翼支付：“安全大脑”智能安全运营平台

扫描分享

本文共字，预计阅读时间。

参赛单位：天翼电子商务有限公司

案例名称：“安全大脑”智能安全运营平台

案例简介：

“安全大脑”结合我司10年的大数据分析与攻防对抗经验，结合运营商海量威胁情报资源，采用流式计算、关联引擎、大数据机器学习、分布式存储等核心技术，自主研发出一套具备主动发现、检测分析、响应处置、安全编排、态势可视能力的一体化安全检测与响应平台。有效解决安全数据孤岛分散、资产无法摸清、依赖特征无法发现高级潜在威胁、人手不足精力淹没在大量告警噪音、响应处置耗时长、告警误报率高等安全运营痛点。

创新技术/模式应用：

在技术创新方面主要体现以下几个方面：

一、海量多源异构数据汇聚能力，支持国内外主流厂商上百种数据源

覆盖主机操作日志、设备日志、流量、威胁情报、资产等数据源，对海量异构数据进行抽取和标准结构化数据。不局限于某一固定厂商设备，已支持国内外主流厂商的上百种常见设备的数据采集和存储，并支持syslog、kafka、netflow等多种采集方式。

二、基于流式计算的关联分析能力，实现毫秒级的评分分析决策计算

基于一种高可靠、分布式的工作流威胁分析引擎，支持海量异构大数据的实时清洗、统计和威胁分析，并根据安全运营述求，可进行基于特征、基于统计和基于异构数据关联分析的大数据实时威胁分析方法，达到从海量数据中识别攻击威胁，提高攻击事件的检测准确度，从而降低网络安全设备检测行为的误报率，提高安全运营效率，保护企业生产环境安全稳定。具备以下优势和创造性：

· 实时威胁分析模型创新，支持更丰富的攻击场景。以配置模型+双引擎（子引擎+关联引擎），不仅局限于仅对简单的基于规则分析，可实时配置化定制更多丰富的威胁场景，包括统计性、多个数据源间的关联处置；

· 弹性分布式架构，支持更高并发实时威胁体量。通过双引擎的解耦、中间件消息队列（Kafka）、ES和缓存数据库（Aerospike）各自技术栈的优势结合，可弹性分布式横向扩展，应对更大数据体量的实时威胁场景。

三、安全编排和自动化运营

以事件驱动的自动化引擎，提供拖拉拽的可视化web工具，实现将事件、人员、动作、触发条件等工作流程连接起来，以“剧本”化的方式提供编排，提供纯自动化/半自动化的运营处置能力，实现在噪音告警的自动化处置、账户爆破处置、蜜罐告警上报等安全攻击场景的自动化响应，降低平均响应处置时间（MTTR），从而提高安全运营响应及处置效率。

四、摸清家底，全生命周期资产和脆弱性管理

主、被动资产发现双驱结合，基于一种自动化调度的分布式资产侦查绘制的核心技术，通过外部扫描绘制，联动CMDB等内部资产管理系统，对资产现状、存活性等进行分类打标，实现互联网暴露面100%掌控，资产数据实时掌握，绘制资产综合画像。

222

333

项目效果评估：

该平台运行至今，取得以下主要效益：

1. 保障企业生产安全稳定，平台累计发现并成功抵御超过285万次网络攻击行为。响应号召，推动网络强国建设，建立起全方位全天候的网络安全态势感知能力，掌握网络安全全局，抵御各类网络攻击事件。

2. 有效缩短平均检测时间和平均响应时间，提升应急处置能力。基于弹性、分布式可拓展的微服务架构，依靠自研的高可靠数据流式分析计算引擎核心技术，安全编排和自动化响应的有效结合，减少平均事件监测时间（MTTD）和平均响应处置时间（MTTR），达到秒级威胁分析自动研判，分钟级的响应处置能力，降低告警误报率70%，大大提升安全威胁研判和处置效率。

3. 低价值、重复性安全工作成本降低，节约50%人力成本。由平台进行辅助威胁研判和自动化联动处置，替代以往跨系统间的监控和处置，红军可投入更多精力在发现未知攻击、高级别潜在威胁等高价值防护工作中。

4. 生成数万个高价值的威胁情报，可拓展运用于运营商、政府、金融等互联网行业，进行相关的威胁辅助研判，提升告警事件准确性。

项目牵头人：

刘　奇天翼电子商务有限公司网络与信息安全管理部总经理

刘剑群天翼电子商务有限公司网络与信息安全管理部安全技术负责人