构建针对XX烟草公司网络状态监控分析系统的设计与实现的研究，包括网络威胁持续监测、资产状态监控、设备状态监测、安全深入分析以及快速响应，覆盖检测、防护、响应和预警的端到端网络安全防御体系。主要研究内容包括如下：

（1）全流量实时监测分析

利用先进技术手段针对全网流量、安全日志开展实时安全采集监测，通过自动化手段对内网的流量协议进行自动化解析，对内网威胁进行持续检测、深入分析和自动化响应，实现威胁监控、治理工作常态化。

（2）数据分析引擎应用

对市公司网络中的可疑网络访问行为、流量中的未知文件，引用威胁分析引擎进行检测和判定。分析引擎能应用海量的网络基础数据、病毒样本数据、黑客组织数据、风险漏洞数据，以及文件动态分析技术，应用行为深度学习技术，进行关联分析，并提供最终的威胁判定结论。

（3）构建本地安全数据库

基于市公司网络安全设备、基础核心设备以及基于资产的控制系统，引流至中心数据承载服务器，按照标准制式输出、构建本地网络行为数据库，作为市公司网络安全标准建立依据，指导网络安全规范建设。

（4）威胁攻击快速定位溯源取证

应用异常行为规则、机器学习、场景化分析等技术手段在全流量中发现内网失陷机器感染恶意软件（程序）事件，全面发现内网威胁，精准定位异常主机，异常行为。

（5）多维度态势可视化呈现

综合收集到的安全信息要素，基于面向总体安全监测的认知和监测进行数据的融合、关联分析和挖掘分析。安管平台包含的视角包括资产、威胁、攻击、事件、告警提供大数据的分析结果，为研判、决策及保障本单位网络安全提供有效基础支撑。

（6）安全资产集中管理监控

以安全资产核心资源监控为主线，构建统一集成的安全资产监控概念，主动、及时地发现问题，并调度资源解决问题。当故障产生时，可以进行故障的快速定位，发现故障原因，调度资源快速恢复系统服务，从而缩短故障解决时间，降低维护成本，提高系统整体可用性。

网络状态监控分析系统（安管平台）部署拓扑