大數(shù)據(jù)智能安全分析平臺

大數(shù)據(jù)智能安全分析平臺目錄01平臺建設思路02系統(tǒng)架構03功能模塊Contents04大數(shù)據(jù)技術優(yōu)勢01平臺建設思路Internet業(yè)務日常辦公物理服務器承載工作人員Internet業(yè)務工作人員臨時訪客公用云移動分支外聯(lián)單位BYOD企業(yè)云物理服務虛擬化運維人員邊界：清晰

模糊

資產(chǎn)：單一

多元

人員：簡單

復雜日常辦公物理服務器承載釘釘新時代網(wǎng)絡安全挑戰(zhàn)傳統(tǒng)威脅以破壞為目的頻率一次性破壞單個服務手段簡單高級威脅獲取敏感數(shù)據(jù)長期持續(xù)潛伏攻擊針對機構區(qū)域和國家手段復雜隱蔽2015

RSA：從被動防護到主動監(jiān)控安全產(chǎn)品SIEM

–安全信息與事件管理SOC

–安全運營中心NG-SIEM

-下一代SIEMNG-SOC

-下一代SOCUSM

-統(tǒng)一安全管理平臺UTM

-統(tǒng)一威脅管理平臺UEBA

-用戶行為分析效果不理想告警太多（誤報+重復）看不清全貌發(fā)現(xiàn)不了新問題數(shù)據(jù)收集不全功能不好用某大數(shù)據(jù)智能安全分析數(shù)據(jù)收集+大數(shù)據(jù)平臺+智能模型+分析工具需要解決的核心問題收集不全檢測不準處置不解模型不靈數(shù)據(jù)源零散、形成孤島。數(shù)據(jù)種類和格式龐大。無法有效快速定位問題；無法快速響應和處置，形成閉環(huán)。依賴局部靜態(tài)規(guī)則；誤報太多；安全價值喪失。不能發(fā)現(xiàn)行為風險。無力應對高級威脅。某大數(shù)據(jù)智能安全分析

-多源異構數(shù)據(jù)的收集能力。

-檢測行為風險潛伏威脅。

-關聯(lián)、剔除并提煉各安全設備的安全告警。

-具備高性能可擴展的處理能力。

-威脅情報的提煉和碰撞能力。

-攻擊事件的鉆取、關聯(lián)追溯。提煉威脅價值、降低告警數(shù)量漏洞驗證深入調研用戶環(huán)境拓撲和業(yè)務背景，不斷試驗策略,提高準確率及召回率是否存在漏洞漏洞是否利用成功請求返回包系統(tǒng)應用日志智能模型200萬

