近年来，随着人工智能、云计算、5G等技术的兴起，也让网络攻击手段的迭代速度不断加快。在各类攻击方式层出不穷的同时，也让信息安全领域的数据可视化发展成为不可或缺——不论是安全运营，威胁情报，态势感知都必须具备“看得见”的基础能力，从而帮助技术人员进行更有效更智能的分析。今天我们就来分享斗象智能安全PRS-NTA最新上线的功能——交互式数据图谱。

什么是一致数据图谱

相互数据图谱以可视化方式呈现企业安全状态，它使决策者能够从整体上把控网络安全状态并进行明智的决策，它允许安全分析人员能够快速分析，理解和响应安全威胁。数据图谱，安全分析人员可以深入到数据集中获取更多详细信息，产品亮点如下：

直观：以可视化方式呈现复杂业务环境中的安全状态

及时：使安全分析人员高效的发现数据中的异常趋势和模式

灵活：在复杂业务环境中，只要数据之间存在某种关系，安全分析人员就能利用这种可视化能力来识别其中的异常

洞察力：变量数据图谱与静态可视化方式或查看原始日志索引，可提供更强大的洞察力-利用统计分析，聚类，分类等技术识别异常，数据，隐蔽隧道，密码爆破等威胁场景。

使用一致数据图谱识别安全威胁

对于很多企业而言，每天生成TB级的数据和大量的警报，如果安全分析人员是基于日志记录去做分析，这将导致严重的其事件调查能力，从而无助于改善业务环境中的潜在安全隐患。交互式数据图谱可清晰，精确，高效的向决策者和安全分析人员呈现网络安全状态。当安全分析人员试图在流量日志中寻找蛛丝马迹时，相互关联的数据图谱将是最佳选择- ，及时，灵活并富有洞察力。相关数据图谱常用的应用场景包括以下：

1.识别异常

基于“海量数据来识别异常趋势和模式并非易事，这将浪费安全分析人员大量的能量和时间，而且获得的效果也不一定是理想的。”利用“建联状态分析”图表可以帮助安全分析人员使用根据TCP建联状态统计方法来快速标注可疑点，从而可以轻松识别需要进一步展开调查的异常模式。

如果单一柱状条存在多种颜色，这很可能表明在业务环境中存在端口扫描，异常通信等潜在的安全隐患。安全分析人员可依据可疑点展开进一步的调查分析，以阻止制事态的发展。

2.识别数据数据

利用“建联关系分析”图表可以帮助安全分析人员在复杂的业务环境中理清TCP建联关系。如果安全分析人员发现网络活跃度很高，这通常意味着业务环境中存在大量的数据传输，这或许是正常的业务现象，但当大量的数据传输发生内部网和外网之间时，则应引起认识，这是因为很可能存在数据外泄的违规行为。

如果内部网与外部网之间存在大量的数据传输时，安全分析人员应根据业务场景进行扩展进一步的调查分析，以阻止制事态的发展。

3.识别隐蔽隧道

对隐蔽隧道的识别能力是检测未知威胁的替代。例如针对ICMP协议可利用“填充字符统计”图表来帮助安全分析人员对报文结构和报文长度进行合理判断，从而识别可能存在的隐蔽隧道。

如果出现大量长度异常的报文数据，这很可能表明存在隐蔽隧道。安全分析人员可就此展开进一步的调查分析，以阻止制事态的发展。

此外，安全分析人员也可以利用ICMP“报文类型统计”图表来分析报文类型的差异，基于这种差异可判断网络中是否存在主机扫描，隐蔽隧道等安全隐患。

4.识别密码爆破

利用“连接关系分析”图表可以帮助安全分析人员轻松识别内网移动，内网批量扫描，主机密码爆破等恶意行为。

如果主机圆点或失败连接的呈现效果很醒目时，则应引起认识，这很可能表明存在内网横移或主机已被攻陷，安全分析人员可就此展开进一步调查分析，以对这种恶意行为进行溯源分析。

此外，安全分析人员也可以利用“建联端口分析”图表识别主机存活探测，端口扫描，网络通信异常等恶意行为。

如果柱状图数值偏高，这很可能表明攻击者正在对主机端口进行恶意扫描。安全分析人员可就此展开进一步的调查分析，以对这种恶意行为进行溯源分析。

斗象智能安全PRS

斗象科技以人工智能，大数据技术为核心，研发的新型全息智能安全平台，为企业建立实战引领的安全检测与数据安全分析体系。通过扩展部署流量，实时采集并深度解析流量数据，采用大数据技术结合AI智能，统计模型，安全规则，相关数据图谱，并应用事件关联与自定义实体网络分析，识别流量的异常行为等安全隐患。

功能亮点1：大数据架构，全流量存储

采用基于DPI / DFI技术实现对通信协议的双向消息（请求/响应）的深度解析能力，提升网络行为与安全风险事件的识别精度和准确率，可识别数据类型包括：协议数据，资产数据，文件数据等。利用大数据存储技术满足对海量解析数据的全量存储与原始pcap包存储，为溯源取证，大数据分析提供基础数据支撑能力。同时满足《网安法》对网络日志留存过多于六个月的要求。支持实现式管理保障系统的高性能，高可用。

功能亮点2：AI赋能智能威胁检测

采用智能安全模型，统计分析模型，安全规则签名，相关数据图谱等多种技术能力，实现流量实时检测，识别网络流量中异常轨迹和攻击行为；大量智能安全模型的应用解决方案提升传统安全检出（如webshel​​l等）与新型攻击事件（如隐蔽隧道等）；对海量数据进行智能建模，应用离线分析技术，识别高级安全风险，如进行检测，APT攻击等。

功能亮点3：基于攻击链的场景化分析

通过多点攻击事件的追踪关联，结合攻击链安全模型，替代除单维依赖，依据风险的属性及危害，对风险威胁进行量化评估，帮助企业快速定位预警信息。

功能亮点4：攻击回溯，威胁狩猎

基于攻击链场景的分析模式，为企业提供海量攻击的分析依据，针对潜在的异常事件，提供IoC调查分析画布，相关数据图谱，结合大数据分析技术与攻击场景建模，清晰展示实体行为轨迹，实现攻击事件快速回溯。

功能亮点5：资产测绘，智能管理

采用被动数据解析与主动资产补全模式，识别细粒度资产；自动布局资产档案管理，建立资产分配，覆盖企业资产盲点，为企业构建自动化资产管理体系。