序号

指标项

指标要求

1

硬件参数

单节点总容量不低于192TB，硬件平台（标准式设备/2*海光处理器/内存不低于192G/NVMe不低于1*960GB/SSD 不低于2*960GB ）操作系统麒麟或统信

设备配置至少8个10G光接口（满配SPF模块），12个1G电接口（可采用光转电模块）；
设备流量捕获存储处理性能至少10Gbps

2

流量采集

具备长期实时捕获并保存网络中的通讯数据包的功能。单节点流量捕获存储处理性能不低于10Gbps
支持100%精准可靠的网络流量数据包采集、记录。默认支持不低于2个万兆采集接口。
支持纳秒级的数据包记录与解码，支持数据包保序，提供NTP时间戳
具备捕获过滤功能，可以在捕获数据包时根据条件过滤捕获，包括但不限于IP地址、地址段、通讯协议、TCP/UDP端口、VLANID等条件、或BPF语法条件过滤捕获
并发流性能不低于2400万； 新建流性能不低于5万每秒
支持IPv6协议识别及分析

3

数据包存储

"数据留存规则可根据配置，支持使用BPF语法进行配置，留存规则至少包括以下类型：
1、BPF语法支持的类型，包含IP、IP网段、MAC地址、端口、传输层协议、vlan等
2、按应用层进行配置，支持应用、应用子分类、应用分类进行多级配置是否存储、是否截断存储。"
支持数据包加密存储
"对称加密算法：
支持AES(128,192,256)对称加密算法，支持CBC、ECB加密格式
支持SM4国密算法加密，支持CBC、ECB加密模式
每个记录文件使用不同的工作密钥进行对称加密，工作密钥需由公钥算法经过计算得到"
数据包支持压缩存储
"压缩算法：
支持LZ4软件压缩"
数据包存储支持自动覆盖循环写入
数据包存储永久零碎片，无空间浪费，不会造成写放大

4

协议识别

支持应用层协议识别，不低于20种应用分类，1100种应用层协议
支持标准协议解析，解析字段不少于300个，支持向第三方大数据平台外发
单节点支持5万EPS的流日志和元数据解析性能
支持长连接会话的识别、存储、分析
支持业务不中断，离线导入的方式更新应用协议识别SA规则库
支持用户自定义应用，可指定分类、子分类、应用、应用层协议，并为自定义应用配置规则，规则支持IP地址/掩码、端口段、传输层协议、签名类型（ASCII、16进制）、签名偏移、签名内容等
支持导入SSL证书解码HTTPS报文生成HTTP协议详单（采用DH算法的除外）
提供解码非标准端口的标准协议，如HTTP、FTP、SSL、POP3、IMAP4、SMTP、MySQL、PostgreSQL等

5

数据包检索性能

对历史数据按照时间段+源目的IP地址、源目的端口、vlanID/应用ID等五元组及应用条件进行查询，检索性能不低于100TB/s

6

IP归属地识别

支持业务不中断，离线导入的方式更新IP归属地识别地区库
支持用户自定义地区，可为自定义地区配置IP地址和经纬度信息

7

安全分析

支持在线数据包分析，兼容wireshark使用习惯，分析结果支持导出CSV或Excel格式
具备GeoIP功能，能够显示Internet IP的区域归属，包括IP地址所属的国家和地区，可以根据国家和地区进行IP地址检索分析
支持流日志索引检索历史会话，并关联历史数据包
支持离线导入威胁情报数据（域名、IP、JA3情报）
支持周期外联、非标协议、可疑域名、IP情报、RDP/SSH爆破等场景化分析功能
支持自定义场景化分析任务
支持挖矿、木马、僵尸网络、蠕虫等网络攻击的检测
支持检测规则的导入、修改和删除，支持基于ATT&CK的战术分类和技术分类
支持历史流量的IOC匹配及0day漏洞的分析溯源
支持安全告警关联到元数据、流日志和原始流量
安全告警支持外发到第三方设备

