網(wǎng)絡(luò)空間安全態(tài)勢感知與大數(shù)據(jù)分析平臺建設(shè)方案V1.0

1、網(wǎng)絡(luò)空間安全態(tài)勢感知與大數(shù)據(jù)分析平臺建設(shè)方案網(wǎng)絡(luò)空間安全態(tài)勢感知與大數(shù)據(jù)分析平臺建立在大數(shù)據(jù)基礎(chǔ)架構(gòu)的基礎(chǔ)上，涉及大數(shù)據(jù)智能建模平臺建設(shè)、業(yè)務(wù)能力與關(guān)鍵應(yīng)用的建設(shè)、網(wǎng)絡(luò)安全數(shù)據(jù)采集和后期的運(yùn)營支持服務(wù)。1.1 網(wǎng)絡(luò)空間態(tài)勢感知系統(tǒng)系統(tǒng)建設(shè)平臺按系統(tǒng)功能可分為兩大部分：日常威脅感知和戰(zhàn)時指揮調(diào)度應(yīng)急處置。日常感知部分包括大數(shù)據(jù)安全分析模塊、安全態(tài)勢感知呈現(xiàn)模塊、等保管理模塊和通報預(yù)警模塊等。該部分面向業(yè)務(wù)工作人員提供相應(yīng)的安全態(tài)勢感知和通報預(yù)警功能，及時感知發(fā)生的安全事件，并根據(jù)安全事件的危害程度啟用不同的處置機(jī)制。戰(zhàn)時處置部分提供從平時網(wǎng)絡(luò)態(tài)勢監(jiān)測到戰(zhàn)時突發(fā)應(yīng)急、指揮調(diào)度的快速轉(zhuǎn)換能力，統(tǒng)籌指

2、揮安全專家、技術(shù)支持單位、被監(jiān)管單位以及各個職能部門，進(jìn)行協(xié)同高效的應(yīng)急處置和安全保障，同時為哈密各單位提升網(wǎng)絡(luò)安全防御能力進(jìn)行流程管理，定期組織攻防演練。1.1.1 安全監(jiān)測子系統(tǒng)安全監(jiān)測子系統(tǒng)實時監(jiān)測哈密全市網(wǎng)絡(luò)安全情況，及時發(fā)現(xiàn)國際敵對勢力、黑客組織等不法分子的攻擊活動、攻擊手段和攻擊目的，全面監(jiān)測哈密全市重保單位信息系統(tǒng)和網(wǎng)絡(luò)，實現(xiàn)對安全漏洞、威脅隱患、高級威脅攻擊的發(fā)現(xiàn)和識別，并為通報處置和偵查調(diào)查等業(yè)務(wù)子系統(tǒng)提供強(qiáng)有力的數(shù)據(jù)支撐。安全監(jiān)測子系統(tǒng)有六類安全威脅監(jiān)測的能力：一類是網(wǎng)站云監(jiān)測，發(fā)現(xiàn)網(wǎng)站可用性的監(jiān)測、網(wǎng)站漏洞、網(wǎng)站掛馬、網(wǎng)站篡改（黑鏈/暗鏈）、釣魚網(wǎng)站、和訪問異常等安全事件

3、第二類是眾測漏洞平臺的漏洞發(fā)現(xiàn)能力，目前360補(bǔ)天漏洞眾測平臺注冊有4萬多白帽子，他們提交的漏洞會定期同步到態(tài)勢感知平臺，加強(qiáng)平臺漏洞發(fā)現(xiàn)的能力。第三類是對流量的檢測，把重保單位的流量、城域網(wǎng)流量、電子政務(wù)外網(wǎng)流量、IDC機(jī)房流量等流量采集上來后進(jìn)行檢測，發(fā)現(xiàn)webshell等攻擊利用事件。第四類把流量日志存在大數(shù)據(jù)的平臺里，與云端IOC威脅情報進(jìn)行比對，發(fā)現(xiàn)APT等高級威脅告警。第五類是把安全專家的分析和挖掘能力在平臺落地，寫成腳本，與流量日志比對，把流量的歷史、各種因素都關(guān)聯(lián)起來，發(fā)現(xiàn)深度的威脅。第六類是基于機(jī)器學(xué)習(xí)模型和安全運(yùn)營專家，把已經(jīng)發(fā)現(xiàn)告警進(jìn)行深層次的挖掘分析和關(guān)聯(lián)，發(fā)現(xiàn)更深層次

