揭开 FortiGuard 实验室的神秘面纱

揭开 FortiGuard 实验室的神秘面纱

在近日的直播中，Fortinet高级产品市场经理岑义涛就揭秘了这样一个充满了神秘感的实验室：FortiGuard Labs。

简单来说，FortiGuard 实验室承担着威胁研究与响应的重要任务，是所有Fortinet产品的安全大脑，拥有所有安全厂商实验室中最多的研究员。在FortiGuard 实验室中，每年安全研究时间长达58万小时，其通过最先进的人工智能系统，共同处理全球数据量最大的威胁数据，并向全球部署量最大的产品持续输出最新威胁特征。

想知道FortiGuard 实验室团队成员是怎么工作的么，那么以反病毒研究小组来举例。在这里，超过200个威胁信息流（Threat Feed）所汇聚的海量威胁信息会在加载、归档之后，统一存储到数据库之中。这些信息流既包括通过订阅用户和公开途径提交的可疑文件、邮件、URL样本，也包括从恶意软件、蜜罐、网页爬虫+ 恶意站点检测系统等途径捕获的样本，还包括黑客活跃的站点和论坛、恶意软件共享平台等，以涵盖更为广泛的威胁信息。

从广泛的信息源获取的可疑样本会进行交叉扫描，并通过机器学习算法和虚拟执行环境来检测恶意行为，复杂样本会由恶意软件研究员进行手工分析。如果被分析的恶意样本是高风险的，FortiGuard 实验室AV分析师会从中提取出感染指征（IOC：indicator of Compromise）。这些关键的威胁情报将AV 签名生成之后进行发布，为WEB应用防火墙FortiWeb、沙箱方案FortiSandbox、集中管理平台FortiManager、邮件安全网关FortiMail、旗舰安全平台FortiGate、终端安全方案FortiClient等产品提供支撑。

岑义涛指出，在FortiGuard实验室中，内部团队不是“分散作战”，而是实现了全面协作。为了支撑反病毒需求，恶意样本会在沙箱中运行之后，将Botnet C&C URL、IP地址和域名、未知僵尸网络协议、入侵行为分析分别发送给Web安全、僵尸网络、应用分析、入侵防御团队，以帮助用户有效应对多种层面的安全威胁。

每天所要处理的超海量数据是FortiGuard实验室最显著的特点之一。在这里，每日分析安全事件达到1000亿件，每日更新的威胁情报达到10亿，这些数据的高效、高质量处理对于防范安全威胁有着至关重要的作用。

AI系统是FortiGuard 应对超海量数据的“秘诀”，岑义涛指出，在FortiGuard实验室中，专家分析只会用于复杂样本，而绝大多数的分析工作则交给“大数据+机器学习”系统来完成，并进行自动化签名生成——目前，FortiGuard恶意软件分析系统已经进化到了第三代：神经网络专家系统SEDS，该系统能够通过多层神经网络对每天高达2000万+文件进行训练 ，生成数以十亿计的干净和恶意的特征。而且，该系统还能进行持续学习和特征强化，让系统拥有更高准确性。

“通过AI系统的引入，FortiGuard实验室能够高效、高准确性的对海量的样本进行分析，并快速生成相应的威胁情报支持各个安全防护产品。其与专家分析相结合，能够提供无与伦比的准确度、以及充分的市场证明和验证，从而大大增加了网络罪犯的成本、在与恶意软件的对抗中占据上风。”岑义涛强调。

目前，用户可以通过FortiGuard 安全服务订阅计划，轻松获得FortiGuard实验室提供的威胁情报支撑。

FortiGuard Labs - http://fortiguard.com/