支持实时流量的IOC匹配，包括IP、域名、文件hash、证书指纹等IOC类型

8

网络和业务分析

支持将1到n个物理接口配置为一个网络，按照网络维度对接收的流量进行统计分析；
支持通过IP地址、MAC地址、VLAN ID、MPLS标签、GRE隧道、VXLAN VNI等信息配置逻辑子网，按照配置的逻辑子网维度对流量进行统计分析；
支持针对网络设置是否生成会话详单、单包会话是否生成会话详单、是否生成七层协议详单、是否区分VLAN创建会话、以及流量统计是否包含帧间隙和前导码；
支持按照整机，所有网络的维度呈现流量趋势和会话新建、销毁、并发、活跃趋势；
支持通过系统预定义的应用或用户自定义的应用定义业务，按照业务维度对网络下接收的流量进行统计分析。
支持网络、逻辑子网的统计分析，支持IP间访问关系图，呈现IP节点间的通讯流量、新建会话等信息，并可直接点击下钻到会话详单、流量分析、数据包等页面做进一步的分析。
网络、逻辑子网、业务、离线文件的统计分析，支持负载量、性能、TCP指标的统计分析，分析页面支持快速下钻到会话详单、数据包、重传分析、建连分析、流量分析等详单页面；
支持通过鼠标扩选的方式，快速在统计趋势图中直接调整需要查询的时间范围；
支持直接在统计趋势图中，以特殊颜色直观标记出流量已经不存在的时间区间；
性能、TCP指标分析支持按照内网服务、外网服务的维度进行统计分析；
重传分析、建连分析，支持按照内网服务、外网服务的维度进行TOP统计分析；"
"网络、逻辑子网、业务、离线文件的统计分析，支持流量分析，能够按照地区、应用、七层协议、端口、IP地址组、MAC地址、IP地址、IP会话等维度进行关联分析，呈现多种组合维度下的字节数、包数、客户端/服务器网络时延、服务器响应时延、TCP建连成功数、TCP建连失败数、TCP客户端/服务器重传包数、TCP同步包数、TCP同步确认包数、TCP同步重置包数、客户端/服务端零窗口包数等关键指标数据，支持按照不同的指标排序并呈现选择排序指标的TOP10趋势情况；能够快速通过选择条件或维度下钻到会话详单和数据包页面；
呈现的表格数据，直接点击字段快速设置过滤条件进行进一步的筛选，过滤条件可保存，下次直接使用；
表格数据支持呈现的列定制，以及字段顺序的鼠标拖拽快速调整;
网络、逻辑子网、业务的统计分析，支持七层协议分析，支持HTTP详单、HTTP分析、DNS详单、FTP详单、MAIL详单、TELNET详单、SSL详单、SSH详单、Mysql详单、PostgreSQL详单、TNS（Oracle）详单、ICMP详单、SOCKS5详单、DHCP/DHCPv6详单、DHCP/DHCPv6分析、TDS（SQLServer）详单、ARP详单、OSPF详单等协议详单分析；
七层协议详单可以直接跳转到关联的会话详单，并进一步下钻到数据包页面进行深度分析。

网络、逻辑子网、业务的统计分析，支持数据包即时查询，能够直观的呈现数据包的时间戳、源/目的IP、源/目的端口、传输层协议、TCPFLAGS、VLANID、字节数、应用、七层协议、源/目的MAC、IP归属地区等摘要信息；
能够按照用户指定的查询条件统计IP、端口、MAC、VLAN、国家、省份、城市、应用、传输层协议、应用层协议TOP分布情况；
除条件查询外，支持BPF语法即时查询数据包；
查询数据包的结果可直接下载、转全流量查询任务或在线进行分析；
TOP分布数据及表格数据，支持直接点击字段快速设置过滤条件进行进一步的数据包筛选，过滤条件可保存，下次直接使用。

9

离线分析功能

支持PCAP、PCAPNG格式的离线文件导入分析

离线文件分析结果支持流量分析、负载量分析、各项时延分析、TCP指标、TCP重传分析、建连分析、各类应用协议详单解析、会话详单解析
离线文件流量分析支持地区、应用、应用协议、端口、IP地址组、MAC地址、IP地址、IP会话等各个维度统计分析
支持外挂存储导入离线分析文件
支持一个分析任务同时导入多个分析文件（不同文件的数据包支持时间重叠）

支持离线文件分析数据落盘，可从分析任务再按条件导出指定数据包或回放数据包

10

统一集中管理

支持多台数据节点分布式部署，通过统一管理平台将多台设备的数据聚合统计功能，集中展示功能。在监控平台上可以添加多台设备，并可以集中展现分布式部署的各个数据节点所采集、分析的各项指标参数和报警信息。
支持集中管理软件统一对所有设备进集中管理，包括：
1）各设备的配置管理、运行状态监控
2）通过集中管理软件快速免登录进入到所管理的下级设备，进行单一设备的管理
3）支持监控数据分权，不同权限的用户只能查看自己拥有权限的网络数据，权限外的数据无法查询
4）支持集中进行并发的全流量查询，各数据节点的查询结果可集中上报
5）支持所有探针设备集中进行升级管理、License导入"
展示项包括：
1）展示各探针设备的链路实时流量图
2）展示各探针设备流量趋势图，及网络和应用性能的详细统计参数
3）展示各探针设备报警信息
4）将多个设备上的网络配置为网络组，按照网络组的维度聚合呈现网络性能指标、业务性能指标的分析数据"
报表要求：支持用户自定义报表，按用户配置灵活/定时输出报表数据，并可通过邮箱直接发送

11

数据共享

结构化数据共享：
1、协议元数据,协议包括HTTP、DNS、FTP、POP3、SMTP、IMAP、TELNET、SSL、SSH、Mysql、PostgreSQL、TNS（Oracle）、ICMP、SOCKS5、DHCP/DHCPv6、TDS（SQLServer）、ARP、OSPF，元数据字段总计不低于300种
2、流日志，包括五元组、协议、应用、GeoIP、上下行包数字节数统计、重传时延等统计，总计不低于60种字段
结构化数据可通过kafka、ZMQ消息总线订阅
支持原始流量回放，可灵活选择需回放的数据包，回放条件支持起止时间、采集接口、BPF语法过滤规则、基于报文内容匹配、基于流的六元组、MAC地址、应用、协议、归属地等过滤规则

支持原始流量加速回放，提高分析效率，可按照接口速度或包处理速度进行设置，最高10Gbps或2Mpps

原始流量回放，支持GRE、VXLAN封装。

12

日志上报

免费提供接口与本项目的安全管理平台对接，上报安全事件日志