核心优势

高性能的流量采集

可对企业网络流量中涉及的链路进行更深层次的挖掘、分析，辅助溯源。单点采集最大支持40Gbps的峰值流量处理；全量包存储可辅助溯源取证分析。

更完善的威胁检测视角

使用机器学习模型实时检测攻击行为，依托360安全大脑，使用多源海量安全大数据作为模型的训练数据，结合专家调优规则做实锤判定。

智能化的威胁狩猎

使用模型引擎检测攻击行为，对未知恶意代码样本和利用0-day漏洞攻击有良好检测效果。

应用场景

企业入侵感知解决方案

区域安全监控解决方案

攻防演习场景解决方案

现有安全产品无法有效发现黑客入侵攻击；安全产品告警信息泛滥，海量数据堆积；发生安全事件后，日志难以溯源，难以定位问题。

通过AISA自身高性能处理能力，监控企业南北镜像流量、东西镜像流量，实现实时感知黑客入侵，帮助企业管理者快速了解当前企业总体安全威胁状况。安全运营人员可以通过AISA产品提供的精准告警和安全事件进行处置与研判。

应用场景

企业入侵感知解决方案

现有安全产品无法有效发现黑客入侵攻击；安全产品告警信息泛滥，海量数据堆积；发生安全事件后，日志难以溯源，难以定位问题。

区域安全监控解决方案

区域管辖范围内，中小企业安全能力尚且不足，不能满足对黑客入侵的检测能力，因此管理部门或机构需要对该区域的安全问题有发现能力。

通过对管辖区域内的核心交换节点部署AISA系统，以旁路方式监听流经的网络数据流量，达到对区域的监控，若发生入侵事件，则可以利用AISA的事件生成功能，直接下发通告进行处置。

攻防演习场景解决方案

企业在进行安全攻防模拟演习时，往往对于攻击方的行为只能通过报告进行发现，攻击方的攻击方式与动作是否合规，演习结束清理后门时是否全部提交等问题困扰企业。

通过把演习环境的镜像流量接入AISA系统，就可以对攻击方的入侵行为进行全面监控，以此确保攻击动作能审计，能溯源，能研判。

产品特点

实锤告警体系

AISA拥有对攻击进行实锤告警的能力，并且AISA的检测思路与黑客攻击思路一致。黑客攻击时，判断被攻击的信息系统是否存在漏洞，绝大多数情况下都是对响应做判断。AISA在检测方面，会对每一个访问响应做判断，因此能够实时发出攻击成功告警。

高性能的海量数据处理能力

AISA拥有高性能的处理能力，具备单机最高处理30G网络流量的能力，此外集群部署可以满足大型互联网企业100+IDC（Internet Data Center，互联网数据中心）规模的实时入侵感知需求。

无规则攻击检测

AISA使用无规则攻击检测，即使用模型引擎检测流量中的攻击行为，增加了检出结果的精确性和识别未知攻击的能力，避免了由于单纯使用专家规则正则式生硬匹配而导致的误报告警。相比传统的全流量入侵检测系统，大大降低了误报率，减轻日常运营工作量。

机器学习标签数据收集

AISA深知未来安全检测会是基于深度学习的，深度学习不仅能带来卓越的检测已知问题能力，还能带来非凡的检测未知问题能力。AISA系统能为客户提供基于自身流量的精准攻击标签数据，为企业在未来深度学习的战场上提供坚实的数据基础。

发现未知漏洞能力

为了绕过企业部署的安全设备的检测，黑客不断更新变形的攻击手法，AISA可以识别出已知的各种payload变形和部分0day漏洞，例如可预见的Struts2系列漏洞，SQL注入类漏洞，Java反序列化漏洞，CMS类型漏洞。这类“已知的未知”漏洞，是对公开的漏洞做出调整，多变且难以用规则正则式完全识别。由于AISA使用模型引擎检测攻击行为，可以对行为本身做识别，而不用规则正则式匹配。这使AISA拥有可以发现未知却可预见的0day漏洞的能力。

攻击链模型刻画

攻击者入侵动作还原描绘能力。AISA 通过检测流量中存在的威胁行为，按照攻击链理论将入侵动作映射到攻击链模型上，分为信息侦查、攻击入侵、命令控制、横向渗透、数据外泄、痕迹清理六步。

后续攻击预测

通过观察入侵动作在攻击链模型的位置信息，AISA能在攻击事件正在进行时，预测该入侵事件的下一步动作。基于奇虎360多年的攻防数据分析和研究，能较准确地预知攻击者的攻击思路，从被动修复攻击者利用的系统漏洞，到提早攻击者一步，去主动防护企业信息财产，AISA使得企业安全管理者从更高的层面去防护企业安全。

攻击入侵事件输出

检测能力覆盖广

多源的模型训练数据

拥有奇虎360的安全资源作为模型训练数据，AISA使用以下来源数据作为模型的训练数据，提高模型识别准确率（脱敏的渗透测试数据，红蓝对抗复盘数据，安全研究数据，自动化fuzz生成数据，入侵事件复盘数据，网络攻防开源数据）