人工智能预测威胁防御概述

人工智能预测威胁防御在数据包片段上使用人工智能（AI），以预测和防止网络上的已知恶意软件和零日恶意软件。通过主动区分和忽略非威胁性活动，该系统可显著减少误报。它使人类专家能够专注于更关键的安全任务，并在整个攻击生命周期中识别真正的危险威胁。此过程可持续保护网络免受初始和后续攻击的影响。

如今，用户的移动环境日益频繁，需要从任何位置进行快速安全的网络访问。这种高度的移动性会增加恶意软件的脆弱性，因为网络安全管理员通常对用户连接以访问公司资源的网络的控制有限。因此，实施创新、快速且擅长检测和预防恶意软件的网络安全解决方案至关重要。本主题探讨瞻博网络的人工智能预测威胁防御（一种由人工智能（AI）和机器学习（ML）提供支持的安全解决方案）如何发挥作用。

瞻博网络的人工智能预测威胁防御是一款先进的恶意软件检测和预防解决方案，旨在保护您的网络免受用户从不同位置访问公司资源以及浏览互联网到多个目的地所带来的威胁。这种智能安全解决方案由 AI 和 ML 提供支持，能够更快地增强预测和识别真正威胁的能力，使人类专家能够专注于战略安全方案。

人工智能预测威胁防御包括以下功能：

反恶意软件防御 — 人工智能预测威胁防御提供有效的反恶意软件功能，可扫描网络中的大量数据。传统解决方案需要完整的文件来确定它是否为恶意文件。此外，传统的检测过程通常需要启用 TCP 代理，这可能会降低防火墙吞吐量性能。瞻博网络自主研发的反恶意软件解决方案采用无代理架构和人工智能技术，能够有效检测威胁。
人工智能生成自定义签名 - 组织可以利用人工智能预测威胁防御和高级反恶意软件解决方案，生成适合其特定环境的自定义签名。与其他技术不同，人工智能预测威胁防御可确保这些签名在整个攻击生命周期中保持活跃。这款人工智能驱动型反恶意软件解决方案可持续更新威胁签名，检测异常行为模式，并针对后续攻击提供强大保护。因此，安全团队可以更快、更高效地识别潜在威胁。

使用功能浏览器确认平台和版本对特定功能的支持。

有关支持平台的许可证信息，请参阅 SRX 系列防火墙的软件许可证。

好处

对已知和未知威胁的主动威胁检测
提高吞吐量
通过过滤掉非威胁性活动来减少误报
除了自动生成的签名外，还基于人工智能和机器学习的分析

基于流的防病毒扫描

从 Junos OS 23.4R1 版开始，您可以使用基于流的防病毒解决方案扫描网络流量，并通过统一的模式匹配引擎实时阻止威胁。

基于流的防病毒扫描是一种有机构建的解决方案，可以线速运行，在不影响性能的情况下，对正在进行的攻击提供卓越的效率和快速响应。它利用无代理架构，通过在数据包流入时扫描数据包来智能检测恶意软件，而无需下载完整的文件。它包含瞻博网络精选的签名，这些签名从瞻博网络 ATP 云持续更新，并通过瞻博网络的内容交付网络（CDN）进行分发。

借助基于流的防病毒解决方案，您可以在所有瞻博网络 ATP 云客户群中启用基于威胁情报和近期威胁检测事件的内联拦截功能。

要实施基于流的防病毒解决方案，您必须安装瞻博网络防病毒许可证、 瞻博网络 AV 并启用防病毒策略。有关更多信息，请参阅配置基于流的防病毒策略。

基于机器学习的威胁检测

从 Junos OS 24.2R1 版开始，您可以为零日威胁配置基于机器学习的威胁检测。

基于机器学习的威胁检测会在防火墙上以内联方式扫描文件，并在下载之前阻止受感染的文件。此威胁检测过程无需 Internet 访问即可进行，并且只需要文件的一小部分即可返回判定。

当扫描引擎二进制文件从瞻博网络 CDN 服务器自动下载到防火墙时，防火墙上会启用基于机器学习的威胁检测。默认情况下，ML 模型二进制文件会自动从 CDN 服务器下载到防火墙设备，通常每周下载一次。

