【二期项目立项参考】平台项目（二期）V3.1--立项参考-201809

AiLPHA大数据智能安全平台项目（二期）立项参考方案杭州安恒信息技术股份有限公司年月20189杭州安恒信息技术股份有限公司击影响范围以及资产的风险值等，并提供高度可视化的攻击，实现资产维度的安全事件的追踪溯源分析；支持安全事件组合分析及针对某一安全事件的攻击链追溯分析，提供针对资产的关联攻击链日志以及系统漏洞信息关联分析，为运维人员提供攻击链日志和漏洞对比信息，快速感知当前资产的安全状况分析功能管理

[4]应具备下列安全分析功能管理能力应可根据关联分析管理规则实现递归关联分析、统计关联分析、时序关联分析等分析策略的管理关联分析的性能应满足7千条＜1秒的分析性能要求；关联规则应可通过产品预定义和自定义规则两大类方式建立，并提供了可视化的规则编辑器，允许管理员创建规则或编辑已有关联分析规则；产品支持预定义和自定义安全事件统计规则，并提供可视化的规则编辑器，允许管理员创建和编辑统计规则，实现对安全事件的任意维度统计，并产生新的安全事件；产品可预定义和自定义至少两个安全事件的关联分析功能，并提供可视化的事件关联编辑器，允许管理员创建和编辑多个安全事件的关联分析，分析多个事件之间的内在关联，生成新的安全事件

[5]业务感知分析应具备下列安全业务感知分析能力支持根据业务系统逻辑自定义业务拓扑视图，辅助用户管理整体业务系统和资产；支持业务系统资产安全调查功能，提供包含风险资产、攻击者视角、受害者视角、事件聚合视角等维度的安全事件调查分析功能，实现对安全事件的层层钻取，进行安全告警、事件、原始信息、关联威胁情报等深度分析；提供安全威胁的处置建议和攻击原理描述，支持与安全设备进行联动处置3安全事件告警与运维支持资产拓扑

[1]支持资产的自动发现和从客户现有的资产平台同步功能，支持资产的修改、删除等管理功能，并根据客户资产的用途和网站结构进行划分，至少分为内部资产、互联网资产和重点安全资产；提供安全资产拓扑视图，支持根据网络架构自定义资产拓扑，支持拓扑的模板导入和编辑好的资产拓扑文件导出安全告警监控

[2]告警监控功能展示内外部威胁分析产生的安全告警，包括网络威胁告警、系统安全告警、用户违规行为告警要求建设功能如下■支持列表或播报方式展现网络入侵、DDoS异常流量、业务异常流量、系统攻击、脆弱性、用户违规行为等告警；告警内容包含不限于时间、源IP、目地IP、业务系统、所属部门、事件类型、事件名称、告警级别等；■支持按时间、IP、业务系统、事件类型、告警级别、告警状态等进行数据筛选；■支持告警明细查看；■支持未处理告警的页面提示；■支持告警信息原始事件追溯安全告警处理

[3]支持安全运维人员对安全事件进行处理，支持将安全分析结果标记为误报事件，并提供误报数据移除功能转为正常安全事件；安全事件支持一键联动至安全防护设备，安全运维人员可添加对安全事件的处理意见，联动的安全设备至少至少WAF、防火墙等，支持的厂商至少包括华为、华

三、安恒等4数据智能检索需求支持数据的快速检索，检索处理效率应满足每1万条日志〈1秒；可通过关键字、条件表达式、时间范围对事件及数据进行快速检索，快速定位到安全分析人员关注的威胁和上下文数据，并支持检索趋势统计；持以时间轴的方式展示检索结果，并支持时间轴钻取和追加搜索;支持将查询的条件存储为查询模版，方便再次使用，支持检索结果导出，至少支持excel和CSV两种格式5安全态势呈现需求提供包含包括资产、威胁、风险、攻击等多视角的安全态势展现效果；并具备结合威胁情报数据，动态呈现攻击源、攻击路径、攻击频率等动态攻击态势的能力具体需求如下安全风险可视化:

[1]可通过动态与静态方式实现对招标方安全风险、脆弱性、态势、攻击链条等进行实时呈现应支持对攻击类型、受攻击资产整体情况进行排名列表呈现，支持图形化方式展示招标方当前资产全局的安全风险可通过评分指标体系对公司攻击情况、违规情况、可疑威胁、受影响资产等整体安全状况进行评判展示资产感知可视化

