網(wǎng)絡(luò)空間安全態(tài)勢感知與大數(shù)據(jù)分析平臺建設(shè)方案V1.0參考模板_第1頁
網(wǎng)絡(luò)空間安全態(tài)勢感知與大數(shù)據(jù)分析平臺建設(shè)方案V1.0參考模板_第2頁
網(wǎng)絡(luò)空間安全態(tài)勢感知與大數(shù)據(jù)分析平臺建設(shè)方案V1.0參考模板_第3頁
網(wǎng)絡(luò)空間安全態(tài)勢感知與大數(shù)據(jù)分析平臺建設(shè)方案V1.0參考模板_第4頁
網(wǎng)絡(luò)空間安全態(tài)勢感知與大數(shù)據(jù)分析平臺建設(shè)方案V1.0參考模板_第5頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、網(wǎng)絡(luò)空間安全態(tài)勢感知與大數(shù)據(jù)分析平臺建設(shè)方案網(wǎng)絡(luò)空間安全態(tài)勢感知與大數(shù)據(jù)分析平臺建立在大數(shù)據(jù)基礎(chǔ)架構(gòu)的基礎(chǔ)上,涉及大數(shù)據(jù)智能建模平臺建設(shè)、業(yè)務(wù)能力與關(guān)鍵應(yīng)用的建設(shè)、網(wǎng)絡(luò)安全數(shù)據(jù)采集和后期的運營支持服務(wù)。1.1 網(wǎng)絡(luò)空間態(tài)勢感知系統(tǒng)系統(tǒng)建設(shè)平臺按系統(tǒng)功能可分為兩大部分:日常威脅感知和戰(zhàn)時指揮調(diào)度應(yīng)急處置。日常感知部分包括大數(shù)據(jù)安全分析模塊、安全態(tài)勢感知呈現(xiàn)模塊、等保管理模塊和通報預(yù)警模塊等。該部分面向業(yè)務(wù)工作人員提供相應(yīng)的安全態(tài)勢感知和通報預(yù)警功能,及時感知發(fā)生的安全事件,并根據(jù)安全事件的危害程度啟用不同的處置機制。戰(zhàn)時處置部分提供從平時網(wǎng)絡(luò)態(tài)勢監(jiān)測到戰(zhàn)時突發(fā)應(yīng)急、指揮調(diào)度的快速轉(zhuǎn)換能力,統(tǒng)籌指

2、揮安全專家、技術(shù)支持單位、被監(jiān)管單位以及各個職能部門,進行協(xié)同高效的應(yīng)急處置和安全保障,同時為哈密各單位提升網(wǎng)絡(luò)安全防御能力進行流程管理,定期組織攻防演練。1.1.1 安全監(jiān)測子系統(tǒng)安全監(jiān)測子系統(tǒng)實時監(jiān)測哈密全市網(wǎng)絡(luò)安全情況,及時發(fā)現(xiàn)國際敵對勢力、黑客組織等不法分子的攻擊活動、攻擊手段和攻擊目的,全面監(jiān)測哈密全市重保單位信息系統(tǒng)和網(wǎng)絡(luò),實現(xiàn)對安全漏洞、威脅隱患、高級威脅攻擊的發(fā)現(xiàn)和識別,并為通報處置和偵查調(diào)查等業(yè)務(wù)子系統(tǒng)提供強有力的數(shù)據(jù)支撐。安全監(jiān)測子系統(tǒng)有六類安全威脅監(jiān)測的能力:一類是網(wǎng)站云監(jiān)測,發(fā)現(xiàn)網(wǎng)站可用性的監(jiān)測、網(wǎng)站漏洞、網(wǎng)站掛馬、網(wǎng)站篡改(黑鏈/暗鏈)、釣魚網(wǎng)站、和訪問異常等安全事件

3、第二類是眾測漏洞平臺的漏洞發(fā)現(xiàn)能力,目前360補天漏洞眾測平臺注冊有4萬多白帽子,他們提交的漏洞會定期同步到態(tài)勢感知平臺,加強平臺漏洞發(fā)現(xiàn)的能力。第三類是對流量的檢測,把重保單位的流量、城域網(wǎng)流量、電子政務(wù)外網(wǎng)流量、IDC機房流量等流量采集上來后進行檢測,發(fā)現(xiàn)webshell等攻擊利用事件。第四類把流量日志存在大數(shù)據(jù)的平臺里,與云端IOC威脅情報進行比對,發(fā)現(xiàn)APT等高級威脅告警。第五類是把安全專家的分析和挖掘能力在平臺落地,寫成腳本,與流量日志比對,把流量的歷史、各種因素都關(guān)聯(lián)起來,發(fā)現(xiàn)深度的威脅。第六類是基于機器學(xué)習(xí)模型和安全運營專家,把已經(jīng)發(fā)現(xiàn)告警進行深層次的挖掘分析和關(guān)聯(lián),發(fā)現(xiàn)更深層次

