态势感知平台系统可灵活的对接用户网络中的安全设备或安全子系统, 实现各类型多厂商安全监测防护资源的整合, 通过现有及待建安全子系统的对接, 态势感知系统可覆盖全网攻击行为信息、资产及业务脆弱性信息、异常流量信息、威胁情报及未知威胁等信息,并在此基础上综合分析呈现,形成包括被攻击对象和攻击源识别、脆弱性识别、攻击过程及影响分析、安全风险态势等在内的多视角全方位的态势感知系统。
态势感知平台的总体实现示意图如下所示:
如图所示, 态势感知平台是构建在现有的安全防护设施之上的平台系统, 可以兼容整合用户网络中现有的或待建设的各类安全设备、 安全子系统或任何安全数据信息源,如防火墙、 IDS、 防病毒、 WAF、 APT、 蜜罐系统以及威胁情报信息等。 基于任意安全设备6 / 66及数据源的对接, 态势感知平台通过安全数据的融合分析及呈现实现态势感知能力,包括态势信息的集中采集获取、海量安全态势信息的大数据存储、面向态势感知的大数据集中分析以及态势感知的可视化呈现。
态势感知平台系统的功能架构由安全要素采集层、安全大数据存储层、安全态势分析层和态势感知及展现层四个层面组成,在各层中分别实现对应的系统功能,平台系统架构示意图如下所示:
该系统依托于大数据平台架构, 从数据的采集、 数据存储到数据分析展现都应用了大量的大数据处理分析技术。 可以应对不同用户环境对海量安全信息数据的高速处理场景,并通过分析结果和可视化效果向用户呈现全网的态势感知。
态势感知系统的各功能层面主要功能如下:
安全要素采集层:提供开放式的信息采集接口,实现对用户环境内各类 IT 资产以及所采用的各厂商安全产品或安全系统进行统一的信息采集,并提供非结构化数据采集接口,可采集各类情境数据和威胁情报。
安全大数据存储层:实现海量安全大数据的分布式存储,提供结构化数据和非结构化数据的存储能力,并为上层的数据分析应用提供高效的数据库功能支撑;
安全态势分析层: 平台综合数据处理分析的能力提供层,提供由大数据技术和架构支撑的快速检索和数据关联发掘功能。是支撑上层数据呈现和分析结果输出的计算引擎层,提供丰富的大数据统计、关联分析、数据挖掘以及态势分析能力,是系统的分析处理的核心。该层提供了基础数据处理引擎,包括流式计算引擎、复杂事件处理引擎、全文检索引擎、关联分析引擎等。 基于这些计算引擎实现分析能力包括威胁目标分析、威胁源分析、攻击过程分析、影响及危害程度分析以及风险分析等。
10 / 66 态势感知层:通过下层所提供的数据采集和处理能力向用户输出态势感知能力,包括资产感知、攻击感知、漏洞感知、运行感知、威胁感知、风险感知以及安全态势总揽,服务于全网的安全态势呈现,支撑用户全局的安全防护工作。