行業(yè)背景

關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)系國計民生與社會穩(wěn)定，對其進行入侵攻擊容易造成巨大危害，產(chǎn)生顯著影響。電網(wǎng)作為一種典型的工業(yè)控制系統(tǒng)，也是國家關(guān)鍵信息基礎(chǔ)設(shè)施，一旦遭受攻擊將可能造成電力安全生產(chǎn)事故，甚至引發(fā)大面積停電，后果非常嚴重。近年來爆發(fā)的伊朗“震網(wǎng)”事件、烏克蘭大規(guī)模停電事件及今年爆發(fā)的比特幣勒索病毒事件表明，能源、電力行業(yè)已成為網(wǎng)絡(luò)攻擊的重點目標。

近年來，隨著電力工業(yè)控制系統(tǒng)采取分區(qū)分域和縱深防御策略，通過實施內(nèi)外網(wǎng)安全隔離、電網(wǎng)生產(chǎn)大區(qū)與管理信息大區(qū)安全隔離等關(guān)鍵安全防護工程，系統(tǒng)安全防護體系逐漸得到完善。但是，隨著工業(yè)控制系統(tǒng)和設(shè)備中新的漏洞、后門等脆弱性信息的發(fā)現(xiàn)和披露，電網(wǎng)工業(yè)控制系統(tǒng)面臨更加隱蔽的、更加曲折的惡意攻擊風險（例如APT）。

從總體上看，電力行業(yè)工業(yè)控制硬件安全問題長期得不到解決。過去幾十年我國建立的大量電力基礎(chǔ)設(shè)施、發(fā)電配電領(lǐng)域，基本是依靠使用國外裝備和控制系統(tǒng)建立起來的。國外廠商設(shè)備普遍存在未知的漏洞以及可能存在的后門，一些領(lǐng)域的安全漏洞已經(jīng)隱藏數(shù)年，成為國家安全的重大隱患。

從實際情況看，一是電力行業(yè)工業(yè)控制系統(tǒng)運行環(huán)境存在大量漏洞和隱患。二是電力行業(yè)工業(yè)控制網(wǎng)絡(luò)安全標準不夠完善。由于缺乏相關(guān)標準，不能適應(yīng)基礎(chǔ)設(shè)施建設(shè)和運營企業(yè)的安全需求，也嚴重阻礙了電力產(chǎn)業(yè)的技術(shù)創(chuàng)新和發(fā)展。

建設(shè)依據(jù)

        《中華人民共和國網(wǎng)絡(luò)安全法》

        GBT22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》

        GB∕T 36047-2018 《電力信息系統(tǒng)安全檢查規(guī)范》

        《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》

傳統(tǒng)的網(wǎng)絡(luò)安全防護不能適應(yīng)新的要求

針對關(guān)鍵信息基礎(chǔ)設(shè)施（例如電網(wǎng)）尤其是針對工業(yè)控制系統(tǒng)（SCADA）的攻擊越來越引人關(guān)注，由于關(guān)鍵信息基礎(chǔ)設(shè)施通常具備較高的防護水平，因此攻擊者往往采用APT攻擊的方式來達到目的，APT攻擊具備以下特點：

1)   高級：威脅背后的操縱者有能力進行全方位的情報收集。不僅包括通過計算機入侵獲取信息，而且還可以擴展到傳統(tǒng)的情報收集，如電話攔截技術(shù)和衛(wèi)星成像技術(shù)。雖然攻擊的個別手段可能無法被歸類為特別“先進”，但操縱者通?？梢愿鶕?jù)需要開發(fā)更為先進的工具。他們經(jīng)常結(jié)合多種方法、工具和技術(shù)，以保持接觸和嘗試并最終攻陷目標。

2)   持久：操縱者會執(zhí)著的進行特定任務(wù)，而不是隨機的搜索目標。這種區(qū)別意味著，操縱者會受到外部實體的指揮，通過持續(xù)檢測和接觸，以實現(xiàn)針對目標的任務(wù)。如果操縱者暫時無法取得進展，他們通常會不斷的重新嘗試，并最終取得成功，操縱者的目標之一是保持長期訪問目標，而不是取得一次性的攻擊機會。

3)   威脅：APT是一種威脅，因為它同時具備了能力和意圖。APT攻擊的關(guān)鍵在于協(xié)調(diào)人的行動，而不是盲目的執(zhí)行自動化攻擊。操縱者有明確的目標和動機，具備足夠的技能、組織力和資金。

