2024工業(yè)網(wǎng)絡安全態(tài)勢感知平臺技術規(guī)范

聯(lián)工業(yè)網(wǎng)絡安全態(tài)勢感知平臺技術規(guī)范—1——1——2——2—目次前言 1范圍 1規(guī)性引文件 1術和定義 2縮語 2平技術構 3平框架 3應層 3分層 3數(shù)層 4接層 4設備層 5頁功能求 6概述 6登錄 6首頁 6大屏 7監(jiān)測 8等中心 10統(tǒng)報告 10安工具 11資中心 12系中心 13平性能求 13態(tài)感知能要求 13管要求 19中認證統(tǒng) 20信認證求 20環(huán)要求 21一規(guī)定 21硬設施 21網(wǎng)設施 21機及服器 21數(shù)管理 22數(shù)存儲 22數(shù)備份 22數(shù)共享 22數(shù)據(jù)采集 23接要求 2510.1概述 25數(shù)交換口 25數(shù)分析口 26聯(lián)處置口 26接安全性 26安運維 26一要求 26業(yè)資源 27運管理 27漏管理 27日監(jiān)測評估 28安要求 29智聯(lián)工業(yè)網(wǎng)絡安全態(tài)勢感知平臺技術規(guī)范范圍本文件規(guī)定了成工業(yè)網(wǎng)絡安全態(tài)勢感知平臺本文件適用于工業(yè)網(wǎng)絡安全態(tài)勢感知平臺的建設和應用。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不（包括所有的修改單）適用于本文件。GB/T20985.1-2017

信息技術

安全技術

信息安全事件管理第1部分：事件管理原理GB∕T20986-2023指南GB/T30279-2020南GB/T42453-2023術要求GB/T42569-2023

信息安全技術信息安全技術信息安全技術工業(yè)互聯(lián)網(wǎng)平臺

網(wǎng)絡安全事件分類分級開放應用編程接口功能要求YD/T4214-2023工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知系統(tǒng)技術要求YD/T4586-2023網(wǎng)絡安全態(tài)勢感知數(shù)據(jù)采集要求QG/PG0144-2020攀鋼集團有限公司網(wǎng)絡安全管理辦法術語和定義GB/T42453和YD/T4214界定的以及下列術語和定義適用于本文件。初始事件initialevent歸納匯總的事件。中間事件intermediateevent符合分析維度及分析維度組合的事件。最終事件finalevent經(jīng)過研判后的事件?？s略語下列縮略語適用于本文件。APT：高級持續(xù)性威脅（AdvancedPersistentThreat）CPU：中央處理器（CentralProcessingUnit）IM：即時通信（InstantMessaging）IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）IPS：入侵防御系統(tǒng)（IntrusionPreventionSystem）IDS：入侵檢測系統(tǒng)（intrusiondetectionsystem）SNMP：簡單網(wǎng)絡管理協(xié)議（SimpleNetworkManagementProtocol）——PAGE3———PAGE4—TCP：傳輸控制協(xié)議（TransmissionControlProtocol）WAF：網(wǎng)站應用級入侵防御系統(tǒng)（WebApplicationFirewall）XSS：跨站腳本攻擊（CrossSiteScripting）平臺技術架構平臺框架1圖1平臺框架應用層分析層風險預警分析應分析安全數(shù)據(jù)，提取風險信息并進行預警，自動生成工單用于告知運維人員處理。