哪些算法，比较有效？ 误报的对冲策略有没有？如果没有，落地很难

未知：是很难的问题，纵深防御的思想，从成本的角度，尽量提高攻击者的成本； 要明白最核心的资产在哪里？对要保护的目标的风险进行识别，加强防护

目前的威胁检测准确性，从过去的40-50%提升到70-80%。再往后，对抗强度提升，真正的高级威胁，周期很长，处于初期阶段，机器学习，加上安全知识，如何去做？

做过变换的web shell ，如何检测？ 目前WebShell的检测，通过安全工程师提取特征。机器学习提特征，有价值，但如果黑客做一些变化，规则就失效，如何处理？就算只有20%的误报，也很难处理，如何提取稳定的『关键特征』？例如，黑客申请域名，有成本，对DNS域名做聚类，让黑客搞不清楚策略，或者知道后，也很难修改，时间、经济成本；

行为层面的分析，特征比较稳定，如webshell检测，其中有很多对抗。如apache不会去释放文件，apache释放文件往往对应黑客特征，释放的文件，执行的命令等 了解业务，找到关键特征输入

对于不确定的情况，由蓝军同学做跟进，保持监控，有时发现情报有误，有时发现确实有问题，做复盘，做能力的加强，把模糊的变得精准。

特征工程，安全中存在对抗，webshell 提取中间的php特征，黑客会变化很多种，怎么办？ 能否在特征工程中，抓住关键的？不容易改变的

成本上要有优势， 了解攻防，不知攻，做不到防

解决该问题的两个角度 * 以我为主：针对关键资产 * 不清楚–>清楚：抓关键特征/行为