智能應(yīng)對(duì)威脅

程彥博

在大多數(shù)安全廠商都在談?wù)撓乱淮阑饓r(shí)，山石網(wǎng)科在自己的下一代防火墻產(chǎn)品名字前面加上了“智能”二字，稱為“智能下一代防火墻（iNGFW）”。那么，相對(duì)于其他下一代防火墻，山石網(wǎng)科的“智能”體現(xiàn)在什么地方？

近日，山石網(wǎng)科發(fā)布了最新版本的智能下一代防火墻，借此機(jī)會(huì)，山石網(wǎng)科再次向外界闡述了其“智能”的含義和升級(jí)。而面對(duì)越來越隱蔽的網(wǎng)絡(luò)攻擊和安全威脅，安全設(shè)備的智能化，具有了更為重要的意義。

兩大智能引擎

據(jù)了解，山石網(wǎng)科發(fā)布的智能下一代防火墻最新版本，首次采用的“未知威脅檢測(cè)引擎”和“異常行為檢測(cè)引擎”兩大智能引擎，以及全新的安全可視化界面和策略聯(lián)動(dòng)成為亮點(diǎn)。這兩大引擎可以通過對(duì)用戶網(wǎng)絡(luò)運(yùn)行產(chǎn)生的行為大數(shù)據(jù)進(jìn)行系統(tǒng)分析，利用策略聯(lián)動(dòng)實(shí)時(shí)減緩風(fēng)險(xiǎn)，實(shí)現(xiàn)發(fā)現(xiàn)、可視、控制的安全閉環(huán)。

值得一提的是，山石網(wǎng)科的未知威脅檢測(cè)引擎突破傳統(tǒng)檢測(cè)技術(shù)的瓶頸。它不依賴于特征碼，而是采用基于威脅行為分析的方法，對(duì)網(wǎng)絡(luò)中終端主機(jī)的行為進(jìn)行分析。由于感染了變種惡意代碼的主機(jī)其應(yīng)用層行為與正常主機(jī)不同，智能下一代防火墻可以通過大數(shù)據(jù)挖掘技術(shù)對(duì)海量惡意軟件進(jìn)行行為分析，將每一個(gè)惡意軟件家族的行為進(jìn)行規(guī)則化，形成行為集，下發(fā)到設(shè)備中，通過對(duì)比異常發(fā)現(xiàn)變種惡意軟件。

此外目前主流的安全設(shè)備基于閾值的設(shè)定，無法檢測(cè)出慢速DDoS攻擊、慢速掃描攻擊、CC攻擊等隱蔽型或應(yīng)用層網(wǎng)絡(luò)攻擊，因此一旦遭受此類網(wǎng)絡(luò)攻擊，通常會(huì)給業(yè)務(wù)系統(tǒng)造成重大損失。山石網(wǎng)科異常行為檢測(cè)引擎通過對(duì)業(yè)務(wù)系統(tǒng)的正常運(yùn)行狀態(tài)進(jìn)行學(xué)習(xí)，建立起幾十個(gè)維度的業(yè)務(wù)動(dòng)態(tài)安全模型，依靠這個(gè)模型能夠檢測(cè)出網(wǎng)絡(luò)異常行為，進(jìn)而判斷是哪種網(wǎng)絡(luò)攻擊。這種方式能夠大幅提升攻擊檢測(cè)的靈敏度與準(zhǔn)確性，幫助用戶防范慢速DDoS、CC等隱蔽型應(yīng)用層網(wǎng)絡(luò)攻擊。

沙箱之外的路徑

發(fā)現(xiàn)并應(yīng)對(duì)高級(jí)持續(xù)性威脅，業(yè)界通常的做法是使用沙箱。然而山石網(wǎng)科卻走了另外一條路，這就是行為檢測(cè)。采用沙箱的好處很多，但是沙箱同樣也有不足。山石網(wǎng)科總裁兼CEO羅東平認(rèn)為，沙箱集中在網(wǎng)絡(luò)攻擊的準(zhǔn)備和攻擊過程中，是邊界防護(hù)。但有時(shí)沙箱環(huán)境和實(shí)際主機(jī)環(huán)境并不一致，因?yàn)樯诚涫请x線式，并不能直接診斷。

“假設(shè)A、B兩家企業(yè)有同樣的流量，但有可能一個(gè)是正常的，另外一個(gè)是異常的。數(shù)據(jù)本身并不能決定是正常還是異常，這要由流量所在的應(yīng)用情景來決定。所以，在它背后需要強(qiáng)大的大數(shù)據(jù)關(guān)聯(lián)分析技術(shù)作為支撐?！鄙绞W(wǎng)科研發(fā)副總裁蔣東毅表示。

在山石網(wǎng)科看來，可視化是“智能”的一個(gè)重要標(biāo)準(zhǔn)。山石網(wǎng)科智能下一代防火墻提供了從風(fēng)險(xiǎn)到威脅的全面展現(xiàn)，包括全網(wǎng)風(fēng)險(xiǎn)指數(shù)、風(fēng)險(xiǎn)主機(jī)和特定威脅的詳細(xì)信息。通過多層次、立體展現(xiàn)，網(wǎng)絡(luò)管理員可詳細(xì)了解整體網(wǎng)絡(luò)安全態(tài)勢(shì)和風(fēng)險(xiǎn)背后的威脅根源?！叭W(wǎng)風(fēng)險(xiǎn)指數(shù)”提供了量化的網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況，“風(fēng)險(xiǎn)主機(jī)”與“威脅”則從不同維度呈現(xiàn)當(dāng)前網(wǎng)絡(luò)威脅的時(shí)空分布，例如主機(jī)的風(fēng)險(xiǎn)級(jí)別、IP地址、威脅來源、 嚴(yán)重級(jí)別、受害者和攻擊者信息等。

在山石網(wǎng)科看來，行為檢測(cè)是從風(fēng)險(xiǎn)和威脅發(fā)現(xiàn)、處置到控制的全面檢測(cè)和可視。和沙箱相比，這看似是一個(gè)更為強(qiáng)大和全面的方案，當(dāng)然要完全實(shí)現(xiàn)這樣的愿景，還有很長的路要走。但不管怎樣，山石網(wǎng)科認(rèn)為“智能”是網(wǎng)絡(luò)安全領(lǐng)域未來的重要發(fā)展方向，并朝這條路堅(jiān)定地走下去。

“網(wǎng)絡(luò)的快速發(fā)展將網(wǎng)絡(luò)安全提升到一個(gè)全新的高度，安全產(chǎn)品的迭代趨勢(shì)更加明顯，智能安全將是未來網(wǎng)絡(luò)安全的重要組成部分之一。作為網(wǎng)絡(luò)安全廠商，我們必須讓安全產(chǎn)品誕生在威脅進(jìn)行破壞之前，給用戶提供最及時(shí)的安全保護(hù)，這是我們的信念?！绷_東平說。