《网络投资理财类诈骗预警服务项目需求说明.docx》由会员分享,可在线阅读,更多相关《网络投资理财类诈骗预警服务项目需求说明.docx(15页珍藏版)》请在三一办公上搜索。
1、网络投资理财类诈骗预警服务项目需求说明序号服务名称子系统名称模块名称功能描述1涉网新型案件预警反诈综合研判服务大数据多维研判子系统域名溯源子系统域名为线索,可查询域名的基础信息、解析内容相关数据、关联域名、关联恶意网址等用于发现访问涉案域名的相关嫌疑人设备。(1)支持以涉案域名为线索查询域名属性信息,包括ICP备案、网站名称、注册时间、过期时间、注册邮箱、注册者等信息,并标注域名标签、威胁值、置信度等安全属性信息。(2)支持基于域名为线索的案件溯源扩线引导,以涉案域名为线索扩线查询域名解析、关联域名、关联恶意网址、关联终端等信息,便于案件进一步研判分析。2大数据多维研判子系统IP溯源子系统以I
2、P为线索,可查询IP地址的基础信息(包括ISP备案、代理类型、开放端口等信息,并标注IP标签、威胁值、置信度等)安全属性信息。基于域名为线索的案件溯源扩线引导,以涉案IP为线索查询IP反向解析域名、关联恶意网址、传播源头文件、关联使用终端等信息。3大数据多维研判子系统APK溯源子系统以APK文件为线索,可发现APK的基础信息、通联域名、下载链数据、APK权限清单及风险等级、涉案敏感词。主要用于发现涉案APK使用的网络资源、文件特征值用用于进一步进行研判。支持基于静态解析特征、动态分析APK应用程序,提供包名、版本号、证书MD5、图标MD5APK运行截图等基础信息,并标注APK标签、威胁值、置信
3、度等安全属性信息。涉案APK使用的网络资源可通过本子系统的域名溯源和IP溯源进行进一步分析,也可通过公安机关其它业务系统进行案件串并;支持以涉案APK为线索查询APK通联域名、同源APK、SDK服务商、下载链数据、APK权限清单及敏感词等信息,便于案件进一步研判分析。4终端画像子系统搜索入口搜索框提示“请输入终端码,例如:91aca788caf028dfc0cb42cb6d9”5终端画像子系统结果展小按照输入终端码显示以下信息:终端文件清单、终端软件清单、域名访问行为、历史IP、网络行为、文件下载行为、进程信息、出口路由。6终端画像子系统关联扩线其他模块查询到的终端码可跳转至终端画像模块;终端
4、画像中查询到的域名、ip、mid、MD5都可以进行跳转查询;查询到的ROUtejnIaC地址可跳转至“团伙发现-基于路由发现”,是否可查询以团伙发现模块的授权判断;支持对虚拟身份进行跳转马甲追踪模块进行查询。7马甲追踪子系统QQ追踪输入QQ号,可关联出登录过此QQ号的终端的信息,包括终端码、IP地址、IP所属位置和时间。通过输入的QQ号,追踪到登陆过此QQ号的终端等信息;通过终端码可扩线至终端画像模块进行下一步案件分析。8马甲追踪子系统微信追踪用户输入微信号,可关联出登录过此微信号的终端的信息,包括终端码、IP地址、IP所属位置和时间。通过输入的微信号,追踪到登陆过此微信号的终端等信息;通过终
5、端码可扩线至终端画像模块进行下一步案件分析。9马甲追踪子系统其它虚拟身份追踪用户通过选择其它虚拟身份类型(账号、邮箱、用户ID、昵称、快递单号、订单号)并输入对应的虚拟身份,可关联出登录过此虚拟身份的终端的信息,包括终端码、IP地址、IP所属位置和时间;通过终端码可扩线至终端画像模块进行下一步案件分析。10团伙发现子系统终端发现通过嫌疑人设备终端码发现更多同源设备,并对设备进行刻画,分析设备对应团伙身份。11团伙发现子系统一终端发现搜索入口搜索框提示“请输入终端码,例如:66b6055bf09fc872e744a3e8854e”12团伙发现子系统-终端发现结果展示输入终端码后,自动查询路由ma
