的優勢

作為長亭科技流量檢測類產品的核心技術，語義分析相對于傳統的基于規則、正則表達式的Web攻擊檢測技術而言，本身就具備代際上的優勢。

長亭科技CTO 劉金釗

在傳統的 Web攻擊檢測里，規則式的、正則表達式的檢測方法，只是在嘗試捕獲攻擊中的文本內容上的特點，但這些特點并不能反映攻擊的本質，是間接特征。而語義分析技術就像 DNA 技術一樣，準確地捕捉到“攻擊”的本質屬性：一段符合語法規則同時包含惡意語義的代碼片段。這也是語義分析能夠再次將檢測效果提升一個級別的根本原因。

從1.0到2.0：融合大模型

從2016年長亭交付第一個語義分析引擎的商業化版本，至今總計進行了接近萬次的引擎迭代，總共實現了18種針對不同攻擊手段的檢測引擎。

2023 年，伴隨AI大模型的興起，長亭創新地將語義分析技術與問津（ChaitinAI）安全大模型相結合，迎來了語義分析技術的一次重大飛躍——語義分析2.0。這一版本中，語義分析引擎負責提取攻擊中的關鍵語義信息，為大模型理解Web攻擊的本質和意圖提供了清晰的指引。此次融合，進一步提升了語義分析對復雜網絡攻擊的檢測能力和解釋能力。

揭秘3.0：“AI+數據”驅動新紀元

隱藏在語義分析引擎高準確率、高性能后面的，是復雜的技術原理，每次改進都需要謹慎權衡，迭代的難度和復雜性不斷加大。如何進一步提升語義分析引擎的性能？

經過反復驗證，長亭再一次從技術路線選擇中找到了革新的路徑，其核心原理是深度融合語義分析技術與機器學習技術，語義分析3.0由此誕生。

在新的引擎架構中，語義分析不再直接輸出檢測結果，而是專注于提取請求中的攻擊特征，包括詞法、語法和語義層面的特征。這些強安全特征相對穩定，減少了對引擎的維護需求。隨后，提取到的特征被送入多個AI模型進行判定?；谶@些強特征，無需復雜龐大的深度神經網絡模型，即能實現較高的判定準確率。這樣的設計既保留了語義分析和機器學習兩者的優點，同時又減少了各自的不足。

這種架構下的新引擎具有顯著優勢：

性能卓越：繼承了語義分析的速度優勢，綜合性能達到當前語義分析1.0引擎的90%以上，且實際引擎耗時占比小，對整體性能影響不明顯。

可解釋性強：強語法特征和語義特征結合可解釋模型，能以自然語言輸出對攻擊的解釋，提升了安全防護的透明度。

維護簡便：減少了語義分析部分的維護頻率，通過優化訓練數據分布與質量持續提升性能，降低了維護門檻和成本。

破局數據挑戰：影子模式 + 群體標注

有了優秀的引擎架構，距離多方位極致提升性能就只剩下一個問題需要解決：高質量的安全數據集。

在安全行業，獲取高質量數據一直是個難題。與電商等行業不同，用戶訪問網站的行為本身不提供安全標簽，安全數據標簽只能由安全專家從日志中標注，導致有效標記數量少。而AI模型性能依賴數據質量，這給安全行業應用AI技術帶來巨大挑戰。

為解決數據問題，語義分析3.0借鑒自動駕駛技術，采用影子模式和群體標注。

影子模式下，在現有檢測引擎外增加影子引擎，當影子引擎與主引擎判定結果不同時，保存相關樣本用于優化引擎。

群體標注則利用大量部署設備處理的業務數據，當模型對特定攻擊載荷性能不佳時，從海量數據中找到相似數據進行優化，提升對特殊攻擊向量的檢測能力。

以上方法構建了數據驅動的引擎迭代流程：獲取數據后進行手工標注與擴充，優化樣本分布；用高質量數據訓練新模型并部署；運行中持續觀察差異，再次擴充數據和訓練，循環往復，不斷提升檢測準確性。

