AI技術(shù)的應(yīng)用很大程度上能解決威脅變種和流量復(fù)雜的局面。業(yè)界有很多國內(nèi)外同行如Cylance已經(jīng)將機器學(xué)習(xí)應(yīng)用到終端安全防護上,利用客戶終端的計算能力來實現(xiàn)復(fù)雜的本地學(xué)習(xí)計算,以識別威脅和異常。然而在對性能要求極高的網(wǎng)關(guān),機器學(xué)習(xí)的應(yīng)用存在準(zhǔn)確率與性能延時的難題,如果要準(zhǔn)確判斷必定消耗大量的網(wǎng)關(guān)計算資源,使得網(wǎng)關(guān)性能下降。
藍盾是業(yè)界第一個在網(wǎng)關(guān)位置使用AI去識別威脅的公司,通過云端機器學(xué)習(xí)威脅模型訓(xùn)練與內(nèi)置在網(wǎng)關(guān)設(shè)備上的“智核”AI引擎聯(lián)動的模式,解決了AI技術(shù)在網(wǎng)關(guān)應(yīng)用的性能瓶頸,對未知威脅的判斷能力達到99.9%以上的精度,處理速度達到毫秒級的單個文件,對網(wǎng)關(guān)性能的影響可忽略。在去年大面積爆發(fā)的勒索病毒事件中,通過藍盾第三代AI防火墻,可精確識別出未見(unseen)勒索病毒及其變種數(shù)百例。藍盾“智核”模型的第三代防火墻對該威脅及變種的判斷準(zhǔn)確率達到100%且無需進行特征的更新。
以下,我們將分為4部分對藍盾第三代AI防火墻的特性進行簡要陳述。
一、模式匹配和AI引擎的互補
部署在客戶環(huán)境的防火墻,默認(rèn)使用AI引擎進行文件掃描。由于此文件掃描過程基于機器學(xué)習(xí)和靜態(tài)分析技術(shù),所以檢測速度快。如果文件在經(jīng)過AI引擎后尚未能分辨惡意與否,則會觸發(fā)云沙箱等動態(tài)分析機制。值得一提的是,藍盾第三代AI防火墻的檢測對象除了聚焦于各種不同類型的文件外(現(xiàn)支持PE,APK,PDF等數(shù)十種類型)。也把AI技術(shù)運用于入站/出站(Inbound/Outbound)異常流量的檢測中,有效地在邊界處檢測出僵尸網(wǎng)絡(luò),洪水攻擊等。
二、AI模型的離線訓(xùn)練和在線預(yù)測
AI引擎不像特征匹配引擎那樣,需要每日頻繁更新病毒特征庫。但為了保持其對惡意代碼數(shù)據(jù)完整性的更新(注:模型需要有強可解析性和預(yù)測性),以及滿足SLA等需要,我們的模型會持續(xù)進行周期性自我測試,一旦準(zhǔn)確度或FP率高于或低于某個閥值,則觸發(fā)模型在云端進行離線訓(xùn)練,完成后并下發(fā)到所有的聯(lián)網(wǎng)防火墻中進行替換,模型由此進入生產(chǎn)狀態(tài)中進行在線預(yù)測。
模型在線預(yù)測在防火墻類邊界產(chǎn)品的部署需要滿足高吞吐量,低延遲的特點,時間需要控制在毫秒級別。此毫秒級別的需求對傳統(tǒng)基于云端豐富的計算資源進行計算的實施路線造成極大挑戰(zhàn)。藍盾團隊的數(shù)據(jù)科學(xué)家們通過不斷的嘗試,終于達成云端模型離線訓(xùn)練與防火墻上模型引擎兼容的獨特解決方案,達到模型的高精度的同時也實現(xiàn)邊界產(chǎn)品部署上低延時的要求。
三、與端點和邊界防護聯(lián)動的云端安全中心(云沙箱及安全分析團隊等)
云端安全中心在藍盾產(chǎn)品服務(wù)體系中,屬訂閱服務(wù),也是高級威脅防御體系中的核心環(huán)節(jié)。通過此訂閱服務(wù),藍盾防火墻的使用機構(gòu)能方便地把在邊界處不確定的可疑文件,上傳到云端安全中心。在藍盾,我們具有業(yè)界領(lǐng)先的安全分析師隊伍,他們的技能覆蓋安全運營中心(SOC)的方方面面,如安全分析師,數(shù)據(jù)科學(xué)家,反病毒專家、攻防專家等。他們能通過自研的云沙箱,態(tài)勢感知,SIEM等安全分析工具對可疑文件進行動態(tài)行為分析(如文件讀寫行為,寄存器訪問行為,I/O,網(wǎng)絡(luò)行為),進一步對惡意文件進行動態(tài)行為的分析和模型訓(xùn)練提煉 。
四、外部威脅情報的全面引入
在藍盾的產(chǎn)品體系中,威脅情報已被用在大多數(shù)的安全產(chǎn)品中。威脅情報能使安全產(chǎn)品極大地拓寬其外部視野。舉例說,一組每天更新的惡意域名能賦能防火墻產(chǎn)品,使其更有效地攔截Inbound Traffic和Outbound Traffic中含有惡意域名的連接(connection);而一組反應(yīng)外部互聯(lián)網(wǎng)病毒爆發(fā)和淪陷主機的實時威脅情報,可以輔助描繪出某個可疑外聯(lián)的全景圖。因為安全分析師和數(shù)據(jù)科學(xué)家們可通過此富含上下文的威脅情報,進行(1)數(shù)據(jù)可視化(2)和其他威脅情報源進行關(guān)聯(lián)。藍盾目前對威脅情報的使用情況良好,如在態(tài)勢感知平臺和防火墻產(chǎn)品中,我們的威脅情報均是(1)有地域偏向性的(Localization) (2)實時(Real Time) (3)程度高的關(guān)聯(lián)(High Degree of Relation) (4)自動化數(shù)據(jù)源收集(Automatic Data Sources Collection)等。
綜上所述,目前藍盾的第三代防火墻等網(wǎng)關(guān)產(chǎn)品上已經(jīng)配置了“智核”AI引擎,為客戶帶來人工智能的高效威脅檢測能力。藍盾AI防火墻作為用“AI大腦”武裝的第三代防火墻,幫助客戶“跨海斬長鯨”,使其不再懼怕“僵木蠕毒”的威脅。