事后难以追溯取证 市面上绝大多数网络安全类产品只能保持HTTP、DNS等常见应用日志的记录，而ARP请求、数据包和特殊的网络行为则无法存储和识别。这将导致日志记录太过单一，引起文件误报等行为，给用户决策带来干扰。其次，在追溯网络犯罪过程中没有原始的数据包作为支撑，当我们故障排查的时候很难准确定位问题环节，阻碍深入追溯分析的进行，给攻击目标带来无法挽回的损失。 单点检测管中窥豹 现如今的安全防御软件检测方式单一。如传统防火墙根据一定格式的协议对文件访问进行过滤，不能防范攻击者IP欺骗攻击；反病毒软件根据病毒特征或者黑白名单判断文件攻击性，无法阻止变种软件攻击等。而当前新型病毒具备多样性和高度隐藏功能，能够在不同的环境中通过合理的变形和伪装躲避反病毒软件的查杀，最终侵入系统核心部位爆发。 这些新型攻击手段，显然需要防御者能够综合分析多维度的信息，进行综合判断才能进行及时的检测和处置。 传统SOC存在局限 传统的安全管理中心（Security Operations Center，SOC）无论在技术层面上还是管理层面上都无法达到预期的效果。绝大多数SOC功能仅仅停留于各类设备日志的收集上，如：路由器、防火墙、交换机、数据库的日志，更谈不上数以千计的安全软、硬件产品的集中综合管理。其定义与实际功能严重不符，SOC平台仍然还需要向用户进一步证明其可扩展性、对安全事件的挖掘能力和趋势分析，以及用户的投资回报（Return On Investment，ROI）。 2方案理念 针对传统安全保障体系难以新型威胁和APT攻击，以及缺乏看到看懂的感知环节的不足，深信服提出了基于行为检测和关联分析技术、对全网流量进行安全监测的可视化和预警检测解决方案。方案设计体现适用性、前瞻性、可行性的基本原则，实现安全效果可评估、安全态势可视化。主要基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路进行设计实现的。