ＴT安全安全態(tài)勢(shì)感知解決方案

1、PAGE10IT安全態(tài)勢(shì)感知解決方案通信世界網(wǎng)消息( HYPERLINK t _blank CWW)信息安全目前越來(lái)越受到重視，“棱鏡門”事件爆發(fā)后，信息安全不僅引起了企業(yè)領(lǐng)導(dǎo)的重視，更引起了國(guó)家領(lǐng)導(dǎo)人的廣泛關(guān)注。在這種背景下，企業(yè)無(wú)論是出于對(duì)自身利益的考慮，還是對(duì)于社會(huì)責(zé)任的角度，都已經(jīng)開(kāi)始構(gòu)建更為豐富的內(nèi)部安全系統(tǒng)。這些系統(tǒng)不僅涵蓋基本的防火墻，入侵檢測(cè)、防病毒；還包括目前主流的上網(wǎng)行為審計(jì)，堡壘機(jī)系統(tǒng)，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，網(wǎng)站防火墻系統(tǒng)；以及符合最新攻擊的特征的，如抗拒絕服務(wù)系統(tǒng)，高級(jí)持續(xù)性威脅防御系統(tǒng)等。這些專業(yè)的安全防護(hù)設(shè)備逐漸達(dá)到了企業(yè)的防護(hù)屏障，從多個(gè)不同的角度滿足了企業(yè)的安全防護(hù)需

2、求。但是，攻擊者與安全運(yùn)維人員的對(duì)抗是永無(wú)止境的，有了一種防護(hù) HYPERLINK t _blank 技術(shù)，就會(huì)出現(xiàn)針對(duì)性的攻擊技術(shù)。越來(lái)越多的攻擊者會(huì)在發(fā)起攻擊前，會(huì)測(cè)試是否可以繞過(guò)目標(biāo)網(wǎng)絡(luò)的安全檢測(cè)，因此會(huì)使用新型的攻擊手段，零日威脅、變形及多態(tài)等高級(jí)逃避技術(shù)、多階段攻擊、APT攻擊，這些新的攻擊方式，即是所謂的新一代威脅。由于它們是傳統(tǒng)安全機(jī)制無(wú)法有效檢測(cè)和防御的，因此往往會(huì)造成更大的破壞，成為當(dāng)前各方關(guān)注的焦點(diǎn)。然而，無(wú)論是傳統(tǒng)的安全攻擊，如DDoS、溢出攻擊、僵木蠕等，亦或是先進(jìn)的APT攻擊，所有的攻擊行為都會(huì)在網(wǎng)絡(luò)或者系統(tǒng)中留有痕跡。這樣的痕跡都分散在各個(gè)系統(tǒng)中，形成一個(gè)個(gè)的信息孤

3、島，每起安全事故的發(fā)生、數(shù)據(jù)的泄露都是隱藏在網(wǎng)絡(luò)數(shù)據(jù)的海洋中，企業(yè)中的安全管理人員難以發(fā)現(xiàn)。安全事件都是在發(fā)生后，數(shù)據(jù)在網(wǎng)絡(luò)上廣為流傳后企業(yè)才會(huì)發(fā)現(xiàn)曾經(jīng)有過(guò)安全事件，但具體的時(shí)間、形式都難以察覺(jué)。綠盟安全態(tài)勢(shì)感知平臺(tái)可以提供有效的安全分析模型和管理工具來(lái)融合這些數(shù)據(jù)，可準(zhǔn)確、高效地感知整個(gè)網(wǎng)絡(luò)的安全狀態(tài)以及發(fā)展趨勢(shì),從而對(duì)網(wǎng)絡(luò)的資源作出合理的安全加固，對(duì)外部的攻擊與危害行為可以及時(shí)的發(fā)現(xiàn)并進(jìn)行應(yīng)急響應(yīng)，從而有效的實(shí)現(xiàn)防外及安內(nèi)，保障信息系統(tǒng)安全。建設(shè)目標(biāo)綠盟科技安全態(tài)勢(shì)感知平臺(tái)的建設(shè)，目的是達(dá)到以下目標(biāo)：1.實(shí)現(xiàn)對(duì)DDOS態(tài)勢(shì)的感知，并溯源；2.實(shí)現(xiàn)對(duì)已知入侵威脅安全態(tài)勢(shì)的感知；3.實(shí)現(xiàn)對(duì)未知

