伴隨著(zhù)大數據時(shí)代的到來(lái)，啟明星辰于2015年12月25日正式對外發(fā)布了面向企業(yè)級客戶(hù)、融合大數據技術(shù)的新一代日志分析與審計平臺（以下簡(jiǎn)稱(chēng)TSOC-SA3），以滿(mǎn)足需要分析天量安全日志的政企客戶(hù)的需求。該平臺結合當前主流的大數據技術(shù)，并采用具有自主知識產(chǎn)權的分布式非關(guān)系型數據庫(CupidDB)技術(shù)，有效處理日志大數據問(wèn)題，開(kāi)啟安全管理的SOC3.0時(shí)代。

TSOC-SA3基于分布式節點(diǎn)計算機制，使用自主知識產(chǎn)權的非關(guān)系型數據庫CupidDB，具有高可靠性的分布式、全文索引、實(shí)時(shí)格式化數據搜索和原始數據關(guān)鍵字搜索等功能。系統融合多種信息安全技術(shù)和管理理念，充分實(shí)現組織、管理、技術(shù)三個(gè)體系的合理調配，幫助用戶(hù)進(jìn)行基于日志的綜合審計和日志全生命周期管理，從而最大化地保障網(wǎng)絡(luò )、主機和應用系統安全機制的有效性。

TSOC-SA3具備以下五大特點(diǎn)：

融合大數據技術(shù)的日志管理技術(shù)架構

系統采用了國內領(lǐng)先的高性能日志采集范式化技術(shù)、大數據分布式存儲與索引、流式集中事件及情境關(guān)聯(lián)分析，從產(chǎn)品技術(shù)架構的層面，進(jìn)行了系統性的設計，真正使得系統成為一款能夠支撐持續海量日志管理的系統。

1) 日志采集層面使用了異步通訊、高速緩存、日志范式化流水線(xiàn)和消息中間件技術(shù)，對海量異構日志進(jìn)行持續不斷地高速采集，使用戶(hù)能夠采集并預處理網(wǎng)絡(luò )中大規模審計對象的日志。

2) 日志存儲方面，針對大數據日志，系統采用了具有自主知識產(chǎn)權的分布式非關(guān)系型數據庫CupidDB從根本上解決了使用傳統關(guān)系型數據庫的日志審計系統的性能瓶頸，包括數據存儲、數據索引、數據搜索和數據備份的不足，使日志審計系統真正邁向了大數據時(shí)代。對數據進(jìn)行分片和副本，將分片和副本保存在不同的分布式節點(diǎn)上，同時(shí)對數據進(jìn)行全文索引，通過(guò)分布式節點(diǎn)的增加實(shí)現對TB/PB級日志數據的保存，并可將數據以文件系統方式保存在各節點(diǎn)上，實(shí)現了存儲和分析的水平彈性擴展，滿(mǎn)足用戶(hù)存儲長(cháng)期日志數據的要求。

3) 日志分析層面包括實(shí)時(shí)流式分析、交互式分析、全文檢索、歷史數據回放、批處理分析等多種先進(jìn)技術(shù)。

4) 流式分析采用內存實(shí)時(shí)計算、復雜事件處理（Complex Event Process，CEP）技術(shù)結合日志相關(guān)的各類(lèi)情境數據進(jìn)行實(shí)時(shí)監控和關(guān)聯(lián)分析，幫助用戶(hù)及時(shí)發(fā)現安全異常，快速關(guān)聯(lián)出安全隱患； 

5) 歷史數據回放提供了歷史數據檢測的功能，方便安全審計員對保存在系統中的海量數據進(jìn)行回放，通過(guò)高速回放技術(shù)為用戶(hù)重現歷史安全場(chǎng)景。

6) 批處理分析使用了數據抽取、數據聚合等技術(shù)，能夠對TB級日志快速生成報表，滿(mǎn)足安全審計員生成各類(lèi)安全日報、周報和月報等需求。

靈活強大的交互式查詢(xún)

