八分量持续免疫系统

持续免疫主要将可信密码模块(TCM)、大数据处理技术、人工智能分析技术（NISA）、完整性度量框架（IMA）、进行技术性融合与创新，并与自主研发的可信区块链技术进行无缝对接。通过各模块的有机的组合，形成一套由可信计算为安全基础底座，可向上扩展，兼容传统安全策略的主机监控预警与防护系统。

系统主要以可信密码模块（TCM）为信任根，利用完整性度量框架逐级拓展可信边界，最终将主机启动时所必须的应用程序文件、文件加载的动态链接库及加载的内核模块，进行一次完整的散列hash运算，为主机构建起以内核为基础的可信边界，从内部形成基础保护屏障，从而将不在可信边界内的应用程序拒之门外，以达到未知应用程序拒绝运行、已知应用程序篡改拒绝运行的基础保护效果。

通过对网络活动中的主机，建立个体白名单、以及个体行为画像，让主机具备识别“无害”程序、行为的能力，从而自主完成访问控制与有害程序隔离控制。

该系统与区块链技术进行融合，利用区块链的防篡改特性，将系统所产生的重要源数据，进行有效保护，以防止黑客针对数据源、配置文件、审计日志等重要机器学习数据进行“污染攻击”从而破坏整个持续免疫防护生态，同时，防篡改还可以完成定制化数据加固措施，从而达到等级保护中数据加固的要求。

持续免疫系统由可信防御模块、大数据处理引擎、机器学习模块、画像生成模块、区块链数据加固模块组成

可信防御模块：
在每一台受保护计算机上启动防御措施，生成该主机的白名单文件，将文件存储至区块链以及Mysql数据库中，为主机建立可信执行程序名单，从而划分可信边界，通过实时证实白名单程序文件的度量值，可以秒级感知加载的非白名单程序文件，以及发生变化的已知白名单程序文件。

机器行为分析（UEBA）：
该模块主要采用了大数据引擎，可将白名单程序所产生系统审计日志、系统行为日志、数据库日志、监控程序日志、进行搜集、整理、降噪、形成统一机器可识别格式。

通过内置的AI分类算法，将格式化日志，进行类型划分，数值转换形成关系映射，最终生成基于日志的回归模型，构建机器对黑白事件的基本认知。

采用离线训练不断优化，迭代模型算法，找出最优匹配企业主机安全画像，利用在线流失检测技术，完成各业务模型的在线检测、告警。

区块链防篡改模块：
使用区块链系统保存行为敏感数据，提供追溯存证，防止篡改等服务以及策略，并可以对被恶意篡改的网页数据文件提供毫秒级的自动恢复。