4、的安全威脅。1 / 131、網(wǎng)站安全數(shù)據(jù)監(jiān)測:采用云監(jiān)測、互聯(lián)網(wǎng)漏洞眾測平臺及云多點探測等技術(shù),實現(xiàn)對重點網(wǎng)站安全性與可用性的監(jiān)測,及時發(fā)現(xiàn)網(wǎng)站漏洞、網(wǎng)站掛馬、網(wǎng)站篡改(黑鏈/暗鏈)、釣魚網(wǎng)站、眾測漏洞和訪問異常等安全事件。2、DDOS攻擊數(shù)據(jù)監(jiān)測:在云端實現(xiàn)對DDoS攻擊的監(jiān)測與發(fā)現(xiàn),對云端的DNS請求數(shù)據(jù)、網(wǎng)絡(luò)連接數(shù)、Netflow數(shù)據(jù)、UDP數(shù)據(jù)、Botnet活動數(shù)據(jù)進行采集并分析,同時將分析結(jié)果實時推送給本地的大數(shù)據(jù)平臺數(shù)據(jù)專用存儲引擎;目前云監(jiān)控中心擁有全國30多個省的流量監(jiān)控資源,可以快速獲取互聯(lián)網(wǎng)上DDoS攻擊的異常流量信息,利用互聯(lián)網(wǎng)廠商的云監(jiān)控資源,結(jié)合本地運營商抽樣采集的數(shù)

5、據(jù),才能快速有效發(fā)現(xiàn)DDoS攻擊,同時對攻擊進行追蹤并溯源。3、僵木蠕毒數(shù)據(jù)監(jiān)測:通過云端下發(fā)本地數(shù)據(jù),結(jié)合流量數(shù)據(jù)進行分析,快速發(fā)現(xiàn)本省市感染“僵木蠕毒”的數(shù)據(jù)。僵木蠕毒監(jiān)測主要來自兩種方面:一是360云端僵木蠕毒平臺對國內(nèi)終端的僵木蠕毒感染信息進行采集,如果命中本省市終端僵木蠕毒感染數(shù)據(jù),通過對IP地址/范圍篩選的方式,篩選出屬于本省市的數(shù)據(jù),利用加密數(shù)據(jù)通道推送到態(tài)勢感知平臺;二是對本地城域網(wǎng)流量抽樣和重點單位全流量進行檢測,將流量數(shù)據(jù)進行報文重組、分片重組和文件還原等操作后,傳送到流檢測引擎和文件檢測引擎,通過流特征庫、靜態(tài)文件特征檢測、啟發(fā)式檢測和人工智能檢測方式及時的發(fā)現(xiàn)重點保護單

6、位的僵木蠕毒事件4、高級威脅數(shù)據(jù)監(jiān)測:安全監(jiān)測子系統(tǒng)需要結(jié)合全部的網(wǎng)絡(luò)流量日志和威脅情報繼續(xù)持續(xù)性的攻擊追蹤分析。云端IOC威脅情報覆蓋攻擊者使用的域名、IP、URL、MD5等一系列網(wǎng)絡(luò)基礎(chǔ)設(shè)施或攻擊武器信息,同時威脅情報中還包含了通過互聯(lián)網(wǎng)大數(shù)據(jù)分析得到的APT攻擊組織的相關(guān)背景信息,這對于APT攻擊監(jiān)測將提供至關(guān)重要的作用。1.1.2 態(tài)勢感知子系統(tǒng)態(tài)勢感知系統(tǒng)基于多源數(shù)據(jù)支持安全威脅監(jiān)測以及安全威脅突出情況的分析展示。綜合利用各種獲取的大數(shù)據(jù),利用大數(shù)據(jù)技術(shù)進行分析挖掘,實時掌握網(wǎng)絡(luò)攻擊對手情況、攻擊手段、攻擊目標、攻擊結(jié)果以及網(wǎng)絡(luò)自身存在的隱患、問題、風(fēng)險等情況,對比歷史數(shù)據(jù),形成趨勢

