這就是華為SDSec（Software-defined Security, 軟件定義安全）的網(wǎng)絡(luò)安全防御思路，解決安全產(chǎn)品和解決方案方案可用、威脅可被主動(dòng)發(fā)現(xiàn)和預(yù)測(cè)、工程上可快速自動(dòng)處置、管理上可自動(dòng)運(yùn)維的難題。讓企業(yè)網(wǎng)絡(luò)在攻防較量中占據(jù)主動(dòng)，具備自學(xué)習(xí)自適應(yīng)的安全防御能力。

　　一個(gè)武裝完備的企業(yè)通常部署了從網(wǎng)絡(luò)邊界到終端的所有安全產(chǎn)品，但是彼此孤立的單點(diǎn)防御產(chǎn)品既沒有形成一個(gè)防御體系聯(lián)合作戰(zhàn)，威脅事件仍無法被準(zhǔn)確判斷，未知威脅不能被有效監(jiān)測(cè)，單點(diǎn)檢測(cè)效果也不盡人意。在全網(wǎng)多點(diǎn)異常分析上，企業(yè)還在依賴SIEMs產(chǎn)品從全網(wǎng)日志監(jiān)控上來掌控整網(wǎng)威脅。市面上優(yōu)秀的SIEMs產(chǎn)品擅長(zhǎng)的是日志采集、廣覆蓋、適配和解析能力，但日志分析能力很弱。且這些日志都是基于單點(diǎn)事件的告警，對(duì)入侵和攻擊鏈的全局缺乏多點(diǎn)異常關(guān)聯(lián)。

　　為單點(diǎn)檢測(cè)的有效性和多點(diǎn)分析的準(zhǔn)確性，均迫切需要幫助管理員降低“噪聲”，過濾檢測(cè)輸入和輸出，保證單點(diǎn)檢測(cè)的有效；同時(shí)基于威脅場(chǎng)景制作“劇本”，研究黑客入侵的意圖來構(gòu)建威脅檢測(cè)模型和規(guī)則，依托大數(shù)據(jù)分析工具完成海量信息的多維威脅綜合分析，幫助管理員收斂海量的原始事件日志，在大海中自動(dòng)準(zhǔn)確發(fā)現(xiàn)威脅，甚至預(yù)測(cè)威脅。

　　檢測(cè)智能首先確保單點(diǎn)檢測(cè)有效，從源頭過濾“噪聲”，基于全球?qū)崟r(shí)威脅情報(bào)、關(guān)鍵資產(chǎn)信息、動(dòng)態(tài)威脅變化和專家分析經(jīng)驗(yàn)，生成有效過濾條件，做好一級(jí)收斂。結(jié)合AI機(jī)器學(xué)習(xí)算法實(shí)現(xiàn)多點(diǎn)分析的準(zhǔn)確性，核心是構(gòu)建針對(duì)“威脅場(chǎng)景”的高級(jí)規(guī)則，含單場(chǎng)景檢測(cè)模型，和含日志、情報(bào)、流量異常等的多維綜合判定算法，即二級(jí)收斂。

　　現(xiàn)階段黑客已經(jīng)利用機(jī)器學(xué)習(xí)生成智能的惡意軟件，可以預(yù)測(cè)未來攻與防的對(duì)抗必定是人與機(jī)器的對(duì)抗，需要以更聰明的大數(shù)據(jù)安全分析大腦，結(jié)合海量黑白樣本的學(xué)習(xí)訓(xùn)練，研究黑客入侵意圖和攻擊手法，來最終做出預(yù)測(cè)和判定。

　　惡意軟件動(dòng)態(tài)行為機(jī)器學(xué)習(xí)，通過將海量的黑白樣本行為送入神經(jīng)網(wǎng)絡(luò)做深度學(xué)習(xí)，提煉出歷史上出現(xiàn)的惡意和非惡意行為的通用特征模型，而不再是固定的全局行為權(quán)重打分機(jī)制，提高對(duì)未知威脅的檢出率，降低誤報(bào)。

　　將魚叉釣魚、Web滲透、黑客遠(yuǎn)控C&C、賬號(hào)異常、內(nèi)部流量異常、數(shù)據(jù)竊取等子場(chǎng)景串起來進(jìn)行綜合分析，利用攻擊圖中每個(gè)攻擊行為的威脅類型、級(jí)別、可信度進(jìn)行綜合計(jì)算，理解黑客的攻擊意圖，然后跟專家系統(tǒng)輸出的組合式攻擊行為模式庫進(jìn)行匹配，根據(jù)黑客入侵行為動(dòng)態(tài)調(diào)整模型，識(shí)別和預(yù)測(cè)組合式攻擊類型和可信度，把單點(diǎn)原始事件收斂到千萬分之一內(nèi)，減少管理員繁重的篩日志、鉆取、分析和溯源的時(shí)間，提升檢測(cè)智能，減少對(duì)專業(yè)安全分析人力的投入。