APT攻擊使網(wǎng)絡(luò)安全和現(xiàn)實環(huán)境中的安全一樣引起了大型企業(yè)和政府組織的高度關(guān)注，因此建立一個基于網(wǎng)絡(luò)安全攻擊事件的態(tài)勢感知平臺迫在眉睫。

信息安全設(shè)備運維的要求

隨著信息安全設(shè)備的不斷增加，防火墻、入侵檢測系統(tǒng)（IPS）、入侵掃描系統(tǒng)（IDS）、流量監(jiān)控等安全設(shè)備的廣泛使用， 網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜；而且網(wǎng)絡(luò)用戶成份越來越多樣化，引發(fā)的各種病毒和網(wǎng)絡(luò)安全事件會越來越多。當前的網(wǎng)絡(luò)管理已經(jīng)不能滿足需要，因為在通常情況下，每增加一款設(shè)備或應(yīng)用，就需要一種新的工具來管理它，這樣，網(wǎng)管人員需要管理和查看的設(shè)備、管理軟件越來越多，但他們之中的每個又只能解決或查找其相關(guān)設(shè)備應(yīng)用的問題，而不能夠?qū)W(wǎng)絡(luò)的整體進行評估和管理，這樣一方面造成網(wǎng)絡(luò)管理成本居高不下，另一方面由于網(wǎng)絡(luò)管理人員不能全面獲取網(wǎng)絡(luò)有效信息，在網(wǎng)絡(luò)管理中只能充當“救火員”的角色。目前網(wǎng)內(nèi)存在以下問題：

1)   如何防范網(wǎng)絡(luò)故障和提高故障解決效率。

隨著網(wǎng)絡(luò)的復(fù)雜化與多元化，網(wǎng)絡(luò)應(yīng)用的不斷加載，網(wǎng)絡(luò)故障、間歇性網(wǎng)絡(luò)問題發(fā)生的頻率也隨之逐級增高，如何對網(wǎng)絡(luò)故障快速定位，找到故障發(fā)生的真正原因，是保障電力信息網(wǎng)持續(xù)可靠運行的關(guān)鍵。

2)   如何實現(xiàn)對網(wǎng)絡(luò)、應(yīng)用問題的責任劃分。

電力信息網(wǎng)中運行著大量的服務(wù)和設(shè)備，一旦網(wǎng)絡(luò)出現(xiàn)問題，需快速區(qū)分是網(wǎng)絡(luò)問題還是應(yīng)用問題，而當前對網(wǎng)絡(luò)和應(yīng)用問題的分析手段相對缺乏，問題解決效率遲緩。

3)   如何及時發(fā)現(xiàn)網(wǎng)絡(luò)異常行為及新型病毒、木馬和攻擊，避免網(wǎng)絡(luò)出現(xiàn)重大故障甚至癱瘓。

當遭受新型病毒、木馬和攻擊時，殺毒軟件、IPS等被動防御設(shè)備往往束手無策，如何快速發(fā)現(xiàn)并確定攻擊類型及攻擊源頭是保證電力信息網(wǎng)安全運行的關(guān)鍵。

4)   如何了解、分析業(yè)務(wù)系統(tǒng)的各種性能參數(shù)，協(xié)調(diào)網(wǎng)絡(luò)資源的分配，保障業(yè)務(wù)系統(tǒng)的正常運行。

電力信息網(wǎng)中運行著大量的系統(tǒng)流程化管理業(yè)務(wù)如ERP、EAM、SCM，視頻業(yè)務(wù)和語音業(yè)務(wù)等，要保障這些業(yè)務(wù)的高效運行，就需要對各種業(yè)務(wù)系統(tǒng)進行性能分析，如延遲、數(shù)據(jù)包分布、流量、利用率等，需要了解各條鏈路是否超支？在使用什么業(yè)務(wù)？是哪個用戶在用？各種業(yè)務(wù)的流量特征是否與最初設(shè)計的策略一致？鏈路改造、設(shè)備升級是否達到預(yù)期效果？應(yīng)用部門是否又上了新業(yè)務(wù)？新業(yè)務(wù)上線對網(wǎng)絡(luò)和原有應(yīng)用造成什么影響？并根據(jù)不同的網(wǎng)絡(luò)狀況協(xié)調(diào)網(wǎng)絡(luò)資源的分配。

