在大多数安全厂商都在谈论下一代防火墙时，山石网科在自己的下一代防火墙产品名字前面加上了“智能”二字，称为“智能下一代防火墙（iNGFW）”。那么，相对于其他下一代防火墙，山石网科的“智能”体现在什么地方？
　　近日，山石网科发布了最新版本的智能下一代防火墙，借此机会，山石网科再次向外界阐述了其“智能”的含义和升级。而面对越来越隐蔽的网络攻击和安全威胁，安全设备的智能化，具有了更为重要的意义。
　　两大智能引擎
　　据了解，山石网科发布的智能下一代防火墙最新版本，首次采用的“未知威胁检测引擎”和“异常行为检测引擎”两大智能引擎，以及全新的安全可视化界面和策略联动成为亮点。这两大引擎可以通过对用户网络运行产生的行为大数据进行系统分析，利用策略联动实时减缓风险，实现发现、可视、控制的安全闭环。
　　值得一提的是，山石网科的未知威胁检测引擎突破传统检测技术的瓶颈。它不依赖于特征码，而是采用基于威胁行为分析的方法，对网络中终端主机的行为进行分析。由于感染了变种恶意代码的主机其应用层行为与正常主机不同，智能下一代防火墙可以通过大数据挖掘技术对海量恶意软件进行行为分析，将每一个恶意软件家族的行为进行规则化，形成行为集，下发到设备中，通过对比异常发现变种恶意软件。
　　此外目前主流的安全设备基于阈值的设定，无法检测出慢速DDoS攻击、慢速扫描攻击、CC攻击等隐蔽型或应用层网络攻击，因此一旦遭受此类网络攻击，通常会给业务系统造成重大损失。山石网科异常行为检测引擎通过对业务系统的正常运行状态进行学习，建立起几十个维度的业务动态安全模型，依靠这个模型能够检测出网络异常行为，进而判断是哪种网络攻击。这种方式能够大幅提升攻击检测的灵敏度与准确性，帮助用户防范慢速DDoS、CC等隐蔽型应用层网络攻击。
　　沙箱之外的路径
　　发现并应对高级持续性威胁，业界通常的做法是使用沙箱。然而山石网科却走了另外一条路，这就是行为检测。采用沙箱的好处很多，但是沙箱同样也有不足。山石网科总裁兼CEO罗东平认为，沙箱集中在网络攻击的准备和攻击过程中，是边界防护。但有时沙箱环境和实际主机环境并不一致，因为沙箱是离线式，并不能直接诊断。
　　“假设A、B两家企业有同样的流量，但有可能一个是正常的，另外一个是异常的。数据本身并不能决定是正常还是异常，这要由流量所在的应用情景来决定。所以，在它背后需要强大的大数据关联分析技术作为支撑。”山石网科研发副总裁蒋东毅表示。
　　在山石网科看来，可视化是“智能”的一个重要标准。山石网科智能下一代防火墙提供了从风险到威胁的全面展现，包括全网风险指数、风险主机和特定威胁的详细信息。通过多层次、立体展现，网络管理员可详细了解整体网络安全态势和风险背后的威胁根源。“全网风险指数”提供了量化的网络风险状况，“风险主机”与“威胁”则从不同维度呈现当前网络威胁的时空分布，例如主机的风险级别、IP地址、威胁来源、 严重级别、受害者和攻击者信息等。
　　在山石网科看来，行为检测是从风险和威胁发现、处置到控制的全面检测和可视。和沙箱相比，这看似是一个更为强大和全面的方案，当然要完全实现这样的愿景，还有很长的路要走。但不管怎样，山石网科认为“智能”是网络安全领域未来的重要发展方向，并朝这条路坚定地走下去。
　　“网络的快速发展将网络安全提升到一个全新的高度，安全产品的迭代趋势更加明显，智能安全将是未来网络安全的重要组成部分之一。作为网络安全厂商，我们必须让安全产品诞生在威胁进行破坏之前，给用户提供最及时的安全保护，这是我们的信念。”罗东平说。