近年来,在下一代防火墙的基础上,各个安全厂商都在给自己的产品加上了 “智能”、或者 “智慧” 的功能,那么新华三的“AI防火墙”有什么独特优势呢?
在新华三看来,在即将到来的 “AI时代” 里,企业面临着四大风险:
1. 物联网与5G带来流量的几何级增长以及协议的复杂化。
2. 攻击者也开始使用AI带来更难预测的攻击模型。
3. 人为错误依然是安全的巨大隐患。
4. 各类病毒的变种或者新型病毒的出现让攻击防不胜防。
针对这四个风险,新华三于近期推出了智慧安全解决方案:在去年发布的网络安全态势感知基础上,发布了全 “芯” 的 “AI防火墙”——双GPU+双CPU+AI模块的芯架构、以及AI算法加持的芯能力,基于Comvare V9的AI开放 “芯” 平台、在处理速度上得到了极大的提升。
除了性能上的改变外,新华三的 “AI防火墙” 有什么特点呢?
新华三的“智能”
既然是 “AI防火墙”,那首先就需要了解新华三是如何理解 “智能” 的。从新华三的角度来看,如今大部分的 “智能” 都是体现在优秀的算法上。然而,优秀的算法固然能带来极大的收益,但在未来安全的演进过程中,最重要的还是数据。因此,新华三的 “智能” 通过算法这一辅助工具,将各种数据进行更有效的结合,再将获得的成果继续用于数据保护。智能安全的本质应该是数据的集合体,只有将数据利用好,才能做到真正将智能赋予安全。
两大技术特点
从技术特点上来看,新华三的 “AI防火墙” 有两大特点值得关注:
1. 基于AI的加密流量检测:随着https的应用普及,加密流量的使用更加频繁——而事实上,攻击者早就已经在使用加密流量进行攻击。如果对加密流量进行解密再进行安全检测,将会极大影响网络速度。新华三自研了基于AI技术的加密流量检测,在不解密的情况下根据流统计特征进行检测,发现风险。
2. 智能威胁分析:新华三的 “AI防火墙” 本身作为原始数据的接收者,将安全数据上传给云端或者客户私有的平台进行分析。通过在平台的训练,将升级的模型再下发到防火墙终端,完成一个从平台到安全设备的智能升级体系。另外,由于不同企业有不同的安全需求,“AI防火墙” 能够自适应所在场景,达到更好的安全效果。
三大能力之一:感知
在这两大技术特点上,“AI防火墙” 主要实现了三大能力:感知、学习、智动。
第一大能力感知包括了四大类内容:
1. 环境感知:在终端环境更为复杂的情况下,“AI防火墙” 加强了对终端感知的能力,包括对终端指纹的识别、智能出口链路以及用户认证识别。
2. 威胁感知:通过对异常行为的分析判断以及企业自身漏洞威胁的发现,“AI防火墙”能对企业外部的威胁进行感知。在对不同类型的攻击方式学习、了解的基础上,可以对近年来再次流行的各类病毒攻击进行防御。
3. 数据感知:针对通过防火墙的安全数据,包括视频图片信息、文件指纹、以及日志数据的收集。基于数据安全策略,通过文件指纹相似度比对、文本分类、语义分析等AI算法对防火墙提取的安全数据进行识别,对企业的内部数据进行保护,防止企业因数据泄密导致损失。基于AI算法,还可以利用安全数据进行终端或者人员的行为分析,及时发现潜在的内部威胁。
4. 业务感知:业务感知则是对后端企业自身信息资产的感知。作为国内的领先厂商,新华三在业务感知这一块的能力,不仅有现在的云应用感知,更包括了对5G的业务感知、物联网的业务感知。
评:感知的本身是基于数据——通过数据对自己现有的状态进行把握。新华三所立足的“数据”不只是安全数据、日志数据等,对于自身内部需要保护的业务以及业务数据也需要进行感知,将被保护的数据与安全、威胁数据等关联,对整个安全态势进行把控。
