這些題目考驗(yàn)了企業(yè)用戶，在高級威脅檢測能力上的布局與思考，您也來看看到底能得多少分？答案馬上揭曉——

　　在這場“全球高級威脅檢測能力考試”中，深信服全流量高級威脅檢測系統(tǒng)NDR（Network Detection And Response，網(wǎng)絡(luò)檢測與響應(yīng)），能答對90%以上難題，7*24h全年無休隨時(shí)解題。

　

　　

　　深信服在國際權(quán)威研究機(jī)構(gòu)IDC 2021年中國態(tài)勢感知解決方案市場評估中處于『領(lǐng)導(dǎo)者地位』，NDR作為其中一個(gè)關(guān)鍵組件，其發(fā)揮的價(jià)值在于高級威脅檢測這一核心能力，對威脅的自動(dòng)化編排與響應(yīng)能力也成為解決方案提供商能力差距的重要體現(xiàn)。

　　能獲得國內(nèi)外多個(gè)權(quán)威機(jī)構(gòu)認(rèn)可，深信服NDR自然有一套獨(dú)特的學(xué)習(xí)方法，以不斷提升高級威脅檢測能力，朝著滿分進(jìn)發(fā)。

　　深信服NDR專門以“高級威脅”為攻克目標(biāo)，精準(zhǔn)針對隱秘隧道通信、加密流量、內(nèi)網(wǎng)異常行為/違規(guī)訪問、0day漏洞等新型威脅。在惡意攻擊“突擊考試”來臨之前，確保90%以上押題命中率，萬無一失。

　　從訓(xùn)練式學(xué)習(xí)到推理學(xué)習(xí)，做到不需要監(jiān)督，深信服NDR能夠主動(dòng)學(xué)習(xí)，這便是“學(xué)霸”的高分密碼。如何理解有監(jiān)督學(xué)習(xí)和無監(jiān)督學(xué)習(xí)呢？

　　有監(jiān)督學(xué)習(xí)，就像考試前一夜機(jī)械式記憶知識點(diǎn)，但有兩個(gè)風(fēng)險(xiǎn)：一是一旦考到未知的知識點(diǎn)，背再多也無濟(jì)于事，面對難題還是束手無策；二是如果只復(fù)習(xí)了加法的計(jì)算，一旦出現(xiàn)乘法題，同樣無從下手。這種情況下，無監(jiān)督學(xué)習(xí)就可以派上用場了。無監(jiān)督學(xué)習(xí)就是即便考到了沒有學(xué)過的知識點(diǎn)和算法，也能夠基于掌握的解題方法，舉一反三，輕松解決難題。

　

　　日前，深信服NDR與全球權(quán)威IT研究與咨詢機(jī)構(gòu)Gartner聯(lián)合發(fā)布白皮書《使用AI對抗AI：NDR中的專用AI模型》。面對AI武器化的挑戰(zhàn)，深信服NDR應(yīng)用AI技術(shù)來檢測高級威脅及現(xiàn)有安全工具無法檢測的網(wǎng)絡(luò)異常行為，實(shí)力展現(xiàn)“用魔法打敗魔法，以AI打敗AI”的能力。

　　白皮書里對深信服NDR的AI技術(shù)應(yīng)用進(jìn)行了闡述：一方面，構(gòu)建檢測威脅的專用 AI 模型，學(xué)習(xí)企業(yè)的業(yè)務(wù)模型形成基線，對偏離基線的異常行為進(jìn)行告警，同時(shí)學(xué)習(xí)高級威脅和新型威脅的模型樣本，進(jìn)行泛化處理，對符合威脅特征的異常行為進(jìn)行告警；另一方面，利用AI模型消減安全告警，避免安全分析師淹沒在海量的告警日志中。

　

　　內(nèi)容詳見鏈接：https://www.gartner.com/technology/media-products/newsletters/Sangfor/1-26PLU163/index.html

　

