融合大数据的开放式平台架构

盛华安全系产品都基于赛博坦(Cybertron)套件开发平台打造。赛博坦套件开发平台基于Cybertron框架开发,采用融合大数据的开放式平台架构设计,具有多要素采集融合、多维度安全分析、多方位态势感知、多层次开放连接的技术特色。
整个平台架构分为四层,自底向上依次是:数据摄取层、安全数据中心层、智能分析层和安全管理层。

日志元数据动态建模技术

在所有安全数据中,日志数据(包括各类设备和系统发出的日志及告警,以及流量日志)最为关键,是整个安全分析的核心对象,而日志数据模型也最为复杂,具有典型的高速、海量和多变的特点。当前业界大部分产品都采用预置元数据模型加固定扩展属性的方式来进行日志元数据建模,难以有效应对日志的多样性和多变性,从而抑制了后续的一系列安全分析能力的发挥。为此,盛华安采用了日志元数据动态建模的创新性技术,通过预置一个可以扩展的无模式元数据模型,使得安全分析师能够在系统运行过程中任意实时改变日志数据模型,并即时生效,当即运用于所有后续安全分析过程中。同时,所有建模过程都通过可视化编辑器进行,直观便捷。

分布式关联分析引擎技术

为了解决传统关联分析引擎的性能瓶颈问题,盛华安从一开始就实现了分布式关联分析引擎技术。通过分散运行在管理中心和多个分布式计算及存储节点上的多个分布式关联分析引擎,系统将待分析的海量实时或历史数据分布在不同的节点上进行并行处理,并依靠主关联分析引擎与各个关联分析引擎之间的调度机制进行分析状态的实时共享,从而确保满足同一规则的数据即便在不同的节点上也能够被关联出来。借助分布式关联分析引擎,系统可以实现关联分析性能的近似线性提升。

基于分布式行为分析引擎的UEBA技术

系统的用户与实体行为分析(UEBA)能力基于分布式行为分析引擎打造。通过在管理中心节点和分布式计算及存储节点上部署分布式行为建模引擎,可以对分散在各个节点中的海量行为数据进行行为建模,并将建模结果统一汇总到管理中心的主行为建模引擎中,形成行为基线库,然后再基于多种机器学习算法的行为异常判定算法判定行为异常,产生行为异常事件,并将结果输出给UEBA模块作为用户及实体画像和综合评分的依据。管理员可以借助系统内置的模型编辑器进行可视化行为建模。系统支持个体行为模式、群组对照模式等行为轮廓建模方式;可以针对历史数据建模,也可以针对实时数据持续建模;支持多种轮廓点计算方式。

安全编排、自动化与响应技术

盛华安的安全编排、自动化与响应(SOAR)核心能力包括安全告警、案件管理、工单管理和安全编排自动化四个部分。

多源威胁情报利用技术

系统能够通过主被动方式采集来自外部的商业、开源或社区威胁情报信息,并对这些情报进行数据融合,形成系统自身的情报库和热情报库。系统能够将这些外部情报与系统采集到的用户网络内部的安全数据进行碰撞比对,利用威胁情报进一步增强安全分析的效果。系统支持多种威胁情报利用方式,包括威胁情报预警、基于威胁情报的日志增强、情报与日志的实时比对、基于情报的历史日志追溯、交互式情报调查等。进一步地,用户既可以在事件分析的时候进行情报调查,也可以在告警调查或者案件调查的时候进行情报调查。