产品设计原理及架构

绿盟大数据安全分析平台（NSFOCUS Bigdata Security Analytics，简称NSFOCUS BSA）是一款采用大数据技术的安全分析产品，通过汇总网络中的安全设备、网络设备、应用系统、操作系统数据来消除安全孤岛，实现整体环境安全分析及检测。平台采用开放性设计，具有丰富的API接口以及SDK开发包，能够实现灵活的个性化功能定制，同时具有安全分析应用（APP）能够实现即插即用的系统功能，能够降低开发工作量实现按需安装安全分析应用。

绿盟大数据安全分析平台采用大数据的底层架构，实现异构数据采集、存储和计算。对于HBase、Hive等大数据组件的深度整合，满足网络安全中对于数据有效性、数据完整性、数据及时性的约束要求。采用自主开发的数据路由功能，实现对于不同数据源的区别处理。以底层为基础，实现自主可控的系统架构。平台架构分为数据采集层、数据路由层、数据存储层、分析引擎层和安全应用层五个部分，如图5所示。

图5 绿盟大数据安全分析平台架构图

产品功能

绿盟大数据安全分析平台具备如下几项功能。

1.安全态势分析

平台可以针对整体范围或某一特定时间与环境，基于这样的条件进行因素理解与分析，最终形成历史的整体态势以及对未来短期的预测。

2.智能威胁防御

平台采用的基于大数据技术的智能威胁防御技术，打破了传统APT防御手段中对于大数据量的存储问题、调查问题、模型归纳问题等。实现背景数据过滤，对象数据提取，环境数据集成，分析模型运算，数据结果展现等功能。

3.隐秘通道挖掘

无论何种隐秘通道都需要通过数据交换才能传送非法数据，传统技术缺乏逐一甄别每条网络通讯信令的能力。而绿盟大数据安全分析平台采用的大数据技术和机器学习算法，可以有效地识别出隐秘通道特征，从而实现对隐秘通道的挖掘以及还原其所传送的数据。

4.用户行为分析

平台可以自动归纳用户行为模型，针对用户行为偏离进行告警；不仅可实现整体用户行为模型，亦可针对特定用户形成单一行为模型。行为模型以用户行为为基准，采用机器学习技术进行自动校正，无需进行人工干预便可实现基线修正以及行为偏离告警。

5.实时安全监测

平台可实时进行网络安全监测，不仅可以消除安全孤岛所导致的数据割裂问题，同时能够实时监测网络中各组成部分的安全状态，包括IPS单方面监测到的安全事件、IPS与审计系统关联发现的高风险网络行为等。

6.攻击溯源取证

平台支持多种形式的攻击溯源，如DDoS攻击溯源、僵木蠕攻击溯源、APT攻击溯源、病毒溯源、数据泄露溯源等。所有的攻击行为会以数据方式进行固化保存，即使攻击行为已经结束，并且攻击者消除企业内受影响系统内的日志，他的攻击行为都会被完整记录下来，以便成为未来维权时的有效证据。

图6 绿盟大数据安全分析平台部署图

7.合规审计

平台通过对异构网络环境下各系统的日志进行异地集中保存，能够很好地满足合规性要求中对于日志审计的规定。同时依托于分析技术的有效应用，不仅能满足合规性要求，同时能够对日志进行多维度分析，挖掘出日志中的潜在价值。

应用部署

绿盟大数据安全分析平台部署在企业内网，只要网络可达即可。当需要接受Flow流时部署在核心交换机旁，其他情况可部署在任意网络位置。平台所接收的数据来自网络设备的Flow流、syslog，接受绿盟设备的日志，接受标准设备的syslog日志，应用系统的日志信息，同时对接收到的数据进行统计分析，查找违规事件以及相关信息。平台的部署如下图6所示。