王金輝 胡俊 徐湲策

摘? ?要：近年來(lái)，以挖礦木馬和勒索病毒為首的新型安全事件越來(lái)越多，企業(yè)對(duì)于信息安全建設(shè)的重視度越來(lái)越高。這類新型攻擊模式往往有著攻擊方式多變、攻擊影響大的特點(diǎn)。文章提供了一種基于主機(jī)型入侵檢測(cè)系統(tǒng)（Host-based Intrusion Detection System，HIDS）的威脅情報(bào)解決方案，通過(guò)高效結(jié)合HIDS的檢測(cè)能力和威脅情報(bào)數(shù)據(jù)，幫助企業(yè)第一時(shí)間發(fā)現(xiàn)惡意事件，并提供不同情況下的應(yīng)急響應(yīng)方案。

關(guān)鍵詞：HIDS;威脅情報(bào);應(yīng)急響應(yīng)

中圖分類號(hào)：TP319? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：B

Abstract： Novel security incidents like Ransomewares and MinerTrojan are being reported more than ever， which is why enterprises have paid more attention to information security. These novel attacks often have some skills to make them hard to track but they can do a huge damage to the enterprises. In this paper， by combining detection abilities of HIDS（Host-based Intrusion Detection System） and data of threat intelligence， a solution has been provided to help enterprises find attacks as soon as possible， along with efficient incident response plan based on different circumstances.

Key words： HIDS; threat intelligence; incident response

1 引言

近年來(lái)，不論是企業(yè)、社會(huì)輿論還是政府政策導(dǎo)向，對(duì)于網(wǎng)絡(luò)安全的重視程度已經(jīng)越來(lái)越高;不論是歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）生效，還是國(guó)內(nèi)十三屆全國(guó)人大常委會(huì)第五次會(huì)議表決通過(guò)的《電子商務(wù)法》、公安部發(fā)布的《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》等多項(xiàng)法規(guī)出臺(tái)，都表明了網(wǎng)絡(luò)安全在全球的重視程度。

但另一方面，以國(guó)內(nèi)多家酒店數(shù)據(jù)泄漏事件為例，說(shuō)明當(dāng)前網(wǎng)絡(luò)安全的建設(shè)依然存在著諸多隱患。

當(dāng)前網(wǎng)絡(luò)安全的建設(shè)面臨著兩大問(wèn)題。

一是企業(yè)復(fù)雜的信息化程度使得安全監(jiān)控難度增加。越來(lái)越多的企業(yè) IT 信息采用了云服務(wù)化的方案。云平臺(tái)相比傳統(tǒng)的信息化建設(shè)擁有擴(kuò)展性強(qiáng)、效率高等諸多優(yōu)點(diǎn)。但這也使得企業(yè)的信息管理難度越來(lái)越大。云主機(jī)每天動(dòng)輒要處理成千上萬(wàn)的數(shù)據(jù)請(qǐng)求，使得其受到攻擊的可能性大大增加。

二是快速響應(yīng)最新安全事件的需求無(wú)法很好滿足。安全事件的爆發(fā)往往具有由點(diǎn)到面的特點(diǎn)，如果能在發(fā)現(xiàn)一個(gè)安全事件的早期對(duì)其進(jìn)行快速響應(yīng)和處理，并通過(guò)這個(gè)安全事件的特征快速優(yōu)化自己的整體系統(tǒng)，可以有效避免更多的損失。但是，如何將情報(bào)信息有效地應(yīng)用到安全建設(shè)中，是企業(yè)安全建設(shè)亟待解決的問(wèn)題。

本文提出了一種基于HIDS的威脅情報(bào)解決方案，通過(guò)結(jié)合HIDS的檢測(cè)能力和威脅情報(bào)數(shù)據(jù)的解決方案，并提供了解決方案的具體應(yīng)用案例。該方案旨在幫助企業(yè)安全解決兩個(gè)問(wèn)題：一是為企業(yè)提供有效地安全監(jiān)控能力;二是通過(guò)安全監(jiān)控和數(shù)據(jù)的結(jié)合，實(shí)時(shí)發(fā)現(xiàn)安全事件，并提供有效的處理方案。

