大
数
据 时间序列分析
二类分类
多类分类
聚类
分
析
DNS flow引擎
SMTP flow引 擎
POP3 flow引 擎
HTTP flow引 擎
SMB flow引擎
AD flow引擎
离群点检测 IMAP flow引
擎
文件鉴定引擎
异常行为分析建模
长
周
期
用户行为
分
析
场景建模
流量行为 算法集合
操作行为 专家规则
高级威胁检测
运维人员精力有限，处置效率低
看不到威胁的扩散，处置不彻底
根因分析： 设备之间难以协同响应，缺乏影响面分析
一．新的安全形势与挑战 二．面向未来，有效保护 三．深信服安全感知平台 四．产品特色及成功案例
安全建设从被动防御到主动防御升级
被动防御
防御为主、被动响应
• 边界防护 • 入侵防护 • 主机杀毒
建议部署拓扑图
➢ 一个信息汇集分析中心 ----- 织网蛛的大脑
➢ 多个散布的信息采集点 ----- 踩在不同经线的蛛腿
一．新的安全形势与挑战 二．面向未来，有效保护 三．深信服安全感知平台 四．产品特色及成功案例
持续创新，引领技术
• 13年技术积累，基于全流量的深度挖掘能力国内第一；
一．新的安全形势与挑战 二．面向未来，有效保护 三．深信服安全感知平台 四．产品特色及成功案例
国家高度重视网络安全建设
习主席4.19讲话
网络安全法
十三五信息化规划
网络安全等级保护2.0
没有网络安全就没有国家安全 树立动态、综合防护的防护理念 全天候全方位感知网络安全态势 构建关键基础设施安全保障体系 对新型威胁进行持续检测和分析
割裂的安全视角，难以看清安全全貌
看不到僵尸资产 管理员弱密码 系统存在高危漏洞
海量的安全日志，难以识别有效告警 日志内容专业性强，运维人员读不懂 日志之间关联少，无推理总结性描述
根因分析： 缺乏主动资产与脆弱性识别，安全设备相互割裂、难以深度关联分析，缺乏全局安全视角
当前安全建设遭遇瓶颈-问题响应处置慢
隐蔽通道检测
DGA域名检测
新型Webshell 未知恶意文件
恶意流量行为 可疑邮件行为
异常行为检测
特权账号冒用
内部数据泄露
越权非法操作
绕过行为检测
违规访问行为
风险访问行为
精准检测能力-SAVE智能检测引擎
深信服人工智能检测引擎SAVE
SANGFOR AI-based Vanguard Engine
2.下一代防火墙，融合 的边界防护，一键阻 断，智能封锁外部IP
安全态势感知
云端大数据智能分析中心
APT检测云服务
Internet
1.云端威胁情报实时同 步，快速应对新型威胁
3.快速定位终端用户， 告警页面自动提醒
安全感知平台，本地安 全大脑
4.端点安全EDR， AF下一代防火墙 一键查杀、微隔离
潜伏威胁探针
《Gartner公布2019年七大安全和风险管理趋势》
• 该报告提到的第二大趋势指出：安全运营中心正在实施，重点是威胁检 测和响应。随着安全警报的复杂性和频率的增加，安全投资也从威胁防 御向威胁检测转变，这需要在安全运营中心方面进行投资。
感知威胁 防患未然 《IDC MarketScape：中国网络 安全态势感知解决方案2019》调研
AF下一代防火墙
潜伏威胁探针
EDR EDR EDR
EDR
核心区
EDR EDR EDR 办公区
潜伏威胁探针 EDR EDR EDR 分支区
协同响应能力-配套专家服务深度解析
安全可视化 安全专家服务
掌握安全态势 分析处理威胁
威胁分析 事件处置 溯源分析 加固建议
交付物 《威胁分析报告》 《事件处置报告》 《溯源分析报告》 《安全加固方案》
攻击链关联
安全事件举证
影响面分析
攻击入口点 溯源
元数据取证
全局可视能力-综合态势可视辅助决策
全网安全态势可视
外部攻击态势 可视
横向攻击态势 可视
业务外连风险可视
业务脆弱性与风险 可视
协同响应能力-云网端联动辅助闭环
全球威胁情报共享中心
Virus 网页恶意代码（http） 黑客
邮件病毒 Email virus
安全感知平台架构
展示与 应用层
安全态势 安全预警
威胁监测 资产中心
脆弱性监测 报表／报告
MapReduce并行处理框架
大数据安全分析
安
关联分析
全
分
行为分析
析
机器学习
ＵＥＢＡ 特征匹配 协议分析
数据存储
Elastic Search存储
访问关系分析
安全态势
溯源分析
违规访问 资产识别
潜伏威胁
攻击态势
