深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

  • 人閱讀
  • 2021-11-24 15:16:28

  • 來源:中關(guān)村網(wǎng)

  • 相關(guān)關(guān)鍵詞

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

?這些題目考驗(yàn)了企業(yè)用戶,在高級(jí)威脅檢測(cè)能力上的布局與思考,您也來看看到底能得多少分?答案馬上揭曉——

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

在這場(chǎng)“全球高級(jí)威脅檢測(cè)能力考試”中,深信服全流量高級(jí)威脅檢測(cè)系統(tǒng)NDR(Network Detection And Response,網(wǎng)絡(luò)檢測(cè)與響應(yīng)),能答對(duì)90%以上難題,7*24h全年無休隨時(shí)解題。

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

深信服NDR“學(xué)霸”人設(shè),最近也獲得了國內(nèi)外公認(rèn):

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

深信服在國際權(quán)威研究機(jī)構(gòu)IDC 2021年中國態(tài)勢(shì)感知解決方案市場(chǎng)評(píng)估中處于『領(lǐng)導(dǎo)者地位』,NDR作為其中一個(gè)關(guān)鍵組件,其發(fā)揮的價(jià)值在于高級(jí)威脅檢測(cè)這一核心能力,對(duì)威脅的自動(dòng)化編排與響應(yīng)能力也成為解決方案提供商能力差距的重要體現(xiàn)。

能獲得國內(nèi)外多個(gè)權(quán)威機(jī)構(gòu)認(rèn)可,深信服NDR自然有一套獨(dú)特的學(xué)習(xí)方法,以不斷提升高級(jí)威脅檢測(cè)能力,朝著滿分進(jìn)發(fā)。

方法一:目標(biāo)明確,緊抓最新重要“考點(diǎn)”

深信服NDR專門以“高級(jí)威脅”為攻克目標(biāo),精準(zhǔn)針對(duì)隱秘隧道通信、加密流量、內(nèi)網(wǎng)異常行為/違規(guī)訪問、0day漏洞等新型威脅。在惡意攻擊“突擊考試”來臨之前,確保90%以上押題命中率,萬無一失。

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

方法二:構(gòu)建AI模型,無監(jiān)督主動(dòng)學(xué)習(xí)

從訓(xùn)練式學(xué)習(xí)到推理學(xué)習(xí),做到不需要監(jiān)督,深信服NDR能夠主動(dòng)學(xué)習(xí),這便是“學(xué)霸”的高分密碼。如何理解有監(jiān)督學(xué)習(xí)和無監(jiān)督學(xué)習(xí)呢?

有監(jiān)督學(xué)習(xí),就像考試前一夜機(jī)械式記憶知識(shí)點(diǎn),但有兩個(gè)風(fēng)險(xiǎn):一是一旦考到未知的知識(shí)點(diǎn),背再多也無濟(jì)于事,面對(duì)難題還是束手無策;二是如果只復(fù)習(xí)了加法的計(jì)算,一旦出現(xiàn)乘法題,同樣無從下手。這種情況下,無監(jiān)督學(xué)習(xí)就可以派上用場(chǎng)了。無監(jiān)督學(xué)習(xí)就是即便考到了沒有學(xué)過的知識(shí)點(diǎn)和算法,也能夠基于掌握的解題方法,舉一反三,輕松解決難題。

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

深信服NDR掌握的這套“解題方法”到底是什么呢?

日前,深信服NDR與全球權(quán)威IT研究與咨詢機(jī)構(gòu)Gartner聯(lián)合發(fā)布白皮書《使用AI對(duì)抗AI:NDR中的專用AI模型》。面對(duì)AI武器化的挑戰(zhàn),深信服NDR應(yīng)用AI技術(shù)來檢測(cè)高級(jí)威脅及現(xiàn)有安全工具無法檢測(cè)的網(wǎng)絡(luò)異常行為,實(shí)力展現(xiàn)“用魔法打敗魔法,以AI打敗AI”的能力。

白皮書里對(duì)深信服NDR的AI技術(shù)應(yīng)用進(jìn)行了闡述:一方面,構(gòu)建檢測(cè)威脅的專用 AI 模型,學(xué)習(xí)企業(yè)的業(yè)務(wù)模型形成基線,對(duì)偏離基線的異常行為進(jìn)行告警,同時(shí)學(xué)習(xí)高級(jí)威脅和新型威脅的模型樣本,進(jìn)行泛化處理,對(duì)符合威脅特征的異常行為進(jìn)行告警;另一方面,利用AI模型消減安全告警,避免安全分析師淹沒在海量的告警日志中。

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

以UEBA算法模型為核心,深信服NDR還可以實(shí)現(xiàn)7*24小時(shí)不間斷檢測(cè)多個(gè)會(huì)話流量。UEBA基于歷史數(shù)據(jù)獲取關(guān)于用戶和實(shí)體行為的基準(zhǔn),并以這個(gè)基準(zhǔn)來持續(xù)對(duì)新產(chǎn)生的行為進(jìn)行判斷,一旦最新的行為不符合該用戶的歷史行為模式,會(huì)判斷用戶出現(xiàn)行為異常,幫助用戶實(shí)現(xiàn)簡(jiǎn)單有效運(yùn)營。這就相當(dāng)于,學(xué)霸會(huì)通過不斷復(fù)盤錯(cuò)題、每天進(jìn)行學(xué)習(xí)總結(jié),從而降低重復(fù)做錯(cuò)題的幾率。

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

△行為模型檢測(cè)

然而只會(huì)考高分可不是什么“真學(xué)霸”,來看深信服是如何通過AI學(xué)習(xí)到的能力應(yīng)用到實(shí)際場(chǎng)景里?

