五月婷婷婷之激情综合-亚洲国产香蕉视频欧美-国产蜜臀av在线一区尤物-日韩精品乱码久久久久

數(shù)字經(jīng)濟的安全基石

媒體報道

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2021 > 正文

破解海量網(wǎng)絡(luò)安全大數(shù)據(jù)存儲難題,我們做了這六步

閱讀量:
Elasticsearch是一種流行的企業(yè)級搜索引擎,它為企業(yè)提供了一個分布式多用戶能力的全文搜索引擎。在實際的網(wǎng)絡(luò)安全大數(shù)據(jù)領(lǐng)域,ES作為大數(shù)據(jù)組件,常常承擔(dān)著業(yè)務(wù)上核心的數(shù)據(jù)存儲與數(shù)據(jù)查詢分析職能,直接關(guān)系著整個數(shù)據(jù)安全產(chǎn)品的功能與性能。

安恒AiLPHA大數(shù)據(jù)智能安全平臺,是網(wǎng)絡(luò)安全大數(shù)據(jù)領(lǐng)域十分優(yōu)秀的產(chǎn)品和應(yīng)用解決方案,其內(nèi)部集成著:超大規(guī)模數(shù)據(jù)存查、大數(shù)據(jù)實時智能分析、威脅情報碰撞、全網(wǎng)流量處理、復(fù)雜事件實時處理等功能,更具備了流計算任務(wù)監(jiān)控管理、安全模型定制化開發(fā)與編排管理、ES及kafka運維監(jiān)控管理、語法統(tǒng)一與轉(zhuǎn)換功能。

而以上所有這些功能的實現(xiàn)與穩(wěn)定運行,所依托的,都是其內(nèi)部自研的大數(shù)據(jù)框架——BaaS


圖1 BaaS平臺架構(gòu)


BaaS,不僅僅意味著后端即服務(wù),也秉承AiLPHA提出的大數(shù)據(jù)實驗室大數(shù)據(jù)即服務(wù)的理念。如圖1所示,BaaS不僅是整個安恒AiLPHA大數(shù)據(jù)智能分析平臺的計算核心,擔(dān)負著數(shù)據(jù)ETL、實時流計算、模型匹配、告警生成、數(shù)據(jù)入庫等核心的數(shù)據(jù)處理業(yè)務(wù),更為產(chǎn)品提供了統(tǒng)一的運維監(jiān)控管理平臺,以應(yīng)對ES、kafka等組件的管理。BaaS為安恒的網(wǎng)絡(luò)安全業(yè)務(wù)提供一整套系統(tǒng)、成熟的大數(shù)據(jù)解決方案。


網(wǎng)絡(luò)安全大數(shù)據(jù)分析的業(yè)務(wù)挑戰(zhàn)


多源異構(gòu)的數(shù)據(jù)接入

網(wǎng)絡(luò)安全大數(shù)據(jù)分析平臺,不可能不支持多樣的數(shù)據(jù)格式與類型,它需要對不同廠家不同類型探針采集到的不同格式數(shù)據(jù)進行統(tǒng)一分析入庫。

差異化的海量數(shù)據(jù)存儲

網(wǎng)絡(luò)安全大數(shù)據(jù)分析存儲的場景,決定了其數(shù)據(jù)主要可以分為:流量數(shù)據(jù)、日志數(shù)據(jù)、中間計算結(jié)果、告警數(shù)據(jù)、維表數(shù)據(jù)等幾類。特別是海量的流量和日志數(shù)據(jù)常常會對集群造成很大的壓力,而接入的數(shù)據(jù)在不同客戶不同現(xiàn)場的數(shù)據(jù)分布情況上也都有很大的差異。例如常見的:數(shù)據(jù)在時間分布上存在周期性的高峰期,以至在ES集群中造成了超大索引,如果不加以有效的管理,將使索引的大小完全取決于客戶數(shù)據(jù)的接入,實質(zhì)是對自己的集群失去了控制。

