在信息安全領域，未知威脅是指尚未被發現的具有未知特征同時對信息系統存在潛在威脅的活動類型。未知威脅可能是一種網絡攻擊、一種電腦病毒、或者是一種對資源的非法濫用。世界有多大，Internet就有多大，又有誰能預知隱藏在Internet深處的下一個威脅會是什么？在信息安全領域，人們對威脅的認知總是要滯后于威脅的產生。雖然每一種威脅最終都得到了有效的遏制，但是每一次對未知威脅的認知都付出了巨大的代價。

讓我們再來回顧一下近年來Internet所經歷的浩劫：1998年，CIH爆發，造成全球八千萬美元的損失；1999年，梅利莎（Melissa）病毒爆發，感染全球20％的商業電腦，造成全球六千萬美元的損失；2000年，愛蟲（I love you）病毒爆發，造成全球三千萬美元的損失；2001年，紅色代碼（Code Red）蠕蟲爆發，造成全球五百萬美元的損失；2003年，SQL Slammer（一款DDOS惡意程序）出現，在世界范圍內造成五十萬臺服務器當機，讓韓國整個網絡癱瘓了12個小時……

難道對于未知威脅只能采用亡羊補牢式的被動防范嗎？信息安全領域內的各路專家都在積極探索一種有效防范未知威脅的方法。北京啟明星辰信息技術股份有限公司作為國內信息安全企業，也積極投入到對未知威脅的防范和研究中來。借助十年的技術積累和實驗驗證，啟明星辰經過不懈的努力最終拿出了一種用于防范未知威脅的切實有效的方法——“基于行為分析的合法性檢查技術”，并將此技術成功應用于天清漢馬USG一體化安全網關產品中。

圖：基于行為分析的合法性檢查技術

“基于行為分析的合法性檢查技術”是一種從已知威脅入手，通過對行為特征的分析而逐漸認知未知威脅的一種方法，是一種通過已知透析未知的人工智能技術。

從行為分析入手

威脅是一只披著羊皮的狼，但無論它披上什么樣的羊皮都無法掩蓋其“狼”的秉性。每一種威脅都是由一系列的行為組成，如終止系統進程、刪除文件、修改注冊表、探測漏洞、強行關閉系統等等。如果能有效的截獲這些動作，那么也就揭開了威脅的神秘面紗。“基于行為分析的合法性檢查技術”通過強大的反編譯引擎對途經的數據包進行重組和反編譯處理，將已編譯好的二進制威脅病原體重新反編譯為一系列行為動作的組合，從而讓隱藏在數據流深處的各類威脅的“秉性”一覽無余，這就為有效截獲未知威脅創造了條件。

采用人工智能方法訓練

對于成千上萬種不同類型的行為，什么樣的組合屬于正常應用，什么樣的組合才構成威脅呢？“基于行為分析的合法性檢查技術”引入了行為權重和威脅閥值的概念，即將目前各類已知的行為根據它們的風險性初始化一個行為權重，同時擬定一個威脅閥值，如果某類事件所包含行為的行為權重的組合超過了閥值，那么可以認定這類事件為一個威脅。

用行為權重作為判斷威脅的標準對權重的精確性提出了非常高的要求，“基于行為分析的合法性檢查技術”選擇了五萬多條含有豐富行為特征的樣本庫，即包括正常樣本也包括威脅樣本，經過百萬次的循環驗證和權重微調，最終形成了一套準確的行為權重知識庫。準確的行為權重知識庫是檢測未知威脅的基礎。

對未知威脅準確判斷

以行為分析作為條件，以“行為權重知識庫”作為基礎，對于任何來自于Internet的未知事件，經過“反編譯解碼行為提煉知識庫比對權重計算閥值比較”的流程化操作后即可判斷該未知事件是否為一例威脅事件。如果權重計算的結果大于等于閥值，那么就可以認定為一例威脅事件，否則就判定為正常數據。基于五萬條樣本數據和百萬次的循環訓練而產生的準確的行為知識庫保證了對未知威脅判斷的精度。

“臺上一分鐘、臺下十年功”，天清漢馬USG一體化安全網關本著把復雜留給自己，把簡單留給用戶的超然態度，借助十年深厚的技術積累和百萬次的人工智能訓練，最終將“基于行為分析的合法性檢查技術”奉獻給用戶。采用天清漢馬USG一體化安全網關作為網絡安全的第一道防線，對于隱藏在Internet中的任何未知威脅，通過行為分析和合法性檢查，可快速判斷威脅等級并通過阻斷、告警等多種手段有效控制，將未知威脅消滅于萌芽狀態，讓未知威脅無處藏身。