安全产品

聚铭综合日志审计分析系统

聚铭综合日志分析系统是聚铭网络以大数据、机器学习技术为核心,结合多年来日志审计产品在各行业中安全分析经验的积累,研发的全新一代智能化全网日志分析与流量安全监测产品。系统拥有两大安全分析体系,犹如一双眼睛,所有网络安全威胁都逃不过它的火眼金睛。

一为全网日志分析,拥有三大智能分析引擎,基于安全场景的行为分析引擎、基于情报的实时威胁感知引擎、基于大数据技术的异常预测引擎;

二为流量安全分析,涵盖全网流量协议还原、流量威胁情报分析、域名异常检测、入侵威胁检等,全面满足企业对流量安全审计的要求。

 

一、全面采集 实时分析

1、全面的日志采集能力

系统支持Syslog、SNMP Trap、文件、WMI、FTP、数据库、SMB、导入、NetFlow等方式采集。支持200多种设备日志解析,主流设备包括:

(1)安全设备:深信服NGAF、启明WAF防火墙、绿盟IDS、华为防火墙、Juniper防火墙、天融信防火墙等;

(2)操作系统:Linux、Windows、Window Server、Unix等操作系统;

(3)数据库:Oracle、MySQL、SQL Server等;

(4)应用系统:如Apache、Tomcat、IIS、Weblogic等;

(5)网络设备:主流的路由器、交换机、负载均衡等网络设备等,如深信服AC、AD、Cisco、华为、Juniper等;

(6)虚拟化平台:VMware ESXi、KVM、Xen等。 

2、实时日志分析

支持基于规则、基于统计、基于情报的分析模型。内置丰富的安全监控场景模板,例如堡垒机绕行审计、异常登录时间审计、异常流量审计等。系统采用流式分析模式,实时分析接入的海量日志,实时挖掘潜在威胁。

 

3、高速的网络抓包及模式匹配技术 

采用零拷贝、全程无锁化技术处理网络流量数据包,而且充分利用CPU向量化指令对各类模式进行识别或匹配,故即使在超大流量情况下,系统整体处理几无延时。

二、深度识别,精准定位

1、深度协议识别,精准恶意行为分析

独有的智能协议识别技术,可高速、准确地识别上千种应用,检测各种协议伪装行为;支持HTTP、TLS(含HTTPS)、SMTP、POP3、IMAP、FTP、SMB、SSH、Telnet等协议的3-7层元数据提取、存储、搜索,分析。内置两万多种攻击特征库,可二次挖掘可疑攻击行为。

2、精准的溯源定位

系统内置全面的全球地理信息库,准确、高效地定位威胁来源,提供用户实时的全球攻击溯源展现。 

3、强大的检索查询

亿级(TB)原始日志查询耗时低于1秒,支持简单易用的日志查询普通模式,根据系统预置的查询条件,根据用户需求查询对应的日志,并且支持查询条件的保存,供后续快捷使用;支持更加精确的专家模式查询,根据页面的指导提示,通过组合查询表达式完成精确查询。 

三、海量模型 把握先机

1、丰富的策略模型

经过长时间在电信、医疗、高校、政府等行业的应用,积累了丰富有效的安全策略场景模型,包含异常行为分析类、业务攻击分析类、流量统计类等。

  • 异常行为分析类如登录异常、操作异常等;
  • 业务攻击分析类如SQL注入、IP欺骗等;
  • 流量统计类如互联网出口流量异常,周期时间内某个时间段内的流量不在正常范围内。

 

2、丰富的合规模板

系统默认提供等级保护三级、SOX法案的分类,提供对主机、应用、网络安全等多个层面的报表实例。

3、依托情报,把握行动先机 

整合C&C黑名单库在内的多类的威胁情报库,可快速、准确发现已知的、可疑的高级持续威胁的攻击来源,使安全管理人员可以专注于实际风险及关键的威胁信息,把握先机,快速解决问题。

四、灵活部署 界面简洁

1、灵活的部署方式

支持单机、分布式采集、集群部署。 

2、简便易用的界面风格

系统通过提供入门向导、个人工作台、任务通知、快捷菜单等方式,为用户提供了简单易用的界面,即使是初次使用聚铭综合日志分析系统,也完全能在较短的时间内掌握。

 
 

上一个:大数据安全态势感知与管控平台