11月5日上午，中測安華網(wǎng)絡流量追溯系統(tǒng)（數(shù)湖）發(fā)布會舉行，中測安華研發(fā)總監(jiān)田斌現(xiàn)場發(fā)布了“數(shù)湖”產(chǎn)品，該產(chǎn)品是國內(nèi)首款針對大容量、長周期的原始流量回溯平臺。發(fā)布會現(xiàn)場行業(yè)相關領導、專家和媒體悉數(shù)到場，數(shù)湖產(chǎn)品驚艷亮相。

[[350826]]

中測安華研發(fā)總監(jiān)田斌

中測安華的愿景是用系統(tǒng)方法讓網(wǎng)絡世界更安全！當我們用系統(tǒng)方法做一些大型項目時，客戶經(jīng)常會問：系統(tǒng)建好后，能不能讓我們自己也能發(fā)現(xiàn)APT攻擊？ 很顯然，客戶的期望不僅僅是一套系統(tǒng)的交付，更希望是一種能力的轉移?；诖顺跣模袦y安華推出了網(wǎng)絡流量追溯系統(tǒng)（數(shù)湖）產(chǎn)品。 

一、預防APT攻擊需要高維度的“上帝視角”

高級威脅攻擊的本質(zhì)特征是降維打擊與對抗升級。APT攻擊者在技術和思維上都處于較高的維度，導致受害者無法全面了解攻擊過程及攻擊手法，同時攻擊者不斷保持自己高維的優(yōu)勢，使得對抗過程將不斷升級。

為有效預防APT攻擊，防御系統(tǒng)需要具備高維度、上帝視角和正反饋的特征。所謂高維度就是爭取和攻擊者站在一個維度，并且要擁有上帝的視角來剖析整個攻擊過程，發(fā)現(xiàn)攻擊組織的特征及防御系統(tǒng)的弱點，彌補缺陷，提升自身的對抗能力。

1、高維度

APT攻擊好比是一個迷宮（圖1），攻擊的手段及過程非常復雜，如果以二維的角度去看這個迷宮，攻擊的線路是無法得知的。目前的防御系統(tǒng)試圖站在三維的角度去觀察迷宮（圖2），但是由于高度有限（基礎數(shù)據(jù)不足），只能觀察到迷宮中的零星線索，無法了解整個迷宮線路。只有站的高才能看得遠，如果可以以上帝的視角去觀察迷宮（圖3），整個攻擊線路便一清二楚。

2、正反饋

能夠從失敗中吸取經(jīng)驗，是學習的捷徑。只有從被攻擊的過程發(fā)現(xiàn)攻擊方法、彌補防御弱點，通過不斷的學習彌補，才能提升APT的對抗能力。這就要求防御系統(tǒng)具備強大的事后溯源能力，使分析人員具備穿越的能力，可以隨時復現(xiàn)整個攻擊過程。

二、常見安全產(chǎn)品難以應對APT攻擊

縱觀安全產(chǎn)品的整個演化過程，可以發(fā)現(xiàn)大多是在功能和算力上進行提升，并沒有在高維度和正反饋方面做出本質(zhì)上的變化。這些安全產(chǎn)品在數(shù)據(jù)層面基本上屬于上層數(shù)據(jù)，存在大量數(shù)據(jù)的損耗。大部分產(chǎn)品更多的是解決大概率的威脅事件，針對APT攻擊這種小概率的威脅事件，只有擁有大量的基礎流量數(shù)據(jù)，才能站在更高的維度，以上帝視角觀察整個攻擊過程。

三、數(shù)湖——國內(nèi)首款針對大容量、長周期的原始流量回溯平臺

針對上述問題，中測安華提出了“流量+”的概念，針對海量的原始流量回溯進行重點技術攻關，解決當前方案中留存的基礎性的“大流量”問題，并可以無縫嵌入到已有的監(jiān)測/防御體系中，擴展原有系統(tǒng)的功能、提升原有系統(tǒng)的能力。

