企业安全态势感知解决方案

系统类型 安恒 WAF Yxlink WAF Venustech USG FW Topsec Firewall NSFocus IDS Huawei Eudemon Huawei Router/Switch HillStone Firewall H3C Network H3C Firewall Dptech FW1000 TS Cisco Router/Switch Aruba AC DB2 Sybase Oracle 10 MySQL SCO UNIX
● 大数据架构底层设计，支持大规模网络的弹性扩展 ● 多维度、海量安全信息的采集、存储、建模、分析 ● 丰富的场景化安全分析模型，实现安全风险的精准定位
兼容开放收集全网多维度安全信息，通过大数据 关联分析实现安全事件分析、溯源、预警
网络设备
安全设备
数据库
操作系统 中间件
应用系统 终端管理
按需扩展
安全信息
安全组件之间整体协同能力
如何实现“人+平台+设备”的有机结合及高效 协同，跨越安全设备到真正安全之间的鸿沟， 是安全防护体系建设中极为关键的一环。
安全状态的可视化评估能力
网络不存在百分之百的安全，当攻击成本远大 于利益获取时，网络安全就可以得到保障，如 何进行安全状态的量化评估非常关键。
方案一：日志分析模式
专注安全，开拓创新
某机构
承载数十个业务，下联100多个单位访问，安全防范难度大，因 此采购了大量安全设备，去年依然出现了2类安全攻击的高频入 侵，存在数据泄露的严重风险，并且自己并不知情。
47% 81% 部署安全的企业/单位
依然被入侵，
第三方先发现
——Gartner
防火墙 入侵防御
等级保护
WAF 防篡改
防病毒
漏洞扫描
随着等保建设的不断推进，在用户网络或多或少都部署了 网络设备，但仅仅通过部署安全设备进行安全加固，客户 实际对网络安全的真实状况却是雾里看花。
1 安全设备分散，信息量巨大 2 各设备单兵作战，没有形成整体的防护效应
3 多设备关联分析难度大，人工分析不现实
≠ 部署安全设备
真正安全
对深度攻击行为的发现能力
云端中心： 防范未知威胁，提升分析能力
云端威胁情报中心 情报同步
云安全分析中心 智能分析、预测预警
基础设施： 实施安全防护、 信息采集
海量存储
安全分析
关联分析
机器学习
RG-BDS 大数据安全分析平台
安全预警与处置
告警管理
知识库
工单跟踪
探针采集
• 用户精细化行为 • 用户应用审计
流量采集 UAC 内网/出口 探针
随着安全技术的不断发展，安全攻击威胁越来 越向常态化、隐蔽化发展，这让用户网络安全 形势日益严峻。
攻击行为 可发现
对未来安全态势的感知能力
安全攻防战本质上是时间战，获得时间优势就 掌握了安全战场上的主动权，如何实现对安全 威胁态势的提前预测至关重要。
威胁态势 可预测
核心 能力
安全防护 可协同
安全状态 可度量
机器学习
大数据技术
ElasticSearch 索引
ElasticSearch 集群
查询分析 风险感知
攻击检测 预警预测
历史挖掘 关联分析
Pig
Spark
Hive
HDFS
Sqoop ZooKeeper MapReduce
数据对象
基础数据 安全策略库 安全数据 分析数据
数据处理
标准化
信息补齐
数据清洗
数据压缩
未标准化设备，在系统收集日志样本后，可快速完成定制开发
厂商 安恒 铱迅 启明 天融信 绿盟 华为 华为 山石 华三 华三 迪普 思科 Aruba DB2 Sybase ORACLE Mysq 操作系统 ......
策略 安恒 WAF Yxlink WAF Venustech USG FW Topsec Firewall NSFocus IDS Huawei USG9310 Huawei Network HillStone Firewall H3C Network H3C Firewall Dptech FW1000 TS Cisco Network Aruba AC DB2 Sybase Oracle Database 10g MySQL SCO Unix
海量 存储
行为 审计
分析结果
• 模拟运行 • 结果分析
威胁 数据
沙箱分析 安全沙箱
模拟 分析
威胁 数据
信息采集
• 日志采集 • 防护日志 • 运行日志
日志采集
终端 日志
漏扫 日志
系统 日志
网络 日志
安全 日志
应用 日志
脆弱性管理
风险管理
漏洞管理
安全协防
• 联动协防 • 及时阻断
安全协防 网络与安全设备
“日志采集 + 流量分析 ” , 同时结合威胁情报、智能分析等技术 的组合模式是最优的解决方案
以失陷主机分析场景案例分析：
NAT日志记录
失陷主机 流量分析
检测、定位
流量探针
用户
下联节点
NAT 设备
核心网络
源地址被转换
检测到了下联主机 有勒索病毒失陷行为
源地址被NAT转换了 具体主机是谁？！ 无法定位
安全 防护
威胁 阻断
大数据安全平台： 实现安全分析、预警、 管理
基于流量的安全分析， 实现业务维度的精细化分析
对风险文件模拟运行， 结果导向防范未知威胁。
多类型海量日志的 结构化存储与分析
实现对网络风险的 主动防御
01
核心组件 BDS大数据安全平台
信息采集
安建全模分分析 态预势警感预知测
产品特点
安全信息获取
基于安全模型的分析
面临主要的问题：
越来越庞大的安全信息如何高效的存储、范式化以及利用？ 如何构建更适合高校场景的分析规则 ?
安全问题定位
系统技术架构的重构：
基于ES技术的底层设计，解决海 量数据的高效存储及分析
在超大规模场景中，ES也可以配 合Hadoop平台同时使用
安全分析
全文检索
安全数据采集
安全脆弱性感知
可用性感知
数据对象
日志采集
漏洞数据
运行状态
设备告警
系统特性
...
灰色框的需要与Hadoop版本结合使用
安全设备 服务器 数据库 网络设备 应用系统
全网日志统一收集 兼容第三方厂商
统一 收集
事件名称 发生时间 源IP地址
源端口 严重级别 目的用户
协议 ……
将原始日志标准化
多类型的日志兼容能力，BDS已内置70多个厂商，200多款设备 的日志支持，涵盖业界主流厂商网络设备、安全设备、操作系统、 中间件等。
统一分析平台
网络日志
安全设备日志
行为审计备日志
业务系统日志
中间件日志
…
优势：分析维度更全面，可以充分整合现网资源，集各家所长 劣势：受限于现网安全设备类型，效果不可Baidu Nhomakorabea，深度分析受限
方案二：流量分析模式
业务A 业务B 业务C
…
业务流量
流量探针
分析结果
安全分析平台
优势：不受限于用户现场环境，分析模型通用性较好，具备流量回溯安全分析能力 劣势：无法整合现网安全资源，受限于一家安全检测能力，日志强相关分析模型无法构建