奇安信网神态势感知与安全运营平台（NGSOC）

　　一、产品介绍

　　奇安信网神态势感知与安全运营平台（简称NGSOC）以大数据平台为基础，通过收集多元、异构的海量日志，利用关联分析、机器学习、威胁情报等技术，帮助政企客户持续监测网络安全态势，实现从“被动防御”向“积极防御”的进阶，为安全管理者提供风险评估和应急响应的决策支撑，为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具，已在400+大型政企单位落地实践。

　　二、核心技术

　　（一）先进的大数据架构

　　NGSOC是建立大数据技术架构之上，运用Hadoop、Spark、ElasticSearch等先进大数据组件，成功解决海量数据的采集、存储和计算的难题。传统数据库只能处理亿级数据且查询速度在分钟级，NGSOC可以处理千亿级数据，采集速度达10W eps，秒级查询，大大提升安全分析和响应的速度和效率。

　　（二）灵活接入上百种异构数据

　　数据接入能力是SEIM产品的核心能力，NGSOC领先的大数据架构设计，能够支持国内外数十家厂商的上百种常见设备的日志进行自动解析、过滤、富化、内容转译和范式化，使得产品能够开箱即用。

　　（三）多维度高精准威胁检测

　　NGSOC将奇安信集团在威胁检测方面积累的大量能力包括国内最大的威胁情报中心、APT组织持续跟踪，公开研究报告数世界第一、数十万高精准失陷类情报等内化，搭载国内首款分布式关联分析引擎Sabre，通过检测引擎、威胁情报、场景化检测规则、机器学习和关联规则等多维度进行威胁的研判。支持全流量解析、双向流量及加密流量检测，原始日志可在本地进行存储。支持利用有监督机器学习算法检测恶意DGA域名，置信度达到99.94% ，检出率达到95.19%，处于世界领先水平。

　　（四）国内领先的威胁情报

　　威胁情报被公认为最有价值的检测手段。奇安信集团拥有国内最大的威胁情报中心，基于奇安信在威胁情报领域独有的数据优势和技术优势，将云端大量的情报经过专业团队层层筛选后，将最有价值的失陷情报源源不断的推送至NGSOC，并将其应用于关联分析、日志匹配等场景。

　　（五）持续的威胁建模

　　NGSOC默认预置400+关联分析规则，提供100+语义支撑，覆盖网神网络流量传感器、Windows、Linux、防火墙、VPN五类数据源。在此基础上，NGSOC威胁建模团队还会基于各类第三方安全设备的告警、事件和日志，输出更多的关联分析规则，以满足不同企业客户的专属化威胁场景分析。

　　（六）先进的机器学习

　　NGSOC在对海量数据进行关联分析、情报分析的同时，并未拘泥于已有的技术检测实现，将奇安信集团的海量数据分析能力和优势也集成到产品当中，通过使用机器学习的方法对传统安全问题做到高效检测，并对未知威胁做到有效发现。

　　三、适用的技术平台

　　信创产业作为“新基建”的重要内容，将成为拉动经济发展的重要抓手之一，因此信创生态的安全尤为重要。为此，奇安信网神态势感知与安全运营平台除支持Intel CPU+定制化Linux平台外，已实现对飞腾、鲲鹏等CPU以及银河麒麟、中标麒麟、统信操作系统等主流信创平台的全面兼容适配，为信创生态网络安全保驾护航。

　　四、创新点

　　（一）搭载国内首款分布式关联分析引擎Sabre

　　奇安信集团独创研发国内首款分布式流式关联分析引擎Sabre，该基于大数据架构设计的流式分析引擎，内含丰富的语意分析能力。除了引入各类日志数据，奇安信还将用户更关注的原始数据（对象资源、威胁情报、资产信息和漏洞信息等）进行多维度分析，产生更有价值的输出。

