信息技术的迅猛发展极大地促进了我国各个领域的科技发展和社会进步。与此同时，黑客攻击、病毒侵害等破坏行为也对关系国计民生的重点信息网络造成了严重的安全威胁。

2017年5月12日，不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞，一款名为“WannaCry”的勒索病毒大规模入侵全球电脑网络，波及近100个国家和地区。国内有近3万家机构组织的数十万台机器感染勒索病毒，被感染的组织和机构覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域。

此次勒索病毒事件的警示意义极强，不仅说明公民个人信息安全意识亟待加强，更对国家网络安全敲响了警钟。

“网络安全”第五疆域逐渐成为国家及相关部门的重要战场，对于数据的保护将成为未来网络安全发展的重点。随着2017年6月1日《中华人民共和国网络安全法》的颁布施行，备受关注的网络安全问题正式进入法制时代。

病毒监测与防护，任重道远

目前，许多企业已经通过主机防毒软件和网络防毒墙建立起计算机病毒的防护体系，但实际防护效果依然差强人意。从技术角度分析，传统的计算机病毒防护体系存在以下技术弊端：

主机防毒软件的技术弊端：

传统的杀毒软件建立在主机操作系统之上，当攻击者利用操作系统底层漏洞进行攻击时，主机防毒软件往往无能为力。同时，从以往的安全事件中也能看到，越来越多的攻击程序采用了主机免查杀的保护措施，让基于终端防护的反病毒系统形同虚设。

网络防毒墙的技术弊端：

防毒墙通常部署在网关出口，只能被动的对流经过的数据进行安全过滤。当计算机病毒在内部安全域传播时，防毒墙无法感知和处置。

病毒的深度分析、追踪定位是关键

计算机病毒的安全解决方案不能仅仅依赖于防毒体系，更要在全局层面建立起计算机病毒的深度分析与监测追踪手段，对威胁的爆发趋势能够准确分析，对威胁的源头和去向能够有效掌握。

谷兰网络威胁监控系统（Goodlan-TMC）是集病毒扫描、挂马检测和网络监视功能于一身的网络安全产品。它通过旁路部署方式实时捕获网络中传输的所有数据流，利用内置的威胁特征库和虚拟机脱壳引擎，使用模式匹配和虚拟仿真等技术，可以深度检测出各种网络病毒的扫描、传输、和攻击等行为。

通过谷兰网络威胁监控系统（Goodlan-TMC）的部署，能够帮助网络的管理者全面掌握威胁信息的来龙去脉。在技术层面，该系统不仅能够准确定位病毒传播源头并提取出病毒样本，同时也能对威胁数据的去向进行追踪，准确定位恶意文件存放的目录位置，为网络管理者在数据取证和应急处置等方面提供有力的技术保障。

   > 虚拟仿真、启发式检测

传统的网络安全产品通常采用基于特征的方式对已知威胁进行技术辨别。一旦恶意软件发生变种、特征产生变化，就可以逃脱检测成为未知威胁，从而引发APT、0-day等网络攻击，并且在造成破坏的很长一段时间内难以被发现。

谷兰网络威胁监控系统具备先进的虚拟机脱壳引擎。虚拟机脱壳引擎通过构造一个虚拟仿真的环境诱骗恶意程序释放自己的攻击行为，从而有效判断未知威胁。

谷兰虚拟机脱壳引擎采用应用分时技术，在纯虚拟执行模式下，每秒钟可执行超过2000万条虚拟指令，有效解决了虚拟机效率低下的问题。结合硬件辅助后，可以把效率提高200倍。

   > 威胁样本的提取、溯源、追踪、定位

当前，企业普遍缺少具备威胁样本提取功能的网络安全设备。企业对威胁事件的判断完全来源于安全设备的日志信息，信息真伪往往无从考证。

谷兰网络威胁监控系统在设计之初就着重强调对威胁的深入分析和样本提取能力，通过零拷贝技术和对系统引擎的优化，能够在大流量的环境下对未知和可疑的威胁文件进行分析和提取。

通过部署谷兰网络威胁监控系统，网络管理者可以直接在该系统的WEB页面中下载威胁样本程序，便于技术人员后续对攻击内容和攻击方式做深入的分析。

谷兰网络威胁监控系统同时具备溯源与追踪功能，不仅可以实现对威胁传播者的源头定位，还能够对威胁的最终去向进行追踪和提示，帮助网络管理者掌握威胁信息植入到目标系统的文件目录位置，便于事后处置。

   > 误报信息的主动修复

信息安全产品的误报、漏报问题客观存在，这些错误信息严重影响了用户的技术决策，对后续的技术处置造成困扰。

谷兰网络威胁监控系统能够与谷兰多引擎验证系统联动。通过多引擎系统的验证回指，谷兰网络威胁监控系统能够不断的学习自身产生的误报信息、并能够进行主动纠错。

通过上述两款产品不断的数据交互，在主动学习的机制下，谷兰网络威胁监控系统的威胁检测识别率会不断提升，系统的误报率得到有效控制。