在“检测出具体是哪一种僵尸网络”问题上达到了平均90.3%的F值。
精准检测能力—深度检测能力
创新引入机器学习、大数据技术提高检测率
监督 Supervised机器学习方式：提前知道哪些数据是好的哪些是坏的，通过已有数据找规
律，作为后续判断依据
调整特征feature， 标签label，权重
parameter
《“十三五”国家信 息化规划》
全天候全方位感知网络安 全态势。加强网络安全态 势感知、监测预警和应急 处置能力建设
2016.4
2016.12
网络安全法开始实施
使得网络安全有法可依， 各行业更加重视网络安 全建设
等保2.0标准
对网络行为、潜伏未知 威胁进行持续检测和分 析
2017.6
即将发布
传统安全体系的挑战之一：看不见
潜伏威胁探针 下一代防火墙
主机EDR
潜伏威胁探学习 UEBA、专家辅助
领导决策可视化
我现在安全吗？ 哪里不安全？
造成了什么危害？ 我该如何处置？
可感知：有对高级攻击、潜伏威胁的发现能力 易运营：能看得懂安全，能快速处置威胁
安全大脑的核心能力
精准检测能力
威胁情报（默认标配）：深信服云端威胁情报系统与SIP对接，实时下发情报数据给SIP，增加威胁识别效率和概率。
下一代防火墙（NGAF）（可选）：网关部署在出口或边界，一方面负责安全防御，另一方面对全流量进行检测，提 取有效安全数据上报给SIP。
其他可对接的安全组件
端点安全(EDR)：插件形式部署在终端或虚拟化服务器的操作系统上，负责采集服务器安全数据上报给SIP，同时对僵 木蠕毒进行扫描和查杀。同时SIP可主动联动EDR进行主机隔离、网络隔离，在威胁发生后避免扩散。 上网行为管理(AC)：旁路/网桥部署在出口，一方面实现上网行为管理功能，一方面与SIP对接，实现用户身份的识别。 虚拟安全（VSS）：Vmware场景下，VSS对东西向流量进行分析，将有效数据同步给SIP平台。 云眼：对外发布业务的在线监测和防护，与平台对接。后续可将网站安全信息同步给SIP平台。 第三方安全设备：支持第三方安全设备日志导入，作为溯源分析、统一管理的分析依据。
第6.3.1节
全网安全感知解决方案
——构建安全大脑，让安全可感知、易运营
CONTENT
01 客户为什么需要安全感知能力 02 如何为客户构建安全大脑 03 最佳实践
01
客户为什么需要安全感知能力
背景介绍
419讲话---习主席
“谁进来了不知道、是敌 是友不知道、干了什么不 知道”，长期“潜伏”在 里面，一旦有事就发作了
恶意软件的通讯URL每 次都不相同，特征库无
对策：自动生成的东西是否有共性特征呢？是否可以通过计算法机穷举分，析AF形也成写不一下个
模糊的特征，再进行特征匹配呢？
但是这些“随机”的通讯 是否有共性的特征呢？
SIP精准检测能力—深度检测能力
用户与实体行为分析(UEBA)
首先，收集网络多个节点产生的信息，进而创建一条基线
传统安全体系的挑战之三：响应慢
安全产品众多
WAF UTM
安全审计
漏扫
数据库审计 上网行为管理
下一代防火墙
邮件网关
IDS 抗DDOS
VPN
身份认证 防火墙
IPS 防毒墙
人力运维难度大
根因：安全人才数量少，难培养，不能多精；
如何应对？
构建一个可感知、易运营的安全大脑
外部威胁情报
数据中心
广域网 局域网
根因：以防御为核心的安全体系无法应对各类高级攻击（APT攻击、钓鱼邮件等） 缺乏对突破防御并进入网络内部的潜伏威胁的持续检测能力
传统安全体系的挑战之二：看不懂
客户平均每天生成安全告警日志多达上万条 各类安全日志分散在各种安全设备上 安全日志以安全事件角度展示
根因：各类安全日志数量大、分散，且异构，看不过来、看不懂
深信服安全大脑模型
安全感知平台（SIP）（默认标配）：负责收集汇总探针采集的全流量信息，及接入的NGAF、EDR等各类安全组件日 志，通过关联分析、行为分析、机器学习等智能分析技术，发现网络的脆弱性、潜伏威胁，并简单易懂的展示出来。
潜伏威胁探针（STA）（默认标配）：旁路部署在关键节点，对全流量进行检测，提取有效数据上报给SIP。
义了什么的“坏的”、“不好的”，那么除此之外的就是正常的业务；
问题：“坏的”可以穷举吗？（保安能记住所有的通缉犯？） ，换一个思路，我
们不仅可以记住“坏的”，也可以记住“好的”、“合法的”，不同于合法对象就是可 疑和需进一步关注的对象（例如门卫认识办公室所有的人，不认识的可能是坏 人），但白名单有时候也很难抽取；
机器学习算法检测 UEBA检测 横向威胁检测
全局可视能力
宏观可视辅助决策 微观可视辅助运维
