網(wǎng)絡(luò)信息安全建設(shè)方案建議

2023年2月

目錄

一、項目概述.................................................................2

二、項目建設(shè)的意義和必要性...................................................2

三、網(wǎng)絡(luò)安全設(shè)計方案.........................................................4

3.1建設(shè)思路................................................................4

3.2項目建設(shè)拓?fù)浼罢f明.....................................................5

3.3產(chǎn)品概述................................................................8

3.3.1態(tài)勢感知平臺.......................................................8

3.3.2網(wǎng)絡(luò)威脅探針.......................................................9

3.3.3EDR軟件..........................................................10

四、安全建設(shè)清單............................................................14

一、項目概述

隨著能源領(lǐng)域信息化水平的不斷發(fā)展，自身對網(wǎng)絡(luò)安全重視程度和相關(guān)要求也越來越高,

為了落實和貫徹落實公安部、網(wǎng)信辦省部級相關(guān)部門對信息安全防護能力和建設(shè)工作要求，

全面完善HR業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)安全防護體系，打造“分區(qū)分域、立體防護、縱深防御、集中管控”

的安全防護策略，需要在信息化建設(shè)進程中，進行配套信息安全體系建設(shè)。

二、項目建設(shè)的意義和必要性

項目建設(shè)的意義

網(wǎng)絡(luò)安全建設(shè)是黨中央國務(wù)院決定在信息系統(tǒng)安全領(lǐng)域?qū)嵤┑幕緡吆突局贫?；?/p>

體實行網(wǎng)絡(luò)安全等級保護制度，能夠有效提高信息化和信息系統(tǒng)安全建設(shè)的整體水平。有利

于在進行信息化建設(shè)的同時建設(shè)網(wǎng)絡(luò)安全設(shè)施，保障信息安全和信息化建設(shè)相協(xié)調(diào)；有利于

為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全

建設(shè)成本；有利于優(yōu)化安全資源的配置，有利于保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命

脈、社會穩(wěn)定等方面重要信息系統(tǒng)的安全等。通過開展網(wǎng)絡(luò)安全建設(shè)工作，可以有效解決HR

信息安全面臨的威脅和存在的主要問題，充分體現(xiàn)“適度安全、重點保護”的目的。本次安

全建設(shè)的意義總結(jié)為以下四點：

一、能有效降低HR信息系統(tǒng)所面臨的安全風(fēng)險，提高信息系統(tǒng)的安全防護能力；

二、滿足國家相關(guān)法律法規(guī)和制度的要求；

三、滿足相關(guān)上級主管單位和行業(yè)要求；

四、合理地規(guī)避或減小在網(wǎng)絡(luò)安全事件發(fā)生時造成的影響范圍、時間、危害等級。

項目建設(shè)的必要性

（1）政策文件要求

網(wǎng)絡(luò)安全建設(shè)是保障自身網(wǎng)絡(luò)信息資產(chǎn)安全，把控網(wǎng)絡(luò)安全風(fēng)險，規(guī)避利益損失、名譽

損失、政治風(fēng)險。網(wǎng)絡(luò)安全建設(shè)需要滿足“合法”、“合規(guī)”要求。1999年我國就發(fā)布第一個

信息安全等級保護的國家標(biāo)準(zhǔn)GB17859-1999,我國的信息安全等級保護工作正式拉開帷幕；

2016年，網(wǎng)絡(luò)安全法的正式發(fā)布標(biāo)志著我國的網(wǎng)絡(luò)安全建設(shè)從此有法可依；2019年，等保

2.0的正式發(fā)布標(biāo)志著我國的網(wǎng)絡(luò)安全建設(shè)邁向了新的臺階；2021年9月1日，關(guān)鍵基礎(chǔ)信

息設(shè)施單位保護條例的實施標(biāo)志著政府、金融、能源、公共交通等關(guān)基行業(yè)負(fù)有更多的網(wǎng)絡(luò)

