網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知與大數(shù)據(jù)分析平臺(tái)建設(shè)方案V1.0參考模板

1、網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知與大數(shù)據(jù)分析平臺(tái)建設(shè)方案網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知與大數(shù)據(jù)分析平臺(tái)建立在大數(shù)據(jù)基礎(chǔ)架構(gòu)的基礎(chǔ)上，涉及大數(shù)據(jù)智能建模平臺(tái)建設(shè)、業(yè)務(wù)能力與關(guān)鍵應(yīng)用的建設(shè)、網(wǎng)絡(luò)安全數(shù)據(jù)采集和后期的運(yùn)營(yíng)支持服務(wù)。1.1 網(wǎng)絡(luò)空間態(tài)勢(shì)感知系統(tǒng)系統(tǒng)建設(shè)平臺(tái)按系統(tǒng)功能可分為兩大部分：日常威脅感知和戰(zhàn)時(shí)指揮調(diào)度應(yīng)急處置。日常感知部分包括大數(shù)據(jù)安全分析模塊、安全態(tài)勢(shì)感知呈現(xiàn)模塊、等保管理模塊和通報(bào)預(yù)警模塊等。該部分面向業(yè)務(wù)工作人員提供相應(yīng)的安全態(tài)勢(shì)感知和通報(bào)預(yù)警功能，及時(shí)感知發(fā)生的安全事件，并根據(jù)安全事件的危害程度啟用不同的處置機(jī)制。戰(zhàn)時(shí)處置部分提供從平時(shí)網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)測(cè)到戰(zhàn)時(shí)突發(fā)應(yīng)急、指揮調(diào)度的快速轉(zhuǎn)換能力，統(tǒng)籌指

2、揮安全專(zhuān)家、技術(shù)支持單位、被監(jiān)管單位以及各個(gè)職能部門(mén)，進(jìn)行協(xié)同高效的應(yīng)急處置和安全保障，同時(shí)為哈密各單位提升網(wǎng)絡(luò)安全防御能力進(jìn)行流程管理，定期組織攻防演練。1.1.1 安全監(jiān)測(cè)子系統(tǒng)安全監(jiān)測(cè)子系統(tǒng)實(shí)時(shí)監(jiān)測(cè)哈密全市網(wǎng)絡(luò)安全情況，及時(shí)發(fā)現(xiàn)國(guó)際敵對(duì)勢(shì)力、黑客組織等不法分子的攻擊活動(dòng)、攻擊手段和攻擊目的，全面監(jiān)測(cè)哈密全市重保單位信息系統(tǒng)和網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)安全漏洞、威脅隱患、高級(jí)威脅攻擊的發(fā)現(xiàn)和識(shí)別，并為通報(bào)處置和偵查調(diào)查等業(yè)務(wù)子系統(tǒng)提供強(qiáng)有力的數(shù)據(jù)支撐。安全監(jiān)測(cè)子系統(tǒng)有六類(lèi)安全威脅監(jiān)測(cè)的能力：一類(lèi)是網(wǎng)站云監(jiān)測(cè)，發(fā)現(xiàn)網(wǎng)站可用性的監(jiān)測(cè)、網(wǎng)站漏洞、網(wǎng)站掛馬、網(wǎng)站篡改（黑鏈/暗鏈）、釣魚(yú)網(wǎng)站、和訪問(wèn)異常等安全事件

3、第二類(lèi)是眾測(cè)漏洞平臺(tái)的漏洞發(fā)現(xiàn)能力，目前360補(bǔ)天漏洞眾測(cè)平臺(tái)注冊(cè)有4萬(wàn)多白帽子，他們提交的漏洞會(huì)定期同步到態(tài)勢(shì)感知平臺(tái)，加強(qiáng)平臺(tái)漏洞發(fā)現(xiàn)的能力。第三類(lèi)是對(duì)流量的檢測(cè)，把重保單位的流量、城域網(wǎng)流量、電子政務(wù)外網(wǎng)流量、IDC機(jī)房流量等流量采集上來(lái)后進(jìn)行檢測(cè)，發(fā)現(xiàn)webshell等攻擊利用事件。第四類(lèi)把流量日志存在大數(shù)據(jù)的平臺(tái)里，與云端IOC威脅情報(bào)進(jìn)行比對(duì)，發(fā)現(xiàn)APT等高級(jí)威脅告警。第五類(lèi)是把安全專(zhuān)家的分析和挖掘能力在平臺(tái)落地，寫(xiě)成腳本，與流量日志比對(duì)，把流量的歷史、各種因素都關(guān)聯(lián)起來(lái)，發(fā)現(xiàn)深度的威脅。第六類(lèi)是基于機(jī)器學(xué)習(xí)模型和安全運(yùn)營(yíng)專(zhuān)家，把已經(jīng)發(fā)現(xiàn)告警進(jìn)行深層次的挖掘分析和關(guān)聯(lián)，發(fā)現(xiàn)更深層次

