华为星河AI融合SASE黑科技：Emulator脱壳与AI行为检测加持，未知威胁检测业界领先！

当前科技迅猛发展，AI技术在带来便利的同时，也被黑客利用于网络安全攻击领域。据AV-Test统计，每年新增病毒数量高达1亿以上，平均每4秒钟就会出现1个新增病毒。在AI时代，攻击呈现高度自动化、深度隐蔽化趋势，如何快速准确地识别未知威胁攻击，已成为当前亟待解决的首要问题。针对上述挑战，华为推出了星河AI融合SASE解决方案，该方案在防火墙集成Emulator微内核脱壳引擎与AI安全检测算法，打破传统特征库检测瓶颈，将未知威胁检出率提升至95%。

未知威胁为什么这么难检测？

在此之前我们先了解什么是加壳技术，加壳技术通过加密、压缩等方式将恶意程序代码转换为无法直接分析的形态，实现病毒文件伪装，使其在静态分析阶段呈现不可解析的外壳结构。病毒文件一旦加壳后，传统依赖特征库的检测技术，由于无法提取到有效特征，导致检测机制失效，形成"检测盲区"。

未知威胁检测难度大，主要源于以下三个关键点：

• AI驱动的新型恶意软件呈爆发式增长，日均新增超33万种，传统检测手段响应速度跟不上威胁演变节奏。

• 加密流量已成攻击主流载体，95%的网络流量经过了加密，其中86%的攻击通过加密通道发起，传统基于内容签名的检查机制基本失效。

• 高级绕过技术泛滥，编码混淆、混淆绕过类攻击占比超30%，传统方案需上万条规则对抗单一攻击，防御成本飙升。

未知威胁检测关键技术突破：Emulator微内核脱壳引擎 + AI安全检测算法

为了应对未知威胁的挑战，华为防火墙基于AI赋能提升未知威胁检测能力，重磅推出了两大关键技术：Emulator微内核脱壳引擎和AI安全检测算法。

• Emulator微内核脱壳，毫秒级解密，精准还原病毒真实语义

恶意软件普遍采用加壳技术隐匿自身以规避检测。业界大多是通过离线第三方工具进行模拟脱壳，这种脱壳方式检测时延大，且是事后检测，无法做到实时检测，造成病毒入侵。

为便于理解，我们将AI变种病毒的产生与检测过程，类比成“危险违禁物品通过安检过程”，对应关系说明如下：

图1：未知威胁AI检测类比危险品过安检过程示意

1. 病毒毫秒级脱壳——透视“加密行李箱”

华为将自研轻量级Emulator微内核脱壳引擎集成到防火墙上，实现变种加壳文件毫秒级脱壳。该引擎通过软件方式极速模拟CPU、内存以及操作系统实现，动态模拟运行恶意程序代码指令，即实现文件格式密文到明文转换。Emulator微内核脱壳引擎需要极小、极快模拟完整操作系统+CPU+内存环境，进而模拟运行脱壳过程，整个过程需要对操作系统、内存管理、指令模拟、恶意软件分析具备深入的系统性理解。这里我们完成了文件脱壳执行的流程：如同在安检中通过深度扫描发现藏匿在正常行李箱中的“违禁物品零部件”。

2. 病毒行为语义还原——还原“违禁物品全貌”

恶意软件完成脱壳后，实现从密文到明文的转换，但此时还是没有意义的二进制字节数据，还需要继续进行恶意行为的语义还原。Emulator微内核脱壳引擎，运用高性能的指令编译和CPU软cache核心加速技术，在虚拟隔离的微内核中实现实时、安全的可疑恶意代码和内存片段的动态分析，深度识别隐藏的恶意行为，精准还原病毒真实语义。这里我们完成了语义还原的流程：如同智能安检终端分析零部件的特征，模拟还原疑似的违禁品。

• AI安全检测，未知威胁检测率高达95%

病毒脱壳、语义还原后之后，就需要另外一个杀手锏：AI安全检测算法。

华为云端安全智能中心为防火墙侧的AI安全检测提供了持续、强力的安全能力支撑：通过分析数亿级的海量病毒构建了专用的病毒检测AI算法，病毒检测AI算法实现了对海量已知病毒和未知病毒高性能和高准确率的检测。防火墙联动云端安全智能中心，实时更新本地AI安全检测算法，为客户提供实时升级的防御体系。防火墙内置AI安全检测算法，能够实时、精准识别并阻断流量中的未知威胁。以恶意文件的本地检测过程为例，通过提取恶意文件的行为特征、脱壳特征，完成AI检测本地推理，实现对病毒高性能、高准确率的检测。

图2：以恶意文件检测为例，端云协同AI检测示意

同时，防火墙在不同阶段运用多种AI检测技术，对未知威胁进行多层防护：

1）攻击前期扫描探测阶段：采用基于AI的暴力破解检测模型，有效对抗分布式暴力破解攻击，避免业务系统被恶意登录；

2）攻击突破边界，权限提升阶段：采用基于AI的反病毒检测模型，对海量变种病毒进行极速的检测；

3）攻击外联控制阶段：采用基于AI的DGA恶意域名检测模型（Domain Generation Algorithm，域名生成算法），实现随机、未知恶意域名检测，解决传统域名库方式无法覆盖问题，切断失陷主机和黑客的通信，防止客户敏感数据泄露；采用基于AI的加密流量检测模型，实现解密流量不解密识别，解决加密流量解密难、性能低的难题，拦截加密流量攻击。采用基于AI的命令与控制（C&C）通信检测模型，精准识别C&C和隐蔽通道，拦截黑客远控通信行为，避免敏感数据泄露。

华为防火墙通过Emulator微内核脱壳引擎与AI安全检测算法无缝结合，实现变种加壳文件毫秒级解密脱壳，威胁实时阻断，未知威胁检测率高达95%。在新型攻击层出不穷的AI时代，以AI对抗AI，为全球企业提供更高效、更智能的云边一体化防御体系。

倘若您正被难以捉摸的未知网络威胁所困扰，不妨深入了解华为星河AI融合SASE解决方案，更多详情请前往华为官网探寻。

免责声明：文章内容和观点仅代表作者本人观点，供读者思想碰撞与技术交流参考，不作为华为公司产品与技术的官方依据。如需了解华为公司产品与技术详情，请访问产品与技术介绍页面或咨询华为公司人员。