1.1.1 功能要求
通过对重要信息系统安全防护设备发现的威胁数据、恶意访问行为数据的采集分析，判定危险源行为特征类型。立足对系统安全监测数据、运行数据的分析，通过事件分析、告警分析、文件分析、融合分析及大数据分析模型等技术，及时通过协作平台下达安全运维指令，及时提升重要信息系统安全运维能力，消除安全漏洞隐患；通过渗透检测功能对恶意资产设备特征监测数据分析，判定恶意行为实施者，为打击网络犯罪提供数据证据支撑。
安全信息分析系统必须采用软件形态的新一代大数据安全分析技术，系统以海量日志为核心，采用模块化的工作组件设计，大数据分布式系统架构。采用机器学习、数据建模、行为识别、关联分析等方法，通过全量收集安全设备、终端和认证系统上的日志，对海量日志进行集中分析和挖掘，从而发现潜在的安全风险。安全信息分析系统要求满足安全信息的长期全量存储、全文检索分析、异常行为检测和安全合规要求。
（1）数据挖掘分析要求
具备数据深度挖掘和建模分析能力，需要提供如下支持：
①分析应用层具备数据分析工具；
②数据工具支持多种数据源，包括但不限于分布式存储架构的数据源、关系型数据库数据源、第三方平台的数据源等；
③分析工具具备高可用性，需采用可视化命令式交互分析；
④分析平台应能提供经典统计、分类、聚类、相似性分析、关联分析、趋势预测等多种分析计算方法。
⑤能够提供多种数据挖掘模型。
（2）搜索要求
①要求平台实现全文检索功能，精确按需查找，关联显示、统一展现。
②要求实现精确搜索和模糊搜索。
③要求实现检索结果导出。
1.1.2 技术要求
1、为本平台定制化研发软件一套，要求采用ElasticSearch、Hadoop等大数据分析技术架构，可分析和管理数据规模至少400TB；
2、实现用户环境内的资产录入、修改、删除、查询等操作；可管理资产类型包括但不限于主机、网络设备、安全设备、数据库、中间件、存储设备、应用系统、虚拟化设备、机房设备等，支持自定义编辑资产类型；可管理资产属性应包括但不限于资产编号、资产状态、责任人、使用人、联系电话、物理位置、组织架构、设备厂商、业务系统等多种属性；实现重点资产标记；
3、实现集成威胁情报中心，对采集数据进行威胁情报分析。威胁情报应包括但不限于恶意IP库、可疑IP库、恶意域名库、Whois信息、终端行为库、恶意实体库、漏洞知识库等；要求实现威胁情报的可视化展示，将零散的信息通过直观图展现并进行有效的关联；
4、提供类似百度搜索框的查询界面，可以基于任意关键字符进行查询支持关键字查询、时间窗自定义查询、过滤条件查询等，支持用户自定义查询结果自动刷新；要求支持设置常用时间段、相对时间间隔、绝对时间间隔的查询方式，以不同的时间维度来对安全事件进行过滤查询；查询结果趋势图显示，并能够对趋势图进行拖放、移动；实现增加过滤条件对事件进行进一步的提取，方便更深入的分析，同时支持过滤条件组的添加，支持多个过滤条件的且、或、非逻辑关系组合；支持对事件查询的任意字段的数据统计、图表统计信息；
5、提供以告警类型、告警级别、告警阶段、告警状态等多个维度的告警查询；告警查询结果列表字段包括但不限于告警名称、开始时间、告警级别、告警状态、告警阶段、发生地址、源地址、目的地址、告警次数、告警内容以及操作；支持告警状态变更，若告警事件经确认后可将状态从未确认更改至已确认；
6、提供选择过滤条件和过滤条件组的监控组件添加、修改和删除。能够灵活配置，同时支持多种展示图形，如饼状图、条形图、面积图等，显示展示图的同时还能够选择分组字段进行TOPxN的统计排名。支持选择图形的计算类型，至少包括计数、求和、求平均等计算类型。支持组件分类管理，组件分类至少包括事件类、告警类、资产类、网络流；
7、提供监控重点资产告警趋势、资产总数、资产状态分布等，可自定义资产监控组件；以安全事件为维度，提供监控事件总数，按照事件分类展示事件发生数量和趋势；提供以事件类型、事件级别、源目的地址等的统计监控；提供监控网络流量情况，至少包含发送流量、包数量，源目的地址TOP10排名，以及关联的事件类型，发送流量趋势图等；
8、提供报表组管理，区分不同报表。可自定义报表组，默认分为告警类报表、事件类报表、资产类报表、网络流报表；提供日志分析结果的周期统计、报表导出功能；
9、提供知识库录入，不限定内容，包括用户环境内的特殊场景、特殊规定，以语言描述的形式输入到系统供留存，帮助用户记录和总结内部安全知识；提供向系统输入用户环境发生的安全案例功能，其中包含案例分类、描述、影响范围、解决办法、以及附件，为用户提供内部安全事件记录，案例留存，处置方案记录等；
10、记录系统操作日志、异常信息日志。系统支持设定审计策略配置对系统设计的保留时间、日志级别、内容分类进行配置；
11、要求能够根据攻击事件对攻击划分为多个阶段，至少包括侦查、投放、利用、安装、控制、实施攻击等阶段，分析目前网络内的安全事件处于哪个攻击阶段；
12、提供多个数据源之间的关联分析功能。能够定义关联规则，把威胁、事件、资产之间的日志关联起来进行分析；支持对历史数据的分析功能，提供离线数据分析能力；
13、要求提供以部门、个人或资产等维度的异常行为分析，要求至少以两种维度进行异常行为分析，包括但不限于时间维度，部门或资产维度，并能够将两种维度进行关联分析；
14、提供事件或告警的关系图分析，一段时间内事件或告警与IP之间的关联关系；提供事件或告警的和弦图分析，展示统计时间窗内所有事件或告警互联关系和弦图；提供事件或告警河流图分析，展示统计时间窗内事件或告警数量最大的top10事件分类，按时间轴展示事件数量散点分布图；
15、提供各维度的安全告警和事件做长周期明细类、统计类和趋势类分析。提供组织、人员分析功能；提供基于时间线的分析功能；提供事件分析功能；提供告警分析功能；提供文件分析功能；提供融合分析功能。
16、提供大数据安全分析模型管理功能。