2 威脅情報(bào)

2.1 威脅情報(bào)的定義

威脅情報(bào)的定義有多種，但最為人熟知的是Gartner在2014年發(fā)表的《安全威脅情報(bào)服務(wù)市場(chǎng)指南》（Market Guide for Security Threat Intelligence Service）中的定義：威脅情報(bào)是關(guān)于IT或信息資產(chǎn)所面臨的現(xiàn)有或潛在威脅的循證知識(shí)，包括情境、機(jī)制、指標(biāo)、推論與可行建議，這些知識(shí)可為威脅響應(yīng)提供決策依據(jù)。

為了使得威脅情報(bào)更好地服務(wù)于企業(yè)，威脅情報(bào)一般擁有四個(gè)主要組成部分。

（1）基于知識(shí)的證據(jù)。威脅情報(bào)來(lái)源于對(duì)既往威脅的歸納和總結(jié)。

（2）包含場(chǎng)景、機(jī)制、指標(biāo)等信息。威脅情報(bào)的上下文很重要，如果沒(méi)有上下文，則無(wú)法將威脅情報(bào)使用起來(lái)。

（3）情報(bào)對(duì)象是已知威脅或者是即將出現(xiàn)的威脅。

（4）為主體響應(yīng)提供角色信息。這是威脅情報(bào)的核心價(jià)值所在，幫助企業(yè)提供可機(jī)讀、可人讀的戰(zhàn)術(shù)和戰(zhàn)略信息，從而輔助角色整體安全決策。

總結(jié)來(lái)看，威脅情報(bào)可以為企業(yè)安全提供三大價(jià)值。

（1）提升可疑問(wèn)題驗(yàn)證能力。當(dāng)用戶在系統(tǒng)中發(fā)現(xiàn)一些可疑事件卻暫時(shí)沒(méi)有更多手段去檢測(cè)，利用威脅情報(bào)可以更好地幫助用戶確認(rèn)該問(wèn)題的可疑程度。

（2）提升惡意事件檢測(cè)能力。威脅情報(bào)可以提供大量的惡意數(shù)據(jù)，結(jié)合用戶自身的檢測(cè)系統(tǒng)，通過(guò)和威脅情報(bào)數(shù)據(jù)的比對(duì)，可以提升對(duì)惡意事件的檢測(cè)能力。

（3）提升溯源的能力。對(duì)于系統(tǒng)中發(fā)現(xiàn)的惡意事件，通過(guò)威脅情報(bào)可以更好地進(jìn)行溯源，了解這種惡意事件的來(lái)龍去脈。

2.2 威脅情報(bào)的應(yīng)用難題

威脅情報(bào)雖然能夠?yàn)橛脩籼峁┖芏嘤袃r(jià)值的安全信息，但是企業(yè)在落地威脅情報(bào)的時(shí)候，還是有一些很實(shí)際的問(wèn)題難以解決。

（1）檢測(cè)效率不高。雖然威脅情報(bào)擁有大量的數(shù)據(jù)庫(kù)，但是如何從用戶的IT資產(chǎn)中獲取足夠的信息，從而將威脅情報(bào)快速有效地應(yīng)用到實(shí)際安全檢測(cè)中一直是威脅情報(bào)應(yīng)用的一大難題。舉例來(lái)說(shuō)，威脅情報(bào)現(xiàn)在發(fā)布了一個(gè)最新挖礦后門(mén)的信息，該后門(mén)會(huì)利用Redis的漏洞上傳惡意挖礦程序。但是對(duì)于用戶而言，只靠威脅情報(bào)是沒(méi)有很好的方法快速了解哪些主機(jī)上有該版本的Redis，并且需要確認(rèn)這個(gè)Redis確實(shí)存在該漏洞，且沒(méi)有被修復(fù)過(guò)。同時(shí)，如果該主機(jī)存在有這個(gè)漏洞的Redis，只靠威脅情報(bào)也很難知道這些主機(jī)是否曾經(jīng)被黑客利用該漏洞植入過(guò)挖礦木馬。

