大數(shù)據(jù)智能安全分析平臺

大數(shù)據(jù)智能安全分析平臺目錄01平臺建設(shè)思路02系統(tǒng)架構(gòu)03功能模塊Contents04大數(shù)據(jù)技術(shù)優(yōu)勢01平臺建設(shè)思路Internet業(yè)務(wù)日常辦公物理服務(wù)器承載工作人員Internet業(yè)務(wù)工作人員臨時訪客公用云移動分支外聯(lián)單位BYOD企業(yè)云物理服務(wù)虛擬化運(yùn)維人員邊界：清晰

模糊

資產(chǎn)：單一

多元

人員：簡單

復(fù)雜日常辦公物理服務(wù)器承載釘釘新時代網(wǎng)絡(luò)安全挑戰(zhàn)傳統(tǒng)威脅以破壞為目的頻率一次性破壞單個服務(wù)手段簡單高級威脅獲取敏感數(shù)據(jù)長期持續(xù)潛伏攻擊針對機(jī)構(gòu)區(qū)域和國家手段復(fù)雜隱蔽2015

RSA：從被動防護(hù)到主動監(jiān)控安全產(chǎn)品SIEM

–安全信息與事件管理SOC

–安全運(yùn)營中心NG-SIEM

-下一代SIEMNG-SOC

-下一代SOCUSM

-統(tǒng)一安全管理平臺UTM

-統(tǒng)一威脅管理平臺UEBA

-用戶行為分析效果不理想告警太多（誤報+重復(fù)）看不清全貌發(fā)現(xiàn)不了新問題數(shù)據(jù)收集不全功能不好用某大數(shù)據(jù)智能安全分析數(shù)據(jù)收集+大數(shù)據(jù)平臺+智能模型+分析工具需要解決的核心問題收集不全檢測不準(zhǔn)處置不解模型不靈數(shù)據(jù)源零散、形成孤島。數(shù)據(jù)種類和格式龐大。無法有效快速定位問題；無法快速響應(yīng)和處置，形成閉環(huán)。依賴局部靜態(tài)規(guī)則；誤報太多；安全價值喪失。不能發(fā)現(xiàn)行為風(fēng)險。無力應(yīng)對高級威脅。某大數(shù)據(jù)智能安全分析

-多源異構(gòu)數(shù)據(jù)的收集能力。

-檢測行為風(fēng)險潛伏威脅。

-關(guān)聯(lián)、剔除并提煉各安全設(shè)備的安全告警。

-具備高性能可擴(kuò)展的處理能力。

-威脅情報的提煉和碰撞能力。

-攻擊事件的鉆取、關(guān)聯(lián)追溯。提煉威脅價值、降低告警數(shù)量漏洞驗(yàn)證深入調(diào)研用戶環(huán)境拓?fù)浜蜆I(yè)務(wù)背景，不斷試驗(yàn)策略,提高準(zhǔn)確率及召回率是否存在漏洞漏洞是否利用成功請求返回包系統(tǒng)應(yīng)用日志智能模型200萬

惡意IP50萬僵尸網(wǎng)絡(luò)200萬惡意樣本500萬漏洞庫58萬暗鏈站點(diǎn)………情報碰撞攻擊鏈分析誤報率600%02系統(tǒng)架構(gòu)某

