網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)方案

綜合態(tài)勢(shì)感知平臺(tái)解決方案PAGE網(wǎng)絡(luò)安全態(tài)勢(shì)感知建設(shè)方案XXXX網(wǎng)絡(luò)技術(shù)有限公司

目錄1項(xiàng)目背景 42項(xiàng)目建設(shè)的必要性及目標(biāo) 52.1現(xiàn)狀及存在問題 52.2建設(shè)目標(biāo) 63系統(tǒng)概述 73.1系統(tǒng)簡(jiǎn)介 73.2系統(tǒng)架構(gòu) 93.3系統(tǒng)組成 93.3.1態(tài)勢(shì)感知分析中心 103.3.2態(tài)勢(shì)感知顯示管理中心 103.3.3數(shù)據(jù)存儲(chǔ)中心 103.4項(xiàng)目部署 114系統(tǒng)功能 124.1門戶Portal 124.2安全對(duì)象管理 124.3采集管理 134.4級(jí)聯(lián)管理 134.5數(shù)據(jù)管理 134.6過濾合并管理 144.7感知策略管理 144.8任務(wù)調(diào)度管理 144.9感知系統(tǒng)告警管理 154.10用戶管理 154.11系統(tǒng)管理 164.12報(bào)表管理 164.13自身安全保障 165功能特色 175.1特色的分布式、跨平臺(tái)組件架構(gòu) 175.2靈活、強(qiáng)大的信息采集能力 175.3個(gè)性化的關(guān)聯(lián)分析建模技術(shù) 186配置清單 197部分界面展示 20

項(xiàng)目背景隨著公司IT業(yè)務(wù)的迅速發(fā)展，規(guī)模越來越龐大，多層面的網(wǎng)絡(luò)安全威脅和安全風(fēng)險(xiǎn)也在不斷增加，網(wǎng)絡(luò)病毒、Dos/DDos攻擊等構(gòu)成的威脅和損失越來越大，網(wǎng)絡(luò)攻擊行為向著分布化、規(guī)?；?、復(fù)雜化等趨勢(shì)發(fā)展，僅僅依靠防火墻、入侵檢測(cè)、防病毒、訪問控制等單一的網(wǎng)絡(luò)安全防護(hù)技術(shù)，已不能滿足網(wǎng)絡(luò)安全的需求，迫切需要新的技術(shù)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常事件，實(shí)時(shí)掌握網(wǎng)絡(luò)安全狀況，將之前很多時(shí)候亡羊補(bǔ)牢的事中、事后處理，轉(zhuǎn)向事前自動(dòng)評(píng)估預(yù)測(cè)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全防護(hù)能力。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)能夠綜合各方面的安全因素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對(duì)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警。大數(shù)據(jù)技術(shù)特有的海量存儲(chǔ)、并行計(jì)算、高效查詢等特點(diǎn)，為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的突破創(chuàng)造了機(jī)遇，借助大數(shù)據(jù)分析，對(duì)成千上萬的網(wǎng)絡(luò)行為、攻擊等信息進(jìn)行自動(dòng)分析處理與深度挖掘，對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評(píng)價(jià)，感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢(shì)。

