网络安全界靠谱小编要正经地上班了。咳咳，今天小编要讲的是：

　　【情报系统网络安全】

　　一、背景

　　当前网络空间安全形势非常复杂，入侵手段不断攀升，比如匿名网络(The Onion Router简称Tor)、网络跳板、僵尸网络(Botnet)、恶意URL地址等方式在网络攻击者大量使用，发现困难、追踪更难，这些都攻击手段的出现带来了新的挑战。

　　所谓威胁情报系统就是在网络空间里，找出网络威胁(各种网络攻击)的直接或间接证据，这些证据就隐藏在大量威胁源中，系统会在海量数据中甄别出你感兴趣的内容，要理解威胁情报系统所做的工作还必须对攻击事件有所了解。

　　二、攻击事件分析

　　网络中没有单纯的攻击事件，很多网络攻击由一系列事件所组成，通常为有序的或相互依赖的多个步骤，通常大家只会关注某一个事件，很难从全局上看问题。

　　就以“快递行业频发信息泄露事件”为例，如果孤立的看，大家可能只关注到其中的内鬼导致的信息泄露，而忽略了其他至关重要的细节。若放到网络安全防护体系当中去看，马上能得出除了缺少数据库审计系统，还缺少一套完整的网络安全威胁情报系统和必要的内网异常检测系统。

　　三、安全威胁情报

　　安全威胁情报(Security Threat Intelligence)，它是网络安全机构为了共同应对APT(Advanced Persistent Threat高级持续性威胁)攻击，而逐渐兴起的一项热门技术，它实际上是我们从安全服务厂商、防病毒厂商、和安全组织得到安全预警通告、漏洞通告、威胁通告等。

　　图0 纽盾网络威胁发现系统

　　纽盾网络威胁发现系统能够及时发现传统的随机病毒、木马感染及网络攻击，到近来的利用社交工程、各种漏洞以及高级逃逸技术( AET)发起的有针对性的 APT 攻击等网络威胁。

　　纽盾网络威胁发现系统在当今复杂多变的情况下，主要包括大数据关联分析、安全态势感知、全局协同防护、云安全即服务四个方面。能够对网络行为进行高效检测，任何想利用钓鱼邮件、恶意漏洞扫描和程序攻击、SSH暴力破解、地域欺骗、SQL注入、DDOS攻击等行为都可检测得到。

　　而且有自己独有的一套检测方法通过基因比对，可以轻易的识别出恶意代码变种，并且检测的时间粒度在毫秒级别。

　　四、技术框架

　　威胁情报系统的技术框架如图1所示，从图中可看出它包含了内部威胁和外部威胁两个方面的共享和利用。

　　图1 威胁情报系统总体框架

　　外部威胁情报主要来自互联网已公开的情报源，及各种订阅的安全信息，漏洞信息、合作交换情报信息、购买的商业公司的情报信息。公开的信息包含了安全态势信息、安全事件信息、各种网络安全预警信息、网络监控数据分析结果、IP地址信誉等。在威胁情报系统中能够提供潜在的恶意IP地址库，包括恶意主机、垃圾邮件发送源头与其他威胁，还可以将事件与网络数据与系统漏洞关联，全球IP信誉显示如图2所示。

　　图2 全球IP信誉显示

　　在图1中显示的合作交换的信息主要来自安全厂商的固定客户可将客户上报的威胁汇聚为一个威胁数据库在云端共享，其他客户可以共享这些情报，好处是，只要有一个客户在内网中发现了某种威胁，并上报便可通过网络立即跟其他客户分享。

　　只要在系统中发现可疑IP，立即通过威胁系统里的IP信誉数据库能够发现到该恶意IP的信息，详情如图3所示。

　　图3 通过IP信誉查询的恶意IP的情报信息

　　内部威胁情报是相对容易获取的，因为大量的攻击来自网络内部，内部威胁情报源主要是指网络基础设施自身的安全检测防护系统所形成的威胁数据信息，有来自基础安全检测系统的也有来自SIEM系统的数据。企业内部运维人员主要通过收集资产信息、流量和异常流量信息、漏洞扫描信息、HIDS/NIDS信息、日志分析信息以及各种合规报表统计信息。

　　五、威胁情报系统的选择

　　与其他IT系统发展相比，网络威胁情报系统发展还处于初级阶段，但这个领域的主导厂商以国外的为主，包括FireEye、Cyveilance、IBM X-Force Exchange、LogRhythm、VeriSign、AlienVault;国内的360威胁情报中心和微步在线Threatbook，除此之外我们纽盾也在致力于网络威胁发现系统。从2015年刚起步，离一个完整、成熟的威胁情报平台还有一段路要走。如果您是正在关注威胁情报的企业，不要盲目加入威胁情报的行列，不要被销售人员夸夸其谈所吸引，还是要理性的看待问题。我认为前期首先利用开源软件来实现情报威胁系统，而这种功能的开源工具非OSSIM莫属，该系统中OTX所提供的功能可满足威胁情报系统的要求。

　　六、威胁情报利用

　　说道威胁情报所发挥的作用，再接着看看APT攻击事件威胁情报利用。通常，APT攻击事件很可能持续很长时间，它在OSSIM系统中反映出来的是一组可观测到的事件序列，这些攻击事件显示出了多台攻击主机的协同活动，如图4所示，显示出在攻击检测中的价值。

　　图4 一组网络攻击图

　　与刑事犯罪取证类似，网络安全分析人员需要综合各种不同的证据，以查清互联网全球性攻击现象的根本原因。这种工作，往往很枯燥，非常需要耐心，在网上很难根据关键词来获取答案，主要依靠分析师的专业技能，它涉及攻击事件的若干不同维度的特征。

　　对上述攻击，显示了9条关联出来的安全事件，如图5所示。

　　图5 关联出的事件

　　攻击图和告警关联工具可以结合在一起进行评估，告警关联关系工具可以把特殊的、多步攻击的零散报警，合理的组合在一起，以便把攻击者的策略和意图清晰的告诉安全分析人员。

　　七 总结

　　本文主要通过实例例举介绍了个人对威胁情报系统的理解、威胁情报的分类及使用场景、选择适合的威胁情报系统等方面的问题，当然威胁情报应用的例子还远不止这些，这里只是例举了一些典型的例子，希望引起更多人的兴趣。如果您是正在关注威胁情报的企业，不要盲目加入威胁情报的行列，不要被销售人员夸夸其谈所吸引，从企业自身网络安全需求出发，理性的看待问题。

　　最后小编想说，我们纽盾科技是上海一家网络安全公司，欢迎企业就业务安全问题来进行技术咨询服务，官网：www.newdon.net;电话：4008-048-858。