基于大数据的智能安防体系建设课件

扬帆起航基于大数据的智能安全防御体系建设扬帆起航基于大数据的智能安全防御体系建设扬帆起航基于大数据的智能安全防御体系建设扬帆起航基于大数传统安全解决方案2传统以防御为主的安全解决方案，解决了90%以上的安全问题，

但是……仅基于特征进行安全检测严重依赖单点的处理能力防护设备各自为战不协同无法应对持续性安全威胁传统安全解决方案2传统以防御为主的安全解决方案，解决了90%传统安全解决方案2传统以防御为主的安全解决方案，解决了90%Internet业务日常办公物理服务器承载工作人员Internet业务公有云移动分支BYOD工作人员 临时访客 运维人员边界： 清晰模糊资产： 单一多元人员： 简单复杂日常办公 钉钉物理服务器承载

企业云 公有云 虚拟化传统威胁以破坏为目的频率一次性破坏单个服务手段简单高级威胁获取敏感数据长期持续潜伏攻击针对机构区域和国家手段复杂隐蔽网络安全新挑战3Internet业务日常办公物理服务器承载工作人员InterInternet业务日常办公物理服务器承载工作人员Inter孙子曰：兵者，国之大事，死生之地，存亡之道，不可不察也。4没有网络安全就没有国家安全。——习近平孙子曰：兵者，国之大事，死生之地，存亡之道，不可不察也。4孙子曰：兵者，国之大事，死生之地，存亡之道，不可不察也。4AiLPHA大数据平台N

TASO

CDB

A

u

d

it全天候全方位感知网络安全态势5知己：基于机器学习发现潜在的入侵和高隐蔽性攻击，回溯攻击历史，预测即将发生的安全事件；知彼：结合威胁情报形成海陆空天一体的安全防御能力；采集了关键安全设备的日志、告警，满足网络安全法存储6个月的要求；具备对内部恶意资产的发现与验证能力；AiLPHA大数据平台NTASOCDBAudiAiLPHA大数据平台NTASOCDBAudiTimeTime某关键基础设施数据被窃取（业务安全）6TimeTime某关键基础设施数据被窃取（业务安全）6TimeTime某关键基础设施数据被窃取（业务安全）6Tim攻击行为取证、研判7攻击行为取证、研判7攻击行为取证、研判7攻击行为取证、研判7传统的安全解决方案8传统的安全解决方案8传统的安全解决方案8传统的安全解决方案8Note:

据Gartner的研究表明，95%的被入侵并不是因为漏洞，而是因为防护设备的配置错误导致。N

TASO

CL

o

a

d

B

la

n

c

eL

o

a

d

B

la

n

c

e不完整的安全防护9Note:据Gartner的研究表明，95%的被入侵并不Note:据Gartner的研究表明，95%的被入侵并不银行网银系统频繁访问境外天气网站发现内网有主机向外恶意扫描发现内网大量主机恶意刷广告发现城商行有大量境外看似正常的访问公积金数据被窃取交通管所的靓号车牌被黄牛占有航空公司恶意占座某世界500强企业监测到被遗忘的VPN连接发现集团公司的邮箱被盗、工资表泄露实践出真知N

TASO

C10银行网银系统频繁访问境外天气网站发现内网有主机向外恶意扫描银行网银系统频繁访问境外天气网站发现内网有主机向外恶意扫描，，11，，1112AI模型发现集团工资表被窃取12AI模型发现集团工资表被窃取1212AI模型发现集团工资表被窃取12AI模型发现集团工资表被N

TASO

C主动防御L

o

a

d

B

la

n

c

eL

o

a

d

B

la

n

c

e实现从‘被动防守’到‘主动防御’的转型13NTASOC主动防御LoadBlancNTASOC主动防御LoadBlanc用户中间件客户端Data

C

e

n

te

r数据库Why？What？where？when？Who？How？14核心数据安全？用户中间件客户端DataCenterWh用户中间件客户端DataCenterWh用户中间件客户端数据库D

ata

C

e

n

te

r核心数据安全

脱敏敏15用户中间件客户端数据库DataCente用户中间件客户端数据库DataCente16给你想要的安全16给你想要的安全1616给你想要的安全16给你想要的安全16数据库审计，数据库防火墙AiLPHA

大数据智能安全平台D

ata

C

e

n

te

r17数据库审计，数据库防火墙AiLPHA大数据智能安全平台D数据库审计，数据库防火墙AiLPHA大数据智能安全平台DReconnaissanceWeaponizationDeliveryExploitationInstallationCommand&Actions

on踩点组装投送攻击植入CrontalObjectivesC2

控制收割Intrusion

KillChain模型建模：发现关键线索关联：还原攻击事件安全分析思路18ReconnaissanceWeaponizationDelReconnaissanceWeaponizationDel安全危害：Bitcoin

MinerDDoS

攻击窃取数据发送垃圾邮件19僵尸主机/僵尸网络安全危害：19僵尸主机/僵尸网络安全危害：19僵尸主机/僵尸网络安全危害：19僵尸主机/僵尸fppgcheznrh.org

D

N

S

S

e

rve

rDGA域名生成20fryjntzfvti.bfryjntzfvti.b反例：Alexa100万域名正例：收集积累的数据正例：top5mostprevalentDGA-basedcrimewarefamiliesareConficker,

Murofet,BankPatch,Bonnana

andBobax.随机熵GibberishBigram域名后缀等等训练数据特征值X1X+1

.

2 ||W||.X-1X221模型:

SVM检测模型训练反例：Alexa100万域名正例：收集积累的数据正例反例：Alexa100万域名正例：收集积累的数据正例C&C

Host感染IP域名请求0240741002422DGA域名检测C&CHost感染IP域名请求019C&CHost感染IP域名请求019哪些主机被感染了？病毒是怎么感染进来的：Email?

