兰天智能安全平台（基于SOAPA架构）解读 | WitAwards 2017“年度创新产品”参评巡礼

2017 年 11 月 6 日 FreeBuf Elaine_z

WitAdwards 2017互联网安全年度评选「大众投票」已于11月1日正式开启，欢迎准时登陆官网投票！

背景

安全信息和事件管理（SIEM）产品及服务的主要职责是从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据，并进行分析和报告。部分 SIEM 还可以阻止它们检测到的正在进行的攻击，这可以帮助减少攻击造成的损坏。这种安全产品自 2005 年诞生至今的 10 年间屹立在市场不倒，但近两年的 SIEM 似乎也遇到了强有力的挑战者，咨询公司 ESG 提出用 SOAPA 来替代 SIEM 的概念后，不少安全分析师认为 SOAPA 架构系统在不久的将来就会取代 SIEM 。

SOAPA 架构是什么？

在过去的 10 年间，多数企业使用安全信息和事件管理（SIEM）产品和服务进行安全分析和运营工作。现在，SIEM 依然发挥着重要的作用，但是很多企业开始为他们的安全操作中心（SOC）集成更完善的数据、分析工具以及操作管理系统。

我们现在看到的 SOC 已经成为端点检测和响应工具（EDR）、网络分析、威胁情报平台（TIP）以及事件响应平台（IRP）的结合体。而安全行业的变化又推动着整体安全技术向更全面的事件驱动软件架构（SOA2.0）变革。

安全运作和分析平台架构

在此背景下，被 ESG 咨询公司称为“SOAPA（ a security operations and analytics platform architecture，安全运作和分析平台架构）”的平台便应运而生。

SOAPA 是一个动态的架构，这意味着随着时间的推移，新的数据源和控制平面还会递增。理论上它能够汇总各种来源的数据进行相应的整理、分析、监测和响应。另外，SOAPA 本身就是基于 SIEM 开发的，除了有与 SIEM 类似的功能之外，SOAPA 还有以下的几个功能模块：端点检测/响应工具（EDR）、事故响应平台（IRP）、网络安全分析、UBA /机器学习算法、反恶意软件沙箱以及威胁情报等。

而根据蓝色巨人 IBM 的观点，他们将 SOAPA 描述为一个 “优于又次于 SIEM ” 的架构。他们认为在调查和数据收集工具方面 SOAPA 次于 SIEM ，但是在高级分析和操作服务，如用户行为分析（UBA）、事件响应平台（IRP）等方面 SOAPA 架构明显优于 SIEM 。

参评产品介绍

兰云科技是一家闪烁着活力的创业型企业，成立于 2016 年 4 月，在今年 7 月完成了 A 轮融资。

根据官网信息，可以看到，兰天智能安全平台产品是该公司旗下的三款产品之中的重要产品——兰盾是威胁情报的重要来源之一；其二的兰眼则是触手，是传感器，它包含了网络流量分析，反恶意软件沙箱两种主要能力；而兰天既是大脑，可基于用户行为分析/机器学习技术，发现各类异常访问行为，也是综合分析平台，为分析人员进行安全事件深度分析提供全面支撑。

兰天智能安全平台

而根据产品手册中的描述，兰天智能安全平台主要运用大数据技术基础，解决安全分析中数据持续增长、类型复杂、来源多样等数据问题；其次同时使用用户及实体行为分析技术，实现高级持续性恶意攻击以及内部违规行为等企业威胁的有效检测。兰天平台还能在融合各种网络安全要素的基础上从宏观的角度实时评估网络的安全态势，并在发现威胁之后实现安全联动，及时阻断，为企业信息化管理部门的决策分析提供依据，保护客户核心资产。下面我们就从功能层面来仔细了解一番：

一、兰天智能安全平台功能介绍

兰天智能安全平台是一个动态的架构，随着时间的推移，新的数据源和控制面可以根据客户实际需要进行递增。目前，兰天智能安全平台由以下功能模块组成: SIEM、EDR、IRP、NTA、UBA、资产管理、反恶意软件沙箱、威胁情报。

兰天智能安全平台功能模块

二、兰天智能安全平台技术特性及原理

1. 数据采集

从数据采集的角度来看，兰天智能安全平台首先支持对网络流量报文进行镜像采集和存储，也可以对网络流量元数据、网络流量中还原传输的文件进行提取和存储。其次，还支持路由器、交换机、防火墙等系统日志采集，支持对操作系统的基本信息、登录日志、运行日志、告警日志等采集，支持对中间软件日志信息采集。

兰天平台中的数据采集包括日志采集和原始流量采集，日志采集器负责日志采集，流探针负责原始流量采集。日志采集流程包括日志接收、日志分类、日志格式化和日志转发。流量采集流程包括流量采集、协议解析、文件还原和流量元数据上报。

2. 数据分析方法

其次在分析方法上，兰天平台在系统级沙箱的基础上结合了应用级沙箱，同时可对本地全量历史数据、互联网威胁情报数据、互联网基础数据，按照多个维度进行关联分析。安全分析人员可以通过攻击者留下的任意线索进行多维拓展，绘制出完整的攻击链条并形成分析报告。

兰天平台中运用的关联分析，主要通过挖掘事件之间的关联和时序关系，从而发现有效的攻击。关联分析采用了高性能的流计算引擎，关联分析引擎直接从分布式消息总线上获取归一化日志装入内存，并根据系统加载的关联规则进行在线分析。系统预置了一部分关联分析规则，用户也可以自定义关联分析规则。当多条日志匹配了某一关联规则，则认为它们之间存在对应的关联关系，输出异常事件，同时将匹配用到的原始日志记录到异常事件中。

