绿盟大数据平台

绿盟大数据安全分析平台产品白皮书【绿盟科技】■文档编号■密级完全公开■版本编号V1.0■日期2015-11-03■撰写人胡喆骞■批准人©2015绿盟科技目录1.需求分析............................................................................................................11.1.安全现状.....................................................................................................11.2.当前挑战.....................................................................................................11.3.应对措施.....................................................................................................22.产品定义............................................................................................................33.功能特点............................................................................................................33.1.安全态势分析..............................................................................................43.2.智能威胁防御..............................................................................................43.3.隐秘通道挖掘..............................................................................................43.4.用户行为分析..............................................................................................53.5.实时安全监测..............................................................................................53.6.攻击溯源取证..............................................................................................63.7.合规审计等等..............................................................................................64.产品特点............................................................................................................74.1.异构数据源.................................................................................................74.2.数据存储.....................................................................................................84.3.计算引擎.....................................................................................................84.4.可视化展现.................................................................................................94.5.安全应用扩展............................................................................................104.6.SDK开发包..............................................................................................105.大数据技术应用...............................................................................................115.1.数据路由...................................................................................................115.2.数据存储...................................................................................................115.3.索引技术...................................................................................................115.4.安全可视化...............................................................................................126.系统环境..........................................................................................................126.1.部署环境...................................................................................................126.2.接口说明...................................................................................................137.产品优势及特点...............................................................................................138.产品的客户价值...............................................................................................14绿盟大数据安全分析产品白皮书©2015绿盟科技-1-密级：完全公开1.需求分析1.1.安全现状随着互联网以及周边网络产品的发展，信息安全越来越受到重视，“棱镜门”事件爆发后，信息安全不仅引起了企业领导的重视，更引起了国家领导人的广泛关注。在这种背景下，企业无论是出于对自身利益的考虑，还是对于社会责任的角度，都已经开始构建更为丰富的内部安全系统。这些系统不仅涵盖基本的防火墙，入侵检测、防病毒；还包括目前主流的上网行为审计，堡垒机系统，数据库审计系统，网站防火墙系统；以及符合最新攻击的特征的，如抗拒绝服务系统，高级持续性威胁防御系统等。这些专业的安全防护设备逐渐达到了企业的防护屏障，从多个不同的角度满足了企业的安全防护需求。随着科技的不断进度，针对企业内部的攻击行为也逐渐变得更为难以捕获。这种情况在现今表现的尤为突出，以HackingTeam被攻击导致安全工具泄露为例，其直接导致地下黑客产业向前推进5-10年。在这样严峻的安全风险面前任何现有的安全设备都难以应对，需要通过较为复杂的安全分析方能挖掘出隐秘在企业内部的安全事件。1.2.当前挑战单纯的安全防护已经很难应对如此复杂的安全环境。目前在高级恶意程序已经逐渐成为主流的情况下，隐秘通道也已经开始向企业内部逐渐渗透。具不完全统计，目前各种安全事故层出不穷手段不断翻新，已知的手段包括有非授权访问，远程代码执行，权限绕过，SQL注入，DNS劫持，DDoS攻击，账户劫持，恶意程序，DNS缓存入侵，重定向，涂鸦，系统漏洞等。这些手段不断威胁着我们的信息系统，被攻击的企业已经从耳熟能详的超大型企业逐渐转向大企业、中型企业等。企业中任何存有数据的系统都已经变为攻击者眼中的目标。企业中保存的员工数据、财务数据、客户数据、甚至考勤数据都已经变得炙手可热。而每起安全事故的发生、数据的泄露都是隐藏在网络数据的海洋中，企业中的安全管理人员难以发现。安全事件都是在发生绿盟大数据安全分析产品白皮书©2015绿盟科技-2-密级：完全公开后，数据在网络上广为流传后企业才会发现曾经有过安全事件，但具体的时间、形式都难以察觉。尤其是以高级持续性恶意攻击（APT攻击）为代表的新威胁，更是让企业防不胜防。现有的任何防御手段在APT攻击面前都显得苍白无力。1.3.应对措施为了面对如此险恶而又复杂的网络安全环境，传统的防御手段难以发挥有效作用。随着新技术的不断涌现，以数据为驱动的安全防御手段逐渐浮现到安管人员面前。一切行为皆有痕迹，在网络中行为的痕迹会以多种方式表现而出，如网络的流量、系统的日志、安全设备的告警等。无论是传统的安全攻击，如DDoS、账户劫持、恶意程序等等，亦或是先进的APT攻击，所有的攻击行为都会在网络或者系统中留有痕迹。这样的痕迹都是分散在各个系统中，以一个个信息孤岛散落在企业的信息化系统中。为了应对日益严峻的安全攻势，需要进行有效的安全分析。安全分析能够有效的对未知安全事件进行发现，由于安全分析是持续的，因此能够在安全事件发生时进行有效的捕获。安全分许首先需要将数据进行汇总，解决数据持续增长、数据类型复杂、数据来源多样等特性。基于这样的数据特性，原有的数据库、数据仓库技术难以应对，伴随着业务需求的产生，相应的解决方案也应运而生。通过采用大数据技术可以很好的解决数据的上述特性，大数据技术在多个行业的业务系统中已经成功使用。例如电信运营商采用大数据技术进行恶意电话的挖掘，金融业采用大数据技术对信用卡欺诈的风险控制。这些成功案例都已经说明了大数据技术在数据分析、数据挖掘方面的有效性。通过大数据安全分析技术的应用，能够很好的进行安全数据分析，从而更好的应对现有网络中所带来的安全挑战。绿盟大数据安全分析产品白皮书©2015绿盟科技-3-密级：完全公开2.产品定义绿盟大数据安全分析平台是一款采用大数据技术的安全分析系统。消除安全孤岛，从整体视角进行安全事件分析、安全攻击溯源、安全事件根因挖掘等。3.功能特点以安全合规、安全审计为基础，借由实时安全监测实现基础安全功能。