2023年企业安全大数据平台建设及实现.docx

企业平安大数据平台建设及实现 在不同的领域以及不同的时期，人们对于信息平安也具有不一样的认识，并且在对于平安问题的解决上仍然存在着一定的侧重面的差异性。因此需要借助于大数据技术，整合平安系统的平安信息进行关联分析以及威胁建模，从而将其计算提速，把有效的信息从大量的日志告警的信息之中发现，将其脆弱性以及平安的威胁进行定位，并且还需要将平安的场景模型进行设计，强化针对业务的平安威胁监控，实现俯瞰企业平安状况的平安全景视图。 一、企业大数据平台建设的目的与意义 现如今，企业业务的不断开展，已经渐渐地向着采集方式、数据源的分布化、多样化以及碎片化趋势开展，采集分析系统中的条块化分析将平安分析限制，将系统的分析效能严重的降低，因此数据采集分析的架构亟需优化，以便快速提取数据的应用价值。企业平安大数据的建设目标是基于大数据技术，实现对应用系统操作日志（4a日志）、各类设备的平安事件日志（smp日志）、业务系统流量数据等平安数据的采集、存储与管理的统一处理，实现4a、smp、业务系统日志分析及报表功能的无缝迁移与性能大幅优化，进一步实现针对风险、事件等高维度的全新分析模型与技术，提供完整高效的进行平安事件的溯源和处理手段。 二、平安大数据平台设计与实现 1、平安大数据平台框架。通过大数据分析技术实现对企业网络与信息平安指标呈现、平安预测/预警以及事件分析体系的研究。平安大数据的总体框架包含统一采集、数据处理、搜索引擎、挖掘分析和统一展示等模块。 2、平安数据的集中采集。平安大数据平台采用大数据集中采集方式收集各类日志数据，日志采集主要分为4a审计日志、smp日志、业务流量日志，实现由目前各系统独立采集向集中化大数据架构的转换。 4、业务平安模型分析。 1、异常行为分析，分析日志建立模型，其特征审计模型包括维度包括：非法密码猜解、使用程序账号、异常ip地址、非正常时段、维护人员共享账号、离职人员工号非法盗用等行为进行审计分析，及时发现运维人员的违规操作。 2、人员违规操作监控分析，关联日志、操作日志建立正常的人员行为特征模型：（1）学习建模；（2）冗余范围建立：标准模型x1.2范围;（3）根据模型的的规律，及时营业员的违规操作5、系统平安事件分析。针对平安事件发生时研究范围中系统状态进行分析，分析不同平安事件时各系统运行状态与正常情况下差异。能够提供每个信息平安资产的平安态势，动态图表的形式展示，访问量趋势图、攻击走势图等可视化图，能够对攻击进行溯源分析，能够分析攻击的影响范围，并能够提供平安预警。 6、平安趋势预测。对研究范围内业务系统的平安数据进行统一采集整理、从多个维度综合分析，提升整体的预警能力，为系统平安预警与平安事件体系研究做出依据。同时对业务平安和系统平安所面临的平安风险定制化模型分析的结果进行平安量化指标排名，进一步将平安风险做到可度量、可视化的动态展示。 三、实现和应用效果 通过对业务平安和系统平安所面临的平安风险进行定制化模型分析，建立异常行为模型、内部人员违规操作模型、入侵攻击事件分析模型，完成后台运维人员、普通业务人员、外部攻击者的用户画像，进一步将平安风险做到可度量、可视化的动态展示，实现了信息平安整体态势感知以及开展趋势的有效预警。实现企业日常运行、维护中所产生的数据集中采集、汇总和标准化；基于大数据分析方法建立用户日常行为模型，为风险预测和识别提供基准数据；实现企业日常运行、维护等平安数据的海量数据分析，风险识别；实现基于大数据进行平安分析和对平安事件进行预测、预警的能力；实现企业整体平安态势的多维度展现，为平安管理决策提供支持。 四、结语 本文主要研究了基于大数据技术，实现对4a、smp、应用流量等平安数据的统一采集、存储与处理，给出了平安大数据具体功能架构设计，实现了审计分析及报表功能的平滑迁移与性能大幅优化；建立了用户异常行为分析模型、入侵攻击事件分析模型、平安事件预测模型，提供高效的平安事件分析和预警方法。 第4页 共4页