文档介绍:APT防御解决方案1特征检测、FWIPSSWGSMG传统检测模式0day、AET、定制攻击工具单点无害,组合计划显威力长期潜伏,逐步渗透APT攻击特点传统防御模式和APT攻击的矛盾APT攻击:攻击范围、时间、技术方式均不可预测性流量行为APT攻击APT攻击隐藏一切,但当攻击发生时,流量和行为暴漏了攻击的真正目的APT检测:流量和行为承载着APT真实目的?华为CIS:基于大数据平台的APT异常行为分析解决方案APT检测、终端探针日志采集沙箱日志采集CIS大数据安全检测平台流探针流探针流探针沙箱异常行为检测异常特征点相似性协议数据流元数据正常样本协议数据流元数据权重次数1行为严重性可信度事件Http外发数据高80%可疑活动不常见http流量低NA可疑域名中60%向知名站点传输多参数高80%提取可疑样本A机器学习(聚类)DNS异常检测Mail异常检测WEB异常检测C&C异常检测基线异常检测判读可疑样本异常样本B机器学习2机器学习(分类)多维威胁评估3行为评价4华为CIS大数据平台350+异常行为分析模型隐蔽通道异常早期风险预测后期能力提升海量信息异常分析早期预警APT攻击缩小攻击的时间窗中期风险清除主动防御降低攻击风险协同防御清除潜伏风险展示定位APT攻击路径快速调查APT攻击实现全网智能联动攻击模型自学习威胁情报全网共享增强风险防范能力动态防御提升检测能力华为CIS大数据平台“闭环动态防御”APT解决方案华为CIS大数据平台全网实时安全态势图华为CIS大数据平台APT攻击事件威胁评估华为CIS大数据平台APT攻击全路径展示