技術(shù)架構(gòu)某

功能架構(gòu)某

安全數(shù)據(jù)倉庫智能安全分析流程安全運(yùn)維響應(yīng)效率提升，20分鐘內(nèi)實(shí)現(xiàn)威脅溯源掌握網(wǎng)絡(luò)拓?fù)浜桶踩吔鐟B(tài)勢，全局感知安全威脅鎖定風(fēng)險資產(chǎn)和風(fēng)險用戶，畫像分析異常行為和相關(guān)風(fēng)險異常行為舉證，利用威脅情報和漏洞信息輔助驗(yàn)證應(yīng)急響應(yīng)，與防護(hù)設(shè)備聯(lián)動，及時攔截阻斷安全運(yùn)維響應(yīng)效率提升03功能模塊態(tài)勢感知攻擊方向識別外部威脅感知重點(diǎn)關(guān)注外部攻擊來源區(qū)域和內(nèi)部受攻擊資產(chǎn)橫向威脅感知重點(diǎn)關(guān)注內(nèi)部安全域之間的違規(guī)行為和內(nèi)網(wǎng)主機(jī)之間的病毒傳播Web業(yè)務(wù)系統(tǒng)安全重點(diǎn)關(guān)注Web服務(wù)的被訪問狀態(tài)和受攻擊情況資產(chǎn)外連威脅感知重點(diǎn)關(guān)注內(nèi)網(wǎng)失陷主機(jī)的被遠(yuǎn)程控制和回連行為分支安全視角平臺運(yùn)行狀態(tài)監(jiān)測視角企業(yè)安全門戶安全設(shè)備視角態(tài)勢感知威脅溯源資產(chǎn)威脅溯源支持資產(chǎn)被攻擊可視化溯源分析大屏，為安全運(yùn)維人員提供包括被攻擊行為分析、影響資產(chǎn)范圍分析、攻擊取證信息等；支持任意資產(chǎn)查詢，可呈現(xiàn)被訪問趨勢、被攻擊趨勢、被攻擊手段、資產(chǎn)狀態(tài)，資產(chǎn)評分等信息。攻擊者溯源支持攻擊者可視化溯源分析大屏，為安全運(yùn)維人員提供包括攻擊行為分析、團(tuán)伙分析、攻擊取證信息、攻擊趨勢、攻擊手段，攻擊影響范圍等信息；支持任意攻擊者信息查詢，可生成詳細(xì)的攻擊者溯源報告，并能夠一鍵導(dǎo)出報告。業(yè)務(wù)拓?fù)淙W(wǎng)狀態(tài)監(jiān)測重點(diǎn)業(yè)務(wù)監(jiān)測業(yè)務(wù)系統(tǒng)是承載用戶業(yè)務(wù)的基石，某實(shí)時監(jiān)測重點(diǎn)業(yè)務(wù)和內(nèi)部資產(chǎn)風(fēng)險，結(jié)合資產(chǎn)畫像分析定位安全問題爆發(fā)區(qū)域，保障用戶業(yè)務(wù)的可持續(xù)平穩(wěn)運(yùn)行。系統(tǒng)內(nèi)置企業(yè)網(wǎng)拓?fù)淠０?、Web業(yè)務(wù)拓?fù)淠０濉?D拓?fù)淠０濉I(yè)務(wù)拓?fù)涓咦杂啥壤L圖畫布工具欄資產(chǎn)選擇器元素編輯器元素選擇器拓?fù)洚嫴几婢行陌踩婢行囊圆煌S度提煉用戶關(guān)注的告警事件和實(shí)體，包含風(fēng)險資產(chǎn)、攻擊者視角、受害者視角、事件聚合視角等告警中心集中提供安全威脅的處置建議和攻擊原理描述，支持與安全設(shè)備進(jìn)行聯(lián)動處置用戶可針對某類事件鉆取到檢索中心進(jìn)行安全告警、事件、日志等原始數(shù)據(jù)的深度分析。風(fēng)險資產(chǎn)攻擊者視圖受害者視圖Sherlock網(wǎng)絡(luò)實(shí)體分析畫像Sherlock網(wǎng)絡(luò)實(shí)體分析畫像網(wǎng)絡(luò)實(shí)體基本信息風(fēng)險概況訪問關(guān)系行為畫像服務(wù)端口訪問端口弱點(diǎn)威脅情報某云端防護(hù)實(shí)時保護(hù)政企單位2.5萬個Web站點(diǎn)，實(shí)時收集提煉威脅情報和攻擊者動態(tài)每月輸出全國各省市安全評估報告，匯總安全風(fēng)險事件和頻發(fā)漏洞本地威脅情報庫定期從云端更新，支持離線導(dǎo)入情報信息覆蓋12類惡意標(biāo)簽和監(jiān)管單位、搜索引擎的whois信息安全建模規(guī)則策略引擎