　　（二）国内第一个具备威胁预警功能的产品

　　NGSOC具备国内领先的对重大网络安全事件预警能力，通过该功能可以快速完成风险评估，分析威胁分布、事态发展及传播路径，并提供持续的攻击监测以及历史攻击溯源。当重大安全事件发生时，基于奇安信应急响应中心（CERT）提供的情报，NGSOC能够快速发布威胁预警信息，第一时间解答CISO或安全主管在当前最需要了解的5个问题，包括本单位是否遭受到了攻击？首个被攻击的资产是？事件影响了哪些部门？影响面发展趋势？事件的处置情况？

　　五、可解决的问题

　　攻防对抗的日趋加剧，对安全管理者和安全运营人员带来巨大挑战，存在安全事件应急响应时的高效指挥决策与协同处置、摸清家底/认清风险/找出漏洞/督促整改的管理、资产风险统一集中管理与持续监测、安全事件高效溯源与调查分析、未知高级威胁的高效检测与及时响应，以及新形势下的安全运营人员能力提升及持续的运营体系建设等需求，本解决方案：

　　一是为避免安全数据的信息孤岛，需将威胁分析所需的各类数据进行统一采集、处理和存储，实现安全大数据的高效处理。

　　二是为提升高级威胁事件的检测能力，需要引入高性能的关联分析引擎和高置信度的威胁情报，实现高级威胁事件的发现，验证疑似攻击，辅助安全运营人员进行快速响应。

　　三是实现安全事件溯源与调查，针对安全事件频繁爆发，如何在日趋复杂庞大的目标网络中，快速分析安全事件、追踪溯源安全事件是需要解决的问题。

　　四是针对安全可见、可知、可控是防御目标，需要对不同层级、不同时段的资产态、风险态、安全态、防护态和运营态等可视呈现。

　　五是持续运营体系的建设需求，网络信息系统和安全设备等系统规模日益庞大，安全威胁事件不断增加，安全运营人员运营的压力很大，亟需技术平台支持以提升运营效率。

　　六、运用成效

　　奇安信网神态势感知与安全运营平台（简称NGSOC）自2016年发布以来，已经在400+大型政企客户落地实践。

　　2020年8月，赛迪顾问发布了《2019-2020年中国网络信息安全市场研究年度报告》。报告显示，奇安信凭借近几年在安全管理平台方面的发力，发展了很多大客户，占有率达到 23.9%，市场排名第一。

　　2020年3月19日，数字安全领域第三方调研机构数世咨询发布《网络安全态势感知能力指南》，以下简称“能力指南”。报告在业界首次提出能力点阵的概念，从技术创新力与市场执行力两大维度，对国内主流态势感知提供商进行了侧写。奇安信在技术创新力和市场执行力双第一，位于行业领导者地位。

　　2019年10月21日，IDC正式发布《中国态势感知解决方案市场2019年厂商评估》报告。奇安信凭借创新的产品研发能力和完善的技术服务能力，获评中国态势感知解决方案领导者。

　　2019年，赛迪顾问发布了《2018-2019年中国网络信息安全市场研究年度报告》。报告显示，奇安信NGSOC在中国安全管理平台产品市场占有率达到 23.5%，排名第一。

　　七、可复制推广性

　　NGSOC已在400+大型政企客户落地实践，在产品运营方面，奇安信集团已经在绵阳和青岛建立安全运营人才的培训基地，2019年培养超过1500名的安全服务工程师，为客户提供专业的安全运营服务，涵盖一线驻场安全运营服务、二线分析及应急响应服务，帮助客户解决“安全的最后一公里”问题。除了驻场安全运营外，奇安信集团安全运行中心还提供远程运营服务，远程安全运营中会结合资产情况输出威胁分析情况、安全数据分析的报告、溯源分析、事件协同处置的通报等。通过以持续性的监控和分析为核心的远程安全运营服务，解决人员编制紧张、由于特殊原因不便入场、人员安全能力不足的问题。奇安信集团旨在帮助企业打造“人+数据+工具+流程”一体化的安全运营体系，解决日常安全运营，关键时刻还能打“硬仗”。

　　责任编辑：广汉