控制台
实名认证
中国站
登录
方案描述
Scheme description
- 依托浪潮云平台IaaS及PaaS服务,浪潮云联合生态伙伴共同打造安全态势感知解决方案。本方案借鉴了美国爱因斯坦计划和持续监控计划的成熟经验,对现有成熟的网络安全技术能力进行组合、完善,可以实现安全态势感知、安全威胁预警、攻击溯源追踪、重要资产管理、安全运营服务等核心功能。
方案业务架构
Scheme business architecture
系统按照数据接入、分析预警、告警展示、态势感知功能过程进行设计其中态势感知包括网络入侵态势感知、异常流量态势感知、僵木蠕传播态势感知、高级恶意威胁检测、网站安全态势感知、系统漏洞态势感知六部分。数据接入源包括入侵检测/防护系统、流量分析系统、网站安全监测/防护系统、流量分析系统、漏洞扫描系统、未知威胁检测系统。
流量接入后首先经过入侵检测/防护系统处理后,Netflow数据转发到流量分析系统处理后经过底层大数据平台分析,到达态势感知平台;未识别的恶意文件转发到未知威胁检测系统,处理后经过底层大数据平台分析,到达态势感知平台。网站安全检测系统、漏洞扫描系统结果数据接入经脆弱性分析模块到达态势感知平台,由态势感知平台统一展示,整体流程如下图所示:
方案技术架构
Scheme Technology Architecture
态势感知平台整体分为四层,采集、存储分析层、展示层四部分。
采集层
部署各种采集探针、包括网络入侵探针、异常流量探针、僵木蠕探针、系统漏洞探针、网站安全探针五种类型探针,用于数据采集。
数据处理层
部署大数据处理引擎,用于采集上来的数据进行处理、存储。
应用分析层
部署各分析子系统及溯源追踪子系统,用于分析各类安全数据,为上层门户做支撑。
展示层
部署态势感知呈现门户,用于底层分析结果呈现。
部署各种采集探针、包括网络入侵探针、异常流量探针、僵木蠕探针、系统漏洞探针、网站安全探针五种类型探针,用于数据采集。
数据处理层
部署大数据处理引擎,用于采集上来的数据进行处理、存储。
应用分析层
部署各分析子系统及溯源追踪子系统,用于分析各类安全数据,为上层门户做支撑。
展示层
部署态势感知呈现门户,用于底层分析结果呈现。
方案业务场景
Scenario business scenario
- 网络入侵态势感知
- 异常流量态势感知
- 僵木蠕态势感知
- 系统漏洞态势感知
- 网站安全态势感知
浪潮云经过多年的研究,提出“基于对抗的智能态势感知预警模型”,形成“入侵攻击推理引擎”,取得较好的网络入侵态势感知效果。尤其是对“基于对抗的智能态势感知预警模型”的相关研究,团队吸收了 “杀伤链”(Kill Chain)和“攻击树”(Attack Tree)等相关理论,形成了独有的推理决策引擎,借助大数据安全分析系统的分布式数据库,可以实现网络入侵态势感知。
经过实际测试,在网络带宽1Gbps的典型环境中,入侵检测系统每日的日志在20万条左右,经过“入侵威胁感知引擎”分析处理后,形成500个左右的威胁事件,再经过“APT攻击推理引擎”分析处理后,仅仅形成10-20个攻击成功的事件。数据压缩率达到万分之一,大幅节省数据处理的时间成本和人工成本。
快速选配套餐
Quick selection package
| 类别 | 产品 | 参数 | 数量 |
|---|---|---|---|
| 云上资源 | 态势感知基础平台 | 支持接入不超过30点日志源并监控资源 | 1 |
| 态势感知展示模块 | 平台数据展示模块 | 1 | |
| 网站安全态势感知APP | 提供网站安全态势监控分析服务 | 1 | |
| 安全威胁情报APP | 提供安全威胁情报信息 | 1 | |
| 专家服务 | 安全事件人工分析服务 | 安全专家对当前态势或突发事件进行分析,指导客户进行安全加固,避免攻击产生,造成损失。 | 1 |
| 类别 | 产品 | 参数 | 数量 |
|---|---|---|---|
| 云上资源 | 态势感知基础平台 | 支持接入不超过100点日志源并监控资源 | 1 |
| 态势感知展示模块 | 平台数据展示模块 | 1 | |
| 网站态势感知APP | 提供网站安全态势监控分析服务 | 1 | |
| 入侵态势感知APP | 提供入侵态势监控分析服务 | 1 | |
| 漏洞态势感知APP | 提供漏洞态势监控分析服务 | 1 | |
| 安全威胁情报APP | 提供安全威胁情报信息 | 1 | |
| 专家服务 | 安全事件人工分析服务 | 安全专家对当前态势或突发事件进行分析,指导客户进行安全加固,避免攻击产生,造成损失。 | 1 |
| 类别 | 产品 | 参数 | 数量 |
|---|---|---|---|
| 云上资源 | 态势感知基础平台 | 支持接入不超过200点日志源并监控资源 | 1 |
| 态势感知展示模块 | 平台数据展示模块 | 1 | |
| 网站态势感知APP | 提供网站安全态势监控分析服务 | 1 | |
| 入侵态势感知APP | 提供入侵态势监控分析服务 | 1 | |
| 漏洞态势感知APP | 提供漏洞态势监控分析服务 | 1 | |
| 异常流量态势感知APP | 提供异常流量态势监控分析服务 | 1 | |
| 僵木蠕态势感知APP | 提供僵木蠕态势监控分析服务 | 1 | |
| 安全威胁情报APP | 提供安全威胁情报信息 | 1 | |
| 专家服务 | 安全事件人工分析服务 | 安全专家对当前态势或突发事件进行分析,指导客户进行安全加固,避免攻击产生,造成损失 | 1 |
方案优势
Scheme advantage
深度包检测技术(DPI)与深度流检测技术(DFI)相结合
深度包检测技术对比传统检测技术,加入了应用层分析,能够准确识别各种应用。基于DPI技术,可以精准识别各种网络入侵、僵木蠕等事件。深度流检测技术基于流量行为的应用识别技术,不同的应用类型体现在会话或数据流上的状态不同,可以实现基于应用的流量异常检测。深度包检测技术与深度流检测技术各有优劣,在安全态势感知平台中,两者皆有应用,取长补短,利用深度包检测技术对流量中的具体应用类型和协议进行精确识别,用于网络入侵态势感知、僵木蠕态势感知。而深度流检测技术擅长针对流量进行分析,处理速度比深度包检测技术快,且维护成本低,用于异常流量态势感知,采用了深度包检测的DDoS监控设备1台就可以达到同类厂商10台的检测能力。
已知威胁检测技术与未知威胁检测技术相结合
随着攻击手段的发展,单单使用基于特征的已知威胁检测能力已经不够了,面临着如今APT攻击频发的状况,浪潮云态势感知平台利用沙箱技术实现对未知威胁检测能力,提高了对新攻击手段和技术的识别能力,并为APT攻击发现提,提高安全事件发现能力。
安全事件分析引擎与攻击链模型相结合
通过安全事件分析引擎,将安全告警日志整合成安全事件,大幅度减少安全数据处理工作量;基于攻击链模型,将安全事件还原成黑客攻击的过程,形成证据链,提高调查取证能力。
大数据安全分析技术与数据可视化技术相结合
利用大数据安全分析技术,对海量数据进行汇总分析,并结合数据可视化技术,实现攻击行为可视化,线索可视化。
合作伙伴
Recommended products
