瞬安信息星盘平台
立即咨询
首页
平台功能框架与关键能力介绍平台级数字安全防护框架
平台介绍:是基于大数据、流计算等数字技术,实现“真正意义上”的全网安全告警降噪优化、场景化威胁深度检测与整体威胁关联分析、任意安全设备联动指挥的安全能力中心。
关键能力
平台技术架构介绍
关键能力介绍平台介绍:星盘平台以"智能数据运营“为核心定位,在行为特征分析、异常量化评估、智能关联挖掘等方面具有显著优势,特别适合需要深度数据洞察且技术资源有限的大型组织机构。
关键能力
提升场景分析力度
结构化的覆盖各领域,深入每个领域下的子场景得业务细节,挖掘真实威胁、具备实战意义;
提升整体感知能力
基于策略模型识别出来事件主体,可实现基于时间的半自动、全自动化的响应。
提升预警能力
打破传统事件输出视角,围绕常规事件主体基于场景化、关联风险进行基于时间滑动窗口的预警。
结构化的覆盖各领域,深入每个领域下的子场景得业务细节,挖掘真实威胁、具备实战意义;
提升整体感知能力
基于策略模型识别出来事件主体,可实现基于时间的半自动、全自动化的响应。
提升预警能力
打破传统事件输出视角,围绕常规事件主体基于场景化、关联风险进行基于时间滑动窗口的预警。
更开放的数据集成 - 数据对接围绕用户 - 无生态绑定的数据集成能力。
数据对接
多元异构数据
支持多元异构数据的采集,覆盖全域范围,包含不限于网络访问日志、应用日志、终端数据、资产信息、云平台、账号登录日志、业务操作日志等数据。
多种对接方式
支持通过多种方式采集数据,包括但不限于文本文件手动导入、日志传输协议被动实时采集、开放接口实时接收、主动推送与订阅方式采集、定制脚本采集等方式。
多种字符解码方式
支持在采集器级别配置不同数据类型使用不同的字符编码方式。
数据治理
全面的数据治理手段
面向数据治理涉及的全部治理方式或手段,包含不限于数据加工、字段补全、数据归一、字段富化、标签设置、字段映射等。
开放的数据治理过程
应具备将数据治理的过程转变成可编排、可配置、可导出的数据治理模板。
可监控数据治理质量
根据对应场景的数据治理标准,通过数据建模技术,构建数据质量监控模型,实时监控、量化数据治理的质量。
图形化界面针对每类设备定制数据治理流程与逻辑
行业现实困境
商做法:内置常见的应用、系统、设备日志的解析规则,实现到客户现场 “开箱即用”;
实际交付:内置解析规则命中率低、配置复杂,操作繁琐,商服务跟不上,平台几乎停摆。
商做法:内置常见的应用、系统、设备日志的解析规则,实现到客户现场 “开箱即用”;
实际交付:内置解析规则命中率低、配置复杂,操作繁琐,商服务跟不上,平台几乎停摆。
创建流水线数据治理编排技术
特性:将操作节点抽象成两类节点:条件节点,加工节点,条件节点用于数据过滤,确定数据加工对象;加工节点用于每次加工操作类型,加工节点后面可无限制追加加工节点,类似流水线,直到数据解析完成为止。
优势:实现了一套操作简便、一步到位、流水线式的数据编排治理的操作模式,用户可自行配置,厂商可持续积累ETL规则。
特性:将操作节点抽象成两类节点:条件节点,加工节点,条件节点用于数据过滤,确定数据加工对象;加工节点用于每次加工操作类型,加工节点后面可无限制追加加工节点,类似流水线,直到数据解析完成为止。
优势:实现了一套操作简便、一步到位、流水线式的数据编排治理的操作模式,用户可自行配置,厂商可持续积累ETL规则。
星盘数据治理界面
星盘数据治理效果
与传统数据治理方式的对比传统数据治理界面,治理过程被拆分,看不到全貌跟流程。
平台沉淀的各类数据可共享至三方平台
策略建模 - 能灵活支持安全运营各类监控场景
区别优势
能匹配到的行为类型更广泛;
计算周期长,提炼行为特征类型更广泛、更容易;
天然支持,最基础的,但更灵活;
时间跨度大,看得远;
基线算法丰富,时间跨度更远。
能匹配到的行为类型更广泛;
计算周期长,提炼行为特征类型更广泛、更容易;
天然支持,最基础的,但更灵活;
时间跨度大,看得远;
基线算法丰富,时间跨度更远。
场景举例
既可以把IP当成字符使用也可以当成字符串使用;
首次出现、会话窃取、捕捉Payload带来的影响等;
捕捉当一个受害者变成攻击者,并产生风险行为;
捕捉同一个事件主体产生的行为序列不符合预期的情况;
针对会话流画像,去观测数据外流的不符合基线的情况。
既可以把IP当成字符使用也可以当成字符串使用;
首次出现、会话窃取、捕捉Payload带来的影响等;
捕捉当一个受害者变成攻击者,并产生风险行为;
捕捉同一个事件主体产生的行为序列不符合预期的情况;
针对会话流画像,去观测数据外流的不符合基线的情况。
