這些題目考驗了企業(yè)用戶(hù)，在高級威脅檢測能力上的布局與思考，您也來(lái)看看到底能得多少分？答案馬上揭曉——

　　在這場(chǎng)“全球高級威脅檢測能力考試”中，深信服全流量高級威脅檢測系統NDR（Network Detection And Response，網(wǎng)絡(luò )檢測與響應），能答對90%以上難題，7*24h全年無(wú)休隨時(shí)解題。

　

　　

　　深信服在國際權威研究機構IDC 2021年中國態(tài)勢感知解決方案市場(chǎng)評估中處于『領(lǐng)導者地位』，NDR作為其中一個(gè)關(guān)鍵組件，其發(fā)揮的價(jià)值在于高級威脅檢測這一核心能力，對威脅的自動(dòng)化編排與響應能力也成為解決方案提供商能力差距的重要體現。

　　能獲得國內外多個(gè)權威機構認可，深信服NDR自然有一套獨特的學(xué)習方法，以不斷提升高級威脅檢測能力，朝著(zhù)滿(mǎn)分進(jìn)發(fā)。

　　深信服NDR專(zhuān)門(mén)以“高級威脅”為攻克目標，精準針對隱秘隧道通信、加密流量、內網(wǎng)異常行為/違規訪(fǎng)問(wèn)、0day漏洞等新型威脅。在惡意攻擊“突擊考試”來(lái)臨之前，確保90%以上押題命中率，萬(wàn)無(wú)一失。

　　從訓練式學(xué)習到推理學(xué)習，做到不需要監督，深信服NDR能夠主動(dòng)學(xué)習，這便是“學(xué)霸”的高分密碼。如何理解有監督學(xué)習和無(wú)監督學(xué)習呢？

　　有監督學(xué)習，就像考試前一夜機械式記憶知識點(diǎn)，但有兩個(gè)風(fēng)險：一是一旦考到未知的知識點(diǎn)，背再多也無(wú)濟于事，面對難題還是束手無(wú)策；二是如果只復習了加法的計算，一旦出現乘法題，同樣無(wú)從下手。這種情況下，無(wú)監督學(xué)習就可以派上用場(chǎng)了。無(wú)監督學(xué)習就是即便考到了沒(méi)有學(xué)過(guò)的知識點(diǎn)和算法，也能夠基于掌握的解題方法，舉一反三，輕松解決難題。

　

　　日前，深信服NDR與全球權威IT研究與咨詢(xún)機構Gartner聯(lián)合發(fā)布白皮書(shū)《使用AI對抗AI：NDR中的專(zhuān)用AI模型》。面對AI武器化的挑戰，深信服NDR應用AI技術(shù)來(lái)檢測高級威脅及現有安全工具無(wú)法檢測的網(wǎng)絡(luò )異常行為，實(shí)力展現“用魔法打敗魔法，以AI打敗AI”的能力。

　　白皮書(shū)里對深信服NDR的AI技術(shù)應用進(jìn)行了闡述：一方面，構建檢測威脅的專(zhuān)用 AI 模型，學(xué)習企業(yè)的業(yè)務(wù)模型形成基線(xiàn)，對偏離基線(xiàn)的異常行為進(jìn)行告警，同時(shí)學(xué)習高級威脅和新型威脅的模型樣本，進(jìn)行泛化處理，對符合威脅特征的異常行為進(jìn)行告警；另一方面，利用AI模型消減安全告警，避免安全分析師淹沒(méi)在海量的告警日志中。

　

　　內容詳見(jiàn)鏈接：https://www.gartner.com/technology/media-products/newsletters/Sangfor/1-26PLU163/index.html

　

