2022年全流量检测分析系统技术规范

开放数据中心标准推进委员会开放数据中心标准推进委员会开放数据中心委员会OpenDataCenterCommittee[编号ODCC-2022-08002]全流量检测分析系统技术规范2022-09发布全流量检测分析系统技术要求全流量检测分析系统技术要求IIII全流量检测分析系统技术要求全流量检测分析系统技术要求IIIIODCC-2022-08002编制说明本报告开放数据中心委员会ODCC安全特设组牵头撰写，在撰写过程中得到了多家单位的大力支持，在此特别感谢以下参编单位和参编人员：参编单位（排名不分先后）：中国电信股份有限公司研究院、中国移动通信研究院、中国信息通信研究院（云大所数据中心团队）参编人员（排名不分先后）：王雪荣、王素彬、邹珂龙、杨海俊、谢丽娜、江畅项目经理：王雪荣wangxr4@ODCC-2022-08002•>«刖言国家对网络与信息安全要求越来越高，网络和信息安全形势日益严峻，企业数字化转型带来融合弹性、开放的网络环境，以及多元化、专业化的业务场景,安全风险涉及面更广，安全检测精度与响应时限要求更高，安全运营更为复杂。全流量分析系统可以通过对全部原始流量进行实时采集和解析，发现流量中的威胁，再结合安全情报、威胁行为等综合手段进行威胁分析并以可视化的界面展示，实现网络安全和数据安全已知威胁、未知威胁的发现及威胁溯源，实时了解安全态势，降低安全风险。全流量检测分析系统技术要求 全流量检测分析系统技术要求 >ODCC-2022-08002|\|\全流量检测分析系统技术要求 全流量检测分析系统技术要求 >ODCC-2022-08002|\|\目录TOC\o"1-5"\h\z版权声明 I\o"CurrentDocument"编制说明 II前言 III\o"CurrentDocument"1术语和定义 1\o"CurrentDocument"2设备概述 12.1总体功能要求——探针 22.2总体功能要求——分析平台 23功能要求一-探针 33.1数据解析功能要求 33.2威胁检测功能要求 33.3安全反馈功能要求 43.4样本还原功能要求 64功能要求一-分析平台 74.1威胁分析功能要求 74.2威胁追踪功能要求 114.3威胁展示功能要求 124.4威胁处置功能要求 145性能要求 14全流量检测分析系统技术要求全流量检测分析系统技术要求ODCC-2022-08002支持报表生成：支持手动立即执行、周期性自动执行两种方式生成报表，报表内容包括但不限于告警展示、日志展示、事件展示、资产展示等。支持报表查看：系统应提供完善的报表，支持面向安全结论的分析报表，报表需支持HTML、PDF、EXCEL、WORD等格式，所生成的报表可以自动发送到多个邮箱。资产画像支持资产纳管：支持根据资产的地理位置、业务系统、部门名称、运营商名称、内网地址范围或其他分类，以规范的命名方式将资产配置到系统内。支持对资产进行修改/删除、批量导入/导出/添加/修改/删除等多种方式的管理，支持资产的分权分域管理。支持资产态势展示：资产名、IP地址、MAC地址、攻击告警、攻击者、异常资产、对失陷资产进行基于失陷类型的展示，展示最近发生时间、资产名称、失陷攻击类型、操作等，其中失陷类型至少需包括“横向移动”、“异常外联”、“木马连接”、"C&C通信”、“自定义”等。支持多维度统计：支持通过统计图、饼图、列表等多个维度的资产统计，支持当天、最近24小时、最近7天、最近30天、自定义时间等多种方法进行数据统计，展示活跃资产统计图、资产外联国家分布图、活跃资产列表，支持活跃资产列表信息的导出。攻击者画像支持以列表形式展示攻击者IP、最近攻击时间、攻击持续时间、攻击组织、攻击者来源、攻击手段、ATT&CK攻击技术、画像指纹信息、攻击资产信息、风险等级等信息。ODCC-2022-08002支持通过时间范围、IP、地域、情报信息、画像关键字符串、风险等级、ATT&CK攻击技术对攻击者进行检索过滤。4.4威胁处置功能要求分析平台应支持对威胁事件进行告警和多种方式处置。4.1.15告警通知支持计入日志、页面报警、发送邮件、发送SNMPTrap信息、发送SYSLOG信息等方式进行告警。4.1.16报文记录支持在检测到攻击事件之后捕获攻击原始报文的能力，所捕获的攻击原始报文需保存成标准的cap格式在探针，可以通过常见的数据包捕获和分析软件打开，同时支持在平台界面显示pcap包内容。4.1.17流量封堵支持通过发送RST阻断报文进行封堵处置：分析平台下发封堵指令到探针,探针发送RST阻断报文到原链路。5性能要求5.1可处理链路总带宽WIOGbps数据量的设备性能要求（以下为建议值，性能参数值可依据不同的业务场景灵活定义）1） 单台设备网络层数据处理能力不低于10Gbps，单台设备应用层的数据处理性能不低于10Gbps；2） HTTP会话处理能力：支持新建数不低于6万/s、并发数不低于200万；3） 支持最大TCP并发连接数不低于200万；ODCC-2022-080024） 支持威胁情报URL/IP/Domain监测特征库的规则数量各不低于20万；5） 支持黑名单容量不少于10万条，白名单容量不少于10万条；6） 对于已知的恶意网络活动识别准确率不低于90%，通过明文通信的恶意程序识别准确率不低于80%；7） 对于威胁情报URL/IP/Domain规则检测命中率必须在95%以上；8） 设备应支持在本地存储至少4320小时的上报数据、4320小时的操作日志、4320小时的原始日志其中：疑似及恶意样本文件及样本相关基础信息数据（MD5、样本类型等）留存时间不少于60天，中危及以上安全事件相关报文文件（例如原始流量PCAP包）及相关信息