六方云神探全流量威胁检测与回溯系统

六方云全流量威胁检测与回溯系统（简称：神探）产品，区别于传统的静态检测“已知威胁”的解决方案，采用领先的AI威胁检测技术，结合全流量收集、深度监测、智能分析等手段，实现了对用户环境100％的可见度，能够发现用户以前从未感知到的潜在威胁，并辅助完成威胁研判和追踪溯源。

立即咨询

首页 > 产品中心 > 工控安全 > 六方云神探全流量威胁检测与回溯系统

威胁检测四大难点

非法接入
发现通过无线或者有线接入的资产

行为监测
资产行为及访问关系可视

未知威胁监测
感知可能造成安全风险的网络行为

威胁溯源
有效快速的溯源，做到早发现早解决

人工智能新安全

平台架构

神探产品采用“一平台、多场景、全数据”的体系架构，以网络与信息安全监测预警分析需求为基础，以基于攻击路径的安全场景模型为监测依据，采用全流量收集、深度监测、智能分析等手段，形成全面威胁免疫能力。一平台，整个系统由大数据分析平台及多个探针设备组成，通过大数据平台对部署在各网络节点的探针采集到的数据进行解析处理，对海量监控信息进行大数据存储。通过多维度、多模型对采集到的基础数据持续在线无监督算法建模和检测，为安全事件分析提供智能和可视化的分析手段。多场景，根据网络环境和监测分析预警需求，以多维数据建模为分析基础，从外部攻击和内部状态分别考虑，在攻击者入侵的各个阶段，监测到攻击者每一步的动作，基于攻击链进行攻击监测模型的构建，并通过资产关联、威胁情报等手段进行定位、跟踪。全数据，通过终端、网络多源探针实现信息安全基础数据的采集与监测。统一收集信息内网、信息外网基础设备的业务流量和控制流量，通过Dpi、Netflow、Nginx、ES 等技术手段实现数据获取。

五大引擎助力威胁检测 icon

AI行为引擎
基于机器学习算法，专注未知威胁检测

关联分析引擎
采用关联分析算法，深度挖掘高级威胁

威胁情报引擎
搭载威胁情报引擎，精准定位APT攻击

文件检测引擎
通过文件熵值模型，高效检测变种病毒

入侵检测引擎
结合入侵检测引擎，实时发现已知威胁

产品亮点

AI安全引擎实时发现未知威胁

运用人工智能技术，以资产为中心进行学习与建模，实现对已知攻击和未知威胁的精准发现并告警，实现网络安全的主动防御。

自动发现并识别IT与OT资产

基于网络流量自动发现并识别网络环境内的全部IT和OT资产，结合资产的业务属性绘制清晰的工控网络拓扑，有效辅助资产的运维与管理。

攻击链视角完整还原攻击过程

通过攻击链视图完整还原攻击过程，可实时查看恶意人员在每个攻击阶段对资产采取的攻击行为及攻击结果，方便管理员及时了解并看懂任意资产的受攻击情况。

威胁检测准确率超过90%

内置丰富的威胁检测模型，能够同时覆盖IT和OT网络场景，高效实时发现安全威胁，检测准确率超过90%。

实时查看任意资产的访问行为

完整记录全部资产的网络行为，运维管理员可以根据需要实时查询任意资产的行为记录，包括资产互访关系、网络访问行为和行为风险指数等。

安全事件自动多途径精准取证与溯源

支持实时记录攻击报文，可通过在线或下载的方式查看并分析取证报文，从而为安全专家提供威胁研判的依据，还可以基于威胁情报进行追踪溯源。

产品功能

资产访问深度透析

看清资产间的异常访问关系，看清IT资产业务逻辑可视。

未知威胁检测防护

高级威胁与未知威胁胁全面检测，支持单个资产攻击链维度呈现被攻击状态，点击资产拓扑中的单个资产，展示攻击链包括扫描探测、入侵尝试、内网渗透和数据窃取四个阶段，点击展示各自阶段日志，提示攻击事件是否成功。

用户行为建模学习

采取无监督学习算法，构建核心异常算法体系，为网络中的用户和设备建立行为模型，区分正常流量于高级或未知的攻击行为。

风险主机威胁可视

只有“看见”，才能够更好防范威胁，支持包括：异常访问、僵尸网络、黑产挖矿、失陷主机、信息探测、横向扩散、密码爆破、恶意域名访问、非法通信隧道和流量速率异常在内的诸多异常行为。

