【IT168 专稿】随着各行业信息化进程的深入，网络边界安全正在进入一个全新的发展阶段。“网络边界”可以从两个方面进行理解：一个是“人网边界”，也就是我们经常提出的桌面安全，这是人与网络的分界处；另一个是“网网边界”，直白理解就是网络与网络的交界，由于局域网或园区网规模已经发展到一定规模，采用“安全域边界”这个词来理解会更加贴切一些。各种威胁的对象正在由主机资源转变为网络资源，与此相对应，安全域边界也就成为网络建设者最为关注的方面，安全网关作为域边界的主要防护设备也在不断优化以适应新的安全发展需要。

    一、让UTM"简单"应对未知威胁

    在信息安全领域，未知威胁是指尚未被发现的具有未知特征同时对信息系统存在潜在威胁的活动类型。未知威胁可能是一种网络攻击、一种电脑病毒、或者是一种对资源的非法滥用。世界有多大，Internet就有多大，又有谁能预知隐藏在Internet深处的下一个威胁会是什么？在信息安全领域，人们对威胁的认知总是要滞后于威胁的产生。虽然每一种威胁最终都得到了有效的遏制，但是每一次对未知威胁的认知都付出了巨大的代价。

    难道对于未知威胁只能采用亡羊补牢式的被动防范吗？信息安全领域内的各路专家都在积极探索一种有效防范未知威胁的方法。“基于行为分析的合法性检查技术”是一种从已知威胁入手，通过对行为特征的分析而逐渐认知未知威胁的一种方法，是一种通过已知透析未知的人工智能技术。

    从行为分析入手

    威胁是一只披着羊皮的狼，但无论它披上什么样的羊皮都无法掩盖其“狼”的秉性。每一种威胁都是由一系列的行为组成，如终止系统进程、删除文件、修改注册表、探测漏洞、强行关闭系统等等。如果能有效的截获这些动作，那么也就揭开了威胁的神秘面纱。“基于行为分析的合法性检查技术”通过强大的反编译引擎对途经的数据包进行重组和反编译处理，将已编译好的二进制威胁病原体重新反编译为一系列行为动作的组合，从而让隐藏在数据流深处的各类威胁的“秉性”一览无余，这就为有效截获未知威胁创造了条件。

    采用人工智能方法训练

    对于成千上万种不同类型的行为，什么样的组合属于正常应用，什么样的组合才构成威胁呢？“基于行为分析的合法性检查技术”引入了行为权重和威胁阀值的概念，即将目前各类已知的行为根据它们的风险性初始化一个行为权重，同时拟定一个威胁阀值，如果某类事件所包含行为的行为权重的组合超过了阀值，那么可以认定这类事件为一个威胁。

    用行为权重作为判断威胁的标准对权重的精确性提出了非常高的要求，“基于行为分析的合法性检查技术”选择了五万多条含有丰富行为特征的样本库，即包括正常样本也包括威胁样本，经过百万次的循环验证和权重微调，最终形成了一套准确的行为权重知识库。准确的行为权重知识库是检测未知威胁的基础。

    对未知威胁准确判断

    以行为分析作为条件，以“行为权重知识库”作为基础，对于任何来自于Internet的未知事件，经过“反编译à解码à行为提炼à知识库比对à权重计算à阀值比较”的流程化操作后即可判断该未知事件是否为一例威胁事件。如果权重计算的结果大于等于阀值，那么就可以认定为一例威胁事件，否则就判定为正常数据。基于五万条样本数据和百万次的循环训练而产生的准确的行为知识库保证了对未知威胁判断的精度。