多源异构日志审计监测系统(LAS)
我们的 LAS 系统采用 AI 驱动与大数据分析架构,一站式解决日志采集、范式化与集中存储难题,内置 400+ 关联分析规则,支持国密算法加密存储,帮助企业满足等保 2.0 全流程合规要求。
我们的企业级LAS系统是一套以大数据、机器学习和智能分析为核心的综合管理平台,旨在解决企业IT环境中日志分散、格式各异、量级庞大的痛点。其核心功能涵盖从采集、存储、分析到预警、取证和合规的全生命周期管理,具体功能架构如下:
1. 多源异构日志采集能力(全量采集)
系统具备强大的兼容性与采集能力,能够覆盖IT环境中的所有节点,确保无一遗漏。
- 采集对象全覆盖:支持网络设备(路由器、交换机)、安全设备(防火墙、IDS/IPS、WAF)、主机服务器(Windows、Linux、Unix)、数据库(Oracle、MySQL、SQL Server)、中间件(Tomcat、Weblogic)、虚拟化平台、云环境以及各类业务应用系统。
- 采集协议多样化:支持Syslog、SNMP Trap、NetFlow、JDBC、HTTP、TCP/UDP、WMI、FTP/SFTP、Kafka等多种主动与被动采集方式,支持Agent代理采集和无Agent直接采集,适应复杂网络环境。
- 断点续传与完整性保障:在网络故障或系统中断时支持数据缓存与断点续传,并通过日志完整性校验确保数据不丢失、不被篡改。
2. 智能数据处理与范式化(标准化清洗)
针对原始日志的“乱、杂、繁”特性,系统通过智能引擎进行标准化处理。
- 日志范式化:将不同厂商、不同格式的日志统一解析为系统可识别的字段,提取源IP、目的IP、时间、事件类型、操作行为等关键信息,将非结构化的文本转化为结构化数据。
- 智能降噪与过滤:支持日志过滤、去重、归并(聚合)功能,自动剔除冗余信息和无效告警,提升分析效率。
- AI清洗与压缩:基于机器学习和大模型技术,对海量数据进行智能清洗与高效压缩,在保障完整性的同时大幅降低存储成本。
3. 海量数据存储与加密(合规化存留)
满足法律法规划定的存储时限要求,并保障数据机密性。
- 高压缩比存储:采用分布式存储架构及非关系型数据库,支持PB级日志的长期存储,通过高压缩比算法节省存储空间。
- 生命周期管理:提供自动删除、循环覆盖、异地备份、离线归档等策略,优先满足《网络安全法》及等保2.0要求的6个月留存期限。
- 商用密码加密:内置国密算法支持(SM2/SM3/SM4等),对日志进行加密存储和传输,支持数字签名,确保数据的机密性、完整性和不可否认性,满足密评要求。
4. 全局资产管理与分析(可视化运维)
建立统一的资产生命周期视图,实现资产与日志的高效绑定。
- 资产台账管理:支持资产的自动发现、手动导入和分组分域管理(如按业务系统、部门、地理位置划分),支持资产标签化。
- 一对多关联:支持单个IP资产关联多个日志源(如一台服务器上的多个不同端口或应用),使管理粒度更细、更精确。
- 资产风险视图:直观展示各资产的告警级别、漏洞威胁和安全事件态势,实现“以资产为中心”的安全监控。
5. 实时关联分析与威胁监测(智能化研判)
这是LAS系统的核心“大脑”,用于发现深层次攻击。
- 多维度关联分析:内置海量关联规则(通常超过400条),支持基于时间、源/目的IP、事件类型等多维度的交叉分析,识别暴力破解、僵尸网络、僵尸主机、违规接入、越权访问等异常行为。
- AI智能引擎:结合规则引擎、机器学习和大语言模型,实现从“规则匹配”到“智能语义理解”的跨越,有效识别未知威胁、APT攻击中的隐蔽通道和复杂异常行为。
- 流量审计分析:支持NetFlow/sFlow流量采集,分析网络连接数、流量趋势,定位DDoS攻击或异常外联。
- 用户行为分析:建立用户行为基线,监控内部员工的异常登录时间、非授权访问、批量数据导出等“内部威胁”。
6. 告警与事件响应机制(实时化预警)
- 多维度告警:支持自定义告警阈值与策略,通过邮件、短信、钉钉、企业微信、Syslog等多种渠道实时推送告警。
- 告警抑制与归并:针对短时间内的重复告警进行智能合并抑制,防止“告警风暴”淹没管理员视野。
- 联动响应:部分高级系统支持与防火墙、交换机等设备联动,一旦发现高危攻击可自动触发策略阻断,实现自动化应急响应。
7. 全文检索与历史追溯(高效率取证)
- 极速检索:支持亿级数据秒级检索,提供普通模式(关键字)、高级模式(正则表达式、布尔逻辑、模糊匹配)等查询方式。
- 原始日志留存:所有原始日志(Log原文)均被留存,便于司法取证和深度分析。
- 溯源分析:支持攻击链回放,通过时间轴或图关联,完整还原攻击者的入侵路径和操作轨迹。
8. 报表管理与合规审计(一站式合规)
- 内置合规模板:内置等级保护(等保二级/三级)、萨班斯法案(SOX)、ISO27001、PCI-DSS、电力/金融行业等专项报表模板。
- 可视化大屏:提供安全态势大屏,直观展示日志接入速率、Top N攻击源、告警趋势、合规指标完成度等。
- 订阅与导出:支持日报、周报、月报的自动生成与定时邮件推送,支持PDF、Excel、CSV等多种导出格式。
9. 系统自身管理
- 权限分立:遵循三权分立原则(系统管理员、安全管理员、审计员),满足高等级安全要求。
- 双栈支持:全面支持IPv4和IPv6环境下的日志审计,通过IPv6 Ready认证,适应下一代网络演进。
- 集群部署:支持分布式部署架构,通过增加节点水平扩展处理性能,适应大型集团或多分支机构的场景。
- 同时也适用于本地单点的服务器部署,私有云部署等。