分析結(jié)果數(shù)據(jù)的細化管理

對于網(wǎng)絡(luò)安全大數(shù)據(jù)平臺類的產(chǎn)品,在數(shù)據(jù)入庫的同時還需要對數(shù)據(jù)進行計算分析,這些分析計算的結(jié)果數(shù)據(jù)可以用于報表生成、大屏展示、模型再匹配等。這類數(shù)據(jù)常常與具體的分析業(yè)務(wù)或安全模型相關(guān)。而基于安全大數(shù)據(jù)平臺中開放的自定義安全模型管理功能,用戶可以在大數(shù)據(jù)智能安全平臺上自定義添加管理模型或業(yè)務(wù),這也就對相關(guān)的ES索引管理提出了需求。

機器資源的適配

CPU、內(nèi)存、磁盤等等這些,機器資源永遠是有限的。如何在各個現(xiàn)場合理分配資源、配置ES索引,如何更便捷適配不同的機器資源環(huán)境,這些都對BaaS的ES索引管理提出了挑戰(zhàn)。

數(shù)據(jù)生命周期的管理

對于數(shù)據(jù)的管理,不僅僅是針對于數(shù)據(jù)寫入,還應(yīng)當(dāng)包括對已經(jīng)入庫的數(shù)據(jù)的整個生命周期的管理。數(shù)據(jù)入庫之后保存多久?有沒有必要把所有數(shù)據(jù)都放在ES的內(nèi)存中支持快速查詢?如果一直這樣下去系統(tǒng)怎么才能持續(xù)運轉(zhuǎn)?是否要實現(xiàn)數(shù)據(jù)的冷熱分離?這些問題,都是值得考慮的。

與上層業(yè)務(wù)的去耦合

對于網(wǎng)絡(luò)安全大數(shù)據(jù)平臺類的產(chǎn)品,數(shù)據(jù)入庫對應(yīng)的索引后,還需要支持查詢檢索、安全分析的操作與業(yè)務(wù),這就要求ES索引管理策略與上層業(yè)務(wù)去耦合,否則將使得底層的索引的分類方式、命名方式、乃至于管理方式與查詢業(yè)務(wù)嚴重耦合,牽一發(fā)而動全身。

常常會有客戶要求:我們的索引按地域劃分好不好?能不能不按周劃分而是按半年?我們的索引就是想叫我們自己喜歡的名字,等等這些,在之前往往只能是定制團隊帶隊上線,定制開發(fā)。


實踐方案


為破解海量網(wǎng)絡(luò)安全大數(shù)據(jù)存儲難題,BaaS已經(jīng)形成了一套完整的ES管理機制,針對不同版本、不同環(huán)境、不同客戶需求的大數(shù)據(jù)智能安全平臺業(yè)務(wù),提供動態(tài)配置,快速便捷地適應(yīng)產(chǎn)品需要。


1.? 索引劃分的優(yōu)化

在海量的大數(shù)據(jù)網(wǎng)絡(luò)安全實施經(jīng)驗的基礎(chǔ)上,BaaS優(yōu)化了默認的索引劃分方式。將海量的日志數(shù)據(jù)根據(jù)威脅等級等屬性進行劃分,統(tǒng)一保存在日志類型相關(guān)的索引中;將異常記錄、原始告警、統(tǒng)計指標等其他類型數(shù)據(jù)按較長的時間周期劃分,例如月、半年、一年或不劃分,并且將劃分方式與具體的安全模型或業(yè)務(wù)解耦,將這類數(shù)據(jù)全部統(tǒng)一打上相應(yīng)的標簽標識所屬業(yè)務(wù),實現(xiàn)對入庫數(shù)據(jù)的差異化。

BaaS通過合理的細化管理,優(yōu)化索引種類、數(shù)量、分片數(shù),在兼顧業(yè)務(wù)的同時極大地減少了維護成本與ES集群的壓力。

另外,不同于之前硬編碼強耦合的方式,BaaS支持動態(tài)的配置調(diào)整索引的名稱、劃分周期及業(yè)務(wù)含義等,對于不同的網(wǎng)絡(luò)安全場景,都可以僅通過配置動態(tài)定制自己的入庫策略與索引劃分方式。

2、引入別名

如果索引劃分的邏輯變更了,或者根據(jù)客戶要求通過BaaS修改了索引的名稱、劃分周期,那么之前相關(guān)聯(lián)的其他業(yè)務(wù)模塊不是也都要跟著改一遍嗎?

