曾 彬，張文沛

(1.湖南友道信息技術(shù)有限公司，湖南 長(zhǎng)沙 410000； 2.成都卓源網(wǎng)絡(luò)科技有限公司，四川 成都 610041)

0 引言

隨著網(wǎng)絡(luò)攻擊越來(lái)越復(fù)雜和隱蔽，傳統(tǒng)以“防護(hù)”為主的安全體系面臨極大挑戰(zhàn)。各種檢測(cè)技術(shù)從不同的角度發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的安全問(wèn)題，但無(wú)法準(zhǔn)確和有效地找出網(wǎng)絡(luò)中存在的真實(shí)威脅。以勒索、挖礦病毒等高級(jí)持續(xù)性威脅為代表的新型攻擊手段，繞過(guò)了傳統(tǒng)邊界防護(hù)設(shè)備，傳統(tǒng)的安全監(jiān)測(cè)方法大都是基于已知規(guī)則庫(kù)進(jìn)行監(jiān)測(cè)，但對(duì)未知威脅則無(wú)能為力[1-2]。對(duì)正在發(fā)生或已造成損失的入侵行為無(wú)法做到完整的溯源取證和損失評(píng)估。

另一方面，網(wǎng)絡(luò)節(jié)點(diǎn)多、規(guī)模大、設(shè)備和資源眾多，新業(yè)務(wù)層出不窮，宏觀管理層面，缺乏對(duì)全局網(wǎng)絡(luò)性能表現(xiàn)、資產(chǎn)設(shè)備、流量分布、用戶(hù)行為、安全狀況等的掌控[3]。微觀運(yùn)維層面，缺乏對(duì)網(wǎng)絡(luò)原始數(shù)據(jù)的保存與檢索分析能力，不能對(duì)故障及安全事故進(jìn)行溯源查證[4]。

隨著網(wǎng)絡(luò)帶寬的持續(xù)增加，海量網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)采集、分析與存儲(chǔ)是一個(gè)巨大的挑戰(zhàn)，如果長(zhǎng)期存儲(chǔ)，代價(jià)巨大，另外解析出的流數(shù)據(jù)、元數(shù)據(jù)、包數(shù)據(jù)、事件數(shù)據(jù)等，存儲(chǔ)模式差異巨大，如何融合分析也面臨巨大挑戰(zhàn)[5]?，F(xiàn)有系統(tǒng)的交互能力都較弱，專(zhuān)業(yè)分析人員使用工具與數(shù)據(jù)進(jìn)行交互分析，如事件調(diào)查、歷史回溯、條件組合等的效果都有待提高，才能滿(mǎn)足高質(zhì)量高效的分析需求。

網(wǎng)絡(luò)中現(xiàn)存的大量異構(gòu)安全設(shè)備的告警從不同維度對(duì)攻擊事件進(jìn)行展現(xiàn)，雖然數(shù)據(jù)之間存在著關(guān)聯(lián)，但是傳統(tǒng)的分析方法無(wú)法將海量數(shù)據(jù)進(jìn)行匯總和分析，缺乏對(duì)流量的深度分析能力和對(duì)未知攻擊的檢測(cè)能力[6-7]。Gartner在2013年提出網(wǎng)絡(luò)流量分析(NTA)是未來(lái)應(yīng)對(duì)高級(jí)威脅的主要手段之一，它通過(guò)融合深度數(shù)據(jù)包檢測(cè)、機(jī)器學(xué)習(xí)等技術(shù)，通過(guò)網(wǎng)絡(luò)行為分析檢測(cè)網(wǎng)絡(luò)中的可疑行為[8-9]。

人工智能可以對(duì)網(wǎng)絡(luò)流量?jī)?nèi)外所包含的無(wú)數(shù)元數(shù)據(jù)的海量關(guān)聯(lián)進(jìn)行分析；AI技術(shù)可將包括企業(yè)運(yùn)營(yíng)日志數(shù)據(jù)和外部威脅情報(bào)服務(wù)的多個(gè)信息源整合分析，具備處理上百萬(wàn)數(shù)據(jù)點(diǎn)以及生成預(yù)測(cè)的能力，獲得最準(zhǔn)確的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估[10-11]?；诖髷?shù)據(jù)和人工智能的網(wǎng)絡(luò)運(yùn)維減少了人為差錯(cuò)，智能化的監(jiān)控有利于提高網(wǎng)絡(luò)的安全防御水平[12]。