（2）分析數(shù)據(jù)不足。對(duì)于企業(yè)安全來(lái)說(shuō)，僅僅發(fā)現(xiàn)存在哪些入侵事件的存在是不夠的，還需要分析入侵以后還有哪些行為，從而評(píng)估入侵事件的真?zhèn)魏腿肭质录斐傻膿p失。舉例來(lái)說(shuō)，已知某臺(tái)主機(jī)訪問(wèn)過(guò)一個(gè)惡意域名，但是對(duì)于安全人員來(lái)說(shuō)，他們還需知道該主機(jī)具體是哪個(gè)進(jìn)程訪問(wèn)的這個(gè)惡意域名，訪問(wèn)這個(gè)惡意域名以后該進(jìn)程又有過(guò)哪些行為，其他關(guān)聯(lián)進(jìn)程又有哪些行為。而威脅情報(bào)提供的IoC（Inversion of Control，控制反轉(zhuǎn)）信息最多只能幫助用戶發(fā)現(xiàn)入侵事件，但是如何獲取主機(jī)上的更多事件信息，有效地分析入侵事件，則超出威脅情報(bào)信息的范圍了。

（3）應(yīng)急響應(yīng)能力不足。對(duì)于企業(yè)安全管理，應(yīng)急響應(yīng)是非常重要的一環(huán)，如何在發(fā)現(xiàn)惡意事件后進(jìn)行快速處理響應(yīng)，將損失最小化，是每個(gè)企業(yè)安全都會(huì)關(guān)注的問(wèn)題。舉例來(lái)說(shuō)，已知某臺(tái)主機(jī)發(fā)現(xiàn)了一些惡意進(jìn)程，如何快速處理這些惡意進(jìn)程，并清理殘余文件，并在其他相似主機(jī)上檢測(cè)是否有該主機(jī)存在。威脅情報(bào)一般只能提供一些檢測(cè)方法，但是如何有效處理問(wèn)題也是威脅情報(bào)最終能夠落地實(shí)施的一大困境。

3 基于HIDS的威脅情報(bào)解決方案

3.1 HIDS

在解釋HIDS之前，先介紹一個(gè)常見(jiàn)的安全事件。

當(dāng)攻擊者使用各種手段入侵的系統(tǒng)后，Get Shell及Get Shell以后的行為往往是不可避免的。比如，攻擊者通過(guò)Web漏洞上傳了一個(gè)WebShell，然后再通過(guò)該WebShell實(shí)施一次反彈Shell的攻擊，這樣黑客就擁有了靶機(jī)的Shell 控制權(quán)，剩下再做什么就看黑客的想法了。

之所以提到這個(gè)例子是因?yàn)?，不論黑客以哪種方式進(jìn)入主機(jī)，最終都需要在主機(jī)上實(shí)現(xiàn)Get Shell這個(gè)操作。也正是因?yàn)楹诳偷倪@個(gè)行為特征，基于主機(jī)的檢測(cè)機(jī)制越來(lái)越受到安全公司的青睞，也就是HIDS。HIDS作為傳統(tǒng)攻防視角的重要一環(huán)，有著不可替代的作用，可以有效地檢測(cè)到從網(wǎng)絡(luò)層面難以發(fā)現(xiàn)的安全問(wèn)題，如后門(mén)、反彈Shell、惡意操作、主機(jī)組件安全漏洞、系統(tǒng)用戶管理安全問(wèn)題、主機(jī)基線安全風(fēng)險(xiǎn)等。

