?這些題目考驗了企業(yè)用戶，在高級威脅檢測能力上的布局與思考，您也來看看到底能得多少分?答案馬上揭曉——

在這場“全球高級威脅檢測能力考試”中，深信服全流量高級威脅檢測系統(tǒng)NDR(Network Detection And Response，網絡檢測與響應)，能答對90%以上難題，7*24h全年無休隨時解題。

深信服NDR“學霸”人設，最近也獲得了國內外公認：

深信服在國際權威研究機構IDC 2021年中國態(tài)勢感知解決方案市場評估中處于『領導者地位』，NDR作為其中一個關鍵組件，其發(fā)揮的價值在于高級威脅檢測這一核心能力，對威脅的自動化編排與響應能力也成為解決方案提供商能力差距的重要體現(xiàn)。

能獲得國內外多個權威機構認可，深信服NDR自然有一套獨特的學習方法，以不斷提升高級威脅檢測能力，朝著滿分進發(fā)。

方法一：目標明確，緊抓最新重要“考點”

深信服NDR專門以“高級威脅”為攻克目標，精準針對隱秘隧道通信、加密流量、內網異常行為/違規(guī)訪問、0day漏洞等新型威脅。在惡意攻擊“突擊考試”來臨之前，確保90%以上押題命中率，萬無一失。

方法二：構建AI模型，無監(jiān)督主動學習

從訓練式學習到推理學習，做到不需要監(jiān)督，深信服NDR能夠主動學習，這便是“學霸”的高分密碼。如何理解有監(jiān)督學習和無監(jiān)督學習呢?

有監(jiān)督學習，就像考試前一夜機械式記憶知識點，但有兩個風險：一是一旦考到未知的知識點，背再多也無濟于事，面對難題還是束手無策;二是如果只復習了加法的計算，一旦出現(xiàn)乘法題，同樣無從下手。這種情況下，無監(jiān)督學習就可以派上用場了。無監(jiān)督學習就是即便考到了沒有學過的知識點和算法，也能夠基于掌握的解題方法，舉一反三，輕松解決難題。

深信服NDR掌握的這套“解題方法”到底是什么呢?

日前，深信服NDR與全球權威IT研究與咨詢機構Gartner聯(lián)合發(fā)布白皮書《使用AI對抗AI：NDR中的專用AI模型》。面對AI武器化的挑戰(zhàn)，深信服NDR應用AI技術來檢測高級威脅及現(xiàn)有安全工具無法檢測的網絡異常行為，實力展現(xiàn)“用魔法打敗魔法，以AI打敗AI”的能力。

白皮書里對深信服NDR的AI技術應用進行了闡述：一方面，構建檢測威脅的專用 AI 模型，學習企業(yè)的業(yè)務模型形成基線，對偏離基線的異常行為進行告警，同時學習高級威脅和新型威脅的模型樣本，進行泛化處理，對符合威脅特征的異常行為進行告警;另一方面，利用AI模型消減安全告警，避免安全分析師淹沒在海量的告警日志中。

以UEBA算法模型為核心，深信服NDR還可以實現(xiàn)7*24小時不間斷檢測多個會話流量。UEBA基于歷史數據獲取關于用戶和實體行為的基準，并以這個基準來持續(xù)對新產生的行為進行判斷，一旦最新的行為不符合該用戶的歷史行為模式，會判斷用戶出現(xiàn)行為異常，幫助用戶實現(xiàn)簡單有效運營。這就相當于，學霸會通過不斷復盤錯題、每天進行學習總結，從而降低重復做錯題的幾率。

△行為模型檢測

然而只會考高分可不是什么“真學霸”，來看深信服是如何通過AI學習到的能力應用到實際場景里?

場景一內網/專網潛伏威脅

場景二實戰(zhàn)攻防

在成為“NDR界學霸”的路上，必定遭受很多質疑：

把能力說得那么玄乎，一定有大量告警和誤報吧?檢測能力這么強，會不會增加運維工作量?

……

逐個擊破質疑，

深信服NDR有充分的實力證明：

簡單易用，讓每個用戶都會使用、看得懂

創(chuàng)新突破的分層多流檢測技術，實現(xiàn)精準檢測

深信服NDR在業(yè)界創(chuàng)新突破分層多流檢測技術，分為流量采集層、威脅感知層、威脅確認層、威脅分析層、響應處置層，形成從網絡流量到響應閉環(huán)的完整檢測鏈條。這種“地毯式”檢測技術，威脅藏得再深，深信服NDR也能精準有效檢出。

△分層多流檢測技術架構

通過分層多流檢測技術，安全威脅事件被劃分為日常運營與攻防對抗兩個優(yōu)先級，在日常運營場景中通過告警消減實現(xiàn)簡單運維，在攻防對抗場景中確認存在威脅，可進行自動聯(lián)動響應與一鍵溯源。

AI告警消減，實現(xiàn)簡化運維

在運用分層多流檢測技術生成海量告警后，AI引擎通過攻擊方向判別、告警聚合、去除弱規(guī)則項、UEBA算法模型、云端持續(xù)更新等手段，再次過濾其中的誤報，確保提供給用戶的告警的準確率，實現(xiàn)簡化運維。

△AI告警消減

SOAR自動聯(lián)動處置+黃金眼一鍵溯源，實現(xiàn)安全風險的落地

面對已經確認的安全威脅，深信服NDR圍繞SOAR(安全編排與自動化響應)的強大功能，涵蓋勒索病毒、僵尸網絡、漏洞攻擊、暴力破解等20+的事件類型，通過預定義/自定義組合多個元素(時間、風險等級、資產范圍)進行策略設定，自動聯(lián)動自有生態(tài)的下一代防火墻AF、終端檢測響應平臺EDR、全網行為管理AC等閉環(huán)處置，甚至與第三方API接口跨生態(tài)聯(lián)動，將用戶的業(yè)務情況和安全等級，分為高、中、低威脅標簽化處理。

通過深信服NDR“黃金眼”功能，用戶只需要根據IP/域名/URL/端口，便能輕松一鍵溯源，同時從攻擊時間、攻擊者信息、攻擊方式、攻擊規(guī)模等多維度分析，幫助用戶研判風險影響面。

此外，深信服NDR能夠支持阿里云、騰訊云、亞馬遜AWS和VMware等主流云計算架構和虛擬化平臺，與云上現(xiàn)有的防御體系構建起互補完整的安防體系，重點解決云上全網安全在東西向流量上監(jiān)控盲區(qū)的問題，助力保障企業(yè)的云上安全。

目前，深信服NDR在全球舞臺開始展露鋒芒，獲得歐洲、東南亞、中東地區(qū)等60+高端專業(yè)用戶認可，覆蓋制造業(yè)、金融、物流等行業(yè)。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）