信息安全目前越來越受到重視，“棱鏡門”事件爆發(fā)后，信息安全不僅引起了企業(yè)領(lǐng)導(dǎo)的重視，更引起了國家領(lǐng)導(dǎo)人的廣泛關(guān)注。在這種背景下，企業(yè)無論是出于對(duì)自身利益的考慮，還是對(duì)于社會(huì)責(zé)任的角度，都已經(jīng)開始構(gòu)建更為豐富的內(nèi)部安全系統(tǒng)。

這些系統(tǒng)不僅涵蓋基本的防火墻，入侵檢測(cè)、防病毒；還包括目前主流的上網(wǎng)行為審計(jì)，堡壘機(jī)系統(tǒng)，數(shù)據(jù)庫審計(jì)系統(tǒng)，網(wǎng)站防火墻系統(tǒng)；以及符合最新攻擊的特征的，如抗拒絕服務(wù)系統(tǒng)，高級(jí)持續(xù)性威脅防御系統(tǒng)等。這些專業(yè)的安全防護(hù)設(shè)備逐漸達(dá)到了企業(yè)的防護(hù)屏障，從多個(gè)不同的角度滿足了企業(yè)的安全防護(hù)需求。

但是，攻擊者與安全運(yùn)維人員的對(duì)抗是永無止境的，有了一種防護(hù)技術(shù)，就會(huì)出現(xiàn)針對(duì)性的攻擊技術(shù)。越來越多的攻擊者會(huì)在發(fā)起攻擊前，會(huì)測(cè)試是否可以繞過目標(biāo)網(wǎng)絡(luò)的安全檢測(cè)，因此會(huì)使用新型的攻擊手段，零日威脅、變形及多態(tài)等高級(jí)逃避技術(shù)、多階段攻擊、APT攻擊，這些新的攻擊方式，即是所謂的新一代威脅。由于它們是傳統(tǒng)安全機(jī)制無法有效檢測(cè)和防御的，因此往往會(huì)造成更大的破壞，成為當(dāng)前各方關(guān)注的焦點(diǎn)。

然而，無論是傳統(tǒng)的安全攻擊，如DDoS、溢出攻擊、僵木蠕等，亦或是先進(jìn)的APT攻擊，所有的攻擊行為都會(huì)在網(wǎng)絡(luò)或者系統(tǒng)中留有痕跡。這樣的痕跡都分散在各個(gè)系統(tǒng)中，形成一個(gè)個(gè)的信息孤島，每起安全事故的發(fā)生、數(shù)據(jù)的泄露都是隱藏在網(wǎng)絡(luò)數(shù)據(jù)的海洋中，企業(yè)中的安全管理人員難以發(fā)現(xiàn)。安全事件都是在發(fā)生后，數(shù)據(jù)在網(wǎng)絡(luò)上廣為流傳后企業(yè)才會(huì)發(fā)現(xiàn)曾經(jīng)有過安全事件，但具體的時(shí)間、形式都難以察覺。

綠盟安全態(tài)勢(shì)感知平臺(tái)可以提供有效的安全分析模型和管理工具來融合這些數(shù)據(jù)，可準(zhǔn)確、高效地感知整個(gè)網(wǎng)絡(luò)的安全狀態(tài)以及發(fā)展趨勢(shì),從而對(duì)網(wǎng)絡(luò)的資源作出合理的安全加固，對(duì)外部的攻擊與危害行為可以及時(shí)的發(fā)現(xiàn)并進(jìn)行應(yīng)急響應(yīng)，從而有效的實(shí)現(xiàn)防外及安內(nèi)，保障信息系統(tǒng)安全。

建設(shè)目標(biāo)

