随着云计算、大数据、移动互联网、物联网等新兴信息技术的发展与落地，传统网络安全的边界越来越模糊，新的攻击形态层出不穷，安全威胁呈现复杂多样和常态化趋势。各行业面临的持续威胁攻击、业内安全攻防活动、安全应急演练等实战和演练不断印证了一个事实：传统的被动、静态防御模式已经难以阻止新形势下的网络攻击。

 威胁泛滥、阻断无力

 处置策略分散，阻断溯源繁琐

 无法精准定位，防护范围大

 策略大量积累，降低设备性能

为加强网络安全整体管控能力，新的网络安全防控体系应以满足国家法律法规及相关政策为首要基础，基于网络安全数据多源化综合分析，提升网络安全检测分析、监测预警和智能联动处置能力，以有效应对新形势下网络安全保障工作的新要求。

多源分析与联动处置解决方案由数据采集、数据分析、威胁处置三部分组成：

（1）多源同步采集异构品牌各类安全检测设备的威胁告警信息，采集方式不限于全流量采集、日志采集、接口对接、探针获取等，过滤非威胁相关日志、低威胁或无用告警日志。可定制化支持各场景、各品牌产品，支持基于云平台场景下的数据采集。

（2）提供完整数据处理功能，提供各类安全策略和处置场景下的分析和计算方法，提供最合适的决策支持：

 通过设备叠加分析，投票算法，威胁区域权重划分等方式对收集的大量告警信息做进一步分析处理；

 通过威胁IP的校准比对，再次提升威胁研判的准确度；

 通过原始告警信息、分析后精准告警的统一展现或溯源检索。

（3）联动防火墙实现智能实时处置，包括自动处置、实时处置、手动处置、渐进处置、黑白名单。对于平台下发的策略，平台统一展现，并可视生效时间、命中数，实时掌握策略有效性，并帮助用户不断优化策略管理。威胁处置子系统与业内主流品牌策略阻断类设备实现良好联动，可通过WEB接口或命令行接口实现策略管理，同时可以针对策略效果进行可视化呈现。

智能多源分析处置系统对阻断设备、阻断策略实行一体化可视化管理，能协助用户解决以上问题。

 策略生成：平台收到安全检测设备的告警信息后，会按照既定的规则自动生成最佳安全策略（可手动添加）。

 自动处置：通过API接口或SSH命令行方式联动阻断。

 策略管理及优化：内置人工智能优化功能，对阻断策略进行持续性跟进分析，对失效策略及时删除，可与威胁情报等第三方平台对接，让处置更智能、更准确、可用。

 可接纳各个安全系统和安全平台的高、中、低告警日志：平台对接不限于深信服、奇安信、绿盟、华三、华为、微步在线、天融信、青藤云、网御、启明、360、Redware等国内外的厂家的安全产品。 

 与边界的安全阻断设备进行联动：定向开发联动接口，与防护墙和EDS等Webserver接口进行对接实现相互传参，实现策略数据的增、删、查、改，可定位安全策略命中数，大大提高策略的配置和回收效率。

 安全日志的优化处理和归类处理：对告警日志进行分区域管理、去重处理、分类管理、关联分析。

 防御端策略标识：auto+IP自动下发和manu+IP手动下发。

 支持记录联动下发配置日志，日志包含下发时间、下发IP、下发动作，支持通过以上关键字查询6个月内的配置日志。

 支持去重管理：对于多个分析源同时告警的相同攻击源IP进行去重。

 弹性拦截：对于重复攻击的IP地址进行弹性拦截，拦截的时间成梯度增强。

 黑白名单管理：支持黑名单和白名单的导入导出。

 虚拟IP的真实溯源：对NAT、负载均衡、SSLVPN产生的虚拟IP，如果存在安全威胁，可通过时间、账户、IP等维度实现虚拟IP的真实溯源。

 自动化代替人工

 一站式管理，阻断溯源

 高性能处置，提升设备阻断性能

 精准阻断

 提升整体安全防护效果