协同响应能力
多设备协同联动 一键封堵、一键查杀
海量数据采集能力
以全流量数据采集为主 以各类设备日志收集为辅
深信服安全大脑模型
深信服安全大脑 “全网安全感知”
威胁潜伏探针STA
历史数据
最初模型
好坏结果
生产数据
最终模型
好坏结果
结果预设， 只作分类
精准检测能力—深度检测能力
创新引入机器学习、大数据技术提高检测率 非监督 Unsupervised机器学习方式：并不知道已有数据的好坏，但基于朴素的好人坏人目 标、行为、结果不同，进行总结分类进而区分好坏
调整特征feature， 权重parameter
其次，分析平台可以从时间和空间两个维度关联分析，时间指可以关联分析过去
数分钟、小时甚至数天的数据发现攻击者，而AF不可以因为数据包不能压着不转 发；空间维度是指SIP平台可以搜集多个AF、探针、EDR的数据，多维度多角度分 析问题。
检测的思路
现状：传统检测设备更多的是通过特征库匹配发现问题的，即通过各种手段定
在内部关键节点部署探针，主动提取信息 联动边界、终端自有产品，无缝对接，主动
提取
②第三方设备广泛收集
基于标准格式收集第三方日志收集 基于业务、资产、用户、应用等维度的主
动信息提取
检测的基础：
首先，部署方式决定了多点探针采集能够看到比边界AF更多的信息和数据（东
西向流量、原始数据包），为后续分析提供弹药；
以确定各种不同情况下的正常状态是什么；
其次，基准线建立，UEBA解决方案会跟进聚合数据，寻
找被认为是非正常的模式；
优势：UEBA解决的，更多的是异常行为而非一般的攻击
事件，特别是对于隐蔽的内部攻击和控制内部资产的跳板 攻击效果理想。
SIP精准检测能力—深度检测能力
创新引入机器学习、大数据技术提高检测率
02
如何为客户构建一个“安全大脑”
部署架构
云沙盒 威胁情报 云脑
internet
互联网接入区
分
支
核心层
本地安全大脑
分 支
云眼 云盾 在线专家 快速响应 办公区
传统数据中心区
EDR
VSS
虚拟化中心区
技术架构
来源&提取 防御设备 检测设备 流量探针 威胁情报 云端沙箱 终端安全软件
提取有效数据来源
历史数据 生产数据
最初模型 最终模型
聚类结果 聚类结果
需根据生产 数据重新分 析结果
精准检测能力基础—机器学习
算法举例：分类算法 classification
主要算法：决策树，ID3
主要思路：寻找负向样本序列
主要应用：图像识别， DGA, SPAM, 病毒变种
二类分类
多类分类
精准检测能力基础—机器学习
安全感知平台
······
深信服安全大脑模型
安全感知平台（SIP）（默认标配）：负责收集汇总探针采集的全流量信息，及接入的NGAF、EDR等各类安全组件日 志，通过关联分析、行为分析、机器学习等智能分析技术，发现网络的脆弱性、潜伏威胁，并简单易懂的展示出来。
潜伏威胁探针（STA）（默认标配）：旁路部署在关键节点，对全流量进行检测，提取有效数据上报给SIP。
威胁情报（默认标配）：深信服云端威胁情报系统与SIP对接，实时下发情报数据给SIP，增加威胁识别效率和概率。
下一代防火墙（NGAF）（可选）：网关部署在出口或边界，一方面负责安全防御，另一方面对全流量进行检测，提 取有效安全数据上报给SIP。
其他可对接的安全组件
端点安全(EDR)：插件形式部署在终端或虚拟化服务器的操作系统上，负责采集服务器安全数据上报给SIP，同时对僵 木蠕毒进行扫描和查杀。同时SIP可主动联动EDR进行主机隔离、网络隔离，在威胁发生后避免扩散。 上网行为管理(AC)：旁路/网桥部署在出口，一方面实现上网行为管理功能，一方面与SIP对接，实现用户身份的识别。 虚拟安全（VSS）：Vmware场景下，VSS对东西向流量进行分析，将有效数据同步给SIP平台。 云眼：对外发布业务的在线监测和防护，与平台对接。后续可将网站安全信息同步给SIP平台。 第三方安全设备：支持第三方安全设备日志导入，作为溯源分析、统一管理的分析依据。
就很容易被对手简单的改变蒙混过关（病毒变种），那么就需要考虑抽取更加稳 定和共性的特征，例如僵尸网络的动态域名虽然变化多样，但还是具备其规律性 的（即特征的鲁棒性）；
行为检测：有时候攻击者的手段灵活到已经难以总结出攻击代码、传输文件和
网络数据包的特征，但任何觊觎不该获取信息的行为，只要目的不同于合法用户，
主要算法：iForest, one-class SVM, SH-ESD 主要思路：寻找离群点 主要应用：web攻击变种，0 day webshell，
全局可视能力
宏观可视辅助决策 微观可视辅助运维