一、背景

當前網絡空間安全形勢非常復雜，入侵手段不斷攀升，比如匿名網絡(The Onion Router簡稱Tor)、網絡跳板、僵尸網絡(Botnet)、惡意URL地址等方式在網絡攻擊者大量使用，發現困難、追蹤更難，這些都攻擊手段的出現帶來了新的挑戰。傳統方法往往只能獲取局部攻擊信息，無法構建出完整的攻擊鏈條，網絡空間希望有類似國際刑警組織能夠獲取到各地網絡中的威脅信息，從而為網絡攻擊檢測防護、聯動處置、信息共享提供一個決策信息平臺。

近幾年在網絡安全領域逐步興起的威脅情報(Threat Intelligence)分析為網絡態勢感知提供了技術支持。所謂威脅情報系統就是在網絡空間里，找出網絡威脅(各種網絡攻擊)的直接或間接證據，這些證據就隱藏在大量威脅源中，系統會在海量數據中甄別出你感興趣的內容，要理解威脅情報系統所做的工作還必須對攻擊事件有所了解。

當發生網絡入侵事件后，網管首先要確定入侵源，實現這一目的主要通過日志、流量(異常流量意味著某種攻擊活動，如內網主機在與某僵尸網絡進行通訊)。要實現威脅情報分析，首先需要它能夠實現態勢感知，能理解威脅并能夠預測即將呈現的狀態，以實現決策。

二、攻擊事件分析

網絡中沒有單純的攻擊事件，很多網絡攻擊由一系列事件所組成，通常為有序的或相互依賴的多個步驟，通常大家只會關注某一個事件，很難從全局上看問題。

下面舉個入侵事件的例子，黑客利用漏洞(CVE -2014-6324)特權提升，對Web服務器進行入侵，獲得Web服務器的本地訪問權限，由于Web服務器可連接到NFS服務器，黑客還修改了文件服務器中的數據，一旦黑客掌握了NFS服務器的控制權，便可以文件服務器上安裝木馬，待安裝完成，便等待一名內部用戶在該工作站上運行這個事先已安插好的木馬，一旦用戶激活木馬，黑客進一步獲得更高級別的控制權，企業內部資料就這樣源源不斷的被秘密傳輸到指定的地點，這就是常說的APT攻擊，這種攻擊持續很長時間，能穿越了各種廠家的設備，不易被發現。

大家平時工作中遇到類似這樣的入侵問題，大多都是猜測，對這種潛在攻擊活動的感知能力十分有限(因為大家都沒有在網絡中間部署分布式的IDS傳感器)，這時利用IDS系統能提前對這種異常行為在故障發生前，發出預警信息，這也是威脅情報源的一種類型。

三、安全威脅情報

安全威脅情報(Security Threat Intelligence)，它是網絡安全機構為了共同應對APT(Advanced Persistent Threat高級持續性威脅)攻擊，而逐漸興起的一項熱門技術，它實際上是我們從安全服務廠商、防病毒廠商、和安全組織得到安全預警通告、漏洞通告、威脅通告等。這些信息用于對網絡攻擊進行追根溯源，這些信息由安全廠商所提供，數據來源則是通過收集大量基礎信息、監測互聯網流量，或將客戶的網絡也納入檢測的范圍，以獲得該客戶的特定安全情報信息。然后利用蜜網、沙箱、DPI等技術進行數據分析加工，最終形成報告。這些數據深度加工任務只有專業安全廠商才能做到，對于傳統企業來講，無法達到專業廠家的實力，主要還是收集內部網絡的威脅信息源，訂閱各種安全威脅情報信息和漏洞信息，但匯總、分析這些信息的工作就落到安全人員身上，執行的效果完全取決于專業能力。

