1      产品概述

近年来，美国中央情报局CIA攻击组织APT-C-39长达11年针对我国的攻击、伊朗核电站、乌克兰电网、德国钢厂等独立IT系统频繁遭遇外界入侵攻击等恶意事件的背后，是网络信息安全问题变得异常严峻的事实，是对我国重要基础设施行业的警醒。国家安全已经突破传统意义上的领土安全、军事安全、政治安全、经济安全。网络空间作为新领域，在整个国家安全体系中的地位和作用日益凸显。

我国为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，于2017年6月1日起施行《中华人民共和国网络安全法》，同时，《信息安全技术网络安全等级保护基本要求》及《信息安全技术关键信息基础设施网络安全保护基本要求》对网络安全的具体内容进行了进一步的细化，要求运营者应按照安全保护工作部门网络安全监测预警和信息通报的要求，做好与安全保护工作部门、研究机构、网络安全服务机构的网络安全信息共享工作，共享信息包括但不限于漏洞信息、威胁信息、最佳实践、前沿技术等。

网络威胁追踪溯源系统是一款高性能的专用硬件产品，产品以旁路方式部署于网络中，记录、分析网络中的数据包，使用网络攻击检测技术、病毒检测技术、智能流量分析技术、机器推理技术，提供资产管理功能、流量分析功能、网络攻击检测功能、僵尸网络检测功能、攻击链实时检测功能、网络攻击追踪溯源功能、病毒传播链实时检测功能、病毒扩散追踪溯源功能；使用主动探测及网络探测技术，提供内网主机非法外联、一机双网行为检测功能；提供阻断功能、取证功能，提供公众广播场景中的音视频违规内容检测功能。

网络威胁追踪溯源系统对用户网络环境进行全量检测、结合威胁情报系统进行多维度综合分析，为用户的网络运维工作、网络安全管理工作提供有力且高效的技术支撑手段，可在网络攻击造成实质性伤害之前、病毒大面积传播之前进行预警；在网络威胁发生后快速定位问题源头、快速有效处置网络异常情况，既能发现网络威胁，也能定位网络威胁来源和去向，从而提高网络运维及安全管理工作的质量和效率，减少工作量，降低成本。

2      产品功能

2.1   基础威胁检测功能

1.      支持网络攻击及僵尸网络通信检测，系统检测网络流量中的网络攻击行为和僵尸网络访问行为，记录现场数据包，能够有效发现常规网络攻击和僵尸网络访问动作。使用随机域名检测技术，检测内网访问僵尸网络控制端行为，提前发现APT攻击，发现隐蔽性高、危害性大的僵尸网络，准确定位僵尸网络客户端，降低网络安全风险；

2.      支持恶意资源访问检测功能，系统检测内网主机访问恶意IP、恶意URL的行为，有效发现人为的恶意资源访问行为，降低未来的更大网络安全风险；

3.      支持网络病毒文件检测功能，系统监测蠕虫病毒传播、木马后门程序传播检测，支持常见文件传输协议（HTTP，FTP，SMTP/POP3/IMAP，SMB）传输的文件，支持检测网络中的蠕虫病毒、勒索病毒、木马后门程序等恶意文件的传播行为，检测病毒爆发时病毒横向扩散行为。

2.2   攻击链检测、追踪、溯源功能

1.      支持网络攻击链实时检测功能，系统以ATT&CK模型为基础，使用机器推理技术，分析网络互联关系信息、网络攻击信息、恶意文件传播信息等数据，发现隐藏在海量数据中的网络攻击链，在网络攻击造成实质性伤害之前告警；攻击链内容包括多个攻击动作，每个攻击动作包含源IP地址、目的地址、发生时间、攻击行为、技术ID等，展示方式支持时序图方式；

2.      支持网络攻击链溯源功能，系统根据选定的网络攻击事件、病毒传播事件及溯源时长，在历史数据中分析曾经发生过的网络互联关系、网络攻击行为、病毒传播行为，支持人工修正线索，复现攻击过程，定位攻击源头；

3.      支持网络攻击链追踪功能，系统根据选定的网络攻击事件、病毒传播事件及追踪时长，在历史数据中分析曾经发生过的网络互联关系、网络攻击行为、病毒传播行为，支持人工修正线索，复盘网络攻击发展过程，分析网络环境整体脆弱性，制定系统级加固方案及后续的网络攻击应急响应方案。

