ca88登陆平台

面对上千亿条冬奥日志 赛博威引擎若何做到“监判合一” ??? ?????

功夫:2022-06-13 作者:ca88登陆平台

分享到:


    作为世界上规模最大、影响最广、竞技水平最高的冬季综合性体育赛事,,,,,, ,,冬奥会的吸引力似乎已不再局限于冰雪活带头及爱好者 。。。。。。。。随着数字化技术的日益遍及,,,,,, ,,无论是组织缜密的黑客团伙还是民间网络犯罪分子,,,,,, ,,都试图追求对奥运会进行网络攻击 。。。。。。。。

    好比在平昌冬奥会在开幕式当天,,,,,, ,,蕴含冬奥会网站、电视服务在内均遭到黑客攻击,,,,,, ,,导致部门业务中断 。。。。。。。。

面对上千亿条冬奥日志 赛博威引擎若何做到“监判合一”????????

    面对网络攻击的压力,,,,,, ,,在北京冬奥会,,,,,, ,,ca88登陆平台初创了冬奥会系统安整个系,,,,,, ,,实现了网络安全的“零变乱” 。。。。。。。。而在零变乱的背后,,,,,, ,,其中一项关键性技术就是ca88登陆平台自研的大数据实时关联分析技术-Sabre(赛博威)引擎,,,,,, ,,它支持起对冬奥26个场馆、上千亿条日志的实时监控与安全分析,,,,,, ,,累计监测数亿次网络攻击,,,,,, ,,跟踪和研判上百起涉奥威胁事务 。。。。。。。。

    冬奥是一个实时关联分析技术的极度典型的利用场景,,,,,, ,,具备齐全身分 。。。。。。。。

    1

    ‍

面对上千亿条冬奥日志 赛博威引擎若何做到“监判合一”????????

    多源异构数据的采集

    毋庸置疑的是,,,,,, ,,安全运营是落实网络安全防护的最沉要伎俩之一,,,,,, ,,而安全运营的主题是安全分析,,,,,, ,,安全分析的主题指标是找出异常事务,,,,,, ,,并判断这些异常事务是不是由网络攻击造成的 。。。。。。。。

    在这里,,,,,, ,,事务是IT系统中某一活动产生的一组数据,,,,,, ,,体现的是一个对象,,,,,, ,,它是由特定的属性和对应的属性值组成 。。。。。。。。好比一个防火墙事务可能蕴含源IP、蕴含主张IP、主张端口等信息,,,,,, ,,而这些数据都被以日志的大局纪录了下来 。。。。。。。。

    所以想要找出异常事务,,,,,, ,,安全分析的第一步,,,,,, ,,就是把日志数据都采集起来,,,,,, ,,并以事务流的方式输入到安全分析引擎中 。。。。。。。。

    “冬奥期间的日志数据来自于18类、共计1000+数据源 。。。。。。。。”ca88登陆平台实时安全分析引擎掌管人覃永靖介绍,,,,,, ,,冬奥期间,,,,,, ,,所有IT系统和网络设备的日志都要汇聚在实时数据平台,,,,,, ,,不仅仅蕴含ca88登陆平台部署的自有防火墙、SD-WAN、天擎等55款813台各类安全设备,,,,,, ,,还蕴含终端、服务器、网络设备、利用系统、业务系统等所有各类IT资产 。。。。。。。。

    这些数据源散布在各个场馆、网络中心、数据中心以及云上系统,,,,,, ,,它们所产生的日志会被源源不休地送到实时安全分析引擎中进行关联分析 。。。。。。。。

    这其中就产生了三个要出格把稳的问题 。。。。。。。。

    第一是尽可能采集所有安全有关日志,,,,,, ,,不遗漏有关数据 。。。。。。。。全量日志数据是不产生漏报的最根基前提 。。。。。。。。网络攻击尤其是APT攻击的发现往往取决于看到细节的能力,,,,,, ,,部门数据漏掉后就很容易产生“漏网之鱼” 。。。。。。。。好比一次忽然的异地登录或者一个未知域名的接见,,,,,, ,,这些都有可能是已经被入侵的信号 。。。。。。。。若是采集的数据不全,,,,,, ,,这些信号就可能会被错过了 。。。。。。。。

