315075111面向大规模网络的安全威胁智能分析发现技术

研究内容：（1）大规模网络威胁分析发现框架：研究大规模网络威胁分析发现体系框架、功能组成、接口规范、标准体系等内容，威胁发现框架具有良好的适应性和演进性，实现大规模网络攻击事件发现。（2）多维数据高效采集技术：研究网络、终端和应用的日志、流量、事件、运行状态等多维数据采集技术和低开销数据传输技术，实现在大幅降低存储和带宽开销条件下实现网络流量、恶意攻击行为和设备日志、状态等多维信息的高效准确采集。（3）网络异常检测与未知威胁发现技术：利用人工智能算法对用户、事件、日志、流量、应用运行等多维数据进行上下文关联检测分析，能够在无样本或少样本条件下训练机器学习算法模型，实现对高级持续威胁的准确分析和行为预测。（4）实际网络环境示范与验证：在典型实际网络环境中开展大规模网络威胁分析发现原型系统应用示范。
主要战术技术指标：（1）提出一套大规模网络威胁分析发现框架，包括功能组成、接口规范以及组织运用等；（2）网络流量在压缩30%条件下，网络检测准确率不低于原有检测精度99.5%；（3）至少支持小样本算法、样本对抗生成和在线训练等3种场景；（4）在实际网络环境中进行实验与验证，骨干网络节点规模不低于20个节点，用户网络不低于200个网络，用户终端规模不少于5万。
成果形式：研究报告、专利、标准规范、原型系统。
最大支持单位数：1家。

随着网络规模增大和结构复杂化，针对现有网络恶意流量检测工具难以应对高级复杂网络攻击痕迹分析与追踪的问题，通过开展面向大规模网络的安全威胁智能分析发现技术和原型系统研制，通过对网络、终端和应用的日志、流量、事件等多维数据智能分析，实现对高级持续威胁的准确发现和痕迹追踪。经过预研，该项目技术成熟度达到5级。