策略建模 - 能灵活支持安全运营各类监控场景
区别优势
支持首次逻辑,为捕捉逃避检测行为,提供技术支撑;
定义周期性时间,指标级别的四则运算提炼复杂的行为场景;
能够灵活计算时间字段的差值,满足安全场景;
个性化展示每一个行为特征的关注点,提升风险可见性;
追溯到原始日志,有灵活的查询、分析的功能。
支持首次逻辑,为捕捉逃避检测行为,提供技术支撑;
定义周期性时间,指标级别的四则运算提炼复杂的行为场景;
能够灵活计算时间字段的差值,满足安全场景;
个性化展示每一个行为特征的关注点,提升风险可见性;
追溯到原始日志,有灵活的查询、分析的功能。
场景举例
捕获隐秘的探测行为、低频攻击行为;
半夜三更特权账号登录;攻击地址拦截率不超过50%预警;
捕捉超长时间异常会话;
比如用表格展现攻击详情,用榜单展现影响资产等;
比如存在某个攻击行为特征,就能反向追溯背后的原始日志。
捕获隐秘的探测行为、低频攻击行为;
半夜三更特权账号登录;攻击地址拦截率不超过50%预警;
捕捉超长时间异常会话;
比如用表格展现攻击详情,用榜单展现影响资产等;
比如存在某个攻击行为特征,就能反向追溯背后的原始日志。
策略建模 - 能灵活支持安全运营各类监控场景
区别优势
基于策略模型提炼自有本地情报库,然后用于规则匹配;
这样能对整体、个体的风险量化评估,对比,研判、处置就有准绳;
对等,使用方式不同;
可以回溯过去风险;
场景基于甲方视角,体系化落地。
基于策略模型提炼自有本地情报库,然后用于规则匹配;
这样能对整体、个体的风险量化评估,对比,研判、处置就有准绳;
对等,使用方式不同;
可以回溯过去风险;
场景基于甲方视角,体系化落地。
场景举例
场景提炼情报库+使用情报库,比如外联C&C;
量化每个攻击地址、账号的安全风险,风险程度;
比如攻击者爆破多个账号时预警;
回溯定向攻击模型,观测过去1个月哪些地址存在定向攻击行为;
如恶意攻击、定向攻击、边界突破、横向相关风险、主机失陷、账号失陷等关键模型。
场景提炼情报库+使用情报库,比如外联C&C;
量化每个攻击地址、账号的安全风险,风险程度;
比如攻击者爆破多个账号时预警;
回溯定向攻击模型,观测过去1个月哪些地址存在定向攻击行为;
如恶意攻击、定向攻击、边界突破、横向相关风险、主机失陷、账号失陷等关键模型。
策略建模 - 效果演示 - 算子丰富带来的价值实战案例1
如何快速识别某个地址经过不断尝试,最终成功的那一下的攻击行为,或者payload投递到某台主机上,payload产生了影响,这需要根据实战去提炼模式,比如使用连续次数算子去实现。
如图所示:该地址访问同一个地址的同一个URL,通过不断尝试连续触发7次异常响应,直到第八次成功,这个抓的就是从不成功到成功的隐秘、异常行为模式,不管这个地址是在干什么,符合这种模式,就得预警。
策略建模 - 效果演示 - 算子丰富带来的价值实战案例2
在实际业务环境中,会存在一些非常隐秘的心跳行为,突然出现之后很长一段实际没有动静,如何去捕获这种行为,需要“集中度”算法才能搞定。
如图所示:7天内,该地址存在异常流量,在12号突然出现2次之后,马上消失,接下来几天也没有动静。
策略建模 - 效果演示 - 算子丰富带来的价值实战案例3
安全边界是攻防双方交战的地方,怎么快速识别,哪些地址是持续。性、不间断的攻击我方业务的,之后快速封禁掉,以免产生损失,这时需要“活跃数”算法才能实现。
如图所示:30天内,存在定向攻击行为的定制有两个,点开49地址的风险详情,展示该地址7天内每天都在高风险攻
策略建模 - 效果演示 - 时间计算跨度大带来的价值实战案例4
除了算子丰富,时间计算跨度大也很重要,某些关键场景才能实现,比如安全对抗当中,新出现的事务的检测非常关键的,比如首次出现,首次登录等,需要实时观测近一个月的数据才具备实战意义。
如图所示:该主机30天内首次访问FTP,这就是一个异常点,需要观测该主机后续会产生什么行为。
策略建模 - 效果演示 - 二次分析带来的价值实战案例5
有些场景需要基于分析的结果再次分析,才能分析出想要的结果,这时需要二次、再次、三次的分析能力。
如图所示:该地址存在6次弱口令登录的行为,这是分析出来的行为特征,基于这个特征再次分析,发现该地址存在,横向爆破的行为。
策略建模 - 基于甲方视角内置体系化策略模型
策略建模 - 内置策略模型对比
研判分析:提供全局视角研判整体安全风险的能力赋能安全运营任意基于数据建模输出的模型分析结果数据
高效、方便、灵活的支撑网络整体风险研判分析工作。
全局视角
任意关联分析能力
