孫 輝，羅雙春，李余彪

(78111部隊(duì)，四川 成都 610031)

0 引言

隨著網(wǎng)絡(luò)空間攻擊理論和技術(shù)的深入發(fā)展，對(duì)網(wǎng)絡(luò)攻擊的方式逐漸聚集到使用APT(高危持續(xù)攻擊)方式和利用尚未公開(kāi)的零日漏洞上來(lái)，這使得現(xiàn)實(shí)網(wǎng)絡(luò)安全防護(hù)面臨的挑戰(zhàn)和風(fēng)險(xiǎn)日益上升。對(duì)于這類(lèi)新型網(wǎng)絡(luò)攻擊方式，防火墻、入侵檢測(cè)系統(tǒng)等傳統(tǒng)的被動(dòng)式安全防護(hù)手段雖然能起到一定的抵御攻擊的作用，但其基于已知攻擊行為特征的檢測(cè)響應(yīng)模式，面對(duì)新型攻擊時(shí)往往導(dǎo)致防御失效。2013年提出應(yīng)對(duì)這類(lèi)新型攻擊的方法，即網(wǎng)絡(luò)威脅情報(bào)。網(wǎng)絡(luò)威脅情報(bào)是基于證據(jù)的知識(shí)，包括機(jī)制、環(huán)境、推論、指標(biāo)、可行性建議等，它能夠針對(duì)潛在的風(fēng)險(xiǎn)或威脅提供建議和決策[1]。隨著網(wǎng)絡(luò)威脅情報(bào)概念的出現(xiàn)，業(yè)界也開(kāi)展了相應(yīng)的研究。魏為民等人在文獻(xiàn)[2]中介紹了網(wǎng)絡(luò)威脅情報(bào)各類(lèi)標(biāo)準(zhǔn)的核心內(nèi)容，指出企業(yè)應(yīng)根據(jù)自身環(huán)境定制威脅情報(bào)。李超等人在文獻(xiàn)[3]中歸納了大數(shù)據(jù)環(huán)境下適用于威脅情報(bào)分析的相關(guān)技術(shù)，提出了威脅情報(bào)分析的流程。單琳在文獻(xiàn)[4]中從技術(shù)和管理角度分析了威脅情報(bào)的特點(diǎn)、優(yōu)勢(shì)及不足，并結(jié)合我國(guó)現(xiàn)狀提出相關(guān)建議。徐銳等人在文獻(xiàn)[5]中從網(wǎng)絡(luò)防御的視角介紹安全威脅情報(bào)的作用和工作流程，并探討了安全威脅情報(bào)的應(yīng)用場(chǎng)景和研究熱點(diǎn)。呂宗平等人在文獻(xiàn)[6]中提出一種基于攻擊鏈結(jié)合網(wǎng)絡(luò)異常流量檢測(cè)的威脅情報(bào)分析方法。林晨希等人在文獻(xiàn)[7]中詳細(xì)介紹了網(wǎng)絡(luò)安全威脅情報(bào)的生成與共享方法，并分析總結(jié)了網(wǎng)絡(luò)安全威脅情報(bào)的發(fā)展現(xiàn)狀。

網(wǎng)絡(luò)威脅情報(bào)技術(shù)得益于大數(shù)據(jù)、云計(jì)算等技術(shù)的應(yīng)用和支撐日趨完善，國(guó)家相關(guān)安全機(jī)構(gòu)、網(wǎng)絡(luò)安全廠(chǎng)商紛紛建立了網(wǎng)絡(luò)安全威脅情報(bào)中心，與各類(lèi)網(wǎng)絡(luò)安全防護(hù)產(chǎn)品一起，為國(guó)家網(wǎng)絡(luò)空間筑起堅(jiān)實(shí)的安全屏障。

1 大數(shù)據(jù)技術(shù)

從2012年開(kāi)始，“大數(shù)據(jù)”已經(jīng)成為關(guān)注度最高的詞匯之一并延續(xù)至今。大數(shù)據(jù)從概念上講，具有被稱(chēng)為“4V”的顯著特征，即規(guī)模巨量(Volume)、類(lèi)型多樣(Variety)、流轉(zhuǎn)迅速(Velocity)、較低的價(jià)值密度(Value)，是超出傳統(tǒng)處理技術(shù)能力的大量數(shù)據(jù)的集合。要對(duì)這類(lèi)數(shù)據(jù)進(jìn)行處理和分析，需要借助新興的平臺(tái)和技術(shù)，即大數(shù)據(jù)處理技術(shù)。

