未知威胁 (如 APT 攻击、黑客远控等) 的检测与响应已成为网络安全领域的棘手问题。
未知威胁 (如 APT 攻击、黑客远控等) 的检测与响应已成为网络安全领域的棘手问题。传统检测机制对未知威胁的平均检出率通常不足 30%, 而且从威胁出现到被识破往往需要数小时甚至数天——黑客足以利用这段「盲区」完成横向渗透和数据窃取。如果能在 5 分钟内实现未知威胁的精准检出且全网同步, 攻击链尚未展开即被阻断, 从而改变「被动挨打」的局面。
「校园网服务器异常与境外 IP(111.***.***.230) 进行通信」。
2025 年 2 月 17 日早上5:45, 一条异常日志在国内某高校部署的深信服防火墙日志中弹出。而此时, 运维人员还没上班, 尚未发现异常情况。
5:47, 深信服防火墙通过云端 AI 智能引擎鉴定, 精准研判该 IP 为最新的 Cobalt Strike 黑客工具。
5:50, 恶意 IP 的通信被深信服防火墙及时阻断, 并产生高危告警。几乎同时, 通过云端百亿威胁情报同步更新规则, 所有内联云端架构的防火墙都具备了该威胁的防护能力。
以往, 黑客拿着新鲜出炉的变种远控工具, 还能逍遥法外几天。如今, 形势却大不相同——刚使用不到 5 分钟就被防火墙拦截。
在同一天, 该 IP 对不同用户发起了2,800 多次病毒攻击。在接下来的 1 个月内, 深信服防火墙与该 IP 有关的病毒攻击展开了高达63,594 次的交锋, 政府、教育、企业、运营商等,数万名用户的边界防线, 从始至终未被攻破。
深信服 AI+SASE 赋能的下一代防火墙, 为何总能「以快制快」, 在每一场与黑客的无声赛跑中, 始终领先一步?
今天, 我们将为大家揭开这一神秘面纱。
主动挖掘未知威胁——
AI 智能体驱动防火墙全面升级
如今, 黑客能够利用 AI 大模型技术, 在几秒钟内自动化生成高度逼真的钓鱼邮件、恶意软件, 甚至轻松绕过传统检测机制, 实施大规模网络攻击。
面对黑客的「魔高一尺」, 深信服「道高一丈」。凭借 20 年的技术沉淀, 通过融合自研的安全 GPT 和 GraphRAG, 深信服创新打造基于 AI 智能体的威胁情报生产体系, 以 AI 技术重塑威胁检测机制, 实现未知威胁快速发现和精准研判。
△ 深信服基于 AI 智能体的威胁情报生产架构
技术已就位, 情报 AI 智能体是怎样高效探测和精准分析未知威胁的?
自动化多步调查, 平均检测耗时降至分钟级
打个比方, 当接到新案件时, 刑侦大队长会自主决策和拆解子任务, 安排相关的侦查员进行有针对性的调查, 快速获取线索情报, 为后续的「破案」奠定基础。
情报 AI 智能体就像这位「刑侦大队长」一样, 拥有「最强大脑」, 能够模拟人类的调查逻辑, 自动执行关联情报富化、威胁检测和威胁定性等步骤, 最终完成对未知威胁的智能闭环研判。
在威胁检测阶段, 它动态选择最相关的子模型处理网络流量、行为特征等特定输入内容, 而非全部子模型都要处理一次内容。这种动态的稀疏激活机制, 使得检测效率提升近 10 倍, 平均检测耗时从小时级别降至分钟级别。
具备强大的复杂推理和关联能力, 未知威胁检出率提升至 95%以上
根据收集到的证据和线索, 刑侦大队长会协同多名侦查员基于逻辑推理与分析, 梳理作案动机、作案手法等信息, 将其串联为犯罪事实的证据链, 从而锁定嫌疑人。
情报 AI 智能体亦是如此, 率先利用 GraphRAG(基于知识图谱的检索增强技术), 整合 OSINT(开源情报)、设备安全日志、暗网数据等异构信息, 通过复杂关系推理与因果分析, 挖掘弱特征间的潜在关联, 精准识别加密流量中隐藏的恶意活动。
这种基于知识图谱的增强推理机制, 实现从战术级 (单次攻击) 到战略级 (威胁组织画像) 的多层次分析, 未知威胁检出率提升至 95% 以上。
构建持续学习框架, 不断提高自适应能力
犯罪手段在快速迭代, 如 AI 诈骗、暗网交易等。刑侦大队长作为「总指挥官」, 需要持续不断地学习各种新型犯罪方式。情报 AI 智能体, 同样通过持续学习框架, 实现威胁知识的动态更新, 知识迭代周期从周级别缩短至小时级别。
例如, 当检测到新型恶意软件时, 情报 AI 智能体自动提取行为特征向量, 经沙箱验证后, 生成对抗样本注入训练集, 触发云端检测模型在线更新, 从而更精准地鉴定未知威胁。
深信服威胁情报中心的数据显示,2024 年主动挖掘超过 10 亿次未知威胁, 包括未知挖矿、网络 URL 钓鱼、僵尸网络、黑客工具外联行为等。
全网「免疫」实时防御——
全国 30+PoP 节点, 防火墙就近接入云端
精准识别未知威胁只是第一步。
要想实时防御未知威胁, 真正的「必杀技」是内联云端架构——基于自建的全国 30+PoP 节点, 深信服防火墙就近接入云端, 通过云端百亿威胁情报同步更新规则, 实现全网设备对未知威胁的实时拦截。
以异常文件检测为例,2025 年 3 月, 深信服防火墙检测到一个名为「采购*.exe」的异常文件, 经过情报 AI 智能体的快速鉴定, 最终研判其为银狐家族的最新变种;随后将获取到的最新情报, 通过防火墙内联云端架构, 下发至云端百亿威胁情报, 实现全网同步。
整个过程耗时不到 5 分钟, 所有深信服防火墙在线用户都获得了实时「免疫保护」。
如今, 网络安全的攻防已经从过去的人与人之间的对抗, 升级为 AI 与 AI 的对抗。唯有以 AI 对抗 AI、以快制快, 方能制胜。
深信服 AI+SASE 赋能的下一代防火墙, 内联云端百亿威胁情报, 基于 AI 智能体的威胁情报生产体系, 主动挖掘未知威胁, 确保百亿威胁情报始终保持最新、最准、最及时, 致力于让每一位用户「安全领先一步」。
来源:互联网
