大数据安全运维一体化解决方案是在IT业务和产品服务多样化的背景下,为满足数据急剧增长的需求,提高处理效率而设计的方案。该解决方案包括安全大数据、应用大数据和监控大数据三个要点。
安全大数据是通过收集各类安全设备日志和网络流信息,清洗归并,并进行规则判断和分析建模。该过程能够提供准确而快速的信息与上下文,以供系统负责人查询使用。
应用大数据是针对业务系统产生的大量数据进行处理,以提高处理效率。通过收集各类监控子系统的详细事件信息,清洗切分,并进行搜索与横向规则判断,以及相关的分析计算,如监控基线。这些数据能够为决策提供支持。
监控大数据是对设备数量和安全设施的监控和管理,以保证系统的正常运行。通过收集各类监控子系统的详细事件信息,清洗切分,并进行搜索与横向规则判断,以及相关的分析计算(如监控基线)。监控大数据能够提供系统状态的实时更新和运维分析。
该解决方案的系统技术架构包含系统基础平台、安全分析、运维分析、应用分析等模块。系统基础平台提供了统一的数据存储和计算平台,支持大数据的处理和分析。安全分析模块主要处理安全大数据,实现对数据的规则判断和分析建模。运维分析模块主要处理监控大数据,实现对系统状态的实时更新和运维分析。应用分析模块主要处理应用大数据,提供给系统负责人查询所需的信息与上下文。
该解决方案的成功案例中,包括历史数据分析和异常行为分析两个应用。历史数据分析通过将Spark集群每天入库信息与模型进行比对,将每类数据的每天变化情况可视化在一张图上,用户可以精确定位到具体IP、目的端口和时间。异常行为分析采用旁路快速检测方式,作为现有安全运维体系的有效补充,同时也可以看作是下一代的安全信息及事件管理系统和运维分析平台,并可以逐步替代现有分析系统。此外,通过单一数据源和简单规则,对每次最新的监控数据进行阈值比较。
总而言之,大数据安全运维一体化解决方案是为应对数据急剧增长的需求而设计的,包括安全大数据、应用大数据和监控大数据三个要点。该方案通过系统技术架构的建立,提供了统一的数据存储和计算平台,并实现了安全分析、运维分析和应用分析等功能。在实际应用中,该方案已经取得了成功的案例,包括历史数据分析和异常行为分析。通过该方案的应用,可以更好地利用大数据,提高处理效率,为业务系统提供更好的支持。