罗 仙
探秘启明星辰大数据安全分析平台
罗 仙
经过10年的发展,中国在高速铁路的建设和发展上取得了举世瞩目的成就,目前已经拥有全世界最大规模以及最高运营速度的高速铁路网。从最早的时速100公里的“东风号”内燃机车到最新的最高时速486公里的“和谐号”高速动车,中国铁路技术实现了快速跨越式发展,局部技术上已经走在了世界的前列。
同样,在信息安全领域,启明星辰公司也集安全分析和安全管理平台技术之大成,十年磨一剑,率先在国内推出了大数据安全分析平台,一举将中国信息安全分析和安全管理从“东风”号内燃机时代带入了“和谐”号高速铁路时代。
让我们来了解一下启明星辰的大数据安全分析平台,探秘其如何将我们带入了信息安全分析的“高铁时代”。
高速铁路动车相比传统机车技术,其具有速度快,拉得多,类型多,创造价值,乘坐舒适现代化等特点,而启明星辰大数据安全分析平台,也具有高速、海量、多样、高价值和可视化等大数据的五大特点。
“和谐号”高速铁路采用了动车组技术,相对于“东风号”内燃机牵引机车,其动力驱动技术有了革命性的提高,从而保证了将列车速度从100公里/小时提高到了486公里/小时。“和谐号”采用的驱动技术叫动力分散技术,其将动力装置分布在列车不同的位置上,能够实现较大的牵引力,编组灵活。由于采用动力制动的轮对多,制动效率高,且调速性能好,制动减速度大,从而实现了高速行驶,具备高可靠性,高容错性。而动力集中技术因本身存在的先天不足,使其在低速行驶时可以完全胜任,而高速行驶时就会出现负荷大,不稳定,提速难等问题。
启明星辰的泰合大数据安全分析平台同样使用了类似动车的分散式安全分析技术,类似于和谐号动车,启明星辰公司大数据安全分析平台将各类引擎动力分散到各个计算节点中,实现了分布式计算,从而为大数据采集、存储、分析和展示提供了强有力的物质基础。通过分布式计算技术,大数据安全分析平台可以将数据采集、存储、分析的功能均衡分配在分布式节点中,为了适应更高的速度,只须扩充节点数据即可。分布式计算技术由于其动力分散技术,单点失效不影响整体能力,因而具备了高可靠性和高容错性。这种方式避免了传统的动力集中的SIEM/SOC技术缺陷。传统动力集中的SIEM/SOC系统在低速数据情况下可以很好的满足需求,一旦数据速度提高,很难通过提高单台节点的计算能力来提高整个系统的处理能力,就如同内燃机车始终无法提高到200公里/时以上时速一样,分布式计算技术为大数据安全分析平台提供了坚定的物质基础。
基于“和谐号”动车组及其综合系统,中国高速铁路实现了公交化、高速化运营,实现了5分钟发车间隔的运营效率,从而实现了海量的运输能力。而启明星辰大数据安全分析平台借助于分布式计算技术,实现了海量安全信息的采集、存储、分析和展示。安全信息从数据规模和容量上来说,原始流量远大于网络流量元数据,而网络流量元数据远大于安全日志和事件,启明星辰大数据安全分析平台能够根据需要实现对这三种主要数据的存储和分析,将海量数据分布式保存在各计算资源上,并可自由扩展计算资源和存储空间。平台能够处理PB级数据,并具有高可靠、高扩展、高效和高容错等特点。通过高速处理技术实现了对海量数据的处理,并且泰合大数据安全分析平台采用了分布式文件索引技术,保证了海量数据的处理。
高速动车组技术,使多种列车编组都具备了动力驱动技术,因此可容纳多样的列车组成和列车编组。而启明星辰大数据安全分析平台在处理多类型多种数据时具备独特的优势。
