異常行為

安全態(tài)勢(shì)與異常分析管理系統(tǒng)

產(chǎn)品背景
產(chǎn)品簡介
產(chǎn)品功能
系統(tǒng)架構(gòu)

產(chǎn)品背景

隨著網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展，各類安全產(chǎn)品產(chǎn)生大量獨(dú)立、復(fù)雜、異構(gòu)的安全源數(shù)據(jù)，并且這些數(shù)據(jù)相互之間缺乏有效關(guān)聯(lián)，形成一個(gè)個(gè)安全信息孤島。迫切需要利用大數(shù)據(jù)分析和挖掘技術(shù)對(duì)各類型進(jìn)行深度分析，將其分析結(jié)果直觀地展示給用戶。

資產(chǎn)狀況不詳

日常的資產(chǎn)管理系統(tǒng)中，缺乏對(duì)資產(chǎn)網(wǎng)絡(luò)層面的分析，無法知悉其存在的非法訪問、攻擊行為等。

應(yīng)用訪問不明

信息網(wǎng)絡(luò)承載著大量的應(yīng)用，需要深度分析其內(nèi)部人員違規(guī)操作的風(fēng)險(xiǎn)，以及被頻繁訪問、被越權(quán)訪問等行為。

溯源取證不易

攻擊者通常都會(huì)在內(nèi)網(wǎng)的各個(gè)角落留下蛛絲馬跡，真相往往隱藏在網(wǎng)絡(luò)的流量和系統(tǒng)的日志中，傳統(tǒng)的安全產(chǎn)品無法存儲(chǔ)、分析其中的風(fēng)險(xiǎn)。

異常行為不清

違規(guī)運(yùn)維、啞終端行為異常、掃描行為等由用戶發(fā)起，或網(wǎng)絡(luò)攻擊導(dǎo)致的異常行為淹沒在普通的日志數(shù)據(jù)中，未得到深入挖掘與呈現(xiàn)。

產(chǎn)品簡介

系統(tǒng)實(shí)時(shí)監(jiān)控流入流出的網(wǎng)絡(luò)流量，通過對(duì)流量進(jìn)行協(xié)議識(shí)別，并主動(dòng)獲取和被動(dòng)接收各類數(shù)據(jù)，基于各類原始數(shù)據(jù)，結(jié)合資產(chǎn)屬性，智能學(xué)習(xí)設(shè)備的各類基線，可有效地對(duì)設(shè)備、應(yīng)用等進(jìn)行畫像的分析，識(shí)別出異?，F(xiàn)象進(jìn)行告警。

產(chǎn)品功能

數(shù)據(jù)采集

以自動(dòng)化手段為主，通過終端代理程序、網(wǎng)關(guān)探針，主動(dòng)全量采集流量、進(jìn)程啟停等等數(shù)據(jù)。通過數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)據(jù)轉(zhuǎn)換等過程，將分散、零亂、不統(tǒng)一的數(shù)據(jù)整合到一起，為后續(xù)數(shù)據(jù)使用奠定堅(jiān)實(shí)基礎(chǔ)。

基線學(xué)習(xí)

基于機(jī)器學(xué)習(xí)，進(jìn)行長周期計(jì)算，建立多維度行為基線，依據(jù)基線發(fā)現(xiàn)異常行為。

畫像

針對(duì)一些日常運(yùn)行數(shù)據(jù)進(jìn)行各維度的統(tǒng)計(jì)，作為畫像特征，包括設(shè)備畫像、應(yīng)用系統(tǒng)畫像等。從畫像中闡述每個(gè)設(shè)備的歷史使用情況、進(jìn)程運(yùn)行情況、流量拓?fù)淝闆r、發(fā)出的訪問情況等等；每個(gè)應(yīng)用的活躍度情況、流量拓?fù)淝闆r、訪問排名情況、端口列表情況等等。

發(fā)現(xiàn)、分析異常

通過基線學(xué)習(xí)、畫像情況，再結(jié)合規(guī)則的建立，發(fā)現(xiàn)異常、分析異常、優(yōu)化規(guī)則，從而達(dá)到異常數(shù)據(jù)的精準(zhǔn)性。

系統(tǒng)架構(gòu)

系統(tǒng)整體結(jié)構(gòu)主要由以下四個(gè)層次組成：業(yè)務(wù)層、服務(wù)層、存儲(chǔ)層、接入層，其整體架構(gòu)如下圖所示。