助企业应对高级威胁和内网合规挑战

　　——睿峰网云（北京）科技股份有限公司HawkEye睿眼内部威胁管控平台

　　睿峰网云(北京)科技股份有限公司推出的HawkEye睿眼内部威胁管控平台是以企业应对高级威胁和内网合规挑战为目的的下一代内部威胁管控平台。它以睿峰网云自有的底层大数据峰平台为依托，以创新的流量行为异常识别算法为核心，实现对网络数据流全方位的持续监控与分析，监测来自内外部的安全威胁，通过回溯取证发现攻击过程和范围，利用机器学习建立行为基线和安全态势实现未知威胁预防，通过向第三方输出告警和策略信息进行安全响应。

　　同时，HawkEye睿眼内部威胁管控平台是企业自适应安全防御架构的核心构件，是面向未来的安全防护体系的基石。它的作用并非是为了完全取代传统的网络安全产品与层次化防护体系，而是为了有效地应对日渐成为主流的高级内外部威胁而诞生，为客户提供完善的安全解决方案。传统网络安全产品和体系在有效、快速应对已知特征威胁方面，仍将发挥重要的基础安全作用。

　　智能数据源实时采集

　　HawkEye所基于的大数据峰平台引擎除了直接采集网络中的原始数据包与流信息进行行为基线与事件分析之外，还具备设备日志与SNMP管理信息收集储存和关联分析能力，将来自流和数据包的行为与事件属性数据与来自Syslog的应用层事件、SNMP管理信息完美结合，搭配智能分析规则，管理员可以完全掌握内网安全的所有细节。

　　内网资源可见性

　　通过分析内部网络流量，采用机器学习的方式自动化地识别组织内的安全资产(设备)，同时将组织内的设备或资产显示在一张逻辑图上，很便利地看到设备之间的互联关系。建立业务流量拓扑，实现设备、用户与应用的安全可视化。建立并维护主机健康指标体系，从主机的性能、可用性、安全威胁三方面了解业务的健康度，分析业务告警。

　　异常行为识别算法与模型

　　HawkEye睿眼内部威胁管控平台能够自动学习历史自动建立合理基线，在对网络中各主机流量建模形成行为基线的基础上，HawkEye将依据识别到的安行为变化，结合上下文信息以有效识别安全事件形成分类告警，并进行有针对性的事故响应，降低误报的可能，并且将依据事件与告警及时更新网络整体与各资产的安全态势。

　　内网异常与合规监测

　　等保、分保等国家强制性安全保护制度乃至很多行业自己所定义的行业规章都定义了详细的安全保护技术要求。HawkEye睿眼内部威胁管控平台在开发时特别留意了基本的技术要求。

　　从安全态势到数据包流的钻探回溯

　　HawkEye内部威胁管控平台能够实时监控内网主机或主机组之间、内网与外网地区间的网络行为，并在监控仪表板画面中实时呈现监控结果。系统针对收集到的海量安全事件进行威胁态势分析，帮助管理员从宏观层面把握整体安全态势，对分类告警进行识别、定位、回溯和跟踪。针对各个独立的分类告警或安全事件，对相关的数据流乃至原始数据包和相关安全设备日志进行深入钻探和历史追溯，探查取证，采取合理的响应。

　　贡献和表现

　　HawkEye睿眼内部威胁管控平台是基于流量监测的专业内网分析系统，能够根据客户所配置的本单位合规策略，动态发现各种隐蔽的内网违规行为，如移动终端接入、网中网、非法外联、弱密码和暴力破解、账号非法使用、服务器定期主动外联、服务器静默长连接、流氓设备、协议非标使用、DDoS攻击等，可以满足用户对网络监控、安全预警和事故追溯等要求。