华为 HiSecEngine USG6000E AI 防火墙通过信息安全测评中心测试_资讯频道

华为 HiSecEngine USG6000E AI 防火墙通过信息安全测评中心测试

时间：2019-10-12 14:58来源：21Dianyuan

摘要：防火墙需要具备更高的性能、支持更多的连接、可应对最新的威胁，华为通过AI技术本地化重新定义防火墙，激发边界防御的原动力。

近日，华为宣布其新一代HiSecEngine USG6000E AI防火墙通过了权威测试机构中国信息安全测评中心测评。这也是中国信息安全测评中心（以下简称“国测中心”）首次进行基于AI实现本地APT防御的防火墙测试。测试结果表明，在企业网络面临的典型APT防御业务场景中，华为HiSecEngine USG6000E系列AI防火墙是一款具备AI引擎和AI芯片的防火墙，结合本地自学习和云端海量样本训练，生成威胁检测模型并加载到AI防火墙，通过持续自我演进应对日益复杂多变的威胁。

Gartner于2018年3月曾发表文章¹表示，下一代防火墙的炒作已经成为企业的障碍。Gartner试图定义"Second-Gen"NGFW，希望能在定义NGFW九年后结合当今安全现状提出更新的要求。随着企业业务云化，5G和人工智能等技术的快速发展和广泛应用，网络安全面临了更大的挑战：防火墙需要具备更高的性能、支持更多的连接、可应对最新的威胁，华为通过AI技术本地化重新定义防火墙，激发边界防御的原动力。

华为HiSecEngine USG6000E AI防火墙通过中国信息安全测评中心测评

本次测试，主要结合威胁攻击链上的几类关键威胁进行了测试：
AI防火墙可检测失陷主机以DGA方式外联访问恶意C&C服务器，较下一代防火墙的DGA检测能力有大幅提升。国测中心采用客观、严谨的测试方法，收集41类DGA域名生成算法样本家族，共计10万被测恶意域名。华为HiSecEngine USG6000E AI防火墙共检出99715个恶意DGA域名，检出准确率高达99.7%。同时，对Alexa全球网站排名上的10万正常域名进行检测，仅有168个正常域名被误报为DGA域名，误报率为0.168%。目前，并没有其他厂商的防火墙支持如此大规模的签名库，并仅将其用于DGA检测。

AI防火墙能够检测C&C服务器向失陷主机发送控制指令等恶意行为。国测中心测试了38类以不同途径获取的远控恶意木马家族，华为HiSecEngine USG6000E AI防火墙的恶意C&C流量检出率达到100%。

AI防火墙能够检测加密外发数据窃取业务，支持针对主流TLS1.0/1.1./1.2版本的加密业务流量检测，国测中心测试中检测了34类加密通信恶意行为家族，华为HiSecEngine USG6000E AI防火墙的恶意加密流量检出率达到100%。

为了大幅提升防火墙威胁防御能力，就要真正发挥AI算力。现有防火墙CPU通过AI模型检测，也仅能处理其中现网5%的恶意流量。华为AI防火墙通过内置华为昇腾310 AI芯片的AI安全插卡，实现高达8T FLOPS的超强算力，AI检测性能得到大幅提升。在提供相同性能威胁检测与防御的条件下，为客户大幅降低部署成本。国测中心分五批测试了10万恶意样本，得到综合平均性能评估结论：相较于不加载AI安全插卡的防火墙，加载华为AI安全插卡的AI防火墙性能提升496%，最大发挥防火墙AI算力，可以满足绝大部分的恶意流量检测场景。

"通过中国信息安全测评中心测试并得到安全能力、威胁检测性能等多维度肯定，证明华为AI防火墙业界领先。华为将持续打造差异化的安全产品与解决方案竞争力，以更强劲的澎湃动力守护企业客户，构筑智能的网络边界防御体系。"

——华为安全产品领域总裁宋端智

¹ Source：《Next-Generation Firewall Hype Has Become an Obstacle for Enterprises》(Gartner)

免责声明：本文若是转载新闻稿，转载此文目的是在于传递更多的信息，版权归原作者所有。文章所用文字、图片、视频等素材如涉及作品版权问题，请联系本网编辑予以删除。

上一篇：减慢开关转换时要谨慎