威努特日志审计与分析系统LAA_工业工控日志审计系统

立即咨询

立即试用

商务合作

威努特日志审计与分析系统LAA

威努特日志审计与分析系统LAA，实时将工业控制网络中不同厂商的网络设备、安全设备、服务器、操作员站、数据库系统的日志信息，进行统一地收集、处理和关联分析，帮助一线管理人员从海量日志中迅速、精准地识别安全事件。

立即咨询

日志管理现状：分散存储、格式繁多 icon

安全日志和事件管理分析能力欠缺，工控网络设备及其安全防御设施产生大量的安全日志和事件，形成大量“信息孤岛”，不能实时地对采集到的不同类型的信息进行标准化处理和实时关联分析，从海量日志中迅速准确地识别安全事故。

海量数据
日志数量巨大，各种设备和系统时刻都在产生日志数据，汇总起来就是海量数据

分散存储
日志存储分散，不同的日志保存在不同的系统和设备中，收集和阅读需要不同的方法，更难以进行关联分析

多源异构
日志来源非常广泛，既包含IT环境中各种设备和系统，又包含OT环境中各工业控制系统中的各种控制器、传感器，日志种类繁多，格式多样

产品概述

威努特日志审计与分析系统是工业控制网络中软硬件资产日志信息的统一审计与分析平台。该产品能够实时将工业控制网络中不同厂商的网络设备、安全设备、服务器、操作员站、数据库系统的日志信息，进行统一地收集、处理和关联分析，帮助一线管理人员从海量日志中迅速、精准地识别安全事件，及时对安全事件进行追溯或干预，满足网络安全法对日志保存6个月以上的要求。

核心功能

日志管理
采集和解析：Syslog、SNMP Trap、(S)FTP、JDBC、SMB、文件导入；700+解析规则满足300多种设备和应用日志的采集和解析。存储和检索：大数据分片技术实现海量数据的水平扩展和可靠性存储；全文检索、倒排索引实现海量日志秒级查询。

日志审计
行为审计：登录、权限、账号，文件、外部设备，命令指令、配置变更。业务审计：业务系统访问量、会话记录审计，设备运行状态、链路接口状态。攻击威胁审计：攻击者、受害者、攻击手法、攻击时间，攻击趋势、各类攻击发生次数、主要攻击者和主要受害者。

安全监测
终端安全监测：非法外联、高危端口应用、安全策略变更，关键文件变更、进程启动和关闭。实时关联分析：通过逻辑关联、事件关联、统计关联等多种分析规则对海量日志进行分析，大幅提高告警准确性，减少误告警。

数据报表
统计分析：基于时间、类型、级别、日志源、多个维度对日志进行统计分析。灵活报表：基于各类检索条件的即时报表，基于各类审计项的专项报表。

产品功能_日志采集

日志类型：主机类、数据库类、中间件类、网络设备类、安全设备类、虚拟化类、应用系统日志。采集方式：Syslog、SNMP Trap、(S)FTP、JDBC、SMB、文件导入。

产品功能_日志采集

数据库、应用系统：JDBC、ODBC、FTP、SMB；网络设备、安全设备：Syslog、SNMP Trap、私有接口；中间件: FTP、SMB、文件导入；操作系统：Agent。