項(xiàng)目建設(shè)的必要性及目標(biāo)現(xiàn)狀及存在問題信息安全目前越來越受到重視，“棱鏡門”事件爆發(fā)后，信息安全不僅引起了中信期貨領(lǐng)導(dǎo)的重視，更引起了國(guó)家領(lǐng)導(dǎo)人的廣泛關(guān)注。在這種背景下，中信期貨作為負(fù)責(zé)任的大型過期，無論是出于對(duì)自身利益的考慮，還是對(duì)于社會(huì)責(zé)任的角度，都需要構(gòu)建更為豐富的內(nèi)部安全系統(tǒng)。這些系統(tǒng)不僅涵蓋基本的防火墻，入侵檢測(cè)、防病毒；還包括目前主流的上網(wǎng)行為審計(jì)，堡壘機(jī)系統(tǒng)，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，網(wǎng)站防火墻系統(tǒng)；以及符合最新攻擊的特征的，如抗拒絕服務(wù)系統(tǒng)，高級(jí)持續(xù)性威脅防御系統(tǒng)等。這些專業(yè)的安全防護(hù)設(shè)備逐漸達(dá)到了企業(yè)的防護(hù)屏障，從多個(gè)不同的角度滿足了企業(yè)的安全防護(hù)需求。但是，攻擊者與安全運(yùn)維人員的對(duì)抗是永無止境的，有了一種防護(hù)\t"/article/html/2016/2/2549/_blank"技術(shù)，就會(huì)出現(xiàn)針對(duì)性的攻擊技術(shù)。越來越多的攻擊者會(huì)在發(fā)起攻擊前，會(huì)測(cè)試是否可以繞過目標(biāo)網(wǎng)絡(luò)的安全檢測(cè)，因此會(huì)使用新型的攻擊手段，零日威脅、變形及多態(tài)等高級(jí)逃避技術(shù)、多階段攻擊、APT攻擊，這些新的攻擊方式，即是所謂的新一代威脅。由于它們是傳統(tǒng)安全機(jī)制無法有效檢測(cè)和防御的，因此往往會(huì)造成更大的破壞，成為當(dāng)前各方關(guān)注的焦點(diǎn)。然而，無論是傳統(tǒng)的安全攻擊，如DDoS、溢出攻擊、僵木蠕等，亦或是先進(jìn)的APT攻擊，所有的攻擊行為都會(huì)在網(wǎng)絡(luò)或者系統(tǒng)中留有痕跡。這樣的痕跡都分散在各個(gè)系統(tǒng)中，形成一個(gè)個(gè)的信息孤島，每起安全事故的發(fā)生、數(shù)據(jù)的泄露都是隱藏在網(wǎng)絡(luò)數(shù)據(jù)的海洋中，企業(yè)中的安全管理人員難以發(fā)現(xiàn)。安全事件都是在發(fā)生后，數(shù)據(jù)在網(wǎng)絡(luò)上廣為流傳后企業(yè)才會(huì)發(fā)現(xiàn)曾經(jīng)有過安全事件，但具體的時(shí)間、形式都難以察覺。君眾安全態(tài)勢(shì)感知平臺(tái)可以提供有效的安全分析模型和管理工具來融合這些數(shù)據(jù)，可準(zhǔn)確、高效地感知整個(gè)網(wǎng)絡(luò)的安全狀態(tài)以及發(fā)展趨勢(shì),從而對(duì)網(wǎng)絡(luò)的資源作出合理的安全加固，對(duì)外部的攻擊與危害行為可以及時(shí)的發(fā)現(xiàn)并進(jìn)行應(yīng)急響應(yīng)，從而有效的實(shí)現(xiàn)防外及安內(nèi)，保障信息系統(tǒng)安全。建設(shè)目標(biāo)君眾甲匠安全態(tài)勢(shì)感知平臺(tái)的建設(shè)，目的是達(dá)到以下目標(biāo)：1.實(shí)現(xiàn)對(duì)DDOS態(tài)勢(shì)的感知，并溯源；2.實(shí)現(xiàn)對(duì)已知入侵威脅安全態(tài)勢(shì)的感知；3.實(shí)現(xiàn)對(duì)未知威脅安全態(tài)勢(shì)的感知；4.實(shí)現(xiàn)對(duì)僵木蠕的態(tài)勢(shì)感知，并溯源；5.實(shí)現(xiàn)對(duì)資產(chǎn)自身脆弱性的態(tài)勢(shì)感知；6.