4、威脅安全態(tài)勢(shì)的感知；4.實(shí)現(xiàn)對(duì)僵木蠕的態(tài)勢(shì)感知，并溯源；5.實(shí)現(xiàn)對(duì)資產(chǎn)自身脆弱性的態(tài)勢(shì)感知；6.實(shí)現(xiàn)對(duì)網(wǎng)站的安全態(tài)勢(shì)監(jiān)控。建設(shè)原則(一)體系化設(shè)計(jì)原則基于信息網(wǎng)絡(luò)的層次關(guān)系，遵循先進(jìn)的安全理念，科學(xué)的安全體系和安全框架，各個(gè)組成部分推薦均符合當(dāng)代信息技術(shù)發(fā)展形勢(shì)，滿足未來(lái)各種應(yīng)用分析APP對(duì)安全態(tài)勢(shì)感知平臺(tái)的要求，提供針對(duì)各種已有數(shù)據(jù)源的接口支持。(二)擴(kuò)展性原則系統(tǒng)具有良好的擴(kuò)展以及與其它應(yīng)用系統(tǒng)的接口能力。產(chǎn)品具有良好的擴(kuò)展性，能夠快速響應(yīng)需求的擴(kuò)展，滿足用戶的進(jìn)一步需要。(三)開(kāi)放性，兼容性原則各種設(shè)計(jì)規(guī)范、技術(shù)指標(biāo)及產(chǎn)品均符合國(guó)際和工業(yè)標(biāo)準(zhǔn)，并可提供多廠家產(chǎn)品的支持能力。系統(tǒng)中所采用的

5、所有產(chǎn)品都滿足相關(guān)的國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)，是開(kāi)放的可兼容系統(tǒng)，能與不同廠商的產(chǎn)品兼容，可以有效保護(hù)投資。(四)安全性原則系統(tǒng)開(kāi)發(fā)、建設(shè)及維護(hù)的全過(guò)程中，在代碼安全、數(shù)據(jù)保密、系統(tǒng)安全防護(hù)措施上采取較嚴(yán)格的措施，進(jìn)行縝密的權(quán)限、身份、帳號(hào)與信息加密管理，接受其他安全系統(tǒng)如統(tǒng)一身份認(rèn)證系統(tǒng)、安全監(jiān)控管理系統(tǒng)的管理，以保證系統(tǒng)和數(shù)據(jù)的安全。(五)管理、操作、易維護(hù)性原則隨著信息系統(tǒng)建設(shè)規(guī)模的不斷擴(kuò)大，系統(tǒng)的可管理性已成為系統(tǒng)能否實(shí)施的關(guān)鍵，系統(tǒng)為用戶提供可解決問(wèn)題并易于管理的系統(tǒng)。貫徹面向最終用戶的原則，安裝簡(jiǎn)便快捷，具有了友好的用戶界面，操作簡(jiǎn)單、直觀、靈活，易于學(xué)習(xí)和掌握，支持在線功能幫助。綠盟安

6、全態(tài)勢(shì)感知平臺(tái)分為數(shù)據(jù)采集層、數(shù)據(jù)處理層、應(yīng)用分析層和呈現(xiàn)層。數(shù)據(jù)采集層：獲取與安全緊密關(guān)聯(lián)的海量異構(gòu)數(shù)據(jù)，包括網(wǎng)絡(luò)flow流數(shù)據(jù)、安全設(shè)備的監(jiān)測(cè)日志數(shù)據(jù)、資產(chǎn)的漏洞信息、配置信息等；此外還可采集惡意樣本及威脅情報(bào)等相關(guān)數(shù)據(jù)。通過(guò)綠盟A接口或flume-ng將數(shù)據(jù)源的 HYPERLINK t _blank 接入、收集及轉(zhuǎn)發(fā)。大數(shù)據(jù)處理層：包括數(shù)據(jù)的傳輸、處理、存儲(chǔ)及服務(wù)，數(shù)據(jù)經(jīng)數(shù)據(jù)采集傳感器進(jìn)入大數(shù)據(jù)處理層，在數(shù)據(jù)存儲(chǔ)之前會(huì)經(jīng)過(guò)12次的數(shù)據(jù)清洗，用來(lái)進(jìn)行數(shù)據(jù)增強(qiáng)、格式化、解析，數(shù)據(jù)存儲(chǔ)方式為HDFS的parquet列存儲(chǔ)和ELASTICSEARCH的索引庫(kù)，分別提供給APP用來(lái)搜索和分析使用。

