中债威胁情报平台建设研究

马奇辰　焦伟　高浩

摘要：在复杂的国际环境下，日趋严峻的内外部攻击威胁已经成为“新常态”，围绕攻防实战能力提升的“网络安全2.0时代”已经到来。中央结算公司积极进行企业安全主动防御能力建设，并按照网络安全等级保护制度对资产实行重点保护。针对商业威胁情报缺乏及时性、定向性、准确性等特征，中央结算公司通过知识图谱等技术自主研发了中债威胁情报平台，全面收集、挖掘分析及沉淀情报线索，输出有针对性的战术、运营、战略情报，以达到捕捉安全风险、发现潜在威胁、看清安全状况、挖掘攻击方真实意图等目的，进而为实战状态下的整体安全防护提供有力支撑。

关键词：内生情报 知识图谱 主动防御

威胁情报简介

（一）定义

对于威胁情报，不同机构给出的定义有所差异。美国SANS研究院（埃斯卡尔先进技术研究院）认为“网络威胁情报是分析关于进行网络作战对手的能力、机会和意图的信息”。美国Gartner（高德纳公司）认为“威胁情报是基于证据的知识，包括上下文、机制、指标、隐含和可操作的建议，针对一个现存的或新兴的威胁，可用于做出相应决定的知识”。目前，后者定义的接受度更高。

（二）产生的原因

攻击者在向企业或组织发起针对性攻击时，都经过了长时间的策划准备，对攻击目标进行前期情报收集、边界探测，进而重点攻击、突破防守，并持久控制。而防守方对攻击者的攻击手法、攻击途径、攻击武器等信息一无所知，只能依靠安防设备通过特征检测、规则匹配等方式进行被动防御。面对这种攻击时，攻防双方存在严重的信息不对称，如何把攻防对抗中捕获的攻击方有关信息不断积累沉淀进而形成经验、知识应用到安全建设中，弥补攻防两端的信息差，从而提前感知潜在威胁，是亟待解决的问题，威胁情报由此应运而生。

（三）类型分析

从不同视角出发，威胁情报类型的划分也有差异，本文主要从攻击者和防守方两个视角来划分威胁情报类型。

1.基于攻击者视角对威胁情报类型的划分

2013年3月，安全专家David J. Bianco在其文章《痛苦金字塔》（The Pyramid of Pain）中首次提出了“痛苦金字塔”的概念。图1展示了痛苦金字塔的层级结构图，从下至上依次为哈希值，网络地址，域名，网络及主机信息，工具，战术、技术以及过程等六类威胁情报，情报重要程度逐级上升，同时也表示情报给攻击者带来的“痛苦”程度从“不重要”上升为“艰难的”。“痛苦”一词是针对攻击者来说的，金字塔的最底层为哈希值，当掌握攻击方关于哈希值的情报时，给攻击者带来的“痛苦”最小;随着金字塔层级不断提升，掌握的情报给攻击者带来的“痛苦”也随之上升。

2.基于防守方视角对威胁情报类型的划分

从防守方视角一般可将威胁情报分为战略情报、战术情报、运营情报三类。战略情报旨在为企业高管和其他决策者作出高层决策提供信息。战略情报技术含量较低，通常以报告或简报形式呈现，涵盖企业安全态势的概况、网络活动攻击以及对公司影响等内容。战术情报通常称为战术、技术和程序，是关于攻击者如何进行攻击的信息。战术情报可帮助企业了解可能遭受的攻击以及如何防御或减轻这些攻击。运营情报是关于特定网络攻击的情报，即关于攻击者将在何时、以何种方式攻击企业的情报，这类情报非常难以获取，它可帮助企业的安全团队了解特定攻击的性质、意图。

中债威胁情报平台建设的必要性

当前，商业威胁情报数据主要是通用的威胁情报，缺乏特定行业、领域的定制化情报。金融业作为资金大量聚集的行业，已然成为网络攻击的重灾区，其中很多网络攻击针对特定金融机构定制了特有的攻击工具、手法，这些信息是商业威胁情报所不能覆盖的。中央结算公司作为金融行业重要基础设施，需要通过自建威胁情报平台，内生出自有情报，防御针对性攻击，以达到捕捉安全风险，从而提升公司安全能力的目的。

（一）威胁情报为安全运营赋能

随着网络攻击的针对性、隐蔽性、复杂性不断提升，企业对每次攻击进行有效阻断的难度逐渐加大。为了应对千变万化的网络环境和外部威胁，企业的安全运营工作逐渐从被动转向主动，力求从防御、检测、响应和预测四个维度构建形成网络安全运营“闭环”。安全运营的重心也从被动防御向检测和响应倾斜——既然无法完全防御，那就及早检测并尽快响应，这离不开对威胁情报的有效利用。威胁情报平台可以实现对多源威胁情报的收集、整合、评估、运营和使用，并与安全运营中心整合协同，协助用户实现对攻击的阻断、检测和响应。