惡意IP50萬僵尸網(wǎng)絡200萬惡意樣本500萬漏洞庫58萬暗鏈站點………情報碰撞攻擊鏈分析誤報率600%02系統(tǒng)架構某

技術架構某

功能架構某

安全數(shù)據(jù)倉庫智能安全分析流程安全運維響應效率提升，20分鐘內實現(xiàn)威脅溯源掌握網(wǎng)絡拓撲和安全邊界態(tài)勢，全局感知安全威脅鎖定風險資產(chǎn)和風險用戶，畫像分析異常行為和相關風險異常行為舉證，利用威脅情報和漏洞信息輔助驗證應急響應，與防護設備聯(lián)動，及時攔截阻斷安全運維響應效率提升03功能模塊態(tài)勢感知攻擊方向識別外部威脅感知重點關注外部攻擊來源區(qū)域和內部受攻擊資產(chǎn)橫向威脅感知重點關注內部安全域之間的違規(guī)行為和內網(wǎng)主機之間的病毒傳播Web業(yè)務系統(tǒng)安全重點關注Web服務的被訪問狀態(tài)和受攻擊情況資產(chǎn)外連威脅感知重點關注內網(wǎng)失陷主機的被遠程控制和回連行為分支安全視角平臺運行狀態(tài)監(jiān)測視角企業(yè)安全門戶安全設備視角態(tài)勢感知威脅溯源資產(chǎn)威脅溯源支持資產(chǎn)被攻擊可視化溯源分析大屏，為安全運維人員提供包括被攻擊行為分析、影響資產(chǎn)范圍分析、攻擊取證信息等；支持任意資產(chǎn)查詢，可呈現(xiàn)被訪問趨勢、被攻擊趨勢、被攻擊手段、資產(chǎn)狀態(tài)，資產(chǎn)評分等信息。攻擊者溯源支持攻擊者可視化溯源分析大屏，為安全運維人員提供包括攻擊行為分析、團伙分析、攻擊取證信息、攻擊趨勢、攻擊手段，攻擊影響范圍等信息；支持任意攻擊者信息查詢，可生成詳細的攻擊者溯源報告，并能夠一鍵導出報告。業(yè)務拓撲全網(wǎng)狀態(tài)監(jiān)測重點業(yè)務監(jiān)測業(yè)務系統(tǒng)是承載用戶業(yè)務的基石，某實時監(jiān)測重點業(yè)務和內部資產(chǎn)風險，結合資產(chǎn)畫像分析定位安全問題爆發(fā)區(qū)域，保障用戶業(yè)務的可持續(xù)平穩(wěn)運行。系統(tǒng)內置企業(yè)網(wǎng)拓撲模板、Web業(yè)務拓撲模板、3D拓撲模板。業(yè)務拓撲高自由度繪圖畫布工具欄資產(chǎn)選擇器元素編輯器元素選擇器拓撲畫布告警中心安全告警中心以不同維度提煉用戶關注的告警事件和實體，包含風險資產(chǎn)、攻擊者視角、受害者視角、事件聚合視角等告警中心集中提供安全威脅的處置建議和攻擊原理描述，支持與安全設備進行聯(lián)動處置用戶可針對某類事件鉆取到檢索中心進行安全告警、事件、日志等原始數(shù)據(jù)的深度分析。風險資產(chǎn)攻擊者視圖受害者視圖Sherlock網(wǎng)絡實體分析畫像Sherlock網(wǎng)絡實體分析畫像網(wǎng)絡實體基本信息風險概況訪問關系行為畫像服務端口訪問端口弱點威脅情報某云端防護實時保護政企單位2.5萬個Web站點，實時收集提煉威脅情報和攻擊者動態(tài)每月輸出全國各省市安全評估報告，匯總安全風險事件和頻發(fā)漏洞本地威脅情報庫定期從云端更新，支持離線導入情報信息覆蓋12類惡意標簽和監(jiān)管單位、搜索引擎的whois信息安全建模規(guī)則策略引擎通過用戶自定義規(guī)則提煉安全日志中的安全事件價值，將安全日志的任意字段進行篩選過濾、閾值設定、結果集包含等；支持同時設定多種條件，規(guī)則立即生效后可產(chǎn)生安全事件和告警統(tǒng)計策略引擎從安全日志中發(fā)現(xiàn)重要的統(tǒng)計型特征，發(fā)現(xiàn)如頻繁暴力破解嘗試等惡意行為；支持在實時流計算過程中統(tǒng)計日志中的任意字段中的數(shù)值，如事件數(shù)統(tǒng)計、求和、均值、最大值、最小值等統(tǒng)計策略，可設定閾值并觸發(fā)超閾值異常告警關聯(lián)引擎通過關聯(lián)規(guī)則將跨越多個設備來源的多源異構安全日志進行關聯(lián)分析；支持依據(jù)安全事件的相關規(guī)律，發(fā)現(xiàn)相關事件中隱藏的高級威脅及安全風險，設定閾值條件，觸發(fā)安全告警AI異常分析引擎利用AI分析算法或機器學習算法對歷史的安全數(shù)據(jù)進行分析建模，發(fā)現(xiàn)潛在的安全隱患和未知威脅，AI異常分析算法可識別數(shù)據(jù)中存在的周期性規(guī)律和異常突變企業(yè)網(wǎng)絡空間中網(wǎng)站訪問情況呈現(xiàn)周期性規(guī)律，每天存在使用高峰和低谷，通過AI算法可以自學習網(wǎng)站訪問情規(guī)律和訪問量上升下降趨勢。檢測不符合日?；鶞手档脑L問情況。如HTTP請求成功率應該平穩(wěn)在95%以上。如果網(wǎng)絡中出現(xiàn)大量的404等請求狀態(tài)碼，說明存在大量頁面訪問失敗的異常情況，需要重點關注。點擊異常點可查看具體原因1.Web服務器宕機、服務器組件異常無法提供服務2.存在惡意的目錄遍歷爬蟲掃描行為3.存在資源耗盡型應用層DDoS攻擊行為風險異常分布泳道圖觀測網(wǎng)絡中是否存在安全問題集中爆發(fā)的情況，如病毒傳播感染、IDC故障等AI異常分析ExponentialSmoothing指數(shù)平滑法常用于中短期趨勢預測。是一種加權移動平均法。其特點是可加強觀察期近期觀察值對預測值的作用，增加近期觀察值的權重，同時可控制權重的變化速率。WeeklyGaussianEstimation訓練以一周時間為一個周期的呈規(guī)律性分布的時間序列數(shù)據(jù)，網(wǎng)站訪問量、車流量等數(shù)據(jù)均滿足該規(guī)律。任意時刻的數(shù)據(jù)與之前幾周同時刻數(shù)據(jù)應該符合高斯分布，利用3-sigma準則進行異常檢測。相關專利：一種基于行為觸發(fā)的防御鏈路耗盡型CC攻擊的方法，專利號：201610369623.5一種網(wǎng)絡流量異常檢測方法及系統(tǒng)，專利號：201710803213.1ARIMA自回歸積分滑動平均模型，將非平穩(wěn)時間序列轉化為平穩(wěn)時間序列，然后將因變量僅對它的滯后值以及隨機誤差項的現(xiàn)值和滯后值進行回歸所建立的模型。AR是自回歸,MA為移動平均。RPCA-SSTRobustPrincipleComponentAnalysisbasedSingularSpectrumTransform日常觀測數(shù)據(jù)往往包含噪聲干擾，該算法將時序數(shù)據(jù)片段轉化為矩陣結構，利用RPCA重構矩陣剔除大幅值噪聲，提高突變程度略低的異常點檢測性能，發(fā)現(xiàn)掩蓋在噪聲下的異常信息。