綠盟科技安全態(tài)勢(shì)感知平臺(tái)的建設(shè)，目的是達(dá)到以下目標(biāo)：

1.實(shí)現(xiàn)對(duì)DDOS態(tài)勢(shì)的感知，并溯源；

2.實(shí)現(xiàn)對(duì)已知入侵威脅安全態(tài)勢(shì)的感知；

3.實(shí)現(xiàn)對(duì)未知威脅安全態(tài)勢(shì)的感知；

4.實(shí)現(xiàn)對(duì)僵木蠕的態(tài)勢(shì)感知，并溯源；

5.實(shí)現(xiàn)對(duì)資產(chǎn)自身脆弱性的態(tài)勢(shì)感知；

6.實(shí)現(xiàn)對(duì)網(wǎng)站的安全態(tài)勢(shì)監(jiān)控。

建設(shè)原則

(一) 體系化設(shè)計(jì)原則

基于信息網(wǎng)絡(luò)的層次關(guān)系，遵循先進(jìn)的安全理念，科學(xué)的安全體系和安全框架，各個(gè)組成部分推薦均符合當(dāng)代信息技術(shù)發(fā)展形勢(shì)，滿足未來各種應(yīng)用分析APP對(duì)安全態(tài)勢(shì)感知平臺(tái)的要求，提供針對(duì)各種已有數(shù)據(jù)源的接口支持。

(二) 擴(kuò)展性原則

系統(tǒng)具有良好的擴(kuò)展以及與其它應(yīng)用系統(tǒng)的接口能力。產(chǎn)品具有良好的擴(kuò)展性，能夠快速響應(yīng)需求的擴(kuò)展，滿足用戶的進(jìn)一步需要。

(三) 開放性，兼容性原則

各種設(shè)計(jì)規(guī)范、技術(shù)指標(biāo)及產(chǎn)品均符合國際和工業(yè)標(biāo)準(zhǔn)，并可提供多廠家產(chǎn)品的支持能力。系統(tǒng)中所采用的所有產(chǎn)品都滿足相關(guān)的國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，是開放的可兼容系統(tǒng)，能與不同廠商的產(chǎn)品兼容，可以有效保護(hù)投資。

(四) 安全性原則

系統(tǒng)開發(fā)、建設(shè)及維護(hù)的全過程中，在代碼安全、數(shù)據(jù)保密、系統(tǒng)安全防護(hù)措施上采取較嚴(yán)格的措施，進(jìn)行縝密的權(quán)限、身份、帳號(hào)與信息加密管理，接受其他安全系統(tǒng)如統(tǒng)一身份認(rèn)證系統(tǒng)、安全監(jiān)控管理系統(tǒng)的管理，以保證系統(tǒng)和數(shù)據(jù)的安全。

(五) 管理、操作、易維護(hù)性原則

隨著信息系統(tǒng)建設(shè)規(guī)模的不斷擴(kuò)大，系統(tǒng)的可管理性已成為系統(tǒng)能否實(shí)施的關(guān)鍵，系統(tǒng)為用戶提供可解決問題并易于管理的系統(tǒng)。貫徹面向最終用戶的原則，安裝簡便快捷，具有了友好的用戶界面，操作簡單、直觀、靈活，易于學(xué)習(xí)和掌握，支持在線功能幫助。

　　綠盟安全態(tài)勢(shì)感知平臺(tái)分為數(shù)據(jù)采集層、數(shù)據(jù)處理層、應(yīng)用分析層和呈現(xiàn)層。

數(shù)據(jù)采集層：獲取與安全緊密關(guān)聯(lián)的海量異構(gòu)數(shù)據(jù)，包括網(wǎng)絡(luò)flow流數(shù)據(jù)、安全設(shè)備的監(jiān)測(cè)日志數(shù)據(jù)、資產(chǎn)的漏洞信息、配置信息等；此外還可采集惡意樣本及威脅情報(bào)等相關(guān)數(shù)據(jù)。通過綠盟A接口或flume-ng將數(shù)據(jù)源的接入、收集及轉(zhuǎn)發(fā)。

