网络空间安全态势感知及大数据分析平台建设实施方案V0

网络空间平安态势感知与大数据分析平台建立方案

网络空间平安态势感知与大数据分析平台建立在大数据根底架构的根底上，涉及大数据智能建模平台建立、业务能力与关键应用的建立、网络平安数据采集和后期的运营支持效劳。

1.1 网络空间态势感知系统系统建立

平台按系统功能可分为两大局部：日常威胁感知和战时指挥调度应急处置。 日常感知局部包括大数据平安分析模块、平安态势感知呈现模块、等保管理模块和通报预警模块等。该局部面向业务工作人员提供相应的平安态势感知和通报预警功能，及时感知发生的平安事件，并根据平安事件的危害程度启用不同的处置机制。

战时处置局部提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力，统筹指挥平安专家、技术支持单位、被监管单位以及各个职能部门，进展协同高效的应急处置和平安保障，同时为哈密各单位提升网络平安防御能力进展流程管理，定期组织攻防演练。 1.1.1 平安监测子系统

平安监测子系统实时监测哈密全市网络平安情况，及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的，全面监测哈密全市重保单位信息系统和网络，实现对平安漏洞、威胁隐患、高级威胁攻击的发现和识别，并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。

平安监测子系统有六类平安威胁监测的能力：

- word.zl.

. -

一类是云监测，发现可用性的监测、漏洞、挂马、篡改〔黑链/暗链〕、钓鱼、和访问异常等平安事件

第二类是众测漏洞平台的漏洞发现能力，目前360补天漏洞众测平台注册有4万多白帽子，他们提交的漏洞会定期同步到态势感知平台，加强平台漏洞发现的能力。

第三类是对流量的检测，把重保单位的流量、城域网流量、电子政务流量、IDC机房流量等流量采集上来后进展检测，发现webshell等攻击利用事件。

第四类把流量日志存在大数据的平台里，与云端IOC威胁情报进展比对，发现APT等高级威胁告警。

第五类是把平安专家的分析和挖掘能力在平台落地，写成脚本，与流量日志比对，把流量的历史、各种因素都关联起来，发现深度的威胁。

第六类是基于机器学习模型和平安运营专家，把已经发现告警进展深层次的挖掘分析和关联，发现更深层次的平安威胁。

1、平安数据监测：采用云监测、互联网漏洞众测平台及云多点探测等技术，实现对重点平安性与可用性的监测，及时发现漏洞、挂马、篡改〔黑链/暗链〕、钓鱼、众测漏洞和访问异常等平安事件。

2、DDOS攻击数据监测：在云端实现对DDoS攻击的监测与发现，对云端的DNS请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进展采集并分析，同时将分析结果实时推送给本地的大数据平台数据专用存储引擎；目前云监控中心拥有全国30多个省的流量监控资源，可以快速获取互联网上DDoS攻击的异常流量信息，

- word.zl.

. -

利用互联网厂商的云监控资源，结合本地运营商抽样采集的数据，才能快速有效发现DDoS攻击，同时对攻击进展追踪并溯源。

3、僵木蠕毒数据监测：通过云端下发本地数据，结合流量数据进展分析，快速发现本省／市感染“僵木蠕毒〞的数据。僵木蠕毒监测主要来自两种方面：一是360云端僵木蠕毒平台对国内终端的僵木蠕毒感染信息进展采集，如果命中本省／市终端僵木蠕毒感染数据，通过对IP地址/X围筛选的方式，筛选出属于本省／市的数据，利用加密数据通道推送到态势感知平台；二是对本地城域网流量抽样和重点单位全流量进展检测，将流量数据进展报文重组、分片重组和文件复原等操作后，传送到流检测引擎和文件检测引擎，通过流特征库、静态文件特征检测、启发式检测和人工智能检测方式及时的发现重点保护单位的僵木蠕毒事件

4、高级威胁数据监测：平安监测子系统需要结合全部的网络流量日志和威胁情报继续持续性的攻击追踪分析。云端IOC威胁情报覆盖攻击者使用的域名、IP、URL、MD5等一系列网络根底设施或攻击武器信息，同时威胁情报中还包含了通过互联网大数据分析得到的APT攻击组织的相关背景信息，这对于APT攻击监测将提供至关重要的作用。

1.1.2 态势感知子系统

态势感知系统基于多源数据支持平安威胁监测以及平安威胁突出情况的分析展示。综合利用各种获取的大数据，利用大数据技术进展分析挖掘，实时掌握网络攻击对手情况、攻击手段、攻击目标、攻击结果以及网络自身存在的隐患、问题、风险等情况，比照历史数据，形成趋势性、合理性判断，为通报预警提供重要支撑。该模块支持对网络空间平安态势进展全方位、多层次、多角度、细粒度感知，包括但不限于对重点行业、重点单位、重点，重要信息系统、网络根底设施等保护对象的态势进展感知。

- word.zl.

. -

态势感知子系统分为两局部：态势分析和态势呈现

态势分析：针对重保单位、数据采集分析，通过平安监测子系统对DDos攻击监测、高级威胁攻击检测与APT攻击检测、僵木蠕毒检测、IDS检测等功能，通过恶意代码检测、异常流量分析、威胁分析等技术进展宏观分析后，以监管单位为视角，对本工程监管X围下的单位平安状态进展监测。并且根据系统内置的风险评估算法给出当前被监管单位的整体平安评估。

态势呈现：通过城市平安指数、区域平安指数、单位平安指数、威胁来源、攻击分析、威胁同比、威胁环比、告警详细等呈现整体平安态势。 1.1.3 通报预警子系统

通报预警根据威胁感知、平安监测、追踪溯源、情报信息、侦查打击等模块获取的态势、趋势、攻击、威胁、风险、隐患、问题等情况，利用通报预警模块汇总、分析、研判，并及时将情况上报、通报、下达，进展预警及快速处置。可采用特定对象平安评估通报、定期综合通报、突发事件通报、专项通报等方式进展通报。 1.1.4 等保管理子系统

等保管理模块针对全省信息平安等级保护建立工作进展监管，通过等保信息系统管理、等保管理工作处置、等保检查任务管理、等保系统资产管理、等保平安事件管理和等保综合分析报表对列管单位及其重要信息系统相关的备案信息、测评信息、整改信息和检查信息等业务数据进展管理。 1.1.5 追踪溯源子系统

追踪溯源子系统在发生网络攻击案〔事〕件或有线索情况下，对攻击对手、其使用的攻击手段、攻击途径、攻击资源、攻击位置、攻击后果等进展追踪溯源和拓展分析，为侦查打击、平安防X提供支撑。追踪溯源子系统针对高级威胁攻击、DDoS攻击、钓

- word.zl.

. -

鱼攻击、木马病毒等恶意行为通过云端数据进展关联分析、拓展扩线，进展事件溯源，为案件侦破提供技术、数据的支撑。通过关联分析、同源分析、机器学习等技术手段对互联网端的海量数据〔典型如：Whois数据、恶意软件样本MD5、DNS数据、访问数据等〕进展数据梳理与数据挖掘，扩大互联网的恶意行为线索信息，复原出本次恶意行为大体的原貌，并可以通过恶意网络行为的一个线索扩展发现出更多的诸如攻击所用的网络资源，攻击者信息，受害人信息等线索。具备根据源ip、源端口、宿ip、宿端口、传输层协议等条件搜集数据，具备联通日志、dns解析数据以及网络平安事件日志的关联挖掘能力等。 1.1.6 威胁情报子系统

威胁情报子系统通过采集360云端获取APT及高级威胁事件分析、黑产事件分析、影响X围较广的关键漏洞分析等威胁情报信息，将其中抽取出来的攻击手法分析、攻击组织分析、攻击资源分析等信息，利用通报处置核心组件接口，向本地其他核心组件及有关部门进展情报报送。利用情报数据确定和处置平安事件后情报信息核心组件提供情报处置审计追踪的功能，对基于情报处置的平安事件进展处置流程、处置结果、处置经历等信息进展审计追踪并归档，便于后续平安事件的分析处置，提高平安事件处置工作效率。

1.1.7 指挥调度子系统

指挥调度模块主要用于在重要会议或重大活动期间，加强网络安保人员调度，全方位全天候掌握我省与活动相关的单位、系统和平安状况，及时通报预警网络平安隐患，高效处置网络平安案事件。协同多家技术支撑单位、互联网平安厂商、网络平安专家以及其他职能部门保障整个过程的网络平安和数据平安，实现网络平安的态势感

- word.zl.

. -

知、监测预警、指挥调度、通知通告、应急处置及协同技术支持等能力，对网络平安威胁、风险、隐患、突发事件、攻击等进展通报预警，对重点保护对象进展全要素数据采集，重点保护，并进展全要素显示和展示，实现重保期间全方位全天候的指挥调度能力。

1.1.8 侦查调查子系统

侦查调查核心组件主要涉及网络案事件的处置工作，在案事件发生后，办案民警利用该功能模块进展调查、取证，查找攻击来源、攻击手段以及攻击者等根本情况，形成案件线索，有必要时可以提供应网综平台，协助网络案情的侦查打击。同时提供案事件处置状态的跟踪与沟通，实现对案事件的闭环业务处理。 1.1.9 应急处置子系统

应急处置根据平安监测发现的网络攻击、重大平安隐患等情况及相关部门通报的情况，下达网络平安事件快速处置指令。指令接收部门按照处置要求和规X进展事件处置，及时消除影响和危害，开展现场勘察，固定证据，快速恢复。对事件处置情况、现场勘察情况以及证据等方面情况及时建档、归档并入库。 1.1.10

移动APP

提供手机APP应用功能，用于发布信息平安通报、信息平安通告、等保规、风险提示等信息。通报预警、快速处置等可以通过平台与移动APP相结合的方式进展通报实现。预警通报可以采用移动APP通知相关负责人。经过网安专网下发到相关单位，使相关单位能够及时接收并处置，移动APP支持多级组织机构管理，针对用户提供网络平安监测和通报数据管理的功能，针对重保单位用户提供通报消息通知和公开预警通报查看功能。

- word.zl.

. -

1.1.11 运营工作台子系统

运营工作台子系统为安服人员提供日常工作的待办提醒以及快捷入口并能表达

日常工作的成果，日常工作包括：资产维护、告警分析确认、平安事件深度分析〔攻击者、受害者、攻击链〕、相关通告的下发、现场检查、应急响应、各类报告的定期生成。提供日常运营常用工具的使用。具备平台日常的设备、效劳、数据的状态监听功能。前场安服人员，能够在系统的规X下，更好的运营系统，最大限度的发挥平台的价值。

1.2 网络空间平安数据采集系统建立

平安数据采集能力建立是平台建立的根底，为大数据平安分析、平安态势呈现、通报预警、应急处置、等保管理、追踪溯源、威胁情报和指挥调度等业务模块提供数据资源。

平安数据采集能力建立主要包括以下内容： 1. 流量采集与分配 2. 高级威胁监测与采集 3. 僵木蠕毒监测与采集 4. 云端威胁情报采集 5. DDoS攻击监测与采集 6. 云平安监测与采集 7. 等级保护数据采集 8. 其他业务系统数据采集

- word.zl.

. -

1.2.1 流量采集与分配

根据工程情况可采集城域网流量、重保单位出口流量、IDC机房流量、电子政务流量：

重保单位出口流量：根据业务需要在重保单位出口进展全流量采集，采集的流量通过流量采集设备做全量的镜像流量分析和检测，并复原成标准化日志。

城域网流量：根据业务需要可在城域网出口进展流量抽样采集，采集的流量通过流量采集设备做全量的镜像流量分析和检测，并复原成标准化日志。

IDC机房流量：根据业务需要可在IDC机房进展流量抽样采集，采集的流量通过流量采集设备做全量的镜像流量分析和检测，并复原成标准化日志。

电子政务流量：根据业务需要可在电子政务机房进展全流量采集，采集的流量通过流量采集设备做全量的镜像流量分析和检测，并复原成标准化日志。

采集方式如下：

分流：正常业务数据的分流功能，按照五元组规那么将同一个会话的所有报文〔即一个上网用户的所有数据〕输出到同一台数据处理设备，并且为所有后台数据处理设备提供相对均衡的流量，保证数据的处理能力，提高网络的灵活性和可用性。

抽样：未命中规那么的报文采样井口采集直接输出，命中标准规那么的报文采样在复原设备上软件实现，然后通过SDN交换网转发给第三方用户使用。

复制：对重点IP报文数据的复制，然后转发给第三方用户使用。

流量自动迁移：当后台个别数据处理设备出现因硬件或软件故障死机时，SDN分流设备自动将数据分发到其他机器上，待设备恢复正常后，再将数据迁移到该设备上，从而保证数据的完整性。

- word.zl.

