大数据检测方法-华为APT-防御解决方案

特征检测、功能通用单点检测无关联实时检测无延续InternetFWIPSSWGSMG传统检测模式0day、AET、定制攻击工具单点无害，组合计划显威力长期潜伏，逐步渗透APT攻击特点传统防御模式和APT攻击的矛盾APT攻击：攻击范围、时间、技术方式均不可预测性流量行为APT攻击APT攻击隐藏一切，但当攻击发生时，流量和行为暴漏了攻击的真正目的APT检测：流量和行为承载着APT真实目的？华为CIS:基于大数据平台的APT异常行为分析解决方案APT检测、预警和清除0day恶意代码分析攻击取证回溯分析网络异常流量检测威胁情报分析与服务终端与用户行为分析流探针日志采集器CIS华为CIS大数据平台APT防御全网信息采集部署模型办公侧网络侧Internet侧分支机构DC服务器侧EEEEEEInternet终端探针日志采集沙箱日志采集CIS大数据安全检测平台流探针流探针流探针沙箱异常行为检测异常特征点相似性协议数据流元数据正常样本协议数据流元数据权重次数1行为严重性可信度事件Http外发数据高80%可疑活动不常见http流量低NA可疑域名中60%向知名站点传输多参数高80%提取可疑样本A机器学习（聚类）DNS异常检测Mail异常检测WEB异常检测C&C异常检测基线异常检测判读可疑样本异常样本B机器学习2机器学习（分类）多维威胁评估3行为评价4华为CIS大数据平台350+异常行为分析模型隐蔽通道异常早期风险预测后期能力提升海量信息异常分析早期预警APT攻击缩小攻击的时间窗中期风险清除主动防御降低攻击风险协同防御清除潜伏风险展示定位APT攻击路径快速调查APT攻击实现全网智能联动攻击模型自学习威胁情报全网共享增强风险防范能力动态防御提升检测能力华为CIS大数据平台“闭环动态防御”APT解决方案华为CIS大数据平台全网实时安全态势图华为CIS大数据平台APT攻击事件威胁评估华为CIS大数据平台APT攻击全路径展示华为CIS大数据平台APT攻击秒级事件查询华为CIS大数据平台APT攻击事件查询