發現內網攻擊

隨著互聯網快速發展，網絡上各種攻擊事件層出不窮，尤其是近年來不斷曝光的世界500強、互聯網知名企業物理隔離的內網專網丟失數據的事件，完全暴露出現有針對類似APT網絡攻擊行為的發現與處理技術和方法的不足。研究解決企業內網絡攻擊行為的解決方案刻不容緩。

現有技術現狀及缺點

網絡攻擊大致可分為三個階段：接觸感染、探測傳播、竊取破壞。接觸感染階段包括：社會工程學、惡意網站釣魚、郵件欺詐、SQL注入、木馬植入；探測傳播階段包括：跨站腳本攻擊、主機端口掃描、網絡監聽、節點攻擊、中間人攻擊；竊取破壞階段包括：病毒蠕蟲爆發、0day漏洞利用、數據轉移。現階段針對單個攻擊行為的防御手段基本成熟，出現了眾多防御攻擊事件發生的網絡設備及安全設備，包括：郵件防火墻、Web防火墻、入侵檢測/防御系統、終端準入系統、網頁防篡改系統、網絡防火墻、流量檢測系統、終端防病毒、系統漏洞掃描系統、數據防泄漏系統等。

如此眾多的安全設備構建的看似完備的安全防護體系，但實則收效甚微。其失敗的原因并非是由于單個技術的失敗，而是整體戰略上的缺失。

1.各種安全系統只能識別域內安全問題，彼此之間沒有關聯，導致出現安全信息孤島和各自為政的現象，無法從全局發現、識別跨域攻擊行為。單個系統無法聯系上下游設備共同處理網絡位置、攻擊步驟、攻擊緯度有關系的攻擊場景。

2.單個系統因缺乏全局考慮及技術等原因，容易形成防御空擋，形成被攻擊者利用的通道。……