✓ 有效抵御未知病毒、勒索病毒
本地化智能-页面展示
Web应用防护-业务自学习、自适应
数据库特征模型
源IP地址、应用程序 操作系统主机名、用户名 数据库与schema 表格与数据查询等表操作 特权操作 学习偏好选项
Web特征模型
URL模式 Cookie模式 HTTP方法与参数
SOAP 关联查询 已学习的主机
黑客开始成为产业
防攻击、防僵木蠕……
高强度、极具耐心
防社工、 防高强度定向渗透……
2005
间谍软件
2005–Today
2010
渗透攻击
Today +
2015
社工攻击
Today +
2020
APT网络攻击
Today +
未知威胁横行于网络空间
未知威胁
未知威胁
0day 漏洞
…
0day 漏洞
0day 漏洞
…
网端联动-威胁闭环处置
深信服AF产品系列
1600W 800W
AF-2000-J448
2U，8个接口扩展槽位，双电源 吞吐：80Gbps 并发：1600万
AF-2000-J444
2U，8个接口扩展槽位，双电源 吞吐：40Gbps 并发：1200万
AF-2000-I482
2U，4个接口扩展槽位，双电源 吞吐：20Gbps 并发：800万
97.85%
病毒检出率 病毒误报率
61.4%
32%
0.1%
Sangfor SAVE 引擎
0.04%
开源 杀毒引擎
0.09%
业界厂商
本地化智能-SAVE引擎
传 统引擎
特征
1. 固定算法 2. 人工提取特征 3. 样本收集受限
效果
未知/勒索病毒应对乏力
SAVE引擎
1. 算法的自我优化 2. 特征自动提取 3. 海量样本自学习
…
Lazarus Group (黑暗首尔) …
攻击流程：
隐藏自身
预攻击探测
采取攻击行为
清除痕迹
…
基于威胁进化安全保护思考
智能化 主动化
深信服威胁分层防御能力
02 产品功能介绍
L2-L7纵深防御
ARP欺骗 广播风暴 网络层DDoS
蠕虫/木马/病毒 缓冲区溢出
远程代码执行 代码注入
SQL注入、XSS、CSRF、目录遍历、挂马、黑链、 Webshell、网页篡改、口令破解、CC攻击
应用控制及审计 1、千万级URL库 2、3000+应用特征识别 3、内置报表系统及数据中心
威胁检测及响应 1、恶意攻击代码防护 2、勒索/挖矿/未知病毒防护 3、Web攻击防御
协同联动 1、联动安全云脑，安全能力实时更新 2、联动EDR，构建病毒防护链
对外业务发布安全防护场景
Internet
互联网出口
抵御高级威胁-智能运营助手
信服云守
安全由被动运维到主动运营
人机共智抵御威胁 7*24小时实时监控 一键阻断快速应急 企业安全定制服务
云眼-门户网站保护
门户网站保护：通过边界+云端+端点的协同联动，对企业门户网站进行立体化纵深防护； 事前：对门户网站进行风险监测，基于云端庞大的漏洞库，对高危漏洞进行扫描、评估 事中：对web攻击及恶意扫描行为进行防御，有效抵御外部的web攻击 事后：通过边界与端点协同联动有效发现端点侧的非法篡改行为，防止网站被非法篡改
网络安全等级保护2.0 主打PPT
持续进化 有效保护
CONTENT
01 持续进化 有效保护 02 产品功能介绍 03 智能联动 04 产品优势及应用场景
01 持续进化 有效保护
安全事件风起云涌
平昌冬奥会开幕式当天，冬奥网站被攻击
中国某军工企业被美、俄两国黑客攻击
台积电遭到勒索病毒攻击
2018.2
云眼-门户网站保护
网端联动-威胁闭环处置
顺应安全的趋势：系统化导向的防御能 力，通过管、端、云的方式来提升整体安 全能力，通过在企业的不同位置做好安全 应对措施来降低来自于不同介入点的风险；
当内网系统中感染了病毒、木马等恶意 软件的终端，其病毒、木马试图与外部通 信的时候，AF可以基于流量进行行为深度 分析，定位失陷主机，同时联动EDR对问题 端点进行扫描、取证、查杀。
下一代防火墙
前瞻的数据架构
安全 规则
云端 沙箱
安全能力增强
安全威胁情报 安全规则更新
规则
安全分析能力 未知威胁防护
算法
IOC事件库 热门威胁事件库
事件
天网未知威胁防御-威胁情报架构
战略合作
厂商交换
全球采集点
威胁情报系统
僵尸网络检 测引擎
恶意链接检 测引擎
恶意文检测 分析引擎
