在信息安全领域,未知威胁是指尚未被发现的具有未知特征同时对信息系统存在潜在威胁的活动类型。未知威胁可能是一种网络攻击、一种电脑病毒、或者是一种对资源的非法滥用。世界有多大,Internet就有多大,又有谁能预知隐藏在Internet深处的下一个威胁会是什么?在信息安全领域,人们对威胁的认知总是要滞后于威胁的产生。虽然每一种威胁最终都得到了有效的遏制,但是每一次对未知威胁的认知都付出了巨大的代价。
让我们再来回顾一下近年来Internet所经历的浩劫:1998年,CIH爆发,造成全球八千万美元的损失;1999年,梅利莎(Melissa)病毒爆发,感染全球20%的商业电脑,造成全球六千万美元的损失;2000年,爱虫(I love you)病毒爆发,造成全球三千万美元的损失;2001年,红色代码(Code Red)蠕虫爆发,造成全球五百万美元的损失;2003年,SQL Slammer(一款DDOS恶意程序)出现,在世界范围内造成五十万台服务器当机,让韩国整个网络瘫痪了12个小时……
难道对于未知威胁只能采用亡羊补牢式的被动防范吗?信息安全领域内的各路专家都在积极探索一种有效防范未知威胁的方法。北京启明星辰信息技术股份有限公司作为国内信息安全行业的领头企业,也积极投入到对未知威胁的防范和研究中来。借助十年的技术积累和实验验证,启明星辰经过不懈的努力最终拿出了一种用于防范未知威胁的切实有效的方法——“基于行为分析的合法性检查技术”,并将此技术成功应用于天清汉马USG一体化安全网关产品中。
图:基于行为分析的合法性检查技术
“基于行为分析的合法性检查技术”是一种从已知威胁入手,通过对行为特征的分析而逐渐认知未知威胁的一种方法,是一种通过已知透析未知的人工智能技术。
从行为分析入手
威胁是一只披着羊皮的狼,但无论它披上什么样的羊皮都无法掩盖其“狼”的秉性。每一种威胁都是由一系列的行为组成,如终止系统进程、删除文件、修改注册表、探测漏洞、强行关闭系统等等。如果能有效的截获这些动作,那么也就揭开了威胁的神秘面纱。“基于行为分析的合法性检查技术”通过强大的反编译引擎对途经的数据包进行重组和反编译处理,将已编译好的二进制威胁病原体重新反编译为一系列行为动作的组合,从而让隐藏在数据流深处的各类威胁的“秉性”一览无余,这就为有效截获未知威胁创造了条件。
采用人工智能方法训练
对于成千上万种不同类型的行为,什么样的组合属于正常应用,什么样的组合才构成威胁呢?“基于行为分析的合法性检查技术”引入了行为权重和威胁阀值的概念,即将目前各类已知的行为根据它们的风险性初始化一个行为权重,同时拟定一个威胁阀值,如果某类事件所包含行为的行为权重的组合超过了阀值,那么可以认定这类事件为一个威胁。
用行为权重作为判断威胁的标准对权重的精确性提出了非常高的要求,“基于行为分析的合法性检查技术”选择了五万多条含有丰富行为特征的样本库,即包括正常样本也包括威胁样本,经过百万次的循环验证和权重微调,最终形成了一套准确的行为权重知识库。准确的行为权重知识库是检测未知威胁的基础。
对未知威胁准确判断
以行为分析作为条件,以“行为权重知识库”作为基础,对于任何来自于Internet的未知事件,经过“反编译à解码à行为提炼à知识库比对à权重计算à阀值比较”的流程化操作后即可判断该未知事件是否为一例威胁事件。如果权重计算的结果大于等于阀值,那么就可以认定为一例威胁事件,否则就判定为正常数据。基于五万条样本数据和百万次的循环训练而产生的准确的行为知识库保证了对未知威胁判断的精度。
“台上一分钟、台下十年功”,天清汉马USG一体化安全网关本着把复杂留给自己,把简单留给用户的超然态度,借助十年深厚的技术积累和百万次的人工智能训练,最终将“基于行为分析的合法性检查技术”奉献给用户。采用天清汉马USG一体化安全网关作为网络安全的第一道防线,对于隐藏在Internet中的任何未知威胁,通过行为分析和合法性检查,可快速判断威胁等级并通过阻断、告警等多种手段有效控制,将未知威胁消灭于萌芽状态,让未知威胁无处藏身。