本文通過(guò)多元化采集、細(xì)化監(jiān)控粒度，實(shí)現(xiàn)網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、終端等物理或虛擬資產(chǎn)的全面監(jiān)控。對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行多維畫(huà)像、分析和預(yù)測(cè)，開(kāi)展異構(gòu)網(wǎng)絡(luò)安全事件的綜合分析，突破對(duì)多源安全威脅事件進(jìn)行處理、挖掘和分析等關(guān)鍵技術(shù)，達(dá)到快速展現(xiàn)和解決網(wǎng)絡(luò)的安全態(tài)勢(shì)，形成相關(guān)的算法和系統(tǒng)，從而提升整體網(wǎng)絡(luò)的安全能力，實(shí)現(xiàn)智能、聯(lián)動(dòng)、快速響應(yīng)的“主動(dòng)”防御，構(gòu)建關(guān)鍵設(shè)備、資產(chǎn)的基礎(chǔ)設(shè)施安全保障體系。

1 系統(tǒng)設(shè)計(jì)

系統(tǒng)采用全新的分布式協(xié)同測(cè)量體系架構(gòu)，支持虛擬化部署與分權(quán)分域部署。總體架構(gòu)方面主要包括：數(shù)據(jù)采集層、數(shù)據(jù)接入層、數(shù)據(jù)處理層、數(shù)據(jù)存儲(chǔ)層、可視化展示層，如圖1所示。

圖1 系統(tǒng)整體架構(gòu)圖

1.1 整體架構(gòu)

數(shù)據(jù)采集層結(jié)合實(shí)時(shí)與非實(shí)時(shí)的數(shù)據(jù)采集方式，盡可能全方位立體化地收集網(wǎng)絡(luò)空間多維度的數(shù)據(jù)源，實(shí)現(xiàn)實(shí)時(shí)海量異構(gòu)安全數(shù)據(jù)采集。其中海量異構(gòu)安全數(shù)據(jù)主要包括：安全日志、探測(cè)數(shù)據(jù)、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)環(huán)境數(shù)據(jù)以及一些固有屬性數(shù)據(jù)等內(nèi)容。以主動(dòng)或被動(dòng)的方式收集漏洞評(píng)估數(shù)據(jù)、關(guān)鍵系統(tǒng)的運(yùn)行日志及安全告警日志，以上數(shù)據(jù)包括實(shí)時(shí)數(shù)據(jù)和非實(shí)時(shí)數(shù)據(jù)，采用開(kāi)源采集引擎。

數(shù)據(jù)接入層負(fù)責(zé)對(duì)收集到的數(shù)據(jù)匯總、預(yù)處理及分發(fā)。對(duì)匯聚平臺(tái)上傳的數(shù)據(jù)進(jìn)行負(fù)載均衡，分發(fā)到數(shù)據(jù)處理模塊，然后對(duì)數(shù)據(jù)進(jìn)行去重、打標(biāo)簽、脫敏等操作。根據(jù)不同接口形式與格式分享數(shù)據(jù)。

數(shù)據(jù)處理層主要實(shí)現(xiàn)日志的關(guān)聯(lián)分析、數(shù)據(jù)挖掘、異常發(fā)現(xiàn)等，包含實(shí)時(shí)分析和離線分析兩個(gè)分析引擎。實(shí)時(shí)分析引擎擬采用Storm/Spark Streaming架構(gòu)，用于數(shù)據(jù)實(shí)時(shí)統(tǒng)計(jì)、實(shí)時(shí)查詢(xún)、實(shí)時(shí)抽樣；離線分析引擎擬采用Spark/ELK架構(gòu)，用于數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)相關(guān)的分析。兩種分析方式可以聯(lián)動(dòng)，利用離線的經(jīng)驗(yàn)結(jié)果來(lái)判別實(shí)時(shí)發(fā)現(xiàn)的疑似異常。

