方案的重要性

       政府、银行、大企业等机构都有自己的内网资源。企业经常在防火墙系统上投入大量的资金，在Internet入口处部署防火墙系统来保证安全，依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。

传统方案痛点

       1.传统的网络异常检测无法查看包的头部，所以它无法检测到这一类型的攻击。例如，许多来自于IP地址的拒绝服务型（DOS）和碎片包型（Teardrop）的攻击只能在它们经过网络时，检查包的头部才能发现。这种类型的攻击都可以在基于网络的系统中通过实时监测包流而被发现。

       2.传统的检测系统无法查到从未攻击到防火墙内主机的未遂攻击，而这些丢失的信息对于评估和优化安全策略是至关重要的。

       3.传统的检测系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的结果。

       4.通用的保护目标等于没有目标, 传统边界安全保护的目标是没有具体所指的，是一个通用无差别目标，比如网络，主机等。正是因为安全目标的无差异性，使其无法在安全目标上获得支撑，只能面向边界外部和行为。事实上这也是传统网络安全最大的问题所在，关键基础设施之所以称为关键基础设施，不是因为其网络和主机多高级，多神秘，而是因为运行在这些服务器和网络上的业务和数据具有关键性。而传统网络安全恰恰不关心关键基础设施的真正灵魂所在。

       5.边界安全设备的处理能力天生不足, 边界安全设备作用在边界上，性能承受力天生不足。边界设备一般来说其处理能力都比较有限，特别在严苛的业务约束条件下，其可做的事情并不多，已知威胁往往是其处理的主要内容。

新方案描述

       真尚有网络威胁AI检测是一种日志管理解决方案，它可以集中您的 日志数据，使用上下文详细信息对其进行丰富，并在所有数据类型上应用一致的架构。使用LogRhythm AnalytiX，您可以快速搜索组织中的大量数据，以回答任何问题，识别IT和安全事件以及对操作问题进行故障排除

更懂您的行业顾问

       真尚有科技提供网络威胁AI检测解决方案，我们不仅仅提供技术方面的支持，基于我们在行业内超过15年的积累，协助客户一起把原始需求迭代为完整方案，最终服务您的方案蓝图反而是我们更注重的地方。我们始终相信成交靠缘分，不管您是否从我们这里采购，我们都非常乐意为您服务。