1.1 大數(shù)據(jù)處理主流平臺(tái)

大數(shù)據(jù)處理平臺(tái)是一種計(jì)算平臺(tái)，包括硬件系統(tǒng)、操作系統(tǒng)和運(yùn)行庫(kù)，在其上可支持各類(lèi)大數(shù)據(jù)處理算法運(yùn)行。當(dāng)前業(yè)界中存在的大數(shù)據(jù)平臺(tái)較多，本文主要對(duì)較為流行的Hadoop和Spark平臺(tái)進(jìn)行介紹。

1.1.1 Hadoop平臺(tái)

Hadoop是一種分布式的重量級(jí)大數(shù)據(jù)分析處理平臺(tái)，它構(gòu)建在谷歌公司開(kāi)發(fā)的大數(shù)據(jù)分析處理編程模型和MapReduce框架之上。Hadoop對(duì)大數(shù)據(jù)處理的過(guò)程是將大型的數(shù)據(jù)處理業(yè)務(wù)分割為多個(gè)小任務(wù)，分配給多臺(tái)計(jì)算機(jī)進(jìn)行處理。它是分布式計(jì)算處理計(jì)算架構(gòu)的開(kāi)山鼻祖，在大數(shù)據(jù)處理方面應(yīng)用非常廣泛。這種分布式處理的過(guò)程具有以下幾方面的優(yōu)點(diǎn)：(1)可靠性高，(2)處理性能高效，(3)成本低廉，(4)擴(kuò)展性好。從數(shù)據(jù)底層存儲(chǔ)方面來(lái)說(shuō)，該平臺(tái)通過(guò)構(gòu)建Hadoop分布式文件系統(tǒng)(Hadoop Distributed File System，HDFS)來(lái)支撐數(shù)據(jù)處理任務(wù)，它將平臺(tái)中所有計(jì)算機(jī)的硬盤(pán)資源匯集在一起，進(jìn)行調(diào)用、分割、存儲(chǔ)；在資源調(diào)度管理層面，通過(guò)YARN(Yet Another Resource Negotiator)集群調(diào)度和管理軟件，對(duì)所有資源進(jìn)行統(tǒng)一調(diào)度管理；從數(shù)據(jù)處理計(jì)算方面來(lái)說(shuō)，該平臺(tái)使用MapReduce實(shí)現(xiàn)框架對(duì)數(shù)據(jù)進(jìn)行分布式分析計(jì)算。此外，經(jīng)多年發(fā)展，Hadoop生態(tài)圈也日趨成熟，許多功能組件被集成到平臺(tái)中，如ZooKeeper、HBase、Hive、Pig、Sqoop等。

1.1.2 Spark平臺(tái)

Spark是一種輕量級(jí)的大數(shù)據(jù)分析處理平臺(tái)，其系統(tǒng)架構(gòu)的核心是Spark Core，在其中實(shí)現(xiàn)了類(lèi)Map算子和類(lèi)Reduce算子，也為用戶(hù)提供了Filter、Join、GroupbyKey等功能豐富的算子。與Hadoop平臺(tái)相比，Spark平臺(tái)的最大優(yōu)點(diǎn)就是處理速度快。Spark平臺(tái)提供了內(nèi)存計(jì)算框架來(lái)減少輸入/輸出開(kāi)銷(xiāo)，此外，Spark提供了同時(shí)滿(mǎn)足流式計(jì)算、批處理和交互式查詢(xún)等不同應(yīng)用場(chǎng)景數(shù)據(jù)處理的能力。該平臺(tái)采用彈性分布式數(shù)據(jù)集(Resilient Distributed Dataset,RDD)的方式來(lái)存儲(chǔ)海量數(shù)據(jù)，這為系統(tǒng)節(jié)約了絕大部分磁盤(pán)讀寫(xiě)所耗費(fèi)的時(shí)間。該平臺(tái)還支持許多功能豐富的組件，包括：Spark Streaming，用于實(shí)時(shí)流計(jì)算；Spark SQL，用于各類(lèi)查詢(xún)；MLlib，用于數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)；GraphX，用于圖計(jì)算等。Spark可以運(yùn)行在獨(dú)立集群中，也可以運(yùn)行在Hadoop、Amazon EC2等云環(huán)境中。

1.2 大數(shù)據(jù)處理關(guān)鍵技術(shù)

