隨著網絡環境中APT高級持續威脅的泛濫,以及僵木蠕毒(僵尸網絡、木馬、蠕蟲、病毒)出現的速度更快、更復雜,當前市場上的第一代防火墻及第二代防火墻普遍采用威脅特征匹配或網絡沙箱配合進行威脅防范的方式已經力不從心。
第一代防火墻主要使用威脅特征匹配技術進行安全防護,特征匹配在病毒數未達到千萬級的時候是可以應付安全防護需求的,但特征匹配的方式無法檢測惡意代碼變種,這種方式存在的主要問題是:
特征規則需要及時更新,無法識別惡意代碼變種
誤報率高,被動防護,只能在威脅發生之后收集到特征才能用于之后的威脅識別
數據包內容逐一匹配檢查,計算量大,時延長
簡單條件過濾器,不具有智能功能,無法應對復雜的攻擊手段
為了有效應對惡意代碼變種和應用層安全威脅,第二代防火墻加入了應用識別、行為識別等手段,第二代防火墻的行為識別主要是依賴沙箱技術,沙箱能夠在完全隔離的環境中運行可疑代碼,根據運行時是否出現惡意行為判斷可疑代碼是否為惡意代碼。但沙箱仍然存在一些問題:
運行時間長,至少需要等到代碼執行完成后才能判斷是否有惡意行為
需要改變系統環境,容易被病毒檢測到,避開沙箱的檢測
病毒不是以單一文件的形式存在,需要幾個文件組合,文件分段進入沙箱時不會表現出異常
病毒不以文件的形式存在
搭建多組虛擬機環境,資源消耗大,且存在被惡意代碼識別繞過的可能
藍盾在此背景下,研發基于機器學習威脅檢測的人工智能防火墻,藍盾的機器學習技術分為兩個部分,惡意文件預測和訓練模型。
模型的訓練過程下圖所示:
藍盾技術團隊可從被檢測文件中快速提取特征約10萬種,這些特征之所以有效,關鍵在于能分辨惡意軟件與非惡意軟件在靜態與動態行為上的異同,如文件相關行為、進程相關行為、內存相關行為、寄存器相關行為、網絡相關行為、Windows服務行為等。
藍盾所使用的機器學習算法為隨機森林,現階段用于模型訓練的樣本已達千萬級,通過調節模型參數如樹的數目、最大深度及分支最小樣本數等,使模型有效適配防火墻應用場景。
藍盾人工智能防火墻不再依賴特征對威脅進行匹配和判斷,而是通過機器學習模型判定安全威脅,能夠檢測木馬變種和未知威脅攻擊、0 day攻擊等。同時,藍盾還通過云端威脅情報進行威脅模型訓練更新,同步收集全網僵木蠕毒作為模型的訓練樣本,使模型的精度接近完美。
現階段模型的關鍵性能指標如下:
模型的預測時間保持在毫秒級
模型的訓練基于千萬級文件樣本(包含惡意與正常樣本)
特征維度數為10萬級別
檢測準確率達99.9%
誤報率低于0.1%
綜合上述信息,藍盾人工智能防火墻的優勢如下:
非特征庫匹配方式,基于機器學習的檢測判斷,能準確識別僵木蠕毒及其變種,準確率高
無需解包,快速檢測判斷僵木蠕毒
云端威脅情報支撐,通過全球最新樣本不斷學習完善檢測模型,提升未知威脅攻擊、0day攻擊的判斷能力
對高級威脅的判斷無需依賴于復雜的網絡沙箱式驗證
誤報率極低,主動防御,對未知威脅可進行無差別判斷
藍盾信息安全技術股份有限公司是中國信息安全行業的領軍企業,公司成立于1999年,并于2012年3月15日在深交所創業板上市,股票代碼:300297。公司憑借安全產品、安全方案、安全服務、安全運營“四位一體”聯動發展的經營模式,為各大行業客戶提供一站式的信息安全整體解決方案。公司持續推進“大安全”產業發展戰略,不斷加快內生增長及外延擴張步伐,積極開拓市場,大舉研發創新,形成和鞏固了公司“智慧安全領導者”的市場地位。
(新聞稿 2017-04-25)