logo

中文|English|客服热线:4008107766

售后服务
4008107766
当前位置:首页 > 新闻中心 > 企业新闻
企业新闻

网御星云新一代安全管理平台特点揭秘

时间:2016-01-25

作为信息安全技术体系生态链的最顶层产品——安全管理平台(简称安管平台),在组织和企业的信息安全保障和运维过程中,对满足客户安全管理需求、支撑客户安全管理工作方面起了很关键的作用。但随着信息安全威胁的不断变化,企业和组织的日常信息安全管理工作面临着新的形势和新的挑战。一方面,伴随大数据和云计算时代的到来,安全问题正在变成一个大数据问题,企业和组织的网络及信息系统每天都在产生大量的安全数据,并且产生的速度越来越快。另一方面,国家、企业和组织所面对的网络空间安全形势严峻,需要应对的攻击和威胁变得日益复杂,这些威胁具有隐蔽性强、潜伏期长、持续性强的特点。

面对这些新挑战,传统安全管理平台的分析方法和处理能力已无法满足海量数据环境下的信息安全分析和管理的需求。

为了应对新的挑战,企业和组织亟需一种新的安全管理平台来帮助客户解决面临的问题。契合此需求,启明星辰联合网御星云集十余年来在安全管理平台和安全分析领域技术之大成,于2015年12月25日正式对外发布了融合大数据分析技术的新一代安全管理平台Leadsec-SOC系列产品。

Leadsec-SOC紧扣SOC3.0理念,基于全新的大数据架构,继续紧密围绕业务安全,采用了大量真正具有安全智能和主动管理的技术,既能够满足安全合规和监管需求,又能够成为安全分析人员的安全分析和威胁检测工具,为企业和组织的安全运营管理提供决策支撑,真正成为信息安全保障体系的核心和工作中枢。

Leadsec-SOC具有6大特点:

1)采用大数据安全分析架构
系统采用了主流的Hadoop/Spark等大数据分布式计算框架,结合具有自主知识产权的CupidMQ消息总线和CupidDB非关系数据库技术,并在之上构建了流式分析引擎、持续聚合引擎、交互分析引擎、全文检索引擎、回放引擎和批处理引擎,充分实现了安全数据的实时分析、离线数据的批量分析和迭代计算、实时和离线数据挖掘,人工交互式分析等方式,为平台实现高性能多种分析能力奠定了基础。
采用大数据技术架构和非关系型数据库技术的新一代安全管理平台与传统采用关系型数据库技术的的安全管理平台相比可支持分布式计算和存储。尽管传统关系型数据库也可以支持分布式存储,但它部署复杂,容易出错,需要耗费高水平的数据库管理人员进行配置,性价比很差。新型非关系型数据库和分布式计算架构可以灵活地将数据保存在分布式节点上,并使用分布式节点的计算能力对该节点的数据进行计算,用移动计算代替了移动数据,大幅度提升了处理效率。新架构支持数据冗余存储,它可以根据需求将数据制作多份副本,并将副本保存在不同的节点上,以此通过低成本的服务器和存储实现了高可靠的数据存储和管理。新架构支持弹性扩展,可通过分布式节点的增减实现计算和存储资源的增减,保护了客户已有投资。新架构的分布式节点配置灵活方便,管理简单,降低了对系统管理人员的技术要求。

2)支持混合式数据检索与勘探
系统一方面对日志进行范式化存储以实现基于事件属性的类SQL查询,许多传统的安全管理平台都是通过对范式化后的事件属性进行关联分析、生成统计报表等;另一方面系统采用了分布式索引技术,可以对原始日志进行全文索引以实现对事件的任意关键词和正则表达式即时搜索。系统融合了安全日志和信息分析领域的两大代表产品HP的ArcSight和Splunk的经典技术方法,为客户提供了强大的交互式分析工具,成为安全分析师的日常工作利器。借助于系统的交互式分析功能,安全分析师可以在键入关键字后进行任意搜索。系统支持即时在线查询,安全分析师输入搜索内容后,系统会立即产生针对长期数据的所有搜索结果,真正做到了所见即所查。安全分析师可依据自己的需求进行数据勘探,系统支持交互式对比,嵌套查询,查询回退,实时统计等,帮助安全分析逐步收敛分析范围,对攻击和违规进行持续追踪。安全分析师可以用时间、关键词、数量和复杂流程当关联事件,直至猎取到威胁和攻击。
正是因为采用了大数据技术,网御星云新一代安全管理平台产品才在安全事件的入库性能上提升了4倍以上,可实现5万EPS(Event Per Second)的事件入库能力。在搜索性能上相比传统安全管理平台提升了100倍 以上,每秒可完成2.5亿条以上事件的搜索。传统采用关系型数据库技术的安全管理平台,在搜索20亿条事件数据时,通常会耗时1小时以上,常常会达到2-3小时,如此漫长的等待时间根本无法满足安全分析师对数据进行交互式分析的需求,而网御星云新一代安全管理平台则在30秒以内就可以完成,使安全分析师的交互式分析得以实现。

