http://www.venustech.com.cn/NewsInfo/531/25566.Html
【内容摘要】本文首先通过介绍大数据的起因,给出了大数据的定义和特征描述,并简要说明了当前大数据的研究概况。接下来,本文阐释了大数据分析技术,对大数据在信息安全领域尤其是安全管理平台领域的应用做了深入分析,并给出了基于大数据安全分析技术的安全管理平台的基本特征。最后,针对启明星辰推出的基于大数据安全分析技术的泰合新一代安全管理平台从5V角度进行了深入介绍,并强调了安全分析师的关键作用。
无所不在的大数据
?
毫无疑问,我们已经进入了大数据(Big Data)时代。人类的生产生活每天都在产生大量的数据,并且产生的速度越来越快。根据IDC和EMC的联合调查,到2020年全球数据总量将达到40ZB。
?
什么是大数据?大数据早就存在,只是一直没有足够的基础实施和技术来对这些数据进行有价值的挖据。随着存储成本的不断下降、以及分析技术的不断进步,尤其是云计算的出现,不少公司已经发现了大数据的巨大价值:它们能揭示其他手段所看不到的新变化趋势,包括需求、供给和顾客习惯等等。比如,银行可以以此对自己的客户有更深入的了解,提供更有个性的定制化服务;银行和保险公司可以发现诈骗和骗保;零售企业更精确探知顾客需求变化,为不同的细分客户群体提供更有针对性的选择;制药企业可以以此为依据开发新药,详细追踪药物疗效,并监测潜在的副作用;安全公司则可以识别更具隐蔽性的攻击、入侵和违规。
?
图:硬盘每GB的成本变化(1980-2009年)【来源:http://www.mkomo.com/cost-per-gigabyte】
?
《华尔街日报》将大数据时代、智能化生产和无线网络革命称为引领未来繁荣的三大技术变革。麦肯锡公司的报告指出数据是一种生产资料,大数据是下一个创新、竞争、生产力提高的前沿。世界经济论坛的报告认定大数据为新财富,价值堪比石油。
?
不论从技术、还是商业角度,大数据都成为当下绝对的热点。2013年,Gartner将大数据列为未来信息架构发展的10大趋势之首。Gartner预测将在2011年到2016年间累计创造2320亿美元的产值。
?
大数据的定义
如何定义大数据?《大数据的冲击》一书将大数据通俗定义为“用现有的一般技术难以管理的大量数据的集合”,并广义地定义为“一个综合性概念,它包括因具备3V(海量/高速/多样,Volume / Variety/Velocity)特征而难以进行管理的数据,对这些数据进行存储、处理、分析的技术,以及能够通过分析这些数据获得实用意义和观点的人才和组织。”
Gartner将大数据定义为“海量、高速、多变的信息资产,需要对它进行经济的、创新性的信息处理从而获得超越以往的洞察力、决策支持能力和处理的自动化”(high volume,velocity and/or variety information assets that demand cost-effective,innovative forms of information processing that enable enhanced insight,decision making,and process automation)。
大数据的基本特征
?
大数据的三个公认的基本特点是3V,即海量、高速和多变。海量是指数据容量越来越大;高速表示需要处理的速度和响应的时间越来越快,对系统的延时要求相当高;多变就要处理各种各样类型的数据,包括结构化的、半结构化的、甚至是非结构化的数据。
IBM在上述三个特点基础之上增加了一个V(Veracity),即“真实性”、“准确性”。IBM认为只有真实而准确的数据才能让对数据的管控和治理真正有意义。
此外,业界还有人总结出其它的大数据特点,例如低价值密度(Value)、存活性(Viability),等等。低价值密度是指大数据中真正有意义的信息含量比重低;存活性是指特定情况下的大数据具有很强的时效性。
?
大数据的研究概况
?
在IT领域,大数据也是最热门的技术领域之一。Gartner在2012年绘制的Hype Cycle曲线展示出了当前大数据技术欣欣向荣的一番景象。
?
Gartner将大数据相关技术分为三个门类,分别是大数据支撑技术、大数据应用技术和针对新型数据进行分析的技术。
?
