開放數(shù)據(jù)中心標(biāo)準(zhǔn)推進(jìn)委員會開放數(shù)據(jù)中心標(biāo)準(zhǔn)推進(jìn)委員會開放數(shù)據(jù)中心委員會OpenDataCenterCommittee[編號ODCC-2022-08002]全流量檢測分析系統(tǒng)技術(shù)規(guī)范2022-09發(fā)布全流量檢測分析系統(tǒng)技術(shù)要求全流量檢測分析系統(tǒng)技術(shù)要求IIII全流量檢測分析系統(tǒng)技術(shù)要求全流量檢測分析系統(tǒng)技術(shù)要求IIIIODCC-2022-08002編制說明本報(bào)告開放數(shù)據(jù)中心委員會ODCC安全特設(shè)組牽頭撰寫，在撰寫過程中得到了多家單位的大力支持，在此特別感謝以下參編單位和參編人員：參編單位（排名不分先后）：中國電信股份有限公司研究院、中國移動通信研究院、中國信息通信研究院（云大所數(shù)據(jù)中心團(tuán)隊(duì)）參編人員（排名不分先后）：王雪榮、王素彬、鄒珂龍、楊?？?、謝麗娜、江暢項(xiàng)目經(jīng)理：王雪榮wangxr4@ODCC-2022-08002?>?刖言國家對網(wǎng)絡(luò)與信息安全要求越來越高，網(wǎng)絡(luò)和信息安全形勢日益嚴(yán)峻，企業(yè)數(shù)字化轉(zhuǎn)型帶來融合彈性、開放的網(wǎng)絡(luò)環(huán)境，以及多元化、專業(yè)化的業(yè)務(wù)場景,安全風(fēng)險(xiǎn)涉及面更廣，安全檢測精度與響應(yīng)時(shí)限要求更高，安全運(yùn)營更為復(fù)雜。全流量分析系統(tǒng)可以通過對全部原始流量進(jìn)行實(shí)時(shí)采集和解析，發(fā)現(xiàn)流量中的威脅，再結(jié)合安全情報(bào)、威脅行為等綜合手段進(jìn)行威脅分析并以可視化的界面展示，實(shí)現(xiàn)網(wǎng)絡(luò)安全和數(shù)據(jù)安全已知威脅、未知威脅的發(fā)現(xiàn)及威脅溯源，實(shí)時(shí)了解安全態(tài)勢，降低安全風(fēng)險(xiǎn)。全流量檢測分析系統(tǒng)技術(shù)要求 全流量檢測分析系統(tǒng)技術(shù)要求 >ODCC-2022-08002|\|\全流量檢測分析系統(tǒng)技術(shù)要求 全流量檢測分析系統(tǒng)技術(shù)要求 >ODCC-2022-08002|\|\目錄TOC\o"1-5"\h\z版權(quán)聲明 I\o"CurrentDocument"編制說明 II前言 III\o"CurrentDocument"1術(shù)語和定義 1\o"CurrentDocument"2設(shè)備概述 12.1總體功能要求——探針 22.2總體功能要求——分析平臺 23功能要求一-探針 33.1數(shù)據(jù)解析功能要求 33.2威脅檢測功能要求 33.3安全反饋功能要求 43.4樣本還原功能要求 64功能要求一-分析平臺 74.1威脅分析功能要求 74.2威脅追蹤功能要求 114.3威脅展示功能要求 124.4威脅處置功能要求 145性能要求 14全流量檢測分析系統(tǒng)技術(shù)要求全流量檢測分析系統(tǒng)技術(shù)要求ODCC-2022-08002支持報(bào)表生成：支持手動立即執(zhí)行、周期性自動執(zhí)行兩種方式生成報(bào)表，報(bào)表內(nèi)容包括但不限于告警展示、日志展示、事件展示、資產(chǎn)展示等。支持報(bào)表查看：系統(tǒng)應(yīng)提供完善的報(bào)表，支持面向安全結(jié)論的分析報(bào)表，報(bào)表需支持HTML、PDF、EXCEL、WORD等格式，所生成的報(bào)表可以自動發(fā)送到多個(gè)郵箱。資產(chǎn)畫像支持資產(chǎn)納管：支持根據(jù)資產(chǎn)的地理位置、業(yè)務(wù)系統(tǒng)、部門名稱、運(yùn)營商名稱、內(nèi)網(wǎng)地址范圍或其他分類，以規(guī)范的命名方式將資產(chǎn)配置到系統(tǒng)內(nèi)。