序號(hào)

技術(shù)指標(biāo)

具體要求

1

硬件參數(shù)

▲高度≦2U；CPU（**核心**線程）≥2，內(nèi)存≥**6G，SATA≥**T、SSD≥**0G，支持raid5部署，接口類(lèi)型：千兆電口≥2個(gè)，萬(wàn)兆光口≥2個(gè)，USB接口≥4個(gè)；剩余接口擴(kuò)展槽≥2個(gè)；雙電源，提供3年軟件升級(jí)授權(quán)和3年威脅情報(bào)中心授權(quán)；（提供承諾函，格式自擬，并加蓋供應(yīng)商公章）

2

性能指標(biāo)

▲流量處理能力≥5G；（提供承諾函，格式自擬，并加蓋供應(yīng)商公章）

3

安全態(tài)勢(shì)監(jiān)控

支持多個(gè)維度的動(dòng)態(tài)實(shí)時(shí)展示大屏，至少應(yīng)包括安全綜合態(tài)勢(shì)大屏、威脅態(tài)勢(shì)大屏、漏洞態(tài)勢(shì)大屏、資產(chǎn)態(tài)勢(shì)大屏、文件威脅大屏等，對(duì)大屏中展示的數(shù)據(jù)支持下鉆查詢(xún)；

4

支持從用戶(hù)威脅、外部威脅、內(nèi)部威脅、外連威脅、對(duì)外威脅等維度進(jìn)行安全態(tài)勢(shì)的分析及呈現(xiàn)，同時(shí)支持綜合威脅態(tài)勢(shì)、資產(chǎn)態(tài)勢(shì)、漏洞態(tài)勢(shì)、文件態(tài)勢(shì)和機(jī)構(gòu)威脅態(tài)勢(shì)等維度來(lái)進(jìn)行安全態(tài)勢(shì)呈現(xiàn)及大屏展示；

5

支持檢測(cè)資產(chǎn)安全，支持通過(guò)5G流量自動(dòng)提取和分析出資產(chǎn)手機(jī)號(hào)碼信息，并關(guān)聯(lián)資產(chǎn)呈現(xiàn)，點(diǎn)擊資產(chǎn)詳情可以查看事件詳細(xì)信息、訪問(wèn)關(guān)系；

6

支持攻擊關(guān)系分析，以攻擊者視角展示針對(duì)每個(gè)攻擊目標(biāo)所采用的攻擊手段的攻擊關(guān)系視圖，同時(shí)展示攻擊事件的攻擊手段TOP統(tǒng)計(jì)，以及每種攻擊手段的描述說(shuō)明，并支持下鉆；

7

重保監(jiān)測(cè)

支持在護(hù)網(wǎng)/重保期間，通過(guò)設(shè)置關(guān)注業(yè)務(wù)系統(tǒng)IP進(jìn)行實(shí)時(shí)監(jiān)控，可設(shè)置項(xiàng)包含但不限于最近一小時(shí)、最近2小時(shí)、最近**小時(shí)、最近**小時(shí)、最近一周，威脅類(lèi)型排行包含但不限于黑客攻擊、SQL注入、緩沖區(qū)溢出、命令執(zhí)行、敏感訪問(wèn)、DOS攻擊、信息泄露、目錄遍歷、跨站腳本、文件上傳、木馬病毒，可針對(duì)性地選擇對(duì)應(yīng)的威脅類(lèi)型，界面呈現(xiàn)僅重點(diǎn)關(guān)注的事項(xiàng)；

8

分析模型

支持自定義攻擊事件分析模型，至少包括：事件規(guī)則匹配模型、事件統(tǒng)計(jì)分析模型、事件關(guān)聯(lián)分析模型；內(nèi)置**種及以上安全事件分析模型，如冰蝎webshell通信、利用Sqlmap上傳webshell、Acunetix安全工具掃描、APPSCAN工具掃描等；

9

支持自定義配置的分析條件，配置維度包括：URL、HTTP方法、HTTP域名、HTTP狀態(tài)碼、DNS解析域名、TLS指紋、TLS版本、SSH服務(wù)端協(xié)議版本、SSH客戶(hù)端協(xié)議版本、文件類(lèi)型、文件哈希值、惡意文件家族、SMTP發(fā)件人等；

**

AI能力

AI惡意流量的智能識(shí)別：支持基于機(jī)器學(xué)習(xí)的加密流量下的惡意軟件通信識(shí)別，至少包括Generic Botnet僵尸網(wǎng)絡(luò)活動(dòng)檢測(cè)；支持基于機(jī)器學(xué)習(xí)的提取攻擊者真實(shí)訪問(wèn)的URL，全面掌握攻擊者的攻擊意圖和訪問(wèn)記錄，包括：攻擊者IP、攻擊者URL、訪問(wèn)行為的原始報(bào)文等；