. -

1.2.2 高级威胁监测与采集

高级威胁包括高级持续性威胁攻击〔APT〕、未知威胁攻击等，采用流量特征检测、自动连接关联、行为特征分析和端口匹配技术，对城域网的流量进展分析，结合第三方威胁情报数据，及时发现针对我省重保单位的高级威胁攻击。具体流量复原使用以下技术：

流量特征检测：流量特征识别方式主要分为两种：一种是有标准协议的识别，标准协议规定了特有的消息、命令和状态迁移机制，通过分析应用层内的这些专有字段和状态，就可以准确可靠地识别这些协议；另一种是未公开协议的识别，一般需要通过逆向工程分析协议机制解密后，采用报文流的特征字段来识别该通信流量。

行为特征分析：针对一些不便于复原的数据流量，可以采用行为特征的方法进展分析。这种方法不试图分析出上面的数据，而是使用的统计特征，如连接数、单个IP的连接模式、上下行流量的比例、数据包发送频率等指标来区分应用类型。

端口匹配技术：端口匹配指协议与端口的标准对应关系，根据TCP/UDP的端口来识别应用。这种方式具有检测效率高的优点，弱点是容易被伪造，因此在端口检测的根底上，还需要增加特征检测的判断和分析，进一步处理数据。

通过以上技术，采集重保单位全流量并进展复原分析，存储到大数据存储分析平台，为感知平台提供进一步高级威胁检测及溯源追踪的数据根底。 1.2.3 僵木蠕毒监测与采集

僵木蠕毒监测主要来自两种方面：一是对本地城域网抽样流量和重点单位全流量在检测引擎上进展检测；二是360云端僵木蠕毒平台对国内终端的僵木蠕毒感染信息进展采集，通过对IP地址/X围筛选的方式，筛选出属于本省／市的数据推送到态势感知平台。该数据来源于360云端平安数据采集，由于传统僵木蠕毒检测往往需要对全部镜像

- word.zl.

. -

流量进展分析，而整个工程骨干链路较大，如果对全部流量进展僵木蠕毒分析将带来巨大的资金消耗，也增加系统维护的复杂度。而360云端监测方式获取的主机僵木蠕毒告警信息可以很好的满足平安态势方面的需求。360云端僵木蠕毒监测数据对平台本地监测数据进展补充，根据哈密相关的域名、IP地址等信息，对全国网络平安数据筛选出XX僵木蠕毒数据数据，按一定的时间规那么推送到本地数据中心，是对本地平安监测数据资源的重要补充。 1.2.4 云端威胁情报采集

高级威胁情报来源于360互联网云端平安数据采集，需要依赖于360的互联网大数据技术，针对互联网上活泼的数百亿样本以及样本的行为做到实时追踪分析，并结合机器学习、高级人员运营等手段对特定样本做到事先预测和深入分析，逐渐挖掘出一系列与APT攻击相关的组织和攻击行为信息等情报信息，还有通过其他方式获取的攻击者〔敌对国家、敌对势力、恐惧组织、黑客组织、不法分子等〕情报信息、攻击方法手段、攻击目标等情报信息。 1.2.5 DDoS攻击监测与采集

这局部数据来源于360云端平安数据采集。通过互联网可以对DDoS攻击的控制端进展监控，在云端实现对DDoS攻击的监测与发现，对云端的DNS请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进展采集并分析，同时将分析结果实时推送给本地的大数据平台数据专用存储引擎，利用360数据资源可以对DDoS监控提供整网意义上的追踪。 1.2.6 云平安监测与采集

的监测数据主要依托于利用360云监测系统，针对重点进展漏洞、篡改、可用性、众测漏洞、挂马以及钓鱼的监测。360公司根据本工程网安提供的列表，对进展持续的

- word.zl.

