分析威胁情报系统

　　当前网络空间安全形势非常复杂，入侵手段不断攀升，比如匿名网络(The Onion Router简称Tor)、网络跳板、僵尸网络(Botnet)、恶意URL地址等方式在网络攻击者大量使用，发现困难、追踪更难，这些都攻击手段的出现带来了新的挑战。

　　一、背景

　　当前网络空间安全形势非常复杂，入侵手段不断攀升，比如匿名网络(The Onion Router简称Tor)、网络跳板、僵尸网络(Botnet)、恶意URL地址等方式在网络攻击者大量使用，发现困难、追踪更难，这些都攻击手段的出现带来了新的挑战。传统方法往往只能获取局部攻击信息，无法构建出完整的攻击链条，网络空间希望有类似国际刑警组织能够获取到各地网络中的威胁信息，从而为网络攻击检测防护、联动处置、信息共享提供一个决策信息平台。

　　近几年在网络安全领域逐步兴起的威胁情报(Threat Intelligence)分析为网络态势感知提供了技术支持。所谓威胁情报系统就是在网络空间里，找出网络威胁(各种网络攻击)的直接或间接证据，这些证据就隐藏在大量威胁源中，系统会在海量数据中甄别出你感兴趣的内容，要理解威胁情报系统所做的工作还必须对攻击事件有所了解。

　　当发生网络入侵事件后，网管首先要确定入侵源，实现这一目的主要通过日志、流量(异常流量意味着某种攻击活动，如内网主机在与某僵尸网络进行通讯)。要实现威胁情报分析，首先需要它能够实现态势感知，能理解威胁并能够预测即将呈现的状态，以实现决策。

　　二、攻击事件分析

　　网络中没有单纯的攻击事件，很多网络攻击由一系列事件所组成，通常为有序的或相互依赖的多个步骤，通常大家只会关注某一个事件，很难从全局上看问题。

　　下面举个入侵事件的例子，黑客利用漏洞(CVE -2014-6324)特权提升，对Web服务器进行入侵，获得Web服务器的本地访问权限，由于Web服务器可连接到NFS服务器，黑客还修改了文件服务器中的数据，一旦黑客掌握了NFS服务器的控制权，便可以文件服务器上安装木马，待安装完成，便等待一名内部用户在该工作站上运行这个事先已安插好的木马，一旦用户激活木马，黑客进一步获得更高级别的控制权，企业内部资料就这样源源不断的被秘密传输到指定的地点，这就是常说的APT攻击，这种攻击持续很长时间，能穿越了各种厂家的设备，不易被发现。

　　大家平时工作中遇到类似这样的入侵问题，大多都是猜测，对这种潜在攻击活动的感知能力十分有限(因为大家都没有在网络中间部署分布式的IDS传感器)，这时利用IDS系统能提前对这种异常行为在故障发生前，发出预警信息，这也是威胁情报源的一种类型。

　　三、安全威胁情报

　　安全威胁情报(Security Threat Intelligence)，它是网络安全机构为了共同应对APT(Advanced Persistent Threat高级持续性威胁)攻击，而逐渐兴起的一项热门技术，它实际上是我们从安全服务厂商、防病毒厂商、和安全组织得到安全预警通告、漏洞通告、威胁通告等。这些信息用于对网络攻击进行追根溯源，这些信息由安全厂商所提供，数据来源则是通过收集大量基础信息、监测互联网流量，或将客户的网络也纳入检测的范围，以获得该客户的特定安全情报信息。然后利用蜜网、沙箱、DPI等技术进行数据分析加工，最终形成报告。这些数据深度加工任务只有专业安全厂商才能做到，对于传统企业来讲，无法达到专业厂家的实力，主要还是收集内部网络的威胁信息源，订阅各种安全威胁情报信息和漏洞信息，但汇总、分析这些信息的工作就落到安全人员身上，执行的效果完全取决于专业能力。

　　四、技术框架

　　威胁情报系统的技术框架如图1所示，从图中可看出它包含了内部威胁和外部威胁两个方面的共享和利用。

（编辑：新余站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!