近來，APT攻擊已經成為業界關注和討論的熱點，根據Fireeye APT報告數據顯示，2013年來自HTTP的APT攻擊是來自郵件攻擊的5倍，而且2014年將會有更多的APT是來自于HTTP，水坑攻擊和社交媒體攻擊將會取代郵件攻擊成為主流的APT攻擊途徑。

APT攻擊以其獨特的攻擊方式和手段，使得傳統的安全防御工具已無法進行有效的防御。APT攻擊不單是一個整體，而是將眾多入侵滲透技術進行整合而實現的隱秘性的攻擊手法，其體現出三個特點---復雜性、持久性、目的性。

傳統安全體系之困

傳統的檢測技術主要在網絡邊界和主機邊界進行檢測,具體為防火墻、入侵檢測、安全網關、殺毒軟件和反垃圾郵件系統。但是它們均缺乏對未知攻擊的檢測能力和對流量的深度分析能力。

面向APT攻擊的多維網絡監測

科來APT解決方案是一套完整的解決方案，涵蓋了異常流量分析、動態分析和全流量回溯分析技術。

用戶可以評價異常流量和動態分析技術發現網絡的異常和未知的高危文件型木馬，使用全流量記錄設備--回溯系統來調取工具數據進行數據包級的分析，系統還具有阻斷功能，可以阻斷高危的會話和域名訪問，保護內部用戶，做到及時的止損。這樣使得APT解決方案從異常發現到取證和防御能夠形成一個閉環的工作模式。

1、動態行為分析技術---基于硬件模擬的虛擬化動態分析技術

硬件模擬技術區別于傳統的虛擬化技術，CPU、內存等核心部件以及光驅、網卡等外圍設備全部由軟件模擬實現，所有指令必須經過模擬CPU翻譯執行，所有數據都存儲在模擬硬件中，硬件模擬器可以觀察到虛擬系統中執行的每一條指令，并可獲取虛擬系統中的任何數據，因此，基于硬件模擬技術開展動態分析不需要對虛擬系統進行任何修改，也不需要在虛擬系統內部安裝任何輔助分析工具。

2、異常流量檢測技術---基于行為異常的流量檢測技術

1）協議模式

 根據通訊協議的規范，檢測發現非規范協議的通信流量

 檢測的異常行為：木馬私有控制協議；隱蔽信道

2）網絡狀態

 根據網絡運行狀態的歷史數據統計，形成正常行為輪廓，以此為基礎檢測異常

 檢測的異常行為：內網探測；應用數據異常

3）網絡行為

 根據業務應用特點定義正常行為輪廓，以此為基礎檢測異常

 檢測的異常行為：跳板攻擊；應用訪問異常

3、全流量回溯分析技術

1）基于索引的海量數據快速檢索

 自主設計的海量數據存儲結構和預處理算法

 1TB數據的檢索時間低于3秒鐘

2）多維度的網絡流量線索分析

 支持從時間、會話、協議、事件等不同維度進行網絡流量追蹤分析

 可根據發現的異常事件進行深度追蹤、溯源，快速確定潛在的威脅，全面評估事件的危害