**

支持AI判真功能，存在多個(gè)攻擊手段的攻擊事件顯示為AI判真事件，AI判真事件在設(shè)備界面將存在存在AI判真標(biāo)識(shí)；

**

支持AI自動(dòng)處置功能，當(dāng)處置列表有昨天的處置信息，今天沒(méi)有處置信息時(shí)，攻擊事件支持自動(dòng)按照昨天的處置歷史信息進(jìn)行處置，攻擊事件被蓋上相應(yīng)的處置標(biāo)簽，歷史處置記錄按時(shí)間軸形式顯示處置時(shí)間、設(shè)備信息或備注信息，處置列表新增一條處置信息，顯示處置目標(biāo)、所屬機(jī)構(gòu)、數(shù)據(jù)來(lái)源、威脅等級(jí)、威脅資產(chǎn)數(shù)量、事件類(lèi)型、處置來(lái)源、處置手段、處置時(shí)間、生效日期和備注信息；

**

5G威脅

支持查看5G威脅的日志統(tǒng)計(jì)數(shù)據(jù)，包括攻擊級(jí)別分布，攻擊名稱(chēng)Top5和手機(jī)號(hào)Top5統(tǒng)計(jì)圖以及5G威脅事件的列表；支持查看5G威脅日志的攻擊列表展示，包括攻擊者、受害者、所屬機(jī)構(gòu)、攻擊類(lèi)型、攻擊名稱(chēng)、關(guān)鍵字、發(fā)現(xiàn)時(shí)間；

**

5G威脅單條威脅日志展示的主機(jī)信息包括源IP、源端口、目的IP、目的端口、協(xié)議、資產(chǎn)的機(jī)構(gòu)分組或非資產(chǎn)的國(guó)家名，檢測(cè)信息包括發(fā)現(xiàn)時(shí)間、檢測(cè)引擎、攻擊名稱(chēng)、攻擊級(jí)別、攻擊類(lèi)型、數(shù)據(jù)來(lái)源、特征ID、解釋說(shuō)明和解決方案；

**

威脅分析功能

支持以餅狀圖、柱狀圖、折線圖等形式展示整網(wǎng)攻擊次數(shù)總覽、攻擊類(lèi)型Top、攻擊者Top、受害者Top、不同維度的攻擊趨勢(shì)以及攻擊級(jí)別數(shù)量分布等；

**

支持不少于5個(gè)維度的威脅分析，包含但不限于外部威脅、外連威脅、對(duì)外威脅、內(nèi)部威脅、用戶(hù)威脅、5G威脅等6個(gè)方向展開(kāi)分析；

**

支持從攻擊者和受害者視角分別展示用戶(hù)威脅列表，至少包括：用戶(hù)名稱(chēng)、攻擊類(lèi)型、攻擊名稱(chēng)、發(fā)起或遭受攻擊次數(shù)等，并支持下鉆展示單個(gè)用戶(hù)發(fā)起或遭受攻擊的列表及詳情；

**

支持從用戶(hù)維度統(tǒng)計(jì)威脅信息，至少包括：攻擊級(jí)別分布、發(fā)起攻擊用戶(hù)TOP、遭受攻擊用戶(hù)TOP、攻擊類(lèi)型TOP、攻擊名稱(chēng)TOP和攻擊趨勢(shì)等；

**

支持時(shí)間軸溯源分析，以時(shí)間軸的形式展示攻擊者在入侵全過(guò)程中各個(gè)入侵時(shí)間節(jié)點(diǎn)中的攻擊目標(biāo)、攻擊次數(shù)、攻擊手段以及攻擊階段，同時(shí)提供各攻擊手段安全處置建議；展示該攻擊事件歷史的處置記錄；

**

攻擊溯源

支持基于ATT&CK框架的攻擊鏈分析，內(nèi)置不少于**個(gè)入侵階段的攻擊鏈知識(shí)庫(kù)，入侵階段包括但不限于：偵察目標(biāo)、資源開(kāi)發(fā)、初始訪問(wèn)、命令執(zhí)行、持續(xù)控制、權(quán)限提升、防御規(guī)避、憑據(jù)訪問(wèn)、環(huán)境觀察、橫向移動(dòng)、收集信息、命令控制、竊取數(shù)據(jù)、侵害破壞；

