数据驱动安全安全态势感知大数据分析系统课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《数据驱动安全安全态势感知大数据分析系统课件.pptx》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 驱动 安全 态势 感知 分析 系统 课件
- 资源描述:
-
1、数据驱动安全安全态势感知大数据分析系统安全的挑战在于“看见”我们需要什么?全面、快速、准确的感知过去、现在、未来的安全威胁。!帮助自己第一次看清楚自己通过海量数据的收集、分析与展现,帮助企业获得更好的全局可见性和安全智能,从而抵御新型安全威胁和内部人员监守自盗。数据驱动安全信息安全为什么需要大数据?:你不能保护你不知道的(传统依靠特征码匹配的方式已经不足以应对未知威胁)。二:通过异常行为分析来侦测未知威胁已经是业界共识。三:“异常行为”蕴藏在各种数据源的海量数据之中,大数据技术是必要的支撑手段。2012年3月,Gartner发表了一份题为Information Security Is Beco
2、ming a Big Data Analytics Problem的报告,表示信息安全问题正在变成一个大数据分析问题,大规模的安全数据需要被有效地关联、分析和挖掘。从安全运维中心到安全智能中心从少量单一数据向海量丰富大数据的转变;从基于规则匹配向数据建模,机器学习智能化的转变;从短时间状态监控向长周期趋势变化及动态基线转变;从单一安全事件监控向整体安全态势感知的转变;从依靠自身安全能力为向威胁情报共享,风险预测的转变;洛克希德马丁公司,2015.9亚信安全安全态势感知大数据分析系统亚信安全安全态势感知大数据分析系统大数据分析平台数据中心安全云计算安全服务器安全边界安全下一代安全网关Deep E
3、dge威胁情报共享平台高级威胁监控平台高级威胁发现系统TDA终端安全下一代终端安全防护下一代智能终端安全防护安全服务安全态势感知大数据分析系统需要哪些能力?洞察未知追本溯源还原真相洞察未知l通过机器学习发现异常行为 异常行为分析技术通过对流经设备的流量进行连续、实时监控来分析流量信息,利用统计分析、关联分析和机器学习等多种技术手段来检测流量和用户或应用行为中的异常模式,以发现异常行为。异常可以与同类对象做比较而得出,也可以与历史数据做比较而得出。l自动关联异常行为上下文 自动关联分析可提供异常行为事件关联、上下文关联、攻击场景关联、位置关联、身份关联、角色关联等等。关联分析还有脆弱性信息关联、
4、因果关联、推理关联等等。追本溯源支持非结构化,半结构化,结构化数据;大于50000EPS处理能力;大于500TB历史日志全量存储分析能力;可灵活线性扩展,保护现有投资;高性能,大容量,多数据源实时日志分析告警采用Spark Streaming流式处理,日志实时采集、入库、分析、告警;从日志采集到分析取证和告警在1分钟内完成;还原真实全局关联分析可视化安全攻击可视化病毒呈现可视化根据可视化的全局安全状态统一显示可视化呈现 风险可视化全局可视化态势感知威胁动态攻击图SOC向SIC的转变人读机读简单丰富非实时实时孤立共享安全预警态势感知调查取证合规报表安全态势感知大数据分析系统的优势与价值数据中心海
5、量数据(100TB+)集中管理和实时运维分析;实时安全及异常行为检测(安全建模);配合人员和流程构建安全智能中心;业务风险反欺诈分析能力;亚信安全态势感知大数据分析系统亚信安全威胁情报中心成功案例:天津滨海公安安全态势感知系统安全架构日趋复杂、新型技术不断涌现:不但有传统物理服务器、网络设备和安全设备,也有虚拟机和虚拟设备;不仅有C/S,B/S架构传统应用,也有IaaS,SaaS等新型服务。安全数据快速增长,数据快速处理能力不足:每台物理设备每天生成5万至50万条安全事件,全网带宽也从百兆提升至千兆,每年需处理的安全数据在10TB数量级,而现有安防系统的处理能力仍停留在1TB数量级,快速提取有
6、价值的数据进行分析。安全处理能力分散,未能形成整合优势:现有安全处理方式仍然按照防火墙、病毒防范、行为审计等独立事件进行处理,未能整合安全事件之间的相互关系、行为关联来产生总体安全态势,缺乏科学决策提供依据。解决方案整合传统安全、云安全和大数据安全,构建新型安防管控综合平台基础架构。实现全网安全基础信息采集子系统和存储子系统。完成现有安全监控体系进行云化改造。实现安全事件追踪溯源和风险预警等分析功能。云终端设备移动、终端设备数据大集中云数据云基础设施虚拟化部署效果实时攻击态势地图网络攻击实时展示网络流量的chord网络和旋图流量异常分析展示病毒云图病毒爆发的各种关联分析展示实现发现来自不同地图
7、上的各源IP对目的IP的攻击态势,线路。可以很清晰地展现网络流量的路径及分配情况。通过对五元组的流量收集分析,展现某些服务或设备之间双向流量的状态和占比,进一步可根据历史流量的变化,分析出可能存在的异常流量。图中一个点通过若干中间点到达另外一个点的路径代表关联链。所以能挖掘出深层次的关联关系。部署前后对比在安全设备与网络设备方面。对于数据的存储和分析能力得到很大的提升,以往的技术1秒最多存储2000条日志,无法满足我局每天几亿条日志的存储要求;由于数据的存储限制,对各种安全设备和网络设备难以进行统一的检测、展现,许多珍贵的信息数据被删除;造成各设备的独立性,无法最大程度的利用数据并找出数据与数
8、据之前的关联性;之前的安全管理方式还是被动式、孤岛式的,一是不能准确了解各种安全设备的配置是否合理;不能应对现有安全设备发现不了的未知威胁。在安全设备与网络设备方面。对于数据的存储和分析能力得到很大的提升,现在可以达到1秒存储30000条,性能提高了十几倍,实现了安全数据的全量存储,并通过对全量数据的专业化处理;大大提升了各种安全设备和网络的存储容量。找到数据与数据之前的关联性,并进行快速分析,还原出问题的真相,最终实现数据的“增值”;对于我局整体的安全状况更加了解,同时发现一些安全设备在配置规则上的薄弱环节加以改善对一些未知威胁可以成功预警;部署前状态部署后效果成功案例:招商银行安全态势感知
展开阅读全文