2.3   病毒传播链检测、追踪、溯源功能

1.      支持病毒传播链实时检测功能，系统实时检测网络内病毒传播行为，在病毒大面积传播之前，检测到病毒传播行为并实时告警，输出病毒传播过程信息。病毒传播内容包括多个单体病毒传播行为，每个病毒传播行为包含源IP地址、目的地址、发生时间、病毒名称，展示方式使用时序图和传播路径图方式；

2.      支持病毒传播链溯源功能，系统根据选定的病毒传播事件及溯源时长，在历史数据中分析曾经发生过的病毒传播行为，复现病毒传播过程，定位病毒传播源头；

3.      支持病毒传播链追踪功能，系统根据选定的病毒传播事件及追踪时长，在历史数据中分析曾经发生过的病毒传播行为，复现传播路径，复盘病毒传播过程，分析网络环境脆弱性，制定遏制病毒传播的加固方案，制定未来的病毒传播应急响应方案。

2.4   流量监测分析功能

支持网络流量监测功能，检测分析网络流量，统计链路的网络通信流量、网络连接频次情况，检测网络通信的拥堵情况，统计通信公网地址在全球范围内的地理分布，以简洁明了的图表方式展示统计结果，利于发现流量异常行为。

2.5   资产管理功能

1.      支持智能资产管理功能，分析网络通信内容过程中，系统自动分析提取、管理IT资产信息，并按照资产变更时间记录资产状态信息，同时提供资产信息手工补全功能，实现自动、高效、完整的资产管理功能；支持根据IT资产的主动访问网络频次、流量信息及被网络访问的频次、流量信息，分析IT资产的重要程度及活跃程度，协助用户详细了解IT资产的动态信息；

2.      支持主机互访异常检测功能，系统检测、统计内网主机间的网络互访行为，记录连接次数、流量等信息并定期统计，发现非法内网互访行为、异常内网互访行为、病毒爆发行为等异常情况。

2.6   违规外联检测功能

支持一机双网、违规外联检测功能，系统使用主机检测和网络检测两种方式检测内网主机一机双网、违规外联行为支持对该类型为进行检测、记录、告警，支持检测黑白名单设置。

2.7   处置功能

支持阻断功能，系统可阻断特定网络访问，按照设定的规则，在一定时间段内阻断两地址之间的某些网络访问。

2.8   报告功能

支持安全报告功能，系统定期生成报告，报告数据包括网络入侵检测结果、病毒传播检测结果、网络入侵实时追踪结果、病毒传播实时追踪结果、流量统计结果等数据；支持依照用户策略生成各种统计报告，并可以文件方式存储和下载；支持统计报告的生成频次、数据时间范围可由用户自行配置。

2.9   查询取证功能

1.      支持取证功能，系统针对特定访问记录原始网络报文。按照设定的规则，在一定事件段内记录两地址之间的网络访问原始数据包，以便下载后分析数据包内容，用于特定事件的追查取证；

2.      支持网络入侵事件查询功能，系统按不同条件查询的功能，并提供模糊查询功能。具体查询条件包括攻击名称、攻击类型、源IP、源IP所在地、源端口号、目的IP、目的IP所在地、目的端口号、开始时间、结束时间等；

3.      支持恶意资源访问事件查询功能，系统提供按不同条件查询的功能，并提供模糊查询功能。具体查询条件包括恶意资源地址、恶意资源类型、源IP、源IP所在地、源端口号、目的IP、目的IP所在地、目的端口号、开始时间、结束时间等；

4.      支持病毒传播事件查询功能，系统按不同条件查询的功能，并提供模糊查询功能。具体查询条件包括病毒名称、病毒类型、源IP、源IP所在地、源端口号、目的IP、目的IP所在地、目的端口号、开始时间、结束时间等；

5.      支持网络攻击链查询功能，查询条件包括开始时间、结束时间，查询结果包括攻击源IP、攻击目的IP、攻击过程节点（攻击名称、源目的地址、时间）、持续时长等；

