攻击手段不再简单单一，而是已经上升到国家层面，有组织，持续的，利用各类已知和未知攻击手段持续的攻击（APT攻击）

攻击者重点关注对象：级别都非常高，基本都是国家级的重点重要部门

攻击得手后造成的危害都是非常大的，会致使政府和人民产生巨大的损失，有些还会极大的威胁到公共安全和人民生命财产。

防范的手段：落后，被动，只能事后尽可能的减少损失，主动防范的能力弱小

通过特征规则对样本的网络活动行为，DGA请求，加密文件传输，隐蔽索道等行为进行特征检测，达到勒索软件的检测效果，特征检测效果如下图所示

挖矿危害——电费、硬件损耗、被远控的肉鸡

易存在挖矿的场景：高校、IDC租赁、大型企业的私有云各类无人值守的服务器

被挖矿的原因被黑客远控、大范围中挖矿病毒内部人员恶意挖矿

国家明令禁止各种挖矿，所有服务器都要清查

挖矿种类近万种，危害服务器数量百万级

APT攻击手段高级，持续时间长，隐蔽性强； 缺少对威胁事件的回溯、取证、分析的整体能力

检测手段落后、单一，对未知威胁和异常行为发现基本无效

告警日志数量极大，误报率超高，已沦为摆设，仅用于等保合规性要求

网络中90%的流量都将加密，所有基于特征检测的安全设备将完全无用，即使是1万亿的库也是无效的，例如：防火墙、IDS/IPS、WAF等

零日威胁通过病毒工厂等自动化程序直接生成病毒家族，规模化，所有基于特征检测、哈希、MD5等杀毒技术，除了占有大量资源外，将无实战意义

威胁情报很好，但是无法解决未知威胁。威胁情报——业内大多数所说的威胁情报可以认为是狭义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件HASH，IP，域名，程序运行路径，注册表项等，以及相关的归属标签。

威胁情报的挑战：

发生过的攻击，并且被捕捉，还要验证才能定义为威胁，仍然是事后阶段

通常来说无法直接封堵IP，特别是大型服务商提供的公网IP

高级威胁的攻击行为都是DGA动态生成域名的，每天都变

HASH，程序路径，注册表在流量侧体现非常少，需要终端支持

大数据关联分析”检测能力由大数据安全分析系统提供，持续威胁检测与溯源系统提供分析所需要的日志告警、恶意样本和元数据。

单设备支持10Gbps检测能力，多人工智能检测模块检测，单设备支持10+个沙箱，支持多类虚拟机类型，包括Windows，Linux，Android

特征检测（含启发式）行为检测  机器学习检测  深度学习检测

加密流量特征向量：

DNS特征：域名特征、Alex排名、TTL等

TLS元数据：密码套件、TLS版本、客户端公钥长度等未加密的元数据；

HTTP特征：HTTP URL、HTTP accept-encoding、HTTP Field location、HTTP server nginx、HTTP Code 404等

包的特征信息：数据流前n个数据包的序列长度、时间序列（SPLT），信息熵等

基于时序的步态指纹特征向量：会话中数据包到达的时间戳序列；会话中数据包发送的时间戳序列；

会话中数据包的大小序列； 会话中每秒包数、每秒字节数等；会话状态序列，active/idle序列；

基于窗口的DNS隐蔽隧道特征向量（贡献度Top5）

特定域名的两个连续数据包之间的时间（均值） DNS隧道空间,去除二级域名的子域名长度（偏度）

回应包的长度（方差） qname 中数字字符占比（方差） 查询与响应包之间的时间（均值）