**

支持攻擊事件時(shí)間溯源軸展示匹配上的威脅建模模型信息，攻擊手段顯示模型名稱(chēng)，事件類(lèi)型顯示威脅建模設(shè)置的事件標(biāo)簽，覆蓋的攻擊階段顯示威脅建模設(shè)置的攻擊鏈，安全處置建議顯示威脅建模設(shè)置的處置建議；

**

支持時(shí)間軸溯源分析，以時(shí)間軸的形式展示攻擊者在入侵全過(guò)程中各個(gè)入侵時(shí)間節(jié)點(diǎn)中的攻擊目標(biāo)、攻擊次數(shù)、攻擊手段以及攻擊階段，同時(shí)提供各攻擊手段安全處置建議；展示該攻擊事件歷史的處置記錄；

**

支持多層溯源功能，開(kāi)啟多層溯源后，默認(rèn)展示兩層溯源信息，攻擊手段在展示圖中消失(改為顯示受害者ip），右側(cè)展示攻擊手段TOP6及描述信息；支持選擇1-**層進(jìn)行溯源，溯源層數(shù)不足時(shí)默認(rèn)展示可溯源的最高層數(shù)，不同層源使用不同顏色區(qū)別展示，并可點(diǎn)擊攻擊者跳轉(zhuǎn)查看攻擊事件詳情；

**

資產(chǎn)畫(huà)像

支持資產(chǎn)畫(huà)像功能，可顯示資產(chǎn)的外部訪問(wèn)的流量統(tǒng)計(jì)信息、訪問(wèn)的源IP、目的IP、訪問(wèn)方式和流量趨勢(shì)；內(nèi)部訪問(wèn)的流量統(tǒng)計(jì)信息、訪問(wèn)的源IP、目的IP、訪問(wèn)方式和流量趨勢(shì)；外連訪問(wèn)的流量統(tǒng)計(jì)信息、訪問(wèn)的源IP、目的IP、訪問(wèn)方式和流量趨勢(shì)；

**

安全處置

支持對(duì)于已檢測(cè)出的網(wǎng)絡(luò)攻擊，聯(lián)動(dòng)現(xiàn)網(wǎng)安全防護(hù)設(shè)備下發(fā)處置任務(wù)，聯(lián)動(dòng)處置的設(shè)備類(lèi)型至少包括：應(yīng)急處置系統(tǒng)、WAF、IPS、FW等，支持通過(guò)平臺(tái)查看、導(dǎo)出和搜索處置列表，可針對(duì)正在生效的處置記錄進(jìn)行失效處理；

**

支持SOAR自動(dòng)編排功能，攻擊事件匹配上劇本設(shè)定的攻擊條件、機(jī)構(gòu)分組、IP等信息后，攻擊事件按照劇本設(shè)置的處置策略如封禁、白名單、判認(rèn)、忽略、郵件、通報(bào)等處置手段進(jìn)行處置，攻擊事件被蓋上相應(yīng)的處置標(biāo)簽，處置列表顯示處置目標(biāo)、數(shù)據(jù)來(lái)源、聯(lián)動(dòng)設(shè)備、處置狀態(tài)、處置信息、所屬機(jī)構(gòu)、處置來(lái)源、處置手段、操作用戶(hù)、處置事件、備注信息；

**

威脅情報(bào)檢索

支持獨(dú)立的威脅情報(bào)檢索模塊，可根據(jù)IP、域名、文件哈希等進(jìn)行威脅情報(bào)檢索功能；支持對(duì)檢索到的威脅情報(bào)進(jìn)行展示，展示內(nèi)容包括：級(jí)別、類(lèi)型、時(shí)間、評(píng)分、關(guān)聯(lián)情報(bào)，以及影響的資產(chǎn)范圍；

**

系統(tǒng)管理

支持自定義弱密碼字典的增刪改查，可用于檢測(cè)自定義的弱密碼，弱密碼字典支持對(duì)事件和密碼進(jìn)行篩選和檢索；

**

支持信任列表的增刪改查，可用于過(guò)濾無(wú)需流量采集設(shè)備進(jìn)行檢測(cè)的具體IP或攻擊，信任列表支持源IP、目的IP、攻擊類(lèi)型、攻擊名稱(chēng)等的組合配置和下發(fā)；