4、的安全威脅。1 / 131、網(wǎng)站安全數(shù)據(jù)監(jiān)測(cè)：采用云監(jiān)測(cè)、互聯(lián)網(wǎng)漏洞眾測(cè)平臺(tái)及云多點(diǎn)探測(cè)等技術(shù)，實(shí)現(xiàn)對(duì)重點(diǎn)網(wǎng)站安全性與可用性的監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)站漏洞、網(wǎng)站掛馬、網(wǎng)站篡改（黑鏈/暗鏈）、釣魚(yú)網(wǎng)站、眾測(cè)漏洞和訪問(wèn)異常等安全事件。2、DDOS攻擊數(shù)據(jù)監(jiān)測(cè)：在云端實(shí)現(xiàn)對(duì)DDoS攻擊的監(jiān)測(cè)與發(fā)現(xiàn)，對(duì)云端的DNS請(qǐng)求數(shù)據(jù)、網(wǎng)絡(luò)連接數(shù)、Netflow數(shù)據(jù)、UDP數(shù)據(jù)、Botnet活動(dòng)數(shù)據(jù)進(jìn)行采集并分析，同時(shí)將分析結(jié)果實(shí)時(shí)推送給本地的大數(shù)據(jù)平臺(tái)數(shù)據(jù)專(zhuān)用存儲(chǔ)引擎；目前云監(jiān)控中心擁有全國(guó)30多個(gè)省的流量監(jiān)控資源，可以快速獲取互聯(lián)網(wǎng)上DDoS攻擊的異常流量信息，利用互聯(lián)網(wǎng)廠商的云監(jiān)控資源，結(jié)合本地運(yùn)營(yíng)商抽樣采集的數(shù)

5、據(jù)，才能快速有效發(fā)現(xiàn)DDoS攻擊，同時(shí)對(duì)攻擊進(jìn)行追蹤并溯源。3、僵木蠕毒數(shù)據(jù)監(jiān)測(cè)：通過(guò)云端下發(fā)本地?cái)?shù)據(jù)，結(jié)合流量數(shù)據(jù)進(jìn)行分析，快速發(fā)現(xiàn)本省市感染“僵木蠕毒”的數(shù)據(jù)。僵木蠕毒監(jiān)測(cè)主要來(lái)自?xún)煞N方面：一是360云端僵木蠕毒平臺(tái)對(duì)國(guó)內(nèi)終端的僵木蠕毒感染信息進(jìn)行采集，如果命中本省市終端僵木蠕毒感染數(shù)據(jù)，通過(guò)對(duì)IP地址/范圍篩選的方式，篩選出屬于本省市的數(shù)據(jù)，利用加密數(shù)據(jù)通道推送到態(tài)勢(shì)感知平臺(tái)；二是對(duì)本地城域網(wǎng)流量抽樣和重點(diǎn)單位全流量進(jìn)行檢測(cè)，將流量數(shù)據(jù)進(jìn)行報(bào)文重組、分片重組和文件還原等操作后，傳送到流檢測(cè)引擎和文件檢測(cè)引擎，通過(guò)流特征庫(kù)、靜態(tài)文件特征檢測(cè)、啟發(fā)式檢測(cè)和人工智能檢測(cè)方式及時(shí)的發(fā)現(xiàn)重點(diǎn)保護(hù)單

6、位的僵木蠕毒事件4、高級(jí)威脅數(shù)據(jù)監(jiān)測(cè)：安全監(jiān)測(cè)子系統(tǒng)需要結(jié)合全部的網(wǎng)絡(luò)流量日志和威脅情報(bào)繼續(xù)持續(xù)性的攻擊追蹤分析。云端IOC威脅情報(bào)覆蓋攻擊者使用的域名、IP、URL、MD5等一系列網(wǎng)絡(luò)基礎(chǔ)設(shè)施或攻擊武器信息，同時(shí)威脅情報(bào)中還包含了通過(guò)互聯(lián)網(wǎng)大數(shù)據(jù)分析得到的APT攻擊組織的相關(guān)背景信息，這對(duì)于APT攻擊監(jiān)測(cè)將提供至關(guān)重要的作用。1.1.2 態(tài)勢(shì)感知子系統(tǒng)態(tài)勢(shì)感知系統(tǒng)基于多源數(shù)據(jù)支持安全威脅監(jiān)測(cè)以及安全威脅突出情況的分析展示。綜合利用各種獲取的大數(shù)據(jù)，利用大數(shù)據(jù)技術(shù)進(jìn)行分析挖掘，實(shí)時(shí)掌握網(wǎng)絡(luò)攻擊對(duì)手情況、攻擊手段、攻擊目標(biāo)、攻擊結(jié)果以及網(wǎng)絡(luò)自身存在的隱患、問(wèn)題、風(fēng)險(xiǎn)等情況，對(duì)比歷史數(shù)據(jù)，形成趨勢(shì)

7、性、合理性判斷，為通報(bào)預(yù)警提供重要支撐。該模塊支持對(duì)網(wǎng)絡(luò)空間安全態(tài)勢(shì)進(jìn)行全方位、多層次、多角度、細(xì)粒度感知，包括但不限于對(duì)重點(diǎn)行業(yè)、重點(diǎn)單位、重點(diǎn)網(wǎng)站，重要信息系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等保護(hù)對(duì)象的態(tài)勢(shì)進(jìn)行感知。態(tài)勢(shì)感知子系統(tǒng)分為兩部分：態(tài)勢(shì)分析和態(tài)勢(shì)呈現(xiàn)態(tài)勢(shì)分析：針對(duì)重保單位、網(wǎng)站數(shù)據(jù)采集分析，通過(guò)安全監(jiān)測(cè)子系統(tǒng)對(duì)DDos攻擊監(jiān)測(cè)、高級(jí)威脅攻擊檢測(cè)與APT攻擊檢測(cè)、僵木蠕毒檢測(cè)、IDS檢測(cè)等功能，通過(guò)惡意代碼檢測(cè)、異常流量分析、威脅分析等技術(shù)進(jìn)行宏觀分析后，以監(jiān)管單位為視角，對(duì)本項(xiàng)目監(jiān)管范圍下的單位安全狀態(tài)進(jìn)行監(jiān)測(cè)。并且根據(jù)系統(tǒng)內(nèi)置的風(fēng)險(xiǎn)評(píng)估算法給出當(dāng)前被監(jiān)管單位的整體安全評(píng)估。態(tài)勢(shì)呈現(xiàn)：通過(guò)城市安