7、性、合理性判斷,為通報預(yù)警提供重要支撐。該模塊支持對網(wǎng)絡(luò)空間安全態(tài)勢進行全方位、多層次、多角度、細粒度感知,包括但不限于對重點行業(yè)、重點單位、重點網(wǎng)站,重要信息系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等保護對象的態(tài)勢進行感知。態(tài)勢感知子系統(tǒng)分為兩部分:態(tài)勢分析和態(tài)勢呈現(xiàn)態(tài)勢分析:針對重保單位、網(wǎng)站數(shù)據(jù)采集分析,通過安全監(jiān)測子系統(tǒng)對DDos攻擊監(jiān)測、高級威脅攻擊檢測與APT攻擊檢測、僵木蠕毒檢測、IDS檢測等功能,通過惡意代碼檢測、異常流量分析、威脅分析等技術(shù)進行宏觀分析后,以監(jiān)管單位為視角,對本項目監(jiān)管范圍下的單位安全狀態(tài)進行監(jiān)測。并且根據(jù)系統(tǒng)內(nèi)置的風(fēng)險評估算法給出當(dāng)前被監(jiān)管單位的整體安全評估。態(tài)勢呈現(xiàn):通過城市安

8、全指數(shù)、區(qū)域安全指數(shù)、單位安全指數(shù)、威脅來源、攻擊分析、威脅同比、威脅環(huán)比、告警詳細等呈現(xiàn)整體安全態(tài)勢。1.1.3 通報預(yù)警子系統(tǒng)通報預(yù)警根據(jù)威脅感知、安全監(jiān)測、追蹤溯源、情報信息、偵查打擊等模塊獲取的態(tài)勢、趨勢、攻擊、威脅、風(fēng)險、隱患、問題等情況,利用通報預(yù)警模塊匯總、分析、研判,并及時將情況上報、通報、下達,進行預(yù)警及快速處置??刹捎锰囟▽ο蟀踩u估通報、定期綜合通報、突發(fā)事件通報、專項通報等方式進行通報。1.1.4 等保管理子系統(tǒng)等保管理模塊針對全省信息安全等級保護建設(shè)工作進行監(jiān)管,通過等保信息系統(tǒng)管理、等保管理工作處置、等保檢查任務(wù)管理、等保系統(tǒng)資產(chǎn)管理、等保安全事件管理和等保綜合分析

9、報表對列管單位及其重要信息系統(tǒng)相關(guān)的備案信息、測評信息、整改信息和檢查信息等業(yè)務(wù)數(shù)據(jù)進行管理。1.1.5 追蹤溯源子系統(tǒng)追蹤溯源子系統(tǒng)在發(fā)生網(wǎng)絡(luò)攻擊案(事)件或有線索情況下,對攻擊對手、其使用的攻擊手段、攻擊途徑、攻擊資源、攻擊位置、攻擊后果等進行追蹤溯源和拓展分析,為偵查打擊、安全防范提供支撐。追蹤溯源子系統(tǒng)針對高級威脅攻擊、DDoS攻擊、釣魚攻擊、木馬病毒等惡意行為通過云端數(shù)據(jù)進行關(guān)聯(lián)分析、拓展擴線,進行事件溯源,為案件偵破提供技術(shù)、數(shù)據(jù)的支撐。通過關(guān)聯(lián)分析、同源分析、機器學(xué)習(xí)等技術(shù)手段對互聯(lián)網(wǎng)端的海量數(shù)據(jù)(典型如:Whois數(shù)據(jù)、惡意軟件樣本MD5、DNS數(shù)據(jù)、網(wǎng)站訪問數(shù)據(jù)等)進行數(shù)據(jù)梳

10、理與數(shù)據(jù)挖掘,擴充互聯(lián)網(wǎng)的惡意行為線索信息,還原出本次惡意行為大體的原貌,并可以通過惡意網(wǎng)絡(luò)行為的一個線索擴展發(fā)現(xiàn)出更多的諸如攻擊所用的網(wǎng)絡(luò)資源,攻擊者信息,受害人信息等線索。具備根據(jù)源ip、源端口、宿ip、宿端口、傳輸層協(xié)議等條件搜集數(shù)據(jù),具備聯(lián)通日志、dns解析數(shù)據(jù)以及網(wǎng)絡(luò)安全事件日志的關(guān)聯(lián)挖掘能力等。1.1.6 威脅情報子系統(tǒng)威脅情報子系統(tǒng)通過采集360云端獲取APT及高級威脅事件分析、黑產(chǎn)事件分析、影響范圍較廣的關(guān)鍵漏洞分析等威脅情報信息,將其中抽取出來的攻擊手法分析、攻擊組織分析、攻擊資源分析等信息,利用通報處置核心組件接口,向本地其他核心組件及有關(guān)部門進行情報報送。利用情報數(shù)據(jù)確定

