安数云大数据态势感知系统
优选

安数云大数据态势感知系统

大数据储存解决信息孤岛问题,快速检索及溯源解决追踪溯源难的问题与威胁情报相结解决误报漏报问题,安全分析及风险预警解决数据挖掘问题,安全态势可视化解决安全量化问题 安全管理落地:协助用户将安全运维落地

大数据网络安全态势感知
32387/
38102/
规格:
  • 标准版
周期:
  • A套餐/1个月
立即购买
加入购物车
    • 百度智能云优选认证
    • 平台担保交易
    • 全程服务监管
    • 退款售后无忧

    产品参数

    • 人工交付
    • 实时
    • BCC

    产品详情

    产品概述

    1.1 概述

    安数云大数据态势感知系统是一款基于大数据技术的综合安全处理系统,其目标是为用户构建一个综合性的安全运维分析预警平台,真正将安全工作有效落地,形成闭环。系统通过对全网信息资产以及相关环境的数据采集、统一管理与安全分析,实现全网综合安全感知,通过智能安全处理保护信息环境稳定安全,同时通过持续检查与预警实现7*24小时安全防护。其具体建设目标如下:

    1) 与用户现有网络设备、安防设备、业务系统对接;

    2) 实现对整体安全态势的感知

    3) 实现对入侵攻击态势的感知;

    4) 实现对威胁态势的感知;

    5) 实现对内部违规行为、处置态势的感知;

    6) 实现对告警信息进行通报预警及处置;

    7) 实现对流量信息的态势感知;

    8) 实现对资产的安全态势监控;

    9) 协助用户将安全运维落地,形成管理闭环;

    1.2 平台架构

    本系统分为四层基础架构:数据采集层、数据存储层、数据分析层、平台管理层。各层功能如下:

    Ø 数据采集层:资产发现与管理、数据志采集、威胁情报采集等

    Ø 数据存储层:数据预处理、数据统一存储等

    Ø 数据分析层:异常行为智能感知、高级威胁智能感知、安全事件审计

    Ø 平台管理层:态势可视化、智能分析可视化、安全告警可视化

    系统架构图如下图所示:

    1.2.1 数据采集层

    数据采集层支持网络环境安全类、管理类、流量数据以及资产、用户的基本数据的采集。支持采集的数据类型如下表所示:

    序号

    数据类型

    采集引擎

    采集方式

    1

    流量数据

    全流量审计引擎

    镜像采集

    2

    网络设备、安全设备日志

    日志采集引擎

    协议采集

    3

    DNS日志

    日志采集引擎

    协议采集

    4

    操作系统进程数据

    日志采集引擎

    协议采集

    5

    邮件日志、证书相关数据

    日志采集引擎

    接口采集

    6

    资产、用户数据

    采集接口

    接口采集

    7

    主机日志

    采集Agent

    Agent采集

    针对网络流量,通过部署全流量深度分析引擎DPI的方式对网络流量进行采集分析,该引擎基于双向流量检测,采用深度包检测(DPI)、深度流检测(DFI)等技术,可精准识别上千种应用数据,同时可记录完整会话信息并交于大数据平台进行深度的挖掘分析。DPI引擎通过对网络中的流量数据进行深度即系、采集、分析,包括协议深度解析、应用会话分析、告警风险分析、合规行为等,支持全网双向流量、流向等行为的审计。能够对全网流量进行实时监控和大数据分析,通过对全流量实时监控、分析和汇总,可以全面的展示出全流量趋势和风险事件趋势信息。

    1.2.2 数据存储

    数据存储层负责将收集到日志进行标准化处理,将不同格式的日志转化成为内部的统一格式,并且将转换好的日志,进行集中存储和索引。数据存储层用于对采集上来的不同类型的数据进行分类存储,以满足数据分析的要求。支持多种数据格式的存储,提供多种存储方式。数据存储中支持的数据类型、存储方式、存储要求、存储周期等。数据存储根据数据结构类型的不同,其中非结构化数据:包括所有格式的文本文件、图片、原始数据等;结构化数据:可以用二维关系表结构来表示,具备结构化数据的模式和内容;半结构化数据:介于非结构化数据和结构化数据之间等。

    1.2.3 数据分析

    数据分析层通过采用大数据分析技术,实现多维大数据关联分析,实现全网的安全要素分析、异常行为快速发现的能力以及实现整体网络的安全态势可视化能力。数据分析层可实现扩充本地威胁情报的能力,将恶意文件、高级持续攻击者的IP、安全事件等数据,扩充至本地威胁情报库,并进行联动分析,实现网络安全事件的自动发现和整体网络安全环境的动态防御能力。