7、應(yīng)用分析層：利用大數(shù)據(jù)處理層提供的數(shù)據(jù)即時(shí)訪問(wèn)接口，建立相應(yīng)的安全分析模型、并利用相關(guān)機(jī)器學(xué)習(xí)算法，邏輯實(shí)現(xiàn)相關(guān)應(yīng)用分析APP。呈現(xiàn)層：提取應(yīng)用分析層輸出的相關(guān)數(shù)據(jù)，實(shí)現(xiàn)APP統(tǒng)一的可視化呈現(xiàn)。采用大數(shù)據(jù)的底層架構(gòu)，實(shí)現(xiàn)異構(gòu)數(shù)據(jù)采集、存儲(chǔ)、計(jì)算。對(duì)于HBase、Hive等大數(shù)據(jù)組件的深度整合，滿足網(wǎng)絡(luò)安全中對(duì)于數(shù)據(jù)有效性、數(shù)據(jù)完整性、數(shù)據(jù)及時(shí)性的約束要求。采用自主開(kāi)發(fā)的數(shù)據(jù)路由功能，實(shí)現(xiàn)對(duì)于不同數(shù)據(jù)源的區(qū)別處理。以底層為基礎(chǔ)，實(shí)現(xiàn)自主可控的系統(tǒng)架構(gòu)。各類設(shè)備的日志信息和分析結(jié)果通過(guò)A接口導(dǎo)入安全態(tài)勢(shì)感知平臺(tái)。導(dǎo)入安全態(tài)勢(shì)感知平臺(tái)的數(shù)據(jù)經(jīng)過(guò)ETL（Extract-Transform-Load，數(shù)

8、據(jù)抽取、清洗、轉(zhuǎn)換、裝載）存入數(shù)據(jù)存儲(chǔ)單元。元數(shù)據(jù)是數(shù)據(jù)轉(zhuǎn)換ETL的策略和依據(jù)，同時(shí)元數(shù)據(jù)還會(huì)給通用數(shù)據(jù)訪問(wèn)接口提供訪問(wèn)控制約束。Kafka隊(duì)列作為數(shù)據(jù)傳輸?shù)囊粋€(gè)存儲(chǔ)通道，數(shù)據(jù)獲取層和數(shù)據(jù)應(yīng)用層之間的緩沖帶，同時(shí)可作為某些業(yè)務(wù)邏輯處理的存儲(chǔ)通道，如實(shí)時(shí)告警。數(shù)據(jù)存儲(chǔ)方式為HDFS的parquet列存儲(chǔ)和ELASTICSEARCH的索引庫(kù)，分別提供給WEB應(yīng)用用來(lái)搜索和分析使用。前端的各種WEB應(yīng)用通過(guò)多維分析服務(wù)、查詢報(bào)表服務(wù)、數(shù)據(jù)挖掘服務(wù)等形式的服務(wù)使用通用數(shù)據(jù)訪問(wèn)接口訪問(wèn)存儲(chǔ)的數(shù)據(jù)，最終實(shí)現(xiàn)基于異構(gòu)多維數(shù)據(jù)的安全分析。各種WEB應(yīng)用的分析結(jié)果可通過(guò)統(tǒng)一呈現(xiàn)門門戶做二次統(tǒng)一匯總分析并做呈現(xiàn)。

