在信息安全領(lǐng)域,未知威脅是指尚未被發(fā)現(xiàn)的具有未知特征同時(shí)對(duì)信息系統(tǒng)存在潛在威脅的活動(dòng)類型。未知威脅可能是一種網(wǎng)絡(luò)攻擊、一種電腦病毒、或者是一種對(duì)資源的非法濫用。世界有多大,Internet就有多大,又有誰(shuí)能預(yù)知隱藏在Internet深處的下一個(gè)威脅會(huì)是什么?在信息安全領(lǐng)域,人們對(duì)威脅的認(rèn)知總是要滯后于威脅的產(chǎn)生。雖然每一種威脅最終都得到了有效的遏制,但是每一次對(duì)未知威脅的認(rèn)知都付出了巨大的代價(jià)。
讓我們?cè)賮砘仡櫼幌陆陙鞩nternet所經(jīng)歷的浩劫:1998年,CIH爆發(fā),造成全球八千萬(wàn)美元的損失;1999年,梅利莎(Melissa)病毒爆發(fā),感染全球20%的商業(yè)電腦,造成全球六千萬(wàn)美元的損失;2000年,愛蟲(I love you)病毒爆發(fā),造成全球三千萬(wàn)美元的損失;2001年,紅色代碼(Code Red)蠕蟲爆發(fā),造成全球五百萬(wàn)美元的損失;2003年,SQL Slammer(一款DDOS惡意程序)出現(xiàn),在世界范圍內(nèi)造成五十萬(wàn)臺(tái)服務(wù)器當(dāng)機(jī),讓韓國(guó)整個(gè)網(wǎng)絡(luò)癱瘓了12個(gè)小時(shí)……
難道對(duì)于未知威脅只能采用亡羊補(bǔ)牢式的被動(dòng)防范嗎?信息安全領(lǐng)域內(nèi)的各路專家都在積極探索一種有效防范未知威脅的方法。北京啟明星辰信息技術(shù)股份有限公司作為國(guó)內(nèi)信息安全企業(yè),也積極投入到對(duì)未知威脅的防范和研究中來。借助十年的技術(shù)積累和實(shí)驗(yàn)驗(yàn)證,啟明星辰經(jīng)過不懈的努力最終拿出了一種用于防范未知威脅的切實(shí)有效的方法——“基于行為分析的合法性檢查技術(shù)”,并將此技術(shù)成功應(yīng)用于天清漢馬USG一體化安全網(wǎng)關(guān)產(chǎn)品中。
 |
| 圖:基于行為分析的合法性檢查技術(shù) |
“基于行為分析的合法性檢查技術(shù)”是一種從已知威脅入手,通過對(duì)行為特征的分析而逐漸認(rèn)知未知威脅的一種方法,是一種通過已知透析未知的人工智能技術(shù)。
從行為分析入手
威脅是一只披著羊皮的狼,但無論它披上什么樣的羊皮都無法掩蓋其“狼”的秉性。每一種威脅都是由一系列的行為組成,如終止系統(tǒng)進(jìn)程、刪除文件、修改注冊(cè)表、探測(cè)漏洞、強(qiáng)行關(guān)閉系統(tǒng)等等。如果能有效的截獲這些動(dòng)作,那么也就揭開了威脅的神秘面紗。“基于行為分析的合法性檢查技術(shù)”通過強(qiáng)大的反編譯引擎對(duì)途經(jīng)的數(shù)據(jù)包進(jìn)行重組和反編譯處理,將已編譯好的二進(jìn)制威脅病原體重新反編譯為一系列行為動(dòng)作的組合,從而讓隱藏在數(shù)據(jù)流深處的各類威脅的“秉性”一覽無余,這就為有效截獲未知威脅創(chuàng)造了條件。
采用人工智能方法訓(xùn)練
對(duì)于成千上萬(wàn)種不同類型的行為,什么樣的組合屬于正常應(yīng)用,什么樣的組合才構(gòu)成威脅呢?“基于行為分析的合法性檢查技術(shù)”引入了行為權(quán)重和威脅閥值的概念,即將目前各類已知的行為根據(jù)它們的風(fēng)險(xiǎn)性初始化一個(gè)行為權(quán)重,同時(shí)擬定一個(gè)威脅閥值,如果某類事件所包含行為的行為權(quán)重的組合超過了閥值,那么可以認(rèn)定這類事件為一個(gè)威脅。
用行為權(quán)重作為判斷威脅的標(biāo)準(zhǔn)對(duì)權(quán)重的精確性提出了非常高的要求,“基于行為分析的合法性檢查技術(shù)”選擇了五萬(wàn)多條含有豐富行為特征的樣本庫(kù),即包括正常樣本也包括威脅樣本,經(jīng)過百萬(wàn)次的循環(huán)驗(yàn)證和權(quán)重微調(diào),最終形成了一套準(zhǔn)確的行為權(quán)重知識(shí)庫(kù)。準(zhǔn)確的行為權(quán)重知識(shí)庫(kù)是檢測(cè)未知威脅的基礎(chǔ)。
對(duì)未知威脅準(zhǔn)確判斷
以行為分析作為條件,以“行為權(quán)重知識(shí)庫(kù)”作為基礎(chǔ),對(duì)于任何來自于Internet的未知事件,經(jīng)過“反編譯解碼行為提煉知識(shí)庫(kù)比對(duì)權(quán)重計(jì)算閥值比較”的流程化操作后即可判斷該未知事件是否為一例威脅事件。如果權(quán)重計(jì)算的結(jié)果大于等于閥值,那么就可以認(rèn)定為一例威脅事件,否則就判定為正常數(shù)據(jù)。基于五萬(wàn)條樣本數(shù)據(jù)和百萬(wàn)次的循環(huán)訓(xùn)練而產(chǎn)生的準(zhǔn)確的行為知識(shí)庫(kù)保證了對(duì)未知威脅判斷的精度。
“臺(tái)上一分鐘、臺(tái)下十年功”,天清漢馬USG一體化安全網(wǎng)關(guān)本著把復(fù)雜留給自己,把簡(jiǎn)單留給用戶的超然態(tài)度,借助十年深厚的技術(shù)積累和百萬(wàn)次的人工智能訓(xùn)練,最終將“基于行為分析的合法性檢查技術(shù)”奉獻(xiàn)給用戶。采用天清漢馬USG一體化安全網(wǎng)關(guān)作為網(wǎng)絡(luò)安全的第一道防線,對(duì)于隱藏在Internet中的任何未知威脅,通過行為分析和合法性檢查,可快速判斷威脅等級(jí)并通過阻斷、告警等多種手段有效控制,將未知威脅消滅于萌芽狀態(tài),讓未知威脅無處藏身。