實(shí)現(xiàn)對(duì)網(wǎng)站的安全態(tài)勢(shì)監(jiān)控。所有感知信息通過圖表型式展示給運(yùn)維人員，可用于：檢測(cè)：提供網(wǎng)絡(luò)安全持續(xù)監(jiān)控能力，及時(shí)發(fā)現(xiàn)各種攻擊威脅與異常，特別是針對(duì)性攻擊。分析、響應(yīng)：建立威脅可視化及分析能力，對(duì)威脅的影響范圍、攻擊路徑、目的、手段進(jìn)行快速研判，目的是有效的安全決策和響應(yīng)。預(yù)測(cè)、預(yù)防：建立風(fēng)險(xiǎn)通報(bào)和威脅預(yù)警機(jī)制，全面掌握攻擊者目的、技戰(zhàn)術(shù)、攻擊工具等信息。防御：利用掌握的攻擊者相關(guān)目的、技戰(zhàn)術(shù)、攻擊工具等情報(bào)，完善防御體系。

系統(tǒng)概述系統(tǒng)簡(jiǎn)介“一幅好圖勝過千言萬語！”這句話體現(xiàn)了安全態(tài)勢(shì)感知的關(guān)鍵－可視化，一定是通過圖形的方法把安全數(shù)據(jù)展示給人，人相對(duì)于計(jì)算機(jī)系統(tǒng)而言其優(yōu)勢(shì)在于無可比擬的邏輯對(duì)比分析能力，計(jì)算機(jī)處理十萬條安全事件的速度遠(yuǎn)比人快上千倍萬倍，但從一幅圖中發(fā)現(xiàn)其變化的趨勢(shì)以及深層次的原因，人們的直覺卻強(qiáng)大的多，這種客觀的直覺我們稱之為“態(tài)勢(shì)感知”，通過計(jì)算機(jī)數(shù)據(jù)能力，再采用不同的算法把安全數(shù)據(jù)圖形化我們稱之為“安全可視化”。網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況，為網(wǎng)絡(luò)安全提供保障。借助網(wǎng)絡(luò)安全態(tài)勢(shì)感知，網(wǎng)絡(luò)監(jiān)管人員可以及時(shí)了解網(wǎng)絡(luò)的狀態(tài)、受攻擊情況、攻擊來源以及哪些服務(wù)易受到攻擊等情況，對(duì)發(fā)起攻擊的網(wǎng)絡(luò)采取措施；網(wǎng)絡(luò)用戶可以清楚地掌握所在網(wǎng)絡(luò)的安全狀態(tài)和趨勢(shì)，做好相應(yīng)的防范準(zhǔn)備，避免和減少網(wǎng)絡(luò)中病毒和惡意攻擊帶來的損失；應(yīng)急響應(yīng)組織也可以從網(wǎng)絡(luò)安全態(tài)勢(shì)中了解所服務(wù)網(wǎng)絡(luò)的安全狀況和發(fā)展趨勢(shì)，為制定有預(yù)見性的應(yīng)急預(yù)案提供基礎(chǔ)。安全態(tài)勢(shì)感知的數(shù)據(jù)流圖數(shù)據(jù)源所提供的數(shù)據(jù)經(jīng)過預(yù)處理、信息融合后，進(jìn)入分析評(píng)估階段，其中預(yù)處理階段主要目標(biāo)是數(shù)據(jù)的采集，信息融合階段的主要目標(biāo)是去偽存真，分析評(píng)估階段的主要目標(biāo)是態(tài)勢(shì)感知。分析評(píng)估階段成功的關(guān)鍵是“人的有效參與”，安全可視化是達(dá)到這一目標(biāo)的主要途徑，這也是本文所討論的重點(diǎn)所在－基于可視化的安全態(tài)勢(shì)感知，包括數(shù)據(jù)變換、圖形布局、交互和動(dòng)畫四個(gè)方面的內(nèi)容，流程如下圖所示：系統(tǒng)架構(gòu)上海君眾甲匠綜合態(tài)勢(shì)感知平臺(tái)功能架構(gòu)示意圖系統(tǒng)組成數(shù)據(jù)采集平臺(tái)負(fù)責(zé)數(shù)據(jù)的采集、標(biāo)準(zhǔn)化、聚并、過濾、代理監(jiān)控、數(shù)據(jù)轉(zhuǎn)發(fā)等工作，是上層安全態(tài)勢(shì)感知的數(shù)據(jù)提供者。