Darktrace是由剑桥大学的数学家以及英美网络情报专家于2013年创立的网络安全AI公司，与其他网络安全公司不同，Darktrace 使用多种独特的算法和数学模型来查找计算机网络中的恶意活动。

算法

Darktrace使用了两种算法：贝叶斯统计和蒙特卡罗模拟。 

前者是一种概率论，它允许计算机网络专家建立网络常规活动的基线。  这些专家将这个参考点纳入算法，帮助计算机使用观察证据寻找异常行为，例如像斯诺登这样的人翻阅敏感文件。

后者是一种预测方法，帮助网络安全分析师尝试预测未来的不确定性。具体来说，它可以帮助分析师估计一系列变量，例如攻击者渗透目标计算机系统的可能性。然而，不仅如此，它还可以帮助分析师了解每个变量结果的可能性有多大。

调查取证需求

由于Darktrace创立人员都有国家安全部门情报人员身份背景，大部分产品应该符合APT调查响应和取证需求，执法部门的APT调查取证，在定位到某台主机的异常后，经常会对主机的系统日志、文件痕迹和网络流量等按照时间线进行精细化的线性评估分析。

从Darktrace早期的界面可以发现这样的痕迹，Darktrace会为使用者呈现单个主机根据时间排序的所有网络行为。

企业级产品

早期的Darktrace完全是供给情报分析人员的流量调查取证产品，在接受大量的资金支持后，流量调查取证产品进化为了企业级产品，Darktrace开发了各种端点、云环境和虚拟化环境的传感器。

Darktrace的这些传感器部署在企业网络之中，使用无监督的机器学习来大规模地分析网络数据，并根据它所看到的证据进行数十亿次基于概率的计算，可以呈现大型网络中所有网络节点连续的、关联的异常行为。

异常告警

Darktrace的安全运营方式类似于UEBA类产品，但专注的是APT攻击的威胁检测，其主要的核心还是根据企业的网络流量和端点行为建"正常"模型，当行为偏离这些模型时，Darktrace会将行为标记成异常。

这些告警模型主要分为以下几个大类，每个大类又细分为几百种异常行为：

Anomalous Connection- 异常网络连接

Anomalous File - 异常文件

Anomalous Server Activity - 异常服务器活动

Antigena - 免疫

Compliance  - 违规

Compromise  - 失陷

Device  - 设备

Infrastructure -  基础服务

System - 系统

Unusual Activity -异常活动

User - 用户

APT调查响应

以SolarWinds供应链攻击为例，Darktrace的一些模型并非专门为检测SolarWinds的APT攻击而设计，已经存在多年。

按照Darktrace的说法，比如一些传统的C2分析方法会针对基于IP地理位置进行统计，而Darktrace可以快速分析并告警出网络中任意端点第一次出现的这种异常行为。

比如检测Beacon类型C2的三个模型，在SolarWinds供应链攻击活动中就已经准确告警：

Compromise / Agent Beacon to New Endpoint 

Compromise / SSL Beaconing to New Endpoint 

Compromise / HTTP Beaconing to New Endpoint

接着攻击者进入内部网络，他们就会使用多个不同的失陷凭证进行横向移动，用于横向移动的凭证总是与正常的用于远程访问的凭证不同。一个设备第一次出现多个用户凭证进行登录和管理员凭据登录都是异常行为，这可能会触发以下网络人工智能模型：

User / Multiple Uncommon New Credentials on Device

User / New Admin Credentials on Client

在后渗透阶段，攻击者会以远程方式执行各种荷载和工具，从网络、设备到异常行为都会触发Darktrace的多个模型告警：

Anomalous Connection / New or Uncommon Service Control

Anomalous Connection / High Volume of New or Uncommon Service Control

Device / AT Service Scheduled Task

Device / Multiple RPC Requests for Unknown Services

Device / Anomalous SMB Followed By Multiple Model Breaches

Device / Suspicious File Writes to Multiple Hidden SMB Shares

Unusual Activity / Anomalous SMB to New or Unusual Locations

Unusual Activity / Sustained Anomalous SMB Activity

小结

Darktrace这类产品的最早定位是为满足执法机构的取证和情报人员的调查分析需求，对于使用者的要求极高。

在转变为企业产品后，可以看到Darktrace定位仍然没有改变，致力于攻击者攻击过程的全阶段异常告警，这对于企业级的安全运营要求太高，其产品形态更适合于保密等级更高的涉密网络。