數(shù)據(jù)存儲(chǔ)層負(fù)責(zé)向展示層提供統(tǒng)計(jì)指標(biāo)及原始數(shù)據(jù)。數(shù)據(jù)倉(cāng)庫(kù)擬采用分布式的存儲(chǔ)結(jié)構(gòu)，并采用高效的壓縮、索引等算法保證數(shù)據(jù)的完整性、一致性且能夠快速讀取。使用Redis存儲(chǔ)高頻使用數(shù)據(jù)；HDFS存儲(chǔ)PCAP報(bào)文；HBase存儲(chǔ)實(shí)時(shí)統(tǒng)計(jì)數(shù)據(jù)；MySQL存儲(chǔ)匯聚數(shù)據(jù)、用戶(hù)配置數(shù)據(jù)等。

展示層主要以B/S的方式，主要包括流量分析、性能監(jiān)控、漏洞監(jiān)測(cè)與管理、運(yùn)行監(jiān)測(cè)與管理、安全管理、攻擊告警等模塊。同時(shí)，將利用新型的可視化交互技術(shù)，將抽象的數(shù)據(jù)轉(zhuǎn)變?yōu)槿丝筛兄男畔?，將海量異?gòu)數(shù)據(jù)以圖形圖像的方式表現(xiàn)出來(lái)，在海量異構(gòu)數(shù)據(jù)可視化層面，采用基于WebSocket的多數(shù)據(jù)并行、實(shí)時(shí)推送技術(shù)，輔以基于結(jié)構(gòu)的方法、基于統(tǒng)計(jì)的方法、基于分割的方法、基于圖壓縮的方法，實(shí)現(xiàn)對(duì)大規(guī)模的數(shù)據(jù)監(jiān)控。

經(jīng)過(guò)大數(shù)據(jù)架構(gòu)分析后的數(shù)據(jù)，可以供流量透視系統(tǒng)、性能分析與預(yù)測(cè)系統(tǒng)、安全態(tài)勢(shì)與反制系統(tǒng)、流量朔源與取證系統(tǒng)、報(bào)表等系統(tǒng)實(shí)時(shí)或者直觀可視化地展示數(shù)據(jù)。

1.2 大數(shù)據(jù)存儲(chǔ)及檢索方案設(shè)計(jì)

大數(shù)據(jù)平臺(tái)對(duì)各個(gè)區(qū)域內(nèi)流量進(jìn)行實(shí)時(shí)采集并長(zhǎng)期存儲(chǔ)，通過(guò)全量采集數(shù)據(jù)并存儲(chǔ)分析，結(jié)合特征規(guī)則檢測(cè)方式，對(duì)網(wǎng)絡(luò)流量進(jìn)行安全特征檢測(cè)及告警，同時(shí)可以提供告警日志及流量會(huì)話分析日志等信息通過(guò)API接口輸出給第三方統(tǒng)一分析平臺(tái)。系統(tǒng)自身能夠長(zhǎng)期采集并存儲(chǔ)分析網(wǎng)絡(luò)通信流量數(shù)據(jù)，包括IP地址、IP會(huì)話、TCP/UDP會(huì)話統(tǒng)計(jì)分析，并提供數(shù)據(jù)追溯分析能力，能夠?qū)θ我鈺r(shí)間段的數(shù)據(jù)進(jìn)行追溯取證。通過(guò)自定義警報(bào)規(guī)則，能夠?qū)W(wǎng)絡(luò)全流量進(jìn)行檢測(cè)預(yù)警，發(fā)現(xiàn)網(wǎng)絡(luò)中安全隱患。對(duì)于分析日志及告警日志，系統(tǒng)提供API接口，能夠通過(guò)API接口輸出給第三方數(shù)據(jù)分析平臺(tái)，實(shí)現(xiàn)結(jié)果統(tǒng)一分析及展示，如圖2所示。