    第二是必要将采集的数据尽可能快的发送到安全分析平台,,,,,, ,,日志在源源不休的出产,,,,,, ,,后面分析引擎处于一刻一向的自动分析过程中,,,,,, ,,采集到的数据必要确保肯定的功夫线,,,,,, ,,即前后的功夫差必要在一个窗口之内,,,,,, ,,功夫相差太大的日志会影响分析的资源和了局产生影响,,,,,, ,,因而在整条数据流水线上必要保障肯定的实时性 。。。。。。。。

    第三是要可能对各类分歧的安全日志进行尺度化采集、传输解析和处置 。。。。。。。。数据源不只有ca88登陆平台自有的安全设备,,,,,, ,,还有多个分歧供给商的各类利用,,,,,, ,,这其中不只有网络安全厂商,,,,,, ,,还蕴含网络设备提供商、云推算提供商、利用软件提供商甚至蕴含大大幼幼的开源组件等等,,,,,, ,,所以对于多源异构数据的支持也极度沉要 。。。。。。。。这个过程叫做归一化,,,,,, ,,分歧类型但一样寓意的字段必要统一类型和名称,,,,,, ,,为后面的实时安全分析做好筹备 。。。。。。。。

    2

   

    实时安全分析

    日志网络起来后,,,,,, ,,仅仅是“已阅”是不能的,,,,,, ,,实时辰析引擎的主题应该是“判” 。。。。。。。。

    安全分析步骤重要蕴含两种:

    ◆第一种是延长推算,,,,,, ,,即数据网络和安全分析分离;;;;;

    ◆第二种是实时推算,,,,,, ,,也就是数据网络和安全分析同步进行 。。。。。。。。

    不言而喻的是,,,,,, ,,冬奥冬残奥期间,,,,,, ,,在均匀每天可能产生超过37亿条日志、峰值能够达到近10万条每秒的冬奥网络环境下,,,,,, ,,实时推算越发相宜 。。。。。。。。

    不然安全变乱没准已经产生了,,,,,, ,,推算还没起头,,,,,, ,,这还谈何零变乱 。。。。。。。。

    ca88登陆平台的实时安全分析引擎分为三层 。。。。。。。。

    ◆底层是大数据集群,,,,,, ,,重要用于日志数据的采集、存储和预处置 。。。。。。。。大数据集群为实时安全分析提供了壮大的算力支持,,,,,, ,,不然面对如此海量的多源异构数据就该“罢工”了 。。。。。。。。

    ◆中央层重要进行安全分析,,,,,, ,,它基于目前最盛行的开源实时推算框架Flink构建,,,,,, ,,掌管利用各类技术伎俩,,,,,, ,,同时结合威胁谍报、缝隙谍报、资产等知识数据,,,,,, ,,对日志进行安全分析 。。。。。。。。

    ◆最上层则是利用层,,,,,, ,,掌管与用户进行交互,,,,,, ,,输出分析了局和向安全分析引擎传输用户指令 。。。。。。。。

    多所周知,,,,,, ,,安全分析的关键身分就是功夫,,,,,, ,,即要求能在最短的功夫内发现网络攻击行为、响应安全事务,,,,,, ,,并且在发现新型攻击行为之后,,,,,, ,,可能第一功夫上线针对性的安全检测步骤 。。。。。。。。

