为提高数字兵团政务云的安全运营与风险抵御能力，针对数字兵团政务云体系规模大、安全设备种类多、各类监控告警数据结构差异大，难以统一持续地分析处置的特点，数字兵团公司自主设计研发了数字兵团动态安全防御平台，将各类安全设备的告警信息统一汇总，进行大数据人工智能、规则判定、样本分析等安全核心技术分析和预警展示，依托该平台，可以及时、快速、准确的判定安全事件和威胁。

注：图为数字兵团动态安全防御平台运行图

1. 攻击告警数据汇总

该功能是将政务云各类安全设备告警信息实时接入汇总到动态安全防御平台中，并根据攻击类型进行汇总统计（如下图所示）：

实时展示安全设备的告警内容，并将告警信息推送给动态安全防御平台的分析模块，进行数据分析（如下图所示）：

二、攻击行为的自动判定

目前动态安全防御平台后台集成了如封禁策略、威胁情报、人工智能（机器学习算法）、病毒样本分析等多种攻击行为自动分析判定功能模块。

（一）封禁策略：

动态安全防御平台收到上游态势感知发送的特定类型的告警事件后，将数据入库进行策略分析，经过策略分析后的结果会入库黑名单表并触发封禁流程推送安全设备完成封禁。

下图为动态安全防御平台展示近期的封禁策略自动封禁IP统计趋势：

（二）威胁情报

动态安全防御平台收到上游态势感知发送的告警IP列表后，将数据入库与威胁情报进行比对，命中威胁情报的ip会触发封禁流程，将命中ip列表通过接口推送给安全设备完成封禁。

（三）人工智能（机器学习算法）

动态安全防御平台通过对以往判黑的攻击样本进行数据挖掘和建模，利用朴素贝叶斯等经典的机器学习算法，挖掘分析出攻击样本最具代表性的特征，生成封禁策略，输出给自动封禁工具来进行攻击行为的自动判定。

（四）病毒样本分析

动态安全防御平台通过对病毒木马监控中心发来的告警日志进行解析，自动下载告警病毒样本，并传到后端分布式样本自动化行为分析系统（沙箱）进行行为分析，当判定样本确实为恶意行为时，将联动杀毒系统，对目标进行查杀隔离，确保云上系统安全。

动态安全防御平台实时防御数据展示：

三、安全事件处置

（一）当动态安全防御平台发现攻击IP后，会推送给边界防御设备进行实时封禁，发现主机中毒后，会自动下发杀毒策略给杀毒中心，进行病毒样本的查杀和隔离。

（二）对攻击事件和病毒事件，动态安全防御平台能够产生并下载安全事件分析报告、病毒木马技术分析报告、安全日报、安全周报、安全月报，将安全事件和统计信息以报告的形式进行展现。

数字兵团动态安全防御平台可根据各行业安全领域特点，制定对应的安全场景及安全防护策略，并能够满足不同的自动化安全运营需求。目前，由数字兵团公司承建和运营的数字兵团政务云承载了兵团本级、师市60个部门的500余个业务系统，是兵团唯一通过中央网信办云计算服务安全评估、新疆及兵团本土首个可信云双认证、等保三级等认证的平台。仅2022年上季度，数字兵团政务云就抵御恶意攻击1.7亿次。