网络安全检测系统

现状：
随着网络安全形式的恶化，特别是在针对计算机系统的攻击逐渐增加的情况下，如何为带宽越来越高、业务越来越复杂的计算机网络提供安全防护能力成为信息安全和计算机网络领域重点和热点的问题。为了提高网络攻击窃密检测能力和涉密信息泄露保密检查能力，越来越多的网络安全检测系统部署在运营商、政府、军队、企业等的互联网出口。通常，网络检测安全系统通过分光或镜像的方法获得内部网络与互联网的网络流量。系统通过对网络流量进行重整和分析，找到潜在的攻击窃密和泄密行为，并报警或采取其他措施防止进一步攻击窃密和泄密行为的发生。

需解决问题：
开发出一种网络安全检测系统，通过对网络流量进行重整和分析，找到潜在的攻击窃密和泄密行为，并报警或采取其他措施防止进一步攻击窃密和泄密行为的发生。系统由管理中心统一管理，管理中心用于集中管理、收集、分析、展示各个互联网出口的攻击窃密和泄密事件。

达到的指标：
1、策略接收。网络安全检测系统加载攻击窃密和泄密行为检测策略。
2、执行检测业务。网络安全检测系统对网络流量进行解析得到待匹配报文，并对待匹配报文执行已知攻击窃密检测、未知攻击窃密检测等检测业务，以得到对应的攻击窃密和泄密行为。
3、执行上报过滤。根据白名单检测策略检测待匹配报文得到的攻击窃密和泄密行为进行过滤，即对与白名单相匹配的攻击窃密和泄密行为不进行上报。根据白名单检测策略进行过滤的方法，执行其他攻击窃密和泄密行为检测策略得到的攻击窃密和泄密行为全部上报。木马攻击窃密行为检测上报木马通信产生的相关数据流，以及种类、名称等告警描述信息；漏洞利用攻击窃密行为检测上报漏洞利用产生的相关数据流，以及种类、名称等告警描述信息；恶意文件传播行为检测上报恶意文件，以及种类、名称等告警描述信息；未知攻击窃密检测上报攻击产生的相关数据流，以及类型、原因等告警描述信息。
4、检测模型。网络安全检测系统具备攻击者通过隐蔽加密隧道进行网络攻击的AI模型检测能力，可溯源攻击者通过各种加密隧道进行网络攻击和获取数据行为过程。
5、性能。网络安全检测系统不低于50Gbps线速流量处理能力。