大數(shù)據(jù)處理層：包括數(shù)據(jù)的傳輸、處理、存儲(chǔ)及服務(wù)，數(shù)據(jù)經(jīng)數(shù)據(jù)采集傳感器進(jìn)入大數(shù)據(jù)處理層，在數(shù)據(jù)存儲(chǔ)之前會(huì)經(jīng)過1~2次的數(shù)據(jù)清洗，用來進(jìn)行數(shù)據(jù)增強(qiáng)、格式化、解析，數(shù)據(jù)存儲(chǔ)方式為HDFS的parquet列存儲(chǔ)和ELASTICSEARCH的索引庫，分別提供給APP用來搜索和分析使用。

應(yīng)用分析層：利用大數(shù)據(jù)處理層提供的數(shù)據(jù)即時(shí)訪問接口，建立相應(yīng)的安全分析模型、并利用相關(guān)機(jī)器學(xué)習(xí)算法，邏輯實(shí)現(xiàn)相關(guān)應(yīng)用分析APP。

呈現(xiàn)層：提取應(yīng)用分析層輸出的相關(guān)數(shù)據(jù)，實(shí)現(xiàn)APP統(tǒng)一的可視化呈現(xiàn)。

采用大數(shù)據(jù)的底層架構(gòu)，實(shí)現(xiàn)異構(gòu)數(shù)據(jù)采集、存儲(chǔ)、計(jì)算。對(duì)于HBase、Hive等大數(shù)據(jù)組件的深度整合，滿足網(wǎng)絡(luò)安全中對(duì)于數(shù)據(jù)有效性、數(shù)據(jù)完整性、數(shù)據(jù)及時(shí)性的約束要求。采用自主開發(fā)的數(shù)據(jù)路由功能，實(shí)現(xiàn)對(duì)于不同數(shù)據(jù)源的區(qū)別處理。以底層為基礎(chǔ)，實(shí)現(xiàn)自主可控的系統(tǒng)架構(gòu)。

各類設(shè)備的日志信息和分析結(jié)果通過A接口導(dǎo)入安全態(tài)勢(shì)感知平臺(tái)。導(dǎo)入安全態(tài)勢(shì)感知平臺(tái)的數(shù)據(jù)經(jīng)過ETL（Extract-Transform-Load，數(shù)據(jù)抽取、清洗、轉(zhuǎn)換、裝載）存入數(shù)據(jù)存儲(chǔ)單元。元數(shù)據(jù)是數(shù)據(jù)轉(zhuǎn)換ETL的策略和依據(jù)，同時(shí)元數(shù)據(jù)還會(huì)給通用數(shù)據(jù)訪問接口提供訪問控制約束。

Kafka隊(duì)列作為數(shù)據(jù)傳輸?shù)囊粋€(gè)存儲(chǔ)通道，數(shù)據(jù)獲取層和數(shù)據(jù)應(yīng)用層之間的緩沖帶，同時(shí)可作為某些業(yè)務(wù)邏輯處理的存儲(chǔ)通道，如實(shí)時(shí)告警。

數(shù)據(jù)存儲(chǔ)方式為HDFS的parquet列存儲(chǔ)和ELASTICSEARCH的索引庫，分別提供給WEB應(yīng)用用來搜索和分析使用。

前端的各種WEB應(yīng)用通過多維分析服務(wù)、查詢報(bào)表服務(wù)、數(shù)據(jù)挖掘服務(wù)等形式的服務(wù)使用通用數(shù)據(jù)訪問接口訪問存儲(chǔ)的數(shù)據(jù)，最終實(shí)現(xiàn)基于異構(gòu)多維數(shù)據(jù)的安全分析。

各種WEB應(yīng)用的分析結(jié)果可通過統(tǒng)一呈現(xiàn)門門戶做二次統(tǒng)一匯總分析并做呈現(xiàn)。

組網(wǎng)部署設(shè)計(jì)

