IT安全態(tài)勢感知解決方案

1、IT安全態(tài)勢感知解決方案通信世界網(wǎng)消息(CWW)信息安全目前越來越受到重視，棱鏡門”事件爆發(fā)后，信 息安全不僅引起了企業(yè)領(lǐng)導(dǎo)的重視，更引起了國家領(lǐng)導(dǎo)人的廣泛關(guān)注。在這種背景下，企 業(yè)無論是出于對自身利益的考慮，還是對于社會責任的角度，都已經(jīng)開始構(gòu)建更為豐富的 內(nèi)部安全系統(tǒng)。這些系統(tǒng)不僅涵蓋基本的防火墻，入侵檢測、防病毒；還包括目前主流的上網(wǎng)行為審 計，堡壘機系統(tǒng)，數(shù)據(jù)庫審計系統(tǒng)，網(wǎng)站防火墻系統(tǒng)；以及符合最新攻擊的特征的，如抗 拒絕服務(wù)系統(tǒng)，高級持續(xù)性威脅防御系統(tǒng)等。這些專業(yè)的安全防護設(shè)備逐漸達到了企業(yè)的 防護屏障，從多個不同的角度滿足了企業(yè)的安全防護需求。但是，攻擊者與安全運維人員的對抗是永無

2、止境的，有了一種防護技術(shù)，就會出現(xiàn)針 對性的攻擊技術(shù)。越來越多的攻擊者會在發(fā)起攻擊前，會測試是否可以繞過目標網(wǎng)絡(luò)的安 全檢測，因此會使用新型的攻擊手段，零日威脅、變形及多態(tài)等高級逃避技術(shù)、多階段攻 擊、APT攻擊，這些新的攻擊方式，即是所謂的新一代威脅。由于它們是傳統(tǒng)安全機制無 法有效檢測和防御的，因此往往會造成更大的破壞，成為當前各方關(guān)注的焦點。然而，無論是傳統(tǒng)的安全攻擊，如DDoS、溢出攻擊、僵木蠕等，亦或是先進的APT 攻擊，所有的攻擊行為都會在網(wǎng)絡(luò)或者系統(tǒng)中留有痕跡。這樣的痕跡都分散在各個系統(tǒng) 中，形成一個個的信息孤島，每起安全事故的發(fā)生、數(shù)據(jù)的泄露都是隱藏在網(wǎng)絡(luò)數(shù)據(jù)的海 洋中，企業(yè)中

3、的安全管理人員難以發(fā)現(xiàn)。安全事件都是在發(fā)生后，數(shù)據(jù)在網(wǎng)絡(luò)上廣為流傳 后企業(yè)才會發(fā)現(xiàn)曾經(jīng)有過安全事件，但具體的時間、形式都難以察覺。綠盟安全態(tài)勢感知平臺可以提供有效的安全分析模型和管理工具來融合這些數(shù)據(jù)，可 準確、高效地感知整個網(wǎng)絡(luò)的安全狀態(tài)以及發(fā)展趨勢從而對網(wǎng)絡(luò)的資源作出合理的安全加 固，對外部的攻擊與危害行為可以及時的發(fā)現(xiàn)并進行應(yīng)急響應(yīng)，從而有效的實現(xiàn)防外及安 內(nèi)，保障信息系統(tǒng)安全。建設(shè)目標綠盟科技安全態(tài)勢感知平臺的建設(shè)，目的是達到以下目標：1實現(xiàn)對DDOS態(tài)勢的感知，并溯源；2實現(xiàn)對已知入侵威脅安全態(tài)勢的感知；3實現(xiàn)對未知威脅安全態(tài)勢的感知；4實現(xiàn)對僵木蠕的態(tài)勢感知，并溯源；5實現(xiàn)對資產(chǎn)自