威胁情报联动预测

支持根据攻击源ip、domain、md5值等维度进行威胁情报朔源，包括攻击者背景分析、攻击源属性和IP信息分析等联动分析。

攻击手法场景还原

对攻击事件过程的还原，包括攻击发起时间、攻击结束时间、攻击IP、攻击者操作系统、攻击持续时间、攻击次数、攻击手法、攻击资产、攻击状态、攻击影响、安全处置建议等诸多还原指标，展示形态以时间轴的形式进行显示。

AI模型可视

功能描述

支持实时查看平台中模型的学习情况，如：学习中、青年、成年等；支持通过修改参数对模型进行微调，可调参数不少于五种。

客户价值

精准把握平台搭载模型的建模情况，通过调整参数，使模型检测更加贴近用户真实环境。

AI模型之蠕虫病毒（行为模型） icon

蠕虫扩散流程：扫描模块：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。攻击模块：攻击模块按扫描过程中找到的对象，取得该主机的权限。复制模块：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。

AI模型之恶意加密流量检测（随机森林） icon

随机森林是一种集成算法(Ensemble Learning)，它属于Bagging类型，通过组合多个弱分类器，最终结果通过投票或取均值，使得整体模型的结果具有较高的精确度和泛化性能。收集海量恶意及非恶意HTTPS流量，样本特征工程，获取二十余种维度，进行随机森林模型训练。

AI模型之钓鱼邮件检测 icon

钓鱼邮件检测系统分为两大模块：邮件解析模块与邮件检测模块。邮件解析模块负责读取邮件数据读，并将邮件文件解析为可识别数据。邮件检测模块负责检测解析好的数据，并对异常邮件进行告警。测试准确率在90%以上。

AI模型之恶意文件检测（熵值模型） icon

通过收集大量文件样本，按文件类型分类训练，可针对各类协议携带的附件样本，进行恶意文件检测。通过文件探针对流量中包含的文件进行还原，并进行特征提取，之后上送分析平台进行文件检测；包括webshell、office类文件、pdf、压缩文件（tar、rar、7z、zip）、media类文件（mp4、swf）、图片类文件等。信息熵是用来度量信源整体的平均不确定性的，熵越大代表随机变量的不确定性越大，反之不确定性越小。通过计算二进制文件不同尺度的熵值，建立GBDT模型实现二分类，判断文件是否为恶意文件，实现对恶意文件的检测。

部署方式：一平台，多探针 icon

神探-分析平台：负责网络行为的学习与建模，实时比对网络行为来发现网络威胁；神探-流量威胁探针：实时抓取网络流量，从中提出网络元数据并上送分析平台。

应用场景

大型政企单位

场景描述企业IT环境下，神探产品由一个分析平台和数个流量探针组成。重点监测客户内网交互流量。

产品应用自动发现集团内部全部资产；智能学习关键资产的网络行为并可视化呈现；有效优化防御能力，引入和强化了检测能力，包括WebShell检测、僵尸网络检测、黑链检测、恶意软件检测等未知威胁检测，在面对APT攻击时也能够实现良好的检测和防护效果；专业安服团队协助解决问题并出具安全报告。

大型工业企业

场景描述工控环境下，神探产品也是由一个分析平台和数个流量探针组成。因为工业场景既有企业办公环境的IT网，又有工业生产的OT网，因此，神探产品作为统一的AI分析平台，能够同时收集并处理来自IT探针和OT探针的元数据。

产品应用对绕过边界防御进入到内网的未知特征攻击进行检测，以弥补传统特征规则匹配的不足；对内部用户、业务资产的异常行为进行持续的检测，发现潜在风险以降低可能的损失；对环境中的IT资产及OT资产进行识别，梳理用户与资产的访问关系。

神探应用案例：电力行业某专项项目 icon

六方云50套神探百万大单成功落地！

总览

国网遵循《电力监控系统安全防护规定》（国家发改委令2014年第14号）及《电力监控系安全防护总体方案》（国能安全〔2015〕36号）的要求启动了专项项目，提出要通过网络流量在线监测等技术，快速、准确地监测和清除电力监控系统存在的安全风险，阻止已知威胁与未知威胁对主机操作系统、应用软件和用户文件的篡改、窃取和破坏。

挑战

国网电力生产环境以及电科院对网络安全设备的高标准、严要求；现场大量资产难以纳管、无法有效检测其中的恶意行为；对于愈演愈烈的未知威胁没有有效的防护手段。

价值

通过近1个月的客户现场的安全效果测试和近100次的优化改进，神探产品经受住了国网生产环境测试和电科院严苛测试标准的双重考验，为国网发现了超过100起恶意代码感染，近20起内部恶意人行为，且准确率超过90%，最终用数据和能力赢得了国网国调和某省调度中心客户与合作伙伴的高度认可！

案例分享—国家某部委办公网 icon