轉(zhuǎn)自：http://blog.nsfocus.net/talking-big-data1/

轉(zhuǎn)自：http://blog.nsfocus.net/talking-big-data2/

隨著企業(yè)規(guī)模的增大和安全設(shè)備的增加，信息安全分析的數(shù)據(jù)量成指數(shù)級增長。信息安全分析引入大數(shù)據(jù)的顯得越來越重要，數(shù)據(jù)源的豐富、數(shù)據(jù)種類多，數(shù)據(jù)分析維度廣，同時，數(shù)據(jù)生成的速度更快，對信息安全分析應(yīng)答能力要求也相應(yīng)增長。

文章目錄

漫談大數(shù)據(jù)（一）——安全分析技術(shù)的發(fā)展

漫談大數(shù)據(jù)（二）——大數(shù)據(jù)技術(shù)的春天

漫談大數(shù)據(jù)（三）——Spark技術(shù)的異軍突起

漫談大數(shù)據(jù)（四）——數(shù)據(jù)的快速流轉(zhuǎn)Kafka

漫談大數(shù)據(jù)（五）——數(shù)據(jù)的快速檢索Elasticsearch

漫談大數(shù)據(jù)（六）——Hadoop體系下的海量數(shù)據(jù)存儲和查詢

漫談大數(shù)據(jù)（七）——業(yè)界翹楚Splunk

漫談大數(shù)據(jù)（八）——機器學(xué)習(xí)與機器智能

漫談大數(shù)據(jù)（九）——APT智能防御技術(shù)場景

漫談大數(shù)據(jù)（十）——基于用戶行為分析技術(shù)場景

漫談大數(shù)據(jù)（十一）——外部威脅關(guān)聯(lián)情報

漫談大數(shù)據(jù)（一）——安全分析技術(shù)的發(fā)展

隨著企業(yè)規(guī)模的增大和安全設(shè)備的增加，信息安全分析的數(shù)據(jù)量成指數(shù)級增長。信息安全分析引入大數(shù)據(jù)的顯得越來越重要，數(shù)據(jù)源的豐富、數(shù)據(jù)種類多，數(shù)據(jù)分析維度廣，同時，數(shù)據(jù)生成的速度更快，對信息安全分析應(yīng)答能力要求也相應(yīng)增長。

傳統(tǒng)信息安全分析主要基于流量和日志兩大類數(shù)據(jù)，并與資產(chǎn)、業(yè)務(wù)行為、外部情報等進行關(guān)聯(lián)分析?；诹髁康陌踩治鰬?yīng)用主要包括惡意代碼檢測、僵木蠕檢測、異常流量、Web安全分析等；基于日志的安全分析應(yīng)用主要包括安全審計、主機入侵檢測等。

將大數(shù)據(jù)分析技術(shù)引入到信息安全分析中，就是將分散的安全數(shù)據(jù)整合起來，通過高效的采集、存儲、檢索和分析，利用多階段、多層面的關(guān)聯(lián)分析以及異常行為分類預(yù)測模型，有效的發(fā)現(xiàn)APT攻擊、數(shù)據(jù)泄露、DDoS攻擊、騷擾詐騙、垃圾信息等，提升安全防御的主動性。

而且，大數(shù)據(jù)分析涉及的數(shù)據(jù)更加全面，主要包括應(yīng)用場景自身產(chǎn)生的數(shù)據(jù)、通過某種活動或內(nèi)容“創(chuàng)建”出來的數(shù)據(jù)、相關(guān)背景數(shù)據(jù)及上下文關(guān)聯(lián)數(shù)據(jù)等。如何高效合理的處理和分析這些數(shù)據(jù)是安全大數(shù)據(jù)技術(shù)應(yīng)當(dāng)研究的問題。

大數(shù)據(jù)具有4V的特點（Volume、Variety、Velocity和Value），可實現(xiàn)大容量、低成本、高效率的安全分析能力，能夠滿足我們安全數(shù)據(jù)的處理和分析要求，講大數(shù)據(jù)應(yīng)用于信息安全領(lǐng)域能夠有效的識別各種攻擊行為或安全事件，具有重大的研究意義和價值。