4、身脆弱性的態(tài)勢感知；6實現(xiàn)對網(wǎng)站的安全態(tài)勢監(jiān)控。建設(shè)原則（一）體系化設(shè)計原則基于信息網(wǎng)絡(luò)的層次關(guān)系，遵循先進的安全理念，科學(xué)的安全體系和安全框架，各個 組成部分推薦均符合當代信息技術(shù)發(fā)展形勢，滿足未來各種應(yīng)用分析APP對安全態(tài)勢感知 平臺的要求，提供針對各種已有數(shù)據(jù)源的接口支持。（二）擴展性原則系統(tǒng)具有良好的擴展以及與其它應(yīng)用系統(tǒng)的接口能力。產(chǎn)品具有良好的擴展性，能夠 快速響應(yīng)需求的擴展，滿足用戶的進一步需要。開放性，兼容性原則各種設(shè)計規(guī)范、技術(shù)指標及產(chǎn)品均符合國際和工業(yè)標準，并可提供多廠家產(chǎn)品的支持 能力。系統(tǒng)中所采用的所有產(chǎn)品都滿足相關(guān)的國際標準和國家標準，是開放的可兼容系 統(tǒng)，能與不同廠

5、商的產(chǎn)品兼容，可以有效保護投資。（四）安全性原則系統(tǒng)開發(fā)、建設(shè)及維護的全過程中，在代碼安全、數(shù)據(jù)保密、系統(tǒng)安全防護措施上采 取較嚴格的措施，進行縝密的權(quán)限、身份、帳號與信息加密管理，接受其他安全系統(tǒng)如統(tǒng) 一身份認證系統(tǒng)、安全監(jiān)控管理系統(tǒng)的管理，以保證系統(tǒng)和數(shù)據(jù)的安全。（五）管理、操作、易維護性原則隨著信息系統(tǒng)建設(shè)規(guī)模的不斷擴大，系統(tǒng)的可管理性已成為系統(tǒng)能否實施的關(guān)鍵，系 統(tǒng)為用戶提供可解決問題并易于管理的系統(tǒng)。貫徹面向最終用戶的原則，安裝簡便快捷， 具有了友好的用戶界面，操作簡單、直觀、靈活，易于學(xué)習(xí)和掌握，支持在線功能幫助。數(shù)據(jù)采集層唇1 ;態(tài)勢感知平臺整休架構(gòu)函箱頭便顯漫密JD整體架構(gòu)設(shè)計

6、綠盟安全態(tài)勢感知平臺分為數(shù)據(jù)采集層、數(shù)據(jù)處理層、應(yīng)用分析層和呈現(xiàn)層。數(shù)據(jù)懲理層犬數(shù)據(jù)竝理引擎（：BSA數(shù)據(jù)采集層唇1 ;態(tài)勢感知平臺整休架構(gòu)函箱頭便顯漫密JD整體架構(gòu)設(shè)計綠盟安全態(tài)勢感知平臺分為數(shù)據(jù)采集層、數(shù)據(jù)處理層、應(yīng)用分析層和呈現(xiàn)層。數(shù)據(jù)懲理層犬數(shù)據(jù)竝理引擎（：BSA）呈現(xiàn)層一 - - 態(tài)勢感知統(tǒng)一呈現(xiàn)門戶態(tài)勢感知【碰甲分析層 AFP）數(shù)據(jù)采集層：獲取與安全緊密關(guān)聯(lián)的海量異構(gòu)數(shù)據(jù)，包括網(wǎng)絡(luò)flow流數(shù)據(jù)、安全設(shè) 備的監(jiān)測日志數(shù)據(jù)、資產(chǎn)的漏洞信息、配置信息等；此外還可采集惡意樣本及威脅情報等 相關(guān)數(shù)據(jù)。通過綠盟A接口或flume-ng將數(shù)據(jù)源的接入、收集及轉(zhuǎn)發(fā)。大數(shù)據(jù)處理層：包括數(shù)據(jù)的傳輸、

