一、解决方案简介

斗象科技PRS-NTA全流量安全计算分析平台（简称PRS）。作为大数据安全日志计算分析平台，PRS支持存储协议日志、会话数据、网络文件、邮件等日志数据，也支持存储全量PCAP数据，通过构建湖仓一体架构，让数据之间能灵活转换、检索、计算和使用，或者开放给第三方调取，具备流动性、易用性、规范性、轻量性、高性能等特性。同时，借助机器学习等多种分析手段对潜在的异常行为与隐蔽风险进行检测、调查和取证，助力企业提升安全运营效率，降低运营成本。PRS承载着网络流量的安全检测、数据分析、事件回溯以及风险管理能力，满足金融行业各类应用场景的需求、合规、及攻防实战化的要求。

二、应用场景痛点简介

近年来的网络重大经济案件频发，网络安全威胁俨然成为制约全球经济的大阻碍，随着5G、物联网等新技术的发展与普及，不仅带来了技术的进步，也助长了各类衍生威胁的泛滥，这给企业的及时防御与快速响应带来了极大的冲击和挑战。因此也对网络安全企业自身的技术提出了更高的要求，不仅要检测，更要感知、预防危机的发生。随着网络安全数据量的爆发增长、风险检测算法的优化改进、计算能力的大幅提升，大数据安全分析与人工智能技术（AI）必将成为下一代网络安全解决方案的核心，其在网络安全领域的应用必将呈现跨越式发展。

对于金融企业而言，其管理与技术体系规模复杂且庞大。为应对场景日益复杂的金融行业业务以及不法分子层出不穷的钓鱼邮件、Web攻击等风险，金融企业在网络中构建了应对日益复杂多样的风险与威胁的安全防护措施，在提升安全性的同时，也使得安全数据处理难度大幅提升。

因此，在复杂网络环境和海量日志中，如何对千亿级数据进行全量数据存储和实时查询、多维分析；如何对已知和未知的安全威胁进行监控预警，能否匹配IT集中化、数据集中化、基础设施云化的发展趋势；以及能否支持多级级联部署、多分支机构安全管理等，是金融企业对安全大数据解决方案的考察重点，同时，也亟需要解决下述技术难点。

是否能够将完整全流量元数据日志留存下来，是以实战为目标的安全运营所需要具备的必要条件。

基于大规模网络流量的高级威胁大数据安全分析和人工智能（AI）分析技术，如何提升对高级威胁分析发现的能力和准确性。

传统建设理念下，安全检测能力依赖于设备和厂商，安全数据源依赖于各类设备告警，缺乏基于元数据的统一的安全运营基础，缺乏安全能力自主可控的基础。

无法有效检测和全面调查0Day攻击、APT攻击等高级威胁与未知威胁，追踪和研判威胁全过程数据不全、自动化能力不足。

现有流量检测设备，无法应对攻防安全分析、数据安全分析、业务安全分析、资产安全分析、运维安全分析等多应用场景的流量数据提取分析需求。

存储PCAP原始文件做安全事件调查、数据分析和取证，存在占用磁盘空间大、检索扫描速度慢、复杂关联分析能力弱等问题。

三、解决方案亮点介绍

一直以来，斗象科技注重NDR/NTA产品的研发与应用，结合企业常态化安全运营管理需求，通过对网络元数据存储、建模计算和分析，构建企业网络安全运营管理的核心，以“识别” => “检测” =>  “分析调查” => “响应” => “溯源取证”的过程实现完整闭环，在面向大型金融行业企业对安全大数据解决能力上具有以下亮点与价值体现：

1.全流量采集与协议日志解析

PRS基于多NUMA包处理分析框架，实时对网络双向通信报文全文会话级采集、解析和存储，性能达到40Gbps。

协议解析支持包括全量HTTP日志、DNS查询日志、MySQL操作日志、登录日志、邮件日志等50多种协议日志数据，支持5000+协议识别，日志具备结构化、轻量化、可机读等特性，更适合安全检测、调查分析和合规要求。

