日前，2014CIO信息安全高峰论坛在北京新世纪日航酒店落下帷幕。本次高峰论坛以“新安全 新架构 新规划”为主题，着力于如何应对黑客攻击、病毒、木马、APT攻击、网页篡改、数据丢失或窃取、云安全、虚拟化安全以及系统灾害等安全风险。

随着信息化建设的不断深入，移动化应用的多样性、平台的多样性、使用的交叉性使得安全风险点不断增多，如何建设合理的安全防护体系，并做好安全规划就显得尤为重要。会上科来展示的完整APT解决方案备受关注，其动态行为分析技术、异常流量检测技术和全流量回溯分析技术更是得到与会者认可。

传统安全体系无法应对APT

• 防火墙—基于IP、端口进行拦截，缺乏对内容的深度分析
• 入侵检测—基于攻击特征检测，误报率高，容易被绕过
• 安全网关—基于IP、URL等黑白名单进行控制，无法检测未知内容
• 杀毒软件—基于代码指纹进行检测，缺乏动态行为深度分析，无法识别未知恶意代码
• 发垃圾邮件—基于IP、域名、内容特征检测，难以对抗结合社交工程的定向攻击

APT困局破解之道

科来APT解决方案采取分布式部署，由前端和中心组成。深度检测前端部署到监控单位，通过镜像收集互联网出口的流量，支持多个互联网出口的汇聚分析。前端服务器对数据做数据流的协议识别，数据流特征匹配，DNS分析，数据流还原，邮件还原等，将还原的结果通过VPN提交给中心。

中心对前端提交的分析结果数据入库，并进行数据展现，搜索和关联等；中心将前端还原的邮件附件、HTTP还原文件等上传到VP进行系统行为提取，并对分析后的数据进行危险行为判别；中心可以对前端和VP进行系统配置，状态监控，更新等操作。

VP接受中心传递文件，并对文件进行系统行为的提取。将分析后的结果提交给中心进行判别。

核心技术：

• 基于硬件模拟的虚拟化动态分析技术
• 基于行为异常的流量检测技术
• 全流量回溯分析技术

产品部署：