深度威胁识别ATD

贵州白山云科技股份有限公司产品介绍

ATD（Advanced Threat Detection，深度威胁识别，以下简称ATD）系统是完全基于UEBA（User Entity Behavior Analysis，用户行为分析）机器学习算法的全新一代安全产品，其通过对大量的日志和安全信息进行用户行为建模，利用个群对比分离异常用户，并对用户的历史行为进行规律建模，帮助企业感知异常行为和未知威胁。

ATD系统主要应用场景有：

· 弥补传统安全防护的不足

利用ATD系统的实时大数据分析能力，能够快速的针对用户的行为进行大数据分析，同时因为结合了机器学习算法，利用无监督聚类在无需标注样本的前提下即可识别出异常行为，这样的好处突破了传统安全产品基于策略的弊端，可以自适应的识别各种攻击行为，例如CC攻击、爬虫、账号类攻击、刷单类攻击、异常包攻击和漏洞攻击等，同时也可识别其各种变种攻击，例如多源低频爬虫，ATD对传统安全防护进行了有效补充，弥补了传统安全防护的不足。

· 提高了实时大数据分析效率，节约人力成本

传统的大数据分析集中在离线大数据分析，而ATD（深度威胁识别）系统着重在实时大数据分析，利用实时大数据分析技术迅速的分析各种用户行为，并且识别出其中的危险行为，进行查证识别并最终进行拦截。

传统方式在攻击事件发生后，需要通过人工分析大量安全设备告警信息，服务器日志等信息，才能分析出攻击的详情，以及造成的损失。而ATD可在事件发生的同时立即作出分析，判断攻击状态成功与否、还原攻击场景、判断原因和内在维度特征，大大提高安全分析效率。同时第一时间得出的分析结果有助于提高响应效率，节约大量人力资源成本。

· 完善了网络安全防御体系

ATD并不是基于已知规则进行防护，而是基于UEBA用户行为建模，自动的识别异常行为，可以感知未知威胁，同时能对这些行为进行实时分析，利用流式大数据处理技术，可以在毫秒级延迟内即完成对异常行为的查证分类，提高完全的实时分析。

基于实时大数据分析和机器学习技术的威胁识别系统保障了应用层的安全稳定，健全完善企业信息安全保障体系和机制，提高信息安全保障能力。