网络投资理财类诈骗预警服务项目需求说明.docx

《网络投资理财类诈骗预警服务项目需求说明.docx》由会员分享，可在线阅读，更多相关《网络投资理财类诈骗预警服务项目需求说明.docx（15页珍藏版）》请在优知文库上搜索。

1、网络投资理财类诈骗预警服务项目需求说明序号服务名称子系统名称模块名称功能描述1涉网新型案件预警反诈综合研判服务大数据多维研判子系统域名溯源子系统域名为线索，可查询域名的基础信息、解析内容相关数据、关联域名、关联恶意网址等用于发现访问涉案域名的相关嫌疑人设备。（1）支持以涉案域名为线索查询域名属性信息，包括ICP备案、网站名称、注册时间、过期时间、注册邮箱、注册者等信息，并标注域名标签、威胁值、置信度等安全属性信息。（2）支持基于域名为线索的案件溯源扩线引导，以涉案域名为线索扩线查询域名解析、关联域名、关联恶意网址、关联终端等信息，便于案件进一步研判分析。2大数据多维研判子系统IP溯源子系统以I

2、P为线索，可查询IP地址的基础信息（包括ISP备案、代理类型、开放端口等信息，并标注IP标签、威胁值、置信度等）安全属性信息。基于域名为线索的案件溯源扩线引导，以涉案IP为线索查询IP反向解析域名、关联恶意网址、传播源头文件、关联使用终端等信息。3大数据多维研判子系统APK溯源子系统以APK文件为线索，可发现APK的基础信息、通联域名、下载链数据、APK权限清单及风险等级、涉案敏感词。主要用于发现涉案APK使用的网络资源、文件特征值用用于进一步进行研判。支持基于静态解析特征、动态分析APK应用程序，提供包名、版本号、证书MD5、图标MD5APK运行截图等基础信息，并标注APK标签、威胁值、置信

3、度等安全属性信息。涉案APK使用的网络资源可通过本子系统的域名溯源和IP溯源进行进一步分析，也可通过公安机关其它业务系统进行案件串并；支持以涉案APK为线索查询APK通联域名、同源APK、SDK服务商、下载链数据、APK权限清单及敏感词等信息，便于案件进一步研判分析。4终端画像子系统搜索入口搜索框提示“请输入终端码，例如：91aca788caf028dfc0cb42cb6d9”5终端画像子系统结果展小按照输入终端码显示以下信息：终端文件清单、终端软件清单、域名访问行为、历史IP、网络行为、文件下载行为、进程信息、出口路由。6终端画像子系统关联扩线其他模块查询到的终端码可跳转至终端画像模块；终端

4、画像中查询到的域名、ip、mid、MD5都可以进行跳转查询；查询到的ROUtejnIaC地址可跳转至“团伙发现-基于路由发现”，是否可查询以团伙发现模块的授权判断；支持对虚拟身份进行跳转马甲追踪模块进行查询。7马甲追踪子系统QQ追踪输入QQ号，可关联出登录过此QQ号的终端的信息，包括终端码、IP地址、IP所属位置和时间。通过输入的QQ号，追踪到登陆过此QQ号的终端等信息；通过终端码可扩线至终端画像模块进行下一步案件分析。8马甲追踪子系统微信追踪用户输入微信号，可关联出登录过此微信号的终端的信息，包括终端码、IP地址、IP所属位置和时间。通过输入的微信号，追踪到登陆过此微信号的终端等信息；通过终

5、端码可扩线至终端画像模块进行下一步案件分析。9马甲追踪子系统其它虚拟身份追踪用户通过选择其它虚拟身份类型（账号、邮箱、用户ID、昵称、快递单号、订单号）并输入对应的虚拟身份，可关联出登录过此虚拟身份的终端的信息，包括终端码、IP地址、IP所属位置和时间；通过终端码可扩线至终端画像模块进行下一步案件分析。10团伙发现子系统终端发现通过嫌疑人设备终端码发现更多同源设备，并对设备进行刻画，分析设备对应团伙身份。11团伙发现子系统一终端发现搜索入口搜索框提示“请输入终端码，例如：66b6055bf09fc872e744a3e8854e”12团伙发现子系统-终端发现结果展示输入终端码后，自动查询路由ma

