专家模型（Expert Risk Score，简称ERS）是天空卫士内部威胁防护体系的重要组成部分，它以贝叶斯信念网络为基础，将天空卫士安全实验室专家的领域经验与安全事件和用户行为数据进行有机结合，实现针对特定内部威胁的推理分析,能够帮助其他安全设备做出更智能的决策，是对数据安全网关（DLP）、Web安全网关、邮件安全网关、终端安全软件等安全防护技术的有效补充。它能在大量安全事件报警和海量日志中，过滤出受威胁可能性最高的用户和设备，并给出其原因和证据，让安全管理人员能把有限的精力集中到最具威胁的目标上，有的放矢地调查处理，有效提升用户进行内部威胁处置的效率。

天空卫士内部威胁防护体系

随着网络安全对抗的不断发展，原来特点和功能相对明显的各种恶意代码，越来越呈现出功能相互融合的类僵尸网络特征，这些恶意代码既能接受远程操控、又能进行内部感染，并通过模块化实现快速迭代更新。依靠单纯的杀毒软件或入侵检测系统（IDS）已很难完全解决恶意代码对企业或组织的威胁，安全管理、运维人员仍然疲于应付内部防不胜防的恶意代码的肆虐，大量内部敏感信息存在被恶意代码盗取的威胁。专家模型（ERS）是天空卫士内部威胁防护（ITP）的一个重要组成部分，可通过行为数据分析实现对恶意代码的检测，能有效弥补杀毒软件和IDS的不足，更好地保护企业和组织内部的数据安全。下面，就如何基于网络行为数据来构建恶意代码检测的专家模型进行介绍。