漫談大數(shù)據(jù)（二）——大數(shù)據(jù)技術(shù)的春天

安全大數(shù)據(jù)分析技術(shù)的核心思想基于網(wǎng)絡(luò)異常行為分析，通過對海量數(shù)據(jù)處理及學(xué)習(xí)建模，從海量數(shù)據(jù)中找出異常行為和相關(guān)特征；針對于不同安全場景設(shè)計針對性的相關(guān)分析方法，發(fā)揮大數(shù)據(jù)存儲和分析計算能力的優(yōu)勢，從豐富的數(shù)據(jù)源中進行深度挖掘，進而挖掘出安全問題。安全大數(shù)據(jù)分析主要包含大數(shù)據(jù)信息收集、存儲、檢索和安全智能可視化及分析等多個層面。

（1）安全數(shù)據(jù)采集、存儲和檢索：基于大數(shù)據(jù)采集、存儲、檢索等技術(shù)，可以從根本上提升安全數(shù)據(jù)分析的效率。采集多種類型的數(shù)據(jù)，如業(yè)務(wù)數(shù)據(jù)、流量數(shù)據(jù)、安全設(shè)備日志數(shù)據(jù)及輿情數(shù)據(jù)等。針對不同的數(shù)據(jù)采用特定的采集方式，提升采集效率。針對日志信息可采用Chukwa、Flume、Scribe等工具；針對流量數(shù)據(jù)可采用流量景象方法，并使用Storm和Spark技術(shù)對數(shù)據(jù)進行存儲和分析；針對格式固定的業(yè)務(wù)數(shù)據(jù)，可使用HBase、GBase等列式存儲機制，通過MapReduce和Hive等分析方法，可以實時的對數(shù)據(jù)進行檢索，大大提升數(shù)據(jù)處理效率。

（2）安全數(shù)據(jù)的智能分析：并行存儲和NoSQL數(shù)據(jù)庫提升了數(shù)據(jù)分析和查詢的效率，從海量數(shù)據(jù)中精確地挖掘安全問題還需要智能化的分析工具，主要包括ETL（如預(yù)處理）、統(tǒng)計建模工具（如回歸分析、時間序列預(yù)測、多元統(tǒng)計分析理論）、機器學(xué)習(xí)工具（如貝葉斯網(wǎng)絡(luò)、邏輯回歸、決策樹、隨機森利）、社交網(wǎng)絡(luò)工具（如關(guān)聯(lián)分析、隱馬爾可夫模型、條件隨機場）等。常用的大數(shù)據(jù)分析思路有先驗分析方法、分類預(yù)測分析方法、概率圖模型、關(guān)聯(lián)分析方法等?？墒褂肕ahout和MLlib等分析工具對數(shù)據(jù)進行挖掘分析。綜上，一個完備的安全大數(shù)據(jù)分析平臺應(yīng)自下而上分為數(shù)據(jù)采集層、大數(shù)據(jù)存儲層、數(shù)據(jù)挖掘分析層、可視化展示層。主要通過數(shù)據(jù)流、日志、業(yè)務(wù)數(shù)據(jù)、情報信息等多源異構(gòu)數(shù)據(jù)進行分布式融合分析，針對不同場景搭建分析模型，最終實現(xiàn)信息安全的可管可控，展現(xiàn)整體安全態(tài)勢。

漫談大數(shù)據(jù)（三）——Spark技術(shù)的異軍突起

為了優(yōu)化和解決分布式Hadoop平臺的計算不足和對其算法操作的改進，從2009年開始一種新的下一代計算平臺技術(shù)Spark在伯克利大學(xué)誕生。新一代大數(shù)據(jù)分布式處理框架,在許多方面都彌補了Hadoop的不足,使得平臺計算和批處理時更加高效,并有更低的延遲。

Spark基于Hadoop平臺的HDFS分布式文件系統(tǒng)，采用Driver、Worker的分布式主從節(jié)點模式，以分布式內(nèi)存抽象計算的形式提供工作集服務(wù)。非常良好的語言編程開發(fā)接口，支持多種語言JAVA、Scala、Python等，同時大大簡化了代碼量，使得原有并行程序代碼從上百行壓縮至幾十行。豐富的技術(shù)組件，使得程序開發(fā)人員在進行應(yīng)用實現(xiàn)時更加簡單易用。

Spark Streaming

Spark Streaming基于微批量方式的計算和處理，可以用于處理實時的流數(shù)據(jù)。它使用DStream類型數(shù)據(jù)，簡單來說就是一個彈性分布式數(shù)據(jù)集（RDD）系列，處理實時數(shù)據(jù)。

