推荐星级：

华为CIS网络安全智能系统技术白皮书

更新时间：2021-01-03 09:12:46 大小：725K 上传用户：xzxbybd 查看TA发布的资源 标签：华为 cis 网络安全 下载积分：4分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

华为CIS网络安全智能系统技术白皮书

CIS技术白皮书 1 技术背景安全威胁近些年来发生巨大的变化，黑客攻击从传统带有恶作剧与技术炫耀性质逐步向利益化、商业化转变。APT的攻击迅速发展起来。APT是advanced persistent threat的缩写，即高级持续性威胁。它是指近年来,专业且有组织的黑客，针对重要目标和系统发起的一种攻击手段。 APT攻击和传统攻击源和动机有着明显的区别，APT主要来自有组织的犯罪集团或者公司，外国政府，目标是高价值的信息资产，例如商业秘密，知识产权，政治军事机密等。APT攻击者有强有力的组织性和资源保证，使得APT攻击融合了情报技术，黑客技术，社会工程等各种手段，针对有价值的信息资产和系统进行复杂的攻击。 APT攻击的对象，不再是信息系统本身，还包括可通过社会工程学攻击的管理信息系统的人。而传统的信息安全技术在APT攻击面前是无效的。因为APT攻击依赖0-Day、AET高级规避攻击等多种技术手段，基于特征的检测方法无法识别；APT攻击大量使用社会工程学与协同攻击，使得攻击的每个阶段都不满足攻击特征，攻击中的每个事件都是合法的或者低安全威胁的。因此超过80%的企业遭受过APT攻击，但绝大多数没有察觉。以著名的针对伊朗核设施的震网APT攻击为例，攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此为第一道攻击跳板，进一步感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种漏洞，包括多个0-Day漏洞进行破坏，病毒更改了离心机中的发动机转速，这种突然的改变足以摧毁离心机运转能力且无法修复。在离心机失控后仍向控制室发出“工作正常”的报告，给伊朗核设施造成了极大的破坏。业界对安全威胁检测防御的思路已经发生了巨大的变化，认识到需要从过去单一设备、单一方法、关注威胁单一阶段、实时性进行检测演进到建立纵深防御的体系，从威胁攻击链的整体来看问题，因此基于大数据技术的威胁检测和调查分析技术孕育而生。 2 概念及原理 2.1 概念介绍 2.1.1 智能检索