場(chǎng)景一內(nèi)網(wǎng)/專網(wǎng)潛伏威脅

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

場(chǎng)景二實(shí)戰(zhàn)攻防

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

在成為“NDR界學(xué)霸”的路上,必定遭受很多質(zhì)疑:

把能力說得那么玄乎,一定有大量告警和誤報(bào)吧?檢測(cè)能力這么強(qiáng),會(huì)不會(huì)增加運(yùn)維工作量?

……

逐個(gè)擊破質(zhì)疑,

深信服NDR有充分的實(shí)力證明:

簡(jiǎn)單易用,讓每個(gè)用戶都會(huì)使用、看得懂

創(chuàng)新突破的分層多流檢測(cè)技術(shù),實(shí)現(xiàn)精準(zhǔn)檢測(cè)

深信服NDR在業(yè)界創(chuàng)新突破分層多流檢測(cè)技術(shù),分為流量采集層、威脅感知層、威脅確認(rèn)層、威脅分析層、響應(yīng)處置層,形成從網(wǎng)絡(luò)流量到響應(yīng)閉環(huán)的完整檢測(cè)鏈條。這種“地毯式”檢測(cè)技術(shù),威脅藏得再深,深信服NDR也能精準(zhǔn)有效檢出。

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

△分層多流檢測(cè)技術(shù)架構(gòu)

通過分層多流檢測(cè)技術(shù),安全威脅事件被劃分為日常運(yùn)營與攻防對(duì)抗兩個(gè)優(yōu)先級(jí),在日常運(yùn)營場(chǎng)景中通過告警消減實(shí)現(xiàn)簡(jiǎn)單運(yùn)維,在攻防對(duì)抗場(chǎng)景中確認(rèn)存在威脅,可進(jìn)行自動(dòng)聯(lián)動(dòng)響應(yīng)與一鍵溯源。

AI告警消減,實(shí)現(xiàn)簡(jiǎn)化運(yùn)維

在運(yùn)用分層多流檢測(cè)技術(shù)生成海量告警后,AI引擎通過攻擊方向判別、告警聚合、去除弱規(guī)則項(xiàng)、UEBA算法模型、云端持續(xù)更新等手段,再次過濾其中的誤報(bào),確保提供給用戶的告警的準(zhǔn)確率,實(shí)現(xiàn)簡(jiǎn)化運(yùn)維。

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

△AI告警消減

SOAR自動(dòng)聯(lián)動(dòng)處置+黃金眼一鍵溯源,實(shí)現(xiàn)安全風(fēng)險(xiǎn)的落地

面對(duì)已經(jīng)確認(rèn)的安全威脅,深信服NDR圍繞SOAR(安全編排與自動(dòng)化響應(yīng))的強(qiáng)大功能,涵蓋勒索病毒、僵尸網(wǎng)絡(luò)、漏洞攻擊、暴力破解等20+的事件類型,通過預(yù)定義/自定義組合多個(gè)元素(時(shí)間、風(fēng)險(xiǎn)等級(jí)、資產(chǎn)范圍)進(jìn)行策略設(shè)定,自動(dòng)聯(lián)動(dòng)自有生態(tài)的下一代防火墻AF、終端檢測(cè)響應(yīng)平臺(tái)EDR、全網(wǎng)行為管理AC等閉環(huán)處置,甚至與第三方API接口跨生態(tài)聯(lián)動(dòng),將用戶的業(yè)務(wù)情況和安全等級(jí),分為高、中、低威脅標(biāo)簽化處理。

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

通過深信服NDR“黃金眼”功能,用戶只需要根據(jù)IP/域名/URL/端口,便能輕松一鍵溯源,同時(shí)從攻擊時(shí)間、攻擊者信息、攻擊方式、攻擊規(guī)模等多維度分析,幫助用戶研判風(fēng)險(xiǎn)影響面。

深信服NDR:構(gòu)建專用AI模型與創(chuàng)新突破分層多流檢測(cè)技術(shù),精準(zhǔn)檢測(cè)高級(jí)威脅

此外,深信服NDR能夠支持阿里云、騰訊云、亞馬遜AWS和VMware等主流云計(jì)算架構(gòu)和虛擬化平臺(tái),與云上現(xiàn)有的防御體系構(gòu)建起互補(bǔ)完整的安防體系,重點(diǎn)解決云上全網(wǎng)安全在東西向流量上監(jiān)控盲區(qū)的問題,助力保障企業(yè)的云上安全。

目前,深信服NDR在全球舞臺(tái)開始展露鋒芒,獲得歐洲、東南亞、中東地區(qū)等60+高端專業(yè)用戶認(rèn)可,覆蓋制造業(yè)、金融、物流等行業(yè)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )