新形势下的网站安全监管技术与思路

当前的网站安全检查都是通过静态扫描的方式，来检测网站存在的漏洞和后门等安全问题，以是否存在漏洞来判断网站是否“安全”。

但是，黑客攻击的方式越来越隐蔽，利用的更多是未知威胁和0DAY漏洞，这些隐藏的威胁对网站影响更为严重，比如植入后门、木马感染、非法控制等，仅通过静态扫描很难发现这些隐藏的安全威胁和成功的攻击事件。

静态扫描的异常检测方式

检测方法

网站→静态扫描→特征匹配→安全漏洞

缺 点

高漏报、误报隐藏威胁（植入后门、木马感染、非法控制）

针对网站可能遭受的各种已知和未知威胁，必须在网络流量中对各种访问的行为进行异常检测。

通过无签名的动态行为分析机制，判断异常的访问行为，来发现各种隐蔽的攻击事件，包括WEBSHELL后门、变种病毒、异常木马、0day样本等。

基于行为的异常检测方式

检测方法

网络双向流量→双向行为分析→异常行为→发现已知和未知漏洞

优 势

检测各种已知和未知漏洞、对异常行为溯源

价 值

?发现异常攻击、追溯攻击行为、定位攻击源。

?可以快速发现网站服务器被恶意控制和回连的事件。

?能够及时发现网站被病毒感染和传播事件。

安恒APT

异常检测能力

安恒信息的明御®APT攻击（网络战）预警平台通过深度的协议解析和动态的行为分析，弥补了传统安全产品仅依靠特征检测的缺陷，能检测到传统安全设备无法检测的攻击。以领先的检测技术和极高的准确率，帮助用户发现了大量有价值的恶意威胁和当前安全防护的弱点，极大提升了安全防护的策略和能力。识别恶意行为、发现未知威胁、直击新型网络攻击。

在过去的时间里，明御®APT（网络战）预警平台为政府、金融、电力、公安、军工等多方客户提供安全服务。未来，将继续依托云端强大的样本分析能力，持续的提升产品检测水平，并实现威胁指数感知、攻击溯源和攻击路线分析等更多有价值的能力，帮助用户真正“感知”APT攻击，不断提升安全防护能力。