随着互联网技术的发展与普及，互联网大潮已经渗透到社会生活的方方面面，这也对网络安全提出了更高的要求。当前，各种数据泄露、黑客网络入侵事件层出不穷，传统的物理隔离网络、离散式防御体系在高级攻击下显得十分脆弱。防御滞后、检测能力弱、覆盖不全面、信息缺乏，导致安全问题出现的时候无法在威胁早期尽快发现和预警，无法对攻击来源和受害目标进行准确定位，在决策上缺乏数据的有效支撑。

面对不断升级的攻击，企业如何才能更好的做出应对？依靠部署几台安全设备就能永保安全显然是不现实的。

谷兰大数据威胁分析系统（GoodLan-DTA）立足于大数据分析，采用基于威胁情报驱动的分析、响应和预警机制，结合深度挖掘、机器学习、语义分析、数据融合、事件关联等技术，可以对不同来源、不同维度的安全事件和流量日志进行全面深入的分析。该系统能够对已发生的入侵和未来的威胁态势进行分析、预判，并在此基础上评估潜在的安全风险以指导用户制定有效的安全决策，增加企业的防御能力。

谷兰大数据威胁分析系统以全流量采集技术为依托，提供网络威胁分析、威胁情报匹配、业务建模监测、攻击行为溯源等诸多功能，可帮助政府、教育、金融、能源等各类行业客户全面、准确的掌握网络安全态势。

功能亮点

全面、深入的威胁检测能力

  谷兰大数据威胁分析系统集成了VDS引擎。VDS引擎采用机器学习等人工智能技术和算法，能够对海量的病毒和威胁样本文件进行自动化分析，结合大数据分析技术，可挖掘提取恶意代码的行为特点和规律，全面提升对已知和未知威胁的检测能力。 

全流量数据采集，威胁行为检索

  谷兰大数据威胁分析系统借助于ElasticSearch分布式数据存储系统的应用，能够对网络中的所有网络流量数据进行采集和存储，形成丰富的网络数据资源池，并依此对近期发生的任何威胁行为进行检索、分析与回溯。

威胁情报注入，扩展检测范围

  谷兰大数据威胁分析系统支持第三方威胁情报的获取和同步，威胁情报覆盖了病毒文件、可疑域名、IP、URL等信息，能够检测病毒木马、恶意站点、木马通信通道、木马下载地址、漏洞攻击等威胁。 同时，谷兰大数据威胁分析系统还支持国内外行业标准的STIX、TAXII、CYBOX等威胁情报格式的导入。

溯源分析，定位威胁源头

  谷兰大数据威胁分析系统利用全流量的大规模日志采集，结合威胁情报，能够对威胁传播行为进行多维度的追踪溯源，找到威胁传播的源头。同时，谷兰大数据威胁分析系统借助机器学习、大数据分析、事件关联等技术，利用全流量网络数据，能够实现域名或IP的网络行为回溯，利用数据延伸分析技术，追踪与之直接或间接关联的源或目标，发现其中存在威胁的恶意节点，了解恶意节点详细的威胁数据，全面还原威胁传播途径和面貌。

业务建模，业务异动早发现

  谷兰大数据威胁分析系统提供业务建模和网络行为告警功能。管理员可以为核心业务系统的正常业务访问行为进行建模。当被监测业务系统的网络行为偏离出正常模型时，系统将以告警的方式在态势感知大屏中直观呈现。通过业务建模功能，系统将具备强大的威胁发现能力，提权、破坏等网络攻击行为将无所遁形。

态势感知大屏展示，全网威胁一目了然

  谷兰大数据威胁分析系统可提供高可视化解决方案，对企业内的整体安全态势进行集中展现，包括整体安全态势、威胁检测结果、威胁趋势等。帮助用户感知当前网络内的威胁状态，为解决问题和决策提供强有力的数据支持。