Spark SQL

Spark SQL可以通過JDBC API將Spark數(shù)據(jù)集提取出去，而且還可以用傳統(tǒng)的BI和可視化工具在Spark數(shù)據(jù)上執(zhí)行類似SQL的查詢。用戶還可以用Spark SQL對不同格式的數(shù)據(jù)（如JSON，Parquet以及數(shù)據(jù)庫等）執(zhí)行ETL數(shù)據(jù)處理操作，將其轉(zhuǎn)化，然后提供給特定的查詢。

Spark MLlib

MLlib是一個可擴展的Spark機器學(xué)習(xí)庫，由通用的學(xué)習(xí)算法和工具組成，包括二元分類、線性回歸、聚類、協(xié)同過濾、梯度下降以及底層優(yōu)化原語。

Spark GraphX

Spark GraphX是一個分布式圖處理框架，Spark GraphX基于Spark平臺提供對圖計算和圖挖掘簡潔易用的而豐富多彩的接口，極大的方便了分布式圖處理的需求。

漫談大數(shù)據(jù)（四）——數(shù)據(jù)的快速流轉(zhuǎn)Kafka

在大數(shù)據(jù)系統(tǒng)中，常常會碰到一個問題，整個大數(shù)據(jù)是由各個子系統(tǒng)組成，數(shù)據(jù)需要在各個子系統(tǒng)中高性能，低延遲的不停流轉(zhuǎn)。而傳統(tǒng)的企業(yè)消息系統(tǒng)并不是非常適合大規(guī)模的數(shù)據(jù)處理。為了已在同時搞定在線實時消息和離線數(shù)據(jù)文件，日志的客戶需求，Kafka就出現(xiàn)了。

Kafka是分布式發(fā)布-訂閱消息系統(tǒng)。它最初由LinkedIn公司開發(fā)，之后成為Apache項目的一部分。Kafka是一個分布式的，可劃分的，冗余備份的持久性的日志服務(wù)。它主要用于處理活躍的流式數(shù)據(jù)。

Kafka消息分布圖

漫談大數(shù)據(jù)（五）——數(shù)據(jù)的快速檢索Elasticsearch

我們建立一個網(wǎng)站或應(yīng)用程序，并要添加搜索功能，令我們受打擊的是：搜索工作是很難的。我們希望我們的搜索解決方案要快，我們希望有一個零配置和一個完全免費的搜索模式，我們希望能夠簡單地使用JSON通過HTTP的索引數(shù)據(jù)，我們希望我們的搜索服務(wù)器始終可用，我們希望能夠一臺開始并擴展到數(shù)百，我們要實時搜索，我們要簡單的多租戶，我們希望建立一個云的解決方案。Elasticsearch旨在解決所有這些問題和更多的問題。

Elasticsearch是一個基于lucence技術(shù)的搜索引擎，它為我們提供了一個分布式多用戶能力的全文檢索引擎，基于良好的RESTful web接口，Elasticsearch可以讓我們快速自由的搭配，建立自己的企業(yè)級實時信息搜索引擎。

漫談大數(shù)據(jù)（六）——Hadoop體系下的海量數(shù)據(jù)存儲和查詢

BSA的底層技術(shù)體系能夠快速的處理和存儲海量的數(shù)據(jù)資源，那么它的底層架構(gòu)是怎么的呢？又包含那些必要組件呢？

Hadoop底層架構(gòu)

HDFS

Hadoop分布式文件系統(tǒng)(HDFS)被設(shè)計成適合運行在通用硬件上的分布式文件系統(tǒng)。高度容錯性和高吞吐量特性，使得HDFS非常適合大規(guī)模數(shù)據(jù)集上訪問應(yīng)用程序的數(shù)據(jù)。整個HDFS可以支持?jǐn)?shù)百或數(shù)千個存儲著文件數(shù)據(jù)片斷的服務(wù)器進行集群。每一個組成部分出現(xiàn)故障都不會影響整體文件系統(tǒng)的正常運轉(zhuǎn)和失效，同時支持快速的故障的檢測和自動恢復(fù)。

HBase

HBase建立在HDFS文件系統(tǒng)手上的高可靠性、高性能、面向列、可伸縮的分布式存儲數(shù)據(jù)庫，利用HBase技術(shù)可在廉價PC硬件上搭建起大規(guī)模結(jié)構(gòu)化存儲集群。HBase是Google Bigtable的開源實現(xiàn)，HBase同樣利用Hadoop MapReduce來處理HBase中的海量數(shù)據(jù)

