【流沙】宜信安全数据平台实践

于 2019-06-13 13:56:37 发布
阅读量261 收藏
点赞数
分类专栏: 宜信研发实践 文章标签: 安全 数据处理 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gao2175/article/details/91850322
版权
本文介绍了宜信的流沙安全数据平台,对比OpenSOC,阐述了平台架构、优化点及落地经验。流沙平台采用beats进行数据采集,预处理层使用ybridge,舍弃了hive,利用spark进行分析。平台注重高可用性,通过监控告警解决丢包问题,并使用gosuv和consul进行服务管理。
摘要由CSDN通过智能技术生成

导读:宜信结合自己的实际情况,实现了一套集采集、分析和存储为一体的安全数据平台——流沙平台。本文重点介绍一下流沙平台的架构,相比于OpenSOC做了哪些优化及改进的地方以及流沙平台在落地过程中的经验总结。

前言

OpenSOC是思科在BroCON大会上亮相了的一个安全大数据分析架构,它是一个针对网络包和流的大数据分析框架,是大数据分析与安全分析技术的结合, 能够实时的检测网络异常情况并且可以扩展很多节点,它的存储使用开源项目Hadoop,实时索引使用开源项目ElasticSearch,在线流分析使用著名的开源项目Storm。

宜信结合自己的实际情况,同样实现了一套集采集、分析和存储为一体的安全数据平台——流沙平台。本文重点介绍一下流沙平台的架构,相比于OpenSOC做了哪些优化及改进的地方以及流沙平台在落地过程中的经验总结。

一、流沙平台架构

整个平台架构分了多个层次,采集层、预处理层、分析层、存储层和响应层。层之间若需要,均使用kafka作为消息队列进行数据传递,保证了传输过程中的数据可靠。

1.1 采集层

采集层主要用于数据采集,然后将采集的数据统一发送至kafka。采集的数据主要包括:

  • 流量数据——使用packetbeat进行解析

  • 日志数据——文件形式的日志使用filebeat进行采集;syslog形式的数据采用rsyslog进行采集

  • 运维数据——为方便故障排查和集群性能监控,使用metricbeat采集流沙平台集群服务器的运维数据

在实际运营的过程中,我们发现packetbeat在攻击场景下存在一些缺陷,并给出了相应的解决办法,比如:

  • 网页压缩会导致body乱码

  • 若没有content-type字段则不会解包

  • 位于body部分的参数会被添加进params字段中

  • connect请求导致的urlparse报错

  • 不规范的url编码字段导致的urlparse报错

1.2 预处理层

流沙平台的预处理程序(以下统称为“ybridge”)为宜信基于golang自主开发的一套支持分布式的预处理框架,通过编写配置即可实现自定义用户的输入输出以及数据所需要实现的功能。通过编写