8、全指數(shù)、區(qū)域安全指數(shù)、單位安全指數(shù)、威脅來(lái)源、攻擊分析、威脅同比、威脅環(huán)比、告警詳細(xì)等呈現(xiàn)整體安全態(tài)勢(shì)。1.1.3 通報(bào)預(yù)警子系統(tǒng)通報(bào)預(yù)警根據(jù)威脅感知、安全監(jiān)測(cè)、追蹤溯源、情報(bào)信息、偵查打擊等模塊獲取的態(tài)勢(shì)、趨勢(shì)、攻擊、威脅、風(fēng)險(xiǎn)、隱患、問(wèn)題等情況，利用通報(bào)預(yù)警模塊匯總、分析、研判，并及時(shí)將情況上報(bào)、通報(bào)、下達(dá)，進(jìn)行預(yù)警及快速處置。可采用特定對(duì)象安全評(píng)估通報(bào)、定期綜合通報(bào)、突發(fā)事件通報(bào)、專(zhuān)項(xiàng)通報(bào)等方式進(jìn)行通報(bào)。1.1.4 等保管理子系統(tǒng)等保管理模塊針對(duì)全省信息安全等級(jí)保護(hù)建設(shè)工作進(jìn)行監(jiān)管，通過(guò)等保信息系統(tǒng)管理、等保管理工作處置、等保檢查任務(wù)管理、等保系統(tǒng)資產(chǎn)管理、等保安全事件管理和等保綜合分析

9、報(bào)表對(duì)列管單位及其重要信息系統(tǒng)相關(guān)的備案信息、測(cè)評(píng)信息、整改信息和檢查信息等業(yè)務(wù)數(shù)據(jù)進(jìn)行管理。1.1.5 追蹤溯源子系統(tǒng)追蹤溯源子系統(tǒng)在發(fā)生網(wǎng)絡(luò)攻擊案（事）件或有線索情況下，對(duì)攻擊對(duì)手、其使用的攻擊手段、攻擊途徑、攻擊資源、攻擊位置、攻擊后果等進(jìn)行追蹤溯源和拓展分析，為偵查打擊、安全防范提供支撐。追蹤溯源子系統(tǒng)針對(duì)高級(jí)威脅攻擊、DDoS攻擊、釣魚(yú)攻擊、木馬病毒等惡意行為通過(guò)云端數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析、拓展擴(kuò)線，進(jìn)行事件溯源，為案件偵破提供技術(shù)、數(shù)據(jù)的支撐。通過(guò)關(guān)聯(lián)分析、同源分析、機(jī)器學(xué)習(xí)等技術(shù)手段對(duì)互聯(lián)網(wǎng)端的海量數(shù)據(jù)（典型如：Whois數(shù)據(jù)、惡意軟件樣本MD5、DNS數(shù)據(jù)、網(wǎng)站訪問(wèn)數(shù)據(jù)等）進(jìn)行數(shù)據(jù)梳

10、理與數(shù)據(jù)挖掘，擴(kuò)充互聯(lián)網(wǎng)的惡意行為線索信息，還原出本次惡意行為大體的原貌，并可以通過(guò)惡意網(wǎng)絡(luò)行為的一個(gè)線索擴(kuò)展發(fā)現(xiàn)出更多的諸如攻擊所用的網(wǎng)絡(luò)資源，攻擊者信息，受害人信息等線索。具備根據(jù)源ip、源端口、宿ip、宿端口、傳輸層協(xié)議等條件搜集數(shù)據(jù)，具備聯(lián)通日志、dns解析數(shù)據(jù)以及網(wǎng)絡(luò)安全事件日志的關(guān)聯(lián)挖掘能力等。1.1.6 威脅情報(bào)子系統(tǒng)威脅情報(bào)子系統(tǒng)通過(guò)采集360云端獲取APT及高級(jí)威脅事件分析、黑產(chǎn)事件分析、影響范圍較廣的關(guān)鍵漏洞分析等威脅情報(bào)信息，將其中抽取出來(lái)的攻擊手法分析、攻擊組織分析、攻擊資源分析等信息，利用通報(bào)處置核心組件接口，向本地其他核心組件及有關(guān)部門(mén)進(jìn)行情報(bào)報(bào)送。利用情報(bào)數(shù)據(jù)確定

11、和處置安全事件后情報(bào)信息核心組件提供情報(bào)處置審計(jì)追蹤的功能，對(duì)基于情報(bào)處置的安全事件進(jìn)行處置流程、處置結(jié)果、處置經(jīng)驗(yàn)等信息進(jìn)行審計(jì)追蹤并歸檔，便于后續(xù)安全事件的分析處置，提高安全事件處置工作效率。1.1.7 指揮調(diào)度子系統(tǒng)指揮調(diào)度模塊主要用于在重要會(huì)議或重大活動(dòng)期間，加強(qiáng)網(wǎng)絡(luò)安保人員調(diào)度，全方位全天候掌握我省與活動(dòng)相關(guān)的單位、系統(tǒng)和網(wǎng)站安全狀況，及時(shí)通報(bào)預(yù)警網(wǎng)絡(luò)安全隱患，高效處置網(wǎng)絡(luò)安全案事件。協(xié)同多家技術(shù)支撐單位、互聯(lián)網(wǎng)安全廠商、網(wǎng)絡(luò)安全專(zhuān)家以及其他職能部門(mén)保障整個(gè)過(guò)程的網(wǎng)絡(luò)安全和數(shù)據(jù)安全，實(shí)現(xiàn)網(wǎng)絡(luò)安全的態(tài)勢(shì)感知、監(jiān)測(cè)預(yù)警、指揮調(diào)度、通知通告、應(yīng)急處置及協(xié)同技術(shù)支持等能力，對(duì)網(wǎng)絡(luò)安全威脅、風(fēng)