4、的安全威脅。1、網(wǎng)站安全數(shù)據(jù)監(jiān)測：采用云監(jiān)測、互聯(lián)網(wǎng)漏洞眾測平臺及云多點探測等技術(shù)，實現(xiàn)對重點網(wǎng)站安全性與可用性的監(jiān)測，及時發(fā)現(xiàn)網(wǎng)站漏洞、網(wǎng)站掛馬、網(wǎng)站篡改（黑鏈/暗鏈）、釣魚網(wǎng)站、眾測漏洞和訪問異常等安全事件。2、DDOS攻擊數(shù)據(jù)監(jiān)測：在云端實現(xiàn)對DDoS攻擊的監(jiān)測與發(fā)現(xiàn)，對云端的DNS請求數(shù)據(jù)、網(wǎng)絡(luò)連接數(shù)、Netflow數(shù)據(jù)、UDP數(shù)據(jù)、Botnet活動數(shù)據(jù)進(jìn)行采集并分析，同時將分析結(jié)果實時推送給本地的大數(shù)據(jù)平臺數(shù)據(jù)專用存儲引擎；目前云監(jiān)控中心擁有全國30多個省的流量監(jiān)控資源，可以快速獲取互聯(lián)網(wǎng)上DDoS攻擊的異常流量信息，利用互聯(lián)網(wǎng)廠商的云監(jiān)控資源，結(jié)合本地運(yùn)營商抽樣采集的數(shù)據(jù)，才能快速

5、有效發(fā)現(xiàn)DDoS攻擊，同時對攻擊進(jìn)行追蹤并溯源。3、僵木蠕毒數(shù)據(jù)監(jiān)測：通過云端下發(fā)本地數(shù)據(jù)，結(jié)合流量數(shù)據(jù)進(jìn)行分析，快速發(fā)現(xiàn)本省市感染“僵木蠕毒”的數(shù)據(jù)。僵木蠕毒監(jiān)測主要來自兩種方面：一是360云端僵木蠕毒平臺對國內(nèi)終端的僵木蠕毒感染信息進(jìn)行采集，如果命中本省市終端僵木蠕毒感染數(shù)據(jù)，通過對IP地址/范圍篩選的方式，篩選出屬于本省市的數(shù)據(jù)，利用加密數(shù)據(jù)通道推送到態(tài)勢感知平臺；二是對本地城域網(wǎng)流量抽樣和重點單位全流量進(jìn)行檢測，將流量數(shù)據(jù)進(jìn)行報文重組、分片重組和文件還原等操作后，傳送到流檢測引擎和文件檢測引擎，通過流特征庫、靜態(tài)文件特征檢測、啟發(fā)式檢測和人工智能檢測方式及時的發(fā)現(xiàn)重點保護(hù)單位的僵木蠕毒

6、事件4、高級威脅數(shù)據(jù)監(jiān)測：安全監(jiān)測子系統(tǒng)需要結(jié)合全部的網(wǎng)絡(luò)流量日志和威脅情報繼續(xù)持續(xù)性的攻擊追蹤分析。云端IOC威脅情報覆蓋攻擊者使用的域名、IP、URL、MD5等一系列網(wǎng)絡(luò)基礎(chǔ)設(shè)施或攻擊武器信息，同時威脅情報中還包含了通過互聯(lián)網(wǎng)大數(shù)據(jù)分析得到的APT攻擊組織的相關(guān)背景信息，這對于APT攻擊監(jiān)測將提供至關(guān)重要的作用。1.1.2 態(tài)勢感知子系統(tǒng)態(tài)勢感知系統(tǒng)基于多源數(shù)據(jù)支持安全威脅監(jiān)測以及安全威脅突出情況的分析展示。綜合利用各種獲取的大數(shù)據(jù)，利用大數(shù)據(jù)技術(shù)進(jìn)行分析挖掘，實時掌握網(wǎng)絡(luò)攻擊對手情況、攻擊手段、攻擊目標(biāo)、攻擊結(jié)果以及網(wǎng)絡(luò)自身存在的隱患、問題、風(fēng)險等情況，對比歷史數(shù)據(jù)，形成趨勢性、合理性判

7、斷，為通報預(yù)警提供重要支撐。該模塊支持對網(wǎng)絡(luò)空間安全態(tài)勢進(jìn)行全方位、多層次、多角度、細(xì)粒度感知，包括但不限于對重點行業(yè)、重點單位、重點網(wǎng)站，重要信息系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等保護(hù)對象的態(tài)勢進(jìn)行感知。態(tài)勢感知子系統(tǒng)分為兩部分：態(tài)勢分析和態(tài)勢呈現(xiàn)態(tài)勢分析：針對重保單位、網(wǎng)站數(shù)據(jù)采集分析，通過安全監(jiān)測子系統(tǒng)對DDos攻擊監(jiān)測、高級威脅攻擊檢測與APT攻擊檢測、僵木蠕毒檢測、IDS檢測等功能，通過惡意代碼檢測、異常流量分析、威脅分析等技術(shù)進(jìn)行宏觀分析后，以監(jiān)管單位為視角，對本項目監(jiān)管范圍下的單位安全狀態(tài)進(jìn)行監(jiān)測。并且根據(jù)系統(tǒng)內(nèi)置的風(fēng)險評估算法給出當(dāng)前被監(jiān)管單位的整體安全評估。態(tài)勢呈現(xiàn)：通過城市安全指數(shù)、區(qū)域

