[01483543]复杂网络环境的安全态势感知与先进防控技术及应用

一、项目背景与来源：随着互联网、云、工业互联网的快速发展，网络安全问题变得更加突出。而态势感知市场缺少全局的、多维度的检测视角，无法适应互联网、云、工业互联网环境的安全要求，不能完全满足复杂网络环境下全能力覆盖的安全态势感知与先进防控技术建设所包括的各个层面需求。 二、研制的主要内容及关键技术：该项目通过对异源异构数据的安全分析、建模、机器学习和先进防控技术研究，在安全事件关联推理及响应、高级隐蔽性威胁检测、IPv4/IPv6混合网络环境资产识别、云安全智能防控等方面取得了突破。 1、安全事件自动化关联推理及响应：构建安全知识图谱，实现互联网、大型特定活动组网、公有云和企业云、工业互联网等复杂网络环境下关联推理、溯源、攻击范围感知以及自动化编排响应，有效构建安全闭环，提高安全运维效率50％以上； 2、认知攻击循环建模：在攻击链建模的基础上，实现隐蔽性攻击循环路径认知和攻击行为的循环关联建模，有效检测高级隐蔽性威胁，检出率提高80％； 3、IPv4/IPv6混合网络环境资产识别：实现IPv4和IPv6混合网络双栈协议识别以及资产智能识别； 4、云安全智能防控：智能学习具有关联的云安全事件逻辑，结合不同安全事件的关联性、先后逻辑和对网络系统的依赖关系分析，重点实现特定的云安全分析场景。 三、主要技术性能指标： 1、数据处理种类：支持流量数据、日志数据、弱点数据、性能数据、情报数据等1000+种设备、2000种协议的数据； 2、数据处理规模：日志数据的采集延迟低于20秒，流量数据的采集延迟低于20秒；数据处理规模达到300K+EPS； 3、数据存储性能：支持每天大约30-50亿，数据存储量为4T/日； 4、安全威胁告警效率：紧急安全事件能在10秒内进行告警； 5、安全威胁检索效率：对原始数据的检索响应≤8秒，分析结果检索响应≤2秒； 6、实时查询效率：性能支持8G/分钟，1千万条/分钟的数据规模。