威胁情报在态势感知系统中的一种落地尝试

*本文作者：yisoso，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。

前言

在态势感知火热、威胁情报赚足眼球的今天，这两个信息安全领域当红小生发生碰撞，会产生怎样的火花呢？下面我根据手头上的项目，介绍一种威胁情报在态势感知系统中的落地方案，为大家提供一种思路。

一、态势感知和威胁情报介绍

简单的来说，态势感知系统是对网络环境安全态势的评估，评估当前态势的同时，对未来态势做出预测。一定程度上，可以看做是威胁评估和攻击预测的结合。在结构上，典型态势感知系统包括态势要素获取、态势评估、态势预测三部分。态势要素获取为态势理解提供源数据，态势理解又维态势预测提供依据。在一个完整的态势感知系统中，我们能得到两个结果，一个是当前网络安全态势，另一个就是未来安全态势的变化趋势，也就是态势预测的结果。

威胁情报是一种描述网络安全事件的数据集合，详细描述了安全事件的组成要素，包括攻击源信息、受害者信息、发动攻击利用的工具，还有在APT中常说的TTP，即战术，技术和过程（Techniques Tactics Procedures）。

二、为什么使用威胁情报？

搞安全的都见过威胁情报这四个字，威胁情报有百般好，那么这个好东西到底能带来什么呢？APT，0day的影响和危害大家都有所耳闻，甚至是有目共睹。威胁情报在处理APT方面还是很有优势的，APT的攻击阶段更加明显，持续时间长，隐蔽性高，并且潜伏时间长，所以对威胁检测提出了更高的要求。但是在这个长时间的攻击链上，一旦前期检测到威胁，那么采取针对性的响应，还是可以减小损害的。

上图就是攻击链模型，绿色框表明攻击没有造成实质性危害的阶段，我们的目标就是努力在这个阶段发现并解除威胁。APT发起方是有组织、有预谋的，同一组织发起的攻击行动会在某些行为上存在相似性，尤其在针对同一领域的攻击活动。

威胁情报具有大量的安全事件信息，利用其多维数据，可以提高安全事件的效率和攻击检测率。另外，威胁情报有很强的更新能力，威胁情报提供商会对威胁情报进行更新，提供最新的安全事件数据，而且通过威胁情报共享机制，相同领域的组织和机构可以得到针对性的威胁情报。所以正是威胁情报中的大数据和其自身的更新能力，让我们对其爱不释手。

三、怎样与态势感知系统结合

1. 威胁情报落地需要解决的问题

威胁情报的获取方式：不同机构有着不同的安全诉求，这种不同可以表现在威胁发起者针对不同类型的组织机构有不同的目的，不同的网络架构也会导致攻击策略的改变。另外，利用威胁情报的目的不同也会导致威胁情报的类型不同。目前来看，威胁情报订购和威胁情报共享是比较靠谱的方式。所以最重要的是首先考虑好自身需求和使用威胁情报的目的。本文在此重点介绍使用威胁情报的普适性方案，不再详细赘述威胁情报的类型等具体问题。

威胁情报的处理：上文提到，威胁情报具有大量的安全事件信息，那么是不是所有的威胁情报都适用于我们的网络环境呢？答案很明显，所以第二个要解决的就是选取针对性的威胁情报。从而减少数据干扰，提高数据精度。

2. 威胁情报与态势感知系统的结合点

在我们的平台中，利用威胁情报来做态势预测，极力在攻击链左侧发现攻击，最大化发挥威胁情报的信息价值。没有将威胁情报用于态势评估中是因为态势评估首先要结合自身资产来做，脱离目标网络环境资产属性的态势感知和评估是毫无意义的，再者，当前主流的态势感知方法和平台比较成熟，包括IDS和SIEM系统，这些设备能为我们提供一些有价值的数据。继续回到预测的方面，目前大多数态势感知系统将态势变化趋势作为预测的结果，缺乏潜在威胁的分析，威胁情报实现策略级的预测也是威胁情报给态势感知系统带来的新变化和改进。

在具体实现中，使用了STIX格式的威胁情报，有两种威胁情报来源，一种就是订阅得到的外源威胁情报，另一种是系统内部的内源威胁情报，通过系统内部部署的检测设备得到，内源威胁情报与外源威胁情报统一成STIX格式。

首先是外源威胁情报筛选，将内源威胁情报的对象在外源威胁情报中出现的频次作为主要的筛选依据，使用优属度算法将无关的威胁情报剔除在外。需要注意的是，剔除掉的威胁情报仅表明其不适用于当前网络环境。在网络安全态势变化，或者威胁发生变化后，需要重新对当前状态进行威胁情报筛选。

在威胁情报筛选后，就到了最终的方法——预测。在方法上，利用关联分析、模式识别和机器学习的方法处理外源威胁情报得到样本库。训练的主要分析对象是威胁情报中要素之间关系，而不是单纯的要素匹配。关系表明了安全事件的来龙去脉，安全事件也是由要素间关系组成。所以，STIX的relationship正是我们的目标。下面给出一个relationship表明indicator和malware间关系的例子

这是STIX文档中的一个例子，可以说relationship丰富了malware的属性。除了表明这种“从属”关系，relationship还可以表明其他一切关系。

还是STIX文档中的东西，表中列出了部分relationship。

3. 系统架构

在威胁情报筛选之后，最主要的算法就是利用机器学习进行威胁情报分类，利用相同类别的威胁情报上下文分析潜在威胁。具体架构就是一般的机器学习方法的结构，首先是数据获取：外源威胁情报和系统内的安全事件信息；其次是数据格式处理，外源威胁情报转换成STIX格式，系统内的安全事件也利用相同格式来表达；然后就是对外源威胁情报的训练，将训练的结果用于安全事件的分类；最后就是结果的输出和可视化。大致结构如下：

四、总结

本文介绍了一种威胁情报应用在态势感知系统中的可行性方法。着重介绍了两个值得注意的问题，也是实施威胁情报过程中必须解决的问题：

1. 威胁情报适用性。

2. 威胁情报中要素关系的重要性。

希望介绍的方法能给大家提供参考，欢迎大家交流其他思路和建议。

*本文作者：yisoso，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。