AI技術的應用很大程度上能解決威脅變種和流量復雜的局面。業界有很多國內外同行如Cylance已經將機器學習應用到終端安全防護上,利用客戶終端的計算能力來實現復雜的本地學習計算,以識別威脅和異常。然而在對性能要求極高的網關,機器學習的應用存在準確率與性能延時的難題,如果要準確判斷必定消耗大量的網關計算資源,使得網關性能下降。
藍盾是業界第一個在網關位置使用AI去識別威脅的公司,通過云端機器學習威脅模型訓練與內置在網關設備上的“智核”AI引擎聯動的模式,解決了AI技術在網關應用的性能瓶頸,對未知威脅的判斷能力達到99.9%以上的精度,處理速度達到毫秒級的單個文件,對網關性能的影響可忽略。在去年大面積爆發的勒索病毒事件中,通過藍盾第三代AI防火墻,可精確識別出未見(unseen)勒索病毒及其變種數百例。藍盾“智核”模型的第三代防火墻對該威脅及變種的判斷準確率達到100%且無需進行特征的更新。
以下,我們將分為4部分對藍盾第三代AI防火墻的特性進行簡要陳述。
一、模式匹配和AI引擎的互補
部署在客戶環境的防火墻,默認使用AI引擎進行文件掃描。由于此文件掃描過程基于機器學習和靜態分析技術,所以檢測速度快。如果文件在經過AI引擎后尚未能分辨惡意與否,則會觸發云沙箱等動態分析機制。值得一提的是,藍盾第三代AI防火墻的檢測對象除了聚焦于各種不同類型的文件外(現支持PE,APK,PDF等數十種類型)。也把AI技術運用于入站/出站(Inbound/Outbound)異常流量的檢測中,有效地在邊界處檢測出僵尸網絡,洪水攻擊等。
二、AI模型的離線訓練和在線預測
AI引擎不像特征匹配引擎那樣,需要每日頻繁更新病毒特征庫。但為了保持其對惡意代碼數據完整性的更新(注:模型需要有強可解析性和預測性),以及滿足SLA等需要,我們的模型會持續進行周期性自我測試,一旦準確度或FP率高于或低于某個閥值,則觸發模型在云端進行離線訓練,完成后并下發到所有的聯網防火墻中進行替換,模型由此進入生產狀態中進行在線預測。
模型在線預測在防火墻類邊界產品的部署需要滿足高吞吐量,低延遲的特點,時間需要控制在毫秒級別。此毫秒級別的需求對傳統基于云端豐富的計算資源進行計算的實施路線造成極大挑戰。藍盾團隊的數據科學家們通過不斷的嘗試,終于達成云端模型離線訓練與防火墻上模型引擎兼容的獨特解決方案,達到模型的高精度的同時也實現邊界產品部署上低延時的要求。
三、與端點和邊界防護聯動的云端安全中心(云沙箱及安全分析團隊等)
云端安全中心在藍盾產品服務體系中,屬訂閱服務,也是高級威脅防御體系中的核心環節。通過此訂閱服務,藍盾防火墻的使用機構能方便地把在邊界處不確定的可疑文件,上傳到云端安全中心。在藍盾,我們具有業界領先的安全分析師隊伍,他們的技能覆蓋安全運營中心(SOC)的方方面面,如安全分析師,數據科學家,反病毒專家、攻防專家等。他們能通過自研的云沙箱,態勢感知,SIEM等安全分析工具對可疑文件進行動態行為分析(如文件讀寫行為,寄存器訪問行為,I/O,網絡行為),進一步對惡意文件進行動態行為的分析和模型訓練提煉 。
四、外部威脅情報的全面引入
在藍盾的產品體系中,威脅情報已被用在大多數的安全產品中。威脅情報能使安全產品極大地拓寬其外部視野。舉例說,一組每天更新的惡意域名能賦能防火墻產品,使其更有效地攔截Inbound Traffic和Outbound Traffic中含有惡意域名的連接(connection);而一組反應外部互聯網病毒爆發和淪陷主機的實時威脅情報,可以輔助描繪出某個可疑外聯的全景圖。因為安全分析師和數據科學家們可通過此富含上下文的威脅情報,進行(1)數據可視化(2)和其他威脅情報源進行關聯。藍盾目前對威脅情報的使用情況良好,如在態勢感知平臺和防火墻產品中,我們的威脅情報均是(1)有地域偏向性的(Localization) (2)實時(Real Time) (3)程度高的關聯(High Degree of Relation) (4)自動化數據源收集(Automatic Data Sources Collection)等。
綜上所述,目前藍盾的第三代防火墻等網關產品上已經配置了“智核”AI引擎,為客戶帶來人工智能的高效威脅檢測能力。藍盾AI防火墻作為用“AI大腦”武裝的第三代防火墻,幫助客戶“跨海斬長鯨”,使其不再懼怕“僵木蠕毒”的威脅。
京公網安備 11010502049343號