7、處理、存儲及服務(wù)，數(shù)據(jù)經(jīng)數(shù)據(jù)采集傳感器進入大 數(shù)據(jù)處理層，在數(shù)據(jù)存儲之前會經(jīng)過12次的數(shù)據(jù)清洗，用來進行數(shù)據(jù)增強、格式化、解 析，數(shù)據(jù)存儲方式為HDFS的parquet列存儲和ELASTICSEARCH的索引庫，分別提供 給APP用來搜索和分析使用。應(yīng)用分析層：利用大數(shù)據(jù)處理層提供的數(shù)據(jù)即時訪問接口，建立相應(yīng)的安全分析模 型、并利用相關(guān)機器學(xué)習(xí)算法，邏輯實現(xiàn)相關(guān)應(yīng)用分析APP。呈現(xiàn)層：提取應(yīng)用分析層輸出的相關(guān)數(shù)據(jù)，實現(xiàn)APP統(tǒng)一的可視化呈現(xiàn)。大數(shù)據(jù)分析架構(gòu)設(shè)計犬數(shù)據(jù)分析的總休架構(gòu)如團2所示。元數(shù)緡管珪數(shù)據(jù)役歸數(shù)據(jù)鞍巫用層左全険備打躋器離庫 應(yīng)用至頸VPNMfe蟲全控制數(shù)溜運穆磊&爲理呈 理 門

8、 呂1元數(shù)緡管珪數(shù)據(jù)役歸數(shù)據(jù)鞍巫用層左全険備打躋器離庫 應(yīng)用至頸VPNMfe蟲全控制數(shù)溜運穆磊&爲理呈 理 門 呂1a 2大數(shù)據(jù)分析總體架構(gòu)采用大數(shù)據(jù)的底層架構(gòu)，實現(xiàn)異構(gòu)數(shù)據(jù)采集、存儲、計算。對于HBase、Hive等大 數(shù)據(jù)組件的深度整合，滿足網(wǎng)絡(luò)安全中對于數(shù)據(jù)有效性、數(shù)據(jù)完整性、數(shù)據(jù)及時性的約束 要求。采用自主開發(fā)的數(shù)據(jù)路由功能，實現(xiàn)對于不同數(shù)據(jù)源的區(qū)別處理。以底層為基礎(chǔ)， 實現(xiàn)自主可控的系統(tǒng)架構(gòu)。各類設(shè)備的日志信息和分析結(jié)果通過A接口導(dǎo)入安全態(tài)勢感知平臺。導(dǎo)入安全態(tài)勢感 知平臺的數(shù)據(jù)經(jīng)過ETL（ Extract-Transform-Load，數(shù)據(jù)抽取、清洗、轉(zhuǎn)換、裝載）存入 數(shù)據(jù)存儲單元

9、。元數(shù)據(jù)是數(shù)據(jù)轉(zhuǎn)換ETL的策略和依據(jù)，同時元數(shù)據(jù)還會給通用數(shù)據(jù)訪問接 口提供訪問控制約束。Kafka隊列作為數(shù)據(jù)傳輸?shù)囊粋€存儲通道，數(shù)據(jù)獲取層和數(shù)據(jù)應(yīng)用層之間的緩沖帶， 同時可作為某些業(yè)務(wù)邏輯處理的存儲通道，如實時告警。數(shù)據(jù)存儲方式為HDFS的parquet列存儲和ELASTICSEARCH的索引庫，分別提供 給WEB應(yīng)用用來搜索和分析使用。前端的各種WEB應(yīng)用通過多維分析服務(wù)、查詢報表服務(wù)、數(shù)據(jù)挖掘服務(wù)等形式的服 務(wù)使用通用數(shù)據(jù)訪問接口訪問存儲的數(shù)據(jù)，最終實現(xiàn)基于異構(gòu)多維數(shù)據(jù)的安全分析。各種WEB應(yīng)用的分析結(jié)果可通過統(tǒng)一呈現(xiàn)門門戶做二次統(tǒng)一匯總分析并做呈現(xiàn)。組網(wǎng)部署設(shè)計綠盟安全態(tài)勢感知平臺部