大數(shù)據(jù)分析處理技術(shù)不是一種單一的技術(shù)，而是一整套貫穿大數(shù)據(jù)采集、存儲(chǔ)、分析處理及應(yīng)用全過(guò)程的分析和處理技術(shù)的總稱(chēng)。人們使用這些與以往不同的新興技術(shù)處理結(jié)構(gòu)化、非結(jié)構(gòu)化的數(shù)據(jù)，從中得到分析處理結(jié)果[8]。這些技術(shù)包括大數(shù)據(jù)采集、預(yù)處理、存儲(chǔ)和管理、分析和挖掘、可視化呈現(xiàn)等。

1.2.1 數(shù)據(jù)采集與預(yù)處理技術(shù)

根據(jù)采集方式的不同，采集技術(shù)分為主動(dòng)采集和被動(dòng)采集。主動(dòng)采集通過(guò)Telnet、SNMP、HTTP、FTP、SSH協(xié)議、ODBC/JDBC接口、代理和插件、漏洞和端口掃描、蜜罐和蜜網(wǎng)等技術(shù)進(jìn)行采集；被動(dòng)式采集通過(guò)有線(xiàn)和無(wú)線(xiàn)、集線(xiàn)器和交換機(jī)、Syslog、NetFlow/IPFIX/sFlow、Web Service/MQ、DPI/DFI等技術(shù)進(jìn)行采集。數(shù)據(jù)預(yù)處理方法包括數(shù)據(jù)清洗、集成、規(guī)約、變換、融合等，在分析前去除采集的數(shù)據(jù)中可能存在的無(wú)關(guān)、重復(fù)、錯(cuò)誤等噪聲，保證數(shù)據(jù)分析準(zhǔn)確性。

1.2.2 大數(shù)據(jù)存儲(chǔ)與管理技術(shù)

該技術(shù)的運(yùn)用主要針對(duì)結(jié)構(gòu)化、非結(jié)構(gòu)化、半結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)、調(diào)度、管理相關(guān)事務(wù)，主要包括分布式數(shù)據(jù)庫(kù)、分布式文件系統(tǒng)、分布式協(xié)調(diào)系統(tǒng)、資源調(diào)度管理、非關(guān)系型數(shù)據(jù)庫(kù)等。

1.2.3 大數(shù)據(jù)分析與挖掘技術(shù)

該技術(shù)主要由機(jī)器學(xué)習(xí)技術(shù)、神經(jīng)網(wǎng)絡(luò)技術(shù)、統(tǒng)計(jì)分析技術(shù)、數(shù)據(jù)庫(kù)分析技術(shù)等組成。其中機(jī)器學(xué)習(xí)技術(shù)包括決策樹(shù)、貝葉斯網(wǎng)絡(luò)、邏輯回歸、隨機(jī)森林、高斯混合模型、支持向量機(jī)等；神經(jīng)網(wǎng)絡(luò)技術(shù)包括自組織神經(jīng)網(wǎng)絡(luò)、前向神經(jīng)網(wǎng)絡(luò)等；統(tǒng)計(jì)分析技術(shù)包括判別分析、回歸分析、聚類(lèi)分析等；數(shù)據(jù)庫(kù)分析技術(shù)包括聯(lián)機(jī)分析處理、多維數(shù)據(jù)分析、面向?qū)傩缘臍w納法等。

1.2.4 大數(shù)據(jù)可視化呈現(xiàn)技術(shù)

該技術(shù)通過(guò)生動(dòng)、直觀(guān)、形象的方式將數(shù)據(jù)分析處理結(jié)果呈現(xiàn)給用戶(hù)。該技術(shù)包括層次與網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)可視化、時(shí)空數(shù)據(jù)可視化、多變量數(shù)據(jù)可視化、文本和跨媒體數(shù)據(jù)可視化等。

2 信息網(wǎng)絡(luò)威脅情報(bào)技術(shù)架構(gòu)

當(dāng)前各類(lèi)信息網(wǎng)絡(luò)應(yīng)當(dāng)構(gòu)建由安全大數(shù)據(jù)技術(shù)支撐的內(nèi)網(wǎng)威脅情報(bào)系統(tǒng)，在傳統(tǒng)的縱深防御安全架構(gòu)之上，形成“安全策略—監(jiān)測(cè)預(yù)警—威脅感知—應(yīng)急處置”的閉環(huán)，第一時(shí)間感知威脅，精準(zhǔn)應(yīng)急響應(yīng)，實(shí)現(xiàn)從被動(dòng)防御向積極防御、從單點(diǎn)防御向整體防控的轉(zhuǎn)化。