（二）威胁情报支撑主动防御能力建设

传统的安全防护多数依赖边界或特殊节点部署，类似于防火墙等安全设备的被动防御，实行以特征检测为主的安全监控，并基于规则匹配产生警报。然而，面对各类新型威胁，传统的安全防御方式显得愈发捉襟见肘。Robert M. Lee于2015年提出了著名的“网络安全滑动标尺模型”，描述了企业应对外部攻击时网络安全能力建设的五个阶段，如图2所示。其中，威胁情报建设处于较高阶段，这不仅要求企业消费威胁情报，还应具有收集数据、提炼信息、生产情报的能力，并將整合的威胁情报与安全设备联动应用，共享威胁数据，提高威胁检测识别的准确率，缩短响应时间和降低防御成本，提升企业的主动防御能力。

中债威胁情报平台总体设计架构

中债威胁情报平台通过对情报数据获取、清洗、关联、推理、消费、运营，借助大数据、知识图谱等前沿技术，实现多源情报聚合管理、本地情报生产、安全设备赋能、情报运营及共享等多个功能。

在架构设计方面，中债威胁情报平台主要分为信源层、存储层、分析层、管理层、业务层，如图3所示。

（一）信源层

中债威胁情报平台的威胁情报线索来源包括内部情报和外部情报两部分。商业情报、开源情报、行业共享情报、与企业相关的外网情报都属于外部情报范畴，其特点是通用性较强、覆盖面较广，被各企业共用，但因其数据量较大，往往会造成有效情报的转化率偏低。外部情报可以有效应对流行性攻击，但在面对具有较强针对性的高级、可持续威胁攻击时，则非常需要企业借助自身生产的内部情报（即内生情报）来支撑对攻击的预判和应对。蜜罐数据、安全设备的日志以及流量分析数据是内生情报的主要来源。在高级、可持续威胁攻击中，攻击者都会进行前期资产摸查工作，如端口探测、子域名搜集。如果此时通过蜜罐监测、流量分析等方式挖掘出有关攻击者的相关情报信息，那么就能够提前感知威胁，并作出及时响应。

信源层对公司设备和系统日志、公司相关外部情报线索、商业情报、行业共享情报等多源威胁情报大数据进行抽取汇总，支持以手工、批量、自动化等不同形式接入其他多源威胁情报，进而根据情报源及情报类型对威胁情报的准确度、优先级进行评分，形成较为全面、具有不同粒度层次的中债威胁情报数据库，为公司提升主动防御能力打下坚实的情报数据基础。

（二）存储层

在存储关系型数据时，中债威胁情报平台使用PostgreSQL和MySQL两个开源数据库软件，包含失陷指标、网络地址信誉情报、攻击团伙情报、攻击手法等多种情报，可提供用户和设备查询所需要的情报信息。为了提供高速应用程序接口，响应实时查询的需求，平台使用Elasticsearch作为搜索与数据分析引擎，以满足实时的搜索需求。平台采用图数据库处理大量复杂、具有关联关系、低结构化的威胁情报，尽可能挖掘关联情报，丰富搜索结果的上下文。

（三）分析层

分析层可以看作中债威胁情报平台的核心分析引擎，从安防设备和终端等渠道获取分析日志，应用文件扫描、机器学习等多种技术手段和检测方法挖掘可疑日志数据，定位异常活动主机，发现潜在威胁，进而察觉并阻断攻击。同时，攻击过程中使用的网络地址、哈希文件、攻击手法等相关数据又可被收集沉淀，形成公司内生情报，丰富平台情报数据，提高引擎分析能力。

此外，中债威胁情报平台还使用知识图谱技术，提高对海量数据加工整合的能力，解决公司多源威胁情报数据碎片化、情报多样性、数据海量性等问题，从而提高威胁情报的处理效率以及情报质量。知识图谱通过关系挖掘关联多方情报数据，根据少量线索检索关联网络地址、域名、攻击手法以及历史记录等信息，辅助分析师决策判断。同时，分析师的分析结果又可以反馈到威胁情报平台，调整算法参数，修改数据源权重，提升情报质量。

（四）管理层

中债威胁情报平台提供了丰富的系统管理组件。一是用户管理，包括用户新建和删除、类型选择、权限设置等。二是设备授权管理，主要是提供管理外部设备的应用程序接口功能，支持进行查询、指定情报源的使用、数据统计分析功能等。三是系统配置管理，主要针对系统管理员，用于威胁情报平台总体维护，如系统更新、参数设置等。此外还包括对情报的管理，如情报源扩展、分发、聚合、更新等。平台还内置了展示模块，可对威胁情报的数据进行统计分析，直观展示总体情报量、每日新增量、总域名信息、日志总量等统计指标。

