深信服全流量高階威脅檢測系統NDR：構建AI模型 精準檢測高階威脅

　　這些題目考驗了企業使用者，在高階威脅檢測能力上的佈局與思考，您也來看看到底能得多少分？答案馬上揭曉——

　　在這場“全球高階威脅檢測能力考試”中，深信服全流量高階威脅檢測系統NDR（Network Detection And Response，網路檢測與響應），能答對90%以上難題，7*24h全年無休隨時解題。

　　深信服NDR“學霸”人設，最近也獲得了國內外公認：

　　深信服在國際權威研究機構IDC 2021年中國態勢感知解決方案市場評估中處於『領導者地位』，NDR作為其中一個關鍵元件，其發揮的價值在於高階威脅檢測這一核心能力，對威脅的自動化編排與響應能力也成為解決方案提供商能力差距的重要體現。

　　能獲得國內外多個權威機構認可，深信服NDR自然有一套獨特的學習方法，以不斷提升高階威脅檢測能力，朝著滿分進發。

　　方法一：目標明確，緊抓最新重要“考點”

　　深信服NDR專門以“高階威脅”為攻克目標，精準針對隱秘隧道通訊、加密流量、內網異常行為/違規訪問、0day漏洞等新型威脅。在惡意攻擊“突擊考試”來臨之前，確保90%以上押題命中率，萬無一失。

　　方法二：構建AI模型，無監督主動學習

　　從訓練式學習到推理學習，做到不需要監督，深信服NDR能夠主動學習，這便是“學霸”的高分密碼。如何理解有監督學習和無監督學習呢？

　　有監督學習，就像考試前一夜機械式記憶知識點，但有兩個風險：一是一旦考到未知的知識點，背再多也無濟於事，面對難題還是束手無策；二是如果只複習了加法的計算，一旦出現乘法題，同樣無從下手。這種情況下，無監督學習就可以派上用場了。無監督學習就是即便考到了沒有學過的知識點和演算法，也能夠基於掌握的解題方法，舉一反三，輕鬆解決難題。

　　深信服NDR掌握的這套“解題方法”到底是什麼呢？

　　日前，深信服NDR與全球權威IT研究與諮詢機構Gartner聯合釋出白皮書《使用AI對抗AI：NDR中的專用AI模型》。面對AI武器化的挑戰，深信服NDR應用AI技術來檢測高階威脅及現有安全工具無法檢測的網路異常行為，實力展現“用魔法打敗魔法，以AI打敗AI”的能力。

　　白皮書裡對深信服NDR的AI技術應用進行了闡述：一方面，構建檢測威脅的專用 AI 模型，學習企業的業務模型形成基線，對偏離基線的異常行為進行告警，同時學習高階威脅和新型威脅的模型樣本，進行泛化處理，對符合威脅特徵的異常行為進行告警；另一方面，利用AI模型消減安全告警，避免安全分析師淹沒在海量的告警日誌中。

　　△內容詳見連結：

　　https://www.gartner.com/technology/media-products/newsletters/Sangfor/1-26PLU163/index.html

　　以UEBA演算法模型為核心，深信服NDR還可以實現7*24小時不間斷檢測多個會話流量。UEBA基於歷史資料獲取關於使用者和實體行為的基準，並以這個基準來持續對新產生的行為進行判斷，一旦最新的行為不符合該使用者的歷史行為模式，會判斷使用者出現行為異常，幫助使用者實現簡單有效運營。這就相當於，學霸會透過不斷覆盤錯題、每天進行學習總結，從而降低重複做錯題的機率。

△行為模型檢測

　　然而只會考高分可不是什麼“真學霸”，來看深信服是如何透過AI學習到的能力應用到實際場景裡？

　　場景一 內網/專網潛伏威脅

　　場景二 實戰攻防

　　在成為“NDR界學霸”的路上，必定遭受很多質疑：

　　把能力說得那麼玄乎，一定有大量告警和誤報吧？檢測能力這麼強，會不會增加運維工作量？

　　……

　　逐個擊破質疑，

　　深信服NDR有充分的實力證明：

　　簡單易用，讓每個使用者都會使用、看得懂

　　創新突破的分層多流檢測技術，實現精準檢測

　　深信服NDR在業界創新突破分層多流檢測技術，分為流量採集層、威脅感知層、威脅確認層、威脅分析層、響應處置層，形成從網路流量到響應閉環的完整檢測鏈條。這種“地毯式”檢測技術，威脅藏得再深，深信服NDR也能精準有效檢出。

△分層多流檢測技術架構

　　透過分層多流檢測技術，安全威脅事件被劃分為日常運營與攻防對抗兩個優先順序，在日常運營場景中透過告警消減實現簡單運維，在攻防對抗場景中確認存在威脅，可進行自動聯動響應與一鍵溯源。

　　AI告警消減，實現簡化運維

　　在運用分層多流檢測技術生成海量告警後，AI引擎透過攻擊方向判別、告警聚合、去除弱規則項、UEBA演算法模型、雲端持續更新等手段，再次過濾其中的誤報，確保提供給使用者的告警的準確率，實現簡化運維。

△AI告警消減

　　SOAR自動聯動處置+黃金眼一鍵溯源，實現安全風險的落地

　　面對已經確認的安全威脅，深信服NDR圍繞SOAR（安全編排與自動化響應）的強大功能，涵蓋勒索病毒、殭屍網路、漏洞攻擊、暴力破解等20+的事件型別，透過預定義/自定義組合多個元素（時間、風險等級、資產範圍）進行策略設定，自動聯動自有生態的下一代防火牆AF、終端檢測響應平臺EDR、全網行為管理AC等閉環處置，甚至與第三方API介面跨生態聯動，將使用者的業務情況和安全等級，分為高、中、低威脅標籤化處理。

　　透過深信服NDR“黃金眼”功能，使用者只需要根據IP/域名/URL/埠，便能輕鬆一鍵溯源，同時從攻擊時間、攻擊者資訊、攻擊方式、攻擊規模等多維度分析，幫助使用者研判風險影響面。

　　此外，深信服NDR能夠支援阿里雲、騰訊雲、亞馬遜AWS和VMware等主流雲計算架構和虛擬化平臺，與雲上現有的防禦體系構建起互補完整的安防體系，重點解決雲上全網安全在東西向流量上監控盲區的問題，助力保障企業的雲上安全。

　　目前，深信服NDR在全球舞臺開始展露鋒芒，獲得歐洲、東南亞、中東地區等60+高階專業使用者認可，覆蓋製造業、金融、物流等行業。