通過用戶自定義規(guī)則提煉安全日志中的安全事件價值，將安全日志的任意字段進(jìn)行篩選過濾、閾值設(shè)定、結(jié)果集包含等；支持同時設(shè)定多種條件，規(guī)則立即生效后可產(chǎn)生安全事件和告警統(tǒng)計策略引擎從安全日志中發(fā)現(xiàn)重要的統(tǒng)計型特征，發(fā)現(xiàn)如頻繁暴力破解嘗試等惡意行為；支持在實(shí)時流計算過程中統(tǒng)計日志中的任意字段中的數(shù)值，如事件數(shù)統(tǒng)計、求和、均值、最大值、最小值等統(tǒng)計策略，可設(shè)定閾值并觸發(fā)超閾值異常告警關(guān)聯(lián)引擎通過關(guān)聯(lián)規(guī)則將跨越多個設(shè)備來源的多源異構(gòu)安全日志進(jìn)行關(guān)聯(lián)分析；支持依據(jù)安全事件的相關(guān)規(guī)律，發(fā)現(xiàn)相關(guān)事件中隱藏的高級威脅及安全風(fēng)險，設(shè)定閾值條件，觸發(fā)安全告警AI異常分析引擎利用AI分析算法或機(jī)器學(xué)習(xí)算法對歷史的安全數(shù)據(jù)進(jìn)行分析建模，發(fā)現(xiàn)潛在的安全隱患和未知威脅，AI異常分析算法可識別數(shù)據(jù)中存在的周期性規(guī)律和異常突變企業(yè)網(wǎng)絡(luò)空間中網(wǎng)站訪問情況呈現(xiàn)周期性規(guī)律，每天存在使用高峰和低谷，通過AI算法可以自學(xué)習(xí)網(wǎng)站訪問情規(guī)律和訪問量上升下降趨勢。檢測不符合日?；鶞?zhǔn)值的訪問情況。如HTTP請求成功率應(yīng)該平穩(wěn)在95%以上。如果網(wǎng)絡(luò)中出現(xiàn)大量的404等請求狀態(tài)碼，說明存在大量頁面訪問失敗的異常情況，需要重點(diǎn)關(guān)注。點(diǎn)擊異常點(diǎn)可查看具體原因1.Web服務(wù)器宕機(jī)、服務(wù)器組件異常無法提供服務(wù)2.存在惡意的目錄遍歷爬蟲掃描行為3.存在資源耗盡型應(yīng)用層DDoS攻擊行為風(fēng)險異常分布泳道圖觀測網(wǎng)絡(luò)中是否存在安全問題集中爆發(fā)的情況，如病毒傳播感染、IDC故障等AI異常分析ExponentialSmoothing指數(shù)平滑法常用于中短期趨勢預(yù)測。是一種加權(quán)移動平均法。其特點(diǎn)是可加強(qiáng)觀察期近期觀察值對預(yù)測值的作用，增加近期觀察值的權(quán)重，同時可控制權(quán)重的變化速率。WeeklyGaussianEstimation訓(xùn)練以一周時間為一個周期的呈規(guī)律性分布的時間序列數(shù)據(jù)，網(wǎng)站訪問量、車流量等數(shù)據(jù)均滿足該規(guī)律。任意時刻的數(shù)據(jù)與之前幾周同時刻數(shù)據(jù)應(yīng)該符合高斯分布，利用3-sigma準(zhǔn)則進(jìn)行異常檢測。相關(guān)專利：一種基于行為觸發(fā)的防御鏈路耗盡型CC攻擊的方法，專利號：201610369623.5一種網(wǎng)絡(luò)流量異常檢測方法及系統(tǒng)，專利號：201710803213.1ARIMA自回歸積分滑動平均模型，將非平穩(wěn)時間序列轉(zhuǎn)化為平穩(wěn)時間序列，然后將因變量僅對它的滯后值以及隨機(jī)誤差項(xiàng)的現(xiàn)值和滯后值進(jìn)行回歸所建立的模型。AR是自回歸,MA為移動平均。RPCA-SSTRobustPrincipleComponentAnalysisbasedSingularSpectrumTransform日常觀測數(shù)據(jù)往往包含噪聲干擾，該算法將時序數(shù)據(jù)片段轉(zhuǎn)化為矩陣結(jié)構(gòu)，利用RPCA重構(gòu)矩陣剔除大幅值噪聲，提高突變程度略低的異常點(diǎn)檢測性能，發(fā)現(xiàn)掩蓋在噪聲下的異常信息。