No,No,No!

BaaS引入了ES的別名機制,使得與ES相關(guān)的其他業(yè)務(wù)能夠和BaaS的ES索引管理的策略解耦。索引別名可以指向一個或多個索引,并且可以在任何需要索引名稱的API中使用。別名為我們提供了極大的靈活性,它允許我們在正在運行的集群上的一個索引和另一個索引之間切換,或?qū)Χ鄠€索引進行分組組合,而這些對于業(yè)務(wù)的調(diào)用方是透明的。例如:為兼容舊版本業(yè)務(wù),默認情況下每種索引都會有一個與過去版本同類型索引名對應(yīng)的別名,使得其他業(yè)務(wù)能夠依然正常使用。

另外,對于每個索引,可以配置多個別名,適配多種安全大數(shù)據(jù)分析場景。

以上這些,都可以通過BaaS動態(tài)配置管理實現(xiàn),這就達到了解耦上層業(yè)務(wù)的目的。

3、ES索引模板維護

BaaS在海量大數(shù)據(jù)存儲與安全分析的業(yè)務(wù)中引入了索引模板的管理。對于每一種劃分的索引,都首先為其新建模板,然后在新建索引以應(yīng)用模板中的設(shè)置。

在索引的模板中,可以配置索引的別名、索引的配置(settings)、字段映射(mappings)等信息,明確地設(shè)定索引的分片數(shù)、副本數(shù)及其他可優(yōu)化性能的配置。

同時,基于BaaS統(tǒng)一的數(shù)據(jù)字典管理功能,我們根據(jù)分析團隊及客戶提供的數(shù)據(jù)字典,動態(tài)的生成索引mapping,規(guī)范數(shù)據(jù)的寫入,使得海量的異構(gòu)數(shù)據(jù)遵循統(tǒng)一的數(shù)據(jù)字典標準。另外,動態(tài)mapping的支持使得安恒的大數(shù)據(jù)安全平臺具備了動態(tài)拓展能力,也能支持客戶現(xiàn)場多樣的不在字典中的非標字段。

我們還將索引的模板配置開放到了BaaS自己的前端界面,便于運維與監(jiān)控。例如:在修改了某一類索引的模板內(nèi)容后,BaaS將自動修改ES集群中模板的內(nèi)容,并新建一個新的索引以應(yīng)用最新的模板配置,并將可寫的別名指向這個新建的索引。整個操作對于業(yè)務(wù)方式完全透明的,但在后端實質(zhì)上已經(jīng)實現(xiàn)了索引配置的實時更新。

4、ES索引生命周期管理

ES的索引生命周期,可以隨時間的推移管理索引。對于時間序列的索引,索引生命周期有四個階段:hot——索引積極地更新和查詢、warm——索引不再更新,但仍在查詢中、cold——索引不再更新并且很少被查詢。信息仍然可搜索,可以接受較慢的查詢速度、delete——不再需要索引,可以安全地刪除它。

BaaS引入了ES的索引生命周期管理機制,對每一種索引都配置了相應(yīng)的生命周期。它與索引的別名管理、模板管理,三者之間是緊密聯(lián)系,三位一體的。

特別是,在hot階段,我們配置了索引滾動(rollover)。這一功能使得我們可以設(shè)置一個存儲空間或數(shù)據(jù)條數(shù)的閾值,當(dāng)數(shù)據(jù)持續(xù)寫入時,一旦超過這一閾值,ES將進行索引滾動,新建一個索引并使得原有索引的寫別名指向這個索引,同時還會將原索引標記為只讀。而又由于BaaS為每一種索引都設(shè)置了對應(yīng)的模板,新生成的索引仍將應(yīng)用我們配置好的索引,整個系統(tǒng)能夠持續(xù)穩(wěn)定運行。這就解決了常見的數(shù)據(jù)不均衡導(dǎo)致的個別索引過大問題。

除此之外,在warm、cold階段,通過BaaS也可以相應(yīng)地設(shè)置索引收縮、冷凍等操作,以減輕大數(shù)據(jù)安全分析集群存儲和運行時的壓力。

5、定時任務(wù)

