方案以“非白即黑”为核心理念，以“白模型”为核心技术，基于全量数据采集提取全安全要素和全业务要素，结合人工智能、大数据分析和关联分析等算法，建设覆盖“网络杀伤链”全过程的自学习技战法模型和业务安全感知模型，发现现有安全监控设备无法发现的未知威胁，捕捉黑客活动痕迹，在黑客“落刀”前察觉黑客攻击意图，将攻击发现前置到“侦察”阶段。将攻防对抗由被动防御向主动防御、智能防御转变，构建有记忆会推理的多模型协同智能安全监测体系，提升公司网络安全智能化水平，建设或赋能公司级网络安全大脑。

(1)六维立方空间建模技术

以侦察、武器化、交付、利用、安装、命令与控制和行动全杀伤链各阶段为基础，结合十多年安全攻防经验，深入分析各阶段涉及到的所有有效的攻击技战法，从OSI七层模型出发，提取所有网络流量中存在的能够引起网络安全状态发生变化的安全要素，包括数字、字符串、指标、序列等。通过攻击目标、攻击意图、杀伤链、技战法、全量数据和细分领域等六个维度设计细分领域的业务安全模型，六维中每一维均有多项，各项取值后可形成不同大小的立体空间，立体空间内部为建模所需的全部安全要素，每个立体空间可形成一个或多个模型，用于此细分领域的安全检测。本技术将网络安全问题限定在不同的细分领域，将传统的大模型切分成不同细分领域或同一细分领域不同类型的小模型，聚焦细分领域需求选择合适的算法，有助于提升模型运行速度和威胁检出率。

(2)业务安全白模型建模技术

通过从业务正常运行的协议格式、报文格式、报文时序、API逻辑、业务逻辑、访问时延、访问频率、访问时间、访问地点等提取全部的业务安全要素，基于业务安全要素选择合适的算法生成不同的白模型，为业务系统构建基于系统层、应用层和业务层的“全副武装”的白模型监测体系，包括URL访问白模型、API访问白模型、权限白模型等，通过多层多维模型协同联动，结合高价值的关联分析模型，可发现针对业务系统的所有异常，在API安全、访问安全、权限攻击、序列攻击等业务安全领域具备较高的价值和优势。

(3)基于黑客身份凭证的联动封堵技术

高级黑客会在各个阶段（信息收集、漏洞发现、漏洞利用和提权维持）采用多个攻击主机绕过安全检测设备，一部分攻击主机实施信息收集、漏洞发现等攻击前期工作，另一部分攻击主机实施漏洞利用和提权维持等攻击后期工作，后期工作可能做的非常隐匿，如无感出局等，让安全设备无法检出。基于IP地址的联动封堵，即使可以发现和封堵负责前期工作的攻击主机，如果负责后期工作的攻击主机检测不到，表面上看似解决了问题（发现的全部告警均已处置），实则攻击者已“金蝉脱壳”，长期隐匿在网络中，存在较大的安全风险。

本技术基于技战法和业务应用特性设计黑客身份凭证，如Cookie、Token等，通过黑客身份凭证进行攻击事件和全流量关联分析，即使后期工作非常隐匿，前期检出后，仍可以通过黑客身份凭证动态关联分析、动态封堵其所有主机，不给攻击者留一条后路。

1.黑客具象：通过覆盖“网络杀伤链”全过程的技战法模型和业务安全感知模型融合，可从海量的碎片化的攻击事件中揪出背后有组织有预谋的攻击者，同时实现能力栈、技战法、攻击意图、攻击链、攻击趋势等多维度精准画像。

2.威胁前置发现：具备低频的、有预谋的黑客侦查行为检出能力，如无害化敏感文件探测、低频次爆破等，可捕捉黑客攻击的“第一刀”，将攻击发现前置到“侦查”阶段。

3.未知威胁检出：具备0day漏洞等未知威胁检出能力，不依赖于任何已知的威胁特征，不需要做任何改动，如升级规则、新增模型等。

4、业务拟态攻击检出：具备秒拨业务拟态攻击检出能力，如一次性的接口访问、利用业务逻辑漏洞的正常访问等，可协助用户发现业务系统的逻辑漏洞，强化业务系统安全能力。

5、动态威胁情报：可协助企业建立高质量的动态威胁情报库，实现集团及下属单位威胁情报共享，提高威胁检出及预防能力，发现针对行业的有组织有预谋的重量级的攻击。

6、安全告警降噪：具备海量安全告警降噪能力，可通过技战法模型精准追踪黑客，技战法模型就像一条红线，越过红线必有企图，红线以下暂无危害，可将海量的低价值的告警，让安全运营人员聚焦重要事件，提高运营效率。