本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

首页 信息速查 百科 在线课堂 智能问答

什么是AI防火墙(AIFW)?

AI防火墙是NGFW的下一代产品,通过智能检测技术提升防火墙对高级威胁和未知威胁的检测能力。NGFW主要通过静态规则库检测威胁,难以应对变种的高级威胁。AI防火墙引入智能检测引擎,通过海量样本训练威胁检测模型并不断根据实时流量数据优化模型,从而提升了威胁检测能力。

为什么需要AI防火墙?

Gartner在2009年定义了NGFW,NGFW将应用识别、IPS、反病毒等多种安全业务与基础防火墙业务深度集成,并行处理,对流量进行深度安全检测。但是经过10余年,随着网络云化、移动化、物联网化的蓬勃发展,NGFW也面临着巨大挑战,高级威胁日益增多,而且衍生出很多变种,NGFW的静态规则库检测方式难以为继。

新型威胁层出不穷
新型威胁层出不穷

从上图可以看出,除了传统的病毒、木马等威胁,以APT(Advanced Persistent Threat,高级持续性威胁)为代表的高级威胁不断演进,面对巨大的经济利益诱惑,勒索软件、M2M攻击等攻击行为越来越多样。高级威胁更隐蔽、扩散更迅速,而且高达70%的网络攻击采用加密手段。面对快速变化的威胁种类,传统NGFW主要问题如下:

  • 基于签名的威胁检测无法应对高级、未知威胁

    基于签名的威胁检测依赖于特征库(静态规则库), 而特征库中的签名是针对已知威胁的特征描述而且容量有限,面对未知、变种的高级威胁无能为力。这种滞后于威胁发生的检测方式导致威胁检测误报率高、威胁响应不及时。

  • 威胁多层次、立体化、更隐蔽,签名匹配无法防御整体攻击链

    IOT的推广带来了更大范围内的安全威胁,据统计很多企业来自内网的威胁都显著增加,这说明攻击不仅局限于外部。黑客从外部渗透、远程控制,到内部扩散、窃取破坏形了成完整的攻击链。 NGFW单纯通过签名匹配报文内容,不具备识别攻击链全过程的能力,无法精准防御攻击行为。

    另外威胁越来越隐蔽,大部分威胁隐匿于加密通道之下,签名匹配无法提取加密流量特征。防火墙急需一双不解密就可以洞察一切的“透视眼”,让威胁无处遁形。

  • 威胁处置人工程度高、花费时间

    防火墙部署后不是一劳永逸,运维工作非常关键。管理员需要不断调整策略应对不断变化的威胁,需要分析攻击日志及时处置威胁事件、加固企业设施。但是这些工作依赖于管理员的技能水平而且非常繁琐,效果难以保证。防火墙需要具备自动化的数据分析、威胁处置能力。

综上,面对网络和威胁的不断演进,NGFW需要更新换代。日益发展的人工智能技术为防火墙带来了新的契机,华为推出运用智能检测技术的AI防火墙,采用机器学习和深度学习构建威胁检测模型,极大提升了威胁检测的准确性和及时性。同时引入自动化处置技术,自动调测策略、分析威胁流量,减轻运维压力。

AI防火墙与下一代防火墙NGFW的差异

Gartner定义的NGFW主要能力是应用识别、集成IPS功能深度检测流量。如前文所述NGFW需要更新换代,各厂商也开始引入新技术增强防火墙功能,但是目前并没有业界通用NGFW的下一代产品的定义。以下仅从华为AI防火墙的角度对比与NGFW的主要差异。

NGFW与AI防火墙主要能力对比
NGFW与AI防火墙主要能力对比

AI防火墙的主要优势在于“智能”,不再单纯依赖既定签名特征机械识别已经认识的威胁,而是通过大量样本和算法训练威胁检测模型,从而使防火墙可以自主检测高级未知威胁。随之而来的就是引入智能检测技术后,对硬件算力的要求更高,否则智能检测实力难以发挥。AI防火墙需要提供专用硬件支撑智能检测算力,提升威胁检测性能。

AI防火墙检测高级威胁

前文多次提到AI防火墙可以检测高级威胁,那么具体是如何检测的呢?“智能”体现在哪里?智能就体现在AI防火墙内置的智能检测引擎,引擎通过机器学习获取的威胁检测模型检测高级威胁。

智能检测引擎中的检测模型主要有2种来源:

  • 云端样本训练(监督学习)

    在云端采用监督学习的方式对百万级数量的样本进行训练,提取威胁检测模型,然后将模型下发到防火墙执行检测。

  • 本地学习(非监督学习)

    在本地采用非监督学习的方式,根据现网流量持续学习。

监督学习与非监督学习可以更有效地检测频繁变种的恶意文件,发现失陷主机和被远程控制的肉鸡,监测数据加密外发窃取,识别慢速和分布式暴力破解等恶意行为。学习过程中利用海量数据分析训练生成威胁检测模型,并不断根据现网数据优化模型,自我进化。云端训练更新的模型将直接下发到防火墙而无需系统软件升级。

AI防火墙智能检测引擎
AI防火墙智能检测引擎

高级威胁往往是一个有组织、有计划的攻击过程。AI防火墙提供多种技术在攻击链关键节点阻断攻击,例如:

  • 外部渗透阶段:攻击的第一步是通过钓鱼邮件、USB等发方式传播恶意文件到内网,如果能在此节点阻断恶意软件传播就掐断了攻击链。

    AI防火墙采用智能恶意文件检测算法提取文件特征,而并非传统的规则库检测恶意文件,极大提升了检出率。

  • 攻击者与失陷主机交互:主机执行恶意软件成为失陷主机,攻击者与失陷主机就会通过C&C通道进行通信,例如攻击者向失陷主机下发指令、失陷主机外发数据等。

    AI防火墙提供C&C外联通道检测、DGA域名检测技术阻断非法通信。另外为了掩护通信过程,C&C流量往往加密传输,AI防火墙具备不解密就可以检测加密流量的能力,异常C&C流量无处遁形。

AI防火墙产品

2018年华为首次发布中低端AI防火墙USG6000E系列,随后又发布了高端AI防火墙USG12000系列,搭载智能检测引擎检测高级威胁,并支持加密流量免解密威胁检测。内置专用硬件处理引擎业务,防火墙威胁检测性能高。

华为AI防火墙产品
华为AI防火墙产品

更多产品介绍请参见:华为AI防火墙,产品配置维护请参见:华为AI防火墙产品文档

词条统计
  • 作者: 刘水
  • 最近更新: 2021-10-09
  • 浏览次数: 850
  • 平均得分: