网络空间安全态势感知与大数据分析平台建设方案V1.0

1、网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知和大型数据分析平台基于大型数据基础架构，包括构建大型数据智能建模平台、构建业务能力和关键应用程序、网络安全数据收集和后期操作支持服务。1.1构建网络空间态势感知系统平台可以根据系统功能分为两大部分：日常威胁识别和战时指挥调度紧急处置。日常识别部分包括大容量数据安全分析模块、安全情况识别呈现模块、等安全管理模块和通知模块。此部分可以为业务员工提供适当的安全情况识别和通知警报功能，及时了解发生的安全事件，并根据安全事件的风险级别使用不同的处置机制。战时处置部分提供从平时网络态势监测到战时突发费翔、指挥调度的快速转换能力，全面指挥安全专

2、家、技术支持单位、监督单位及各职能部门，进行协作、高效的紧急救护和安全保障，对哈密各部门进行流程管理、定期攻防训练，提高网络安全防御能力。1.1.1安全监控子系统安全监控子系统实时监控哈密市网络安全状况，及时发现国际敌对势力、黑客组织等非法分子的攻击活动、攻击手段、攻击目的，全面监控全市哈密再报单位信息系统和网络，实现安全漏洞、威胁风险、高级威胁攻击的发现和识别，并提供有力的数据支持，通知销毁和调查等业务子系统。安全监控子系统具有6种类型的安全威胁监控功能。一个是安全事件，如网站云监控、网站可用性监控、网站漏洞、网站通话、网站篡改(黑链/暗链)、网络钓鱼站点、访问异常二是中侧漏洞平台的漏洞发现

3、能力，目前360%漏洞中侧平台登记了4万多顶帽子，他们提交的漏洞定期同步到态势感知平台，加强平台漏洞发现能力。第三类是发现流量检测、再保险单元的流量、大都会网络流量、电子政府外部网络流量、idc房间流量和其他流量收集后检测、webshell和其他攻击利用事件。第四类发现了高级威胁警报(例如apt)，将流量日志存储在大型数据中的平台与云ioc威胁信息进行比较。第五类是安全专家的分析和挖掘功能登陆平台，编写脚本，与流量日志进行比较，将流量历史和各种因素联系起来，发现深度威胁。第六类是基于机器学习模型和安全操作专家进行深入挖掘分析和关联，发现更深的安全威胁。1、网站安全数据监控：使用云监控、互联网漏

4、洞流行测量平台和云多播等技术监控主要网站的安全和可用性，及时发现网站漏洞、网站挂话、网站篡改(黑链/暗链)、钓鱼网站、公众测量漏洞和访问例外等安全事件。2、ddos攻击数据监控：监控和发现云中的ddos攻击；将云中的dns请求数据、网络连接、netflow数据、udp数据、botnet活动数据收集和分析；将分析结果实时推送到本地大型数据平台数据专用存储引擎。目前，云监控中心拥有全国30多个省的流量监控资源，可以快速获取网络上针对ddos攻击的异常流量信息，还可以利用网络供应商的云监控资源，与当地运营商采样收集的数据相结合。快速有效地发现ddos攻击，同时跟踪和跟踪攻击。3.硬木延毒数据监控：通

5、过云传输本地数据，与流量数据一起分析，快速发现本市感染“硬木延毒”的数据。硬木延毒监测主要来自两个方面。第一，360云颈延毒平台收集国内终端的颈延毒感染信息，命中本性/市终端的颈延毒感染数据后，通过ip地址/范围过滤方式过滤属于本性/市的数据，并利用加密的数据通道推送到态势感知平台。第二，检测区域大都会区域网络流量采样和重点单位整体流量，对流量数据进行消息重组、碎片重组、文件还原等操作，然后将其传送到流量检测引擎和文件检测引擎。通过流量特性库、静态文件特征检测、启发式检测和人工智能检测方法，及时发现重点保护单位的硬木蠕虫事件4.高级威胁数据监控：安全监控子系统应结合所有网络流量日志和威胁信息，

6、继续进行持续攻击跟踪分析。云ioc威胁信息包括攻击者使用的域名、ip、url、md5等网络基础架构或攻击武器信息，威胁信息还包括通过internet大数据分析获得的apt攻击组织的背景信息，在监视apt攻击方面发挥着非常重要的作用。1.1.2情境感知子系统态势感知系统基于对多源数据支持安全威胁监控和安全威胁突出情况的分析。利用各种大数据、利用大数据技术发掘分析、网络攻击相对情况、攻击手段、攻击目标、攻击结果、网络自身的隐患、问题、风险等，对历史数据进行比较，形成趋势、合理判断，为警报通知提供重要支持。该模块支持全方位、多层次、多角度、精细的网络空间安全态势感知，虽然它认识到主要行业、主要单位、

7、主要网站、重要信息系统、网络基础设施等保护对象的态势，但不限于此。情境感知子系统分为两部分：情境分析和情境指示情况分析：通过安全监控子系统监控ddos攻击、高级威胁攻击检测和apt攻击检测、硬木蠕虫检测、ids检测等功能，提供恶意代码检测、异常流量分析，并根据系统内置的风险评估算法提供当前受管制单位的整体安全评估。呈现态势：通过城市安全指数、区域安全指数、单位安全指数、威胁源、攻击分析、威胁与去年相比、威胁汇费、警报详细信息等，表现出整体安全态势。1.1.3警报子系统通知通知警报基于威胁识别、安全监控、跟踪跟踪、信息信息、调查打击等模块中获得的态势、趋势、攻击、威胁、风险、风险、风险、问题等，

8、使用通知警报模块查看、通知、下达摘要、分析、判断和及时情况。可以通过特定对象安全评估通知、定期综合通知、突发事件通知、特别通知等进行通知。保险管理子系统，如1.1.4等报管理模块监督全省信息安全水平保护建设工作，通过等报信息系统管理、等报管理工作处置、等报检查任务管理、等报系统资产管理、等报安全事件管理等安全综合分析报告，管理与热管单位和重要信息系统相关的记录信息、评价信息、纠正信息、检查信息等业务数据。1.1.5追踪子系统追踪追踪子系统在发生网络攻击事件(事件)事件或有线索的情况下，追踪攻击对手、其使用攻击手段、攻击路径、攻击资源、攻击位置、攻击结果等，进行追踪追踪和扩展分析，帮助预防调查打

9、击、保安。跟踪跟踪子系统为高级威胁攻击、ddos攻击、钓鱼攻击、木马病毒等恶意行为提供了通过云数据进行关联、扩展、事件跟踪、事件检测的技术和数据支持。通过连接分析、源分析、机器学习等技术手段，根据源ip、源端口、主机ip、主机端口、传输层协议等条件收集internet端批量数据(例如whois数据、恶意软件示例md5、dns数据、网站访问数据等)，并收集unicom日志、dns分析数据1.1.6威胁信息子系统威胁信息子系统收集360云以收集威胁信息信息信息(包括apt和高级威胁事件分析、黑山事件分析、影响范围广泛的主要漏洞分析等)，并通过提取的攻击手法分析、攻击组织分析、攻击资源分析等通知核心

10、组件界面，并将信息提交给该地区的其他核心组件和相关部门。利用信息数据，在安全事件后确定和处置信息信息的关键组件，提供信息处置审核跟踪，对基于信息处置的安全事件的处置流程、处置结果和处置经验等信息进行审核跟踪和存档，以便于分析和处置后续安全事件。提高安全事件处理工作效率。1.1.7命令和调度子系统命令调度模块主要用于在重要会议或重大活动期间加强网络安全人员配置，全天候了解与我省活动相关的单位、系统和网站安全状况，及时通报警报网络安全风险，有效处置网络安全事件。与多个技术支持单位、internet安全供应商、网络安全专家和其他职能部门合作，确保整个过程的网络安全和数据安全，提供网络安全状况识别、监

11、控警报、命令调度、通知通知、费翔处理和协作技术支持等功能。网络安全威胁、风险、风险、风险、突发事件、攻击等的通知1.1.8调查子系统调查的核心组成部分主要与网络事件处理有关，事件发生后，事件民警可以利用该功能模块查找调查、证据收集、攻击人员、攻击手段、攻击者等基本情况，形成事件线索，必要时还可以提供给网络综合平台，帮助网络事件的调查打击。同时提供事件处理状态的跟踪和通信，允许对事件进行闭环业务处理。1.1.9费翔处理子系统应急处置根据安全监控中发现的网络攻击、重大安全危险等情况以及有关部门通报的情况，发出网络安全事件的快速处置指示。指示受理部门按照处置要求和规范进行案件处置，及时消除影响和风险

12、，进行现场调查、证据锁定、快速恢复。及时保管、保管和接收案件处置情况、现场调查情况、证据等情况。1.1.10移动app提供移动应用程序应用程序功能，可以发布信息安全通知、信息安全通知、等保险条例、风险提示等。警报、快速处置等可以结合平台和移动app进行通知。警报通知可以使用移动应用程序通知相关人员。网络安全通过专用网络部署到相关部门，以确保相关单位的及时接收和处置，移动app支持多级组织管理，为安全用户提供网络安全监控和通知数据管理。为重新保险单位用户提供通知消息通知和查看公共预警通知的功能。1.1.11操作工作台子系统运营工作台子系统为安全人员提供日常工作的业务通知和快速入口，反映了日常工作

13、的成果，包括资产裴珉姬管理、确认警报分析、深入分析安全事件(攻击者、受害者、攻击链)、发布相关通知、现场检查、紧急响应和定期生成各种报告。提供日常运营中常用工具的使用。具有平台日常设备、服务和数据的运行状况监控功能。战场安福人员在系统规格下，通过更好的运行系统，可以最大限度地发挥平台的价值。1.2构建网络空间安全数据采集系统构建安全数据收集功能是平台构建的基础，为业务模块(如大规模数据安全分析、安全情况陈述、警报、紧急处置、等保修管理、跟踪跟踪跟踪、威胁信息和命令调度)提供数据资源。建立安全数据收集能力主要包括：1.流量收集和分配2.高级威胁监控和收集僵硬的树木蠕螨毒性监测和收集收集云威胁信息

14、5.监视和收集ddos攻击6.网站云安全监控和收集7.等级保护数据收集8.收集其他业务系统数据1.2.1流量收集和部署根据项目情况，可以收集大都会网络流量、再保险单位出口流量、idc房间流量、电子政府外部网络流量。再保险单位出口流量：根据业务需要，在再保险单位出口中执行全流量收集，通过流量收集设备执行全镜像流量分析和测试，然后恢复到标准化日志中。城域网络流量：根据业务需要，可以在大都会区域网络出口进行流量采样收集，收集的流量可以通过流量收集设备进行完整的镜像流量分析和测试，并还原到标准化日志。idc房间流量：根据业务需要，idc房间可以进行流量采样收集，收集的流量可以通过流量收集设备进行完整镜

15、像流量分析和测试，并还原到标准化日志。电子政府外联网流量：根据业务需要，可以在电子政府外联网房间进行全面流量收集，收集的流量可以通过流量收集设备进行全面镜像流量分析和测试，并还原到标准化日志。收集方法包括：切换：一般业务数据的切换功能，该功能将同一会话中的所有消息(即来自一个internet用户的所有数据)输出到相同的数据处理设备。为所有后台数据处理设备提供相对平衡的流量，以确保数据处理能力并提高网络的灵活性和可用性。采样：失败规则中的消息采样井直接收集输出，点击标准规则中的消息采样在还原设备中作为软件实现，并通过sdn交换网络传送给第三方用户。复制：将关键ip消息数据的复制传递给第三方用户。

16、流量自动迁移：如果后台单个数据处理设备因硬件或软件故障而停止工作，sdn分流设备会自动将数据分发到其他系统，并在设备恢复正常后将数据迁移到该设备，以确保数据完整性。1.2.2高级威胁监视和收集高级威胁包括高级持续威胁攻击(apt)、未知威胁攻击等。流量特性检测、自动连接连接、行为特性分析和端口匹配技术、大都会区域网络的流量分析、与第三方威胁信息数据相结合，及时识别对我省再保险机构的高级威胁攻击。恢复特定流量使用以下技术：流量特性检测：流量特性识别主要分为两种类型。一种是标准协议标识，标准协议规定了唯一的消息、命令和状态迁移机制，可以在应用层分析这些专用字段和状态，以便准确可靠地标识它们。另一种

17、是未公开协议的识别，通常需要通过逆向工程分析协议机制解密，然后使用消息流的特性字段识别通信流量。行为特性分析：对于某些难以恢复的数据流量，可以使用行为特性进行分析。此方法不尝试分析链路上的数据，而是使用链路统计特性(例如连接数、单个ip连接模式、上下流量率、数据包传输频率等)来区分应用程序类型。端口匹配技术：端口匹配是指协议对端口标准的匹配，并根据tcp/udp端口标识应用程序。这种方法具有检测效率高的优点，弱点容易伪造，需要基于端口检测增加特征检测的判断和分析，进一步处理数据。这些技术收集再安全单元的全部流量，执行还原分析，将其存储在大容量数据存储分析平台上，为识别平台提供高级威胁检测和跟踪的数据基础。1.2.3僵硬树蠕毒监测和收集硬木延毒监测主要来自两个方面。一是测试引擎检测当地大都会区域网络采样流量和重点单位整体流量。第二，360云硬木蠕虫平台收集国内终端的硬木蠕虫感染信息，通过ip地址/范围过滤方式将