8、安全指數(shù)、單位安全指數(shù)、威脅來源、攻擊分析、威脅同比、威脅環(huán)比、告警詳細(xì)等呈現(xiàn)整體安全態(tài)勢。1.1.3 通報預(yù)警子系統(tǒng)通報預(yù)警根據(jù)威脅感知、安全監(jiān)測、追蹤溯源、情報信息、偵查打擊等模塊獲取的態(tài)勢、趨勢、攻擊、威脅、風(fēng)險、隱患、問題等情況，利用通報預(yù)警模塊匯總、分析、研判，并及時將情況上報、通報、下達(dá)，進(jìn)行預(yù)警及快速處置。可采用特定對象安全評估通報、定期綜合通報、突發(fā)事件通報、專項通報等方式進(jìn)行通報。1.1.4 等保管理子系統(tǒng)等保管理模塊針對全省信息安全等級保護(hù)建設(shè)工作進(jìn)行監(jiān)管，通過等保信息系統(tǒng)管理、等保管理工作處置、等保檢查任務(wù)管理、等保系統(tǒng)資產(chǎn)管理、等保安全事件管理和等保綜合分析報表對列管單

9、位及其重要信息系統(tǒng)相關(guān)的備案信息、測評信息、整改信息和檢查信息等業(yè)務(wù)數(shù)據(jù)進(jìn)行管理。1.1.5 追蹤溯源子系統(tǒng)追蹤溯源子系統(tǒng)在發(fā)生網(wǎng)絡(luò)攻擊案（事）件或有線索情況下，對攻擊對手、其使用的攻擊手段、攻擊途徑、攻擊資源、攻擊位置、攻擊后果等進(jìn)行追蹤溯源和拓展分析，為偵查打擊、安全防范提供支撐。追蹤溯源子系統(tǒng)針對高級威脅攻擊、DDoS攻擊、釣魚攻擊、木馬病毒等惡意行為通過云端數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析、拓展擴(kuò)線，進(jìn)行事件溯源，為案件偵破提供技術(shù)、數(shù)據(jù)的支撐。通過關(guān)聯(lián)分析、同源分析、機(jī)器學(xué)習(xí)等技術(shù)手段對互聯(lián)網(wǎng)端的海量數(shù)據(jù)（典型如：Whois數(shù)據(jù)、惡意軟件樣本MD5、DNS數(shù)據(jù)、網(wǎng)站訪問數(shù)據(jù)等）進(jìn)行數(shù)據(jù)梳理與數(shù)據(jù)挖掘

10、，擴(kuò)充互聯(lián)網(wǎng)的惡意行為線索信息，還原出本次惡意行為大體的原貌，并可以通過惡意網(wǎng)絡(luò)行為的一個線索擴(kuò)展發(fā)現(xiàn)出更多的諸如攻擊所用的網(wǎng)絡(luò)資源，攻擊者信息，受害人信息等線索。具備根據(jù)源ip、源端口、宿ip、宿端口、傳輸層協(xié)議等條件搜集數(shù)據(jù)，具備聯(lián)通日志、dns解析數(shù)據(jù)以及網(wǎng)絡(luò)安全事件日志的關(guān)聯(lián)挖掘能力等。1.1.6 威脅情報子系統(tǒng)威脅情報子系統(tǒng)通過采集360云端獲取APT及高級威脅事件分析、黑產(chǎn)事件分析、影響范圍較廣的關(guān)鍵漏洞分析等威脅情報信息，將其中抽取出來的攻擊手法分析、攻擊組織分析、攻擊資源分析等信息，利用通報處置核心組件接口，向本地其他核心組件及有關(guān)部門進(jìn)行情報報送。利用情報數(shù)據(jù)確定和處置安全事

