基于大数据和海量数据挖掘的攻击溯源解决方案

1、基于大数据和海量数据挖掘的攻击溯源解决方案1.网络安全事关国家安全发达国家如何进行态势感知预警溯源团队态势感知、预警、溯源的成果已知威胁的感知溯源僵木蠕感知APT攻击态势感知DDOS态势感知大数据网络溯源系统APT未知威胁的感知溯源结语目录网络空间安全-国家安全党的十八大报告党的十八大报告指出：世界仍然很不安宁。，粮食安全、能源资源安全、网络安全等全球性问题更加突 出。党的十八大报告要求：建设下一代信息基础设施，发展现代信息技术产业体系，健全信息安全保障体系， 推进信息网络技术广泛运用。高度关注海洋、太空、网络空间安全。中央国家安全委员会成立习近平总书记提出：“一观一路”，即“总体国家安全观”

2、 和“中国特色国家安全道路”。“要构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、 生态安全、资源安全、核安全等于一体的国家安全体系。”中央网络安全和信息化领导小组成立2014年2月27日，中央网络安全和信息化领导小组成立。该领导小组将着眼国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络 安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，推动国家网络安全 和信息化法治建设，不断增强安全保障能力。国家安全法2015年7月1日，第十二届全国人民代表大会常务委员会第十五次会议通过新的国家安全法。国家主席习近

3、平签署第29号主席令予以公布。构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、 科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。以法律形式确立总体国家 安全观。共7章84条，自2015年7月1日起施行。清华大学法学院院长王振民评论说，这部法第一次明确了 网络空间主权这一概念，这可以理解为国家主权在网络空间的体现、延伸和反映。从这个法的内容可 以看出，国家针对建设网络与信息安全保障体系，加强安全情报收集处置，建立风险预警，以及基础设施 供应链管理准入方面针对网络安全做了强制要求和增强。网络安全法草案7月6日起在中国人大网上全文公布，并向社会公开征求意见。草

4、案强调，国家坚持网络安全与信息化发展 并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设，鼓励网络技术创 新和应用，建立健全网络安全保障体系，提高网络安全保护能力。2011年7月首次发布网络安全战略报告，将网络空间确定为继陆、海、空、宇宙空间之后的 新的第五个战场。国防部宣布，美国政府和相 关设施遭受网络攻击时，不排除实施军事报复的可能性。据说美军已经发展了1000多种网络武器，该战略提出了21世纪的一种新的战争 方式，主要针对中国和北朝鲜。2013年5月23日，美国国防部23日发布了一项网络战争新战略，首次明确讨论了美国在何种情况下，可以使用网络武器来对付攻击者，并

5、 且还列出了美国自认为威胁最大的国家：中国、 俄罗斯、伊朗和朝鲜等。为了实现以上目标， 美国防部决定大力投资网络能力建设，组建一支包括个小组的网军。美国网络战争的整体行动能力，包括宣示政策、预警能力、防 卫部署、反应程序以及美国网络与系统恢复能 力等，将阻止那些损害美国利益的网络攻击。网络武器禁运电影的场景恐怖分子托马斯和他的女友梅，他们都曾是 美国政府的特工，准备利用黑客技术，在美国独立日当天让全美国的计算机系统集体瘫 痪。他们瘫痪了华盛顿特区的交通系统（交通）， 进一步瘫痪纽约股票市场(金融)，全国因此陷 入混乱。接下来要针对民生部分下手，前往西维吉尼 亚发电厂。从而达到他们控制全球的阴谋

6、。据纽约时报等美国媒体报道，美国当局起诉一名中 国商人，称其通过黑客手段2009年到2013年间成功从 波音和洛克希德马丁公司的网络，窃取了包括F-22、 F-35战斗机和C-17运输机等先进机型图纸在内的65个G的军事项目资料。2014年7月10日中国外交部发言人洪磊在例行记者会上 说，中国政府一直强调，中方坚决反对网络黑客攻击行 动。这样的报道和评论是不负责任的，也不值一驳。2014年6月10日外交部发言人华春莹主持例行记者会， 说：我对美方这种贼喊捉贼的做法很不以为然。众所周 知，斯诺登案发生以后，大量披露和曝光的事实已经明 白无误地表明，美国政府和其相关部门长期以来对包括 中国在内的很

