IP知识百科之AI防火墙

AI防火墙

AI防火墙是NGFW的下一代产品，通过智能检测技术提升防火墙对高级威胁和未知威胁的检测能力。AI防火墙引入智能检测引擎，通过海量样本训练威胁检测模型并不断根据实时流量数据优化模型，从而提升了威胁检测能力。

为什么需要AI防火墙

除了传统的病毒、木马等威胁，以APT（高级持续性威胁）为代表的高级威胁不断演进，面对巨大的经济利益诱惑，勒索软件、M2M攻击等攻击行为越来越多样。高级威胁更隐蔽、扩散更迅速，而且高达70%的网络攻击采用加密手段。面对快速变化的威胁种类，传统NGFW主要问题如下：

基于签名的威胁检测无法应对高级、未知威胁

威胁多层次、立体化、更隐蔽，签名匹配无法防御整体攻击链

威胁处置人工程度高、花费时间长

面对网络和威胁的不断演进，NGFW需要更新换代。日益发展的人工智能技术为防火墙带来了新的契机，华为推出运用智能检测技术的AI防火墙，采用机器学习和深度学习构建威胁检测模型，极大提升了威胁检测的准确性和及时性。同时引入自动化处置技术，自动调测策略、分析威胁流量，减轻运维压力。

AI防火墙与下一代防火墙NGFW的差异

Gartner定义的NGFW主要能力是应用识别、集成IPS功能深度检测流量。而NGFW需要更新换代，目前并没有业界通用NGFW的下一代产品的定义。以下仅从华为AI防火墙的角度对比与NGFW的主要差异。

AI防火墙的主要优势在于“智能”，不再单纯依赖既定签名特征机械识别已经认识的威胁，而是通过大量样本和算法训练威胁检测模型，从而使防火墙可以自主检测高级未知威胁。引入智能检测技术后，对硬件算力的要求更高，AI防火墙需要提供专用硬件支撑智能检测算力，提升威胁检测性能。

AI防火墙检测高级威胁

AI防火墙内置智能检测引擎，该引擎通过机器学习获取的威胁检测模型检测高级威胁。引擎中的检测模型主要有云端样本训练（监督学习）和本地学习（非监督学习）这2种来源。监督学习与非监督学习可以更有效地检测频繁变种的恶意文件，发现失陷主机和被远程控制的肉鸡，监测数据加密外发窃取，识别慢速和分布式暴力破解等恶意行为。AI防火墙提供多种技术在外部渗透阶段和攻击者与失陷主机交互这些攻击链关键节点阻断攻击。

AI防火墙产品

从2018年至今，华为已发布多款中低端及高端AI防火墙，搭载智能检测引擎检测高级威胁，并支持加密流量免解密威胁检测，内置专用硬件处理引擎业务，防火墙的威胁检测性能高。

编辑：jq