9、組網(wǎng)部署設(shè)計(jì)綠盟安全態(tài)勢(shì)感知平臺(tái)部署在企業(yè)內(nèi)網(wǎng)，在內(nèi)網(wǎng)的各核心路由器上部署網(wǎng)絡(luò)入侵態(tài)勢(shì)感知傳感器，鏡像全部網(wǎng)絡(luò)流量，網(wǎng)絡(luò)入侵態(tài)勢(shì)感知傳感器將獲取的網(wǎng)絡(luò)流量轉(zhuǎn)化成Netflow，通過(guò)管理口發(fā)送給DDOS態(tài)勢(shì)感知傳感器做流量檢測(cè)；通過(guò)FTP、POP3、SMTP協(xié)議還原，將過(guò)濾出的文件發(fā)送給APT攻擊態(tài)勢(shì)感知傳感器做惡意文件檢測(cè)。各傳感器最終將檢測(cè)得到的數(shù)據(jù)匯總到態(tài)勢(shì)感知平臺(tái)進(jìn)行分析，并通過(guò)相應(yīng)APP進(jìn)行可視化呈現(xiàn)。其總體部署架構(gòu)如圖3所示。方案能力網(wǎng)絡(luò)入侵態(tài)勢(shì)感知網(wǎng)絡(luò)入侵態(tài)勢(shì)感知是國(guó)際上公認(rèn)的難點(diǎn)，核心是海量日志的挖掘和決策支持系統(tǒng)的開(kāi)發(fā)，發(fā)達(dá)國(guó)家這方面的研究比較領(lǐng)先。經(jīng)過(guò)多年的研究，提出“基于對(duì)

10、抗的智能態(tài)勢(shì)感知預(yù)警模型”，解決海量日志挖掘的工作。吸收國(guó)外著名的killchain擊殺鏈和attacktree攻擊樹(shù)的相關(guān)研究，形成推理決策系統(tǒng)，借助大數(shù)據(jù)分析系統(tǒng)的分布式數(shù)據(jù)庫(kù)，可以實(shí)現(xiàn)決策預(yù)警，真正的為企業(yè)服務(wù)。眾所周知，IPS/IDS主要是基于攻擊特征規(guī)則進(jìn)行檢測(cè)（綠盟科技IPS/IDS規(guī)則庫(kù)擁有6400條規(guī)則），即IPS/IDS每次匹配到含有攻擊特征數(shù)據(jù)包便產(chǎn)生一次攻擊告警，1G流量下可產(chǎn)生120萬(wàn)條攻擊告警。而傳統(tǒng)的日志分析系統(tǒng)只會(huì)歸并同規(guī)則事件的告警（部分IPS/IDS本身也支持），1G流量下可歸并至12萬(wàn)條告警日志，意味著歸并后運(yùn)維人員還需要面對(duì)12萬(wàn)條告警日志！如圖4所示。而

11、綠盟科技的入侵威脅感知系統(tǒng)在傳統(tǒng)的日志歸并基礎(chǔ)上，還構(gòu)建了近100種攻擊場(chǎng)景的行為模型，可自動(dòng)化識(shí)別黑客當(dāng)前處于哪種攻擊行為。據(jù)統(tǒng)計(jì)，入侵威脅感知系統(tǒng)可將12萬(wàn)條告警日志自動(dòng)化分析成500條左右的攻擊行為告警。再基于攻擊樹(shù)的威脅計(jì)分，預(yù)警威脅較大的攻擊源，促進(jìn)防外決策，以及預(yù)警面臨威脅較大的被攻擊目標(biāo)，促進(jìn)安內(nèi)決策。再攻擊樹(shù)的反向推理方法，發(fā)現(xiàn)入侵成功事件，促進(jìn)事后響應(yīng)。DDOS態(tài)勢(shì)感知DDOS威脅一般稱為網(wǎng)絡(luò)氫彈，是目前國(guó)與國(guó)之間，競(jìng)爭(zhēng)對(duì)手之間的主要攻擊方式，成本低，見(jiàn)效大。DDOS攻擊越來(lái)越頻繁，尤其針對(duì)發(fā)達(dá)地區(qū)和重點(diǎn)業(yè)務(wù)，某省 HYPERLINK t _blank 電信每天發(fā)生的DDOS