**

支持對(duì)流量采集設(shè)備進(jìn)行本地安全策略配置，并下發(fā)到對(duì)應(yīng)探針，策略至少包括：采集接口配置、日志服務(wù)器地址和流量分析策略（標(biāo)準(zhǔn)模式、增強(qiáng)模式、深度模式和專(zhuān)家模式），其中分析策略中專(zhuān)家模式支持自定義攻擊策略（包含信息探測(cè)、訪問(wèn)風(fēng)險(xiǎn)、流量攻擊、惡意軟件、WEB安全事件、遠(yuǎn)控代理、密碼攻擊、漏洞攻擊、高敏庫(kù)、行業(yè)屬性）、采樣等級(jí)、高級(jí)設(shè)置（至少包含：訪問(wèn)日志策略、端口掃描閥值、IP掃描閥值、XFF頭部、5G引擎、自定義弱口令規(guī)則、攻擊上下文存儲(chǔ)和AI檢測(cè)引擎等的配置）；

**

大數(shù)據(jù)安全模塊

具備高容錯(cuò)、高吞吐量的數(shù)據(jù)處理能力，其中組件至少包括但不限于ClickHouse、Hadoop、Kafka、Redis、Logstash、DataService、ZooKeeper、GreenPlum、Elasticsearch、UI等**種大數(shù)據(jù)組件，并可監(jiān)控各組件運(yùn)行狀況；

**

產(chǎn)品資質(zhì)

▲所投產(chǎn)品具備公安部《計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證》或 網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品安全檢測(cè)證書(shū)，提供復(fù)印件，并加蓋廠商公章。

**

聯(lián)動(dòng)要求

▲基于業(yè)務(wù)及運(yùn)維安管理要求，態(tài)勢(shì)感知需具備與終端檢測(cè)與響應(yīng)系統(tǒng)聯(lián)動(dòng)，實(shí)現(xiàn)多維度的安全監(jiān)測(cè)及阻斷的能力（提供承諾函，格式自擬，并加蓋供應(yīng)商公章）

序號(hào)

技術(shù)指標(biāo)

具體要求

1

硬件參數(shù)

▲高度≤2U；CPU（8核心8線程）≥2，內(nèi)存≥**G，硬盤(pán)≥4T，剩余硬盤(pán)擴(kuò)展槽≥7，接口類(lèi)型：千兆電口≥2個(gè)，萬(wàn)兆光口≥2個(gè)，USB接口≥4個(gè)；剩余接口擴(kuò)展槽≥5個(gè)，配置雙電源；（提供承諾函，格式自擬，并加蓋供應(yīng)商公章）

2

性能參數(shù)

▲流量采集能力≥3G；（提供承諾函，格式自擬，并加蓋供應(yīng)商公章）

3

流量采集功能

網(wǎng)絡(luò)流量全量采集并解析成待檢測(cè)數(shù)據(jù)。包括數(shù)據(jù)采集、會(huì)話還原、協(xié)議識(shí)別、文件還原模塊，主要于底層捕獲流量信息，并進(jìn)行協(xié)議識(shí)別還原；

4

通過(guò)旁路鏡像采集網(wǎng)絡(luò)全部流量，支持在線支持同時(shí)接入多個(gè)鏡像口，每個(gè)口相互獨(dú)立不影響，設(shè)備部署不影響原有網(wǎng)絡(luò)結(jié)構(gòu)；

5

弱口令檢測(cè)功能

可自定義弱口令規(guī)則，低、中、高三種密碼規(guī)則，結(jié)合預(yù)定義弱口令字典，對(duì)弱口令威脅的檢測(cè)更準(zhǔn)確;界面可展示檢測(cè)的弱口令威脅日志，有關(guān)鍵字的會(huì)展示關(guān)鍵字;單條弱口令的詳情展示包括主機(jī)信息、檢測(cè)信息和數(shù)據(jù)包信息，主機(jī)信息包括源IP、源端口、目的IP、目的端口、協(xié)議、資產(chǎn)的機(jī)構(gòu)分組或非資產(chǎn)的國(guó)家名，檢測(cè)信息包括發(fā)現(xiàn)時(shí)間、檢測(cè)引擎、攻擊名稱(chēng)、攻擊級(jí)別、攻擊類(lèi)型、數(shù)據(jù)來(lái)源、特征ID、用戶(hù)名、密碼、解釋說(shuō)明和解決方案；

6

支持查看、下載原始攻擊數(shù)據(jù)包，打開(kāi)數(shù)據(jù)包可查看到報(bào)文信息;可展示檢測(cè)的弱口令訪問(wèn)日志，訪問(wèn)信息包括用戶(hù)名和密碼;單條弱口令的詳情展示包括但不限于主機(jī)信息、檢測(cè)信息和數(shù)據(jù)包信息，主機(jī)信息包括源IP、源端口、目的IP、目的端口、協(xié)議、資產(chǎn)的機(jī)構(gòu)分組或非資產(chǎn)的國(guó)家名，檢測(cè)信息包括但不限于發(fā)現(xiàn)時(shí)間、數(shù)據(jù)引擎、威脅名稱(chēng)、威脅級(jí)別、威脅類(lèi)型、數(shù)據(jù)來(lái)源、解釋說(shuō)明、解決方案、關(guān)鍵字、特征ID、特征描述等信息；

