电信行业网络安全部安全员网络攻击防御手册（执行版）.docxVIP

电信行业网络安全部安全员网络攻击防御手册（执行版）

第1章安全威胁态势感知

1.1威胁情报收集与研判

建立多源异构情报接入管道：系统需对接SIEM日志系统、防火墙告警、终端检测系统（EDR）及云安全平台，每日自动抓取近30天内的异常IP连接记录、恶意文件哈希值及漏洞利用特征，并清洗去重后存入知识图谱数据库，确保数据源实时性不低于5分钟。实施基于图算法的关联分析：利用Jaccard相似度系数计算不同威胁事件间的关联强度，自动识别“钓鱼邮件-内网横向移动-勒索软件加密”的完整攻击链条，将关联度超过0.75的威胁实体聚合为单一攻击事件，避免重复告警。

开展基于机器学习的特征提取：部署轻量级神经网络模型，对非结构化日志进行实时特征提取，识别出包含“异常端口扫描”、“暴力破解”等关键词的隐蔽行为模式，将误报率控制在2%以内，并输出高置信度的威胁标签。构建动态威胁评分模型：根据情报的置信度、更新频率及攻击成功率三个维度，为每条情报0-100分的动态评分，对评分低于30分的陈旧情报自动归档，对评分高于85分的紧急情报触发红色预警，辅助指挥层快速决策。提炼攻击手法与攻击者画像：定期输出《威胁情报周报》，总结本月内最常用的攻击手法（如利用RCE漏洞）、攻击者技术栈（如Python脚本、Metasploit）及目标组织特征，形成