數(shù)據(jù)采集平臺(tái)在所管理的網(wǎng)絡(luò)中通過部署采集代理，利用各種標(biāo)準(zhǔn)或非標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議，采集各種設(shè)備和系統(tǒng)（防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、身份認(rèn)證服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)等）的事件、攻擊行為、上網(wǎng)行為等，并對(duì)該原始信息進(jìn)行范化（格式標(biāo)準(zhǔn)化）、過濾合并、轉(zhuǎn)發(fā)，為上層態(tài)勢(shì)感知提供數(shù)據(jù)。對(duì)新出現(xiàn)不支持?jǐn)?shù)據(jù)采集的設(shè)備和系統(tǒng)，可通過動(dòng)態(tài)的代理部署和加載機(jī)制，迅速定制實(shí)現(xiàn)數(shù)據(jù)采集。同時(shí)采集中心實(shí)時(shí)監(jiān)控代理及所在設(shè)備運(yùn)行的運(yùn)行狀態(tài)，確保數(shù)據(jù)采集的連續(xù)性和可靠性。態(tài)勢(shì)感知分析中心態(tài)勢(shì)感知分析中心是態(tài)勢(shì)感知系統(tǒng)的核心，主要功能是負(fù)責(zé)對(duì)接收來自采集中心的數(shù)據(jù)，根據(jù)配置的分析策略進(jìn)行審計(jì)分析、數(shù)據(jù)挖掘和統(tǒng)計(jì)分析。態(tài)勢(shì)感知顯示管理中心態(tài)勢(shì)感知顯示管理中心是態(tài)勢(shì)感知系統(tǒng)的統(tǒng)一人機(jī)交互平臺(tái)，以Web方式支持各功能模塊的顯示和管理。綜合顯示管理中心提供多種形態(tài)的信息顯示和管理方式，個(gè)性化的門戶Portal、自定義桌面，簡(jiǎn)易明了的審計(jì)結(jié)果可視化呈現(xiàn)及行為追溯展示，同時(shí)具備高效的檢索、排序查詢功能。數(shù)據(jù)存儲(chǔ)中心數(shù)據(jù)存儲(chǔ)中心負(fù)責(zé)對(duì)原始數(shù)據(jù)、范化后的標(biāo)準(zhǔn)數(shù)據(jù)、攻擊行為、審計(jì)結(jié)果數(shù)據(jù)、報(bào)表等信息的存儲(chǔ)，以供分析和查詢，同時(shí)負(fù)責(zé)數(shù)據(jù)庫(kù)的管理與維護(hù)

項(xiàng)目部署本次項(xiàng)目部署層面可分解為由數(shù)據(jù)庫(kù)服務(wù)器，Web運(yùn)維服務(wù)器，分析服務(wù)器，數(shù)據(jù)采集服務(wù)器，前端數(shù)據(jù)探測(cè)系統(tǒng)，運(yùn)維終端組成；可根據(jù)實(shí)際網(wǎng)絡(luò)規(guī)模和結(jié)構(gòu)進(jìn)行靈活的部署。本次項(xiàng)目在深圳部署一套采集分析服務(wù)器，在上海、深圳各部署1套安全數(shù)據(jù)探測(cè)系統(tǒng)，網(wǎng)絡(luò)安全設(shè)備（防火墻、入侵檢測(cè)等）及l(fā)inux服務(wù)器通過各網(wǎng)絡(luò)安全廠家標(biāo)準(zhǔn)安全數(shù)據(jù)外發(fā)接口獲取安全數(shù)據(jù)信息，windows通過安裝態(tài)勢(shì)感知插件（插件不超過1M，不影響原有服務(wù)器運(yùn)行）搜集安全數(shù)據(jù)信息，所有網(wǎng)絡(luò)安全信息采集流量不影響原有網(wǎng)絡(luò)運(yùn)行。本次項(xiàng)目的部署如下圖所示：系統(tǒng)功能門戶Portal態(tài)勢(shì)感知系統(tǒng)管理門戶包括個(gè)人工作臺(tái)、綜合視圖兩部分，它是綜合態(tài)勢(shì)感知平臺(tái)的訪問入口。