統(tǒng)計報表分析應支持統(tǒng)計趨勢圖、柱狀圖、餅圖，并結合安全數(shù)據(jù)生成報告文檔和報表。設備異常分析應基于設備運維數(shù)據(jù)和異常報警規(guī)則，檢測設備運行狀態(tài)異常并報警。信息關聯(lián)分析應分析安全數(shù)據(jù)來源和目的所屬網(wǎng)絡區(qū)域和單位，關聯(lián)企業(yè)資產(chǎn)數(shù)據(jù)。數(shù)據(jù)層接入層UDP/TCPsyslog數(shù)據(jù)預處理應具有對接入數(shù)據(jù)進行預處理，包括分析設備來源、資產(chǎn)關聯(lián)，采用消息中間件技術對數(shù)據(jù)進行緩存的功能。數(shù)據(jù)標準化應具有建立數(shù)據(jù)接收標準，同時將不同廠商安全設備，如防火墻、IPS、IDS、防病毒、WAF、日志審計等數(shù)據(jù)標準進行轉化的功能。物聯(lián)網(wǎng)可視化編程工具采用分布式流處理方式，將標準化數(shù)據(jù)導入至平臺中。GB/T30279GB/Z20986設備層工控網(wǎng)絡探針可監(jiān)控工控網(wǎng)絡數(shù)據(jù)，解析工控協(xié)議，對windowslinuxsyslogAPT資產(chǎn)發(fā)現(xiàn)探針采用主動掃描方式探測網(wǎng)絡中的資產(chǎn)，規(guī)范資產(chǎn)管理，分析未歸檔資產(chǎn)。SNMPCPU防火墻部署在網(wǎng)絡邊界，基于請求IP數(shù)，攔截攻擊行為，避免網(wǎng)絡風險。WAFsqlshell、遠程控制等網(wǎng)絡攻擊行為。YD/T4586-2023頁面功能要求概述登錄主要用于身份驗證，應包含以下功能：登陸用戶名、密碼加密傳輸；登陸密碼錯誤，添加驗證碼提示；5密碼三個月過期提醒；登陸背景、logo可對默認賬號進行登錄激活；支持找回密碼操作；密碼應單向加密且不可逆；811，1首頁主要用于匯總各類威脅情況，應包含以下功能：24（307324）；增加相關同比及環(huán)比相關數(shù)據(jù)；（24IP）、威脅行為（安全監(jiān)測里面的威脅監(jiān)測總次數(shù)）、病毒文件、異常資產(chǎn)運行、安全設備離線等情況；（（（安全防護設備采集的數(shù)據(jù)（openvas）、異常監(jiān)測（snmp）IP相關等情況；安全事件：展示需要處置的工單通知；安全設備離線通知：展示安全設備離線情況。大屏主要用于可視化統(tǒng)計，應包含以下功能：IT&OT、IT、OTIP安全事件、工單數(shù)：應能顯示安全運維事件總數(shù)、工單數(shù)、已處理工單總數(shù)等，點擊可跳轉平臺相應處置中心；自定義展示模型：可根據(jù)需求來選擇自定義模板頁面顯示內(nèi)容并保存；展示自定義：可根據(jù)需求來控制世界地圖、中國地圖、拓撲圖的顯示；角色權限分級展示；頁面左右模塊詳情顯示：總體監(jiān)測統(tǒng)計（綜合），包含所有威脅監(jiān)測、防護監(jiān)測所有數(shù)據(jù)等；頁面底部模塊詳情顯示：總體、威脅監(jiān)測、防護監(jiān)測、時間設置：通過時間段配置顯示對應數(shù)據(jù)，可設置時間124730天；地區(qū)設置：通過地區(qū)配置顯示各地區(qū)的相關數(shù)據(jù)；場景選擇：通過選擇安全運維場景、護網(wǎng)場景、重保場景，智能默認相應選擇數(shù)據(jù)模塊展示；監(jiān)測安全監(jiān)測主要展示各類威脅日志，應包含以下功能：全文搜索：可根據(jù)關鍵詞模糊搜素安全監(jiān)測事件；條件搜索：可通過篩選條件（一個或多個