安全态势感知大数据分析系统.pptxVIP

数据驱动安全 安全态势感知大数据分析系统 安全的挑战在于“看见” 我们需要什么？ •全面、快速、准确的感知过去、现在、未来的安全威胁。! • 帮助自己第一次「看清楚」自己 Paul Cannon 数据驱动安全 信息安全为什么需要大数据？ —：你不能保护你不知道的（传统依靠特征码匹配的方式已经不足以应对未知威胁）。 二：通过异常行为分析来侦测未知威胁已经是业界共识。 三：“异常行为”蕴藏在各种数据源的海量数据之中，大数据技术是必要的支撑手段。 2012年3月，Gartner发表了一份题为《Information Security Is Becoming a Big Data Analytics Problem》的报告，表示信息安全问题正在变成一个大数据分析问题，大规模的安全数据需要被有效地关联、分析和挖掘。 从安全运维中心到安全智能中心 从少量单一数据向海量丰富大数据的转变； 从基于规则匹配向数据建模，机器学习智能化的转变； 从短时间状态监控向长周期趋势变化及动态基线转变； 从单一安全事件监控向整体安全态势感知的转变； 从依靠自身安全能力为向威胁情报共享，风险预测的转变； 洛克希德･马丁公司，2015.9 亚信安全安全态势感知大数据分析系统 亚信安全安全态势感知大数据分析系统 大数据分析平台 数据中心安全 云计算安全 服务器安全 边界安全 下一代安全网关Deep Edge 威胁情报共享平台 高级威胁监控平台 高级威胁发现系统TDA 终端安全 下一代终端安全防护 下一代智能终端安全防护 安全服务 安全态势感知大数据分析系统需要哪些能力？ 洞察未知 追本溯源 还原真相 洞察未知 通过机器学习发现异常行为 异常行为分析技术通过对流经设备的流量进行连续、实时监控来分析流量信息，利用统计分析、关联分析和机器学习等多种技术手段来检测流量和用户或应用行为中的异常模式，以发现异常行为。异常可以与同类对象做比较而得出，也可以与历史数据做比较而得出。 自动关联异常行为上下文 自动关联分析可提供异常行为事件关联、上下文关联、攻击场景关联、位置关联、身份关联、角色关联等等。关联分析还有脆弱性信息关联、因果关联、推理关联等等。 追本溯源 支持非结构化，半结构化，结构化数据； 大于50000EPS处理能力; 大于500TB历史日志全量存储分析能力; 可灵活线性扩展，保护现有投资; 高性能，大容量，多数据源 实时日志分析告警 采用Spark Streaming流式处理，日志实时采集、入库、分析、告警; 从日志采集到分析取证和告警在1分钟内完成; 还原真实 全局 关联分析 可视化 安全攻击 可视化 病毒呈现 可视化 根据可视化的 全局安全状态 统一显示 可视化呈现 风险可视化 全局可视化 态势感知威胁动态攻击图 SOC向SIC的转变 人读 机读 简单 丰富 非实时 实时 孤立 共享 安全预警 态势感知 调查取证 合规报表 安全态势感知大数据分析系统的优势与价值 数据中心海量数据（100TB+）集中管理和实时运维分析； 实时安全及异常行为检测（安全建模）； 配合人员和流程构建安全智能中心； 业务风险反欺诈分析能力； 亚信安全态势感知大数据分析系统 亚信安全威胁情报中心 成功案例：天津滨海公安安全态势感知系统 安全架构日趋复杂、新型技术不断涌现：不但有传统物理服务器、网络设备和安全设备，也有虚拟机和虚拟设备；不仅有C/S, B/S架构传统应用，也有IaaS，SaaS等新型服务。 安全数据快速增长，数据快速处理能力不足：每台物理设备每天生成5万至50万条安全事件，全网带宽也从百兆提升至千兆，每年需处理的安全数据在10TB数量级，而现有安防系统的处理能力仍停留在1TB数量级，快速提取有价值的数据进行分析。 安全处理能力分散，未能形成整合优势：现有安全处理方式仍然按照防火墙、病毒防范、行为审计等独立事件进行处理，未能整合安全事件之间的相互关系、行为关联来产生总体安全态势，缺乏科学决策提供依据。 解决方案 整合传统安全、云安全和大数据安全，构建新型安防管控综合平台基础架构。 实现全网安全基础信息采集子系统和存储子系统。 完成现有安全监控体系进行云化改造。 实现安全事件追踪溯源和风险预警等分析功能。 部署效果 实时攻击态势地图 网络攻击实时展示 网络流量的chord网络和旋图 流量异常分析展示 病毒云图 病毒爆发的各种关联分析展示 实现发现来自不同地图上的各源IP对目的IP的攻击态势，线路。  可以很清晰地展现网络流量的路径及分配情况。通过对五元组的流量收集分析，展现某些服务或设备之间双向流量的状态和占比，进一步可根据历史流量的变化，分析出可能存在的异常流量。 图中一个点通过若干中间点到达另外一个点的路径代表关联链。所以能挖掘出深层次的关