Hive

hive是基于Hadoop系統(tǒng)的一個數(shù)據(jù)倉庫工具，可以將結(jié)構(gòu)化的數(shù)據(jù)文件映射為一張數(shù)據(jù)庫表，并提供簡單的sql查詢功能，可以將sql語句轉(zhuǎn)換為MapReduce任務(wù)進行運行。其優(yōu)點是使得研發(fā)人員的學(xué)習(xí)成本低，可以通過類SQL語句快速實現(xiàn)簡單的MapReduce統(tǒng)計，不必開發(fā)專門

的MapReduce應(yīng)用，十分適合數(shù)據(jù)倉庫的統(tǒng)計分析。

Mapreduce工作原理

Mapreduce

MapReduce是一種編程處理模型，用于大規(guī)模數(shù)據(jù)集的并行運算。Mapreduce 顧名思義”Map（映射）”和”Reduce（歸約）”，是它們的主要思想是借助于分而治之的概念，通過軟件實現(xiàn)借助Map（映射）函數(shù)，用來把一組鍵值對映射成一組新的鍵值對，然后把這些數(shù)列化之后的數(shù)據(jù)，指定到并發(fā)的Reduce（歸約）函數(shù)，以保證所有映射的鍵值對中的每一個共享相同的鍵組中，然后在進行后續(xù)的數(shù)據(jù)統(tǒng)計和處理。這種以空間換取時間的做法，把原有排序和分組的單機系統(tǒng)操作sort或者group by實現(xiàn)提升數(shù)百倍。這種MapReduce通過把計算量分配給不同的計算機群，能夠解決大部分和大數(shù)據(jù)有關(guān)的分析問題。

漫談大數(shù)據(jù)（七）——業(yè)界翹楚Splunk

Splunk是一個針對數(shù)據(jù)分析的數(shù)據(jù)平臺，可以針對于所有IT系統(tǒng)和基礎(chǔ)設(shè)施數(shù)據(jù)，提供數(shù)據(jù)搜索、報表和可視化展現(xiàn)服務(wù)。

Splunk 為用戶提供了數(shù)據(jù)傳輸和高速接入服務(wù)，能夠?qū)崟r處理多類型海量數(shù)據(jù)并對其做出多緯度指標(biāo)分析統(tǒng)計，從而保證故障快速定位和及時響應(yīng)，提升問題解決效率和企業(yè)對用戶的服務(wù)質(zhì)量。

Splunk是基于原始日志數(shù)據(jù)（Raw data）內(nèi)容建立索引，保存索引的同時也保存原始日志內(nèi)容，在大數(shù)據(jù)時代，種類繁多的日志如何能快速分析找到你需要的內(nèi)容呢，你需要一個更加方便智能的工具，那就是Splunk。它能處理常規(guī)的日志格式，比如Apache、Squid、系統(tǒng)日志、郵件日志等這些對所有日志先進行索引，然后可以交叉查詢，支持復(fù)雜的查詢語句，最后通過直觀的方式表現(xiàn)出來。它與其他開源日志分析工具不同的是，操作界面支持全中文，而且對于中文版操作系統(tǒng)的日志收集非常不錯,目前它的商業(yè)版本價格的確不便宜。

核心能力是能搞定對海量數(shù)據(jù)的采集存儲管理，然后通過可插拔的APP來完成對特定領(lǐng)域的分析（搜索統(tǒng)計監(jiān)控報警這些泛功能其實都只是splunk的一個個獨立的APP，而Nginx運維、WebAnalysis、安全事件審計、DDoS攻擊監(jiān)控等具體需求很大的點也都做成了一個個APP）。

漫談大數(shù)據(jù)（八）——機器學(xué)習(xí)與機器智能

分類（classification），對于一個分類員來說，通常需要你告訴它“這個東西被分為某某類”，理想情況下，一個分類員會從它得到的訓(xùn)練集何總進行“學(xué)習(xí)”，從而具備對未知數(shù)據(jù)進行分類的能力，這種提供訓(xùn)練數(shù)據(jù)的過程通常叫做supervised learning（監(jiān)督學(xué)習(xí)）。

