序号

设备名称

设备详情

数量

单位

备注

1

全流量综合危险分析探针

硬件要求

设备形态为1U机架式工控机，CPU至少4核4线程，内存≥8G，GE电口≥6个，存储硬盘：监控级HDD≥1T，USB≥2个，Console口≥1个。

1

套

性能要求

吞吐量≥500Mbps

功能要求

1、系统为独立流量探针，支持分布式部署，支持外发告警数据、行为数据给分析平台；

2、提供B/S架构，采用HTTPS方式管理，无需安装管理客户端；

3、支持解析VLAN、VxLAN、ikev2等协议解析和还原，支持IP分片还原；

4、支持中间流还原，在非完整TCP握手情况下，能够还原会话；

5、支持通过双向会话流数据进行二次分析，判定攻击的结果状态，包括攻击成功、失败、未知；

6、支持通过域名、URL、IP进行威胁情报检测，本地威胁情报的数据不少于300万条；

7、支持以1-100的分值预置规则的置信度，辅助判定网络攻击的成功情况；

8、支持多种逻辑子规则策略关系，可通过规则嵌套形成异常规则链；子规则策略之间支持AND、OR、NOT等嵌套语法，并支持对内网IP段进行设置；

9、支持添加自定义检测规则，支持TCP、UDP、HTTP协议。HTTP协议支持对请求方法、请求URI、请求数据、用户代理等HTTP字段进行设置；

10、支持自定义异常规则链，可自定义添加异常规则链及子规则，启用/禁用相关配置，以提升检出率；

11、支持基于人工智能模型检测各种变种漏洞和未知漏洞攻击行为，如Struts2系列漏洞、SQL注入漏洞、Java反序列化漏洞、CMS类型漏洞等；

12、支持对数据进行展示、存储、外发脱敏配置；支持对手机号、身份证号、银行卡、密码的关键敏感信息进行识别和界面展示脱敏；

13、支持敏感数据外发脱敏，包括流量行为日志和告警信息；外发脱敏支持通过Kafka、Syslog等方式发送至省检安全大脑；

14、支持100万+ DGA库对已知的DGA域名进行检测；支持至少100种木马家族通信指令特征特征检测；

15、支持50+常见加密和非加密Webshell检测，包括但不限于冰蝎、哥斯拉、蚁剑、中国菜刀、小马上传工具等。

16、支持20种以上APT特种木马家族的通信特征指令检测，包括攻击目标为中国的组织例如美人鱼、验证器、海**、摩诃草、蔓灵花、奇幻熊等；

17、提供二进制分析能力和解码工具，支持HEX十六进制展示；

18、支持至少15种以上僵尸家族的通信指令特征检测；

19、支持40+挖矿家族通信特征的告警行为；支持10+种虚拟货币的识别。

20、提供渗透攻击实时精准告警能力，并对告警按照网安法进行分类，至少包括40+种二级分类；