什么是特征库?
特征库是存储了某一类特征信息的数据库文件,利用特征库中存储的特征信息,防火墙可以对经过的流量的多种特征进行有效识别。
防火墙使用的各类特征库由华为安全产品研发团队制作,并通过华为安全中心(isecurity.huawei.com)定期对外更新发布,其中汇集了华为安全产品研发团队对于网络安全态势以及网络中各类恶意行为特征、恶意流量特征的多年研究成果(详见防火墙支持哪些特征库?)。
作为防火墙安全防护体系的重要组成部分,特征库通常需要与安全检测、安全防御相关的业务特性(例如应用识别、入侵防御、反病毒等)结合使用,以达到增强防火墙设备安全检测能力的目的(详见特征库应用在哪些业务场景中?)。
由于网络中新的应用/协议类型、攻击手段等层出不穷,防火墙设备中的特征库需要及时更新到最新版本,以提升对威胁的检测能力和检测效率。网络管理员可以通过多种方式将华为安全中心最新发布的特征库更新到防火墙设备中(详见如何将特征库升级到最新版本?)。
防火墙支持哪些特征库?
防火墙支持的特征库如表1-1所示。
表1-1 防火墙支持的特征库
|
特征库名称 |
支持产品及版本 |
License依赖 |
设备出厂状态 |
|---|---|---|---|
|
入侵防御特征库 |
USG6000:V500R001C00及后续版本 USG9500:V500R001C00及后续版本 USG6000E:V600R006C00及后续版本 |
入侵防御特征库的升级服务依赖License,详见《License使用指南》。 |
USG6000:设备出厂时未预置入侵防御特征库; USG9500:设备出厂时预置默认版本的入侵防御特征库; USG6000E:设备出厂时未预置入侵防御特征库。 |
|
恶意域名特征库 |
USG6000:V500R001C00及后续版本 USG9500:V500R001C00及后续版本 USG6000E:V600R006C00及后续版本 |
恶意域名特征库的升级服务依赖License,详见《License使用指南》。 |
设备出厂时未预置恶意域名特征库。 |
|
反病毒特征库 |
USG6000:V500R001C00及后续版本 USG9500:V500R001C00及后续版本 USG6000E:V600R006C00及后续版本 |
反病毒特征库的升级服务依赖License,详见《License使用指南》。 |
USG6000:设备出厂时未预置反病毒特征库; USG9500:设备出厂时预置默认版本的反病毒特征库; USG6000E:设备出厂时未预置反病毒特征库。 |
|
文件信誉特征库 |
USG6000:V500R001C50及后续版本 USG9500:V500R001C50及后续版本 USG6000E:V600R006C00及后续版本 |
针对云沙箱场景,文件信誉特征库的升级服务依赖License,详见《License使用指南》;针对本地沙箱场景,文件信誉特征库的升级服务不受License控制。 说明: 此外,针对云沙箱场景,文件信誉特征库的升级服务还依赖云沙箱组件包。如需进一步了解相关信息,请通过华为企业技术支持网站获取并查阅对应款型设备的产品文档。 |
设备出厂时预置默认版本的文件信誉特征库。 |
|
业务感知特征库 说明: 又称作应用识别特征库。 |
USG6000:V500R001C00及后续版本 USG9500:V500R001C00及后续版本 USG6000E:V600R006C00及后续版本 |
业务感知特征库的升级服务不受License控制。 |
设备出厂时预置默认版本的业务感知特征库。 |
|
IP信誉特征库 |
USG6000:V500R001C00及后续版本 USG9500:V500R001C00及后续版本 USG6000E:V600R006C00及后续版本 |
IP信誉特征库的升级服务不受License控制。 |
设备出厂时未预置IP信誉特征库。 |
|
地区识别特征库 |
USG6000:V500R001C00及后续版本 USG9500:V500R001C00及后续版本 USG6000E:V600R006C00及后续版本 |
地区识别特征库的升级服务不受License控制。 |
设备出厂时未预置地区识别特征库。 |
|
资产识别特征库 |
USG6000E:V600R007C20及后续版本 |
资产识别特征库的升级服务不受License控制。 |
设备出厂时未预置资产识别特征库。 |
|
运营商地址库 说明: 又称作因特网服务提供方库或ISP库。 |
USG6000:V500R001C00及后续版本 USG9500:V500R001C00及后续版本 USG6000E:V600R006C00及后续版本 |
运营商地址库的升级服务不受License控制。 |
V500R001C80及之前版本:设备出厂时预置默认版本的运营商地址库; V500R005C00及后续版本:设备出厂时未预置运营商地址库; V600R006C00及后续版本:设备出厂时未预置运营商地址库。 |
|
URL分类预置库 |
USG6000:V500R001C30及后续版本 USG9500:V500R001C30及后续版本 USG6000E:V600R006C00及后续版本 |
URL分类预置库的加载和使用不受License控制。 |