    1.2.4 平台管理层

    平台管理层作为统一的配置管理中心,可展示全局的安全状况,提供WEB访问操作控制台。平台管理层提供集中实时查看安全检测过程中,对截获的安全日志进行深入调查分析以及对事件的自动响应,提供对攻击的过程回溯和展示的能力。平台管理层在业务应用上扩充为通报预警子系统、大数据智能分析子系统、态势监测子系统、资产监测子系统、流量监测子系统、高级威胁检测子系统、大数据智能安全分析子系统等。

     

    产品功能

    2.1 安全态势可视化门户

    安全态势展示功能是用来向用户提供安全威胁与预警信息查看分析的入口,通过历史安全数据的归纳总结、实时安全威胁分析以及对态势发展情况的预测评估,来全面描述全网的安全情况、影响评估和态势演化。

    安全态势功能上包括综合安全态势、攻击安全态势、资产安全态势、告警安全态势、处置安全态势等功能。包括如下:

    n 支持图形化展示攻击总量、异常流量和业务异常流量、系统攻击、脆弱性、异常行为的统计趋势;

    n 展示网络威胁类型、系统攻击类型、脆弱性类型、异常行为类型的分布占比;

    n 支持图形化展示网络威胁的地域分布,支持系统攻击、脆弱性和异常行为的系统分布,并支持分类计数;

    n 支持网络威胁、系统安全、用户行为告警的实时展示,内容包括时间、用户、源IP、目的IP、事件类型、告警级别、关联资产等;支持告警明细查看,明细界面支持告警处置,包括工单派发、告警快速处置等;

    n 支持按时间范围、IP地址、内容、威胁类型、等进行数据筛选,时间范围可动态指定。

    安全态势可视化界面如下所示:

     

    综合类态势


    攻击类态势

     

     

    业务类态势


    威胁类态势

     


    处置类态势

     

    2.2 安全告警与运维管理

    系统提供针对流量、事件、日志等的多维度全方面分析,分析模式包括聚类、关联、序列化、特征、规则等分析模式。在此基础上,安全分析人员可以作为依据寻找攻击者在内网留下的痕迹,对攻击进行溯源和判断,并按照时间维度呈现出攻击证据链。通过对安全事件、日志以及网络流量进行检测,分析出网络攻击、系统攻击、异常流量等威胁,产生安全告警。

    告警可视化设计如下:


    告警列表


    工单管理


    知识管理


    仪表盘


    网络链路监控

    2.3 资产安全监测

    资产是攻击者的目标,也是安全防护的核心所在。系统实现对信息化环境中的信息资产进行自动发现,所有资产由资产库统一管理,可以自动识别或者自定义资产属性、进行分类、分组、权限资产管理。同时实现网络拓扑管理,展示资产所在地理区域以及业务区域。

    资产可视化如下图所示:


    资产拓扑列表


    资产拓扑监控1


    资产拓扑监控2

    2.4 大数据全文检索引擎

    大数据全文检索引擎采用ElasticSearch技术定制开发实现,实现对数据的全文检索操作,支持对海量数据的精确检索、模糊检索、范围检索以及多条件组合检索。全文检索中的数据以JSON格式进行描述,可以对常见类型进行自动推断并确定类型。分布式全文检索提供友好的RESTful接口,可支持如下:

    Ø 支持多维检索、倒排索引技术;

    Ø 支持检索过程的并行处理

    Ø 支持检索能力的横向扩展;

    Ø 支持中英文的分词处理,支持全文检索模式及分词器的扩展;

    Ø 支持关键词检索、多关键词检索、全文字段与其他字段的组合检索;

    Ø 支持前缀匹配、模糊匹配等检索条件。

    Ø 模糊查询:结果反馈时间不高于10秒

    Ø 精确查询:结果反馈时间不高于5秒

    Ø 数据存储:支持180天以上的在线数据存储

    全文检索引擎可视化设计如下:

     


    2.5 全流量2-7层安全检测

    全流量DPI引擎通过对网络中的流量数据进行采集和分析,包括协议解析、应用会话行为、深度风险行为、合规行为等,支持全网双向流量、流向等行为的审计。能够对全网络状况进行实时监控,通过审计信息为网络信息化与安全化管理提供重要依据。DPI引擎通过协议解析引擎和特征匹配引擎实现流量的深度解析。对网络中用户行为进行分析和发掘,解析出流量中协议内容、协议类型和上下行流量等信息,从而对用户应用构成进行分析识别。