要实施基于机器学习的威胁检测，您必须安装瞻博网络防病毒许可证、 瞻博网络防病毒 软件并启用机器学习。有关详细信息，请参阅配置基于机器学习的威胁检测。

工作流程

以下是人工智能预测威胁防御的高级工作流程：

图 1：人工智能预测威胁防御 AI-Predictive Threat Prevention

表 1：人工智能预测威胁防御工作流程
步	描述
1	客户端在 SRX 系列防火墙上配置防病毒策略和 CDN 服务器 URL，以接收来自 CDN 服务器的最新防病毒签名和 ML 扫描引擎更新。
2	客户端请求从 Internet 下载文件。
3	当文件通过 SRX 系列防火墙时，文件的某些部分将与从 CDN 服务器接收的最新防病毒签名进行匹配。如果找到匹配的签名，则可以阻止该文件，并且不允许下载该文件，具体取决于策略作。对于 .exe 和 .dll 文件类型，如果未找到匹配的防病毒签名，ML 扫描引擎会在 SRX 系列防火墙上以内联方式分析文件，并立即提供判定。根据这一判断，SRX 系列防火墙可以在下载任何受感染文件之前阻止这些文件，具体取决于策略作。

注意：

如果 SRX 系列防火墙已注册到瞻博网络 ATP 云，则除了基于流的防病毒扫描和基于机器学习的威胁检测外，该文件还会提交到瞻博网络 ATP 云进行分析。
您可以在 SRX 系列防火墙上配置人工智能预测威胁防御，而无需注册瞻博网络 ATP 云。

角色

表 2：角色和权益
角色	好处
首席信息安全官（CISO）	显著降低攻击或漏洞得逞的风险 — 人工智能驱动的解决方案可以识别并避免潜在威胁。对用户体验的影响最小 — 线速主动威胁检测可确保用户体验不受代理、威胁沙盒等因素的影响。提高资源效率 — 基于人工智能洞察确定威胁的优先级可以更高效地分配安全资源。
信息安全总监	有更多时间执行战略计划 - 主动识别和缓解威胁可降低风险、提高整体安全性并释放资源。增强可信度和可见性 — 您可以将更多时间用于实现高层领导认可的可量化战略业务成果。更强的团队绩效 — 自动化和人工智能驱动的效率使员工能够专注于更复杂的任务。
信息安全架构师	减轻压力 — 人工智能驱动的威胁防御可以缓解领先于新威胁的压力。提高检测准确性 — 业界领先的功效意味着更少的误报时间浪费。更快/实时响应 — 实时检测和阻止零日威胁的能力最大限度地减少了停机时间和应急演习。
网络架构师	更快的实时响应 — 实时检测和阻止零日威胁的能力最大限度地减少了停机时间和应急演习。花在信息安全团队跟进上的时间更少 - 更少的威胁减少了信息安全专家的工作量。

用例

人工智能预测威胁防御非常适合需要保护其企业资产免遭当今高级网络威胁的客户，尤其是在以下用例中：

校园
企业
数据中心
公共云、私有云和混合云
服务提供商

解决方案对比矩阵

下表概述了瞻博网络 ATP 云、基于流的防病毒解决方案和基于机器学习的安全解决方案之间的主要功能和区别。

表 3：解决方案对比矩阵
要求	瞻博网络 ATP 云	基于流的防病毒	基于机器学习的威胁检测
服务业	高级反恶意软件	具有频繁签名更新的静态防病毒引擎	具有频繁签名更新的静态防病毒引擎 + 机器学习扫描引擎
文件提交	云	阻止模式，不提交到云	阻止模式，不提交到云
上网	功能正常运行所需的访问权限	需要从瞻博网络 CDN 服务器下载防病毒数据库。	从瞻博网络 CDN 服务器下载 ML 模型时需要。
AAMW 角色	与云配合使用，下载人工智能生成的签名。	数据库下载后脱机工作	下载机器学习引擎后离线工作
CLI 配置	`set services advanced-anti-malware`	`set services anti-virus`	`set services anti-virus policy <policy name> machine-learning-scan`
支持的协议	HTTP 和 HTTPS IMAP 和 IMAPS SMTP 和 SMTPS 中小型企业	HTTP 和 HTTPS IMAP 和 IMAPS SMTP 和 SMTPS 中小型企业	HTTP 和 HTTPS IMAP 和 IMAPS SMTP 和 SMTPS 中小型企业
支持的版本	请参阅功能浏览器	请参阅功能浏览器	请参阅功能浏览器
瞻博网络 ATP 云注册	是的	非必填项	非必填项
总结	利用云基础架构实现可扩展性和快速响应时间。提供基于签名的分析和行为分析的组合，用于检测威胁。	主要依赖于基于签名的检测和流量检测。更易于部署;经常执行签名更新。	使用高级算法进行异常检测和模式识别，从而针对已知和未知威胁提供强大的防护。提供实时分析，并随时间推移适应新的威胁。

您可以选择符合组织的特定需求、基础架构和资源的解决方案，也可以对这些解决方案进行分层以更有效地实施。在安全策略中应用所有这些解决方案。

下一步是什么？

在下一节中，您将了解如何在防火墙上配置基于流的防病毒和基于机器学习的威胁检测。