近日,东软NetEye日志审计V18版本正式发布。东软作为国内最早研发日志审计产品的公司之一,秉持以终为始的产品创新态度,扎实推进产品技术革新。该版本承载着多年技术累积的底蕴,成功将全量日志机器学习预测分析引擎、威胁分析引擎引入到轻量级硬件的同时,仍保持了其高效的大数据处理能力,真正做到了 “小块头也有大智慧”。
在信息化建设不断发展的过程中,信息系统的多样化导致日志数量巨大、日志格式多样、用户无法进行重点分析、难以挖掘各类日志之间的关联关系。东软NetEye日志审计结合在安全领域多年的理论和实践经验,对日志数据进行综合性分析与管理。通过对各种网络设备、安全设备、操作系统、应用系统、中间件、数据库等日志数据进行收集、解析、聚合、关联,结合机器学习引擎分析、威胁情报引擎分析,及时全面地发现潜在网络威胁及异常行为。帮助组织解决日志分析管理困难的问题,提升组织网络安全综合管理能力。
多维度预测分析引擎
预测分析引擎由时间序列构造引擎、异常检测多维度校准引擎共同构成。给定一段时间的离散值(构成一个序列),由时间序列引擎进行序列特征学习,并试图重新构建一个和原序列尽量接近的序列。构建序列与原序列一同送入异常检测引擎,基于不同的算法(原则,阈值),异常点会被标记出来。东软预测分析引擎从多维度进行异常检测校准,使用了多种分析模型,包括ExtremeLowDensityModel 超低密度模型、KSigmaModel 经典K-sigma模型、DBScanModel密度模型等进行检测分析。通过阈值选择产生一组候选异常,然后对给定的规则异常校准,最终产生准确及时的预测告警。
实时威胁情报检测引擎
东软威胁情报中心积累了大量国内、国外的威胁,通过高频维护威胁情报库,为全系产品精准威胁检测能力赋能。实时威胁情报检测引擎以威胁情报为基础,对全量日志数据的失陷标识进行精准检测、识别、溯源,实时发现网络威胁,为用户及时响应威胁告警提供时间窗口。
信息系统异常行为检测
信息系统异常行为检测以信息系统为视角,基于常规信息系统使用场景建模。通过对信息系统使用行为的收集、整理、分析,识别非法用户越权操作,对入侵行为的特征和过程进行动态跟踪、及时告警。
在信息化建设不断发展的过程中,信息系统的多样化导致日志数量巨大、日志格式多样、用户无法进行重点分析、难以挖掘各类日志之间的关联关系。东软NetEye日志审计结合在安全领域多年的理论和实践经验,对日志数据进行综合性分析与管理。通过对各种网络设备、安全设备、操作系统、应用系统、中间件、数据库等日志数据进行收集、解析、聚合、关联,结合机器学习引擎分析、威胁情报引擎分析,及时全面地发现潜在网络威胁及异常行为。帮助组织解决日志分析管理困难的问题,提升组织网络安全综合管理能力。
多维度预测分析引擎
预测分析引擎由时间序列构造引擎、异常检测多维度校准引擎共同构成。给定一段时间的离散值(构成一个序列),由时间序列引擎进行序列特征学习,并试图重新构建一个和原序列尽量接近的序列。构建序列与原序列一同送入异常检测引擎,基于不同的算法(原则,阈值),异常点会被标记出来。东软预测分析引擎从多维度进行异常检测校准,使用了多种分析模型,包括ExtremeLowDensityModel 超低密度模型、KSigmaModel 经典K-sigma模型、DBScanModel密度模型等进行检测分析。通过阈值选择产生一组候选异常,然后对给定的规则异常校准,最终产生准确及时的预测告警。
实时威胁情报检测引擎
东软威胁情报中心积累了大量国内、国外的威胁,通过高频维护威胁情报库,为全系产品精准威胁检测能力赋能。实时威胁情报检测引擎以威胁情报为基础,对全量日志数据的失陷标识进行精准检测、识别、溯源,实时发现网络威胁,为用户及时响应威胁告警提供时间窗口。
信息系统异常行为检测
信息系统异常行为检测以信息系统为视角,基于常规信息系统使用场景建模。通过对信息系统使用行为的收集、整理、分析,识别非法用户越权操作,对入侵行为的特征和过程进行动态跟踪、及时告警。
随着《网络安全法》、《等保2.0》、《互联网安全保护技术措施规定》等政策合规要求,以及网络安全体系生态建设的需要,日志审计市场将进一步扩容。其探索方向将由既有的日志审计分析取证便捷性,向日志异常检测分析智能化以及边缘计算进一步演进。如何让“小块头”发挥大智慧,将成为新一代日志审计演进过程中的重要探索方向之一。
东软NetEye日志审计将不忘初心,继续扎实前行。始终坚持以创新精神扎实推进产品研发,助力国家网络安全和信息化建设。看脚下,不断行,莫存顺逆。
东软网络安全 微信号:Neusoft_NetEye