    DPI引擎系统根据每种协议自身行为特征和行为为轨迹可精确识别50多种网络协议,并根据识别的协议进行2-7层深度解析,解析出报文的各个协议字段,为后续网络应用识别和攻击检测奠定基础。系统特征匹配引擎,根据协议解析引擎和系统提供的4000+特征规则,识别出流量的具体网络应用或攻击行为。

    通过协议解析和特征匹配引擎,可解析出流量的起止时间、源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、传输层协议、应用层协议、发送流量、接收流量、请求URL、请求文件、网络应用、攻击详情等详细信息。

    2.6 安全分析溯源 

    安全分析模块用于对采集到的事件进行分析处理,分析模块可独立、分布式部署,简单灵活,扩展方便。通过上述数据采集、数据预处理、数据计算等过程,大数据已纳入分布式存储管理中,这些数据信息已可以用于查询、统计、分析,得到大量对业务有用的信息。针对数据整体特征描述、关联分析、精细化分类、模式识别等,是无法用传统查询统计方法来获取的。为了得到这些有用的信息,需要采用数据挖掘分析技术,自动智能的对大数据分析、探索、挖掘,探寻数据的模式及特征,寻找数据被的信息变化,从而最终使用蕴藏在数据中的信息和知识。

    安全分析溯源模块采用ESPER关联分析引擎进行设计,可进行规则、特征、序列化、关联对比等多种分析模式。分析引擎在确定攻击事件后会回溯所有攻击相关的网络数据包及日志,对所有行为进行串联,确定攻击事件的整个事件周期,展示整个攻击事件的所有攻击路径。通过安全设备的告警日志、系统设备日志与资产画像对比分析,确定遭受攻击的服务器。通过分析这些被攻击的设备的系统日志,挖掘出攻击者的攻击入口。还原出攻击者在不同服务器之间的攻击路径。ESPER引擎架构图如下图所示:


    2.7 系统管理

    系统整体采用三权分立设计,包括配置管理员、用户管理员、审计管理员三种不同角色,操作权限不同。同时系统遵循RBAC的角色权限的设计原则,保证不同角色之间功能、数据的区分,系统可灵活地配置用户权限,方便系统管理员进行管理。平为了保障系统自身的帐号口令的安全性,系统有防口令爆破、安全性设置、IP锁定等机制。

    系统可就监控自身平台的服务器性能使用情况监控及展示,包括:存储使用情况、CPU利用率、内存使用情况等。

    系统支持灵活的通知设计,可将数据外发到第三方数据平台,方便数据之间的迁移,同时支持WEB、邮件、syslog等通知方式。系统支持自身数据维护的自动清理功能,当空间满时可自动删除旧数据。

    产品价值

    3.1 PB大数据存储

    安数云大数据态势感知系统将大数据技术应用于本地,建立本地大数据分析平台,客户可将自己网络环境下的全量的网络、应用、安全日志等信息存储到本地,建立统一的大数据存储平台。

    3.2 安全分析及风险预警

    安数云大数据态势感知系统内置大量的关联分析规则,可实时分析所采集到的数据,从而发现可疑攻击、违规行为等。在此基础上,为企业可能面对的风险提供预警,从而把安全做到事件发生之前,将风险扼杀在摇篮之中。

    3.3 快速检索及溯源

    安数云大数据态势感知系统能够快速检索本地的海量数据日志,并可进行关联查询发现攻击者留下的痕迹,绘制出攻击者的攻击路径。

    3.4 与威胁情报相结合

    安数云大数据态势感知系统可结合外部威胁情报信息,使客户能及时发现隐藏的攻击事件,用以弥补传统安全设备的补足,及时发现未知的安全威胁。

    3.5 安全态势可视化

    安数云大数据态势感知系统提供超过6种面向不同业务场景的安全态势大屏展示,满足用户的需求。

    3.6 安全管理落地

    安数云大数据态势感知系统可以帮助企业将安全管理工作有效落地,通过平台对安全事件进行监控、分析、溯源、处置、报告等,使安全管理形成一个完整的闭环。

    关键技术

    4.1 基于Flume设计的大数据采集引擎

    安数云大数据态势感知系统的数据采集主要基于Flume思想完成,其核心设计为agent,支持单级、多级的方式,同时支持扇入、扇出,可接受多个输入、可将数据输出到多个目的地。

    4.2 多源异构日志的快速分词与解析

    安数云大数据态势感知系统采用了基于分词算法的日志解析方法的技术开发日志解析系统,实现对复杂异构的非结构和半结构日志数据的解析和处理,日志解析系统包括了日志分词处理模块和日志解析模块。