    显然,,,,,, ,,急剧实现安全分析是零变乱的另一个关键保障,,,,,, ,,它可能将网络攻击节造在最幼领域内 。。。。。。。。

    好在Flink最沉要的特点是允许以数据并行和流水线方式执行肆意流数据法式,,,,,, ,,并且具备高吞吐低延长的能力 。。。。。。。。这就意味着,,,,,, ,,在充足算力的支持下,,,,,, ,,即便冬奥期间的日志量再大一些,,,,,, ,,ca88登陆平台安全分析引擎依然可能安稳运行,,,,,, ,,保障日志分析的速度和正确度 。。。。。。。。

    但安全分析的主张是要找出异常事务,,,,,, ,,因而用户必要急剧实现威胁建模,,,,,, ,,并在特定模型下将推算了局与表部输入的检测规定、威胁谍报、缝隙谍报等知识库进行匹配 。。。。。。。。

    所以,,,,,, ,,安全分析引擎不仅仅要求极快的推算速度,,,,,, ,,还要使用起来极度便捷,,,,,, ,,这样能力最大化提升安全分析的效能 。。。。。。。。

    对于后者,,,,,, ,,原生Flink框架的支持力度是远远不够的 。。。。。。。。

    “所以我们提供了一种针对安全分析场景进行特定优化的安全分析说话 。。。。。。。。”覃永靖说,,,,,, ,,它满足了以下几个特点:

    第一,,,,,, ,,单一易用,,,,,, ,,进建成本低,,,,,, ,,易上手,,,,,, ,,可能满足一个没有研颁布景的人,,,,,, ,,也能经过单一进建之后就能上手使用 。。。。。。。。

    第二,,,,,, ,,支持丰硕的数据类型,,,,,, ,,这些数据不仅要蕴含文件读写、网络接见等基础数据类型,,,,,, ,,还要蕴含大量的安全数据好比IP,,,,,, ,,各类功夫、资产、缝隙、威胁谍报、地理地位等,,,,,, ,,用户能够不做任何定造就能直接对这些数据进行关联分析,,,,,, ,,由于这些数据可能为安全分析提供大量的直接证据 。。。。。。。。好比恶意软件习染产生的功夫,,,,,, ,,习染的主机类型、数量、与表部产生通讯的IP地址、使用的缝隙、攻击载荷等等 。。。。。。。。

    第三,,,,,, ,,提供丰硕的语义,,,,,, ,,尤其对安全分析语义进行加强和定造以及扩大 。。。。。。。。安全分析的场景是复杂、多变的,,,,,, ,,没有丰硕的语义很难满足所有安全分析的需要 。。。。。。。。但即就是这样,,,,,, ,,分歧的网络环境依然会晤对无对应语义的情况,,,,,, ,,这就必要有经验的分析师进行个性化扩大 。。。。。。。。攻击手法的变动十吩斓繁,,,,,, ,,对于安全分析来说,,,,,, ,,总会遇到一些安全语义无法判断和诠释的行为,,,,,, ,,尤其是冬奥场景,,,,,, ,,这对于国内安全厂商来说都是头一回,,,,,, ,,很难保障不出现什么意料之表的局面 。。。。。。。。

    3

    行为分析与复杂事务关联

    若是分析了局可能与已知的规定、威胁谍报进行匹配,,,,,, ,,好比URL、IP地址、文件MD5等,,,,,, ,,那天然是网络安全问题无疑,,,,,, ,,但还有一些时辰并不是这样 。。。。。。。。

    举个典型的例子,,,,,, ,,好比内网某主机的流量经;;;;;嵯灾哂谄渌嘈椭骰 。。。。。。。。

    这当然有可能是该主机已经被攻下,,,,,, ,,被植入了一些特殊的木马导致流量异常增高 。。。。。。。。攻击者使用了全新的特种木马和基础设施,,,,,, ,,导致终端安全软件并没有检测出来 。。。。。。。。

    但若是是仅凭流量偏高这个前提,,,,,, ,,分析人员很难判定它是异常,,,,,, ,,由于分析工具并没有一个基线尺度可能进行比对,,,,,, ,,有可能就是有一些特殊业务或者特殊功夫段,,,,,, ,,导致流量偏高 。。。。。。。。