HIDS的技術(shù)要求有三個(gè)特點(diǎn)。

（1）靈活且輕量級(jí)：對(duì)系統(tǒng)資源需求少，系統(tǒng)負(fù)載占用小。

（2）支持規(guī)則引擎，能夠靈活地進(jìn)行規(guī)則配置。

（3）可以及時(shí)收集主機(jī)上的事件信息。

3.2 基于HIDS的威脅情報(bào)解決方案

基于HIDS的威脅情報(bào)解決方案是一套通過(guò)利用HIDS實(shí)時(shí)監(jiān)控主機(jī)狀態(tài)和有效資產(chǎn)整理的能力，結(jié)合云端數(shù)據(jù)分析以及完善的處理響應(yīng)能力，將威脅情報(bào)運(yùn)用于安全實(shí)戰(zhàn)的一套解決方案。

該解決方案主要包括四個(gè)能力。

（1）基于行為監(jiān)控的自動(dòng)化檢測(cè)。

（2）基于資產(chǎn)信息的快速檢測(cè)。

（3）行為數(shù)據(jù)的快速查詢和關(guān)聯(lián)分析。

（4）完善的處理響應(yīng)能力。

3.2.1 基于行為監(jiān)控的自動(dòng)化檢測(cè)

行為監(jiān)控主要包括對(duì)于主機(jī)上進(jìn)程創(chuàng)建、文件變化、域名訪問(wèn)、遠(yuǎn)程登錄等涉及文件、域名和IP信息的行為進(jìn)行自動(dòng)化監(jiān)控。同時(shí)，將監(jiān)控到的數(shù)據(jù)提供給威脅情報(bào)處理，從而將發(fā)現(xiàn)的惡意行為進(jìn)行告警。

基于行為監(jiān)控的自動(dòng)化檢測(cè)可以完成兩項(xiàng)功能。

（1）實(shí)時(shí)監(jiān)控主機(jī)上的重點(diǎn)行為事件，包括進(jìn)程創(chuàng)建、重要文件變化、域名訪問(wèn)、遠(yuǎn)程登錄等，提取相關(guān)的文件信息、域名信息、IP信息并記錄下來(lái)。

（2）將主機(jī)上的關(guān)鍵信息和威脅情報(bào)數(shù)據(jù)進(jìn)行比對(duì)，對(duì)于發(fā)現(xiàn)的惡意事件進(jìn)行告警。

舉例來(lái)說(shuō)，通過(guò)主機(jī)實(shí)時(shí)監(jiān)控遠(yuǎn)程登錄行為，將所有登錄IP記錄下來(lái)，并將其與威脅情報(bào)庫(kù)做匹配，如果發(fā)現(xiàn)是惡意IP就進(jìn)行告警。

通過(guò)基于行為監(jiān)控的自動(dòng)化檢測(cè)，對(duì)于威脅情報(bào)的運(yùn)用有兩大好處。

（1）解決實(shí)時(shí)性問(wèn)題。實(shí)時(shí)發(fā)現(xiàn)安全隱患一直是安全建設(shè)的核心訴求之一，基于行為監(jiān)控可以大大減少不必要的事件監(jiān)控，同時(shí)又能保證實(shí)時(shí)性。再結(jié)合威脅情報(bào)的數(shù)據(jù)能力，從而可以幫助用戶快速發(fā)現(xiàn)安全問(wèn)題。

（2）提高檢測(cè)效率。利用行為特征進(jìn)行監(jiān)控，可以使得從監(jiān)控到檢測(cè)達(dá)到自動(dòng)化檢測(cè)自動(dòng)化告警的全自動(dòng)化運(yùn)營(yíng)，減少人力成本的消耗，從而提高檢測(cè)效率。

