新一代大数据安全分析解决方案.pptx

新一代大数据安全分析系统 目录 案例分享 产品和解决方案 企业为什么需要大数据安全分析 企业为什么需要大数据安全分析 安全管理缺失统一的抓手 整体网络安全态势无法感知 异常行为和未知威胁无法发现 海量数据无法有效处理分析 传统安全面临的问题 产品和解决方案 方案解决思路 大数据安全分析系统(HanSightEnterprise)，是一款基于大数据、机器学习、模式识别等技术的企业级智能安全分析平台，通过收集企业内部各个关键系统产生的业务数据，通过集中存储、快速检索、实时分析及告警、威胁响应、可视化展现和安全报告等功能。 大数据安全分析系统 流量分析 系统架构 数据解析 字段识别 用户自定义字段 时间字段侦测 时间同步 日志传输 批量传输 日志压缩 日志加密 日志缓存 A A A 数据源对接 SNMP、SYSLOG、Agent、Netflow、API接口、数据库接口、FTP、HDFS、KAFKA、端口镜像、Netflow等； 网络设备、安全设备、应用系统、中间件、主机、数据库等； 数据源事件 类别标签 数据源接收时间 事件起始／结束时间 事件类别 事件对应主机 事件对应人员 /Host/Application/Service /Access /Failure /Firewall /Informational 信息增强 服务器接收时间 地理位置信息 资产漏洞信息 资产分类信息 步骤一：基础数据资源采集 外部威胁情报整合 恶意域名. 恶意IP. 恶意URL. Whois信息. 木马病毒特征码. 文件hash值. 元素之间关联关系. 数据 日志 NetFlow 全流量 威胁 情报 资产 信息 实时数据检测 关联分析引擎 安全规则库 历史数据分析 交互 分析 UBA 安全事件 网络 攻击 木马 病毒 漏洞 利用 非法 访问 …… 安全告警 高级 中级 低级 全文检索 可视化分析 智能分析 数据建模 机器学习 数据 泄露 病毒 爆发 登陆 异常 溯源分析 威胁场景还原 处理措施 资产画像 图计算 异常行为分析 步骤二：安全分析威胁建模 实时检测－关联分析 基于Spark Streaming技术实现的强大的CEP引擎，对系统采集的实时数据流进行关联分析. 关联的模式包括统计关联、资产关联、情报关联、模式关联、漏洞关联、策略关联等. 内置安全关联规则. 关联分析（例） 原始数据：GenTime=2016-07-27 21:58:20 src: drc:2 attack-name”后门木马网络红娘连接” … 内部基础信息 ：审批门户网站，北京机房，张三，2014年上线，等保三级，… 外部威胁情报 2:联通,上海市，恶意IP ------------------------------- 网络红娘：远程木马，该软件可以进行屏幕捕捉、视频监控、获取操作文件、获取键盘记录、获取剪贴板内容、模拟MSDOS命令等诸多违规操作，… 安全事件：位于北京机房的审批门户网站服务器()从2016-07-27 21:58:20开始频繁访问上海市联通的恶意ip地址(2)，该行为经鉴定是由于服务器被植入远程木马程序导致，该软件可以进行屏幕捕捉、视频监控、获取操作文件、获取键盘记录、获取剪贴板内容、模拟MSDOS命令等诸多违规操作，根据安全应急响应预案该风险等级为“高”，需要立即做下线处理。 交互式分析－全文检索 支持通过模糊匹配的方式对已存储的海量事件进行全文检索. 可以根据任意关键词(支持“与”和“或”，支持使用 =、 、 等关系运算符) 进行日志数据检索. 任意字段值可以进行排序统计分析. 交互式分析－可视化分析 流量弦图分析. 事件河流图分析. 偏离分析图. 数据透视图分析. 关联分析图分析. 交互式分析－智能分析 支持对一个或多个数据源进行灵活的可视化的图表分析. 支持对任意字段值进行最多最少排序. 可根据任意字段值进行多条件组合数据过滤. 可查看原始日志. UBA用户异常行为分析 异常事件行为序列化. 以部门、个人、资产等为单位建立行为基线. 关联用户与资产的行为. 用机器学习算法或者预定义规则找出严重偏离基线的异常行为. UBA－盗取内部数据 建立特定用户的画像，包括他的合法行为白名单和行为基线. 用户行为分析引擎侦测用户的异常行为，例如异常时间、从可疑位置登录，或是访问和平时完全不同的数据或数据量，或是把数据上传至公司外部的可疑地址. 提供可疑用户最近的所有行为给安全管理员进行进一步的详细调查. UBA－撞库攻击 撞库攻击场景行为序列化. 检测场景数据建模. 多维行为基线检测. 撞库成功账号关联信息展示. 养号阶段账号可视化展示. 步骤三：安全事件处置 处置方式 说明 派发工单 通过内置工单流转，实现