企业安全大数据平台建设及实现

时间:2022-01-24 02:38:18

企业安全大数据平台建设及实现

在不同的领域以及不同的时期,人们对于信息安全也具有不一样的认识,并且在对于安全问题的解决上仍然存在着一定的侧重面的差异性。因此需要借助于大数据技术,整合安全系统的安全信息进行关联分析以及威胁建模,从而将其计算提速,把有效的信息从大量的日志告警的信息之中发现,将其脆弱性以及安全的威胁进行定位,并且还需要将安全的场景模型进行设计,强化针对业务的安全威胁监控,实现俯瞰企业安全状况的安全全景视图。

一、企业大数据平台建设的目的与意义

现如今,企业业务的不断发展,已经渐渐地向着采集方式、数据源的分布化、多样化以及碎片化趋势发展,采集分析系统中的条块化分析将安全分析限制,将系统的分析效能严重的降低,因此数据采集分析的架构亟需优化,以便快速提取数据的应用价值。企业安全大数据的建设目标是基于大数据技术,实现对应用系统操作日志(4A日志)、各类设备的安全事件日志(SMP日志)、业务系统流量数据等安全数据的采集、存储与管理的统一处理,实现4A、SMP、业务系统日志分析及报表功能的无缝迁移与性能大幅优化,进一步实现针对风险、事件等高维度的全新分析模型与技术,提供完整高效的进行安全事件的溯源和处理手段。

二、安全大数据平台设计与实现

1、安全大数据平台框架。通过大数据分析技术实现对企业网络与信息安全指标呈现、安全预测/预警以及事件分析体系的研究。安全大数据的总体框架包含统一采集、数据处理、搜索引擎、挖掘分析和统一展示等模块。2、安全数据的集中采集。安全大数据平台采用大数据集中采集方式收集各类日志数据,日志采集主要分为4A审计日志、SMP日志、业务流量日志,实现由目前各系统独立采集向集中化大数据架构的转换。3、业务系统旁路流量采集。业务系统旁路流量采集主要是以网络镜像流量的方式采集业务系统流量,根据http协议分析、过滤、格式化以及补全操作,分析出需要的数据提交给上层数据存储中,为业务安全模型分析提供数据基础。4、业务安全模型分析。1、异常登录行为分析,分析登录日志建立模型,其特征审计模型包括维度包括:非法密码猜解、使用程序账号登录、异常IP地址登录、非正常时段登录、维护人员共享账号、离职人员工号非法盗用等行为进行审计分析,及时发现运维人员的违规操作。2、人员违规操作监控分析,关联登录日志、操作日志建立正常的人员行为特征模型:(1)学习建模;(2)冗余范围建立:标准模型*1.2范围;(3)根据模型的的规律,及时营业员的违规操作5、系统安全事件分析。针对安全事件发生时研究范围中系统状态进行分析,分析不同安全事件时各系统运行状态与正常情况下差异。能够提供每个信息安全资产的安全态势,动态图表的形式展示,访问量趋势图、攻击走势图等可视化图,能够对攻击进行溯源分析,能够分析攻击的影响范围,并能够提供安全预警。6、安全趋势预测。对研究范围内业务系统的安全数据进行统一采集整理、从多个维度综合分析,提升整体的预警能力,为系统安全预警与安全事件体系研究做出依据。同时对业务安全和系统安全所面临的安全风险定制化模型分析的结果进行安全量化指标排名,进一步将安全风险做到可度量、可视化的动态展示。

三、实现和应用效果

通过对业务安全和系统安全所面临的安全风险进行定制化模型分析,建立异常登录行为模型、内部人员违规操作模型、入侵攻击事件分析模型,完成后台运维人员、普通业务人员、外部攻击者的用户画像,进一步将安全风险做到可度量、可视化的动态展示,实现了信息安全整体态势感知以及发展趋势的有效预警。实现企业日常运行、维护中所产生的数据集中采集、汇总和标准化;基于大数据分析方法建立用户日常行为模型,为风险预测和识别提供基准数据;实现企业日常运行、维护等安全数据的海量数据分析,风险识别;实现基于大数据进行安全分析和对安全事件进行预测、预警的能力;实现企业整体安全态势的多维度展现,为安全管理决策提供支持。

四、结语

本文主要研究了基于大数据技术,实现对4A、SMP、应用流量等安全数据的统一采集、存储与处理,给出了安全大数据具体功能架构设计,实现了审计分析及报表功能的平滑迁移与性能大幅优化;建立了用户异常行为分析模型、入侵攻击事件分析模型、安全事件预测模型,提供高效的安全事件分析和预警方法。

作者:陆艳军 赵立农 王子强 单位:中国移动通信集团重庆有限公司 北京启明星辰信息安全技术有限公司