綠盟安全態(tài)勢(shì)感知平臺(tái)部署在企業(yè)內(nèi)網(wǎng)，在內(nèi)網(wǎng)的各核心路由器上部署網(wǎng)絡(luò)入侵態(tài)勢(shì)感知傳感器，鏡像全部網(wǎng)絡(luò)流量，網(wǎng)絡(luò)入侵態(tài)勢(shì)感知傳感器將獲取的網(wǎng)絡(luò)流量轉(zhuǎn)化成Netflow，通過管理口發(fā)送給DDOS態(tài)勢(shì)感知傳感器做流量檢測(cè)；通過FTP、POP3、SMTP協(xié)議還原，將過濾出的文件發(fā)送給APT攻擊態(tài)勢(shì)感知傳感器做惡意文件檢測(cè)。各傳感器最終將檢測(cè)得到的數(shù)據(jù)匯總到態(tài)勢(shì)感知平臺(tái)進(jìn)行分析，并通過相應(yīng)APP進(jìn)行可視化呈現(xiàn)。

其總體部署架構(gòu)如圖3所示。

方案能力

網(wǎng)絡(luò)入侵態(tài)勢(shì)感知

網(wǎng)絡(luò)入侵態(tài)勢(shì)感知是國際上公認(rèn)的難點(diǎn)，核心是海量日志的挖掘和決策支持系統(tǒng)的開發(fā)，發(fā)達(dá)國家這方面的研究比較領(lǐng)先。經(jīng)過多年的研究，提出“基于對(duì)抗的智能態(tài)勢(shì)感知預(yù)警模型”，解決海量日志挖掘的工作。吸收國外著名的kill chain擊殺鏈和attack tree攻擊樹的相關(guān)研究，形成推理決策系統(tǒng)，借助大數(shù)據(jù)分析系統(tǒng)的分布式數(shù)據(jù)庫，可以實(shí)現(xiàn)決策預(yù)警，真正的為企業(yè)服務(wù)。

眾所周知，IPS/IDS主要是基于攻擊特征規(guī)則進(jìn)行檢測(cè)（綠盟科技IPS/IDS規(guī)則庫擁有6400條規(guī)則），即IPS/IDS每次匹配到含有攻擊特征數(shù)據(jù)包便產(chǎn)生一次攻擊告警，1G流量下可產(chǎn)生120萬條攻擊告警。而傳統(tǒng)的日志分析系統(tǒng)只會(huì)歸并同規(guī)則事件的告警（部分IPS/IDS本身也支持），1G流量下可歸并至12萬條告警日志，意味著歸并后運(yùn)維人員還需要面對(duì)12萬條告警日志！如圖4所示。

而綠盟科技的入侵威脅感知系統(tǒng)在傳統(tǒng)的日志歸并基礎(chǔ)上，還構(gòu)建了近100種攻擊場(chǎng)景的行為模型，可自動(dòng)化識(shí)別黑客當(dāng)前處于哪種攻擊行為。據(jù)統(tǒng)計(jì)，入侵威脅感知系統(tǒng)可將12萬條告警日志自動(dòng)化分析成500條左右的攻擊行為告警。

再基于攻擊樹的威脅計(jì)分，預(yù)警威脅較大的攻擊源，促進(jìn)防外決策，以及預(yù)警面臨威脅較大的被攻擊目標(biāo)，促進(jìn)安內(nèi)決策。再攻擊樹的反向推理方法，發(fā)現(xiàn)入侵成功事件，促進(jìn)事后響應(yīng)。

