- 1、本文档共33页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
新一代大数据安全分析系统
目录
案例分享
产品和解决方案
企业为什么需要大数据安全分析
企业为什么需要大数据安全分析
安全管理缺失统一的抓手
整体网络安全态势无法感知
异常行为和未知威胁无法发现
海量数据无法有效处理分析
传统安全面临的问题
产品和解决方案
方案解决思路
大数据安全分析系统(HanSightEnterprise),是一款基于大数据、机器学习、模式识别等技术的企业级智能安全分析平台,通过收集企业内部各个关键系统产生的业务数据,通过集中存储、快速检索、实时分析及告警、威胁响应、可视化展现和安全报告等功能。
大数据安全分析系统
流量分析
系统架构
数据解析
字段识别
用户自定义字段
时间字段侦测
时间同步
日志传输
批量传输
日志压缩
日志加密
日志缓存
A
A
A
数据源对接
SNMP、SYSLOG、Agent、Netflow、API接口、数据库接口、FTP、HDFS、KAFKA、端口镜像、Netflow等;
网络设备、安全设备、应用系统、中间件、主机、数据库等;
数据源事件
类别标签
数据源接收时间
事件起始/结束时间
事件类别
事件对应主机
事件对应人员
/Host/Application/Service
/Access
/Failure
/Firewall
/Informational
信息增强
服务器接收时间
地理位置信息
资产漏洞信息
资产分类信息
步骤一:基础数据资源采集
外部威胁情报整合
恶意域名.
恶意IP.
恶意URL.
Whois信息.
木马病毒特征码.
文件hash值.
元素之间关联关系.
数据
日志
NetFlow
全流量
威胁
情报
资产
信息
实时数据检测
关联分析引擎
安全规则库
历史数据分析
交互
分析
UBA
安全事件
网络
攻击
木马
病毒
漏洞
利用
非法
访问
……
安全告警
高级
中级
低级
全文检索
可视化分析
智能分析
数据建模
机器学习
数据
泄露
病毒
爆发
登陆
异常
溯源分析
威胁场景还原
处理措施
资产画像
图计算
异常行为分析
步骤二:安全分析威胁建模
实时检测-关联分析
基于Spark Streaming技术实现的强大的CEP引擎,对系统采集的实时数据流进行关联分析.
关联的模式包括统计关联、资产关联、情报关联、模式关联、漏洞关联、策略关联等.
内置安全关联规则.
关联分析(例)
原始数据:GenTime=2016-07-27 21:58:20 src: drc:2 attack-name”后门木马网络红娘连接”
…
内部基础信息
:审批门户网站,北京机房,张三,2014年上线,等保三级,…
外部威胁情报
2:联通,上海市,恶意IP
-------------------------------
网络红娘:远程木马,该软件可以进行屏幕捕捉、视频监控、获取操作文件、获取键盘记录、获取剪贴板内容、模拟MSDOS命令等诸多违规操作,…
安全事件:位于北京机房的审批门户网站服务器()从2016-07-27 21:58:20开始频繁访问上海市联通的恶意ip地址(2),该行为经鉴定是由于服务器被植入远程木马程序导致,该软件可以进行屏幕捕捉、视频监控、获取操作文件、获取键盘记录、获取剪贴板内容、模拟MSDOS命令等诸多违规操作,根据安全应急响应预案该风险等级为“高”,需要立即做下线处理。
交互式分析-全文检索
支持通过模糊匹配的方式对已存储的海量事件进行全文检索.
可以根据任意关键词(支持“与”和“或”,支持使用 =、 、 等关系运算符) 进行日志数据检索.
任意字段值可以进行排序统计分析.
交互式分析-可视化分析
流量弦图分析.
事件河流图分析.
偏离分析图.
数据透视图分析.
关联分析图分析.
交互式分析-智能分析
支持对一个或多个数据源进行灵活的可视化的图表分析.
支持对任意字段值进行最多最少排序.
可根据任意字段值进行多条件组合数据过滤.
可查看原始日志.
UBA用户异常行为分析
异常事件行为序列化.
以部门、个人、资产等为单位建立行为基线.
关联用户与资产的行为.
用机器学习算法或者预定义规则找出严重偏离基线的异常行为.
UBA-盗取内部数据
建立特定用户的画像,包括他的合法行为白名单和行为基线.
用户行为分析引擎侦测用户的异常行为,例如异常时间、从可疑位置登录,或是访问和平时完全不同的数据或数据量,或是把数据上传至公司外部的可疑地址.
提供可疑用户最近的所有行为给安全管理员进行进一步的详细调查.
UBA-撞库攻击
撞库攻击场景行为序列化.
检测场景数据建模.
多维行为基线检测.
撞库成功账号关联信息展示.
养号阶段账号可视化展示.
步骤三:安全事件处置
处置方式
说明
派发工单
通过内置工单流转,实现
您可能关注的文档
- 网格化社会治理平台解决方案.pptx
- 网格化社会治理平台-政法委综治 智慧城市 云服务.pptx
- 政法综治平台建设方案.doc
- 智慧网格-社会治理和数字化城管.pptx
- 2021新一代大数据安全分析解决方案.pptx
- 网络安全态势感知平台技术交流.pptx
- 智慧城市建设中政务信息资源整合战略研究.docx
- 智慧城市解决方案.ppt
- 智慧食药监解决方案.pptx
- 2024年05月山东烟台市蓬莱区卫健系统事业单位招考聘用41人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东交通职业学院招考聘用博士研究生50人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽芜湖市弋江区老年学校(大学)工作人员特设岗位公开招聘2人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东东营河口区教育类事业单位招考聘用22人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东交通职业学院招考聘用100人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东威海职业学院招考聘用高层次人才2人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽石台县事业单位工作人员33人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东滨州市博兴县事业单位公开招聘考察笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月安徽蚌埠固镇县湖沟镇选聘村级后备干部7人笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东省安丘市教育和体育局所属事业单位学校公开2024年招考232名工作人员笔试历年典型题及考点剖析附带答案含详解.docx
- 2024年05月山东临沂临港经济开发区工作人员(5人)笔试历年典型题及考点剖析附带答案含详解.docx
文档评论(0)