5)   如何對網(wǎng)絡(luò)安全事件進行鑒定與取證。

如何對已經(jīng)發(fā)生的故障或安全事件進行分析發(fā)現(xiàn)，并提供有效的證據(jù)，完善故障和安全處理機制。特別是網(wǎng)絡(luò)或應(yīng)用出現(xiàn)間歇性故障后，很難分析其產(chǎn)生的原因，而再次出現(xiàn)的時間無法確定，因此難以解決，這好像網(wǎng)絡(luò)中存在一個不定時炸彈，使網(wǎng)絡(luò)和應(yīng)用時刻處于危險之中。

建設(shè)目標

為應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)，彌補傳統(tǒng)防御手段的不足，需要構(gòu)建一套主被動一體的防御體系，來應(yīng)對已知威脅和未知威脅的攻擊；另一方面，利用大數(shù)據(jù)、AI、UEBA等技術(shù)對安全設(shè)備產(chǎn)生日志的關(guān)聯(lián)分析、深度分析更好地發(fā)現(xiàn)潛伏威脅，從而避免各個安全設(shè)備之間相互孤立的防御局面;另外，在某些特殊情況下，網(wǎng)絡(luò)一旦發(fā)生安全事件，排查分析日志，人工關(guān)聯(lián)分析，耗費大量精力，通過部署安全感知設(shè)備，將會大幅減少人力排查時間，而且排查更加全面、更加精確。

《網(wǎng)絡(luò)安全法》和等保2.0，均已明確提出了要加強內(nèi)網(wǎng)未知威脅的檢測和通報預(yù)警工作，因此，日益迫切的信息系統(tǒng)安全、等級保護要求我司不斷完善和升級網(wǎng)絡(luò)整體安全性能。

建設(shè)原則

標準性原則：技術(shù)方案的設(shè)計與實施應(yīng)依據(jù)國內(nèi)或國際的相關(guān)標準進行；

規(guī)范性原則：服務(wù)提供商的工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制；

可控性原則：項目進度要與時間計劃表的安排一致，保證甲方對于項目管理的可控性；

開放性：系統(tǒng)遵循各種IP網(wǎng)絡(luò)國際標準和安全標準，有助于與其他系統(tǒng)的聯(lián)運與協(xié)作；

可擴展性：系統(tǒng)設(shè)計時具備良好的擴展性，采用模塊化設(shè)計，不同模塊可以集中和分布部署，中心處理服務(wù)器根據(jù)規(guī)模可以部署多臺等不同方式；

互操作性：系統(tǒng)提供與現(xiàn)有系統(tǒng)的接口，包括網(wǎng)管系統(tǒng)、安全系統(tǒng)、流量監(jiān)控系統(tǒng)，推進和實現(xiàn)“集中管理、集中監(jiān)控、集中派單、集中配置、集中支援”；

安全性：系統(tǒng)涉及整個IP網(wǎng)絡(luò)的敏感信息，設(shè)計時充分考慮了管理數(shù)據(jù)的保密性、可用性、完整性的要求，對項目過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害甲方網(wǎng)絡(luò)的行為，否則甲方有權(quán)追究乙方的責任；

經(jīng)濟性：在設(shè)計方案時，要充分了解甲方現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備狀況，再充分考慮利用現(xiàn)有網(wǎng)絡(luò)和硬件設(shè)施的情況之下，考慮購置新設(shè)備；

重點部署、分布實施：安全系統(tǒng)工程是融合設(shè)備、技術(shù)、管理于一體的系統(tǒng)工程，需要全面考慮；同時，盡量考慮到涉及網(wǎng)絡(luò)安全的重點因素，充分考慮可擴展性和可持續(xù)性，從解決眼前問題、夯實基礎(chǔ)、建設(shè)整個體系等方面作好安全工作；

盡量減少對現(xiàn)有網(wǎng)絡(luò)應(yīng)用的影響：部署時要盡量減少對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)的影響。同時也要充分考慮安全產(chǎn)品和現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)產(chǎn)品、網(wǎng)絡(luò)應(yīng)用的兼容性，保護網(wǎng)絡(luò)建設(shè)的投資。

建設(shè)方案

態(tài)勢感知對信息系統(tǒng)中各類主機、數(shù)據(jù)庫、應(yīng)用和設(shè)備的安全事件、用戶行為、系統(tǒng)狀態(tài)的實時采集、實時分析、異常報警、集中存儲和事后分析，采用分布式、跨平臺的統(tǒng)一智能化管理模式，對各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、WEB服務(wù)、中間件、數(shù)據(jù)庫和其它應(yīng)用進行全面的安全管控。主要基于“看清業(yè)務(wù)邏輯、看見潛在威脅、看懂安全風險、輔助分析決策”的思路進行設(shè)計實現(xiàn)的，態(tài)勢感知系統(tǒng)整體邏輯架構(gòu)如下：