DDOS態(tài)勢(shì)感知

DDOS威脅一般稱為網(wǎng)絡(luò)氫彈，是目前國與國之間，競爭對(duì)手之間的主要攻擊方式，成本低，見效大。DDOS攻擊越來越頻繁，尤其針對(duì)發(fā)達(dá)地區(qū)和重點(diǎn)業(yè)務(wù)，某省電信每天發(fā)生的DDOS攻擊次數(shù)在100次左右。其次，DDOS攻擊流量越來越大，從檢測(cè)結(jié)果來看20%以上攻擊在大于20G。2014年4月，監(jiān)測(cè)到的某電信的單一IP攻擊流量達(dá)到300G。因此，如何檢測(cè)預(yù)警大型的DDOS攻擊。是我們研究重點(diǎn)。在這個(gè)方面，網(wǎng)絡(luò)異常流量檢測(cè)，可以全目標(biāo)檢測(cè)(傳統(tǒng)DFI設(shè)備為了提升性能，需要設(shè)定檢測(cè)目標(biāo))。而且擁有自學(xué)習(xí)功能，可以降低80%以上誤報(bào)，經(jīng)過處理后，1500G出口的骨干網(wǎng)，形成告警完全是可以處置的。如圖5。

通過一段時(shí)間的機(jī)器學(xué)習(xí)得到其正常狀態(tài)的流量上限。自學(xué)習(xí)過程中系統(tǒng)自動(dòng)記錄網(wǎng)絡(luò)的流量變化特征，進(jìn)行基礎(chǔ)數(shù)據(jù)建模，按照可信范圍的數(shù)據(jù)設(shè)置置信區(qū)間，通過對(duì)置信區(qū)間內(nèi)的歷史數(shù)據(jù)進(jìn)行分析計(jì)算，得到流量的變化趨勢(shì)和模型特征。為了保證學(xué)習(xí)的流量特征符合正態(tài)分布，系統(tǒng)支持開啟日歷模式的數(shù)據(jù)建模，如設(shè)置工作日、雙休日等日歷時(shí)間點(diǎn)，針對(duì)不同的時(shí)間點(diǎn)進(jìn)行自學(xué)習(xí)建模。同時(shí)系統(tǒng)支持對(duì)生成的動(dòng)態(tài)基線進(jìn)行手動(dòng)調(diào)整，和日歷自學(xué)習(xí)模式相結(jié)合，共同保證動(dòng)態(tài)基線的準(zhǔn)確性。

僵木蠕態(tài)勢(shì)感知

在辦公網(wǎng)等內(nèi)網(wǎng)環(huán)境中，僵尸網(wǎng)絡(luò)、木馬、蠕蟲病毒（統(tǒng)稱僵木蠕）的威脅是首要威脅，僵木蠕引起的arp，DDOS斷網(wǎng)等問題成為主要問題，更不用說由僵木蠕導(dǎo)致的APT泄密等事件了。在這個(gè)場(chǎng)景下，我們采用業(yè)界領(lǐng)先的防病毒引擎，通過對(duì)網(wǎng)絡(luò)流量監(jiān)控，發(fā)現(xiàn)僵木蠕的傳播，并通過僵木蠕態(tài)勢(shì)監(jiān)控，實(shí)現(xiàn)僵尸網(wǎng)絡(luò)發(fā)現(xiàn)、打擊及效果評(píng)估。

APT攻擊態(tài)勢(shì)感知

已知攻擊檢測(cè)，我們可以用入侵檢測(cè)設(shè)備，防病毒，但是針對(duì)目前越來越嚴(yán)重的APT攻擊，我們需要更先進(jìn)的技術(shù)手段和方法。威脅分析系統(tǒng)，可有效檢測(cè)通過網(wǎng)頁、電子郵件或其他的在線文件共享方式進(jìn)入網(wǎng)絡(luò)的已知和未知的惡意軟件，發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護(hù)客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風(fēng)險(xiǎn)，如敏感信息泄露、基礎(chǔ)設(shè)施破壞等。因此，在整個(gè)防護(hù)體系中，未知的0day攻擊，APT攻擊態(tài)勢(shì)感知，我們依靠未知威脅態(tài)勢(shì)感知傳感器通過對(duì)web、郵件、客戶端軟件等方式進(jìn)入內(nèi)網(wǎng)的各種惡意軟件進(jìn)行檢測(cè)，利用多種應(yīng)用層及文件層解碼、智能ShellCode檢測(cè)、動(dòng)態(tài)沙箱檢測(cè)及AV、基于漏洞的靜態(tài)檢測(cè)等多種檢測(cè)手段將未知威脅檢測(cè)并感知。如圖6。

