发布时间：2026年01月14日

人工智能赋能的内部威胁检测案例

内部威胁是最难检测的安全挑战之一，因为它们源自拥有合法访问权限的用户。恩士迅（NCS）为一家在高度安全环境下运营的重要客户设计并部署了一套基于人工智能的内部威胁检测系统，该系统分析来自多个数据源的用户行为，以便及早发现异常情况。该解决方案实现了主动可见性、更快的检测速度和更高的响应准确率，在处理数 TB 日志的同时，检测准确率达到了 85%。

客户是一家受监管的机构，拥有严格的保密和访问控制协议，面临着日益严重的内部风险。现有的监控工具无法区分正常用户活动和可疑用户活动，导致访问日志、特权账户和团队结构等方面存在可见性漏洞。因此，挑战在于创建一个统一的智能系统，能够分析海量的行为数据，并在潜在威胁升级之前将其识别出来。

恩士迅（NCS）实施了一套定制的多层检测系统，该系统结合了机器学习和基于规则的分析。

• 数据集成：将 IAM、PAM 和访问日志与上下文团队数据聚合，构建用户活动的整体视图。
• 异常检测模型：建立行为基线并标记随时间推移的偏差。
• 辅助引擎：

- 机器学习模型持续适应不断变化的模式。

- 基于规则的逻辑确保了一致性和自动告警。

• 运维赋能：分配动态风险评分，以便将调查重点放在最关键的异常上。

这种混合设计兼顾了适应性和可靠性，在确保检测精度的同时，又不影响运维效率。

图 1：恩士迅（NCS）内部威胁案例研究的系统框图。

部署的系统处理了数TB的日志数据，并在识别异常行为方面达到了85%的准确率。客户获得了对潜在内部威胁的预警能力，从而提高了响应速度和资源优先级。该可扩展框架还使组织能够随着威胁的演变无缝集成新的AI模型。

该项目标志着客户首个AI赋能的内部威胁系统正式上线，将被动监控转变为主动防御。通过将多源数据转化为可执行的情报，恩士迅（NCS）帮助该组织在保持合规性和运营信心的同时，始终领先于内部风险。