11、件后情報信息核心組件提供情報處置審計追蹤的功能，對基于情報處置的安全事件進(jìn)行處置流程、處置結(jié)果、處置經(jīng)驗等信息進(jìn)行審計追蹤并歸檔，便于后續(xù)安全事件的分析處置，提高安全事件處置工作效率。1.1.7 指揮調(diào)度子系統(tǒng)指揮調(diào)度模塊主要用于在重要會議或重大活動期間，加強(qiáng)網(wǎng)絡(luò)安保人員調(diào)度，全方位全天候掌握我省與活動相關(guān)的單位、系統(tǒng)和網(wǎng)站安全狀況，及時通報預(yù)警網(wǎng)絡(luò)安全隱患，高效處置網(wǎng)絡(luò)安全案事件。協(xié)同多家技術(shù)支撐單位、互聯(lián)網(wǎng)安全廠商、網(wǎng)絡(luò)安全專家以及其他職能部門保障整個過程的網(wǎng)絡(luò)安全和數(shù)據(jù)安全，實現(xiàn)網(wǎng)絡(luò)安全的態(tài)勢感知、監(jiān)測預(yù)警、指揮調(diào)度、通知通告、應(yīng)急處置及協(xié)同技術(shù)支持等能力，對網(wǎng)絡(luò)安全威脅、風(fēng)險、隱患、突

12、發(fā)事件、攻擊等進(jìn)行通報預(yù)警，對重點保護(hù)對象進(jìn)行全要素數(shù)據(jù)采集，重點保護(hù)，并進(jìn)行全要素顯示和展示，實現(xiàn)重保期間全方位全天候的指揮調(diào)度能力。1.1.8 偵查調(diào)查子系統(tǒng)偵查調(diào)查核心組件主要涉及網(wǎng)絡(luò)案事件的處置工作，在案事件發(fā)生后，辦案民警利用該功能模塊進(jìn)行調(diào)查、取證，查找攻擊來源、攻擊手段以及攻擊者等基本情況，形成案件線索，有必要時可以提供給網(wǎng)綜平臺，協(xié)助網(wǎng)絡(luò)案情的偵查打擊。同時提供案事件處置狀態(tài)的跟蹤與溝通，實現(xiàn)對案事件的閉環(huán)業(yè)務(wù)處理。1.1.9 應(yīng)急處置子系統(tǒng)應(yīng)急處置根據(jù)安全監(jiān)測發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊、重大安全隱患等情況及相關(guān)部門通報的情況，下達(dá)網(wǎng)絡(luò)安全事件快速處置指令。指令接收部門按照處置要求和規(guī)范進(jìn)

13、行事件處置，及時消除影響和危害，開展現(xiàn)場勘察，固定證據(jù)，快速恢復(fù)。對事件處置情況、現(xiàn)場勘察情況以及證據(jù)等方面情況及時建檔、歸檔并入庫。1.1.10 移動APP提供手機(jī)APP應(yīng)用功能，用于發(fā)布信息安全通報、信息安全通告、等保政法規(guī)、風(fēng)險提示等信息。通報預(yù)警、快速處置等可以通過平臺與移動APP相結(jié)合的方式進(jìn)行通報實現(xiàn)。預(yù)警通報可以采用移動APP通知相關(guān)負(fù)責(zé)人。經(jīng)過網(wǎng)安專網(wǎng)下發(fā)到相關(guān)單位，使相關(guān)單位能夠及時接收并處置，移動APP支持多級組織機(jī)構(gòu)管理，針對公安用戶提供網(wǎng)絡(luò)安全監(jiān)測和通報數(shù)據(jù)管理的功能，針對重保單位用戶提供通報消息通知和公開預(yù)警通報查看功能。1.1.11 運(yùn)營工作臺子系統(tǒng)運(yùn)營工作臺子系統(tǒng)

14、為安服人員提供日常工作的待辦提醒以及快捷入口并能體現(xiàn)日常工作的成果，日常工作包括：資產(chǎn)維護(hù)、告警分析確認(rèn)、安全事件深度分析（攻擊者、受害者、攻擊鏈）、相關(guān)通告的下發(fā)、現(xiàn)場檢查、應(yīng)急響應(yīng)、各類報告的定期生成。提供日常運(yùn)營常用工具的使用。具備平臺日常的設(shè)備、服務(wù)、數(shù)據(jù)的狀態(tài)監(jiān)聽功能。前場安服人員，能夠在系統(tǒng)的規(guī)范下，更好的運(yùn)營系統(tǒng)，最大限度的發(fā)揮平臺的價值。1.2 網(wǎng)絡(luò)空間安全數(shù)據(jù)采集系統(tǒng)建設(shè)安全數(shù)據(jù)采集能力建設(shè)是平臺建設(shè)的基礎(chǔ)，為大數(shù)據(jù)安全分析、安全態(tài)勢呈現(xiàn)、通報預(yù)警、應(yīng)急處置、等保管理、追蹤溯源、威脅情報和指揮調(diào)度等業(yè)務(wù)模塊提供數(shù)據(jù)資源。安全數(shù)據(jù)采集能力建設(shè)主要包括以下內(nèi)容：1. 流量采集與分

