跟蹤痕跡

由于攻擊手段的進化，越來越具有針對性和隱蔽性，傳統的安全防御體系特征匹配跟不上威脅變化。Gartner于2016年提出了“自適應安全”的防護模型，其核心思想就是不再假設防護能實現萬無一失的安全，強調縱深檢測、分析、取證，并針對性的響應。

圖1 科來公司齊繼東在論壇現場演講

再高級的攻擊，都會留下網絡痕跡，科來TSA網絡全流量分析系統，能夠全流量檢測和全流量存儲，彌補了傳統基于特征匹配檢測技術的不足。在2017（第八屆）中國CIO信息安全高峰論壇上，該產品獲得了2017年度未知威脅檢測最佳產品獎。

科來公司齊繼東表示，全流量分析通過對旁路部署在網絡中的關鍵節點，網絡全流量采集存儲、全數據分析，具備以下三種功能：異常檢測、流量存儲、回溯分析。

其中，異常檢測是指當發現可疑通訊行為時，系統提供實時警報，科來全流量安全分析系統內置600多條網絡行為模型庫快速檢測可疑通訊行為，通過多種條件組合專門針對高級攻擊的持續性、隱蔽性。可疑通訊行為包括高級攻擊（APT）、異常流量以及網絡入侵、Web攻擊。該系統支持150種以上元數據（會話元數據以及協議元數據）提取，支持自定義提取，自定義建模。

圖2 科來TSA網絡全流量分析系統的異常檢測

而在流量存儲方面，能夠將當前檢測到的攻擊行為與歷史流量進行關聯，實現完整的攻擊溯源和取證分析。特點是2-7層流量透視，直至數據包級，基于IP、協議的自定義流量存儲，大于50% 數據壓縮能力。……