11、和處置安全事件后情報信息核心組件提供情報處置審計追蹤的功能,對基于情報處置的安全事件進行處置流程、處置結(jié)果、處置經(jīng)驗等信息進行審計追蹤并歸檔,便于后續(xù)安全事件的分析處置,提高安全事件處置工作效率。1.1.7 指揮調(diào)度子系統(tǒng)指揮調(diào)度模塊主要用于在重要會議或重大活動期間,加強網(wǎng)絡(luò)安保人員調(diào)度,全方位全天候掌握我省與活動相關(guān)的單位、系統(tǒng)和網(wǎng)站安全狀況,及時通報預(yù)警網(wǎng)絡(luò)安全隱患,高效處置網(wǎng)絡(luò)安全案事件。協(xié)同多家技術(shù)支撐單位、互聯(lián)網(wǎng)安全廠商、網(wǎng)絡(luò)安全專家以及其他職能部門保障整個過程的網(wǎng)絡(luò)安全和數(shù)據(jù)安全,實現(xiàn)網(wǎng)絡(luò)安全的態(tài)勢感知、監(jiān)測預(yù)警、指揮調(diào)度、通知通告、應(yīng)急處置及協(xié)同技術(shù)支持等能力,對網(wǎng)絡(luò)安全威脅、風(fēng)

12、險、隱患、突發(fā)事件、攻擊等進行通報預(yù)警,對重點保護對象進行全要素數(shù)據(jù)采集,重點保護,并進行全要素顯示和展示,實現(xiàn)重保期間全方位全天候的指揮調(diào)度能力。1.1.8 偵查調(diào)查子系統(tǒng)偵查調(diào)查核心組件主要涉及網(wǎng)絡(luò)案事件的處置工作,在案事件發(fā)生后,辦案民警利用該功能模塊進行調(diào)查、取證,查找攻擊來源、攻擊手段以及攻擊者等基本情況,形成案件線索,有必要時可以提供給網(wǎng)綜平臺,協(xié)助網(wǎng)絡(luò)案情的偵查打擊。同時提供案事件處置狀態(tài)的跟蹤與溝通,實現(xiàn)對案事件的閉環(huán)業(yè)務(wù)處理。1.1.9 應(yīng)急處置子系統(tǒng)應(yīng)急處置根據(jù)安全監(jiān)測發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊、重大安全隱患等情況及相關(guān)部門通報的情況,下達網(wǎng)絡(luò)安全事件快速處置指令。指令接收部門按照處置

13、要求和規(guī)范進行事件處置,及時消除影響和危害,開展現(xiàn)場勘察,固定證據(jù),快速恢復(fù)。對事件處置情況、現(xiàn)場勘察情況以及證據(jù)等方面情況及時建檔、歸檔并入庫。1.1.10 移動APP提供手機APP應(yīng)用功能,用于發(fā)布信息安全通報、信息安全通告、等保政法規(guī)、風(fēng)險提示等信息。通報預(yù)警、快速處置等可以通過平臺與移動APP相結(jié)合的方式進行通報實現(xiàn)。預(yù)警通報可以采用移動APP通知相關(guān)負責(zé)人。經(jīng)過網(wǎng)安專網(wǎng)下發(fā)到相關(guān)單位,使相關(guān)單位能夠及時接收并處置,移動APP支持多級組織機構(gòu)管理,針對公安用戶提供網(wǎng)絡(luò)安全監(jiān)測和通報數(shù)據(jù)管理的功能,針對重保單位用戶提供通報消息通知和公開預(yù)警通報查看功能。1.1.11 運營工作臺子系統(tǒng)運營

14、工作臺子系統(tǒng)為安服人員提供日常工作的待辦提醒以及快捷入口并能體現(xiàn)日常工作的成果,日常工作包括:資產(chǎn)維護、告警分析確認、安全事件深度分析(攻擊者、受害者、攻擊鏈)、相關(guān)通告的下發(fā)、現(xiàn)場檢查、應(yīng)急響應(yīng)、各類報告的定期生成。提供日常運營常用工具的使用。具備平臺日常的設(shè)備、服務(wù)、數(shù)據(jù)的狀態(tài)監(jiān)聽功能。前場安服人員,能夠在系統(tǒng)的規(guī)范下,更好的運營系統(tǒng),最大限度的發(fā)揮平臺的價值。1.2 網(wǎng)絡(luò)空間安全數(shù)據(jù)采集系統(tǒng)建設(shè)安全數(shù)據(jù)采集能力建設(shè)是平臺建設(shè)的基礎(chǔ),為大數(shù)據(jù)安全分析、安全態(tài)勢呈現(xiàn)、通報預(yù)警、應(yīng)急處置、等保管理、追蹤溯源、威脅情報和指揮調(diào)度等業(yè)務(wù)模塊提供數(shù)據(jù)資源。安全數(shù)據(jù)采集能力建設(shè)主要包括以下內(nèi)容:1.

