網(wǎng)絡(luò)技術(shù)高速發(fā)展，在賽博世界中攻方與防方互為對(duì)手，相互促進(jìn)。網(wǎng)絡(luò)安全是沒有終點(diǎn)的博弈，因?yàn)殡S著防護(hù)措施的強(qiáng)大，新的手段也層出不窮。同樣隨著黑客能力的提升，我們需要更強(qiáng)大的防護(hù)體系來與之對(duì)抗。相對(duì)于傳統(tǒng)的“已知”形式，還有一種更難纏的對(duì)手：“未知安全威脅”。

　　所有的安全問題我們就把它分為兩類：已知和未知， 所謂已知就是已經(jīng)知道特征威脅手段，針對(duì)它的防御其實(shí)很簡(jiǎn)單，就是靠特征，誰的特征豐富，那么誰就牛;目前市場(chǎng)上的安全防護(hù)產(chǎn)品都是基于特征來進(jìn)行識(shí)別，比如下一代防火墻、IPS、防毒墻等。所以已知的防御機(jī)制也叫做被動(dòng)防御機(jī)制，我們靠特征將其防御。那未知的那部分怎么解決呢?

　　所謂未知就是沒有特征。比如利用0day，或者新的變種等，這時(shí)我們就沒有特征來進(jìn)行匹配了。怎么辦呢?介紹一位保鏢兄弟給您：東軟自動(dòng)化安全防御體系，一個(gè)通過網(wǎng)關(guān)(已知-特征-被動(dòng))+沙箱(未知-行為-主動(dòng))+蜜罐(溯源+聯(lián)動(dòng))構(gòu)建立體的、自動(dòng)化的防御機(jī)制。

　　針對(duì)未知的部門，我們引入沙箱，當(dāng)未知的流量和行為到來后，網(wǎng)關(guān)無法進(jìn)行識(shí)別的時(shí)候，扔給沙箱。只要這個(gè)未知是惡意的，那么它肯定會(huì)做一些非法的操作，比如創(chuàng)建文件、惡意進(jìn)程等等，沙箱這個(gè)時(shí)候可以基于它的“行為”來進(jìn)行判斷、識(shí)別，是惡意的還是正常的，如果是惡意的迅速跟網(wǎng)關(guān)聯(lián)動(dòng)，起到第一個(gè)自動(dòng)防御機(jī)制。

　　不管是已知還是未知，現(xiàn)在的網(wǎng)絡(luò)攻擊很多都已經(jīng)實(shí)現(xiàn)自動(dòng)化攻擊。什么叫自動(dòng)化攻擊，就是攻擊都是程序設(shè)定好了，就好比今年的HW行動(dòng)一樣，100多只隊(duì)伍做演練，在演練過程中東軟發(fā)現(xiàn)最主要的兩點(diǎn)：識(shí)別攻擊、阻斷攻擊。針對(duì)這種情況，東軟采用蜜罐，蜜罐是什么，蜜罐就是個(gè)模擬的虛擬環(huán)境，專門用來誘捕各種網(wǎng)絡(luò)掃描和攻擊，蜜罐內(nèi)置多種開放式服務(wù)，隨便你來攻擊，只要你一攻擊，那么蜜罐就可以對(duì)攻擊進(jìn)行溯源，然后蜜罐跟網(wǎng)關(guān)實(shí)現(xiàn)自動(dòng)聯(lián)動(dòng)，將攻擊的源給封堵掉，這樣形成一個(gè)自動(dòng)化的防御過程。

　　這套自動(dòng)化安全防御體系，通過采用機(jī)器學(xué)習(xí)、行為分析、威脅情報(bào)等多項(xiàng)先進(jìn)技術(shù)，實(shí)現(xiàn)對(duì)郵件攻擊、掛馬攻擊、web攻擊、遠(yuǎn)程漏洞攻擊、特種木馬、webshell等多種攻擊及控制行為進(jìn)行檢測(cè)，既能精準(zhǔn)判定已知攻擊，又能檢測(cè)發(fā)現(xiàn)各類未知攻擊。