我国工程院院士邬贺铨将大数据技术从所面临的挑战的角度分为四个方面,分别是数据收集、数据存储、数据处理和数据可视化。
?
微软张亚勤将大数据划分为三个层次,分别是数据的管理、数据的扩充和数据的呈现。
?
IBM的Stephen Watt给出了一个大数据生态系统的模型,将大数据技术划分为7个部分,包括数据产生、数据存储、数据处理、数据分享、数据检索、数据分析、数据可视化,如下图:
?
?
大数据需要数据分析师
?
以上所有针对大数据的定义和特点的阐述,都缺少一个重要的大数据组成要素——数据分析师(或者称为数据科学家,Data Scientist)。在当前技术条件下,大数据分析的结果要想获得最大程度的价值发挥需要借助专业的数据分析人员。
Natahn Yau首先提出“数据科学家就是能够从大型数据集中析取出数据,并提供某些可供非数据专家使用的东西的人”。《福布斯》杂志认为“数据科学家就是采用科学方法、运用数据挖掘工具寻找新的数据洞察的工程师”。《哈佛商业评论》将数据科学家列为二十一世纪最性感的职业。
这表明,大数据技术要发挥作用仍然需要人的参与,并且是专业的数据分析师的参与。
?
大数据安全分析
?
大数据分析的定义
?
大数据技术的核心就是大数据分析(Big Data Analysis)。一般地,人们将大数据分析定义为一组能够高效存储和处理海量数据、并有效达成多种分析目标的工具及技术的集合。
Gartner将大数据分析定义为追求显露模式检测和发散模式检测,以及强化对过去未连接资产的使用的实践和方法(the practices and technology used to pursue emerging and divergent pattern detection as well as enhance the use of previously disconnected information assets),意即一套针对大数据进行知识发现的方法。
通俗地讲,大数据分析技术就是大数据的收集、存储、分析和可视化的技术,是一套能够解决大数据的4V(海量、高速、多变、低密度)问题,分析出高价值的信息的工具集合。
大数据分析的基本技术支撑
从技术支撑架构的角度来看,大数据分析是一个软件技术框架(Framework),主要包括以下能力:
1)?能够处理特别巨大的数据集(Volume)
2)?提供极快的数据插入操作(Velocity)
3)?能够操作多种数据类型(Variety)
4)?要支持实时数据分析和历史数据分析
5)?提供多种数据分析方法/模型
6)?使用分布式并行处理机制(Volume & Velocity)
其中,大数据分析基本的特征就是这个软件技术框架应该具有一个分布式开发框架。这个分布式开发框架可以是开源的Hadoop,或者其它具有相似分布式并行计算能力的框架,能够实现Map/Reduce计算,能够实现分布式计算节点的统一调度和弹性部署。基于这个分布式开发框架,实现海量数据的分布式采集、分布式存储、分布式分析计算。
大数据分析的另一个技术支撑是海量数据的存储技术。面对海量的数据,传统的关系型数据库已然无法满足需要,需要进行改进或者革新。大数据分析系统的软件技术框架必然会使用某种分布式数据库技术或者NoSQL(非关系型数据库)技术。
此外,一个实用的大数据分析系统一般都要同时具备实时数据分析与历史数据分析能力。要获得历史数据分析能力,通常就是借助分布式开发框架的Map/Reduce批处理计算来实现。当然,有的大数据历史分析系统还具备交互式计算能力(例如Google Dremel),实现快速查询。而要获得实时数据分析能力,分布式开发框架及其Map/Reduce计算模型就显得力不从心了。这时候需要一个实时的流数据处理引擎,通常是采用CEP(Complex Event Processing,复杂事件处理)或者ESP(Event Stream Processing,事件流处理)技术的流数据处理引擎。
综上所述,从开发者的角度来看,大数据分析的底层技术支撑包括三个:
1)?分布式计算框架(例如Hadoop,或者其他具有Map/Reduce机制的计算框架)
2)?分布式存储机制(例如分布式数据库、HDFS、NoSQL)
3)?流式计算框架(例如CEP、ESP)
从大数据分析到大数据安全分析
?