7、多外国政要、个人和企业进行了大规模、 有组织的网络窃密和监听监控活动，甚至达到了无孔不 入、无所不用其极的地步。美国不必把自己装扮成受害 者，它自己就是“黑客帝国”，这是地球人都知道的事 实。美方不思反省，不思检点，反而仍在无理指责和攻 击别国，这样的做法不具任何建设性。美起诉中国商人盗取战机机密 中方曾多次驳黑客论1.网络安全事关国家安全2.发达国家如何进行态势感知预警溯源团队态势感知、预警、溯源的成果已知威胁的感知溯源僵木蠕感知APT攻击态势感知DDOS态势感知大数据网络溯源系统APT未知威胁的感知溯源结语目录2011年3月，EMC公司下属的RSA公司遭受入 侵，部分SecurID技术（R

8、SA的根证书）及客 户资料被窃取。其后果导致很多使用SecurID 作为认证凭据的公司包括洛克希德马丁 公司、诺斯罗普公司等美国国防外包商 受到攻击，重要资料被窃取。据纽约时报等美国媒体报道，美国当局 起诉一名中国商人，称其通过黑客手段2009 年到2013年间成功从波音和洛克希德马丁 公司的网络，窃取了包括F-22、F-35战斗机 和C-17运输机等先进机型图纸在内的65个G 的军事项目资料。我们分析这个65G数据就 是溯源来的。据说美国政府提供的证据已经 溯源到上海电信的那个路由器那个端口。国家级APT高级持续性威胁-如何发现，如何溯源项目Cross-Agency Priority Goa

9、l on Cybersecurity.跨联邦部门的网络安全优先目标目标形成3个优先能力帮我们知道那些数据和信息进出联邦网络。那些电脑和设备在联邦网络中使用。谁在使用联邦网络。组成可信互联网连接 （TIC）巩固外部互联网流量和确保一套情境意识的通用安全功能，并加强监测。持续监控联邦信息系统（ISCM）将传统静态安全控制评估和授权过程变成一个动态的全企业风险管理过程的一个组成部分。 此更改允许各部门和机构保持不断接近实时提高认识和信息安全风险评估，并迅速作出反应， 以支持组织的风险管理决策。强身份验证（PIV）确保只有获授权的雇员获得联邦信息系统所需要的保证之后的总统令 12 个人身份核查标准更高

10、的水平。美国2013财年的网络安全重点联邦桌面计算机核心构造(FDCC)国家漏洞数据库重要的配置管理脆弱性发现标准2004年爱因斯坦1,2,32002年国家网络靶场可信互联网接入持续监控ISCM强身份验证（PIV）2004年FISMA2010年FISMA 2.0爱因斯坦1基于流的统计分析技术，2004年启动,通过分析网络的流量信息查找可能的恶意活动，采用政府网络出口路由器的netflow技术实现。爱因斯坦2基于特征的入侵检测系统。可以通过分析网络的流量信息来查找以 发现非授权的访问和恶意的内容，这是通过对进出美国政府网络的 流量自动进行全封包检查来实现的。当联邦网络流量中出现恶意或 可能有害的

11、活动时，爱因斯坦2 能够向US-CERT提供实时报警，并 对导出数据提供关联和可视化能力。爱因斯坦3基于威胁的决策系统。采用商业技术和专门为政府开发的技术来对 进出行政机关网络的流量实施实时的全封包检查，目标是发现恶意 的网络流量并对其进行特征化表示，以增强网络安全分析、态势感 知和安全响应能力。由于采用的入侵防御系统支持动态防御，它能 在网络威胁造成损害之前对其自动检测并正确响应。爱因斯坦 3还 为国土安全部提供了对检测到的网络入侵企图进行自动报警的能力。 国土安全部将采纳国家安全局通过外国情报工作以及国防部在信息 保障工作中发现的威胁特征，以支持国土安全部的联邦系统安全。美国的网络核武器-

12、爱因斯坦计划爱因斯坦奠定了国家级的安全防护体系的基础架构，DPI+DFI+态势感知（基于威胁的决 策系统），为美国奠定了态势感知追踪溯源的基础。“爱因斯坦计划”于2009年初正式更名为“全面的国家网络安全行动（CNCI）”，其职能和功能得到进一步的提升和强化。 被美国一些媒体称为信息安全的“曼哈顿计划”。2013年，国土安全部和跨部门的小组开发了面向移动计算和云架构的TIC 2.1相关架构。美国的爱因斯坦用netflow进行流量分析，并溯源。可信互联网连接 （TIC）部署了安全技术手段部署了Soc爱因斯坦专用 设备通过MPLSVPN将各个部 门连起来洛克希德马丁公司网络查杀链Cyber Kil