3.2.2 行為數(shù)據(jù)的關(guān)聯(lián)分析和快速查詢

安全建設(shè)中除了發(fā)現(xiàn)問(wèn)題，溯源和關(guān)聯(lián)分析也是非常重要的需求。溯源可以幫助用戶更好地解決問(wèn)題，關(guān)聯(lián)分析可以幫助用戶確定安全事件的影響范圍，從而更好地制定處理策略。HIDS提供了大量的行為數(shù)據(jù)，結(jié)合云端的數(shù)據(jù)處理能力和關(guān)聯(lián)分析算法，可以幫助用戶對(duì)安全事件更好地做進(jìn)一步處理，包括兩個(gè)功能。

（1）告警時(shí)自動(dòng)關(guān)聯(lián)相關(guān)數(shù)據(jù)。在進(jìn)行告警的時(shí)候，自動(dòng)關(guān)聯(lián)與本次事件相關(guān)的數(shù)據(jù)。例如，告警事件為惡意進(jìn)程，提供與進(jìn)程相關(guān)的文件信息、啟動(dòng)進(jìn)程用戶、進(jìn)程樹(shù)等信息。

（2）行為數(shù)據(jù)的快速查詢功能。HIDS在Agent上提供的數(shù)據(jù)收集能力和云端數(shù)據(jù)搜索功能，讓用戶可以通過(guò)控制臺(tái)快速搜索需要的行為數(shù)據(jù)，從而幫助用戶更好地確認(rèn)問(wèn)題及其產(chǎn)生的影響。

舉例來(lái)說(shuō)，通過(guò)行為監(jiān)控發(fā)現(xiàn)了某臺(tái)主機(jī)有訪問(wèn)惡意域名的行為，告警信息中會(huì)提供該進(jìn)程的相關(guān)信息，包括進(jìn)程文件、進(jìn)程PID等信息。同時(shí)，用戶可以通過(guò)查詢功能，去查詢?cè)谠撨M(jìn)程訪問(wèn)過(guò)該惡意域名以后還有哪些行為，比如有沒(méi)有從該域名下載文件，從而更好地去了解這次惡意事件后續(xù)影響的范圍。

行為數(shù)據(jù)的關(guān)聯(lián)分析和快速查詢對(duì)威脅情報(bào)的運(yùn)用有兩項(xiàng)價(jià)值點(diǎn)。

（1）確定惡意事件的影響范圍。通過(guò)提供與告警事件相關(guān)的行為數(shù)據(jù)，可以幫助了解涉及這個(gè)事件相關(guān)信息，從而確認(rèn)這次產(chǎn)生的事件具體影響了系統(tǒng)的哪些問(wèn)題，對(duì)于后續(xù)進(jìn)行處理有重要的意義。

（2）對(duì)惡意事件進(jìn)行溯源分析。通過(guò)行為數(shù)據(jù)的快速查詢，可以幫助了解惡意事件的產(chǎn)生源頭在哪兒，惡意事件持續(xù)的行為信息是哪些，對(duì)于確認(rèn)情報(bào)的準(zhǔn)確性以及優(yōu)化情報(bào)庫(kù)有著重要的意義。

3.2.3 基于資產(chǎn)信息的快速檢測(cè)

基于行為監(jiān)控的自動(dòng)化檢測(cè)是為了幫助主機(jī)能夠?qū)Ξ?dāng)前和未來(lái)所有的事情進(jìn)行檢測(cè)，但是威脅情報(bào)數(shù)據(jù)不能保證永遠(yuǎn)及時(shí)推送，有的安全事故是很久以后才被人發(fā)現(xiàn)出來(lái)公之于眾，這時(shí)候就需要能夠有對(duì)歷史進(jìn)行回溯分析的能力。

基于資產(chǎn)信息的快速檢測(cè)提供了兩種功能。

（1）通過(guò)資產(chǎn)識(shí)別的能力，能夠快速在海量主機(jī)中選擇到需要進(jìn)行回溯的機(jī)器。HIDS 的資產(chǎn)識(shí)別能力可以通過(guò)安裝Agent而便捷地了解到主機(jī)的各類資產(chǎn)信息，通過(guò)快速搜索定位到目標(biāo)主機(jī)。