支持對資產(chǎn)進(jìn)行修改/刪除、批量導(dǎo)入/導(dǎo)出/添加/修改/刪除等多種方式的管理，支持資產(chǎn)的分權(quán)分域管理。支持資產(chǎn)態(tài)勢展示：資產(chǎn)名、IP地址、MAC地址、攻擊告警、攻擊者、異常資產(chǎn)、對失陷資產(chǎn)進(jìn)行基于失陷類型的展示，展示最近發(fā)生時(shí)間、資產(chǎn)名稱、失陷攻擊類型、操作等，其中失陷類型至少需包括“橫向移動”、“異常外聯(lián)”、“木馬連接”、"C&C通信”、“自定義”等。支持多維度統(tǒng)計(jì)：支持通過統(tǒng)計(jì)圖、餅圖、列表等多個(gè)維度的資產(chǎn)統(tǒng)計(jì)，支持當(dāng)天、最近24小時(shí)、最近7天、最近30天、自定義時(shí)間等多種方法進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，展示活躍資產(chǎn)統(tǒng)計(jì)圖、資產(chǎn)外聯(lián)國家分布圖、活躍資產(chǎn)列表，支持活躍資產(chǎn)列表信息的導(dǎo)出。攻擊者畫像支持以列表形式展示攻擊者IP、最近攻擊時(shí)間、攻擊持續(xù)時(shí)間、攻擊組織、攻擊者來源、攻擊手段、ATT&CK攻擊技術(shù)、畫像指紋信息、攻擊資產(chǎn)信息、風(fēng)險(xiǎn)等級等信息。ODCC-2022-08002支持通過時(shí)間范圍、IP、地域、情報(bào)信息、畫像關(guān)鍵字符串、風(fēng)險(xiǎn)等級、ATT&CK攻擊技術(shù)對攻擊者進(jìn)行檢索過濾。4.4威脅處置功能要求分析平臺應(yīng)支持對威脅事件進(jìn)行告警和多種方式處置。4.1.15告警通知支持計(jì)入日志、頁面報(bào)警、發(fā)送郵件、發(fā)送SNMPTrap信息、發(fā)送SYSLOG信息等方式進(jìn)行告警。4.1.16報(bào)文記錄支持在檢測到攻擊事件之后捕獲攻擊原始報(bào)文的能力，所捕獲的攻擊原始報(bào)文需保存成標(biāo)準(zhǔn)的cap格式在探針，可以通過常見的數(shù)據(jù)包捕獲和分析軟件打開，同時(shí)支持在平臺界面顯示pcap包內(nèi)容。4.1.17流量封堵支持通過發(fā)送RST阻斷報(bào)文進(jìn)行封堵處置：分析平臺下發(fā)封堵指令到探針,探針發(fā)送RST阻斷報(bào)文到原鏈路。5性能要求5.1可處理鏈路總帶寬WIOGbps數(shù)據(jù)量的設(shè)備性能要求（以下為建議值，性能參數(shù)值可依據(jù)不同的業(yè)務(wù)場景靈活定義）1） 單臺設(shè)備網(wǎng)絡(luò)層數(shù)據(jù)處理能力不低于10Gbps，單臺設(shè)備應(yīng)用層的數(shù)據(jù)處理性能不低于10Gbps；2） HTTP會話處理能力：支持新建數(shù)不低于6萬/s、并發(fā)數(shù)不低于200萬；3） 支持最大TCP并發(fā)連接數(shù)不低于200萬；ODCC-2022-080024） 支持威脅情報(bào)URL/IP/Domain監(jiān)測特征庫的規(guī)則數(shù)量各不低于20萬；5） 支持黑名單容量不少于10萬條，白名單容量不少于10萬條；6） 對于已知的惡意網(wǎng)絡(luò)活動識別準(zhǔn)確率不低于90%，通過明文通信的惡意程序識別準(zhǔn)確率不低于80%；7） 對于威脅情報(bào)URL/IP/Domain規(guī)則檢測命中率必須在95%以上；8） 設(shè)備應(yīng)支持在本地存儲至少4320小時(shí)的上報(bào)數(shù)據(jù)、4320小時(shí)的操作日志、4320小時(shí)的原始日志其中：疑似及惡意樣本文件及樣本相關(guān)基礎(chǔ)信息數(shù)據(jù)（MD5、樣本類型等）留存時(shí)間不少于60天，中危及以上安全事件相關(guān)報(bào)文文件（例如原始流量PCAP包）及相關(guān)信息