12、險(xiǎn)、隱患、突發(fā)事件、攻擊等進(jìn)行通報(bào)預(yù)警，對(duì)重點(diǎn)保護(hù)對(duì)象進(jìn)行全要素?cái)?shù)據(jù)采集，重點(diǎn)保護(hù)，并進(jìn)行全要素顯示和展示，實(shí)現(xiàn)重保期間全方位全天候的指揮調(diào)度能力。1.1.8 偵查調(diào)查子系統(tǒng)偵查調(diào)查核心組件主要涉及網(wǎng)絡(luò)案事件的處置工作，在案事件發(fā)生后，辦案民警利用該功能模塊進(jìn)行調(diào)查、取證，查找攻擊來(lái)源、攻擊手段以及攻擊者等基本情況，形成案件線索，有必要時(shí)可以提供給網(wǎng)綜平臺(tái)，協(xié)助網(wǎng)絡(luò)案情的偵查打擊。同時(shí)提供案事件處置狀態(tài)的跟蹤與溝通，實(shí)現(xiàn)對(duì)案事件的閉環(huán)業(yè)務(wù)處理。1.1.9 應(yīng)急處置子系統(tǒng)應(yīng)急處置根據(jù)安全監(jiān)測(cè)發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊、重大安全隱患等情況及相關(guān)部門(mén)通報(bào)的情況，下達(dá)網(wǎng)絡(luò)安全事件快速處置指令。指令接收部門(mén)按照處置

13、要求和規(guī)范進(jìn)行事件處置，及時(shí)消除影響和危害，開(kāi)展現(xiàn)場(chǎng)勘察，固定證據(jù)，快速恢復(fù)。對(duì)事件處置情況、現(xiàn)場(chǎng)勘察情況以及證據(jù)等方面情況及時(shí)建檔、歸檔并入庫(kù)。1.1.10 移動(dòng)APP提供手機(jī)APP應(yīng)用功能，用于發(fā)布信息安全通報(bào)、信息安全通告、等保政法規(guī)、風(fēng)險(xiǎn)提示等信息。通報(bào)預(yù)警、快速處置等可以通過(guò)平臺(tái)與移動(dòng)APP相結(jié)合的方式進(jìn)行通報(bào)實(shí)現(xiàn)。預(yù)警通報(bào)可以采用移動(dòng)APP通知相關(guān)負(fù)責(zé)人。經(jīng)過(guò)網(wǎng)安專(zhuān)網(wǎng)下發(fā)到相關(guān)單位，使相關(guān)單位能夠及時(shí)接收并處置，移動(dòng)APP支持多級(jí)組織機(jī)構(gòu)管理，針對(duì)公安用戶提供網(wǎng)絡(luò)安全監(jiān)測(cè)和通報(bào)數(shù)據(jù)管理的功能，針對(duì)重保單位用戶提供通報(bào)消息通知和公開(kāi)預(yù)警通報(bào)查看功能。1.1.11 運(yùn)營(yíng)工作臺(tái)子系統(tǒng)運(yùn)營(yíng)

14、工作臺(tái)子系統(tǒng)為安服人員提供日常工作的待辦提醒以及快捷入口并能體現(xiàn)日常工作的成果，日常工作包括：資產(chǎn)維護(hù)、告警分析確認(rèn)、安全事件深度分析（攻擊者、受害者、攻擊鏈）、相關(guān)通告的下發(fā)、現(xiàn)場(chǎng)檢查、應(yīng)急響應(yīng)、各類(lèi)報(bào)告的定期生成。提供日常運(yùn)營(yíng)常用工具的使用。具備平臺(tái)日常的設(shè)備、服務(wù)、數(shù)據(jù)的狀態(tài)監(jiān)聽(tīng)功能。前場(chǎng)安服人員，能夠在系統(tǒng)的規(guī)范下，更好的運(yùn)營(yíng)系統(tǒng)，最大限度的發(fā)揮平臺(tái)的價(jià)值。1.2 網(wǎng)絡(luò)空間安全數(shù)據(jù)采集系統(tǒng)建設(shè)安全數(shù)據(jù)采集能力建設(shè)是平臺(tái)建設(shè)的基礎(chǔ)，為大數(shù)據(jù)安全分析、安全態(tài)勢(shì)呈現(xiàn)、通報(bào)預(yù)警、應(yīng)急處置、等保管理、追蹤溯源、威脅情報(bào)和指揮調(diào)度等業(yè)務(wù)模塊提供數(shù)據(jù)資源。安全數(shù)據(jù)采集能力建設(shè)主要包括以下內(nèi)容：1.

