展望木马检测对抗

◆传统隐通道检测攻防

在传统隐蔽通道攻防上，主要是通过已知的恶意IP或者URL识别来实现的，或者是审计设备识别敏感关键字，识别已知的私有协议，或者是通过流量和网络行为异常来识别。

目前，我们面临着攻击者未知手段的新型威胁，未来该如何对抗隐蔽通道攻击呢?

展望隐通道检测对抗

综上所述，方兴表示，在他看来“攻防对抗没有终结点，始终是人和人的对抗，新兴对抗手段有些已经出现，还有很多没有出现，但是作为防护者，心里要很清楚即使有了新型技术，APT也不一定有终结点。未来，不仅在技术上要和攻击者做对抗，也要在更高的层次去找到好的解决方法。”

新兴威胁应对思考

针对新兴威胁的应对，方兴做了以下小结：

◆多维度全检测体系：针对攻击者的每个手段建立检测点，形成网状检测体系，即使攻击者能逃脱一两个检测点，但不一定能够逃脱全部检测点。

◆入侵全生命周期覆盖：APT攻击是由多个环节多个攻击手段组合而成。针对每个环节每个手段形成纵深检测体系，可以最大限度发现APT攻击，提高攻击者门槛 。

◆多维度全生命周期体系：APT攻击每个检测手段都因为原理性能易用性误报率等因素都存在对抗技术。针对每个APT攻击手段手段用多种检测方法形成多维度检测体系，可以最大限度检测APT攻击手段，并且纵深覆盖，形成多维度网状检测体系。

◆纵深、多维度、端、云协同感知与大数据挖掘的威胁感知：通过智能事件关联进行攻击确认，发现可疑事件，经过数据深度内容可疑分析和云端数据分析形成检测体系。

云端数据分析：攻击共享、攻击着归i组特征、攻击者资源特征。

智能事件关联分析：攻击确认、事件关联可疑发现、因果溯源。

◆协同运维：APT攻击是人和人的斗智斗勇，必须有专业的团队分析响应才能应对APT。

最后，方兴表示：“APT是人和人在数字空间的智力对抗，所以一定是没有终极的办法的，因为人是活的，手段是无穷的，检测与防御还需要考虑成本、性能、用户体验、用户感知等一系列问题。所以APT检测产品，需要的是在以上限制条件下最大程度提高攻击者成本和门槛，降低损失，形成一个新的攻守平衡线。”