IEEE論文：ARobustChange-pointDetectionMethodbyEliminatingSparseNoisesAI異常分析AI算法庫企業(yè)員工管理風險用戶挖掘用戶畫像分析異常行為舉證UEBA可視化中心數(shù)據(jù)可視化引擎通過多種類型的可視化圖表和自定義儀表盤對安全指標進行可視化和場景化分析展示可視化圖表支持將攻擊次數(shù)、流量、訪問量等安全指標以時序分布、類型分布等方式展示圖表類型包括一維、多維折線圖、柱狀體、餅圖、字符云、大字報等可視化圖表以自定義布局方式組成儀表盤，圖表和儀表盤均采用界面化交互配置管理。威脅概況資產(chǎn)分析外部攻擊者行文分析分析取證分析說明和處置建議日報周報月報自定義周期訂閱報告《深度威脅分析報告》檢索中心安全告警原始日志檢索中心為用戶提供全能的安全告警、原始日志數(shù)據(jù)的檢索分析工具，用戶可加入任意條件組合篩選過濾出目標數(shù)據(jù)，并查看數(shù)據(jù)的全量字段攻擊鏈分析普通模式包含常用篩選過濾選項專家模式編寫全文檢索查詢語句時間選擇器、字段選擇器、導出功能黑白名單通常使用白名單，將玄武盾、DNS服務器的非安全分析數(shù)據(jù)源加入白名單黑名單只有當某個客戶只關心某一種或者某幾種數(shù)據(jù)時，才使用黑名單黑白名單只對安全日志生效，對安全事件、安全告警無效04大數(shù)據(jù)技術優(yōu)勢大數(shù)據(jù)技術實力國內首家基于Flink實現(xiàn)大數(shù)據(jù)實時流式分析的安全廠商2018Elastic開發(fā)者大會分享開源技術實踐經(jīng)驗某自研日志解析引擎和解析語法，3倍性能優(yōu)于Logstash大數(shù)據(jù)技術架構大數(shù)據(jù)實時流式分析計算引擎高吞吐、低延遲、高容錯增強Flink流式SQL解析能力，支持SQL定義過濾器、時間窗口和CEP復雜事件模型大數(shù)據(jù)一體機支持單節(jié)點部署支持水平擴容某大數(shù)據(jù)一體機，標配256GB內存48T硬盤服務器，性價比更高單節(jié)點性能可達15000EPS實時分析和存查性能Docker容器化資源隔離Flink和Elasticsearch專項性能調優(yōu)集群支持水平擴容某

BaaS提供統(tǒng)一運維監(jiān)控管理全面可靠的數(shù)據(jù)收集能力2千種日志格式和協(xié)議智能數(shù)據(jù)解析引擎