綠盟大數據安全分析平臺

產品設計原理及架構

綠盟大數據安全分析平臺（NSFOCUS Bigdata Security Analytics，簡稱NSFOCUS BSA）是一款采用大數據技術的安全分析產品，通過匯總網絡中的安全設備、網絡設備、應用系統、操作系統數據來消除安全孤島，實現整體環境安全分析及檢測。平臺采用開放性設計，具有豐富的API接口以及SDK開發包，能夠實現靈活的個性化功能定制，同時具有安全分析應用（APP）能夠實現即插即用的系統功能，能夠降低開發工作量實現按需安裝安全分析應用。

綠盟大數據安全分析平臺采用大數據的底層架構，實現異構數據采集、存儲和計算。對于HBase、Hive等大數據組件的深度整合，滿足網絡安全中對于數據有效性、數據完整性、數據及時性的約束要求。采用自主開發的數據路由功能，實現對于不同數據源的區別處理。以底層為基礎，實現自主可控的系統架構。平臺架構分為數據采集層、數據路由層、數據存儲層、分析引擎層和安全應用層五個部分，如圖5所示。

圖5 綠盟大數據安全分析平臺架構圖

產品功能

綠盟大數據安全分析平臺具備如下幾項功能。

1.安全態勢分析

平臺可以針對整體范圍或某一特定時間與環境，基于這樣的條件進行因素理解與分析，最終形成歷史的整體態勢以及對未來短期的預測。

2.智能威脅防御

平臺采用的基于大數據技術的智能威脅防御技術，打破了傳統APT防御手段中對于大數據量的存儲問題、調查問題、模型歸納問題等。實現背景數據過濾，對象數據提取，環境數據集成，分析模型運算，數據結果展現等功能。

3.隱秘通道挖掘

無論何種隱秘通道都需要通過數據交換才能傳送非法數據，傳統技術缺乏逐一甄別每條網絡通訊信令的能力。而綠盟大數據安全分析平臺采用的大數據技術和機器學習算法，可以有效地識別出隱秘通道特征，從而實現對隱秘通道的挖掘以及還原其所傳送的數據。

4.用戶行為分析

平臺可以自動歸納用戶行為模型，針對用戶行為偏離進行告警；不僅可實現整體用戶行為模型，亦可針對特定用戶形成單一行為模型。行為模型以用戶行為為基準，采用機器學習技術進行自動校正，無需進行人工干預便可實現基線修正以及行為偏離告警。

5.實時安全監測

平臺可實時進行網絡安全監測，不僅可以消除安全孤島所導致的數據割裂問題，同時能夠實時監測網絡中各組成部分的安全狀態，包括IPS單方面監測到的安全事件、IPS與審計系統關聯發現的高風險網絡行為等。

6.攻擊溯源取證

平臺支持多種形式的攻擊溯源，如DDoS攻擊溯源、僵木蠕攻擊溯源、APT攻擊溯源、病毒溯源、數據泄露溯源等。所有的攻擊行為會以數據方式進行固化保存，即使攻擊行為已經結束，并且攻擊者消除企業內受影響系統內的日志，他的攻擊行為都會被完整記錄下來，以便成為未來維權時的有效證據。

圖6 綠盟大數據安全分析平臺部署圖

7.合規審計

平臺通過對異構網絡環境下各系統的日志進行異地集中保存，能夠很好地滿足合規性要求中對于日志審計的規定。同時依托于分析技術的有效應用，不僅能滿足合規性要求，同時能夠對日志進行多維度分析，挖掘出日志中的潛在價值。

應用部署

綠盟大數據安全分析平臺部署在企業內網，只要網絡可達即可。當需要接受Flow流時部署在核心交換機旁，其他情況可部署在任意網絡位置。平臺所接收的數據來自網絡設備的Flow流、syslog，接受綠盟設備的日志，接受標準設備的syslog日志，應用系統的日志信息，同時對接收到的數據進行統計分析，查找違規事件以及相關信息。平臺的部署如下圖6所示。