东软NetEye日志审计V18创新发布：小块头也有大智慧

近日，东软NetEye日志审计V18版本正式发布。东软作为国内最早研发日志审计产品的公司之一，秉持以终为始的产品创新态度，扎实推进产品技术革新。该版本承载着多年技术累积的底蕴，成功将全量日志机器学习预测分析引擎、威胁分析引擎引入到轻量级硬件的同时，仍保持了其高效的大数据处理能力，真正做到了 “小块头也有大智慧”。

在信息化建设不断发展的过程中，信息系统的多样化导致日志数量巨大、日志格式多样、用户无法进行重点分析、难以挖掘各类日志之间的关联关系。东软NetEye日志审计结合在安全领域多年的理论和实践经验，对日志数据进行综合性分析与管理。通过对各种网络设备、安全设备、操作系统、应用系统、中间件、数据库等日志数据进行收集、解析、聚合、关联，结合机器学习引擎分析、威胁情报引擎分析，及时全面地发现潜在网络威胁及异常行为。帮助组织解决日志分析管理困难的问题，提升组织网络安全综合管理能力。

预测分析引擎由时间序列构造引擎、异常检测多维度校准引擎共同构成。给定一段时间的离散值（构成一个序列），由时间序列引擎进行序列特征学习，并试图重新构建一个和原序列尽量接近的序列。构建序列与原序列一同送入异常检测引擎，基于不同的算法（原则，阈值），异常点会被标记出来。东软预测分析引擎从多维度进行异常检测校准，使用了多种分析模型，包括ExtremeLowDensityModel 超低密度模型、KSigmaModel 经典K-sigma模型、DBScanModel密度模型等进行检测分析。通过阈值选择产生一组候选异常，然后对给定的规则异常校准，最终产生准确及时的预测告警

东软威胁情报中心积累了大量国内、国外的威胁，通过高频维护威胁情报库，为全系产品精准威胁检测能力赋能。实时威胁情报检测引擎以威胁情报为基础，对全量日志数据的失陷标识进行精准检测、识别、溯源，实时发现网络威胁，为用户及时响应威胁告警提供时间窗口。

信息系统异常行为检测以信息系统为视角，基于常规信息系统使用场景建模。通过对信息系统使用行为的收集、整理、分析，识别非法用户越权操作，对入侵行为的特征和过程进行动态跟踪、及时告警。