    针对这种事务,,,,,, ,,行为分析是一个极度有效的安全分析步骤,,,,,, ,,它通过进建待分析对象的汗青数据天生安全基线,,,,,, ,,来检测异常行为 。。。。。。。。好比今天这个主机的流量不仅比同类型其他主机高,,,,,, ,,也比汗青均匀水平和流量峰值逾越很多,,,,,, ,,那根基能够判定是异常行为,,,,,, ,,必要进一步查抄 。。。。。。。。

    从中可能看出,,,,,, ,,安全基线是判定异常行为的主题 。。。。。。。。

    安全基线分为三类:

    ◆第一类是统计类安全基线,,,,,, ,,蕴含常见的时长、大幼、频率、空间、领域等多种大局;;;;;

    ◆第二是序列类,,,,,, ,,好比指数滑润类和周期类安全基线,,,,,, ,,具备显著的功夫先后挨次或者周期法规;;;;;

    ◆第三是机械进建类的安全基线 。。。。。。。。

    (基线详情可参考此文《当你不知路孰是孰非的时辰,,,,,, ,,总有一个引擎在默默造订判断尺度》)

    在冬奥场景中,,,,,, ,,基线检测的利用领域会越发宽泛 。。。。。。。。作为一个全新搭建起来的复杂信息系统,,,,,, ,,不论是人还是安全设备,,,,,, ,,城市感应极度“陌生” 。。。。。。。。因而,,,,,, ,,汗青数据的进建,,,,,, ,,对于检测异常行为而言极度必要 。。。。。。。。

    除了行为分析以表,,,,,, ,,关联分析也是必不成少的一项伎俩,,,,,, ,,它重要合用于两个场景:

    第一,,,,,, ,,单一事务无显著异常,,,,,, ,,但多个有关事务进行关联则阐发出显著异常;;;;;

    其二,,,,,, ,,单一数据源无法反映攻击全貌,,,,,, ,,必要综合终端、流量、服务器等多个数据源进行全局关联分析,,,,,, ,,还原齐全攻击链条 。。。。。。。。

    再举两个例子 。。。。。。。。日志显示,,,,,, ,,多个高危端口短功夫内被屡次扫描并尝试登录;;;;;内网某服务器发现犯法接见行为 。。。。。。。。

    这些事务可能独立产生,,,,,, ,,也可能会同时产生,,,,,, ,,之间可能有关联也可能没有关联 。。。。。。。。若是结合前文中的例子,,,,,, ,,那么齐全的事务就有可能是攻击者攻下了某内网终端,,,,,, ,,并利用该终端通过高危端口接见某服务器 。。。。。。。。

    这就是关联分析的沉要意思 。。。。。。。。

    “关联分析是一个常用的安全分析步骤,,,,,, ,,好比当发现某个安全事务后必要将攻击者信息进行全局关联,,,,,, ,,来发现是否还有其它攻击行为 。。。。。。。。”覃永靖说,,,,,, ,,这就像拼图游戏,,,,,, ,,短缺一块是始终拼不齐全的 。。。。。。。。

    4

    ‍

    机能优化与状态监控

    必要把稳的是,,,,,, ,,对于冬奥这种全球瞩主张大型体育赛事,,,,,, ,,对于业务的陆续性要求是近乎严苛的 。。。。。。。。大到全球的电视转播,,,,,, ,,幼到一个记分牌或者计时牌,,,,,, ,,都不能中断 。。。。。。。。

    这也就是说,,,,,, ,,网络安全变乱是决不能出现的,,,,,, ,,但同时也绝对不能出现“网络攻击没把网络搞瘫,,,,,, ,,‘安检’却把它搞瘫了”的景象 。。。。。。。。

    这就必要对机能和资源使用进行优化,,,,,, ,,预防占用过多硬件资源 。。。。。。。。

    对于实时辰析引擎而言,,,,,, ,,每条检测规定可抽象为一个逻辑子图,,,,,, ,,用于表白检测流程,,,,,, ,,就像下图这样:

面对上千亿条冬奥日志 赛博威引擎若何做到“监判合一”????????