最低0.47元/天 解锁文章
宜信技术学院
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
宜信支持多渠道前端方案介绍
11-19 477
【宜信技术沙龙】是由宜信技术学院主办的系列技术分享活动,活动包括线上和线下两种形式,每期技术沙龙都将邀请宜信及其他互联网公司的技术专家分享来自一线的实践经验,分享内容覆盖金融科技及软件研发等主要技术领域,旨在为金融科技行业提供可落地实践的解决方案,为金融科技从业者带来思路想法上的启发。一、分享话题及大纲【分享话题】:宜信支持多渠道前端方案介绍【话题介绍】:随着业务不断发展,在前端开发过程中,经常会面临同一个功能要面向不同的渠道,同时也要适应不同渠道多种的需求变化,为了提升开发效率更好的.
博客
彻底深刻理解js原型链之prototype,__proto__以及constructor(二)
11-10 428
前言如果你能够啃下教程一并且吃透原型链的几个概念的话说明你在前端飞仙的路上又进了一小步···学习最怕的不是慢而是站!这篇教程主要目的对原型链概念进一步加深理解巩固下教程一的知识来看下面的例子:var text=new String("我是文字");function Persion(name,job){ this.name=name; this.job=job;}Persion.myName="lxm";Persion.prototype.sayName=function(){
博客
zookeeper浅谈
10-27 401
1、ZooKeeper是什么?ZooKeeper 是一个开源的分布式服务框架Hadoop的一个子项目,Zookeeper 实现诸如数据发布/订阅、统一命名服务、分布式协调/通知、配置管理、分布式锁和分布式队列等功能,通俗的讲zookeeper是一个支持增删查改的类似文件系统特点的数据库,按照规则去给节点分配任务。zookeeper底层实现了存储文件和通知回调功能它的数据结构类似于一个标准的文件系统,相比较文件系统zk的每个节点都可以存储数据,但是大小限制为1M。通常我们在使用dubbo的时候会建议使用zo
博客
处理一次k8s、calico无法分配podIP的心路历程
10-13 1190
又一次偷偷化解了可能发生的重大事故。不想看过程的可以直接跳到末尾看处理方案。一个网络错误某天,上kplcloud构建一个测试应用,构建完成之后发现新pod一直启动失败,并且抛出了以下错误信息:Failed create pod sandbox: rpc error: code = Unknown desc = NetworkPlugin cni failed to set up pod "xxxxxx-fc4cb949f-gpkm2_xxxxxxx" network: netplugin failed
博客
彻底深刻理解js原型链之prototype,__proto__以及constructor(一)
09-27 368
前言以下概念请花费一定的时间彻底理解,才能进行下一步,思考题一定要思考,这样才能彻底掌握原型链的知识点,教程中如果有任何的错误不足请指正!函数对象由function创造出来的函数,比如: function a(){}; var b=function(){}; 系统内置的函数对象Function,Object,Array,String,Number只有函数对象才有 prototype属性 ,重要的事情说三遍!思考: js的引用数据类型都属于函数对象吗?普通
博客
论程序的健壮性——就看Redis
09-21 462
“众里寻他千百度,蓦然回首,那人却在,灯火阑珊处”。多年的IT生涯,一直希望自己写的程序能够有很强的健壮性,也一直希望能找到一个高可用的标杆程序去借鉴学习,不畏惧内存溢出、磁盘满了、断网、断电、机器重启等等情况。但意想不到的是,这个标杆程序竟然就是从一开始就在使用的分布式缓存——Redis。Redis(Remote Dictionary Server ),即远程字典服务,是 C 语言开发的一个开源的高性能键值对(key-value)的内存数据库。由于它是基于内存的所以它要比基于磁盘读写的数据库效率更.
博客
宜信OCR技术探索之版面分析业务实践|技术沙龙直播速记
09-08 883
直播视频回放:https://v.qq.com/x/page/i3135lgkagd.html一、项目背景业务端大量的新增数据来自纸质报告、电子邮件、文档、图像、视频等非结构化内容。据统计,业务线对于80%的非结构化内容无法有效管理,60%的管理人员在决策时无法获得关键信息,50%的信息内容无法为公司带来业务价值。解决痛点1、降本增效:帮助客户减少人力投入,解放传统OCR识别场景耗费的时间,提升工作效率。2、关键信息提取:涉及多类复杂场景,理解识别文档内容、提取关键信息,为风险控制、营销扩展、流程
博客
Spring事务的传播行为案例分析
08-10 929
网上关于Spring事务传播性以及隔离型的文章漫天盖地,还有不负责任的直接复制名词意思,文章虽然很多却是看的云里雾里,我们今天将给出案例分别和大家一起学习。1、spring给出经常面试的考点Spring事务的4个特性含义—这个很容易理解2、spring事务传播特性的定义以及案例分析一、事务的特性ACID这四个英文单词拼写我一直记不住,求记忆方法原子性(Atomicity):事务是一系列原子操作,要么全部成功,要么全部失败。一致性(Consistency):一旦完成(不管是成功还是失败.
博客
宜信OCR技术探索与实践​|直播速记
07-28 436
宜信OCR技术探索与实践|宜信技术沙龙第12期 导读:随着人工智能的热度上升,图像识别这一分领域也渐渐被人们所关注。在公司的业务中,有很多扫描、拍照单据、凭证等进行识别的需求。为了帮助业务实现这些图片文档的识别和结构化,我们进行了一系列的实践和探索,最终确定了深度学习的文字检测和识别模型,作为主要的实现手段,从而满足了业务上的需求。实践过程中,我们遇到过一系列的问题和难点,最终都一一解...
博客
十个问题弄清JVM&GC(一)
07-24 334
每个java开发同学不管是日常工作中还是面试里,都会遇到JDK、JVM和GC的问题。本文会从以下10个问题为切入点,带着大家一起全面了解一下JVM的方方面面。JVM、JRE和JDK的区别和联系JVM是什么?以及它的主要作用JVM的核心功能有哪些类加载机制和过程运行时数据区的逻辑结构JVM的内存模型如何确定对象是垃圾垃圾收集的算法有哪些各种问世的垃圾收集器JVM调优的参数配置1、JVM、JRE和JDK的区别和联系这个基本是步入java世界的入门级知识认知,首先我们来看一下来自jav
