追溯|中测安华网络流量追溯系统（数湖）全新发布发布|流量|追溯系统|维度|安华

11月5日上午，中测安华网络流量追溯系统（数湖）发布会举行，中测安华研发总监田斌现场发布了“数湖”产品，该产品是国内首款针对大容量、长周期的原始流量回溯平台。发布会现场行业相关领导、专家和媒体悉数到场，数湖产品惊艳亮相。

文章插图
中测安华研发总监田斌
中测安华的愿景是用系统方法让网络世界更安全！当我们用系统方法做一些大型项目时，客户经常会问：系统建好后，能不能让我们自己也能发现APT攻击？很显然，客户的期望不仅仅是一套系统的交付，更希望是一种能力的转移。基于此初心，中测安华推出了网络流量追溯系统（数湖）产品。
一、预防APT攻击需要高维度的“上帝视角”
高级威胁攻击的本质特征是降维打击与对抗升级。APT攻击者在技术和思维上都处于较高的维度，导致受害者无法全面了解攻击过程及攻击手法，同时攻击者不断保持自己高维的优势，使得对抗过程将不断升级。
为有效预防APT攻击，防御系统需要具备高维度、上帝视角和正反馈的特征。所谓高维度就是争取和攻击者站在一个维度，并且要拥有上帝的视角来剖析整个攻击过程，发现攻击组织的特征及防御系统的弱点，弥补缺陷，提升自身的对抗能力。
1、高维度

文章插图
APT攻击好比是一个迷宫（图1），攻击的手段及过程非常复杂，如果以二维的角度去看这个迷宫，攻击的线路是无法得知的。目前的防御系统试图站在三维的角度去观察迷宫（图2），但是由于高度有限（基础数据不足），只能观察到迷宫中的零星线索，无法了解整个迷宫线路。只有站的高才能看得远，如果可以以上帝的视角去观察迷宫（图3），整个攻击线路便一清二楚。
2、正反馈
能够从失败中吸取经验，是学习的捷径。只有从被攻击的过程发现攻击方法、弥补防御弱点，通过不断的学习弥补，才能提升APT的对抗能力。这就要求防御系统具备强大的事后溯源能力，使分析人员具备穿越的能力，可以随时复现整个攻击过程。

文章插图
二、常见安全产品难以应对APT攻击

文章插图
纵观安全产品的整个演化过程，可以发现大多是在功能和算力上进行提升，并没有在高维度和正反馈方面做出本质上的变化。这些安全产品在数据层面基本上属于上层数据，存在大量数据的损耗。大部分产品更多的是解决大概率的威胁事件，针对APT攻击这种小概率的威胁事件，只有拥有大量的基础流量数据，才能站在更高的维度，以上帝视角观察整个攻击过程。

文章插图
三、数湖——国内首款针对大容量、长周期的原始流量回溯平台
针对上述问题，中测安华提出了“流量 ”的概念，针对海量的原始流量回溯进行重点技术攻关，解决当前方案中留存的基础性的“大流量”问题，并可以无缝嵌入到已有的监测/防御体系中，扩展原有系统的功能、提升原有系统的能力。
1、产品介绍
网络流量追溯系统（数湖）是中测安华自主研发的一款软硬件一体化的创新性产品，该产品是国内首款针对大容量、长周期的原始流量回溯平台，已在多个政府级、防务级的大型项目中经过实施验证。

文章插图
数湖 Logo
该产品定位是安全的“神经中枢”，可以连接不同的安全产品，共筑安全生态圈。
2、产品性能
数湖产品可以实时抓取100Gbps原始流量数据；数据存储时长长达180天，存储量可达100PB，由于分布式的部署方式，数据存储量可以横向扩展；在大规模的数据量下，可以完成目标数据的秒级查询。
3、市场定位
目标客户：关注APT攻击的目标群体：国家级、政府级及企业级的客户。
目标用户：分析人员、运维人员和取证人员。
【 追溯|中测安华网络流量追溯系统（数湖）全新发布】用户需求：
· 在高级威胁事件发生后，能够协助分析人员还原事件的整个过程，从中获得证据与线索；
· 了解攻击者、攻击途径及攻击技术，有助于组织针对薄弱点作出有针对性的安全防护；
· 同时可以评估攻击的受害程度及范围，及时作出应对措施。