圖2 大數(shù)據(jù)采集調(diào)度設(shè)計(jì)方案

采用HBase作為原始數(shù)據(jù)的存儲(chǔ)主體。采用key-value形式存儲(chǔ)的非結(jié)構(gòu)化數(shù)據(jù)庫(kù)，通過(guò)其主鍵快速查詢(xún)到原始記錄。并且通過(guò)分布式擴(kuò)展、數(shù)據(jù)壓縮、批量寫(xiě)入，既可以保證海量流記錄寫(xiě)入速度，又能保證系統(tǒng)的擴(kuò)展性，在單機(jī)性能不足時(shí)可增加存儲(chǔ)服務(wù)器節(jié)點(diǎn)解決問(wèn)題。

采用Mycat作為MySQL的分布式中間件，將數(shù)據(jù)均勻分布存儲(chǔ)至多個(gè)個(gè)MySQL數(shù)據(jù)庫(kù)中，做到負(fù)載均衡。查詢(xún)數(shù)據(jù)時(shí)，可通過(guò)Mycat中間件調(diào)用各個(gè)MySQL數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)查詢(xún)，提高查詢(xún)速度。在每個(gè)MySQL數(shù)據(jù)庫(kù)中可采用分表策略進(jìn)行數(shù)據(jù)存儲(chǔ)，例如每天分一個(gè)表或者每6個(gè)小時(shí)分一個(gè)表，每個(gè)表也可以建立相應(yīng)的分區(qū)，將數(shù)據(jù)均勻分布在各個(gè)分區(qū)，在數(shù)據(jù)查詢(xún)時(shí)只需在某些分區(qū)掃描數(shù)據(jù)，可提高查詢(xún)效率。

在HBase的基礎(chǔ)上，采用ElasticSearch搜索引擎對(duì)所有查詢(xún)條件(IP、端口、協(xié)議等)建立二級(jí)索引，在需要多條件查詢(xún)?cè)剂饔涗洉r(shí)，先通過(guò)ElasticSearch進(jìn)行索引搜索，由于ElasticSearch內(nèi)部采用性能優(yōu)越的Lucene搜索算法，可快速找到符合條件的唯一性的key值，然后利用HBase一級(jí)索引的優(yōu)勢(shì)，通過(guò)key值快速取出原始流記錄，如圖3所示。

圖3 海量測(cè)量數(shù)據(jù)快速檢索機(jī)制設(shè)計(jì)

2 關(guān)鍵技術(shù)

2.1 多維度測(cè)量數(shù)據(jù)融合與動(dòng)態(tài)關(guān)聯(lián)

系統(tǒng)支持分布式測(cè)試探針獲得的指標(biāo)進(jìn)行綜合分析，數(shù)據(jù)采集、存儲(chǔ)、本地緩存，支持流量、性能、安全等結(jié)構(gòu)化及非結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)。對(duì)網(wǎng)絡(luò)數(shù)據(jù)分析結(jié)果進(jìn)行分層次建模分析，獲得網(wǎng)絡(luò)流量基準(zhǔn)特征，并通過(guò)實(shí)時(shí)監(jiān)測(cè)對(duì)網(wǎng)絡(luò)異常行為進(jìn)行告警，并自動(dòng)觸發(fā)深度流量分析功能，獲得造成網(wǎng)絡(luò)異常行為的地址、協(xié)議以及端口號(hào)等特征，有必要情況下自動(dòng)觸發(fā)相關(guān)網(wǎng)絡(luò)設(shè)備的信息查詢(xún)，包括接口狀態(tài)查詢(xún)等；并結(jié)合網(wǎng)絡(luò)設(shè)備信息自動(dòng)觸發(fā)主動(dòng)網(wǎng)絡(luò)性能探測(cè)，對(duì)網(wǎng)絡(luò)狀況進(jìn)行實(shí)時(shí)跟蹤分析，從而幫助定位網(wǎng)絡(luò)故障。

