基于大数据的安全分析及溯源技术_技术规范及评分标准_20150922v2.doc

“移动互联网系统与应用安全国家工程实验室” 基于大数据的安全分析及溯源技术 技术规范 2015年9月 目录 一、 项目背景 3 二、 项目建设目标 3 三、 总体架构 4 四、 本期采购内容 6 五、 主要采购需求 6 1. 供应商资质 7 1) 注册资金 7 2) 投标方产品案例 7 3) 投标方服务案例 7 4) 第三方资质 7 5) 信誉要求 7 2. 功能需求 8 1) 流量数据解析模块 8 2) 数据清洗及去重模块 8 3) 报文信息及协议解析模块 8 4) 数据入库模块 9 5) 分析算法库 9 6) 挖掘算法库 9 7) 恶意特征库 10 8) 趋势预测模型模块 10 9) 数据脱敏及模糊化模块 10 10) 信息生命周期管理模块 11 11) 日志审计模块 11 12) 网络及移动数据隐私防泄漏模块 11 3. 性能需求 12 1) 流量数据解析 12 2) 数据清洗及去重 12 3) 数据入库 12 4) 分析算法库 12 5) 挖掘算法库 12 6) 恶意特征库 13 7) 数据隐私保护及审计 13 六、 招投标评分表 13 项目背景 国家发改委于2013年11月4日正式批复（发改办高技[2013]2685 号文）中国电信建设“移动互联网系统与应用安全国家工程实验室”（下称国家实验室），中国电信确定由上海研究院为主承建。 为进行实验室建设，中国电信下达了“中国电信 2014 年移动互联网系统与应用安全国家工程实验室建设工程”、“中国电信 2014 年移动互联网系统与应用安全国家工程实验室配套工程”等项目，搭建移动互联网与业务安全研发实验平台，端到端的安全测评和仿真实验平台，移动互联网安全技术应用示范平台等三大平台。 项目建设目标 国家实验室的已建成网络信息的大数据采集套件、大数据分析系统软件，主要着眼于移动互联网信息内容安全方面的研发。 本期采购1套第三方软件，在国家实验室现有基础上增加算法特征库、网络及终端数据保护等工具，完备国家实验室在“基于大数据的安全分析与溯源”方向的研发环境，并利用大数据在“移动互联网系统与应用安全”方面进行技术研究及突破，构建“大数据安全分析及溯源示范过程”，主要以实现： 面向智能终端用户及应用开发商的移动互联网仿冒应用识别及渠道监测能力：通过对海量数据进行分析，对主流移动互联网应用进行快速抽取及比对，进行仿冒移动互联网应用的识别、警示以及应用发布渠道的监测； 面向监管部门及移动互联网应用商城的结合大数据安全分析的移动互联网应用检测能力：通过对应用层协议的上下文会话数据提取及深度分析能力，对移动互联网应用进行深度挖掘分析，结合移动互联网应用特征库及应用检测技术对应用App所包含的恶意代码、木马病毒特征等进行发现； 面向政企用户的网络威胁情报分析服务：利用流式计算和大规模并行计算等技术进行实时分析及深度挖掘等，通过流量对进行历史分析、回话关联对如APT（高级可持续性）攻击等进行检测； 面向后端运维部门的恶意行为发现及溯源服务：对数据进行安全元数据的提取，结合恶意地址、恶意行为特征进行监测发现，可为移动互联网应用等后端的服务器提供注入攻击监测、XSS攻击监测、远程命令执行监测等的能力； 面向国家安全部门提供移动互联网安全态势分析能力服务：主要结合海量数据的分析挖掘技术对恶意行为进行发现、事件反查溯源、传播预测/预警、系统漏洞发现及挖掘等； 项目建设的预期主要指标如下： 端对端采集清洗输出延迟 800ms 系统采集有效数据包丢包率 0.01% 实时清洗率 97%； 支持分布式白名单； 恶意特征库动态加载，生效延迟 0.5s 支持分布式旁路分析及挖掘算法库； 系统支持分布式负载均衡； 总体架构 “基于大数据的安全分析与溯源”平台整体架构如下图所示： 其中绿色部分为国家工程实验室现有基础，主要为实现移动互联网信息内容安全方面的分析与溯源；红色为本期采购涉及内容，蓝色部分为实验室自主研发部分。 目前所具备的的主要数据源如下： 与IT部大数据平台互通，主要获取固网DPI、C网DPI、LTE DPI等数据：中国电信信息园区 B12 1 楼实验室机房新增 1 根专线连接北泰(/云莲)机房； 通过端口镜像使用分流采集设备，以1对多的输入、输出获取IDC流量：信息园区 B2 IDC 2-1 机房 A13 机架至信息园区 B12B国家工程实验室机房； 承接集团公司信安部对国家实验室开展大数据安全及大数据安全分析科研的要求，与上海CU平台对接，获取本地IDC CU平台数据：新桃浦 3 楼 IDC B21 机架至信息园区 B12B 国家工程实验室机房； 以FTP或离线数据导入方式不定期从集团“移动用户上网日志留存”平台获取电信