能夠以靈活的展現(xiàn)方式為不同用戶角色提供不同功能模塊的視圖展現(xiàn)。個(gè)人工作臺(tái)：提供系統(tǒng)功能的集中展現(xiàn)，包括但不限于審計(jì)告警視圖、數(shù)據(jù)管理視圖、感知策略管理視圖等內(nèi)容。個(gè)人工作臺(tái)支持靈活的個(gè)性化定制，可由用戶自定義界面風(fēng)格及展現(xiàn)欄目，滿足用戶的不同使用需求，如根據(jù)用戶不同角色制定領(lǐng)導(dǎo)視圖、審計(jì)管理員視圖。領(lǐng)導(dǎo)可以從宏觀的角度了解網(wǎng)絡(luò)整體態(tài)勢(shì)感知的狀態(tài)和態(tài)勢(shì)，安全網(wǎng)絡(luò)管理人員可以上至宏觀下至微觀把控整個(gè)所有態(tài)勢(shì)感知情況，而普通員工也可以了解到自己所負(fù)責(zé)的安全資產(chǎn)的安全情況。綜合視圖則是聚合用戶重點(diǎn)關(guān)注的各項(xiàng)子功能和數(shù)據(jù)，形成各種監(jiān)控視圖、分析視圖和配置管理視圖，作為登錄平臺(tái)后的首先展示的內(nèi)容。安全對(duì)象管理安全對(duì)象管理包括安全對(duì)象維護(hù)和安全對(duì)象模型管理安全對(duì)象是綜合態(tài)勢(shì)感知平臺(tái)進(jìn)行審計(jì)管理的對(duì)象統(tǒng)稱，描述了安全對(duì)象的定義、分類、屬性、關(guān)系等內(nèi)容，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端設(shè)備、系統(tǒng)、應(yīng)用軟件、重要數(shù)據(jù)等。是實(shí)施態(tài)勢(shì)感知的目標(biāo)對(duì)象。也是本平臺(tái)中數(shù)據(jù)管理、審計(jì)管理等功能模塊依賴的基礎(chǔ)。安全對(duì)象模型管理，負(fù)責(zé)創(chuàng)建對(duì)象模型，定義安全對(duì)象類型、屬性以及數(shù)據(jù)字典，每一類安全對(duì)象都是一個(gè)通過安全對(duì)象模板定義出來的具體實(shí)例。模型定義主要包括安全對(duì)象類型和安全屬性兩方面，從對(duì)象的實(shí)體或邏輯特征進(jìn)行分類，包含業(yè)務(wù)系統(tǒng)、設(shè)備、軟件、數(shù)據(jù)等類型，每類均可進(jìn)行類型擴(kuò)展，并且根據(jù)不同類型之間隱含的邏輯關(guān)系建立相應(yīng)的關(guān)聯(lián)關(guān)系。安全屬性分預(yù)置固定屬性和擴(kuò)展屬性，不同類型對(duì)象的安全屬性各不相同，差異性取決于安全對(duì)象的分類方式。在綜合態(tài)勢(shì)感知平臺(tái)中，能支持每類安全對(duì)象安全屬性的擴(kuò)展功能，以滿足態(tài)勢(shì)感知需要。采集管理采集管理是指通過各種采集協(xié)議或接口方式，以分布式部署采集代理方式，在運(yùn)維管理的網(wǎng)絡(luò)中各種節(jié)點(diǎn)上（應(yīng)用服務(wù)器主機(jī)、防病毒服務(wù)器、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、身份認(rèn)證服務(wù)器和防火墻等)獲取安全數(shù)據(jù)信息，通過君眾網(wǎng)絡(luò)安全探測(cè)系統(tǒng)對(duì)端口掃描攻擊、木馬后門、拒絕服務(wù)攻擊、蠕蟲、木馬、緩沖溢出、Web攻擊、訪問控制攻擊、SQL注入攻擊、P2P、IM、流媒體、網(wǎng)絡(luò)游戲以及其他違規(guī)行為進(jìn)行探測(cè)，最后通過內(nèi)部消息通道上傳到綜合態(tài)勢(shì)感知平臺(tái)進(jìn)行集中處理。