15、流量采集與分配2. 高級威脅監(jiān)測與采集3. 僵木蠕毒監(jiān)測與采集4. 云端威脅情報采集5. DDoS攻擊監(jiān)測與采集6. 網(wǎng)站云安全監(jiān)測與采集7. 等級保護數(shù)據(jù)采集8. 其他業(yè)務(wù)系統(tǒng)數(shù)據(jù)采集1.2.1 流量采集與分配根據(jù)項目情況可采集城域網(wǎng)流量、重保單位出口流量、IDC機房流量、電子政務(wù)外網(wǎng)流量:重保單位出口流量:根據(jù)業(yè)務(wù)需要在重保單位出口進行全流量采集,采集的流量通過流量采集設(shè)備做全量的鏡像流量分析和檢測,并還原成標準化日志。城域網(wǎng)流量:根據(jù)業(yè)務(wù)需要可在城域網(wǎng)出口進行流量抽樣采集,采集的流量通過流量采集設(shè)備做全量的鏡像流量分析和檢測,并還原成標準化日志。IDC機房流量:根據(jù)業(yè)務(wù)需要可在IDC機房

16、進行流量抽樣采集,采集的流量通過流量采集設(shè)備做全量的鏡像流量分析和檢測,并還原成標準化日志。電子政務(wù)外網(wǎng)流量:根據(jù)業(yè)務(wù)需要可在電子政務(wù)外網(wǎng)機房進行全流量采集,采集的流量通過流量采集設(shè)備做全量的鏡像流量分析和檢測,并還原成標準化日志。采集方式如下:分流:正常業(yè)務(wù)數(shù)據(jù)的分流功能,按照五元組規(guī)則將同一個會話的所有報文(即一個上網(wǎng)用戶的所有數(shù)據(jù))輸出到同一臺數(shù)據(jù)處理設(shè)備,并且為所有后臺數(shù)據(jù)處理設(shè)備提供相對均衡的流量,保證數(shù)據(jù)的處理能力,提高網(wǎng)絡(luò)的靈活性和可用性。抽樣:未命中規(guī)則的報文采樣井口采集直接輸出,命中標準規(guī)則的報文采樣在還原設(shè)備上軟件實現(xiàn),然后通過SDN交換網(wǎng)轉(zhuǎn)發(fā)給第三方用戶使用。復(fù)制:對重點

17、IP報文數(shù)據(jù)的復(fù)制,然后轉(zhuǎn)發(fā)給第三方用戶使用。流量自動遷移:當(dāng)后臺個別數(shù)據(jù)處理設(shè)備出現(xiàn)因硬件或軟件故障死機時,SDN分流設(shè)備自動將數(shù)據(jù)分發(fā)到其他機器上,待設(shè)備恢復(fù)正常后,再將數(shù)據(jù)遷移到該設(shè)備上,從而保證數(shù)據(jù)的完整性。1.2.2 高級威脅監(jiān)測與采集高級威脅包括高級持續(xù)性威脅攻擊(APT)、未知威脅攻擊等,采用流量特征檢測、自動連接關(guān)聯(lián)、行為特征分析和端口匹配技術(shù),對城域網(wǎng)的流量進行分析,結(jié)合第三方威脅情報數(shù)據(jù),及時發(fā)現(xiàn)針對我省重保單位的高級威脅攻擊。具體流量還原使用以下技術(shù):流量特征檢測:流量特征識別方式主要分為兩種:一種是有標準協(xié)議的識別,標準協(xié)議規(guī)定了特有的消息、命令和狀態(tài)遷移機制,通過分析

18、應(yīng)用層內(nèi)的這些專有字段和狀態(tài),就可以精確可靠地識別這些協(xié)議;另一種是未公開協(xié)議的識別,一般需要通過逆向工程分析協(xié)議機制解密后,采用報文流的特征字段來識別該通信流量。行為特征分析:針對一些不便于還原的數(shù)據(jù)流量,可以采用行為特征的方法進行分析。這種方法不試圖分析出鏈接上面的數(shù)據(jù),而是使用鏈接的統(tǒng)計特征,如連接數(shù)、單個IP的連接模式、上下行流量的比例、數(shù)據(jù)包發(fā)送頻率等指標來區(qū)分應(yīng)用類型。端口匹配技術(shù):端口匹配指協(xié)議與端口的標準對應(yīng)關(guān)系,根據(jù)TCP/UDP的端口來識別應(yīng)用。這種方式具有檢測效率高的優(yōu)點,弱點是容易被偽造,因此在端口檢測的基礎(chǔ)上,還需要增加特征檢測的判斷和分析,進一步處理數(shù)據(jù)。通過以上技

