安恒信息AiLPHA大数据智能安全平台获“AI最佳产品成长奖”

★

人工智能从2015年的“产学融合”，到2016年的创业公司迭起，再到2017年的落地成型，已诞生了诸如驾驶、金融、安防、零售、医疗等热门领域的数百家独角兽企业。而在其中，有一家独角兽企业，依托人工智能时代产品技术，在网络安全异军突起，成为该领域中的领军者。

★

近日，雷锋网开启“AI最佳成长榜：2018行业评选计划”。这次评选在10个领域展开，每个领域仅有的3个最佳成长奖评选。安恒信息的AiLPHA大数据智能安全平台（以下简称“AiLPHA平台”）入选其中，获得“AI最佳产品成长奖”。

安恒信息服务中心肖立纲（右三）代表安恒信息领奖

当下，大数据已被应用在人们生产与生活的方方面面——不论是在提升政府治理能力、优化公共民生服务，还是在促进经济转型和创新发展中，大数据的身影也是随处可见。

“尤其是在这个万物互联的时代中，安全问题显得越来越重要。大数据作为一种工具，与人工智能结合，可以在安全领域解决很多问题。”安恒信息首席科学家刘博表示。

奖杯

如其所说，安恒信息的AiLPHA平台，采集安全设备的日志和流量，形成安全大数据中心，并结合大数据的智能安全分析能力，帮助用户发现潜在的入侵和高隐蔽性攻击，回溯攻击历史，预测即将发生的安全事件等复杂的安全问题。

AiLPHA平台充分运用大数据技术，通过对多源海量数据的威胁检测、行为分析和机器学习，帮助客户掌握外部攻击，资产风险，人员违规和业务安全，实现从“被动防守”到“主动防御”的转型。

AiLPHA平台应用于某公积金数据泄露的防护案例

网站看似正常的访问流量中往往夹杂着一些异常行为，在持续的对网站进行低频率的访问，并拉取网站数据，它们目标很明确，就是冲着窃取网站核心数据而来，而且隐蔽性强，我们把这种行为总结为“潜伏型应用攻击” 。对于传统的安全防护系统来说，不具备识别这种危险的能力，很难在极短的时间内辨别出这些异常行为，那么我们怎么从海量的数据中发现这种威胁呢？

下面就来介绍AiLPHA大数据智能安全平台帮助某公积金客户发现针对公积金网站数据窃取的案例：

某公积金客户部署AiLPHA平台的第二天，平台上就产生了潜伏型应用攻击告警，我们对这些告警数据进行了基于时间轴的访问行为对比，横轴是时间，纵轴是不同的IP（网站访问用户），左图是一个正常用户访问轨迹，访问记录不规则的分布在一天内的某个或几个时间节点短暂停留；而右图我们把一天的时间进行切片，如切成1分钟、2分钟、3分钟，无论我们把时间切片到多么细的粒度，总会出现这些用户访问的轨迹，我们不禁对这些访问者产生怀疑，因为他们的访问行为已经超出了正常用户的行为范畴，是机器行为，通过多维日志关联分析后，我们判断这些异常访问者存在拉取数据或撞库的行为。

为了验证推断的有效性，我们拉取了其中某个异常访问用户的行为记录后发现，这一组黑客在凌晨0~6点和18~0点（非正常工作时间）也在存在持续性访问，进一步验证这是机器行为。

从这组用户返回的信息中，我们分析出只占了两个URL，实际上访问一个网站很难做到只触碰到两个URL，这两个URL其中一个是动态验证码，另外一个是身份证账号和密码输入框，到这里，就非常明确这是一个精准的撞库行为。

我们调取了攻击者的原始日志进一步取证分析，发现攻击者已经从公积金网站拉取了一些数据，这些数据中大部分的返回结果都只有1KB左右，说明这些只是撞库失败后网站返回的错误页面。当然也有20KB左右的，通过分析确认这些是攻击者小量撞库成功后获取的公积金缴存明细，值得欣慰的是，攻击者并没有获取到什么有价值的数据，而我们及时帮助用户规避了这一起重大的数据泄露风险。

然而，工作还没有结束。

安全分析团队威胁将这些攻击者与威胁情报数据碰撞，发现这些攻击者不仅仅对这个区域的公积金客户发起了攻击，在临近的几个区域也发现了他们的踪迹，而且攻击存在的时间都在3个月以上。虽然用户部署了大量的安全防护设备与系统，但对于这类攻击行为无能为力，最佳的解决方案是借助于大数据建模、关联分析等技术进行及时预警和精确溯源。于是，安恒信息的服务团队，也在第一时间帮助用户对公积金网站进行了安全加固，提升网站的安全防护级别。

这几天微信改版

担心找不到我们的小伙伴

只要点开订阅号消息

点击右上角

就能轻松找到我们啦