AiLPHA大数据智能安全平台

智能 | 态势 | 融合 | 大数据分析

AiLPHA大数据智能安全平台

AiLPHA大数据智能安全平台(简称AiLPHA)是以安恒首席科学家刘博为核心的研发团队创新智造的安全产品,旨在解决传统安全设备无法应对越来越复杂和隐蔽的安全威胁。AiLPHA以“AI驱动安全”为核心理念,集成超大规模存查、大数据实时智能分析、用户行为(UEBA)分析、多维态势安全视图、企业安全联动闭环等安全模块。具备全网流量处理、异构日志集成、核心数据安全分析、办公应用安全威胁挖掘等前沿大数据智能安全威胁挖掘分析与预警管控能力。为企业客户提供全局态势感知和业务不间断稳定运行安全保障。致力于让安全更智能,更简单。 ?

产品架构

数据采集:实时采集全流量,安全设备日志,应用日志等,为下游实时计算提供源源不断的数据。 

ETL:提供强大的数据抽取、转换和加载能力,解析引擎支持超过300+厂商以及3000+种类日志。 

数据分析与计算:搭建高可用集群HA以HDFS Federation和YARN为核心,集成了各种计算组件,包括HBase、Kafka、flink等. 

应用服务:以个性化展示结果数据以及使用告警系统生成异常结果数据警报。

产品优势

1. 多源异构数据采集

采用多样的、异构的安全资产的数据采集,具备全流量7层协议深度解析技术、全网安全日志智能解析采集技术,实现可适配数据源的方式对各类安全设备、系统数据进行采集、清洗、标准化、存储,提供离线、实时、全文检索等多种数据订阅及分析等功能。

2. UEBA分析

UEBA提供画像及基于各种分析方法的异常检测,通常是基本分析方法来评估用户和其他实体(主机,应用程序,网络,数据库等), 来发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件。这些活动包括内部或第三方人员对系统的异常访问(用户异常),或者外部攻击者绕过防御性安全控制的入侵(异常用户)。通过对用户日常行为的聚类以及AiLPHA大数据分析平台安全域信息,将不同类别的使用者(User)区分出来。当这些用户实体有非职责内操作时,平台会将该用户标记较高异常评分(Anomaly Score)。

3. 威胁智能溯源

高级网络安全事件隐蔽而复杂,安全运维人员难以进行溯源分析,对安全事件的判断、安全决策的制定带来了巨大的困难。平台通过利用威胁情报、大数据安全分析、建立情报共享,协同分析、全生命周期跟踪安全事件的溯源流程,极大程度的方便运维人员进行安全威胁排除、攻击链分析、事件溯源等,提升企业的整体安全事件分析能力。

4. 模型智能编排

AiLPHA计算分析系统可实现对模型的智能编排,支持用户自定义实现数据挖掘和集群学习基础算法。通过使用有向连接线标书模型数据的流程,实现多个元素的链接。模型编排完成,可实时输出模型的计算结果,并且可直接调用已有模型作为下一个模型的输入。模型编排修改模型时,在完成界面显示模型指标的增删改情况。支持使用Python、Java等语言开发数据分析程序。

产品价值

  • 海量多源异构的数据处理

    ·构建PB级别的数据中心,实现对数据高效检索和挖掘分析? ·采集全流量、设备日志、应用日志等,帮助客户站在更高的视角洞悉更全面的数据。? ·满足网络安全法180天存储要求。
  • 显著降低告警误报率

    ·对原始数据和安全告警进行多维度的聚合分析 剔除重复数据,从而提高准确率。 ·通过历史安全事件对模型的训练以及安全策略的自动调整,从而提高预测能力和检测精度。 ·通过标准数据验证和现场运行情况,降低安全告警处理量10-100倍。?
  • AI分析发现高级隐藏威胁

    ·检测发现绕过防护设备的隐蔽性、低频率的高级威胁? ·UEBA发现内部高级威胁(主机失陷、数据窃取、盗号、越权等) ·通过标准数据验证和现场运行情况,以及和传统安全产品对比发现检新率达到20-30%。
  • 完整威胁攻击链溯源

    ·通过对资产的多维度关联分析,还原完整的攻击链,帮助客户从根源上解决安全威胁。? ·针对内外网提供不同的解决方案定位攻击源头.。 ·通过图谱分析,快速识别感染范围以及攻击源头。
  • 一站式安全运营和闭环处置

    ·提供可视化大屏,客户能够全局观察整个系统的安全态势,让运维管理变得更加简单。? ·提供工单运维处置,协助客户进行安全管理工作的绩效考核,从而达到对安全事件的闭环处置。 ·结合安全服务实现快速应急响应和重大安保。 ·具备垂直管理能力,满足大型企业省市多级架构管理。
  • 快速满足等级保护要求

    ·满足国家、行业、国际标准等合规要求。 ·满足等保2.0中对大数据应用安全扩展要求的冗余+权限+审计,全方面的保护数据安全。

交付模式

1.软硬一体机模式

软硬一体机,是面向大数据存储、数据计算处理和数据展示的产品,集操作系统、计算资源、存储资源为一整体进行部署交付。具体实现指的是在单一节点机器(内存>256G)上采用docker技术,将大数据所需的组件通过docker运行。当数据量较大,单一节点无法支撑时,可以无缝横向扩展,构建属于自己的本地大数据平台。

2.软件化模式(云平台模式)

支持纯软件化交付模式,可以部署在用户提供硬件服务器或目前市面上主流云平台,也可以部署到现有虚拟化资源中,提高对计算资源的利用率。

产品荣誉

  • 2017年智慧城市创新应用

  • 2018年浙江省大数据应用技术创新奖

  • 2018年AI最佳产品成长奖

  • 2018年网络安全创新产品优秀奖

  • 2018年大数据产业发展大数据安全保障试点示范项目

  • 大数据网络安全态势感知及智能防控技术国家地方联合工程研究中心

  • Cyber Defense Magazine:Breakout Security Information Event Management (SIEM) InfoSec Award for 2019

  • ···