网络安全威胁溯源与预警平台
- 发布时间:2020-07-06
- 信息来源:平台运行管理办公室
需求编号:6001121012 提交纸质方案截止时间:2020年8月31日
中关村第四届新兴领域专题赛需求表
(技术成果推广类)
需求提出单位信息 (网络公开信息,请注意商业保密处理) | |||||
单位名称 | 专题赛组委会 | ||||
行业领域 | 网络安全 | 产业领域 | 信息安全 | ||
经济规模 | 8000万 | 人员规模 | 58 | ||
技术信息 (网络公开信息,请注意商业保密处理) | |||||
技术需求情况说明 | 技术名称 | 网络安全威胁溯源与预警平台 | |||
技术类别 | 威胁检测与溯源 | ||||
技术创 新领域 | 信息技术与安全 | ||||
技术简述 | 基于网络流量、安全日志和安全配置的融合分析,实现对典型网络安全威胁和违规操作的场景分析和行动溯源,涵盖网络攻击链还原、潜伏威胁感知、违规内联、数据泄密、安全配置违规。 | ||||
技术 详述 | 主要内容 融合网络安全管理平台的安全事件、安全策略及网络流量数据,基于统计分析、关联分析和场景分析,发现潜伏安全威胁并提供网络攻击溯源与取证能力。基于安全日志和网络流量监控实现对重点应用的监控和安全评估。 | ||||
主要指标 1. 应用监控 (1)重点应用监控。能够监控典型业务的状态,包括进程开启情况、端口开放状态和流量分布。支持业务建模和业务行为分析。 (2)应用安全画像。支持从应用网络访问关系、应用可用性、安全威胁和脆弱性等方面进行应用安全监控,绘制应用安全画像。 2. 流量分析 实现对网络流量、资产的安全威胁分布统计与实时监控,从应用的角度实现对重点应用的安全监控,形成应用和主机安全画像。包括: (1)精细化流量安全追溯。支持基于流量事件属性进行综合查询和流量追溯,支持模糊查询和自定义查询条件。支持按线路进行流量分析,可按时间范围进行查询,展现包括方向、总计、最大速率、平均速率等的流量信息,支持按线路进行数据包分析。 (2)流量分布统计。提供不同维度的流量分布统计图表,对于监控的网络设备可以根据总流量、路由设备、地址排名、应用排名、协议排名进行分析展示,可按设备、业务场景进行流量宏观趋势展示和分析。 (3)场景流量分析。支持按照业务场景进行流量分析,可自定义业务场景,对业务场景流量进行top端口、top地址、top协议的排行分析。 (4)协议流量分析。可分别分析应用层、传输层、网络层和链路层的不同层面的协议流量情况。 3. 资产管理 能够发现域内的资产,定义资产基线,对资产信息进行采集,基于资产探测实现网络拓扑管理和主机画像。 (1)资产发现。具备资产发现、资产IP库自学习与变化预警功能。能够建立资产基线,在设置资产IP基线学习周期内,全面监控管理区域的在线设备,形成用户正常业务周期内的资产库白名单。 (2)资产自学习。具备资产自学习功能,支持资产类型管理,类型包括工控设备,网络设备,安全设备,数据库,中间件,存储设备,应用系统,虚拟化,机房设备等,支持通过资产列表查看查看资产活跃状态,包括最近出现时间,当前总流速,总流量,会话列表。 (3)资产信息补全。支持资产信息补全,资产属性包括资产类型(主机,工控设备,网络设备,安全设备,应用系统等),主机名称,区域,地理位置 (4)资产详情管理。支持资产列表展示,资产信息包括IP地址,区域,主机名称,资产类型,厂商,型号,版本,联系人,购置日期,质保日期,最近出现时间,当前流速,总流量。 (5)支持资产建模。能够扩展定义某类资产的属性信息,如物联网资产类型扩展、工控类资产扩展。 (6)资产定位。能够自动发现网络设备的端口连接情况,采集网络资产的拓扑信息,帮助用户更加准确的定位资产信息。 (7)拓扑监控。提供基于资产的拓扑视图,可以显示资产之间的逻辑连接关系,可以按列表和拓扑两种视图显示拓扑节点,可以编辑资产拓扑。 (8)网络拓扑链路监控。具备实时设备与链路运行监控功能,能个自动标记设备或者链路故障。 (9)设备机架视图展示。能够以机架视图形式可视化显示设备在机架/机柜的摆放位置,可以自定义机架视图,机架视图能够实时展示设备运行状态,自动标记设备告警。 (10)资产变更管理。能够对资产进行编辑,能够监控资产的变更情况,支持资产变更审计。 (11)资产分布统计。提供不同维度的资产分布统计图表,能够按区域、安全类型进行资产的宏观展示。 4. 网络行为分析 提供丰富的大数据统计、关联分析、数据挖掘和态势分析能力,支撑安全态势感知模块。 (1)违规流量分析。