15、配2. 高級威脅監(jiān)測與采集3. 僵木蠕毒監(jiān)測與采集4. 云端威脅情報采集5. DDoS攻擊監(jiān)測與采集6. 網(wǎng)站云安全監(jiān)測與采集7. 等級保護(hù)數(shù)據(jù)采集8. 其他業(yè)務(wù)系統(tǒng)數(shù)據(jù)采集1.2.1 流量采集與分配根據(jù)項目情況可采集城域網(wǎng)流量、重保單位出口流量、IDC機(jī)房流量、電子政務(wù)外網(wǎng)流量：重保單位出口流量：根據(jù)業(yè)務(wù)需要在重保單位出口進(jìn)行全流量采集，采集的流量通過流量采集設(shè)備做全量的鏡像流量分析和檢測，并還原成標(biāo)準(zhǔn)化日志。城域網(wǎng)流量：根據(jù)業(yè)務(wù)需要可在城域網(wǎng)出口進(jìn)行流量抽樣采集，采集的流量通過流量采集設(shè)備做全量的鏡像流量分析和檢測，并還原成標(biāo)準(zhǔn)化日志。IDC機(jī)房流量：根據(jù)業(yè)務(wù)需要可在IDC機(jī)房進(jìn)行流量抽樣

16、采集，采集的流量通過流量采集設(shè)備做全量的鏡像流量分析和檢測，并還原成標(biāo)準(zhǔn)化日志。電子政務(wù)外網(wǎng)流量：根據(jù)業(yè)務(wù)需要可在電子政務(wù)外網(wǎng)機(jī)房進(jìn)行全流量采集，采集的流量通過流量采集設(shè)備做全量的鏡像流量分析和檢測，并還原成標(biāo)準(zhǔn)化日志。采集方式如下：分流：正常業(yè)務(wù)數(shù)據(jù)的分流功能，按照五元組規(guī)則將同一個會話的所有報文（即一個上網(wǎng)用戶的所有數(shù)據(jù)）輸出到同一臺數(shù)據(jù)處理設(shè)備，并且為所有后臺數(shù)據(jù)處理設(shè)備提供相對均衡的流量，保證數(shù)據(jù)的處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。抽樣：未命中規(guī)則的報文采樣井口采集直接輸出，命中標(biāo)準(zhǔn)規(guī)則的報文采樣在還原設(shè)備上軟件實現(xiàn)，然后通過SDN交換網(wǎng)轉(zhuǎn)發(fā)給第三方用戶使用。復(fù)制：對重點IP報文數(shù)據(jù)

17、的復(fù)制，然后轉(zhuǎn)發(fā)給第三方用戶使用。流量自動遷移：當(dāng)后臺個別數(shù)據(jù)處理設(shè)備出現(xiàn)因硬件或軟件故障死機(jī)時，SDN分流設(shè)備自動將數(shù)據(jù)分發(fā)到其他機(jī)器上，待設(shè)備恢復(fù)正常后，再將數(shù)據(jù)遷移到該設(shè)備上，從而保證數(shù)據(jù)的完整性。1.2.2 高級威脅監(jiān)測與采集高級威脅包括高級持續(xù)性威脅攻擊（APT）、未知威脅攻擊等，采用流量特征檢測、自動連接關(guān)聯(lián)、行為特征分析和端口匹配技術(shù)，對城域網(wǎng)的流量進(jìn)行分析，結(jié)合第三方威脅情報數(shù)據(jù)，及時發(fā)現(xiàn)針對我省重保單位的高級威脅攻擊。具體流量還原使用以下技術(shù)：流量特征檢測：流量特征識別方式主要分為兩種：一種是有標(biāo)準(zhǔn)協(xié)議的識別，標(biāo)準(zhǔn)協(xié)議規(guī)定了特有的消息、命令和狀態(tài)遷移機(jī)制，通過分析應(yīng)用層內(nèi)的這

18、些專有字段和狀態(tài)，就可以精確可靠地識別這些協(xié)議；另一種是未公開協(xié)議的識別，一般需要通過逆向工程分析協(xié)議機(jī)制解密后，采用報文流的特征字段來識別該通信流量。行為特征分析：針對一些不便于還原的數(shù)據(jù)流量，可以采用行為特征的方法進(jìn)行分析。這種方法不試圖分析出鏈接上面的數(shù)據(jù)，而是使用鏈接的統(tǒng)計特征，如連接數(shù)、單個IP的連接模式、上下行流量的比例、數(shù)據(jù)包發(fā)送頻率等指標(biāo)來區(qū)分應(yīng)用類型。端口匹配技術(shù)：端口匹配指協(xié)議與端口的標(biāo)準(zhǔn)對應(yīng)關(guān)系，根據(jù)TCP/UDP的端口來識別應(yīng)用。這種方式具有檢測效率高的優(yōu)點，弱點是容易被偽造，因此在端口檢測的基礎(chǔ)上，還需要增加特征檢測的判斷和分析，進(jìn)一步處理數(shù)據(jù)。通過以上技術(shù)，采集重保