　　脆弱性態(tài)勢(shì)

綠盟安全態(tài)勢(shì)感知平臺(tái)依托于漏洞掃描設(shè)備，對(duì)企業(yè)信息系統(tǒng)漏洞風(fēng)險(xiǎn)進(jìn)行評(píng)估，形成企業(yè)信息系統(tǒng)全生命周期的脆弱性態(tài)勢(shì)感知，協(xié)助企業(yè)做好系統(tǒng)上線前、后的風(fēng)險(xiǎn)態(tài)勢(shì)呈現(xiàn)，杜絕系統(tǒng)帶病入網(wǎng)、運(yùn)行，對(duì)存在風(fēng)險(xiǎn)的系統(tǒng)進(jìn)行及時(shí)的修補(bǔ)，并對(duì)修補(bǔ)后的再次審核結(jié)果進(jìn)行呈現(xiàn)，確保系統(tǒng)自身的安全運(yùn)行。

網(wǎng)站安全態(tài)勢(shì)

網(wǎng)站作為企業(yè)對(duì)外的窗口，面臨的安全威脅也最多，因此，有必要部署專門的網(wǎng)站監(jiān)控設(shè)備形成網(wǎng)站安全態(tài)勢(shì)監(jiān)控，同時(shí)與綠盟云端監(jiān)測(cè)服務(wù)相結(jié)合，監(jiān)控網(wǎng)站漏洞，平穩(wěn)度，掛馬，篡改，敏感內(nèi)容，并有效進(jìn)行運(yùn)維管理，從而避免因?yàn)榫W(wǎng)站出現(xiàn)問題導(dǎo)致公眾問題。

溯源追蹤

如何在海量網(wǎng)絡(luò)中追蹤溯源DDOS攻擊，網(wǎng)絡(luò)入侵攻擊是業(yè)界難點(diǎn)和重點(diǎn)，采用DFI模式開發(fā)網(wǎng)絡(luò)溯源系統(tǒng)，針對(duì)APT攻擊，DDOS攻擊，僵木蠕進(jìn)行有效的追蹤溯源。可以保證未知的攻擊的危害得到有效的溯源，如，DDOS攻擊可以溯源到鏈路，物理接口。APT溯源可以溯源到外泄了多少G的數(shù)據(jù)。僵木蠕溯源可以溯源CC主機(jī)的影響范圍。未來基于信譽(yù)情報(bào)，可以挖掘更多信息，重要的是，提供了在海量數(shù)據(jù)下的溯源難題。可以在低成本下，還原任何IP的流量。

網(wǎng)絡(luò)攻擊溯源追蹤具體包括以下兩個(gè)功能。

(一) 流量分析溯源

在企業(yè)的網(wǎng)絡(luò)中發(fā)生流量型的網(wǎng)絡(luò)安全事件時(shí)，并已確認(rèn)安全事件相關(guān)資產(chǎn)IP地址和時(shí)間段信息，此時(shí)通過系統(tǒng)該模塊可實(shí)現(xiàn)對(duì)該時(shí)間段、IP地址等相關(guān)的流量分析溯源取證；另外在企業(yè)發(fā)生流量型的安全事件時(shí)，也可通過該模塊中漸進(jìn)式數(shù)據(jù)挖掘、統(tǒng)計(jì)報(bào)表等子模塊實(shí)現(xiàn)流量攻擊的溯源和取證。

(二) 安全溯源

在企業(yè)的業(yè)務(wù)系統(tǒng)發(fā)生遭受網(wǎng)絡(luò)攻擊事件時(shí)，根據(jù)遭受攻擊的類型和安全溯源的需求，通過溯源追蹤實(shí)現(xiàn)DDoS溯源和僵木蠕溯源。

