为解决港口集团网络所面临的用户群体广泛、网络威胁升级和传统安防方案落后的困境，应尽快构建大数据智能安全平台，及时发现港口集团网络安全所面临的威胁

港口集团智能安全平台的构建

　　为解决港口集团（集团）网络所面临的用户群体广泛、网络威胁升级和传统安防方案落后的困境，本文基于大数据分析技术架构，融入海量分析工具，通过建立大数据智能安全平台，实现对海量安全数据高速准确提取，并进行动态计算分析，及时发现集团网络安全所面临的威胁，应对安全事件进行监控、分析、溯源、处置和报告，使安全管理形成完整的闭环，高效提升智能化安全运维管理水平。

　　安全现状

　　集团各类服务型、学习型网站面向的客户群体越来越多，网络访问量日趋增大，应用业务系统的安全问题日趋复杂。同时，在黑色产业链的利益驱使下，网络黑客的规模越发庞大，攻击手段也由简单的口令拆解、窃听向着更为复杂的漏洞利用和APT攻击演变。各种基于社会工程学、0day和绕过攻击等方式发起的新型攻击手段不断出现，网络安全问题呈现出多元化的发展趋势。

　　目前以大量安全产品简单组合为标志的传统应对方案存在诸多问题：一是安全设备孤岛式分布，无法真正的关联分析；二是安全设备告警泛滥，运维人员疲于应付，无所适从；三是安全分析依赖内置规则，缺乏分析建模扩展能力、安全分析有效回溯能力和乏弱点信息与安全事件的关联分析能力。因此，集团亟待开始更完善、更高效的网络安全系统建设。

　　解决方案

　　基于传统安全分析存在的困境，目前迫切需要一种能够对海量安全数据进行高速、准确提取，进行动态计算和分析，再结合强大的情报发现能力，尽可能早地发现安全威胁，以提升用户运维效率、协助用户制定解决安全问题的应对方案。在这方面，通过大数据与云计算的技术融合，构建解决海量安全数据的集中治理平台，即大数据智能安全平台，不失为一种良策。

　　大数据智能安全平台可以滤现出真正有效的攻击和事件，以便管理者进行全面溯源与取证，完成安全事件处置。大数据智能安全平台包括数据采集、大数据智能分析和数据应用三层架构（见图）。

　　大数据智能分析主要包括实时分析系统、用户行为分析系统和深度感知智能引擎。

　　实时分析系统内置700多种规则策略，包括拒绝服务恶意脚本、敏感目录访问等。另外，还内置20多种不同的安全分析场景，包括DDos攻击、暴力破解和扫描行为攻击等。实时分析系统能够对正在发生的事件进行实时分析，及时发现最可疑的安全威胁。

　　用户行为分析系统针对集团海量安全终端数据进行分析、建模和学习，从而构建出不同场景中的正常状态并形成基线。实时监测当前的行为，通过已经构建的规则模型、统计模型、机器学习模型和无监督的聚类分析，及时发现系统和设备存在的可疑行为，解决海量日志里快速定位安全事件的难题。

　　为解决集团复杂业务场景的安全分析需求，满足持续威胁事件的分析和溯源，必须定制方案，建立为用户提供查询分析的大数据交互式分析系统。

　　通过集团已部署的态势与预警平台，关联分析多维大数据，实时发现集团网络中存在的安全事件、安全风险点，进行实时安全威胁预警。并且能够结合先进的大数据关联技术实现对安全告警时间和攻击者的追踪与取证，提供溯源报表。告警溯源能从对告警时间的闭环式溯源服务，提供查询告警事件的原始日志服务。攻击者追踪溯源能够实时展现攻击者相关IP 攻击类型以及结合大数据关联分析技术，类似攻击行为的聚合分析，并提供实时取证列表查看，能够有效地对攻击者追踪。

　　系统报表中心能为集团提供包括网站访问次数、拦截攻击次数等全局分析报告；针对Web攻击行为、主机攻击行为等提供深度威胁分析报告；针对攻击手段和攻击事件进行深入分析的攻击者追踪溯源报告等。

　　集团大数据智能安全平台采用大数据分析技术架构，兼顾集团未来业务的发展。大数据智能安全平台正式上线后，通过对集团设备资产、网络流量、用户基本数据的采集和集中化存储，实现整体网络安全态势可视化，告警趋势明显下降，网络环境安保综合评估能力得到了显著的提升。