星河AI融合SASE黑科技之独家100跳溯源：终端风险尽在掌握，威胁源头无所遁形

在勒索病毒快速蔓延、APT攻击无孔不入的数字攻防战场，企业网络安全正面临前所未有的挑战。传统安全方案面对员工误点钓鱼链接导致的数据泄露，或恶意软件隐蔽入侵时，往往力不从心——安全团队常陷入“数据海量却无法定位源头，告警频发却抓不住关键威胁”的困境。例如某金融企业每年发生1000多起终端异常事件，因缺乏有效溯源能力无法排查，埋下重大安全隐患。在寻找复杂威胁攻击源方面，基于知识图谱的溯源图威胁检测成为学术界和产业界都在关注的热点。但当前业界部分方案存在明显短板。

溯源为什么这么难？传统方案的三大 “拦路虎”

• 端侧性能瓶颈：将复杂图计算与威胁检测下沉至终端时，受CPU、内存等资源限制，难以满足海量数据的实时采集、检测与存储需求；

• 溯源深度不足：传统方案普遍仅支持单跳溯源，无法关联多阶段攻击行为。例如面对黑客通过钓鱼邮件入侵后横向移动的场景，难以还原完整攻击路径；

• 数据处理低效：多数厂商依赖ES、OLAP等传统存储技术，面对上万台终端单日TB级的行为日志，不仅存储成本高昂，且查询效率低下，无法满足实时分析要求。

溯源图技术在业界并无开源组件可以复用，需要具备从底层存储到上层推理引擎完全自研的能力，才可能实现极致轻量和极致精准的检测。为突破技术瓶颈，华为HiSec Endpoint基于统一网安融合平台，构建了端云协同的溯源图技术体系，在保证实时检测与响应的同时，兼顾成本可控与海量数据处理能力，并通过高性能图模式匹配和优化的用户体验设计，帮助安全团队以极简操作精准检索关键上下文信息。

黑科技 “黑” 在哪？端云协同溯源利器，构建整网“神经网络”

华为基于端侧HiSec Endpoint与云侧华为乾坤协同，最大100跳深度溯源，100%进程链可视，精准识别0号主机，一处检出，全网免疫，未知威胁检测率95%。

端侧GSP引擎：终端威胁检测的“神经末梢”

部署在终端Agent的华为独创端侧内存威胁溯源图引擎GSP（Graph Streaming Process Engine，图形流处理引擎），如同威胁检测的“神经末梢“。它可将EDR采集的行为日志转化为 (subject主体, operation操作, object对象) 的图谱结构，实时构建主机行为的“数字孪生”模型。通过数据结构优化和算法创新实现高效检测：

• 轻量化实时计算：只有超轻量级实时计算引擎才能保障不影响终端性能。华为HiSec Endpoint创新设计环形队列自动缓存淘汰机制，新事件进入图模型自动淘汰旧事件，保障内存占用稳定。同时华为实现流式算法创新，标签和分数实时送入图模型，仅有超过阈值时才触发图的遍历和处置。双重创新确保单终端内存占用<10M、CPU消耗< 1%，同时实现< 1ms的威胁检测时延，响应速度较传统方案提升超百倍。

• 智能降噪过滤：结合自学习白名单与实时去重算法，自动识别80%的正常操作（如日常文件读写、常规网络连接），仅将可疑事件上报云端，大幅减轻数据传输与存储压力。

• 深度联动处置：检测到威胁后，GSP引擎不仅能终止恶意进程、隔离文件，还可通过溯源图关联，自动清理注册表逃生通道、删除计划任务，完整切断攻击链。

服务器图数据库：全局威胁的“智能分析中枢”

经端侧过滤的数据实时传输至服务器侧，依托高性能图数据库三大核心能力实现深度溯源：

• 跨终端关联分析，打破数据孤岛：

经过端侧收敛过滤的数据，会实时送入云端溯源图数据管道。通过基于Flink的关联分析引擎，实现跨终端的短时间窗实时检测，并转化为 (头)-[边]->(尾) 的图谱结构，实时存入图数据库。

• 100跳全链路追踪，还原攻击全貌：

基于高性能图数据库，支持对 IOC（Indicator of Compromise，入侵指标）（IP、MD5 等）的全局搜索，秒级返回100跳深度的溯源结果，完整还原从初始入侵到数据窃取的全过程。

• 长期数据存储与检索，更低成本，更高可靠：

采用优化的存储算法，支持将1万台终端3个月的原始事件压缩至3T空间（仅为业界1/4）。在降低存储成本的同时，确保离线终端数据仍可追溯。

技术对比：溯源能力的 “代际跨越”

华为HiSec Endpoint集成过滤引擎、HIPS、CDE、GSP、AI等多引擎，实现本地数据高效处理，并通过专利保护的端云协同溯源图分析管道，兼顾分析实时性、检测成本与溯源完整性。相较于传统的关系型数据分析，基于溯源图的方案擅长基于特定起点做关系查询和路径遍历，具备上下文丰富、原生支持多跳查询的显著优势。关系型数据库支持类似的查询场景需要进行join和多次查表，复杂度随着查询深度指数增长，而图数据库天生适合多跳关系查询，解决了海量数据场景下的高效关联和溯源难题。

关系型数据库 vs. 图数据库

华为HiSec Endpoint的端云协同溯源图引擎，以扎实的技术创新打破了终端安全领域“检测难、溯源慢、成本高”的困局。从终端实时拦截到云端全局分析的无缝联动，这套解决方案不仅是对现有安全架构的革新，更为企业构建了主动防御的核心竞争力，在数字时代的安全攻防中占据先机。

注：*本地部署模式下，“云”端指代服务器端

作者：陈姝/贲永明

免责声明：文章内容和观点仅代表作者本人观点，供读者思想碰撞与技术交流参考，不作为华为公司产品与技术的官方依据。如需了解华为公司产品与技术详情，请访问产品与技术介绍页面或咨询华为公司人员。