安全态势与异常分析管理系统
随着网络安全技术的快速发展,各类安全产品产生大量独立、复杂、异构的安全源数据,并且这些数据相互之间缺乏有效关联,形成一个个安全信息孤岛。迫切需要利用大数据分析和挖掘技术对各类型进行深度分析,将其分析结果直观地展示给用户。
日常的资产管理系统中,缺乏对资产网络层面的分析,无法知悉其存在的非法访问、攻击行为等。
信息网络承载着大量的应用,需要深度分析其内部人员违规操作的风险,以及被频繁访问、被越权访问等行为。
攻击者通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流量和系统的日志中,传统的安全产品无法存储、分析其中的风险。
违规运维、哑终端行为异常、扫描行为等由用户发起,或网络攻击导致的异常行为淹没在普通的日志数据中,未得到深入挖掘与呈现。
系统实时监控流入流出的网络流量,通过对流量进行协议识别,并主动获取和被动接收各类数据,基于各类原始数据,结合资产属性,智能学习设备的各类基线,可有效地对设备、应用等进行画像的分析,识别出异常现象进行告警。
以自动化手段为主,通过终端代理程序、网关探针,主动全量采集流量、进程启停等等数据。通过数据清洗、数据集成、数据转换等过程,将分散、零乱、不统一的数据整合到一起,为后续数据使用奠定坚实基础。
基于机器学习,进行长周期计算,建立多维度行为基线,依据基线发现异常行为。
针对一些日常运行数据进行各维度的统计,作为画像特征,包括设备画像、应用系统画像等。从画像中阐述每个设备的历史使用情况、进程运行情况、流量拓扑情况、发出的访问情况等等;每个应用的活跃度情况、流量拓扑情况、访问排名情况、端口列表情况等等。
通过基线学习、画像情况,再结合规则的建立,发现异常、分析异常、优化规则,从而达到异常数据的精准性。
系统整体结构主要由以下四个层次组成:业务层、服务层、存储层、接入层,其整体架构如下图所示。
.webp)