　　威脅和安全響應(yīng)就是一場(chǎng)時(shí)間賽跑，42%的新漏洞在紕漏30天內(nèi)被黑客利用，企業(yè)響應(yīng)的時(shí)間遠(yuǎn)大于30天，打的就是時(shí)間差�？s短安全事件破壞和響應(yīng)修復(fù)間的時(shí)間差，是減少經(jīng)濟(jì)和數(shù)據(jù)損失的關(guān)鍵。曾“名聲大振”的勒索軟件WannaCry讓超過24萬受害者遭受損失，而相比于“震網(wǎng)”這類高度復(fù)雜的攻擊，WannaCry本身的技術(shù)性不強(qiáng)，但傳播快感染范圍廣。盡管所有廠商都紛紛宣稱可以檢測(cè)到WannaCry，但客戶最關(guān)注的不是你能否“檢測(cè)”到，而是第一時(shí)間定位被感染計(jì)算機(jī)，及時(shí)攔截防止內(nèi)部橫向擴(kuò)散，對(duì)并已感染終端快速進(jìn)行修復(fù)。這是夯實(shí)組織對(duì)抗威脅的基礎(chǔ)工程能力，提升自動(dòng)化響應(yīng)和修復(fù)能力是客戶關(guān)注的焦點(diǎn)。

　　處置智能是協(xié)同全網(wǎng)遏制威脅，結(jié)合云端或本地沙箱分析能力快速檢測(cè)未知蠕蟲病毒。比如，在出口防火墻封堵445端口，升級(jí)IPS特征庫等，更關(guān)鍵的是可以通過安全控制器聯(lián)動(dòng)接入層交換機(jī)及時(shí)隔離已經(jīng)被感染的計(jì)算機(jī)，利用網(wǎng)絡(luò)的各個(gè)神經(jīng)末梢采集流量，定位感染路徑，并聯(lián)動(dòng)終端軟件自動(dòng)化清除蠕蟲病毒，批量推送補(bǔ)丁輔助員工配合來修復(fù)漏洞，自動(dòng)化發(fā)布工具恢復(fù)加密文件。

　　海量安全策略運(yùn)維一直是中大型組織和企業(yè)的頭號(hào)難題。以某金融客戶網(wǎng)絡(luò)為例，僅數(shù)據(jù)中心防火墻策略就有幾萬條，全網(wǎng)防火墻數(shù)量大于500臺(tái)，策略基于IP語言和業(yè)務(wù)的每次更新都需要調(diào)整防火墻策略，每天的策略更新量達(dá)到上千，運(yùn)維不堪重負(fù)；業(yè)務(wù)下線、IP地址回收等均不會(huì)被及時(shí)通知到網(wǎng)絡(luò)安全維護(hù)部門，策略提交者不會(huì)親自撤銷策略也很難被管理員發(fā)現(xiàn)，由此導(dǎo)致大量過期的安全策略堆積沒人“敢動(dòng)”；另外，數(shù)據(jù)中心搬遷時(shí)，安全策略的遷移也是一個(gè)“老大難”， 策略需要重新生成配置，手工操作花費(fèi)數(shù)周時(shí)間才能完成。最后是重復(fù)策略的問題，同一應(yīng)用多人申請(qǐng)可能會(huì)造成策略重復(fù)、策略總數(shù)膨脹；南北向訪問，不同二級(jí)分行配置了訪問控制，在數(shù)據(jù)中心防火墻上還會(huì)做重復(fù)的策略；東西向訪問，流量會(huì)跨雙層防火墻，策略配置又會(huì)翻一倍。

　　運(yùn)維智能的核心是“以業(yè)務(wù)驅(qū)動(dòng)的安全策略”，從IP機(jī)器語言升級(jí)到基于應(yīng)用的高級(jí)語言，建立應(yīng)用到IP的自動(dòng)映射，通過安全控制器將安全策略與業(yè)務(wù)的生命周期緊密捆綁，在業(yè)務(wù)上線、變更和下線時(shí)，實(shí)時(shí)感知變化，自動(dòng)翻譯“業(yè)務(wù)的策略“到最終設(shè)備可執(zhí)行的IP策略，省去人工干預(yù)。

　　更重要的是，通過安全控制器分析對(duì)應(yīng)用互訪關(guān)系進(jìn)行可視分析，在機(jī)房搬遷場(chǎng)景自動(dòng)生成策略白名單，免去繁重的人工重新配置；通過觀察分析應(yīng)用互訪流、策略命中率等，對(duì)全網(wǎng)策略進(jìn)行動(dòng)態(tài)的調(diào)整和優(yōu)化，及時(shí)刪除重復(fù)策略、下線過期策略；通過動(dòng)態(tài)流量分析，驗(yàn)證預(yù)上線策略的有效性，確保策略定義和實(shí)際執(zhí)行保持一致。

　　華為SDSec解決方案致力于從軟件定義防御，到軟件定義檢測(cè)、軟件定義響應(yīng)和智能運(yùn)維的升級(jí)。以安全控制器和安全分析器為核心，橫向使能“一整張網(wǎng)絡(luò)”，南向使能全網(wǎng)多廠商安全設(shè)備和軟件，北向開放對(duì)接主流云平臺(tái)，實(shí)現(xiàn)以業(yè)務(wù)驅(qū)動(dòng)的云、網(wǎng)絡(luò)和安全的上下協(xié)同，并以“威脅入侵意圖”學(xué)習(xí)為核心，動(dòng)態(tài)定制采集和檢測(cè)，基于AI機(jī)器學(xué)習(xí)創(chuàng)新對(duì)惡意文件、C&C、內(nèi)部流量異常的主動(dòng)分析，使能全網(wǎng)神經(jīng)末梢節(jié)點(diǎn)自動(dòng)快速遏制威脅，幫助客戶提升安全分析和運(yùn)維的智能化、自動(dòng)化程度，簡(jiǎn)化安全運(yùn)維，減少專業(yè)安全人力投入，保護(hù)客戶關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)固，業(yè)務(wù)永續(xù)。