四、技術框架

威脅情報系統的技術框架如圖1所示，從圖中可看出它包含了內部威脅和外部威脅兩個方面的共享和利用。

圖1 威脅情報系統總體框架

外部威脅情報主要來自互聯網已公開的情報源，及各種訂閱的安全信息，漏洞信息、合作交換情報信息、購買的商業公司的情報信息。公開的信息包含了安全態勢信息、安全事件信息、各種網絡安全預警信息、網絡監控數據分析結果、IP地址信譽等。在威脅情報系統中能夠提供潛在的惡意IP地址庫，包括惡意主機、垃圾郵件發送源頭與其他威脅，還可以將事件與網絡數據與系統漏洞關聯，全球IP信譽顯示如圖2所示。

圖2 全球IP信譽顯示

在圖1中顯示的合作交換的信息主要來自安全廠商的固定客戶，比如AlienVault公司的OSSIM USM可將客戶上報的威脅匯聚為一個威脅數據庫在云端共享，其他客戶可以共享這些情報，好處是，只要有一個客戶在內網中發現了某種威脅，并上報便可通過網絡立即跟其他客戶分享。

只要在系統中發現可疑IP，立即通過威脅系統里的IP信譽數據庫能夠發現到該惡意IP的信息，詳情如圖3所示。

圖3 通過IP信譽查詢的惡意IP的情報信息

內部威脅情報是相對容易獲取的，因為大量的攻擊來自網絡內部，內部威脅情報源主要是指網絡基礎設施自身的安全檢測防護系統所形成的威脅數據信息，有來自基礎安全檢測系統的也有來自SIEM系統的數據。企業內部運維人員主要通過收集資產信息、流量和異常流量信息、漏洞掃描信息、HIDS/NIDS信息、日志分析信息以及各種合規報表統計信息。

五、威脅情報系統的選擇

與其他IT系統發展相比，網絡威脅情報系統發展還處于初級階段，但這個領域的主導廠商以國外的為主，包括FireEye、Cyveilance、IBM X-Force Exchange、LogRhythm、VeriSign、AlienVault;國內的360威脅情報中心和微步在線Threatbook從2015年剛起步，離一個完整、成熟的威脅情報平臺還有一段路要走。如果您是正在關注威脅情報的企業，不要盲目加入威脅情報的行列，不要被銷售人員夸夸其談所吸引，還是要理性的看待問題。我認為前期首先利用開源軟件來實現情報威脅系統，而這種功能的開源工具非OSSIM莫屬，該系統中OTX所提供的功能可滿足威脅情報系統的要求。OSSIM具體部署與使用大家可參考《開源安全運維平臺-OSSIM最佳實踐》一書。

六、威脅情報利用

說道威脅情報所發揮的作用，再接著看看APT攻擊事件威脅情報利用。通常，APT攻擊事件很可能持續很長時間，它在OSSIM系統中反映出來的是一組可觀測到的事件序列，這些攻擊事件顯示出了多臺攻擊主機的協同活動，如圖4所示，顯示出在攻擊檢測中的價值。

圖4 一組網絡攻擊圖

與刑事犯罪取證類似，網絡安全分析人員需要綜合各種不同的證據，以查清互聯網全球性攻擊現象的根本原因。這種工作，往往很枯燥，非常需要耐心，在網上很難根據關鍵詞來獲取答案，主要依靠分析師的專業技能，它涉及攻擊事件的若干不同維度的特征。

對上述攻擊，顯示了9條關聯出來的安全事件，如圖5所示。

圖5 關聯出的事件

攻擊圖和告警關聯工具可以結合在一起進行評估，告警關聯關系工具可以把特殊的、多步攻擊的零散報警，合理的組合在一起，以便把攻擊者的策略和意圖清晰的告訴安全分析人員。除了以上例舉實例之外還有包括安全分析和事件響應，這里就不一一舉例。

七 總結

本文主要通過實例例舉介紹了個人對威脅情報系統的理解、威脅情報的分類及使用場景、選擇適合的威脅情報系統等方面的問題，當然威脅情報應用的例子還遠不止這些，這里只是例舉了一些典型的例子，希望引起更多人的興趣。如果您是正在關注威脅情報的企業，不要盲目加入威脅情報的行列，不要被銷售人員夸夸其談所吸引，從企業自身網絡安全需求出發，理性的看待問題。