系統使用了大數據交互式查詢(xún)技術(shù)，滿(mǎn)足安全審計員的日常工作需要。安全審計員可以通過(guò)自定義的儀表盤(pán)同日志審計所存儲的所有日志進(jìn)行交互，實(shí)時(shí)顯示查詢(xún)到的數據，查詢(xún)時(shí)間縮短到秒級。系統支持任意嵌套查詢(xún)，并可隨意回退，通過(guò)儀表板可視化處理數據，真正做到所見(jiàn)即所查。系統可將查詢(xún)條件保存為策略，支持策略的導入導出，供后期使用，為安全審計員工作提供便利。安全審計員通過(guò)儀表板可任意選擇需要顯示的字段和信息，并可對查詢(xún)結果隨時(shí)進(jìn)行統計分析、可視化分析，包括地理定位、多維分析、TopN分析，支持關(guān)鍵字和正則表達式的全文檢索。系統的交互式分析功能為安全審計和分析人員在進(jìn)行安全事件調查和威脅分析時(shí)提供了一個(gè)強有力的武器。

混合式檢索技術(shù)

系統提供混合檢索技術(shù)，其特點(diǎn)就是不僅提供了基于范式化后的格式數據內容的實(shí)時(shí)關(guān)聯(lián)分析和統計報表，同時(shí)還提供強大的全文搜索功能?；旌鲜綑z索技術(shù)包括通過(guò)對范化后的字段值進(jìn)行全部日志記錄的搜索，其功能基本等同于傳統關(guān)系庫中的SQL查詢(xún)，查詢(xún)出包含搜索值的所有的日志記錄，并分行顯示。同時(shí)，系統支持全文檢索技術(shù)，它不局限于幾種或幾十種固定的字段，不需要指定數據的格式，可以結合時(shí)間與關(guān)鍵詞進(jìn)行搜索，實(shí)時(shí)展現搜索結果，并對關(guān)鍵字進(jìn)行高亮顯示。全文檢索在使用上就和Google一樣直觀(guān)易用，用戶(hù)可以輸入關(guān)鍵詞或正則表達式進(jìn)行任意搜索，提供即時(shí)的在線(xiàn)查詢(xún)，立即產(chǎn)生長(cháng)時(shí)期結果?；旌鲜綑z索技術(shù)使系統在事件檢索上正在做到了靈活與高效。

威脅情報采集與利用

隨著(zhù)IT技術(shù)的不斷發(fā)展和應用，攻擊變得越來(lái)越隱蔽和難以發(fā)現，諸如APT之類(lèi)的攻擊很難被發(fā)現和防止，層出不窮的數據泄漏事件和攻擊對組織的聲譽(yù)和財產(chǎn)乃至國家安全造成了十分惡劣的影響。大多數組織沒(méi)有足夠的人員、時(shí)間、資金、和精力來(lái)應對威脅。因此，威脅情報在頻繁受到攻擊的高風(fēng)險的重點(diǎn)行業(yè)大型企業(yè)和政府事業(yè)單位中，將會(huì )明顯提升關(guān)聯(lián)分析的準確性和目標性，幫助組織有效發(fā)現隱藏的威脅。

因此，系統集成了威脅情報的功能，可提供通過(guò)導入或者主動(dòng)自動(dòng)抓取的方式獲取內外部相關(guān)威脅情報信息并利用于關(guān)聯(lián)分析和實(shí)時(shí)監測。用戶(hù)可根據自己的需要和行業(yè)特點(diǎn)通過(guò)系統從公開(kāi)的網(wǎng)絡(luò )威脅情報源從自己的情報來(lái)源獲取情報并將其保存入系統威脅情報庫中針對安全事件進(jìn)行關(guān)聯(lián)分析，最終幫助安全管理人員有效的彌補傳統的安全防護體系架構針對APT等新興攻擊應對乏力的局面。

合規管理與分析

系統不僅是一個(gè)檢測外部入侵攻擊的高級分析工具，還是一個(gè)基于日志進(jìn)行合規審計的強有力工具?？紤]國家制定的信息系統等級保護制度對用戶(hù)網(wǎng)絡(luò )安全建設的重要性，系統為了幫助用戶(hù)更好完成等級保護建設，內置等級保護自查功能。該功能包含等保定級、等保備案、等保測評、歷史回查、評分歸檔和完整的等級保護調查模板等，并以可視化方式幫助用戶(hù)及時(shí)了解全網(wǎng)等級保護建設情況。

此外，系統還基于等保、PCI、27001、SOX等合規性要求內置了大量合規分析場(chǎng)景，用戶(hù)可以通過(guò)豐富的合規分析策略對全網(wǎng)的安全事件進(jìn)行全方位、多視角、大跨度、細粒度的實(shí)時(shí)監測、分析、查詢(xún)、調查、追溯，動(dòng)態(tài)了解系統的合規情況，為用戶(hù)合規性建設提供有效支撐。