什么是AI防火墙(AIFW)?

架构师技术联盟

共 2675字,需浏览 6分钟

 ·

2021-10-13 12:45



AI防火墙是NGFW的下一代产品,通过智能检测技术提升防火墙对高级威胁和未知威胁的检测能力。NGFW主要通过静态规则库检测威胁,难以应对变种的高级威胁。AI防火墙引入智能检测引擎,通过海量样本训练威胁检测模型并不断根据实时流量数据优化模型,从而提升了威胁检测能力。

为什么需要AI防火墙?

Gartner在2009年定义了NGFW,NGFW将应用识别、IPS、反病毒等多种安全业务与基础防火墙业务深度集成,并行处理,对流量进行深度安全检测。但是经过10余年,随着网络云化、移动化、物联网化的蓬勃发展,NGFW也面临着巨大挑战,高级威胁日益增多,而且衍生出很多变种,NGFW的静态规则库检测方式难以为继。



新型威胁层出不穷

从上图可以看出,除了传统的病毒、木马等威胁,以APT(Advanced Persistent Threat,高级持续性威胁)为代表的高级威胁不断演进,面对巨大的经济利益诱惑,勒索软件、M2M攻击等攻击行为越来越多样。高级威胁更隐蔽、扩散更迅速,而且高达70%的网络攻击采用加密手段。面对快速变化的威胁种类,传统NGFW主要问题如下:


  • 基于签名的威胁检测无法应对高级、未知威胁
    基于签名的威胁检测依赖于特征库(静态规则库), 而特征库中的签名是针对已知威胁的特征描述而且容量有限,面对未知、变种的高级威胁无能为力。这种滞后于威胁发生的检测方式导致威胁检测误报率高、威胁响应不及时。
  • 威胁多层次、立体化、更隐蔽,签名匹配无法防御整体攻击链
    IOT的推广带来了更大范围内的安全威胁,据统计很多企业来自内网的威胁都显著增加,这说明攻击不仅局限于外部。黑客从外部渗透、远程控制,到内部扩散、窃取破坏形了成完整的攻击链。NGFW单纯通过签名匹配报文内容,不具备识别攻击链全过程的能力,无法精准防御攻击行为。
    另外威胁越来越隐蔽,大部分威胁隐匿于加密通道之下,签名匹配无法提取加密流量特征。防火墙急需一双不解密就可以洞察一切的“透视眼”,让威胁无处遁形。
  • 威胁处置人工程度高、花费时间
    防火墙部署后不是一劳永逸,运维工作非常关键。管理员需要不断调整策略应对不断变化的威胁,需要分析攻击日志及时处置威胁事件、加固企业设施。但是这些工作依赖于管理员的技能水平而且非常繁琐,效果难以保证。防火墙需要具备自动化的数据分析、威胁处置能力。
    综上,面对网络和威胁的不断演进,NGFW需要更新换代。日益发展的人工智能技术为防火墙带来了新的契机,华为推出运用智能检测技术的AI防火墙,采用机器学习和深度学习构建威胁检测模型,极大提升了威胁检测的准确性和及时性。同时引入自动化处置技术,自动调测策略、分析威胁流量,减轻运维压力。

AI防火墙与下一代防火墙NGFW的差异

Gartner定义的NGFW主要能力是应用识别、集成IPS功能深度检测流量。如前文所述NGFW需要更新换代,各厂商也开始引入新技术增强防火墙功能,但是目前并没有业界通用NGFW的下一代产品的定义。以下仅从华为AI防火墙的角度对比与NGFW的主要差异。



NGFW与AI防火墙主要能力对比

AI防火墙的主要优势在于“智能”,不再单纯依赖既定签名特征机械识别已经认识的威胁,而是通过大量样本和算法训练威胁检测模型,从而使防火墙可以自主检测高级未知威胁。随之而来的就是引入智能检测技术后,对硬件算力的要求更高,否则智能检测实力难以发挥。AI防火墙需要提供专用硬件支撑智能检测算力,提升威胁检测性能。

AI防火墙检测高级威胁

前文多次提到AI防火墙可以检测高级威胁,那么具体是如何检测的呢?“智能”体现在哪里?智能就体现在AI防火墙内置的智能检测引擎,引擎通过机器学习获取的威胁检测模型检测高级威胁。

智能检测引擎中的检测模型主要有2种来源:


  • 云端样本训练(监督学习)
    在云端采用监督学习的方式对百万级数量的样本进行训练,提取威胁检测模型,然后将模型下发到防火墙执行检测。
  • 本地学习(非监督学习)
    在本地采用非监督学习的方式,根据现网流量持续学习。


监督学习与非监督学习可以更有效地检测频繁变种的恶意文件,发现失陷主机和被远程控制的肉鸡,监测数据加密外发窃取,识别慢速和分布式暴力破解等恶意行为。学习过程中利用海量数据分析训练生成威胁检测模型,并不断根据现网数据优化模型,自我进化。云端训练更新的模型将直接下发到防火墙而无需系统软件升级。



AI防火墙智能检测引擎

高级威胁往往是一个有组织、有计划的攻击过程。AI防火墙提供多种技术在攻击链关键节点阻断攻击,例如:

  • 外部渗透阶段:攻击的第一步是通过钓鱼邮件、USB等发方式传播恶意文件到内网,如果能在此节点阻断恶意软件传播就掐断了攻击链。
    AI防火墙采用智能恶意文件检测算法提取文件特征,而并非传统的规则库检测恶意文件,极大提升了检出率。
  • 攻击者与失陷主机交互:主机执行恶意软件成为失陷主机,攻击者与失陷主机就会通过C&C通道进行通信,例如攻击者向失陷主机下发指令、失陷主机外发数据等。
    AI防火墙提供C&C外联通道检测、DGA域名检测技术阻断非法通信。另外为了掩护通信过程,C&C流量往往加密传输,AI防火墙具备不解密就可以检测加密流量的能力,异常C&C流量无处遁形。

AI防火墙产品

2018年华为首次发布中低端AI防火墙USG6000E系列,随后又发布了高端AI防火墙USG12000系列,搭载智能检测引擎检测高级威胁,并支持加密流量免解密威胁检测。内置专用硬件处理引擎业务,防火墙威胁检测性能高。



华为AI防火墙产品

来源:全栈云技术架构

下载链接:

《下一代防火墙专题》 

1、下一代防火墙防御安全体系.pdf

2、下一代防火墙品白皮书.pdf 

3、下一代防火墙白皮书.pdf 

4、下一代防火墙发展趋势研究白皮书.pdf




转载申明:转载本号文章请注明作者来源,本号发布文章若存在版权等问题,请留言联系处理,谢谢。


推荐阅读

更多架构相关技术知识总结请参考“架构师全店铺技术资料打包”相关电子书(37本技术资料打包汇总详情可通过“阅读原文”获取)。

全店内容持续更新,现下单“全店铺技术资料打包(全)”,后续可享全店内容更新“免费”赠阅,价格仅收198元(原总价350元)。



温馨提示:

扫描二维码关注公众号,点击阅读原文链接获取架构师技术全店资料打包汇总(全)电子书资料详情


浏览 53
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报