用“大数据+AI ”，构建威胁情报生态

用“大数据+AI ”，构建威胁情报生态

当前，网络安全威胁日益突出，勒索病毒、APT等网络攻击愈演愈烈，呈现多样化、复杂化、专业化的发展趋势。《网络空间安全蓝皮书》称，网络冲突和攻击成为国家间对抗主要形式，就在刚刚发布的《2018年我国互联网网络安全态势综述》中数据显示，来自美国的网络攻击数量最多。

如何有效地检测APT等网络攻击？利用威胁情报数据，借助大数据分析和人工智能技术，是目前最有效的手段。

安恒信息首席科学家刘博表示，从生产高质量威胁情报，到使用威胁情报完善安全体系，这个过程中充满各种挑战，难以依赖单方面的力量，这就需要构建完整的生态。

图：构建威胁情报完整生态

世界各国网络空间战略和政策也都指明了，需要加强网络威胁情报和信息共享能力建设。2015年，美国发布《国家安全战略》，设立“网络威胁情报整合中心”；欧盟发布五年《欧盟安全议程》（2015-2020），主要包括加强欧盟成员国之间的信息共享，增强欧洲刑警组织与各成员国的合作等。

安恒首席科学家刘博认为，网络空间威胁情报能力的建设，需要从融合威胁情报数据、“大数据+AI”智能分析、协同处置等角度着手，形成流程的闭环。

融合：构建大数据多源情报生态

威胁情报能力的基础，是威胁情报的收集。安恒的威胁情报从何而来？主要包含以下几个渠道：

1、云端监测：安恒玄武盾每日产生数亿攻击日志

2、全网蜜罐/流量捕获：美欧日等全球各地部署蜜罐流量探针

3、网络空间测绘：每周更新全球43亿资产信息

4、国内外开源/商用情报：200+开源与商用情报源

5、安恒用户分析情报：安恒各类设备，服务分析经客户允许后产生的精准情报

6、威胁情报联盟共享：CNCERT等联盟情报共享

图：多源威胁情报

安恒信息依托SaaS监测服务、云防护服务、蜜罐网络、全球资产探测等能力，同时集成国内外200余家情报源，采用云沙箱、机器学习与专家分析等方式，提炼形成面向服务器安全的高质量威胁情报中心——IoC信誉库、网络资产库、安全事件库、专家情报库四大核心情报库。

细化来看：

1、威胁捕获：捕获全球恶意攻击样本

安恒蜜罐虚拟出网络信息系统来吸引攻击者攻击，对恶意代码和攻击行为的信息采集和分析，形成安全威胁情报，集中到安恒数据大脑（态势感知平台威胁情报采集中心），为攻击检测策略提供参考。

2、Sumap网络空间测绘：发现全球资产风险

Sumap全球网络空间超级雷达，43亿IP扫描空间，利用全网快速扫描引擎，2小时全网极速扫描，完成全网资产探测、漏洞扫描和风险趋势分析。4年多的全球扫描数据积累，利用异步无状态的批量横向资产检测技术，形成全球资产指纹画像与风险库。

图：海量指纹与风险库

3、国内外开源/商用情报/威胁情报联盟共享

安恒数据大脑集成了开源情报、商用情报、战略情报、机读情报、威胁情报联盟共享等多维情报，形成威胁情报生态。

安恒信息将来源于网络空间测绘、大数据智能安全分析(AI)、网络流量分析（NTA）、高级威胁监测（APT）、用户行为分析（UBA）的本地化威胁情报，借助智能安全分析提炼高价值威胁情报，以提高安全事件的检测效率和精准度，辅助态势感知。

智能分析与威胁情报结合：大数据+ AI

面对海量告警的信息过载，我们如何实而不虚的发挥数据和情报的价值？在我们过去的探索中，我们发现有效融合情报的能力作为关键要素，能帮助安全运营人员快速、精准的识别受攻击对象和完成攻击者画像。

利用大数据和人工智能技术，能有效地发挥威胁情报的价值，应用于多个场景：

• 全局监控与感知

借助安恒AiLPHA深度感知智能引擎DSI，全面多维度特征提取与画像，通过聚类异常模型、时序基线异常模型等机器学习算法模型与威胁情报相结合，提高准确率与检新率。

2、加密流量处理—监督式机器学习

据 Gartner 预测，到 2019 年，80% 的网站流量都会被加密。攻击者可利用加密流量进行APT攻击。安恒信息利用背景流量数据（contexual flow data）识别TLS加密恶意流量，采用SVM等分类器（（有监督机器学习）对加密流量的高维特征空间进行分类，结合威胁情报从而识别加密的恶意流量。

3、基于边界流量中的威胁检测预警

通过近百次安保实践，安恒信息发现每一百台服务器当中事先植入后门的比例是29%，内网出现已经沦陷主机的概率接近100%。安恒信息凭借大数据威胁情报和全流量的能力支撑，对网络流量进行实时分析和检测，对可疑网络行为进行告警，全方位发现失陷主机、从海量攻击事件中识别针对性攻击。

4、高级威胁检测(APT)

通过对攻击行为的模型/知识库与检测告警结合威胁情报分析，判断意图明确的针对性攻击、预期有严重影响的入侵行为、APT组织等。

协同处置：SOAR智能研判、编排与响应

威胁情报需要形成一个闭环，通过SOAR智能编排技术，将人、技术和流程整合，提供快速智能的研判和应急响应能力，自动化分析研判、处置联动、通报预警，流程化完成事件管理，提高协作沟通效率。

应用案例：某大型会议网络安保活动智能处置

1.通过制定安全分析规则、统计模型，进行网络安全事件实时监测；

2.当发生安全事件快速进行攻击来源分析、攻击上下文分析、安全事件逻辑关联分析；

3.对攻击者进行威胁情报碰撞、攻击指纹分析、攻击特征分析

4.对影响范围分析，分析攻击目标，确定攻击的影响范围

5.通过智能研判，确定安全事件的性质、攻击来源、危害程度等

6.进行智能相应，例如：联动处置、通报预警、自动分析报告、对接工单平台。

案例：威胁情报在护网行动的应用

2017年某省公安厅举行网络安全攻防应急演练，安恒信息为其提供技术保障。

技术支持：给演练提供了场地、网络、攻击IP、现场监控、安全实时检测、漏洞记录平台及攻击进展情况大屏展示等全方位技术保障。演练全程采取“背靠背”的方式进行，即事先不通知、攻击源不明确、攻击目标不明确、攻击手段不明确，完全接近于实战。

演练成果：攻击方累计发起了15万次攻击，采用多种攻击手段，发现问题超过百处，典型问题包括弱口令、文件上传、命令执行、逻辑漏洞等。提升被攻击目标防御和应急处置能力，同时锻炼了浙江网警接警、出警、取证的能力。

威胁情报应用：蓝方安全设备发现一个攻击行为，快速研判攻击，将该攻击以情报方式共享至情报中心，海量的情报数据通过大数据AI算法提高情报准确率后，同步给其他安全设备，对下次访问流量进行情报碰撞，快速预警。

知己知彼，方能百战‍‍‍‍‍‍不殆。威胁情报作为网络空间治理的重要一环，需要政府部门、科研院校、网络安全企业、运维服务支撑单位、行业安全专家等形成情报协同、数据协同、能力协同，共同构建网络空间治理与协同防御能力体系。