日志审计

综合日志分析系统是网络以大数据、机器学习技术为核心，结合多年来日志审计产品在各行业中安全分析经验的积累，研发的全新一代智能化全网日志分析与流量安全监测产品。系统拥有两大安全分析体系，犹如一双眼睛，所有网络安全威胁都逃不过它的火眼金睛。

一为全网日志分析，拥有三大智能分析引擎，基于安全场景的行为分析引擎、基于情报的实时威胁感知引擎、基于大数据技术的异常预测引擎；

二为流量安全分析，涵盖全网流量协议还原、流量威胁情报分析、域名异常检测、入侵威胁检等，全面满足企业对流量安全审计的要求。

一、全面采集 实时分析

1、全面的日志采集能力

系统支持Syslog、SNMP Trap、文件、WMI、FTP、数据库、SMB、导入、NetFlow等方式采集。支持200多种设备日志解析，主流设备包括：

（1）安全设备：深信服NGAF、启明WAF防火墙、绿盟IDS、华为防火墙、Juniper防火墙、天融信防火墙等；

（2）操作系统：Linux、Windows、Window Server、Unix等操作系统;

（3）数据库：Oracle、MySQL、SQL Server等；

（4）应用系统：如Apache、Tomcat、IIS、Weblogic等；

（5）网络设备：主流的路由器、交换机、负载均衡等网络设备等，如深信服AC、AD、Cisco、华为、Juniper等;

（6）虚拟化平台：VMware ESXi、KVM、Xen等。 

2、实时日志分析

支持基于规则、基于统计、基于情报的分析模型。内置丰富的安全监控场景模板，例如堡垒机绕行审计、异常登录时间审计、异常流量审计等。系统采用流式分析模式，实时分析接入的海量日志，实时挖掘潜在威胁。

3、高速的网络抓包及模式匹配技术 

采用零拷贝、全程无锁化技术处理网络流量数据包，而且充分利用CPU向量化指令对各类模式进行识别或匹配，故即使在超大流量情况下，系统整体处理几无延时。

二、深度识别，精准定位

1、深度协议识别，精准恶意行为分析

独有的智能协议识别技术，可高速、准确地识别上千种应用，检测各种协议伪装行为；支持HTTP、TLS（含HTTPS）、SMTP、POP3、IMAP、FTP、SMB、SSH、Telnet等协议的3-7层元数据提取、存储、搜索，分析。内置两万多种攻击特征库，可二次挖掘可疑攻击行为。

2、精准的溯源定位

系统内置全面的全球地理信息库，准确、高效地定位威胁来源，提供用户实时的全球攻击溯源展现。 

3、强大的检索查询

亿级（TB）原始日志查询耗时低于1秒，支持简单易用的日志查询普通模式，根据系统预置的查询条件，根据用户需求查询对应的日志，并且支持查询条件的保存，供后续快捷使用；支持更加精确的专家模式查询，根据页面的指导提示，通过组合查询表达式完成精确查询。 

三、海量模型 把握先机

1、丰富的策略模型

经过长时间在电信、医疗、高校、政府等行业的应用，积累了丰富有效的安全策略场景模型，包含异常行为分析类、业务攻击分析类、流量统计类等。

• 异常行为分析类如登录异常、操作异常等；

• 业务攻击分析类如SQL注入、IP欺骗等；

• 流量统计类如互联网出口流量异常，周期时间内某个时间段内的流量不在正常范围内。

2、丰富的合规模板

系统默认提供等级保护三级、SOX法案的分类，提供对主机、应用、网络安全等多个层面的报表实例。

3、依托情报，把握行动先机 

整合C&C黑名单库在内的多类的威胁情报库，可快速、准确发现已知的、可疑的高级持续威胁的攻击来源，使安全管理人员可以专注于实际风险及关键的威胁信息，把握先机，快速解决问题。

四、灵活部署 界面简洁

1、灵活的部署方式

支持单机、分布式采集、集群部署。 

2、简便易用的界面风格

系统通过提供入门向导、个人工作台、任务通知、快捷菜单等方式，为用户提供了简单易用的界面，即使是初次使用综合日志分析系统，也完全能在较短的时间内掌握。