6、c并显示此路由地址相关的终端码清单,终端码清单中展示如下信息“终端码”、“IP地址”、“IP归属地”(可筛选)、“路由mac”和“时间”;同时系统将基于输入的终端码生成团伙图分析,图分析中各节点展示内容如下:终端码节点展示内容:终端码、CPU核数、硬盘、系统盘、IE版本、网吧、服务器系统、集群类型、操作系统版本等基本信息;MAC节点展示内容:mac地址。IP节点展示内容:ip的基本信息,包括威胁值、isp、管理者、自制系统类型、使用类型、代理类型13团伙发现子系统一终端发现关联扩线“基于终端发现”中查询到的ip、mid都可以进行跳转查询。14团伙发现子系统路由发现通过案件研判中发现的路由mac
7、信息,发现更多访问过该路由mac的设备,进行同网络环境设备分析,对设备进行刻画,分析设备对应团伙身份。15团伙发现子系统-路由发现搜索入口搜索框提示“请输入路由mac地址,例如:00-fl-f3T7-a3-26”;16团伙发现子系统一路由发现结果展示输入路由mac地址后,自动查询路由mac并显示此路由地址相关的终端码清单,终端码清单中展示如下信息“终端码”、“IP地址”、“IP归属地”(可筛选)、“路由mac”和“时间”;同时系统将基于输入的终端码生成团伙图分析,图分析中各节点展示内容如下:终端码节点展示内容:终端码、CPU核数、硬盘、系统盘、IE版本、网吧、服务器系统、集群类型、操作系统版本
8、等基本信息MAC节点展示内容:mac地址IP节点展示内容:ip的基本信息,包括威胁值、isp、管理者、自制系统类型、使用类型、代理类型17团伙发现子系统一路由发现关联扩线“基于终端发现”中查询到的ip、mid都可以进行跳转查询。“终端画像”的“出口路由”模块下“RouteJmaC地址”可跳转至当前子系统。18团伙发现子系统文件发现通过案件侦办过程中发现的涉案文件特征值,发现更多存在同样文件特征值的设备,并对设备进行刻画,分析设备对应团伙身份。19团伙发现子系统一文件发现搜索入搜索框提示“请输入文件Ind5、shalsha256,例如:6bddc6b6055bf09fc872e744a3e885
9、4e”20团伙发现子系统一文件发现结果展示输入文件hash码后,存在此文件的终端码清单,终端码清单中展示如下信息“终端码”、“IP地址”、“IP归属地”(可筛选)和“时间”;21团伙发现子系统一文件发现关联扩线“基于文件团伙发现”中查询到的ip、mid都可以进行跳转查询。其他模块下的“文件hash”都可跳转至当前子系统。22案件管理子系统案件管理针对现有输入案件进行统一管理,包括所有历史案件研判数据统一汇聚23案件管账号审针对所有账号的研判过程数据进行保存、溯源理子系统计审计24案件管理子系统案件协查案件协查服务团队有多个安全领域的技术专家团队,具备业界领先技术能力,覆盖黑白样本分析、木马病毒
10、分析、botnet追踪研判、漏洞挖掘、网络钓鱼线索分析、DDOS攻击分析、APT攻击发现和溯源等方面。特别在黑灰产案件研究中心,拥有多名经验丰富的案件专家,覆盖网络钓鱼线索分析、黑客勒索溯源、黑灰产链研判、电信网络诈骗协查等服务,协助侦破多起网络相关要案。25数据服务PC端数据,月活覆盖5.5亿+终端设备,覆盖市场90%占有率;累计处理超过2EB实时网络安全数据库,包括50000亿条存活网址库、90亿条域名信息库、22万亿条程序行为日志库。在C端特征数据占有率部高达97%;为支撑该数据服务,每天均处理20000亿条日志数据;实时更新数据100万/年26协查服务服务期内提供专案支撑服务,包括省部