業(yè)務(wù)邏輯

信息安全的核心目標是解決核心業(yè)務(wù)的安全、穩(wěn)定運行，如果安全檢測系統(tǒng)不了解信息系統(tǒng)的資產(chǎn)有哪些、業(yè)務(wù)邏輯關(guān)系如何，而是無論在哪一個網(wǎng)絡(luò)中都復(fù)用同一套安全判斷準則，那么它提供的檢測能力顯然是脫離實際的。所以態(tài)勢感知系統(tǒng)解決的首要就是看清業(yè)務(wù)邏輯；對業(yè)務(wù)系統(tǒng)核心資產(chǎn)進行識別，梳理用戶與資產(chǎn)的訪問關(guān)系，對業(yè)務(wù)資產(chǎn)存在的脆弱性進行持續(xù)檢測，及時發(fā)現(xiàn)業(yè)務(wù)上線以及更新產(chǎn)生的漏洞及安全隱患，通過業(yè)務(wù)識別引擎主動識別新增業(yè)務(wù)資產(chǎn)以及業(yè)務(wù)訪問關(guān)系。

潛在威脅

信息安全是一個涉及多個領(lǐng)域的復(fù)雜問題，攻擊者可能包括外部黑客、心懷不滿的員工、以及內(nèi)外勾結(jié)等各種情況，攻擊途徑更是包括了暴力攻擊、社會工程學、惡意代碼、APT、漏洞利用等等數(shù)百種不同手段。防御者需要全面監(jiān)控，但攻擊者只需要一點突破即可，如果沒有系統(tǒng)的檢測能力，即使別人告訴你被黑客攻擊了，都找不出黑客是怎么攻擊的。態(tài)勢感知系統(tǒng)需要提供全面的威脅檢測和分析能力。

對繞過邊界防御的進入內(nèi)網(wǎng)的攻擊進行檢測，彌補傳統(tǒng)靜態(tài)防御不足；對內(nèi)部重要業(yè)務(wù)資產(chǎn)已發(fā)生的安全事件進行持續(xù)檢測，第一時間發(fā)現(xiàn)已發(fā)生的安全事件；對內(nèi)部用戶、業(yè)務(wù)資產(chǎn)的異常行為進行持續(xù)的檢測，發(fā)現(xiàn)潛在風險以降低可能的損失。

海量威脅情報關(guān)聯(lián)，通過國內(nèi)外權(quán)威情報庫和云端安全分析平臺強化新型威脅檢測能力。

安全風險

信息安全系統(tǒng)除了需要能夠及時發(fā)現(xiàn)問題外，還需要保障系統(tǒng)的易用性，確保網(wǎng)管人員能夠方便快速的發(fā)現(xiàn)安全問題、了解影響范圍、定位問題源頭，提供響應(yīng)的展示告警和分析舉證服務(wù)。態(tài)勢感知系統(tǒng)應(yīng)提供安全事件分析告警和舉證分析服務(wù)，提供基于系統(tǒng)業(yè)務(wù)邏輯的業(yè)務(wù)訪問視圖，安不安全、哪里不安全一目了然；失陷業(yè)務(wù)、風險用戶和有效攻擊等不同維度分析和展示安全風險，方便管理人員定位安全問題。

提供告警頁面訪問邏輯展示、主機威脅活動鏈分析、安全日志舉證和查詢服務(wù)，可以快速定位問題影響和源頭，并進行響應(yīng)的分析。

輔助分析決策

除了專業(yè)的威脅檢測和風險分析效果，態(tài)勢感知系統(tǒng)還應(yīng)提供可視化的形式為用戶呈現(xiàn)關(guān)鍵業(yè)務(wù)資產(chǎn)及針對關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅，并提供全網(wǎng)攻擊監(jiān)測、分支機構(gòu)監(jiān)管、風險外聯(lián)監(jiān)測等多個不同視角的大屏展示，提供對失陷業(yè)務(wù)和主機的報告導(dǎo)出和分析服務(wù)，為信息安全主管提供駕駛艙式的輔助決策服務(wù)。

