政府行业-服务商版锐捷BDS大数据安全态势感知解决方案-LSW课件.pptx

1、方案介绍01对深度攻击行为的发现能力l 随着安全技术的不断发展，安全攻击威胁越来越向常态化、隐蔽化发展，这让用户网络安全形势日益严峻。安全组件之间整体协同能力l 如何实现“人+平台+设备”的有机结合及高效协同，跨越安全设备到真正安全之间的鸿沟，是安全防护体系建设中极为关键的一环。对未来安全态势的感知能力l 安全攻防战本质上是时间战，获得时间优势就掌握了安全战场上的主动权，如何实现对安全威胁态势的提前预测至关重要。安全状态的可视化评估能力l 网络不存在百分之百的安全，当攻击成本远大于利益获取时，网络安全就可以得到保障，如何进行安全状态的量化评估非常关键。威胁态势 可预测安全状态 可度量核心能力攻

2、击行为 可发现安全防护 可协同云端威胁情报中心情报同步云安全分析中心智能分析、预测预警RG-BDS 大数据安全分析平台安全分析海量存储关联分析机器学习安全预警与处置告警管理知识库工单跟踪脆弱性管理风险管理漏洞管理探针采集 用户精细化行为 用户应用审计流量采集UAC 内网/出口 探针海量存储行为审计沙箱分析安全沙箱 模拟分析日志采集网络日志安全日志应用日志终端日志漏扫日志系统日志安全协防网络与安全设备安全防护威胁阻断分析结果 模拟运行 结果分析信息采集 日志采集 防护日志 运行日志安全协防 联动协防 及时阻断威胁数据威胁数据基础设施：实施安全防护、信息采集大数据安全平台：实现安全分析、预警、管理

3、云端中心：防范未知威胁，提升分析能力对风险文件模拟运行，结果导向防范未知威胁。多类型海量日志的结构化存储与分析基于流量的安全分析，实现业务维度的精细化分析实现对网络风险的主动防御锐捷安全态势感知解决方案，基于“可发现”、“可预测”、“可协同”“可度量”能力构建为出发点，整体方案设计分为三层：安全信息采集层、安全分析管理层、云端协同处理层。在安全信息采集层方面:不同的网络设备、安全设备，服务器等组件构成了用户网络的基础，同时获取了大量的安全基础信息，锐捷安全态势感知解决方案，充分考虑业务流量采集、未知威胁信息采集、安全日志信息采集三个维度，进行多维度的安全信息获取。在流量采集层面，通过UAC探针

4、部署于服务器区及出口区，对重要业务流量进行识别审计，同时将安全信息实时同步至BDS安全分析平台，实现对业务安全的建模和综合分析。而对于未知威胁的防范，传统基于特征码的检测方式，必须在威胁文件获取及分析识别后才能部署，有天然的滞后性，导致无法应对0day等类型攻击，为此基于安全沙箱的安全分析通过模拟各类运行环境通过实际运行，从运行结果判定文件的风险程度，很好弥补了传统特征码检测方式的不足，同时BDS大数据分析平台依据从沙箱分析同步的结果，进行综合性关联分析，应对未知威胁风险，除兼容第三方沙箱产品外，锐捷安全沙箱产品也预计于下半年正式上市。在日常网络中的发生的大部分安全事件在日志中或多或少都会留下

5、痕迹，但随着网络规模的越来越大，如何高效利用海量日志数据成为难题，一般规模的业主单位，一天网络日志条目数至少数上百万条，靠管理员人工分析显示是不现实的，为此锐捷安全态势感知方案中，将日志作为非常重要的安全信息来源，通过海量的日志采集、存储、分析实现对安全事件的深度关联分析，最大程度挖掘日志的安全价值。安全分析管理层，依托于锐捷BDS大数据安全分析平台为核心组件，通过对所有采集到的安全信息进行高效的存储及建模分析，实现对网络安全风险的精准定位，对于BDS核心组件平台的功能设计，将在后面进行重点讲解。云端协同处理层:锐捷态势感知方案的云端协同处理层也同时包含了云端威胁情报中心与云安全分析中心，通过

