產(chǎn)品設(shè)計(jì)原理及架構(gòu)

綠盟大數(shù)據(jù)安全分析平臺(tái)（NSFOCUS Bigdata Security Analytics，簡(jiǎn)稱NSFOCUS BSA）是一款采用大數(shù)據(jù)技術(shù)的安全分析產(chǎn)品，通過匯總網(wǎng)絡(luò)中的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)數(shù)據(jù)來消除安全孤島，實(shí)現(xiàn)整體環(huán)境安全分析及檢測(cè)。平臺(tái)采用開放性設(shè)計(jì)，具有豐富的API接口以及SDK開發(fā)包，能夠?qū)崿F(xiàn)靈活的個(gè)性化功能定制，同時(shí)具有安全分析應(yīng)用（APP）能夠?qū)崿F(xiàn)即插即用的系統(tǒng)功能，能夠降低開發(fā)工作量實(shí)現(xiàn)按需安裝安全分析應(yīng)用。

綠盟大數(shù)據(jù)安全分析平臺(tái)采用大數(shù)據(jù)的底層架構(gòu)，實(shí)現(xiàn)異構(gòu)數(shù)據(jù)采集、存儲(chǔ)和計(jì)算。對(duì)于HBase、Hive等大數(shù)據(jù)組件的深度整合，滿足網(wǎng)絡(luò)安全中對(duì)于數(shù)據(jù)有效性、數(shù)據(jù)完整性、數(shù)據(jù)及時(shí)性的約束要求。采用自主開發(fā)的數(shù)據(jù)路由功能，實(shí)現(xiàn)對(duì)于不同數(shù)據(jù)源的區(qū)別處理。以底層為基礎(chǔ)，實(shí)現(xiàn)自主可控的系統(tǒng)架構(gòu)。平臺(tái)架構(gòu)分為數(shù)據(jù)采集層、數(shù)據(jù)路由層、數(shù)據(jù)存儲(chǔ)層、分析引擎層和安全應(yīng)用層五個(gè)部分，如圖5所示。

圖5 綠盟大數(shù)據(jù)安全分析平臺(tái)架構(gòu)圖

產(chǎn)品功能

綠盟大數(shù)據(jù)安全分析平臺(tái)具備如下幾項(xiàng)功能。

1.安全態(tài)勢(shì)分析

平臺(tái)可以針對(duì)整體范圍或某一特定時(shí)間與環(huán)境，基于這樣的條件進(jìn)行因素理解與分析，最終形成歷史的整體態(tài)勢(shì)以及對(duì)未來短期的預(yù)測(cè)。

2.智能威脅防御

平臺(tái)采用的基于大數(shù)據(jù)技術(shù)的智能威脅防御技術(shù)，打破了傳統(tǒng)APT防御手段中對(duì)于大數(shù)據(jù)量的存儲(chǔ)問題、調(diào)查問題、模型歸納問題等。實(shí)現(xiàn)背景數(shù)據(jù)過濾，對(duì)象數(shù)據(jù)提取，環(huán)境數(shù)據(jù)集成，分析模型運(yùn)算，數(shù)據(jù)結(jié)果展現(xiàn)等功能。

3.隱秘通道挖掘

無論何種隱秘通道都需要通過數(shù)據(jù)交換才能傳送非法數(shù)據(jù)，傳統(tǒng)技術(shù)缺乏逐一甄別每條網(wǎng)絡(luò)通訊信令的能力。而綠盟大數(shù)據(jù)安全分析平臺(tái)采用的大數(shù)據(jù)技術(shù)和機(jī)器學(xué)習(xí)算法，可以有效地識(shí)別出隱秘通道特征，從而實(shí)現(xiàn)對(duì)隱秘通道的挖掘以及還原其所傳送的數(shù)據(jù)。

4.用戶行為分析

平臺(tái)可以自動(dòng)歸納用戶行為模型，針對(duì)用戶行為偏離進(jìn)行告警；不僅可實(shí)現(xiàn)整體用戶行為模型，亦可針對(duì)特定用戶形成單一行為模型。行為模型以用戶行為為基準(zhǔn)，采用機(jī)器學(xué)習(xí)技術(shù)進(jìn)行自動(dòng)校正，無需進(jìn)行人工干預(yù)便可實(shí)現(xiàn)基線修正以及行為偏離告警。

5.實(shí)時(shí)安全監(jiān)測(cè)

平臺(tái)可實(shí)時(shí)進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)，不僅可以消除安全孤島所導(dǎo)致的數(shù)據(jù)割裂問題，同時(shí)能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)中各組成部分的安全狀態(tài)，包括IPS單方面監(jiān)測(cè)到的安全事件、IPS與審計(jì)系統(tǒng)關(guān)聯(lián)發(fā)現(xiàn)的高風(fēng)險(xiǎn)網(wǎng)絡(luò)行為等。

6.攻擊溯源取證

平臺(tái)支持多種形式的攻擊溯源，如DDoS攻擊溯源、僵木蠕攻擊溯源、APT攻擊溯源、病毒溯源、數(shù)據(jù)泄露溯源等。所有的攻擊行為會(huì)以數(shù)據(jù)方式進(jìn)行固化保存，即使攻擊行為已經(jīng)結(jié)束，并且攻擊者消除企業(yè)內(nèi)受影響系統(tǒng)內(nèi)的日志，他的攻擊行為都會(huì)被完整記錄下來，以便成為未來維權(quán)時(shí)的有效證據(jù)。

圖6 綠盟大數(shù)據(jù)安全分析平臺(tái)部署圖

7.合規(guī)審計(jì)

平臺(tái)通過對(duì)異構(gòu)網(wǎng)絡(luò)環(huán)境下各系統(tǒng)的日志進(jìn)行異地集中保存，能夠很好地滿足合規(guī)性要求中對(duì)于日志審計(jì)的規(guī)定。同時(shí)依托于分析技術(shù)的有效應(yīng)用，不僅能滿足合規(guī)性要求，同時(shí)能夠?qū)θ罩具M(jìn)行多維度分析，挖掘出日志中的潛在價(jià)值。

應(yīng)用部署

綠盟大數(shù)據(jù)安全分析平臺(tái)部署在企業(yè)內(nèi)網(wǎng)，只要網(wǎng)絡(luò)可達(dá)即可。當(dāng)需要接受Flow流時(shí)部署在核心交換機(jī)旁，其他情況可部署在任意網(wǎng)絡(luò)位置。平臺(tái)所接收的數(shù)據(jù)來自網(wǎng)絡(luò)設(shè)備的Flow流、syslog，接受綠盟設(shè)備的日志，接受標(biāo)準(zhǔn)設(shè)備的syslog日志，應(yīng)用系統(tǒng)的日志信息，同時(shí)對(duì)接收到的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，查找違規(guī)事件以及相關(guān)信息。平臺(tái)的部署如下圖6所示。