2025年网络安全行业安全部安全工程师网络攻防演练手册.docxVIP

2025年网络安全行业安全部安全工程师网络攻防演练手册

第1章网络安全态势感知与风险监测

1.1全网流量特征分析与异常行为识别

需利用流量清洗网关对入口流量进行深度清洗，提取HTTP/2、gRPC及WebSocket等新兴协议特征，结合基线规则库比对IP地址段，识别出偏离正常办公网段特征的异常主机，并记录其连接源IP及目标端口特征。接着，通过部署基于深度学习模型的流量分析平台，对清洗后的数据包进行聚类分析，提取用户行为特征（如登录频率、操作耗时、鼠标移动轨迹等），将连续30分钟内的异常操作序列进行关联分析，锁定潜在的内网横向移动轨迹。

同时，需结合WAF日志与防火墙日志，对高频次、大体积的异常数据包进行溯源分析，利用指纹匹配技术识别出特定的恶意脚本特征（如SQL注入、命令注入等），并针对特定攻击链的攻击指纹图谱。在此基础上，建立基于时间序列分析的流量基线模型，对突发流量增长速率（如1分钟内流量激增100%以上）进行实时监测，一旦触发阈值报警，立即告警工单并通知安全运营中心（SOC）介入调查。应引入机器学习算法对流量模式进行自动分类，区分正常业务流量与可疑流量，通过SVM或随机森林模型对特征向量进行打分，对得分低于阈值的流量包进行二次人工复核，确保误报率控制在1%以内。

将识别出的异常主机与攻击者IP建立映射关系，可