12、攻擊次數(shù)在100次左右。其次，DDOS攻擊流量越來(lái)越大，從檢測(cè)結(jié)果來(lái)看20%以上攻擊在大于20G。2014年4月，監(jiān)測(cè)到的某電信的單一IP攻擊流量達(dá)到300G。因此，如何檢測(cè)預(yù)警大型的DDOS攻擊。是我們研究重點(diǎn)。在這個(gè)方面，網(wǎng)絡(luò)異常流量檢測(cè)，可以全目標(biāo)檢測(cè)(傳統(tǒng)DFI設(shè)備為了提升性能，需要設(shè)定檢測(cè)目標(biāo))。而且擁有自學(xué)習(xí)功能，可以降低80%以上誤報(bào)，經(jīng)過(guò)處理后，1500G出口的骨干網(wǎng)，形成告警完全是可以處置的。如圖5。通過(guò)一段時(shí)間的機(jī)器學(xué)習(xí)得到其正常狀態(tài)的流量上限。自學(xué)習(xí)過(guò)程中系統(tǒng)自動(dòng)記錄網(wǎng)絡(luò)的流量變化特征，進(jìn)行基礎(chǔ)數(shù)據(jù)建模，按照可信范圍的數(shù)據(jù)設(shè)置置信區(qū)間，通過(guò)對(duì)置信區(qū)間內(nèi)的歷史數(shù)據(jù)進(jìn)行分析計(jì)

13、算，得到流量的變化趨勢(shì)和模型特征。為了保證學(xué)習(xí)的流量特征符合正態(tài)分布，系統(tǒng)支持開(kāi)啟日歷模式的數(shù)據(jù)建模，如設(shè)置工作日、雙休日等日歷時(shí)間點(diǎn)，針對(duì)不同的時(shí)間點(diǎn)進(jìn)行自學(xué)習(xí)建模。同時(shí)系統(tǒng)支持對(duì)生成的動(dòng)態(tài)基線進(jìn)行手動(dòng)調(diào)整，和日歷自學(xué)習(xí)模式相結(jié)合，共同保證動(dòng)態(tài)基線的準(zhǔn)確性。僵木蠕態(tài)勢(shì)感知在辦公網(wǎng)等內(nèi)網(wǎng)環(huán)境中，僵尸網(wǎng)絡(luò)、木馬、蠕蟲(chóng)病毒（統(tǒng)稱僵木蠕）的威脅是首要威脅，僵木蠕引起的arp，DDOS斷網(wǎng)等問(wèn)題成為主要問(wèn)題，更不用說(shuō)由僵木蠕導(dǎo)致的APT泄密等事件了。在這個(gè)場(chǎng)景下，我們采用業(yè)界領(lǐng)先的防病毒引擎，通過(guò)對(duì)網(wǎng)絡(luò)流量監(jiān)控，發(fā)現(xiàn)僵木蠕的傳播，并通過(guò)僵木蠕態(tài)勢(shì)監(jiān)控，實(shí)現(xiàn)僵尸網(wǎng)絡(luò)發(fā)現(xiàn)、打擊及效果評(píng)估。APT攻擊態(tài)勢(shì)感

14、知已知攻擊檢測(cè)，我們可以用入侵檢測(cè)設(shè)備，防病毒，但是針對(duì)目前越來(lái)越嚴(yán)重的APT攻擊，我們需要更先進(jìn)的技術(shù)手段和方法。威脅分析系統(tǒng)，可有效檢測(cè)通過(guò)網(wǎng)頁(yè)、電子郵件或其他的在線文件共享方式進(jìn)入網(wǎng)絡(luò)的已知和未知的惡意軟件，發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護(hù)客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風(fēng)險(xiǎn)，如敏感信息泄露、基礎(chǔ)設(shè)施破壞等。因此，在整個(gè)防護(hù)體系中，未知的0day攻擊，APT攻擊態(tài)勢(shì)感知，我們依靠未知威脅態(tài)勢(shì)感知傳感器通過(guò)對(duì)web、郵件、客戶端軟件等方式進(jìn)入內(nèi)網(wǎng)的各種惡意軟件進(jìn)行檢測(cè)，利用多種應(yīng)用層及文件層解碼、智能ShellCode檢測(cè)、動(dòng)態(tài)沙箱檢測(cè)及AV、基于漏洞的靜態(tài)檢測(cè)等多種檢測(cè)手段