    4.3 基于搜索引擎的检索与存储

    安数云大数据态势感知系统适应ElasticSearch检索平台做为平台基础,并进行了定制化修改,实现对数据的快速检索及分析。

    4.4 大数据关联分析引擎

    安数云大数据态势感知系统内置了超过100种的关联分析规则,同时规则分析引擎可实时对数据进行解析及分析。

    部署方式

    系统部署方式分为单机部署和集群部署两种,详细说明如下:

    5.1 单机部署

    单机部署说明:

    (1) 适用于网络结构简单、数据量较小的用户  

    (2) 数据采集、存储、分析集中一体

    (3) 节省机房资源

    (4) 网络可达即可,无需串接用户网络

    要求一台服务器:

    资源分类

    推荐配置

    最低配置

    操作系统

    CentOS6.5_x86_64

    CentOS6.5_x86_64

    CPU

    Xeon 8核

    Xeon 8核

    内存

    64G

    32G

    硬盘

    1T * 3

    1T

     

    5.2 集群部署

    集群部署说明:

    (1) 适用于网络复杂、数据量巨大的用户  

    (2) 数据采集、存储、分析服务器独立部署

    (3) 支持云和虚拟化部署方式

    (4) 网络可达即可,无需串接用户网络

    要求至少两台服务器:包括:

    1) 服务器1:部署平台管理系统

    资源分类

    推荐配置

    最低配置

    操作系统

    CentOS6.5_x86_64

    CentOS6.5_x86_64

    CPU

    Xeon 8核

    Xeon 8核

    内存

    >=32G

    32G

    硬盘

    1T * 3

    1T

    2) 服务器2:部署ES集群(节点)

    资源分类

    推荐配置

    最低配置

    操作系统

    CentOS6.5_x86_64

    CentOS6.5_x86_64

    CPU

    Xeon 8核

    Xeon 8核

    内存

    >=64G

    64G

    硬盘

    1T * 3

    1T

     

    客户案例

    1、中国人民解放军某研究所

    之前的网络情况及隐患:内网区域发现webshell安全威胁,通过外部网络渗透进入内网

    用户对态势感知哪块技术比较看重:安全事件的追踪溯源及脆弱点发现

    上态势感知后的网络情况及解决了什么问题:综合各类安防数据对安全事件进行攻击路径还原,发现脆弱进行安防加固

    2、某政府政务内网监控平台

    之前的网络情况及隐患:内网云服务平台整体的安全状况不了解

    用户对态势感知哪块技术比较看重:安全监管及安全运维管理

    上态势感知后的网络情况及解决了什么问题:掌控整体的安全状况,建立工单运维机制,同时对华为云平台的运行状况进行监控

    3、北京某高法

    之前的网络情况及隐患:专网安全数据缺乏相应的数据存储平台,未进行挖掘分析

    用户对态势感知哪块技术比较看重:数据存储平台及数据的挖掘分析

    上态势感知后的网络情况及解决了什么问题:建立一套基于ELK的大数据存储平台,满足客户1年以上的数据存储需求,同时建立病毒分析、木马行为分析、攻击链还原数据分析模型,数据进行关联分析 

    4、山东联通

    之前的网络情况及隐患:缺乏统一的安全运维平台,无法掌控整体安全状况,对接用户业务数据

    用户对态势感知哪块技术比较看重:安全运维资产安全监控业务健康情况监控

    上态势感知后的网络情况及解决了什么问题:建立安全运维机制,包括:工作台、工单管理、链路监控、资产维度安全监控等,收集全网安全数据进行告警关联分析

     


    产品使用指南

    使用指南.doc

    产品价格

    规格周期首次购买价续费价
    标准版A套餐/1个月¥38102¥32387¥38102

    此处价格仅供参考,实际价格以选定规格周期后的显示价格为准。

    购买须知

    以上产品为第三方服务商提供,其知识产权和版权归服务商所有,百度云并不拥有任何权利。

    绝大部份的欺诈、纠纷、资金盗取均由线下交易导致。请通过云市场平台交易为您提供保障!了解更多须知 >

    服务商:
    北京安数云信息技术有限公司
    客服热线:
    4008777898转10528
    服务时间:
    周一至周五9:00-17:30
    电子邮件:
    hzj@datacloudsec.com
    在线客服:
    公司致力于云安全领域研发,丰富的公有云、私有云、混合云的安全建设经验;为用户提供云上业务系统安全建设和云安全产品,虚拟化安全产品一揽子云安全解决方案,产品稳定功能齐全,能快速交付,满足等保2.0需求。

    联系我们