DDOS溯源： 企業(yè)發(fā)生DDoS攻擊時(shí)，可通過DDoS告警日志信息判斷網(wǎng)內(nèi)DDoS攻擊還是網(wǎng)內(nèi)向網(wǎng)外發(fā)起DDoS攻擊還是網(wǎng)外向網(wǎng)內(nèi)發(fā)起DDoS攻擊，進(jìn)而通過溯源功能確定DDoS發(fā)起IP地址及遭受攻擊的IP和業(yè)務(wù)系統(tǒng)。

僵木蠕溯源：定期對(duì)采集的企業(yè)各網(wǎng)絡(luò)區(qū)域流量信息進(jìn)行智能C&C主控分析，可溯源到企業(yè)網(wǎng)絡(luò)內(nèi)部與僵尸網(wǎng)絡(luò)通信的可疑“肉雞”；另外在其他安全檢測(cè)防護(hù)系統(tǒng)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)通訊時(shí)確定控制服務(wù)器IP和端口后也可通過該功能溯源企業(yè)內(nèi)僵尸主機(jī)情況。

關(guān)鍵技術(shù)及優(yōu)勢(shì)

靈活的數(shù)據(jù)采集

綠盟安全態(tài)勢(shì)感知平臺(tái)能夠采集多種數(shù)據(jù)源，包括但不限于網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器、網(wǎng)關(guān)等；安全設(shè)備，如防火墻、入侵防護(hù)、網(wǎng)閘、防毒墻等；安全系統(tǒng)，如身份認(rèn)證系統(tǒng)、集中授權(quán)系統(tǒng)等；應(yīng)用系統(tǒng)，如郵件系統(tǒng)、OA系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)等；業(yè)務(wù)系統(tǒng)，如ERP系統(tǒng)、CRM系統(tǒng)等。

所有接入數(shù)據(jù)源沒有品牌限制，沒有型號(hào)限制，任何設(shè)備都可采用Syslog、Webservice、Snmp等標(biāo)準(zhǔn)協(xié)議進(jìn)行數(shù)據(jù)采集。同時(shí)亦支持對(duì)于網(wǎng)絡(luò)Flow流數(shù)據(jù)的采集，支持Netflow等多種Flow協(xié)議。

同時(shí)，對(duì)于缺少數(shù)據(jù)發(fā)送功能的設(shè)備提供相應(yīng)的數(shù)據(jù)采集器。采集器旁路到網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)采集工作，包括網(wǎng)絡(luò)設(shè)備數(shù)據(jù)、安全設(shè)備數(shù)據(jù)、應(yīng)用系統(tǒng)數(shù)據(jù)等。

高效的數(shù)據(jù)存儲(chǔ)

針對(duì)數(shù)據(jù)的業(yè)務(wù)需求，按照數(shù)據(jù)的不同類型采用多種數(shù)據(jù)存儲(chǔ)機(jī)制。

l 分布式存儲(chǔ)

針對(duì)海量數(shù)據(jù)數(shù)據(jù)多源性、高速性、增長性等特點(diǎn)，同時(shí)滿足數(shù)據(jù)的安全性、穩(wěn)定性等要求，采用非結(jié)構(gòu)化的分布式存儲(chǔ)技術(shù)。這樣的技術(shù)能夠?qū)碜詳?shù)據(jù)端的數(shù)據(jù)請(qǐng)求分布在集群中的每個(gè)計(jì)算節(jié)點(diǎn)上進(jìn)行處理，極大的提高數(shù)據(jù)處理性能。

2 結(jié)構(gòu)化存儲(chǔ)