11、督、百万案件、交办案件等服务27大数据嫌疑线索情报分析平台数据接入数据接入对来自移动互联网、重点网站、恶意APP、用户举报、用户标记、以及公安业务工作的非标准数据需要进行格式转换,将非标准数据转化为标准数据进入大数据嫌疑线索情报分析平台。大数据嫌疑线索情报分析平台根据数据标准对数据进行检查,数据格式转化、异常数据清洗,数据运维与统计(按照不同的数据类型进行统计,包含正确数据量、分类错误数据量等),采用元数据、格转策略、校验策略设计,数据接入平台具有灵活性、通用性、扩展性。主要工作包括:(1)数据传输、质量校验等标准制定制定数据封装形式、数据结构、数据类型、引用字典等数据传输和质量校验的标准,为
12、后续工作提供基本依据(2)样本分析、质量分析采集数据样本,对样本数据的结构、字段内容语义、数据统计规律、字段合规性等内容进行分析,为数据标准化、数据对象提取策略、数据归一策略等工作提供必要的支撑(3)数据标准化根据数据样本分析和质量分析的结果,制定预处理策略,主要包括数据清洗、格式校验、格式转换等数据标准化策略(4)数据对象提取策略根据数据样本分析和质量分析的结果,制定对象档案、对象关系的提取策略以及和其他来源数据对象化结果的归并策略(5)数据归一化策略根据数据样本分析和质量分析的结果,制定归一化策略,并与其他来源数据的归一化策略融合,扩展归一化场景,完善归一化权重计算等算法,提升对象归一化结
13、果的质量28预处理数据预处理PC终端、移动互联网用户数据、重点网站数据、举报数据以及公安业务工作数据进入预处理层,预处理层对采集的公安大数据进行统一流式预处理,使得不同来源的数据格式相对统一、关联标识清楚,在一定程度上减少后续数据存储处理量,方便更为复杂的业务处理,为公安业务中日常管理、落地调查、分析关联、区域管控、线索挖掘、情报发现和预警等提供必要支撑。预处理采用动态、可配置、可扩展的开放式架构,支持任务动态可编排。建立预处理数据流和控制流的统一协同机制,实现数据生命周期的统一编址管理,确保数据的完整性、一致性。建立数据缓存机制,能够处理瞬时高峰数据,避免数据丢失。预处理服务器按照信息提取、
14、数据清洗、数据关联、数据比对、数据标识五步,将每条接入数据与人、地、物、事、组织(关系)、行为等实时关联和标识。29数据提取数据提取主要包括网页信息提取、全文数据结构化提取,利于数据长期存储和使用。30数据清洗数据清洗包括垃圾信息过滤、数据去重和格式清洗,提高数据的价值密度。垃圾信息过滤主要采取样本分析和内容过滤等方式,对垃圾信息进行辨别和分离。31数据关联数据关联将网民上网数据与接入认证数据、IP地址备案信息、上网场所备案信息、基站信息等公安基础数据进行关联,主要包括认证数据关联、地理位置信息关联、用户实名信息关联等。32数据比对数据比对包括结构化比对、关键词比对、二进制比对、文件特征比对,
15、满足线索发现、触网报警等业务需要。结构化比对:通过对线索(如网络身份、身份证件号码)的比对,在海量日志数据中命中发现线索相关信息。关键词比对:通过对关键词及关键词组合的比对,在海量全文数据中命中发现关键词相关信息。二进制比对:通过对二进制文件(如文档文件、图片文件)的比对,在数据中命中发现二进制文件相关信息。文件特征比对:通过对文件特征的比对,在数据中命中发现文件特征相关信33数据标识数据标识依托基础资源库和基础知识库,对数据进行语言、区域、位置、业务等属性标识,为上层应用提供支撑。数据标识分为通用标识和业务标识,通用标识是数据自身所蕴含的特定含义的显性化,通常由数据的自身定义或由预处理关联、