19、術(shù),采集重保單位全流量并進行還原分析,存儲到大數(shù)據(jù)存儲分析平臺,為感知平臺提供進一步高級威脅檢測及溯源追蹤的數(shù)據(jù)基礎(chǔ)。1.2.3 僵木蠕毒監(jiān)測與采集僵木蠕毒監(jiān)測主要來自兩種方面:一是對本地城域網(wǎng)抽樣流量和重點單位全流量在檢測引擎上進行檢測;二是360云端僵木蠕毒平臺對國內(nèi)終端的僵木蠕毒感染信息進行采集,通過對IP地址/范圍篩選的方式,篩選出屬于本省市的數(shù)據(jù)推送到態(tài)勢感知平臺。該數(shù)據(jù)來源于360云端安全數(shù)據(jù)采集,由于傳統(tǒng)僵木蠕毒檢測往往需要對全部鏡像流量進行分析,而整個項目骨干鏈路較大,如果對全部流量進行僵木蠕毒分析將帶來巨大的資金消耗,也增加系統(tǒng)維護的復(fù)雜度。而360云端監(jiān)測方式獲取的主機僵木

20、蠕毒告警信息可以很好的滿足安全態(tài)勢方面的需求。360云端僵木蠕毒監(jiān)測數(shù)據(jù)對平臺本地監(jiān)測數(shù)據(jù)進行補充,根據(jù)哈密相關(guān)的域名、IP地址等信息,對全國網(wǎng)絡(luò)安全數(shù)據(jù)篩選出XX僵木蠕毒數(shù)據(jù)數(shù)據(jù),按一定的時間規(guī)則推送到本地數(shù)據(jù)中心,是對本地安全監(jiān)測數(shù)據(jù)資源的重要補充。1.2.4 云端威脅情報采集高級威脅情報來源于360互聯(lián)網(wǎng)云端安全數(shù)據(jù)采集,需要依賴于360的互聯(lián)網(wǎng)大數(shù)據(jù)技術(shù),針對互聯(lián)網(wǎng)上活躍的數(shù)百億樣本以及樣本的行為做到實時追蹤分析,并結(jié)合機器學(xué)習(xí)、高級人員運營等手段對特定樣本做到事先預(yù)測和深入分析,逐漸挖掘出一系列與APT攻擊相關(guān)的組織和攻擊行為信息等情報信息,還有通過其他方式獲取的攻擊者(敵對國家、敵

21、對勢力、恐怖組織、黑客組織、不法分子等)情報信息、攻擊方法手段、攻擊目標等情報信息。1.2.5 DDoS攻擊監(jiān)測與采集這部分數(shù)據(jù)來源于360云端安全數(shù)據(jù)采集。通過互聯(lián)網(wǎng)可以對DDoS攻擊的控制端進行監(jiān)控,在云端實現(xiàn)對DDoS攻擊的監(jiān)測與發(fā)現(xiàn),對云端的DNS請求數(shù)據(jù)、網(wǎng)絡(luò)連接數(shù)、Netflow數(shù)據(jù)、UDP數(shù)據(jù)、Botnet活動數(shù)據(jù)進行采集并分析,同時將分析結(jié)果實時推送給本地的大數(shù)據(jù)平臺數(shù)據(jù)專用存儲引擎,利用360數(shù)據(jù)資源可以對DDoS監(jiān)控提供整網(wǎng)意義上的追蹤。1.2.6 網(wǎng)站云安全監(jiān)測與采集網(wǎng)站的監(jiān)測數(shù)據(jù)主要依托于利用360網(wǎng)站云監(jiān)測系統(tǒng),針對重點網(wǎng)站進行漏洞、篡改、可用性、眾測漏洞、掛馬以及釣

