5分钟内拦截未知威胁！黑客：我连招没搓完，水晶就炸了？

未知威胁（如APT攻击、黑客远控等）的检测与响应已成为网络安全领域的棘手问题。传统检测机制对未知威胁的平均检出率通常不足30%，而且从威胁出现到被识破往往需要数小时甚至数天——黑客足以利用这段“盲区”完成横向渗透和数据窃取。如果能在5分钟内实现未知威胁的精准检出且全网同步，攻击链尚未展开即被阻断，从而改变“被动挨打”的局面。

“校园网服务器异常与境外IP（111.***.***.230）进行通信”。

2025年2月17日早上5:45，一条异常日志在国内某高校部署的深信服防火墙日志中弹出。而此时，运维人员还没上班，尚未发现异常情况。

5:47，深信服防火墙通过云端AI智能引擎鉴定，精准研判该IP为最新的Cobalt Strike黑客工具。

5:50，恶意IP的通信被深信服防火墙及时阻断，并产生高危告警。几乎同时，通过云端百亿威胁情报同步更新规则，所有内联云端架构的防火墙都具备了该威胁的防护能力。

以往，黑客拿着新鲜出炉的变种远控工具，还能逍遥法外几天。如今，形势却大不相同——刚使用不到5分钟就被防火墙拦截。

在同一天，该IP对不同用户发起了2,800多次病毒攻击。在接下来的1个月内，深信服防火墙与该IP有关的病毒攻击展开了高达63,594次的交锋，政府、教育、企业、运营商等，数万名用户的边界防线，从始至终未被攻破。

深信服AI+SASE赋能的下一代防火墙，为何总能“以快制快”，在每一场与黑客的无声赛跑中，始终领先一步？

今天，我们将为大家揭开这一神秘面纱。

主动挖掘未知威胁——

AI智能体驱动防火墙全面升级

如今，黑客能够利用AI大模型技术，在几秒钟内自动化生成高度逼真的钓鱼邮件、恶意软件，甚至轻松绕过传统检测机制，实施大规模网络攻击。

面对黑客的“魔高一尺”，深信服“道高一丈”。凭借20年的技术沉淀，通过融合自研的安全GPT和GraphRAG，深信服创新打造基于AI智能体的威胁情报生产体系，以AI技术重塑威胁检测机制，实现未知威胁快速发现和精准研判。

△ 深信服基于AI智能体的威胁情报生产架构

技术已就位，情报AI智能体是怎样高效探测和精准分析未知威胁的？

1、自动化多步调查，平均检测耗时降至分钟级

打个比方，当接到新案件时，刑侦大队长会自主决策和拆解子任务，安排相关的侦查员进行有针对性的调查，快速获取线索情报，为后续的“破案”奠定基础。

情报AI智能体就像这位“刑侦大队长”一样，拥有“最强大脑”，能够模拟人类的调查逻辑，自动执行关联情报富化、威胁检测和威胁定性等步骤，最终完成对未知威胁的智能闭环研判。

在威胁检测阶段，它动态选择最相关的子模型处理网络流量、行为特征等特定输入内容，而非全部子模型都要处理一次内容。这种动态的稀疏激活机制，使得检测效率提升近10倍，平均检测耗时从小时级别降至分钟级别。

2、具备强大的复杂推理和关联能力，未知威胁检出率提升至95%以上

根据收集到的证据和线索，刑侦大队长会协同多名侦查员基于逻辑推理与分析，梳理作案动机、作案手法等信息，将其串联为犯罪事实的证据链，从而锁定嫌疑人。

情报AI智能体亦是如此，率先利用GraphRAG（基于知识图谱的检索增强技术），整合OSINT（开源情报）、设备安全日志、暗网数据等异构信息，通过复杂关系推理与因果分析，挖掘弱特征间的潜在关联，精准识别加密流量中隐藏的恶意活动。

这种基于知识图谱的增强推理机制，实现从战术级（单次攻击）到战略级（威胁组织画像）的多层次分析，未知威胁检出率提升至95%以上。

3、构建持续学习框架，不断提高自适应能力

犯罪手段在快速迭代，如AI诈骗、暗网交易等。刑侦大队长作为“总指挥官”，需要持续不断地学习各种新型犯罪方式。情报AI智能体，同样通过持续学习框架，实现威胁知识的动态更新，知识迭代周期从周级别缩短至小时级别。

例如，当检测到新型恶意软件时，情报AI智能体自动提取行为特征向量，经沙箱验证后，生成对抗样本注入训练集，触发云端检测模型在线更新，从而更精准地鉴定未知威胁。

深信服威胁情报中心的数据显示，2024年主动挖掘超过10亿次未知威胁，包括未知挖矿、网络URL钓鱼、僵尸网络、黑客工具外联行为等。

全网“免疫”实时防御——

全国30+PoP节点，防火墙就近接入云端

精准识别未知威胁只是第一步。

要想实时防御未知威胁，真正的“必杀技”是内联云端架构——基于自建的全国30+PoP节点，深信服防火墙就近接入云端，通过云端百亿威胁情报同步更新规则，实现全网设备对未知威胁的实时拦截。（有关内联云端架构，详情查看：100毫秒实时防御新型威胁，深信服防火墙如何做到？）

以异常文件检测为例，2025年3月，深信服防火墙检测到一个名为“采购*.exe”的异常文件，经过情报AI智能体的快速鉴定，最终研判其为银狐家族的最新变种；随后将获取到的最新情报，通过防火墙内联云端架构，下发至云端百亿威胁情报，实现全网同步。

整个过程耗时不到5分钟，所有深信服防火墙在线用户都获得了实时“免疫保护”。

如今，网络安全的攻防已经从过去的人与人之间的对抗，升级为AI与AI的对抗。唯有以AI对抗AI、以快制快，方能制胜。

深信服AI+SASE赋能的下一代防火墙，内联云端百亿威胁情报，基于AI智能体的威胁情报生产体系，主动挖掘未知威胁，确保百亿威胁情报始终保持最新、最准、最及时，致力于让每一位用户「安全领先一步」。

银狐家族，多用户深受其害