（五）业务层

中债威胁情报平台的主要价值体现在赋能业务场景应用。平台与态势感知、入侵防御系统、网络应用防护系统、终端防护等安防设备对接，共享威胁情报，提高设备的检测和分析能力，快速感知内部失陷主机，阻断外部攻击源网络地址。与事件响应工具或安全信息与事件管理系统共享情报优先级，对风险事件进行过滤、筛选和风险排列，降低误报率，应对过量的警报。中債威胁情报平台把海量威胁情报中的数据与攻击者相关联，还原出攻击者使用的工具、攻击手法等信息，全面描绘攻击者画像;通过关联攻击者的网络资源，发现攻击者涉及的其他攻击事件，并把所有分析结果通过可视化分析工具在业务端以图形化方式展示，可以使安全分析人员看清攻击者的信息、攻击行为、攻击者的资产、攻击目的等，甚至溯源到攻击者的真实身份，最终达到看清攻击全景的目的。

中债威胁情报平台的创新性

中债威胁情报平台使用业界前沿的机器学习、深度学习、知识图谱等技术，以威胁情报知识图谱为载体，以机器学习、深度学习为技术手段，以安全防护中的实际应用场景为落脚点，分析挖掘威胁情报信息，建立中债内生情报平台，进而为安全防护管理提供丰富的决策依据，实现了多个功能模块，如图4所示。

（一）情报知识图谱的构建

通过对中债威胁情报知识图谱的挖掘与构造，实现对类型多样、数据碎片化、数据海量性的威胁情报的整体关联，提高对威胁情报的整合能力，形成高质量的威胁情报库。通过情报推理等过程，探索威胁情报的智能化分析，基于已有的威胁情报以及丰富的日志数据，挖掘生成新的情报知识，丰富情报数据库。

（二）基于威胁情报的智能分析

中债威胁情报平台基于情报知识图谱的智能分析，利用深度学习技术，结合攻击团伙信息，以挖掘潜在威胁场景，为实际安全运营中的管理决策提供依据。传统基于规则的威胁检测和匹配无法应对攻击方式的任意变化，且都会因策略、模型问题产生大量误报。根据千变万化的动作或行为数据，发现其中的规律，建立完善的知识库和推理机制，将对入侵的了解变成知识，利用人工智能技术，根据知识进行推理，发现零日攻击，结合攻击团伙信息库去推测此次攻击的战略意图，从而为管理决策提供依据。

（三）内生情报助力网络安全建设

中债威胁情报平台与安防设备联动，在共享威胁情报的同时，也分析安防设备的日志，感知潜在威胁，挖掘和关联攻击者的相关情报信息，提炼、沉淀形成公司的内生情报。平台充分利用内生情报的价值，在管理层完成情报的分发管理与系统展示，并在业务层实现内部业务的赋能以及行业情报共享。

主要结论

当前商业及开源威胁情报多从外网威胁分析中沉淀而来，缺乏企业内部所需情报具有的及时性、定向性、准确性特征。因此，建立中债内生情报平台，及时发现与公司相关的外部安全风险，结合历史数据及专家经验，挖掘情报信息，以提高检测和应急响应速度，提升准确率，看清攻击背后意图，发现零日漏洞，最终达到为公司安全主动防御能力赋能的目的。

作者单位：中央结算公司博士后科研工作站

中债金科信息技术有限公司

中债金科信息技术有限公司

责任编辑：涂晓枫 印颖

参考文献

[1] David J. Bianco. The Pyramid of Pain[R/OL]. （2013-03-02）[2014-01-17]. https：//detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html.

[2] SANS Institute. 2021 SANS Cyber Threat Intelligence （CTI） Survey[R/OL]. （2021-01）[2021-01-18]. https：//www.sans.org/white-papers/40080/.

[3] SANS Institute. The Sliding Scale of Cyber Security[R/OL]. （2015-08）[2015-09-01]. https：//www.sans.org/white-papers/36240/.

猜你喜欢主动防御知识图谱网络空间安全智能主动防御关键技术的思考与实践计算机与网络(2021年3期)2021-04-01坦克主动防御系统，只是看上去很美发明与创新·大科技(2017年12期)2017-12-22新世纪以来我国幼儿游戏研究的知识图谱分析幼儿教育·教育科学版(2017年11期)2017-12-13可信计算技术对抗非预知病毒的原理与应用网络空间安全(2017年9期)2017-09-30基于大数据的社交网络分析主题演化及热点的可视化研究新世纪图书馆(2017年8期)2017-09-06我国近十年体育教学改革研究的可视化分析中文信息(2017年1期)2017-05-11MOOC文献知识图谱的可视化分析中国教育信息化·高教职教(2016年12期)2017-04-15基于CSSCI的国内公共安全研究知识图谱分析现代情报(2017年2期)2017-02-27中国高等教育学研究重点及前沿分析重庆大学学报(社会科学版)(2016年4期)2016-10-27浅析ＨＩＰＳ系统防火墙技术与发展网络与信息(2009年3期)2009-05-21 相关热词搜索：