3月30日，国内网络安全领军企业奇安信正式发布了新一代日志收集与分析系统（NGLAS），以先进的大数据架构、分布式关联分析引擎、机器学习和可视化技术为核心，为政企客户提供高弹性、高可用、高性价比的日志审计与分析能力，全面提升政企客户从海量日志中发现网络安全风险的水平，让网络安全问题无处可藏。

根据2019年赛迪顾问关于日志审计产品市场的预测，在技术维度，一方面分布式大数据架构是产品发展的必然选择，可大幅提升系统对于海量日志的收集和检索能力；

另一方面，分布式分层处理的架构在面对对海量日志的分析和处理时，可提升政企客户对于安全风险发现、复杂报表生成、历史信息快速检索的性能。

与此同时，利用人工智能提高数据处理效率。对于以日志审计为基础的大数据治理，可以经由人工智能引擎自动对企业数据资产进行采集、范化、增强、敏感数据分布、数据资产分类分级等高级可视化管理能力，进一步提升数据资产管理能力。奇安信新一代日志收集与分析系统全面引领日志审计产品市场技术趋势，将会带给用户更大的价值和更好的使用体验。

奇安信安全专家表示，奇安信日志审计产品作为一个统一日志监控与审计平台，能够将来自安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，并对采集到的不同类型的信息进行标准化处理和实时关联分析，协助安全管理人员从海量日志中迅速准确地识别安全事故，并快速出具满足国家法律法规，行业标准的多种合规报表和报告，满足安全审计的合规要求。

奇安信NGLAS具备以下六大特性，可大幅提升日志安全分析能力：

1.基于大数据架构，大幅提升日志数据存储和查询效率，秒级完成TB级的日志数据的搜索。

日志数据具备典型的大数据特征，关系型数据库已经无法满足大数据日志的存和查的需求。

NGLAS全面切换到大数据技术，采用非关系型数据库（NoSql）技术，充分利用索引技术，使用高效的算法，使搜索尽可能在内存中完成，并采用分布式并行技术，大幅提升日志数据存储和查询效率低下的问题，TB级日志数据秒级完成搜索，使人工的日志搜索、调查和取证变得可行。

2.利用可视化技术，快速而直观地处理日志，及时发现安全问题。

可视化分析是数据分析的一种技术，它可以将复杂的数据关系以直观的方式呈现出来，从海量数据中将事物之间的实质关系快速传递给用户。

NGLAS在日志数据的全生命周期阶段采用了多种可视化技术，包括日志的采集、预处理、统计分析、交互式分析、智能分析和报告阶段。日志可视化可将安全管理和运维人员从繁重的事件查看工作中解脱出来，及时直观地进行事件调查，发现安全威胁。系统强大的日志可视化能力，帮助用户变日常安全管理的认知为感知，使安全审计和管理人员更快速获取日志数据带来的价值。

3.引入机器学习等智能化分析方法，构建起融实时、历史、交互式、自动化于一体的日志分析能力，使日志综合审计更准确、更高效。

随着大数据和机器学习技术的不断发展，NGLAS引入了更多智能化的分析方法。

首先，NGLAS对日志进行智能化处理，这一处理包括了元数据动态建模、日志的范化、过滤、归并和富化。智能化的日志预处理可以清洗掉大量的无效数据，保证了高质量的输入数据，为后续进一步的大数据分析打下良好的基础，避免了因数据量过大而产生的无效告警；

其次，NGLAS采用了机器学习的方法对海量日志进行分析，为用户提供了界面友好的交互式分析，通过即席查询实现实时和历史数据的搜索，并对搜索结果进行统计分析、模式调查、透视调查和关系调查分析。

在此基础上，系统通过基于分布式关联分析引擎帮助安全审计人员实时发现网络中的违规行为和安全威胁。系统融入了上下文分析和威胁情报分析的能力，多种智能化分析方法的有机结合，实现了实时、历史、交互式、自动化的日志分析，使综合审计更准确、更高效。

4.采用分布式架构，通过弹性扩展计算节点数量来增加关联分析的能力，解决了超大规模网络客户日志关联分析的需求。

众所周知，传统的日志审计产品通常都采用集中式的关联分析引擎和技术，这一关联分析技术的缺点是分析性能受单节点计算资源的限制。随着日志数量呈几何倍数的增长，传统的日志审计产品无法实现更高性能的日志分析能力（通常在1万EPS以内）。

NGLAS独创性的提供了分布式关联分析的能力，系统采用了具有自主知识产权的分布式计算技术，将海量日志的处理分散到集群的计算节点中，可通过弹性扩展计算节点数量来增加关联分析的能力，解决了超大规模网络客户日志关联分析的需求，实现了集群部署和资源调度的自动化、智能化。

5.高弹性，满足弹性部署和资源扩展要求，同时支持多平台部署。

NGLAS具备灵活的高弹性部署能力，避免了采用开源大数据技术的重量级资源需求。NGLAS支持水平弹性扩展，客户可根据实际业务需求，通过增减集群节点来实现计算资源的增减。系统既支持单机节点部署、也支持集群部署；既支持集中式部署，也支持分布式部署；既支持单级部署，也支持级联部署。

系统对平台的使用灵活，既可以部署在物理服务器中，也可以部署在虚拟机和Docker容器中；既支持传统x86架构平台部署，也可以支持国产化平台部署，满足不同客户的需求，具备极高的弹性扩展能力。

6.内置丰富多样的审计场景和安全分析场景，开箱即用，大幅降低客户使用成本。

针对传统的日志收集与分析系统对使用人员技术要求高、使用成本高的问题，NGLAS大幅提升了系统的开箱即用的能力，降低了日志审计的使用成本和技术要求。

NGLAS内置了一系列丰富的日志解析策略、仪表板策略、查询策略、关联分析规则和报表。这一系列的策略为客户提供了丰富多样的审计场景和安全分析场景，使客户快速获得使用价值。