北京力控华康 HC-LAS-华康日志审计分析系统-技术白皮书.pdfVIP

华康日志审计分析系统

技术白皮书

目录

一、技术背景1

二、华康日志审计分析系统错误!未定义书签。

2.1产品特点2

2.1.1高性能的日志管理技术架构2

2.1.2数据挖掘和数据预测2

2.1.3集成的弱点发现、威胁分析、风险评估能力3

2.1.4详尽的可视化展示3

2.1.5丰富灵活的报表报告4

2.1.6大规模安全存储4

2.1.7分级部署4

2.1.8面向服务的体系架构4

2.1.9可维护性及可扩展性4

2.2产品功能5

2.2.1高适应性日志采集5

2.2.2详尽的日志范式化和日志分类5

2.2.3智能关联分析5

2.2.4全面的脆弱性管理6

2.2.5强大的配置核查6

2.2.6丰富的知识库6

2.3典型部署6

2.3.1单级部署6

2.3.2级联部署7

一、技术背景

现如今，每个用户网络包含大量的信息资产，包括各种网络设备、安全设备、主机、

应用及数据库等，每种设备类型的日志格式都不相同，即使是记录同一事件，也都有各自的

日志规格。例如同样的登录失败信息，防火墙中的描述和主机操作系统中的描述格式就可能

根本不相同，这样会迫使审计人员去了解每种设备类型的格式。但是，每个产品的日志量是

巨大的，例如一个标准的入侵检测系统每天可能产生超过千万数量的事件日志，海量的数据

常常让运维审计工作变得没有毫无头绪，成为业务顺畅运行的挑战。

二、华康日志审计分析系统

华康日志审计分析系统是新一代综合安全事件分析与全局的日志审计系统。该系统采用

先进的大数据采集、建模、分析技术，通过对各种网络资源的多维度信息采集和自动化的关

联分析，及时发现网络当中的威胁和异常行为，通过与防火墙、入侵防御、终端安全等产品

的安全联动，实现对威胁和异常行为的有效处置。系统通过图形化、可视化技术将识别到的

各种威胁和异常通过图形化方式直观的展现给用户，有利于用户全面掌握网络总体安全态

势，并迅速做出判断和决策。

2.1产品特点

2.1.1高性能的日志管理技术架构

为了应对海量日志管理带来的挑战，华康日志审计分析系统采用了国内领先的高性能日

志采集、分析与存储架构，系统性的设计产品架构，真正使得华康日志审计分析系统产品成

为一款能够支撑持续海量日志管理的系统。

2.1.2数据挖掘和数据预测

华康日志审计分析系统支持对历史日志数据进行数据挖掘分析，发现日志和事件间的潜

在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法，可以根据历

史数据的规律对未来的数据发生情况进行有效预测。

采用多种安全检测模型，通过关联分析手段，智能化、自动化的实现事件定位和问题处

理，实时掌控全网安全态势。

通过系统关联分析模块，对各种设备的日志报警信息，进行归并和范式化处理，从而帮

助用户更直接的识别威胁的性质。系统支持基于事件规则、统计规则、时间规则等多种方式

进行关联。可以在一定时间范围内根据事件类型、设备类型、源地址、目的地址、源端口、

目的端口、事件等级、原始事件内容等，可根据各属性在一定条件下满足一定统计规则定义

的事件触发安全响应，系统支持防火墙联动、TRAP告警、邮件、声音、短信、弹窗、交换

机端口禁用等响应方式。

2.1.3集成的弱点发现、威胁分析、风险评估能力

系统采用漏洞扫描、配置脆弱性发现、威胁分析计算于一体的安全风险评估与安全态

势预测技术，依据国际、国内相关的信息安全标准制定风险管理模型，不仅可向用户提供

动态、实时的风险评估以及多视角、多视图的企业风险与安全态势可视化展示，还可根据

灵活的响应方式和专家系统建议指导用户采取有效、及时、恰当的防护手段，为企业实现

闭环的、持续改进的风险管理提供有效保证。