預(yù)期效果

對象失陷風險感知

對象失陷的含義是相關(guān)主機、賬號、網(wǎng)站等對象由于某些原因，如遭受魚叉攻擊或水坑攻擊而被植入各類木馬、勒索軟件以及蠕蟲等惡意程序，從而產(chǎn)生相應(yīng)的異常行為，導(dǎo)致重要數(shù)據(jù)被泄漏、重要文件被加密等；嚴重還會在內(nèi)網(wǎng)（包括工作網(wǎng)絡(luò)或生產(chǎn)網(wǎng)絡(luò)等）肆意傳播（橫向傳播）最終造成企業(yè)相關(guān)重要信息資產(chǎn)（不僅指有形資產(chǎn)還包括無形資產(chǎn)）的損失。

一般而言對象的失陷會包含探測、植入、回傳、橫向傳播、收集數(shù)據(jù)以及數(shù)據(jù)外穿等若干階段，如果在其中任意一環(huán)發(fā)現(xiàn)問題，則能夠防止損失，估象失陷風險的感知是聚銘安全態(tài)勢感知與管控平臺的核心內(nèi)容，如下圖所示：

外部攻擊威脅感知

外部威脅是指有外網(wǎng)主機或系統(tǒng)對內(nèi)網(wǎng)的主機或系統(tǒng)發(fā)起的網(wǎng)絡(luò)攻擊或可能的非法連接及探測。

網(wǎng)絡(luò)攻擊一般是指攻擊者利用受害者主機或系統(tǒng)存在的一些缺陷/漏洞或者配置上的不足或者網(wǎng)絡(luò)拓撲存在的問題，使用專用工具或手段對其進行探測、嘗試、滲透，試圖最終獲得目標主機或系統(tǒng)的控制權(quán)，或者使受害者無法正常運行。

另外，可能的非法連接是指利用受害者主機或系統(tǒng)在某種情況下出現(xiàn)了不應(yīng)暴露的端口，從而被非法入侵者所利用，如錯誤地將一些遠程登錄服務(wù)、數(shù)據(jù)庫服務(wù)等暴露在公網(wǎng)環(huán)境。

聚銘安全態(tài)勢感知與管控平臺充分探知上述這些威脅，從而達到實時監(jiān)控、實時處理的目的。

外連攻擊威脅感知

外連威脅是指內(nèi)網(wǎng)主機或系統(tǒng)對外網(wǎng)相關(guān)主機或系統(tǒng)發(fā)起的攻擊或可疑連接，若存在此類威脅則說明內(nèi)網(wǎng)主機可能存在失陷危險。

內(nèi)網(wǎng)主機或系統(tǒng)的失陷原因可能存在多種可能，如因為從某些網(wǎng)站或服務(wù)器下載、安裝了有害的程序或木馬，或者被郵件釣魚（如魚叉攻擊）誘使打開了危險郵件，或者插入移動介質(zhì)而被感染了有害程序或木馬，或者被內(nèi)網(wǎng)其它主機所滲透而植入了有害程序；用戶應(yīng)特別重視此類危險；但也不排除內(nèi)網(wǎng)有主機或系統(tǒng)主動發(fā)起了對外網(wǎng)的攻擊。

從信息安全的角度而言，如果網(wǎng)絡(luò)中出現(xiàn)外連攻擊威脅，則其風險其實要較外部的攻擊威脅更大，從而更應(yīng)引起相關(guān)安全人員的注意。

內(nèi)部互連攻擊威脅感知

內(nèi)部互連威脅是指有內(nèi)網(wǎng)主機或系統(tǒng)對其它內(nèi)網(wǎng)的主機或系統(tǒng)發(fā)起的網(wǎng)絡(luò)攻擊或可能的非法連接及探測。

內(nèi)部互連攻擊一般是指內(nèi)網(wǎng)失陷主機對其它內(nèi)網(wǎng)主機進行探測、嘗試、滲透，試圖最終獲得目標主機或系統(tǒng)的控制權(quán)，從而在內(nèi)網(wǎng)橫向擴散、收集數(shù)據(jù)、破壞系統(tǒng)。

其中，有一類為可能的非法連接是指利用受害者主機或系統(tǒng)在某種情況下出現(xiàn)了不應(yīng)暴露的端口，從而被非法入侵者所利用，如錯誤地開放一些不應(yīng)打開的端口。

脆弱性感知

  脆弱性是一般是在部署時或運行時就自然存在于系統(tǒng)中的；系統(tǒng)運行的操作系統(tǒng)、應(yīng)用軟件均可能存在較為嚴重的脆弱性，另外錯誤或不當?shù)呐渲靡矔斐上到y(tǒng)存在脆弱性；對于高危的脆弱性，如“永恒之藍”等應(yīng)給予做夠的重視。

