信息网络安全防护与应急处置手册（执行版）.docxVIP

信息网络安全防护与应急处置手册（执行版）

第1章网络态势感知与风险识别

1.1全网流量监控与异常行为分析

部署基于NetFlow或sFlow的中间件设备，实时采集交换机和路由器出口流量数据，将流量特征（如源IP、目的IP、协议类型、端口、耗时、大小）封装成报文流存入数据库。利用机器学习算法构建流量基线模型，设定正常业务流量的阈值（例如：流量占比不超过80%，平均包大小在1KB-5KB之间），当检测到突发流量激增或偏离基线超过3个标准差时，立即标记为异常告警。

针对异常告警，结合应用层协议分析工具（如Wireshark或Zeek）进行深度解析，识别潜在的DDoS攻击特征（如SYNFlood协议异常消耗）或数据泄露特征（如敏感文件传输模式），并自动关联到具体的IP地址段。将监测到的异常行为数据推送到SIEM（安全信息和事件管理）平台，利用关联分析技术（CorrelationRule）将分散的日志事件（如多次登录失败、端口扫描尝试）聚合为单一安全事件，初步的“攻击意图”假设。针对高置信度的攻击意图，自动触发编排引擎，向防火墙、WAF或入侵检测系统发送阻断指令，同时向安全运营中心（SOC）发送实时处置建议，并记录阻断前的攻击行为轨迹以便复盘。

持续对阻断后的流量进行二次验证，确认攻击是否被完全拦截，若仍有流量通过则自动升