FTP？病毒是怎么传播的：通过漏洞？病毒是干什么的：Bitcoin

Miner？勒索？已经产生的危害有哪些？C&C主机是在哪里？关联分析关联分析、追踪溯源23关联分析关联分析、追踪溯源23关联分析关联分析、追踪溯源23关联分析关联分析、追踪溯源23防御审计响应检测24防御审计响应检测24防御审计响应检测24防御审计响应检测24PAGE

43THANKSPAGE43THANKS25PAGE43THANKSPAGE43THAN

扬帆起航基于大数据的智能安全防御体系建设扬帆起航基于大数据的智能安全防御体系建设扬帆起航基于大数据的智能安全防御体系建设扬帆起航基于大数传统安全解决方案27传统以防御为主的安全解决方案，解决了90%以上的安全问题，

但是……仅基于特征进行安全检测严重依赖单点的处理能力防护设备各自为战不协同无法应对持续性安全威胁传统安全解决方案2传统以防御为主的安全解决方案，解决了90%传统安全解决方案27传统以防御为主的安全解决方案，解决了90Internet业务日常办公物理服务器承载工作人员Internet业务公有云移动分支BYOD工作人员 临时访客 运维人员边界： 清晰模糊资产： 单一多元人员： 简单复杂日常办公 钉钉物理服务器承载

企业云 公有云 虚拟化传统威胁以破坏为目的频率一次性破坏单个服务手段简单高级威胁获取敏感数据长期持续潜伏攻击针对机构区域和国家手段复杂隐蔽网络安全新挑战28Internet业务日常办公物理服务器承载工作人员InterInternet业务日常办公物理服务器承载工作人员Inter孙子曰：兵者，国之大事，死生之地，存亡之道，不可不察也。29没有网络安全就没有国家安全。——习近平孙子曰：兵者，国之大事，死生之地，存亡之道，不可不察也。4孙子曰：兵者，国之大事，死生之地，存亡之道，不可不察也。2AiLPHA大数据平台N

TASO

CDB

A

u

d

it全天候全方位感知网络安全态势30知己：基于机器学习发现潜在的入侵和高隐蔽性攻击，回溯攻击历史，预测即将发生的安全事件；知彼：结合威胁情报形成海陆空天一体的安全防御能力；采集了关键安全设备的日志、告警，满足网络安全法存储6个月的要求；具备对内部恶意资产的发现与验证能力；AiLPHA大数据平台NTASOCDBAudiAiLPHA大数据平台NTASOCDBAudiTimeTime某关键基础设施数据被窃取（业务安全）31TimeTime某关键基础设施数据被窃取（业务安全）6TimeTime某关键基础设施数据被窃取（业务安全）31Ti攻击行为取证、研判32攻击行为取证、研判7攻击行为取证、研判32攻击行为取证、研判7传统的安全解决方案33传统的安全解决方案8传统的安全解决方案33传统的安全解决方案8Note:

据Gartner的研究表明，95%的被入侵并不是因为漏洞，而是因为防护设备的配置错误导致。N

TASO

CL

o

a

d

B

la

n

c

eL

o

a

d

B

la

n

c

e不完整的安全防护34Note:据Gartner的研究表明，95%的被入侵并不Note:据Gartner的研究表明，95%的被入侵并不银行网银系统频繁访问境外天气网站发现内网有主机向外恶意扫描发现内网大量主机恶意刷广告发现城商行有大量境外看似正常的访问公积金数据被窃取交通管所的靓号车牌被黄牛占有航空公司恶意占座某世界500强企业监测到被遗忘的VPN连接发现集团公司的邮箱被盗、工资表泄露实践出真知N

TASO

C35银行网银系统频繁访问境外天气网站发现内网有主机向外恶意扫描银行网银系统频繁访问境外天气网站发现内网有主机向外恶意扫描，，36，，3612AI模型发现集团工资表被窃取12AI模型发现集团工资表被窃取3712AI模型发现集团工资表被窃取12AI模型发现集团工资表被N

TASO

C主动防御L

o

a

d

B

la

n

c

eL

o

a

d

B

la

n

c

e实现从‘被动防守’到‘主动防御’的转型38NTASOC主动防御LoadBlancNTASOC主动防御LoadBlanc用户中间件客户端Data

C

e

n

te

r数据库Why？What？where？when？Who？How？39核心数据安全？用户中间件客户端DataCenterWh用户中间件客户端DataCenterWh用户中间件客户端数据库D

ata

C

e

n

te

r核心数据安全

脱敏敏40用户中间件客户端数据库DataCente用户中间件客户端数据库DataCente16给你想要的安全16给你想要的安全4116给你想要的安全16给你想要的安全41数据库审计，数据库防火墙AiLPHA

大数据智能安全平台D

ata

C

e

n

te

r42数据库审计，数据库防火墙AiLPHA大数据智能安全平台D数据库审计，数据库防火墙AiLPHA大数据智能安全平台DReconnaissanceWeaponizationDeliveryExploitationInstallationCommand&Actions

on踩点组装投送攻击植入CrontalObjectivesC2

控制收割Intrusion

KillChain模型建模：发现关键线索关联：还原攻击事件安全分析思路43ReconnaissanceWeaponizationDelReconnaissanceWeaponizationDel安全危害：Bitcoin

MinerDDoS

攻击窃取数据发送垃圾邮件44僵尸主机/僵尸网络安全危害：19僵尸主机/僵尸网络安全危害：44僵尸主机/僵尸网络安全危害：19僵尸主机/僵尸fppgcheznrh.org

D

N

S

S

e

rve

rDGA域名生成45fryjntzfvti.bfryjntzfvti.b反例：Ale