Automated Rule Engine – 自动规则引擎 2018-06-04T18:15:51+00:00

自动规则引擎

提高检测性能,同时减少规则维护

行业痛点

因为易解释性和金融合规性,传统规则引擎是广受欢迎的行业解决方案。然而手动规则创建与维护的时间成本非常之高; 机器学习模型虽降低了人力成本的投入,但因其本身的黑盒性质,检测出的结果不易于解释。

Checklist Red - v0

规则引擎的限制

规则引擎需大量人工时间和调试进行规则创建与维护。随着规则数量的增长,维护与更新这些规则所需的成本呈指数级增长。如果旧有规则不被及时更新,误报率就会很快增加。

Microchip Red v0

机器学习方法的限制

由于机器学习模型的黑盒性质,检测结果往往不易于解释。在严格的合规环境中,能追踪每一项检测结果背后精准原因,是开展合规审计工作的必要条件, 而在这种场景下机器学习模型没有了用武之地。

解决方案

DataVisor自动规则引擎将人工智能机器学习与简单易解释的规则引擎相结合。通过使用DataVisor无监督机器学习引擎的检测结果,可自动产生易于理解的规则,提高检测性能,同时降低维护成本。

传统的规则引擎对新型攻击反应迟缓,自动规则引擎则非常善于主动及时检测这些新型攻击。在我们的无监督机器学习引擎发现可疑属性后,自动规则引擎即便会创建用来检测新型攻击方式的新规则。此外,自动规则引擎中的规则会不断处在受监控测试状态,确保其高效而精确的运转;引擎还会对过时的规则进行自动更新与移除。

自动规则引擎的优点

Labels - Blue - V1

自动创建新规则

基于DataVisor无监督机器学习引擎的结果,会被用来自动生成规则,以检测不断演变的新型攻击。

Sign Posts - Blue - v0

理解性和透明性

自动规则引擎生成的规则与人工创建的规则格式相同,在审查工作中非常便于理解和解释。
Continuous - blue v0

不断更新规则,保持高效率

根据攻击者与合法用户活动模式的改变,不断对规则进行自动测试与更新,降低误报概率

Checklist - Blue - v0

支持传统人工规则

同时支持人工创建规则,并把它们与DataVisor自动生成的规则相结合使用。

系统架构

DataVisor自动规则引擎是DataVisor检测解决方案的组成部分,与无监督机器学习引擎、有监督机器学习模块、和全球智能信誉库协同工作

如何用无监督机器学习增强现有检测结果?