包括采集組件的添加、刪除、啟動(dòng)、停止、策略下發(fā)、組件狀態(tài)監(jiān)控等功能級(jí)聯(lián)管理態(tài)勢(shì)感知系統(tǒng)支持分布式并行計(jì)算和部署，所有組件都可根據(jù)實(shí)際安絡(luò)規(guī)模和特點(diǎn)靈活動(dòng)態(tài)的分級(jí)、分層部署。級(jí)聯(lián)管理可以將所有組件通過統(tǒng)一的消息通道串聯(lián)起來，再通過平臺(tái)統(tǒng)一的策略和管理機(jī)制，將所有組件有效的融合統(tǒng)一起來，發(fā)揮平臺(tái)整體運(yùn)維效果。數(shù)據(jù)管理數(shù)據(jù)管理包括數(shù)據(jù)標(biāo)準(zhǔn)化、信息補(bǔ)全、數(shù)據(jù)存儲(chǔ)、查詢分析等功能。數(shù)據(jù)標(biāo)準(zhǔn)化是指通過范化規(guī)則，將采集上來的信息與格式不統(tǒng)一的原始數(shù)據(jù)，提取所有可以提取的信息，轉(zhuǎn)換成統(tǒng)一標(biāo)準(zhǔn)的數(shù)據(jù)格式，并映射成平臺(tái)統(tǒng)一數(shù)據(jù)庫(kù)，以方便后續(xù)各類分析模型進(jìn)行統(tǒng)一的審計(jì)分析。信息補(bǔ)全是指針對(duì)原始數(shù)據(jù)在記錄的時(shí)候無法全面記錄必要的相關(guān)信息，需要從用戶，安全對(duì)象等維度進(jìn)行缺失內(nèi)容的補(bǔ)全，以便為后續(xù)分析提供更加完整、準(zhǔn)確的數(shù)據(jù)數(shù)據(jù)存儲(chǔ)是數(shù)據(jù)信息持久化的過程，通過分布式結(jié)構(gòu)化和非結(jié)構(gòu)化兩種存儲(chǔ)體系來存儲(chǔ)不同類型數(shù)據(jù)，既方便存儲(chǔ)體系的擴(kuò)展，也有利于后續(xù)深入的數(shù)據(jù)挖掘和分析。查詢分析功能是網(wǎng)絡(luò)管理人員的關(guān)注重點(diǎn)，平臺(tái)提供多種形式的數(shù)據(jù)分析與展示，以達(dá)到數(shù)據(jù)的可視化展示，包括數(shù)據(jù)列表、統(tǒng)計(jì)圖表、數(shù)據(jù)儀表盤等。此外，還能夠基于各種維度的查詢、備份、維護(hù)，并生成審計(jì)報(bào)表。過濾合并管理過濾合并是按照數(shù)據(jù)的可信度和重要程度以及資產(chǎn)重要程度，通過過濾合并規(guī)則對(duì)數(shù)據(jù)進(jìn)行過濾或者合并，降低數(shù)據(jù)噪音，形成關(guān)鍵資產(chǎn)數(shù)據(jù)庫(kù)，為后續(xù)分析提供更加準(zhǔn)確的數(shù)據(jù)基礎(chǔ)感知策略管理感知策略是根據(jù)感知目標(biāo)制定的規(guī)則，目的是通過規(guī)則挖掘出隱藏在海量數(shù)據(jù)信息中威脅信息，使得安全透明和可視化。感知策略分實(shí)時(shí)策略和事后策略，實(shí)時(shí)策略針對(duì)實(shí)時(shí)數(shù)據(jù)，可以實(shí)時(shí)發(fā)現(xiàn)數(shù)據(jù)中隱藏的風(fēng)險(xiǎn)和問題，其針對(duì)的事件所歸屬的時(shí)間窗口較短，事后策略則針對(duì)已經(jīng)經(jīng)過持久化存儲(chǔ)的任意長(zhǎng)時(shí)間窗口海量事件的事后分析，可以更有效和全面的分析和挖掘數(shù)據(jù)中潛藏的風(fēng)險(xiǎn)和問題。本平臺(tái)的感知策略對(duì)應(yīng)的核心數(shù)據(jù)分析引擎基于數(shù)據(jù)庫(kù)Rete算法，在確保計(jì)算資源的高效利用和卓越分析性能的前提之下，可支持自定義各種審計(jì)模型，分關(guān)鍵字、統(tǒng)計(jì)和復(fù)雜的多層關(guān)聯(lián)分析策略，即可通過不同類型數(shù)據(jù)集合間相似性的比較，挖掘大規(guī)模數(shù)據(jù)間的關(guān)聯(lián)關(guān)系，從而發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的威脅操作，并通過追溯機(jī)制，發(fā)現(xiàn)產(chǎn)生威脅的源頭，方便網(wǎng)絡(luò)管理人員采取相應(yīng)安全措施，解除安全威脅。