产品功能_日志标准化 icon

解析各类异构日志，变成系统可识别的统一的日志格式，屏蔽了不同厂商不同产品之间的日志差异，整理重塑成结构化字段，使日志检索和管理分析成为可能。

产品功能_日志检索

系统将每条日志范化后的字段都编入倒排索引，通过倒排索引技术，可以单个字段或字段组合快速反查原始日志，从而实现亿级数据秒级查询。

产品功能_日志审计

实时记录系统中各设备的登录、权限、账号、文件、外设、命令指令、配置变更、网络会话、安全攻击日志，对各类日志进行统计分析，筛选出可能存在的风险操作和攻击行为

产品功能_安全监测

监测和分析系统中各种日志源日志，对多源日志进行关联分析和告警归并等手段，减少误报警和重复告警，仅上报高阶告警。

产品功能_分析预测

从海量日志中提取隐含的、事先未知的、具有潜在价值的信息和知识。

产品功能_数据备份

策略配置和日志数据单独备份全量和增量备份兼顾可靠性和存储空间利用高效性

产品功能_报表管理

支持年、月、日任意时间周期内的各类统计分析报表支持导出各种筛选、过滤后的报表

广泛的日志采集能力，支持7大类300种设备日志采集 icon

主机日志
Windows、Linux、Solaris、UNIX、AIX、麒麟、凝思

安全日志
华为、H3C、启明星辰、天融信、绿盟、Cisco、飞塔、迪普、山石、网神、东软、网康、安恒、深信服、奇安信、网御星云

网络日志
华为、中兴、H3C、Cisco、阿尔卡特、卓越、信安世纪

数据库日志
MySQL、 Oracle 、SQL server

中间件日志
Weblogic、Tomcat、Apache、Websphere、Nginx、IIS Web

应用日志
Web应用、邮件、DNS、NAT、VPN

虚拟化日志
VMware

大数据处理框架，实现海量日志的高效管理 icon

大数据架构实现日志存储，可兼顾日志的结构化存储以及原始日志的非结构化存储，在实现海量数据的存储功能的同时，又可以保证数据的查询性能。采用分片技术实现海量数据的水平扩展和可靠性存储，通过分片副本保证数据的可靠性；采用类似键/值、列族、文档等非关系模型，实现海量日志的查阅和检索。将日志范化后的字段编入倒排索引，通过倒排索引技术，根据单个字段或字段组合快速反查原始日志，实现了亿级数据秒级查询效果。专利号：CN103618692A 一种日志快速匹配范化策略的技术，通过范化策略分组、快速索引、优先级排序、动态基线几重处理，将范化策略匹配的次数从几百次降低到10次以内，极大地提升了策略匹配效率。

智能范化技术，夯实日志管理和审计分析基础 icon

范化：将不同的日志进行标准化解析，提取出日志中的关键信息的过程，其中还可能包括字段的映射、转换、二次计算等，最后将原始日志规范转换为系统定义的标准格式数据。

丰富的内置范化规则
系统内置1000+日志范化规则，自动将海量异构日志整理重塑成结构化字段，便于日志检索和管理分析。支持对300+主流设备和系统日志进行采集和解析；

智能日志解析
专利号：202010379526.0 一种Syslog日志自动解析方法，应用频繁项集算法，找出来分割字符的频繁序列，分割后形成一个字符串数组，根据Levenshtein编辑距离相似度对日志进行分组，进而实现日志信息结构化提取。

快速规则匹配
专利号：202211068416.8 一种基于倒排索引的日志快速范化方法，针对字段不确定、顺序不确定的日志，如Json格式的日志，基于倒排索引算法，快速查找确定范化策略组能快速范化各类不同的日志。

突破传统技术壁垒，实现生产系统日志采集和数据对接 icon

为保证网络稳定，生产系统经常使用AB组网方式，日志源会接入两个网络，需要对AB两个网络数据进行融合处理；生产系统数据对接需要使用行业专有协议，如电力行业使用IEC104协议进行通信，创新性的通过IEC104协议与自动化系统实现对接。

重点行为和安全事件审计能力，满足多项标准法规要求 icon

涵盖各种安全事件和操作，覆盖到每个重要节点、每个用户的重点行为和重要安全事件审计，其中外设使用审计、命令指令审计、工业协议事件审计能力业界领先。

产品特色_资质齐全

1、公安部颁发的日志分析类产品三级证书，满足GA/T 911-2019 《信息安全技术日志分析产品安全技术要求》； 2、中国电力科学研究院检测报告，满足GB/T 20945-2013《信息安全技术信息系统安全审计产品技术要求和测试评价方法》； 3、国家工业控制系统与产品安全质量监督检验中心检测报告； 4、国家网络与信息系统安全产品质量监督检查中心的信息技术产品安全检测证书； 5、国产化飞腾平台兼容性证明； 6、CNAS机构的EMC电磁兼容、高低温、跌落等可靠性测试报告；

可选规格

典型部署

日志审计在二次安防领域的应用 icon

部署方案和客户价值

日志审计统一采集电厂防火墙、入侵检测、堡垒机、交换机、纵向加密认证网关、远动装置、保信子站等设备日志。系统自动识别日志源A网B网数据无缝采集、统一管理和分析，不会将AB网数据割裂分散。分析审计操作员站的用户登录、账号变更、文件访问、系统配置等操作行为，监督外设使用情况，防止非法操作、滥用权限。监测交换机、防火墙、入侵检测设备和接口状态

日志审计在天然气管网领域的应用 icon

部署方案和客户价值

在各场站核心交换机旁路部署日志审计与分析系统，提升日志审计与事件回溯能力，事后快速精准溯源，不断改进安全防护措施；日志审计统一收集：场站工作站、操作员站主机日志、场站和控制中心间防火墙和入侵检测日志、接入交换机、核心交换机、路由器日志；日志审计将收集的日志实时转发给上层态势感知系统。为建立纵深安全防护和监测预警体系奠定数据采集基础；

日志审计在制造业领域的应用 icon

部署方案和客户价值

在核心交换机旁路部署日志审计与分析系统；对分散在工厂各车间生产系统、交换机、防火墙、高级威胁检测、主机卫士日志进行集中收集、存储，满足等保日志留存周期要求；分析审计生产过程中的用户登录、账号变更、文件访问、系统配置等操作行为，监督外设使用情况，防止非法操作、滥用权限。利用日志范式化技术和关联分析技术去重虚假和冗余告警，从海量日志中迅速准确地识别安全事件，并通过声光告警、邮件、短信等方式实时通知管理员对安全事件进行处理。