10、署在企業(yè)內(nèi)網(wǎng)，在內(nèi)網(wǎng)的各核心路由器上部署網(wǎng)絡(luò)入侵態(tài)勢 感知傳感器，鏡像全部網(wǎng)絡(luò)流量，網(wǎng)絡(luò)入侵態(tài)勢感知傳感器將獲取的網(wǎng)絡(luò)流量轉(zhuǎn)化成 Netflow，通過管理口發(fā)送給DDOS態(tài)勢感知傳感器做流量檢測；通過FTP、POP3、 SMTP協(xié)議還原，將過濾出的文件發(fā)送給APT攻擊態(tài)勢感知傳感器做惡意文件檢測。各傳 感器最終將檢測得到的數(shù)據(jù)匯總到態(tài)勢感知平臺進行分析，并通過相應(yīng)APP進行可視化呈 現(xiàn)。其總體部署架構(gòu)如圖3所示。3嫁盟態(tài)墊感卸平臺S 3制署方案設(shè)計方案能力DCCS-S曲詩感堂3嫁盟態(tài)墊感卸平臺S 3制署方案設(shè)計方案能力DCCS-S曲詩感堂皆玖逵如S1專蜒 呵站寶全莖豈童B1詩感堂綠盟安全云觀荃

11、旺Wk網(wǎng)絡(luò)入侵態(tài)勢感知網(wǎng)絡(luò)入侵態(tài)勢感知是國際上公認的難點，核心是海量日志的挖掘和決策支持系統(tǒng)的開 發(fā)，發(fā)達國家這方面的研究比較領(lǐng)先。經(jīng)過多年的研究，提出“基于對抗的智能態(tài)勢感知 預(yù)警模型”，解決海量日志挖掘的工作。吸收國外著名的kill chain擊殺鏈和attack tree攻擊樹的相關(guān)研究，形成推理決策系統(tǒng)，借助大數(shù)據(jù)分析系統(tǒng)的分布式數(shù)據(jù)庫，可以實現(xiàn) 決策預(yù)警，真正的為企業(yè)服務(wù)。眾所周知，IPS/IDS主要是基于攻擊特征規(guī)則進行檢測（綠盟科技IPS/IDS規(guī)則庫擁 有6400條規(guī)則），即IPS/IDS每次匹配到含有攻擊特征數(shù)據(jù)包便產(chǎn)生一次攻擊告警，1G 流量下可產(chǎn)生120萬條攻擊告警。而傳

12、統(tǒng)的日志分析系統(tǒng)只會歸并同規(guī)則事件的告警（部 分IPS/IDS本身也支持），1G流量下可歸并至12萬條告警日志，意味著歸并后運維人員 還需要面對12萬條告警日志！如圖4所示。威脅真素獲取團4同絡(luò)層侵態(tài)勢感知釣20條威脅感知告讐約500條攻擊行為吿警約12威脅真素獲取團4同絡(luò)層侵態(tài)勢感知釣20條威脅感知告讐約500條攻擊行為吿警約12萬條規(guī)刖告警約120萬次攻擊花流星下-不同分析層面產(chǎn)生的吉專IPS/IDS原鑿蘭黑：星丁占靂*約640嗓 池蚪畋擊幡im則歸幷告貧：屋丁同規(guī)則爭件的曰r安全態(tài)姑默J:基丁攻苗犧風肋計対與用向艇方進J姑墻黑吉腎:星丁攻擊訐為繼 理解犁的詹.近山呻啤擊場帚J而綠盟科技的