19、單位全流量并進(jìn)行還原分析，存儲到大數(shù)據(jù)存儲分析平臺，為感知平臺提供進(jìn)一步高級威脅檢測及溯源追蹤的數(shù)據(jù)基礎(chǔ)。1.2.3 僵木蠕毒監(jiān)測與采集僵木蠕毒監(jiān)測主要來自兩種方面：一是對本地城域網(wǎng)抽樣流量和重點單位全流量在檢測引擎上進(jìn)行檢測；二是360云端僵木蠕毒平臺對國內(nèi)終端的僵木蠕毒感染信息進(jìn)行采集，通過對IP地址/范圍篩選的方式，篩選出屬于本省市的數(shù)據(jù)推送到態(tài)勢感知平臺。該數(shù)據(jù)來源于360云端安全數(shù)據(jù)采集，由于傳統(tǒng)僵木蠕毒檢測往往需要對全部鏡像流量進(jìn)行分析，而整個項目骨干鏈路較大，如果對全部流量進(jìn)行僵木蠕毒分析將帶來巨大的資金消耗，也增加系統(tǒng)維護(hù)的復(fù)雜度。而360云端監(jiān)測方式獲取的主機(jī)僵木蠕毒告警信息

20、可以很好的滿足安全態(tài)勢方面的需求。360云端僵木蠕毒監(jiān)測數(shù)據(jù)對平臺本地監(jiān)測數(shù)據(jù)進(jìn)行補(bǔ)充，根據(jù)哈密相關(guān)的域名、IP地址等信息，對全國網(wǎng)絡(luò)安全數(shù)據(jù)篩選出XX僵木蠕毒數(shù)據(jù)數(shù)據(jù)，按一定的時間規(guī)則推送到本地數(shù)據(jù)中心，是對本地安全監(jiān)測數(shù)據(jù)資源的重要補(bǔ)充。1.2.4 云端威脅情報采集高級威脅情報來源于360互聯(lián)網(wǎng)云端安全數(shù)據(jù)采集，需要依賴于360的互聯(lián)網(wǎng)大數(shù)據(jù)技術(shù)，針對互聯(lián)網(wǎng)上活躍的數(shù)百億樣本以及樣本的行為做到實時追蹤分析，并結(jié)合機(jī)器學(xué)習(xí)、高級人員運(yùn)營等手段對特定樣本做到事先預(yù)測和深入分析，逐漸挖掘出一系列與APT攻擊相關(guān)的組織和攻擊行為信息等情報信息，還有通過其他方式獲取的攻擊者（敵對國家、敵對勢力、恐怖

21、組織、黑客組織、不法分子等）情報信息、攻擊方法手段、攻擊目標(biāo)等情報信息。1.2.5 DDoS攻擊監(jiān)測與采集這部分?jǐn)?shù)據(jù)來源于360云端安全數(shù)據(jù)采集。通過互聯(lián)網(wǎng)可以對DDoS攻擊的控制端進(jìn)行監(jiān)控，在云端實現(xiàn)對DDoS攻擊的監(jiān)測與發(fā)現(xiàn)，對云端的DNS請求數(shù)據(jù)、網(wǎng)絡(luò)連接數(shù)、Netflow數(shù)據(jù)、UDP數(shù)據(jù)、Botnet活動數(shù)據(jù)進(jìn)行采集并分析，同時將分析結(jié)果實時推送給本地的大數(shù)據(jù)平臺數(shù)據(jù)專用存儲引擎，利用360數(shù)據(jù)資源可以對DDoS監(jiān)控提供整網(wǎng)意義上的追蹤。1.2.6 網(wǎng)站云安全監(jiān)測與采集網(wǎng)站的監(jiān)測數(shù)據(jù)主要依托于利用360網(wǎng)站云監(jiān)測系統(tǒng)，針對重點網(wǎng)站進(jìn)行漏洞、篡改、可用性、眾測漏洞、掛馬以及釣魚網(wǎng)站的監(jiān)測