15、流量采集與分配2. 高級(jí)威脅監(jiān)測(cè)與采集3. 僵木蠕毒監(jiān)測(cè)與采集4. 云端威脅情報(bào)采集5. DDoS攻擊監(jiān)測(cè)與采集6. 網(wǎng)站云安全監(jiān)測(cè)與采集7. 等級(jí)保護(hù)數(shù)據(jù)采集8. 其他業(yè)務(wù)系統(tǒng)數(shù)據(jù)采集1.2.1 流量采集與分配根據(jù)項(xiàng)目情況可采集城域網(wǎng)流量、重保單位出口流量、IDC機(jī)房流量、電子政務(wù)外網(wǎng)流量：重保單位出口流量：根據(jù)業(yè)務(wù)需要在重保單位出口進(jìn)行全流量采集，采集的流量通過(guò)流量采集設(shè)備做全量的鏡像流量分析和檢測(cè)，并還原成標(biāo)準(zhǔn)化日志。城域網(wǎng)流量：根據(jù)業(yè)務(wù)需要可在城域網(wǎng)出口進(jìn)行流量抽樣采集，采集的流量通過(guò)流量采集設(shè)備做全量的鏡像流量分析和檢測(cè)，并還原成標(biāo)準(zhǔn)化日志。IDC機(jī)房流量：根據(jù)業(yè)務(wù)需要可在IDC機(jī)房

16、進(jìn)行流量抽樣采集，采集的流量通過(guò)流量采集設(shè)備做全量的鏡像流量分析和檢測(cè)，并還原成標(biāo)準(zhǔn)化日志。電子政務(wù)外網(wǎng)流量：根據(jù)業(yè)務(wù)需要可在電子政務(wù)外網(wǎng)機(jī)房進(jìn)行全流量采集，采集的流量通過(guò)流量采集設(shè)備做全量的鏡像流量分析和檢測(cè)，并還原成標(biāo)準(zhǔn)化日志。采集方式如下：分流：正常業(yè)務(wù)數(shù)據(jù)的分流功能，按照五元組規(guī)則將同一個(gè)會(huì)話的所有報(bào)文（即一個(gè)上網(wǎng)用戶的所有數(shù)據(jù)）輸出到同一臺(tái)數(shù)據(jù)處理設(shè)備，并且為所有后臺(tái)數(shù)據(jù)處理設(shè)備提供相對(duì)均衡的流量，保證數(shù)據(jù)的處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。抽樣：未命中規(guī)則的報(bào)文采樣井口采集直接輸出，命中標(biāo)準(zhǔn)規(guī)則的報(bào)文采樣在還原設(shè)備上軟件實(shí)現(xiàn)，然后通過(guò)SDN交換網(wǎng)轉(zhuǎn)發(fā)給第三方用戶使用。復(fù)制：對(duì)重點(diǎn)

17、IP報(bào)文數(shù)據(jù)的復(fù)制，然后轉(zhuǎn)發(fā)給第三方用戶使用。流量自動(dòng)遷移：當(dāng)后臺(tái)個(gè)別數(shù)據(jù)處理設(shè)備出現(xiàn)因硬件或軟件故障死機(jī)時(shí)，SDN分流設(shè)備自動(dòng)將數(shù)據(jù)分發(fā)到其他機(jī)器上，待設(shè)備恢復(fù)正常后，再將數(shù)據(jù)遷移到該設(shè)備上，從而保證數(shù)據(jù)的完整性。1.2.2 高級(jí)威脅監(jiān)測(cè)與采集高級(jí)威脅包括高級(jí)持續(xù)性威脅攻擊（APT）、未知威脅攻擊等，采用流量特征檢測(cè)、自動(dòng)連接關(guān)聯(lián)、行為特征分析和端口匹配技術(shù)，對(duì)城域網(wǎng)的流量進(jìn)行分析，結(jié)合第三方威脅情報(bào)數(shù)據(jù)，及時(shí)發(fā)現(xiàn)針對(duì)我省重保單位的高級(jí)威脅攻擊。具體流量還原使用以下技術(shù)：流量特征檢測(cè)：流量特征識(shí)別方式主要分為兩種：一種是有標(biāo)準(zhǔn)協(xié)議的識(shí)別，標(biāo)準(zhǔn)協(xié)議規(guī)定了特有的消息、命令和狀態(tài)遷移機(jī)制，通過(guò)分析

18、應(yīng)用層內(nèi)的這些專(zhuān)有字段和狀態(tài)，就可以精確可靠地識(shí)別這些協(xié)議；另一種是未公開(kāi)協(xié)議的識(shí)別，一般需要通過(guò)逆向工程分析協(xié)議機(jī)制解密后，采用報(bào)文流的特征字段來(lái)識(shí)別該通信流量。行為特征分析：針對(duì)一些不便于還原的數(shù)據(jù)流量，可以采用行為特征的方法進(jìn)行分析。這種方法不試圖分析出鏈接上面的數(shù)據(jù)，而是使用鏈接的統(tǒng)計(jì)特征，如連接數(shù)、單個(gè)IP的連接模式、上下行流量的比例、數(shù)據(jù)包發(fā)送頻率等指標(biāo)來(lái)區(qū)分應(yīng)用類(lèi)型。端口匹配技術(shù)：端口匹配指協(xié)議與端口的標(biāo)準(zhǔn)對(duì)應(yīng)關(guān)系，根據(jù)TCP/UDP的端口來(lái)識(shí)別應(yīng)用。這種方式具有檢測(cè)效率高的優(yōu)點(diǎn)，弱點(diǎn)是容易被偽造，因此在端口檢測(cè)的基礎(chǔ)上，還需要增加特征檢測(cè)的判斷和分析，進(jìn)一步處理數(shù)據(jù)。通過(guò)以上技