13、l Chain方法阶段描述检测拒侦察对目标进行研究，识别和选择，典型的方法web防 往往用爬行互联网网站，收集如会议记录、分析电子邮件地址、社会关系，或用特殊技术收 集的信息。改装将利用漏洞的远程访问木马植入可交付载体，武器典型用自动化的工具来进行改装。越来越多 的客户端应用数据文件如果PDF文件或者NIDSNoffice文件担当了攻击工具载体。交货该武器传输到目标环境。由洛克希德马丁公用户代 司的计算机事件响应小组（lm-cirt）2004-警惕过2010年来观测。APT攻击者使用的三个最流行 的武器封装交付载体，是电子邮件附件，网站，和U盘。利用这些武器传送到受害者主机后，溢出攻击触HID

14、S补绝中断降欺摧级骗毁火 墙aclIPS理网络排 滤防病队毒丁DEP发入侵者的代码。大多数情况下，溢出攻击 目标为应用程序或操作系统的漏洞，但它可 能也更加简单地利用用户自己或利用操作系 统的功能，自动执行的代码。安装在受害者系统安装远程访问木马或者后门，从允许在对手环境里来保持持续性活动命令典型的，受控主机必须建立航标向互联网控 和控制服务器来建立C&C命令和控制信道。APT恶 制意软件尤其需要人工交互而不是自动进行的活动。一旦C&C信道建立，入侵者拥有“键盘上的手”来访问内部目标环境。在目现在，经过上述的6个阶段后，入侵者可以采 标行取行动来达到他们的本来目的。典型，这些 动目标是将收集的

15、资料汇总、加密和压缩数据以便于从受害环境中进行数据泄露。妨碍数 据的完整性和可用性也是潜在的目标。或者， 入侵者可能只希望访问初始受害者主机作为 一个跳板攻击更多的系统和网络内部使用进 行横向移动。数据 执行 保护HIDS根目防病录变毒 更限制NIDS防火NIPSTarDN墙aclpitS重 定 向日志高蜜审计质罐量 的 服 务NASA通过持续监控的方法挫败了针对其的APT攻击黑客首先攻击了RSA，获取NASA的RSA的 根证书。开始APT攻击NASA美国国家航空 航天局，但是黑客还需要一个重要的个人因 子（个人pin码）没有获取。此时RSA发现 被攻击后，不得已向联邦政府进行了汇报， 联邦政

16、府立刻发布相关预警，于是NASA接 受到预警后，派在大数据方面最有经验的地 球观测系统（EOS）安全小组进行监控，EOS小组采用Splunk进行分析，成功的阻断 了攻击，因此，美国的绩效监督管理中心为 表彰美国航空航天局的网络防御成功，将其 作为信息安全连续监测（ISCM）的一个联 邦网络安全最佳实践予以确认，并给予资金 和研究方面的资助，并将成果公开。NASA开始承认他们以前的风险管理策略“等待” 事件发生，如果发现，就高效的响应，然后重复。 这通常意味着NASA的反应“非常缓慢，而且几 乎总是在发生入侵，数据或系统完全破坏之后。” 此外，APT的0day攻击使得持续风险管理策略根 本没有起

17、作用，因此，数据、信息和系统的在风 险面前不断的退让。在2010年，美国颁布fisma2.0后，提出SP 800-37的原则是“将一个静态安全控制评估和风险确 定过程变换为一个动态的过程”，“必须从分 散的文书评估工作（事后）转移的更有效的持续 监测工作（运营）。”NASA的安全管理工作发 生了“方向的转变”，在“只有能测量，才能改 进”的经营理念下，利用持续监控来进行风险度 量，提高安全性。其认为3个关键成功点1、持续监控2、风险积分卡3、基于大数据的可视化分析决策1、领导能力。OMB和NASA高级IT安全官员给了NASA EOS 安全小组重要的授权。2、人和软件能力。有效的持续监控需要复合

18、NIST SP 800-53技术控制点 要求的人力资源和软件3、实时监视和分析。IT安全专家能够持续不断的监控和分析多源安全日志 是不可替代的。安全智能的挑战-安全大数据难点10G的入侵检测每天约200万条告警。如果提炼出有效告警，为态势感知和早期预警服务安全大数据美国奥巴马政府去年就已宣布推出 “大数据的研究和 发展计划”，将大数据上升到国家战略，将把对数据的 占有和控制作为陆权、海权、空权之外的另一种国家核 心能力。在大数据这个新的领域，美国再一次走到了前 面。Gartner报告指出，最终安全大数据将演化为IT商业智 能发展趋势的一部分，即结合信息安全情报和IT业务数 据，以提供更高水平的