聚類（clustering），簡單的說就是把相似的東西分到一組，聚類的時候，我們并不關(guān)心某一類是什么，我們需要實現(xiàn)的目標(biāo)只是把相似的東西聚到一起，因此，一個聚類算法通常只需要知道如何計算相似度就可以開始工作了（距離矩陣），因此clustering通常并不需要使用訓(xùn)練數(shù)據(jù)進行學(xué)習(xí)，這在Machine Learning中被稱作unsupervised learning（無監(jiān)督學(xué)習(xí)）。

聚類分析

常見的分類與聚類算法：

所謂分類，簡單來說，就是根據(jù)文本的特征或?qū)傩?，劃分到已有的類別中。如在特征因子匹配處理中，我們經(jīng)常提到的文本分類便是一個分類問題，一般的模式分類方法可用于文本分類研究。常用的分類算法包括：決策樹分類法，樸素的貝葉斯分類算法，基于支持向量機（SVM）的分類器，神經(jīng)網(wǎng)絡(luò)法，K-近鄰法，模糊分類法等等。

流量聚類

分類法作為一種監(jiān)督學(xué)習(xí)方法，要求必須事先明確知道各個類別的信息，并且斷言所有待分類項都有一個類別與之對應(yīng)。但是很多時候上述條件得不到滿足，尤其是在處理海量數(shù)據(jù)的時候，如果通過預(yù)處理使得數(shù)據(jù)滿足分類算法的要求，則代價非常大，這時候可以考慮使用聚類算法。

分類算法屬于監(jiān)督學(xué)習(xí)，聚類則屬于無監(jiān)督學(xué)習(xí)。但是反過來說，監(jiān)督學(xué)習(xí)屬于分類算法則不準(zhǔn)確，監(jiān)督學(xué)習(xí)的關(guān)鍵在于給樣本打上標(biāo)簽，然后進行相應(yīng)的學(xué)習(xí)任務(wù)，如果學(xué)習(xí)任務(wù)是分類的話，那么就是分類，否則不是。很容易理解。

漫談大數(shù)據(jù)（九）——APT智能防御技術(shù)場景

提到大數(shù)據(jù)，不得不提一種經(jīng)典的高持續(xù)性攻擊（Advanced persistent Threat，簡稱APT攻擊），它的攻擊持續(xù)時間長，攻擊過程持續(xù)復(fù)雜，而且很難被發(fā)現(xiàn)。APT的主要特點是攻擊空間廣、持續(xù)性很強和單點隱蔽能力很強。

傳統(tǒng)的防護策略難以檢測黑客利用大數(shù)據(jù)隱藏的攻擊，傳統(tǒng)的檢測是基于單個時間點進行的基于威脅特征的實時匹配檢測，而APT攻擊是一個持續(xù)的過程，不具有被實時檢測到的明顯特征，故無法被實時檢測出來。同時，隱匿在大量數(shù)據(jù)中的APT攻擊代碼也難被發(fā)現(xiàn)。此外，攻擊者還可以利用社交網(wǎng)絡(luò)和系統(tǒng)漏洞進行攻擊，在威脅特征庫無法檢測出來的時間段，發(fā)動攻擊。

目前，APT攻擊檢測圍繞著3個方面：惡意代碼檢測、主機應(yīng)用保護、網(wǎng)絡(luò)入侵檢測。

孤立地進行惡意代碼的檢測和主機應(yīng)用保護，對防御APT攻擊來說是很難奏效的。簡單來說，解決思路主要有以下幾方面：首先，雖然APT的載體存在于大數(shù)據(jù)中，給APT檢測和對抗帶來了一系列困難，但是也可以利用大數(shù)據(jù)對APT進行一些檢測和應(yīng)對。如果有各層面、各階段的全方位信息數(shù)據(jù)，即對任何交互行為都進行檢測，可以利用不同的數(shù)據(jù)找到不同的階段進行APT分析;其次是全流量分析，其核心是對全年的數(shù)據(jù)進行存儲，在此基礎(chǔ)上做宏觀的分析、微觀特定事件的檢測。由于很多流量行為存在統(tǒng)計意義上的普適性規(guī)律，因此，要在大數(shù)據(jù)的情況下進行小樣本的異常檢測;最后要解決大數(shù)據(jù)空間的不確定性問題。APT攻擊是以分布式方式進行的，利用大數(shù)據(jù)組織、整理相關(guān)信息，提高截獲攻擊者攻擊路徑的概率。另一種可能是攻擊目標(biāo)是確定的，這種情況下將數(shù)據(jù)進行存儲，形成所謂的歷史模式數(shù)據(jù)，利用對歷史模式數(shù)據(jù)進行重放來發(fā)現(xiàn)攻擊線索。