　　以UEBA算法模型為核心，深信服NDR還可以實(shí)現(xiàn)7*24小時(shí)不間斷檢測多個(gè)會(huì)話流量。UEBA基于歷史數(shù)據(jù)獲取關(guān)于用戶和實(shí)體行為的基準(zhǔn)，并以這個(gè)基準(zhǔn)來持續(xù)對新產(chǎn)生的行為進(jìn)行判斷，一旦最新的行為不符合該用戶的歷史行為模式，會(huì)判斷用戶出現(xiàn)行為異常，幫助用戶實(shí)現(xiàn)簡單有效運(yùn)營。這就相當(dāng)于，學(xué)霸會(huì)通過不斷復(fù)盤錯(cuò)題、每天進(jìn)行學(xué)習(xí)總結(jié)，從而降低重復(fù)做錯(cuò)題的幾率。

　　

　　然而只會(huì)考高分可不是什么“真學(xué)霸”，來看深信服是如何通過AI學(xué)習(xí)到的能力應(yīng)用到實(shí)際場景里？

　　

　

　　在成為“NDR界學(xué)霸”的路上，必定遭受很多質(zhì)疑：

　　把能力說得那么玄乎，一定有大量告警和誤報(bào)吧？

　　檢測能力這么強(qiáng)，會(huì)不會(huì)增加運(yùn)維工作量？

　　……

　　逐個(gè)擊破質(zhì)疑，

　　深信服NDR有充分的實(shí)力證明：

　　深信服NDR在業(yè)界創(chuàng)新突破分層多流檢測技術(shù)，分為流量采集層、威脅感知層、威脅確認(rèn)層、威脅分析層、響應(yīng)處置層，形成從網(wǎng)絡(luò)流量到響應(yīng)閉環(huán)的完整檢測鏈條。這種“地毯式”檢測技術(shù)，威脅藏得再深，深信服NDR也能精準(zhǔn)有效檢出。

　　通過分層多流檢測技術(shù)，安全威脅事件被劃分為日常運(yùn)營與攻防對抗兩個(gè)優(yōu)先級，在日常運(yùn)營場景中通過告警消減實(shí)現(xiàn)簡單運(yùn)維，在攻防對抗場景中確認(rèn)存在威脅，可進(jìn)行自動(dòng)聯(lián)動(dòng)響應(yīng)與一鍵溯源。

　　在運(yùn)用分層多流檢測技術(shù)生成海量告警后，AI引擎通過攻擊方向判別、告警聚合、去除弱規(guī)則項(xiàng)、UEBA算法模型、云端持續(xù)更新等手段，再次過濾其中的誤報(bào)，確保提供給用戶的告警的準(zhǔn)確率，實(shí)現(xiàn)簡化運(yùn)維。

　

　　面對已經(jīng)確認(rèn)的安全威脅，深信服NDR圍繞SOAR（安全編排與自動(dòng)化響應(yīng)）的強(qiáng)大功能，涵蓋勒索病毒、僵尸網(wǎng)絡(luò)、漏洞攻擊、暴力破解等20+的事件類型，通過預(yù)定義/自定義組合多個(gè)元素（時(shí)間、風(fēng)險(xiǎn)等級、資產(chǎn)范圍）進(jìn)行策略設(shè)定，自動(dòng)聯(lián)動(dòng)自有生態(tài)的下一代防火墻AF、終端檢測響應(yīng)平臺EDR、全網(wǎng)行為管理AC等閉環(huán)處置，甚至與第三方API接口跨生態(tài)聯(lián)動(dòng)，將用戶的業(yè)務(wù)情況和安全等級，分為高、中、低威脅標(biāo)簽化處理。

　　通過深信服NDR“黃金眼”功能，用戶只需要根據(jù)IP/域名/URL/端口，便能輕松一鍵溯源，同時(shí)從攻擊時(shí)間、攻擊者信息、攻擊方式、攻擊規(guī)模等多維度分析，幫助用戶研判風(fēng)險(xiǎn)影響面。

　　

　　此外，深信服NDR能夠支持阿里云、騰訊云、亞馬遜AWS和VMware等主流云計(jì)算架構(gòu)和虛擬化平臺，與云上現(xiàn)有的防御體系構(gòu)建起互補(bǔ)完整的安防體系，重點(diǎn)解決云上全網(wǎng)安全在東西向流量上監(jiān)控盲區(qū)的問題，助力保障企業(yè)的云上安全。

　　目前，深信服NDR在全球舞臺開始展露鋒芒，獲得歐洲、東南亞、中東地區(qū)等60+高端專業(yè)用戶認(rèn)可，覆蓋制造業(yè)、金融、物流等行業(yè)。來源：深信服科技