博客
搭建node服务(三):使用TypeScript
07-17 592
JavaScript 是一门动态弱类型语言,对变量的类型非常宽容。JavaScript使用灵活,开发速度快,但是由于类型思维的缺失,一点小的修改都有可能导致意想不到的错误,使用TypeScript可以很好的解决这种问题。TypeScript是JavaScript的一个超集,扩展了 JavaScript 的语法,增加了静态类型、类、模块、接口和类型注解等功能,可以编译成纯JavaScript。本文将介绍如何在node服务中使用TypeScript。一、 安装依赖npm install typescri.
博客
AI中台助力企业智能化转型
06-28 433
本文主要和大家分享 “AI中台如何助力企业数字化以及智能化转型”,以及我在构建 AI中台方面的一些心得和经验。企业数字化旨在利用数字化技术改变企业业务模式,优化生产过程以及寻求新的商业价值。但能够做到真正数字化的企业并不是很多。那么在数字化的征途上,企业都需要做些什么呢?从数字化到智能化企业首先要做的事情是数据连接,也就是进行数据的收集、整理,以及标准化和统一化的数据操作,形成统一的数据平台。进而基于这些数据去进行分析,制定数据指标,再基于这些数据指标进行一些挖掘和洞察,最后依据数据的洞察做.
博客
宜信数据中台全揭秘(一)数据中台整体介绍|分享实录
06-11 612
内容来源:宜信技术学院第11期技术沙龙|宜信数据中台全揭秘(一)数据中台整体介绍主讲人:宜信数据中台解决方案架构师 裴国强PPT下载:链接: https://pan.baidu.com/s/1eSkSdUo6FmYFmcE4xg0vjw 密码: 99uh一、数据中台定位1.1 ADX整体简介-中台定位首先对中台的服务范围说明:企业级:针对是整个企业的所有业务部门,横向贯穿整个业务线的数据,纵向贯穿整个数据生命周期,从最开始的数据采集(DB,日志,消息,文件),入湖,标准化,开发(批量.
博客
搭建node服务(二):操作MySQL
06-03 374
为了进行复杂信息的存储和查询,服务端系统往往需要数据库操作。数据库分为关系型数据库和非关系型数据库,关系型数据库有MySQL、Oracle、SQL Server等,非关系型数据库有Redis(常用来做缓存)、MongoDB等。MySQL是目前很流行的数据库,本文将要介绍如何在node服务中进行MySQL数据库操作。一、 安装依赖npm install mysql --save或者yarn add mysql二、建立连接要想进行数据库操作就需要和数据库建立连接,然后通过连接进行数据库的操作.
博客
一文读懂JAVA多线程
05-27 554
一文读懂JAVA多线程背景渊源摩尔定律提到多线程好多书上都会提到摩尔定律,它是由英特尔创始人之一Gordon Moore提出来的。其内容为:当价格不变时,集成电路上可容纳的元器件的数目,约每隔18-24个月便会增加一倍,性能也将提升一倍。换言之,每一美元所能买到的电脑性能,将每隔18-24个月翻一倍以上。这一定律揭示了信息技术进步的速度。可是从2003年开始CPU主频已经不再翻倍,而是采用多核,而不是更快的主频。摩尔定律失效。那主频不再提高,核数增加的情况下要想让程序更快就要用到并行或并发编程。并
博客
基于Ceph对象存储构建实践
05-20 415
存储发展数据存储是人类永恒的话题和不断探索的主题绳结记事原始社会,文字未发明之前 ,人们所使用的一种记事方法,在绳子上打结记事。穿孔卡穿孔卡片是始于20世纪的主要存储方法,也是最早的机械化信息存储形式,进入20世纪60年代后,逐渐被其他存储手段取代。目前穿孔卡片已经极少使用,除非用于读出当年存储的历史数据。磁鼓存储器20世纪50年代,磁鼓作为内存储器应用于IBM 650。在后续的IBM 360/91和DEC PDP-11中,磁鼓也用作交换区存储和页面存储。磁鼓的代表性产品是IBM
博客
TestNG测试用例重跑详解及实践优化
05-06 783
测试用例运行稳定性是自动化质量的一个重要指标,在运行中需要尽可能的剔除非bug造成的测试用例执行失败,对于失败用例进行重跑是常用策略之一。一种重跑策略是所有用例运行结束后对失败用例重跑,另一种重跑策略是在运行时监控用例运行状态,失败后实时重跑。下面,详细介绍TestNG如何对失败测试用例实时重跑并解决重跑过程中所遇到问题的实践和解决方案。对失败测试用例进行实时重跑,有以下几个方面需求:测...
博客
搭建node服务(一):日志处理
04-20 962
对于一个应用程序来说,日志记录是非常重要的。日志可以帮助开发人员快速定位线上问题,定制解决方案;日志中包含大量用户信息,通过日志分析还可以获取用户行为、兴趣偏好等信息,通过这些信息可以得到用户画像,对公司战略的制定提供参考。本文将要介绍如何在node服务中处理日志。一、技术选型选择了3种主流的技术进行对比:1.1 log4jslog4js是一种node日志管理工具,可以将自定义格式的日志输...
博客
浅谈技术管理之日式管理的殊途同归
04-16 525
摘要:人们的现状是歪的,管理者为他塑造一个新图像,当对方将现状扶正,与新图像吻合,管理的目的就达成了。《周易》说,形而上者谓之道,形而下者谓之器;降龙十八掌里有履霜坚冰,夕惕若厉等招数;坤卦爻辞中也有含章可贞,或从王事等管理和做人规则。看完上面几句,大家可能会想,不是说日式管理嘛,怎么说起中国传统哲学了?其实无论是西方的还是日式的管理方法与经验,其理论来源都是中国的哲学思想,无论是德鲁克的任务...
博客
TCP漫谈之keepalive和time_wait
04-07 1474
TCP是一个有状态通讯协议,所谓的有状态是指通信过程中通信的双方各自维护连接的状态。一、TCP keepalive先简单回顾一下TCP连接建立和断开的整个过程。(这里主要考虑主流程,关于丢包、拥塞、窗口、失败重试等情况后面详细讨论。)首先是客户端发送syn(Synchronize Sequence Numbers:同步序列编号)包给服务端,告诉服务端我要连接你,syn包里面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值