威脅情報助力互聯(lián)網(wǎng)應急響應

文/國家互聯(lián)網(wǎng)應急中心副主任兼總工程師 云曉春

威脅情報助力互聯(lián)網(wǎng)應急響應

文/國家互聯(lián)網(wǎng)應急中心副主任兼總工程師 云曉春

威脅情報就是為發(fā)現(xiàn)威脅提供幫助，并進行處置的相應知識。這種知識就是威脅情報。

在網(wǎng)絡安全領域的知識是有所界定的。在互聯(lián)網(wǎng)上發(fā)生不同的安全事件的解決方法也不一樣。針對不同的安全需求，需要建立不同的問題模型，針對不同的分析對象需要采取不同的分析方法。安全分析員要基于對可以獲得的數(shù)據(jù)源的理解，有針對性的確定分析邏輯。通過挖掘數(shù)據(jù)間的關系，總結規(guī)律，進而形成知識。

知識來自于網(wǎng)絡，這些數(shù)據(jù)是對客觀世界的真實描述。通過挖掘數(shù)據(jù)間的關系，可以得到可處理、可分析的信息。通過總結規(guī)律，形成相應知識。在知識的基礎上，處理相應的安全事件。

知識和威脅情報不是針對某一個安全事件的具體方法和手段，威脅情報的基本定位是能夠解決不同安全事件的一般性的基礎性的資源。

威脅情報可以感應未知的威脅。一般來說，可以把威脅情報分為：第一類是信譽情報。當發(fā)現(xiàn)未知威脅的時候，如果攻擊源頭本身就沒有信譽，首先應該對它產(chǎn)生懷疑；第二類是攻擊情報。通過監(jiān)測發(fā)現(xiàn)攻擊源、攻擊工具、曾經(jīng)被利用過的漏洞；第三類是其他情報。包括僵尸網(wǎng)絡的地址、0day漏洞。通過這些威脅情報，可以推斷出誰在進行攻擊、什么時候發(fā)起攻擊、產(chǎn)生了什么樣的后果。

因為威脅情報的內涵不同，所以價值也不同。例如描述一段惡意代碼，可以用一段特征值或者是Hash值來描述?？吹竭@個特征并不知道惡意代碼的機理、工作方式，所以這個威脅情報體現(xiàn)的內涵非常有限。如果這個情報可以描述更多的信息，價值應該會更大。

基于威脅情報，可以進行一系列的應急響應。針對不同的情報來源，采取相應措施，進行有針對性的應急響應。

互聯(lián)網(wǎng)上金融機構的仿冒網(wǎng)站非常多。一旦出現(xiàn)，能夠第一時間發(fā)現(xiàn)，在它竊取用戶錢財之前，就可以把它打掉。如果可以構建這樣一個威脅情報庫，只要是類似的網(wǎng)站，都聚成一類。就可以利用這個情報庫找到仿冒網(wǎng)站。

方法很簡單，就是在互聯(lián)網(wǎng)上爬取。至少是爬出第一個頁面，對數(shù)據(jù)進行整理解析，進而形成結構化、非結構化的信息。利用域名系統(tǒng)，可以得到全球網(wǎng)站的域名，從域名出發(fā)，爬取首頁。它的本質就是文本相似性計算，針對每一個首頁進行分詞，構成超大規(guī)模的矩陣。M行是詞庫的規(guī)模，N列是十幾億網(wǎng)站的數(shù)量。相似性計算最后得出的就是超大規(guī)模矩陣的分解，可以得到不同類型的網(wǎng)站。比如判斷跟工行相似的網(wǎng)站，先把工行的首頁爬取出來，跟其他的網(wǎng)站進行比較，就可以得到跟它相似的網(wǎng)站。排名前20位的網(wǎng)站都是工行的仿冒網(wǎng)站。

通過利用大數(shù)據(jù)計算能力、分析挖掘算法，有可能從大規(guī)模的數(shù)據(jù)中找到需要的知識，進而形成威脅情報庫。這種威脅情報庫不直接作用于某一個具體的安全事件，它可以作為解決處置安全事件的基礎資源，提供支撐作用。

網(wǎng)絡安全是全局性問題，任何一個網(wǎng)絡安全問題都不能靠單一的部門來解決。不同部門掌握不同的數(shù)據(jù)源，將各單位、各部門的資源整合在一起，有分析能力的部門進行數(shù)據(jù)的分析計算，就有可能形成更有價值的威脅情報信息，構建更有實用性的威脅情報庫，進而為政府機構、安全廠商、企事業(yè)用戶提供良好的支持。

現(xiàn)在的網(wǎng)絡態(tài)勢變得越來越復雜、越來越嚴峻?；谶@種情況，希望可以團結協(xié)作，利用已有的資源和能力，開發(fā)出更好的方法，產(chǎn)生更好的產(chǎn)品，為我們國家的網(wǎng)絡安全事業(yè)做出貢獻。

（本文摘錄整理自國家互聯(lián)網(wǎng)應急中心副主任兼總工程師云曉春先生在“ISC2015——中國互聯(lián)網(wǎng)安全精英峰會”上的發(fā)言報道。）X

>>威脅情報的基本定位就是能夠解決不同安全事件的一般性的基礎性的資源。