邮箱安全第7期 | 邮箱大数据分析平台与异常预警模型

上一期我们谈到通过WEB应用防火墙技术来防护邮箱系统自身的安全问题,由此解决了应用层防护不当导致的邮箱系统被黑客技术入侵的问题,本期我们介绍针对邮箱系统整体大数据审计分析平台的架构部署平台的技术架构以及邮件内容的异常分析。通过本期的介绍您将了解到邮箱大数据处理的全生命周期以及技术架构,另外,了解如何对邮箱业务异常进行基本的判断。

01

邮箱大数据分析处理过程

大数据中心重点实现企业网络环境安全类、管理类、流量数据以及资产、用户的基本数据的采集。数据采集层实现全流量审计引擎、日志采集引擎和资产、用户数据的采集接口。其中全流量审计引擎实现内网和互联网的镜像流量审计和采集,日志采集引擎实现主机、服务器以及安全设备的日志采集,资产、用户数据的采集接口实现企业网络资产和用户的数据的采集,并支持离线数据的导入功能,最终将采集到的数据上传至态势与预警平台,经过统一的ETL(清洗、转换和标准化)处理之后存入安全大数据中心。

02

邮箱大数据分析技术能力

建立安全大数据分析中心,并实现对采集引擎的状态监控和采集数据的审核、标准化、管理补齐、数据标签和集中式存储。采用分布式部署和考虑容灾备份,保障安全数据中心的存储空间和高可用性,并提高其他应用系统的数据接口,实现数据的共享能力。建立的态势与预警平台,实现对安全数据中心内存储的数据的分析应用,多维大数据关联分析,实现邮箱安全的要素分析以及异常行为快速发现的能力,并累计本地威胁情报。实现企业安全事件的自动发现和整体安全环境的评估能力。通过部署高级安全产品,实现企业邮箱进出口流量的深度分析能力,发现恶意文件、高级持续性攻击者等;通过引进安全公司的专业安全服务,实现邮箱安全检测等能力。扩充本地威胁情报,将恶意文件、高级持续攻击者的IP、安全专业服务提供的检测数据以及态势与预警平台发现的安全事件等数据,扩充至本地威胁情报,实现企业邮箱安全事件的自动发现和企业整体网络安全环境的评估能力

03

邮箱大数据平台基础架构

图:邮箱系统大数据分析平台架构

采用组件式平台架构,实现了逻辑架构的分层,具体包括:数据源层、数据采集层、业务层和应用层。

  • 数据源:流量数据、邮箱服务日志、网络设备日志、APT数据、安全设备日志、主机服务器日志、应用日志。
  • 安全大数据中心:提供安全类和泛安全类的数据采集、归一和管理功能,并为上层应用提供数据服务。
  • 大数据分析平台:基于数据中心的上层数据分析应用,提供业务安全和网络安全分析引擎,从海量数据中挖掘和量化‘安全风险事件以及系统安全特征和指标。
  • 应用和可视化:网络安全态势集中化,态势综合分析视图以及大数据中心的检索视图等,并提供接口管理,包括数据采集接口和与总部数据中心的接口。

04

邮箱安全异常预警模型

邮箱安全日志监控和分析的最终目标是感知攻击类型的异常用户行为。预警内容包括已知规则攻击的行为和未知异常行为。其中,已知攻击行为的告警可以通过安全设备日志的联动分析得出,比如APT的沙箱;而未知异常行为的预警,则需要构建数据模型进行机器学习和大数据分析,并按照场景优化。项目的关键点将集中于正常行为的定义、统计学上异常分类的算法和异常量的可运营性。安全分析模型主要包含以下规则进行监测及预警:

频繁登陆失败:同一IP、客户端或者用户在一段时间内登录失败次数大于预定的阈值。

异地登录:同一IP、客户端或者用户在短时间内在两个距离远的地理位置登录。

邮件发送频率异常:根据IP、客户端和用户邮件发送频率行为建立正常基线,检测出新的邮件行为显著超出了正常的基线模型。

账号冒用监控:特别针对单位的重点账户,监测邮件的接受和发送行为是否有冒用账号的攻击行为

敏感内容监控:针对邮件的内容做敏感内容监控,包括账户、密码、钓鱼链接、公司机密信息等等。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-12-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯移动品质中心TMQ的专栏

腾讯TMQ在线沙龙回顾|场景化性能测试方案

场景化性能测试方案 活动时间:2017年12月06日QQ视频分享 活动介绍:TMQ在线沙龙第三十五期分享 本次分享的主题是 场景化性能测试方案 101位测试小伙...

230100
来自专栏美团技术团队

美团外卖自动化业务运维系统——Alfred

背景 美团外卖业务在互联网行业是非常独特的,不仅流程复杂——从用户下单、商家接单到配送员接单、交付,而且压力和流量在午、晚高峰时段非常集中。同时,外卖业务的增长...

64980
来自专栏云计算D1net

私有云和混合云成功的四个关键因素

许多企业希望获得云计算基础设施的敏捷性和成本效益,但是在部署实施云计算时,在复杂性和成本方面受到阻碍。此外,企业需要将云部署扩展到任何级别的能力,以及管理许多类...

34980
来自专栏Rainbond开源「容器云平台」

如何正确地迁移到云原生应用架构

22950
来自专栏SDNLAB

JUNOS DEVOPS尤便捷 更精彩

一、 新一轮IT变革来临(DEVOPS) 如今IT发展风起云涌如火如荼,各领域技术百花齐放,各山头厂商占地为王。纵观整个IT江湖,虽拥有众多的昙花一现和太多的不...

34980
来自专栏云计算

企业微服务架构转型-实施步骤

在前面的文章中已经谈到过微服务架构转型中的实施策略,今天重点谈下微服务架构转型中的实施步骤。 步骤1:4A和流程平台的下沉和能力开放 在实施微服务架构转型的时候...

24070
来自专栏北京马哥教育

25年Linux内核开发经历总结出来的九条经验

原文: 9 lessons from 25 years of Linux kernel development 作者:Greg Kroah-Hartman 翻译...

409110
来自专栏WeTest质量开放平台团队的专栏

你的APK安全吗?来WeTest免费测!

? 腾讯安全联合实验室就曾在《2018上半年互联网黑产研究报告》指出,移动端黑产规模宏大,恶意推广日均影响用户超过千万。 尤其在网络强相关的APP流行年代,当...

16730

云监控入门

原文作者:Angela Stringfellow

415110
来自专栏BestSDK

【刷脸登陆】 一种毋须动用大脑皮层的登录方式

一登是啥? 一登是一家人脸登录服务提供商,以开发组件的形式,为 Android、iOS 应用开发者提供人脸登录功能接入服务。用户不需要记住很多密码,因为人脸就是...

240100

扫码关注云+社区

领取腾讯云代金券