数据采集 平台采用Syslog、restful、Webservice、SNMP Trap、kafka等标准协议进行被动的数据接收,数据源按照标准协议将数据发送给平台的采集器,采集器可统一进行采集。 数据处理 数据处理对采集上来的数据,进行统一的数据预处理,数据解析基于正则表达式,可对任意设备的日志进行解析,提取日志中需要的信息;并规范解析结果及规范统一的结构化对象,为后续的数据分析,提供结构化的数据对象。 |
数据存储
对存储的数据划分为不同的主题,对不同主题的数据,采用不同的存储方案。
在线关联分析
平台大数据实时分析基于多分析引擎,多层级分析,层层聚合的机制,对实时的数据流进行多维度分析。
离线挖掘分析
离线大数据分析利用大数据挖掘技术、机器学习技术、深度学习技术、知识图谱技术等,从海量数据中挖掘隐藏的知识,学习常规的模式,将知识和模式转化为检测的规则和模型,对数据进行实时的检测和分析,快速发现问题并告警,通过对海量历史数据的挖掘分析,发现隐藏在海量数据中潜在的安全威胁。大数据离线分析目前典型的应用有统计分析、基线学习、模式挖掘、特征挖掘、分类聚类分析、时间序列挖掘、历史关联分析、深度学习和知识图谱等。
数据服务
数据服务作为前端应用程序对后端服务和持久化数据的服务接口,主要提供部门、资产、网域、业务系统、事件类型、设备类型、基础事件、CEP事件、告警事件、告警规则和应用日志等接口。
综合管理
集组织管理、资产管理、网络管理、漏洞管理、分析模型管理、情报管理、报表管理、数据检索、系统管理、工作流、设备管控和态势展示。
在当前严峻的国内外网络安全形势下,针对有组织的网络犯罪和攻击手段日益多样化、复杂化和隐蔽化,各类网络信息系统面临外部入侵、内部攻击、信息窃取破坏、系统运行中断等风险。针对上述风险和挑战,针对组织进行网络安全运营体系的设计,以完善防御、检测、响应体系,提升安全运维、处置效率,有效保护高价值的信息化系统和数据。安全运营中心围绕运营技术、运营组织、运营流程,打造“威胁感知、分析定位、智能决策、响应处置(OODA)”的快速安全闭环能力。通过安全运营体系的构建和持续优化,组织能够有效应对各类安全威胁,保证重要信息和业务系统的安全。 1.安全事件统一监控、集中分析、降低误报 2.利用新的技术手段提升威胁发现准确度和效率 3.利用SDN主动切断威胁链路 4.为运维人员提供便捷的安全响应工具 5.满足安全管理合规要求 |