6、威胁情报中心最新安全情报的信息同步，实现对用户网络最新威胁风险的实时监测预警，同时云安全分析中心支持预警下发、模型库在线升级、安全专家远程支持等多种服务能力。实现对用户网络全面的安全分析及态势感知。解决方案一句话描述解决方案一句话描述：整体方案实现了海量数据收集并标准化，构建安全大数据仓库；日志、资产、漏洞关联分析，直击要害问题；工单系统+知识库，简单闭环安全问题；量化呈现安全业绩，实时跟踪安全态势。详细描述见如下框图内容。方案组件简述方案组件简述：省局/市局部署RG-BDS：包含可选的RG-BDS-S超级日志版软件、RG-BDS-A增强版软件、RG-BDS-C基础版软件、RG-BDS 100

7、0E-C基础版硬件（-S和-A用集群节点授权RG-BDS-Cluster-LIS-1、另外还包括RG-BDS-X-LIS-1Y: A/C/1000E-C的服务授权、监控节点授权RG-BDS-LIS-100）区县局基层单位部署日志采集器：RG-BDS-collect提供基础网络环境下各类日志信息的集中采集。区县局基层单位部署探针RG-UAC-6000-E系列：提供服务器区应用访问及出口区行为审计数据的采集。 大数据架构底层设计，支持大规模网络的弹性扩展 多维度、海量安全信息的采集、存储、建模、分析 丰富的场景化安全分析模型，实现安全风险的精准定位兼容开放收集全网多维度安全信息，通过大数据关联分析

8、实现安全事件分析、溯源、预警产品特点安全分析态势感知信息采集建模分析预警预测面临主要的问题：l 越来越庞大的安全信息如何高效的存储、范式化以及利用？l 如何构建更适合用户场景的分析规则 ?安全信息网络设备安全设备操作系统中间件数据库应用系统终端管理按需扩展基于安全模型的分析 安全问题定位 安全信息获取 灰色框的需要与Hadoop版本结合使用系统技术架构的重构：l基于ES技术的底层设计，解决海量数据的高效存储及分析l在超大规模场景中，ES也可以配合Hadoop平台同时使用标准化MapReduce漏洞数据运行状态设备告警系统特性.日志采集数据对象安全数据采集安全脆弱性感知可用性感知信息补齐数据清洗

9、数据压缩HDFSSparkHivePigSqoopZooKeeperElasticSearch 集群全文检索机器学习查询分析风险感知攻击检测预警预测历史挖掘关联分析安全策略库基础数据安全数据分析数据安全分析大数据技术数据处理数据对象ElasticSearch 索引l 多类型的日志兼容能力，BDS已内置60多个厂商，180多款设备的日志支持，涵盖业界主流厂商网络设备、安全设备、操作系统、中间件等。l 未标准化设备，在系统收集日志样本后，可快速完成定制开发全网日志统一收集兼容第三方厂商事件名称发生时间源IP地址源端口严重级别目的用户协议将原始日志标准化安全设备服务器数据库网络设备应用系统统一收集厂

10、商策略系统类型安恒安恒 WAF安恒 WAF铱迅Yxlink WAFYxlink WAF启明Venustech USG FWVenustech USG FW天融信Topsec FirewallTopsec Firewall绿盟NSFocus IDSNSFocus IDS华为Huawei USG9310Huawei Eudemon华为Huawei NetworkHuawei Router/Switch山石HillStone FirewallHillStone Firewall华三H3C NetworkH3C Network华三H3C FirewallH3C Firewall迪普Dptech FW1

11、000 TSDptech FW1000 TS思科Cisco NetworkCisco Router/SwitchArubaAruba ACAruba ACDB2DB2DB2SybaseSybaseSybaseORACLEOracle Database 10gOracle 10MysqMySQLMySQL操作系统SCO UnixSCO UNIX.内置安全分析模型（云端可持续增添，也可随威胁情报自动建立新的分析模型）基线违规系统漏洞日志分析提供多维度的安全分析能力，目前内置100+安全分析模型，实现安全深度分析，做到安全问题的实时追踪、溯源和举证，满足综合安全分析要求。威胁情报流量分析区县A区县B