2.PB/EB级复合元数据存储与秒级检索技术

PRS基于大数据流处理引擎，支持百万级EPS实时过滤、富化、关联和分析，用户可根据网络区域、业务系统、存储空间和周期等因素，对网络会话、协议日志、文件和图片等内容进行按需解析和存储，帮助用户实现高性能、低开销、低成本的原始数据完整留存需求。

另外，PRS基于高速全文索引技术，满足PB级数据量级下的秒级检索，不仅可以实现无延迟的实时安全检测，还可以高效完成非实时性的跨周期深度调查和溯源取证工作。

针对PCAP原始数据包留存需求，PRS采用自研高性能存储架构，对PCAP数据进行块状压缩存储，通过会话标记、文件偏移量计算等方式实现PCAP数据微秒级的快速解压读取能力。另外采用高压缩比技术，实现原始流量压缩比小于60%，节省存储费用支出。

3.基于数据计算框架，内置丰富的安全模型

PRS成熟应用了大数据计算框架和流计算平台技术，内置数十种开箱即用的安全检测和分析模型。通过对海量正/负样本、专家特征选取以及算法，建立场景化安全模型，以长期真实数据的模型运营优化，实现针对高级网络攻击、0day漏洞利用、无特征攻击等高级威胁进行有效监测，构建可演进的动态威胁监控体系。

4.安全模型即服务

PRS首创“安全模型即服务”理念和功能，支持自定义扩展，丰富数据挖掘安全分析场景。可基于数据湖进行自定义建模分析，以SAI-模型运营平台为基座，实现数据集选取、特征工程、算法选择、模型运行管理等功能。

5.提升检测规则有效性，强化安全能力自运营

PRS基于大数据计算分析能力，使用已发布特征规则、自定义特征模型对历史协议日志数据进行离线回溯检测，挖掘历史流量中隐蔽的攻击行为。

PRS支持对各类检测特征和模型的统计分析，包括各特征的检出率、误报率等，验证规则有效性，满足企业能力提升安全运营，更适应企业的实际运行环境。

6.场景化阻断实现威胁精准处置

PRS支持TCP阻断和HTTP重定向两种模式，支持自定义多种阻断场景，可针对关键业务隔离、攻击抑制等场景配置策略，大程度保障客户业务可用性，缩短风险处置时间，遏制攻击者对网络的进一步威胁。

在国内外网络安全形势不断演变的当下，金融行业作为传统的重监管机构，面临着比以往更艰巨的风险和挑战。因此体系化、常态化的网络安全防护体系成为应对新型网络威胁的根本要求，有效的流量分析技术已经是网络战中重要的攻防手段，流量侧的威胁检测与响应能力也将成为提升实战化能力的关键因素。

7.支持级联部署

全面支持大型机构跨地域多级网络级联，分支机构多级联动解决方案，系统以数据分析为核心，驱动常态化攻防体系不断建设和完善，实现不同层级防御系统之间的协作与联防联控，满足集团化安全管理。

四、金融行业客户名单

中国银联股份有限公司、中国外汇交易中心、广东省农村信用社联合社。

五、客户评价

某大型金融组织评价：

该解决方案根据我司现有的架构和外部经验，构建起安全数据分析为核心的全流量安全计算分析体系-“总部+分支机构”级联解决方案。大数据分析、人工智能（AI）技术在解决人力所不及的安全大数据统计和抽取规律方面具备天然优势，它能够全面提高威胁攻击的识别、响应和反制速度，提升风险防范的预见性和准确性，特别是在异常行为检测等应用场景模糊的非精确识别和匹配方面，全面提高网络空间各类威胁的响应和应对速度，而且能够全面提高风险防范的预见性和准确性；其颠覆传统依赖规则防护的工作原理，让我们的安全运营变得更简单、更智能。

同时，该级联方案设计对控制台、引擎之间互联专线的带宽负载并不会造成压力，大化保证安全风险集中管控的时效性。总部控制台与升级分公司引擎之间的数据都会以加密的方式传输，保证数据的安全性、可靠性、完整性。该系统解决方案上线之后不仅满足我司总部对32个省级分公司数据安全的稳定采集、全量存储、精准回溯、集中管控安全数据的多层次需求，同时有效降低了人力参与成本，提高安全运营效能，实现了降本增效。