产品介绍

提供事前、事中、事后安全管理能力

随着信息技术的不断发展，新型的网络安全威胁越来越突出，传统以“防护”为主的安全体系面临了极大挑战。态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行状态，帮助安全人员采取针对性响应处置措施。

态势感知平台是通过大数据分析技术，从资产、威胁、漏洞、事件等层面，利用机器学习、规则模型、关联分析等方法对大量数据进行统一分析，实现对网络攻击行为、安全事件、未知威胁的发现和告警。可以为用户提供整个威胁生命周期管理，涵盖了事前预警、事中检测、事后追溯。平台主要包括资产管理、流量分析、日志审计、威胁诱捕、终端安全、威胁情报、漏洞管理、关联分析等八大组件，从而帮与用户掌控整个网络的安全态势，增强信息系统安全保障能力。

产品适用于政府、军队、公安、金融、运营商、电力、教育、医疗等行业，帮助用户解决目前所面临的各类常见及最新的安全威胁，同时满足如等级保护、行业规范等政策法规的安全建设要求。

一、资产管理功能

运用多种多种手段，全面、快速、准确的发现网络中的存活主机、网络设备、数据库等，准确识别其资产属性，包括资产的日志数、漏洞数、攻击数、在线离线状态等。还支持自定义网络拓扑图，从而展示网络攻击态势。

二、流量分析功能

采集、还原网络中的流量数据，将原始的网络全流量转化为按Session方式记录的格式化全流量，并且加密传输给平台进行存储和分析。流量分析组件内置了WEB漏洞利用检测引擎、WebShell活动检测引擎、DDOS攻击检测引擎以及漏洞扫描检测引擎等，可以为实时发现流量中存在的攻击特征的行为。

三、日志审计功能

采集或被动接收网络中各种应用系统、安全设备、服务器、终端、中间件、数据库等日志，支持SYSLOG、SNMP、JDBC等方式。并且进行归一化预处理，方便关联规则和数据分析能够快速使用这些日志信息。

四、威胁诱捕功能

捕获内网中的横向攻击，以及内网主机沦陷后发起的内网横向渗透攻击，支持SSH、FTP、SFTP、REDIS、MYSQL、FTP、TELNET、RDP、SMB、HTTP代理、WEB等蜜罐。方便平台向用户第一时间告警异常行为，并且通过服务欺骗、重定向，从而延缓了攻击时效，保护了真实系统。

五、终端安全功能

实时将终端上的各种主机行为日志发送至平台进行存储、分析，包括终端详情、账号信息、端口详情、进程列表、软件详情等，实时检测出系统弱口令、异常登录、暴力破解、病毒木马、网页木马、系统后门、文件篡改等异常行为。平台还可以将相关告警推送到终端，协助终端进行阻断，完成威胁检测与响应闭环。

六、威胁情报功能

实时提供最新的Oday紧急漏洞、恶意域名库、恶意URL库、恶意IP库等高价值信息，从而扩展了用户的安全视野，尽可能在网络攻击造成破坏之前发现威胁。同时平台也支持用户自定义威胁情报和第三方威胁情报的导入，为用户提供更加灵活和开放的威胁情报管理。

七、漏洞管理功能

融合了系统漏洞扫描、WEB 漏洞扫描、数据库漏洞扫描、基线配置核查、工控漏洞扫描等十几种漏洞扫描类产品。从而获得系统漏洞、WEB 漏洞、数据库漏洞等丰富的漏洞信息，通过关联分析，形成脆弱性态势感知。还可以对漏洞进行处置状态管理、处置任务工单下发，实现漏洞的闭环管理。

八、关联分析功能

对采集到的流量、日志、漏洞等大量信息进行实时分析，匹配关联规则，对异常行为产生告警。底层的数据监测模块采用了分布式计算和搜索引擎技术对所有的数据进行处理，还可以通过集群来满足存储资源和计算资源的需要。

九、态势感知功能

可视化技术，将各种安全事件进行可视化呈现，帮助用户快速的、宏观的了解整个网络的安全态势，包括资产风险、日志管理、网络攻击、威胁诱捕态势感知大屏等。

十、级联管理功能

面向用户多分支单位进行级联部署及管理。下级单位会自动把告警数据、处置状态同步上传到上级单位，上级单位可以集中维护各个下级单位的告警数据，使上级单位实时掌控全网的告警结果及解决情况。

十一、报表管理功能

采用报表和图形的形式对日志、流量、威胁等进行统计分析，可以预定义、自定义和多角度多层次的分析各类数据，实时生成日志审计报告、流量检测报告、威胁诱捕报告等。同时还可以根据不同用户的自身需求进行报表定制。

一、数据采集

全面的数据采集为安全运营提供了可靠的信息数据支撑，同时提供了完整的安全事件回溯分析能力。系统融合了流量分析、日志审计、威胁诱捕、终端安全、威胁情报、漏洞管理等组件，通过采集这些原始、多样、全面的安全要素信息，结合多种安全分析模型，可以有效识别出各类数据源，提炼出真正有价值的数据，从而发现隐藏更深的各种威胁。

二、安全分析

支持HTTP、SMTP、POP3、IMAP、FTP、TFTP、SMB、DNS、TELNET、Modbus 等协议的元数据提取、存储、搜索和分析。具备了先进的智能协议识别技术，可以高速、 准确地识别出全网流量中的上千种应用，检测出各种协议的异常行为。通过各种安全分析，识别出 WEB 攻击、DDoS 攻击、病毒木马、隐蔽隧道、挖矿、弱口令、垃圾邮件、漏洞扫描、暴力破解等异常行为。

三、灵活拓展

采用了模块化设计，其中的流量分析、日志审计、威胁诱捕、终端安全、威胁情报、漏洞管理等组件都可以根据用户的具体需求进行灵活选配。平台性能不足时也可以通过集群技术对平台计算资源、存储资源进行灵活扩充。平台还提供成熟的 API 接口，从而能够根据用户安全需求的变化进行平台功能的灵活调整。

四、威胁检测

使用了多种威胁检测手段多层次深度分析采集到的海量数据，通过 WEB 漏洞利用检测、WebShell 活动检测、DDOS 攻击检测、漏洞扫描检测、木马病毒检测、DGA 域名检测等检测引擎。结合关联分析、聚类分析、机器学习、规则模型、行为识别、威胁情报关联等多种方法，还原出整个攻击链，包括侦察跟踪、载荷投递、漏洞利用、安装植入、命令控制等，从而帮助用户发现网络中存在的真正威胁。

五、创新技术

采用了大数据、机器学习、威胁诱捕、威胁 情报等创新技术手段。使用大数据基础架构，满足了海量数据下的快速计算分析 需要。使用机器学习相结合的威胁检测手段，提升了针对传统安全问题的检测率和准确度。使用威胁诱捕技术，能够第一时间告警异常行为并且延缓攻击时效。使用威胁情报技术，能够快速的帮助用户扩展视野、发现威胁。