22、魚網(wǎng)站的監(jiān)測。360公司根據(jù)本項目網(wǎng)安提供的列表,對網(wǎng)站進行持續(xù)的安全監(jiān)測,并將監(jiān)測結(jié)果推送到本地分析中心。網(wǎng)站監(jiān)測數(shù)據(jù)包含如下幾類數(shù)據(jù):網(wǎng)站暗鏈數(shù)據(jù)、網(wǎng)站掛馬數(shù)據(jù)、網(wǎng)頁篡改數(shù)據(jù)、釣魚網(wǎng)站數(shù)據(jù)、網(wǎng)站漏洞數(shù)據(jù)、網(wǎng)站眾測數(shù)據(jù)、網(wǎng)站可用性數(shù)據(jù)。1.2.7 眾測漏洞平臺數(shù)據(jù)360補天漏洞平臺是漏洞眾測平臺,目前平臺注冊4萬多白帽子,他們會將發(fā)現(xiàn)的漏洞提交到補天漏洞平臺,在本項目中可將所轄區(qū)域的漏洞同步到態(tài)勢感知平臺,第一時間通告最新披露的本地網(wǎng)站的漏洞信息。1.2.8 等級保護數(shù)據(jù)等級保護數(shù)據(jù)采集為等保管理模塊提供重要的數(shù)據(jù)支撐,采用批量導(dǎo)入或手工錄入方式采集等級保護單位基本信息、系統(tǒng)定級備案信息、系

23、統(tǒng)測評報告、檢查信息和整改信息等數(shù)據(jù)。通過將等級保護數(shù)據(jù)與監(jiān)測數(shù)據(jù)深度關(guān)聯(lián),全面反映我省重要信息系統(tǒng)的安全狀況。等級保護數(shù)據(jù)采集的結(jié)果存入等級保護基礎(chǔ)庫,作為大數(shù)據(jù)中心基礎(chǔ)資源庫的重要組成部分。1.2.9 其他業(yè)務(wù)系統(tǒng)數(shù)據(jù)可以與“網(wǎng)安綜合應(yīng)用平臺”通過調(diào)用查詢接口、實時布控接口以及數(shù)據(jù)資源調(diào)用接口進行對接,獲得網(wǎng)絡(luò)安全惡意行為數(shù)據(jù)以及相關(guān)虛擬身份、網(wǎng)絡(luò)行為數(shù)據(jù)等數(shù)據(jù)。也可以將平臺關(guān)聯(lián)分析與轉(zhuǎn)化,形成的網(wǎng)絡(luò)攻擊重點人、歷史重大網(wǎng)絡(luò)安全事件數(shù)據(jù)等共享給“網(wǎng)安綜合應(yīng)用平臺”供網(wǎng)安業(yè)務(wù)部門使用。1.3 網(wǎng)絡(luò)違法犯罪發(fā)現(xiàn)預(yù)警系統(tǒng)建設(shè)模型名稱模型說明企業(yè)法人股東傳銷經(jīng)歷預(yù)警如果企業(yè)的法人、股東曾經(jīng)是傳銷組

24、織的核心成員,對企業(yè)進行預(yù)警疑似傳銷企業(yè)網(wǎng)絡(luò)輿情預(yù)警如果網(wǎng)絡(luò)中出現(xiàn)咨詢、懷疑、舉報、曝光企業(yè)涉嫌傳銷的輿情,對企業(yè)進行預(yù)警110報警疑似傳銷企業(yè)預(yù)警發(fā)生對某企業(yè)傳銷的110報警,對企業(yè)進行預(yù)警網(wǎng)站程序具有傳銷特征預(yù)警分析ICP備案網(wǎng)站或企業(yè)的網(wǎng)站網(wǎng)頁代碼,如果符合以往發(fā)現(xiàn)的傳銷網(wǎng)站的代碼特征,對企業(yè)進行預(yù)警企業(yè)法人股東親屬傳銷經(jīng)歷預(yù)警如果企業(yè)的法人、股東的親屬曾經(jīng)是傳銷組織的核心成員,對企業(yè)進行預(yù)警企業(yè)法人股東與傳銷人員同住預(yù)警如果出現(xiàn)企業(yè)的法人、股東頻繁和歷史傳銷組織核心成員多次同住,對企業(yè)進行預(yù)警疑似傳銷企業(yè)被法院裁判預(yù)警如果企業(yè)曾經(jīng)被法院裁判過,對企業(yè)進行預(yù)警疑似傳銷企業(yè)被行政處罰預(yù)警如

