中国工程物理研究院计算机应用研究所全流量网络攻击检测系统项目竞争性磋商公告(第三次)

序号

项目名称

简要技术要求

计量单位

数量

交货地点

备注

1

全流量网络攻击检测系统

详见附件

套

1

四川省绵阳市游仙区科学城采购人指定地点

指标类别

技术要求

总体要求

1     ★全流量网络攻击检测系统至少包含流量采集系统和流量分析系统。

2     ★全流量网络攻击检测系统在验收前需满足国家分级保护测评要求。

硬件要求

3     ★提供2台网络分流器。每台分流器可将采集的一路或多路网络流量进行复制并分发给不同系统处理，支持万兆光口和千兆电口输入和输出（光口含光模块），吞吐量≥50Gbps。

4     ★提供1套流量采集系统。每套系统性能≥4Gbps，配置至少2个千兆电口、2个万兆光口流量采集口，至少2个千兆电口管理接口。

系统要求

部署模式

5     ★流量采集系统提供独立软件版部署模式并提供10个软件授权。

6     ★流量分析系统提供独立软件版部署模式并提供4个软件授权。

部署扩展

7     ★流量采集系统和流量分析系统支持灵活扩展和级联统一管理。

存储配置

8     ▲系统支持对接第三方存储。

集成与适配

软件适配

9     ★流量采集系统独立软件版和流量分析系统独立软件版支持向专用服务器（飞腾+银河麒麟）迁移适配。

第三方集成

10   ★支持与采购人已有的安全监控系统对接，提供系统日志、告警日志、网络日志等数据查询接口或将数据发往监控系统（如Syslog、Kafka等）。

知识产权

11   ★系统在适配集成过程中，为满足采购人定制化需求产生的接口代码知识产权归供应商和采购人共有。

安全防护

访问管理

12   ▲支持配置访问白名单。

登录管理

13   ▲支持多次登录失败锁定账号和超时登录配置。

用户管理

14   ★支持根据用户角色对用户进行权限划分，支持三员权限分离。

传输加密

15   ▲支持网络数据传输加密，确保传输安全性。

数据保护

16   ▲支持对原始流量数据进行非明文或脱敏处理。

流量采集

采集能力

17   ★支持全流量实时采集并存储网络数据包，支持数据包去重功能，数据包支持截断存储。

网络协议

18   ★支持常见协议识别并还原网络流量，用于取证分析、威胁发现，支持：http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sql server、Sybase、SMB、FTP、SNMP、telnet、nfs等。

文件协议

19   ★支持对流量中文件传输行为的发现和提取，并记录文件MD5，如可执行文件（EXE、DLL、OCX、SYS、COM、apk等）、压缩格式文件（RAR、ZIP、GZ、7Z等）、文档类型文件（word、excel、pdf、rtf、ppt等）、图片文件（png、jpg、bmp等）。

数据库协议

20   ★支持常见数据库协议的识别或还原：DB2、Oracle、SQL Server、MySQL、PostgreSQL等协议。

会话流量

21   ★支持TCP/UDP会话记录、异常流量会话记录、web访问记录、域名解析、SQL访问记录、邮件行为、登录情况、文件传输、FTP、SSL加密协商、telnet行为、IM通信等行为描述。

流量分析

协议日志

22   ★支持HTTP日志、DNS日志、FTP日志、Mysql日志、SSH日志、Telnet日志、证书日志、文件日志等统计并列表展示，并支持相关协议元数据日志提取，元数据字段个数不少于100种。

文件检测

23       ▲支持对HTTP、FTP_DATA、SMB、SMTP、POP3、WEBMAIL、IMAP、TFTP、NFS等类型协议的流量进行文件提取检测。

数据检索

24   ★支持基于时间、IP、端口、协议、上下行负载等单个或多重字段组合对网络通讯数据检索分析，数据统计精度要求到秒级。

流量回查

25   ▲支持流量回查功能，可基于DNS检索、可疑域名回查、特征值回查、UserAgent查询、可疑行为回查取证。

26   ▲支持使用ASCII或16进制特征值回查功能进行历史数据的回查，用于追查潜伏的异常行为。

原始包

分析

27   ▲支持基于原始数据包的物理地址统计分析，分析维度包括物理地址、物理会话；基于物理地址、物理会话支持统计以下指标：字节数、数据包数、每秒字节数、每秒位数。

