天眼防护系统产品系统

立项原因

本内网通信安全防护系统立项核心，旨在解决内网环境缺乏实时化、可视化安全监测手段，面对外部恶意IP攻击、内网恶意程序跨设备传播的防控短板问题。当前内网易因单台设备感染蠕虫、木马等程序，引发恶意程序对内网全量存活IP及设备扫描探测，利用设备漏洞快速扩散造成大面积沦陷，且攻击发生时难以及时定位高危IP、无法快速处置，形成内网安全防控盲区，为此搭建针对性防护系统，实现风险早识别、早处置，保障内网通信及设备安全。

行业问题

核心解决三大行业核心问题，一是内网无实时监测能力，无法对通信数据全量感知，攻击行为难以及时发现；二是恶意程序易跨设备传播，单设备沦陷即引发内网连锁安全风险，缺乏传播阻断前置防控能力；三是攻击定位与处置低效，无可视化风险呈现，高危IP、异常端口等风险点难快速甄别，处置手段单一，无法灵活适配不同攻击场景的防控需求。行业场景&业务背景

广泛适用于政企单位、科研机构、涉密场所等对内网安全性要求较高的场景，此类场景内网设备密集、数据交互频繁，一旦遭遇攻击易造成核心数据泄露、业务系统瘫痪。在业务运行中，内网既要保障设备间正常通信，又需防范外部入侵、内部设备沦陷后的扩散风险，传统防护手段多以被动防御为主，缺乏全流程数据监测、智能聚合分析及可视化管控能力，难以适配动态化的攻击场景，亟需一套集实时监测、智能告警、灵活处置于一体的防护体系，筑牢内网安全防线。

本系统核心实现内网通信数据实时监测与防控大屏可视化展示，可精准识别高危IP并呈现源IP、目的IP、设备、端口及协议等各类告警TOP5信息。支持对告警IP快速处置，提供丢弃、桥接等基础防控策略，可拓展远程镜像、远程重定向等进阶策略，能分析攻击模式或依托蜜罐捕获攻击行为。通过多Flink作业协同与集群部署，保障数据处理高效稳定，助力管理人员及时处置风险，全面守护内网通信安全。

核心负责防控大屏实时展示告警模块，基于Flink集群多Job协同处理核心流程，完成原始五元组日志转对象、落库、分类聚合及融合日志生成与转发，同步实现数据在MySQL存储、Redis实时统计缓存，按规范输出前端大屏所需各类告警数据；支撑告警IP多策略处置与进阶策略规划，保障模块高效稳定运行，助力内网安全风险可视化监测与快速处置。