由于ES6.8版本本身對于生命周期的實現(xiàn)還有很多需要改進之處,BaaS平臺為實現(xiàn)集群的長時間穩(wěn)定運行,對于常見的異常情況都配置了相應(yīng)的定時任務(wù),在ES本身機制之外提供了“雙保險”,保證著模板管理、別名管理、生命周期管理這三者的持續(xù)可用,保證著整個集群長期可持續(xù)穩(wěn)定運行。

鑒于《中華人民共和國網(wǎng)絡(luò)安全法》國家網(wǎng)絡(luò)安全法中要求網(wǎng)絡(luò)日志保存6個月以上的規(guī)定,針對海量的網(wǎng)絡(luò)安全大數(shù)據(jù)存儲業(yè)務(wù),BaaS配置了相關(guān)的磁盤清理、定時檢查等任務(wù),保證數(shù)據(jù)在ES索引中的安全性的同時也將及時清理重要級別較低的數(shù)據(jù),使集群能夠長期穩(wěn)定運行。

6、動態(tài)支持

基于應(yīng)用場景數(shù)據(jù)量、成本等因素,安全大數(shù)據(jù)產(chǎn)品一般需要支持多變得機器資源環(huán)境配置,例如有單臺、雙臺、多臺等,或是ARM版、mini版、敏捷版等不同分類,更有各類定制項目。而不管是哪個版,能夠分配給BaaS、分配給ES的資源總是屈指可數(shù)。在不同環(huán)境中如果都使用一套配置那顯然是不現(xiàn)實的。

BaaS有一套動態(tài)的機制,可以根據(jù)ES集群的節(jié)點數(shù),動態(tài)的配置模板中的分片數(shù)、索引生命周期中的索引滾動閾值等,實現(xiàn)自適應(yīng)的ES索引的管理。


不斷精進


隨著網(wǎng)絡(luò)安全大數(shù)據(jù)分析業(yè)務(wù)的不斷拓展,對ES索引管理提出了更多更高的要求。隨著多年的研究和技術(shù)發(fā)展,安恒AiLPHA大數(shù)據(jù)智能安全平臺針對網(wǎng)絡(luò)安大數(shù)據(jù)相關(guān)相關(guān)的使用場景,我們還在不斷地精進。

1.以自研的flink流計算任務(wù)實現(xiàn)etl模塊,替換了“較重”的logstash;

2.ES集群級別的配置優(yōu)化;

3.可以通過界面便捷操作的ES運維監(jiān)控平臺;

4.ES寫入策略優(yōu)化;

5.對于特殊場景、去除了副本及ES的translog機制以大幅提升性能。


迎接挑戰(zhàn)


安恒信息AiLPHA大數(shù)據(jù)智能安全平臺,全天候監(jiān)測60000+業(yè)務(wù)系統(tǒng),累計發(fā)現(xiàn)300000+起安全隱患,協(xié)助公安追溯打擊案件五十余件,為國家安全建設(shè)作出耀眼成績。

在企業(yè)態(tài)勢感知領(lǐng)域,率先落地UEBA、SOAR、ATT&CK,推出智能資產(chǎn)測繪、AI關(guān)聯(lián)分析、可編排的安全運營三大核心能力,顯著提升安全運營效率400%以上。

在網(wǎng)絡(luò)全球化的時代,網(wǎng)絡(luò)安全問題已經(jīng)成為全球企業(yè)進行數(shù)字化轉(zhuǎn)型的巨大阻礙。安恒信息立足國內(nèi),全球布局,成功開辟歐洲、北美市場,為全球超過2000家客戶提供高質(zhì)量的態(tài)勢感知服務(wù)。

BaaS作為安恒AiLPHA的計算核心,將繼續(xù)為這座大廈做好基礎(chǔ)的、穩(wěn)定的、堅固的柱石,為客戶提供業(yè)務(wù)不間斷穩(wěn)定運行安全保障,致力于讓安全更智能,更簡單。

關(guān)閉

客服在線咨詢?nèi)肟?,期待與您交流

線上咨詢
聯(lián)系我們

咨詢電話:400-6059-110

產(chǎn)品試用

即刻預(yù)約免費試用,我們將在24小時內(nèi)聯(lián)系您

微信咨詢
安恒信息聯(lián)系方式