我叫防火墻

我們的作用，

大家應(yīng)該都知道。
我們奮戰(zhàn)在安全攻防的第一線，
阻擋威脅的入侵。 但是， 我從最初的包過濾防火墻一步步演變到現(xiàn)在，
一直沒有改變一個問題，
就是我們總是按照既定的策略，
機械的工作，
機械的抵御著入侵。
可是，
現(xiàn)在的黑客狡詐而善于偽裝，
攻擊越來越多，
病毒也不斷變種，
我有些力不從心了，
尤其是面對未知威脅，
我更是無能為力。
我以前對于攻擊的過濾僅基于簽名來實現(xiàn)，
為此我需要定期升級特征庫，
以應(yīng)對各種最新的威脅，
但是威脅往往是未知的，
道高一尺，魔高一丈。
來了這個我可以識別，

突然來了這個全副武裝的怪獸，
我就無能為力了

為了改變現(xiàn)狀，
設(shè)計師讓我進(jìn)化了，
為我增加了基于AI的高級威脅檢測的大腦，
于是，
我變得那么的與眾不同。
我——有了智慧

AI防火墻

深度學(xué)習(xí)算法讓我有了智慧

　　設(shè)計師告訴我，各種入侵行為，都是有跡可循的，一次入侵的行為包括：滲透、C&C、內(nèi)部擴散和數(shù)據(jù)外發(fā)，這個稱之為攻擊鏈。

　　設(shè)計師給我賦予了機器學(xué)習(xí)和深度學(xué)習(xí)能力，構(gòu)建威脅模型，用以識別攻擊鏈路的全過程幫助用戶精確監(jiān)控惡意行為。通過深度神經(jīng)網(wǎng)絡(luò)算法，讓我對各種偽裝的病毒有了更為完善的認(rèn)識。卷積神經(jīng)網(wǎng)絡(luò)的基本思想和人類大腦識別圖像的機制是一致的。

　　從此以后我開始用算法真正解析數(shù)據(jù)，不斷學(xué)習(xí)，然后對各種已知或未知的威脅做出判斷和預(yù)測。

　　我不再依賴確定特殊指令集、既定特征來機械的過濾已經(jīng)認(rèn)識的攻擊，我的設(shè)計師會用大量數(shù)據(jù)和算法“訓(xùn)練”機器，讓我學(xué)會如何自主發(fā)現(xiàn)威脅，這就是我的智能。

　　對，我的強大在于——我學(xué)會了思考和自主判斷無論你千變?nèi)f化，我都手到擒來。所謂無招勝有招。

　　任你隱藏再深，我都可以發(fā)現(xiàn)，

　　攻擊者的首次入侵是通過植入的惡意軟件來實現(xiàn)的，而我通常部署的位置是在網(wǎng)絡(luò)的關(guān)鍵路徑上，實際上，由我來做惡意軟件的檢測，更為便捷。

　　從前，因為防火墻的惡意軟件識別精準(zhǔn)度不高，我們需要部署沙箱設(shè)備來輔助；現(xiàn)在我有了智能，我也可以承擔(dān)這部分工作了。

　　為了在防火墻實現(xiàn)惡意文件的本地檢測，設(shè)計師為我安裝了基于DNN的惡意文件檢測能力，并不需惡意文件的運行時行為，通過提取惡意文件的靜態(tài)特征，包括反匯編命令序列、ICON資源特征、脫殼相關(guān)特征等進(jìn)行識別。

　　同時，我還能不斷升級我的檢測模型，設(shè)計師通過云端收集惡意文件樣本，進(jìn)行威脅建模，生成的惡意文件檢測模型被下發(fā)給我。當(dāng)有新的未知文件到來時，我就可以利用該模型識別是否為惡意文件。

　　和傳統(tǒng)的基于規(guī)則的檢測方式比較看來，使用機器學(xué)習(xí)的惡意文件檢測檢出率在90%以上，誤報率在0.1%以內(nèi)，這是傳統(tǒng)規(guī)則檢測方式很難做到的。有了這一招，就算不借助沙箱等外置設(shè)備也可以高精度的識別惡意軟件了。

