智慧医疗安全高峰论坛-AiLPHA大数据安全分析应用于医疗网络安全闭环的实践课件.pptx

1、智慧医疗安全高峰论坛-A i L P H A 大数据安全分析应用于医疗网络安全闭环的实践课件机密性完整性可用性ConfidentialityIntegrityAvailability机密性完整性可用性C o n f i d e n t i a l i t y I n t e g r智慧医疗安全高峰论坛-A i L P H A 大数据安全分析应用于医疗网络安全闭环的实践课件传统以防御为主的安全解决方案，解决了90%以上的安全问题，但是 仅基于特征进行安全检测 严重依赖单点的处理能力 防护设备各自为战不协同 无法应对持续性安全威胁 告警量大安全运维效率低传统以防御为主的安全解决方案，解决了9 0%

2、以上的安全问题，但Intrusion Kill Chain模型ReconnaissanceInstallation Command&Crontal Actions onWeaponizationDeliver yExploitation侦查植入C2 控制Objectives组装投送攻击收割I n t r u s i o n K i l l C h a i n 模型R e c o n n a iAiLPHA大数据平台知己：知己：基于机器学习发现潜在的入侵潜在的入侵和高隐蔽性高隐蔽性攻击攻击，回溯攻击历史回溯攻击历史，预测即将发生的安全事件预测即将发生的安全事件；知彼：知彼：结合威胁情报形成海陆空

3、天一体的安全防御能力；采集了关键安全设备的日志、告警，满足网络安全法不少于6个月的日志存储要求（第三章、第二十一条、3节）；具备对内部失陷资产的发现与验证能力；A i L P H A 大数据平台知己：基于机器学习发现潜在的入侵和高隐安全环境已知安全 未知安全 安全状态状态识别 事件监测 风险监测 综合分析数据采集安全环境数据采集树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息系统统机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，做到关口前移，防患于未然。防患于未然。EDREDREDRDER：Endpoint Detec树立正确的网

4、络安全观，加强信息基础设施网络安全防护，加强网络Intrusion Kill Chain模型ReconnaissanceInstallation Command&Crontal Actions onWeaponizationDeliver yExploitation侦查植入C2 控制Objectives组装投送攻击收割I n t r u s i o n K i l l C h a i n 模型R e c o n n a i无侵入式被动发现，基于流量、日志、脆弱性等数据采用实时流式计算框架，新入网资产，30秒内即可被识别加入资产管理识别多种资产类型和指纹信息，如Web服务器、邮件服务器、数据库、

5、终端等流量数据日志数据性能数据脆弱性数据无侵入式被动发现，基于流量、日志、脆弱性等数据采用实时流式病毒查病毒查杀杀微隔微隔离离本地+云端双引擎查杀勒索、挖矿病毒东西流量的防护网站防网站防护护网站后门网站后门查杀查杀防SQL流入、XSS、CC攻击、防对网页木马进行查杀恶意扫描、敏感信息泄露登录防登录防护护漏洞管漏洞管理理异常登录防护，防暴力破解、弱口令检测实时修复0day漏洞，加固系统性能监性能监控控防端口扫描防端口扫描防恶意工具对侦听端口的扫描行为实时监控系统资源，检测挖矿行为病毒查杀微隔离本地+云端双引擎查杀勒索、挖矿病毒东西流量的防掌握网络拓扑和安全边界态势，全局感知安全威胁锁定风险资产和

6、风险用户，画像分析异常行为和相关风险异常行为举证，利用威胁情报和漏洞信息辅助验证项目实践：20分钟内实现威胁溯源网络拓扑监控风险资产发现资产综合画像异常行为举证上下文分析威胁情报查询漏洞利用验证跨安全域行为检测掌握网络拓扑和安全边界态势，全局感知安全威胁网络拓扑监控风智慧医疗安全高峰论坛-A i L P H A 大数据安全分析应用于医疗网络安全闭环的实践课件智慧医疗安全高峰论坛-A i L P H A 大数据安全分析应用于医疗网络安全闭环的实践课件ARIMAExponential Smoothing自回归积分滑动平均模型，将非平稳时间序列转化为平稳时间序列，然后将因变量 仅对它的滞后值以及随机

7、误差项的现值和滞后值进行回归所建立的模型。AR是自回 归,MA为移动平均。指数平滑法常用于中短期趋势预测。是一种加权移动平均法。其特点是可加强观察期近期观察值对预测值的作用，增加近期观察值的权重，同时可控制权重的变化速率。训练以一周时间为一个周期的呈规律性分布的时间序列数据，网站访问量、车流量等数据均满足该规律。任意时刻的数据与之前几周同时刻数据应该符合高斯分布，利用 3-sigma 准则进行异常检测。日常观测数据往往包含噪声干扰，该算法将时序数据片段转化为矩阵结构，利用RPCA重构矩阵剔除大幅值噪声，提高突变程度略低的异常点检测性能，发现掩盖在噪声下的异常信息。RPCA-SSTWeekly

8、Gaussian Estimation论文：A Robust Change-point Detection Method by Eliminating Sparse Noises,IEEE DSC专利：一种基于行为触发的防御链路耗尽型CC攻击的方法 专利号：201610369623.5专利：一种网络流量异常检测方法及系统 专利号：201710803213.1A R I MA E x p o n e n t i a l S m o o t h i n g 自回归积上上周上周本周MoTuWeThFrSaSu上上周本周Mo T u We T h F r S a S u智慧医疗安全高峰论坛-A i L

9、 P H A 大数据安全分析应用于医疗网络安全闭环的实践课件智慧医疗安全高峰论坛-A i L P H A 大数据安全分析应用于医疗网络安全闭环的实践课件智慧医疗安全高峰论坛-A i L P H A 大数据安全分析应用于医疗网络安全闭环的实践课件智慧医疗安全高峰论坛-A i L P H A 大数据安全分析应用于医疗网络安全闭环的实践课件3月5日16:00安恒信息安3月6日采用大数据发现3月5日15:03该单位财务部门一台设备出现蓝屏。服赶到客户现场确认勒索病毒爆发，并协助该单位进行病毒查杀。传播源发工单给安服处理方式，成功抑制病毒爆发与扩散55563月6日7:00AiLPHA大数据平台+APT+

10、SOC设备部署。3月7日，根据大暑平台告警，彻底完成内部勒索病毒清理工作3月5日15:37内网爆发蓝屏现象。该单位有2000+台设备，没有很好的网络规划，安服处置十分困难，只能是那里有蓝屏去哪里3 月5 日1 6:0 0 安恒信息安3 月6 日采用大数据发现3 月5 日1智慧医疗安全高峰论坛-A i L P H A 大数据安全分析应用于医疗网络安全闭环的实践课件智慧医疗安全高峰论坛-A i L P H A 大数据安全分析应用于医疗网络安全闭环的实践课件3月6号12:27被感染成功后成为新的病毒源头3月6号11:02正在遭受病毒感染3 月6 号1 2:2 7 3 月6 号1 1:0 21.资产自动开放445，22105，49834等不常用端口288个。2.445端口流入流量858MB，基本可以确认是通过445端口感染。1.资产自动开放2.4 4 5 端口流入防护审计/响应防护审计/响应THANK YO谢 谢 观T H A N K Y O 谢 谢 观