7

漏洞掃描檢測(cè)功能

支持多種惡意系統(tǒng)漏洞掃描檢測(cè)，主機(jī)滲透攻擊檢測(cè)，至少包括：系統(tǒng)漏洞攻擊、命令注入、應(yīng)用程序漏洞攻擊、Shellcode攻擊、DNS漏洞攻擊、FTP漏洞攻擊、郵件漏洞攻擊、文件漏洞攻擊、網(wǎng)絡(luò)設(shè)備漏洞攻擊、瀏覽器漏洞攻擊、Web系統(tǒng)漏洞攻擊、多媒體應(yīng)用漏洞攻擊、TELNET漏洞攻擊、TFTP漏洞攻擊等；

8

隱匿隧道報(bào)文解析

支持多種協(xié)議的隧道報(bào)文解析，至少包括：ICMP、HTTP、DNS等協(xié)議的隧道通信；

9

5G威脅檢測(cè)功能

支持5G威脅檢測(cè)：支持對(duì)5G協(xié)議解析和威脅檢測(cè)，可以通過(guò)平臺(tái)查看5G威脅的日志統(tǒng)計(jì)數(shù)據(jù)，包括攻擊級(jí)別分布，攻擊名稱(chēng)Top5和手機(jī)號(hào)Top5統(tǒng)計(jì)圖以及5G威脅事件的列表。支持5G威脅檢測(cè)，至少包括PFCP關(guān)聯(lián)建立信令風(fēng)暴、PFCP關(guān)聯(lián)修改信令風(fēng)暴、PFCP關(guān)聯(lián)刪除信令風(fēng)暴、PFCP會(huì)話建立信令風(fēng)暴、PFCP會(huì)話修改信令風(fēng)暴、PFCP會(huì)話刪除信令風(fēng)暴、非法終端等；

**

WEB滲透攻擊檢測(cè)功能

支持多種Web滲透攻擊檢測(cè)，至少包括：SQL注入、跨站腳本、代碼注入、文件上傳、目錄遍歷攻擊、文件包含、端口掃描、目錄掃描、漏洞掃描、NetBIOS掃描、暴露面探測(cè)等；支持多種惡意軟件檢測(cè)，至少包括：勒索病毒、挖礦軟件、僵尸網(wǎng)絡(luò)、shellcode、蠕蟲(chóng)病毒等；

**

AI檢測(cè)能力

支持基于機(jī)器學(xué)習(xí)的加密流量下的惡意報(bào)文識(shí)別，至少包括Generic Botnet僵尸網(wǎng)絡(luò)活動(dòng)檢測(cè)；支持基于機(jī)器學(xué)習(xí)的提取攻擊者真實(shí)訪問(wèn)的URL，全面掌握攻擊者的攻擊意圖和訪問(wèn)記錄；

**

挖礦檢測(cè)功能

支持多種類(lèi)型挖礦病毒檢測(cè)，至少包括：XMRig挖礦病毒、Wannaminer挖礦木馬、LifeCalendarWorm挖礦蠕蟲(chóng)、WorkMiner挖礦木馬等；支持多種協(xié)議的暴力破解，至少包括：SSH、FTP、POP3、SMB等協(xié)議；支持多種數(shù)據(jù)庫(kù)的漏洞攻擊，至少包括：MYSQL、Oracle、Microsoft SQL Server和MaxDB等數(shù)據(jù)庫(kù)；

**

流量存儲(chǔ)

全包存儲(chǔ)：支持全流量報(bào)文的存儲(chǔ)，以及遠(yuǎn)程調(diào)取、查看和下載功能；

**

支持全流量存儲(chǔ)規(guī)則配置，至少包括：會(huì)話保存天數(shù)和深度、系統(tǒng)預(yù)留空間、協(xié)議保存優(yōu)先級(jí)，其中能設(shè)置優(yōu)先級(jí)的協(xié)議有ICMP、ICMP6、TCP、UDP、SSH、SMTP、IMAP、SMB、SNMP、HTTP、TLS等；

**

適配對(duì)接

支持與態(tài)勢(shì)感知平臺(tái)自動(dòng)化對(duì)接。