■ 傳統網絡安全建設思路背景

傳統網絡安全建設理念中大多數在出口、業務區、數據中心部署大量安全設備，采用高筑城墻的方式實現安全防護，但以WannaCry為代表的眾多新型內網新型威脅已從被動單點攻擊向主動擴散傳播的方向演變，借助無防護內網通道擴散至每個網絡端點，極易造成終端大規模感染和業務中斷，且運維管理人員無法進行快速溯源和精確排查。

■ 以勒索病毒為代表的新型內網威脅

從2017年美國NSA武器庫被Shadow Brokers攻破后，隨著系統漏洞、腳本代碼等一系列工具的公布，病毒制作已愈發平民化和流水化。不法分子利用眾多的攻擊工具制造著各種各樣的攻擊載荷，通過加載在現有的傳播模塊上進行大范圍傳播。以勒索病毒為例，其在傳播時首先需要通過TCP/ARP等掃描手段發現目標主機，確定其可利用的漏洞高危端口后進行攻擊載荷的投遞。在此期間病毒宿主主機需向外界發送不同于正常終端的大量TCP或ARP請求，其行為模式在網絡層已具備明顯異常特征。

■ 基于網絡行為模型的病毒傳播識別機制

迪普科技深入研究多種網絡病毒的傳播原理，整合多種病毒的網絡傳播行為形成智能分析模塊并內置于交換機算法中，在保障正常流量線速轉發的基礎上，將TCP、 ARP等關鍵報文抽調至CPU進行建模匹配，即實現了轉發與分析平面分離，正常的網絡轉發并不會受到自安全交換機安全功能的影響，滿足了網絡接入快速轉發和安全識別的雙重需求。

■ 照亮內網暗角落

與只負責網絡轉發的傳統網絡不同的是，自安全交換機通過行為模型檢測可清晰展示網絡當中存在的“暗流量”，幫助運維管理人員實現內網威脅的快速溯源定位和一鍵安全隔離。且與傳統殺毒軟件以特征庫匹配查殺方式不同是，盡管病毒攻擊載荷不斷變化，由于其傳播擴散的目的性決定了其傳播流量模型的相對固化，自安全交換機可在網絡層面實現對內網異常流量的有效感知和及時預警，配合殺毒軟件實現內網威脅的精準查殺，進一步降低內網安全風險。