22、。360公司根據(jù)本項目網(wǎng)安提供的列表，對網(wǎng)站進(jìn)行持續(xù)的安全監(jiān)測，并將監(jiān)測結(jié)果推送到本地分析中心。網(wǎng)站監(jiān)測數(shù)據(jù)包含如下幾類數(shù)據(jù)：網(wǎng)站暗鏈數(shù)據(jù)、網(wǎng)站掛馬數(shù)據(jù)、網(wǎng)頁篡改數(shù)據(jù)、釣魚網(wǎng)站數(shù)據(jù)、網(wǎng)站漏洞數(shù)據(jù)、網(wǎng)站眾測數(shù)據(jù)、網(wǎng)站可用性數(shù)據(jù)。1.2.7 眾測漏洞平臺數(shù)據(jù)360補(bǔ)天漏洞平臺是漏洞眾測平臺，目前平臺注冊4萬多白帽子，他們會將發(fā)現(xiàn)的漏洞提交到補(bǔ)天漏洞平臺，在本項目中可將所轄區(qū)域的漏洞同步到態(tài)勢感知平臺，第一時間通告最新披露的本地網(wǎng)站的漏洞信息。1.2.8 等級保護(hù)數(shù)據(jù)等級保護(hù)數(shù)據(jù)采集為等保管理模塊提供重要的數(shù)據(jù)支撐，采用批量導(dǎo)入或手工錄入方式采集等級保護(hù)單位基本信息、系統(tǒng)定級備案信息、系統(tǒng)測評報告、

23、檢查信息和整改信息等數(shù)據(jù)。通過將等級保護(hù)數(shù)據(jù)與監(jiān)測數(shù)據(jù)深度關(guān)聯(lián)，全面反映我省重要信息系統(tǒng)的安全狀況。等級保護(hù)數(shù)據(jù)采集的結(jié)果存入等級保護(hù)基礎(chǔ)庫，作為大數(shù)據(jù)中心基礎(chǔ)資源庫的重要組成部分。1.2.9 其他業(yè)務(wù)系統(tǒng)數(shù)據(jù)可以與“網(wǎng)安綜合應(yīng)用平臺”通過調(diào)用查詢接口、實時布控接口以及數(shù)據(jù)資源調(diào)用接口進(jìn)行對接，獲得網(wǎng)絡(luò)安全惡意行為數(shù)據(jù)以及相關(guān)虛擬身份、網(wǎng)絡(luò)行為數(shù)據(jù)等數(shù)據(jù)。也可以將平臺關(guān)聯(lián)分析與轉(zhuǎn)化，形成的網(wǎng)絡(luò)攻擊重點人、歷史重大網(wǎng)絡(luò)安全事件數(shù)據(jù)等共享給“網(wǎng)安綜合應(yīng)用平臺”供網(wǎng)安業(yè)務(wù)部門使用。1.3 網(wǎng)絡(luò)違法犯罪發(fā)現(xiàn)預(yù)警系統(tǒng)建設(shè)模型名稱模型說明企業(yè)法人股東傳銷經(jīng)歷預(yù)警如果企業(yè)的法人、股東曾經(jīng)是傳銷組織的核心成員

24、，對企業(yè)進(jìn)行預(yù)警疑似傳銷企業(yè)網(wǎng)絡(luò)輿情預(yù)警如果網(wǎng)絡(luò)中出現(xiàn)咨詢、懷疑、舉報、曝光企業(yè)涉嫌傳銷的輿情，對企業(yè)進(jìn)行預(yù)警110報警疑似傳銷企業(yè)預(yù)警發(fā)生對某企業(yè)傳銷的110報警，對企業(yè)進(jìn)行預(yù)警網(wǎng)站程序具有傳銷特征預(yù)警分析ICP備案網(wǎng)站或企業(yè)的網(wǎng)站網(wǎng)頁代碼，如果符合以往發(fā)現(xiàn)的傳銷網(wǎng)站的代碼特征，對企業(yè)進(jìn)行預(yù)警企業(yè)法人股東親屬傳銷經(jīng)歷預(yù)警如果企業(yè)的法人、股東的親屬曾經(jīng)是傳銷組織的核心成員，對企業(yè)進(jìn)行預(yù)警企業(yè)法人股東與傳銷人員同住預(yù)警如果出現(xiàn)企業(yè)的法人、股東頻繁和歷史傳銷組織核心成員多次同住，對企業(yè)進(jìn)行預(yù)警疑似傳銷企業(yè)被法院裁判預(yù)警如果企業(yè)曾經(jīng)被法院裁判過，對企業(yè)進(jìn)行預(yù)警疑似傳銷企業(yè)被行政處罰預(yù)警如果企業(yè)曾經(jīng)被

