產(chǎn)品設(shè)計原理及架構(gòu)

綠盟大數(shù)據(jù)安全分析平臺（NSFOCUS Bigdata Security Analytics，簡稱NSFOCUS BSA）是一款采用大數(shù)據(jù)技術(shù)的安全分析產(chǎn)品，通過匯總網(wǎng)絡(luò)中的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)數(shù)據(jù)來消除安全孤島，實(shí)現(xiàn)整體環(huán)境安全分析及檢測。平臺采用開放性設(shè)計，具有豐富的API接口以及SDK開發(fā)包，能夠?qū)崿F(xiàn)靈活的個性化功能定制，同時具有安全分析應(yīng)用（APP）能夠?qū)崿F(xiàn)即插即用的系統(tǒng)功能，能夠降低開發(fā)工作量實(shí)現(xiàn)按需安裝安全分析應(yīng)用。

綠盟大數(shù)據(jù)安全分析平臺采用大數(shù)據(jù)的底層架構(gòu)，實(shí)現(xiàn)異構(gòu)數(shù)據(jù)采集、存儲和計算。對于HBase、Hive等大數(shù)據(jù)組件的深度整合，滿足網(wǎng)絡(luò)安全中對于數(shù)據(jù)有效性、數(shù)據(jù)完整性、數(shù)據(jù)及時性的約束要求。采用自主開發(fā)的數(shù)據(jù)路由功能，實(shí)現(xiàn)對于不同數(shù)據(jù)源的區(qū)別處理。以底層為基礎(chǔ)，實(shí)現(xiàn)自主可控的系統(tǒng)架構(gòu)。平臺架構(gòu)分為數(shù)據(jù)采集層、數(shù)據(jù)路由層、數(shù)據(jù)存儲層、分析引擎層和安全應(yīng)用層五個部分，如圖5所示。

圖5 綠盟大數(shù)據(jù)安全分析平臺架構(gòu)圖

產(chǎn)品功能

綠盟大數(shù)據(jù)安全分析平臺具備如下幾項(xiàng)功能。

1.安全態(tài)勢分析

平臺可以針對整體范圍或某一特定時間與環(huán)境，基于這樣的條件進(jìn)行因素理解與分析，最終形成歷史的整體態(tài)勢以及對未來短期的預(yù)測。

2.智能威脅防御

平臺采用的基于大數(shù)據(jù)技術(shù)的智能威脅防御技術(shù)，打破了傳統(tǒng)APT防御手段中對于大數(shù)據(jù)量的存儲問題、調(diào)查問題、模型歸納問題等。實(shí)現(xiàn)背景數(shù)據(jù)過濾，對象數(shù)據(jù)提取，環(huán)境數(shù)據(jù)集成，分析模型運(yùn)算，數(shù)據(jù)結(jié)果展現(xiàn)等功能。

3.隱秘通道挖掘

無論何種隱秘通道都需要通過數(shù)據(jù)交換才能傳送非法數(shù)據(jù)，傳統(tǒng)技術(shù)缺乏逐一甄別每條網(wǎng)絡(luò)通訊信令的能力。而綠盟大數(shù)據(jù)安全分析平臺采用的大數(shù)據(jù)技術(shù)和機(jī)器學(xué)習(xí)算法，可以有效地識別出隱秘通道特征，從而實(shí)現(xiàn)對隱秘通道的挖掘以及還原其所傳送的數(shù)據(jù)。

4.用戶行為分析

平臺可以自動歸納用戶行為模型，針對用戶行為偏離進(jìn)行告警；不僅可實(shí)現(xiàn)整體用戶行為模型，亦可針對特定用戶形成單一行為模型。行為模型以用戶行為為基準(zhǔn)，采用機(jī)器學(xué)習(xí)技術(shù)進(jìn)行自動校正，無需進(jìn)行人工干預(yù)便可實(shí)現(xiàn)基線修正以及行為偏離告警。

5.實(shí)時安全監(jiān)測

平臺可實(shí)時進(jìn)行網(wǎng)絡(luò)安全監(jiān)測，不僅可以消除安全孤島所導(dǎo)致的數(shù)據(jù)割裂問題，同時能夠?qū)崟r監(jiān)測網(wǎng)絡(luò)中各組成部分的安全狀態(tài)，包括IPS單方面監(jiān)測到的安全事件、IPS與審計系統(tǒng)關(guān)聯(lián)發(fā)現(xiàn)的高風(fēng)險網(wǎng)絡(luò)行為等。

6.攻擊溯源取證

平臺支持多種形式的攻擊溯源，如DDoS攻擊溯源、僵木蠕攻擊溯源、APT攻擊溯源、病毒溯源、數(shù)據(jù)泄露溯源等。所有的攻擊行為會以數(shù)據(jù)方式進(jìn)行固化保存，即使攻擊行為已經(jīng)結(jié)束，并且攻擊者消除企業(yè)內(nèi)受影響系統(tǒng)內(nèi)的日志，他的攻擊行為都會被完整記錄下來，以便成為未來維權(quán)時的有效證據(jù)。

圖6 綠盟大數(shù)據(jù)安全分析平臺部署圖

7.合規(guī)審計

平臺通過對異構(gòu)網(wǎng)絡(luò)環(huán)境下各系統(tǒng)的日志進(jìn)行異地集中保存，能夠很好地滿足合規(guī)性要求中對于日志審計的規(guī)定。同時依托于分析技術(shù)的有效應(yīng)用，不僅能滿足合規(guī)性要求，同時能夠?qū)θ罩具M(jìn)行多維度分析，挖掘出日志中的潛在價值。

應(yīng)用部署

綠盟大數(shù)據(jù)安全分析平臺部署在企業(yè)內(nèi)網(wǎng)，只要網(wǎng)絡(luò)可達(dá)即可。當(dāng)需要接受Flow流時部署在核心交換機(jī)旁，其他情況可部署在任意網(wǎng)絡(luò)位置。平臺所接收的數(shù)據(jù)來自網(wǎng)絡(luò)設(shè)備的Flow流、syslog，接受綠盟設(shè)備的日志，接受標(biāo)準(zhǔn)設(shè)備的syslog日志，應(yīng)用系統(tǒng)的日志信息，同時對接收到的數(shù)據(jù)進(jìn)行統(tǒng)計分析，查找違規(guī)事件以及相關(guān)信息。平臺的部署如下圖6所示。