大数据安全分析平台支持多种日志源和日志类型,并支持对半结构化(例如原始数据报文、邮件、WEB请求与响应)和非结构化信息(例如可疑代码、原始流量、镜像文件)的采集,具备异质数据间的关联分析(即情境关联)能力,具备从事件到流量元数据到原始流量和文件的对应和关联分析。大数据安全分析平台实现了对采集数据的预处理和存储,将需要的数据转换为结构化数据,对非结构化数据进行索引和存储,将数据分别送至分布式文件系统和内存中供分析层使用。丰富了安全分析的基础数据,保障了数据源的多样性,为多种分析方法的结合和综合关联提供了物质基础。
由于高速动车组的优势,其为国民经济和乘客带来了巨大的经济价值,创造了巨大的经济效益。其采用牵引电传动系统和网络控制系统等关键技术,才使国产高铁飞驰在神州大地,实现了巨大的价值。而启明星辰大数据安全分析平台能提供多种实时和历史分析方法,以及分析工具接口,帮助安全分析人员从海量的低价值数据中获取真正有价值的信息、值得去关注的信息,用于辅助决策和管理支撑。这是一个将大数据变小数据的过程和方法,也是一个数据降解的过程,通过平台提供的有效的分析方法和工具,才能从海量信息中快速提取高价值数据,为用户创造价值,而不是将用户淹没在海量的低价值数据中。
大数据安全分析平台使用分布式流式内存分析技术,实现了安全事件和流量元数据的实时关联分析,提供了基于规则关联和情境关联的分析技术。同时,分析管理中心使用持续聚合引擎对实时数据进行基于机器学习的实时分析,机器学习引擎使用多种学习方法,通过实时分析发现当前正在发生的安全威胁和攻击。
针对保存在分布式计算存储节点和数据库中的历史数据进行历史分析,可发现过去未发现的问题,帮助安全分析人员进行调查分析发现问题,改进算法并消除再次发生的隐患。历史分析针对保存在分布式文件系统中的数据进行,实现的功能有追溯分析、取证分析、查询统计,有效的弥补了传统数据库技术效率低下的问题。
针对历史数据进行数据挖掘,以从海量的低价值数据中发现对企业和组织有价值的信息,为组织安全管理带来收益。使用基于大数据的数据仓库技术对历史数据进行分析,结合多种数据挖掘算法,为安全分析人员提供有价值的安全分析决策支撑数据。
“和谐号”高速动车组技术通过无缝钢轨和无砟轨道、高标准的路基建设,先进的控制技术为乘客提供了堪比飞机旅行的舒适的乘坐环境,使乘火车旅行成为一种享受,大大改善了旅客的体验和感受。而启明星辰的大数据安全分析平台,在展示层提供丰富的可视化展示功能和组件,可视化展示安全分析人员重点关注的信息,将重要和可疑的数据以醒目的方式展示。同时,提供友好的人机交互界面,安全分析人员可通过人机交互进行可视化编辑关联分析规则,编写数据分析算法并对分析结果进行验证,以不断完善和修改方法,提升分析的准确率和平台的价值。平台还提供丰富的对外接口,方便与第三方系统集成,包括第三方分析系统,展示系统和安全工具等。
如今,中国高速铁路技术由于其全球最长的运营里程,最丰富的运行路线和多样性,极具性价比的建设成本和领先的技术,正在使其逐步走出国门走向世界,相信随着启明星辰大数据安全分析平台的不断完善和发展,凭借启明星辰在国内信息安全领域的领先水平和在安全分析安全管理平台的丰富的技术积累,启明星辰泰合大数据安全分析平台也会在不断造福国内客户的同时,走向世界,为更多的客户带来价值!
启明星辰公司专门成立了泰合产品本部负责大数据安全分析领域及泰合系列管控类和审计类系统的研发、咨询、项目实施与运维。泰合产品本部分别在北京、上海、广州设有研发中心。
作为中国最早研发和最领先的安全管理平台之一,启明星辰泰合(TSOC)系列安管平台经过10多年的持续积累,获得了十多项发明专利,得到了国家多项专项基金的支持,并拥有目前国内最多的客户群,从2008年到2013年连续六年位居中国安全管理平台市场占有率第一,已经成为了安全管理平台领域的绝对领导者,并且也位居国内大数据安全分析领域的领导者阵营。
责任编辑 罗 仙