网络安全态势感知与威胁情报分析手册（执行版）.docxVIP

网络安全态势感知与威胁情报分析手册（执行版）

第1章网络安全态势感知体系构建

1.1网络流量全量采集与清洗机制

流量采集层采用基于NetFlowv9和sFlow协议的深度覆盖策略，确保在交换机和路由器端实现毫秒级全量数据捕获，并配合SNMP协议对非标准设备（如防火墙、无线AP）进行扩展接入，构建“源端即感知”的监视网。在数据入库阶段，系统自动剔除无效元数据，通过IP地址解析、MAC地址绑定及端口协议特征匹配技术，过滤掉非法扫描、ARP欺骗等低质量流量，将有效流量保留至清洗层。

清洗引擎利用基于规则引擎（Rule-basedEngine）和机器学习算法（如One-ClassSVM），实时识别并阻断内网横向移动、DNS隧道及异常长连接等威胁行为，防止恶意流量污染后续分析数据。针对海量日志数据，系统实施分片存储与流式处理架构，将每日产生的TB级流量数据按时间窗口切分，确保数据在写入数据库前已完成初步的完整性校验和格式标准化。引入基于LSI日志关联分析技术，将分散在不同时间、不同设备上的日志片段进行关联匹配，自动补全被截断的上下文信息，还原完整的攻击链路和攻击者行为轨迹。

清洗后的数据自动进入特征库，系统持续更新威胁情报库中的攻击指纹和样本特征，确保采集的数据与最新的威胁情报保持动态同步，消除数据滞后带来的误报或漏报风险。

1.2