（2）通過(guò)自定義檢測(cè)任務(wù)，能夠快速對(duì)主機(jī)特定信息進(jìn)行核實(shí)確認(rèn)，從而確認(rèn)問(wèn)題。HIDS的Agent具有在主機(jī)上執(zhí)行特定檢測(cè)的能力，通過(guò)快速設(shè)置檢測(cè)任務(wù)獲取檢測(cè)結(jié)果，從而判定主機(jī)是否有被攻擊的可能性，也可以推測(cè)主機(jī)是否已經(jīng)被攻擊或者曾經(jīng)被攻擊過(guò)。

基于資產(chǎn)信息的快速檢測(cè)對(duì)于威脅情報(bào)的運(yùn)用有兩個(gè)好處。

（1）降低情報(bào)滯后性帶來(lái)的影響。情報(bào)數(shù)據(jù)的滯后可能是難免的，但通過(guò)基于資產(chǎn)信息的檢測(cè)，可以快速定位可能存在風(fēng)險(xiǎn)的主機(jī)，把數(shù)據(jù)情報(bào)滯后帶來(lái)的影響盡可能降低。

（2）提高發(fā)現(xiàn)問(wèn)題的效率。通過(guò)資產(chǎn)信息識(shí)別對(duì)主機(jī)進(jìn)行快速分類，結(jié)合主機(jī)上的檢測(cè)能力，從而大大減小信息收集的工作量，提高發(fā)現(xiàn)問(wèn)題的效率。

3.2.4 完善的處理響應(yīng)能力

如何有效地對(duì)惡意事件進(jìn)行處理是安全管理中重要的一環(huán)，威脅情報(bào)只能幫助用戶發(fā)現(xiàn)問(wèn)題，但是處理問(wèn)題就需要依賴于HIDS在主機(jī)上的能力。

在解決方案中，針對(duì)每類的威脅情報(bào)提供了對(duì)應(yīng)的解決方案。

（1）針對(duì)惡意域名提供網(wǎng)絡(luò)阻斷和進(jìn)程阻斷能力。惡意域名往往是通過(guò)釣魚(yú)郵件、木馬等方式進(jìn)行前期攻擊的，發(fā)現(xiàn)訪問(wèn)惡意域名事件后，可以通過(guò)網(wǎng)絡(luò)阻斷能力對(duì)該域名進(jìn)行屏蔽。同時(shí)，系統(tǒng)也提供進(jìn)程阻斷方式可以阻斷進(jìn)程，以解決訪問(wèn)進(jìn)程下載惡意文件或者產(chǎn)生反彈Shell等行為。

（2）針對(duì)惡意進(jìn)程提供進(jìn)程阻斷、文件隔離和文件刪除能力。惡意進(jìn)程往往是將木馬或者病毒投放到受影響主機(jī)上，通過(guò)啟動(dòng)文件對(duì)主機(jī)產(chǎn)生惡意行為，比如挖礦、竊取信息等。進(jìn)程阻斷能力可以立即阻止已經(jīng)在執(zhí)行的惡意進(jìn)程，文件隔離和文件刪除可以處理惡意文件，防止惡意文件會(huì)有自啟動(dòng)等其他能力，僅靠進(jìn)程阻斷無(wú)法解決該問(wèn)題。

舉例來(lái)說(shuō)，系統(tǒng)發(fā)現(xiàn)一個(gè)惡意進(jìn)程啟動(dòng)，可以通過(guò)進(jìn)程阻斷功能先阻斷進(jìn)程，然后利用文件刪除功能清除相關(guān)文件，徹底解決惡意文件的殘留部分。

對(duì)于威脅情報(bào)的使用來(lái)說(shuō)，完善的處理響應(yīng)能力是補(bǔ)足其應(yīng)用場(chǎng)景的最后一步，有了響應(yīng)能力，使用者也有更大的動(dòng)力去使用威脅情報(bào)來(lái)進(jìn)行安全管理。

3.2.5 技術(shù)架構(gòu)