漫談大數(shù)據(jù)（十）——基于用戶行為分析技術(shù)場景

當(dāng)前用戶行為分析已經(jīng)成為各大安全會議的熱門主題。眼下處在安全架構(gòu)的最前沿的分析技術(shù)，可以幫助信息安全專業(yè)人員解決常面臨的“大海撈針”的問題：安全系統(tǒng)提供了太多的信息，以至于很難從中發(fā)現(xiàn)真正表明可能存在實際攻擊的信息。分析工具有助于解讀SIEM、IDS/IPS、系統(tǒng)日志及其他工具收集而來的海量數(shù)據(jù)。

國土基線

用戶畫像

UEBA（用戶行為分析）工具有兩大功能。首先，它們可以為企業(yè)組織及其用戶特有的“正常”活動確定基線。其次，UEBA工具依據(jù)基線快速察覺需要進一步探究的異常情況。也就是說，它們著重關(guān)注出現(xiàn)異常行為的情況。這種行為是不是預(yù)示著有問題不好說。需要信息安全專業(yè)人員進行調(diào)查，再做出判定。

UEBA及其他形式的安全分析工具之間的一大區(qū)別是，UEBA工具專注于用戶。UEBA主要的效果是把安全事件具體定位到人，而不是傳統(tǒng)上人使用的設(shè)備，便于企業(yè)安全管理。

漫談大數(shù)據(jù)（十一）——外部威脅關(guān)聯(lián)情報

威脅情報是基于證據(jù)的知識，包括上下文、機制、指標(biāo)、隱含和可操作的建議，針對一個現(xiàn)存的或新興的威脅，可用于做出相應(yīng)決定的知識。—Gartner

威脅情報的功能

攻擊可以大致歸類為基于用戶的、基于應(yīng)用程序的和基于基礎(chǔ)設(shè)施的威脅。一些最常見的威脅是SQL注入、DDoS、Web應(yīng)用程序攻擊和網(wǎng)絡(luò)釣魚。

擁有一個IT安全解決方案是非常重要的，因為它能夠提供威脅情報的能力，并通過主動式和響應(yīng)式地來管理這些攻擊。攻擊者在不斷改變他們的方法來挑戰(zhàn)安全系統(tǒng)。因此，企業(yè)機構(gòu)就不可避免地從各種源頭獲取到威脅情報。

有效應(yīng)對威脅行之有效的一種方法是，使用SIEM來檢測并應(yīng)對威脅。SIEM可以用來跟蹤你的環(huán)境中發(fā)生的一切，并識別異常的活動。單獨的事件可能看起來并不相關(guān)，但通過事件關(guān)聯(lián)和威脅情報，你就能看到在你的環(huán)境中到底發(fā)生了什么。

通過整合威脅情報和應(yīng)對襲擊對抗格局不斷變化的威脅是遠(yuǎn)遠(yuǎn)不夠的。你需要分析形勢，確定可能面臨的威脅，在此基礎(chǔ)上提出預(yù)防措施。

這里有幾條最佳實踐：

擁有一份應(yīng)用程序白名單和黑名單。這會有助于防止惡意的或未經(jīng)批準(zhǔn)的程序的執(zhí)行，包括DLL文件、腳本和安裝程序。從監(jiān)控流量中收集和規(guī)范日志數(shù)據(jù)，并對可疑事件自動進行標(biāo)記。可以對已知惡意IP地址自動響應(yīng)，以防惡意攻擊的企圖。

仔細(xì)檢查日志，看看未遂襲擊是不是孤立事件，或者該漏洞之前是否被利用過。

確定未遂攻擊中發(fā)生了哪些變更。有了集成威脅情報機制和內(nèi)置規(guī)則，監(jiān)控事件可以對不斷更新的已知威脅列表進行比對。

審計日志并確定此事件為什么事件發(fā)生——原因可以大到系統(tǒng)漏，小到驅(qū)動過時。通過實時日志數(shù)據(jù)快速搜索并監(jiān)控來自攻擊的點擊，識別常見的漏洞指標(biāo)。