1) 情报大数据分析案例
★提供至少 4 个子案例。以 LD、WX、DB 等传统接入手段为数据来源，按照通用的接口标准 进行汇聚融合处理, 形成有序信息, 继而进行数据的深入综合分 析。真实再现完整反侦察业务分析场景。
案例数据来源为情报数据信息库，支持中/英文文本集，包括新闻、 社论、微博等公开数据集，并提供分析案例完整数据信息。 ★提供数据不低于 200，000 条数据。
每个案例均配备相应的案例指导手册，提供详细的案例说明，至 少包含案例背景、案例分析、分析流搭建步骤及说明、结果展示 等模块。
★每个子案均配备教学视频，单个视频时长不低于 3 分钟。 教学视频的内容包括但不限于片头、内容、片尾；提供清晰的教 学解说内容及文字清晰的解说字幕；视频编码要求为：H264 编码， 视频帧率不低于 25fps，分辨率不低于 1920*1080，支持 MP4 格式 导出
实 训 要 求 情 报 信 息 预 处 理 一、实训目标要求： 针对原始数据（情报信息数据）进行预处理，提供数据预处理的 常规步骤和方法，包括从结构化的信息库数据中，提取人物的网 络社交行为和通话行为，分别读取 IP 与地理位置映射表、社交账 号行为记录表、组织机构表等数据，进行数据类型修改，将社交 记录表中登录 IP 与 IP 地址做匹配，数据拆分等操作。 二、实训功能要求： 针对大数据的预处理，提供并行化调度引擎，支持快速读取情报 信息数据的功能。 三、实训关键指标： 1、支持直接读取常用文档格式，包括 excel，txt，json 等； 2、支持对数据类型的修改、重复值、缺失值、异常值的过滤； 3、支持对数据的拆分； 4、支持社交记录表中登录 IP 与映射表中的 IP 地址做匹配。
敏 感 地 域 分 析 一、实训目标要求： 针对来源广、信息量大，干扰因素多，且无法从单一数据格式标 准来判断数据合法性的情报信息数据，提供结合业务模型的数据 预处理方法，包括但不限于 IP 映射等。 二、实训功能要求： 针对特定场景，提供情报信息的敏感地域分析。支持采用社交记
录表中登录 IP 与映射表中的 IP 地址做情报信息的敏感地域分析 匹配，找出当前 IP 地址的地理位置，指定待匹配的地址表，从地 址库中找出 N 个最近似的条目。 三、实训关键指标： 1、支持对案例 1 的输出数据直接进行后续预处理操作（制定地址 匹配规则）； 2、支持指定待匹配的地址表，并支持从地址库中找出 N 个最近似 的条目。
敏 感 地 域 频 繁 项 集 一、实训目标要求： 针对敏感地域分析的结果，提供在情报信息中判断目标是否为可 疑人物的常用方法，支持使用时间分箱、FPGrowth 关联规则、 Apriori 关联规则等算法找出同一天出现在敏感地域的人物。 二、实训功能要求： 提供前序案例输出结果在数据挖掘创新实践平台上的直接应用能 力，支持 FPGrowth 关联规则与 Apriori 关联规则结果的对比评估； 支持实现相关算子的优化与扩展，提供训练模型导入功能。 三、实训关键指标： 1、支持顺序时间分箱、自然时间分箱、数据分箱等处理算子； 2、支持 FPGrowth 关联规则、Apriori 频繁项关联规则、Prefixspan 序列频繁项集等算子的对比评估； 3、支持现有训练模型的导入。
目 标 人 物 关 系 链 分 析 一、实训目标要求： 针对前序案例对关键人物的识别，提供目标关联分析的方法和机 理。包括但不局限于目标人物之间通达路径计算；通达路径的重 要程度（优选排名）分析，路径中的关键节点信息分析，基于图 论找出核心目标等。 二、实训功能要求： 针对情报数据解析结果中具有关联信息的数据进行目标关联分 析，提供图计算功能，支持通联关系分析；提供通联态势解决方 案。 三、实训关键指标： 1、支持将行记录以指定关联列的方式转化为图结构； 2、支持以菜花图的方式呈现目标通联态势，支持分层呈现大数据 量分析结果； 3、支持在展示图上以可视化方式筛选数据，并可以直接在原分析 流上将该数据作为数据源使用； 4、支持以子图的方式对结果数据进行联动分析，实现更进一步的 目标关系判读。