12、市局（统一安全分析平台）纵向网分布式日志采集器支持总分部署方案，满足市局对区县的安全信息采集与分析需求，通过平台（部署在市局）+采集器（部署在区县），实现分布式日志采集、统一安全分析需求。系统漏洞扫描模块，内置48000+漏洞检查插件，可实现对关键系统及设备的漏洞检测，为系统安全加固提供重要参考。漏洞扫描应用系统中间件操作系统安全设备网络设备数据库内置漏洞扫描插件 系统自带基线检查模块，内置45个基线检查模型，实现对关键系统及设备的基线违规检测，指导用户进行网络安全风险评估，同时为安全加固提供建议。任务制定采集分析违规报告系统加固基线策略内置基线检查模型为满足不同用户对漏洞评估的差异化需求，对

13、支持检测结果外发的外置漏洞扫描系统，BDS同时提供兼容支持，通过漏洞扫描信息的采集，实现更全面的安全分析，满足不同场景安全需求。外置漏扫RG-BDSl 非单一banner方式扫描，最大限度减少误报主要特色点l 支持移动设备、打印机等特殊设备扫描l 漏洞库50000+，业内领先水平l 可扫描IP地址数不限l 最大并发200l 支持万兆接口锐捷RG-Scan漏洞评估系统系统内置安全知识库模块，涵盖十几万条安全知识条目，指导客户进行安全问题的处理，同时系统内置工单系统，帮助用户实现安全问题的跟踪闭环知识库安全基线库日志配置知识日志知识安全经验漏洞库威胁发现安全感知预警平台威胁处理安全知识库威胁复查安

14、全感知预警平台威胁统计信息中心内置知识库基于规则分析类业务失陷分析行为合规审计典型攻击监测结合安服类深度威胁检测场景化分析模型构建基于经验学习类攻击趋势异常分析会话趋势异常分析基于规则模型安全分析类01通过部署UAC流量探针，对服务器会话流量进行深度识别，将流量审计日志发送到BDS进行综合关联分析，实现对失陷服务器及业务的安全监测云端威胁情报中心情报同步BDS 大数据安全分析平台分析引擎指示器（特征）黑域名黑IP文件MD5值威胁特征l 异常流量日志（包含域名、IP）l 会话日志l 应用识别日志UAC 探针 UAC 内网/出口 探针/日志流量日志行为审计失陷业务监测分析分析输出旁路镜像数据中心接

15、入前端流量探针组件黑域名异常DNS解析黑 IP异常会话连接邮件服务器恶意攻击者员工密码泄露，非法登录邮箱向外大量垃圾邮件安全事件描述：l 某大型国企出现职工邮箱密码泄露事件，非法者通过登录员工泄露邮箱，向外发送了大量垃圾邮件，由于缺乏有效监测方案，只能被动响应。l 正值两会保障期间，如果邮件发送的内容涉及敏感信息，则影响尤其严重，另外密码泄露也带来了严重的内部数据外泄风险。l 虽然用户网络中有防垃圾邮件设备，但主要应对从外向内的垃圾邮件，从内向外发送的邮件，由于源邮箱地址合法，很难准确识别。垃圾广告违法言论.部署效果：通过BDS+UAC探针部署模式对邮件业务流量进行分析，部署一个月，通过BDS

16、分析在用户网络中共发现失陷邮箱 10 例，第一时间进行密码修改处理，大大降低了网络安全隐患。邮箱失陷告警失陷邮箱发送邮件记录事件描述：为实现对网络中重点安全事件的实时分析，BDS与用户现场探针进行对接，在海量安全日志环境中，BDS通过建模对目前重点安全威胁进行监测，上线一天，BDS即发现“勒索病毒”失陷主机，并第一时间进行威胁告警，同时结合BDS漏洞检测模块，协助客户进行风险排查和安全加固。 基于用户场景不断致力于场景化分析规则的构建其他分析规则l 跳板行为访问分析模型l 堡垒机绕行分析模型l 密码猜测成功分析模型l 弱口令扫描分析模型l 虚拟机漂移检测模型.基于机器学习的异常分析类02050

