當(dāng)前科技迅猛發(fā)展，AI技術(shù)在帶來便利的同時(shí)，也被黑客利用于網(wǎng)絡(luò)安全攻擊領(lǐng)域。據(jù)AV-Test統(tǒng)計(jì)，每年新增病毒數(shù)量高達(dá)1億以上，平均每4秒鐘就會(huì)出現(xiàn)1個(gè)新增病毒。在AI時(shí)代，攻擊呈現(xiàn)高度自動(dòng)化、深度隱蔽化趨勢(shì)，如何快速準(zhǔn)確地識(shí)別未知威脅攻擊，已成為當(dāng)前亟待解決的首要問題。針對(duì)上述挑戰(zhàn)，華為推出了星河AI融合SASE解決方案，該方案在防火墻集成Emulator微內(nèi)核脫殼引擎與AI安全檢測(cè)算法，打破傳統(tǒng)特征庫(kù)檢測(cè)瓶頸，將未知威脅檢出率提升至95%。

未知威脅為什么這么難檢測(cè)?

在此之前我們先了解什么是加殼技術(shù)，加殼技術(shù)通過加密、壓縮等方式將惡意程序代碼轉(zhuǎn)換為無(wú)法直接分析的形態(tài)，實(shí)現(xiàn)病毒文件偽裝，使其在靜態(tài)分析階段呈現(xiàn)不可解析的外殼結(jié)構(gòu)。病毒文件一旦加殼后，傳統(tǒng)依賴特征庫(kù)的檢測(cè)技術(shù)，由于無(wú)法提取到有效特征，導(dǎo)致檢測(cè)機(jī)制失效，形成“檢測(cè)盲區(qū)”。

未知威脅檢測(cè)難度大主要源于以下三個(gè)關(guān)鍵點(diǎn)

AI驅(qū)動(dòng)的新型惡意軟件呈爆發(fā)式增長(zhǎng)，日均新增超33萬(wàn)種，傳統(tǒng)檢測(cè)手段響應(yīng)速度跟不上威脅演變節(jié)奏。 加密流量已成攻擊主流載體，95%的網(wǎng)絡(luò)流量經(jīng)過了加密，其中86%的攻擊通過加密通道發(fā)起，傳統(tǒng)基于內(nèi)容簽名的檢查機(jī)制基本失效。 高級(jí)繞過技術(shù)泛濫，編碼混淆、混淆繞過類攻擊占比超30%，傳統(tǒng)方案需上萬(wàn)條規(guī)則對(duì)抗單一攻擊，防御成本飆升。

未知威脅檢測(cè)關(guān)鍵技術(shù)突破：Emulator

微內(nèi)核脫殼引擎+AI安全檢測(cè)算法

為了應(yīng)對(duì)未知威脅的挑戰(zhàn)，華為防火墻基于AI賦能提升未知威脅檢測(cè)能力，重磅推出了兩大關(guān)鍵技術(shù)：Emulator微內(nèi)核脫殼引擎和AI安全檢測(cè)算法。

Emulator微內(nèi)核脫殼，毫秒級(jí)解密，精準(zhǔn)還原病毒真實(shí)語(yǔ)義

惡意軟件普遍采用加殼技術(shù)隱匿自身以規(guī)避檢測(cè)。業(yè)界大多是通過離線第三方工具進(jìn)行模擬脫殼，這種脫殼方式檢測(cè)時(shí)延大，且是事后檢測(cè)，無(wú)法做到實(shí)時(shí)檢測(cè)，造成病毒入侵。

為便于理解，我們將AI變種病毒的產(chǎn)生與檢測(cè)過程，類比成“危險(xiǎn)違禁物品通過安檢過程”，對(duì)應(yīng)關(guān)系說明如下：

病毒毫秒級(jí)脫殼——透視“加密行李箱”

華為將自研輕量級(jí)Emulator微內(nèi)核脫殼引擎集成到防火墻上，實(shí)現(xiàn)變種加殼文件毫秒級(jí)脫殼。該引擎通過軟件方式極速模擬CPU、內(nèi)存以及操作系統(tǒng)實(shí)現(xiàn)，動(dòng)態(tài)模擬運(yùn)行惡意程序代碼指令，即實(shí)現(xiàn)文件格式密文到明文轉(zhuǎn)換。Emulator微內(nèi)核脫殼引擎需要極小、極快模擬完整操作系統(tǒng)+CPU+內(nèi)存環(huán)境，進(jìn)而模擬運(yùn)行脫殼過程，整個(gè)過程需要對(duì)操作系統(tǒng)、內(nèi)存管理、指令模擬、惡意軟件分析具備深入的系統(tǒng)性理解。這里我們完成了文件脫殼執(zhí)行的流程：如同在安檢中通過深度掃描發(fā)現(xiàn)藏匿在正常行李箱中的“違禁物品零部件”。