[2]支持根据客户的组织架构，进行资产自动分类，实现根据组织架构进行资产安全事件展示；支持对高危资产进行可视化展示，对安全事件攻击路径进行图形化和可视化的展示，并按确定性分类为失陷资产，高风险资产，低风险资产；支持根据资产维度进行安全事件下钻及事件溯源可视化，可实现对攻击者的攻击路径、攻击场景、安全事件影响资产范围等情况进行呈现关键安全信息可视化呈现功能

[3]支持攻击方向识别攻击事件方向区分外对内、内对内、内对外攻击视角；外部威胁感知；重点关注外部攻击来源区域和内部受攻击资产；横向威胁感知关注内部安全域之间的违规行为和内网主机之间的病毒传播；外连威胁感知重点关注内网失陷主机的异常行为6安全态势报告需求

[1]平台可以按照固定报表的方式进行安全数据统计分析，统计维度包括但不限于资产类、潜在威胁类、安全防御类、安全风险类、平台使用情况等2］报表可满足按照不同周期或维度自定义生成报表的要求，可将网络安全关键指标，通过各种常见的图表（速度表、柱状图、雷达图、饼状图等）进行展示，报表数据形成后，可以按照Excel、word、txt、pdf等数据格式导出［3］提供包括不限于威胁类、风险类、安全运营类、事件追溯取证类等专题报告，并按照word、pdf等数据格式导出；［4］支持报表根据用户的需求进行自定义组合功能（-）平台功能安管平台（二期）主要功能包括安全态势展示、安全事件分析、资产管理、安全分析场景（模型）管理、安全威胁情报管理、安全态势大屏展示，同时提供原始日志与标准化日志的智能搜索功能，以及配置管理态势感知外部攻击外连风险横向威胁WEB态势内网态势处置中心资产管理业务感知网络实体感知用户感知告警中心弱点管理业务健康评价业务监控资产溯源攻击者溯源行为基线安全设备运维工单业务拓扑AI异常检测实体画像访问关系异常检测模型指标设备联动数据字典分析工具日志检索行为回放可视化仪表盘推送订阅安全报告知识库威胁情报库漏洞库处置建议库备案信息库风险端口库系统设置本平台的系统管理和数据管理入口安全态势感知

1.安全态势展示功能是用来向用户提供安全威胁与预警信息查看和分析的入口，通过历史安全数据的归纳总结、实时安全威胁分析以及对态势发展情况的预测评估，来全面描述全网的安全情况、影响评估和态势演化安全态势功能上包括综合安全态势、外部攻击安全态势感知、外联风险感知、横向扩展感知、用户行为态势、WEB安全态势感知和内网态势感知以及安全态势报告■综合安全态势本功能是安全态势的全局多维度呈现，包括网络威胁、资产安全、用户行为几个方面■网络威胁态势本功能分析和监控攻击行为，包含外部入侵、资产外联和内部横向扩展威胁几个方面；■用户行为态势用户行为态势多维度监控、展示内部用户的操作行为，包括用户画像及用户异常行为态势功能；■安全态势提供WEB系统的网络攻击、系统攻击、恶意程序以WEB及系统自身脆弱性的情况；■安全态势报告本功能通过对安全态势数据的周期性归纳总结、统计分析，形成全网安全态势分析报告业务资产拓扑视图

2.实现以业务资产视角，辅助客户以资产为核心的工作层面之上构建一个面向业务部门和管理层的工作层面业务资质拓扑视图功能主要管理用户的业务支撑系统，实现业务资产拓扑和资产安全等级评价等功能，为用户提供业务的实时监控能力，保障用户业务的可持续平稳运行为用户提供如下功能；＞支持资产的自动发现和从客户现有的资产平台同步功能，支持资产的修改、删除等管理功能，并根据客户资产的用途和网站结构进行划分，至少分为内部资产、互联网资产和重点安全资产；＞提供安全资产拓扑视图，支持根据网络架构自定义资产拓扑,支持拓扑的模板导入和编辑好的资产拓扑文件导出；＞提供根据近期重点关注基于业务安全威胁和业务脆弱性的业务健康度评价和资产评分安全事件管理

