关河智图 缺乏多机设备数据融合分析的能力
在复杂的网络安全日志数据中难以发现复杂的网络安全攻击
依赖人工手写规则进行判定和预警成本高、准确率低
Skip to content
现状问题
某大型央企网信安全部在实际网络运营维护中,由于现有的多种网络安全设备,如WAF、IPS、SIP、天眼、天擎等,只能进行单设备检测而不能进行多设备数据融合预测,导致很多网络安全事件不能在攻击发生前进行预防,而是在攻击完成之后才被发现。同时,目前网络预警主要依赖部门有限的业务人员手写规则进行判定预警,由于规则更新不及时以及人工经验局限性,经常导致误报、错报、漏报等问题,错误率高达65%。
项目措施及前后对比
通过对历史的网络安全日志数据进行分析,训练出无监督的机器学习模型,然后对接客户实时的网络安全日志进行有效性判定,来提高有效性判定的准确性。系统通过历史安全日志数据构建关于攻击行为的时序图数据。实现对实体间隐含关系、异常关系等深度挖掘,高效、灵活、智能地从数据中推测出真实攻击行为的特征。
主要依赖人工手写规则进行有效性判定和预警,预警错误率高达65%
通过单机网络安全设备的日志数据进行检测,只能发现简单网络攻击
通过自动规则发现和机器学习相结合,自动发现规则进行判定和预警,判定准确率提高了60%
多机网络安全设备数据融合构图分析,能发现复杂的网络攻击
项目成果
攻击有效性判定的准确率达到75.43%,大幅超过行业平均水平
累计自动发现有效网络威胁攻击事件5000+,客户在网络威胁发现和判定的工作效率提升50%以上