(二) 安全溯源

在企业的业务系统发生遭受网络攻击事件时，根据遭受攻击的类型和安全溯源的需求，通过溯源追踪实现DDoS溯源和僵木蠕溯源。

DDOS溯源： 企业发生DDoS攻击时，可通过DDoS告警日志信息判断网内DDoS攻击还是网内向网外发起DDoS攻击还是网外向网内发起DDoS攻击，进而通过溯源功能确定DDoS发起IP地址及遭受攻击的IP和业务系统。

僵木蠕溯源：定期对采集的企业各网络区域流量信息进行智能C&C主控分析，可溯源到企业网络内部与僵尸网络通信的可疑“肉鸡”；另外在其他安全检测防护系统发现僵尸网络通讯时确定控制服务器IP和端口后也可通过该功能溯源企业内僵尸主机情况。

关键技术及优势

灵活的数据采集

绿盟安全态势感知平台能够采集多种数据源，包括但不限于网络设备，如交换机、路由器、网关等；安全设备，如防火墙、入侵防护、网闸、防毒墙等；安全系统，如身份认证系统、集中授权系统等；应用系统，如邮件系统、OA系统、数据库系统、中间件系统等；业务系统，如ERP系统、CRM系统等。

所有接入数据源没有品牌限制，没有型号限制，任何设备都可采用Syslog、Webservice、Snmp等标准协议进行数据采集。同时亦支持对于网络Flow流数据的采集，支持Netflow等多种Flow协议。

同时，对于缺少数据发送功能的设备提供相应的数据采集器。采集器旁路到网络中进行数据采集工作，包括网络设备数据、安全设备数据、应用系统数据等。

高效的数据存储

针对数据的业务需求，按照数据的不同类型采用多种数据存储机制。

l 分布式存储

针对海量数据数据多源性、高速性、增长性等特点，同时满足数据的安全性、稳定性等要求，采用非结构化的分布式存储技术。这样的技术能够将来自数据端的数据请求分布在集群中的每个计算节点上进行处理，极大的提高数据处理性能。

2 结构化存储

针对范式化的数据存储，采用标准化的数据存储方式，能够将规范有效的对数据进行保存，同时能够对要求定期更新、数据结构复杂、实时性要求高、且数据量不庞大数据给予很好的满足。

3 索引存储

满足频繁查询数据且查询结果快速呈现的需求，即数据的即席查询。索引存储作为即席查询的底层技术支撑，能够达到数亿条记录秒级返回200条结果的效果。

强大的分析引擎

平台中预制图计算引擎，流计算引擎，离线计算引擎，关联分析引擎。这些预制引擎构成分析平台的核心功能并且对专项分析提供基础能力，如风险分析、脆弱性分析、态势分析、溯源分析。

分析引擎采用分布式进行横向扩展，面临海量数据量时能够实现按需扩展，将分析引擎分散到其他更多的机器中，实现按需进行计算资源扩展。

多维可视化呈现

实现配置型可视化展现，安全分析人员不需要进行代码编辑便可将查询结果以可视化方式进行展现。以拖拽及配置方式进行可视化呈现，同时仪表盘之间能够实现联动以及下钻等强互动性操作。

可视化展现支持多种常见图形，如折线图、饼状图、柱状图、条形图等。同时支持对于复杂展示方式，如热力图、散点图、图标叠加等。

不仅支持简单的关键字查询，同时在查询中能够进行统计计算，包括平均值计算等在内的多种运算规则。查询时能够以多维度进行筛选，例如时间维度、设备维度、数据类型维度等。支持图形化查询结果展示，关键字排序，关键字高亮等技术。对于关键字能够实现按需扩充，对于缺少的关键字段能够进行补充扩展。

灵活的应用扩展

提供APP store功能，所需安全应用提供在线、离线安装。分享来自全国安全专家亲手炮制的安全分析应用。安全应用均有相应团队进行技术保障和技术升级，在使用过程中能够与安全专家进行经验分享。安全应用具备开箱即用功能，安装安全应用后能够即可使用。

通过SDK包可以为企业量身打造安全分析应用，不需要借助第三方公司企业自身便可进行安全应用的开发。同时安全应用可上传至云端绿盟安全应用市场由安全专家检验该应用的可用性及通用性。