任務(wù)調(diào)度管理任務(wù)調(diào)度管理是是否態(tài)勢(shì)感知分析的驅(qū)動(dòng)器，通過作業(yè)設(shè)定感知策略的執(zhí)行時(shí)間和執(zhí)行頻率，作業(yè)設(shè)定后可將任務(wù)作業(yè)下發(fā)給作業(yè)引擎，作業(yè)引擎根據(jù)任務(wù)的時(shí)間信息定時(shí)開展態(tài)勢(shì)感知任務(wù)。同時(shí)態(tài)勢(shì)感知作業(yè)可以根據(jù)實(shí)際網(wǎng)絡(luò)管理需求進(jìn)行啟動(dòng)、暫停和終止等操作。網(wǎng)絡(luò)管理人員可以通過任務(wù)管理頁(yè)面查看執(zhí)行中任務(wù)的具體信息，包括任務(wù)的時(shí)間信息、策略信息以及最終的告警信息。感知系統(tǒng)告警管理告警，是感知系統(tǒng)的結(jié)果信息，網(wǎng)絡(luò)管理人員需要核實(shí)和處理的信息，往往意味著網(wǎng)絡(luò)中違規(guī)行為的發(fā)現(xiàn)。綜合感知系統(tǒng)告警管理是運(yùn)維平臺(tái)的業(yè)務(wù)核心所在。感知系統(tǒng)告警管理的另一特點(diǎn)是可以對(duì)審計(jì)結(jié)果進(jìn)行篩選，只保留符合條件的態(tài)勢(shì)感知信息，其次對(duì)同類型分析結(jié)果進(jìn)行合并，從而使得管理人員看到的感知信息是精簡(jiǎn)而聚焦的，并且可以根據(jù)感知信息追溯機(jī)制溯源至產(chǎn)生該結(jié)果的原始數(shù)據(jù)信息，有助于感知結(jié)果原因的快速定位和問題解決。告警分實(shí)時(shí)告警和事后告警。用戶管理用戶管理包括賬號(hào)管理、權(quán)限管理、統(tǒng)一認(rèn)證、系統(tǒng)審計(jì)、資源管理。賬號(hào)管理用以維護(hù)平臺(tái)所有用戶的賬號(hào)信息，是訪問平臺(tái)的唯一標(biāo)識(shí)ID。分配的每一個(gè)賬號(hào)登錄系統(tǒng)后可以自己修改賬號(hào)密碼。權(quán)限管理用以對(duì)賬號(hào)管理創(chuàng)建的用戶進(jìn)行權(quán)限維護(hù)，所有用戶可以根據(jù)所歸屬角色從而擁有相應(yīng)的功能權(quán)限，也可以單獨(dú)分配權(quán)限；角色可以根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境進(jìn)行自定義，并對(duì)角色進(jìn)行功能權(quán)限的分配。統(tǒng)一認(rèn)證用以平臺(tái)用戶的登錄認(rèn)證，統(tǒng)一認(rèn)證模塊是獨(dú)立組件，非本平臺(tái)業(yè)務(wù)系統(tǒng)也可以根絕標(biāo)準(zhǔn)接口調(diào)用本平臺(tái)的統(tǒng)一認(rèn)證接口進(jìn)行認(rèn)證，實(shí)現(xiàn)單點(diǎn)登錄的目的。系統(tǒng)審計(jì)主要作用是記錄系統(tǒng)中的各種操作。以此形成審計(jì)信息，方便管理員在日后的使用中維護(hù)該系統(tǒng)。資源是平臺(tái)可用于授權(quán)的功能最小顆粒度的所有集合的總稱，是對(duì)用戶授權(quán)的依據(jù)。資源管理展示了所有可用于授權(quán)的資源。系統(tǒng)管理系統(tǒng)管理包括自定義Portal、狀態(tài)監(jiān)控、業(yè)務(wù)組件監(jiān)控、配置管理。