奇安信网神态势感知与安全运营平台(简称NGSOC)以大数据平台为基础,通过收集多元、异构的海量日志,利用关联分析、机器学习、威胁情报等技术,帮助政企客户持续监测网络安全态势,实现从“被动防御”向“积极防御”的进阶,为安全管理者提供风险评估和应急响应的决策支撑,为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具,已在600+大型政企单位落地实践。
海量数据采集与存储
支持国内外数十家厂商的上百种常见设备的自动解析、过滤、富化、内容转译、归一化,支持通过Syslog、DB、SNMP、Netflow、API接口、镜像流量、文件等多种采集方式。威胁情报
基于奇安信在威胁情报领域独有的数据优势和技术优势,将云端大量的情报经过专业团队层层筛选后,将最有价值的失陷情报源源不断的推送至NGSOC,并将其应用于关联分析、日志匹配。机器学习
机器生产DGA域名,其广泛应用于勒索软件、僵尸网络、远控木马。通过机器学习中一种基于自动对数据进行表征学习的方法,无需人工提取特征。基于海量的域名样本。通过有监督式特征学习和分层特征提取高效算法来发现恶意域名。威胁建模
搭载分布式流式关联分析引擎Sabre,提供多元异构数据关联分析、灵活威胁建模、丰富的告警上下文信息展示及分布式横向扩展能力,已获得数十个相关专利。全流量检测
通过全流量检测技术,可还原数十种网络协议,对失陷主机,网络入侵,网络病毒,异常流量、DDoS攻击等进行精准检测。态势感知
NGSOC可提供11个展示内网态势感知的大屏视图:全网脆弱性态势、资产态势、威胁预警态势、攻击者态势、综合安全态势、攻防演练态势等,分别从不同的安全运营角度对网络安全态势进行呈现。威胁预警
当出现重大网络安全事件时,通过下发威胁预警包,帮助用户第一时间掌握是否遭受到攻击,失陷的设备包括哪些,业务是否受到影响,网络攻击走向,如何应急处置。资产风险管理
通过结合资产价值、脆弱性信息、威胁信息,对全网资产进行风险评估,量化风险指标,帮助用户更好了解和掌控安全风险,为用户提供有力的决策支撑。持续监测
通过从宏观到微观的分析思路,基于平台强大的PB级数据查询和关联分析能力,采用强大的流式关联分析能力,结合丰富的内置BI组件用于自定义可视化视图,将威胁以安全人员的处置视角完美呈现在监控面板和分析面板之上。异常行为分析
将奇安信多年在客户侧积累的多个重点场景通过场景化视图直观呈现给用户,针对于企业客户经常遇到的一些安全场景,平台进行了重点抽象,并且把它做成了一个内置的一个整体的分析场景,辅助安全运营/分析人员进行综合判断,提升处置效率。攻击回溯
在海量的数据中进行重点的攻击、重点事件回溯的过程是很常见的场景,奇安信在业界率先提出了冷热数据的概念,对于最近时间发生的高频查询数据通过热数据模式存储,整体的数据搜索方面会支持百亿级的数据秒级检索,具有绝对的业界领先优势。调查取证
调查分析是由人、数据和工具组成的一个三维的协同联动过程。攻击链分析
根据攻击的步骤,平台根据洛克希德马丁的攻击链阶段将调查分析结果通过时间和阶段两个维度进行呈现,将纷繁复杂的告警进行有效归纳,在侦查跟踪阶段就可以做到预先防护,在载荷投递阶段就可以重点防护,在通讯控制阶段就可以快速响应,从而在运维时间和运维效率方面达到一个最佳的平衡。攻防演练
面临攻击方多重挑战,需要在演习前进行自查整改、模拟演示,在演习过程中进行防御处置,在演习过程后进行总结汇报,NGSOC提供各阶段全面的能力支撑。响应处置
处置响应该是一个闭环,从威胁发现、威胁分析、威胁处置到威胁持续监控的过程,就是一个运营的过程。在处置响应方面采用了独特的事件+动作+指令的设计,将安全事件主题、动作和处置指令和三类有机通过平台结合起来。先进的大数据架构
NGSOC是建立大数据技术架构之上,运用Hadoop、Spark、ElasticSearch等先进大数据组件,成功解决海量数据的采集、存储和计算的难题。NGSOC分析平台用于存储流量传感器和日志采集器提交的流量日志、设备日志和系统日志,并同时提供应用交互界面。分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集群以保证存储空间和计算能力的供应。传统数据库只能处理亿级数据且查询速度在分钟级,NGSOC可以处理千亿级数据,采集速度达10W eps,秒级查询,大大提升安全分析和响应的速度和效率。
强大的威胁检测能力
搭载分布式关联分析引擎Sabre, 内置400+关联分析规则, 100+语义支撑,可视化配置展现。基于机器学习的DGA检测技术,检测准确率达99.94%。通过全流量检测技术,可还原数十种网络协议,对失陷主机,网络入侵,网络病毒,异常流量、DDoS攻击等进行精准检测。
完善的安全运营闭环
NGSOC在强有力的基础大数据架构的支撑和分布式流式引擎Sabre强劲检测能力的辅助下,建立起了一套完善的威胁处置与响应流程的支撑体系。可通过平台对资产、漏洞等基础属性和告警、风险等安全属性的全生命周期管理,功能涵盖从威胁发现、展示、归纳到处置响应联动的闭环能力。
专业的安全运营服务
奇安信集团具有专职产品运营服务团队,可提供原厂一线驻场、二线分析、运营方案咨询及培训服务,帮助客户解决无人运营困难。
微信公众号
微信公众号
Copyright © 2018 武汉非尼克斯软件技术有限公司. All Rights Reserved.备案号:鄂ICP备18010047号-1 Designed by Wanhu