5
新一代SOC的技术框架
业务为核心，以大数据和机器学习为技术支撑，具备大规模数据的实时异常检测和分析、智能化安全分析、用
户异常行为分析、全流量分析、安全可视化、风险预警、威胁情报共享和安全态势感知等新一代SOC能力。
SOC Tool Integration Framework
EDR/NDR 终端/网络 监测和响应 Data Resources 数据源 NGSIEM 下一代SIEM TIP 威胁情报
4 5 6
5/2当天三个维度的异常与同 角色／部门基线的对比 登入登出异常是因为同角色中 唯一一人20:00－24:00中登录
用机器学习算法或预定义 规则找出严重偏离基线的 异常行为
非白即黑，外加黑的灰度 （异常分值）
3
SOC的变革和新一代SOC的架构
5
SOC的变革
发展过程：SOC经历了从开始的1.0到2.0的发展过程，进入到2014年随着大数据、云计算、机器学 习等新技术的出现，以及客户业务上的需求和问题，产品逐步向SOC3.0迈进。
SOC 1.0
• 以合规需求为主 • 日志集中的采集、 存储和检索 • 以资产为核心
SOC 3.0 的变化

大规模数据处理能力 用户行为分析 全流量分析 外部威胁情报 安全态势感知能力
UEBA 用户行为分析
NTA 网络流量分析 Prevention and mitigation tools 防护工具
WorkFlow 工作流
6
大数据智能SOC平台
8
大数据智能SOC平台
多平台支持：支持32位、64位可疑实体查询 结果直接写入图库，方便多维数据关联
高威胁IP检 测引擎
10
基于rocksdb实现 企业级查询速度：每秒可处理超3万的待检IP 多调用方式：图库检索、API调用
恶意域名检测 基于rocksdb实现 引擎 API调用，操作简单
事前防范- 机器学习
资产信息 安全日志 网络流量 威胁情报
人员信息 设备信息 系统信息 应用信息
网络设备 主机 中间件 虚拟化
安全设备 应用系统 数据库 私有云平台 全流量 Netflow
恶意URL 恶意IP DNS信息 病毒特征码
数据预处理 大数据安全分析系统
9
事前防范- 威胁情报
安全威胁情报分析以部署各地的安全态势感知探针为来源，结合机器学习智能化分析筛选，生成精准的入 侵 检测指标（IOC），并通过可视化形式展现的智能安全威胁分析系统，能帮助用户对安全事件确认、安全态 势 感知、甚至攻击取证提供精准、可靠的依据。 翰 分 思 析 安 系 全统 威架 胁 构 图像数据库 情 查询引擎 报
SOC 2.0
• 以业务为核心 • 简单关联分析 • 数据源以日志为主 • 系统架构为关系型 数据库
传统SOC 面临的挑战
• 海量数据的采集和存储困难 • 异构数据的存储和管理困难
• 安全事件的调查效率太低 • 对于趋势性的东西预测较难
• 系统交互能力有限
• 对历史数据的检测能力很弱 • 分析的方法较少
平 台 管 理
漏洞库
资产库
配置库
采集层
安全信息收集
日志采集
NetFlow采集
旁路抓包
安全设备
8
网络设备
应用系统
终端
认证系统
主机 / VM
数据库
中间件
… …
处理的数据类型
• 支持国内外几十家厂商、1000余种常见系统和设备日志的自动解析、标准化、丰富化
• 支持SNMP、SYSLOG、Agent、Netflow 、API接口、数据库接口、FTP、端口镜像等采集方式
业务层 威胁预警
恶意URL 恶意IP DNS库
态势感知
恶意域名 Oday漏洞 恶意代码
调查分析
安全监测
统计报表
资产管理
工单处理
情报 中心
人员账号
组织机构 IP地址库
支持 数据
安全域
数 据 处 理 与 计 算
事件库
规则分析
机器学习

威胁情报 分析
用户行为 分析
流量分析
数 据 储 存 图形数据库
Enrich Parse+Format 原始数据
通过机器学习和算法对大量的历史日志和安全信息的关联，对用户的行为进行一个长周期的分析，建立正常 用户行为基线或画像，找出异常行为和隐藏的威胁，无论是外部APT攻击，还是内部人员账号失窃或是盗取 内部数据。 机器学习 算法 正常访问 模型
历史数据
建模器
UBA 场景库 机器学习能够预测用户需求，并根据不断变化的 环境来适应，辅助其它引擎优化规则库和场景库 安全分析以无监督学习为主（极少的标记数据） 有人工辅助的半监督学习（安全专家、运维人员 反馈） Hansight算法结构（张量（Tensor）系、图分析、 聚类、深度学习）
大数据智能安全运营中心（ SOC ）解决方案
安全运营现状
安全设备众多、 纷繁杂乱、缺少 统一管控平台 “救火式”IT 运维，无法 快速定位故 障及影响范 围
海量日志信 息，技术人 力有限
非安全产品 也会产生安 全相关事件
国家法律、 行业法规、 企业规定 监管要求
2
SOC的定义
起源：SOC(Security Operations Center，即安全运营中心) 概念起源于国外。之前的NOC (Network Operations Center，即网络运行中心)强调对客户网络进行集中化、全方位的监控、 分析与响应，实现体系化的网络运行维护。随着信息安全问题的日益突出，安全管理理论与技 术的不断发展，企业需要从安全的角度去管理整个网络和系统，从而产生了SOC的概念。
11
实时数据
安全 规则库
事前防范- 机器学习
1 2
0-100之间的恶意分值 用户名用户角色或者部门 匹配上的内部威胁场景
3
对于规则无法匹配的，以 用户为主体从时间序列、 行为序列等多维度进行分 析 以部门、个人、资产、资 产群等为单位建立多维度 行为基线 关联用户与资产的行为
关键恶意行为 内部威胁场景具体的行为序列
威胁情报信息关联展示
基于ES的图数据库系统 底层存储为源生图数据结构，优化数据关联搜索 可对查询结果进行图关联和列表形式展现 多维数据融合：Whois信息、终端行为信息、病毒监测信息、IP 信息、域名信息、漏洞知识库等
终端行为分析 海量样本处理能力：日处理超2万样本 引擎 全自动化部署，极速安装