对
外
新型未知威胁难检测
看不见内网潜伏威胁
水坑攻击 鱼叉邮件攻击 零日漏洞攻击
黑客内部潜伏后预留的后门 伪装合法用户的违规操作行为 封装在正常协议中的异常数据外发
根因分析： 静态特征检测难以应对新型威胁，缺乏对内网攻击行为持续检测手段
当前安全建设遭遇瓶颈-看不清安全风险
看不清资产，看不到风险在哪里
安全事件频发，安全形势日益严峻
平昌冬奥会开幕式当天，冬奥网站被攻击
中国某军工企业被美、俄两国黑客攻击
… …
2018.2
2018.2
2018.3
2018.3
台积电遭到勒索病毒攻击
2018.8
2018.8 To Be Continued
医疗行业勒索事件爆发
思科高危漏洞清明期间被利用
多个行业受到Globelmposter攻击
speeh4ab5893940.me speeh062e9c0b96.cloud
speeh062e9c0b96.vip speehe34a33001b.cloud
DNS隧道检测 APT检测能力
在交通建设股份发现海莲花APT事件，使用 这样的DNS隧道传输数据
安全态势感知落地过程中常见的问题
态势感知等于“地图炮”？？？
01 落地难投入大
基于采集的各类日志进 行关联分析或直接分析， 由于厂商之间日志差异性 大、往往很难去重合并， 日志关联性不强，需要投 入大量的人员进行分析。
03 安全可视差
呈现的是大量的攻击日 志，忽视基于业务维度的 风险可视；威胁、漏洞、 资产三者之间往往孤立管 理，缺乏关联性，风险难 以全面掌控。
发现绕过防御的外部攻击
横向威胁实时监测
风险行为
横向攻击
违规行为
外连威胁实时检测
INTERNET
对 外 攻 击
隐 秘 通 信
C & C 控 制
违风 规险 访访 问问
可疑行为 发现内部横向渗透行为
失陷业务服务器
失陷终端
发现风险外连行为
精准检测能力-安全云脑持续赋能
深信服
安全设备
厂商
安全情报
全网
安全信息
• 对于大型企业、关键行业而言，及时发现网络中的潜在威胁并进行快速响应 也是极为重要的事情。对此，IDC认为，网络安全主动防御体系必须有能力 应对下一代先进的自动化攻击手段，相关技术将会在网络安全防御解决方案 中发挥积极而重要的作用，在中国与之对应的是网络安全态势感知解决方案。 网络安全态势感知解决方案将成为防御体系中的核心指挥中心，将不同安全 组件有机结合、合理编排，提升防御门槛，消减攻击带来的危害。
攻击越来越频繁
危害越来越大
Cncert18年捕获病毒超1亿个，日均传播500万次 境内感染计算机恶 意程序的主机数量约 655 万台 2018年高级威胁攻击同比增长3.6倍
数据破坏平均损失386万美金 GandCrab勒索病毒一年销售额20亿美金 网络犯罪造成的全球损失5千亿美金
当前安全建设遭遇瓶颈-看不见安全威胁
21.05% 34.34%
SAVE
泛化能力强
千万级样本的测试， 人工智能SAVE处于业界领先的水平
权威机构认可
精准检测能力-DNS异常检测
僵尸网络检测
僵尸网络检出率达到99.7%， 并能追溯病毒家族（业内领 先）
DGA检测
高检出、低误 报、强泛化
硬编码域名检测 域名独报率超过70%
独报的speeh僵尸网络家族
脆弱性分析
威胁预警
接
口
MongoDB存储
数据预处理 数据采集
采集对象
网络设备
数据清洗 Syslog
安全设备
数据过滤
标准化
关联补齐
数据标签
SNMP
JDBC
ODBC
Webservice TCP/ＵＤＰ
主机/服务器 数据库 探针
中间件
应用/服务
云设施
平台对接
国家级监 测平台
行业监管 平台
第三方大 数据平台
安全态势感知核心要素
数据来源
主动提取必 要有效数据
智能分析
安全可视
具备不依赖特征、规则 发现新型威胁能力
基于业务的可视化 宏观辅助决策 微观有利运维
协同响应
自动化协同联动 处置大半安全威胁
一．新的安全形势与挑战 二．面向未来，有效保护 三．深信服安全感知平台 四．产品特色及成功案例
产品定位 定位为客户的本地安全大脑，是一个集 检测、可视、响应 等多功能于一体的大数据安
组织面临的安全挑战持续升级
暴露面越来越多
漏洞风险不可控
数字化转型驱动业务对外开放，导致大量业务暴露互联网 互联网+与云计算技术，导致物理边界模糊 互联互通、数据融合，带来的数据流转与交换，导致风险面增大