星盘:支持同一个场景多维度关联,不同场景关联,机器自动关联未知风险组合。
NGSOC:支持规则关联、不支持场景关联。
定制化方案设计
星盘:能够将横向的攻击风险,以图谱的形式展现,实现横向风险的可观测性
NGSOC:只支持一跳。
NGSOC:只支持一跳。
安全风险量化能力
星盘:能够构建一个整体视角,围绕攻击源、账号、资产、自定义主体,去观测各个主体的风险高低与风险细节
NGSOC:不支持。
NGSOC:不支持。
关联业务数据能力
星盘:支持
NGSOC:支持。
研判分析 - 效果演示 - 场景化关联分析与量化实战案例6
基于场景将行为特征挖掘好,怎么去场景化关联与量化,也很关键,比如如何去评判哪些地址对我方业务最具恶意攻击企图的,需要量化,为什么,需要关联,证据链完整。
如图所示:近7天内,哪些地址具备恶意攻击企图,以恶意程度进行降序排列,并可对具体地址进行恶意特征的展示。
研判分析 - 效果演示 - 围绕事件主体的关联分析与量化实战案例7
分析的目标是分析出组织内、整体来看所有地址、账号、资产存在什么安全风险,并且能量化,方便研判与处置。
如图所示:近7天内,从整体观测,哪些地址有风险,基于风险分降序排列,然后查看49地址,展示这个主体存在各种风险行为,并纵向的、横向的展示,通过关联分析发现存在“数据泄露”
智能预警 - 基于滑动时间窗口实时预警&未知风险关联预警
智能预警 - 效果演示
平台性能优势:数据治理方面
01、配置预编译
一般自研解析引擎可达到按照配置执行解析的效果。星盘的数据治理模块中,除了内置高性能匹配模块外,对用户配置的解析器也会进行预编译,把静态配置信息转换为适合运行态的执行器,大幅提升运行性能。
02、数据解析器
通过优化解析模式,大幅精简分支,降低圈复杂度,缩短调用栈层级。对多种类型数据解析进行压测对比,分别有5~10倍的性能提升。
平台性能优势:数据计算方面01、Rete算法
星盘分析引擎中按照Rete算法进行了实现,决策过程中的中间结果可以复用用数据驱动规则的执行,避免了大量相同判断的重复执行开销。
星盘分析引擎中按照Rete算法进行了实现,决策过程中的中间结果可以复用用数据驱动规则的执行,避免了大量相同判断的重复执行开销。
02、hyperscan加速
星盘中大量用到正则表达式,正则表达式由于其灵活性较高,往往会产生较高的计算资源开销,但平台使用了hyperscan引擎,对正则表达式的执行进行硬件指令级别的加速。
星盘中大量用到正则表达式,正则表达式由于其灵活性较高,往往会产生较高的计算资源开销,但平台使用了hyperscan引擎,对正则表达式的执行进行硬件指令级别的加速。
平台性能优势:数据查询方面
01、查询方案对比
ClickHouse对检索、聚合的处理能力进行了高性能设计,例如对SELECT查询以及全部90多个聚合函数进行了并行化,分别在列值,表,表分片上具备完整的并行度支持。
02、聚合查询对比
ClickHouse 中的Count()聚合查询利用硬件效率极高,与Elasticsearch 相比,聚合大型数据集的延迟至少降低了5倍。
平台性能优势:数据存储压缩方面
01、数据层面压缩
设定数据唯一标识规则,对满足规则的数据进行无损压缩,包括保留日志开始时间、结束时间、求和上下行字节、记录压缩条数等,压缩比可达10:1
02、存储层面压缩
采用lz4和zstd算法数据压缩,高压缩比降低数据大小,降低磁盘IO。
压缩比可达3:1~10:1
压缩比可达3:1~10:1
产品推荐
腾讯云智能结构化文字识别,适应任意版式,提高数据可用性,根据客户传参,智能调整结构化文本内容。一个产品满足附加需求,增加客户粘性,为客户的非标准产品需求形成轻量级OCR解决方案,低成本、低门槛、短周期的方式快速接入。
VITURE是一家创新XR眼镜品牌,专注于开发轻薄时尚的消费级XR眼镜,为用户提供沉浸式移动娱乐与办公体验。戴上VITURE XR眼镜,让你的戏剧、电影和工作空间瞬间变成超大135英寸私人影院-超高亮度、高刷新率与低视觉疲劳设计,无论在哪,都能尽情沉浸于属于你的虚拟世界。
云铺智慧景区票务管理一站式解决方案,整合景区全渠道售票系统与票务线上线下一体化平台。可实现多渠道售票、线上线下票务同步,高效管理票务流程,提升游客购票体验与景区运营效率,适配各类景区场景,助力景区数字化票务管理升级。
泛微e-cology9数字化管理平台人事应用,构建一个机构清晰、权责分明、协同运作的人才环境。提供全面丰富的HR应用,包括招聘管理、员工档案、员工异动管理、员工培训管理、人事合同管理、考勤管理、薪资绩效管理、HR报表管理等。
数字化社区
视频
文章