病毒行為語(yǔ)義還原——還原“違禁物品全貌”

惡意軟件完成脫殼后，實(shí)現(xiàn)從密文到明文的轉(zhuǎn)換，但此時(shí)還是沒有意義的二進(jìn)制字節(jié)數(shù)據(jù)，還需要繼續(xù)進(jìn)行惡意行為的語(yǔ)義還原。Emulator微內(nèi)核脫殼引擎，運(yùn)用高性能的指令編譯和CPU軟cache核心加速技術(shù)，在虛擬隔離的微內(nèi)核中實(shí)現(xiàn)實(shí)時(shí)、安全的可疑惡意代碼和內(nèi)存片段的動(dòng)態(tài)分析，深度識(shí)別隱藏的惡意行為，精準(zhǔn)還原病毒真實(shí)語(yǔ)義。這里我們完成了語(yǔ)義還原的流程：如同智能安檢終端分析零部件的特征，模擬還原疑似的違禁品。

AI安全檢測(cè)，未知威脅檢測(cè)率高達(dá)95%

病毒脫殼、語(yǔ)義還原后之后，就需要另外一個(gè)殺手锏：AI安全檢測(cè)算法。

華為云端安全智能中心為防火墻側(cè)的AI安全檢測(cè)提供了持續(xù)、強(qiáng)力的安全能力支撐：通過分析數(shù)億級(jí)的海量病毒構(gòu)建了專用的病毒檢測(cè)AI算法，病毒檢測(cè)AI算法實(shí)現(xiàn)了對(duì)海量已知病毒和未知病毒高性能和高準(zhǔn)確率的檢測(cè)。防火墻聯(lián)動(dòng)云端安全智能中心，實(shí)時(shí)更新本地AI安全檢測(cè)算法，為客戶提供實(shí)時(shí)升級(jí)的防御體系。防火墻內(nèi)置AI安全檢測(cè)算法，能夠?qū)崟r(shí)、精準(zhǔn)識(shí)別并阻斷流量中的未知威脅。以惡意文件的本地檢測(cè)過程為例，通過提取惡意文件的行為特征、脫殼特征，完成AI檢測(cè)本地推理，實(shí)現(xiàn)對(duì)病毒高性能、高準(zhǔn)確率的檢測(cè)。

同時(shí)，防火墻在不同階段運(yùn)用多種AI檢測(cè)技術(shù)，對(duì)未知威脅進(jìn)行多層防護(hù)：

1)攻擊前期掃描探測(cè)階段：采用基于AI的暴力破解檢測(cè)模型，有效對(duì)抗分布式暴力破解攻擊，避免業(yè)務(wù)系統(tǒng)被惡意登錄。

2)攻擊突破邊界，權(quán)限提升階段：采用基于AI的反病毒檢測(cè)模型，對(duì)海量變種病毒進(jìn)行極速的檢測(cè);

3)攻擊外聯(lián)控制階段：采用基于AI的DGA惡意域名檢測(cè)模型(Domain Generation Algorithm，域名生成算法)，實(shí)現(xiàn)隨機(jī)、未知惡意域名檢測(cè)，解決傳統(tǒng)域名庫(kù)方式無(wú)法覆蓋問題，切斷失陷主機(jī)和黑客的通信，防止客戶敏感數(shù)據(jù)泄露;采用基于AI的加密流量檢測(cè)模型，實(shí)現(xiàn)解密流量不解密識(shí)別，解決加密流量解密難、性能低的難題，攔截加密流量攻擊。采用基于AI的命令與控制(C&C)通信檢測(cè)模型，精準(zhǔn)識(shí)別C&C和隱蔽通道，攔截黑客遠(yuǎn)控通信行為，避免敏感數(shù)據(jù)泄露。

華為防火墻通過Emulator微內(nèi)核脫殼引擎與AI安全檢測(cè)算法無(wú)縫結(jié)合，實(shí)現(xiàn)變種加殼文件毫秒級(jí)解密脫殼，威脅實(shí)時(shí)阻斷，未知威脅檢測(cè)率高達(dá)95%。在新型攻擊層出不窮的AI時(shí)代，以AI對(duì)抗AI，為全球企業(yè)提供更高效、更智能的云邊一體化防御體系。

倘若您正被難以捉摸的未知網(wǎng)絡(luò)威脅所困擾，不妨深入了解華為星河AI融合SASE解決方案，更多詳情請(qǐng)前往華為官網(wǎng)探尋。