什么是高级威胁检测系统呢

　　当前，随着互联网技术更加广泛、深入地应用到人们生活的方方面面，多元、多源的数据使大数据的发展来到了前所未有的高度，大量的数据交换给了黑客可乘之机，特别是有专业工具的APT攻击团队。（APT的是Advanced Persistent Threat 的简写，意思是高级持续性威胁）。一直以来，APT攻击对于国家和企业来说都是一个巨大的网络安全威胁，而且，近年来愈演愈烈，已经随着互联网渗透到社会的各个角落，成为网络安全防御的热点。
　　目前传统检测网络攻击的方法主要依靠特征、规则匹配及统计分析，从网络流量、日志中发现符合一定特征或形式的数据。然而，随着APT攻击技术的普及造成了网络安全需要处理的数据量飞速增长，并且流量经过全新设计、混淆、加密等对抗手段改造的威胁层出不穷，基于特征、规则和统计分析的检测方法效果差、效率低，很难发现复杂的高级威胁。
　　为了满是对APT类型攻击的检测，应用而生了高级威胁检测系统【简称：ATD】。此系统集成威胁情报、入侵检测、异常检测、病毒木马检测、恶意代码基因图谱检测、未知威胁沙箱行为检测、恶意流量人工智能检测等多种技术于一体，对网络中的南北流量/东西流量进行全面深度的威胁检测与溯源分析。利用人工智能多种算法从大量积累的数据中自适应持续学习，挖掘数据中蕴含的规律，解决传统安全难以应对的APT攻击检测难题。
　　1. 人工智能、大数据与安全技术的结合
　　高级威胁检测系统采用了人工智能的机器学习/深度学习技术，基于大数据平台，用海量安全数据进行训练，从而具备检测未知威胁的能力，并有效减少安全运维人员的人工识别工作量。
　　2. 高效的网络异常行为检测技术
　　高级威胁检测系统可识别丰富的网络应用层协议，通过协议分析、网络异常行为模式匹配等检测技术快速鉴别出C&C通讯、DGA恶意域名、DDoS攻击、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞扫描和漏洞攻击等网络恶意行为。
　　3. 独特的基因图谱检测技术
　　通过结合机器学习/深度学习、图像分析技术，将恶意代码映射为灰度图像，建立卷积神经元网络CNN深度学习模型，利用恶意代码家族灰度图像集合训练卷积神经元网络，并建立检测模型，利用检测模型对恶意代码及其变种进行家族检测。基于灰度图像映射的方法可以有效的避免反追踪、反逆向逻辑以及其他常用的代码混淆策略。而且，该方法能够有效地检测使用特定封装工具打包（加壳）的恶意代码。
　　4. 全面的已知、未知威胁检测
　　通过内置的下一代入侵检测引擎，Multi-AV防病毒引擎和威胁情报检测技术对已知威胁进行静态检测；通过基因检测技术对恶意代码的变种进行检测，通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析，对未知威胁进行检测。
　　5. 便捷的溯源取证能力
　　高级威胁检测系统支持解析并存储http、dns、ftp、smtp等几十种协议的元数据，具有完整的追溯取证能力。通过可视化操作，可快速定位攻击者，并定位出攻击者的IP，MAC，攻击方式，攻击协议，以及攻击目标等详细信息。
　　6. 强大的处理性能
　　单台最大带宽处理能力可达10Gbps, 文件处理性能最高可达12万文件/天，并支持通过集群技术按需扩展处理能力
　　由于APT攻击手法的多样性，为了避免设备触发bypass状态，导致恶意流量逃过检测。因此，高级威胁检测系统定位为检测产品，不建议通过镜像口直接进行拦截。可以结合防火墙进行拦截响应，形成流量威胁检测响应系统（NDR）。另外，高级威胁检测系统可以通过 syslog 发送告警信息，如果第三方设备（如网关、防火墙等网络入侵防护设备（IPS））支持接收 syslog 并执行阻断功能，高级威胁检测系统即可与之进行联动。