異構(gòu)信息之間的挖掘、關(guān)聯(lián)分析算法和技術(shù)：設(shè)計(jì)信息關(guān)聯(lián)引擎和相關(guān)算法，包括事件采集、事件歸一化(將各種日志格式標(biāo)準(zhǔn)化以消除異構(gòu)產(chǎn)品來(lái)源間的差異)、聚合(將頻繁重復(fù)事件如大量的端口掃描告警，聚合為一條事件)、事件關(guān)聯(lián)分析引擎等幾個(gè)部分，如圖4、圖5所示?；谏鲜龇椒?，開(kāi)展異構(gòu)網(wǎng)絡(luò)性能的綜合分析，對(duì)網(wǎng)絡(luò)異常行為進(jìn)行預(yù)判和快速響應(yīng)，基于數(shù)據(jù)挖掘算法，利用網(wǎng)絡(luò)態(tài)勢(shì)感知及預(yù)測(cè)技術(shù)，突破對(duì)多源威脅事件的處理、挖掘和分析等關(guān)鍵技術(shù)，達(dá)到快速展現(xiàn)和解決網(wǎng)絡(luò)的安全隱患，形成相關(guān)的算法和系統(tǒng)。牽引性指標(biāo)有：數(shù)據(jù)包監(jiān)測(cè)性能、流量應(yīng)用識(shí)別比率、支持的應(yīng)用種類(lèi)。

圖4 多維度測(cè)量數(shù)據(jù)的融合管理

圖5 基于大數(shù)據(jù)挖掘的網(wǎng)絡(luò)綜合態(tài)勢(shì)與關(guān)聯(lián)分析

2.2 面向海量網(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)與快速檢索

應(yīng)對(duì)海量數(shù)據(jù)的挑戰(zhàn)，基于交叉表聚合的技術(shù)，處理數(shù)據(jù)存儲(chǔ)、檢索、共享與分發(fā)方法，系統(tǒng)實(shí)現(xiàn)了多時(shí)間粒度、多側(cè)面立體式數(shù)據(jù)存儲(chǔ)以及分布式存儲(chǔ)。系統(tǒng)還支持通過(guò)外置磁盤(pán)陣列進(jìn)行存儲(chǔ)，保證結(jié)果可長(zhǎng)期保存、可回溯，同時(shí)提出靈活方便的高效數(shù)據(jù)共享和分發(fā)方案，實(shí)現(xiàn)數(shù)據(jù)的高效共享，系統(tǒng)支持將通過(guò)高速探針采集得到的流量以多種形式導(dǎo)出共享，包括原始數(shù)據(jù)包、流(如NetFlow V5/V9、sFlow和cFlow，以及自定義的iFlow格式，等等)、流量統(tǒng)計(jì)信息和抽象得出的流量事件(如流量構(gòu)成、分布趨勢(shì)和異常告警等系統(tǒng)專(zhuān)有信息等)，如圖6、圖7所示。

提供高效網(wǎng)絡(luò)流量的索引方法，包括網(wǎng)絡(luò)流量的索引特征，索引存儲(chǔ)空間的消耗，索引記錄插入的速率，索引的查詢(xún)響應(yīng)時(shí)間。采用Redis緩存上報(bào)日志流，ES存儲(chǔ)進(jìn)行全量計(jì)算的數(shù)據(jù)處理框架，分開(kāi)處理離線數(shù)據(jù)和實(shí)時(shí)數(shù)據(jù)，分別使用Hive/Spark來(lái)處理離線數(shù)據(jù)以及實(shí)時(shí)數(shù)據(jù)流的分析。

圖6 海量數(shù)據(jù)分布式存儲(chǔ)、快速檢索能力示意圖

圖7 海量數(shù)據(jù)的分布式集群部署示意圖

2.3 支持軟件定義與虛擬化的新型測(cè)試架構(gòu)

平臺(tái)支持虛擬化與云端部署，實(shí)現(xiàn)功能模塊的動(dòng)態(tài)加載與銷(xiāo)毀，可以擴(kuò)展流量控制、攻擊溯源反制、威脅文件還原等功能，具有分布式的海量網(wǎng)絡(luò)測(cè)量管理數(shù)據(jù)共享平臺(tái)，提供開(kāi)放、通用、透明的數(shù)據(jù)查詢(xún)分析接口。

