产品优势

1. 大数据平台支撑技术

云平台多年的大数据分析处理能力赋能到 SOC 平台中，使得本产品在以下几个方面优势明显：

• 海量数据处理能力：SOC 支持 PB 级别的数据分析与存储。

• 数据处理性能：流量处理能力达到10Gbps，并可支持平行扩展。

  SOC 具备支持不同来源、不同类型、不同格式的数据聚合能力。具体数据源包括以下几方面：

• 网络流量：通过将核心交换或其他网络节点上的流量旁路到智能态势感知平台的流量探针。

• 设备、主机和系统日志：支持主流网络设备日志、Windows 系统日志、Linux 系统日志等。

• 业务及应用的日志：Web 服务器日志（IIS 日志、nginx 等常见Web日志）、代理服务器日志、FTP 日志、VPN 日志、RDP 日志、主流数据库日志等。

• 安全设备事件日志（告警日志）：支持安全设备、安全软件的安全事件日志（例如：哈勃沙箱的分析日志）、防火墙、WAF 的拦截日志以及终端安全软件日志。

2. 无代码扩展安全检测能力

SOC 的 AI 引擎运用了基于 AI 的分析和检测技术，将 AI 方面的探索应用于网络安全，使用传统规则引擎与机器学习智能算法相结合的分析技术，配合丰富的业务场景与安全场景，最终实现风险发现和威胁检测的能力，即安全感知。 安全监测手段包括以下几方面：

• 基于特征、统计及关联规则的威胁感知；

• 基于威胁情报匹配的威胁感知；

• 基于机器学习的流量异常感知。

  能够覆盖的部分典型场景如下：

• 内部威胁：能够有效识别异常的主机行为、用户行为（例如：发现对关键资产的异常访问、敏感数据的外发等），进而识别口令失窃、越权访问、内鬼等企业内部的安全威胁。

• 横向移动：黑客在攻陷某一主机后，为扩大控制范围会尝试横向移动（例如：扫描、爆破、文件感染、流量代理等）。SOC能够检测到攻击者的这类横向移动行为。

• 黑客牟利：能够检测到典型的黑客牟利手段和对应恶意行为（例如：外发垃圾邮件、对外扫描、爆破、刷广告、挖矿等）。

• 隐蔽通道检测：能够检测 DGA 等较为隐蔽的C2方法，能够检测 DNS 隧道、文件类型伪造等用于隐蔽数据传输的方法。

• 恶意流量识别：能够使用不基于特征的智能检测模型从网络流量中识别到恶意软件的通信流量，进而识别出疑似失陷主机和C2服务器。

• APT 攻击：能够对来路不明的对象（例如：邮件附件、可疑链接等），结合沙箱进行深度分析，判定其恶意性，进而提升APT 攻击的对抗能力。

3. 威胁情报能力

百亿级恶意文件样本库、数亿级 IP 信誉库、域名信誉库、木马病毒样本、日均新增100W+、数千万级恶意网址、高质量情报云查、数十万级漏洞情报……SOC 内置的威胁情报关联能力，在关联分析中能够将系统采集到的流量、各种安全日志和事件与威胁情报进行碰撞比对。