新闻动态

News information

六方云赢得近百套AI安全产品大单!

<<返回

2020年12月30日 22:16

六方云神探产品凭借AI安全的显著效果,在某重点关基行业成功斩获近百套产品大单!此项目的成功签订,为后续在关基行业的开拓建立了标杆案例,也充分证明六方云AI安全技术路线不但做到了战略上的前瞻性和正确性,且技术也步入了国际一流行列,领先国内!


伴随着信息化建设的全面展开,企业数字化转型在迅速发展的同时,也面临着愈演愈烈的网络安全威胁。


●高级攻击和未知威胁不断出现。据Radware 公司发布《 2019-2020 年全球应用及网络安全报告》显示,在2018 年,19% 的企业认为他们遭受了国家支持的攻击。在 2019 年,这一数字增长到了 27%。传统基于已知攻击特征和威胁情报的安全检测技术无法实时检测,企业只能望而兴叹。


●在复杂多变的攻击手段中,黑客加密攻击约占70%。经过加密之后,基于规则匹配的技术无法对流量中包含的恶意片段进行检测,传统网络安全设备无计可施。


●无法对资产的行为进行可视化的审计,导致网络攻击和轻微违规行为被放任存在,进一步发展成为高级威胁的跳板。


●由于网络安全建设,许多企业增加了大量设备,但由于缺少有效的运维手段,无法实现设备统一管理。


●有些企业虽然部署了网络安全产品,但由于缺少专业安全服务人员进行日常运维,或安全服务人员的运维的经验参差不齐,在发现威胁事件之后无法及时有效的进行分析溯源。


因此,这促使关乎国计民生的关基行业对于网络安全产品的技术和能力提出了更高的要求,对已知和未知威胁的新型防护措施也日益迫切。


栽下梧桐树,自有凤凰来--六方云AI安全解决方案


面对严峻的考验,六方云领先性的提出了“AI基因,威胁免疫”的防护理念。六方云的方案有别于传统的静态检测“已知威胁”的解决方案,它采用自主知识产权的人工智能技术,以网络与信息安全监测预警分析需求为基础,利用基于攻击路径的安全场景模型为监测依据,运用人工智能技术实现对安全威胁的主动防御。

1111.jpg

▲六方云全流量威胁检测系统业务流程


六方云神探产品的核心能力主要可以概括为“四看”:


●帮助用户看见全部资产


神探产品可以从流量中自动发现资产,并自动将发现的资产放入对应的分组中,同时通过AI模型对资产进行聚类,极大减轻了运维人员的工作量。当网络中接入非法设备时,神探产品也会实时告警,及时规避安全风险。

image001.jpg

●帮助用户看清全部行为


采取无监督学习算法,构建异常算法体系,对网络上所有资产的网络行为进行完整记录,为网络中的用户和设备建立行为模型,以区分正常流量与高级或未知攻击行为。运维管理员可以根据需要实时查询任意资产的行为记录,包括资产互访关系、网络访问行为和行为风险指数等。


如:非法内/外联检测,即通过对资产行为进行建模之后,结合极值理论发现资产的异常行为:

image003.jpg

AI模型之异常内/外联


●帮助用户看到全部威胁


产品采用以AI行为引擎为主,AI文件引擎、AI威胁引擎、AI入侵引擎以及AI关联引擎为辅的五大引擎联动检测体系,有效提高威胁检测能力,实现基于非结构化数据的智能分析与挖掘,发现疑似APT、暴力破解、蠕虫病毒、异常登录、DdoS 攻击等高级威胁以及未知威胁。

222.jpg

五大检测引擎


●帮助用户看懂全部攻击


神探产品支采用网络侦查->网络入侵->提升攻击权限->内网渗透->安装系统后门->命令与控制C&C->清除入侵痕迹的资产攻击链可视化技术,通过定位威胁所处攻击链环节,结合关联分析技术,将黑客的攻击过程完全还原。

333333.jpg

产品支持将威胁事件原始流量以pcap格式文件自动留存,可以在系统web页面直接查看并分析原始流量数据包的协议和内容,便于安全运维人员的威胁研判。

image005.jpg

特色功能和技术优势远超客户预期


神探不仅完美满足新时代对网络安全设备提出的要求,而且在技术优势也远远超出了客户的预期,让客户赞叹不已,可以总结为“四大”产品特色:第一款能够有效发现未知威胁的安全产品、检测恶意加密流量的神器、威胁检测精准率达90%、不依赖特征库的自学习自进化能力。


●基于人工智能的未知威胁检测


采用自主知识产权的AI算法引擎,不依赖先验的攻击特征或威胁情报,实现基于非结构化数据的智能分析与挖掘,发现疑似APT、暴力破解、蠕虫病毒、异常登录等高级威胁以及未知威胁。颠覆了安全设备必须定期进行特征库升级的惯例,解决了传统安全技术解决不了的“未知威胁发现”难题,填补了国内的空白,达到国际先进水平。

image007.jpg

如:在检测web入侵时,六方云设计了一个基于无监督分类器的web响应报文异常检测方法,通过自编码器的异常分数判定发现未知web威胁。


●AI模型之恶意加密流量检测


在复杂多变的攻击手段中,黑客加密攻击约占70%。经过加密之后,基于规则匹配的技术无法对流量中包含的恶意片段进行检测,传统网络安全设备无计可施。六方云神探产品在不解密流量的情况,利用AI威胁检测技术,精准识别恶意加密流量,不仅能够检测已知的恶意流量,而且对于新型恶意流量同样具有泛化检测能力。


首先,分析百万级的正常流量和恶意流量中TLS流、DNS流和HTTP流的不同之处,具体包括未加密的TLS握手信息、TLS流中与目的IP地址相关的DNS响应信息、相同源IP地址5min窗口内HTTP流的头部信息;


然后,选取具有明显区分度的特征集作为分类器(有监督机器学习)的输入来训练检测模型,从而识别加密的恶意流量。

image009.jpg

利用上下文流量特征识别TLS加密恶意流量


●威胁检测精准率达90%


设备运行仅仅两天时间,便为客户发现了100多起恶意代码感染、20多起违规操作行为,且经过安全专家分析,准确率超过90%。


●安全能力随学习时间增长


AI算法模型可通过持续学习现网流量进行自我迭代和强化,有效提高威胁检测模型适应能力。随着学习时间的增加,检测能力会逐渐提高。

4444.jpg

模型自调整与自适应


image011.jpg

六方云全流量威胁检测与回溯系统AI模型


达成效果


“初心在方寸,咫尺在匠心”,经过近1个月的客户现场安全效果测试和100多次的优化改进,六方云神探产品经受住了某关基行业真实生产环境和严苛测试标准的双重考验,最终用数据和能力赢得了客户与合作伙伴的高度认可!


在此过程中主要价值总结:


●资产运维效率提升了180倍,从之前需要近半月的资产梳理,到仅仅2个小时就能通过自学习方式完成全部资产的梳理!


●威胁处置效率提升百倍:


■部署设备之前需要经历人工确认分析->结果上报->下发处置通知等繁复的流程;


■部署设备之后,通过AI引擎进行行为分析,结合威胁情报、关联分析等辅助手段进行威胁判断,并自动将威胁事件以邮件方式发送管理员进行通告。


●为客户弥补了之前不具备的未知威胁检测能力,之前一个新的威胁从被发现到出现相应规则,需要两个月以上的时间,而部署神探产品之后,只需要短短几分钟。


潮平岸阔催人进,风起扬帆正当时!未来,六方云神探产品必将披荆斩棘,引领人工智能新安全!