2025年金融行业信息技术部运维员网络攻击防御手册.docx

2025年金融行业信息技术部运维员网络攻击防御手册

第1章攻击态势感知与威胁情报

1.1多源威胁情报融合分析

多源情报的标准化接入与清洗。建立统一的数据接入规范，将来自防火墙日志、IDS告警、EDR主机行为数据及云端威胁情报平台的日志进行标准化清洗。例如，当防火墙检测到端口445的非法连接时，需将其IP地址、源IP及时间戳录入统一数据库；同时，利用正则表达式匹配异常流量特征，剔除误报数据。基于图论的跨域关联分析。将分散在不同系统的数据点构建为节点，将攻击手段（如漏洞利用）或攻击目标（如特定业务系统）作为节点，通过“攻击者-工具-目标”或“受害者-攻击源”