19、術(shù)，采集重保單位全流量并進(jìn)行還原分析，存儲(chǔ)到大數(shù)據(jù)存儲(chǔ)分析平臺(tái)，為感知平臺(tái)提供進(jìn)一步高級(jí)威脅檢測(cè)及溯源追蹤的數(shù)據(jù)基礎(chǔ)。1.2.3 僵木蠕毒監(jiān)測(cè)與采集僵木蠕毒監(jiān)測(cè)主要來(lái)自?xún)煞N方面：一是對(duì)本地城域網(wǎng)抽樣流量和重點(diǎn)單位全流量在檢測(cè)引擎上進(jìn)行檢測(cè)；二是360云端僵木蠕毒平臺(tái)對(duì)國(guó)內(nèi)終端的僵木蠕毒感染信息進(jìn)行采集，通過(guò)對(duì)IP地址/范圍篩選的方式，篩選出屬于本省市的數(shù)據(jù)推送到態(tài)勢(shì)感知平臺(tái)。該數(shù)據(jù)來(lái)源于360云端安全數(shù)據(jù)采集，由于傳統(tǒng)僵木蠕毒檢測(cè)往往需要對(duì)全部鏡像流量進(jìn)行分析，而整個(gè)項(xiàng)目骨干鏈路較大，如果對(duì)全部流量進(jìn)行僵木蠕毒分析將帶來(lái)巨大的資金消耗，也增加系統(tǒng)維護(hù)的復(fù)雜度。而360云端監(jiān)測(cè)方式獲取的主機(jī)僵木

20、蠕毒告警信息可以很好的滿足安全態(tài)勢(shì)方面的需求。360云端僵木蠕毒監(jiān)測(cè)數(shù)據(jù)對(duì)平臺(tái)本地監(jiān)測(cè)數(shù)據(jù)進(jìn)行補(bǔ)充，根據(jù)哈密相關(guān)的域名、IP地址等信息，對(duì)全國(guó)網(wǎng)絡(luò)安全數(shù)據(jù)篩選出XX僵木蠕毒數(shù)據(jù)數(shù)據(jù)，按一定的時(shí)間規(guī)則推送到本地?cái)?shù)據(jù)中心，是對(duì)本地安全監(jiān)測(cè)數(shù)據(jù)資源的重要補(bǔ)充。1.2.4 云端威脅情報(bào)采集高級(jí)威脅情報(bào)來(lái)源于360互聯(lián)網(wǎng)云端安全數(shù)據(jù)采集，需要依賴(lài)于360的互聯(lián)網(wǎng)大數(shù)據(jù)技術(shù)，針對(duì)互聯(lián)網(wǎng)上活躍的數(shù)百億樣本以及樣本的行為做到實(shí)時(shí)追蹤分析，并結(jié)合機(jī)器學(xué)習(xí)、高級(jí)人員運(yùn)營(yíng)等手段對(duì)特定樣本做到事先預(yù)測(cè)和深入分析，逐漸挖掘出一系列與APT攻擊相關(guān)的組織和攻擊行為信息等情報(bào)信息，還有通過(guò)其他方式獲取的攻擊者（敵對(duì)國(guó)家、敵

21、對(duì)勢(shì)力、恐怖組織、黑客組織、不法分子等）情報(bào)信息、攻擊方法手段、攻擊目標(biāo)等情報(bào)信息。1.2.5 DDoS攻擊監(jiān)測(cè)與采集這部分?jǐn)?shù)據(jù)來(lái)源于360云端安全數(shù)據(jù)采集。通過(guò)互聯(lián)網(wǎng)可以對(duì)DDoS攻擊的控制端進(jìn)行監(jiān)控，在云端實(shí)現(xiàn)對(duì)DDoS攻擊的監(jiān)測(cè)與發(fā)現(xiàn)，對(duì)云端的DNS請(qǐng)求數(shù)據(jù)、網(wǎng)絡(luò)連接數(shù)、Netflow數(shù)據(jù)、UDP數(shù)據(jù)、Botnet活動(dòng)數(shù)據(jù)進(jìn)行采集并分析，同時(shí)將分析結(jié)果實(shí)時(shí)推送給本地的大數(shù)據(jù)平臺(tái)數(shù)據(jù)專(zhuān)用存儲(chǔ)引擎，利用360數(shù)據(jù)資源可以對(duì)DDoS監(jiān)控提供整網(wǎng)意義上的追蹤。1.2.6 網(wǎng)站云安全監(jiān)測(cè)與采集網(wǎng)站的監(jiān)測(cè)數(shù)據(jù)主要依托于利用360網(wǎng)站云監(jiān)測(cè)系統(tǒng)，針對(duì)重點(diǎn)網(wǎng)站進(jìn)行漏洞、篡改、可用性、眾測(cè)漏洞、掛馬以及釣

22、魚(yú)網(wǎng)站的監(jiān)測(cè)。360公司根據(jù)本項(xiàng)目網(wǎng)安提供的列表，對(duì)網(wǎng)站進(jìn)行持續(xù)的安全監(jiān)測(cè)，并將監(jiān)測(cè)結(jié)果推送到本地分析中心。網(wǎng)站監(jiān)測(cè)數(shù)據(jù)包含如下幾類(lèi)數(shù)據(jù)：網(wǎng)站暗鏈數(shù)據(jù)、網(wǎng)站掛馬數(shù)據(jù)、網(wǎng)頁(yè)篡改數(shù)據(jù)、釣魚(yú)網(wǎng)站數(shù)據(jù)、網(wǎng)站漏洞數(shù)據(jù)、網(wǎng)站眾測(cè)數(shù)據(jù)、網(wǎng)站可用性數(shù)據(jù)。1.2.7 眾測(cè)漏洞平臺(tái)數(shù)據(jù)360補(bǔ)天漏洞平臺(tái)是漏洞眾測(cè)平臺(tái)，目前平臺(tái)注冊(cè)4萬(wàn)多白帽子，他們會(huì)將發(fā)現(xiàn)的漏洞提交到補(bǔ)天漏洞平臺(tái)，在本項(xiàng)目中可將所轄區(qū)域的漏洞同步到態(tài)勢(shì)感知平臺(tái)，第一時(shí)間通告最新披露的本地網(wǎng)站的漏洞信息。1.2.8 等級(jí)保護(hù)數(shù)據(jù)等級(jí)保護(hù)數(shù)據(jù)采集為等保管理模塊提供重要的數(shù)據(jù)支撐，采用批量導(dǎo)入或手工錄入方式采集等級(jí)保護(hù)單位基本信息、系統(tǒng)定級(jí)備案信息、系