统计分析

28   ★支持多维数据分析和提取，能够分析展示流量概要统计、网络应用、IP地址、IP会话、TCP会话、UDP会话等内容。

基线学习

29   ▲支持被监控网络节点的流量基线功能，支持自动学习建立并更新网络运行基线数据，基线数据类型包括但不限于：流量总字节数、入网流量、出网流量、总包数、入网包数、出网包数、ARP包数、icmp包数、小于64字节数据包数量、tcp总数据包数，tcp syn数据包数、tcp syn ack数据包数、tcp rst数据包数、tcp重传数据包数、新建会话数量、并发会话数量。

行为建模

30   ★支持基于TCP、IP等元数据的网络行为建模，能自定义元数据字段和网络通讯行为模型。

合规性分析

31   ▲能够对常见的TCP/UDP端口的协议合规性进行分析，包括TCP /UDP 的21（FTP）、22（SSH）、23（telnet）、25（SMTP）53（DNS）、80（HTTP）、110(POP3)、139（NetBIOS）、445（CIFS）等合规性分析，能够分析利用正常协议端口传输木马或窃取数据的威胁。

异常行为模型

32   ▲支持通过tcp、udp会话元数据，包括但不限于源IP、源端口、IP归属地、目的IP、目的端口对各种网络异常行为进行描述，建立异常行为模型感知网络会话异常行为。

33   ▲支持http、dns等协议元数据，包括但不限于request、referrer、useragent、cookie、XForwardedFor、Location、host、answer、dnsHeader. domain、dnsHeader. type等对各种网络异常行为进行描述，建立异常行为模型感知网络异常行为。

威胁情报匹配

34   ★支持基于流量实时进行IOC威胁情报匹配。

威胁检测

检测能力

35   ★支持通过内置威胁情报特征库、自定义特征库、行为模型等，对异常请求、网络攻击、木马心跳通讯、可疑文件传输、主动外联等检测分析。

APT检测

36   ★支持对APT攻击检测，包括恶意代码分析、复杂攻击模式分析等。

Web攻击检测

37   ★支持检测针对WEB应用的攻击，如SQL注入、XSS、CSRF、暴力破解、目录遍历、弱口令、权限绕过、信息泄露、文件包含、文件写入攻击、后门上传等检测。

网络攻击检测

38   ★支持多种攻击检测，如暴力破解、漏洞利用、协议异常、网络欺骗、代码执行等。

异常行为检测

39       ★支持对异常DNS解析、代理隧道、异常登录、异常访问（访问请求、访问响应、访问关系等）、高危数据库操作等异常进行检测。

资产管理

资产分析

40       ▲支持资产识别分析，分析结果可与第三方产品对接。

可视化展示

威胁态势

41       ★支持包括警报触发数量统计、警报分类TOP，重点关注警报、威胁类型TOP、失陷主机分布、攻击源分布等多种维度的图形化概要统计。

访问态势

42       ★支持展示资产包括外部访问、横向访问、内网外联态势。

可视化配置

43   ▲支持可视化图表导出，支持自定义图表展示，包括用户自定义选择需要重点关注的警报、资产等，所有模块需要支持挖掘至明细数据。

策略配置

自定义协议

44   ▲支持自定义协议和端口，满足特殊场景下的流量抓取。

旁路阻断

45   ▲支持基于旁路的阻断功能，支持对黑IP、黑域名的实时阻断，触发的阻断单独产生日志并存储。

自定义弱口令

46   ▲支持自定义弱口令字典，支持HTTP、HTTPS、Telnet、FTP、POP、SMTP、IMAP等协议的自定义弱口令检测。

HTTPS检测

47   ★支持旁路HTTPS解密进行流量检测。

管理功能

部署模式

48   ★流量采集系统支持旁路部署，可同时接入多个镜像口，每个镜像口相互独立。

系统管理

49   ★支持对流量采集系统的集中监控管理，进行统一情报和规则升级，对设备的运行状态提供全面展现，包括硬件资源信息、采集流量、告警日志等。

威胁情报

50   ★系统具备主流的IOC威胁情报，情报总量不少于5万条，支持与第三方威胁情报资源对接。

51   ★支持威胁情报离线导入。