隨著網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展，各類安全產(chǎn)品產(chǎn)生大量獨(dú)立、復(fù)雜、異構(gòu)的安全源數(shù)據(jù)，并且這些數(shù)據(jù)相互之間缺乏有效關(guān)聯(lián)，形成一個(gè)個(gè)安全信息孤島。迫切需要利用大數(shù)據(jù)分析和挖掘技術(shù)對(duì)各類型進(jìn)行深度分析，將其分析結(jié)果直觀地展示給用戶。

現(xiàn)狀及問題

資產(chǎn)狀況不詳：日常資產(chǎn)管理系統(tǒng)中缺乏對(duì)資產(chǎn)網(wǎng)絡(luò)層面的分析，無法知悉其存在的非法訪問、攻擊行為等。

應(yīng)用訪問不明：網(wǎng)絡(luò)中承載著大量應(yīng)用，需要深度分析其人員違規(guī)操作風(fēng)險(xiǎn)，以及被頻繁訪問、越權(quán)訪問等行為。

溯源取證不易：攻擊者通常會(huì)在內(nèi)網(wǎng)各角落留下蛛絲馬跡，真相往往隱藏在網(wǎng)絡(luò)的流量和系統(tǒng)的日志中，傳統(tǒng)安全產(chǎn)品無法存儲(chǔ)、分析其中風(fēng)險(xiǎn)。

異常行為不清：違規(guī)運(yùn)維、啞終端行為異常、掃描行為等由用戶發(fā)起或網(wǎng)絡(luò)攻擊導(dǎo)致的異常行為淹沒在普通的日志數(shù)據(jù)中，未得到深入挖掘與呈現(xiàn)。

遠(yuǎn)望安全態(tài)勢(shì)與異常分析管理系統(tǒng)

系統(tǒng)實(shí)時(shí)監(jiān)控流入流出的網(wǎng)絡(luò)流量，通過對(duì)流量進(jìn)行協(xié)議識(shí)別，并主動(dòng)獲取和被動(dòng)接收各類數(shù)據(jù)，基于各類原始數(shù)據(jù)，結(jié)合資產(chǎn)屬性以及智能學(xué)習(xí)設(shè)備的各類基線，對(duì)設(shè)備、應(yīng)用等進(jìn)行有效畫像分析，識(shí)別出異常現(xiàn)象進(jìn)行告警，實(shí)現(xiàn)安全風(fēng)險(xiǎn)早發(fā)現(xiàn)、早識(shí)別、早處置。

主要功能特點(diǎn)

數(shù)據(jù)采集

通過終端代理程序、網(wǎng)關(guān)探針主動(dòng)全量采集流量、進(jìn)程啟停等數(shù)據(jù)，并通過數(shù)據(jù)清洗/集成/轉(zhuǎn)換將分散、零亂、不統(tǒng)一的數(shù)據(jù)整合到一起，以結(jié)構(gòu)化、可分析形態(tài)加載到數(shù)據(jù)倉庫中，為后續(xù)數(shù)據(jù)使用奠定堅(jiān)實(shí)基礎(chǔ)。

基線學(xué)習(xí)

基于機(jī)器學(xué)習(xí)進(jìn)行長周期計(jì)算，建立多維度行為基線，依據(jù)基線發(fā)現(xiàn)各種異常行為。

畫像分析

將設(shè)備、系統(tǒng)日常運(yùn)行數(shù)據(jù)通過各維度統(tǒng)計(jì)作為畫像特征,并從畫像中闡述每個(gè)設(shè)備、應(yīng)用的歷史使用情況、活躍度情況等。

發(fā)現(xiàn)、分析異常

通過基線學(xué)習(xí)、畫像情況，再結(jié)合規(guī)則的建立，發(fā)現(xiàn)異常、分析異常、優(yōu)化規(guī)則，從而達(dá)到異常數(shù)據(jù)的精準(zhǔn)性。

大數(shù)據(jù)存儲(chǔ)

采用分布式部署，利用多臺(tái)存儲(chǔ)服務(wù)器分擔(dān)存儲(chǔ)負(fù)荷，解決了傳統(tǒng)集中式存儲(chǔ)系統(tǒng)中單存儲(chǔ)服務(wù)器的瓶頸問題，還提高系統(tǒng)的可靠性、可用性和擴(kuò)展性。

用戶價(jià)值

?通過畫像分析充分了解系統(tǒng)、設(shè)備的運(yùn)行情況，便于用戶清晰掌握系統(tǒng)、設(shè)備在流量、安全事件、運(yùn)行狀態(tài)等層面情況；

?通過多維度數(shù)據(jù)采集、接入，基于關(guān)聯(lián)分析實(shí)現(xiàn)安全風(fēng)險(xiǎn)的深度挖掘；

?指導(dǎo)用戶對(duì)防火墻等安全設(shè)施的建設(shè)與配置。