）進行篩選，IPIP，帶有輸入示例指示；搜索重置：可重置所有的搜索條件，并重新獲取重置后的數(shù)據(jù)信息；列表顯示字段設置：可動態(tài)、靈活的設置搜索結果列表數(shù)據(jù)的字段顯示；數(shù)據(jù)列表：可根據(jù)設置的顯示字段展示數(shù)據(jù)；監(jiān)測詳情：可展示入侵的時間、風險等級的程度高低、設備信息：可分別顯示來源設備信息和目標設備信息，白名單添加：可根據(jù)基礎配置以攻擊類型、源IPIP、目的端口、區(qū)域及單位，高級配置以協(xié)議內(nèi)容以及影響范圍來增加白名單配置；IPIP析；IPIP相關數(shù)據(jù)；IP、端口、MAC，訪問產(chǎn)生的流量、使用協(xié)議、共有數(shù)據(jù)包數(shù)量，使用的訪問應用和是否被運行，進行了會話的次數(shù)；日志原文：展示網(wǎng)絡訪問的日志原文。漏洞監(jiān)測主要用于漏洞監(jiān)控與掃描，應包含以下功能：全文搜索：可根據(jù)關鍵詞模糊搜素漏洞監(jiān)測事件；條件搜索：通過篩選條件（一個或多個）進行篩選，IP——PAGE13———PAGE10—帶有輸入示例指示；搜索重置：可重置所有的搜索條件，并重新獲取重置后的數(shù)據(jù)信息；導出結果：可根據(jù)當前列表內(nèi)容進行過濾導出；漏洞掃描：根據(jù)需求新增掃描任務，可對任務名稱、掃IP掃描刪除：可進行單項刪除和批量刪除；平臺異常監(jiān)測：可分別展示當前平臺、IP、平臺狀態(tài)信SNMPCPU事件處置主要對各類威脅特性進行分析及處置，應包含以下功能：全文搜索、條件搜索、搜索重置、數(shù)據(jù)列表等功能，且可分別配置安全運維事件、護網(wǎng)事件、重保事件，修改事件生成標準以及標準內(nèi)各種規(guī)格閾值。等保中心主要對等保材料進行管理及自評，應包含以下功能：可將各單位等保定級、備案、測評資料上傳，并按照單位進行管理，分為管理者權限、被管理者權限；可根據(jù)等保測評過程，在線進行等保自評、整改方案導出。統(tǒng)計報告任務列表：列表應展示歷次已生成的任務數(shù)據(jù)，展示創(chuàng)建時間、任務名稱、時間范圍、所屬區(qū)域、所屬單位、探針設備、最后一次報告生成時間；任務操作：列表每條數(shù)據(jù)最后的操作集合，下載按鈕下安全工具安全運維工具主要用于安全運維工具的管理，應包含以下功能：文件上傳：點擊新增，可配置運維工具名稱，類型，上傳文件，備注信息；文件下載：點擊文件下載，可直接下載運維工具；列表展示：可展示文件名稱，類型，創(chuàng)建時間，備注信息。威脅情報工具主要用于風險IP或域名相關威脅情報的查詢，應包含以下功能：IP域名查詢：獲取相關情報內(nèi)容。安全知識庫主要對漏洞知識庫及安全標準進行管理，應包含以下功能：（a）I全文搜索：輸入需要搜索的關鍵詞，點擊搜索按鈕進行模糊搜索；（b）I條件搜索：通過篩選條件（一個或多個）進行篩選；（c）I搜索重置：點擊重置按鈕，重置所有的搜索條件，包括全文搜索的輸入信息，并重新獲取重置后的數(shù)據(jù)信息。資產(chǎn)中心資產(chǎn)發(fā)現(xiàn)全文搜索：輸入需要搜索的關鍵詞，點擊搜索按鈕進行模糊搜索；條件搜索：通過篩選條件（一個或多個）進行篩選，IP帶有輸入示例指示；刪除：分為單項刪除和批量刪除。