. -

平安监测，并将监测结果推送到本地分析中心。监测数据包含如下几类数据：暗链数据、挂马数据、网页篡改数据、钓鱼数据、漏洞数据、众测数据、可用性数据。 1.2.7 众测漏洞平台数据

360补天漏洞平台是漏洞众测平台，目前平台注册4万多白帽子，他们会将发现的漏洞提交到补天漏洞平台，在本工程中可将所辖区域的漏洞同步到态势感知平台，第一时间通告最新披露的本地的漏洞信息。 1.2.8 等级保护数据

等级保护数据采集为等保管理模块提供重要的数据支撑，采用批量导入或手工录入方式采集等级保护单位根本信息、系统定级备案信息、系统测评报告、检查信息和整改信息等数据。通过将等级保护数据与监测数据深度关联，全面反映我省重要信息系统的平安状况。等级保护数据采集的结果存入等级保护根底库，作为大数据中心根底资源库的重要组成局部。 1.2.9 其他业务系统数据

可以与“网安综合应用平台〞通过调用查询接口、实时布控接口以及数据资源调用接口进展对接，获得网络平安恶意行为数据以及相关虚拟身份、网络行为数据等数据。也可以将平台关联分析与转化，形成的网络攻击重点人、历史重大网络平安事件数据等共享给“网安综合应用平台〞供网安业务部门使用。

1.3 网络XX犯罪发现预警系统建立

模型名称 模型说明 企业法人股东传销经历预警 如果企业的法人、股东曾经是传销组织的核心成员，对企业进展预警 如果网络中出现咨询、疑心、举报、曝光企业涉嫌传销的舆情，对企业进展预警 疑似传销企业网络舆情预警 - word.zl.

. -

110报警疑似传销企业预警 发生对某企业传销的110报警，对企业进展预警 分析ICP备案或企业的网页代码，如果符合以往发现的传销的代码特征，对企业进展预警 如果企业的法人、股东的亲属曾经是传销组织的核心成员，对企业进展预警 如果出现企业的法人、股东频繁和历史传销组织核心成员屡次同住，对企业进展预警 如果企业曾经被裁判过，对企业进展预警 程序具有传销特征预警 企业法人股东亲属传销经历预警 企业法人股东与传销人员同住预警 疑似传销企业被裁判预警 疑似传销企业被行政处分预警 疑似传销企业纳税异常预警 企业法人股东经济犯罪前科预警 企业地址频繁变更异常预警 如果企业曾经被行政处分过，对企业进展预警 如果企业的营业流水和纳税差异很大，对企业进展预警 如果企业的法人、股东曾经有过经济犯罪前科，对企业进展预警 如果企业注册地址短期内屡次变更，对企业进展预警 如果企业的理财产品、实物产品、商城商品的销售具有返利、积分、会费、多级提成等传销特征，对企业进展预警 如果出现企业/法人在短期内在各地注册多家分支机构、投资多家企业，快速扩X的情况，对企业进展预警 如果出现企业招聘信息和企业的经营X围不符合的情况〔如高科技研究企业大量招聘低学历的业务人员〕，对企业进展预警 如果出现企业全国各地进展短期租房的情况〔疑似进展传销传播活动〕，对企业进展预警 监控历史传销组织核心成员流入XX的情况，如果每月流入大于流出，即进展预警 如果出现历史传销组织核心成员出现频繁同行、同住、聚集〔多人〕的情况，即进展预警 如果手机通联记录中出现历史传销组织核心成员，对通联密切的人员进展预警 发生对某小区〔楼栋〕在进展传销活动的110报警，对小区〔楼栋〕进展预警 发生对传销工程的110报警，对传销工程进展预警 如果QQ群中高频出现传销黑中内容、或传销传播相关关键词〔如返利、积分、会费、提成、财富、成功等〕，对QQ群进展预警 如果微信群中高频出现传销黑中内容、或传销传播相关关键词〔如返利、积分、会费、提成、财富、成功等〕，对微信群进展预警 产品宣传疑似传销预警 企业/法人集中投资异常预警 疑似传销企业招聘异常预警 疑似传销企业租赁异常预警 传销人员流入流出异常预警 传销人员同行、同住、聚集异常预警 疑似传销人员手机通讯录异常预警 100报警疑似传销窝点预警 110报警疑似传销工程预警 疑似传销QQ群信息异常预警 疑似传销微信群信息异常预警 - word.zl.

