蓝盾第三代AI防火墙是国内首个“AI-Enabled”的防火墙。有别于市场上第一代特征识别、第二代应用识别防火墙。传统安全网关,需要依赖于签名和特征库技术对威胁进行检查,效率较低且存在大量误报漏报,特别是针对应用层大量的威胁变种显得力不从心。
部署在客户环境的防火墙,默认使用AI引擎进行文件扫描。由于此文件扫描过程基于机器学习和静态分析技术,所以检测速度快。如果文件在经过AI引擎后尚未能分辨恶意与否,则会触发云沙箱等动态分析机制。值得一提的是,蓝盾第三代AI防火墙的检测对象除了聚焦于各种不同类型的文件外(现支持PE,APK,PDF等数十种类型)。也把AI技术运用于入站/出站(Inbound/Outbound)异常流量的检测中,有效地在边界处检测出僵尸网络,洪水攻击等。
配合云端沙箱的做法:如果他的这个良性概率比较高的话,那我们就把它归类为是良性文件,如果恶性占比比较高的话,归类为恶性文件。当然有一种情况就是他的这个评分值介于良性与恶性之间,比如说在0.5和0.6,这个时候怎么办呢,把这个文件上传到云端服务,跑他一些动态特征,进一步辅助我们判断,看他是不是一个恶意文件。
他们的AI算法其实比较少 就两个:AI主要是做恶意文件检测和异常流量分析。
参考:
http://www.bluedon.com/security_detail-01.html
http://www.bluedon.com/News.aspx?id=5204
http://www.bluedon.com/News.aspx?id=4920
http://a.mini.eastday.com/a/180330193325939.html
http://www.mtx.cn/xjsdt/515658.htm
http://www.sohu.com/a/166339624_780954
http://www.aqniu.com/tools-tech/32503.html