从概念到架构——详细解析态势感知系统
2018年,全球知名的社交平台Facebook一年出现两次大型数据泄露事件,总泄露客户信息高达到7900万条。而安德玛、万豪集团、华住集团等也相继有媒体爆出严重的信息泄露事件。但上述事件仅仅是网络安全事件的冰山一角,全球网络安全形势日趋严峻,影响的范围也更加广泛。根据IDC市场调研发现,仅有13%的企业级用户使用了自动化防御技术,且应用程度有限。
企业级用户一旦遭受攻击威胁将直接影响业务正常运营,造成难以计量的严重后果。而企业和组织对自身业务及其对应的安全威胁的感知与发现能力不足,是网络安全问题不断、安全响应和处置严重滞后的关键短板。
安全态势感知可以理解为客户的安全大脑,是一个集检测、预警、响应处置为一体的大数据安全分析平台。其以全流量分析为核心,结合威胁报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,实现威胁可视化、攻击与可疑流量可视化等功能。可有效帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。
态势感知(Situational Awareness/Situation Awareness,SA)的概念最早在军事领域被提出。目前是大数据安全领域规模增长最迅速的产品。态势感知的市场规模从2017年开始,就在以每年25%的速度增长。目前的态势感知平台分为政府部门使用的监管平台和企业使用的实施监测预警平台。而国外一般不谈态势感知系统,多称为威胁管理、威胁发现产品,并把网络安全态势感知作为由多个系统、工具整合实现的状态效果。
目前的态势感知平台分为政府部门使用的监管平台和企业使用的实施监测预警平台。但在不同的行业中,也有不同的核心技术需求:
- 金融行业有着更多的业务场景,注重关联分析能力、威胁告警精确度、用户行为分析能力;
- 运营商的SOC(Security Operation Center)除了关注自身的安全,也会注重利用本身的数据资源优势,拓宽行业市场;
- 能源行业的IT种类繁多,非常注意安全生产,因此看重产品的兼容性、可连续性;
- 政府机构关注对外部攻击防范、高级威胁检测。
但总的来说,态势感知(SA)目前理论上主要分为以下三个部分:
对环境元素的感知 对状态的的理解 对未来状态的预测
为了可以更好地理解态势感知,我们可以先来看一下态势感知会涉及到的一些专业术语:
攻击者视角:站在黑客攻击场景上获取的攻击告警、威胁等运营数据
防御者视角:站在甲方安全视角上主动获取到的防御引擎部署情况、漏洞信息等运营数据
告警事件:由DDoS检测引擎、主机安全检测引擎、全流量检测引擎发现的高价值安全事件
威胁事件:通过京东云提供的基于安全威胁模型大数据关联的新型攻击事件,包含实时分析事件、离线分析事件
引擎覆盖率:由网络入侵检测引擎、DDoS基础防护检测引擎和主机安全检测引擎启动覆盖率组成,网络入侵检测引擎启动覆盖率=已开启NIDS监控的公网IP数量/当前用户下所有公网IP数量,主机安全检测引擎启动覆盖率=已安装主机安全软件云服务器数量/当前用户下所有云服务器数量,DDoS基础防护启动覆盖率默认为100%,用户无法手工调整。权重为1:1:1,引擎开启监控的覆盖率越高,其捕捉安全事件的能力越强,故使用安全引擎覆盖率量化衡量其开启率。最佳实践为100%
主机漏洞:主机系统方面漏洞
网站漏洞:主要针对web网站相关的漏洞
云环境下的安全态势感知
通常企业和政府机构在面临安全问题时,就像暗夜中的武侠与刺客。虽然双方各有高招,但奈何“看不见”、“摸不着”,多数时候只能靠着感觉或被刺伤后才能发现对方的存在。
借助京东在大数据上的优势,京东云Cloud Situation Awareness(CSA) V4.0在公有云计算的环境下,在用户充分授权的情况下,收集各个安全组件的海量数据,通过大数据关联分析和机器学习技术,从全局视角提升用户对安全威胁的发现识别、理解分析和响应处置,最终帮助用户提高安全决策的能力。
CSA产品优势
安全感知能力
通过收集云上安全组件,全面感知已知/未知威胁的能力——针对自动化攻击,通过大数据实时关联分析技术,使用安全威胁模型获取黑客入侵的蛛丝马迹。
态势感知大数据分析处理工作流
安全理解能力
通过云上安全组件提供的海量日志,从中关联分析出安全运维人员能理解的安全事件的能力——针对APT攻击,通过大数据离线关联分析技术,监控长期潜伏的高级黑客攻击事件。
7天告警事件分析
安全预测能力
通过机器学习或者深度学习等AI技术,预测云上资产将要发生的威胁的能力——通过威胁情报、动态行为分析、机器学习异常检测具备未知威胁发现的安全能力。
京东云为用户提供的大数据安全分析产品,通过数据建模、行为学习、情报关联分析,可全面洞悉安全全景、发现入侵和攻击威胁,帮助客户建设自己的安全监控和防御体系。为用户带来:全方位态势和可视化感知,不论是企业或是政府机构,都可以切实地体会到“安全感”。
典型用户架构
对比传统安全,态势感知利用大数据,可对高级攻击者使用的0day漏洞攻击进行防御;同时,可对各种潜在威胁及时识别汇报;从网络层到主机层再到应用层,让安全成为一个整体,增强全局的可见性。
相比公有云中小型租户的低门槛、易操作需求,对于公有云大型租户而言未知威胁检测能力和深度应急响应能力是关键。
传统的SOC,关联分析和数据存储,都使用的类似Oracle等关系型数据库错数据存储,关联分析也是通过传统SQL语句查询来实现的。但京东云采用新型的SOC安全管理平台,使用先进的大数据存储和分析技术,在毫秒级的查询响应时间,秒级的关联分析。可实现企业架构灵活部署、安全数据全面接入,为用户提供全面的威胁情报。