三、網(wǎng)絡(luò)安全設(shè)計方案

3.1建設(shè)思路

本次安全建設(shè)整體采用主動防御理念，依托大數(shù)據(jù)分析平臺、人工智能、行為分析、威

脅事件管理、風(fēng)險預(yù)警、統(tǒng)一集中管理、工單事件管理等技術(shù)手段，結(jié)合第三方安全運營服

務(wù)提供全方位、全天候、全時段的主動防護體系，保護組織核心業(yè)務(wù)不被網(wǎng)絡(luò)攻擊中斷，保

障組織核心業(yè)務(wù)數(shù)據(jù)不被竊取。在對已知威脅有較強的防御能力外，對于未知威脅也具有一

定的防御能力。項目具體建設(shè)內(nèi)容如下：

1、HR數(shù)據(jù)中心部署網(wǎng)絡(luò)安全態(tài)勢感知平臺、威脅流量檢測探針；全局監(jiān)測網(wǎng)絡(luò)安全整

體情況，對全局進行風(fēng)險預(yù)測、威脅告警；對下屬單位網(wǎng)絡(luò)安全工作開展和監(jiān)督進

行統(tǒng)籌指揮。最終實現(xiàn)提升全網(wǎng)網(wǎng)絡(luò)安全防護能力、網(wǎng)絡(luò)安全事件處置能力、信息

化資產(chǎn)管理能力。

2、HR下屬礦區(qū)、礦級單位分別部署防火墻、威脅流量檢測探針，安全防護Fb志通過網(wǎng)

絡(luò)發(fā)送至HR數(shù)據(jù)中心網(wǎng)絡(luò)安全態(tài)勢感知平臺。

3、HR業(yè)務(wù)網(wǎng)中辦公PC和服務(wù)器部署殺毒軟件，由I1R數(shù)據(jù)中心統(tǒng)一管理服務(wù)器統(tǒng)一

管理。

4、采用第三方安全運營服務(wù)，提供5*8H持續(xù)性的安全運營服務(wù)，利用平臺監(jiān)測、網(wǎng)

絡(luò)安全應(yīng)用人員配備、響應(yīng)機制、服務(wù)工單、服務(wù)制度、服務(wù)流程等，實現(xiàn)對網(wǎng)絡(luò)

安全事件持續(xù)閉環(huán)流程處置。

3.2項目建設(shè)拓?fù)浼罢f明

安金通消（安全敬修第!）

安全建設(shè)說明：

（1）：在數(shù)據(jù)中心安全管理區(qū)部署態(tài)勢感知平臺、網(wǎng)絡(luò)威脅檢測探針、EDR管理服務(wù)器；

通過網(wǎng)絡(luò)威脅探針對川煤總部出入核心交換機的全部流量進行安全檢測（木馬、病毒、

威脅事件、入侵攻擊、違規(guī)行為等），能加強對整個業(yè)務(wù)網(wǎng)流量的安全監(jiān)測和管控。網(wǎng)絡(luò)威

脅探針將安全FI志發(fā)送至安全態(tài)勢感知平臺，安全態(tài)勢感知平臺可進行二次分析、關(guān)聯(lián)分析、

AI分析、模型分析和綜合研判。

通過部署EDR管理服務(wù)器對全業(yè)務(wù)網(wǎng)中全部PC和服務(wù)器安裝EDR軟件，提升終端安全

防護能力，EDR管理服務(wù)巖可對全網(wǎng)中的辦公終端和服務(wù)器進行統(tǒng)一集中管理，及時發(fā)現(xiàn)和

修復(fù)問題。

通過部署安全態(tài)勢感知平臺對全業(yè)務(wù)網(wǎng)中安全要素信息進行采集分析，可以實現(xiàn)

全網(wǎng)統(tǒng)?安全監(jiān)測和管理、安全事件決策輔助和技犬能力支撐、安全運營閉環(huán)管理及協(xié)

同聯(lián)動防御。

（2）：在下轄礦區(qū)、礦部部署網(wǎng)絡(luò)威脅檢測探針、EDR安全軟件；使礦區(qū)、礦部具備威

脅感知和監(jiān)測能力，使礦區(qū)、礦部辦公終端主機具備--系列防護與加固功能，包括但不限于

防病毒、補丁修復(fù)、U盤管控、資產(chǎn)管理、威脅檢測、攻擊防范等。同時相關(guān)安全H志信息

發(fā)送至川煤數(shù)據(jù)中心安全態(tài)勢感知平臺，協(xié)助進行二次分析和研判。

（3）：采用安全運營服務(wù)，通過專業(yè)安全團隊5*811時遠(yuǎn)程值守、監(jiān)測、分析，能幫助

對網(wǎng)絡(luò)安全事件從預(yù)警、監(jiān)測、發(fā)現(xiàn)、研判、處置、應(yīng)急響應(yīng)、分析溯源、安全修復(fù)的全生

