未知威胁(如APT攻击、黑客远控等)的检测与响应已成为网络安全领域的棘手问题。传统检测机制对未知威胁的平均检出率通常不足30%,而且从威胁出现到被识破往往需要数小时甚至数天——黑客足以利用这段“盲区”完成横向渗透和数据窃取。如果能在5分钟内实现未知威胁的精准检出且全网同步,攻击链尚未展开即被阻断,从而改变“被动挨打”的局面。
“校园网服务器异常与境外IP(111.***.***.230)进行通信”。
2025年2月17日早上5:45,一条异常日志在国内某高校部署的深信服防火墙日志中弹出。而此时,运维人员还没上班,尚未发现异常情况。
5:47,深信服防火墙通过云端AI智能引擎鉴定,精准研判该IP为最新的Cobalt Strike黑客工具。
5:50,恶意IP的通信被深信服防火墙及时阻断,并产生高危告警。几乎同时,通过云端百亿威胁情报同步更新规则,所有内联云端架构的防火墙都具备了该威胁的防护能力。
以往,黑客拿着新鲜出炉的变种远控工具,还能逍遥法外几天。如今,形势却大不相同——刚使用不到5分钟就被防火墙拦截。
在同一天,该IP对不同用户发起了2,800多次病毒攻击。在接下来的1个月内,深信服防火墙与该IP有关的病毒攻击展开了高达63,594次的交锋,政府、教育、企业、运营商等,数万名用户的边界防线,从始至终未被攻破。
深信服AI+SASE赋能的下一代防火墙,为何总能“以快制快”,在每一场与黑客的无声赛跑中,始终领先一步?
今天,我们将为大家揭开这一神秘面纱。
主动挖掘未知威胁——
AI智能体驱动防火墙全面升级
如今,黑客能够利用AI大模型技术,在几秒钟内自动化生成高度逼真的钓鱼邮件、恶意软件,甚至轻松绕过传统检测机制,实施大规模网络攻击。
面对黑客的“魔高一尺”,深信服“道高一丈”。凭借20年的技术沉淀,通过融合自研的安全GPT和GraphRAG,深信服创新打造基于AI智能体的威胁情报生产体系,以AI技术重塑威胁检测机制,实现未知威胁快速发现和精准研判。
ChMkK2ghuK-ISsITAAeUKz3lLmEAAsRIAEevbkAB5RD964.jpg
△ 深信服基于AI智能体的威胁情报生产架构
技术已就位,情报AI智能体是怎样高效探测和精准分析未知威胁的?
自动化多步调查,平均检测耗时降至分钟级
打个比方,当接到新案件时,刑侦大队长会自主决策和拆解子任务,安排相关的侦查员进行有针对性的调查,快速获取线索情报,为后续的“破案”奠定基础。
ChMkK2ghuLCIBpTuAAVgi3gPQVgAAsRIAE6WJ4ABWCj749.jpg
情报AI智能体就像这位“刑侦大队长”一样,拥有“最强大脑”,能够模拟人类的调查逻辑,自动执行关联情报富化、威胁检测和威胁定性等步骤,最终完成对未知威胁的智能闭环研判。
在威胁检测阶段,它动态选择最相关的子模型处理网络流量、行为特征等特定输入内容,而非全部子模型都要处理一次内容。这种动态的稀疏激活机制,使得检测效率提升近10倍,平均检测耗时从小时级别降至分钟级别。
具备强大的复杂推理和关联能力,未知威胁检出率提升至95%以上
根据收集到的证据和线索,刑侦大队长会协同多名侦查员基于逻辑推理与分析,梳理作案动机、作案手法等信息,将其串联为犯罪事实的证据链,从而锁定嫌疑人。
ChMkK2ghuK-IRZZgAADwVwY2-wsAAsRIAEX3G4AAPBv433.jpg
情报AI智能体亦是如此,率先利用GraphRAG(基于知识图谱的检索增强技术),整合OSINT(开源情报)、设备安全日志、暗网数据等异构信息,通过复杂关系推理与因果分析,挖掘弱特征间的潜在关联,精准识别加密流量中隐藏的恶意活动。
这种基于知识图谱的增强推理机制,实现从战术级(单次攻击)到战略级(威胁组织画像)的多层次分析,未知威胁检出率提升至95%以上。
构建持续学习框架,不断提高自适应能力
犯罪手段在快速迭代,如AI诈骗、暗网交易等。刑侦大队长作为“总指挥官”,需要持续不断地学习各种新型犯罪方式。情报AI智能体,同样通过持续学习框架,实现威胁知识的动态更新,知识迭代周期从周级别缩短至小时级别。
ChMkK2ghuK-IMX3zAAQW6NJ-PIoAAsRIAEyVPQABBcA506.jpg
例如,当检测到新型恶意软件时,情报AI智能体自动提取行为特征向量,经沙箱验证后,生成对抗样本注入训练集,触发云端检测模型在线更新,从而更精准地鉴定未知威胁。
深信服威胁情报中心的数据显示,2024年主动挖掘超过10亿次未知威胁,包括未知挖矿、网络URL钓鱼、僵尸网络、黑客工具外联行为等。
全网“免疫”实时防御——
全国30+PoP节点,防火墙就近接入云端
精准识别未知威胁只是第一步。
要想实时防御未知威胁,真正的“必杀技”是内联云端架构——基于自建的全国30+PoP节点,深信服防火墙就近接入云端,通过云端百亿威胁情报同步更新规则,实现全网设备对未知威胁的实时拦截。
ChMkK2ghuK-IAY7QAAi3BUBKtfYAAsRIAEpXXwACLcd152.jpg
以异常文件检测为例,2025年3月,深信服防火墙检测到一个名为“采购*.exe”的异常文件,经过情报AI智能体的快速鉴定,最终研判其为银狐家族的最新变种;随后将获取到的最新情报,通过防火墙内联云端架构,下发至云端百亿威胁情报,实现全网同步。
整个过程耗时不到5分钟,所有深信服防火墙在线用户都获得了实时“免疫保护”。
如今,网络安全的攻防已经从过去的人与人之间的对抗,升级为AI与AI的对抗。唯有以AI对抗AI、以快制快,方能制胜。
深信服AI+SASE赋能的下一代防火墙,内联云端百亿威胁情报,基于AI智能体的威胁情报生产体系,主动挖掘未知威胁,确保百亿威胁情报始终保持最新、最准、最及时,致力于让每一位用户「安全领先一步」。 |
|
让创业更简单