    然而一个安全检测集通常蕴含上千条文则,,,,,, ,,若是同时运行这么多规定,,,,,, ,,注定会亏损大量的资源,,,,,, ,,因而必要在全局层面进行优化,,,,,, ,,将分散的子图转换为一个执行图,,,,,, ,,以此大幅降低推算复杂度,,,,,, ,,大体过程如下图:

面对上千亿条冬奥日志 赛博威引擎若何做到“监判合一”????????

    另表一个必要沉点优化的就是表部数据的匹配 。。。。。。。。在冬奥期间,,,,,, ,,ca88登陆平台累计投入出产了超过25000条高质量的威胁谍报,,,,,, ,,若是再加上10000+台终端信息、缝隙谍报信息以及各类黑名单、白名单,,,,,, ,,这个数据量是相当大的 。。。。。。。。若是每次事务都进行逐一匹配,,,,,, ,,就相当于挨个“打招呼”,,,,,, ,,不仅必要大量功夫,,,,,, ,,还会造成机能损耗 。。。。。。。。因而分析引擎必要支持一些数据匹配和存储的优化计数,,,,,, ,,蕴含精确、领域和吞吐匹配的步骤,,,,,, ,,来提升匹配速度 。。。。。。。。

    好比威胁谍报、资产、缝隙、各类白黑名单等,,,,,, ,,对于超大规模数据表的匹配会带来一些很大的挑战,,,,,, ,,好比大规模串正则匹配问题等,,,,,, ,,好比超大规模串正则匹配引擎(100w+),,,,,, ,,hash匹配、大规模IP匹配计数,,,,,, ,,蕴含精确、领域和吞吐匹配,,,,,, ,,以及大规模知识库存储和匹配的优化步骤 。。。。。。。。

    万事俱备,,,,,, ,,然而当引擎真正运行起来之后,,,,,, ,,作为使用者,,,,,, ,,还得关切它运行的好不好,,,,,, ,,若是某些组件资源占用过多,,,,,, ,,就得对其采取下线、隔离或者限度资源使用等措施了,,,,,, ,,预防影响其他规定甚至业务的正常运行 。。。。。。。。

    当然,,,,,, ,,有时辰也不能过快了 。。。。。。。。

    实时辰析引擎的下游业务可能是一些处置能力比力慢的流程,,,,,, ,,这时辰就需流量节造,,,,,, ,,预防较快的处置流程向较慢的处置流程输入过多的数据而引起资源过度亏损和卡顿 。。。。。。。。流量节造必要支持自动流量节造、被动流量节造以及功夫窗口有关的流量节造,,,,,, ,,通过用户配置或自动处置来解决前后处置机能不一引起的数据迷失和系统不不变问题 。。。。。。。。

    粗算起来,,,,,, ,,冬奥期间经过实时辰析引擎的日志数量就超过了1000亿条,,,,,, ,,产生的告警数量也是极为重大的 。。。。。。。。这样的爆肝能力搭载在ca88登陆平台NGSOC上,,,,,, ,,难怪会让ca88登陆平台冬奥沉保ca88登陆平台冬奥保险总架构师尹智清直呼“爱了爱了” 。。。。。。。。

    不外,,,,,, ,,保障冬奥零变乱也不是就靠一个实时辰析引擎就能实现的,,,,,, ,,而是人+工具+流程+数据的交互结合,,,,,, ,,并且不休美满的动态系统 。。。。。。。。

    而ca88登陆平台冬奥期间实时安全分析所累积的经验,,,,,, ,,也将为整个中国甚至全球的网络安全服务 。。。。。。。。

    

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】