当前网络与信息安全领域,正在面临多种挑战。一方面,企业和组织安全体系架构日趋复杂,各种类型的安全数据越来越多,传统的分析能力明显力不从心;另一方面,新型威胁的兴起,内控与合规的深入,传统的分析方法存在诸多缺陷,越来越需要分析更多的安全信息、并且要更加快速的做出判定和响应。信息安全也面临大数据带来的挑战。
安全数据的大数据化主要体现在以下三个方面:
1)?数据量越来越大:网络已经从千兆迈向了万兆,网络安全设备要分析的数据包数据量急剧上升。同时,随着NGFW的出现,安全网关要进行应用层协议的分析,分析的数据量更是大增。与此同时,随着安全防御的纵深化,安全监测的内容不断细化,除了传统的攻击监测,还出现了合规监测、应用监测、用户行为监测、性能检测、事务监测,等等,这些都意味着要监测和分析比以往更多的数据。此外,随着APT等新型威胁的兴起,全包捕获技术逐步应用,海量数据处理问题也日益凸显。
2)?速度越来越快:对于网络设备而言,包处理和转发的速度需要更快;对于安管平台、事件分析平台而言,数据源的事件发送速率(EPS,Event per Second,事件数每秒)越来越快。
3)?种类越来越多:除了数据包、日志、资产数据,还加入了漏洞信息、配置信息、身份与访问信息、用户行为信息、应用信息、业务信息、外部情报信息等。
于是,业界出现了将大数据分析技术应用于信息安全的技术——大数据安全分析 (Big Data Security Analysis,简称BDSA),也有人称做大安全数据分析(Big Security Data Analysis)。两者尽管表述有差异,但内涵一致。前者强调基于大数据技术的安全分析,分析安全问题;后者强调大数据分析的对象是安全数据。
在网络安全领域,大数据安全分析将包括以下几个应用领域:
1)?安全事件管理和安全管理平台:这将是大数据安全分析的核心应用,也被称作安全分析平台(Security Analytics Platform),后文将详述。
2)?APT检测,包括全包捕获技术
3)?0day恶意代码分析,包括沙箱技术
4)?网络取证分析
5)?网络异常流量检测
6)?大规模用户行为分析
7)?安全情报分析
8)?信誉服务
9)?代码安全分析
2012年3月,Gartner发表了一份题为《Information Security Is Becoming a Big Data Analytics Problem》的报告,表示信息安全问题正在变成一个大数据分析问题,大规模的安全数据需要被有效地关联、分析和挖掘,并预测未来将出现安全分析平台,以及部分企业在未来五年将出现一个新的岗位——“安全分析师”或“安全数据分析师”。
?
?
对于大数据安全分析而言,最关键的不在于大数据本身,而在于对这些数据的分析方法。大数据安全分析可以用到大数据分析的所有普适性的方法和技术,但当应用到网络安全领域的时候,还必须考虑到安全数据自身的特点和安全分析的目标,这样大数据安全分析的应用才更有价值。例如,在进行异常行为分析,或者恶意代码分析和APT攻击分析的时候,分析模型才是最重要的。其次,才是考虑如何利用大数据分析技术(例如并行计算、实时计算、分布式计算)来实现这个分析模型。
?
基于大数据分析技术的安全管理平台
?
安全管理平台呼唤大数据分析
?
在所有网络安全领域中,大数据分析对安全管理平台(SOC平台)及安全信息与事件分析(SIEM)系统的影响最为深远。这也是与它们先天的大数据分析特质密切相关的。
安全管理平台,有的也称作SOC(Security Operations Center,安全运营中心)平台,一般是指以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
安全管理平台的核心之一便是安全信息与事件管理,也称作SIEM(Security Information and Event Management)系统。通常,SIEM为来自企业和组织中所有IT资源(包括网络、系统和应用)产生的安全信息(包括日志、告警等)进行统一的实时监控、历史分析,对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告,实现IT资源合规性管理的目标,同时提升企业和组织的安全运营、威胁管理和应急响应能力。
下图显示了一个典型的SIEM系统的结构图:
?
?