25、行政處罰過，對企業(yè)進(jìn)行預(yù)警疑似傳銷企業(yè)納稅異常預(yù)警如果企業(yè)的營業(yè)流水和納稅差異很大，對企業(yè)進(jìn)行預(yù)警企業(yè)法人股東經(jīng)濟(jì)犯罪前科預(yù)警如果企業(yè)的法人、股東曾經(jīng)有過經(jīng)濟(jì)犯罪前科，對企業(yè)進(jìn)行預(yù)警企業(yè)地址頻繁變更異常預(yù)警如果企業(yè)注冊地址短期內(nèi)多次變更，對企業(yè)進(jìn)行預(yù)警產(chǎn)品宣傳疑似傳銷預(yù)警如果企業(yè)的理財產(chǎn)品、實物產(chǎn)品、商城商品的銷售具有返利、積分、會費(fèi)、多級提成等傳銷特征，對企業(yè)進(jìn)行預(yù)警企業(yè)/法人集中投資異常預(yù)警如果出現(xiàn)企業(yè)/法人在短期內(nèi)在各地注冊多家分支機(jī)構(gòu)、投資多家企業(yè)，快速擴(kuò)張的情況，對企業(yè)進(jìn)行預(yù)警疑似傳銷企業(yè)招聘異常預(yù)警如果出現(xiàn)企業(yè)招聘信息和企業(yè)的經(jīng)營范圍不符合的情況（如高科技研究企業(yè)大量招聘低學(xué)歷的業(yè)

26、務(wù)人員），對企業(yè)進(jìn)行預(yù)警疑似傳銷企業(yè)租賃異常預(yù)警如果出現(xiàn)企業(yè)全國各地進(jìn)行短期租房的情況（疑似進(jìn)行傳銷傳播活動），對企業(yè)進(jìn)行預(yù)警傳銷人員流入流出異常預(yù)警監(jiān)控歷史傳銷組織核心成員流入貴陽的情況，如果每月流入大于流出，即進(jìn)行預(yù)警傳銷人員同行、同住、聚集異常預(yù)警如果出現(xiàn)歷史傳銷組織核心成員出現(xiàn)頻繁同行、同住、聚集（多人）的情況，即進(jìn)行預(yù)警疑似傳銷人員手機(jī)通訊錄異常預(yù)警如果手機(jī)通聯(lián)記錄中出現(xiàn)歷史傳銷組織核心成員，對通聯(lián)密切的人員進(jìn)行預(yù)警100報警疑似傳銷窩點預(yù)警發(fā)生對某小區(qū)（樓棟）在進(jìn)行傳銷活動的110報警，對小區(qū)（樓棟）進(jìn)行預(yù)警110報警疑似傳銷項目預(yù)警發(fā)生對傳銷項目的110報警，對傳銷項目進(jìn)行預(yù)警疑

27、似傳銷QQ群信息異常預(yù)警如果QQ群中高頻出現(xiàn)傳銷黑名單中內(nèi)容、或傳銷傳播相關(guān)關(guān)鍵詞（如返利、積分、會費(fèi)、提成、財富、成功等），對QQ群進(jìn)行預(yù)警疑似傳銷微信群信息異常預(yù)警如果微信群中高頻出現(xiàn)傳銷黑名單中內(nèi)容、或傳銷傳播相關(guān)關(guān)鍵詞（如返利、積分、會費(fèi)、提成、財富、成功等），對微信群進(jìn)行預(yù)警上述模型是已經(jīng)在以往項目中實現(xiàn)的模型，基于大數(shù)據(jù)建模，可根據(jù)哈密業(yè)務(wù)特點、所獲得的數(shù)據(jù)特點有針對性的建立業(yè)務(wù)模型。1.4 設(shè)備清單與預(yù)算（擬每秒20G流量，存儲時間90天，計算流量采集和存儲分析專用設(shè)備）硬件設(shè)備購置費(fèi)（萬元）序號類型硬件設(shè)備名稱性能或參數(shù)單位數(shù)量單價（萬）總價（萬）1數(shù)據(jù)采集設(shè)備IDC流量匯聚節(jié)

28、點網(wǎng)絡(luò)流量探針多核AMP+架構(gòu)，同時開啟網(wǎng)絡(luò)流量采集、威脅數(shù)據(jù)采集和日志上報功能情況下混合流（模擬企業(yè)級網(wǎng)絡(luò)真實場景流量）吞吐量20Gbps，HTTP并發(fā)連接數(shù)1200萬，HTTP新建連接速率50萬/秒；3U機(jī)箱，冗余電源，標(biāo)準(zhǔn)配置1個10/100/1000M專用管理接口，1個Console口，8個接口擴(kuò)展板卡插槽（根據(jù)實際需求，靈活選配接口板卡類型），報價中包括一年全功能特征庫升級服務(wù)，包括3年硬件維修服務(wù)。臺155552互聯(lián)網(wǎng)數(shù)據(jù)采集設(shè)備專用設(shè)備，用于接收云端數(shù)據(jù)前置機(jī)后置機(jī)，軟硬件一體化產(chǎn)品，設(shè)備為2U機(jī)架式硬件，專用高容錯率企業(yè)級硬盤4T，41GE電口，AC 220V 550w冗余電源，32G內(nèi)存，26核CPU，支