行业背景

    经过多年的大范围网络安全基础设施的建设,企业安全防护系统经历了一个从无到有、从有到全的发展过程,大量的投资建设建起了庞大的安全防御工事:IDS、防火墙、扫描器、审计系统、WAF、防毒墙等安全设备应有尽有,而信息化进程的不断加快,信息安全威胁日益严峻,勒索病毒、脱库、撞库、APT攻击等构成的威胁和损失越来越大,依靠单一的网络安全防护技术来实现被动的网络安全管理,已满足不了目前网络安全的要求。

解决方案

     云智网络安全态势感知与管理平台定位为客户的智能安全管理中心,是一个检测、预警、响应、处置的大数据安全分析平台。以大数据关联分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、机器学习、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在威胁入侵之后,损失发生之前及时发现威胁。平台通过多种数据、分析方法构建动态的多层次、全天候网络安全态势知,结合等级保护管理,为政企客户构建网络安全动态深度防御体系。

态势.png

系统分为数据源、采集层、数据层、分析层、展现层。

数据采集层采集与安全相关的海量异构数据,主要分为两大类型,一类为高频数据,也就是通常所说的大数据,以海量、高速、异构为特征,主要有外部流、运行状态和性能数据、日志和事件、原始流量镜像包和Flow流数据等,通过高速数据总线采集;另一类为低频数据,包括常见的资产信息、拓扑信息、配置信息、弱点信息、身份信息和威胁情报等,通过低频数据总线进行采集。数据摄取层支持分布式采集,提供分布式消息队列保证数据采集性能。

大数据层实现对采集数据的预处理和存储,将需要的数据转换为结构化数据,对非结构化数据进行索引和存储,将数据分别送至大数据存储系统和内存中供分析层使用。采集的态势要素数据根据数据处理的需要保存在相应的数据库中。数据存储层支持不同类型的大数据的存储,这些数据包括结构化和非结构化数据,关系型和非关系型数据,实时数据和历史数据。服务于后续的监测分析,系统使用多种数据存储技术,包括传统的关系型数据库(RDBMS),分布式非关系型数据库(NoSQL)和Hadoop等大数据存储。

分析层实现对预处理后的海量数据的实时和历史分析,采用多种分析方法,包括关联分析、机器学习、运维分析、统计分析、数据挖掘和恶意代码分析等多种分析手段对数据进行综合关联,完成数据分析和挖掘的功能。对网络安全态势进行全天候全方位感知,提供安全监测和分析能力。这些分析方法包括实时流式分析、历史数据的批量分析、交互式分析和回放分析等方法,提供了持续监测、关联分析、情境分析、机器学习、行为分析、威胁猎捕、风险评估、态势理解与预测等功能。指挥调度模块包括针对感知的安全问题进行预警和告警,通过工单进行安全管理工作的流程化处理,提供响应控制和设备联动,按照剧本(Playbook)进行处置和演练,提供信息通报,实现安全情报的共享和安全信息上报。

呈现层负责对海量数据的原始数据、分析结果数据和管控数据进行可视化展示,提供人机交互界面,向安全管理人员呈现全方位安全状态。为各类安全管理人员提供安全态势可视化呈现和安全处置响应界面。系统通过各类仪表板,报表报告和功能操作实现整个安全态势感知与安全防护的技术支撑。


方案优势

建立本地安全大数据中心实现“知己”

通过收集网络中各种硬件或软件的数据采集点信息。采集网络中的原始流量、设备运行日志、设备告警日志及终端行为日志等各种信息,经过归一化处理后存储在企业本地搭建大数据存储平台中,实现对企业网络行为的全方位监控,实现“知己”。

结合威胁情报实现“知彼”

通过主被动方式采集来自外部的商业、开源或社区威胁情报信息,并对这些情报进行数据融合,形成系统自身的情报库和热情报库。并将情报与系统采集到的用户网络内部的安全数据进行碰撞比对,利用威胁情报进一步增强安全分析的效果。掌握最新最全面的攻击者信息,对攻击者进行全面画像,实现“知彼”。

多层次智能安全分析

通过多年积累的丰富的安全分析经验,系统内置多种安全分析场景规则,也可以通过可视化方法编辑关联规则,强大的关联分析引擎实时分析采集的安全日志和流量元数据,结合各类情境数据,及时发现已知的攻击和威胁。系统还提供交互式安全分析手段,通过可视化页面,安全分析师可探索数据,通过多种数据可视化技术,依据安全分析经验,结合海量数据组合,发现网络安全事件。

开放、可扩展的套件化应用开发平台

平台采用套件化技术开发,套件化平台集成了安全事件和网络流量的采集,标准化,存储,告警,查询,分析和报表等全流程,内置大数据存储和智能分析引擎,提供功能界面定制和模块开发接口,用户可以快速部署,配置和开发一系列的安全管理相关应用。平台大幅度降低了安全行业应用开发的准入门槛,使得用户可以集中力量进行行业业务定制。

专业的安全运营服务团队

公司建设了专业的安全运营服务团队。围绕平台提供专业的安全分析服务,包括策略优化、安全事件分析、安全监测、脆弱性检测、等级保护预测评、风险评估等。提升平台的使用效果,以平台为中心为客户输出安全态势感知、预警响应和安全防护能力,帮助企业保护自身网络的安全,减少企业遭受攻击时受到的损失。