13、入侵威脅感知系統(tǒng)在傳統(tǒng)的日志歸并基礎(chǔ)上，還構(gòu)建了近10 0種攻擊場 景的行為模型，可自動化識別黑客當前處于哪種攻擊行為。據(jù)統(tǒng)計，入侵威脅感知系統(tǒng)可 將12萬條告警日志自動化分析成500條左右的攻擊行為告警。再基于攻擊樹的威脅計分，預(yù)警威脅較大的攻擊源，促進防外決策，以及預(yù)警面臨威 脅較大的被攻擊目標，促進安內(nèi)決策。再攻擊樹的反向推理方法，發(fā)現(xiàn)入侵成功事件，促 進事后響應(yīng)。DDOS態(tài)勢感知DDOS威脅一般稱為網(wǎng)絡(luò)氫彈，是目前國與國之間，競爭對手之間的主要攻擊方式， 成本低，見效大。DDOS攻擊越來越頻繁，尤其針對發(fā)達地區(qū)和重點業(yè)務(wù)，某省電信每天 發(fā)生的DDOS攻擊次數(shù)在100次左右。其次，DDO

14、S攻擊流量越來越大，從檢測結(jié)果來看20%以上攻擊在大于20G。2014年4月，監(jiān)測到的某電信的單一 IP攻擊流量達到300G。因此，如何檢測預(yù)警大型的DDOS攻擊。是我們研究重點。在這個方面，網(wǎng)絡(luò)異 常流量檢測，可以全目標檢測（傳統(tǒng)DFI設(shè)備為了提升性能，需要設(shè)定檢測目標）。而且擁 有自學(xué)習(xí)功能，可以降低80%以上誤報，經(jīng)過處理后，1500G出口的骨干網(wǎng)，形成告警 完全是可以處置的。如圖5。呈現(xiàn)層據(jù)存儲層血出0區(qū)數(shù)據(jù)PNr薙似擊桂征L業(yè)翁謂別特征1自模呈現(xiàn)層據(jù)存儲層血出0區(qū)數(shù)據(jù)PNr薙似擊桂征L業(yè)翁謂別特征1自模采黛識別層數(shù)據(jù)源5 DDOS態(tài)勢感知功能架構(gòu)通過一段時間的機器學(xué)習(xí)得到其正常狀態(tài)的

15、流量上限。自學(xué)習(xí)過程中系統(tǒng)自動記錄網(wǎng) 絡(luò)的流量變化特征，進行基礎(chǔ)數(shù)據(jù)建模，按照可信范圍的數(shù)據(jù)設(shè)置置信區(qū)間，通過對置信 區(qū)間內(nèi)的歷史數(shù)據(jù)進行分析計算，得到流量的變化趨勢和模型特征。為了保證學(xué)習(xí)的流量 特征符合正態(tài)分布，系統(tǒng)支持開啟日歷模式的數(shù)據(jù)建模，如設(shè)置工作日、雙休日等日歷時 間點，針對不同的時間點進行自學(xué)習(xí)建模。同時系統(tǒng)支持對生成的動態(tài)基線進行手動調(diào) 整，和日歷自學(xué)習(xí)模式相結(jié)合，共同保證動態(tài)基線的準確性。僵木蠕態(tài)勢感知在辦公網(wǎng)等內(nèi)網(wǎng)環(huán)境中，僵尸網(wǎng)絡(luò)、木馬、蠕蟲病毒（統(tǒng)稱僵木蠕）的威脅是首要威 脅，僵木蠕引起的arp，DDOS斷網(wǎng)等問題成為主要問題，更不用說由僵木蠕導(dǎo)致的APT 泄密等事件了。

16、在這個場景下，我們采用業(yè)界領(lǐng)先的防病毒引擎，通過對網(wǎng)絡(luò)流量監(jiān)控， 發(fā)現(xiàn)僵木蠕的傳播，并通過僵木蠕態(tài)勢監(jiān)控，實現(xiàn)僵尸網(wǎng)絡(luò)發(fā)現(xiàn)、打擊及效果評估。APT攻擊態(tài)勢感知已知攻擊檢測，我們可以用入侵檢測設(shè)備，防病毒，但是針對目前越來越嚴重的APT 攻擊，我們需要更先進的技術(shù)手段和方法。威脅分析系統(tǒng)，可有效檢測通過網(wǎng)頁、電子郵 件或其他的在線文件共享方式進入網(wǎng)絡(luò)的已知和未知的惡意軟件，發(fā)現(xiàn)利用Oday漏洞的 APT攻擊行為，保護客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風險，如敏感信息泄露、基礎(chǔ) 設(shè)施破壞等。因此，在整個防護體系中，未知的0day攻擊，APT攻擊態(tài)勢感知，我們依 靠未知威脅態(tài)勢感知傳感器通過對we