信息網(wǎng)絡(luò)威脅情報(bào)體系以大數(shù)據(jù)處理技術(shù)為基礎(chǔ)，以安全數(shù)據(jù)接入、安全數(shù)據(jù)存儲(chǔ)、安全數(shù)據(jù)分析、共享基礎(chǔ)框架為支撐，結(jié)合威脅情報(bào)防御組織體系和標(biāo)準(zhǔn)體系，共同為威脅情報(bào)運(yùn)用共享提供支撐，其技術(shù)架構(gòu)如圖1所示。

圖1 威脅情報(bào)技術(shù)體系架構(gòu)

2.1 安全數(shù)據(jù)接入層

采集各類(lèi)安全數(shù)據(jù)并對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，由各類(lèi)結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)采集接口、數(shù)據(jù)處理工具集組成。

2.2 安全數(shù)據(jù)存儲(chǔ)層

將接入層采集并預(yù)處理后的安全數(shù)據(jù)存儲(chǔ)到HDFS、MySQL等結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)庫(kù)中，通過(guò)數(shù)據(jù)讀寫(xiě)接口為安全數(shù)據(jù)分析層和情報(bào)共享基礎(chǔ)框架提供數(shù)據(jù)調(diào)用和管理工作。

2.3 安全數(shù)據(jù)分析層

完成對(duì)數(shù)據(jù)的分析和重要信息提取工作，數(shù)據(jù)處理引擎采用Spark、Storm等計(jì)算框架，基礎(chǔ)分析包括聚類(lèi)分析、關(guān)聯(lián)分析、回歸分析、降維分析等，高級(jí)分析包括APT發(fā)現(xiàn)、DDoS溯源、樣本鑒定、行為還原、攻擊者畫(huà)像等。

2.4 情報(bào)共享基礎(chǔ)框架

通過(guò)共享接口和Echart等可視化組件為情報(bào)運(yùn)用共享層提供服務(wù)支持。

威脅情報(bào)防御組織體系為情報(bào)生成提供運(yùn)行支撐，威脅情報(bào)防御標(biāo)準(zhǔn)體系為情報(bào)生成全過(guò)程提供統(tǒng)一規(guī)范的標(biāo)準(zhǔn)。

2.5 情報(bào)運(yùn)用共享層

實(shí)施對(duì)威脅情報(bào)的組織運(yùn)用，包括情報(bào)服務(wù)、安全應(yīng)用和跨域情報(bào)協(xié)同等。

3 信息網(wǎng)絡(luò)威脅情報(bào)生成

信息網(wǎng)絡(luò)威脅情報(bào)生成過(guò)程主要包括安全數(shù)據(jù)采集、安全數(shù)據(jù)預(yù)處理、安全數(shù)據(jù)存儲(chǔ)、安全數(shù)據(jù)分析、威脅情報(bào)服務(wù)五個(gè)步驟。通過(guò)生成的情報(bào)可形成內(nèi)網(wǎng)威脅感知地圖、支持安全事件溯源分析、促進(jìn)全網(wǎng)系統(tǒng)協(xié)同響應(yīng)等。

3.1 安全數(shù)據(jù)采集

一是網(wǎng)絡(luò)中傳統(tǒng)的關(guān)系數(shù)據(jù)庫(kù)、其他結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)庫(kù)中數(shù)據(jù)的傳遞和采集，比如使用Sqoop工具來(lái)完成Hadoop的HDFS系統(tǒng)與關(guān)系數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行轉(zhuǎn)移和抽??；二是采集網(wǎng)絡(luò)中的實(shí)時(shí)流量數(shù)據(jù)，包括流量探針數(shù)據(jù)、網(wǎng)絡(luò)交換機(jī)的端口鏡像數(shù)據(jù)、安全防護(hù)、安全監(jiān)控裝備的系統(tǒng)日志(如入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防火墻)及報(bào)警日志信息等；三是采集外部網(wǎng)絡(luò)數(shù)據(jù)，包括互聯(lián)網(wǎng)數(shù)據(jù)或第三方數(shù)據(jù)，可以使用探測(cè)掃描或網(wǎng)絡(luò)爬蟲(chóng)的方式，采集互聯(lián)網(wǎng)中的資產(chǎn)基礎(chǔ)數(shù)據(jù)，包括IP指紋、Web指紋、DNS解析記錄、ICP備案、whois、地理位置、CVE/CNCVE/CNVD/CNNVD等漏洞信息，也可以使用直接購(gòu)買(mǎi)、共享交換等形式獲取第三方收集積累的情報(bào)數(shù)據(jù)。

