高级威胁检测系统（APT）

基于深度学习的未知协议恶意流量检测

        ​​​​​​​ ​​​​​​​​​​​​​​基于同样的原理，恶意代码（包含：Windows 环境、Android 环境、Linux 环境和 Mac 环境下的恶意文件）产生的流量数据也能够映射为流量基因图谱，由于同家族的变种恶意代码通信模式往往保持不变，其流量基因图谱也具有相似性。通过深度学习、图像分析技术， 可根据流量基因识别恶意代码，该方法能够配合沙箱有效地检测恶意代码。

基于机器学习的加密流量检测

        ​​​​​​​ ​​​​​​​​​​​​​​本技术涉及计算机安全技术领域、加密流量识别领域和机器学习领域。由于不同应用的网络行为不同，即使网络流量经过加密，恶意加密流量与合法加密流量也具有不同的特征。我们利用关联算法通过与加密会话关联的 DNS 协议、HTTPS 协议和 HTTP 协议，提取恶意加密流量与合法加密流量 SPL 数据（数据包长度与数据包到达间隔时间顺序）、DNS 元数据、TLS 元数据、HTTP 元数据等多种特征，构造恶意加密流量指纹，采用分类算法构建加密流量检测模型，检测恶意加密流量。

基于深度学习的 DGA 域名检测

        ​​​​​​​ ​​​​​​​​​​​​​​该技术将僵尸网络家族用于 C&C 通信的 DGA 域名进行编码，然后利用 3 种不同的深度学习模型对 DGA 域名进行学习，交叉验证后进行家族判定。本技术对于僵尸网络 C&C 通信的 DGA 域名具有优异的检测能力，系统资源使用率低、快速、准确率高、误报率低， 同时也能够检测僵尸网络控制服务器和僵尸网络家族分类。

基于深度学习的暗网流量识别

        ​​​​​​​ ​​​​​​​​​​​​​​由于不同应用程序功能、加密算法、通信模式的不同，指定时间窗口内其数据包传输模式差异比较明显。我们利用这些差异进行特征提取，构造应用程序的步态指纹，包括：会话中数据包到达的时间戳序列、会话中数据包发送的时间戳序列、会话中数据包的大小序列、会话中每秒包数、会话中每秒字节数、会话状态序列 active/idle 序列等。再利用深度学习算法（如：LSTM）训练分类器区分 Tor 流量和合法流量，可实现暗网流量的检测。

集成多种恶意加密通信检测技术

        ​​​​​​​ ​​​​​​​​​​​​​​除了具备基于机器学习的恶意加密流量检测、基于深度学习的暗网流量识别能力外，系统也能通过客户端和服务器间 TLS 协商指纹识别恶意代码与 C2 服务器间的加密通信，还能通过 SSL 服务器证书检测 C2 服务器，具备多样的加密通信检测功能。

应用场景

        ​​​​​​​ ​​​​​​​​​​​​​​高级威胁检测系统适用于通用网络安全检测，高级威胁检测（含 APT，恶意代码变种， 新型恶意代码，内网僵尸网络被控主机发现），威胁事件溯源取证等场景。可单独部署或与大数据安全分析系统一同部署，组成高级威胁检测、大数据安全态势感知、大数据安全分析解决方案。

        ​​​​​​​ ​​​​​​​​​​​​​​APT 通常旁路部署在局域网或数据中心出口、运营商城域网出口、互联网流量交换中心等需检测网络流量出入口，单台设备能灵活应用于 1-10Gbps 网络流量环境。

​