基于大數(shù)據(jù)的智能安防體系建設(shè)課件

揚帆起航基于大數(shù)據(jù)的智能安全防御體系建設(shè)揚帆起航基于大數(shù)據(jù)的智能安全防御體系建設(shè)傳統(tǒng)安全解決方案2傳統(tǒng)以防御為主的安全解決方案，解決了90%以上的安全問題，

但是……僅基于特征進行安全檢測嚴重依賴單點的處理能力防護設(shè)備各自為戰(zhàn)不協(xié)同無法應對持續(xù)性安全威脅傳統(tǒng)安全解決方案2傳統(tǒng)以防御為主的安全解決方案，解決了90%Internet業(yè)務日常辦公物理服務器承載工作人員Internet業(yè)務公有云移動分支BYOD工作人員 臨時訪客 運維人員邊界： 清晰模糊資產(chǎn)： 單一多元人員： 簡單復雜日常辦公 釘釘物理服務器承載

企業(yè)云 公有云 虛擬化傳統(tǒng)威脅以破壞為目的頻率一次性破壞單個服務手段簡單高級威脅獲取敏感數(shù)據(jù)長期持續(xù)潛伏攻擊針對機構(gòu)區(qū)域和國家手段復雜隱蔽網(wǎng)絡安全新挑戰(zhàn)3Internet業(yè)務日常辦公物理服務器承載工作人員Inter孫子曰：兵者，國之大事，死生之地，存亡之道，不可不察也。4沒有網(wǎng)絡安全就沒有國家安全?！暯綄O子曰：兵者，國之大事，死生之地，存亡之道，不可不察也。4AiLPHA大數(shù)據(jù)平臺N

TASO

CDB

A

u

d

it全天候全方位感知網(wǎng)絡安全態(tài)勢5知己：基于機器學習發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊，回溯攻擊歷史，預測即將發(fā)生的安全事件；知彼：結(jié)合威脅情報形成海陸空天一體的安全防御能力；采集了關(guān)鍵安全設(shè)備的日志、告警，滿足網(wǎng)絡安全法存儲6個月的要求；具備對內(nèi)部惡意資產(chǎn)的發(fā)現(xiàn)與驗證能力；AiLPHA大數(shù)據(jù)平臺NTASOCDBAudiTimeTime某關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)被竊?。I(yè)務安全）6TimeTime某關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)被竊取（業(yè)務安全）6攻擊行為取證、研判7攻擊行為取證、研判7傳統(tǒng)的安全解決方案8傳統(tǒng)的安全解決方案8Note:

據(jù)Gartner的研究表明，95%的被入侵并不是因為漏洞，而是因為防護設(shè)備的配置錯誤導致。N

TASO

CL

o

a

d

B

la

n

c

eL

o

a

d

B

la

n

c

e不完整的安全防護9Note:據(jù)Gartner的研究表明，95%的被入侵并不銀行網(wǎng)銀系統(tǒng)頻繁訪問境外天氣網(wǎng)站發(fā)現(xiàn)內(nèi)網(wǎng)有主機向外惡意掃描發(fā)現(xiàn)內(nèi)網(wǎng)大量主機惡意刷廣告發(fā)現(xiàn)城商行有大量境外看似正常的訪問公積金數(shù)據(jù)被竊取交通管所的靚號車牌被黃牛占有航空公司惡意占座某世界500強企業(yè)監(jiān)測到被遺忘的VPN連接發(fā)現(xiàn)集團公司的郵箱被盜、工資表泄露實踐出真知N

TASO

C10銀行網(wǎng)銀系統(tǒng)頻繁訪問境外天氣網(wǎng)站發(fā)現(xiàn)內(nèi)網(wǎng)有主機向外惡意掃描，，1112AI模型發(fā)現(xiàn)集團工資表被竊取12AI模型發(fā)現(xiàn)集團工資表被竊取12N

TASO

C主動防御L

o

a

d

B

la

n

c

eL

o

a

d

B

la

n

c

e實現(xiàn)從‘被動防守’到‘主動防御’的轉(zhuǎn)型13NTASOC主動防御LoadBlanc用戶中間件客戶端Data

C

e

n

te

r數(shù)據(jù)庫Why？What？where？when？Who？How？14核心數(shù)據(jù)安全？用戶中間件客戶端DataCenterWh用戶中間件客戶端數(shù)據(jù)庫D

ata

C

e

n

te

r核心數(shù)據(jù)安全

脫敏?15用戶中間件客戶端數(shù)據(jù)庫DataCente16給你想要的安全16給你想要的安全16數(shù)據(jù)庫審計，數(shù)據(jù)庫防火墻AiLPHA

大數(shù)據(jù)智能安全平臺D

ata

C

e

n

te

r17數(shù)據(jù)庫審計，數(shù)據(jù)庫防火墻AiLPHA大數(shù)據(jù)智能安全平臺DReconnaissanceWeaponizationDeliveryExploitationInstallationCommand&Actions

on踩點組裝投送攻擊植入CrontalObjectivesC2

控制收割I(lǐng)ntrusion

KillChain模型建模：發(fā)現(xiàn)關(guān)鍵線索關(guān)聯(lián)：還原攻擊事件安全分析思路18ReconnaissanceWeaponizationDel安全危害：Bitcoin

MinerDDoS

攻擊竊取數(shù)據(jù)發(fā)送垃圾郵件19僵尸主機/僵尸網(wǎng)絡安全危害：19僵尸主機/僵尸網(wǎng)絡fppgcheznrh.org

D

N

S

S

e

rve

rDGA域名生成20fryjntzfvti.b反例：Alexa100萬域名正例：收集積累的數(shù)據(jù)正例：top5mostprevalentDGA-basedcrimewarefamiliesareConficker,

Murofet,BankPatch,Bonnana

andBobax.隨機熵GibberishBigram域名后綴等等訓練數(shù)據(jù)特征值X1X+1

.

2 ||W||.X-1X221模型:

SVM檢測模型訓練反例：Alexa100萬域名正例：收集積累的數(shù)據(jù)正例C&C

Host感染IP域名請求0240741002422DGA域名檢測C&CHost感染IP域名請求019哪些主機被感染了？病毒是怎么感染進來的：Email?

FTP？病毒是怎么傳播的：通過漏洞？病毒是干什么的：Bitcoin