3.2 安全數(shù)據(jù)預(yù)處理

將采集的數(shù)據(jù)存入安全大數(shù)據(jù)存儲(chǔ)區(qū)域之前，需要使用各種數(shù)據(jù)預(yù)處理工具，對(duì)數(shù)據(jù)進(jìn)行清洗、轉(zhuǎn)換、抽取、歸并、脫敏等工作。數(shù)據(jù)抽取過(guò)程將收集到的異構(gòu)多源數(shù)據(jù)轉(zhuǎn)化為單一或便于處理的構(gòu)型，對(duì)不同來(lái)源的情報(bào)進(jìn)行標(biāo)準(zhǔn)化數(shù)據(jù)表示，以滿(mǎn)足快速分析處理的要求；數(shù)據(jù)清洗針對(duì)采集數(shù)據(jù)中存在的重復(fù)、錯(cuò)誤、缺失等噪聲進(jìn)行過(guò)濾，保證數(shù)據(jù)的有效性，提升數(shù)據(jù)的置信度；數(shù)據(jù)歸并通過(guò)掃描合并同類(lèi)數(shù)據(jù)，保證輸入數(shù)據(jù)的一致性和高質(zhì)量。

3.3 安全數(shù)據(jù)存儲(chǔ)

支持多種存儲(chǔ)方式，包括數(shù)據(jù)倉(cāng)庫(kù)存儲(chǔ)、NoSQL存儲(chǔ)、列式云存儲(chǔ)等；支持靈活切換不同存儲(chǔ)方式，以適應(yīng)業(yè)務(wù)變化和快速配置要求，還支持對(duì)傳統(tǒng)數(shù)據(jù)集市、數(shù)據(jù)倉(cāng)庫(kù)的數(shù)據(jù)集成。通過(guò)使用Hadoop集群技術(shù)能夠?qū)崿F(xiàn)多種計(jì)算、存儲(chǔ)模式的云資源調(diào)度。通過(guò)建構(gòu)一體化的數(shù)據(jù)處理模塊，支持對(duì)多粒度和多模態(tài)數(shù)據(jù)的融合集成，形成標(biāo)準(zhǔn)的數(shù)據(jù)集提供給計(jì)算服務(wù)層分析處理。

3.4 安全數(shù)據(jù)分析

通過(guò)構(gòu)建合適的數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)模型，如聚類(lèi)模型、預(yù)測(cè)模型、分類(lèi)模型等，使用以文本、圖像、視頻和傳感器數(shù)據(jù)等為代表的多模態(tài)計(jì)算方法，或是以?xún)?nèi)存處理、實(shí)時(shí)流處理和批處理等為代表的多模式計(jì)算方法，對(duì)獲取的多方面數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，挖掘出不同數(shù)據(jù)之間的隱藏聯(lián)系，梳理網(wǎng)絡(luò)整體的安全態(tài)勢(shì)并進(jìn)行可視化展示，從而提高網(wǎng)絡(luò)整體在安全管理方面的低延時(shí)和可預(yù)測(cè)能力。

3.5 威脅情報(bào)服務(wù)

情報(bào)服務(wù)是威脅情報(bào)價(jià)值的最終體現(xiàn)，情報(bào)推送預(yù)警服務(wù)將可機(jī)讀情報(bào)轉(zhuǎn)化理解為安全措施、安全規(guī)則、安全策略，直接傳送到相應(yīng)的安全設(shè)備，其安全防護(hù)能力水平可得到有效提升；情報(bào)查詢(xún)服務(wù)提供戰(zhàn)術(shù)或戰(zhàn)略情報(bào)等人讀情報(bào)的搜索和匯集功能，主要面向安全運(yùn)營(yíng)和安全分析人員；威脅風(fēng)險(xiǎn)預(yù)測(cè)服務(wù)基于威脅情報(bào)形成威脅感知理解，評(píng)估系統(tǒng)面臨的安全風(fēng)險(xiǎn)，預(yù)測(cè)可能遭受的攻擊行為。

4 信息網(wǎng)絡(luò)威脅情報(bào)運(yùn)用

當(dāng)前惡意組織和個(gè)人利用零日漏洞和APT攻擊呈高發(fā)態(tài)勢(shì)，其攻擊范圍、時(shí)間、技術(shù)方式均較難預(yù)測(cè)，對(duì)信息網(wǎng)絡(luò)造成極大威脅。建好用好信息網(wǎng)絡(luò)威脅情報(bào)體系，對(duì)盡快識(shí)別攻擊行為、鎖定攻擊范圍、發(fā)出攻擊預(yù)警、協(xié)同應(yīng)急響應(yīng)、提升防御效能具有極大的促進(jìn)作用。

