[发明专利]一种基于Tachyou的Spark大数据平台的安全攻击告警定位系统

说明书

技术领域

本发明涉及信息安全、Spark大数据平台、Flume日志采集、kafka数据交换平台、HDFS和Tachyou分布式内存文件系统的技术领域，尤其涉及到安全攻击告警定位系统。

背景技术

本发明中包含的英文简称如下：

SOC：SecurityOperationCenter安全管理中心

IDS：IntrusionDetectionSystems入侵检测系统

DDOS：DDoS:DistributedDenialofService分布式拒绝服务攻击

MIS：ManagementInformationSystem管理信息系统

DMZ：demilitarizedzone隔离区、或非军事化区

JMS：JavaMessageServiceJava消息服务

APP：Application应用程序

SNMP：SimpleNetworkManagementProtocol简单网络管理协议

HDFS：HadoopDistributeFileSystemHadoop分布式文件系统

ODBC：OpenDatabaseConnectivity开放数据库互连

WMI：WindowsManagementInstrumentationWindows管理规范

安全生产历来是保障各项工作有序开展的前提，也是考核各级领导干部的否决指标。网络及信息安全运维体系是各类企业安全生产工作的重要组成部分。保障网络高效稳定地运行，是企业一切市场经营活动和正常运作的基础。

随着各类企业信息系统的建设和完善，有效的提高了劳动生产率，降低了运营成本。一旦企业各业务系统出现安全事件、或发生故障、或形成性能瓶颈，不能及时发现、及时处理、及时恢复，势必直接导致承载在其上所有业务的运行，影响企业的正常运营秩序，企业业务不能正常开展。因此，对于政府和企业IT基础实施的安全保障就显得格外重要。

随着政府和企业信息化程度不断提高。各业务系统间联系越来越密切，数据交换越来越频繁，各系统有着复杂网络或逻辑连接，存在大量数据交换，甚至一个故障可以引发成为企业全网故障，一点或一种业务系统出现漏洞感染病毒或受到攻击，将迅速波及其它业务系统及网络，甚至导致企业全网瘫痪。

尽管目前一些企业的信息安全技术体系已初步形成，但是信息安全运维管理体系需要进一步健全提高和完善，管理能力也有待加强，缺乏安全隐患的深度挖掘和基于大数据平台的安全分析，安全攻击告警定位和分析工具少。由于缺少安全体系建设的宏观思路，安全管理存在真空地带，责任没有有效落实。

目前，各类企业信息安全运维管理平台存在以下问题：

1、各种信息安全产品和网络设备品种多，分布广，缺少统一的数据分析管理；

2、信息安全产品和网络设备的知识库不统一，缺少统一的解决方案；

3、安全职责不清，具体职责未落实到位；

4、信息安全运维管理考核不细致，缺少部分必要和关键的指标；

5、不同安全设备事件之间甚至同一个安全设备的事件缺少更加高级智能的分析和汇聚关联，导致告警信息庞大，不便于对安全隐患的分析和发现问题，防患于未然；

6、信息安全事件上报不及时，故障诊断不及时，处理效率低，效果差；

7、信息安全事件和资产的漏洞没有进行必要的关联分析，导致很多事件没有进一步的分析和处理；

8、无法对于终端的安全问题进行审计和方便的查看；

9、出现紧急事件没有很好的预警和处理流程；

10、安全攻击告警定位和分析工具少；

上述问题不同程度地存在企业已经建成的业务和网络，成为企业今后业务安全运维管理稳定提升的障碍。

为此，如何利用信息化手段提高企业安全运维管理效益，解决企业各系统所存在的安全运维管理隐患，以及设计出一款基于大数据平台的安全攻击告警定位系统，优化企业信息安全管理和维护工作，使得它能够为各类企业提供专业的和高效率的信息安全运维管理服务，即成为尤其是信息安全运维管理设计上必须要解决的一个重要课题。

发明内容

本发明在分析了上述各类企业信息安全运维管理的缺陷和不足之后，提出了一种基于Tachyou的Spark大数据平台的安全攻击告警定位系统。