在面对越来越多的加密流量攻击时，对所有流量进行统一解密是最直接的办法。

但如果采用串联部署，会因为解密过程消耗了大量计算资源，导致整个网络出现性能明显下降；如果采用旁路部署，由于技术机制问题，绝大多数加密流量根本无法解密。

所以在很多时候，检测加密流量就像海市蜃楼，只能通过寻找流量特征异常，在不解密的情况下检测网络攻击，但在复杂网络环境中，这种方法的误报率高达10%以上。

为了解决加密流量检测的困境，10月24日，微步在线以“轻解密，显而易见”为主题，举行加密流量检测技术创新发布会，威胁感知平台TDP、威胁防御系统OneSIG已同时支持SSL/TLS加密流量的高性能解密和精准检测。

整体而言，加密流量攻击检测存在四大挑战。

此外，不解密检测很难提供有效证据解释告警产生的根因，这对告警研判和进一步的关联分析都极为不利。

而且随着TLS1.3的大规模普及，RSA加密算法逐渐被抛弃，传统旁路解密变得更加不可用。

第三是计算性能瓶颈。在防火墙、WAF等网关设备上对所有流量进行中间人解密，是目前唯一能够实现完全解密的手段。但解密过程涉及到复杂的数学运算，需要消耗大量的时间和计算资源，容易出现网络波动、延迟甚至是拒绝服务，直接影响到业务的实时性和连续性。

对此，微步TDP首次创新了旁路轻量化解密技术，通过在主机上部署轻量化解密Agent，可对99%以上的加密算法进行解密，打破了TLS1.3以上旁路解密几乎不可用的尴尬局面。解密后的明文流量则引流至TDP进行检测。

在检测能力方面，TDP利用规则引擎、AI引擎、威胁情报等多项技术，可将整体误报率控制在0.003%以内，同时提供丰富的上下文帮助运营人员确定威胁跟进并进一步研判分析。

在性能方面，OneSIG基于高性能底层架构，采用硬件解密，大幅提升了解密效率，几乎不会造成业务延迟；在防护能力方面，OneSIG可将90%以上网络攻击拦截于网络边界之外，其中0day检出率达到81%；在易用性方面，OneSIG支持透明网桥模式，能够即插即用，迅速部署上线。

值得注意的是，TDP与OneSIG既支持独立部署，也支持联动部署。经过OneSIG的自动拦截，可大幅度降低后续其他串行网关以及内网TDP等设备的告警数量，减少人工参与；当TDP发现绕过网络边界的网络攻击时，可联动OneSIG或者其他网关设备进行阻断。

微步技术合伙人赵林林表示，在近些年攻防演练中，几乎所有Web渗透、恶意软件投递都是通过加密流量发起的。此次微步TDP、OneSIG同时支持高性能解密，将为用户在未来的实战过程中，提供针对加密流量攻击的检测与响应的闭环。