蓝盾第三代AI防火墙分析

蓝盾第三代AI防火墙是国内首个“AI-Enabled”的防火墙。有别于市场上第一代特征识别、第二代应用识别防火墙。传统安全网关，需要依赖于签名和特征库技术对威胁进行检查，效率较低且存在大量误报漏报，特别是针对应用层大量的威胁变种显得力不从心。

 

 

部署在客户环境的防火墙，默认使用AI引擎进行文件扫描。由于此文件扫描过程基于机器学习和静态分析技术，所以检测速度快。如果文件在经过AI引擎后尚未能分辨恶意与否，则会触发云沙箱等动态分析机制。值得一提的是，蓝盾第三代AI防火墙的检测对象除了聚焦于各种不同类型的文件外（现支持PE，APK，PDF等数十种类型）。也把AI技术运用于入站/出站(Inbound/Outbound)异常流量的检测中，有效地在边界处检测出僵尸网络，洪水攻击等。

 

 

配合云端沙箱的做法：如果他的这个良性概率比较高的话，那我们就把它归类为是良性文件，如果恶性占比比较高的话，归类为恶性文件。当然有一种情况就是他的这个评分值介于良性与恶性之间，比如说在0.5和0.6，这个时候怎么办呢，把这个文件上传到云端服务，跑他一些动态特征，进一步辅助我们判断，看他是不是一个恶意文件。

 

 

他们的AI算法其实比较少 就两个:AI主要是做恶意文件检测和异常流量分析。

 

参考：

http://www.bluedon.com/security_detail-01.html

http://www.bluedon.com/News.aspx?id=5204

http://www.bluedon.com/News.aspx?id=4920

http://a.mini.eastday.com/a/180330193325939.html

http://www.mtx.cn/xjsdt/515658.htm 

http://www.sohu.com/a/166339624_780954

http://www.aqniu.com/tools-tech/32503.html