17、01000150020002500300035003/5/183/6/183/7/183/8/183/9/18网络攻击趋势图攻击经验曲线当前攻击曲线安全设备对针对服务区的网络攻击事件进行监测，BDS进行攻击监测及经验曲线学习，当监测服务器会话出现异常，超过经验曲线基准指定阈值后，进行安全异常预警。RG-BDS2攻击曲线建立：指定时间段模型曲线学习网络攻击趋势异常告警安全设备1信息采集：网络攻击日志超过基准指定百分比服务器区交换机失陷服务器流量监测安全攻击事件描述：l南方某用户，4月9日出现归并次数200万+的“网络攻击行为异常”严重级别告警，目标为对外服务的网站群地址网络攻击行为异常策略逻辑：

18、l 基于机器学习，收集全网网络攻击日志至少4个周，绘制经验曲线并与实时曲线匹配，当超过300%阈值（可调）时触发告警1次，告警次数累计追加结合安全咨询服务深度分析03安全事件描述：l通过BDS日志分析发现黑客利用韩国服务器与XX文理学院X.X.X.13服务器进行连接，此连接信息与利用“永恒之蓝”漏洞发送木马到目标服务器的手法很相似，一旦目标主机的漏洞被利用成功，则会去美国木马服务器67.229.144.218下载ups.rar和test1.dat病毒文件，之后目标主机将被黑客完全控制解决方案：l建议立即对X.X.X.13进行全面安全分析，排查是否真正被黑客入侵 用户反馈：l收到报告后第一时间下

19、线该服务器并进行病毒文件删除和全盘杀毒安服结果反馈至BDS：l根据专家分析找出用户环境下的常见问题逻辑，归类为分析模型后输入BDS，后续类似问题BDS自动分析和告警BDS让安全设备不再是简单叠加体现产品的安全价值BDS+堡垒机+服务器BDS+服务器BDS+漏扫+IDPBDS+SAM+安全设备BDS+NGFW+WG+服务器BDS+WG+服务器+中间件发现堡垒机绕行（福彩验证）确定IDP告警有效性密码猜测成功（皖南医院学验证）确定攻击成功与否态势感知和攻击地图实名安全日志（大工需求）802整体方案实现了海量数据收集并标准化，构建安全大数据仓库；日志、资产、漏洞关联分析，直击要害问题；工单系统+知识

20、库，简单闭环安全问题；量化呈现安全业绩，实时跟踪安全态势。总分部署解决方案基于“可发现”、“可预测”、“可协同”“可度量”为出发点，提供安全信息采集层（流量采集、沙箱分析、日志采集、安全协防）、安全分析管理层（安全分析、安全预警与处理、脆弱性管理）、云端协同处理层（云端威胁情报中心、云安全分析中心）构筑整体的大数据安全态势感知三层架构；自带基线检查模块提高网络安全监测能力、自带漏洞扫描模块提高系统风险检测能力、内置安全知识库及工单系统实现安全问题跟踪处理闭环，实现在海量日志收集基础上的安全深度分析，做到安全问题的实时追踪、溯源和举证，满足行业客户综合安全分析要求，落地深度攻击行为可发现、实现“

21、人+平台+设备”的有机结合及高效协同，跨越安全设备到真正安全之间的鸿沟，构建可视化的安全防护体系、让客户获得对未来网络安全态势的感知能力、网络安全状态的可视化评估能力。优势特点1: 日志兼容性强-提供丰富的日志模型单款设备标准化和对接仅需1天兼容库便捷更新a)产品内置支持60多个厂商，180多款设备的日志模型，涵盖网络设备、安全设备、操作系统、中间件等，满足客户多类型日志接入需求。b)由于客户环境设备型号版本各异，如遇到不兼容的设备（各厂商都会面临），研发专项支持，在日志样本具备情况下，一款设备的标准化及对接测试一天即可完成。c)在web页面即可进行兼容库的更新，不用动代码，业务不中断，后续扩

