跟蹤痕跡

由于攻擊手段的進(jìn)化，越來(lái)越具有針對(duì)性和隱蔽性，傳統(tǒng)的安全防御體系特征匹配跟不上威脅變化。Gartner于2016年提出了“自適應(yīng)安全”的防護(hù)模型，其核心思想就是不再假設(shè)防護(hù)能實(shí)現(xiàn)萬(wàn)無(wú)一失的安全，強(qiáng)調(diào)縱深檢測(cè)、分析、取證，并針對(duì)性的響應(yīng)。

圖1 科來(lái)公司齊繼東在論壇現(xiàn)場(chǎng)演講

再高級(jí)的攻擊，都會(huì)留下網(wǎng)絡(luò)痕跡，科來(lái)TSA網(wǎng)絡(luò)全流量分析系統(tǒng)，能夠全流量檢測(cè)和全流量存儲(chǔ)，彌補(bǔ)了傳統(tǒng)基于特征匹配檢測(cè)技術(shù)的不足。在2017（第八屆）中國(guó)CIO信息安全高峰論壇上，該產(chǎn)品獲得了2017年度未知威脅檢測(cè)最佳產(chǎn)品獎(jiǎng)。

科來(lái)公司齊繼東表示，全流量分析通過(guò)對(duì)旁路部署在網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)，網(wǎng)絡(luò)全流量采集存儲(chǔ)、全數(shù)據(jù)分析，具備以下三種功能：異常檢測(cè)、流量存儲(chǔ)、回溯分析。

其中，異常檢測(cè)是指當(dāng)發(fā)現(xiàn)可疑通訊行為時(shí)，系統(tǒng)提供實(shí)時(shí)警報(bào)，科來(lái)全流量安全分析系統(tǒng)內(nèi)置600多條網(wǎng)絡(luò)行為模型庫(kù)快速檢測(cè)可疑通訊行為，通過(guò)多種條件組合專門針對(duì)高級(jí)攻擊的持續(xù)性、隱蔽性。可疑通訊行為包括高級(jí)攻擊（APT）、異常流量以及網(wǎng)絡(luò)入侵、Web攻擊。該系統(tǒng)支持150種以上元數(shù)據(jù)（會(huì)話元數(shù)據(jù)以及協(xié)議元數(shù)據(jù)）提取，支持自定義提取，自定義建模。

圖2 科來(lái)TSA網(wǎng)絡(luò)全流量分析系統(tǒng)的異常檢測(cè)

而在流量存儲(chǔ)方面，能夠?qū)?dāng)前檢測(cè)到的攻擊行為與歷史流量進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)完整的攻擊溯源和取證分析。特點(diǎn)是2-7層流量透視，直至數(shù)據(jù)包級(jí)，基于IP、協(xié)議的自定義流量存儲(chǔ)，大于50% 數(shù)據(jù)壓縮能力。

齊繼東表示，科來(lái)TSA網(wǎng)絡(luò)全流量分析系統(tǒng)具有很高的應(yīng)用價(jià)值。能發(fā)現(xiàn)未知威脅、提高檢測(cè)能力,快速分析研判、減少響應(yīng)時(shí)間,數(shù)據(jù)全量留存、滿足合規(guī)要求,安全態(tài)勢(shì)感知、幫助高效決策。