F5推出AI驱动WAF与虚拟补丁技术，全面强化网络安全防护

漏洞被发现到遭受攻击利用之间的时间窗口近年来持续压缩，而前沿AI模型的出现更加速了这一趋势。为应对这一变化，F5本周宣布扩展其应用交付与安全平台的Web应用及API防护（WAAP）能力，新功能涵盖三个核心领域。

AI驱动的Web应用防火墙（WAF）

该功能部署于F5分布式云服务中，引入神经网络模型对每一条请求进行实时风险评分，彻底摒弃传统的特征签名匹配机制，实现更强的行为检测能力。

API安全本地版

面向物理隔离及受监管环境推出的本地化部署方案，提供无需依赖云端的API发现、可视化与安全防护能力，满足高合规要求场景下的使用需求。

虚拟补丁

整合BIG-IP Advanced WAF与F5分布式云Web应用扫描能力，在漏洞修复工作推进的同时，于应用交付层提供实时运行时防护。

目前，AI驱动的WAF已通过分布式云平台提供服务。F5表示，正积极推进将同等能力引入BIG-IP、Nginx Plus及Nginx开源版本，以满足本地部署或受限网络环境用户的需求。

F5战略工程副总裁Joel Moses在接受Network World采访时表示："如果攻击者是机器，能在数秒内构造出全新的攻击序列，那么你的响应手段就不能依赖签名库，必须建立在对行为的检测与分析之上。"

神经网络模型赋能行为检测

F5分布式云中的AI驱动WAF将现有WAF功能与神经网络行为特征分析模型相融合。系统不再将流量与已知攻击签名库进行比对，而是基于多维信号为每条请求生成数值化风险评分，为安全团队提供可操作的具体上下文信息，而非简单的拦截或放行二元判断。

不依赖签名的检测理念在安全最佳实践领域已倡导逾十年，各厂商也长期推广启发式检测技术。Moses表示，F5的方案在规模与能力上均有别于早期启发式检测——早期启发式方法的采样窗口较小，而神经网络模型能够在更大的采样窗口内处理流量，并通过距离异常检测追踪更多路径，对尚无已知签名的攻击模式更为有效。

该模型由F5人工智能卓越中心自主研发，并非基于商业基础模型微调而来。Moses强调："这是我们在AI卓越中心内部开发的自有成果，专为其所承担的任务进行了定制化调优。"

模型持续基于真实世界遥测数据进行训练，使系统能够在正式签名出现之前识别新型漏洞利用模式，并在第七层阻断CVE漏洞链式攻击。

根据SecureIQLab的测试结果，F5 WAAP与F5 AI护栏的综合安全评分达到97.09%，其中针对OWASP WAF Top 10与API Top 10关键风险的准确率为100%，机器人攻击防护与第七层DoS防护均获满分。

Moses表示，对于已部署分布式云平台的客户而言，启用AI驱动WAF后可带来显著的运营改变——激活该功能的客户通常比依赖手动配置签名规则的客户更快进入拦截模式，同时F5的误报率也从约18%大幅降至约1%。

虚拟补丁：应对新兴威胁的有力工具

AI驱动WAF的另一重要价值在于大幅提升针对新兴威胁的虚拟补丁能力。

虚拟补丁一直是WAF部署的重要组成部分，但当前的威胁态势已发生根本性转变。前沿AI模型发现并利用漏洞的速度，远超大多数企业将修复方案推进至开发与测试完成的速度。BIG-IP Advanced WAF与F5分布式云Web应用扫描的组合，能够在漏洞被识别的第一时间于应用交付层施加虚拟补丁，在软件修复经历开发和测试周期的过程中提供持续运行时防护。

Moses将虚拟补丁定位为修复窗口期内的辅助工具，而非替代根本性代码修复的手段。他表示："它是你手中的一件武器，能否发挥强大作用，取决于你所在组织推进修复的速度快慢。"

Q&A

Q1：F5的AI驱动WAF与传统WAF有什么区别？

A：传统WAF依赖已知攻击签名库进行流量比对，而F5的AI驱动WAF采用神经网络模型，对每条请求基于多维信号进行实时风险评分，能够检测尚无已知签名的新型攻击模式。该模型还持续基于真实遥测数据训练，并通过距离异常检测追踪更多攻击路径。测试数据显示，启用后误报率从约18%降至约1%，综合安全评分达97.09%。

Q2：F5虚拟补丁功能是如何工作的？它能替代正式的代码修复吗？

A：F5虚拟补丁整合了BIG-IP Advanced WAF与分布式云Web应用扫描能力，在漏洞被识别的第一时间于应用交付层施加运行时防护，覆盖软件修复方案完成开发与测试的整个周期。但F5战略工程副总裁Joel Moses明确指出，虚拟补丁是修复窗口期内的辅助工具，不能替代对底层代码的根本性修复。

Q3：F5 API安全本地版适合哪些场景使用？

A：F5 API安全本地版专为物理隔离（air-gapped）及受严格监管的合规环境设计，提供完全本地化部署的API发现、可视化与安全防护能力，整个过程无需依赖云端。该方案适合金融、政府、医疗等对数据出境和网络隔离有严格要求的行业用户使用。