22、展能力强。优势特点2:多维度安全信息获取基于日志、漏洞、基线的安全分析内置100+安全分析模型且支持自定义a) 业务流量采集、未知威胁信息采集、安全日志信息采集三个维度，进行多维度的安全信息获取。b)支持基于日志、漏洞、基线等多维度的安全分析能力，内置100+安全分析模型，帮助客户在日志收集的基础上，进行安全分析价值的深度挖掘。c)支持安全分析模型自定义功能，在WEB页面即可完成，易用性好，扩展性强。优势特点3: 从容应对未知威胁的防范和0day等类型攻击对于传统基于特征码检测的未知威胁防范，须在威胁文件获取及分析识别后才能部署，有天然的滞后性，导致无法应对0day等类型攻击，为此锐捷基于安全

23、沙箱的安全分析通过模拟各类运行环境通过实际运行，从运行结果判定威胁文件的风险程度，更好弥补了传统特征码检测方式的不足，同时BDS大数据分析平台依据从沙箱分析同步的结果，进行综合性关联分析，应对未知威胁风险，兼容第三方沙箱产品。优势特点4: RG-BDS具备丰富的知识库管理方式+工单系统，简单闭环安全问题优势特点5: RG-BDS具备机器学习功能，能够针对客户业务系统实现异常监控优势特点6： RG- RIIL和BDS结合联动，让网络安全、网络运维更加精准、跨平台大数据分析，提供更精准安全定位和预警，统一风险展示、统一工单流程。03产品竞争对比分析功能锐捷华为深信服启明H3C360日志审计日志审计

24、支持第三方品牌，支持品牌丰富，特殊型号可现场编译CIS 主要做安全分析，与自己设备高度融合，日志兼容性较差SIS平台主要做安全分析，分析能力全面，纯日志审计部分兼容性一般 市面上看到的基本是非大数据架构，查询性能不足，大数据架构的版本宣传具备，但项目中未见到 态势感知平台，17年12月份发布，案例情况未知原天机老平台更侧重安全设备管理主要优势在安全分析收购网神，日志审计部分与我们产品类似，已兼容厂商略少漏扫功能支持不支持不支持不支持不支持不支持基线扫描支持不支持不支持支持不支持不支持友商产品竞争功能层面资质层面 大数据底层，10亿日志秒级查询定档，避免启明、H3C、华为等低端数据库版本 要求充

25、分兼容第三方抬高，H3C等第三方兼容费用较高，屏蔽华为只收集的自己 自带漏扫和基线检查，以便实现安全多维度数据的分析抬高，其他厂商均需要另外配置 内置100个以上关联分析模型，并具备行业模型分析库抬高，启明、360等均需增加安全服务现场定制模型 产品资质：要求提供基于最新国标GB/T 20945-2013的安全审计（国标-增强级）资质证书我司独家支持 产品资质：要求公安部计算机信息系统安全专用产品销售许可证，证书标准为日志分析三级屏蔽华三、华为、深信服，天融信 厂商资质和实力证明，大数据安全平台的建设是收集数据和不断优化的长期过程，厂商实力尤为重要屏蔽瀚思、日志易等创业型公司 与客户现有/本次招标的RIIL联动实现安全与运维统一平台、与客户现有/本次招标的SMP联动实现实名制日志记录我司独家一句话说清楚竞争：大数据架构定档，自带漏扫与基线、兼容第三方和内置模型抬高，资质和联动强控标04国家新闻出版广电总局昆明市智慧城市重庆市渝中区政务外网宜宾市政务外网阿拉山口市智慧城市重庆市政务外网海淀区政务内网信阳市政务外网十堰市郧阳区政务外网河北省委机要局