在越来越多类似APT和其他一些精心设计的攻击使用高度隐蔽的方式，几乎不留下任何可审计的线索，如日志和事件。一些可审计的日志和事件由于数量过多，本身也不会提示严重的安全事件。但如果这些攻击是基于网络的，通常会在流量和流量数据中留下线索。大数据分析可以使用关联、机器学习等技术发现攻击的蛛丝马迹，但这已经超出了传统安全设备所能提供的检测范围。

我们到底需要什么样的安全设备?

针对下一代防火墙产品是否适合规模应用，世界著名的市场研究机构Gartner公司研究副总裁Greg Young曾表示，市场早期的NGFW产品，基于威胁进行防护，安全管理更多依赖于安全管理员。NGFW更多的是一个响应者，对安全员不能发现的威胁不会做出防护。同时，在实际的使用过程中，由于安全策略不够严格，潜在风险常常被利用。直到造成了损失被发现，进行“亡羊补牢”式的防护。可以预见到，“人”主导的安全防护很难长期保证质量。NGFW需要具备额外的智能。

山石网科CTO刘向明也认为，“0-Day、APT攻击、DDoS等异常流量及新型威胁不断出现，而这些异常威胁隐藏在正常流量中无法通过特征识别和静态阈值检测出，需要结合流量异常行为进行数据关联分析和检测，并需要提前进行风险防范和安全防护，否则会给企业造成巨大的损失。目前的防火墙通过特征识别和静态阈值进行威胁检测，并在威胁发生时进行安全防护，对异常威胁无法有效防护和提前防范。”

随着企业业务的发展，为了持续保证安全性，需要不断调整防火墙策略。大部分企业在他们的下一代防火墙上部署了数百条甚至上万条以上的策略，同时有相当一部分公司每个月都需要执行大量的策略变更。频繁的变更导致防火墙策略数量不断增加，存在大量冗余、无效的策略。这主要是因为管理员很难判断哪些策略有问题，即使判断出来也因为担心影响业务不敢轻易调整。所以能够及时浏览针对每一业务的策略设置，或提出策略优化建议，抑或能够自动发现冗余和无效的策略，简化管理的安全设备出现很有必要。

“智能化和自动化将是安全产品的一个发展趋势，让安全更多依赖“智能化设备”，有利于持久保持稳定的安全质量。”刘向明说。“基于对已知威胁的防御转变为基于未知风险的预防，会给用户带来极大的利好”。

(责任编辑：)