全球APT组织的攻击活动保持高度活跃,全球已公开披露的攻击活动涉及APT组织141个,但此数字仍在不断增长,攻击目标集中分布于政府、教育、金融、科研等国家重要行业领域。同时据相关机构的内部威胁调查报告显示,90%企业认为自己内部很容易被攻击,53%企业在12个月内受到过5次以内攻击,47%的攻击是来自于内部失陷主机的恶意操作,显而易见,内网威胁现状较为严峻。
天融信智能内网威胁分析系统基于大数据架构、采用人工智能设计理念,以发现内网失陷和内部违规为核心目标,全面收集终端、业务系统、网络流量三个方面的行为观测点的数据,融合关联分析、实体安全异常行为分析、AI分析形成纵深分析体系,基于诱捕分析、流量分析、终端检测响应等技术支撑,通过构建行为模型和综合评分机制,捕捉内网细微的行为异常变化,勾勒身份/资产行为轮廓,继而利用纵深分析对周期性行为进行判定,发现内网失陷和内部违规,最终挖出潜伏在内网高级威胁。
内置全面的大数据分析机制,采用分布式计算、分布式存储、数据仓库、分布式消息系统等组件,通过分布式消息系统和微秒级实时流分析引擎保证高性能的处理能力及强大的扩展能力,通过全文检索引擎保证大数据交互秒级响应能力,通过机器学习引擎提供智能分析能力。
预置多种威胁分析规则,主要包括:攻击分析类、内网失陷类、数据泄露类、特权滥用类、业务异常类、异常访问类等,威胁分析规则构建应用了多种Al算法,如:时序分析、决策树回归、LSTM长短期记忆网络、K-means聚类、Ngram排名等。
产品搭载三种分析引擎:关联分析引擎基于多元组算子库进行自定义建模;行为分析可对海量数据进行深度学习,进行观察和统计;深度分析引擎对不符合简单逻辑关系规律的网络安全威胁行为进行深度挖掘分析,通过三种分析引擎,对网络安全威胁为进行全面深入分析。
提供可视化分析建模能力,通过行为索引建模技术完成行为仓库的构建,将分析能力场景化,通过可视、拖拽方式,将分析模块拼装成分析场景完成分析模型构建,可实现简单、灵活地自定义分析模型。
内部人员的违规行为,如非法外联、混用账号、拷贝敏感资料等,无法得到很好的控制,缺乏有效的内控手段。
APT团伙攻击痕迹隐蔽,通过漏洞利用、后门植入、命令控制、侦测提权、数据窃取、文件外发等攻击手段入侵内网,窃取机密数据,造成严重危害。
全面掌握全网用户行为,利用大数据流分析引擎与威胁模型进行匹配,对数据实时分析,从而实现违规行为的甄别。
通过统计分析、关联分析、机器学习等手段,实现用户整体画像,通过个体基线和群体离散异常检测,可认清潜在风险。
利用大数据分布式计算、机器学习等技术,形成纵深分析体系,发现内网失陷和内部违规,挖出潜伏在内网的高级威胁。