命周期管控。同時通過安全運營服務(wù)標(biāo)準(zhǔn)化、場景化、“交鑰匙工程”交付的方式，能極大

的將安全防護落到實地，交付即可用。

整體安全運營體系事件閉環(huán)模型如下：

（1）事前流程

持續(xù)監(jiān)測實現(xiàn)方式：線上人員7*24小時監(jiān)測.

方式：平州朝測斯脅情報熹

方式：第三方募瀛冢

^^1!1"7^1579"￡現(xiàn)方式：第三方甚病

（2）事中流程

線上處置：持續(xù)監(jiān)測的線上人員處置(實時)

(3)事后流程

通過線上人員實時監(jiān)測安全威脅，在威脅不可控時線

下人員主動應(yīng)急響應(yīng)

線下人員現(xiàn)場對安全威脅進行清除和排查.

結(jié)合態(tài)勢感知平臺線下人員對安全事件進行溯源8媼

事后

線下人員對導(dǎo)致安全事件的安全漏洞進行修復(fù)

線下人員針對修復(fù)的漏洞開展安全復(fù)測.

血安全事件，對全流程信息進行匯總和分析，出具

事件報告

3.3產(chǎn)品概述

3.3.1態(tài)勢感知平臺

基于大數(shù)據(jù)技術(shù)平臺，對企業(yè)內(nèi)部全面的安全信息（包括流量分析、WEB應(yīng)用防火墻、

主機殺毒軟件）等安全設(shè)施進行集中采集、存儲和分析，在滿足國家和行業(yè)合規(guī)要求的基礎(chǔ)

上，利用人機交互分析、智能分析引擎、和可視化等手段，結(jié)合豐富的威脅情報，對企業(yè)面

臨的外部攻擊、內(nèi)部違規(guī)行為進行檢測，為企業(yè)建立.快速有效的威脅檢測、分析、處置能力

和全網(wǎng)安全態(tài)勢感知能力，使得企業(yè)的信息安全可知、可見、可控。具體需要實現(xiàn)未知威

脅防護、威脅發(fā)現(xiàn)和快速響應(yīng)、事件統(tǒng)一管理、信息安全自動運維、內(nèi)部行為審計、資產(chǎn)脆

弱性檢查、安全事件溯源取證、攻擊鏈（kill-chain）展示，具體功能如下：

未知威脅防護：利用大數(shù)據(jù)分析的模型算法和處理能力，對海量的信息進行連續(xù)、實時

計算，利用統(tǒng)計分析、關(guān)聯(lián)分析和機器學(xué)習(xí)等多種技術(shù)手段來檢測流量和用戶行為的異常模

式，發(fā)現(xiàn)潛在威脅。

威脅發(fā)現(xiàn)和快速響應(yīng)：加入威脅情報，大幅縮短威脅發(fā)現(xiàn)時間，降低組織風(fēng)險；通過短

信和郵件快速響應(yīng)信息安全告警，大幅縮短響應(yīng)時間；支持設(shè)備聯(lián)動，通過平臺告警和處置

建議，快速進行防御策略變更。

事件統(tǒng)一管理：事件:日志、網(wǎng)絡(luò)流）統(tǒng)一管理，提供安全事件的監(jiān)控，分析，處置和風(fēng)

險評估的統(tǒng)一平臺；實現(xiàn)安全事件分析的統(tǒng)一化，集約化：可根據(jù)組織的安全事件的實際處

理流程將流程固化到平臺中，通過預(yù)設(shè)的響應(yīng)方式實現(xiàn)信息安全事件實時，提高運維效率。

信息安全自動運維：洛原始事件信息轉(zhuǎn)譯成通俗易懂的字段，輕松讀懂事件內(nèi)容；支持

任意字段分類統(tǒng)計，便于安全分析；通過事件歸并和關(guān)聯(lián)模型匹配，降低安全事件誤報率;

