六方云全流量威胁检测与回溯系统(简称:神探)产品,区别于传统的静态检测“已知威胁”的解决方案,采用领先的AI威胁检测技术,结合全流量收集、深度监测、智能分析等手段,实现了对用户环境100%的可见度,能够发现用户以前从未感知到的潜在威胁,并辅助完成威胁研判和追踪溯源。
神探产品采用“一平台、多场景、全数据”的体系架构,以网络与信息安全监测预警分析需求为基础,以基于攻击路径的安全场景模型为监测依据,采用全流量收集、深度监测、智能分析等手段,形成全面威胁免疫能力。 一平台,整个系统由大数据分析平台及多个探针设备组成,通过大数据平台对部署在各网络节点的探针采集到的数据进行解析处理,对海量监控信息进行大数据存储。通过多维度、多模型对采集到的基础数据持续在线无监督算法建模和检测,为安全事件分析提供智能和可视化的分析手段。 多场景,根据网络环境和监测分析预警需求,以多维数据建模为分析基础, 从外部攻击和内部状态分别考虑,在攻击者入侵的各个阶段,监测到攻击者每一步的动作,基于攻击链进行攻击监测模型的构建,并通过资产关联、威胁情报等手段进行定位、跟踪。 全数据,通过终端、网络多源探针实现信息安全基础数据的采集与监测。统一收集信息内网、信息外网基础设备的业务流量和控制流量,通过Dpi、Netflow、Nginx、ES 等技术手段实现数据获取。
蠕虫扩散流程:扫描模块:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。攻击模块:攻击模块按扫描过程中找到的对象,取得该主机的权限。复制模块:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
随机森林是一种集成算法(Ensemble Learning),它属于Bagging类型,通过组合多个弱分类器,最终结果通过投票或取均值,使得整体模型的结果具有较高的精确度和泛化性能。收集海量恶意及非恶意HTTPS流量,样本特征工程,获取二十余种维度,进行随机森林模型训练。
钓鱼邮件检测系统分为两大模块:邮件解析模块与邮件检测模块。邮件解析模块负责读取邮件数据读,并将邮件文件解析为可识别数据。邮件检测模块负责检测解析好的数据,并对异常邮件进行告警。测试准确率在90%以上。
神探-分析平台:负责网络行为的学习与建模,实时比对网络行为来发现网络威胁;神探-流量威胁探针:实时抓取网络流量,从中提出网络元数据并上送分析平台。
六方云50套神探百万大单成功落地!