當前科技迅猛發(fā)展，AI技術在帶來便利的同時，也被黑客利用于網絡安全攻擊領域。據(jù)AV-Test統(tǒng)計，每年新增病毒數(shù)量高達1億以上，平均每4秒鐘就會出現(xiàn)1個新增病毒。在AI時代，攻擊呈現(xiàn)高度自動化、深度隱蔽化趨勢，如何快速準確地識別未知威脅攻擊，已成為當前亟待解決的首要問題。針對上述挑戰(zhàn)，華為推出了星河AI融合SASE解決方案，該方案在防火墻集成Emulator微內核脫殼引擎與AI安全檢測算法，打破傳統(tǒng)特征庫檢測瓶頸，將未知威脅檢出率提升至95%。

未知威脅為什么這么難檢測?

在此之前我們先了解什么是加殼技術，加殼技術通過加密、壓縮等方式將惡意程序代碼轉換為無法直接分析的形態(tài)，實現(xiàn)病毒文件偽裝，使其在靜態(tài)分析階段呈現(xiàn)不可解析的外殼結構。病毒文件一旦加殼后，傳統(tǒng)依賴特征庫的檢測技術，由于無法提取到有效特征，導致檢測機制失效，形成“檢測盲區(qū)”。

未知威脅檢測難度大主要源于以下三個關鍵點

AI驅動的新型惡意軟件呈爆發(fā)式增長，日均新增超33萬種，傳統(tǒng)檢測手段響應速度跟不上威脅演變節(jié)奏。 加密流量已成攻擊主流載體，95%的網絡流量經過了加密，其中86%的攻擊通過加密通道發(fā)起，傳統(tǒng)基于內容簽名的檢查機制基本失效。 高級繞過技術泛濫，編碼混淆、混淆繞過類攻擊占比超30%，傳統(tǒng)方案需上萬條規(guī)則對抗單一攻擊，防御成本飆升。

未知威脅檢測關鍵技術突破：Emulator

微內核脫殼引擎+AI安全檢測算法

為了應對未知威脅的挑戰(zhàn)，華為防火墻基于AI賦能提升未知威脅檢測能力，重磅推出了兩大關鍵技術：Emulator微內核脫殼引擎和AI安全檢測算法。

Emulator微內核脫殼，毫秒級解密，精準還原病毒真實語義

惡意軟件普遍采用加殼技術隱匿自身以規(guī)避檢測。業(yè)界大多是通過離線第三方工具進行模擬脫殼，這種脫殼方式檢測時延大，且是事后檢測，無法做到實時檢測，造成病毒入侵。

為便于理解，我們將AI變種病毒的產生與檢測過程，類比成“危險違禁物品通過安檢過程”，對應關系說明如下：

病毒毫秒級脫殼——透視“加密行李箱”

華為將自研輕量級Emulator微內核脫殼引擎集成到防火墻上，實現(xiàn)變種加殼文件毫秒級脫殼。該引擎通過軟件方式極速模擬CPU、內存以及操作系統(tǒng)實現(xiàn)，動態(tài)模擬運行惡意程序代碼指令，即實現(xiàn)文件格式密文到明文轉換。Emulator微內核脫殼引擎需要極小、極快模擬完整操作系統(tǒng)+CPU+內存環(huán)境，進而模擬運行脫殼過程，整個過程需要對操作系統(tǒng)、內存管理、指令模擬、惡意軟件分析具備深入的系統(tǒng)性理解。這里我們完成了文件脫殼執(zhí)行的流程：如同在安檢中通過深度掃描發(fā)現(xiàn)藏匿在正常行李箱中的“違禁物品零部件”。

病毒行為語義還原——還原“違禁物品全貌”

惡意軟件完成脫殼后，實現(xiàn)從密文到明文的轉換，但此時還是沒有意義的二進制字節(jié)數(shù)據(jù)，還需要繼續(xù)進行惡意行為的語義還原。Emulator微內核脫殼引擎，運用高性能的指令編譯和CPU軟cache核心加速技術，在虛擬隔離的微內核中實現(xiàn)實時、安全的可疑惡意代碼和內存片段的動態(tài)分析，深度識別隱藏的惡意行為，精準還原病毒真實語義。這里我們完成了語義還原的流程：如同智能安檢終端分析零部件的特征，模擬還原疑似的違禁品。

AI安全檢測，未知威脅檢測率高達95%

病毒脫殼、語義還原后之后，就需要另外一個殺手锏：AI安全檢測算法。

華為云端安全智能中心為防火墻側的AI安全檢測提供了持續(xù)、強力的安全能力支撐：通過分析數(shù)億級的海量病毒構建了專用的病毒檢測AI算法，病毒檢測AI算法實現(xiàn)了對海量已知病毒和未知病毒高性能和高準確率的檢測。防火墻聯(lián)動云端安全智能中心，實時更新本地AI安全檢測算法，為客戶提供實時升級的防御體系。防火墻內置AI安全檢測算法，能夠實時、精準識別并阻斷流量中的未知威脅。以惡意文件的本地檢測過程為例，通過提取惡意文件的行為特征、脫殼特征，完成AI檢測本地推理，實現(xiàn)對病毒高性能、高準確率的檢測。

同時，防火墻在不同階段運用多種AI檢測技術，對未知威脅進行多層防護：

1)攻擊前期掃描探測階段：采用基于AI的暴力破解檢測模型，有效對抗分布式暴力破解攻擊，避免業(yè)務系統(tǒng)被惡意登錄。

2)攻擊突破邊界，權限提升階段：采用基于AI的反病毒檢測模型，對海量變種病毒進行極速的檢測;

3)攻擊外聯(lián)控制階段：采用基于AI的DGA惡意域名檢測模型(Domain Generation Algorithm，域名生成算法)，實現(xiàn)隨機、未知惡意域名檢測，解決傳統(tǒng)域名庫方式無法覆蓋問題，切斷失陷主機和黑客的通信，防止客戶敏感數(shù)據(jù)泄露;采用基于AI的加密流量檢測模型，實現(xiàn)解密流量不解密識別，解決加密流量解密難、性能低的難題，攔截加密流量攻擊。采用基于AI的命令與控制(C&C)通信檢測模型，精準識別C&C和隱蔽通道，攔截黑客遠控通信行為，避免敏感數(shù)據(jù)泄露。

華為防火墻通過Emulator微內核脫殼引擎與AI安全檢測算法無縫結合，實現(xiàn)變種加殼文件毫秒級解密脫殼，威脅實時阻斷，未知威脅檢測率高達95%。在新型攻擊層出不窮的AI時代，以AI對抗AI，為全球企業(yè)提供更高效、更智能的云邊一體化防御體系。

倘若您正被難以捉摸的未知網絡威脅所困擾，不妨深入了解華為星河AI融合SASE解決方案，更多詳情請前往華為官網探尋。