. -

上述模型是已经在以往工程中实现的模型，基于大数据建模，可根据哈密业务特点、所获得的数据特点有针对性的建立业务模型。

1.4 设备清单与预算〔拟每秒20G流量，存储时间90天，计算流量采集和存储

分析专用设备〕

硬件设备购置费〔万元〕 序号 类型 硬件设备名称 性能或参数 多核AMP+架构，同时开启网络流量采集、威胁数据采集和日志上报功能情况下混合IDC流量会聚节1 数据采集设备 点网络流量探针 流〔模拟企业级网络真实场景流量〕吞吐量20Gbps，HTTP并发连接数1200万，HTTP新建连接速率50万/秒；3U机箱，冗余电源，标准配置1个10/100/1000M专用管理接口，1个Console口，8个接口扩展板卡插槽〔根据实际需求，灵活选配接口板卡类型〕，报价中包括一年全功能特征库升级效劳，包括3年硬件维修效劳。 专用设备，用于接收云端数据前置机后置互联网2 数据采集设备 机，软硬件一体化产品，设备为2U机架式硬件，专用高容错率企业级硬盘4T，4×1GE电口，AC 220V 550w冗余电源，32G内存，2×6核CPU，支持日志采集性能20万Eps，解析性能2万Eps。 专用设备，设备为2U机架式硬件，专用高容错率企业级硬盘4T×12块，4×1GE电态势感3 知应用根底平台 存储分析设备 专用存4 储分析引擎设备(ES) 口，AC 220V 550W冗余电源，256G内存，2×6核CPU。支持日志采集性能≥20万EPS，解析性能≥4万EPS。该平台集成数据库集群管理和应用软件管理功能。可根据实际需求扩展平安监测组件、综合态势组件、通报预警组件、指挥调度组件、追踪溯源组件、快速处置组件等模块。 专用设备，软硬件一体化产品，设备为2U机架式硬件，专用高容错率企业级硬盘4T×12块，4×1GE电口，AC 220V 550w冗余电源，256G内存，2×6核CPU，支持日志采集性能20万Eps，解析性能4万Eps。支持与多个从存储分析引擎实现集群部署能力。 5 态势 感知 态势感知子系包括平安监测组件、态势感知组件、通报预警组件、等级保护组件、威胁情报组建、套 1 395 395 台 9 21 1 台 2 13.8 27.6 台 2 13.5 27 台 1 55 55 单位 数量 单价〔万〕 总价〔万〕 - word.zl.

. -

统 指挥调度组件、侦查调查组建、追踪溯源组件、应急处置组件、移动APP、运营工作台组件。 企业法人股东传销经历预警 疑似传销企业网络舆情预警 110报警疑似传销企业预警 程序具有传销特征预警 企业法人股东亲属传销经历预警 企业法人股东与传销人员同住预警 疑似传销企业被裁判预警 疑似传销企业被行政处分预警 疑似传销企业纳税异常预警 企业法人股东经济犯罪前科预警 网络XX犯6 罪发现预警系统 网络XX犯罪发现预警子系统 企业地址频繁变更异常预警 产品宣传疑似传销预警 企业/法人集中投资异常预警 疑似传销企业招聘异常预警 疑似传销企业租赁异常预警 传销人员流入流出异常预警 传销人员同行、同住、聚集异常预警 疑似传销人员手机通讯录异常预警 100报警疑似传销窝点预警 110报警疑似传销工程预警 疑似传销QQ群信息异常预警 疑似传销微信群信息异常预警 数据的展现 根据本地特点进展模型改良。〔维语转换等〕 注：局部模型需采集数据 蓝信移动通讯系统及效劳器 设备为2U机架式硬件，专用高容错率企业级硬盘1T×2块，4×1GE电口，AC 220V 550w冗余电源，32G内存，2×6核CPU， 合计 1198.6 台 1 85 85 套 1 420 420 7 蓝信

- word.zl.