ISC 2022流量威胁检测与响应实战论坛成功举办 多个解决方案应对高级威胁

近日，ISC 2022流量威胁检测与响应实战论坛在N世界-ISC大陆正式上线，旨在邀请领域专家、学者共同探讨流量分析在挖掘顶级APT攻击、对抗网络战等极限场景下的前沿技术发展情况、技术难题攻关、应用实践经验等，为提升关键信息基础设施的安全防护能力建言献策。

致辞环节，国家信息技术安全研究中心原副主任李冰表示，体系化、常态化的网络安全防护体系成为应对新型网络威胁的根本要求。作为体系化防御的重要组成，有效的流量分析技术已经是网络战中重要的攻防手段，流量侧的威胁检测与响应能力也必定成为提升实战化能力的关键因素。针对如何利用流量技术应对高级威胁，李冰提出几点新思考：一是大带宽高速率条件下如何有效的捕捉流量、二是如何识别分析未知加密异常流量、三是结合大数据人工智能等技术实现流量的综合利用。

国家信息技术安全研究中心原副主任李冰

360 集团高级产品战略规划总监何帆以“网络检测与响应(NDR)市场的变迁与未来”为题进行了分享，他表示网络威胁检测始于入侵检测/防御系统逐步演进发展为NDR，其四大核心能力是检测、狩猎、取证、响应：检测是NDR产品的起源和核心能力，狩猎能力侧重于最终用户在收到告警后执行的操作，取证能力更多的可以帮助安全管理员还原犯罪现场，响应能力往往与其他安全产品联动完成。他认为，使用统一的网络安全供应商提供整合安全平台将成为网络安全行业的未来发展趋势。

360 集团高级产品战略规划总监何帆

来自东南大学网络安全学院的院长程光以“加密流量分类方法研究”为题进行了分享。他表示，网络流量的加密化已经成为必然趋势，呈高速大流量化特点，且复杂新型网络协议广泛应用等特征。随后他从样本数据、加密检测、流量分类、内容识别等方面进行了详细解读。在零样本加密流量应用分类、小样本加密流量功能分类、加密流量分类特征与模型智能推荐方面分享了新见解与新思考。他认为，需要研究零样本加密流量应用分类，通过现有加密应用的流量特征去重构目标应用的特征，从而实现有效分类；需要深入研究如何利用模糊理论与生成对抗网络在小样本环境下实现加密流功能分类。

东南大学网络安全学院的院长程光

“数字时代，APT攻击成为网络安全的重要威胁，如何检测高级威胁成为各行业所面临的挑战。” 中国科学院信息工程研究所副研究员王文以多个APT攻击实例出发，提出高级水平APT攻击行为检测思路。他认为，需要从流量分析、威胁情报共享、要素关联挖掘升级为主被动结合、威胁诱捕等主动化防御手段。未来全密化的网络工具攻击识别、大时空尺度历史数据的回溯分析，行为级到实体级的溯源分析能力也将成为对抗高水平APT攻击活动的思路。

中国科学院信息工程研究所副研究员王文

360数字安全集团高级总监王超以“威胁狩猎之海量告警攻击确认实践”为题进行分享。他认为，威胁狩猎框架下的分析面临数据分析效率低下、时间紧任务重、误报率高的新挑战，他强调，提炼高价值事件成为缓解数据折磨的法宝之一。随后他对攻击确认技术框架进行介绍，并从会话级、对话级、跨对话级攻击确认实践及攻击确认在NDR产品中的应用进行分享。他强调，不仅需要更多相关性的攻击确认规则/模式以应对更复杂和隐蔽的攻击场景，更需要基于机器学习算法的攻击确认模型应对未知狩猎场景，释放人，特征/模式太依赖对威胁攻击种类的认知。

360数字安全集团高级总监王超

随后，360数字安全集团高级总监李薛主持了多款流量安全产品的发布，并表示面向数字安全挑战，多样的数字应用场景、强检测和强分析、加密流量、威胁狩猎成为应对安全威胁的新思路。

360数字安全集团高级总监李薛

360 政企安全集团高级产品总监吴来云、360 政企安全集团高级总监王超、360政企安全集团高级产品总监丁仕珍分别发布了360高级威胁分析系统、360高级持续性威胁预警系统、360文件威胁分析系统。

据了解，360高级威胁分析系统作为新型威胁狩猎平台，依托于以“看见”为核心的全网数字安全大脑体系，具备自动化网络威胁检测分析、可视化调查取证、资产风险感知、自动攻击确认、响应处置的全闭环狩猎流程能力，可以实现收集数据、建立假设、调查取证、威胁确认、处置响应。不同于传统的威胁分析产品，360高级威胁分析系统具有超高流量处理能力、全面威胁检测能力、多引擎沙箱检测技术、创新的攻击确认技术，可广泛应用在实战攻防演习、日常监测运营、挖矿、勒索、邮件、APT高级威胁狩猎等场景。

360高级持续性威胁预警系统（NDR一体机）是一款一体化的威胁检测、攻击确认系统，具有流量检测、沙箱检测、可视化分析、溯源取证、联动响应等功能，可以从特征检测、威胁情报、行为检测、AI/机器学习四项技术看见网络层攻击行为。值得一提的是，此次发布的新版本可以深入细化，看得更多、检得更准，并且可以实现高效运营，帮助客户有效提升高级网络威胁的发现分析能力及响应处置效率。

此外，面对僵尸挖矿、未知恶意文件、病毒木马、勒索软件等安全风险，360数字安全集团还推出360文件威胁分析系统，旨在通过精准检测、深度分析、环境仿真、情报反哺降低误报率，实现高效效率，此外还可应用在钓鱼邮件检测、跨网文件安全、业务系统文件检测、文件分析中心等多个场景。

据了解，ISC 2022的全部干货内容已上线N世界-ISC大陆，包括未来峰会、开发者大会、生态大会、十七场联合峰会、六十余场技术和产业主题论坛以及七场特色活动。更多大会内容锁定N世界-ISC大陆，加入万人同频共话安全。

-END-