设备出厂时预置默认版本的URL分类预置库。 |
表1-1中未详细给出各特征库在细分款型下的支持情况,如需进一步了解相关信息,请通过华为企业技术支持网站获取并查阅对应款型设备的产品文档。
热点库
网络中每天都会出现大量新增威胁,由于特征库的版本更新存在一定的时间窗,防火墙设备无法基于现有的特征库对网络中最新出现的威胁进行有效的检测和响应。针对上述问题,防火墙推出了一类特殊的特征库——热点库。与传统的特征库不同,热点库可以实现分钟级频率的更新,将华为安全产品研发团队分析识别出的网络中最新的威胁特征信息及时更新到防火墙。
防火墙目前支持两类热点库,分别为文件信誉热点库和URL信誉热点库,其中:
- 文件信誉热点库中包含了华为安全中心最新发布的文件信誉信息,通过更新此热点库,防火墙可以有效识别并及时阻断网络中新出现的威胁文件。
- URL信誉热点库中包含了华为安全中心最新发布的URL信誉信息,通过更新此热点库,防火墙可以将热点库中的URL信誉信息加载到本地预定义URL分类缓存中,以便及时发现并阻断网络中新出现的不可信URL。
表1-2 防火墙支持的热点库
|
热点库名称 |
支持产品及版本 |
License依赖 |
设备出厂状态 |
|---|---|---|---|
|
文件信誉热点库 |
USG6000:V500R001C80及后续版本 USG9500:V500R001C80及后续版本 USG6000E:V600R006C00及后续版本 |
针对云沙箱场景,文件信誉热点库的升级服务依赖License,详见《License使用指南》;针对本地沙箱场景,文件信誉热点库的升级服务不受License控制。 说明: 此外,针对云沙箱场景,文件信誉热点库的升级服务还依赖云沙箱组件包。如需进一步了解相关信息,请通过华为企业技术支持网站获取并查阅对应款型设备的产品文档。 |
设备出厂时未预置文件信誉热点库。 |
|
URL信誉热点库 |
USG6000:V500R001C80及后续版本 USG9500:V500R001C80及后续版本 USG6000E:V600R006C00及后续版本 |
URL信誉热点库的升级服务依赖URL远程查询License,详见《License使用指南》。 说明: 此外,URL信誉热点库的升级服务还依赖URL远程查询组件包。如需进一步了解相关信息,请通过华为企业技术支持网站获取并查阅对应款型设备的产品文档。 |
设备出厂时未预置URL信誉热点库。 |
表1-2中未详细给出各热点库在细分款型下的支持情况,如需进一步了解相关信息,请通过华为企业技术支持网站获取并查阅对应款型设备的产品文档。
引擎库
在防火墙设备中,传统的威胁检测是通过将流量中提取的特征信息与设备中加载的特征库中的特性信息进行匹配来实现的。此种检测方式只能够识别并防御已知威胁,无法快速应对网络中层出不穷的未知威胁。为了解决上述问题,华为USG6000E系列AI防火墙产品新增了智能检测引擎,通过基于机器学习和深度学习的安全检测算法有效检测未知威胁。
智能检测引擎的检测算法以智能检测引擎库的形式存储在防火墙设备中,华为安全中心会定期发布新版本的引擎库供防火墙获取和更新。与传统特征库不同的是,引擎库提供的不是已知威胁的特征信息,而是用于检测未知威胁的算法能力。
表1-3 防火墙支持的引擎库
|
引擎库名称 |
支持产品及版本 |
License依赖 |
设备出厂状态 |
|---|---|---|---|
|
智能检测引擎库 |
USG6000E:V600R007C20及后续版本 |
智能检测引擎库的升级服务依赖License,详见《License使用指南》。 |
设备出厂时预置默认版本的智能检测引擎库。 |
表1-3中未详细给出智能检测引擎库在细分款型下的支持情况,如需进一步了解相关信息,请通过华为企业技术支持网站获取并查阅对应款型设备的产品文档。
第三方威胁特征信息
华为防火墙的特征库大多通过华为安全中心生成和发布,除了通过此种方式获取网络中的威胁特征信息外,防火墙还支持与第三方设备对接获取第三方威胁特征信息,如表1-4所示。
与特征库不同的是,第三方威胁特征信息存储在设备缓存的恶意URL列表和恶意文件列表中,当设备重启时,缓存的第三方威胁特征信息会被清空。
表1-4 防火墙支持的第三方威胁特征信息
|
第三方威胁特征信息名称 |
数据源 |
支持产品及版本 |
License依赖 |
|---|---|---|---|
|
本地信誉信息 说明: 包括恶意文件信息和恶意URL信息。 |
HiSec Insight(原CIS) |
USG6000:V500R005C00及后续版本 USG9500:V500R005C00及后续版本 USG6000E:V600R006C00及后续版本 |
设备获取本地信誉信息的相关功能不受License控制。 |
|
外部恶意URL列表 |
外部升级服务器 |
USG6000:V500R005C20及后续版本 USG9500:V500R005C20及后续版本 USG6000E:V600R007C00及后续版本 |
设备获取外部恶意URL列表的相关功能不受License控制。 |
表1-4中未详细给出第三方威胁特征信息在细分款型下的支持情况,如需进一步了解相关信息,请通过华为企业技术支持网站获取并查阅对应款型设备的产品文档。
发表评论