修改：可對任務名稱、掃描設備、掃描IP資產(chǎn)管理主要對被動及主動發(fā)現(xiàn)的資產(chǎn)進行管理，應包含以下功能：全文搜索：輸入需要搜索的關鍵詞，點擊搜索按鈕進行模糊搜索；條件搜索：通過篩選條件（一個或多個）進行篩選，IP帶有輸入示例指示；新增資產(chǎn)：跳轉至新頁面，填寫設備信息，設置是否是重要資產(chǎn)，可以根據(jù)資產(chǎn)信息，自行添加擴展信息；刪除：分為單項刪除和批量刪除；模板下載：提供資產(chǎn)導入的正確格式；導入、導出：可以導入或導出資產(chǎn)數(shù)據(jù)；設為重要資產(chǎn)：對于已創(chuàng)建的資產(chǎn)，可以通過詳情中設系統(tǒng)中心平臺性能要求態(tài)勢感知性能要求態(tài)勢評估與展示總體要求應建立工業(yè)網(wǎng)絡安全態(tài)勢評估體系，描述工業(yè)網(wǎng)絡的安全態(tài)勢。應能建立工業(yè)網(wǎng)絡數(shù)據(jù)分析模型，對采集的工業(yè)網(wǎng)絡數(shù)據(jù)進行分析計算，識別網(wǎng)絡脆弱性、安全事件、用戶行為等。應能評估兩種以上工業(yè)網(wǎng)絡安全態(tài)勢，包括但不限于資產(chǎn)態(tài)勢、脆弱性態(tài)勢、安全事件態(tài)勢、行為態(tài)勢等。具有關聯(lián)關系的不同種類安全態(tài)勢，應能夠實現(xiàn)信息共享和聯(lián)動展示。態(tài)勢類別資產(chǎn)態(tài)勢評估要求包括但不限于：應能對每個工業(yè)網(wǎng)絡資產(chǎn)的型號、版本、運行狀態(tài)等進行識別；IP應能對工業(yè)網(wǎng)絡資產(chǎn)的安全狀況進行分析，包括資產(chǎn)存在的威脅和脆弱性類型、數(shù)量等；應具備工業(yè)設備特征庫，能夠識別接入的各種類型的工業(yè)設備；應能實時呈現(xiàn)生產(chǎn)網(wǎng)內(nèi)工業(yè)網(wǎng)絡資產(chǎn)的拓撲結構。脆弱性態(tài)勢評估要求包括但不限于：應具備工業(yè)網(wǎng)絡安全漏洞庫，漏洞庫包含國家權威機構應能對各類工業(yè)設備的操作系統(tǒng)、應用和第三方組件存在的常見漏洞進行監(jiān)測；應能展示漏洞總體分布、存在高危漏洞的資產(chǎn)、漏洞類型分布、漏洞危害等級等；應能對工業(yè)設備系統(tǒng)安全配置的脆弱性進行識別，分析和指出工業(yè)網(wǎng)絡資產(chǎn)存在的安全配置的脆弱性。安全事件態(tài)勢評估要求包括但不限于：應具有從采集的數(shù)據(jù)中分析出安全事件，對安全事件進（分類處理的能力；應具有對不同安全事件進行分類告警的能力，如特別重大事件、重大事件、較大事件、一般事件等；IP應支持對同類安全事件進行合并；應支持對工業(yè)設備所使用的各類通信協(xié)議網(wǎng)絡數(shù)據(jù)流的應具備工控系統(tǒng)網(wǎng)絡數(shù)據(jù)惡意攻擊行為檢測分析能力，能從采集的數(shù)據(jù)中分析出安全事件。行為態(tài)勢評估要求包括但不限于：應能支持對異常行為規(guī)則的自定義；應能及時發(fā)現(xiàn)全網(wǎng)的異常行為（例如訪問頻次超限、訪分析；應能通過網(wǎng)絡流量分析工業(yè)網(wǎng)絡企業(yè)用戶行為和設備行為，包括用戶行為、設備通信情況等；應能實時獲取并展示當前企業(yè)內(nèi)部的異常情況，包括異IP、目的IP。態(tài)勢展示要求包括但不限于：應能實時展示安全態(tài)勢，包括但不限于：資產(chǎn)態(tài)勢、脆弱性態(tài)勢、安全事件態(tài)勢、行為態(tài)勢；應能同時展示多種安全態(tài)勢；應能通過設置過濾條件選擇展示特定類型的安全態(tài)勢；（a）應能對安全態(tài)勢進行歷史回溯與展示，回溯時間可以設置；（d）應能展示跟安全態(tài)勢相關的關鍵數(shù)據(jù)，例如資產(chǎn)、脆弱性、安全事件、異常行為的列表與統(tǒng)計值。態(tài)勢告警與響應總體要求IM應能在安全事件、漏洞或異常行為發(fā)生時，及時發(fā)送告警信息。