AiLPHA大數據智能安全平台

智能 | 態勢 | 融合 | 大數據分析

AiLPHA大數據智能安全平台

AiLPHA大數據智能安全平台(簡稱AiLPHA)是以安恒首席科學家劉博爲核心的研發團隊創新智造的安全産品,旨在解決傳統安全設備無法應對越來越複雜和隱蔽的安全威脅。AiLPHA以“AI驅動安全”爲核心理念,集成超大規模存查、大數據實時智能分析、用戶行爲(UEBA)分析、多維態勢安全視圖、企業安全聯動閉環等安全模塊。具備全網流量處理、異構日志集成、核心數據安全分析、辦公應用安全威脅挖掘等前沿大數據智能安全威脅挖掘分析與預警管控能力。爲企業客戶提供全局態勢感知和業務不間斷穩定運行安全保障。致力于讓安全更智能,更簡單。  

産品架構

數據采集:實時采集全流量,安全設備日志,應用日志等,爲下遊實時計算提供源源不斷的數據。 

ETL:提供強大的數據抽取、轉換和加載能力,解析引擎支持超過300+廠商以及3000+種類日志。 

數據分析與計算:搭建高可用集群HA以HDFS Federation和YARN爲核心,集成了各種計算組件,包括HBase、Kafka、flink等. 

應用服務:以個性化展示結果數據以及使用告警系統生成異常結果數據警報。

産品優勢

1. 多源異構數據采集

采用多樣的、異構的安全資産的數據采集,具備全流量7層協議深度解析技術、全網安全日志智能解析采集技術,實現可適配數據源的方式對各類安全設備、系統數據進行采集、清洗、標准化、存儲,提供離線、實時、全文檢索等多種數據訂閱及分析等功能。

2. UEBA分析

UEBA提供畫像及基于各種分析方法的異常檢測,通常是基本分析方法來評估用戶和其他實體(主機,應用程序,網絡,數據庫等), 來發現與用戶或實體標准畫像或行爲相異常的活動所相關的潛在事件。這些活動包括內部或第三方人員對系統的異常訪問(用戶異常),或者外部攻擊者繞過防禦性安全控制的入侵(異常用戶)。通過對用戶日常行爲的聚類以及AiLPHA大數據分析平台安全域信息,將不同類別的使用者(User)區分出來。當這些用戶實體有非職責內操作時,平台會將該用戶標記較高異常評分(Anomaly Score)。

3. 威脅智能溯源

高級網絡安全事件隱蔽而複雜,安全運維人員難以進行溯源分析,對安全事件的判斷、安全決策的制定帶來了巨大的困難。平台通過利用威脅情報、大數據安全分析、建立情報共享,協同分析、全生命周期跟蹤安全事件的溯源流程,極大程度的方便運維人員進行安全威脅排除、攻擊鏈分析、事件溯源等,提升企業的整體安全事件分析能力。

4. 模型智能編排

AiLPHA計算分析系統可實現對模型的智能編排,支持用戶自定義實現數據挖掘和集群學習基礎算法。通過使用有向連接線標書模型數據的流程,實現多個元素的鏈接。模型編排完成,可實時輸出模型的計算結果,並且可直接調用已有模型作爲下一個模型的輸入。模型編排修改模型時,在完成界面顯示模型指標的增刪改情況。支持使用Python、Java等語言開發數據分析程序。

産品價值

  • 海量多源異構的數據處理

    ·構建PB級別的數據中心,實現對數據高效檢索和挖掘分析  ·采集全流量、設備日志、應用日志等,幫助客戶站在更高的視角洞悉更全面的數據。  ·滿足網絡安全法180天存儲要求。
  • 顯著降低告警誤報率

    ·對原始數據和安全告警進行多維度的聚合分析 剔除重複數據,從而提高准確率。 ·通過曆史安全事件對模型的訓練以及安全策略的自動調整,從而提高預測能力和檢測精度。 ·通過標准數據驗證和現場運行情況,降低安全告警處理量10-100倍。 
  • AI分析發現高級隱藏威脅

    ·檢測發現繞過防護設備的隱蔽性、低頻率的高級威脅  ·UEBA發現內部高級威脅(主機失陷、數據竊取、盜號、越權等) ·通過標准數據驗證和現場運行情況,以及和傳統安全産品對比發現檢新率達到20-30%。
  • 完整威脅攻擊鏈溯源

    ·通過對資産的多維度關聯分析,還原完整的攻擊鏈,幫助客戶從根源上解決安全威脅。  ·針對內外網提供不同的解決方案定位攻擊源頭.。 ·通過圖譜分析,快速識別感染範圍以及攻擊源頭。
  • 一站式安全運營和閉環處置

    ·提供可視化大屏,客戶能夠全局觀察整個系統的安全態勢,讓運維管理變得更加簡單。  ·提供工單運維處置,協助客戶進行安全管理工作的績效考核,從而達到對安全事件的閉環處置。 ·結合安全服務實現快速應急響應和重大安保。 ·具備垂直管理能力,滿足大型企業省市多級架構管理。
  • 快速滿足等級保護要求

    ·滿足國家、行業、國際標准等合規要求。 ·滿足等保2.0中對大數據應用安全擴展要求的冗余+權限+審計,全方面的保護數據安全。

交付模式

1.軟硬一體機模式

軟硬一體機,是面向大數據存儲、數據計算處理和數據展示的産品,集操作系統、計算資源、存儲資源爲一整體進行部署交付。具體實現指的是在單一節點機器(內存>256G)上采用docker技術,將大數據所需的組件通過docker運行。當數據量較大,單一節點無法支撐時,可以無縫橫向擴展,構建屬于自己的本地大數據平台。

2.軟件化模式(雲平台模式)

支持純軟件化交付模式,可以部署在用戶提供硬件服務器或目前市面上主流雲平台,也可以部署到現有虛擬化資源中,提高對計算資源的利用率。

産品榮譽

  • 2017年智慧城市創新應用

  • 2018年浙江省大數據應用技術創新獎

  • 2018年AI最佳産品成長獎

  • 2018年網絡安全創新産品優秀獎

  • 2018年大數據産業發展大數據安全保障試點示範項目

  • 大數據網絡安全態勢感知及智能防控技術國家地方聯合工程研究中心

  • Cyber Defense Magazine:Breakout Security Information Event Management (SIEM) InfoSec Award for 2019

  • ···