近年來境外多個APT黑客組織不斷嘗試對我國各類單位發(fā)起網(wǎng)絡(luò)攻擊，意圖竊取重要敏感信息、控制相關(guān)設(shè)施，威脅巨大，嚴重危害了我國網(wǎng)絡(luò)空間安全和利益。

據(jù)統(tǒng)計，2019年，國家安全機關(guān)發(fā)現(xiàn)并處置的網(wǎng)絡(luò)攻擊竊密活動中，涉及境外APT組織數(shù)量多達近百個，其中一組織全年針對我國重大活動的定向攻擊，竟多達4000多次。

有組織的、武器化的、以數(shù)據(jù)及業(yè)務為攻擊目標的APT攻擊屢見不鮮，一直是客戶關(guān)心的痛點，也引起越來越多的企業(yè)的高度關(guān)注。面對APT攻擊現(xiàn)狀，我們來看看天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)-九合一探針（TopTVD）是如何應對的。

TopTVD首創(chuàng)應用TAI-1智慧引擎，結(jié)合虛擬沙箱的檢測技術(shù)，在不依賴任何規(guī)則庫情況下，達到高效、精準的未知威脅檢測能力。TAI-1智慧引擎通過海量樣本訓練的機器學習模型識別未知惡意程序。虛擬沙箱檢測采用仿真技術(shù)，模擬操作系統(tǒng)環(huán)境，構(gòu)建執(zhí)行引擎，動態(tài)化分析發(fā)現(xiàn)惡意程序。TAI-1智慧引擎+虛擬沙箱的方式，打破了傳統(tǒng)特征匹配技術(shù)的束縛，是發(fā)現(xiàn)未知威脅特別是APT攻擊線索的有力工具。

TopTVD采用本地嵌入威脅情報庫的方式，威脅情報庫由天融信聽風者實驗室分析生產(chǎn)，具備惡意IP、惡意URL、惡意域名、惡意文件等多種情報類型。嵌入式威脅情報庫情報來源可靠、情報種類豐富、更新速度快、獨立性強，幫助客戶及時、有效發(fā)現(xiàn)APT攻擊線索。

TopTVD不僅可對非加密流量進行檢測，還可通過導入證書的方式，直接對加密流量進行解密處理，實現(xiàn)對加密流量元數(shù)據(jù)的深度提取，發(fā)現(xiàn)APT威脅線索。其次，TopTVD還可通過指紋特征的方式檢測加密通信，實現(xiàn)無證書檢測加密通信的效果，從而進一步發(fā)現(xiàn)APT攻擊的有效線索。

TopTVD既能夠?qū)γ魑耐ㄐ胚M行檢測分析，也能夠?qū)Ω鞣N隱蔽隧道通信進行檢測分析，如HTTP隱蔽隧道和DNS隱蔽隧道。TopTVD的隱蔽隧道通信檢測技術(shù)可協(xié)助發(fā)現(xiàn)隱蔽的APT攻擊行為線索，讓APT攻擊線索無所遁形。