智能下一代防火墙从行为分析开始

在咄咄逼人的各类新型恶意威胁面前,传统防火墙愈发显得力不从心,安全企业纷纷推出各自的下一代防火墙。而新网络安全时代下,“智能”也在成为安全的新特征。当“智能”与“下一代”融合在一起时,就是山石网科所重点推出的智能下一代防火墙。

日前,山石网科发布了新版智能下一代防火墙,特别强调了其可对未知威胁、异常行为进行分析检测,并能够基于风险进行策略控制,最终实现对恶意攻击发现、可视、控制的安全闭环防御。

个人认为智能的安全产品至少要能够实现关联的数据分析,并实施联动的安全防御。而山石网科智能下一代防火墙对异常行为的分析检测就属于关联性的数据分析。简单的说,就是山石网科的异常行为检测引擎能够对用户业务系统的正常运行状态进行学习,从中发现特征,建立知识库,形成具有几十个维度的业务动态安全模型,由此实现对异常行为的检测。

而山石网科对未知威胁的检测,不依赖于代码特征,而是采用基于威胁行为分析的方法,通过对网络中终端主机的行为进行分析,由于感染了变种恶意代码的主机其应用层行为将变得异常,智能下一代防火墙即根据这种异常发现变种恶意软件。

这就好比判断一个人是否为小偷似得,正常的人不会不停的四处乱看,而且其视线大多保持水平状态,更会与身边的人保持在一定的安全距离之外。人们在认知了这些特征后进行比对,心里就会建立起相关的判断规则,与规则完全不符的人员行为就是可疑行为,其是小偷的可能性将大增。

这种异常行为检测看起来貌似很简单,却涉及到大数据分析技术。特别是当企业内的业务数据足够庞大时,防火墙的异常行为分析版块将面临很大的计算压力。对此,山石网科智能下一代防火墙的数据分析模块单独采用了X86多核处理器,同时还将学习部分放置到了云端,由此有效弥补了计算能力不足的问题。

山石网科智能下一代防火墙的异常行为检测技术,能够做到从网络层到应用层检测用户、服务器的异常行为,通过统计分析与关联分析,发现潜在的恶意威胁。

行为分析检测可以说“由来已久”,早在杀毒软件时代,安全企业就力图通过行为检测的方式实现主动防御。如今,日趋成熟的硬件产品,以及不断完善的云计算平台、大数据技术,为行为分析主动防御模式提供了有利的支撑。

未来,安全产品的智能化之路还十分漫长,机器的自动学习、特征的自动界定与提取、规则的自动建立……相信随着安全产品智能程度的提高,人们在与恶意威胁的对抗中将获得愈加明显的优势。