由于攻擊手段的進化，越來越具有針對性和隱蔽性，傳統(tǒng)的安全防御體系特征匹配跟不上威脅變化。Gartner于2016年提出了“自適應(yīng)安全”的防護模型，其核心思想就是不再假設(shè)防護能實現(xiàn)萬無一失的安全，強調(diào)縱深檢測、分析、取證，并針對性的響應(yīng)。

圖1 科來公司齊繼東在論壇現(xiàn)場演講

再高級的攻擊，都會留下網(wǎng)絡(luò)痕跡，科來TSA網(wǎng)絡(luò)全流量分析系統(tǒng)，能夠全流量檢測和全流量存儲，彌補了傳統(tǒng)基于特征匹配檢測技術(shù)的不足。在2017（第八屆）中國CIO信息安全高峰論壇上，該產(chǎn)品獲得了2017年度未知威脅檢測最佳產(chǎn)品獎。

科來公司齊繼東表示，全流量分析通過對旁路部署在網(wǎng)絡(luò)中的關(guān)鍵節(jié)點，網(wǎng)絡(luò)全流量采集存儲、全數(shù)據(jù)分析，具備以下三種功能：異常檢測、流量存儲、回溯分析。

其中，異常檢測是指當(dāng)發(fā)現(xiàn)可疑通訊行為時，系統(tǒng)提供實時警報，科來全流量安全分析系統(tǒng)內(nèi)置600多條網(wǎng)絡(luò)行為模型庫快速檢測可疑通訊行為，通過多種條件組合專門針對高級攻擊的持續(xù)性、隱蔽性?？梢赏ㄓ嵭袨榘ǜ呒壒簦ˋPT）、異常流量以及網(wǎng)絡(luò)入侵、Web攻擊。該系統(tǒng)支持150種以上元數(shù)據(jù)（會話元數(shù)據(jù)以及協(xié)議元數(shù)據(jù)）提取，支持自定義提取，自定義建模。

圖2 科來TSA網(wǎng)絡(luò)全流量分析系統(tǒng)的異常檢測

而在流量存儲方面，能夠?qū)?dāng)前檢測到的攻擊行為與歷史流量進行關(guān)聯(lián)，實現(xiàn)完整的攻擊溯源和取證分析。特點是2-7層流量透視，直至數(shù)據(jù)包級，基于IP、協(xié)議的自定義流量存儲，大于50% 數(shù)據(jù)壓縮能力。

齊繼東表示，科來TSA網(wǎng)絡(luò)全流量分析系統(tǒng)具有很高的應(yīng)用價值。能發(fā)現(xiàn)未知威脅、提高檢測能力,快速分析研判、減少響應(yīng)時間,數(shù)據(jù)全量留存、滿足合規(guī)要求,安全態(tài)勢感知、幫助高效決策。