自定義Portal用以配置符合用戶自身操作習(xí)慣的門戶樣式和內(nèi)容，用以提高用戶工作效率。狀態(tài)監(jiān)控是監(jiān)控所有業(yè)務(wù)所在服務(wù)器的狀態(tài)，包括cpu、內(nèi)存、磁盤，還有數(shù)據(jù)庫(kù)表空間利用狀況。方便用戶對(duì)系統(tǒng)環(huán)境進(jìn)行維護(hù)。業(yè)務(wù)組件監(jiān)控可以通過視圖方式幫助了解平臺(tái)所有業(yè)務(wù)組件的運(yùn)行狀況，通過心跳監(jiān)控來確定業(yè)務(wù)組件的運(yùn)行是否正常，幫助管理人員確保平臺(tái)自身的正常運(yùn)行。配置管理用以對(duì)平臺(tái)環(huán)境運(yùn)行參數(shù)進(jìn)行設(shè)置，目前可以進(jìn)行幫助文檔的上傳和下載。報(bào)表管理報(bào)表管理用以呈現(xiàn)最終感知匯總信息，可以自定義從各個(gè)維度來匯總、統(tǒng)計(jì)、分析審計(jì)狀況。作為階段性審計(jì)成果的總結(jié)和展示，并為下階段網(wǎng)路優(yōu)化工作提供決策依據(jù)。報(bào)表管理提供在線和離線報(bào)表兩種類型，都可以自定義模板方式呈現(xiàn)管理員關(guān)注的安全結(jié)論。自身安全保障綜合態(tài)勢(shì)感知平臺(tái)作為審計(jì)網(wǎng)絡(luò)行為的安全平臺(tái)，必須確保自身也是安全的，應(yīng)最大程度不能被黑客攻破和利用。所有程序編碼采用安全編碼機(jī)制，并經(jīng)過滲透測(cè)試驗(yàn)證，確保程序自身沒有漏洞可以被黑客利用。采用經(jīng)過加固的Web應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)，Web訪問采用https方式和所有安全設(shè)備之間進(jìn)行可選的加密方式確保安全的通信所有組件之間采用私有協(xié)議的安全消息通道機(jī)制關(guān)鍵配置信息加密存儲(chǔ)

功能特色特色的分布式、跨平臺(tái)組件架構(gòu)君眾態(tài)勢(shì)感知系統(tǒng)使用自主研發(fā)的消息中間件和分布式體系架構(gòu)，通過統(tǒng)一的消息通道，各組件支持分布式部署和并行計(jì)算，平臺(tái)所有業(yè)務(wù)組件采用自定義標(biāo)準(zhǔn)插件模式，以配置的方式進(jìn)行加載，不僅可以靈活部署，還可以根據(jù)網(wǎng)絡(luò)規(guī)模，隨時(shí)擴(kuò)容計(jì)算資源，與網(wǎng)絡(luò)環(huán)境同步發(fā)展，從而滿足安全計(jì)算的要求。平臺(tái)采用標(biāo)準(zhǔn)C++和JAVA語言開發(fā)，可以同時(shí)支持在windows和linux上部署。靈活、強(qiáng)大的信息采集能力態(tài)勢(shì)感知系統(tǒng)收集各種設(shè)備的安全數(shù)據(jù)信息及君眾安全探測(cè)系統(tǒng)主動(dòng)探測(cè)安全數(shù)據(jù)信息。支持的管理對(duì)象涵蓋網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和安全系統(tǒng)；安全產(chǎn)品包括防火墻系統(tǒng)、入侵檢測(cè)、安全網(wǎng)關(guān)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)、身份認(rèn)證系統(tǒng)等；網(wǎng)絡(luò)產(chǎn)品包括路由器、交換機(jī)等；操作系統(tǒng)包括Windows操作系統(tǒng)、Solaris操作系統(tǒng)、Linux操作系統(tǒng)等；應(yīng)用包括Oracle數(shù)據(jù)庫(kù)、WebLogic、等各類上層應(yīng)用。系統(tǒng)目前支持的采集方式包括：SyslogSNMPT