華為HiSecEngine USG6000E AI防火墻通過中國信息安全測評中心測試

winniewei 提交于 周五, 10/11/2019
華為HiSecEngine USG6000E AI防火墻通過中國信息安全測評中心測試

近日,華為宣布其新一代HiSecEngine USG6000E AI防火墻通過了權威測試機構中國信息安全測評中心測評。這也是中國信息安全測評中心(以下簡稱“國測中心”)首次進行基于AI實現本地APT防御的防火墻測試。測試結果表明,在企業網絡面臨的典型APT防御業務場景中,華為HiSecEngine USG6000E系列AI防火墻是一款具備AI引擎和AI芯片的防火墻,結合本地自學習和云端海量樣本訓練,生成威脅檢測模型并加載到AI防火墻,通過持續自我演進應對日益復雜多變的威脅。

Gartner于2018年3月曾發表文章1表示,下一代防火墻的炒作已經成為企業的障礙。Gartner試圖定義"Second-Gen"NGFW,希望能在定義NGFW九年后結合當今安全現狀提出更新的要求。隨著企業業務云化,5G和人工智能等技術的快速發展和廣泛應用,網絡安全面臨了更大的挑戰:防火墻需要具備更高的性能、支持更多的連接、可應對最新的威脅,華為通過AI技術本地化重新定義防火墻,激發邊界防御的原動力。

1

華為HiSecEngine USG6000E AI防火墻通過中國信息安全測評中心測評

本次測試,主要結合威脅攻擊鏈上的幾類關鍵威脅進行了測試:

  • AI防火墻可檢測失陷主機以DGA方式外聯訪問惡意C&C服務器較下一代防火墻的DGA檢測能力有大幅提升。國測中心采用客觀、嚴謹的測試方法,收集41類DGA域名生成算法樣本家族,共計10萬被測惡意域名。華為HiSecEngine USG6000E AI防火墻共檢出99715個惡意DGA域名,檢出準確率高達99.7%。同時,對Alexa全球網站排名上的10萬正常域名進行檢測,僅有168個正常域名被誤報為DGA域名,誤報率為0.168%。目前,并沒有其他廠商的防火墻支持如此大規模的簽名庫,并僅將其用于DGA檢測。

  • AI防火墻能夠檢測C&C服務器向失陷主機發送控制指令等惡意行為。國測中心測試了38類以不同途徑獲取的遠控惡意木馬家族,華為HiSecEngine USG6000E AI防火墻的惡意C&C流量檢出率達到100%。

  • AI防火墻能夠檢測加密外發數據竊取業務支持針對主流TLS1.0/1.1./1.2版本的加密業務流量檢測,國測中心測試中檢測了34類加密通信惡意行為家族,華為HiSecEngine USG6000E AI防火墻的惡意加密流量檢出率達到100%。

為了大幅提升防火墻威脅防御能力,就要真正發揮AI算力。現有防火墻CPU通過AI模型檢測,也僅能處理其中現網5%的惡意流量。華為AI防火墻通過內置華為昇騰310 AI芯片的AI安全插卡,實現高達8T FLOPS的超強算力,AI檢測性能得到大幅提升。在提供相同性能威脅檢測與防御的條件下,為客戶大幅降低部署成本。國測中心分五批測試了10萬惡意樣本,得到綜合平均性能評估結論:相較于不加載AI安全插卡的防火墻,加載華為AI安全插卡的AI防火墻性能提升496%,最大發揮防火墻AI算力,可以滿足絕大部分的惡意流量檢測場景。

"通過中國信息安全測評中心測試并得到安全能力、威脅檢測性能等多維度肯定,證明華為AI防火墻業界領先。華為將持續打造差異化的安全產品與解決方案競爭力,以更強勁的澎湃動力守護企業客戶,構筑智能的網絡邊界防御體系。"

?——華為安全產品領域總裁宋端智

1?Source:《Next-Generation Firewall Hype Has Become an Obstacle for Enterprises》(Gartner)

來源:華為網絡

相關文章

Digi-Key