支持原始事件分級，重點關(guān)注海量事件中的重要和告警事件；提供多種分析圖表，通過事件

關(guān)系圖、事件和弦圖、事件河流圖，輕松進行安全事件分析；支持事件顯示字段自定義，關(guān)

鍵信息盡收眼底：安全分析可視化，降低分析人員的技術(shù)成本及時間成本。

內(nèi)部行為審計：內(nèi)部員工有意或無意的違規(guī)行為能夠及時準(zhǔn)確的發(fā)現(xiàn)；內(nèi)置內(nèi)部用戶違

規(guī)威脅分析模型，廣泛覆蓋多種內(nèi)部場景。（內(nèi)部人員不滿破壞系統(tǒng)、欲離職人員竊取數(shù)據(jù)

等）；違規(guī)行為精確定位到人；違規(guī)行為看得見、看得懂。

資產(chǎn)脆弱性檢查:對資產(chǎn)脆弱性具有自動化檢查功能,并能提供相應(yīng)的解決方案知識庫。

安全事件溯源取證：基于攻擊鏈模型，將告警之間的時序關(guān)系、因果關(guān)系進行關(guān)聯(lián)分析，從

而還原整個攻擊鏈；通過告警追蹤，關(guān)聯(lián)事件列表直接展示。

3.3.2網(wǎng)絡(luò)威脅探針

網(wǎng)絡(luò)威脅探針具備高性能、高安全性、高可靠性、高穩(wěn)定性、高易用性、高有效性六大

特性，產(chǎn)品內(nèi)置業(yè)界領(lǐng)先檢測引擎與流采集引擎，同時具備深度包解析、雙向檢測、全流量

分折、流行為學(xué)習(xí)模型、攻擊鏈還原、多維度資產(chǎn)分析等多項功能，能夠為用戶網(wǎng)絡(luò)提供全

流量分析深度雙向攻擊檢刻的完美價值體驗，滿足各種安全場景下的網(wǎng)絡(luò)威脅分析。

網(wǎng)絡(luò)威脅探針具備4種視角威脅監(jiān)測功能，提供告警視角、攻擊者視角、受害者視角、

威脅情報視角，從多個視侑幫助用戶分析安全態(tài)勢，站在不同視角發(fā)現(xiàn)不同攻擊態(tài)勢。

（1）入侵檢測能力

系統(tǒng)采用特征檢測技術(shù)、異常行為檢測技術(shù)、威脅情報技術(shù)、黑白名單技術(shù)、基線技術(shù)、

靜態(tài)APT檢測技術(shù)相結(jié)合的方法，通過對網(wǎng)絡(luò)流量的深度包解析和流解析，實現(xiàn)了病毒、木

馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、掃描探測、欺騙劫持、SQL注入、

XSS攻擊、網(wǎng)站掛馬、隱蔽信道、AET逃逸、C&C行為等各種威脅的全面有效檢測。

系統(tǒng)通過內(nèi)置特征庫、病毒庫、異常行為模型庫以及惡意URL、惡意樣本等威脅情報庫，

實現(xiàn)了已知威脅和未知威脅的自動檢測。

系統(tǒng)靜態(tài)APT檢測是指通過一定的特征比對或算法對被檢測文件的二進制內(nèi)容進行匹

配或計算的檢測方法，靜態(tài)檢測并不真實的運行被檢測文件。靜態(tài)檢測的方法有很多種，大

閱APT檢測系統(tǒng)使用虛擬Shollcode執(zhí)行、暴力搜索隱藏PE等多種方式對被檢測文件的文

件內(nèi)容進行靜態(tài)檢測，以此來確定文件是否為惡意文件。

系統(tǒng)基于內(nèi)置的惡意樣本庫，支持從百度、360、新浪等網(wǎng)盤協(xié)議、126、163、新浪等

WebMail協(xié)議、http>ftp、pop3>smtp、imap等標(biāo)準(zhǔn)協(xié)議還原文件,并實時檢測惡意文件

的功能，還支持用戶手動上傳文件樣本檢測惡意文件的功能。

系統(tǒng)支持基于黑白名單的檢測，用戶可以通過定義黑白名單實現(xiàn)對違規(guī)業(yè)務(wù)和未知業(yè)務(wù)

的檢測。

系統(tǒng)支持基于基線的流量告警功能，用戶可以通過設(shè)置不同類型流量的告警閾值或系統(tǒng)