應建立告警分級機制，對不同級別的安全態(tài)勢進行不同的告警。態(tài)勢告警應能結合威脅情報進行態(tài)勢告警，包括但不限于：高危漏洞被利用、設備被攻擊事件等。應能顯示告警與廠區(qū)資產(chǎn)的對應關系。應提供對外預警接口，同步預警信息至各類工業(yè)網(wǎng)絡網(wǎng)絡安全監(jiān)管系統(tǒng)。事件處置支持要求總體要求可按照GB/T20985.1GB/Z20986應能提供事件處置過程中需要的基礎數(shù)據(jù)信息。應能通知網(wǎng)絡安全事件發(fā)生單位執(zhí)行處置工作。應能接受通知，協(xié)助處置網(wǎng)絡安全事。應能對網(wǎng)絡安全事件的處置流程進行跟蹤和記錄。應將網(wǎng)絡安全事件的處置過程信息和結果輸入到工業(yè)網(wǎng)絡安全態(tài)勢感知系統(tǒng)中。應能對事件處置情況進行統(tǒng)計分析。事件處置支持應在處置時特別關注生產(chǎn)功能安全和生產(chǎn)連續(xù)性要求。態(tài)勢報告數(shù)據(jù)查詢應支持對態(tài)勢相關數(shù)據(jù)進行查詢。應支持基于時間或其他數(shù)據(jù)字段進行組合查詢。應支持對查詢結果根據(jù)字段進行排序。統(tǒng)計報表應支持根據(jù)數(shù)據(jù)分析、態(tài)勢評估的結果生成統(tǒng)計報表并導出。應支持基于指定時間段生成統(tǒng)計報表或生成周期性報表。應支持自定義設置統(tǒng)計視圖和報表模板，采用多種視圖生成統(tǒng)計報表。分析報告應支持根據(jù)數(shù)據(jù)分析結果生成整體網(wǎng)絡安全狀況分析報告并導出。應支持根據(jù)數(shù)據(jù)分析結果生成不同區(qū)域、不同業(yè)務單元等的局部網(wǎng)絡安全狀況分析報告并導出。應支持根據(jù)數(shù)據(jù)分析結果提供對策或修復建議。應支持基于指定時間段產(chǎn)生分析報告或生成周期性分析報告。應支持自定義設置分析報告的模板。監(jiān)測預警應支持基于監(jiān)測策略對網(wǎng)絡安全狀況進行監(jiān)測，具體監(jiān)測策略支持根據(jù)應用場景自定義。應支持基于監(jiān)測結果、數(shù)據(jù)分析結果，并結合預警規(guī)則等進行分級別預警。應支持根據(jù)預警級別和預警流程發(fā)布預警信息，預警信應支持通過預警信息進行受影響資產(chǎn)的關聯(lián)分析，得出資產(chǎn)名稱、資產(chǎn)類型、P應支持預警信息的上報，預警信息的上報方式和內(nèi)容遵循國家相關規(guī)定。宜支持基于預警信息與第三方設備或系統(tǒng)進行聯(lián)動處置。95%、5%。管理要求策略管理預處理規(guī)則管理系統(tǒng)管理組件應為授權管理員提供管理數(shù)據(jù)處理規(guī)則的功能，包括新增、刪除、修改、查詢、啟用、停用數(shù)據(jù)處理規(guī)則等。分析模型管理資產(chǎn)管理安全事件管理威脅信息管理應為授權管理員提供威脅信息管理的功能，包括威脅信息的添加、刪除、上報、共享等。應建立威脅信息庫，威脅信息庫的內(nèi)容至少包括：信息來源，更新時間、內(nèi)容描述，關聯(lián)事件，關聯(lián)IP地址等。應支持對不同來源的威脅信息進行匯聚并及時更新。中央認證系統(tǒng)中央認證系統(tǒng)可解決用戶多系統(tǒng)單點登陸、登陸信息統(tǒng)建設中央認證，各應用系統(tǒng)、平臺模塊將無需再開發(fā)登（用戶應經(jīng)過授權）。中央認證系統(tǒng)應對最終用戶的個人信息以及最終用戶的信創(chuàng)認證要求環(huán)境要求一般規(guī)定平臺部署環(huán)境應做到技術先進、安全可靠、經(jīng)濟合理、節(jié)能環(huán)保。