山石网科iNGFW：行为检测实时发现恶意威胁一举一动

近日，山石网科发布智能下一代防火墙新版，基于行为分析的检测技术是其新产品的全新标签。山石网科CEO罗东平在发布会上表示，“山石网科智能下一代防火墙，采用了全新的威胁检测技术，基于行为分析，准确发现变种恶意软件等未知威胁，从而弥补了传统检测技术的弊端。”

山石网科智能下一代防火墙3.0发布现场

之所以能够应对恶意变种、未知威胁以及APT等新兴高级威胁，是因为山石网科智能下一代防火墙内置了两大法宝，“未知威胁检测引擎和异常行为检测引擎”。山石网科CTO刘向明指出，拥有这两大引擎的新产品看起来更像一个“闭路电视”，实时观察网络内部的每个角落，即使恶意威胁伪装进来，也能另它现出原形，传统的防火墙则更像一个简单的门卫。

因为传统防火墙采用基于代码特征的检测方式，只能发现特征库中所涵盖的威胁类型。一旦恶意代码采用代码混淆或加密等方式进行变种，成为未知威胁，传统防火墙则无法识别。

未知威胁检测引擎

刘向明指出，“未知威胁检测引擎总结了上百万的行为样本，然后对样本进行归类，并对每个类别的样本进行描述，这是用已知病毒行为抽象出来的，然后再对变形后的威胁进行行为匹配，根据两者相似程度可确定当前是否存在变种恶意软件等未知威胁。”

据悉，山石网科智能下一代防火墙的威胁行为集来自于云端山石网科安全平台对海量威胁行为的大数据分析，提取为行为集后下发至本地设备中。

异常行为检测引擎

异常行为检测引擎能够持续学习所保护业务的应用层行为特征，“我进来之后先不说话，闷头干一个月或一个星期，在这个过程中建立业务动态安全模型。”刘向明说，通过将当前的网络及应用层行为与安全模型进行偏离度分析，能够发现隐藏的网络异常行为，并根据行为特征确定攻击类型。

“以TARGET 4000万用户信息泄露事件为例，这个数量级至少上G，如果有行为分析在里面，最多出现100M时管理员就会知道，因为信息在泄露时和行为分析通过自学习建立的正常业务模型不匹配。这个时候系统自动减缓，甚至终止信息外传，然后向管理员报警。”

山石网科研发副总裁蒋东毅进一步说到，现在业界有一个热词叫情景感知，可以把异常行为分析视为针对情景感知的安全。例如A、B两家公司有同样的流量，可能一个是正常的，另外一个被认为是异常的，数据本身并不决定是正常还是异常，这要以其所在的情景而定，它是以背后的大数据关联分析技术作为支撑的。

和业界主流运用的沙箱技术不一样，山石网科走出了不一样的路，而是基于行为检测，发现未知威胁。对此，罗东平说到，“沙箱集中在网络攻击的准备和攻击过程中，是边界防护。但有时沙箱环境和实际主机环境并不一致，因为沙箱是离线式，并不能直接诊断，不过这也不妨碍它是一种有效的威胁检测手段。”

行为检测是从发现到可视到控制的全面检测，它比沙箱多一项，对攻陷后的系统提出了防御的方式，这一下把检测率提高了，罗东平继续说到，这也是Gartner特别认可我们的地方。一个是对文件进行还原，另一个是对网络行为进行检测，它们形成互补能够带来特别的价值，现在山石网科也是这么做的，正和沙箱厂家建立合作关系。

从风险到威胁的全面可视

除了检测引擎的更新外，山石网科智能下一代防火墙还对安全可视化下了大功夫，它提供了从风险到威胁的全面展现，包括全网风险指数、风险主机及特定威胁的详细信息。通过多层次、立体展现,网络管理员可详细了解整体网络安全态 势及风险背后的威胁根源。“全网风险指数”提供了量化的网络风险状况,“风险主机”与“威 胁”则从不同维度呈现当前网络威胁的时空分布，例如主机的风险级别、IP地址,威胁来源、 严重级别、受害者及攻击者信息等。

在后台管理的首页，包括了网络风险指数以及风险主机和威胁的汇总信息，用户以及应用的汇总信息，网络层的信息，管理员可以掌握整体网络的各个层次的信息。

蒋东毅指出，“以前防火墙在那跑，可能就是一个黑盒子，也不知道发生了什么。现在给你一个界面，可以知道谁的流量大，哪个应用用得多。智能下一代防火墙提供了另外一个视角，网络管理员每天一早就可以有一个全局的视野知道网络怎么样，红灯还是绿灯。”