文/國家互聯(lián)網(wǎng)應(yīng)急中心副主任兼總工程師 云曉春

威脅情報助力互聯(lián)網(wǎng)應(yīng)急響應(yīng)

文/國家互聯(lián)網(wǎng)應(yīng)急中心副主任兼總工程師 云曉春

威脅情報就是為發(fā)現(xiàn)威脅提供幫助，并進(jìn)行處置的相應(yīng)知識。這種知識就是威脅情報。

在網(wǎng)絡(luò)安全領(lǐng)域的知識是有所界定的。在互聯(lián)網(wǎng)上發(fā)生不同的安全事件的解決方法也不一樣。針對不同的安全需求，需要建立不同的問題模型，針對不同的分析對象需要采取不同的分析方法。安全分析員要基于對可以獲得的數(shù)據(jù)源的理解，有針對性的確定分析邏輯。通過挖掘數(shù)據(jù)間的關(guān)系，總結(jié)規(guī)律，進(jìn)而形成知識。

知識來自于網(wǎng)絡(luò)，這些數(shù)據(jù)是對客觀世界的真實描述。通過挖掘數(shù)據(jù)間的關(guān)系，可以得到可處理、可分析的信息。通過總結(jié)規(guī)律，形成相應(yīng)知識。在知識的基礎(chǔ)上，處理相應(yīng)的安全事件。

知識和威脅情報不是針對某一個安全事件的具體方法和手段，威脅情報的基本定位是能夠解決不同安全事件的一般性的基礎(chǔ)性的資源。

威脅情報可以感應(yīng)未知的威脅。一般來說，可以把威脅情報分為：第一類是信譽(yù)情報。當(dāng)發(fā)現(xiàn)未知威脅的時候，如果攻擊源頭本身就沒有信譽(yù)，首先應(yīng)該對它產(chǎn)生懷疑；第二類是攻擊情報。通過監(jiān)測發(fā)現(xiàn)攻擊源、攻擊工具、曾經(jīng)被利用過的漏洞；第三類是其他情報。包括僵尸網(wǎng)絡(luò)的地址、0day漏洞。通過這些威脅情報，可以推斷出誰在進(jìn)行攻擊、什么時候發(fā)起攻擊、產(chǎn)生了什么樣的后果。

因為威脅情報的內(nèi)涵不同，所以價值也不同。例如描述一段惡意代碼，可以用一段特征值或者是Hash值來描述?？吹竭@個特征并不知道惡意代碼的機(jī)理、工作方式，所以這個威脅情報體現(xiàn)的內(nèi)涵非常有限。如果這個情報可以描述更多的信息，價值應(yīng)該會更大。

基于威脅情報，可以進(jìn)行一系列的應(yīng)急響應(yīng)。針對不同的情報來源，采取相應(yīng)措施，進(jìn)行有針對性的應(yīng)急響應(yīng)。

互聯(lián)網(wǎng)上金融機(jī)構(gòu)的仿冒網(wǎng)站非常多。一旦出現(xiàn)，能夠第一時間發(fā)現(xiàn)，在它竊取用戶錢財之前，就可以把它打掉。如果可以構(gòu)建這樣一個威脅情報庫，只要是類似的網(wǎng)站，都聚成一類。就可以利用這個情報庫找到仿冒網(wǎng)站。

方法很簡單，就是在互聯(lián)網(wǎng)上爬取。至少是爬出第一個頁面，對數(shù)據(jù)進(jìn)行整理解析，進(jìn)而形成結(jié)構(gòu)化、非結(jié)構(gòu)化的信息。利用域名系統(tǒng)，可以得到全球網(wǎng)站的域名，從域名出發(fā)，爬取首頁。它的本質(zhì)就是文本相似性計算，針對每一個首頁進(jìn)行分詞，構(gòu)成超大規(guī)模的矩陣。M行是詞庫的規(guī)模，N列是十幾億網(wǎng)站的數(shù)量。相似性計算最后得出的就是超大規(guī)模矩陣的分解，可以得到不同類型的網(wǎng)站。比如判斷跟工行相似的網(wǎng)站，先把工行的首頁爬取出來，跟其他的網(wǎng)站進(jìn)行比較，就可以得到跟它相似的網(wǎng)站。排名前20位的網(wǎng)站都是工行的仿冒網(wǎng)站。

通過利用大數(shù)據(jù)計算能力、分析挖掘算法，有可能從大規(guī)模的數(shù)據(jù)中找到需要的知識，進(jìn)而形成威脅情報庫。這種威脅情報庫不直接作用于某一個具體的安全事件，它可以作為解決處置安全事件的基礎(chǔ)資源，提供支撐作用。

網(wǎng)絡(luò)安全是全局性問題，任何一個網(wǎng)絡(luò)安全問題都不能靠單一的部門來解決。不同部門掌握不同的數(shù)據(jù)源，將各單位、各部門的資源整合在一起，有分析能力的部門進(jìn)行數(shù)據(jù)的分析計算，就有可能形成更有價值的威脅情報信息，構(gòu)建更有實用性的威脅情報庫，進(jìn)而為政府機(jī)構(gòu)、安全廠商、企事業(yè)用戶提供良好的支持。

現(xiàn)在的網(wǎng)絡(luò)態(tài)勢變得越來越復(fù)雜、越來越嚴(yán)峻。基于這種情況，希望可以團(tuán)結(jié)協(xié)作，利用已有的資源和能力，開發(fā)出更好的方法，產(chǎn)生更好的產(chǎn)品，為我們國家的網(wǎng)絡(luò)安全事業(yè)做出貢獻(xiàn)。

（本文摘錄整理自國家互聯(lián)網(wǎng)應(yīng)急中心副主任兼總工程師云曉春先生在“ISC2015——中國互聯(lián)網(wǎng)安全精英峰會”上的發(fā)言報道。）X

>>威脅情報的基本定位就是能夠解決不同安全事件的一般性的基礎(chǔ)性的資源。