針對(duì)范式化的數(shù)據(jù)存儲(chǔ)，采用標(biāo)準(zhǔn)化的數(shù)據(jù)存儲(chǔ)方式，能夠?qū)⒁?guī)范有效的對(duì)數(shù)據(jù)進(jìn)行保存，同時(shí)能夠?qū)σ蠖ㄆ诟?、?shù)據(jù)結(jié)構(gòu)復(fù)雜、實(shí)時(shí)性要求高、且數(shù)據(jù)量不龐大數(shù)據(jù)給予很好的滿足。

3 索引存儲(chǔ)

滿足頻繁查詢數(shù)據(jù)且查詢結(jié)果快速呈現(xiàn)的需求，即數(shù)據(jù)的即席查詢。索引存儲(chǔ)作為即席查詢的底層技術(shù)支撐，能夠達(dá)到數(shù)億條記錄秒級(jí)返回200條結(jié)果的效果。

強(qiáng)大的分析引擎

平臺(tái)中預(yù)制圖計(jì)算引擎，流計(jì)算引擎，離線計(jì)算引擎，關(guān)聯(lián)分析引擎。這些預(yù)制引擎構(gòu)成分析平臺(tái)的核心功能并且對(duì)專項(xiàng)分析提供基礎(chǔ)能力，如風(fēng)險(xiǎn)分析、脆弱性分析、態(tài)勢(shì)分析、溯源分析。

分析引擎采用分布式進(jìn)行橫向擴(kuò)展，面臨海量數(shù)據(jù)量時(shí)能夠?qū)崿F(xiàn)按需擴(kuò)展，將分析引擎分散到其他更多的機(jī)器中，實(shí)現(xiàn)按需進(jìn)行計(jì)算資源擴(kuò)展。

多維可視化呈現(xiàn)

實(shí)現(xiàn)配置型可視化展現(xiàn)，安全分析人員不需要進(jìn)行代碼編輯便可將查詢結(jié)果以可視化方式進(jìn)行展現(xiàn)。以拖拽及配置方式進(jìn)行可視化呈現(xiàn)，同時(shí)儀表盤之間能夠?qū)崿F(xiàn)聯(lián)動(dòng)以及下鉆等強(qiáng)互動(dòng)性操作。

可視化展現(xiàn)支持多種常見圖形，如折線圖、餅狀圖、柱狀圖、條形圖等。同時(shí)支持對(duì)于復(fù)雜展示方式，如熱力圖、散點(diǎn)圖、圖標(biāo)疊加等。

不僅支持簡單的關(guān)鍵字查詢，同時(shí)在查詢中能夠進(jìn)行統(tǒng)計(jì)計(jì)算，包括平均值計(jì)算等在內(nèi)的多種運(yùn)算規(guī)則。查詢時(shí)能夠以多維度進(jìn)行篩選，例如時(shí)間維度、設(shè)備維度、數(shù)據(jù)類型維度等。支持圖形化查詢結(jié)果展示，關(guān)鍵字排序，關(guān)鍵字高亮等技術(shù)。對(duì)于關(guān)鍵字能夠?qū)崿F(xiàn)按需擴(kuò)充，對(duì)于缺少的關(guān)鍵字段能夠進(jìn)行補(bǔ)充擴(kuò)展。

靈活的應(yīng)用擴(kuò)展

提供APP store功能，所需安全應(yīng)用提供在線、離線安裝。分享來自全國安全專家親手炮制的安全分析應(yīng)用。安全應(yīng)用均有相應(yīng)團(tuán)隊(duì)進(jìn)行技術(shù)保障和技術(shù)升級(jí)，在使用過程中能夠與安全專家進(jìn)行經(jīng)驗(yàn)分享。安全應(yīng)用具備開箱即用功能，安裝安全應(yīng)用后能夠即可使用。

通過SDK包可以為企業(yè)量身打造安全分析應(yīng)用，不需要借助第三方公司企業(yè)自身便可進(jìn)行安全應(yīng)用的開發(fā)。同時(shí)安全應(yīng)用可上傳至云端綠盟安全應(yīng)用市場(chǎng)由安全專家檢驗(yàn)該應(yīng)用的可用性及通用性。