6.      支持病毒传播链查询功能，查询条件包括开始时间、结束时间，查询结果包括传播源IP、传播目的IP、传播过程节点（病毒名称、源目的地址、时间）、持续时长等。

2.10      企业版高级检测功能

1.      支持音频视频违规内容检测功能，支持对网络中传输的音视频文件进行内容检测，可检测音频文件中的文字内容，可检测视频文件中的配音文字内容、画面文字内容，根据设定的敏感词库（涉暴恐、涉政治、涉国家安全、涉社会安全、色情等），支持文字内容检测并告警，支持音视频广播场景的多媒体内容检测；

2.      支持未知病毒及木马文件检测功能，系统使用静态分析方法和动态分析方法，对高危文件进行深度分析，可检测出最新变种的病毒、木马。

3.      支持流量异常智能分析功能，支持使用自适应人工智能分析算法，对监控范围内网络流量进行智能学习、分析，发现异常流量和异常连接，支持实时告警。

2.11      系统管理功能

1.      支持管理员登录日志管理功能，系统记录系统所有管理员的登录、登出行为，登录IP，登录时间等；

2.      支持管理员操作日志管理功能，系统记录系统所有管理员登录后所进行的所有操作行为；

3.      支持角色管理功能，系统对角色进行分配权限,并能根据角色权限自动获取该角色能够操作的模块；

4.      支持用户权限分配功能，系统针对不同登录用户分配不同角色，灵活管理用户角色；

5.      支持操作用户信息管理功能，操作用户信息分为普通用户信息和管理员信息；支持个人信息管理功能，支持管理记录用户信息。

3      产品特点及优势

1.       实时检测攻击链，在网络攻击造成实质性伤害（数据丢失、系统破坏）之前，系统可检测到攻击意图并发送预警信息，提醒安全管理人员及时应对处理；

2.       实时检测病毒传播链，在病毒大面积传播之前，系统可检测到该病毒传播行为，并发送预警信息，提醒安全管理人员及时调整网络策略，避免病毒大面积传播造成更大损失；

3.       检测违规外联和一机双网行为，系统使用两种技术手段检测内网主机的违规外联和一机双网行为，避免引入网络攻击、后门植入和数据泄露等事故的发生；

4.       系统具备处置功能，对暂时无法关停和隔离的中毒主机和受控主机，执行处置功能，可阻断中毒主机和受控主机的网络访问，避免网络攻击面扩大，避免病毒传播范围扩大，直至中毒主机和受控主机修复完成；

5.       高集成、一体化产品，系统能力不依赖于外部产品，独立完成基础检测、智能分析、预警、追踪溯源、违规外联检测、处置等全部功能。

4      关键技术

1.       机器推理技术，使用机器推理技术，结合网络安全行业知识图谱和威胁情报，对全部检测结果数据进行组合推理，可实时发现复杂攻击和病毒扩散行为，可对网络攻击和病毒扩散进行追踪溯源；

2.       网络探测技术，使用网络探测技术实现非法外联检测功能，检测手段隐蔽，被检测方无感知，部署方便，检测效率高；

3.       智能资产发现技术，在网络数据分析基础上，智能发现用户环境中的IT资产，记录历史各时刻的资产状态，可随意回溯历史时刻的资产状态，发现资产相关问题；

4.       病毒基因族谱技术，基于病毒库样本，提取全量病毒基因，使用人工智能技术构建病毒基因族谱库，对可疑文件进行病毒基因族谱检测，可发现未知病毒且可以标定病毒的衍生关系；

5      典型部署

5.1   单级部署

小规模企业部署一台网络威胁追踪溯源系统，接入汇聚交换机或核心交换机的镜像流量，可对服务器和办公用机做全面的流量分析和安全监控。

5.2   多级部署

母公司部署高端型号网络威胁追踪溯源系统，接入汇聚交换机或核心交换机的镜像流量，可对本地服务器和办公用机做全面的流量分析和安全监控；同时管理子公司的网络威胁追踪溯源系统，实现对公司全部服务器和办公用机做全面的流量分析和安全监控。

子公司部署低端型号网络威胁追踪溯源系统，接入汇聚交换机或核心交换机的镜像流量，对本地服务器和办公用机的流量分析和安全监控数据上传至母公司网络威胁追踪溯源系统。