由图可知,一般的SIEM系统都具有安全事件(日志)的采集、范化、存储、分析、展示等几个过程,而这与大数据分析的收集、存储、分析和可视化过程是完全相同的。因此,SIEM天然具有应用大数据分析技术的特质。
安全管理平台是在SIEM系统的基础上,对采集的数据进行了大规模的扩充,并增加了分析模型,实现了基于风险的资产和业务的集中安全管理。下图显示了一个典型安全管理平台的结构图:
?
?
如上图所示,安全管理平台的核心是多样化的安全要素信息采集与存储、多种安全分析与展示。而这与大数据分析的特征也是完全吻合的。
当前,安全管理平台的一个重要发展趋势就是采集的安全数据种类越来越多,不仅包括传统的资产信息、事件信息,还纳入了漏洞信息、性能信息、流量信息、配置信息、业务信息等等。与此同时,安全数据的产生速率和总量也急速增长。大型企业越来越倾向于采用集中化的安全管理平台构建模式,单一管理平台就要管理全网的安全信息,安全事件产生的速率达到上万EPS,甚至是上10万EPS,每天存储的事件量则达到上百GB,甚至是上TB。另一方面,用户需要安全管理平台提供更加精准的安全分析研判和问题定位,更加快速的安全应急响应与处置,对安全分析的准确性和分析结论价值度的要求越来越高。这一切都促使安全管理平台的技术开发者求助于大数据分析技术。
大数据安全分析首选安全管理平台
SANS在2013年9月份发布的《安全分析调查》报告显示,客户进行大数据安全分析的时候,首选的是日志管理、SIEM等安全管理平台类系统。并且,超过60%的受访客户表示未来实现安全分析目标的首要投资对象是SIEM。
?
?
由此可见,目前来说,在所有大数据安全分析的应用领域中,SIEM及其安全管理平台是最重要的。
应该说,大数据分析技术并不能保证安全管理平台能够应对上述挑战,但却给安全管理平台应对这些挑战提供了全新的技术思路和发展模式。当安全管理平台遇上大数据分析,让用户和开发者看到了安全管理平台未来技术发展的一个全新方向。
基于大数据安全分析技术的安全管理平台基本特征
基于大数据安全分析技术的安全管理平台具有以下显著特征:
1)?Velocity:高速日志采集能力、高速事件分析能力;
2)?Variety:支持多种日志源和日志类型,并支持对半结构化(例如原始数据报文、邮件、WEB请求与响应)和非结构化信息(例如可疑代码)的采集,具备异构数据间的关联分析(即情境关联)能力;
3)?Volume:海量的事件存储能力、海量数据分析能力;
4)?valuablity:分析研判的结果是真正有价值的信息、值得去关注的信息,是可以用于辅助决策的信息。这就意味着需要有效的数据分析方法和工具;
5)?Visualization:安全分析结果的可视化呈现能力。
必须至少同时满足上述5V,才能将一个安全管理平台称为基于大数据安全分析技术的安全管理平台。
?
泰合新一代安全管理平台介绍
?
为了应对大数据的挑战,以及客户日益复杂的安全管理需求,启明星辰在10年该领域积累的基础上推出了基于大数据安全分析技术的泰合新一代安全管理平台(NGSOC)。
泰合NGSOC以IT资产为基础,以业务信息系统为核心,以用户体验为指引,从监控、审计、风险、运维四个维度建立一套可度量的统一业务支撑平台,使得各种用户能够对业务信息系统进行可用性、性能与服务水平监控,配置及事件分析、审计、预警与响应,风险及态势的度量与评估,标准化、例行化、常态化的安全流程管控,通过面向业务的主动化、智能化安全管理,最终实现业务信息系统的持续安全运营。
泰合NGSOC全面拥抱大数据时代,采用新一代的基于超微内核的技术架构,融合了多种大数据分析的技术,具有高速数据采集与分析、海量事件存储与分析、异构信息采集与关联、多种安全分析工具、丰富数据可视化呈现的特点,是国内第一款基于大数据安全分析技术的安全管理平台。
仅以安全管理平台中的事件管理子系统为例,为了应对海量事件管理带来的挑战,泰合新一代安全管理平台采用了国内领先的基于大数据分析的高性能事件采集、分析与存储架构。
?