聚銘安全態(tài)勢感知與管控平臺能夠充分利用平臺集成的相關(guān)工具對這些脆弱性進行主動的發(fā)現(xiàn)和提示，以防止用戶由于不恰當?shù)呐渲没蛘呶茨芗皶r修補漏洞而造成的風險，從而導(dǎo)致出現(xiàn)口令被破解、漏洞（特別是網(wǎng)站資產(chǎn)）被利用等安全事件的發(fā)生。

故脆弱性的感知也是“主動安全”的重要一環(huán)，可以做到防患于未然。

云端綜合安全感知

        云端綜合安全感知可以實時采集監(jiān)控指標，提供及時有效的安全告警、響應(yīng)，通過云端預(yù)警功能，根據(jù)不同行業(yè)和資產(chǎn)的系統(tǒng)類型，對可能存在的威脅，云端下發(fā)安全預(yù)警，線下及時排查和進行相關(guān)的安全防護。

產(chǎn)品特點

大數(shù)據(jù)技術(shù)

集群 + 動態(tài)擴容

        系統(tǒng)采用大數(shù)據(jù)技術(shù)設(shè)計，支持集群方式部署，存儲集群高可用，可以無限擴展存儲節(jié)點，擴展存儲空間，容災(zāi)能力強、具備自動發(fā)現(xiàn)集群設(shè)備、無需停機

采用業(yè)界標準技術(shù)

通過授權(quán)訪問，既保障了數(shù)據(jù)不被廠商綁定，又保障了數(shù)據(jù)的安全性

大數(shù)據(jù)檢索技術(shù)

         采用大數(shù)據(jù)全文檢索技術(shù)，索引分布式存儲，分布式并行查詢，近自然語言，方便使用、快速發(fā)現(xiàn)問題

海量數(shù)據(jù)存儲

不僅可存儲各類日志信息，對于產(chǎn)生安全問題的原始數(shù)據(jù)包也能存儲并下載

精準解析

• 利用網(wǎng)絡(luò)流量分析探針，解析各類主流網(wǎng)絡(luò)協(xié)議，如HTTP、DNS、SMTP等，對相關(guān)元數(shù)據(jù)可進行查詢和分析，無需單獨接入其它設(shè)備日志
• 開放的自有標準化語法解析器，靈活度高、精確度高、快速自定義標準化解析
• 內(nèi)置了大量的標準化腳本，適應(yīng)各類主流設(shè)備和系統(tǒng)的精確解析

精確分析

    關(guān)聯(lián)場景：基于統(tǒng)計和基于關(guān)聯(lián)

           1、基于統(tǒng)計包含：平均統(tǒng)計、方差統(tǒng)計，支持按天、按周統(tǒng)計

            2、基于關(guān)聯(lián)包含：狀態(tài)關(guān)聯(lián)、時序關(guān)聯(lián)、歸并關(guān)聯(lián)、篩選關(guān)聯(lián)、端口關(guān)聯(lián)

    多維度關(guān)聯(lián)

           支持事件與基線關(guān)聯(lián)分析、事件與漏洞關(guān)聯(lián)分析、事件與事件關(guān)聯(lián)分析

    智能行為分析

           對多方向網(wǎng)絡(luò)連接數(shù)據(jù)及其它用戶異常行為自動進行基線分析，無需配置

豐富展示

    1、豐富的圖形化展示：儀表板、業(yè)務(wù)拓撲圖
    2、用戶自定義儀表板展現(xiàn)業(yè)務(wù)數(shù)據(jù)
    3、實時監(jiān)控：便于發(fā)現(xiàn)異常、隨時挖掘分析
    4、熱圖分布：追蹤攻擊來源，發(fā)現(xiàn)幕后黑手

完整的動態(tài)安全問題發(fā)現(xiàn)和防御體系

      1、系統(tǒng)可選內(nèi)置網(wǎng)絡(luò)流量探針，無需第三方提供網(wǎng)絡(luò)攻擊威脅數(shù)據(jù)接入支持

      2、系統(tǒng)內(nèi)置漏洞掃描、基線檢查等模塊，主動檢查，及時加固

              3、通過日志與漏洞等關(guān)聯(lián)分析被動防御，發(fā)現(xiàn)威脅，抵御風險