基于HIDS的威脅情報(bào)架構(gòu)如圖1所示。

（1）Agent，也就是主機(jī)代理。通過(guò) Agent 收集主機(jī)信息。為了配合威脅情報(bào)的使用，這里的 Agent 需要收集的核心數(shù)據(jù)包括進(jìn)程行為、網(wǎng)絡(luò)鏈接、文件信息和資產(chǎn)信息。

（2）Server，也就是服務(wù)中心。服務(wù)中心主要負(fù)責(zé)將Agent采集的信息進(jìn)行匯總、綜合分析研判、檢測(cè)結(jié)果保存，同時(shí)將主機(jī)信息和威脅情報(bào)庫(kù)進(jìn)行比對(duì)，發(fā)現(xiàn)惡意事件并進(jìn)行告警。

（3）威脅情報(bào)中心。威脅情報(bào)中心負(fù)責(zé)威脅情報(bào)數(shù)據(jù)的管理，包括威脅情報(bào)查詢、威脅情報(bào)更新等功能。

（4）Web，即前端控制臺(tái)。用戶通過(guò)前端控制臺(tái)完成對(duì)于檢測(cè)結(jié)果的集中管理，并通過(guò)服務(wù)端提供的數(shù)據(jù)及任務(wù)下發(fā)能力，完成安全分析、報(bào)警處理和快速查詢等功能。

3.3 方案總結(jié)

HIDS是一種基于主機(jī)的檢測(cè)方法，方案通過(guò)借用HIDS的檢測(cè)方法獲取主機(jī)信息，然后結(jié)合威脅情報(bào)數(shù)據(jù)發(fā)現(xiàn)主機(jī)安全問(wèn)題。方案具有幾個(gè)優(yōu)點(diǎn)。

（1）通過(guò)HIDS提供基于行為的自動(dòng)化檢測(cè)方法，能夠?qū)崟r(shí)高效地發(fā)現(xiàn)惡意事件，解決傳統(tǒng)威脅情報(bào)檢測(cè)效率不高的問(wèn)題。

（2）通過(guò)HIDS提供行為數(shù)據(jù)的關(guān)聯(lián)分析和快速查詢能力，能夠有效地確定事件影響范圍并進(jìn)行行為溯源，解決傳統(tǒng)威脅情報(bào)分析數(shù)據(jù)不足的問(wèn)題。

（3）通過(guò)HIDS提供基于資產(chǎn)信息的快速檢測(cè)能力，提高發(fā)現(xiàn)問(wèn)題的效率從而盡可能降低情報(bào)滯后帶來(lái)的問(wèn)題，解決傳統(tǒng)威脅情報(bào)滯后卻又無(wú)法追查的問(wèn)題。

（4）通過(guò)HIDS提供的處理響應(yīng)能力，針對(duì)不同惡意事件提供對(duì)應(yīng)的解決方案，從而解決傳統(tǒng)威脅情報(bào)只能發(fā)現(xiàn)問(wèn)題但是很難解決問(wèn)題的處境。

4 應(yīng)用案例解析

挖礦木馬的應(yīng)急響應(yīng)事件。利用本文的解決方案，對(duì)于一次挖礦木馬的應(yīng)急響應(yīng)可以按照?qǐng)D2的步驟完成。

（1）青藤威脅情報(bào)發(fā)出告警，某團(tuán)伙會(huì)利用Redis的未授權(quán)訪問(wèn)權(quán)限來(lái)傳播挖礦木馬，并在威脅情報(bào)中給出了對(duì)應(yīng)木馬的IOC信息。

（2）通過(guò)資產(chǎn)確定擁有Redis服務(wù)的主機(jī)。再通過(guò)自定義檢測(cè)任務(wù)針對(duì)這些樣本信息進(jìn)行檢測(cè)。在這里，自定義檢測(cè)任務(wù)以Yara規(guī)則的形式存在，Yara規(guī)則是一種非常好用的規(guī)則設(shè)置方法，可以很簡(jiǎn)單、有效地配置檢測(cè)規(guī)則讓主機(jī)執(zhí)行。