?
泰合新一代安全管理平台采取了多种大数据分析技术使得系统在事件采集、分析和存储三个方面获得了本质的性能提升,如下表所示:
?
|
关键点
|
采用的先进技术
|
达到的技术效果
|
用户价值和作用
|
|
日志采集
|
异步通讯、高速缓存、日志范式化流水线技术
|
能够对海量异构日志进行持续不断地高速采集
|
能够采集网络中大规模管理对象的日志
|
|
日志存储
|
高速日志存储、分布式数据存储技术
|
TB级日志存储
|
存储长时间的日志信息,满足合规的要求
|
|
日志分析
|
实时分析
|
内存实时计算、复杂事件处理(Complex Event Process,简称CEP)技术
|
实时地对日志进行监视和关联分析
|
及时发现安全异常,快速关联出安全隐患
|
|
查询分析
|
全文检索、分布式查询技术
|
能够快速的从TB级的日志信息中返回查询结果
|
快速从海量日志中进行定点查询
|
|
统计分析
|
数据抽取、数据聚合等技术
|
能够实现对TB级日志的快速报表生成
|
快速生成各类安全日报、周报、月报等
|
以下分别从基于大数据安全分析技术的安全管理平台的5V特征分别加以阐释。
事件高速采集(Velocity)
针对单一的事件采集器,借助异步非阻塞的事件采集技术和利用多核CPU的并行流水线技术实现快速的异构事件采集。
?
同时,系统具备分布式采集技术,即通过部署多个事件采集器,进行分布式事件采集,进一步提升总的事件采集速率。
?
异构事件源采集(Variety)
?
系统支持通过多种协议方式(包括Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、Web Service等)对各种类型的网络设备、安全设备、主机、存储、数据库、中间件、应用系统等的日志和告警信息进行统一的采集,并能够对这些异构的事件进行信息标准化和事件分类,将各种不同表达方式的日志转换成统一的描述形式。
海量事件存储与海量事件分析(Volume)
这里体现出了大数据分析的核心技术。泰合新一代安全管理平台运用自主研发的分布式存储技术、分布式计算技术和流式计算技术实现了海量事件的存储与分析。
?
分布式事件存储技术
系统采用了分布式事件存储架构,通过分布式事件存储器实现了事件数据的并行写入和分布存储,极大的提升了系统事件处理的吞吐量,为后续的大数据分析奠定了基础。
?
?
如上图所示,系统采用分块的方式存储事件。每天会将事件并行写入多个分块中,并且每天都会创建新的存储块。同时,在并行写入的时候,系统通过优化的算法确保事件被尽可能均匀的分布在每个分块上。
?
分布式事件查询技术
系统内置了分布式事件查询代理,使得上层应用的开发者不必了解事件分布存储的细节,使用统一的方式进行数据存取。
?
?
系统的分布式查询代理相实现了一个Map/Reduce的计算框架,能够将数据查询请求分布到不同的计算节点上并行进行,并最终装配每个节点的计算结果,统一返回给请求者。
?
基于流数据的实时事件分析技术
系统采用了基于CEP的流式计算框架,实现了对安全事件的实时动态分析。
?
?
上图展示了系统的规则关联分析引擎的基本架构。系统将所有的关联规则都预编译为CQL(Continuous Query Language,持续查询语言),送入自主研发的CEP引擎,对事件流进行模式匹配。模式匹配模型采用不确定有限状态机(Nondeterministic Finite Automata,NFA),并参考了RETE算法实现。
?
价值分析(Value)
?
这里的价值分析就是指如何从海量的安全事件中通过多种分析模型研判出真正有价值的安全信息。系统内置了多种安全分析的工具,不仅有传统的规则关联,还有基于行为的关联,以及面向大数据的安全分析工具。
?