23、統(tǒng)測(cè)評(píng)報(bào)告、檢查信息和整改信息等數(shù)據(jù)。通過(guò)將等級(jí)保護(hù)數(shù)據(jù)與監(jiān)測(cè)數(shù)據(jù)深度關(guān)聯(lián)，全面反映我省重要信息系統(tǒng)的安全狀況。等級(jí)保護(hù)數(shù)據(jù)采集的結(jié)果存入等級(jí)保護(hù)基礎(chǔ)庫(kù)，作為大數(shù)據(jù)中心基礎(chǔ)資源庫(kù)的重要組成部分。1.2.9 其他業(yè)務(wù)系統(tǒng)數(shù)據(jù)可以與“網(wǎng)安綜合應(yīng)用平臺(tái)”通過(guò)調(diào)用查詢(xún)接口、實(shí)時(shí)布控接口以及數(shù)據(jù)資源調(diào)用接口進(jìn)行對(duì)接，獲得網(wǎng)絡(luò)安全惡意行為數(shù)據(jù)以及相關(guān)虛擬身份、網(wǎng)絡(luò)行為數(shù)據(jù)等數(shù)據(jù)。也可以將平臺(tái)關(guān)聯(lián)分析與轉(zhuǎn)化，形成的網(wǎng)絡(luò)攻擊重點(diǎn)人、歷史重大網(wǎng)絡(luò)安全事件數(shù)據(jù)等共享給“網(wǎng)安綜合應(yīng)用平臺(tái)”供網(wǎng)安業(yè)務(wù)部門(mén)使用。1.3 網(wǎng)絡(luò)違法犯罪發(fā)現(xiàn)預(yù)警系統(tǒng)建設(shè)模型名稱(chēng)模型說(shuō)明企業(yè)法人股東傳銷(xiāo)經(jīng)歷預(yù)警如果企業(yè)的法人、股東曾經(jīng)是傳銷(xiāo)組

24、織的核心成員，對(duì)企業(yè)進(jìn)行預(yù)警疑似傳銷(xiāo)企業(yè)網(wǎng)絡(luò)輿情預(yù)警如果網(wǎng)絡(luò)中出現(xiàn)咨詢(xún)、懷疑、舉報(bào)、曝光企業(yè)涉嫌傳銷(xiāo)的輿情，對(duì)企業(yè)進(jìn)行預(yù)警110報(bào)警疑似傳銷(xiāo)企業(yè)預(yù)警發(fā)生對(duì)某企業(yè)傳銷(xiāo)的110報(bào)警，對(duì)企業(yè)進(jìn)行預(yù)警網(wǎng)站程序具有傳銷(xiāo)特征預(yù)警分析ICP備案網(wǎng)站或企業(yè)的網(wǎng)站網(wǎng)頁(yè)代碼，如果符合以往發(fā)現(xiàn)的傳銷(xiāo)網(wǎng)站的代碼特征，對(duì)企業(yè)進(jìn)行預(yù)警企業(yè)法人股東親屬傳銷(xiāo)經(jīng)歷預(yù)警如果企業(yè)的法人、股東的親屬曾經(jīng)是傳銷(xiāo)組織的核心成員，對(duì)企業(yè)進(jìn)行預(yù)警企業(yè)法人股東與傳銷(xiāo)人員同住預(yù)警如果出現(xiàn)企業(yè)的法人、股東頻繁和歷史傳銷(xiāo)組織核心成員多次同住，對(duì)企業(yè)進(jìn)行預(yù)警疑似傳銷(xiāo)企業(yè)被法院裁判預(yù)警如果企業(yè)曾經(jīng)被法院裁判過(guò)，對(duì)企業(yè)進(jìn)行預(yù)警疑似傳銷(xiāo)企業(yè)被行政處罰預(yù)警如

25、果企業(yè)曾經(jīng)被行政處罰過(guò)，對(duì)企業(yè)進(jìn)行預(yù)警疑似傳銷(xiāo)企業(yè)納稅異常預(yù)警如果企業(yè)的營(yíng)業(yè)流水和納稅差異很大，對(duì)企業(yè)進(jìn)行預(yù)警企業(yè)法人股東經(jīng)濟(jì)犯罪前科預(yù)警如果企業(yè)的法人、股東曾經(jīng)有過(guò)經(jīng)濟(jì)犯罪前科，對(duì)企業(yè)進(jìn)行預(yù)警企業(yè)地址頻繁變更異常預(yù)警如果企業(yè)注冊(cè)地址短期內(nèi)多次變更，對(duì)企業(yè)進(jìn)行預(yù)警產(chǎn)品宣傳疑似傳銷(xiāo)預(yù)警如果企業(yè)的理財(cái)產(chǎn)品、實(shí)物產(chǎn)品、商城商品的銷(xiāo)售具有返利、積分、會(huì)費(fèi)、多級(jí)提成等傳銷(xiāo)特征，對(duì)企業(yè)進(jìn)行預(yù)警企業(yè)/法人集中投資異常預(yù)警如果出現(xiàn)企業(yè)/法人在短期內(nèi)在各地注冊(cè)多家分支機(jī)構(gòu)、投資多家企業(yè)，快速擴(kuò)張的情況，對(duì)企業(yè)進(jìn)行預(yù)警疑似傳銷(xiāo)企業(yè)招聘異常預(yù)警如果出現(xiàn)企業(yè)招聘信息和企業(yè)的經(jīng)營(yíng)范圍不符合的情況（如高科技研究企業(yè)大量招

