全产业转型“互联网＋”，使趋利性的未知安全威胁越来越多，给安全技术的升级提出了挑战。在此背景下，网康推出慧眼云网络威胁感知系统，基于云、大数据和机器学习技术，通过异常行为识别技术和威胁情报技术进行失陷主机的分析、发现、溯源，还原整个攻击过程，找到安全薄弱点，最终部署对抗措施，提升覆盖已知威胁和未知威胁的主动防御能力，将安全隐患消灭于萌芽状态。本文将介绍网康慧眼云的设计思路与架构。

安全方法论的变革

有经验的安全技术人员都知道，传统安全产品，如终端杀毒、防火墙、IPS、Web安全，都是基于已知特征和预设规则展开工作的，其理论依据是边界安全与P2DR防护模型（一种基于已知威胁的静态、被动防御模型）。当“互联网 ”时代来临，未知威胁来临、内部威胁增多，网络边界逐渐模糊化甚至消失后，传统安全静态、被动、防御思维的安全模型对未知威胁的检测必然乏力，已经不能够应对当前网络攻击趋势。而未知威胁由于政治/经济利益，将更加猖獗。因此，彻底打破旧的安防体系，变被动防御为主动感知和主动防御，是现代安全架构需要实现的突破。

　　大数据分析和机器学习方法的兴起，带来了变革的工具和思想基础。大数据分析和机器学习技术能够根据已有数据感知和预测未来，也就是说利用已有的海量攻击数据提取特征并构建出有效的模型，再根据模型实时监测网络流量，识别出异常行为，预测安全风险。当然，识别的精确程度，有赖于模型的质量；同时，海量数据的分析必须依靠云计算技术。

具体的模型构建思路，网康安全工程师分析认为，每一次的入侵渗透，都会有目标侦测、攻击工具使用、漏洞利用、恶意软件植入等多个环节。由于0day等未知威胁的的利用，初始入侵的成功率越来越高，一旦入侵成功后，入侵者将找到一个支撑点，通过这个支撑点再逐渐进行内部渗透，继续寻找其它支撑点，直至找到攻击目标，然后进行数据的收集和窃取。如果能提前发现这些支撑点，攻击者也将最终失败。这些支撑点的渗透必然伴随着许多异常行为，换言之，通过对异常行为的分析，就可以发现支撑点，从而找到安全隐患。所以，异常行为的分析成为解决问题的关键。

　　基于上述思路，网康推出了慧眼云产品，主打“失陷主机（支撑点）”的检测，通过对网络中行为日志、安全日志、流量日志等进行实时、快速、持续的关联分析，结合网康威胁情报系统，实时检测到网络中存在的问题系统，并通过溯源取证，部署防御措施，从而提高安全防护能力。慧眼云系统整体架构如下图所示。

慧眼云系统设计思路与架构

于云和大数据技术，慧眼云能够对网络异常行为进行实时、持续的检测，结合威胁情报系统，发现网络中存在的失陷主机，并采取对应措施，防患于未然。慧眼云通过对各种日志基于时间维度和空间维度的关联分析，发现用户的异常行为，锁定潜在风险，提高安全防御能力。而通过对历史数据的分析和钻取，对已经失陷的主机进行完整的还原和过程回溯，慧眼云可以为掌握攻击过程、评估攻击危害提供数据支撑，找到根本性对抗措施