政府行业-服务商版锐捷BDS大数据安全态势感知解决方案-LSW

安全分析
全文检索
机器学习
大数据技术
ElasticSearch 索引
ElasticSearch 集群
查询分析 风险感知
攻击检测 预警预测
历史挖掘 关联分析
Pig
Spark
Hive
HDFS
Sqoop ZooKeeper MapReduce
云端中心： 防范未知威胁，提升分析能力
云端威胁情报中心 情报同步
云安全分析中心 智能分析、预测预警
基础设施： 实施安全防护、 信息采集
海量存储
安全分析
关联分析
机器学习
RG-BDS 大数据安全分析平台
安全预警与处置
告警管理
知识库
工单跟踪
探针采集
• 用户精细化行为 • 用户应用审计
流量采集 UAC 内网/出口 探针
• 在日常网络中的发生的大部分安全事件在日志中或多或少都会留下痕迹，但随着网络规模的越来越大，如何高效利用海量日志数据成为难 题，一般规模的业主单位，一天网络日志条目数至少数上百万条，靠管理员人工分析显示是不现实的，为此锐捷安全态势感知方案中，将 日志作为非常重要的安全信息来源，通过海量的日志采集、存储、分析实现对安全事件的深度关联分析，最大程度挖掘日志的安全价值。
方案组件简述：
省局/市局部署RG-BDS：包含可选的RG-BDS-S超级日志版软件、RG-BDS-A增强版软件、RG-BDS-C基础版 软件、RG-BDS 1000E-C基础版硬件（-S和-A用集群节点授权RG-BDS-Cluster-LIS-1、另外还包括RG-BDS-XLIS-1Y: A/C/1000E-C的服务授权、监控节点授权RG-BDS-LIS-100） 区县局基层单位部署日志采集器：RG-BDS-collect提供基础网络环境下各类日志信息的集中采集。 区县局基层单位部署探针RG-UAC-6000-E系列：提供服务器区应用访问及出口区行为审计数据的采 集。
• 在流量采集层面，通过UAC探针部署于服务器区及出口区，对重要业务流量进行识别审计，同时将安全信息实时同步至BDS安全分析平 台，实现对业务安全的建模和综合分析。
• 而对于未知威胁的防范，传统基于特征码的检测方式，必须在威胁文件获取及分析识别后才能部署，有天然的滞后性，导致无法应对 0day等类型攻击，为此基于安全沙箱的安全分析通过模拟各类运行环境通过实际运行，从运行结果判定文件的风险程度，很好弥补了传 统特征码检测方式的不足，同时BDS大数据分析平台依据从沙箱分析同步的结果，进行综合性关联分析，应对未知威胁风险，除兼容第三 方沙箱产品外，锐捷安全沙箱产品也预计于下半年正式上市。
• 安全分析管理层，依托于锐捷BDS大数据安全分析平台为核心组件，通过对所有采集到的安全信息进行高效的存储及建模分析，实现对网 络安全风险的精准定位，对于BDS核心组件平台的功能设计，将在后面进行重点讲解。
• 云端协同处理层:锐捷态势感知方案的云端协同处理层也同时包含了云端威胁情报中心与云安全分析中心，通过威胁情报中心最新安全情 报的信息同步，实现对用户网络最新威胁风险的实时监测预警，同时云安全分析中心支持预警下发、模型库在线升级、安全专家远程支持 等多种服务能力。实现对用户网络全面的安全分析及态势感知。
威胁态势 可预测
核心 能力
安全防护 可协同
安全状态 可度量
安全组件之间整体协同能力
如何实现“人+平台+设备”的有机结合及高效协同， 跨越安全设备到真正安全之间的鸿沟，是安全防护体 系建设中极为关键的一环。
安全状态的可视化评估能力
网络不存在百分之百的安全，当攻击成本远大于利益 获取时，网络安全就可以得到保障，如何进行安全状 态的量化评估非常关键。
数据库
操作系统 中间件
应用系统 终端管理
按需扩展
安全信息
安全信息获取
基于安全模型的分析
面临主要的问题：
越来越庞大的安全信息如何高效的存储、范式化以及利用？ 如何构建更适合用户场景的分析规则 ?
安全问题定位
系统技术架构的重构：
基于ES技术的底层设计，解决海 量数据的高效存储及分析
在超大规模场景中，ES也可以配 合Hadoop平台同时使用
• 锐捷安全态势感知解决方案，基于“可发现”、“可预测”、“可协同”“可度量”能力构建为出发点，整体方案设计分为三层：安全信 息采集层、安全分析管理层、云端协同处理层。
• 在安全信息采集层方面:不同的网络设备、安全设备，服务器等组件构成了用户网络的基础，同时获取了大量的安全基础信息，锐捷安全 态势感知解决方案，充分考虑业务流量采集、未知威胁信息采集、安全日志信息采集三个维度，进行多维度的安全信息获取。
安全 防护
Fra Baidu bibliotek
威胁 阻断
大数据安全平台： 实现安全分析、预警、 管理
基于流量的安全分析， 实现业务维度的精细化分析
对风险文件模拟运行， 结果导向防范未知威胁。
多类型海量日志的 结构化存储与分析
实现对网络风险的 主动防御
解决方案一句话描述：整体方案实现了海量数据收集并标准化，构建安全大数据仓库；日志、资产、 漏洞关联分析，直击要害问题；工单系统+知识库，简单闭环安全问题；量化呈现安全业绩，实时 跟踪安全态势。 详细描述见如下框图内容。
海量 存储
行为 审计
分析结果
• 模拟运行 • 结果分析
威胁 数据
沙箱分析 安全沙箱
模拟 分析
威胁 数据
信息采集
• 日志采集 • 防护日志 • 运行日志
日志采集
终端 日志
漏扫 日志
系统 日志
网络 日志
安全 日志
应用 日志
脆弱性管理
风险管理
漏洞管理
安全协防
• 联动协防 • 及时阻断
安全协防 网络与安全设备
信息采集
安建全模分分析 态预势警感预知测
产品特点
● 大数据架构底层设计，支持大规模网络的弹性扩展 ● 多维度、海量安全信息的采集、存储、建模、分析 ● 丰富的场景化安全分析模型，实现安全风险的精准定位
兼容开放收集全网多维度安全信息，通过大数据 关联分析实现安全事件分析、溯源、预警
网络设备
安全设备
01
方案介绍
让安全看得见
对深度攻击行为的发现能力
随着安全技术的不断发展，安全攻击威胁越来越向常 态化、隐蔽化发展，这让用户网络安全形势日益严峻。
攻击行为 可发现
对未来安全态势的感知能力
安全攻防战本质上是时间战，获得时间优势就掌握了 安全战场上的主动权，如何实现对安全威胁态势的提 前预测至关重要。