（3）通過(guò)數(shù)據(jù)分析確認(rèn)威脅情報(bào)的準(zhǔn)確性以及Yara規(guī)則的可行性，再擴(kuò)大檢測(cè)范圍，查看所有主機(jī)上有可能擁有該文件的信息，以防有木馬隱藏在非Redis的主機(jī)上。

（4）通過(guò)處理響應(yīng)能力，完成對(duì)已經(jīng)啟動(dòng)的挖礦進(jìn)程阻斷，并隔離刪除所有與挖礦木馬相關(guān)的文件。

5 結(jié)束語(yǔ)

本文簡(jiǎn)單介紹了一種基于HIDS的威脅情報(bào)解決方案，通過(guò)方案在發(fā)揮威脅情報(bào)數(shù)據(jù)優(yōu)勢(shì)的同時(shí)，也能解決傳統(tǒng)威脅情報(bào)檢測(cè)效率不高、數(shù)據(jù)分析不足和響應(yīng)處理不完善等問(wèn)題。同時(shí)，給出了實(shí)際應(yīng)用案例來(lái)說(shuō)明這種解決方案在商業(yè)應(yīng)用中的實(shí)際價(jià)值。

但是，方案只解決了威脅情報(bào)的落地問(wèn)題，沒(méi)有能夠很好地回饋威脅情報(bào)本身。在未來(lái)，應(yīng)該可以將方案進(jìn)行優(yōu)化，通過(guò)檢測(cè)結(jié)果和威脅情報(bào)數(shù)據(jù)的深度比對(duì)及分析處理，進(jìn)一步優(yōu)化和擴(kuò)充威脅情報(bào)本身的數(shù)據(jù)資源，將威脅情報(bào)數(shù)據(jù)和檢測(cè)結(jié)果形成一個(gè)更緊密聯(lián)系的閉環(huán)安全管理模式。

參考文獻(xiàn)

[1] S. Barnum. Standardizing cyber threat intelligence information with the structured threat information expression （stix）[EB/OL]. https：//www.mitre.org/publications/technical-papers/standardizing-cyber-threat-intelligence-information-with-the， January 2012.

[2] T. Sander， J. Hailpern. Ux aspects of threat information sharing platforms： An examination and lessons learned using personas[J]. Proceedings of the 2nd ACM Workshop on Information Sharing and Collaborative Security， WISCS15， 2015：51-59.

[3] C. Johnson， L. Badger， and D. Waltermine. Guide to cyber threat information sharing [draft][J].Technical report， NIST Special Publication， April 2016.

[4] Dave Shackleford， The SANS State of Cyber Threat Intelligence Survey： CTI Important and Maturing[EB/OL]. https：//www.sans.org/reading-room/whitepapers/bestprac/paper/37177， August 15， 2016.

[5] Matt Bromiley， Threat Intelligence： What It Is and How to Use It Effectively[EB/OL]. https：//nsfocusglobal.com/wp-content/uploads/2017/01/SANS_Whitepaper_Threat_Intelligence__What_It_Is__and_How_to_Use_It_Effectively.pdf， September 2016.

[6] Chris Pace， Dr. Christopher Ahlberg， The Threat Intelligence Handbook[EB/OL]. https：//go.recordedfuture.com/book， 2018.

[7] 青藤云安全.青藤云安全產(chǎn)品與解決方案手冊(cè)[EB/OL]. https：//qingteng.cn/download/， 2018.

[8] M. Maasberg， M. Ko， and N. L. Beebe. Exploring a systematic approach to malware threat assessment[J]. In 49th Hawaii International Conference on System Sciences （HICSS）， 2016：5517-5526.

[9] VirusTotal. YARA's documentation[EB/OL]. https：//yara.readthedocs.io/en/v3.8.1/， March 2019.