3. 实时分析引擎

而在实时分析引擎上，兰天平台基于分布式的架构，可以实现单节点 10 万 EPS 级的数据分析，以及 PB 级数据的秒级检索，可以满足高要求的威胁分析需求。

我们了解到兰天平台中的威胁判定原理，是根据多个异常进行关联、评估，最后确定是否产生了高级威胁，然后为威胁监控和攻击链路可视化提供一定数据。这个威胁判定主要是按照攻击链的阶段标识/分类各种异常，并以异常发生的时间为准，通过主机 IP、文件 MD5 和 URL 建立异常的时序和关联关系，根据预定义的行为判定模式判定是否是高级威胁，同时根据相关联的异常的严重程度、影响范围、可信度进行打分和评估，从而产生威胁事件。

4. 用户行为分析

在用户行为分析技术上，兰天平台应用了机器学习的方式建立正向，反向的行为模型，并将模型应用于实时检测中。基于业务和资产的正向模型训练，提升检测效率，基于攻击行为的反向模型训练提升检测精度。

在企业所有的安全威胁中，来自内部的安全威胁是最难以发现和防范的。据相关调查统计，超过 2/3 的安全攻击和数据失窃都源自企业内部。而由于内部人员容易接触敏感信息、熟悉内部环境，很容易逃避安全防护手段进而危害机构中最核心的数据和资源。

兰云安全智能平台凭借自身机器学习方法和全面的数据采集能力，通过针对用户画像，用户流量、业务系统日志的关联分析，能够自动侦测用户的异常行为，并可针对账号失陷检测、主机失陷检测、数据泄漏检测、内部用户滥用、提供事件调查的上下文等内部异常进行有效的检测及告警。

这样，兰云科技的兰天产品就可以避免传统 SOC/SIEM 或者 DLP 产品中存在的报警数量多、误报率高、操作复杂、投入成本高等问题。

而 UEBA 虽然属于数据驱动的安全分析技术，只是在一定程度上使用了机器学习技术(包括监督学习和非监督学习)。用户实体行为分析技术中的异常发现不是只依赖于机器学习，它的视线同时也需要依靠统计以及特征的方法，一些通过机器学习可以输出明确结果的内容在这个阶段会也会体现出来，如 DGA 域名发现等；而统计的方法也会经常出现，如某用户账号第一次访问一个文件夹、用户访问的文件数量异常等。

以上这些发现的异常数据会成为机器学习识别的原材料。在这些数据的基础上，兰天平台再利用机器学习(包括贝叶斯方法)，快速的确定不同特征组合所对应的风险值，而风险值大于一定范围才会成为需要用户关注的事件。

5. 态势感知

而在态势感知上，兰天可以通过网络攻击行为、恶意代码传播、漏洞分布状态、重要系统风险等多种指标综合评定全网安全态势。在态势展示上，它可支持可定制、直观的安全态势展示方式，支持基于地图的实时威胁呈现，支持对展示数据的可视化溯源分析。而在交互式可视化分析层面，兰天平台会通过对安全数据建立完整索引，实现对数据的交互式查询分析，也支持依据事件属性对大数据进行过滤、归并、钻取等分析操作。

兰天态势感知模块

兰天智能安全平台提供丰富的业务安全模型，可以在实际运行过程中基于业务实际情况进行网络流量和用户行为的学习与建模，识别出针对各个关键资产的异常访问或攻击。

为了提升机器学习模型的准确度，平台建立了两类机器学习模型:正向模型和反向模型，前者侧重用户行为的检测，后者侧重恶意代码的检测。两类模型采取了不同的检测策略，前者是匹配即正常，后者是匹配即异常。

各类机器学习模型在实际使用中会先利用真实数据进行模型参数优化，以提升检测结果的准确率，进而提高安全态势评估的准确性。

6. 系统资产管理

在系统资产管理上，兰天平台系统可自动识别本地资产，安全管理员可对资产赋予不同的安全属性，如安全权重、安全域、资产管理员信息等，并通过可视化技术将资产用不同的拓扑类型进行展示。在进行威胁分析的时候安全分析人员可以通过资产分组来进行安全数据统计和分析。

总结

我们可以发现，随着数据驱动的安全决策需求正在增长，企业对于安全事件的数据收集、处理、分析及及时响应的需求也在不断增长。而安全分析和运营是在不断动态变化和需要创新动力的。单个独立的分析能力和工具都会逐渐纳入到一个集成的架构平台上。因此，在这个赛道上，国外的安全巨头如 IBM 、Symantec 在近几年的时间里已经有所行动；而作为国内首家应用该 SOAPA 架构的兰天智能安全产品，也正在给众多企业提供集成化安全服务的新选择。

总体来说，对企业而言，他们在应用 SOAPA 时在以下方面能够获得帮助：

1. 帮助企业企业更好识别和分析业务风险，打通不同来源的安全数据之间的隔阂，跨工具地对所有数据进行填充、关联、查找和判定。

2. 在全球企业人才仍然缺乏安全技能的前提下，帮助企业自动化安全处理流程。

3. 加强企业的事件检测效果缩短监测时间。从此前的 Verizon 事件也可以看到，哪怕对很多大企业来说，安全事件的监测和响应仍然会花费数周、或数个月才能完成。

4. 加强企业的安全团队和运维团队之间的联系，帮助企业了解整个事件处理周期内的全部情况。

5. 基于终端、网络、网关和其他威胁情报的联合判断，帮助组织提升场景下的用户行为分析。