17、b、郵件、客戶端軟件等方式進入內(nèi)網(wǎng)的各種惡意軟 件進行檢測，利用多種應(yīng)用層及文件層解碼、智能ShellCode檢測、動態(tài)沙箱檢測及 AV、基于漏洞的靜態(tài)檢測等多種檢測手段將未知威脅檢測并感知。如圖6。圖基于攻擊鏈的圖基于攻擊鏈的A可攻擊態(tài)勢感知脆弱性態(tài)勢綠盟安全態(tài)勢感知平臺依托于漏洞掃描設(shè)備，對企業(yè)信息系統(tǒng)漏洞風險進行評估，形 成企業(yè)信息系統(tǒng)全生命周期的脆弱性態(tài)勢感知，協(xié)助企業(yè)做好系統(tǒng)上線前、后的風險態(tài)勢 呈現(xiàn)，杜絕系統(tǒng)帶病入網(wǎng)、運行，對存在風險的系統(tǒng)進行及時的修補，并對修補后的再次 審核結(jié)果進行呈現(xiàn)，確保系統(tǒng)自身的安全運行。網(wǎng)站安全態(tài)勢網(wǎng)站作為企業(yè)對外的窗口，面臨的安全威脅也最多，因此，有必

18、要部署專門的網(wǎng)站監(jiān) 控設(shè)備形成網(wǎng)站安全態(tài)勢監(jiān)控，同時與綠盟云端監(jiān)測服務(wù)相結(jié)合，監(jiān)控網(wǎng)站漏洞，平穩(wěn) 度，掛馬，篡改，敏感內(nèi)容，并有效進行運維管理，從而避免因為網(wǎng)站出現(xiàn)問題導(dǎo)致公眾 問題。溯源追蹤如何在海量網(wǎng)絡(luò)中追蹤溯源DDOS攻擊，網(wǎng)絡(luò)入侵攻擊是業(yè)界難點和重點，采用DFI 模式開發(fā)網(wǎng)絡(luò)溯源系統(tǒng)，針對APT攻擊，DDOS攻擊，僵木蠕進行有效的追蹤溯源。可 以保證未知的攻擊的危害得到有效的溯源，如，DDOS攻擊可以溯源到鏈路，物理接口。 APT溯源可以溯源到外泄了多少G的數(shù)據(jù)。僵木蠕溯源可以溯源CC主機的影響范圍。未 來基于信譽情報，可以挖掘更多信息，重要的是，提供了在海量數(shù)據(jù)下的溯源難題。可以 在

19、低成本下，還原任何IP的流量。網(wǎng)絡(luò)攻擊溯源追蹤具體包括以下兩個功能。（一）流量分析溯源在企業(yè)的網(wǎng)絡(luò)中發(fā)生流量型的網(wǎng)絡(luò)安全事件時，并已確認安全事件相關(guān)資產(chǎn)IP地址 和時間段信息，此時通過系統(tǒng)該模塊可實現(xiàn)對該時間段、IP地址等相關(guān)的流量分析溯源取 證；另外在企業(yè)發(fā)生流量型的安全事件時，也可通過該模塊中漸進式數(shù)據(jù)挖掘、統(tǒng)計報表 等子模塊實現(xiàn)流量攻擊的溯源和取證。（二）安全溯源在企業(yè)的業(yè)務(wù)系統(tǒng)發(fā)生遭受網(wǎng)絡(luò)攻擊事件時，根據(jù)遭受攻擊的類型和安全溯源的需 求，通過溯源追蹤實現(xiàn)DDoS溯源和僵木蠕溯源。DDOS溯源：企業(yè)發(fā)生DDoS攻擊時，可通過DDoS告警日志信息判斷網(wǎng)內(nèi)DDoS 攻擊還是網(wǎng)內(nèi)向網(wǎng)外發(fā)起DD