25、果企業(yè)曾經(jīng)被行政處罰過,對企業(yè)進行預(yù)警疑似傳銷企業(yè)納稅異常預(yù)警如果企業(yè)的營業(yè)流水和納稅差異很大,對企業(yè)進行預(yù)警企業(yè)法人股東經(jīng)濟犯罪前科預(yù)警如果企業(yè)的法人、股東曾經(jīng)有過經(jīng)濟犯罪前科,對企業(yè)進行預(yù)警企業(yè)地址頻繁變更異常預(yù)警如果企業(yè)注冊地址短期內(nèi)多次變更,對企業(yè)進行預(yù)警產(chǎn)品宣傳疑似傳銷預(yù)警如果企業(yè)的理財產(chǎn)品、實物產(chǎn)品、商城商品的銷售具有返利、積分、會費、多級提成等傳銷特征,對企業(yè)進行預(yù)警企業(yè)/法人集中投資異常預(yù)警如果出現(xiàn)企業(yè)/法人在短期內(nèi)在各地注冊多家分支機構(gòu)、投資多家企業(yè),快速擴張的情況,對企業(yè)進行預(yù)警疑似傳銷企業(yè)招聘異常預(yù)警如果出現(xiàn)企業(yè)招聘信息和企業(yè)的經(jīng)營范圍不符合的情況(如高科技研究企業(yè)大量招

26、聘低學(xué)歷的業(yè)務(wù)人員),對企業(yè)進行預(yù)警疑似傳銷企業(yè)租賃異常預(yù)警如果出現(xiàn)企業(yè)全國各地進行短期租房的情況(疑似進行傳銷傳播活動),對企業(yè)進行預(yù)警傳銷人員流入流出異常預(yù)警監(jiān)控歷史傳銷組織核心成員流入貴陽的情況,如果每月流入大于流出,即進行預(yù)警傳銷人員同行、同住、聚集異常預(yù)警如果出現(xiàn)歷史傳銷組織核心成員出現(xiàn)頻繁同行、同住、聚集(多人)的情況,即進行預(yù)警疑似傳銷人員手機通訊錄異常預(yù)警如果手機通聯(lián)記錄中出現(xiàn)歷史傳銷組織核心成員,對通聯(lián)密切的人員進行預(yù)警100報警疑似傳銷窩點預(yù)警發(fā)生對某小區(qū)(樓棟)在進行傳銷活動的110報警,對小區(qū)(樓棟)進行預(yù)警110報警疑似傳銷項目預(yù)警發(fā)生對傳銷項目的110報警,對傳銷項

27、目進行預(yù)警疑似傳銷QQ群信息異常預(yù)警如果QQ群中高頻出現(xiàn)傳銷黑名單中內(nèi)容、或傳銷傳播相關(guān)關(guān)鍵詞(如返利、積分、會費、提成、財富、成功等),對QQ群進行預(yù)警疑似傳銷微信群信息異常預(yù)警如果微信群中高頻出現(xiàn)傳銷黑名單中內(nèi)容、或傳銷傳播相關(guān)關(guān)鍵詞(如返利、積分、會費、提成、財富、成功等),對微信群進行預(yù)警上述模型是已經(jīng)在以往項目中實現(xiàn)的模型,基于大數(shù)據(jù)建模,可根據(jù)哈密業(yè)務(wù)特點、所獲得的數(shù)據(jù)特點有針對性的建立業(yè)務(wù)模型。1.4 設(shè)備清單與預(yù)算(擬每秒20G流量,存儲時間90天,計算流量采集和存儲分析專用設(shè)備)硬件設(shè)備購置費(萬元)序號類型硬件設(shè)備名稱性能或參數(shù)單位數(shù)量單價(萬)總價(萬)1數(shù)據(jù)采集設(shè)備ID

28、C流量匯聚節(jié)點網(wǎng)絡(luò)流量探針多核AMP+架構(gòu),同時開啟網(wǎng)絡(luò)流量采集、威脅數(shù)據(jù)采集和日志上報功能情況下混合流(模擬企業(yè)級網(wǎng)絡(luò)真實場景流量)吞吐量20Gbps,HTTP并發(fā)連接數(shù)1200萬,HTTP新建連接速率50萬/秒;3U機箱,冗余電源,標準配置1個10/100/1000M專用管理接口,1個Console口,8個接口擴展板卡插槽(根據(jù)實際需求,靈活選配接口板卡類型),報價中包括一年全功能特征庫升級服務(wù),包括3年硬件維修服務(wù)。臺155552互聯(lián)網(wǎng)數(shù)據(jù)采集設(shè)備專用設(shè)備,用于接收云端數(shù)據(jù)前置機后置機,軟硬件一體化產(chǎn)品,設(shè)備為2U機架式硬件,專用高容錯率企業(yè)級硬盤4T,4×1GE電口,AC 220V 550w冗余電源,32G內(nèi)存,2×6核CPU,支持日志采集性能20萬Eps,解析性能2萬Eps。臺213.5273存儲分析設(shè)備態(tài)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論