北斗网络安全运营平台以大数据平台为基础，通过收集多元、异构的海量日志，利用关联分析、机器学习、威胁情报等技术，结合平台自动化安全技术，实现自动化线索取证、自动化威胁研判、自动化误报分析、自动化制定处置方案、自动化联动处置等安全事件运营自动化能力，为政企客户提供可持续提升安全事件运营能力的框架，为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具。通过集成编排和自动化的技术，将安全专家的经验固化成剧本，让“安全专家”7x24小时的为政企客户提供安全值守服务。

数据采集与存储

支持国内外数十家厂商的上百种常见设备的自动解析、过滤、富化、内容转译、归一化,支持通过Syslog、DB、SNMP、Netflow、API接口、镜像流量、文件等多种采集方式。

流量检测

通过全流量检测技术，可还原数十种网络协议，对失陷主机，网络入侵，网络病毒，异常流量、DDoS攻击等进行精准检测。

威胁情报

平台支持通过接口或人工方式维护外部威胁情报，并且支持通过内部的安全事件利用系统提供的调查取证、事件复盘功能生成内部威胁情报，并支持威胁情报的共享。系统支持基于威胁情报的预警分析、漏洞快速筛查、溯源分析等功能。

关联分析

平台提供多层次的安全事件分析技术，通过多年积累的丰富的安全分析经验，系统内置多种安全分析场景规则，也可以通过可视化方法编辑关联规则，关联分析引擎实时分析采集的安全日志和流量元数据，结合各类情境数据，及时发现已知的攻击和威胁。

威胁预警

平台提供了基于机器学习的异常行为检测方法，从海量日志和流量元数据中选择属性特征进行学习，构建实体的行为基线模型，通过实际值与预测值的偏差分析识别异常行为。

自动化威胁研判

基于网络安全事件应急响应实战场景，平台基于自动化技术结合威胁场景提供了与之对应的线索取证、攻击检测、误报检测、溯源分析多种类型的剧本，实现自动化的安全事件分析研判，并自动制定威胁处置方案。

自动化联动处置

基于网络安全事件应急响应实战场景，平台基于SOAR技术结合威胁场景提供了与之对应的联动处置剧本，平台具备与FW、WAF、IPS、EDR等安全设备的联动能力，结合用户的安全需求，利用SOAR的编排与自动化的技术实现安全场景的自动化联动处置。

资产管理

通过结合资产价值、脆弱性信息、威胁信息，对全网资产进行风险评估，量化风险指标，帮助用户更好的了解和掌控安全风险，为安全决策提供有力支撑。

态势感知

平台预置网络安全态势感知的分析视图从资产维度、攻击维度、漏洞维度、风险维度对网络安全态势进行呈现。

专业的大数据架构

平台建立在大数据技术架构之上，成功解决了海量数据采集、存储和计算的难题。分析平台的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理，可通过多台设备建立集群以保证存储空间和计算能力的供应。

丰富的威胁检测能力

平台提供多层次的安全事件分析技术，通过多年积累的丰富的安全分析经验，系统内置多种安全分析场景规则，也可以通过可视化方法编辑关联规则，关联分析引擎实时分析采集的安全日志和流量元数据，结合各类情境数据，及时发现已知的攻击和威胁。

安全能力剧本化

利用剧本技术将安全专家的安全事件应急响应经验固化下来，每一次安全事件的对应处置过程都在统一标准，统一步骤下执行，有迹可循。避免人员能力的差距导致的处置实际效果不可控。

安全运营自动化

基于网络安全事件应急响应实战场景，平台利用剧本技术实现自动化线索取证、自动化攻击检测、自动化误报检测、自动化联动处置、自动化溯源分析的能力，实现7x24小时的自动化、智能化的安全事件分析处置能力。

告警响应智能化

基于网络安全事件应急响应实战场景，通过平台提供威胁场景处置知识库的管理能力，实现基于威胁场景自动创建安全事件处置方案。

专业的安全运营服务

国舜建设了专业的安全运营服务团队。围绕平台提供专业的安全分析服务。提升平台的使用效果，以平台为中心为客户输出安全态势感知、预警响应和安全防护能力，帮助企业保护自身网络的安全，减少企业遭受攻击时受到的损失。

通过建设北斗网络安全运营平台通过实现防护提升：基于政企行业客户的生产网、办公网和互联网等多类型网络的安全防护需求，构建基于态势感知的多层次自适应安全体系，通过搭建全流量全数据采集模型，汇聚网络安全事件的信息和攻击线索数据，通过数据治理方案，提供在线分析和离线分析能力，辅助管理者掌握全局安全状态，通过自动化技术实现自动取证、自动威胁研判、自动误报分析、自动制定网络安全事件处置方案，给出网络状态、趋势、预判，为制定安全决策提供保障。国舜网络安全态势感知平台支持在政企行业客户网络内的多种部署模式。平台部署方式灵活，只要能通过网络访问相应的监控对象即可。

消除安全孤岛，完善安全运营能力

丰富的日志集中管理，实现海量多源安全数据的集中采集和存储，消除信息孤岛，能够对安全数据进行查询、统计、关联分析，发现安全事件，掌握系统安全状况，满足合规要求的同时，最大化利用安全数据的价值，解决安全运营阶段中网络安全监控能力和分析能力不足的难题。

精准灵活的威胁分析能力

平台通过威胁情报、机器学习、关联分析和基线分析等多个维度进行威胁的检测，提升威胁检测准确度，快速定位真正的威胁。

安全事件运营降本提效

平台通过自动化安全和SOAR技术的融合，尽可能多的利用自动化技术实现安全告警的线索取证、分析研判、误报分析、溯源分析，自动结合实际场景制定对应的安全应急处置方案，并提供自动化联动处置的能力。从而缩短威胁研判和处置的时间，提升安全事件运营效率。

安全运营流程标准化

将企业的安全运营流程数字化管理起来，每一次安全事件的对应处置过程都在统一标准，统一步骤下执行，有迹可循。避免人员能力的差距导致的处置实际效果不可控。

持续监测资产风险

帮助建立资产风险评估能力，实现资产安全风险综合评估，反映资产安全状态，以量化的方式体现资产安全风险和安全工作成果。

安全事件运营指标化

平台将安全事件运营流程都通过剧本数字化管理，每一次的执行过程都记录在案，安全事件应急响应流程的各类指标全部可评估、可度量、可追踪。

安全运营决策支撑

通过平台对企业的安全事件运营流程数字化管理、数字化执行、数字化指标评估后，管理者可以有效的评估什么流程基本无用，什么流程执行效率不高，什么流程发挥了大的作用，甚至什么安全设备在所有流程中被使用的价值较大。从而为以后的安全投资决策，安全团队建设决策提供有价值的数值化支撑。