随着网络环境中APT高级持续威胁的泛滥，以及僵木蠕毒(僵尸网络、木马、蠕虫、病毒)出现的速度更快、更复杂，当前市场上的第一代防火墙及第二代防火墙普遍采用威胁特征匹配或网络沙箱配合进行威胁防范的方式已经力不从心。

第一代防火墙主要使用威胁特征匹配技术进行安全防护，特征匹配在病毒数未达到千万级的时候是可以应付安全防护需求的，但特征匹配的方式无法检测恶意代码变种，这种方式存在的主要问题是：

 特征规则需要及时更新，无法识别恶意代码变种

 误报率高，被动防护，只能在威胁发生之后收集到特征才能用于之后的威胁识别

 数据包内容逐一匹配检查，计算量大，时延长

 简单条件过滤器，不具有智能功能，无法应对复杂的攻击手段

为了有效应对恶意代码变种和应用层安全威胁，第二代防火墙加入了应用识别、行为识别等手段，第二代防火墙的行为识别主要是依赖沙箱技术，沙箱能够在完全隔离的环境中运行可疑代码，根据运行时是否出现恶意行为判断可疑代码是否为恶意代码。但沙箱仍然存在一些问题：

 运行时间长，至少需要等到代码执行完成后才能判断是否有恶意行为

 需要改变系统环境，容易被病毒检测到，避开沙箱的检测

 病毒不是以单一文件的形式存在，需要几个文件组合，文件分段进入沙箱时不会表现出异常

 病毒不以文件的形式存在

 搭建多组虚拟机环境，资源消耗大，且存在被恶意代码识别绕过的可能

蓝盾在此背景下，研发基于机器学习威胁检测的人工智能防火墙，蓝盾的机器学习技术分为两个部分，恶意文件预测和训练模型。

模型的训练过程下图所示：

蓝盾技术团队可从被检测文件中快速提取特征约10万种，这些特征之所以有效，关键在于能分辨恶意软件与非恶意软件在静态与动态行为上的异同，如文件相关行为、进程相关行为、内存相关行为、寄存器相关行为、网络相关行为、Windows服务行为等。

蓝盾所使用的机器学习算法为随机森林，现阶段用于模型训练的样本已达千万级，通过调节模型参数如树的数目、最大深度及分支最小样本数等，使模型有效适配防火墙应用场景。

蓝盾人工智能防火墙不再依赖特征对威胁进行匹配和判断，而是通过机器学习模型判定安全威胁，能够检测木马变种和未知威胁攻击、0 day攻击等。同时，蓝盾还通过云端威胁情报进行威胁模型训练更新，同步收集全网僵木蠕毒作为模型的训练样本，使模型的精度接近完美。

现阶段模型的关键性能指标如下：

 模型的预测时间保持在毫秒级

 模型的训练基于千万级文件样本(包含恶意与正常样本)

 特征维度数为10万级别

 检测准确率达99.9%

 误报率低于0.1%

综合上述信息，蓝盾人工智能防火墙的优势如下：

 非特征库匹配方式，基于机器学习的检测判断，能准确识别僵木蠕毒及其变种，准确率高

 无需解包，快速检测判断僵木蠕毒

 云端威胁情报支撑，通过全球最新样本不断学习完善检测模型，提升未知威胁攻击、0day攻击的判断能力

 对高级威胁的判断无需依赖于复杂的网络沙箱式验证

 误报率极低，主动防御，对未知威胁可进行无差别判断

蓝盾信息安全技术股份有限公司是中国信息安全行业的领军企业，公司成立于1999年，并于2012年3月15日在深交所创业板上市，股票代码：300297。公司凭借安全产品、安全方案、安全服务、安全运营“四位一体”联动发展的经营模式，为各大行业客户提供一站式的信息安全整体解决方案。公司持续推进“大安全”产业发展战略，不断加快内生增长及外延扩张步伐，积极开拓市场，大举研发创新，形成和巩固了公司“智慧安全领导者”的市场地位。