3.通过对安全事件、日志以及网络流量进行检测，分析出网络攻击、系统攻击、异常流量等威胁，产生安全告警，本功能以实时和统计的方式对安全告警进行展现告警状态分为实时告警和历史告警，经过确认或处理后的告警状态为历史告警■安全告警监控展示内外部威胁分析产生的安全告警，包括网络威胁告警、系统安全告警、用户违规行为告警、安全场景告警等；■安全告警处置提供安全事件调查、分析、溯源、取证等核心安全事件分析调查功能，并提供安全处置状态标记功能，可以实现与工单平台对接，流程化处理安全事件；■安全告警处置知识库安全告警处置库是与具体安全告警相关联的知识性材料，是一份资料性、文档性的说明信息，用于说明安全告警的意义、处置建议、相关参考、级别等具有对安全告警分类管理、添加、删除、变更、查询功能安全威胁情报管理

4.威胁情报是针对内部和外部威胁源的动机、意图、能力以及战技过程的详细叙述，威胁情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息，从而提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源对企业而言，威胁情报的应用/消费是实现情报价值的关键，通过安全威胁分析与预警平台和威胁情报的集成，实现全网的基于威胁情报的协同联动，才能发挥平台与情报的最大价值安全威胁情报管理用于支撑外部威胁的分析和定位，功能包括威胁情报获取、威胁情报输入与维护、外部资产发现和监控、情报关联分析■威胁情报获取本功能提供对威胁情报信息的自行添加或通过情报服务商获取的能力威胁情报主要包含战略情报、战术情报以及漏洞情报战略情报是对一类安全问题或黑客组织进行的长期调查的报告，适合阅读学习，因时间跨度长而不具有时效优势；战术情报是面向安全设备或系统的、驱动其执行安全控制策略，战术威胁情报也被称作机读威胁情报，以快节奏形式提供的可机读信息，包括IP信誉、恶意文件Hash、恶意DNS和邮箱等；漏洞情报是针对软硬件产品的安全漏洞的预警类情报，一般由产品原厂或第三方评估机构发布；■威胁情报维护提供手动添加威胁情报功能，以及用于威胁情报信息的删除、修改、启用、标注等，方便威胁情报管理；■威胁情报关联分析通过威胁情报对外部资产发现和监控用于发现暴露于互联网侧的资产信息，并对资产的威胁状况进行监控，对外部攻击者进行关联分析智能检索

5.智能搜索是安全威胁分析与预警平台的日志搜索人口，提供关键字组合输入功能，实现日志快速检索，包含原始日志搜索、标准化日志搜索、自定义搜索模板和历史搜索快照■原始日志搜索【功能定义】本功能提供原始日志搜索，实现海量原始日志的快速智能搜索【功能要求】提供搜索输入框，进行原始日志全文搜索；支持输入关键字及组合、表达式、通配符如进行数据搜索；支持搜索条件的逻辑运算组合，如AND、OR、NOT、；支持按时间、原始日志分类筛选数据；支持搜索结果总数统计，支持翻页；支持搜索结果条件关键字高亮显示；支持搜索结果按照相关度和时间进行排序■标准化日志搜索【功能定义】本功能提供标准化日志搜索，实现标准化日志的快速智能搜索【功能要求】提供搜索输入框进行标准化日志搜索；支持输入关键字及组合、表达式、通配符如进行数据搜索，如输入“张三查询客户资料”作为条件，搜索结果按相关度返回这些关键字组合的日志；支持搜索条件的逻辑运算组合，如AND、OR、NOT、；如输入“张三OR李四“，搜索结果返回包含“张三”或者“李四”关键字的日志；支持智能搜索功能，可通过用户输入的多项关键字，与数据标签对比，判断用户搜索意图，例如用户输入“姓名日志操作关键字”，首先检索该用户产生的相关操作，然后对该用户名下资产上发生的此类操作一并进行检索支持按照标准化字段的精确和模糊查询；支持字段组合查询；支持按时间、业务系统、日志类型等筛选数据；支持搜索结果总数统计，支持翻页；支持搜索结果条件关键字高亮显示；支持搜索结果按照相关度和时间进行排序；支持标准化日志的明细查看，如点击搜索结果，展现日志明细■自定义搜索模板【功能定义】本功能提供用户搜索模板的自定义功能，通过本功能用户可以根据业务需求把常用的查询场景固化，保存成查询模板，实现快速查询目录

1.4

8.