研究實(shí)現(xiàn)測(cè)試探針與虛擬化、軟件定義和邊緣計(jì)算技術(shù)的結(jié)合?，F(xiàn)有方案中多是獨(dú)立探針形態(tài)，且位置不能更靠近用戶(hù)側(cè)。平臺(tái)中既有獨(dú)立探針，又有與軟件定義智能網(wǎng)關(guān)結(jié)合的虛擬化探針，和獨(dú)立的虛擬化探針(云化部署)實(shí)現(xiàn)完整的調(diào)度、配置、結(jié)果采集和數(shù)據(jù)分析框架，如圖8所示。

3 系統(tǒng)實(shí)現(xiàn)與應(yīng)用

系統(tǒng)通過(guò)多元化采集、大數(shù)據(jù)存儲(chǔ)檢索與AI智能分析，在2至7層用戶(hù)通信數(shù)據(jù)報(bào)文還原分析，呈現(xiàn)態(tài)勢(shì)感知、流量透視、回溯分析、性能監(jiān)控、安全檢測(cè)、資產(chǎn)管理六大主體功能，并結(jié)合各類(lèi)設(shè)備與拓?fù)涔芾?、?zhuān)題分析、機(jī)器學(xué)習(xí)建模分析、攻擊反制，無(wú)損探測(cè)、異常文件識(shí)別和還原、主動(dòng)測(cè)量、工控網(wǎng)絡(luò)監(jiān)控等功能，打造一體化網(wǎng)絡(luò)綜合、智能化監(jiān)測(cè)分析解決方案。

圖8 支持軟件定義與虛擬化的新型測(cè)試架構(gòu)

(1)態(tài)勢(shì)感知。全局展示網(wǎng)絡(luò)走勢(shì)、流量組成/分布情況、性能/告警提示，虛擬現(xiàn)實(shí)可視化分攻擊方與被攻擊方視角查看安全事件軌跡，展示攻擊類(lèi)型、嚴(yán)重等級(jí)、嚴(yán)重地理區(qū)域、攻擊以及被攻擊部門(mén)、機(jī)構(gòu)、個(gè)人最嚴(yán)重TOP等信息。如圖9所示。

(2)流量透視。支持實(shí)時(shí)監(jiān)控流量，顯示時(shí)間粒度可支持到1 s，并可實(shí)時(shí)查看當(dāng)前流量的應(yīng)用、用戶(hù)、外部地址的成分。系統(tǒng)支持以虛鏈路為基本對(duì)象，網(wǎng)絡(luò)流量的應(yīng)用、應(yīng)用組、用戶(hù)、用戶(hù)組，國(guó)家、城市、外部地址、虛鏈路、學(xué)術(shù)平臺(tái)之間的數(shù)據(jù)應(yīng)支持相互關(guān)聯(lián)，支持多維度的Drill-Down分析。

(3)性能監(jiān)控。系統(tǒng)可以對(duì)Web網(wǎng)頁(yè)、DNS、郵件、數(shù)據(jù)庫(kù)、語(yǔ)音等主流業(yè)務(wù)訪問(wèn)服務(wù)的綜合評(píng)價(jià)分析，包括建立連接時(shí)間、響應(yīng)時(shí)間、連接成功率等關(guān)鍵性能指標(biāo)；支持對(duì)業(yè)務(wù)的綜合對(duì)比分析，按地區(qū)、按服務(wù)器角度對(duì)比分析，評(píng)價(jià)業(yè)務(wù)狀況，定位性能故障和瓶頸。

