【调研】青藤云安全：三维探针+插件式安全能力构建完整的自适应安全平台

企业调研是 36Kr 研究院根据新兴市场细分行业和新兴企业撰写的企业研究报告，定位于一级市场企业研究，从客观严谨的角度梳理企业的发展情况、商业模式、数据对标等，展现企业真实情况。

本报告节选自青藤云安全调研报告，更多内容请下载全版报告。

行业解读：互联网数据呈爆发式增长，信息安全亟需保障，网络安全服务市场庞大

1.1 互联网普及率不断提高，由此产生的数据量呈爆发式增长，巨大的数据量需要相应的防护措施保障信息安全

近年来，我国网民规模和互联网普及率不断提高。2015年底，我国网民总体规模超过6.88亿，全年共计新增网民3951万人，互联网普及率为50.3%，比上年增长2个百分点。随着信息技术不断革新，互联网不断普及，由此产生的数据量也在不断扩大。IDC的数据显示，2015年全球产生的数据量约为1万艾字节(1EB=1024*1024TB)，据预测，2020年这一数字将达到近4万艾字节。

不断普及的互联网产生了不断增长的数据量，其包含的企业与用户信息价值巨大，亟需防护措施保障数据安全，防止信息泄露。

1.2 大多数企业逐渐意识到网络安全服务的重要性，我国网络安全服务发展空间巨大

目前我国有92.5%的企业采取了网络安全防护措施，其中采取软件防护的企业占所有企业的66.4%。随着企业信息化与网络安全重视程度的不断加深，预计未来企业对网络安全服务的需求将不断扩大，网络安全服务长尾市场的潜在发展空间巨大。

1.3 目前我国网络安全形势严峻，互联网企业面临来自内外部的双重威胁，亟需优秀产品与服务保证信息安全

随着网络攻击逐渐专业化、组织化、持续化与定向化，企业一旦爆出信息安全事故，将面临巨大损失。此外，仍有较多企业对信息安全防护的投入不足，加上自身业务变化较快，信息安全防护措施难以及时跟进。

目前网络攻防中主要存在如DDoS攻击与Web攻击多种攻击手段。DDoS攻击，即分布式拒绝服务（Distributed Denial of Service），是指将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，通过大量合法请求占用大量网络资源，以达到瘫痪网络的目的。2015年我国DDoS攻击流量峰值最高达到140Gbps，四个季度遭受的DDoS攻击流量峰值平均为129Gbps。

Web攻击是指利用Web服务器或网页自身的漏洞进行攻击，以盗取合法用户的账号，获取敏感信息。2015年我国遭受的各类Web攻击共计990.38百万次，比2014年同比增长36.5%。

我国网络安全形势较为严峻，市场亟需优秀的网络安全产品与服务以保护互联网企业的网络与信息安全。

1.4 互联网巨头纷纷布局网络安全领域，国外厂商与国内企业的合资将成常态

随着网络安全形式的日趋严峻，企业安全意识不断提高，网络安全行业也逐渐迎来新的发展高峰，各细分领域的龙头企业为快速提升市场占有率，开始进行大量的并购、收购，实现技术互补与市场资源整合。此外，国外厂商能够利用自己的技术优势弥补市场缺陷，其与国内企业的合资将成常态。

1.5 我国网络安全服务的市场规模超过20亿美元，未来仍将保持10%以上的增长速度

来自IDC的数据显示，2015年我国网络安全市场规模将达到23.64亿美元，2016年这一数字将达到26.18亿美元，同比增长10.8%。2011-2016年我国网络安全服务市场规模的复合增长率为12.2%。

1.6 自适应安全平台：集防御、检测、回溯及预测能力的新型动态网络安全模式

为了应对严峻的网络安全形势，拦截更高级的定向攻击，Gartner提出了自适应安全架构（Adaptive Security Architecture），即集防御、检测、回溯及预测能力的新型动态网络安全模式，以应对日益增长的网络安全风险。

