1、机密性Confidentiality完整性Integrity可用性Availability传统以防御为主的安全解决方案，解决了90%以上的安全问题，但是 仅基于特征进行安全检测 严重依赖单点的处理能力 防护设备各自为战不协同 无法应对持续性安全威胁 告警量大安全运维效率低Reconnaissance侦查Weaponization组装Delivery投送Exploitation攻击Installation植入Command&CrontalC2 控制Actions on Objectives收割Intrusion Kill Chain模型AiLPHA大数据平台知己：基于机器学习发现潜在的入侵和高隐

2、蔽性攻击，回溯攻击历史，预测即将发生的安全事件；知彼：结合威胁情报形成海陆空天一体的安全防御能力；采集了关键安全设备的日志、告警，满足网络安全法不少于6个月的日志存储要求（第三章、第二十一条、3节）；具备对内部失陷资产的发现与验证能力；数据采集安全环境状态识别已知安全事件监测未知安全风险监测安全状态综合分析EDREDREDRDER：Endpoint Detection and Response 终端检测和响应树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息系统统机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。Recon

3、naissance侦查Weaponization组装Delivery投送Exploitation攻击Installation植入Command&CrontalC2 控制Actions on Objectives收割Intrusion Kill Chain模型无侵入式被动发现，基于流量、日志、脆弱性等数据采用实时流式计算框架，新入网资产，30秒内即可被识别加入资产管理识别多种资产类型和指纹信息，如Web服务器、邮件服务器、数据库、终端等流量数据日志数据性能数据脆弱性数据微隔离东西流量的防护网站防护防SQL流入、XSS、CC攻击、防恶意扫描、敏感信息泄露登录防护异常登录防护，防暴力破解、弱口令检测

4、防端口扫描防恶意工具对侦听端口的扫描行为病毒查杀本地+云端双引擎查杀勒索、挖矿病毒网站后门查杀对网页木马进行查杀漏洞管理实时修复0day漏洞，加固系统性能监控实时监控系统资源，检测挖矿行为掌握网络拓扑和安全边界态势，全局感知安全威胁锁定风险资产和风险用户，画像分析异常行为和相关风险异常行为举证，利用威胁情报和漏洞信息辅助验证项目实践：20分钟内实现威胁溯源网络拓扑监控跨安全域行为检测风险资产发现资产综合画像异常行为举证上下文分析威胁情报查询漏洞利用验证自回归积分滑动平均模型，将非平稳时间序列转化为平稳时间序列，然后将因变量 仅对它的滞后值以及随机误差项的现值和滞后值进行回归所建立的模型。AR是

5、自回 归,MA为移动平均。训练以一周时间为一个周期的呈规律性分布的时间序列数据，网站访问量、车流量等数据均满足该规律。任意时刻的数据与之前几周同时刻数据应该符合高斯分布，利用 3-sigma 准则进行异常检测。指数平滑法常用于中短期趋势预测。是一种加权移动平均法。其特点是可加强观察期近期观察值对预测值的作用，增加近期观察值的权重，同时可控制权重的变化速率。日常观测数据往往包含噪声干扰，该算法将时序数据片段转化为矩阵结构，利用RPCA重构矩阵剔除大幅值噪声，提高突变程度略低的异常点检测性能，发现掩盖在噪声下的异常信息。RPCARPCA-SSTSSTWeekly Gaussian Estimati

6、onExponential SmoothingARIMARIMA A论文：A Robust Change-point Detection Method by Eliminating Sparse Noises,IEEE DSC专利：一种基于行为触发的防御链路耗尽型CC攻击的方法 专利号：201610369623.5专利：一种网络流量异常检测方法及系统 专利号：201710803213.1MoTuWeThFrSuSa上上周上周本周warning53月5日15:03该单位财务部门一台设备出现蓝屏。556673月5日15:37内网爆发蓝屏现象。3月5日16:00安恒信息安服赶到客户现场确认勒索病毒爆发，并协助该单位进行病毒查杀。3月6日7:00AiLPHA大数据平台+APT+SOC设备部署。3月6日采用大数据发现传播源发工单给安服处理方式，成功抑制病毒爆发与扩散3月7日，根据大暑平台告警，彻底完成内部勒索病毒清理工作该单位有2000+台设备，没有很好的网络规划，安服处置十分困难，只能是那里有蓝屏去哪里3月6号11:02正在遭受病毒感染3月6号12:27被感染成功后成为新的病毒源头1.资产自动开放445，22105，49834等不常用端口288个。2.445端口流入流量858MB，基本可以确认是通过445端口感染。审计/响应防护检测THANK YOU谢谢观看