硬件設施硬件設備及軟件系統(tǒng)應為外部系統(tǒng)平臺提供可訪問的接口。移動終端設備應具有現(xiàn)場識別、監(jiān)測、管理、控制等信息處理功能。語音廣播系統(tǒng)，可提供現(xiàn)場語音報警功能。宜固定電子屏并構建信息發(fā)布系統(tǒng)，提供信息檢索、信息查詢、信息推送功能。網(wǎng)絡設施辦公區(qū)域應接入互聯(lián)網(wǎng)，帶寬不應低于50?Mbps。辦公區(qū)域應至少有一個固定公網(wǎng)IP。辦公區(qū)域網(wǎng)絡應提供有線和無線兩種接入方式。移動通信網(wǎng)絡宜全面覆蓋辦公、生活和重點施工現(xiàn)場。機房及服務器機房應設在電子信息設備集中放置區(qū)域，應避免設在用水設備下層。機房應具備防塵、防潮、防雷、抗靜電、阻燃、絕緣、隔熱、降噪音等物理環(huán)境。機房接地裝置的設置應滿足人身的安全及電子計算機正常運行和系統(tǒng)設備的安全要求。數(shù)據(jù)管理數(shù)據(jù)存儲應能存儲結構化數(shù)據(jù)、半結構化數(shù)據(jù)和非結構化數(shù)據(jù)。應能存儲原始數(shù)據(jù)、預處理后的數(shù)據(jù)和威脅情報庫、地理信息庫等第三方數(shù)據(jù)。應能自動存儲處理安全事件所產(chǎn)生的相關業(yè)務數(shù)據(jù)。日志數(shù)據(jù)應至少保存6個月。應能保證存儲數(shù)據(jù)的可用性、完整性和保密性。應能檢索所有存儲的數(shù)據(jù)，并提供檢索接口。數(shù)據(jù)備份應能在聯(lián)機狀態(tài)下對數(shù)據(jù)庫相關文件進行全庫備份。應能在聯(lián)機狀態(tài)下對數(shù)據(jù)庫相關文件進行部分、增量備份。應具備多種在線備份元數(shù)據(jù)的管理命令或工具應支持多種備份數(shù)據(jù)存儲介質(zhì)。應支持與第三方數(shù)據(jù)備份軟件適配能力。應支持備份數(shù)據(jù)的加密、壓縮和安全存儲的管理能力。數(shù)據(jù)共享應能將工業(yè)互聯(lián)網(wǎng)重大安全事件、重大漏洞等數(shù)據(jù)上報給上級監(jiān)管系統(tǒng)。應能將工業(yè)互聯(lián)網(wǎng)重大安全事件、重大漏洞、處置辦法等數(shù)據(jù)發(fā)送給其他態(tài)勢感知系統(tǒng)。應能接收其他系統(tǒng)共享的工業(yè)互聯(lián)網(wǎng)重大安全事件、重大漏洞、處置辦法等數(shù)據(jù)。應能對共享數(shù)據(jù)進行脫敏。應能增、冊、改數(shù)據(jù)共享用戶信息，能設置數(shù)據(jù)共享用戶的權限。數(shù)據(jù)共享過程應可跟蹤、可追溯、可審計。數(shù)據(jù)采集大數(shù)據(jù)事件模型，數(shù)據(jù)采集規(guī)則如下：設定平臺檢測時間T1，日志回溯時間T2；平臺可根據(jù)檢測時間長短分為不同的場景；平臺每隔T1對T1時間段內(nèi)的日志中的攻擊源IP進行提取，提取后對T1時間段內(nèi)的源IP進行T2時間段內(nèi)的日志回溯；能計算初始事件的分析維度；根據(jù)平臺預定義分析維度組合進一步對初始事件進行處（平臺預定義分析維度組合及事件名稱）；根據(jù)人工定義分析維度組合及事件名稱生成中間事件或最終事件；可將初始事件打標后直接生成最終事件；對中間事件進行人工研判后生成最終事件；將最終事件及分析維度提交給大數(shù)據(jù)分析學習；大數(shù)據(jù)分析學習后，由大數(shù)據(jù)對初始事件進行分析研判生成帶標簽為機器學習的安全事件。