Accur的产品架构分成3层：第一层也就是最底层为Cyber层，中间是索引和数据存贮层，最上方是展现层和数据关联层。最底层存储着很多原始数据，Accur具有非常丰富的集成接口，针对网络和安全设备通过syslog或SNMP来接受数据，针对windows通过WMI来接收数据。中间索引和数据存贮层能将数据标准化，将异构数据转化为符合分析要求的标准格式。最上方的展现层和数据关联层，将IT+信息资产与标准化数据关联预处理，基于特定业务场景形成预处理后的数据，还能够和企业中的ITSM、短信、邮件或其他平台相互关联。

　　Accur最大的优势有两个：一个是可以应对最广泛的日志收集变化，Accur完全支持注入应用日志、Netflow、网络数据包等字符多且格式复杂多变的日志格式;另一个是定制化事件展现，基于用户的行为模式对安全事件展现定制化。

　　华青融天技术总监伊先生说：“应用日志这一类日志很恐怖，传统的SIEM的存储收集、查重效用，针对每个URL分析的比对过程会消耗投建的cpu资源，难以对这类日志进行处理。

　　在企业内部，需要判断内部合规。其中的一个核心是考虑用户行为，基于用户的行为评价模式，这个模式不一定是个异常机制，有可能是某位员工业务访问行为、主机跳转行为和上网正常行为等机制，来做评判分析和预干涉，建立起主机之间的访问关系，来满足对用户行为的评价。

　　对于外部攻击，90%以上的公司依靠第三方公司或机构的签名方式完成。但很多攻击会绕过这些设备或突破这些设备来入侵到企业内部，因此需要建立基于细域的位置威胁评判机制，建立机制之间的比对、模型来进行学习。”

　　Accur应用经验和实例

　　华青融天介绍了其从2006年起就实施的银行SOC项目建设，2013年SOC风险展示平台上线，2014年进入分行日志收集和推广，单独成立安全事件调查团队，开始逐步引入大数据平台对应用日志进行分析和事件挖掘;截止到2015年5月完成了全行日志收集目标，针对APT攻击进行深入数据挖掘，建立企业内部用户行为模型。

　　银行通过Accur收集计费系统对外提供信息查询的接口日志，通过大数据平台的关联分析能力，对接口的查询记录的特征进行管理分析，有效发现和计费系统存在信息查询接口的一个外部业务系统的接口日志中有不符合其正常业务特征的批量查询用户信息的行为。

　　在进一步核实该情况应属于外部用户利用外部系统一些查询功能，通过刷屏软件等工具恶意窃取用户的敏感信息，后续立刻对相应的系统界面和功能进行了脱敏和关停处理，有效避免用户敏感信息的进一步泄露。