功能特性

基于AI智能引擎的威胁检测

威胁检测服务在基于威胁情报和规则基线检测的基础之上，融入了AI智能检测引擎。通过弹性画像模型、无监督学习模型、有监督学习模型实现对风险口令、凭证泄露、Token利用、异常委托、异地登录、未知威胁、暴力破解七大IAM高危场景进行智能检测。通过SVM、随机森林、神经网络等算法实现对异常行为的智能检测。

AI引擎检测保持模型对真实数据的学习，保证数据对模型的反复验证和人工审查，精准制定预过滤和后处理逻辑，结合先验知识，模型达成零误报。同时，以阶段性检测结果为输入，通过模型重训练和依赖文件定期更新持续优化模型，提升模型告警准确率。

实时检测，缩短风险处理周期

威胁检测服务采用实时获取统一身份认证（IAM）、云解析服务（DNS）、云审计服务（CTS）、对象存储服务（OBS）、虚拟私有云（VPC）的日志数据进行持续不断的检测，威胁检测服务在第一时间发现潜在威胁告警，您可在第一时间进行核查、处理，缩短潜在威胁的风险周期，大程度降低风险损失。

威胁告警按严重等级划分

威胁检测服务对检测到的告警结果通过告警的严重性等级（致命、高危、中危、低危、提示）进行统计，对告警结果进行详细的等级划分，帮助您确定威胁告警内容的响应等级，通过告警描述能及时对告警做出判断进行优先级处理。

名单库管理策略

您可自定义上传和添加情报/白名单到OBS桶，异步同步到威胁检测服务，上传后检测服务将优先关联检测名单库中的IP和域名，及时发现（情报）/忽略（白名单）名单库中IP/域名地址的活动，降低检测响应时间，减轻服务运行负载。