如果云主机已经被攻陷，如何及时下线该服务，避免威胁扩大，降低负面影响。云平台安全威胁发生后，如何针对攻击IP进行联动管理，实现实时有效阻断。如何实现不同品牌边界安全设备、虚拟资源池安全组件、云平台安全套件等之间有效联动。

如云主机被攻陷，如何及时处置避免威胁扩大成了企事业单位棘手的问题，智能多源分析处置系统联动云平台上各异构厂商设备从事前数据检测，事中威胁分析判断，事后自动化处置，能大幅提升事件处置时间，将威胁可能带来的损失降到最低。

（1）事前数据分析

多源智能聚合平台与安全检测设备、威胁情报系统、虚拟安全监测组件等进行联动，通过syslog日志、API接口或流量探针采集流量数据和安全威胁信息，进行综合安全风险分析。

（2）事中威胁分析

安全检测设备对网络攻击活动进行初次分析，智能聚合平台将采集到的数据通过大数据算法进行二次分析，可以根据身份、地理位置/IP地址、业务系统/网络应用、操作、时间、频次等建立攻击者攻击模型，持续监测其行为的危害程度。

多源数据采集子系统对接各大厂商安全检测设备和套件，对攻击源进行多维度分析，针对攻击者、攻击目标、攻击手段、攻击者信誉度等进行画像，解决了云场景下虚机安全和平台安全综合分析问题。

（3）事后实时阻断

智能联动平台能够深度联动各安全域边界的传统边界防火墙或虚拟防火墙安全组件，实时下发策略进行阻断。

（1）自动化，智能化，高效率

采用机器学习技术，对处置全流程工作进行基线分析和行为画像，不断优化算法和策略，确保处置的精度不断提高，让自动化处置发挥更大效益。

（2）与云架构完全融合

与云架构安全措施解耦融合，实时梳理多种来源繁杂告警信息，定向多维度降噪，万源归一、精准分析。

（3）整体联动，全面提升安全防护

针对威胁分析结果，依照策略动态灵活智能处置，确保威胁在全局范围内被实时检测、实时分析和实时阻断，避免因量大无法分析、时间错位无人响应等原因错过最佳处置窗口。同时，平台以交互图、态势图、流程图等方式全局展现安全分析结果和执行流程，帮助安全管理人员跟踪结果、优化策略。

（4）灵动部署、创意应用

采用探针部署、旁路部署、API接口联动、Syslog日志接受等方式整合资源，极简部署，不改变原有网络，不影响业务运行。