AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件

AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件1機密性Confidentiality完整性Integrity可用性Availability機密性完整性可用性2AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件3傳統(tǒng)以防御為主的安全解決方案，解決了90%以上的安全問題，但是…………僅基于特征進(jìn)行安全檢測嚴(yán)重依賴單點的處理能力防護(hù)設(shè)備各自為戰(zhàn)不協(xié)同無法應(yīng)對持續(xù)性安全威脅告警量大安全運維效率低傳統(tǒng)以防御為主的安全解決方案，解決了90%以上的安全問題，4Reconnaissance偵查Weaponization組裝Delivery投送Exploitation攻擊Installation植入C2

控制Command

&

Crontal Actions

onObjectives收割I(lǐng)ntrusion

Kill

Chain模型ReconnaissanceWeaponizationDel5AiLPHA大數(shù)據(jù)平臺知己：基于機器學(xué)習(xí)發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊，回溯攻擊歷史，預(yù)測即將發(fā)生的安全事件；知彼：結(jié)合威脅情報形成海陸空天一體的安全防御能力；采集了關(guān)鍵安全設(shè)備的日志、告警，滿足網(wǎng)絡(luò)安全法不少于6個月的日志存儲要求（第三章、第二十一條、3節(jié)）；具備對內(nèi)部失陷資產(chǎn)的發(fā)現(xiàn)與驗證能力；AiLPHA大數(shù)據(jù)平臺知己：基于機器學(xué)習(xí)發(fā)現(xiàn)潛在的入侵和高隱6數(shù)據(jù)采集安全環(huán)境狀態(tài)識別已知安全事件監(jiān)測未知安全風(fēng)險監(jiān)測安全狀態(tài)綜合分析數(shù)據(jù)采集安全環(huán)境狀態(tài)識別已知安全事件監(jiān)測未知安全風(fēng)險監(jiān)7EDREDREDRDER：Endpoint

Detection

and

Response終端檢測和響應(yīng)樹立正確的網(wǎng)絡(luò)安全觀，加強信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，加強網(wǎng)絡(luò)安全信息系統(tǒng)統(tǒng)機制、手段、平臺建設(shè)，加強網(wǎng)絡(luò)安全事件應(yīng)急指揮能力建設(shè)，積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，做到關(guān)口前移，防患于未然。EDR樹立正確的網(wǎng)絡(luò)安全觀，加強信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，加8Reconnaissance偵查Weaponization組裝Delivery投送Exploitation攻擊Installation植入C2

控制Command

&

Crontal Actions

onObjectives收割I(lǐng)ntrusion

Kill

Chain模型ReconnaissanceWeaponizationDel9?無侵入式被動發(fā)現(xiàn)，基于流量、日志、脆弱性等數(shù)據(jù)?采用實時流式計算框架，新入網(wǎng)資產(chǎn)，30秒內(nèi)即可被識別加入資產(chǎn)管理?識別多種資產(chǎn)類型和指紋信息，如Web服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫、終端等流量數(shù)據(jù)日志數(shù)據(jù)性能數(shù)據(jù)脆弱性數(shù)據(jù)?無侵入式被動發(fā)現(xiàn)，基于流量、日志、脆弱性等數(shù)據(jù)?識別多種資10微隔離東西流量的防護(hù)網(wǎng)站防護(hù)防SQL流入、XSS、CC攻擊、防惡意掃描、敏感信息泄露登錄防護(hù)異常登錄防護(hù)，防暴力破解、弱口令檢測防端口掃描防惡意工具對偵聽端口的掃描行為病毒查殺本地+云端雙引擎查殺勒索、挖礦病毒網(wǎng)站后門查殺對網(wǎng)頁木馬進(jìn)行查殺漏洞管理實時修復(fù)0day漏洞，加固系統(tǒng)性能監(jiān)控實時監(jiān)控系統(tǒng)資源，檢測挖礦行為微隔離登錄防護(hù)防端口掃描病毒查殺網(wǎng)站后門查殺漏洞管理性能監(jiān)控11?掌握網(wǎng)絡(luò)拓?fù)浜桶踩吔鐟B(tài)勢，全局感知安全威脅?鎖定風(fēng)險資產(chǎn)和風(fēng)險用戶，畫像分析異常行為和相關(guān)風(fēng)險?異常行為舉證，利用威脅情報和漏洞信息輔助驗證?項目實踐：20分鐘內(nèi)實現(xiàn)威脅溯源網(wǎng)絡(luò)拓?fù)浔O(jiān)控跨安全域行為檢測風(fēng)險資產(chǎn)發(fā)現(xiàn)資產(chǎn)綜合畫像異常行為舉證上下文分析威脅情報查詢漏洞利用驗證?掌握網(wǎng)絡(luò)拓?fù)浜桶踩吔鐟B(tài)勢，全局感知安全威脅?異常行為舉證12AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件13AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件14自回歸積分滑動平均模型，將非平穩(wěn)時間序列轉(zhuǎn)化為平穩(wěn)時間序列，然后將因變量