IEEE論文：ARobustChange-pointDetectionMethodbyEliminatingSparseNoisesAI異常分析AI算法庫企業(yè)員工管理風(fēng)險用戶挖掘用戶畫像分析異常行為舉證UEBA可視化中心數(shù)據(jù)可視化引擎通過多種類型的可視化圖表和自定義儀表盤對安全指標(biāo)進(jìn)行可視化和場景化分析展示可視化圖表支持將攻擊次數(shù)、流量、訪問量等安全指標(biāo)以時序分布、類型分布等方式展示圖表類型包括一維、多維折線圖、柱狀體、餅圖、字符云、大字報等可視化圖表以自定義布局方式組成儀表盤，圖表和儀表盤均采用界面化交互配置管理。威脅概況資產(chǎn)分析外部攻擊者行文分析分析取證分析說明和處置建議日報周報月報自定義周期訂閱報告《深度威脅分析報告》檢索中心安全告警原始日志檢索中心為用戶提供全能的安全告警、原始日志數(shù)據(jù)的檢索分析工具，用戶可加入任意條件組合篩選過濾出目標(biāo)數(shù)據(jù)，并查看數(shù)據(jù)的全量字段攻擊鏈分析普通模式包含常用篩選過濾選項(xiàng)專家模式編寫全文檢索查詢語句時間選擇器、字段選擇器、導(dǎo)出功能黑白名單通常使用白名單，將玄武盾、DNS服務(wù)器的非安全分析數(shù)據(jù)源加入白名單黑名單只有當(dāng)某個客戶只關(guān)心某一種或者某幾種數(shù)據(jù)時，才使用黑名單黑白名單只對安全日志生效，對安全事件、安全告警無效04大數(shù)據(jù)技術(shù)優(yōu)勢大數(shù)據(jù)技術(shù)實(shí)力國內(nèi)首家基于Flink實(shí)現(xiàn)大數(shù)據(jù)實(shí)時流式分析的安全廠商2018Elastic開發(fā)者大會分享開源技術(shù)實(shí)踐經(jīng)驗(yàn)?zāi)匙匝腥罩窘馕鲆婧徒馕稣Z法，3倍性能優(yōu)于Logstash大數(shù)據(jù)技術(shù)架構(gòu)大數(shù)據(jù)實(shí)時流式分析計算引擎高吞吐、低延遲、高容錯增強(qiáng)Flink流式SQL解析能力，支持SQL定義過濾器、時間窗口和CEP復(fù)雜事件模型大數(shù)據(jù)一體機(jī)支持單節(jié)點(diǎn)部署支持水平擴(kuò)容某大數(shù)據(jù)一體機(jī)，標(biāo)配256GB內(nèi)存48T硬盤服務(wù)器，性價比更高單節(jié)點(diǎn)性能可達(dá)15000EPS實(shí)時分析和存查性能Docker容器化資源隔離Flink和Elasticsearch專項(xiàng)性能調(diào)優(yōu)集群支持水平擴(kuò)容某

BaaS提供統(tǒng)一運(yùn)維監(jiān)控管理全面可靠的數(shù)據(jù)收集能力2千種日志格式和協(xié)議智能數(shù)據(jù)解析引擎