企业级租户架构图
适合于政务部门的网络安全态势感知系统,实质就是努力实现对政务部门网络系统的整体安全状态的7*24小时实时监控,从资产、攻击、漏洞、运行、威胁和风险各个维度全方位感知整个网络系统的安全状态与发展趋势。
通过专有云态势感知设备和公有云太适合感知进行联动,统一威胁情报管理,可有效提升威胁入侵行为的排查效率。定制化安全大屏再将数字转化为信息,直观呈现网络安全状态也可有效保证安全事件能够得到及时的关注并进行及时处置。
政务级租户架构图
总结
Data All in One / SOC on Cloud / Build Security Capacity
京东云安全态势感知解决方案以大数据技术架构为核心开发的集安全要素获取、分析、处理、跟踪、预测为一体的全流程安全解决方案。结合机器学习、云端情报联动等技术,实现对整体网络的安全态势感知。但我们也相信,随着网络恶意攻击的“商业化”,云上的安全态势感知系统还将会迎来更多的升级与变化。
==================================================
点击“京东云”,可了解更多安全产品信息哦~
欢迎点击“京东云”了解更多精彩内容。
从概念到架构——详细解析态势感知系统相关推荐
- 【学习笔记】《网络安全态势感知》第二章:网络安全态势感知系统及案例
文章目录 2.1 网络安全态势感知系统的功能结构 2.1.1 特征信息提取 2.1.2 当前状态分析 2.1.3 发展趋势预测 2.1.4 风险评估 2.1.5 模型及管理 2.1.6 用户交互 2. ...
- 微博态势感知系统开发——django实现
本文详细介绍并实践了微博态势感知系统开发的过程,其基于django实现. 系统框架如下所示: 本文主要使用以下技术: 1.web前端开发知识--html.css.javascript 2.web前端框 ...
- 决策引擎系统 实时指标计算 风险态势感知系统 风险数据名单体系 欺诈情报体系
文章目录 实时指标计算 风险态势感知系统 基于统计分析的方法 核心风控指标数据 核心业务数据 基于无监督学习的方法 基于欺诈情报的方法 预警系统 风险数据名单体系(名单库) 欺诈情报体系 数据情报 技 ...
- 华为发布基于自进化AI的HiSec Insight安全态势感知系统
2020年4月21日,华为举办"安全新视界,AI知未然"主题线上发布会,邀请第三方研究机构.行业客户和合作伙伴共同探讨安全态势感知系统的演进方向,并见证华为HiSec Insigh ...
- 360推出国内首个工业互联网安全态势感知系统
2月20日,由中国信息通信研究院和工业互联网产业联盟联合主办的2017工业互联网峰会在北京召开.近几年来,随着工业4.0概念的不断深入和落地,越来越多的工业企业开始接入互联网,生产设备.管理系统.业务 ...
- 案例▍大数据可视化 “灵鲲”态势感知系统中的理论与实践
36大数据 -数据可视化专栏 作者| 潘洛斯团队 |腾讯大数据可视化项目组 在大数据时代,数字化转型已经成为行业迫切的需求.2016-2018年金融.医疗.政府.安全等行业在大数据方向上的投入持续增 ...
- 《网络安全态势感知》学习笔记(一)——网络安全态势感知系统
文章目录 1. 网络安全态势感知系统的功能结构 2. 关键技术 2.1 数据采集与特征提取 2.2 攻击检测与分析 3. 态势评估与计算 4. 态势预测与溯源 1. 网络安全态势感知系统的功能结构 * ...
- 新华三发布最新安全态势感知系统
12月8日,以"感知安全·智御未来"为主题的2017合肥网络安全大会在合肥隆重召开,本次大会汇聚了各界精英人士,共同探讨了当前的网络安全产业趋势与发展策略.新华三集团安全产品线首席 ...
- 新一代态势感知系统发布——北望
为应对日益复杂的网络安全态势,提升行业用户整体安全运营能力, 3月31日紫光股份旗下新华三集团正式发布"北望"新一代态势感知系统,充分释放"云智原生"的全栈技术 ...
最新文章
- android wifi工作流程
- android nv21图片格式,Android -- 将NV21图像保存成JPEG
- 无法从服务器获得响应,什么是java.io.EOFException的,消息:无法从服务器读取响应。 预期读4个字节,...
- 前后端开发的心得体会_社招后端三面总结以及学习经验感言(操详细)
- matlab有限域多项式除法_MATLAB极小值优化
- rpc服务器进不了系统,Win7系统RPC服务器不可用怎么解决?
- homestead修改php版本
- java面经合集(面试遇到的)
- linux下Sublime的安装使用
- 关于javaweb中的流媒体
- 关于SQLite创建视图
- np.eye()和np.identity()
- win10系统一键安装教程
- asp是什么, javascript和php,asp区别,什么是 JavaScript 引擎, nodejs和vuejs的关系,nodejs和javascript区别
- 利用普普通通的游戏引擎实现普普通通的电梯调度算法
- 利用Olami SDK 实现语音控制计算器(iOS)
- 吃粽子html5游戏,端午先玩个小游戏,再去吃粽子吧~
- 服务器受到勒索病毒威胁我们要怎么处理?
- 华为ospf模拟器命令笔记(1)
- 云讯健身管理系统-11--NUXT和Redis