安全事件关联分析
事件关联是指找出大量事件中存在的关系,并从这些大量事件中抽取出真正重要的少量事件。借助先进的智能事件关联分析引擎,系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统为分析师提供了三种事件关联分析技术,分别是:基于规则的关联分析、基于情境的关联分析和基于行为的关联分析。
——基于规则的关联分析
基于规则的关联分析是指系统通过事件关联引擎进行规则匹配,识别已知模式的攻击和违规的过程,属于最经典和传统的一种关联分析技术。
系统支持建立单事件规则和多事件规则,实现单事件关联和多事件关联:
?
单事件关联:通过单事件关联,系统可以对符合单一规则的事件流进行规则匹配;
?
多事件关联:通过多事件关联,系统可以对符合多个规则(称作组合规则)的事件流进行复杂事件规则匹配。
?
——基于情境的关联分析
基于情境(Context)的关联分析是指将安全事件与当前网络和业务的实际运行环境进行关联,透过更广泛的信息相关性分析,识别安全威胁。这种技术也被称作“情境感知”(Context-Aware)。
系统支持多种基于情境的关联分析:
?
基于资产的情境关联:分析师可以将事件中的IP地址与资产名称、资产价值、资产类型(包括自定义类型)、自定义资产标签进行关联;
?
基于弱点的情境关联:将安全事件与该事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;
?
基于网络告警的情境关联:将安全事件与该事件所针对的目标资产(或发起的源资产)当前发生的告警信息以及当前的网络告警信息进行关联;
?
基于拓扑的情境关联:根据网络故障沿网络拓扑水平传播的特性,通过对大量网络告警事件在拓扑空间中的分布,以及传播时间上的顺序,自动进行网络根本故障源(Root Cause)诊断。
?
——?基于行为的关联分析
基于行为的事件关联分析的定位在于使安全分析实现向基于异常检测的主动分析模型逆转,从而安管平台的主流分析方式不再强依赖关联引擎。
?
规则关联分析依赖于专家经验定义的攻击签名或已知的攻击方法。高级威胁经常没有签名,并且确切的攻击者行为也难以实现预测。事件行为分析是基于异常检测的主动分析模式,它并不是基于静态的关联规则,而是建立被观测对象正常基准行为,通过对实时活动与基准行为的对比来揭示可疑的攻击活动。事件行为分析可以智能发现隐藏的攻击行为,加速确定没有签名的威胁,减少管理人员必须调查的事故数量。
?
系统支持两种行为分析技术:
?
动态基线技术:采用了周期性基线分析的方法。周期性基线根据历史数据计算得出,通常是一个单周期数据库轮廓线。这条曲线由若干数据轮廓点组成。每个轮廓点代表一个采样时点。一个新的实际测量值如果没有超过基线范围,则通过加权平均算法更新旧的轮廓值。如果新的实际测量值超过基线范围则丢弃,不参与新轮廓值计算。如此往复循环,基线始终处于动态变化中。
?
预测分析技术:采用了基于时间窗置信区间的检测模型和方法。可以在实际运行中不断自我调整和逼近,自动剔除历史时间窗内的异常历史数据,实现历史时间窗数据与网络实际正常流量行为特征的高度吻合,从而提高了对异常行为报警的准确性。?
?