199.20

6.安全威胁分析与预警平台支持实时告警、热点事件、网络威胁、系统安全、用户行为、重要业务系统安全等内容的大屏展示功能系统管理

7.系统管理模块是平台自身的管理支撑功能入口，包括平台自身运行情况的监控展示、用户权限管理、系统日志管理等功能，提供支撑安全威胁分析与预警平台的基础保障能力系统自监控本功能用于安全威胁分析与预警平台的服务器性能■使用情况监控及展示；支持对服务器资源使用情况的展示，性能指标包括存储使用情况、CPU利用率、内存使用情况等；用户权限管理用户权限管理用于用户和系统功能权限的管理配■置能够灵活地配置用户权限，方便系统管理员进行管理安全威胁分析与预警平台应支持基于系统功能对象的角色定义，支持用户组机制系统日志管理系统日志管理主要实现业务操作和管理配置■操作的记录功能提供系统日志的查询展示界面，要求能够按用户、时间、源IP、操作模块、操作内容、操作结果进行筛选；配置管理ETL配置管理主要为了满足各类态势分析场景对■ETL数据质量的要求，为了高效合理地管理使用数据处理（ETL）的过程，使之可以高效化地处理采集到的数据，提供一个可供前台配置的管理入口，能够维护各种数据处理的逻辑ETL配置管理功能提供管理入口，用于维护各种数据处理的逻辑,支持对各个数据处理（ETL）逻辑的增删改处理.数据管理

8.安全大数据中心需要完成对全网的安全数据的集中化、标准化、全文检索以及数据共享在整个运行的过程中，需要完成自身的维护工作，包括采集器管理、数据字典管理以及组件性能监控■采集器管理通过采集器管理平台维护采集器的新增、删除、启用、停用以及采集任务管理采集器接入管理，首先要进行采集器接入，对采集器在SDC中进行统一的管理，包括采集器唯一标识，采集协议，采集器部署位置，采集周期，采集源等信息■数据字典管理数据字典管理是对采集的数据信息的统一管理入口管理员负责维护数据信息的录入、修改、删除数据订阅方通过数据字典管理系统可以查询到需要的目标数据信息数据信息包括数据来源、同步方式、同步周期、数据的标准化字段格式说明、备注、目标存储平台等基础信息支持数据字典中数据信息的维护，包括数据信息的录入、修改、删除数据信息字段包括数据来源、同步方式、同步周期、数据的标准化字段格式说明、备注、目标存储平台等基础信息支持数据字典的数据查询主要查询已经接入的数据对应的字段信息，包含表名，表字段信息■数据质量监控数据质量监控对在采集、处理过程中数据的采集量、持续性及处理失败率等指标进行监控，主要用于保障采集数据的持续性、准确性以及稳定性，以支撑安全威胁与预警平台中的各场景分析的精准性数据质量监控功能主要监控采集源数据的持续性，重点监测采集的数据从有变无，以及数据量的变化超过预定义阀值的情况，当出现异常情况时，生成告警数据质量监控功能实时监控数据处理过程，当数据在处理过程中发生异常时，比如、数据在格式化阶段未能按规则正常处理，产生了垃圾数据，生成告警平台组件运行监控

9.组件监控是对平台的组件，包括采集组件，数据处理组件，数据存储组件，进行数据采集、数据处理状态以及数据吞吐量的监控对检查过程中发生的异常情况生成告警【功能定义】组件性能监控是通过主动或者被动的方式，实时或者定时向安全威胁分析与预警平台反映在数据采集、数据处理、数据存储环节中各个组件的运行情况对于异常的情况可以实时的产生告警，以短信等多种形式通知管理员，保障平台的稳定性【功能要求】支持定时或实时获取各组件（采集组件、数据处理组件）运行状态；更新各个组件运行状态周期不超过5分钟；支持获取各组件的数据处理的吞吐量