支持协议深层解析,发现违规业务流量。 (2)异常流量分析。支持流量统计,检测异常流量,发现带宽占用症结。 (3)DDOS攻击发现。基于特征、时间窗口基线和基于周期基线算法实现DDOS攻击监测。 (4)失陷主机分析。支持内网中失陷主机分析与取证,支持失陷主机状态迁移图查看和资产详情展示。 (5)潜伏威胁感知。支持潜伏威胁安全事件分析,包括嗅探行为监测、入侵行为监测、C&C控制行为监测、威胁横向扩散和可疑数据外发监测。 (6)设备违规接入监测分析。能够基于安全管理平台上报的违规接入告警和网络流量监测对违规接入告警行为进行告警确认和取证。 (7)安全策略隐患监测分析。能够检测安全策略配置违规并基于流量信息发现违规策略利用,产生告警和取证数据。 (8)敏感数据泄露监测分析。能够基于关键字监测敏感文件操作,对敏感文件的读取、传输过程进行监视,产生敏感数据泄露告警,并进行影响分析。 (9)非法外联监测分析。对网络非法外联行为进行检测、告警、确认和取证,并进行非法外联影响分析。 (10)网络感知。从服务,端口,流量大小等方面建立行为基线,从反常的行为中发现异常的服务器、流氓服务、NAT设备发现,实时可见网络上所有设备的完整活动与行为。 (11)病毒感染路径分析。对病毒的网络传播途径、文件感染过程进行溯源分析,展示病毒感染的完整路径。 (12)攻击溯源取证。基于典型网络攻击过程,建立攻击链模型,实现网络攻击的溯源和取证分析。 5. 安全态势感知 (1)流态势感知。展示全网流量态势,支持网络访问图、业务关系图、网络攻击图,并支持页面元素的下钻。 (2)运行态势感知。支持对各种监控对象进行全方位细粒度的监控,提供丰富的可视化图表。支持计算业务的整体性能指数、脆弱性指数和业务的威胁指数,并绘制健康度随时间变化的业务健康曲线。 (3)攻击态势感知。能够通过统计分析、关联融合等手段对攻击信息进行处理,实施全景式的攻击态势监视。支持从遭受攻击、攻击的类型、分布、攻击关系、趋势、攻击结果等维度进行攻击态势的呈现。包括攻击在网络、主机、应用、数据层面上的分布和趋势,攻击的源目关系态势,攻击类型在不同安全域及业务系统或资产类型上的分布,攻击成功与否的结果态势等。 (4)脆弱性态势感知。支持进行全网漏洞弱点态势呈现,包括漏洞的分布统计、影响的资产范围、长时间未处理高危漏洞情况、破坏及影响最高的安全弱点、漏洞及配置弱点在全网的风险态势、漏洞的综合处置情况等。 | |||||
其他描述 技术成果需要搭配网络安全管理平台的使用效果更好,基于网络安全管理平台的安全日志、安全配置和网络流量进行多维度分析,安全威胁溯源的场景更完整。 | |||||
市场要求 面向高等级级专用网络,采用垂直管理模式,已经具备了一定的安全防护体系,建立了安全管理体系,对安全日志和策略进行了全域收集,但缺少网络流量检测手段。 应用场景 采用流量采集分析探针和安全威胁溯源平台相结合的方式,在各个局域网节点部署流量采集分析探针,对局域网内部的网络访问行为和违规操作进行监测预警,通过安全威胁溯源平台进行跨域融合分析。 随着网络攻击手段的不断演进,基于边界防护思路的防护效果受到较大的挑战,内部人员网络滥用、潜伏在内部网络的APT攻击成为网络攻击的主要方式,传统的基于规则的检测手段对此类安全威胁无能为力。 本项技术以网络流量分析为突破口,采用统计分析、场景分析和关联分析技术,对局域网内的网络访问行为和流量分布进行监视,结合传统安全防护设备的安全告警日志,对潜在的安全威胁进行确认和取证,为发现和定位潜伏威胁提供了强有力的工具。 开发前景 针对不同用户的业务应用场景,可以定义不同的安全威胁场景,从业务访问的正常模型出发,监测偏离正常模型的违规行为,通过定制开发可以实现更多的安全威胁分析场景。 | |||||
合作需求 | 现有基础情况 | 目前安全威胁溯源与预警平台软件开发完成,配套的流量采集分析探针设备也已经完成样机生产。 | |||
合作需求描述 | 共建新研发、生产实体 | ||||
合作金额 (具体请按市场规律调整) | 期望合作金额: 300 万元 | ||||
备 注 | 1.专题赛详细信息可登陆专题赛官网(http://www.zgccmichallenges.cn)或搜索微信公众号“中关村新兴领域专题赛”查询。 2.需求可登陆专题赛官网(http://www.zgccmichallenges.cn)或搜索微信公众号“中关村新兴领域专题赛”下载。 3.需求细节沟通咨询和专家辅导点评请关注微信公众号“中关村新兴领域专题赛”,分别在“需求发布”和“提交方案”栏按提示操作。 | ||||