1、產(chǎn)品介紹

網(wǎng)絡流量追溯系統(tǒng)（數(shù)湖）是中測安華自主研發(fā)的一款軟硬件一體化的創(chuàng)新性產(chǎn)品，該產(chǎn)品是國內(nèi)首款針對大容量、長周期的原始流量回溯平臺，已在多個政府級、防務級的大型項目中經(jīng)過實施驗證。

數(shù)湖 Logo

該產(chǎn)品定位是安全的“神經(jīng)中樞”，可以連接不同的安全產(chǎn)品，共筑安全生態(tài)圈。

2、產(chǎn)品性能

數(shù)湖產(chǎn)品可以實時抓取100Gbps原始流量數(shù)據(jù)；數(shù)據(jù)存儲時長長達180天，存儲量可達100PB，由于分布式的部署方式，數(shù)據(jù)存儲量可以橫向擴展；在大規(guī)模的數(shù)據(jù)量下，可以完成目標數(shù)據(jù)的秒級查詢。

3、市場定位

目標客戶：關注APT攻擊的目標群體：國家級、政府級及企業(yè)級的客戶。

目標用戶：分析人員、運維人員和取證人員。

用戶需求：

l 在高級威脅事件發(fā)生后，能夠協(xié)助分析人員還原事件的整個過程，從中獲得證據(jù)與線索；

l 了解攻擊者、攻擊途徑及攻擊技術，有助于組織針對薄弱點作出有針對性的安全防護；

l 同時可以評估攻擊的受害程度及范圍，及時作出應對措施。

4、產(chǎn)品優(yōu)勢

l PB級數(shù)據(jù)秒級檢索

l 分布式靈活部署

l 豐富的圖表統(tǒng)計

l 友好的交互設計

5、用戶價值

l 數(shù)據(jù)取證與責任判定：大規(guī)模的原始流量資源池為安全事件的分析及回查提供依據(jù)，有助于整個網(wǎng)絡攻擊過程“像素級”還原，供分析人員分析及研判。

l 積累流量數(shù)據(jù)資產(chǎn)：接收多渠道、多類型的全流量數(shù)據(jù)，進行統(tǒng)一管理及歸檔。長時間存儲原始流量數(shù)據(jù)以備日后進行事件追溯及分析，或采用更新技術進行深度分析。

l 感知流量全局態(tài)勢：對全流量及過濾流量數(shù)據(jù)進行多維度聚合統(tǒng)計分析，通過圖形化直觀展現(xiàn)流量整體態(tài)勢，快速評估威脅的危害程度及范圍。

l 提升數(shù)據(jù)利用價值：提供開放的數(shù)據(jù)共享接口，與受信任的第三方系統(tǒng)友好對接，各系統(tǒng)發(fā)揮自身優(yōu)勢，共同賦能業(yè)務數(shù)據(jù)分析及線索挖掘，使數(shù)據(jù)價值最大化。

[[350830]]

中測安華高級安全專家李季現(xiàn)場演示數(shù)湖系統(tǒng)

發(fā)布會上，中測安華總經(jīng)理姚軼嶄全面介紹了中測安華的發(fā)展歷程、現(xiàn)狀及未來的布局方向。

[[350831]]

中測安華總經(jīng)理姚軼嶄

技術總監(jiān)姚原崗詳細講解了中測安華首創(chuàng)的持續(xù)風險監(jiān)測技術體系。數(shù)湖產(chǎn)品是持續(xù)風險監(jiān)測體系中協(xié)同聯(lián)動的關鍵環(huán)節(jié)。

[[350832]]

中測安華技術總監(jiān)姚原崗

“數(shù)湖”發(fā)布后，現(xiàn)場專家和記者對“數(shù)湖”產(chǎn)品及中測安華的定位方向等進行了提問，內(nèi)容摘錄如下：

1. IT168:數(shù)湖是一款軟硬化一體的產(chǎn)品，這款產(chǎn)品能否在云端部署？

答：這款產(chǎn)品主要針對防務級的客戶，所以設計為軟硬件一體。我們在研發(fā)時也能夠適配多種類型的硬件服務器。整個系統(tǒng)是分布式部署，其系統(tǒng)架構能夠適配云上部署。同時能夠支撐原生態(tài)的對象存儲，如果用戶有大規(guī)模的對象存儲，我們能夠直接使用用戶提供的存儲空間，能夠為用戶節(jié)省成本，做到資源共享，真正實現(xiàn)“云”的概念。