　　以UEBA算法模型為核心，深信服NDR還可以實(shí)現7*24小時(shí)不間斷檢測多個(gè)會(huì )話(huà)流量。UEBA基于歷史數據獲取關(guān)于用戶(hù)和實(shí)體行為的基準，并以這個(gè)基準來(lái)持續對新產(chǎn)生的行為進(jìn)行判斷，一旦最新的行為不符合該用戶(hù)的歷史行為模式，會(huì )判斷用戶(hù)出現行為異常，幫助用戶(hù)實(shí)現簡(jiǎn)單有效運營(yíng)。這就相當于，學(xué)霸會(huì )通過(guò)不斷復盤(pán)錯題、每天進(jìn)行學(xué)習總結，從而降低重復做錯題的幾率。

　　

　　然而只會(huì )考高分可不是什么“真學(xué)霸”，來(lái)看深信服是如何通過(guò)AI學(xué)習到的能力應用到實(shí)際場(chǎng)景里？

　　

　

　　在成為“NDR界學(xué)霸”的路上，必定遭受很多質(zhì)疑：

　　把能力說(shuō)得那么玄乎，一定有大量告警和誤報吧？

　　檢測能力這么強，會(huì )不會(huì )增加運維工作量？

　　……

　　逐個(gè)擊破質(zhì)疑，

　　深信服NDR有充分的實(shí)力證明：

　　深信服NDR在業(yè)界創(chuàng )新突破分層多流檢測技術(shù)，分為流量采集層、威脅感知層、威脅確認層、威脅分析層、響應處置層，形成從網(wǎng)絡(luò )流量到響應閉環(huán)的完整檢測鏈條。這種“地毯式”檢測技術(shù)，威脅藏得再深，深信服NDR也能精準有效檢出。

　　通過(guò)分層多流檢測技術(shù)，安全威脅事件被劃分為日常運營(yíng)與攻防對抗兩個(gè)優(yōu)先級，在日常運營(yíng)場(chǎng)景中通過(guò)告警消減實(shí)現簡(jiǎn)單運維，在攻防對抗場(chǎng)景中確認存在威脅，可進(jìn)行自動(dòng)聯(lián)動(dòng)響應與一鍵溯源。

　　在運用分層多流檢測技術(shù)生成海量告警后，AI引擎通過(guò)攻擊方向判別、告警聚合、去除弱規則項、UEBA算法模型、云端持續更新等手段，再次過(guò)濾其中的誤報，確保提供給用戶(hù)的告警的準確率，實(shí)現簡(jiǎn)化運維。

　

　　面對已經(jīng)確認的安全威脅，深信服NDR圍繞SOAR（安全編排與自動(dòng)化響應）的強大功能，涵蓋勒索病毒、僵尸網(wǎng)絡(luò )、漏洞攻擊、暴力破解等20+的事件類(lèi)型，通過(guò)預定義/自定義組合多個(gè)元素（時(shí)間、風(fēng)險等級、資產(chǎn)范圍）進(jìn)行策略設定，自動(dòng)聯(lián)動(dòng)自有生態(tài)的下一代防火墻AF、終端檢測響應平臺EDR、全網(wǎng)行為管理AC等閉環(huán)處置，甚至與第三方API接口跨生態(tài)聯(lián)動(dòng)，將用戶(hù)的業(yè)務(wù)情況和安全等級，分為高、中、低威脅標簽化處理。

　　通過(guò)深信服NDR“黃金眼”功能，用戶(hù)只需要根據IP/域名/URL/端口，便能輕松一鍵溯源，同時(shí)從攻擊時(shí)間、攻擊者信息、攻擊方式、攻擊規模等多維度分析，幫助用戶(hù)研判風(fēng)險影響面。

　　

　　此外，深信服NDR能夠支持阿里云、騰訊云、亞馬遜AWS和VMware等主流云計算架構和虛擬化平臺，與云上現有的防御體系構建起互補完整的安防體系，重點(diǎn)解決云上全網(wǎng)安全在東西向流量上監控盲區的問(wèn)題，助力保障企業(yè)的云上安全。

　　目前，深信服NDR在全球舞臺開(kāi)始展露鋒芒，獲得歐洲、東南亞、中東地區等60+高端專(zhuān)業(yè)用戶(hù)認可，覆蓋制造業(yè)、金融、物流等行業(yè)。來(lái)源：深信服科技