僅對它的滯后值以及隨機誤差項的現(xiàn)值和滯后值進(jìn)行回歸所建立的模型。AR是自回

歸,

MA為移動平均。訓(xùn)練以一周時間為一個周期的呈規(guī)律性分布的時間序列數(shù)據(jù)，網(wǎng)站訪問量、車流量等數(shù)據(jù)均滿足該規(guī)律。任意時刻的數(shù)據(jù)與之前幾周同時刻數(shù)據(jù)應(yīng)該符合高斯分布，利用3-sigma

準(zhǔn)則進(jìn)行異常檢測。指數(shù)平滑法常用于中短期趨勢預(yù)測。是一種加權(quán)移動平均法。其特點是可加強觀察期近期觀察值對預(yù)測值的作用，增加近期觀察值的權(quán)重，同時可控制權(quán)重的變化速率。日常觀測數(shù)據(jù)往往包含噪聲干擾，該算法將時序數(shù)據(jù)片段轉(zhuǎn)化為矩陣結(jié)構(gòu)，利用RPCA重構(gòu)矩陣剔除大幅值噪聲，提高突變程度略低的異常點檢測性能，發(fā)現(xiàn)掩蓋在噪聲下的異常信息。RPCA-SSTExponential

SmoothingARIMAWeeklyGaussian

Estimation論文：A

RobustChange-point

Detection

Method

by

Eliminating

Sparse

Noises,

IEEE

DSC專利：一種基于行為觸發(fā)的防御鏈路耗盡型CC攻擊的方法

專利號：201610369623.5專利：一種網(wǎng)絡(luò)流量異常檢測方法及系統(tǒng)

專利號：201710803213.1自回歸積分滑動平均模型，將非平穩(wěn)時間序列轉(zhuǎn)化為平穩(wěn)時間序列15MoTuWeThFrSuSa上上周上周本周warningMoTuWeThFrSuSa上上周上周本周warning16AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件17AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件1853月5日15:03該單位財務(wù)部門一臺設(shè)備出現(xiàn)藍(lán)屏。556673月5日15:37內(nèi)網(wǎng)爆發(fā)藍(lán)屏現(xiàn)象。3月5日16:00安恒信息安服趕到客戶現(xiàn)場確認(rèn)勒索病毒爆發(fā)，并協(xié)助該單位進(jìn)行病毒查殺。3月6日7:00AiLPHA大數(shù)據(jù)平臺+APT+SOC設(shè)備部署。3月6日采用大數(shù)據(jù)發(fā)現(xiàn)傳播源發(fā)工單給安服處理方式，成功抑制病毒爆發(fā)與擴散3月7日，根據(jù)大暑平臺告警，徹底完成內(nèi)部勒索病毒清理工作該單位有2000+臺設(shè)備，沒有很好的網(wǎng)絡(luò)規(guī)劃，安服處置十分困難，只能是那里有藍(lán)屏去哪里53月5日15:03該單位財務(wù)部門一臺設(shè)備出現(xiàn)藍(lán)屏。5519AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件20AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件213月6號12:27被感染成功后成為新的病毒源頭3月6號11:02正在遭受病毒感染3月6號12:2722審計/響應(yīng)防護(hù)檢測審計/響應(yīng)防護(hù)檢測23謝謝謝謝24AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件25機密性Confidentiality完整性Integrity可用性Availability機密性完整性可用性26AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件27傳統(tǒng)以防御為主的安全解決方案，解決了90%以上的安全問題，但是…………僅基于特征進(jìn)行安全檢測嚴(yán)重依賴單點的處理能力防護(hù)設(shè)備各自為戰(zhàn)不協(xié)同無法應(yīng)對持續(xù)性安全威脅告警量大安全運維效率低傳統(tǒng)以防御為主的安全解決方案，解決了90%以上的安全問題，28Reconnaissance偵查Weaponization組裝Delivery投送Exploitation攻擊Installation植入C2

控制Command

&

Crontal Actions

onObjectives收割I(lǐng)ntrusion

Kill

Chain模型ReconnaissanceWeaponizationDel29AiLPHA大數(shù)據(jù)平臺知己：基于機器學(xué)習(xí)發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊，回溯攻擊歷史，預(yù)測即將發(fā)生的安全事件；知彼：結(jié)合威脅情報形成海陸空天一體的安全防御能力；采集了關(guān)鍵安全設(shè)備的日志、告警，滿足網(wǎng)絡(luò)安全法不少于6個月的日志存儲要求（第三章、第二十一條、3節(jié)）；具備對內(nèi)部失陷資產(chǎn)的發(fā)現(xiàn)與驗證能力；AiLPHA大數(shù)據(jù)平臺知己：基于機器學(xué)習(xí)發(fā)現(xiàn)潛在的入侵和高隱30數(shù)據(jù)采集安全環(huán)境狀態(tài)識別已知安全事件監(jiān)測未知安全風(fēng)險監(jiān)測安全狀態(tài)綜合分析數(shù)據(jù)采集安全環(huán)境狀態(tài)識別已知安全事件監(jiān)測未知安全風(fēng)險監(jiān)31EDREDREDRDER：Endpoint