20、oS攻擊還是網(wǎng)外向網(wǎng)內(nèi)發(fā)起DDoS攻擊，進而通過溯源功能 確定DDoS發(fā)起IP地址及遭受攻擊的IP和業(yè)務(wù)系統(tǒng)。僵木蠕溯源：定期對采集的企業(yè)各網(wǎng)絡(luò)區(qū)域流量信息進行智能C&C主控分析，可溯 源到企業(yè)網(wǎng)絡(luò)內(nèi)部與僵尸網(wǎng)絡(luò)通信的可疑肉雞”；另外在其他安全檢測防護系統(tǒng)發(fā)現(xiàn)僵 尸網(wǎng)絡(luò)通訊時確定控制服務(wù)器IP和端口后也可通過該功能溯源企業(yè)內(nèi)僵尸主機情況。關(guān)鍵技術(shù)及優(yōu)勢靈活的數(shù)據(jù)采集綠盟安全態(tài)勢感知平臺能夠采集多種數(shù)據(jù)源，包括但不限于網(wǎng)絡(luò)設(shè)備，如交換機、路 由器、網(wǎng)關(guān)等；安全設(shè)備，如防火墻、入侵防護、網(wǎng)閘、防毒墻等；安全系統(tǒng)，如身份認 證系統(tǒng)、集中授權(quán)系統(tǒng)等；應(yīng)用系統(tǒng)，如郵件系統(tǒng)、OA系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件系

21、統(tǒng) 等；業(yè)務(wù)系統(tǒng)，如ERP系統(tǒng)、CRM系統(tǒng)等。所有接入數(shù)據(jù)源沒有品牌限制，沒有型號限制，任何設(shè)備都可采用Syslog、Webservice、Snmp等標準協(xié)議進行數(shù)據(jù)采集。同時亦支持對于網(wǎng)絡(luò)Flow流數(shù)據(jù)的采 集，支持Netflow等多種Flow協(xié)議。同時，對于缺少數(shù)據(jù)發(fā)送功能的設(shè)備提供相應(yīng)的數(shù)據(jù)采集器。采集器旁路到網(wǎng)絡(luò)中進 行數(shù)據(jù)采集工作，包括網(wǎng)絡(luò)設(shè)備數(shù)據(jù)、安全設(shè)備數(shù)據(jù)、應(yīng)用系統(tǒng)數(shù)據(jù)等。高效的數(shù)據(jù)存儲針對數(shù)據(jù)的業(yè)務(wù)需求，按照數(shù)據(jù)的不同類型采用多種數(shù)據(jù)存儲機制。l分布式存儲針對海量數(shù)據(jù)數(shù)據(jù)多源性、高速性、增長性等特點，同時滿足數(shù)據(jù)的安全性、穩(wěn)定性 等要求，采用非結(jié)構(gòu)化的分布式存儲技術(shù)。這樣的技術(shù)能夠?qū)碜詳?shù)據(jù)端的數(shù)據(jù)請求分布 在集群中的每個計算節(jié)點上進行處理，極大的提高數(shù)據(jù)處理性能。2結(jié)構(gòu)化存儲針對范式化的數(shù)據(jù)存儲，采用標準化的數(shù)據(jù)存儲方式，能夠?qū)⒁?guī)范有效的對數(shù)據(jù)進行 保存，同時能夠?qū)σ蠖ㄆ诟?、?shù)據(jù)結(jié)構(gòu)復(fù)雜、實時性要求高、且數(shù)據(jù)量不龐大數(shù)據(jù)給 予很好的滿足。3索引存儲滿足頻繁查詢數(shù)據(jù)且查詢結(jié)果快速呈現(xiàn)的需求，即數(shù)據(jù)的即席查