2. 中國信息安全：產(chǎn)品愿景提到了產(chǎn)品和第三方系統(tǒng)的響應聯(lián)動，可以具體說明一下嗎？

答：目前產(chǎn)品是基于API接口，現(xiàn)在安全人員基本是基于SOC進行分析。數(shù)湖可以根據(jù)安全事件的一些通聯(lián)信息直接調(diào)用系統(tǒng)，查詢相關的流量并進行下載。我們產(chǎn)品的愿景是希望能將流量進行高速的回放，這樣市面上所有的安全檢測類產(chǎn)品都可以作為數(shù)湖產(chǎn)品的功能擴展，從而推進安全生態(tài)的提升。

3. 嘶吼：數(shù)湖產(chǎn)品是自己的威脅情報庫，還是與第三方聯(lián)合？新的威脅變種能否及時更新到自己的庫里方便進行檢測？網(wǎng)絡安全資產(chǎn)的盤點，如設備云辦公等場景變化，數(shù)湖能否監(jiān)測到？

答：我們希望能夠共同把安全生態(tài)建設好，發(fā)揮各家的優(yōu)勢，數(shù)湖則發(fā)揮安全中樞的功能，比較開放的第三方平臺，我們可以支持聯(lián)合；針對遠程辦公的場景，“南北向”流量及加密的“東西向”流量，數(shù)湖都可以實現(xiàn)監(jiān)測。

4. 安全牛：該款產(chǎn)品叫網(wǎng)絡流量追溯系統(tǒng)，那么面對正在發(fā)生的APT攻擊是怎樣應對的？

答：針對有線索的APT攻擊，我們能夠?qū)ο到y(tǒng)進行全面的回溯，了解受害的范圍和受損的程度，實現(xiàn)“秒”級查詢，并讓我們的安全運營人員進行迅速的響應和處置。

5. 數(shù)說安全：流量追溯系統(tǒng)更側重事后追查，監(jiān)測系統(tǒng)更側重事前事中的篩查，這兩套系統(tǒng)如何配合？

答：我們公司有專業(yè)的團隊專注研發(fā)安全監(jiān)測系統(tǒng)。我們基于主動防御的手段在事前進行威脅的防御，如針對暴露面Web及郵件的主動防御，相當于給系統(tǒng)打了疫苗，可以免疫一些類型的攻擊；數(shù)湖系統(tǒng)會將已經(jīng)發(fā)生的攻擊事件形成日志，用戶可以通過日志查詢我們的流量系統(tǒng)，做到聯(lián)動分析。

6. 中國信息安全：防務級裝備及持續(xù)風險監(jiān)測的概念我是第一次聽說。中測安華來為什么提出持續(xù)風險監(jiān)測的概念？剛才產(chǎn)品發(fā)布中提到，中測安華的產(chǎn)品想做“安全中樞”，能否做成？

答：“持續(xù)風險監(jiān)測”是一個學術化的詞，如何將其商業(yè)化需要我們的實踐和探索。第一，“持續(xù)”是時間概念的持續(xù)，威脅長期潛伏且不易被察覺，我們需要體系與體系間的對抗，用持續(xù)的風險監(jiān)測來對抗和抵御威脅；第二，“監(jiān)測”是空間上的概念，需要全面感知同時協(xié)同防御；第三，時間與空間共同組成的風險，考驗的是對系統(tǒng)復雜性的把控。

中測安華提出“持續(xù)風險監(jiān)測”是由我們所處的位置和我們所具備的實力決定的。我們以國家使命為主導，構建安全的生態(tài)網(wǎng)絡為國家利益服務——這是我們所處的位置；我們多年的技術儲備、大型工程實踐和商業(yè)模式的探索——這是我們所具備的實力。我們?yōu)榱顺蔀?ldquo;安全樞紐”進行了多年的努力，一系列的實踐驗證了我們的方向，我們必將繼續(xù)努力開拓前行。