　　攻擊者通過C&C的通訊過程，來操縱通過首次入侵所植入的惡意軟件。只要這個通訊過程被截斷，這個已經(jīng)植入的惡意軟件就無法被控制，也就無法繼續(xù)行動。為繞過傳統(tǒng)的流量檢測技術(shù)，大約10%的惡意軟件通過TLS加密流量進(jìn)行通信。

　　設(shè)計師為我裝配了ECA（Encrypted  Communication Analytics 加密通訊分析）檢測模型識別惡意加密的C&C流量。這就好比為我配備了夜視儀，能夠識別隱藏在黑暗中的攻擊，這個能力別的防火墻可都沒有哦！是我的獨家秘技。

　　在我的體內(nèi)，設(shè)計師為我設(shè)計了誘捕探針能力。當(dāng)入侵到網(wǎng)絡(luò)中的攻擊在網(wǎng)絡(luò)中不斷嗅探，試圖擴散之時，我的誘捕探針會主動發(fā)現(xiàn)其掃描行為，并將攻擊引入到蜜罐，從而進(jìn)一步捕獲黑客或發(fā)現(xiàn)攻擊源。這極大的降低了誘捕系統(tǒng)的運維成本，同時極大的提升了誘捕系統(tǒng)的覆蓋面。

　　這也是我的獨家秘技哦！

　　黑客竊取了數(shù)據(jù)后，會聯(lián)系遠(yuǎn)控服務(wù)器進(jìn)行數(shù)據(jù)外發(fā)，那么在這個過程中，會使用C&C通訊和隱蔽通道通訊，并伺機通過隱蔽通道傳送給攻擊者預(yù)先布置的服務(wù)器。

　　對于這種情況，防御攻擊者擴大其入侵成果的要點是是阻截C&C通訊和隱蔽通道通訊，而C&C通訊，首先是用DGA域名生成算法來來生成由隨機字符組成的域名，來訪問遠(yuǎn)控服務(wù)器，從而逃避域名黑名單檢測的技術(shù)手段。

　　我的同行們以前都是通過特征來識別，但是這種隨機的動態(tài)字符怎么可能能夠發(fā)現(xiàn)呢？

　　我可以使用了卷積神經(jīng)網(wǎng)絡(luò)（CNN）的模型，識別準(zhǔn)確率高達(dá)99.9%以上。

　　另外，被入侵主機一旦連接上遠(yuǎn)控服務(wù)器，另外，黑客會利用DNS協(xié)議實現(xiàn)諸如遠(yuǎn)程控制、文件傳輸?shù)炔僮鳎�這就是DNS隱蔽通道。通過卷積神經(jīng)網(wǎng)絡(luò)模型，我可以輕易發(fā)現(xiàn)DNS隱蔽通道，準(zhǔn)確率高達(dá)97%以上。披著羊皮的狼，你逃不掉！

　　設(shè)計師為了讓我能夠更快的識別未知威脅，為我重新設(shè)計了架構(gòu)，讓我有了更高的處理性能。

　　在1U高的機框里，我可以實現(xiàn)160G的轉(zhuǎn)發(fā)性能；在高端設(shè)備上甚至給了我兩顆心。

　　內(nèi)置加密引擎，加密性能是同類的2倍以上；內(nèi)置了SA加速引擎，應(yīng)用識別能力是同類的2倍以上；內(nèi)置NP引擎，轉(zhuǎn)發(fā)性能是同類的2倍以上。

　　我自帶高密度接口，最多可同時提供100G、40G、10GE、GE等多種接口模塊。

我的未來
最后，我想說的是，
我的能力遠(yuǎn)遠(yuǎn)不止于此，
設(shè)計師為我規(guī)劃了長遠(yuǎn)的成長路徑
我可以通過不斷的學(xué)習(xí)，
發(fā)現(xiàn)各種變異和隱藏的威脅。
不斷打怪升級，
在不遠(yuǎn)的將來，
我的華為大大還會為我增加能夠進(jìn)行算法加速的CPU。 好期待！