19、业务情报。发达国家预警溯源平台决策支撑系统（态势感知，预警，溯源）大数据总线（多源安全数据，海量存储，搜索挖掘）网络检测防护威胁感知DPI深度包检测防护技术IDS，FW，AV，E-mail,DFI深度流检测防护技术DDOS检测，僵木蠕追踪终端检测防护资产及脆弱性感知终端安全资产，漏洞，配置数据安全身份，加解密事后追踪溯源低成本，针对APT未知攻击，保存较长时间1.网络安全事关国家安全2.发达国家如何进行态势感知预警溯源3.团队态势感知、预警、溯源的成果已知威胁的感知溯源僵木蠕感知APT攻击态势感知DDOS态势感知大数据网络溯源系统APT未知威胁的感知溯源结语目录监测覆盖性、连续性应急响应规范化

20、、流程化积极防御前瞻性、主动性网络分析、威胁监测标准化处置流程风险管理工具与过程已知威胁的警报基于签名未知威胁的警报异点阀值威胁载体与异态整合边界外的情报自动化工单处理(补救)归并准确的当前信息用于协 作(知识库/处理过程)数据关联警报处理(可重复再现的事 件响应处理过程)资产管理风险管理补救处理资源共享与协作共享经验教训实时准确的信息是最佳决策 构成基本要素建立和维持规范化、适应性 安全事件处置能力认识信息与事件如何影响机 构使命与及任务从反应性、防御性的机构迁移到一个 善于适应环境的有机组织基本思路和FISMA2.0的目标保持一致工作重心转移到实时监控并且在总体设计中整合网络安全，而不是停

21、留在事后的追悔。新的指引改变关注点，从部门以及机构开发静态、基于文件的合规报告到持续的、实时监控联邦 网络。同时正在建立以实时监控为基础的基于风险的绩效评价，并且这个评价将最终被纳入上级 官员绩效考核。这个变化意味着机构将能够迅速地发现脆弱性并且主动地防范攻击。2011年11月15开始，机构必须通过一个基于Web网关平台（网络辖域：Cyber Scope），按月 提交报告。 2015 NSFOCUS, RSAC 2015 话题热度安全大数据实践-早期预警和安全态势监控2010年，某小型公司在重大事件点扫描某重要网站。20分钟，从30台IDS数据中，发现扫描行为,确定是非授权扫描。40分钟，通过

22、公安电信追查到IP对应ADSL地址，户主。50分钟，追查到户主档案资料。2小时，去现场将扫描服务器和主脑带回协查。2012年，工信部检查移动某系统，采用IDS进行24小 时监控，一旦发现扫描和上传木马远控，直接封源IP。 检查组无法做渗透测试，顺利完成检查。2013年，某安全服务商因为授权扫描太频繁，在城域 网监控中威胁度较高，xx系统通知政府信息中心，从 此，某安全服务商无法访问所有政府站点。1.网络安全事关国家安全发达国家如何进行态势感知预警溯源团队态势感知、预警、溯源的成果已知威胁的感知溯源僵木蠕感知APT攻击态势感知DDOS态势感知大数据网络溯源系统APT未知威胁的感知溯源结语目录20

23、13年僵木蠕态势预警2013年完成，获得2013年度技术大会一等奖，2013年度全国优秀项目实现了基于入侵检测的病毒库，信誉库，木马库。实现了僵木蠕的行为关联挖掘可视化分析结合业务实现了业务告警溯源。1.网络安全事关国家安全发达国家如何进行态势感知预警溯源团队态势感知、预警、溯源的成果已知威胁的感知溯源僵木蠕感知APT攻击态势感知DDOS态势感知大数据网络溯源系统APT未知威胁的感知溯源结语目录代号：钢铁侠基于对抗的智能态势感知预警模型需要构建多少个攻击行为模型？DDoS与暴力破解趋势DDoS类型攻击比例暴力破解类型攻击比例木马、病毒事件Web攻击事件主机漏洞攻击事件态势理解采用攻击行为建模，

