SecFox-LAS日志审计系统与传统日志审计系统的本质区别

　　需要特别指出的是，SecFox-LAS日志审计系统与传统安全日志审计系统具有本质的区别：

　　首先，SecFox-LAS日志审计系统的日志归一化功能能够将异构的日志变成系统可识别的统一的日志，屏蔽了不同厂商以及不同类型的产品之间的日志差异，使得日志关联分析成为可能;而传统的日志审计系统仅针对原始日志的时间、源/目的IP地址等信息进行简单分解，其他主要内容则原封不动，全部存储在数据库中，仅仅提供普通的日志查询功能。更加地，SecFox-LAS日志审计系统在进行日志归一化的同时，还保留了原始日志记录，便于将来进行具有司法证据效力的调查取证分析。

　　其次，SecFox-LAS日志审计系统具有多事件(日志)关联分析能力，是该系统区别于传统安全日志审计系统的最关键特征。正是通过关联分析，将来自不同信息源的日志融合到一起，发掘出日志之间的关系，找到真正的外部入侵和内部违规。SecFox-LAS日志审计系统的核心是SecFox独有的基于安全监测、告警和响应技术(Security Monitor, Alert and Response Technology，简称SMART)的事件关联分析引擎。在关联规则的驱动下，SMART事件关联分析引擎能够进行多种方式的事件关联，包括统计关联、时序关联、单事件关联、多事件关联、递归关联，等等。SMART关联分析引擎完全自主研发，拥有多项专利，并且是在内存中进行的，因而具备极强的实时性和稳定的性能。系统在采集和归一化日志后，一方面将日志存入数据库，另一方面同步地在内存中(In-Memory)进行实时关联分析。实时性确保了日志被及时审计，同时能够快速发现安全隐患。