4.1 安全威脅事前預(yù)測(cè)

基于對(duì)攻防對(duì)抗的海量安全事件理解，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行辨識(shí)、分析和控制，在達(dá)到發(fā)生安全事件之前及時(shí)有效地控制攻擊危害。基于對(duì)海量攻防數(shù)據(jù)的分析，梳理出實(shí)施攻擊行動(dòng)的行為模式，整合為威脅情報(bào)，則可越過(guò)解析系統(tǒng)安全告警這一耗時(shí)步驟，從而使精準(zhǔn)檢測(cè)安全態(tài)勢(shì)和高效理解安全威脅成為現(xiàn)實(shí)，若再加上攻擊推理樹(shù)的配合使用，可有效提升安全威脅預(yù)測(cè)精準(zhǔn)度。

4.2 攻擊活動(dòng)事中響應(yīng)

通過(guò)威脅情報(bào)高位視角，獲取最新的安全威脅信息，特別是IP信譽(yù)、失陷主機(jī)列表、惡意URL等入侵指標(biāo)，將這些指標(biāo)按預(yù)定準(zhǔn)則與業(yè)務(wù)網(wǎng)絡(luò)中的實(shí)時(shí)監(jiān)控事件流進(jìn)行關(guān)聯(lián)比對(duì)，能夠提供與基于特征碼完全不同的安全威脅檢測(cè)能力；通過(guò)惡意信息、受害者信息，映射到網(wǎng)絡(luò)攻擊模型，利用帶有場(chǎng)景特性的精準(zhǔn)情報(bào)，分析鑒別內(nèi)部網(wǎng)絡(luò)里可能隱藏的已被滲透的攻擊跳板，將安全威脅的發(fā)現(xiàn)點(diǎn)盡量控制在攻擊鏈源端，根據(jù)情況及時(shí)發(fā)布預(yù)警信息，為安全防御展開(kāi)爭(zhēng)取更多的時(shí)間和空間，將損失降到最低。

4.3 安全事件事后處置

威脅情報(bào)可對(duì)定位攻擊源提供可靠的數(shù)據(jù)支持，也可對(duì)回溯復(fù)現(xiàn)已發(fā)生的攻擊行為提供可信的數(shù)據(jù)分析支撐。利用入侵指標(biāo)，快速判定攻擊影響面，利用攻擊者攻擊戰(zhàn)術(shù)特點(diǎn)，進(jìn)行攻擊回溯分析。

在預(yù)告警分流中，威脅情報(bào)可用于區(qū)分不同種類(lèi)的攻擊行為，辨識(shí)出其中隱藏的APT攻擊，確保應(yīng)對(duì)措施及時(shí)有效；在確定攻擊范圍大小、溯源分析方面，可使用類(lèi)型預(yù)測(cè)等相關(guān)指標(biāo)，預(yù)判已出現(xiàn)的攻擊痕跡之前或之后可能發(fā)生的惡意行為。

5 結(jié)論

信息網(wǎng)絡(luò)面臨的安全威脅不僅在數(shù)量上快速增長(zhǎng)，在技術(shù)高水平化和多樣化上也呈上升趨勢(shì)。大數(shù)據(jù)技術(shù)的出現(xiàn)并成功應(yīng)用到網(wǎng)絡(luò)威脅情報(bào)生產(chǎn)中，為有效應(yīng)對(duì)網(wǎng)絡(luò)空間新威脅提供了強(qiáng)有力的武器。當(dāng)前，信息網(wǎng)絡(luò)安全威脅情報(bào)體系發(fā)展還處于起步階段，大數(shù)據(jù)技術(shù)在情報(bào)研究工作中的應(yīng)用還不夠深入，對(duì)有效信息的篩選還不夠精準(zhǔn)，這些不足將在今后的研究中逐步解決。此外，在今后的工作中還將繼續(xù)研究人工智能、機(jī)器學(xué)習(xí)、區(qū)塊鏈等技術(shù)在信息網(wǎng)絡(luò)安全威脅情報(bào)中的應(yīng)用，有效促進(jìn)信息網(wǎng)絡(luò)威脅情報(bào)體系持續(xù)高速向前發(fā)展。