免费注册

方案描述

Scheme description
  • 浪潮云借鉴了美国爱因斯坦计划和持续监控计划的成熟经验,对现有成熟的网络安全技术能力进行组合、完善,形成了浪潮云安全态势感知解决方案。此方案可以实现安全态势感知、安全威胁预警、攻击溯源追踪、重要资产管理、安全运营服务等核心功能。

方案业务架构

Scheme business architecture

系统按照数据接入、分析预警、告警展示、态势感知功能过程进行设计其中态势感知包括网络入侵态势感知、异常流量态势感知、僵木蠕传播态势感知、高级恶意威胁检测、网站安全态势感知、系统漏洞态势感知六部分。数据接入源包括入侵检测/防护系统、流量分析系统、网站安全监测/防护系统、流量分析系统、漏洞扫描系统、未知威胁检测系统。
流量接入后首先经过入侵检测/防护系统处理后,Netflow数据转发到流量分析系统处理后经过底层大数据平台分析,到达态势感知平台;未识别的恶意文件转发到未知威胁检测系统,处理后经过底层大数据平台分析,到达态势感知平台。网站安全检测系统、漏洞扫描系统结果数据接入经脆弱性分析模块到达态势感知平台,由态势感知平台统一展示,整体流程如下图所示:

方案技术架构

Scheme Technology Architecture
态势感知平台整体分为四层,采集、存储分析层、展示层四部分。
采集层
部署各种采集探针、包括网络入侵探针、异常流量探针、僵木蠕探针、系统漏洞探针、网站安全探针五种类型探针,用于数据采集。
数据处理层
部署大数据处理引擎,用于采集上来的数据进行处理、存储。
应用分析层
部署各分析子系统及溯源追踪子系统,用于分析各类安全数据,为上层门户做支撑。
展示层
部署态势感知呈现门户,用于底层分析结果呈现。

方案业务场景

Scenario business scenario
  • 网络入侵态势感知
  • 异常流量态势感知
  • 僵木蠕态势感知
  • 系统漏洞态势感知
  • 网站安全态势感知

浪潮云经过多年的研究,提出“基于对抗的智能态势感知预警模型”,形成“入侵攻击推理引擎”,取得较好的网络入侵态势感知效果。尤其是对“基于对抗的智能态势感知预警模型”的相关研究,团队吸收了 “杀伤链”(Kill Chain)和“攻击树”(Attack Tree)等相关理论,形成了独有的推理决策引擎,借助大数据安全分析系统的分布式数据库,可以实现网络入侵态势感知。
经过实际测试,在网络带宽1Gbps的典型环境中,入侵检测系统每日的日志在20万条左右,经过“入侵威胁感知引擎”分析处理后,形成500个左右的威胁事件,再经过“APT攻击推理引擎”分析处理后,仅仅形成10-20个攻击成功的事件。数据压缩率达到万分之一,大幅节省数据处理的时间成本和人工成本。

快速选配套餐

Quick selection package
类别 产品 参数 数量
云上资源 态势感知基础平台 支持接入不超过30点日志源并监控资源 1
态势感知展示模块 平台数据展示模块 1
网站安全态势感知APP 提供网站安全态势监控分析服务 1
安全威胁情报APP 提供安全威胁情报信息 1
专家服务 安全事件人工分析服务 安全专家对当前态势或突发事件进行分析,指导客户进行安全加固,避免攻击产生,造成损失。 1

方案优势

Scheme advantage

深度包检测技术(DPI)与深度流检测技术(DFI)相结合

深度包检测技术对比传统检测技术,加入了应用层分析,能够准确识别各种应用。基于DPI技术,可以精准识别各种网络入侵、僵木蠕等事件。深度流检测技术基于流量行为的应用识别技术,不同的应用类型体现在会话或数据流上的状态不同,可以实现基于应用的流量异常检测。深度包检测技术与深度流检测技术各有优劣,在安全态势感知平台中,两者皆有应用,取长补短,利用深度包检测技术对流量中的具体应用类型和协议进行精确识别,用于网络入侵态势感知、僵木蠕态势感知。而深度流检测技术擅长针对流量进行分析,处理速度比深度包检测技术快,且维护成本低,用于异常流量态势感知,采用了深度包检测的DDoS监控设备1台就可以达到同类厂商10台的检测能力。

已知威胁检测技术与未知威胁检测技术相结合

随着攻击手段的发展,单单使用基于特征的已知威胁检测能力已经不够了,面临着如今APT攻击频发的状况,浪潮云态势感知平台利用沙箱技术实现对未知威胁检测能力,提高了对新攻击手段和技术的识别能力,并为APT攻击发现提,提高安全事件发现能力。

安全事件分析引擎与攻击链模型相结合

通过安全事件分析引擎,将安全告警日志整合成安全事件,大幅度减少安全数据处理工作量;基于攻击链模型,将安全事件还原成黑客攻击的过程,形成证据链,提高调查取证能力。

大数据安全分析技术与数据可视化技术相结合

利用大数据安全分析技术,对海量数据进行汇总分析,并结合数据可视化技术,实现攻击行为可视化,线索可视化。

合作伙伴

Recommended products
我可以为您提供哪些帮助?
  • 您需要什么帮助么?-

    立即咨询 >

  • 电话咨询

    售前:400-607-6657
    售后:400-619-2176(政务云)
    售后:400-603-1123(企业云)
       7*24小时服务

  • 联系邮箱

    cloud@inspur.com