圖9 網(wǎng)絡(luò)態(tài)勢(shì)感知

(4)回溯分析。保存會(huì)話記錄數(shù)據(jù)包含記錄時(shí)間、端口、MAC地址、持續(xù)時(shí)間、總字節(jié)數(shù)、總包個(gè)數(shù)、速率等25個(gè)以上關(guān)鍵指標(biāo)。安全事件能自動(dòng)觸發(fā)原始數(shù)據(jù)報(bào)文保存，留存攻擊、入侵、病毒等數(shù)據(jù)報(bào)文，同時(shí)支持?jǐn)?shù)據(jù)報(bào)文在線解碼、在線分析、下載等功能。通過(guò)基準(zhǔn)線告警能觸發(fā)業(yè)務(wù)性能、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)會(huì)話、安全事件數(shù)據(jù)的相互關(guān)聯(lián)，在業(yè)務(wù)性能中查看關(guān)聯(lián)會(huì)話記錄，在會(huì)話記錄中可以查看關(guān)聯(lián)網(wǎng)絡(luò)性能指標(biāo)，在安全事件中查看關(guān)聯(lián)原始數(shù)據(jù)包，在安全事件中查看關(guān)聯(lián)會(huì)話記錄。

(5)檢測(cè)網(wǎng)絡(luò)中存在的各種攻擊行為，其中包括端口掃描類(lèi)攻擊、代碼溢出類(lèi)攻擊、木馬病毒類(lèi)攻擊、蠕蟲(chóng)類(lèi)攻擊、SQL注入攻擊、DOS攻擊、ActiveX控件攻擊、郵件類(lèi)攻擊、不良IP檢測(cè)、個(gè)人上網(wǎng)檢測(cè)、遠(yuǎn)程過(guò)程調(diào)用攻擊、系統(tǒng)漏洞攻擊等35個(gè)大類(lèi)50 000余種攻擊檢測(cè)行為。支持用戶(hù)自定義攻擊行為：用戶(hù)通過(guò)配置源/目的IP、端口、特征字符在payload中出現(xiàn)的位置、數(shù)據(jù)包標(biāo)志位、數(shù)據(jù)包頻率定義安全事件。按任意維度(如告警類(lèi)型、告警信息、目標(biāo)國(guó)家、目標(biāo)城市、協(xié)議、源地址、目的地址、嫌疑犯用戶(hù)、嫌疑犯用戶(hù)組、嚴(yán)重等級(jí))多層次關(guān)聯(lián)分析，多維度的Drill-Down分析，并且可以查看告警事件趨勢(shì)、事件數(shù)目、流量狀態(tài)等詳情。

(6)資產(chǎn)管理。監(jiān)測(cè)特定范圍內(nèi)的整體資產(chǎn)/虛擬資產(chǎn)概況，并進(jìn)行概要統(tǒng)計(jì)分類(lèi)，展示選定資產(chǎn)的總體狀態(tài)及其安全告警情況，支持類(lèi)型篩選、核心設(shè)定與合法設(shè)備配置，支持資產(chǎn)定時(shí)掃描和手動(dòng)立即掃描，資產(chǎn)業(yè)務(wù)種類(lèi)超過(guò)2 300種。支持資產(chǎn)的全生命周期管理，資產(chǎn)的安全狀態(tài)評(píng)分，提示高危資產(chǎn)，對(duì)失陷資產(chǎn)的檢測(cè)和發(fā)現(xiàn)，并給出安全加固建議。

4 結(jié)論

本文通過(guò)異構(gòu)的網(wǎng)絡(luò)數(shù)據(jù)采集邊緣終端或軟件，產(chǎn)生和獲取多元的信息數(shù)據(jù)，流量和告警的數(shù)據(jù)采集；通過(guò)事件分析，異構(gòu)安全信息之間的聚合關(guān)聯(lián)分析引擎；大數(shù)據(jù)平臺(tái)的支撐和保障海量數(shù)據(jù)的存儲(chǔ)和高速處理。在單個(gè)平臺(tái)內(nèi)集成“態(tài)勢(shì)感知、流量透視、性能監(jiān)控、安全檢測(cè)、回溯分析、主動(dòng)撥測(cè)、資產(chǎn)發(fā)現(xiàn)、網(wǎng)絡(luò)管理、數(shù)據(jù)挖掘”功能，通過(guò)多元化數(shù)據(jù)源采集與智能關(guān)聯(lián)，實(shí)現(xiàn)大數(shù)據(jù)驅(qū)動(dòng)的智能一體化運(yùn)維安全監(jiān)控分析。