數據驅動的迭代“引擎”最終讓語義分析3.0將檢測性能提升至又一個新的巔峰：

準確率再提升：在驗證數據集上，語義分析3.0成功將檢測準確率從99.9%提升至99.99%，誤報和漏報比例大幅降低。

應急響應更迅速：以往處理引擎誤報和漏報可能需要3至7天，而現在通過數據驅動的方法，理想情況下可縮短至2至8小時。只需分析樣本數據、識別錯誤載荷、擴增樣本并訓練模型，就能快速得到新引擎，極大提高了應急響應速度。

模型微調更精準：作為AI引擎，可針對特定業務場景進行精細化調優。通過模型微調，能提高對特定業務的適應性，減少漏報和誤報，同時可存儲關鍵特征數據，便于管理且保護敏感信息。

未知威脅識別更強：語義分析3.0進一步提升了對未知威脅（0-day）的識別能力。繼承了語義分析識別未知攻擊的優勢，并借助 AI 模型更強大的學習和泛化能力，更有效地應對新出現的網絡安全威脅。

二、雷池WAF重磅升級

在本次大會上，除了革新的語義分析3.0技術，長亭科技還發布了全方位重大升級的雷池（SafeLine）下一代Web應用防火墻30版本。本次升級聚焦“創新、智能、融合”三大特色，主要體現在以下三個方面：

• 安全核心引擎智能升級

• 模式融合與架構升級

• WAAP方案融合升級

長亭科技首席安全產品專家郭世超

安全核心引擎智能升級

首先，得益于語義分析技術3.0的躍遷，新版的雷池30在性能、檢測效果、用戶業務貼合度、應急響應速度、0day防護、運營體驗六大方面都有了跨越式的提升。

同時，雷池30的另一項新技術突破——流式語義分析技術，攻克了多年困擾行業的“大包繞過”難題。這項技術的核心突破在于實現了數據分片流式接收技術、深度解碼?？煺占夹g、語義分析引擎可重入技術等多項創新，將協議解析、解碼和模式匹配改造為“邊接收、邊檢測、邊轉發”的流式檢測模式。不僅有效解決了“大包繞過”問題，還在不犧牲檢測效果的前提下大幅降低了檢測延遲，為用戶提供更優質的業務體驗。

此外，針對當下流行的大模型應答返回采用的 HTTP SSE (Server-Sent Events) 機制，雷池30應用響應流式檢測和語義緩存技術，能夠在不影響大模型應答效果的同時，攔截或屏蔽敏感/違規信息，進一步拓寬了雷池30在新興技術領域的安全防護能力。

模式融合與架構升級

1、數據面引擎升級：XDP 賦能超強性能

雷池30在數據平面引擎上全面落地XDP技術，構建了基于eBPF的網絡層協議棧。

(知識點小Tips：XDP全稱eXpress Data Path，即快速數據路徑，是Linux內核提供的高性能、可編程的網絡數據包處理框架。XDP會直接接管網卡的RX方向數據包，通過在內核運行eBPF指令快速地處理報文并無縫對接內核協議棧)

首先，XDP在技術層面具備高性能的技術優勢，提供高性能數據包處理效率，核心吞吐量高達每秒2400 萬包（Mpps），同時內核態的屬性，能夠減少數據拷貝次數、降低系統調用開銷、無需專用CPU，從而整體提升系統整體效率

其次，XDP的內核態方案，不受制于上游廠商和社區提供支持，雷池30在安全自主可控上又前進一大步。相比之下，基于DPDK的kernal-bypass 方案，其用戶態驅動(PMD)對底層硬件進行適配之后，才能正常工作或達到預期性能。這部分通常依賴上游硬件廠商和DPDK 社區的技術支持。

