功能简介

在大型工业企业网络中积累了大量的软硬件资源，包括：工业交换机、PLC、DCS、SCADA、接口机服务器、工作站、数据库等，这些设备持续不断记录了大量的日志，其格式不一、体量庞大，长期存储的数量可达TB或者PB级别。采用传统的日志分析系统单机处理海量数据，在存储和计算方面都存在瓶颈。本系统全面采用大数据存储和分析技术对日志信息进行存储和分析，功能设计依照了公安部信息安全技术日志分析产品检验规范标准，满足了安全规范要求。

关键技术

大数据分析
平台集大数据采集、建模分析、可视化为一体，内置数十种可视化元素和图形，通过简单的数据关系定义，就能实现丰富的可视化效果；支持通过对数据的统计、钻取、分析和挖掘，挖掘数据的蛛丝马迹，提出问题，找到原因，发现其内在关系。

关联规则引擎

采用“状态机”的原理，从海量事件中有目的地发现和提取出特定事件的过程和方法。通常是根据事件之间的各根据事件的类型、网络的安全策略、攻击上下文等进行分析，从而为用户提供自动化的威胁识别方案。

功能特点

多源收集
收集、管理Syslog、SNMP、文件、数据库、文件、Kafka、webservice、Ftp等各种来源的日志数据，即配即用。

日志关联
通过将日志数据与超过20个预定义规则和拖放自定义规则构建器相关联，即时监测攻击尝试并追踪潜在的安全威胁。附带预定义规则，可检测暴力攻击、账户锁定、数据窃取、Web服务器攻击等等。

大数据可视化
基于大数据分析技术，对包括时间、事件、资产、威胁等众多不同维度的数据进行综合性分析，发掘威胁态势。