地址熵态势分析
信息论之父 C. E. Shannon 在 1948 年发表的论文《通信的数学理论》(A Mathematical Theory of Communication)中, Shannon 指出,任何信息都存在冗余,冗余大小与信息中每个符号(数字、字母或单词)的出现概率或者说不确定性有关。Shannon 借鉴了热力学的概念,把信息中排除了冗余后的平均信息量称为“信息熵”,并给出了计算信息熵的数学表达式。 简单地说,信息熵就是系统有序化程度的一个度量。
系统通过对收集到的一段时间内的海量安全事件的报送IP地址进行熵值计算,得到这些安全事件报送IP聚合度的变化幅度,以此来刻画这段时间内这些安全事件所属网络的安全状态,并预测下一步的整体安全走势。
热点事件分析
热点分析技术是分析某些特定事件间潜在联系的一个有力工具,热点是指如果某一区域内事件发生频率显著地高于或低于正常频率,则这一特殊区域被定义为热点,通常我们所关心的热点是事件发生高度集中的小区域,在众多的时空分析方法中,热点分析是理解事件间隐含关系的有效工具。通过热点分析,可以有效地对事件做出回归分析和前景预测,帮助研究人员得出科学的结论。
系统采用聚类算法持续地从事件的源IP、目的IP、资产类型、事件等级、事件数目5个维度(向量)朝终端、网络和应用三个群组进行聚类运算,找到当前一段时间的事件热点,从而实现对海量事件的实时宏观分析。
威胁态势分析
威胁态势分析,也称作威胁KPI分析。系统通过对一组关键威胁指标的计算得到一个威胁指数,并以此随时间描述出一条威胁指数曲线,从而表征一段时间内、某个网络区域的网络安全威胁状态及其发展趋势。
系统建立了一套动态的多维威胁指标体系,通过帕累托分析法,协助管理员对当前的威胁成因进行辨别,实现对关键威胁因素从宏观到中观,再到微观的层层下钻,直至定位到导致威胁态势异常的关键安全事件。
信息可视化(Visualization)
泰合新一代安全管理平台具有十分丰富的信息可视化呈现能力,涵盖了安全管理的各种要素,包括资产、业务、事件、威胁、风险等。
?
|
可视化类型
|
说明
|
|
资产可视化
|
网络拓扑图
|
系统能够自动描绘出网络拓扑图,展示IT资产之间的逻辑拓扑连接关系,并能够自动进行多种拓扑布局。通过网络拓扑图,管理员可以对全网的资产进行可视化的监控
|
|
机房机架图
|
将客户资产设备根据实际机架摆放可视化地展示出设备的物理摆放。管理员透过机架视图可以清楚地知道每个资产的位置
|
|
业务可视化
|
业务拓扑图
|
通过业务建模,构建业务拓扑图,建立起构成业务支撑环境的资产对象的分布和逻辑联系方便用户了解和查看此业务相关对象的实际状况
|
|
事件可视化
|
事件拓扑图
|
可以对一段时间内的安全事件进行行为分析,通过生成一幅事件拓扑图形象化地展示海量安全事件之间的关联关系,从宏观的角度来协助定位安全问题
|
|
事件多维分析图
|
可以通过平行坐标轴显示大量事件相对于事件属性的聚合关系
|
|
事件全球IP定位地图
|
对事件的源目的IP地址进行追踪,并在世界地图上标注出来
|
|
威胁可视化
|
威胁分布图
|
将某个区域的威胁从认证授权与非法访问、恶意代码、信息泄露、攻击入侵、设备故障、违规与误操作6个维度进行分类评估,并最终得到该区域的总体威胁度,以及可视化地展示该区域的威胁成因图
|
|
风险可视化
|
风险矩阵图
|
系统能够形象地展示出安全域的风险矩阵,从可能性和影响性两个角度标注安全域中风险的分布情况,通过风险矩阵法,指导管理员进行风险分析,采取相应的风险处置对策
|
小结
大数据时代已经到来,我们创造的大数据正在改变人类生产生活的各个方面。信息与网络安全作为保障IT数字资产的关键能力也正在被大数据所重新塑造。安全管理平台,作为安全保障体系中位于顶层的技术支撑平台,天然具有与大数据结合的特质。基于大数据安全分析技术的安全管理平台正在成为未来安全管理平台发展的重要技术方向。
同时,我们必须看到,不论安全管理平台的技术如何发展,如何与大数据结合,安全管理平台所要解决的客户根本性问题,以及与客户业务融合的趋势依然未变。对大数据的应用依然要服务于解决客户的实际安全管理问题这个根本目标。
目前来看,大数据分析技术有助于我们更好地去解决安全管理过程中的部分问题,但并不能解决所有的问题,同时还可能引入了新的问题。这是安全管理平台的开发者、服务提供者和客户都需要不断摸索的。
此外,不论安全管理平台技术如何发展,大数据分析给我们带来了多大程度的信息价值度提升,安全分析师始终是不可或缺的。正如大数据需要数据分析师,大数据安全更需要安全分析师。安全,本质上是人与人之间的对抗,不论安全分析的自动化技术如何演进,相互之间进行对抗的,始终是坐在屏幕前的人。