自動與歷史同期的流量對比，進行告警。

（2）未知威脅行為檢測

系統(tǒng)具有未知威脅的檢測能力，通過對木馬C&C活動、網(wǎng)絡(luò)掃描活動、蠕蟲活動的典型

行為分析和研究，本系統(tǒng)支持未知木馬C&C行為、網(wǎng)絡(luò)掃描行為、蠕蟲行為的檢測。例如,

C&C行為的特點包括：在攻擊者和攻擊目標(biāo)之間建立網(wǎng)絡(luò)連接，使得攻擊目標(biāo)處于攻擊者控

制下，能夠接收攻擊者的命令并返回執(zhí)行結(jié)果。這決定了其行為與正常的網(wǎng)絡(luò)連接行為有一

定差異，例如其具有反向連接行為、心跳行為、數(shù)據(jù)加密行為等典型特征。

（3）自定義檢測規(guī)則

系統(tǒng)基于?自主研發(fā)的、靈活的規(guī)則描述語言技術(shù)，提供了一個開放式的自定義檢測規(guī)則

的用戶接口，可以滿足更加貼合用戶業(yè)務(wù)的異常檢測要求，例如通過自定義檢測規(guī)則，可以

實現(xiàn)異常時間、異常IP、多IP登錄等異常登錄行為、惡意業(yè)務(wù)訂購、高頻業(yè)務(wù)訪問、業(yè)務(wù)

繞行等業(yè)務(wù)異常行為。

（4）威脅分析、追蹤溯源的功能

系統(tǒng)提供威脅線索分析功能，可對采集到的各種類型的日志數(shù)據(jù)，分別從樣本視角、C&C

視角、惡意URL視角、事件視角，講行分析展示。

另外，系統(tǒng)還基于IP地址的郵箱地址，從攻擊者和被攻擊者視角方面，對各類事件進

行分析展示。

展示方式主要是采用圖表與列表相結(jié)合的方式進行，可按照事件類型、等級等不同維度

進行統(tǒng)計匯總，并以餅圖、趨勢圖等圖表進行可視化展示。

針對列表數(shù)據(jù)，系統(tǒng)采用向下逐級追溯方式進行線索的跟蹤分析?，用戶可以更好的進行

事件跟蹤和及時的響應(yīng)處理，有效的提高了事件的可視化管理。

關(guān)聯(lián)分析是該系統(tǒng)所存儲的內(nèi)部與外部數(shù)據(jù)進行關(guān)聯(lián)分析,主要包括樣本與威脅情報信

息關(guān)聯(lián)，樣本與特征檢測信息關(guān)聯(lián)分析，行為關(guān)聯(lián)信息分析，對樣本指紋、隱蔽信道（IP+

端口、URL、域名）、地理信息、特征事件的多維度關(guān)聯(lián)鉆取。

根據(jù)采集引擎上報的樣本日志，可以同當(dāng)前系統(tǒng)中收到過攻擊并且發(fā)生過C&C通道的

主機，根據(jù)兩者的行為進行關(guān)聯(lián)分析，可以根據(jù)攻擊鏈過程按照對應(yīng)的攻擊路徑進行匹配,

可以找到主機是屬丁哪種階段，以攻陷還是處于被掃描等。

3.3.3EDR軟件

集安全能力于一身：邳有基線檢查、脆弱性檢查、拓毒查殺、主機入侵檢測、主機漏洞

補丁檢查、行為檢查等能力等豐富的安全威脅檢查維度，同時具備完善的API聯(lián)動接口，更

加便于實際安全場景中的協(xié)同防御；

產(chǎn)品功能簡述

終端資產(chǎn)清點

通過對于主機負(fù)產(chǎn)消點，r解業(yè)務(wù)系統(tǒng)的貨產(chǎn)及現(xiàn)存狀態(tài)，在運行環(huán)境中反向生成CMDB,