3)引入高级安全分析技术
系统一方面继承了传统的规则关联引擎和情境关联引擎,以实现知所已知;另一方面,借助机器学习和统计技术构建了一个行为分析引擎,通过对事件行为轮廓的刻画来识别异常,实现知所未知,为安全分析师提供高价值线索。网御星云新一代安全管理平台提供了基于分布式实时流式计算引擎的大数据行为技术,行为分析引擎提供了行为基线建模、智能行为预测和行为检测的功能,可对事件、流和原始流量进行学习和分析,实现更细粒度的行为轮廓建模,即时发现超出轮廓置信区间之外的异常,并通过人工监督的方式对发现的异常进行规则生成,可通过规则对安全数据进行快速检测。大数据行为异常分析可实现对流量行为异常、日志行为异常、用户行为异常、隐蔽信道和恶意域名等的检测,并进行可视化展现。

4)集成威胁情报
系统集成了威胁情报的功能。系统能够自动同步/导入/抓取来自内外部的威胁情报和漏洞情报并予以利用,提高威胁分析的实效性和准确性。威胁情报主要包括恶意IP和恶意URL,可来自公开的外部安全机构和社区。针对大型企业,可建立自己的情报中心,系统可直接采集来自企业内部情报中心的威胁情报。同时,系统也可以自己产生威胁情报,例如安全分析师发现隐藏的攻击威胁后,可将威胁源的IP手工添加至动态威胁库中。漏洞情报也可来源于公开的漏洞情报库。系统对采集来的威胁情报形成动态威胁库,将漏洞情报汇入统一漏洞库,一方面进行威胁和漏洞的预警通报与处置,另一方面还能将这些威胁情报用于事件关联分析和实时监测。情报具有时效性,一旦过期,情报的价值将会大打折扣,系统采用动态威胁库的形式,实时更新动态威胁情报库。集成了威胁情报的安全管理平台,可帮助安全管理人员有效地弥补传统的安全防护体系架构针对APT等新兴攻击应对乏力的局面,比如0-Day攻击等,可提前预防已发生在其他地点的攻击威胁,可为组织和企业的安全管理提供纵深防御能力。

5)整合高性能流行为分析
系统不仅能够被动采集日志,还能主动地采集网络流(Flow)信息,并基于流信息进行异常行为分析和基于秩序的宏观态势感知。借助大数据技术,系统能够处理高达100万FPS(每秒流记录数)以上的流数据,并能进行高速建模与分析。系统对特定网络流量的分布进行可视化展示与分析,通过内网流行为建模与分析(而非基于特征),发现网络通讯异常,进行APT攻击辅助研判。系统提供基于黑白灰规则的流行为合规性分析,事先建立好网络流行为规则,例如谁、什么时段、可以/不可以通过什么协议、从哪里访问哪里,然后系统会自动进行比对,发现违规;还能自动生成规则,自动识别资产IP、类型、开放端口和组件,自动持续地分析资产的访问/被访问行为,并判定资产运行了什么服务、开启了什么应用和端口,和谁通讯最频繁,等等。系统对重要的安全事件钻取并展示相关的流信息,协助还原事发现场,进行事件追溯分析,将流行为和安全事件进行交叉关联分析,发现更深层次的入侵和违规,并进行统一呈现。

6)重构安全态势感知
借助大数据分析算法,系统重构了安全态势功能,计算的事件粒度更小、频度更密,分析的时间和空间尺度更大,展现的效果更佳。系统提供了地址态势、热点分析和威胁态势等多种安全态势感知功能。系统还提供了可视化态势展示功能,可将安全态势以可视化的形态展示,实时展现攻击态势,满足了高层管理人员对安全态势和决策支撑的需求。

目前,网御星云新一代安管平台已经在国内数个大规模网络客户得到了应用,并初步取得效果,尤其是性能和处理能力获得了极大提升。相信,随着产品的正式发布,将有更多的国内领先客户关注并使用网御星云融合大数据技术的新一代安管平台。

关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
防火墙产品
入侵检测 TD3000-TS9600
入侵检测 TD3000-TS9400
入侵检测 TD3000-TS9300
服务与下载
支持与服务
在线升级
联系我们
二维码