導語：企業安全大數據平臺建設及實現一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

在不同的領域以及不同的時期，人們對于信息安全也具有不一樣的認識，并且在對于安全問題的解決上仍然存在著一定的側重面的差異性。因此需要借助于大數據技術，整合安全系統的安全信息進行關聯分析以及威脅建模，從而將其計算提速，把有效的信息從大量的日志告警的信息之中發現，將其脆弱性以及安全的威脅進行定位，并且還需要將安全的場景模型進行設計，強化針對業務的安全威脅監控，實現俯瞰企業安全狀況的安全全景視圖。

一、企業大數據平臺建設的目的與意義

現如今，企業業務的不斷發展，已經漸漸地向著采集方式、數據源的分布化、多樣化以及碎片化趨勢發展，采集分析系統中的條塊化分析將安全分析限制，將系統的分析效能嚴重的降低，因此數據采集分析的架構亟需優化，以便快速提取數據的應用價值。企業安全大數據的建設目標是基于大數據技術，實現對應用系統操作日志（4A日志）、各類設備的安全事件日志（SMP日志）、業務系統流量數據等安全數據的采集、存儲與管理的統一處理，實現4A、SMP、業務系統日志分析及報表功能的無縫遷移與性能大幅優化，進一步實現針對風險、事件等高維度的全新分析模型與技術，提供完整高效的進行安全事件的溯源和處理手段。

二、安全大數據平臺設計與實現

1、安全大數據平臺框架。通過大數據分析技術實現對企業網絡與信息安全指標呈現、安全預測/預警以及事件分析體系的研究。安全大數據的總體框架包含統一采集、數據處理、搜索引擎、挖掘分析和統一展示等模塊。2、安全數據的集中采集。安全大數據平臺采用大數據集中采集方式收集各類日志數據，日志采集主要分為4A審計日志、SMP日志、業務流量日志，實現由目前各系統獨立采集向集中化大數據架構的轉換。3、業務系統旁路流量采集。業務系統旁路流量采集主要是以網絡鏡像流量的方式采集業務系統流量，根據http協議分析、過濾、格式化以及補全操作，分析出需要的數據提交給上層數據存儲中，為業務安全模型分析提供數據基礎。4、業務安全模型分析。1、異常登錄行為分析，分析登錄日志建立模型，其特征審計模型包括維度包括：非法密碼猜解、使用程序賬號登錄、異常IP地址登錄、非正常時段登錄、維護人員共享賬號、離職人員工號非法盜用等行為進行審計分析，及時發現運維人員的違規操作。2、人員違規操作監控分析，關聯登錄日志、操作日志建立正常的人員行為特征模型：(1)學習建模；(2)冗余范圍建立：標準模型*1.2范圍;(3)根據模型的的規律，及時營業員的違規操作5、系統安全事件分析。針對安全事件發生時研究范圍中系統狀態進行分析，分析不同安全事件時各系統運行狀態與正常情況下差異。能夠提供每個信息安全資產的安全態勢，動態圖表的形式展示，訪問量趨勢圖、攻擊走勢圖等可視化圖，能夠對攻擊進行溯源分析，能夠分析攻擊的影響范圍，并能夠提供安全預警。6、安全趨勢預測。對研究范圍內業務系統的安全數據進行統一采集整理、從多個維度綜合分析，提升整體的預警能力，為系統安全預警與安全事件體系研究做出依據。同時對業務安全和系統安全所面臨的安全風險定制化模型分析的結果進行安全量化指標排名，進一步將安全風險做到可度量、可視化的動態展示。

三、實現和應用效果

通過對業務安全和系統安全所面臨的安全風險進行定制化模型分析，建立異常登錄行為模型、內部人員違規操作模型、入侵攻擊事件分析模型，完成后臺運維人員、普通業務人員、外部攻擊者的用戶畫像，進一步將安全風險做到可度量、可視化的動態展示，實現了信息安全整體態勢感知以及發展趨勢的有效預警。實現企業日常運行、維護中所產生的數據集中采集、匯總和標準化；基于大數據分析方法建立用戶日常行為模型，為風險預測和識別提供基準數據；實現企業日常運行、維護等安全數據的海量數據分析，風險識別；實現基于大數據進行安全分析和對安全事件進行預測、預警的能力；實現企業整體安全態勢的多維度展現，為安全管理決策提供支持。

四、結語

本文主要研究了基于大數據技術，實現對4A、SMP、應用流量等安全數據的統一采集、存儲與處理，給出了安全大數據具體功能架構設計，實現了審計分析及報表功能的平滑遷移與性能大幅優化；建立了用戶異常行為分析模型、入侵攻擊事件分析模型、安全事件預測模型，提供高效的安全事件分析和預警方法。

作者:陸艷軍 趙立農 王子強 單位:中國移動通信集團重慶有限公司 北京啟明星辰信息安全技術有限公司