三、扩容资源需求根据项目一期的建设情况，本期主要新增采集探针和计算资源

[1]采集探针新增日志采集探针X台，满足XX个网络区域XX台服务器的XX中日志数据的接入；新增流量采集探针，满足XX个网络区域的XXG流量采集；

[2]计算资源平台的支持横向扩展，本期需要新增服务器X台，单台配置如下XX核，XG内存、XXT存储，以满足二期项目的建设为了满足日常应用与管理的同时，如何基于这类海量的数据进行分析，有效识别各种风险漏洞，提升自身信息安全工作水平成为信息安全工作中的关键所以需要研究如何从日常运行维护工作中的基于业务全流量的大数据采集、存储、加载，以及基于大数据的分布式大规模计算进行安全分析和对安全事件预测方法，从而进行安全事件预警分析、整体安全态势的多维度分析，同时基于全流量采集的关联分析，从而提高整个安全管理体系的安全态势感知预警能力和安全合规水平在当下所面临的安全问题越来越复杂，安全威胁飞速增长得形势下，最大程度防范以及降低攻击所引起的组织声誉、重大的经济损失和政治影响（-）项目主要建设内容本期项目在2017-2018年的建设成果基础上进行升级和扩容，本期工程主要建设包含如下几个部分

[1]新增安全数据采集本期新增弱点数据采集、扩大安主机、安全设备以及网络设备的日志采集范围，新增流量沙箱模块，重点分析恶意文件、病毒、木马等流量数据；

[2]新增数据治理功能本期新增数据治理功能，实现数据字典管理、数据监控和数据ETL配置管理能力；

[3]新增资产感知与管理功能本期新增内部资产感知与管理功能,实现根据业务系统逻辑自定义业务拓扑视图，辅助用户管理整体业务系统和资产，以及根据资产维度的安全事件溯源和分析能力；

[4]新增大数据引擎化分析能力本期新增大数据引擎化分析能力,实现根据客户网络安全现状，智能适配和自定义安全分析场景和模型，为用户提供如下新增高级分析能力＞新增安全事件智能适配分析功能，提供高级安全分析模型和规则的界面编辑和自定义功能，实现将任意规则输出的结果可作为高级安全分析模型或规则的输入，为用户输出更高级别更复杂的安全事件识别能力；＞新增攻击方向识别功能，实现入侵、内部扩散以及资产外联等高危风险识别能力；＞新增异常行为分析功能，实现对账户异常、操作行为异常等安全场景识别能力；＞新增大数据建模分析功能，实现攻击者和资产的画像分析能力；＞新增业务安全感知分析功能，实现根据业务拓扑建模分析能力；

[5]新增安全事件智能检索功能本期新增安全事件智能检索功能,提供安全事件调查、钻取分析、取证等核心安全事件运维功能；

[6]优化态势感知呈现功能本期优化安全可视化功能，新增安全分析可视化能力、资产感知可视化能力、关键安全信息可视化能力等-项目建设目标目前，通过2017年的项目建设，已初步完成安全日志大数据中心，基础大数据分析平台实现运用大数据技术，获取大规模网络安全事件数据，对海量安全事件数据进行实时关联分析，从中发现主机和网络异常行为，起到全局安全预警的作用，从而有效保障业务系统的安全、稳定运行一个完善的的安全监控系统应该从主机安全、网络安全以及应用业务安全的层面进行完成的安全监控本期项目主要继续完成以下建设目标实现安全数据的集中采集、存储、检索及对外接口，优化扩建安全数据中心平台采用多样的、可适配数据源的方式对各类安全设备、系统数据进行采集、清洗、标准化、存储，提供离线、实时、全文检索等多种数据订阅及分析方式具备安全威胁要素的采集能力，包含内部、外部及情报，其中内部要素包括资产信息、网络拓扑、安全配置、安全漏洞、系统指纹；外部要素包括安全攻击、恶意扫描、拒绝服务、异常流量、通告和预警等具备安全威胁要素分析能力，为各省安全管理员、安全决策人员提供简单、实用、高效的安全数据平台，内置业务支撑网重点安全分析场景，重点发现高级别安全攻击、顽固安全问题，采用大数据技术在更大量数据、更全面、更透彻的方式分析安全威胁具备将安全威胁作为告警和预警输出的能力，提供准确而快速的安全告警功能，以及潜在问题的安全预警通知，推动重要紧急安全问题的快速响应和解决

