2019年AiLPHA大数据-全方位保卫内网安全.pdf

1、Internet业务日常办公物理服务器承载工作人员Internet公用云移动分支外联单位BYOD工作人员临时访客运维人员业务企业云物理服务虚拟化日常办公物理服务器承载钉钉边界：清晰模糊资产：单一多元人员：简单复杂安全理念SIEM 安全信息与事件管理SOC 安全运营中心NG-SIEM-下一代SIEMNG-SOC-下一代SOCUSM-统一安全管理平台UTM-统一威胁管理平台UEBA-用户行为分析安全产品IBM QradarSplunk ESArcSight ESM功能越来越多产品越来越复杂内网安全问题没有解决应付合规的用不起来的产品处置不解无法有效快速定位问题；无法快速响应和处置，形成闭环。模型不

2、灵不能发现行为风险。无力应对高级威胁。收集不全数据源零散、形成孤岛；数据种类和格式庞大。检测不准依赖局部静态规则；误报太多，安全价值丧失。数据库HTTP/sVPNIMAP/POP3流量智能数据解析引擎免费接入新数据确保数据不丢失自动规避占用过多资源性能注册表文件线程用户操作连接终端9万种日志格式和协议系统日志应用日志日志安全日志权限日志TLS加密和压缩AiLPHA大数据智能分析攻防专家数据科学家安全分析师规则策略关联规则基线分析统计阈值1分钟IP访问次数200，异常访问5分钟之内50%本小时访问次数比昨天同期高50%SQL注入勒索病毒异常行为APT攻击主机失陷挖矿Webshell数据泄密首次登

3、陆数据库拉取数据1百万条AiLPHA大数据智能分析攻防专家数据科学家安全分析师漏洞验证深入调研用户环境拓扑和业务背景，不断试验策略,提高准确率及召回率误报率是否存在漏洞漏洞是否利用成功请求返回包系统应用日志400%智能模型误报率200%200万 恶意IP每天新增记录 2万1.7亿基础域名库 每天新增 400万50万僵尸网络每天新增 100个200万 恶意样本每天新增 500个500万 漏洞库每天新增 3000个58万暗链站点每天新增 500个情报碰撞误报率400%攻击链分析误报率100%告警剔除误报的告警安全分析人员打标签带标签的告警AiLPHA大数据智能分析攻防专家数据科学家安全分析师针对数

4、值型告警误报率人机共智300%国内首家安全事件驱动的分析资产对象驱动的分析恶意文件暴力破解SQL注入数据泄漏账号被盗数据主机应用账号文件AiLPHA大数据智能分析攻防专家数据科学家安全分析师AiLPHA大数据智能分析攻防专家数据科学家安全分析师数据主机应用账号文件自定义基线模型分类模型聚类分析时序分析行为异常数据盗取勒索病毒恶意文件僵尸主机恶意操作账号被盗账号被盗突然异地登录登陆失败过多新客户端登录账号被盗多个异常模型评分卡模型账号风险访问过那些应用访问过那些主机访问过那些数据访问过那些文件所用客户端活跃时间AiLPHA大数据智能分析攻防专家数据科学家安全分析师贝叶斯混合高斯GMM无监督聚类学

5、习-BirchXYXY即将发表的文章2018 IEEE International Conference on Data Science in CyberspaceAiLPHA大数据智能分析攻防专家数据科学家安全分析师本小时访问次数比昨天同期高50%50%数据主机应用账号文件MoTuWeThFrSuSa发现未知异常行为上上周上周本周warningAiLPHA大数据智能分析攻防专家数据科学家安全分析师上上周上周本周warning来源IP=0.0.0.1目的IP=0.0.0.2metric=进流量和user=zhangsanapp=vpnmetric=每小时连接次数case 1case 2国内首家

6、僵尸主机病毒是怎么传播进来的？哪些主机被感染了？病毒的危害是什么？AiLPHA大数据智能分析攻防专家数据科学家安全分析师资产网络分析智能联动知识库数据主机应用账号文件VPNzhangsan0.0.0.1usv-infoa.eseb.ese0.0.0.2异常可疑正常大数据存储查询系统万亿级大数据管理高性能分布式检索一年以上存储周期大数据实时分析系统脆弱性态势分析有效性攻击检测安全事件告警异常行为检测安全事件联动分析深度智能感知引擎威胁情报未知威胁分析模型安全事件追踪溯源安全走势