近年来，随着人工智能、云计算、5G等技术的兴起，也让网络攻击手段的迭代速度不断加快。在各类攻击方式层出不穷的同时，也让信息安全领域的数据可视化发展成为不可或缺——不论是安全运营，威胁情报，态势感知都必须具备“看得见”的基础能力，从而帮助技术人员进行更有效更智能的分析。今天我们就来分享斗象智能安全PRS-NTA最新上线的功能——交互式数据图谱。

什么是交互式数据图谱

交互式数据图谱是以可视化方式呈现企业安全状态，它使决策者能够从整体上把控网络安全状态并作出明智的决策，它允许安全分析人员能够快速分析、理解和响应安全威胁。借助交互式数据图谱，安全分析人员可以深入到数据集中获取更多详细信息，产品亮点如下：

 ✔直观：以可视化方式呈现复杂业务环境中的安全状态

 ✔及时：使安全分析人员高效的发现数据中的异常趋势和模式

 ✔灵活：在复杂业务环境中，只要数据之间存在某种关系，安全分析人员就能利用这种可视化能力来识别其中的异常

✔ 洞察力：交互式数据图谱与静态可视化方式或查看原始日志相比，可提供更强大的洞察力——利用统计分析、聚类、排序等技术识别异常、数据泄露、隐蔽隧道、密码爆破等威胁场景。

如何使用交互式数据图谱识别安全威胁

对于很多企业来说，每天生成TB级的数据和大量的警报，如果安全分析人员是基于日志条目去做分析，这将严重制约其事件调查能力，从而无助于改善业务环境中的潜在安全隐患。交互式数据图谱可清晰、精确、高效的向决策者和安全分析人员呈现网络安全状态。当安全分析人员试图在流量日志中寻找蛛丝马迹时，交互式数据图谱将是最佳的选择——直观、及时、灵活并富有洞察力。交互式数据图谱常用应用场景包括以下：

✅识别异常

基于海量数据来识别异常趋势和模式并非易事，这将浪费安全分析人员大量的精力和时间，而且获得的效果也不一定是理想的。利用“建联状态分析”图表可以帮助安全分析人员使用基于TCP建联状态统计方法来快速标注可疑点，从而可以轻松识别需要进一步展开调查的异常模式。

如果单个柱状条存在多种颜色，这很可能表明在业务环境中存在端口扫描、异常通信等潜在安全隐患。安全分析人员可依据可疑点展开进一步的调查分析，以遏制事态的发展。

✅识别数据泄露

数据泄露涉及各行各业，影响意义深远，造成这种现象的主要原因是企业的安全措施较为脆弱。利用“建联关系分析”图表可以帮助安全分析人员在复杂业务环境中理清TCP建联关系。如果安全分析人员发现网络活跃度很高，这通常意味着业务环境中存在大量的数据传输，这或许是正常的业务现象，但当大量的数据传输发生在内网和外网之间时，则应引起重视，这是因为很可能存在数据外泄的违规行为。如果内网与外网之间存在大量的数据传输时，安全分析人员应根据业务场景对此展开进一步的调查分析，以遏制事态的发展。

✅识别隐蔽隧道

隐蔽隧道构建在协议的基础上，利用的是协议在安全方面存在的缺陷来实现的。对隐蔽隧道的识别能力是检测未知威胁的前提。例如针对ICMP协议可利用“填充字符统计”图表来帮助安全分析人员对报文结构和报文长度进行合理判断，从而识别可能存在的隐蔽隧道。

如果出现大量长度异常的报文数据，这很可能表明存在隐蔽隧道。安全分析人员可就此展开进一步的调查分析，以遏制事态的发展。

此外，安全分析人员也可利用ICMP“报文类型统计”图表来分析报文类型的差异，基于这种差异可判断网络中是否存在主机扫描、隐蔽隧道等安全隐患。

✅识别密码爆破

密码是一项关键安全控制措施，密码越简单，被爆破的可能性就越大。利用“连接关系分析”图表可以帮助安全分析人员轻松识别内网移动、内网批量扫描、主机密码爆破等恶意行为。如果主机圆点或失败连接的呈现效果很醒目时，则应引起重视，这很可能表明存在内网横移或主机已被攻陷，安全分析人员可就此展开进一步调查分析，以对这种恶意行为进行溯源分析。

此外，安全分析人员也可利用“建联端口分析”图表识别主机存活探测、端口扫描、网络通信异常等恶意行为。

如果柱状图数值偏高，这很可能表明攻击者正在对主机端口进行恶意扫描。安全分析人员可就此展开进一步的调查分析，以对这种恶意行为进行溯源分析。

斗象智能安全PRS

斗象科技以人工智能、大数据技术为核心，研发的新一代全息智能安全平台，为企业构建实战引领的安全检测与数据安全分析体系。通过旁路部署镜像流量，实时采集并深度解析流量数据，采用大数据技术结合AI智能、统计模型、安全规则、交互式数据图谱，并应用事件关联与自定义实体网络分析，识别流量的异常行为等安全隐患。

功能亮点1：大数据架构，全流量存储

采用基于DPI/DFI技术实现对通信协议的双向消息（request/response）深度解析能力，提升网络行为与安全风险事件的识别精度与准确率，可识别数据类型包括：协议数据、资产数据、文件数据等。利用大数据存储技术满足对海量解析数据的全量存储与原始pcap包存储，为溯源取证、大数据分析提供基础数据支撑能力。同时满足《网安法》对网络日志留存不少于六个月的要求。支持集群式管理保障系统的高性能、高可用。

功能亮点2：AI赋能智能威胁检测

采用智能安全模型、统计分析模型、安全规则签名、交互式数据图谱等多种技术能力，实现流量实时检测，识别网络流量中异常轨迹和攻击行为；大量智能安全模型的应用解决提升传统安全检出（如webshell等）与新型攻击事件（如隐蔽隧道等）；对海量数据进行智能建模，应用离线分析技术，识别高级安全风险，如基线检测、APT攻击等。

功能亮点3：基于攻击链的场景化分析

通过多点攻击事件的追踪关联，结合攻击链安全模型，摒除单维依赖，依据风险的属性及危害，对风险威胁进行量化评估，帮助企业快速定位预警信息。

功能亮点4：攻击回溯，威胁狩猎

基于攻击链场景的分析模式，为企业提供海量攻击的分析依据，对于潜在的异常事件，提供IoC调查分析画布、交互式数据图谱，结合大数据分析技术与攻击场景建模，清晰展示实体行为轨迹，实现攻击事件快速回溯。

功能亮点5：资产测绘，智能管理

采用被动数据解析与主动资产补全模式，识别细粒度资产；自动绘制资产档案管理，建立资产基线，覆盖企业资产盲点，为企业构建自动化资产管理体系。