二、需求分析与功能建设-需求分析网络安全业务需求分析

1.1快速预警高危恶意攻击一些高危的恶意代码通常杀毒软件是无法处理的，一旦进入内网影响较大，比如一些包含shellcode、勒索病毒的样本，需要结合APT产品的告警信息快速预警这些攻击基于机器学习提供安全态势感知能力2完善安全防护策略FW、IPS等安全设备在部署的时候通常都是默认策略，极为容易出现漏掉的攻击，需要发现并分析攻击的数据包特征，持续完善当前安全防护策略3深度分析安全事件大数据深度感知智能引擎需要分析出当前存在的威胁，并记录威胁的来源、攻击手段、攻击过程、攻击目标、攻击影响等信息，实现对攻击的过程分析和溯源分析，确定内部主机的遭受的威胁程度通过深度和全面的行为分析能力，可以发现网络中的隐蔽攻击威胁同时分析当前安全防护的弱点，及时发现漏掉的威胁并对攻击进行跟踪溯源，根据被攻击者遭受的所有威胁进行关联，跟踪所有对被攻击者发起的威胁信息和攻击源信息，发现其中的高危攻击

（4）全面感知有效安全事件基于统一深度感知智能引擎，可以实现安全威胁深度分析，感知当前的安全威胁趋势和规律，通过可视化的方式进行展现，便于及时快速的掌握当前的安全动态和威胁指数通过对攻击者，攻击行为，全面分析，评估攻击事件的威胁等级通过对威胁的实时检测和分析，跟踪安全威胁的趋势和规律，及时掌握安全动态，进一步明确安全建设的方向功能需求

2.

（1）数据治理功能需求新增的数据采集

[1]本期新增弱点数据采集、扩大安主机、安全设备以及网络设备的日志采集范围，新增流量沙箱模块，重点分析恶意文件、病毒、木马等流量数据数据监控

[2]支持监控数据接收的健康状态和性能，具备发现接收采集异常及时告警的能力，保证采集性能与数据量匹配，防止数据采集不完整数据字典管理

[3]支持对平台内使用到的数据指标、字典进行管理，用户可以根据实际需求，最指标和字典进行编辑，支持修改、增加或删除相应的指配置管理

[4]ETLETL配置管理主要为了满足各类态势分析场景对数据质量的要求,为了高效合理地管理使用数据处理（ETL）的过程，使之可以高效化地处理采集到的数据，提供一个可供前台配置的管理入口，能够维护各种数据处理的逻辑ETL配置管理功能提供管理入口，用于维护各种数据处理的逻辑，支持对各个数据处理（ETL）逻辑的增删改处理＞支持对数据处理逻辑的新增、删除、修改、查询、启动、停止＞支持对数据处理过程的状杰监控

（2）数据分析功能需求

[1]攻击方向识别分析通过日志数据和流量数据以及客户的实际网络环境关联分析，实现对攻击方向的识别，为用户提供区分外对内、内对内、内对外攻击视角■外部威胁感知重点关注外部攻击来源区域和内部受攻击资产，分析和发现网络入侵、拒绝服务攻击以及来自外部的攻击行为；■横向威胁感知关注企业网内部横向威胁态势，分析内部内部安全域之间的违规行为和内网主机之间的病毒传播，内部资产之间的攻击关系，发现企业内部疑似被黑客控制的主机或内部员工的违规操作行为；■资产外连威胁感知关注企业内部资产的对外发起攻击行为，分析内部是否存在被黑客控制的资产，如被控制为僵尸主机、肉机，进行挖矿、对外发起攻击等⑵异常行为分析能够通过深度及关联的安全分析模型及算法，利用AI分析模型发现各系统存在的安全风险和异常的用户行为，主要包括但不限于下列分析模型＞账户异常登录/登出异常、登录时间异常、登录频次异常、异常登录IP等；＞权限变更异常管理员账号/密码更改尝试、权限变更时间及频率异常、权限变更操作IP异常；＞操作行为异常堡垒机绕过、异常访问操作；＞资产被访问异常资产出现违规访问、异常地点、时间、频率的访问行为等具备针对招标方实际安全管控场景，完成安全分析模型自定义开发的能力未来需求场景主要包括但不限于账户监测异常、非法外联外访、数据违法泄露、业务违规场景、APT攻击场景类等异常行为

[3]大数据建模分析支持攻击者画像分析功能，实现对攻击者的多维度画像分析，至少包含攻击者的网络指纹数据、偏好攻击手段、攻击破坏力分析等维度，并提供高度可视化的工具，实现攻击者维度对事件的追溯分析;支持资产画像分析功能，实现对企业内网信息资产的多维护画像分析，至少包含资产的风险点、被攻击的趋势、频繁被攻击方式、攻。