大數(shù)據(jù)模型事件生成分析維度：平臺大數(shù)據(jù)模型事件生成分析維度見表1。表1大數(shù)據(jù)模型事件生成分析維度序號歸類分析維度字段名示例備注1IP源IPsip-2源IP是IPV4還是IPV6sip_versionipv4-3源IP地理位置sip_region攀枝花-4源IP是否為惡意IP（公網(wǎng)IP）sip_malicious非惡意僅限外網(wǎng)IP5源IP是內(nèi)網(wǎng)地址還是外網(wǎng)地址scodeCN-6（1源開始時間）s_attack是/否-7源IP是否有歷史被攻擊行為（1年前至溯源開始時間）s_attacked是/否-8目的IPdip,-9攻擊目的IP個數(shù)dip_count5-10重點關注含暴力破解攻擊類型的日志條數(shù)type_brute_sum12brute11含暴力破解攻擊類型種類個數(shù)type_brute_count5-12含挖礦攻擊類型的日志條數(shù)type_mining_sum12關鍵字：礦、mine13含挖礦攻擊類型種類個數(shù)type_mining_count5-14含勒索攻擊類型的日志條數(shù)type_ransomware_sum12ransom15含勒索攻擊類型的種類個數(shù)type_ransomware_count5-16含fscan攻擊類型的日志條數(shù)type_fscan_sum12表1大數(shù)據(jù)模型事件生成分析維度（續(xù)）序號歸類分析維度字段名示例備注17含fscan攻擊類型的種類個數(shù)type_fscan_count5-18含WEBSHELL攻擊類型的日志條數(shù)type_webshell_sum12webshell19含WEBSHELL攻擊類型的種類個數(shù)type_webshell_count5-20含文件上傳攻擊類型的日志條數(shù)type_fileup_sum12upload21含文件上傳攻擊類型的種類個數(shù)type_fileup_count5-22其他安全設備device_name一一列舉-23攻擊類型types一一列舉-24攻擊類型種類數(shù)量types_count5-25威脅等級grade高,中,低-26高危攻擊日志條數(shù)grade_h_count5-27中危攻擊日志條數(shù)grade_m_count5-28低危攻擊日志條數(shù)grade_l_count5-29日志條數(shù)sum15-30目的IP與源IP在同一個C段的地址數(shù)量csame_count16-31HOSThost\h-32XFFxff\h-33目的端口dport80-34URIurl\h-35攻擊成功數(shù)attack_success_num10-36日志中含惡意IP數(shù)（去重）ip_malicious_num5重要37惡意IPip_malicious重要38日志中含惡意域名數(shù)（去重）host_malicious_num5重要39惡意域名host_重要接口要求概述平臺接口功能應符合GB/T42569的規(guī)定。數(shù)據(jù)交換接口應支持與不同前端數(shù)據(jù)源，內(nèi)部不同模塊及其他外部系數(shù)據(jù)交換的內(nèi)容應支持不同的類型、字段和格式，其中數(shù)據(jù)分析接口宜支持為內(nèi)部不同模塊及其他外部系統(tǒng)通過接口進行數(shù)據(jù)分析。聯(lián)動處置接口宜支持為內(nèi)部不同模塊及其他外部系統(tǒng)通過接口進行聯(lián)動處置。宜支持通過接口進行防護策略的更新、掃描策略的下發(fā)等操作。接口安全性安全運維一般要求平臺維護包括日常檢查維護、定期檢查維護和故障檢查維護。應制定平臺運行維護技術文件，包括系統(tǒng)操作與運行安全制度、系