16、比对结果等来确定;业务标识是根据不同的知识库形成具有明确业务含义的标签,对数据进行业务标识,支撑业务资源库的形成及模型分析。34业务预处理经过数据预处理之后,业务预处理对数据进行二次处理,丰富数据标签用于业务分类,提高数据关联率,为大数据嫌疑线索情报分析平台各业务系统提供可视化规则配置、接口化规则管理、数据缓存、数据比对、数据打标(数据流式打标、数据异步打标)、数据关联、数据抽取及分流、数据回溯、模型处理、可信度效验。数据打标为业务预处理的重要功能,数据打标基于业务应用对数据添加业务标识,如涉诈业务需求的涉诈人员、涉诈手机号、涉诈网站、涉诈网络应用、涉诈关键词、涉诈敏感地域等标识,涉诈业务需求
17、的涉诈人员、涉诈手机号、涉诈网络应用、涉诈网站、涉诈群组等标识。35对象化预处理对象化预处理将每条接入数据与人、地、物、事、组织等实时提取形成基本对象化数据,为对象化分析提供支撑。36数据中心数据中心数据中心包括存储中心和计算与分析中心,存储中心负责存储数据资源,包括基础资源库、基础知识库、对象库、业务知识库、业务资源库、业务实体库、索引等,计算与分析中心负责按人、地、物、事、组织进行对象数据的合并、归一和对象数据分析。基础资源库是综合公安各种数据资源、对各项业务工作都具有支撑作用的公共数据集合,可以脱离任何业务而独立存在,也与每一项业务相关。基础资源库数据也是人、地、物、事、组织(关系)、行
18、为等对象化数据的来源。37应用支撑应用支撑应用支撑是大数据嫌疑线索情报分析平台中业务层的核心部分,用于支撑运行在其上的业务系统。应用支撑向上对接各业务系统,提供统一的综合查询、互联查询、互联布控、统计服务、权限管理、报警服务、元数据管理服务、任务管理服务、缓存服务、异常服务、日志管理和消息服务;向下对接数据中心,为业务系统提供统一的支撑平台、统一的业务服务,屏蔽业务系统与数据中心的直接关系,数据中心的变化对业务不会有影响。另外,还提供数据自提取策略配置、应用对外服务接口注册、系统初始化组件及公共组件包功能。其中系统初始化组件是应用支撑平台的初始化入口;公共组件包为应用支撑平台各组件及业务系统提
19、供公共组件支持,包括工具包、资源调度、实体转换组件(业务实体转元数据实体)、通用组件(如Tree、Node、Table封装等)38系统应用电话断预警基于用户电话端和网络端行为的综合预警模式。主要预警原因包括:用户执行了呼叫转移、用户频繁接到国际来电、用户在接到电话后安装了APP039反诈预警中心网络端预警基于用户网络端行为的预警模型。不仅仅依据用户安装了特定的APP进行预警,还根据用户的网络行为步骤进行预警。例如,某人被“新城国际APP”诈骗,但他绝不是凭空安装该APP的,一定是有何种渠道被人诱导安装。所以,我们找出来该人安装“新城国际APP”之前,以及被诈骗之前的所有网络行为去定义模型。找到
20、所有和该人有类似网络行为的人进行预警。40数据服务移动端数据,全国总计覆盖10亿+终端设备,覆盖市场70%占有率;实时监测XX境内设备量在500万左右,具有网络端、电话端高风险行为,预警数据每日输出在1600条价值线索左右,月预警数据输出在50000条,年预警数据总量在60万条左右41AI止付RPA机器人服快捷部署安装快捷部署安装实现通过“一键部署安装”的方式完成平台运行环境和软件系统的部署42账号密账号密实现通过账号密码登录使用平台管理端页面务码登录码登录43任务管理创建任务支持以“任务”的形式通过模板导入的方式按批次划分导入银行卡止付信息;支持对上传的批量导入文件检测填充内容是否异常或重复
