大数据分析信息安全日志的解决方案

大数据分析信息安全日志的解决方案

集成的协议审查和安全大数据分析平台包括安全设备、网络设备、主机、操作系统在用户网络中，从不同供应商到管理中心的数据库系统和用户业务系统的实时收集，实现了对整个网络的全面安全审计。利用大数据分析和挖掘技术，通过不同的攻击模型场景，实现不同的网络攻击行为；可以检测到异常的用户访问和操作行为。

1、系统平台的体系结构。国内大数据安全分析系统包括大数据采集平台、未知威胁检测系统、分布式实时计算系统（Storm）、复杂事件处理引擎（Esper）、Hadoop平台、分布式文件系统（HDFS）、分布式列数据库（Hbase）分布式并行计算框架（Map/Reduce、Spark）、数据仓库（Hive），分布式全文搜索引擎（ElasticSearch）和科学计算系统（Euler）。这些技术可以满足用户收集、处理、分析、挖掘和存储大型事件的需求。

该系统可以对实时收集的各种类型的信息进行标准化和分析，并通过统一的控制台界面实时可视化。它可以帮助安全管理员快速准确地识别安全事件，提高工作效率。

2、执行功能。该系统可以实现所有网络设备、安全设备、服务器、数据库。审查200多个设备和应用程序中的数万个协议，包括中间件和应用程序系统，并快速支持业务系统中的用户日志检查。该系统收集来自公司和组织的所有安全日志和警报信息，帮助用户准确快速地收集安全事件。通过标准化和智能化的协议依赖性分析引擎提供支持，以协助识别。通过对系统安全事件的攻击和快速安全措施，为您的网络环境提供安全保护。使用经过检查的各种审核日志，在一段时间内重新组织可疑攻击事件序列。分析攻击路径，帮助安全分析人员快速识别攻击源。整个Hadoop架构主要基于分布式文件系统（HDFS），为分布式存储提供基本支持。

集成的大数据分析信息安全日志可以为网络提供适当的可扩展性。它支持集中部署和跨区域的大规模网络部署、分层和物理/逻辑隔离。它是一个用于捕获、存储和分析大型事件的水平可扩展平台。

3、应用场景。这些系统解决了传统协议测试无法实现的协议相关性分析和智能定位功能。在一家公司的网络系统中，大量实时日志分布在各种网络设备、服务器生成的安全设备等上。提取所需信息非常困难，基于设备之间的相关性识别设备错误也将是一个重大挑战。例如，特定公司可以将设备及其环境的日志消息与直接连接的设备相关联，以确定设备是异常还是故障。例如，对于核心交换机SW1，如果直接连接到交换机的所有设备都报告了接口断开协议，则设备SWl将被识别为故障设备，并且应该迅速响应。然而，现有的数据很难通过外围设备的警告来识别故障，而大数据审计平台是最好的解决方案。

大数据分析信息安全日志可以使用实体相关性分析、地理空间分析和统计数据分析等技术来分析实体之间的关系，并使用相关的结构化和非结构化信息来检测非法活动。对于集中存储的信息，审计员可以使用历史分析工具。