2019年多源异构数据环境下态势感知体系构建.pdf

《2019年多源异构数据环境下态势感知体系构建.pdf》由会员分享，可在线阅读，更多相关《2019年多源异构数据环境下态势感知体系构建.pdf（21页珍藏版）》请在三个皮匠报告上搜索。

1、多源异构数据环境下态势感知体系构建目录一、网络安全管理中的难题二、多源异构数据环境下态势感知体系三、信息资产的全链条态势感知和处置目录网络安全管理中的难题2015年年2016年年2017年年2018年年2019年年安全防护、流量回溯、安全检测安全监测异构的安全监测威胁情报大数据分析平台 管理内容规模急速增长 数据来源日趋复杂60%20%60%40%操作系统、中间件等补丁24h更新率漏洞24h修复率定期自查、评估和修复的比例系统变更后第一时间安全评估率10%系统变动致同类漏洞重现率网络安全管理中的难题 管理监控措施不及时不完善网络安全管理难题对策目录一、网络安全管理中的难点二、多源异构数据环境下

2、态势感知体系三、资产的全链条态势感知和处置目录覆盖全域，统一分析。对全域系统各类关键信息基础设施、重要网络关口进行常态化统一监测和分析，形成全链条安全管理体系。强化落实，常态化管控。以贯彻落实网络安全法和国家网络安全等级保护制度为主线，在系统建设、运行管理、组织保障等多方面同步推进网络安全工作，常态化监测，及时发现问题，确保落实安全管理细节。体系建设原则+=态势感知分析中心1侧重于安全数据分析，与安全事件基础库平台联动，整合已有安全事件基础库的历史数据和在线数据，实现全网安全数据日志综合分析。态势感知分析中心2侧重于威胁管理综合分析，与现有终端管控系统对接，侧重管理流量、安全设备及终端日志的日

3、志多源分析。态势感知分析中心3侧重于网络流量数据安全分析，对网络流量精确分析，监测网络攻击和恶意代码，提供网络元数据。安全事件事件场景更完整准确率较高定位更准确技术特点1：实现分析级的数据融合多源异构数据环境下态势感知体系多源异构数据环境下态势感知体系对安全事件基础库进行全面整合，包括网关日志、终端管理日志、应用系统类日志、网络设备类日志、纵深防护类日志、检测监测类日志、高级威胁综合分析平台日志、在线监测中心日志、网络流量分析平台日志等。将整合后的数据与威胁情报碰撞，得出恶意攻击行为。威胁情报主要包括恶意IP、恶意域名、恶意URL、恶意EMAIL地址、恶意样本哈希值等。日志融合网关应用系统日志

4、网络设备日志安全事件基础库安全数据分析平台网络全流量分析平台在线监测中心工单管理系统策略处置系统安全情报中心资产发现资产填报系统下发策略外部情报日志终端准入杀毒补丁移动工作平台消息终端管理日志情报信息源数据层分析层决策层互联网源本地源外部威胁情报安全审计在线监测安全检测检测监测纵深防护正向上传反向反馈外部源分割线图例图例安全告警工单处置资产管理高级威胁综合分析平台日志利旧设备/系统安全数据分析平台（分析中心1）多源异构数据环境下态势感知体系基于日志和流量多源异构数据进行综合分析，提高未知高级威胁防护能力，集中呈现全网威胁情况。完成事件收集、告警分析、应急溯源分析结合厂商的威胁情报能力，及时发现

5、威胁情况配合其余分析平台完成问题发现工作，并为处置提供技术依据高级威胁综合分析平台（分析中心2）多源异构数据环境下态势感知体系基于“流”行为数据和其他日志数据自动化分析各类异常行为。建立异常行为模型，实时匹配网络流量，回溯分析历史数据建立“文件样本”行为数据模型，识别未知攻击或恶意代码提供“包”内容数据，还原事件过程，实现威胁的追踪溯源取证融合网关网络全流量分析平台工单管理系统策略处置系统安全情报中心恶意代码监测探针网络元数据采集探针全流量回溯探针资产发现资产填报系统下发策略资产信息移动工作平台消息数据采集数据分析数据应用利旧设备或系统新建设备或系统分割线图例图例工单处置资产帐台还原文件网络元

6、数据原始流量流量分析数据安全告警安全告警漏洞信息资产标签未注册资产告警资产漏洞告警其他设备或系统网络流量分析平台（分析中心3）技术特点2：实现决策级的数据融合+=态势感知分析中心1态势感知分析中心2态势感知分析中心3安全事件资产全部在网资产信息，包括基本属性、运行情况、配置情况、脆弱性情况等。需处置的安全事件对资产存在安全威胁的安全事件，为下一步的处置提供决策支持。多源异构数据环境下态势感知体系01020304常态化资产探查、分析、脆弱性识别资产探查网络安全事件分级分类处置应急处置基于全域流量的网络安全数据采集数据