文/国家互联网应急中心副主任兼总工程师 云晓春

威胁情报助力互联网应急响应

文/国家互联网应急中心副主任兼总工程师 云晓春

威胁情报就是为发现威胁提供帮助，并进行处置的相应知识。这种知识就是威胁情报。

在网络安全领域的知识是有所界定的。在互联网上发生不同的安全事件的解决方法也不一样。针对不同的安全需求，需要建立不同的问题模型，针对不同的分析对象需要采取不同的分析方法。安全分析员要基于对可以获得的数据源的理解，有针对性的确定分析逻辑。通过挖掘数据间的关系，总结规律，进而形成知识。

知识来自于网络，这些数据是对客观世界的真实描述。通过挖掘数据间的关系，可以得到可处理、可分析的信息。通过总结规律，形成相应知识。在知识的基础上，处理相应的安全事件。

知识和威胁情报不是针对某一个安全事件的具体方法和手段，威胁情报的基本定位是能够解决不同安全事件的一般性的基础性的资源。

威胁情报可以感应未知的威胁。一般来说，可以把威胁情报分为：第一类是信誉情报。当发现未知威胁的时候，如果攻击源头本身就没有信誉，首先应该对它产生怀疑；第二类是攻击情报。通过监测发现攻击源、攻击工具、曾经被利用过的漏洞；第三类是其他情报。包括僵尸网络的地址、0day漏洞。通过这些威胁情报，可以推断出谁在进行攻击、什么时候发起攻击、产生了什么样的后果。

因为威胁情报的内涵不同，所以价值也不同。例如描述一段恶意代码，可以用一段特征值或者是Hash值来描述。看到这个特征并不知道恶意代码的机理、工作方式，所以这个威胁情报体现的内涵非常有限。如果这个情报可以描述更多的信息，价值应该会更大。

基于威胁情报，可以进行一系列的应急响应。针对不同的情报来源，采取相应措施，进行有针对性的应急响应。

互联网上金融机构的仿冒网站非常多。一旦出现，能够第一时间发现，在它窃取用户钱财之前，就可以把它打掉。如果可以构建这样一个威胁情报库，只要是类似的网站，都聚成一类。就可以利用这个情报库找到仿冒网站。

方法很简单，就是在互联网上爬取。至少是爬出第一个页面，对数据进行整理解析，进而形成结构化、非结构化的信息。利用域名系统，可以得到全球网站的域名，从域名出发，爬取首页。它的本质就是文本相似性计算，针对每一个首页进行分词，构成超大规模的矩阵。M行是词库的规模，N列是十几亿网站的数量。相似性计算最后得出的就是超大规模矩阵的分解，可以得到不同类型的网站。比如判断跟工行相似的网站，先把工行的首页爬取出来，跟其他的网站进行比较，就可以得到跟它相似的网站。排名前20位的网站都是工行的仿冒网站。

通过利用大数据计算能力、分析挖掘算法，有可能从大规模的数据中找到需要的知识，进而形成威胁情报库。这种威胁情报库不直接作用于某一个具体的安全事件，它可以作为解决处置安全事件的基础资源，提供支撑作用。

网络安全是全局性问题，任何一个网络安全问题都不能靠单一的部门来解决。不同部门掌握不同的数据源，将各单位、各部门的资源整合在一起，有分析能力的部门进行数据的分析计算，就有可能形成更有价值的威胁情报信息，构建更有实用性的威胁情报库，进而为政府机构、安全厂商、企事业用户提供良好的支持。

现在的网络态势变得越来越复杂、越来越严峻。基于这种情况，希望可以团结协作，利用已有的资源和能力，开发出更好的方法，产生更好的产品，为我们国家的网络安全事业做出贡献。

（本文摘录整理自国家互联网应急中心副主任兼总工程师云晓春先生在“ISC2015——中国互联网安全精英峰会”上的发言报道。）X

>>威胁情报的基本定位就是能够解决不同安全事件的一般性的基础性的资源。