6、c并显示此路由地址相关的终端码清单，终端码清单中展示如下信息“终端码”、“IP地址”、“IP归属地”（可筛选）、“路由mac”和“时间”；同时系统将基于输入的终端码生成团伙图分析，图分析中各节点展示内容如下：终端码节点展示内容:终端码、CPU核数、硬盘、系统盘、IE版本、网吧、服务器系统、集群类型、操作系统版本等基本信息；MAC节点展示内容：mac地址。IP节点展示内容：ip的基本信息，包括威胁值、isp、管理者、自制系统类型、使用类型、代理类型13团伙发现子系统一终端发现关联扩线“基于终端发现”中查询到的ip、mid都可以进行跳转查询。14团伙发现子系统路由发现通过案件研判中发现的路由mac

7、信息，发现更多访问过该路由mac的设备，进行同网络环境设备分析，对设备进行刻画，分析设备对应团伙身份。15团伙发现子系统-路由发现搜索入口搜索框提示“请输入路由mac地址，例如：00-fl-f3T7-a3-26”；16团伙发现子系统一路由发现结果展示输入路由mac地址后，自动查询路由mac并显示此路由地址相关的终端码清单，终端码清单中展示如下信息“终端码”、“IP地址”、“IP归属地”（可筛选）、“路由mac”和“时间”；同时系统将基于输入的终端码生成团伙图分析，图分析中各节点展示内容如下：终端码节点展示内容:终端码、CPU核数、硬盘、系统盘、IE版本、网吧、服务器系统、集群类型、操作系统版本

8、等基本信息MAC节点展示内容：mac地址IP节点展示内容：ip的基本信息，包括威胁值、isp、管理者、自制系统类型、使用类型、代理类型17团伙发现子系统一路由发现关联扩线“基于终端发现”中查询到的ip、mid都可以进行跳转查询。“终端画像”的“出口路由”模块下“RouteJmaC地址”可跳转至当前子系统。18团伙发现子系统文件发现通过案件侦办过程中发现的涉案文件特征值，发现更多存在同样文件特征值的设备，并对设备进行刻画，分析设备对应团伙身份。19团伙发现子系统一文件发现搜索入搜索框提示“请输入文件Ind5、shalsha256,例如：6bddc6b6055bf09fc872e744a3e885

9、4e”20团伙发现子系统一文件发现结果展示输入文件hash码后，存在此文件的终端码清单，终端码清单中展示如下信息“终端码”、“IP地址”、“IP归属地”（可筛选）和“时间”；21团伙发现子系统一文件发现关联扩线“基于文件团伙发现”中查询到的ip、mid都可以进行跳转查询。其他模块下的“文件hash”都可跳转至当前子系统。22案件管理子系统案件管理针对现有输入案件进行统一管理，包括所有历史案件研判数据统一汇聚23案件管账号审针对所有账号的研判过程数据进行保存、溯源理子系统计审计24案件管理子系统案件协查案件协查服务团队有多个安全领域的技术专家团队，具备业界领先技术能力，覆盖黑白样本分析、木马病毒

10、分析、botnet追踪研判、漏洞挖掘、网络钓鱼线索分析、DDOS攻击分析、APT攻击发现和溯源等方面。特别在黑灰产案件研究中心，拥有多名经验丰富的案件专家，覆盖网络钓鱼线索分析、黑客勒索溯源、黑灰产链研判、电信网络诈骗协查等服务，协助侦破多起网络相关要案。25数据服务PC端数据，月活覆盖5.5亿+终端设备，覆盖市场90%占有率；累计处理超过2EB实时网络安全数据库，包括50000亿条存活网址库、90亿条域名信息库、22万亿条程序行为日志库。在C端特征数据占有率部高达97%；为支撑该数据服务，每天均处理20000亿条日志数据；实时更新数据100万/年26协查服务服务期内提供专案支撑服务，包括省部

