方眼安全日志采集分析系统的逻辑架构划分为日志收集层、数据处理、可视化/告警层。详细的产品架构图如图所示:
日志收集层:负责原始报文的采集、协议解析(包括TCP/IP协议栈的解析及工业控制协议的深度解析)、初步攻击检测及信息汇聚与统计。
数据处理:综合来自数据采集层的日志报文解析结果、初步检测结果及汇总统计信息,对TCP/IP异常检测、工控指令异常检测、工控关键事件检测、网络风暴检测、网络会话异常检测、基于阈值的检测等各类安全检测。
可视化/告警:接收来自分析检测层的数据及检测结果,一方面进行告警的展现,另一方面对数据进行持久化并进行多维度的统计分析和展现。