在信息安全領(lǐng)域,未知威脅是指尚未被發(fā)現(xiàn)的具有未知特征同時對信息系統(tǒng)存在潛在威脅的活動類型。未知威脅可能是一種網(wǎng)絡(luò)攻擊、一種電腦病毒、或者是一種對資源的非法濫用。世界有多大,Internet就有多大,又有誰能預(yù)知隱藏在Internet深處的下一個威脅會是什么?在信息安全領(lǐng)域,人們對威脅的認(rèn)知總是要滯后于威脅的產(chǎn)生。雖然每一種威脅最終都得到了有效的遏制,但是每一次對未知威脅的認(rèn)知都付出了巨大的代價。
讓我們再來回顧一下近年來Internet所經(jīng)歷的浩劫:1998年,CIH爆發(fā),造成全球八千萬美元的損失;1999年,梅利莎(Melissa)病毒爆發(fā),感染全球20%的商業(yè)電腦,造成全球六千萬美元的損失;2000年,愛蟲(I love you)病毒爆發(fā),造成全球三千萬美元的損失;2001年,紅色代碼(Code Red)蠕蟲爆發(fā),造成全球五百萬美元的損失;2003年,SQL Slammer(一款DDOS惡意程序)出現(xiàn),在世界范圍內(nèi)造成五十萬臺服務(wù)器當(dāng)機(jī),讓韓國整個網(wǎng)絡(luò)癱瘓了12個小時……
難道對于未知威脅只能采用亡羊補(bǔ)牢式的被動防范嗎?信息安全領(lǐng)域內(nèi)的各路專家都在積極探索一種有效防范未知威脅的方法。北京啟明星辰信息技術(shù)股份有限公司作為國內(nèi)信息安全企業(yè),也積極投入到對未知威脅的防范和研究中來。借助十年的技術(shù)積累和實(shí)驗驗證,啟明星辰經(jīng)過不懈的努力最終拿出了一種用于防范未知威脅的切實(shí)有效的方法——“基于行為分析的合法性檢查技術(shù)”,并將此技術(shù)成功應(yīng)用于天清漢馬USG一體化安全網(wǎng)關(guān)產(chǎn)品中。
![]() |
圖:基于行為分析的合法性檢查技術(shù) |
“基于行為分析的合法性檢查技術(shù)”是一種從已知威脅入手,通過對行為特征的分析而逐漸認(rèn)知未知威脅的一種方法,是一種通過已知透析未知的人工智能技術(shù)。
從行為分析入手
威脅是一只披著羊皮的狼,但無論它披上什么樣的羊皮都無法掩蓋其“狼”的秉性。每一種威脅都是由一系列的行為組成,如終止系統(tǒng)進(jìn)程、刪除文件、修改注冊表、探測漏洞、強(qiáng)行關(guān)閉系統(tǒng)等等。如果能有效的截獲這些動作,那么也就揭開了威脅的神秘面紗。“基于行為分析的合法性檢查技術(shù)”通過強(qiáng)大的反編譯引擎對途經(jīng)的數(shù)據(jù)包進(jìn)行重組和反編譯處理,將已編譯好的二進(jìn)制威脅病原體重新反編譯為一系列行為動作的組合,從而讓隱藏在數(shù)據(jù)流深處的各類威脅的“秉性”一覽無余,這就為有效截獲未知威脅創(chuàng)造了條件。
采用人工智能方法訓(xùn)練
對于成千上萬種不同類型的行為,什么樣的組合屬于正常應(yīng)用,什么樣的組合才構(gòu)成威脅呢?“基于行為分析的合法性檢查技術(shù)”引入了行為權(quán)重和威脅閥值的概念,即將目前各類已知的行為根據(jù)它們的風(fēng)險性初始化一個行為權(quán)重,同時擬定一個威脅閥值,如果某類事件所包含行為的行為權(quán)重的組合超過了閥值,那么可以認(rèn)定這類事件為一個威脅。
用行為權(quán)重作為判斷威脅的標(biāo)準(zhǔn)對權(quán)重的精確性提出了非常高的要求,“基于行為分析的合法性檢查技術(shù)”選擇了五萬多條含有豐富行為特征的樣本庫,即包括正常樣本也包括威脅樣本,經(jīng)過百萬次的循環(huán)驗證和權(quán)重微調(diào),最終形成了一套準(zhǔn)確的行為權(quán)重知識庫。準(zhǔn)確的行為權(quán)重知識庫是檢測未知威脅的基礎(chǔ)。
對未知威脅準(zhǔn)確判斷
以行為分析作為條件,以“行為權(quán)重知識庫”作為基礎(chǔ),對于任何來自于Internet的未知事件,經(jīng)過“反編譯解碼行為提煉知識庫比對權(quán)重計算閥值比較”的流程化操作后即可判斷該未知事件是否為一例威脅事件。如果權(quán)重計算的結(jié)果大于等于閥值,那么就可以認(rèn)定為一例威脅事件,否則就判定為正常數(shù)據(jù)。基于五萬條樣本數(shù)據(jù)和百萬次的循環(huán)訓(xùn)練而產(chǎn)生的準(zhǔn)確的行為知識庫保證了對未知威脅判斷的精度。
“臺上一分鐘、臺下十年功”,天清漢馬USG一體化安全網(wǎng)關(guān)本著把復(fù)雜留給自己,把簡單留給用戶的超然態(tài)度,借助十年深厚的技術(shù)積累和百萬次的人工智能訓(xùn)練,最終將“基于行為分析的合法性檢查技術(shù)”奉獻(xiàn)給用戶。采用天清漢馬USG一體化安全網(wǎng)關(guān)作為網(wǎng)絡(luò)安全的第一道防線,對于隱藏在Internet中的任何未知威脅,通過行為分析和合法性檢查,可快速判斷威脅等級并通過阻斷、告警等多種手段有效控制,將未知威脅消滅于萌芽狀態(tài),讓未知威脅無處藏身。