方案背景
安全产品众多,安全信息分散
企业网络建立了防病毒系统、防火墙、入侵检测系统等一系列安全工具,但各种信息安全保障工作相对独立,各自为战,缺乏有效手段将这些安全工具有效串接,并形成一个综合防御体系,增加了管理的复杂度和运维成本。
安全信息种类繁多,难于统一利用
企业构建了基于传统关系型数据库的日志安全中心,但随着大数据时代的到来,各类安全信息的规模变得非常庞大和种类繁多,安全中心难于扩展,数据存储和管理变得困难,日志历史数据的分析能力变弱,导致安全事件的调查效率较低。
方案亮点
构建网络安全平台前端,简化网络运维
在网络安全平台前端部署探针设备,将分散的网络流量和安全日志进行统一采集,过滤掉后端安全平台不需要的数据,减少无用流量对带宽的占用率,提高后端安全平台的处理效率。
利用元数据提取有效信息,全方位感知网络状态
支持对多种网络协议进行元数据提取,例如IP协议、TCP协议、UDP协议、HTTP协议等。通过将网络协议中的关键字段信息进行分析整理,并根据既定的格式,生成协议流量日志。流量日志可作为后端分析系统的输入源数据,大大简化了后端分析系统对流量预分析的负载,让后端系统更加聚焦自身业务。
统一安全日志格式,提高分析效率
将流量按协议分完后,进行协议的元数据提取,将报文中关键信息进行抓取和解析,并将这些解析后的数据,生成固定格式的流量日志,流量日志的格式目前没有统一的标准,不同的后端安全平台采用的流量日志格式可能会不同。前端探针设备在将网络原始流量转换成流量日志后,还需要进行Kafka协议格式的转换。前面介绍过,安全态势感知平台是利用了大数据分析的技术,那么目前大数据分析系统采用的数据分发方式为Kafka协议模式,同理安全态势感知平台也需要遵循Kafka协议,就需要探针设备在给安全态势感知平台的数据格式一定是Kafka。所以对于安全态势感知平台前端部署的探针设备要求要有Kafka转换的功能。
应用场景
安全态势感知系统
安全态势感知平台分析的原始网络流量,是通过在生产网络的核心交换机上配置端口镜像的方式进行采集,在部署方案的前端采用了两台ET1600作为探针设备,当接收到从核心交换机传输过来的镜像流量后,首先进行流量的过滤和筛查,去掉无用或者冗余的流量,然后对流量进行协议的分类和元数据提取,并将流量日志转换成Kafka格式并输出到后端安全态势感知平台。