北京市政务信息安全监控能力主要包括：网络攻击检测、病毒木马传播检测、僵尸网络检测、网站安全性检测、异常行为检测、海量数据分析、应用系统运行状态检测、异常流量检测。

    检测引擎采用协议分析技术对流经部署节点的所有数据进行重组，采用特征匹配、基于攻击原理的检测机制和基于基线的检测机制等技术，对缓冲区溢出、SQL注入、暴力猜测、DOS攻击、扫描探测、蠕虫病毒、木马后门等各类黑客攻击和恶意流量进行实时检测及报警。通过数据还原分析并结合URL信誉评价技术，实现对用户访问被植入木马恶意网站等危险行为的及时发现、预警。

    采用不同种类病毒检测引擎建立全方位、多层次的病毒木马预警体系，主要对应用层协议中夹带的病毒体和含病毒体的各类邮件或文件，以及这些应用协议中传输的压缩文件和附件进行实时病毒检测，通过超过100万条的检测规则，实现对网络蠕虫、主动式感染病毒、网页脚本病毒、木马、后门工具、间谍软件等主流木马病毒的实时检测报警能力。

    通过全新开发的分布式的网站检测引擎，初步实现对政务网站可用性、完整性和安全性的全方位检测能力。准确记录被监控网站服务提供情况，及时发现网站中断、服务异常等情况。通过网页快照对比、文本对比、源代码对比等方式，全面监控网站页变变化，及时发现恶意篡改等安全事件。采用静态分析和动态模拟技术，智能跟踪最新黑客挂马技术手段，分析网页中出现的多层跳转框架地址，实现对网站挂马的深度检测能力。

    利用行为审计引擎实现网络会话行为的监测和审计能力，采用并行协议分析、实时内容分析和基于状态的内容匹配技术，对数据包、协议及会话关联等要素进行多角度构造识别，完成对网络访问协议进行全面审计记录，通过高效的关键词查询技术可以保证在成千上万的网络记录中定位所要查找的内容，为报警事件辅助分析、事件取证、网络异常行为检测及敏感信息泄露检测提供数据支持。

    通过多层次的动态跟踪监测引擎，实时收集被监测应用系统全面的运行情况，实时监测系统CPU、内存、硬盘等负载信息，统计分析系统运行基线，及时发现系统负载过高、服务异常以及可能遭受的恶意攻击事件，为应用系统正常运行提供技术保障。

    僵尸网络检测系统是采用行为特征统计分析、bot行为仿真及监控等技术，基于响应性和动态性的IRC网络流量检测方式，配合路由黑洞、DNS检测以及蜜罐系统主动收集恶意软件，并将网络行为和主机行为综合分析，从而发现确定僵尸网络信息，为检测和防止僵尸网络、发现攻击来源提供预警支持。

    通过自主开发的监控预警分析平台，采用分布式数据采集引擎和集中数据分析策略，实现海量异构数据的过滤、归并、分析和处理。目前平台日收集报警信息近10万条，通过归并与关联策略，使日均有效告警信息控制在200条左右，大大提高了信息安全事件的分析、检测效率。