24、态势预警采用攻击推理树威胁监控采用“攻击行为模型+时间序列模型”二维呈现方式1、安全分析师从历史案件中进行统 计分析，找出规律。2、攻防人员设计100多个攻击场景， 进行攻击行为i建模，找出规律。将发现的规律转化为行为规则模 型和特征规则模型。部署在入侵 威胁感知引擎中，在海量事件发 现可疑事件。通过智能推理模块，形成可以处置的事件给用户处置追查。威胁预警-可决策告警2014年，核心论文基于对抗的智能态势感知预警模 型发表。获得2014年技术大会2等奖。2015年，林旭滨完成系统的核心原型系统搭建。核心点实现了态势感知的态势理解，通过“入侵威胁感知引擎”完成态势理解，将日均20万条基于特征的告

25、警提取出500条 基于行为的告警。正在和核心技术部一起完成态势预测部分。这部分用决策推 理系统。下一代IDS很多特征支撑我们实现很多新的数据挖掘。1.网络安全事关国家安全发达国家如何进行态势感知预警溯源团队态势感知、预警、溯源的成果已知威胁的感知溯源僵木蠕感知APT攻击态势感知DDOS态势感知目录大数据网络溯源系统APT未知威胁的感知溯源结语代号：雷神异常流量监控系统架构基于大数据的流量自学习远程支撑，通过 邮件，工单进行处置。 同时提供应急响应。DDOS事件监控全局视图和业务视图结合。DDOS态势可视化2015年，获得P2SO一等奖。核心点在DFI领域，目前只有在开发。从2007年NTA开始

26、， 到2014年，NTA2.0版本持续改进。基于流量自学习的基线算法，删除了大量误报，原有NTA在2T流量上有上万告警，NTA2.0仅仅有800条，使 得在大网上真正能够监控异常流量。在数据挖掘领域，告警和地理位置，业务系统的强关联。 使得告警真实可处置。1.网络安全事关国家安全发达国家如何进行态势感知预警溯源团队态势感知、预警、溯源的成果已知威胁的感知溯源僵木蠕感知APT攻击态势感知DDOS态势感知4.大数据网络溯源系统APT未知威胁的感知溯源5.结语目录现有技术体系与国外进行对比决策支撑系统（态势感知，预警，溯源）大数据总线（多源安全数据，海量存储，搜索挖掘）网络检测防护DPI深度包检测防

27、护技术IDS，FW，AV，E-mail,DFI深度流检测防护技术DDOS检测，僵木蠕追踪终端检测防护终端安全资产，漏洞，配置数据安全身份，加解密事后追踪溯源低成本，针对APT未知攻击，保存较长时间未来能处理网内多跳板攻击。多跳板如何溯源广州BR群集集团骨干网西德胜广州某重点业务清河 东广州城域网CR佛山城域网CR深圳BR群集杭州BR群集温州BR群集被控主机犯罪分子深圳城域网CR被控主机温州城域网CR杭州城域网CR被攻击 对象骨干网集团溯源省网溯源城域网市溯源6.通过数据库文件获取密码登录数据库网内多跳溯源Console服务器数据库服务器流量采集器流量采 集器ESPCATMATM已经被攻陷的EC

28、C终端1.攻击者发现开发测试区ATM系统存在JBoss漏洞2.攻击者成功验证生产区ATM系统也存在该漏洞3.攻击者将webshell上传至匿名FTP服务器上4.远程安装生产区ATM系统上5.通过webshell读取web文件和数据库文件Jboss漏洞：默认安装，匿名登录控制台验证生产 区ATM也 存在漏洞已经被攻陷服务器，开 启匿名FTPWebshell读安 取装 数 据 库 文 件，上传webshell获取数据 库账号， 偷取数据全包溯源成本是我们不能接受的，我们需要一个低成 本的溯源系统，我需要知道在过去3个月中。那些数据和信息进出企业网络。那些电脑和设备在企业网络中使用。谁在使用企业网络

29、。大数据安全分析系统BSA为这个提供了可能。解决方案架构数据应用层扫描器/入侵检测/NETFLOW/多源安全数据其它支撑系统安全大数据分析系统 数据呈现层态势感知+风险计分+追踪溯源+云服务DDOS态势DDOS态势外发DDOS业务监控僵木蠕态势僵木蠕态势僵木蠕预警僵木蠕生存APT威胁态势入侵威胁态势APT攻击态势攻击预警信誉云传感器态势分析/风险计分企业安全大数据总线数据存储层企业ESB（大数据总线）高性能内存数据库工作资产多源信誉MQ消息中间件NOSQL分布式数据库群集/搜索引擎式数据库流引数据安全情报擎库数据库群集维护/负载分担Hadoop分布式存储管理持续监控数据接口层外部管理接口信誉情