三大能力之二:学习
新华三认为,“学习” 可以分为三个层次:从攻击的角度,学习、从而识别不同的攻击模式;从网络中个体(尤其是作为用户的人)的角度,对用户、应用、以及业务的行为进行分析,从防御方式的角度辅助决策;从宏观的管理角度,通过各种信息的关联,分析并显示对人可识别并有价值的结论,辅助相关人员采取进一步行动。
对于行为的分析,不仅仅是针对网络中不同用户的行为分析,发现异常用户与异常行为。也是通过对用户自身安全人员行为的学习,“AI防火墙” 可以提出最贴合用户行为习惯的建议。由于不同企业的生产环境以及安全环境的差异,完全模板化的安全防护不合适、也不合理。因此,做出贴近用户行为习惯建议的本质,是根据用户的行为习惯,在用户特定的环境下,做出最适合用户的决策。正如开头提到的,安全的隐患之一是人为的误操作或者不合规造成产生的安全问题。但是,“AI防火墙” 对 “人” 行为的学习,可以大幅度地发现、减缓这类隐患。
而关联学习,则是基于了新华三的体量优势——大量的 “AI防火墙” 织成的一张防火墙大网,通过数据的交互、关联,进行不断地进化和自我升级。
评:防火墙的学习不局限于攻击者,也需要从防御者的角度进行。通过学习安全人员的防御策略,给出更适合自身环境的安全建议,同时根据用户正常行为的基线进行对比,防止人为安全问题的产生。
三大能力之三:智动
智动意为 “智慧能动”,通过人工智能打破传统被动防御的机制,贴近新华三提出的“主动安全”的战略。
从防御智动方面,“AI防火墙” 不仅提供了蜜罐引流功能,还加入了机器自动对抗的能力。通过之前对基线流量的学习,预设的容忍度、以及建立的模型,在对异常状况感知的情况下,对用户进行告警的同时主动进行防御,减缓攻击进程。
在运维方面,“AI防火墙” 会基于感知与学习的内容对运维人员进行安全策略的推荐。新华三在自己的安全研究中发现,同一类企业其实经常会面临相似的安全问题。因此,新华三将全国获得的攻击信息进行建模,再将策略和客户类型进行匹配,给客户针对性的安全策略推荐。另外,通过将网络状态与应用和业务的需求进行融合,获得网络行动与后端应用行动的业务部署推荐。
评:在大流量、多样性的网络环境下,“智能”不能只是高效地分析结果,更需要帮助运维人员更好地进行策略的制定以及对攻击的响应。“AI防火墙” 实现的机器自动对抗是新华三对“主动安全”的实践之一。
从总体来看,新华三的 “AI防火墙” 并非是一个单独存在的 “盒子”,而是一个体系化安全解决方案中的一部分:防火墙获得安全数据,给后端的安全平台提供安全数据;平台将安全数据、业务数据、威胁数据等各类数据进行分析建模,进行能力的升级,再回传给防火墙端;防火墙根据平台的更新不断提升自己的能力,应对各类情况;最后,大量防火墙组成的 “墙网”,将安全不再独立于某个个体,而是通过各类数据关联,给全网提升安全能力。
安全牛评
新华三的 “智能” 不仅仅体现在对数据的利用上,也体现在其整个安全体系的支撑上。单一的防火墙无论硬件如何优秀,算力都是有限的,何况防火墙位于网络入口,需要极强的性能保障。新华三的 “AI防火墙” 运用外部的资源来提升计算的能力以及分析的能力,通过联动建立起整个安全防护体系。防火墙不仅需要和其他安全设备联动,防火墙与防火墙之间通过后端平台进行关联,增强各自的安全能力。同时,在面临威胁的时候,能根据自身的环境进行一定程度的智能防御,减缓攻击速度,实现新华三提出的“主动安全”策略。
相关阅读
