安恒AiThink用户与实体行为分析系统

安恒AiThink用户与实体行为分析系统（以下简称AiThink）实现对用户整体IT环境的威胁感知，包括用户管理、资产管理等核心能力，辅助梳理和识别企业的业务场景；通过数据治理能力，将原本零散分布于各类不用信息系统的数据进行标准化和规范化，辅助梳理和选择正确的数据；同时通过深度及关联的安全分析模型及算法，利用AI分析模型发现各系统存在的安全风险和异常的用户行为，在此基础上，实现统计特征学习、动态行为基线和时序前后关联等多种形式场景建模，最终为用户提供包含正常行为基线学习、风险评分、风险行为识别等功能的实体安全和应用安全分析能力，可作为企业SIEM、SOC或数据防泄漏（DLP）等技术和企业安全运营体系的升级，为企业提供内部安全威胁更精准的异常定位。

安恒AiThink主要包括三大功能模块，数据中心，场景分析（算法分析）层和场景应用层。各层之间采用集中的数据总线进行数据传输和交换，以此降低各类安全应用对底层数据存储之间的强依赖性，各层之间独立工作，方便后期的安全业务扩展和保障各层之间的稳定运行

*数据中心*是实现分析相关数据的集中采集、标准化、存储、全文检索、统一分析、数据共享及安全数据治理。具备数据自动识别、智能解析、用户用户和实体行为捕获以及威胁情报关联碰撞和管理等数据治理能力。通过数据服务总线，向上提供数据服务，同时接受上层的分析结果统一存储。

*场景分析层*定义了AiThink的主要分析能力，包含UEBA分析引擎和内置分析场景。分析引擎包括实时分析、离线分析和分析建模能力，可辅助客户根据实际网络环境想定的异常场景进行建模分析，提供基于实体内容的上下文关联、基于用户行为的时空关联分析能力；内置分析场景涉及内部数据安全、账户安全以及应用安全三大维度，辅助企业监测数据泄露、账户失陷、违规操作、账户越权等高危风险，向场景应用层提供风险指数、风险评分、预警输出、态势输出。

*场景应用层*包含了AiThink的主要功能用途，包括为客户提供用户总体风险分析、账户风险评分、单用户行为画像、用户群体画像、异常行为溯源以及用户行为异常场景建模等功能，具备特征权重调整、风险自动衰减以及自动化学习运维人员反馈等智能机制，同时提供原始日志、标准化日志以及用户异常行为的快速检索与即席查询功能。辅助客户风险预警和风险抑制。