ISC 2021新型网络威胁检测的应用与实战论坛：XDR开启威胁检测新引擎

　　近日，作为第九届互联网安全大会(ISC 2021)技术日分论坛之一的 “新型网络威胁检测的应用与实战论坛”成功举办。本次分论坛邀请到了业内权威技术领导和安全专家，从技术和方案实践出发，分享各自在XDR体系下的独门秘籍，包括对抗技术创新、AI等技术应用、关键能力构建、XDR生态构建、多场景实践等海量实战经验，帮助企业提升网络攻防对抗能力。

(中国信息安全测评中心技术处处长、今朝网络安全众测委员会秘书长吴润浦)

　　中国信息安全测评中心技术处处长、今朝网络安全众测委员会秘书长吴润浦为本次论坛致辞时表示，数字化浪潮下，全球网络正在遭受前所未有的网络攻击威胁，网络安全比以往任何时候都有可能对国家安全造成严重威胁，维护国家网络安全迫切需要网安企业、研究机构、科研院所等创新检测技术、检测方法、检测模式，提升检测效率、检测精度、检测能力和响应速度，构建新一代网络安全防御体系。XDR应时代需求而生，是网络防御的发展趋势和方向。网安企业应顺势而为，携起手来掌握和突破其中的关键技术，破解落地应用过程中的难题和挑战，助推XDR解决方案的推广和应用。360公司构建出强大的XDR解决方案，坚信在未来的攻防对抗中一定能够不断发挥关键作用，成为国家网络安全防御体系中不可逾越的一道安全屏障。

(国家信息中心信息与网络安全部政务外网安全监测处主任张涛)

　　“网络安全监测是第一道防线，没有发现就没有防御，攻防双方的对抗在技术上就是看见与看不见的博弈。”国家信息中心信息与网络安全部政务外网安全监测处主任张涛在作题为《国家电子政务外网威胁监测实践》的分享时表示。近年来政务行业信息化架构的变化，推动政务网络安全需求的变化，如何有效应对政务网络安全的新变革，需要以监测预警为抓手，对于信息资产进行全面监测，实时发现攻击危险，识别脆弱性，检验安全机制，发现问题及时预警，准确把握全网、全域、全业务网络安全风险发生的规律、动向、趋势。张涛说：“结合我国政务行业的特点，网络安全法律法规要求，我们提出MWDCA网络安全动态模型，模型由安全监测预警通报、响应处置、监督检查、持续改进五个环节组成。”

(360政企安全集团终端安全技术总监秦光远)

　　APT攻击影响日趋严重，XDR作为APT发现的重要手段，受到众多安全厂商和客户的青睐。360政企安全集团终端安全技术总监秦光远作了《从XDR攻防对抗视角谈技术创新》的主旨演讲，讲述了XDR产品中主流的信息采集方案及攻击绕过方法，并介绍基于 ILSVM 虚拟机的新一代可靠信息采集技术。明确说明了端点数据在XDR中的关键性，端是一切事情发生的根源，深入浅出的为大家讲解了ETW探针的缺陷、KPP的影响以及EDR的绕过技术。同时引入了新技术下EDR探针，例如使用ROP攻击SMEP行为的轻型探测器等。

(360政企安全集团威胁感知部安全架构资深专家李斌)

　　360政企安全集团威胁感知部安全架构资深专家李斌带来了《NDR的关键能力和场景应用》的分享，并从NDR的概念及方案优势、NDR关键技术能力和在不同场景下的应用等三方面进行了阐述。360NDR与传统解决方案相比在威胁检测、协议还原、响应处置方面具备优越性。在已知威胁和未知威胁的检测中，使用机器学习，深度学习的方式去应对不断变化的新威胁，如随机森林，DBSCAN聚类算法，图算法等等。

　　在企业的场景应用中，李斌说：“360NDR不仅能够快速集成云端的能力，同时也可以通过插件式的集成企业用户自身安全团队的威胁检测模型，更加的贴切用户自身的安全架构业务。”并且针对新漏洞的产生，能够通过订阅推送的方式，使NDR集成新检测规则或引擎，按照内置的威胁剧本进行回溯，不断的发现新的高级威胁。

$C:\Users\qinhong\Desktop\还差三个论坛\新型网络威胁检测的应用与实战论坛\陈文涛.jpg$

(360政企安全集团研发中心产品经理陈文涛)

　　360公司是如何构建基于安全大脑生态的XDR解决方案，并在实网攻防场景下应用，360政企安全集团研发中心产品经理陈文涛作了题为《实网攻防场景下的360本地安全大脑XDR构建》的演讲。他介绍说，实网攻防场景下，攻击技战术发生了变化，攻击烈度更高、隐秘性更强、速度更快以及传统防护体系失效，对XDR解决方案提出了更高需求。360公司XDR解决方案通过一系列的探针，除了获取告警外，同时采集全部的打点数据，真正的实现了对威胁的全面可视性，为后续对威胁的检测、响应提供了基础。更为重要的是，360攻防知识图谱驱动了XDR解决方案的有效落地。

(贝壳找房平台安全部负责人章华鹏)

　　贝壳找房平台安全部负责人章华鹏结合自身业务作了题为《面向新居住产业的威胁分析及对抗实践》的演讲。贝壳找房房产交易服务平台在全国有超过100家办公职场，数万家线下作业门店和数十万作业电脑终端;如此庞大和复杂的网络办公空间和节点，每天都面临着各种各样的网络威胁，这些威胁有来自网络攻击的、也有来自商业竞争导致的黑灰产攻击。他指出，房源、客源等信息作为贝壳商业生态中的关键信息，成为平台的核心保护对象，分布全国的办公场所及门店的电脑终端是“勒索”“挖矿”攻击的主要目标对象。基于这些威胁，贝壳进行了威胁对抗实践，对抗的本质在于对规则的维护，最终达到解决行业在实际生产过程中生态安全问题的目的，并阐述了关于新居住产业的未来，是如何通过威胁对抗提升行业生态健康的。

(北京金睛云华科技有限公司技术总监富吉祥)

　　“目前，互联网70%的流量为加密流量，通过传统的手段很难去识别这种加密流量，因此缺少高级威胁的关键线索将影响XDR方案效果。”北京金睛云华科技有限公司技术总监富吉祥在《人工智能技术在XDR中的应用实践》的分享中表示。人工智能技术可以有效应用到XDR领域，涉及构建基于人工智能驱动的高级威胁检测分析能力，如检测恶意加密流量、DGA域名、隐蔽隧道等传统特征检测手段无法检测的异常网络行为，同时可以使用智能算法结合知识图谱技术，实现对资产、情报和海量威胁事件的关联分析，完成高级威胁事件发现和网络攻击溯源可视化。特别是针对恶意流量的识别首先可以通过多种途径收集恶意加密流量来源，其次对恶意加密流量的数据进行预处理，然后进行特征提取、数据降维分析、最后进行模型学习与效果检测。

　　新技术、新场景、新战术，将会带来新型网络威胁，越来越多的企业需要构建自身的高级威胁检测能力，XDR扩展检测与响应已经被业界公认为，能够解决新型网络威胁攻击或者高级网络威胁发现的重要手段和解决方案。此次ISC 2021新型网络威胁检测的应用与实战论坛为业界搭建了技术交流与分享的平台，向行业输出了更多前瞻观点，以满足网络安全行业的发展需要。

特别提醒：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。