2) 网络数据挖掘与攻击检测综合案例
★提供至少 2 个综合案例。通过文本数据分析预测网络攻击行为，通过大数据的无监督学习， 对网络行为进行归类或聚类操作，从全局结构中发现异常行为。 帮助学生更进一步掌握机器学习在网络安全中的应用。具体案例 如下： 1、基于特征向量分析的网僵尸网络检测：基于 DNS 服务器的域名 访问日志数据，通过探索式的相似性分析、聚类分析和机器学习 算法分析建立 DNS 僵尸网络检测模型。助学生集中学习无监督学 习中的聚类方法的应用和优化； 2、基于决策树模型的洪流攻击检测：利用已训练的决策树模型对 未知的 DNS 数据进行 DDoS 洪流攻击检测。让学员理解和掌握决策 树模型的使用方法。
提供来自域名解析服务器的日志数据，支持公开数据及模拟数据， 支持半结构化的文本数据，并提供分析案例完整数据信息。 ★提供数据不低于 10，0000 条数据。
每个案例提供相应的案例指导手册；每个指导手册提供详细的案 例说明，至少包含案例背景、案例分析、分析流搭建步骤及说明、 结果展示等模块。
★每个案例均配备教学视频，单个视频时长不低于 3 分钟。 教学视频的内容包括但不限于片头、内容、片尾；提供清晰的教 学解说内容及文字清晰的解说字幕；视频编码要求为：H264 编码， 视频帧率不低于 25fps，分辨率不低于 1920*1080，支持 MP4 格式 导出；
实 训 要 求 基 于 特 征 向 量 分 析 的 僵 尸 网 络 检 测 一、实训目标要求： 针对 DNS 服务器的域名访问日志数据，提供 DNS 僵尸网络检测模 型的建立方法。支持通过探索式的相似性分析、聚类分析和机器 学习算法分析检测该被访问域名是僵尸域名的概率，进一步判断 访问主机为僵尸主机的概率。 二、实训功能要求： 支持在数据挖掘创新实践平台上进行算子组合和配置，提供快速 应用各种距离编辑公式和聚类方法的能力，支持同时查看各种聚 类的实际效果，提供大数据全生命周期的搭建流程。 三、实训关键指标： 1、提供便捷的组件结合和配置功能； 2、支持聚类方法的应用和优化； 3、支持 syslog 方式的日志文档格式，支持 log4j 和 slf4j 数据 接口； 4、支持采用 PCA 或 MDS 方法进行数据降维； 5、支持多种相似系数或距离计算公式，包括但不限于欧氏距离、
绝对值距离、切比雪夫距离、闵式距离、马氏距离、兰氏距离、 编辑距离等； 6、支持多种聚类方法，包括但不限于 DBScan，K 均值，AHC，GMM， MeanShift 等； 7、支持在通用地图信息上展示僵尸网络的传播路径； 8、提供基于分类精度、混淆矩阵、F1 分数、平均绝对误差、均 方误差等指标的算法评估算子。
基 于 决 策 树 模 型 的 洪 流 攻 击 检 测 一、实训目标要求： 针对 DNS 服务器的域名访问日志数据，提供决策树模型在 DDoS 洪 流攻击检测中的方法。支持决策树预测模型、决策树训练模型 SVM 模型和随机森林模型等。 二、实训功能要求： 支持在数据挖掘创新实践平台上进行算子组合和配置，提供快速 应用回归、决策树、随机森林等方法的能力，支持同时查看各种 机器学习输出的实际效果；提供大数据全生命周期的搭建流程。 三、实训关键指标： 1、支持顺序时间分箱和数据集分离（支持绝对数分离和比例分 离）； 2、提供决策树模型训练和决策树模型预测； 3、决策树训练模型特征支持连续特征、离散特征和向量特征，建 模方式支持分类和回归； 4、决策树预测模型支持 SVM 数据源和常规数据源（文件、数据库 等）； 5、决策树预测模型支持导出到 HDFS 上，以及从 HDFS 上进行加载； 6、提供基于分类精度、混淆矩阵、F1 分数、平均绝对误差、均 方误差等指标的算法评估算子； 7、支持 SVM 和随机森林的探索性分析，对比同样数据下的分析结 果。