文档介绍：网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。网络空间态势感知系统系统建设平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。安全监测子系统安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。安全监测子系统有六类安全威胁监测的能力:一类是云监测,发现可用性的监测、漏洞、***、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC机房流量等流量采集上来后进行检测,发现***等攻击利用事件。第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT等高级威胁告警。第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。第六类是基于机器学****模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。1、安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点安全性与可用性的监测,及时发现漏洞、***、篡改(黑链/暗链)、钓鱼、众测漏洞和访问异常等安全事件。2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS请求数据、flow数据、UDP数据、活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,利用互联网厂商的云监控资源,结合本地运营商抽样采集的数据,才能快速有效发现DDoS攻击,同时对攻击进行追踪并溯源。3、僵木蠕毒数据监测:通过云端下发本地数据,结合流量数据进行分析,快速发现本省/市感染“僵木蠕毒”的数据。僵木蠕毒监测主要来自两种方面:一是360云端僵木蠕毒平台对国终端的僵木蠕毒感染信息进行采集,如果命中本省/市终端僵木蠕毒感染数据,通过对IP地址/围筛选的方式,筛选出属于本省/市的数据,利用加密数据通道推送到态势感知平台;二是对本地城域网流量抽样和重点单位全流量进行检测,将流量数据进行报文重组、分片重组和文件还原等操作后,传送到流检测引擎和文