蓝盾第三代AI防火墙技术分析
作者: 日期:2018年03月30日 阅:10,887

蓝盾第三代AI防火墙是国内首个“AI-Enabled”的防火墙。有别于市场上第一代特征识别、第二代应用识别防火墙。传统安全网关,需要依赖于签名和特征库技术对威胁进行检查,效率较低且存在大量误报漏报,特别是针对应用层大量的威胁变种显得力不从心。

AI技术的应用很大程度上能解决威胁变种和流量复杂的局部。业界有很多国内外同行如Cylance已经将机器学习应用到终端安全防护上,利用客户终端的计算能力来实现复杂的本地学习计算以识别威胁和异常。然而在对性能要求极高的网关,机器学习的应用存在准确率与性能时延的难题,如果要准确判断必定消耗大量的网关计算资源,使得网关性能下降。蓝盾是业界第一个在网关位置使用AI去识别威胁的公司,通过云端机器学习威胁模型训练与内置在网关设备上的“智核”AI引擎联动的模式,解决了AI技术在网关应用的性能瓶颈,对未知威胁的判断能力达到99.9%以上的精度,处理速度达到毫秒级的单个文件,对网关性能的影响可忽略。在如去年大面积爆发的勒索病毒事件中,通过蓝盾第三代AI防火墙,可精确识别出未见(unseen)勒索病毒及其变种数百例。蓝盾“智核”模型的第三代防火墙对该威胁及变种的判断准确率达到100%且无需进行特征的更新。

以下,我们将分为4部分对蓝盾第三代AI防火墙的特性进行简要陈述。

一、模式匹配和AI引擎的互补

部署在客户环境的防火墙,默认使用AI引擎进行文件扫描。由于此文件扫描过程基于机器学习和静态分析技术,所以检测速度快。如果文件在经过AI引擎后尚未能分辨恶意与否,则会触发云沙箱等动态分析机制。值得一提的是,蓝盾第三代AI防火墙的检测对象除了聚焦于各种不同类型的文件外(现支持PE,APK,PDF等数十种类型)外。也把AI技术运用于入站/出站(Inbound/Outbound)异常流量的检测中,有效地在边界处检测出僵尸网络,洪水攻击等。

模式识别和AI双引擎的互补

二、AI模型的离线训练和在线预测

AI引擎不像特征匹配引擎那样,需要每日频繁更新病毒特征库。但为了保持其对恶意代码数据完整性的更新(注:模型需要有强可解析性和预测性),以及满足SLA等需要,我们的模型会持续进行周期性自我测试,一旦准确度或FP率高于或低于某个阀值,则触发模型在云端进行离线训练,完成后并下发到所有的联网防火墙中进行替换,模型由此进入生产状态中进行在线预测。

模型在线预测在防火墙类边界产品的部署需要需满足高吞吐量,低延迟的特点,时间需要控制在毫秒级别。此毫秒级别的需求对传统基于云端丰富的计算资源进行计算的实施路线造成极大挑战。蓝盾团队的数据科学家们通过不断的尝试,终于达成云端模型离线训练与防火墙上模型引擎兼容的独特解决方案,达到模型的高精度的同时也实现边界产品部署上低延时的要求。

 

AI模型的离线训练与在线预测

三、与端点和边界防护联动的云端安全中心(云沙箱及安全分析团队等)

云端安全中心在蓝盾产品服务体系中,属订阅服务,也是高级威胁防御体系中的核心环节。通过此订阅服务,蓝盾防火墙的使用机构能方便地把在边界处不确定的可疑文件,上传到云端安全中心中。在蓝盾,我们具有业界领先的安全分析师队伍,他们的技能覆盖安全运营中心(SOC)的方方面面,如安全分析师,数据科学家,反病毒专家、攻防专家等。他们能通过自研的云沙箱,态势感知,SIEM等安全分析工具对可疑文件进行动态行为分析(如文件读写行为,寄存器访问行为,I/O,网络行为),进一步对恶意文件进行动态行为的分析和模型训练提炼 。

 与端点和边界防护联动的安全运营中心

四、外部威胁情报的全面引入

在蓝盾的产品体系中,威胁情报已被用在大多数的安全产品中。威胁情报能使安全产品极大地拓宽其外部视野。举例说,一组每天更新的恶意域名能 赋能 防火墙产品,使其更有效地拦截Inbound Traffic和Outbound Traffic中含有恶意域名的连接(connection);而一组反应外部互联网病毒爆发和沦陷主机的实时威胁情报,可以辅助描绘出某个可疑外联的全景图。因为安全分析师和数据科学家们可通过此富含 上下文 的威胁情报,进行(1)数据可视化(2)和其他威胁情报源进行关联。蓝盾目前对威胁情报的使用情况良好,如在态势感知平台和防火墙产品中,我们的威胁情报均是(1)有地域偏向性的(Localization) (2)实时(Real Time) (3)程度高的关联(High Degree of Relation) (4)自动化数据源收集(Automatic Data Sources Collection)等

外部威胁情报的全面引入

综上所述,目前蓝盾的第三代防火墙等网关产品上已经配置了“智核”AI引擎,为客户带来人工智能的高效威胁检测能力。蓝盾AI防火墙作为用“AI大脑”武装的第三代防火墙,帮助客户“跨海斩长鲸”,使其不再惧怕“僵木蠕毒”的威胁。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章