掌握所有需保護業(yè)務(wù)系統(tǒng)正常狀態(tài)，在發(fā)生疑似安全事件時通過正常資產(chǎn)數(shù)據(jù)做支撐比對，

便于發(fā)現(xiàn)終端異常態(tài)勢。

安全基線核查

安全合規(guī)信息：補丁安裝狀態(tài)；防火墻狀態(tài)；遠(yuǎn)程桌面狀態(tài)；共享開啟狀態(tài)；屏保狀態(tài)；

密碼強度狀態(tài)；開放端口；軟件、服務(wù)合規(guī)狀態(tài)；注冊表合規(guī)狀態(tài)及關(guān)鍵目錄狀態(tài)等信息。

針對注冊表和關(guān)鍵目錄/文件，提供非常靈活的檢測方式，支持針對注冊表項、鍵值是

否存在，鍵值是否等于特定值的檢測，支持文件或目錄是否存在，UD5是否等于特定值的檢

測。可靈活的用于各項合規(guī)檢測、惡意文件檢測等場景。

口令安全檢測

檢測操作系統(tǒng)的弱密碼，默認(rèn)自帶20W+的弱密碼庫，支持導(dǎo)入更大的弱密碼庫。系統(tǒng)

中采用自研的優(yōu)化弱密碼檢測方案，僅在第一次檢測耗時相對較長，后續(xù)對于弱密碼檢測均

可秒級快速完成，快速發(fā)現(xiàn)口令問題，防止因弱口令導(dǎo)致終端整體安全性的突出問題。

在大多數(shù)計算機安全環(huán)境中，用戶認(rèn)證在安全防護體系中是最基本的組成部分，也是防

范入侵的主要防線。為了抵御入侵者，口令系統(tǒng)是應(yīng)用最廣泛的防范手段。所有的多用戶操

作系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、應(yīng)用系統(tǒng)、專用設(shè)備，不僅需要用戶提供用戶名或用戶標(biāo)識（ID）,

還要提供口令。

終端漏洞檢測

EDR產(chǎn)品通過對漏洞的檢查與評估，對終端駐留的潛在風(fēng)險進行分析，并給出詳細(xì)的處

置建議。

惡意代碼檢測

EDR防病毒能力具備多個自主研發(fā)的本地引擎，能夠?qū)褐?、未知病毒、木馬、惡意程

序及各種加殼的病毒文件進行等進行檢測、清除。結(jié)合啟明星辰在終端安全領(lǐng)域多年深厚積

累，獨創(chuàng)文件基因技術(shù)，一條特征匹配傳統(tǒng)殺毒軟件上百條特征，強力保障企業(yè)客戶終端安

全。

勒索專項檢測

通過多維度的勒索病毒專項檢測能力，對已知勒索病毒及未知勒索病毒均可進行有效防

護，并可通過安全分析溯源勒索軟件的橫向移動方式、啟動方式、在主機上的行為記錄等。

高效誘捕技術(shù)

基于終端行為記錄技術(shù)中的文件操作行為記錄技術(shù)實現(xiàn)，通過在系統(tǒng)關(guān)鍵目錄放置誘

餌文件，當(dāng)有勒索病毒對誘餌文件進加密時，就會被檢測到并執(zhí)行對應(yīng)的響應(yīng)處置動作。

FI錄防護技術(shù)

基于終端行為記錄技術(shù)中的文件操作行為記錄技術(shù)實現(xiàn)，用戶通過配置設(shè)定受保護的

目錄，該目錄下的文件只允許白名單進程可以訪問。任何不在白名單中的進程對受保擰目錄

進行寫操作都會被阻斷，井觸發(fā)對該進程的威脅檢測。

基于文件實時監(jiān)控的防御方案

基于終端行為記錄技術(shù)中的文件操作行為記錄技術(shù)實現(xiàn)，在終端對所有文件行為進行

監(jiān)控，在關(guān)鍵的訪問時機觸發(fā)文件威脅檢測，當(dāng)發(fā)現(xiàn)是勒索病毒文件時，即進行阻斷并清除。

基于終端行為記錄中的文件操作行為記錄技術(shù)，以及終端多維度響應(yīng)關(guān)鍵技術(shù)，勒索

病毒實時監(jiān)控技術(shù)構(gòu)建了一個宓維度、輕后級的漏斗型槍測框架，包含文件信譽檢測、指紋

特征檢測、樣本自學(xué)習(xí)檢測技術(shù)、行為檢測技術(shù)、云?查技術(shù)等。通過層層過濾，檢測更準(zhǔn)確、

更高效，資源占用消耗更低。

基于行為的