11、督、百万案件、交办案件等服务27大数据嫌疑线索情报分析平台数据接入数据接入对来自移动互联网、重点网站、恶意APP、用户举报、用户标记、以及公安业务工作的非标准数据需要进行格式转换，将非标准数据转化为标准数据进入大数据嫌疑线索情报分析平台。大数据嫌疑线索情报分析平台根据数据标准对数据进行检查，数据格式转化、异常数据清洗，数据运维与统计（按照不同的数据类型进行统计，包含正确数据量、分类错误数据量等），采用元数据、格转策略、校验策略设计，数据接入平台具有灵活性、通用性、扩展性。主要工作包括：（1）数据传输、质量校验等标准制定制定数据封装形式、数据结构、数据类型、引用字典等数据传输和质量校验的标准，为

12、后续工作提供基本依据（2）样本分析、质量分析采集数据样本，对样本数据的结构、字段内容语义、数据统计规律、字段合规性等内容进行分析，为数据标准化、数据对象提取策略、数据归一策略等工作提供必要的支撑（3）数据标准化根据数据样本分析和质量分析的结果，制定预处理策略，主要包括数据清洗、格式校验、格式转换等数据标准化策略（4）数据对象提取策略根据数据样本分析和质量分析的结果，制定对象档案、对象关系的提取策略以及和其他来源数据对象化结果的归并策略(5)数据归一化策略根据数据样本分析和质量分析的结果，制定归一化策略，并与其他来源数据的归一化策略融合，扩展归一化场景，完善归一化权重计算等算法，提升对象归一化结

13、果的质量28预处理数据预处理PC终端、移动互联网用户数据、重点网站数据、举报数据以及公安业务工作数据进入预处理层，预处理层对采集的公安大数据进行统一流式预处理，使得不同来源的数据格式相对统一、关联标识清楚，在一定程度上减少后续数据存储处理量，方便更为复杂的业务处理，为公安业务中日常管理、落地调查、分析关联、区域管控、线索挖掘、情报发现和预警等提供必要支撑。预处理采用动态、可配置、可扩展的开放式架构，支持任务动态可编排。建立预处理数据流和控制流的统一协同机制，实现数据生命周期的统一编址管理，确保数据的完整性、一致性。建立数据缓存机制，能够处理瞬时高峰数据，避免数据丢失。预处理服务器按照信息提取、

14、数据清洗、数据关联、数据比对、数据标识五步，将每条接入数据与人、地、物、事、组织（关系）、行为等实时关联和标识。29数据提取数据提取主要包括网页信息提取、全文数据结构化提取，利于数据长期存储和使用。30数据清洗数据清洗包括垃圾信息过滤、数据去重和格式清洗，提高数据的价值密度。垃圾信息过滤主要采取样本分析和内容过滤等方式，对垃圾信息进行辨别和分离。31数据关联数据关联将网民上网数据与接入认证数据、IP地址备案信息、上网场所备案信息、基站信息等公安基础数据进行关联，主要包括认证数据关联、地理位置信息关联、用户实名信息关联等。32数据比对数据比对包括结构化比对、关键词比对、二进制比对、文件特征比对，

15、满足线索发现、触网报警等业务需要。结构化比对：通过对线索（如网络身份、身份证件号码）的比对，在海量日志数据中命中发现线索相关信息。关键词比对：通过对关键词及关键词组合的比对，在海量全文数据中命中发现关键词相关信息。二进制比对：通过对二进制文件（如文档文件、图片文件）的比对，在数据中命中发现二进制文件相关信息。文件特征比对：通过对文件特征的比对，在数据中命中发现文件特征相关信33数据标识数据标识依托基础资源库和基础知识库，对数据进行语言、区域、位置、业务等属性标识，为上层应用提供支撑。数据标识分为通用标识和业务标识，通用标识是数据自身所蕴含的特定含义的显性化，通常由数据的自身定义或由预处理关联、比对结果等来确定；业务标识是根据不