21、,以协助人员校对上传的封堵信息降低出错概率44任务管理任务详情支持展示当前选定“任务”的详细信息,包括提交状态、识别状态、银行卡持续封堵情况及解除封堵情况、识别失败情况45机器人列表机器人列表概览以列表的方式展示各个节点的IP、角色、工作量、状态、过期时间属性46机器人列表机器人编辑通过机器人编辑功能,可以对机器人进行参数配置、角色变更等操作47止付列表止付列表概览以列表的方式展示平台中止付和解封的任务,提供各种条件的检索便于数据查询。列表展示的相关字段有:银行卡号、提交状态、身份证、下次提交时间、结束封堵时间、识别状态48止付列表止付任务导入提供止付任务模板,让用户根据模板导入需要止付的数据
22、,快捷批量生成止付任务49止付列表解封任务导入提供解封任务模板,让用户根据模板导入需要解封的数据,快捷批量停止止付任务50止付列表归属行修改提供快捷批量导入归属行的入口,使识别失败的银行卡可以在修改归属行信息后被再次识别51止付列表记录导出平台提供数据导出功能,可以根据数据筛选条件进行止付数据的导出,方便用户进行数据跟踪、核验等操作52止付列运行日以日历的形式对止付的银行卡数据进行展示,表历能够清晰直观的看到每个银行卡的实时动态53统计概览统计概览提供统计概览页面,通过面板可以直观看到止付的各种指标:今日待止付数量、今日止付成功数量、今日止付完成率、历史止付数量、识别失败数量、历史止付成功率5
23、4统计概览AI机器人状态总览以拓扑图的形式展示机器人的实时状态,能有效的监控到机器人的IP、状态、过期时间等55统计概览止付概览支持展示止付机器人平台的封堵情况、提交状态、识别状态,以图表形式展示新增止付卡趋势、卡冻结执行情况,列表展示派出所止付数量排行56AI助手自动滚动止付针对市局分配的资金流预警,AI助手可根据事主账户信息进行自动生成止付函,无需人工手动录入数据,解决以往由人工线下填写止付函、生成止付函时存在的工作量大的问题;同时由千树AI助手自动提交止付申请至部平台,提高以往由人工上传至部平台的工作效率。资金自动止付有效期为30天(自动续期),无需反复人工手动导入数据,解决资金预警预后
24、被骗的问题,同时也能完成公安部对预后被骗的考核任务。57AI助手自动审核针对指定姓名提交的资金流止付申请,Al助手可自动进行审核,实现自动止付与续冻,提高以往人工审核的工作效率;针对未指定姓名的资金流止付申请,则由人工进行审核。58AI助手止付状态同步实现自动同步部平台中本区县范围内的所有止付结果至本地,实现部平台止付情况的快速感知,直观展示本区县内当前所有止付情况。59Al助手止付银行反馈Al助手自动获取银行反馈,通过不同银行的各种反馈,有效的进行相对应的止付策略60部署及培训服务部署及培训服务本服务需部署至公安局反诈中心现有电脑,需要部署人员到现场完成安装部署、调试、运行及培训;项目中涉及4路止付机器人部署,平均每路机器人部署需要耗费2人天工时61人工咨询及保障服务人工咨询及保障服务因平台需保证可用性,助力止付任务在预警下发8小时内处置完毕,因此厂商需提供专人对接7*24小时人工咨询及保障服务,需保证在接到我单位报障通知后30分钟内响应,对于提出的问题2小时内予以答复,对于平台故障4小时内完成处置;此外厂商还需对平台进行适度更新以保证平台的稳定性及业务适用性
