深信服全流量高级威胁检测系统NDR：构建AI模型 精准检测高级威胁

这些题目考验了企业用户，在高级威胁检测能力上的布局与思考，您也来看看到底能得多少分？答案马上揭晓——

在这场“全球高级威胁检测能力考试”中，深信服全流量高级威胁检测系统NDR（Network Detection And Response，网络检测与响应），能答对90%以上难题，7*24h全年无休随时解题。

深信服NDR“学霸”人设，最近也获得了国内外公认：

深信服在国际权威研究机构IDC 2021年中国态势感知解决方案市场评估中处于『领导者地位』，NDR作为其中一个关键组件，其发挥的价值在于高级威胁检测这一核心能力，对威胁的自动化编排与响应能力也成为解决方案提供商能力差距的重要体现。

能获得国内外多个权威机构认可，深信服NDR自然有一套独特的学习方法，以不断提升高级威胁检测能力，朝着满分进发。

方法一：目标明确，紧抓最新重要“考点”

深信服NDR专门以“高级威胁”为攻克目标，精准针对隐秘隧道通信、加密流量、内网异常行为/违规访问、0day漏洞等新型威胁。在恶意攻击“突击考试”来临之前，确保90%以上押题命中率，万无一失。

方法二：构建AI模型，无监督主动学习

从训练式学习到推理学习，做到不需要监督，深信服NDR能够主动学习，这便是“学霸”的高分密码。如何理解有监督学习和无监督学习呢？

有监督学习，就像考试前一夜机械式记忆知识点，但有两个风险：一是一旦考到未知的知识点，背再多也无济于事，面对难题还是束手无策；二是如果只复习了加法的计算，一旦出现乘法题，同样无从下手。这种情况下，无监督学习就可以派上用场了。无监督学习就是即便考到了没有学过的知识点和算法，也能够基于掌握的解题方法，举一反三，轻松解决难题。

深信服NDR掌握的这套“解题方法”到底是什么呢？

日前，深信服NDR与全球权威IT研究与咨询机构Gartner联合发布白皮书《使用AI对抗AI：NDR中的专用AI模型》。面对AI武器化的挑战，深信服NDR应用AI技术来检测高级威胁及现有安全工具无法检测的网络异常行为，实力展现“用魔法打败魔法，以AI打败AI”的能力。

白皮书里对深信服NDR的AI技术应用进行了阐述：一方面，构建检测威胁的专用 AI 模型，学习企业的业务模型形成基线，对偏离基线的异常行为进行告警，同时学习高级威胁和新型威胁的模型样本，进行泛化处理，对符合威胁特征的异常行为进行告警；另一方面，利用AI模型消减安全告警，避免安全分析师淹没在海量的告警日志中。

△内容详见链接：

https://www.gartner.com/technology/media-products/newsletters/Sangfor/1-26PLU163/index.html

以UEBA算法模型为核心，深信服NDR还可以实现7*24小时不间断检测多个会话流量。UEBA基于历史数据获取关于用户和实体行为的基准，并以这个基准来持续对新产生的行为进行判断，一旦最新的行为不符合该用户的历史行为模式，会判断用户出现行为异常，帮助用户实现简单有效运营。这就相当于，学霸会通过不断复盘错题、每天进行学习总结，从而降低重复做错题的几率。

△行为模型检测

然而只会考高分可不是什么“真学霸”，来看深信服是如何通过AI学习到的能力应用到实际场景里？

场景一 内网/专网潜伏威胁

场景二 实战攻防

在成为“NDR界学霸”的路上，必定遭受很多质疑：

把能力说得那么玄乎，一定有大量告警和误报吧？检测能力这么强，会不会增加运维工作量？

……

逐个击破质疑，

深信服NDR有充分的实力证明：

简单易用，让每个用户都会使用、看得懂

创新突破的分层多流检测技术，实现精准检测

深信服NDR在业界创新突破分层多流检测技术，分为流量采集层、威胁感知层、威胁确认层、威胁分析层、响应处置层，形成从网络流量到响应闭环的完整检测链条。这种“地毯式”检测技术，威胁藏得再深，深信服NDR也能精准有效检出。

△分层多流检测技术架构

通过分层多流检测技术，安全威胁事件被划分为日常运营与攻防对抗两个优先级，在日常运营场景中通过告警消减实现简单运维，在攻防对抗场景中确认存在威胁，可进行自动联动响应与一键溯源。

AI告警消减，实现简化运维

在运用分层多流检测技术生成海量告警后，AI引擎通过攻击方向判别、告警聚合、去除弱规则项、UEBA算法模型、云端持续更新等手段，再次过滤其中的误报，确保提供给用户的告警的准确率，实现简化运维。

△AI告警消减

SOAR自动联动处置+黄金眼一键溯源，实现安全风险的落地

面对已经确认的安全威胁，深信服NDR围绕SOAR（安全编排与自动化响应）的强大功能，涵盖勒索病毒、僵尸网络、漏洞攻击、暴力破解等20+的事件类型，通过预定义/自定义组合多个元素（时间、风险等级、资产范围）进行策略设定，自动联动自有生态的下一代防火墙AF、终端检测响应平台EDR、全网行为管理AC等闭环处置，甚至与第三方API接口跨生态联动，将用户的业务情况和安全等级，分为高、中、低威胁标签化处理。

通过深信服NDR“黄金眼”功能，用户只需要根据IP/域名/URL/端口，便能轻松一键溯源，同时从攻击时间、攻击者信息、攻击方式、攻击规模等多维度分析，帮助用户研判风险影响面。

此外，深信服NDR能够支持阿里云、腾讯云、亚马逊AWS和VMware等主流云计算架构和虚拟化平台，与云上现有的防御体系构建起互补完整的安防体系，重点解决云上全网安全在东西向流量上监控盲区的问题，助力保障企业的云上安全。

目前，深信服NDR在全球舞台开始展露锋芒，获得欧洲、东南亚、中东地区等60+高端专业用户认可，覆盖制造业、金融、物流等行业。