30、报库分布式引擎数据采集接口MQ消息中间件溯源追踪多级DDOS溯源C&C溯源情报溯源数据外泄溯源僵木蠕溯源地图挖掘资产管理资产配置工作流引擎 第三方接口 资产计分 地址库管理脆弱态势CMaaS云服务脆弱可视化持续监控上线管理网站监控报表美国非常重视爱因斯坦计划的溯源Cisco 公司的 Darren Kerr 和 Barry Bruins 在1996年开发设计初衷是一种转发路径，其提供的信息价值后来被二次发现NetFlow 现在是业界基本的流量分析和网络计费技术，也是为主流的异常流量分析和网络数据溯源分析技术。解决关于IP 流量的5W 问题: 谁, 什么, 何地, 何时, 如何与NetFlow兼容

31、的其它技术：Netstream, J-flow。目前netflow支持非常广泛， 路由器，目前虚拟化交换机都已经支持，我司的IDS/IPS都准备在2015年8月份支持。防火墙产品目前华三、cisco都支持（如NSEL。Netflow的防火墙优化版本）xflow流溯源的代表netflow技术介绍Source IP address Destination IP address Source port Destination portLayer 3 protocol type TOS byte (DSCP)Input logical interface (ifIndex)输出数据流溯源系统能做什么解

32、决三个问题实时和历史的查询网内IP流量的5W（谁，什么，where， 何时n，IP流量为多少）.安全事件发生后，能够溯源分析出事件相关IP流量的5W1H。如谁登陆过这台主机，外泄了xxG的资料。流量性业务故障发生后，能够溯源分析故障相关IP流量的5W1H。IP 流量的5W 问题：谁who，什么why，何去何 从where，何时when，IP 流量为多少what.功能子功能描述流量分析溯源流量溯源查询现有NTA产品功能强化，可以分析正常任意IP见的访问流量。渐进式数据挖掘类似老版本NTA的流量挖掘，新版本类似功能正在开发。原始日志查询导出解析后原始流记录，统计报表形成统计报表功能。多级溯源提供多

33、级溯源能力。安全溯源DDOS溯源非常重要，基于流量分析溯源功能，提供场景化的分析。完成特殊用途。结合信誉、情报，可以发挥更多安全用途。僵木蠕溯源数据外泄溯源APT攻击事件溯源异常登录溯源排障溯源流量排障溯源客户比较关注，基于流量分析溯源功能，提供场景化的分析。完成特殊用途。访问排障溯源业务健康溯源未来扩展-实时监控白环境监控提供优化白环境的解决方案。解决10G以上白环境。非法通讯监控设定特定通讯端口黑白名单。触发告警。特定业务流量实时分析提供设定好的重要资产实时分析能力。新方案-APT攻击溯源传统的溯源关注点仅仅是流量，DDOS攻击。的溯源方案更加强了APT攻击溯源，业务排障等安全功能新架构-

34、大数据的溯源低成本：传统的采用高昂的oracle数据库，大群集，成本高昂。易扩展：可扩容站的溯源系统采用nosql分布式群集，通过分布式来解决大群 集扩展等难题。高性能：引入内存数据库，流计算等新技术，结合群集技术，使得在任意上亿级 别的flow查询过滤在200毫秒，TOP N 统计在5s内。（传统集中式数据库溯源非常 慢。）多种数据挖掘方法采用大数据结构，引入多种数据挖掘方法，如渐进式挖掘。地图挖掘等。分布式为地图挖掘提供很好支撑。方案亮点在一亿条数据中，进行分组查询，查询流量，好 事1004毫秒，1.004秒。海量flow进行流量还原可以把任意IP流量进行地理还原实际上这个是目前最大的性能瓶颈。分布式最好 提前处理。针对每个流可以进行地图挖掘通过溯源跟踪全网僵尸网络2006年夏，美国农业部(USDA)的一些计算机感染蠕虫，这些设备开始扫描网 络连接寻找其他的有弱点的设备以建立一个僵尸网络(Botnet)，直至美国农业 部(USDA)计算机试着去侵染美国交通部(DOT)的时候蠕虫才被发现。恶意活动 被美国交通部(DOT)捕获，因为美国交通部(DOT)已参与国土安全部(DHS)监控 机构网络网关异常通信量分布情况的爱因斯坦计划。可以对任意IP进行分析。分析统计流量分析访问的来源。TOP10渐进式分析流量组成。地图挖掘。