2、模式升級：擺脫硬件束縛，融合多樣場景

模式的升級使雷池30擺脫硬件依賴，實現軟硬件一體架構，既滿足軟硬形態需求，同時上云無比友好，更符合云原生概念。

雷池30模式進行了調整優化：

• 透明橋和透明代理合并為統一透明模式，普通站點無需配置自動防護，降低維護成本；

• 拆分出一個獨立的路由模式，極大增強了在路由場景的能力；

• 所有模式都可以同時支持軟/硬件形態；

• 支持在頁面上便捷熱切換模式，且提供一種 "專家模式形態", 在一臺 WAF上同時使用四種模式；

• 復雜網絡模式同樣支持虛擬機安裝，滿足超融合、云內特殊流量接入場景，擴展了WAF的使用方式，為用戶提供了更靈活、多樣化的選擇。

3、底盤升級：統一管理，無縫適配

雷池自誕生起就基于Docker容器技術，在云原生環境下天然具有競爭力，但雷池20版本在不同部署場景下存在架構設計差異，導致用戶體驗不一致。雷池30引入領域驅動設計（DDD）思想并參考K8s的Operator 模式，對控制面核心配置域進行全方位升級。

這一升級實現了跨場景的一致性體驗，無論單機、云架構，還是硬件集群與軟件集群混合使用，用戶操作與管理都能無縫銜接，靈活適配各種復雜業務場景，同時維護性與擴展性得到顯著提升。在不增加額外成本的前提下，能夠更好地滿足復雜業務需求，確保在大規模、復雜場景下的可用性和可靠性，為用戶提供了更穩定、高效的網絡安全管理解決方案。

WAAP方案升級：一體化防護，筑牢安全網

任意單一的安全防護功能孤島已無法滿足當前復雜、動態的業務安全需求，雷池30的WAAP有別于WAF、Bot防護、API安全、CC防護等功能的簡單組合，而是通過模塊融合，實現了各個安全模塊的無縫協同，形成了一個高效、智能的安全防護體系。

長亭科技副總裁周辛酉

例如，在API安全方面，雷池30通過語義分析引擎和API安全實現了正向循環。一方面，引擎的深度解碼和語義分析能力有助于提取更全面的請求信息，提高API敏感數據識別、用戶身份識別和風險檢測的準確性；同時，API識別結果又能增強語義引擎的解碼性能，通過Schema 校驗和API基線，實現對異常流量的精準防護并降低誤報率。API安全還能提升其他模塊的智能化水平，利用機器學習分析API調用模式并建模，根據學習結果智能動態調整Bot防護和CC防護的閾值策略，實時應對新型攻擊。

此外，雷池30的WAAP方案除支持單機外，在軟硬件集群/云場景中也能靈活落地，為用戶提供靈活的方案能力選擇。

三、全球網絡安全技術熱點與趨勢

發布會上，IDC中國高級研究經理趙衛京還帶來了《全球網絡安全技術熱點與趨勢》的主題分享。他指出，在全球安全市場發展存在諸多不確定性的當下，人工智能將加速網絡安全技術的創新與實踐。到2030年，AI將會累積帶來近20萬億美元的經濟收入。其中，GenAI也將推動網絡安全產業加速發展，更多的企業將更愿意使用GenAI應用到組織中的安全應用中，并在安全工具嵌入GenAI作為安全助手提升安全效率。在安全運營、應用安全、數據安全、風險/暴露面管理、安全合規等安全領域中，GenAI均有很多應用方向和空間。

趙衛京表示，在應用安全方向，更多的企業愿意廣泛采用Web應用防護方案，WAF作為基礎方案是客戶的首選。同時，主要包括WAF、API安全、DDoS緩解、Bot管理等能力的WAAP解決方案也引起了很多客戶的興趣。

IDC中國高級研究經理 趙衛京

長亭科技自成立以來，在業界有公認的兩大標簽。一是在實戰攻防領域表現卓越，二是作為一家以技術驅動的智能安全公司備受矚目。此次語義分析3.0的發布是長亭擁抱AI時代的新一代檢測技術、在智能安全的方向上繼續推動行業變革的又一里程碑。未來，長亭將秉持“知攻善防、智能安全”的理念，持續推動從應用層、到網絡架構層、再到內核協議棧的各個層面的全棧安全創新。