15、將未知威脅檢測(cè)并感知。如圖6。脆弱性態(tài)勢(shì)綠盟安全態(tài)勢(shì)感知平臺(tái)依托于漏洞掃描設(shè)備，對(duì)企業(yè)信息系統(tǒng)漏洞風(fēng)險(xiǎn)進(jìn)行評(píng)估，形成企業(yè)信息系統(tǒng)全生命周期的脆弱性態(tài)勢(shì)感知，協(xié)助企業(yè)做好系統(tǒng)上線前、后的風(fēng)險(xiǎn)態(tài)勢(shì)呈現(xiàn)，杜絕系統(tǒng)帶病入網(wǎng)、運(yùn)行，對(duì)存在風(fēng)險(xiǎn)的系統(tǒng)進(jìn)行及時(shí)的修補(bǔ)，并對(duì)修補(bǔ)后的再次審核結(jié)果進(jìn)行呈現(xiàn)，確保系統(tǒng)自身的安全運(yùn)行。網(wǎng)站安全態(tài)勢(shì)網(wǎng)站作為企業(yè)對(duì)外的窗口，面臨的安全威脅也最多，因此，有必要部署專門的網(wǎng)站監(jiān)控設(shè)備形成網(wǎng)站安全態(tài)勢(shì)監(jiān)控，同時(shí)與綠盟云端監(jiān)測(cè)服務(wù)相結(jié)合，監(jiān)控網(wǎng)站漏洞，平穩(wěn)度，掛馬，篡改，敏感內(nèi)容，并有效進(jìn)行運(yùn)維管理，從而避免因?yàn)榫W(wǎng)站出現(xiàn)問(wèn)題導(dǎo)致公眾問(wèn)題。溯源追蹤如何在海量網(wǎng)絡(luò)中追蹤溯源DDOS攻

16、擊，網(wǎng)絡(luò)入侵攻擊是業(yè)界難點(diǎn)和重點(diǎn)，采用DFI模式開(kāi)發(fā)網(wǎng)絡(luò)溯源系統(tǒng)，針對(duì)APT攻擊，DDOS攻擊，僵木蠕進(jìn)行有效的追蹤溯源?？梢员ＷC未知的攻擊的危害得到有效的溯源，如，DDOS攻擊可以溯源到鏈路，物理接口。APT溯源可以溯源到外泄了多少G的數(shù)據(jù)。僵木蠕溯源可以溯源CC主機(jī)的影響范圍。未來(lái)基于信譽(yù)情報(bào)，可以挖掘更多信息，重要的是，提供了在海量數(shù)據(jù)下的溯源難題?？梢栽诘统杀鞠拢€原任何IP的流量。網(wǎng)絡(luò)攻擊溯源追蹤具體包括以下兩個(gè)功能。(一)流量分析溯源在企業(yè)的網(wǎng)絡(luò)中發(fā)生流量型的網(wǎng)絡(luò)安全事件時(shí)，并已確認(rèn)安全事件相關(guān)資產(chǎn)IP地址和時(shí)間段信息，此時(shí)通過(guò)系統(tǒng)該模塊可實(shí)現(xiàn)對(duì)該時(shí)間段、IP地址等相關(guān)的流量分析溯

17、源取證；另外在企業(yè)發(fā)生流量型的安全事件時(shí)，也可通過(guò)該模塊中漸進(jìn)式數(shù)據(jù)挖掘、統(tǒng)計(jì)報(bào)表等子模塊實(shí)現(xiàn)流量攻擊的溯源和取證。(二)安全溯源在企業(yè)的業(yè)務(wù)系統(tǒng)發(fā)生遭受網(wǎng)絡(luò)攻擊事件時(shí)，根據(jù)遭受攻擊的類型和安全溯源的需求，通過(guò)溯源追蹤實(shí)現(xiàn)DDoS溯源和僵木蠕溯源。DDOS溯源：企業(yè)發(fā)生DDoS攻擊時(shí)，可通過(guò)DDoS告警日志信息判斷網(wǎng)內(nèi)DDoS攻擊還是網(wǎng)內(nèi)向網(wǎng)外發(fā)起DDoS攻擊還是網(wǎng)外向網(wǎng)內(nèi)發(fā)起DDoS攻擊，進(jìn)而通過(guò)溯源功能確定DDoS發(fā)起IP地址及遭受攻擊的IP和業(yè)務(wù)系統(tǒng)。僵木蠕溯源：定期對(duì)采集的企業(yè)各網(wǎng)絡(luò)區(qū)域流量信息進(jìn)行智能C&C主控分析，可溯源到企業(yè)網(wǎng)絡(luò)內(nèi)部與僵尸網(wǎng)絡(luò)通信的可疑“肉雞”；另外在其他安全檢測(cè)