Detection

and

Response終端檢測和響應(yīng)樹立正確的網(wǎng)絡(luò)安全觀，加強信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，加強網(wǎng)絡(luò)安全信息系統(tǒng)統(tǒng)機制、手段、平臺建設(shè)，加強網(wǎng)絡(luò)安全事件應(yīng)急指揮能力建設(shè)，積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，做到關(guān)口前移，防患于未然。EDR樹立正確的網(wǎng)絡(luò)安全觀，加強信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，加32Reconnaissance偵查Weaponization組裝Delivery投送Exploitation攻擊Installation植入C2

控制Command

&

Crontal Actions

onObjectives收割I(lǐng)ntrusion

Kill

Chain模型ReconnaissanceWeaponizationDel33?無侵入式被動發(fā)現(xiàn)，基于流量、日志、脆弱性等數(shù)據(jù)?采用實時流式計算框架，新入網(wǎng)資產(chǎn)，30秒內(nèi)即可被識別加入資產(chǎn)管理?識別多種資產(chǎn)類型和指紋信息，如Web服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫、終端等流量數(shù)據(jù)日志數(shù)據(jù)性能數(shù)據(jù)脆弱性數(shù)據(jù)?無侵入式被動發(fā)現(xiàn)，基于流量、日志、脆弱性等數(shù)據(jù)?識別多種資34微隔離東西流量的防護(hù)網(wǎng)站防護(hù)防SQL流入、XSS、CC攻擊、防惡意掃描、敏感信息泄露登錄防護(hù)異常登錄防護(hù)，防暴力破解、弱口令檢測防端口掃描防惡意工具對偵聽端口的掃描行為病毒查殺本地+云端雙引擎查殺勒索、挖礦病毒網(wǎng)站后門查殺對網(wǎng)頁木馬進(jìn)行查殺漏洞管理實時修復(fù)0day漏洞，加固系統(tǒng)性能監(jiān)控實時監(jiān)控系統(tǒng)資源，檢測挖礦行為微隔離登錄防護(hù)防端口掃描病毒查殺網(wǎng)站后門查殺漏洞管理性能監(jiān)控35?掌握網(wǎng)絡(luò)拓?fù)浜桶踩吔鐟B(tài)勢，全局感知安全威脅?鎖定風(fēng)險資產(chǎn)和風(fēng)險用戶，畫像分析異常行為和相關(guān)風(fēng)險?異常行為舉證，利用威脅情報和漏洞信息輔助驗證?項目實踐：20分鐘內(nèi)實現(xiàn)威脅溯源網(wǎng)絡(luò)拓?fù)浔O(jiān)控跨安全域行為檢測風(fēng)險資產(chǎn)發(fā)現(xiàn)資產(chǎn)綜合畫像異常行為舉證上下文分析威脅情報查詢漏洞利用驗證?掌握網(wǎng)絡(luò)拓?fù)浜桶踩吔鐟B(tài)勢，全局感知安全威脅?異常行為舉證36AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件37AiLPHA大數(shù)據(jù)安全分析應(yīng)用于醫(yī)療網(wǎng)絡(luò)安全閉環(huán)的實踐課件38自回歸積分滑動平均模型，將非平穩(wěn)時間序列轉(zhuǎn)化為平穩(wěn)時間序列，然后將因變量

僅對它的滯后值以及隨機誤差項的現(xiàn)值和滯后值進(jìn)行回歸所建立的模型。AR是自回

歸,

MA為移動平均。訓(xùn)練以一周時間為一個周期的呈規(guī)律性分布的時間序列數(shù)據(jù)，網(wǎng)站訪問量、車流量等數(shù)據(jù)均滿足該規(guī)律。任意時刻的數(shù)據(jù)與之前幾周同時刻數(shù)據(jù)應(yīng)該符合高斯分布，利用3-sigma

準(zhǔn)則進(jìn)行異常檢測。指數(shù)平滑法常用于中短期趨勢預(yù)測。是一種加權(quán)移動平均法。其特點是可加強觀察期近期觀察值對預(yù)測值的作用，增加近期觀察值的權(quán)重，同時可控制權(quán)重的變化速率。日常觀測數(shù)據(jù)往往包含噪聲干擾，該算法將時序數(shù)據(jù)片段轉(zhuǎn)化為矩陣結(jié)構(gòu)，利用RPCA重構(gòu)矩陣剔除大幅值噪聲，提高突變程度略低的異常點檢測性能，發(fā)現(xiàn)掩蓋在噪聲下的異常信息。RPCA-SSTExponential

SmoothingARIMAWeeklyGaussian

Estimation論文：A

RobustChange-point

Detection

Method

by

Eliminating

Sparse

Noises,

IEEE

DSC專利：一種基于行為觸發(fā)的防御鏈路耗盡型CC攻擊的方法

專利號：201610369623.5專利：一種網(wǎng)絡(luò)流量異常檢測方法及系統(tǒng)

專利號：201710803213.1自