其中“防御能力”是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。

“检测能力”用于发现那些逃过防御网络的攻击，降低威胁造成的停摆时间以及其他潜在的损失。

“回溯能力”用于调查和补救被检测分析功能（或外部服务）查出的事务，以提供入侵认证和攻击来源分析，并产生新的预防手段来避免未来事故。

“预测能力”指安全系统可从外部监控下的黑客行动中学习，以主动锁定对现有系统和信息具有威胁的新型攻击，并将该情报反馈到预防和检测功能，从而构成整个处理流程的闭环。

行业政策：《网络安全法（草案）》出台，明确提出将制定网络安全战略，以保障网络信息安全

2015 年6 月，十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法（草案）》，草案从网络安全战略、网络运行安全、网络信息安全、监测预警与应急处置和法律处理等五个方面进行了规范，明确提出将制定网络安全战略，完善网络安全保障体系，建立网络安全等级保护制度、网络安全监测预警和信息通报以及应急工作等机制，提高网络安全保护能力、促进网络安全技术和产业发展、推进全社会共同参与维护网络安全的等措施，以保障网络产品和服务安全、网络运行安全、网络数据安全以及网络信息安全。

青藤云安全：Analyzer+Monitor+Builder构建完整的自适应安全平台

青藤云安全是一家自适应云安全技术服务提供商，旗下主要产品是青藤自适应安全平台( Adaptive Security Platform)。青藤自适应安全产品的架构体系是一种三维探针+插件式安全能力的统一管理平台。该架构体系有三种类型的部署模块，分别是内部的分析模块，面向网络的构建模块，以及第三方的监控模块。

3.1 实时清点资产，Analyzer帮助企业发现内部风险，主动防御外部攻击

Analyzer分析模块可以对主机、关联的云平台、安装的操作系统、主机上的软件应用和不同权限的账号等主机资产，以及Web站点、后台、URL、应用等Web资产进行实时清点，每天自动进行细致全面的风险分析，深入发现企业内部暴露的问题和风险，并通过自定义安全基线满足合规性检查，帮助企业降低被攻击面，主动防御外部攻击。

3.2 Builder：将服务器按业务角色进行划分，一键添加安全插件，帮助企业按需定制安全策略

青藤帮助用户对主机进行业务分组，根据实际运行的进程服务将其定义成负载均衡、web服务器、数据库等业务角色，呈现可视化划分结果，并根据企业系统内不同的业务角色属性来智能配置安全能力。青藤还提供包括DDoS防护、防暴力破解、分布式WAF、防撞库系统、双因素认证系统(OTP)、黑客诱捕系统等功能在内的安全组件，用户按需选择，可以随时部署及撤销这些组件，青藤的后台系统会自动进行安装部署。

3.3 Monitor：利用特征锚点、行为分析与关系模型等方法快速发现黑客入侵，30秒钟内通知响应

针对入侵检测中的误报、漏报等问题，青藤的Monitor在黑客的必经路径上打上特征锚点，对系统后门、Webshell、文件完整性和系统权限变更等进行监测，锚点被触碰即会引发警报。此外，青藤还建立了黑客入侵的行为模型，包括异常登录、本地提权、系统敏感文件的读写、端口监听等，通过模型匹配监控可疑行为，对行为数据进行多维度学习，自动评估模型的准确度并做出相应改进，降低误报率。

3.4 核心价值点：量化的用户安全状况、持续安全的风险控制、快速及时的攻击响应

青藤的自适应系统会帮助企业用户制定一个基本的安全准线，并帮助用户将风险持续控制在该准线下。在此基础上，一旦发生攻击行为，青藤将会第一时间检测到该攻击并及时作出响应。此外，Analyzer通过计算分析企业用户的各类资产与潜在安全风险之后，会得出一个相应的安全分数，用量化的方式帮助用户了解自身企业的安全状况。

运营数据：服务30余家企业，防护逾万台服务器，2015年收入逾一千万

青藤云安全目前拥有逾50人的研发团队，服务30余家企业，防护超过10000台服务器。2015年其营业收入超过1000万。

团队信息：拥有丰富的黑客技术研究经验及安全产品开发经验

创始人&CEO：张福

国内较早的黑客技术研究者，在安全攻防领域有超过15年的实践经验，曾先后在九城、51.com、盛大、昆仑万维等多家知名互联网公司担任技术和业务安全负责人，主导设计开发了九城游戏代码漏洞挖掘平台、51.com互动压力测试系统、盛大旁路式游戏反外挂系统等多款创新性产品，结合互联网一线业务积累了大量安全实践，对企业安全需求和安全产品都有深刻的理解。

风险提示：行业竞争激烈、政策存在一定变数、创业企业存在一定发展风险等。

（更多内容，请下载全版报告或联系36氪研究院。）

关于36氪研究院

36 氪研究院是 36 氪研究子品牌，专注于一级市场的行业研究，通过定性定量结合的方式研究新兴行业与企业，欢迎大家积极与我们交流讨论。

分析师：刘姝一  liushuyi@36kr.com，关注汽车与企业服务领域