18、防護(hù)系統(tǒng)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)通訊時(shí)確定控制服務(wù)器IP和端口后也可通過(guò)該功能溯源企業(yè)內(nèi)僵尸主機(jī)情況。關(guān)鍵技術(shù)及優(yōu)勢(shì)靈活的數(shù)據(jù)采集綠盟安全態(tài)勢(shì)感知平臺(tái)能夠采集多種數(shù)據(jù)源，包括但不限于網(wǎng)絡(luò)設(shè)備，如 HYPERLINK t _blank 交換機(jī)、路由器、網(wǎng)關(guān)等；安全設(shè)備，如防火墻、入侵防護(hù)、網(wǎng)閘、防毒墻等；安全系統(tǒng)，如身份認(rèn)證系統(tǒng)、集中授權(quán)系統(tǒng)等；應(yīng)用系統(tǒng)，如郵件系統(tǒng)、OA系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件系統(tǒng)等；業(yè)務(wù)系統(tǒng)，如ERP系統(tǒng)、CRM系統(tǒng)等。所有接入數(shù)據(jù)源沒(méi)有品牌限制，沒(méi)有型號(hào)限制，任何設(shè)備都可采用Syslog、Webservice、Snmp等標(biāo)準(zhǔn)協(xié)議進(jìn)行數(shù)據(jù)采集。同時(shí)亦支持對(duì)于網(wǎng)絡(luò)Flow流數(shù)據(jù)的采集，支持

19、Netflow等多種Flow協(xié)議。同時(shí)，對(duì)于缺少數(shù)據(jù)發(fā)送功能的設(shè)備提供相應(yīng)的數(shù)據(jù)采集器。采集器旁路到網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)采集工作，包括網(wǎng)絡(luò)設(shè)備數(shù)據(jù)、安全設(shè)備數(shù)據(jù)、應(yīng)用系統(tǒng)數(shù)據(jù)等。高效的數(shù)據(jù)存儲(chǔ)針對(duì)數(shù)據(jù)的業(yè)務(wù)需求，按照數(shù)據(jù)的不同類型采用多種數(shù)據(jù)存儲(chǔ)機(jī)制。l分布式存儲(chǔ)針對(duì)海量數(shù)據(jù)數(shù)據(jù)多源性、高速性、增長(zhǎng)性等特點(diǎn)，同時(shí)滿足數(shù)據(jù)的安全性、穩(wěn)定性等要求，采用非結(jié)構(gòu)化的分布式存儲(chǔ)技術(shù)。這樣的技術(shù)能夠?qū)?lái)自數(shù)據(jù)端的數(shù)據(jù)請(qǐng)求分布在集群中的每個(gè)計(jì)算節(jié)點(diǎn)上進(jìn)行處理，極大的提高數(shù)據(jù)處理性能。2結(jié)構(gòu)化存儲(chǔ)針對(duì)范式化的數(shù)據(jù)存儲(chǔ)，采用標(biāo)準(zhǔn)化的數(shù)據(jù)存儲(chǔ)方式，能夠?qū)⒁?guī)范有效的對(duì)數(shù)據(jù)進(jìn)行保存，同時(shí)能夠?qū)σ蠖ㄆ诟?、?shù)據(jù)結(jié)構(gòu)復(fù)雜、實(shí)時(shí)性要求高、且數(shù)據(jù)量不龐大數(shù)據(jù)給予很好的滿足。3索引存儲(chǔ)滿足頻繁查詢數(shù)據(jù)且查詢結(jié)果快速呈現(xiàn)的需求，即數(shù)據(jù)的即席查詢。索引存儲(chǔ)作為即席查詢的底層技術(shù)支撐，能夠達(dá)到數(shù)億條記錄秒級(jí)返回200條結(jié)果的效果。強(qiáng)大的分析引擎平臺(tái)中預(yù)制圖計(jì)