26、聘低學(xué)歷的業(yè)務(wù)人員），對(duì)企業(yè)進(jìn)行預(yù)警疑似傳銷(xiāo)企業(yè)租賃異常預(yù)警如果出現(xiàn)企業(yè)全國(guó)各地進(jìn)行短期租房的情況（疑似進(jìn)行傳銷(xiāo)傳播活動(dòng)），對(duì)企業(yè)進(jìn)行預(yù)警傳銷(xiāo)人員流入流出異常預(yù)警監(jiān)控歷史傳銷(xiāo)組織核心成員流入貴陽(yáng)的情況，如果每月流入大于流出，即進(jìn)行預(yù)警傳銷(xiāo)人員同行、同住、聚集異常預(yù)警如果出現(xiàn)歷史傳銷(xiāo)組織核心成員出現(xiàn)頻繁同行、同住、聚集（多人）的情況，即進(jìn)行預(yù)警疑似傳銷(xiāo)人員手機(jī)通訊錄異常預(yù)警如果手機(jī)通聯(lián)記錄中出現(xiàn)歷史傳銷(xiāo)組織核心成員，對(duì)通聯(lián)密切的人員進(jìn)行預(yù)警100報(bào)警疑似傳銷(xiāo)窩點(diǎn)預(yù)警發(fā)生對(duì)某小區(qū)（樓棟）在進(jìn)行傳銷(xiāo)活動(dòng)的110報(bào)警，對(duì)小區(qū)（樓棟）進(jìn)行預(yù)警110報(bào)警疑似傳銷(xiāo)項(xiàng)目預(yù)警發(fā)生對(duì)傳銷(xiāo)項(xiàng)目的110報(bào)警，對(duì)傳銷(xiāo)項(xiàng)

27、目進(jìn)行預(yù)警疑似傳銷(xiāo)QQ群信息異常預(yù)警如果QQ群中高頻出現(xiàn)傳銷(xiāo)黑名單中內(nèi)容、或傳銷(xiāo)傳播相關(guān)關(guān)鍵詞（如返利、積分、會(huì)費(fèi)、提成、財(cái)富、成功等），對(duì)QQ群進(jìn)行預(yù)警疑似傳銷(xiāo)微信群信息異常預(yù)警如果微信群中高頻出現(xiàn)傳銷(xiāo)黑名單中內(nèi)容、或傳銷(xiāo)傳播相關(guān)關(guān)鍵詞（如返利、積分、會(huì)費(fèi)、提成、財(cái)富、成功等），對(duì)微信群進(jìn)行預(yù)警上述模型是已經(jīng)在以往項(xiàng)目中實(shí)現(xiàn)的模型，基于大數(shù)據(jù)建模，可根據(jù)哈密業(yè)務(wù)特點(diǎn)、所獲得的數(shù)據(jù)特點(diǎn)有針對(duì)性的建立業(yè)務(wù)模型。1.4 設(shè)備清單與預(yù)算（擬每秒20G流量，存儲(chǔ)時(shí)間90天，計(jì)算流量采集和存儲(chǔ)分析專(zhuān)用設(shè)備）硬件設(shè)備購(gòu)置費(fèi)（萬(wàn)元）序號(hào)類(lèi)型硬件設(shè)備名稱(chēng)性能或參數(shù)單位數(shù)量單價(jià)（萬(wàn)）總價(jià)（萬(wàn)）1數(shù)據(jù)采集設(shè)備ID

28、C流量匯聚節(jié)點(diǎn)網(wǎng)絡(luò)流量探針多核AMP+架構(gòu)，同時(shí)開(kāi)啟網(wǎng)絡(luò)流量采集、威脅數(shù)據(jù)采集和日志上報(bào)功能情況下混合流（模擬企業(yè)級(jí)網(wǎng)絡(luò)真實(shí)場(chǎng)景流量）吞吐量20Gbps，HTTP并發(fā)連接數(shù)1200萬(wàn)，HTTP新建連接速率50萬(wàn)/秒；3U機(jī)箱，冗余電源，標(biāo)準(zhǔn)配置1個(gè)10/100/1000M專(zhuān)用管理接口，1個(gè)Console口，8個(gè)接口擴(kuò)展板卡插槽（根據(jù)實(shí)際需求，靈活選配接口板卡類(lèi)型），報(bào)價(jià)中包括一年全功能特征庫(kù)升級(jí)服務(wù)，包括3年硬件維修服務(wù)。臺(tái)155552互聯(lián)網(wǎng)數(shù)據(jù)采集設(shè)備專(zhuān)用設(shè)備，用于接收云端數(shù)據(jù)前置機(jī)后置機(jī)，軟硬件一體化產(chǎn)品，設(shè)備為2U機(jī)架式硬件，專(zhuān)用高容錯(cuò)率企業(yè)級(jí)硬盤(pán)4T，4×1GE電口，AC 220V 550w冗余電源，32G內(nèi)存，2×6核CPU，支持日志采集性能20萬(wàn)Eps，解析性能2萬(wàn)Eps。臺(tái)213.5273存儲(chǔ)分析設(shè)備態(tài)