3月30日,國內網絡安全領軍企業奇安信正式發布了新一代日志收集與分析系統(NGLAS),以先進的大數據架構、分布式關聯分析引擎、機器學習和可視化技術為核心,為政企客戶提供高彈性、高可用、高性價比的日志審計與分析能力,全面提升政企客戶從海量日志中發現網絡安全風險的水平,讓網絡安全問題無處可藏。
根據2019年賽迪顧問關于日志審計產品市場的預測,在技術維度,一方面分布式大數據架構是產品發展的必然選擇,可大幅提升系統對于海量日志的收集和檢索能力;
另一方面,分布式分層處理的架構在面對對海量日志的分析和處理時,可提升政企客戶對于安全風險發現、復雜報表生成、歷史信息快速檢索的性能。
與此同時,利用人工智能提高數據處理效率。對于以日志審計為基礎的大數據治理,可以經由人工智能引擎自動對企業數據資產進行采集、范化、增強、敏感數據分布、數據資產分類分級等高級可視化管理能力,進一步提升數據資產管理能力。奇安信新一代日志收集與分析系統全面引領日志審計產品市場技術趨勢,將會帶給用戶更大的價值和更好的使用體驗。
奇安信安全專家表示,奇安信日志審計產品作為一個統一日志監控與審計平臺,能夠將來自安全設備、網絡設備、主機、操作系統、數據庫系統、用戶業務系統的日志、警報等信息匯集到審計中心,并對采集到的不同類型的信息進行標準化處理和實時關聯分析,協助安全管理人員從海量日志中迅速準確地識別安全事故,并快速出具滿足國家法律法規,行業標準的多種合規報表和報告,滿足安全審計的合規要求。
奇安信NGLAS具備以下六大特性,可大幅提升日志安全分析能力:
1.基于大數據架構,大幅提升日志數據存儲和查詢效率,秒級完成TB級的日志數據的搜索。
日志數據具備典型的大數據特征,關系型數據庫已經無法滿足大數據日志的存和查的需求。
NGLAS全面切換到大數據技術,采用非關系型數據庫(NoSql)技術,充分利用索引技術,使用高效的算法,使搜索盡可能在內存中完成,并采用分布式并行技術,大幅提升日志數據存儲和查詢效率低下的問題,TB級日志數據秒級完成搜索,使人工的日志搜索、調查和取證變得可行。
2.利用可視化技術,快速而直觀地處理日志,及時發現安全問題。
可視化分析是數據分析的一種技術,它可以將復雜的數據關系以直觀的方式呈現出來,從海量數據中將事物之間的實質關系快速傳遞給用戶。
NGLAS在日志數據的全生命周期階段采用了多種可視化技術,包括日志的采集、預處理、統計分析、交互式分析、智能分析和報告階段。日志可視化可將安全管理和運維人員從繁重的事件查看工作中解脫出來,及時直觀地進行事件調查,發現安全威脅。系統強大的日志可視化能力,幫助用戶變日常安全管理的認知為感知,使安全審計和管理人員更快速獲取日志數據帶來的價值。
3.引入機器學習等智能化分析方法,構建起融實時、歷史、交互式、自動化于一體的日志分析能力,使日志綜合審計更準確、更高效。
隨著大數據和機器學習技術的不斷發展,NGLAS引入了更多智能化的分析方法。
首先,NGLAS對日志進行智能化處理,這一處理包括了元數據動態建模、日志的范化、過濾、歸并和富化。智能化的日志預處理可以清洗掉大量的無效數據,保證了高質量的輸入數據,為后續進一步的大數據分析打下良好的基礎,避免了因數據量過大而產生的無效告警;
其次,NGLAS采用了機器學習的方法對海量日志進行分析,為用戶提供了界面友好的交互式分析,通過即席查詢實現實時和歷史數據的搜索,并對搜索結果進行統計分析、模式調查、透視調查和關系調查分析。
在此基礎上,系統通過基于分布式關聯分析引擎幫助安全審計人員實時發現網絡中的違規行為和安全威脅。系統融入了上下文分析和威脅情報分析的能力,多種智能化分析方法的有機結合,實現了實時、歷史、交互式、自動化的日志分析,使綜合審計更準確、更高效。
4.采用分布式架構,通過彈性擴展計算節點數量來增加關聯分析的能力,解決了超大規模網絡客戶日志關聯分析的需求。
眾所周知,傳統的日志審計產品通常都采用集中式的關聯分析引擎和技術,這一關聯分析技術的缺點是分析性能受單節點計算資源的限制。隨著日志數量呈幾何倍數的增長,傳統的日志審計產品無法實現更高性能的日志分析能力(通常在1萬EPS以內)。
NGLAS獨創性的提供了分布式關聯分析的能力,系統采用了具有自主知識產權的分布式計算技術,將海量日志的處理分散到集群的計算節點中,可通過彈性擴展計算節點數量來增加關聯分析的能力,解決了超大規模網絡客戶日志關聯分析的需求,實現了集群部署和資源調度的自動化、智能化。
5.高彈性,滿足彈性部署和資源擴展要求,同時支持多平臺部署。
NGLAS具備靈活的高彈性部署能力,避免了采用開源大數據技術的重量級資源需求。NGLAS支持水平彈性擴展,客戶可根據實際業務需求,通過增減集群節點來實現計算資源的增減。系統既支持單機節點部署、也支持集群部署;既支持集中式部署,也支持分布式部署;既支持單級部署,也支持級聯部署。
系統對平臺的使用靈活,既可以部署在物理服務器中,也可以部署在虛擬機和Docker容器中;既支持傳統x86架構平臺部署,也可以支持國產化平臺部署,滿足不同客戶的需求,具備極高的彈性擴展能力。
6.內置豐富多樣的審計場景和安全分析場景,開箱即用,大幅降低客戶使用成本。
針對傳統的日志收集與分析系統對使用人員技術要求高、使用成本高的問題,NGLAS大幅提升了系統的開箱即用的能力,降低了日志審計的使用成本和技術要求。
NGLAS內置了一系列豐富的日志解析策略、儀表板策略、查詢策略、關聯分析規則和報表。這一系列的策略為客戶提供了豐富多樣的審計場景和安全分析場景,使客戶快速獲得使用價值。
