當前科技迅猛發展，推出AI技術在帶來便利的星河同時，也被黑客利用于網絡安全攻擊領域。融合據AV-Test統計，解決每年新增病毒數量高達1億以上，推出平均每4秒鐘就會出現1個新增病毒。星河在AI時代，融合攻擊呈現高度自動化、解決深度隱蔽化趨勢，推出如何快速準確地識別未知威脅攻擊，星河已成為當前亟待解決的融合首要問題。針對上述挑戰，解決華為推出了星河AI融合SASE解決方案，推出該方案在防火墻集成Emulator微內核脫殼引擎與AI安全檢測算法，星河打破傳統特征庫檢測瓶頸，融合將未知威脅檢出率提升至95%。

未知威脅為什么這么難檢測?

在此之前我們先了解什么是加殼技術，加殼技術通過加密、壓縮等方式將惡意程序代碼轉換為無法直接分析的形態，實現病毒文件偽裝，使其在靜態分析階段呈現不可解析的外殼結構。病毒文件一旦加殼后，傳統依賴特征庫的檢測技術，由于無法提取到有效特征，導致檢測機制失效，形成“檢測盲區”。

未知威脅檢測難度大主要源于以下三個關鍵點

AI驅動的新型惡意軟件呈爆發式增長，日均新增超33萬種，傳統檢測手段響應速度跟不上威脅演變節奏。 加密流量已成攻擊主流載體，95%的網絡流量經過了加密，其中86%的攻擊通過加密通道發起，傳統基于內容簽名的檢查機制基本失效。 高級繞過技術泛濫，編碼混淆、混淆繞過類攻擊占比超30%，傳統方案需上萬條規則對抗單一攻擊，防御成本飆升。

未知威脅檢測關鍵技術突破：Emulator

微內核脫殼引擎+AI安全檢測算法

為了應對未知威脅的挑戰，華為防火墻基于AI賦能提升未知威脅檢測能力，重磅推出了兩大關鍵技術：Emulator微內核脫殼引擎和AI安全檢測算法。

Emulator微內核脫殼，毫秒級解密，精準還原病毒真實語義

惡意軟件普遍采用加殼技術隱匿自身以規避檢測。業界大多是通過離線第三方工具進行模擬脫殼，這種脫殼方式檢測時延大，且是事后檢測，無法做到實時檢測，造成病毒入侵。

為便于理解，我們將AI變種病毒的產生與檢測過程，類比成“危險違禁物品通過安檢過程”，對應關系說明如下：

病毒毫秒級脫殼——透視“加密行李箱”

華為將自研輕量級Emulator微內核脫殼引擎集成到防火墻上，實現變種加殼文件毫秒級脫殼。該引擎通過軟件方式極速模擬CPU、內存以及操作系統實現，動態模擬運行惡意程序代碼指令，即實現文件格式密文到明文轉換。Emulator微內核脫殼引擎需要極小、極快模擬完整操作系統+CPU+內存環境，進而模擬運行脫殼過程，整個過程需要對操作系統、內存管理、指令模擬、惡意軟件分析具備深入的系統性理解。這里我們完成了文件脫殼執行的流程：如同在安檢中通過深度掃描發現藏匿在正常行李箱中的“違禁物品零部件”。

病毒行為語義還原——還原“違禁物品全貌”

惡意軟件完成脫殼后，實現從密文到明文的轉換，但此時還是沒有意義的二進制字節數據，還需要繼續進行惡意行為的語義還原。Emulator微內核脫殼引擎，運用高性能的指令編譯和CPU軟cache核心加速技術，在虛擬隔離的微內核中實現實時、安全的可疑惡意代碼和內存片段的動態分析，深度識別隱藏的惡意行為，精準還原病毒真實語義。這里我們完成了語義還原的流程：如同智能安檢終端分析零部件的特征，模擬還原疑似的違禁品。

AI安全檢測，未知威脅檢測率高達95%

病毒脫殼、語義還原后之后，就需要另外一個殺手锏：AI安全檢測算法。

華為云端安全智能中心為防火墻側的AI安全檢測提供了持續、強力的安全能力支撐：通過分析數億級的海量病毒構建了專用的病毒檢測AI算法，病毒檢測AI算法實現了對海量已知病毒和未知病毒高性能和高準確率的檢測。防火墻聯動云端安全智能中心，實時更新本地AI安全檢測算法，為客戶提供實時升級的防御體系。防火墻內置AI安全檢測算法，能夠實時、精準識別并阻斷流量中的未知威脅。以惡意文件的本地檢測過程為例，通過提取惡意文件的行為特征、脫殼特征，完成AI檢測本地推理，實現對病毒高性能、高準確率的檢測。

同時，防火墻在不同階段運用多種AI檢測技術，對未知威脅進行多層防護：

1)攻擊前期掃描探測階段：采用基于AI的暴力破解檢測模型，有效對抗分布式暴力破解攻擊，避免業務系統被惡意登錄。

2)攻擊突破邊界，權限提升階段：采用基于AI的反病毒檢測模型，對海量變種病毒進行極速的檢測;

3)攻擊外聯控制階段：采用基于AI的DGA惡意域名檢測模型(Domain Generation Algorithm，域名生成算法)，實現隨機、未知惡意域名檢測，解決傳統域名庫方式無法覆蓋問題，切斷失陷主機和黑客的通信，防止客戶敏感數據泄露;采用基于AI的加密流量檢測模型，實現解密流量不解密識別，解決加密流量解密難、性能低的難題，攔截加密流量攻擊。采用基于AI的命令與控制(C&C)通信檢測模型，精準識別C&C和隱蔽通道，攔截黑客遠控通信行為，避免敏感數據泄露。

華為防火墻通過Emulator微內核脫殼引擎與AI安全檢測算法無縫結合，實現變種加殼文件毫秒級解密脫殼，威脅實時阻斷，未知威脅檢測率高達95%。在新型攻擊層出不窮的AI時代，以AI對抗AI，為全球企業提供更高效、更智能的云邊一體化防御體系。

倘若您正被難以捉摸的未知網絡威脅所困擾，不妨深入了解華為星河AI融合SASE解決方案，更多詳情請前往華為官網探尋。