多层次情报处理 基础情报库
AF-1000-G640
1U，2个接口扩展槽位，双电源 吞吐：10Gbps 并发：220万
AF-L4670
1U，1个接口扩展槽位，单电源 吞吐：8Gbps 并发：200万
AF-L4478
5.5Gbps
1U，1个接口扩展槽位，双电源 吞吐：5.5Gbps 并发：200万
20Gbps
80Gbps
沙箱集群
Linux1
Linux2
Linux3
……
LinuxN
文件 行为
进程 行为
网络 行为
驱动级行为监控
原始 日志
行为 描述
运行时 流量
取证 截图
完善的分析取证系统
未知威胁鉴定 样本取证报告 恶意文件库
完整支持的沙箱阵列
全面覆盖的样本类型
业界领航的沙箱技术 1、反逃逸系统 2、驱动层行为监控 3、完整的进程链追踪
对外业务发布区
核心交换
Si
Si
业务风险感知 1、业务资产识别 2、业务漏洞全面扫描 3、业务安全状况及安全策略评估 4、待办事项一键处置
Web深度防护 1、防SQL注入、XSS、CSRF等攻击 2、防止恶意植入黑链 3、防止植入WEBSHELL 4、防止网页被非法篡改 5、防止路径非法遍历/防恶意扫描
Web应用防护-人工智能解析
二类分类 多类分类
规则
特征
恶意扫描检测 Webshell检测Web攻击检测 聚类特征
检测过程
iis apache tomcat ……
人工智能（有监管、无监管协同）
无监督模式：勾勒web攻击的原貌
异常检测及web攻击识别
有监督模式：专家干预，标签化分类处理
Nபைடு நூலகம்inx ……
200W
04
产品优势及应用场景
互联网出口安全防护场景
移动
联通
电信
互联网出口
核心交换
Si
Si
PC
PC
PC
PC
互联网出口管理 1、多链路负载均衡 2、基于应用、国家、ISP等智能选路 3、动态/双向NAT 4、基于国家、地域、时间等访问控制
链路带宽管理 1、基于应用类型、网站类型、文件类型 等流量控制 2、基于内网IP、时间、用户等流量控制
2018.2
2018.3
2018.3
2018.8
2018.8 To Be Ccontinued
医疗行业勒索事件爆发
思科高危漏洞清明期间被利用
多个行业受到Globelmposter攻击
安全威胁快速进化，不断升级
手法初级
防病毒……
1990
1995
2000
病毒
1990– Today
蠕虫
2000– Today
Web应用防护-词法语法分析
正则匹配 命中多个关键字 Select I From
真实服务器
常见数据查询
混淆变种攻击 新型Struts2
变种攻击 简单英文语句
Select * From table
拦截
SeIEct/**/a/**/FrOm/**/users
无规则命中（绕过）
(……#iswin?{\’ cmd.exe\’ ,\’ /c\’ ,#cmd}; {\’ /bin/bash\’ ,\’ –c\’ ,#cmd}…
策略模板 Web应用安全防护 漏洞入侵防护 僵尸网络防护 勒索病毒入侵防护 上网终端安全防护
……
基于资产的策略部署
3
攻击持续检测
webshell 代码执行 僵尸网络 异常流量
……
实时攻击检测
持续保护
4
策略持续调优
行业模版 最佳交付
策略有效评估 具备防御能力 具备防御能力 全局放通（错配） 缺少防御策略
Web应用合规 1、敏感信息泄露防护 2、HTTP异常协议检测 3、文件上传/下载控制
协同联动 1、联动安全云脑，安全能力实时更新 2、联动EDR，构建病毒防护链
分支机构安全防护场景
Internet 总部
灵活组网 1、支持IPSEC VPN/SSL VPN 2、支持基于ISP的智能选路
防威胁分支内扩散 1、僵木蠕防护 2、勒索/挖矿/未知病毒防护 3、静态攻击代发防护 4、主机失陷防护
僵尸网络库
恶意链接库
文件样本库
未知威胁抵御
基于已知的情报库进行攻击预测
深度关联分析
恶意样本的行为分析和异常流量检测
广泛来源 优 质 快速采集 样 本 来 准确识别 源
攻击预测
天网未知威胁防御-云端沙箱
云 端 沙 箱
待分析文件
沙箱前置代理
Windows1
Windows2
Windows3
……
WindowsN
挖矿、爆破 ……
服务器区
DDoS