馬奇辰　焦偉　高浩

摘要：在復(fù)雜的國(guó)際環(huán)境下，日趨嚴(yán)峻的內(nèi)外部攻擊威脅已經(jīng)成為“新常態(tài)”，圍繞攻防實(shí)戰(zhàn)能力提升的“網(wǎng)絡(luò)安全2.0時(shí)代”已經(jīng)到來。中央結(jié)算公司積極進(jìn)行企業(yè)安全主動(dòng)防御能力建設(shè)，并按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度對(duì)資產(chǎn)實(shí)行重點(diǎn)保護(hù)。針對(duì)商業(yè)威脅情報(bào)缺乏及時(shí)性、定向性、準(zhǔn)確性等特征，中央結(jié)算公司通過知識(shí)圖譜等技術(shù)自主研發(fā)了中債威脅情報(bào)平臺(tái)，全面收集、挖掘分析及沉淀情報(bào)線索，輸出有針對(duì)性的戰(zhàn)術(shù)、運(yùn)營(yíng)、戰(zhàn)略情報(bào)，以達(dá)到捕捉安全風(fēng)險(xiǎn)、發(fā)現(xiàn)潛在威脅、看清安全狀況、挖掘攻擊方真實(shí)意圖等目的，進(jìn)而為實(shí)戰(zhàn)狀態(tài)下的整體安全防護(hù)提供有力支撐。

關(guān)鍵詞：內(nèi)生情報(bào) 知識(shí)圖譜 主動(dòng)防御

威脅情報(bào)簡(jiǎn)介

（一）定義

對(duì)于威脅情報(bào)，不同機(jī)構(gòu)給出的定義有所差異。美國(guó)SANS研究院（埃斯卡爾先進(jìn)技術(shù)研究院）認(rèn)為“網(wǎng)絡(luò)威脅情報(bào)是分析關(guān)于進(jìn)行網(wǎng)絡(luò)作戰(zhàn)對(duì)手的能力、機(jī)會(huì)和意圖的信息”。美國(guó)Gartner（高德納公司）認(rèn)為“威脅情報(bào)是基于證據(jù)的知識(shí)，包括上下文、機(jī)制、指標(biāo)、隱含和可操作的建議，針對(duì)一個(gè)現(xiàn)存的或新興的威脅，可用于做出相應(yīng)決定的知識(shí)”。目前，后者定義的接受度更高。

（二）產(chǎn)生的原因

攻擊者在向企業(yè)或組織發(fā)起針對(duì)性攻擊時(shí)，都經(jīng)過了長(zhǎng)時(shí)間的策劃準(zhǔn)備，對(duì)攻擊目標(biāo)進(jìn)行前期情報(bào)收集、邊界探測(cè)，進(jìn)而重點(diǎn)攻擊、突破防守，并持久控制。而防守方對(duì)攻擊者的攻擊手法、攻擊途徑、攻擊武器等信息一無所知，只能依靠安防設(shè)備通過特征檢測(cè)、規(guī)則匹配等方式進(jìn)行被動(dòng)防御。面對(duì)這種攻擊時(shí)，攻防雙方存在嚴(yán)重的信息不對(duì)稱，如何把攻防對(duì)抗中捕獲的攻擊方有關(guān)信息不斷積累沉淀進(jìn)而形成經(jīng)驗(yàn)、知識(shí)應(yīng)用到安全建設(shè)中，彌補(bǔ)攻防兩端的信息差，從而提前感知潛在威脅，是亟待解決的問題，威脅情報(bào)由此應(yīng)運(yùn)而生。

（三）類型分析

從不同視角出發(fā)，威脅情報(bào)類型的劃分也有差異，本文主要從攻擊者和防守方兩個(gè)視角來劃分威脅情報(bào)類型。

1.基于攻擊者視角對(duì)威脅情報(bào)類型的劃分

2013年3月，安全專家David J. Bianco在其文章《痛苦金字塔》（The Pyramid of Pain）中首次提出了“痛苦金字塔”的概念。圖1展示了痛苦金字塔的層級(jí)結(jié)構(gòu)圖，從下至上依次為哈希值，網(wǎng)絡(luò)地址，域名，網(wǎng)絡(luò)及主機(jī)信息，工具，戰(zhàn)術(shù)、技術(shù)以及過程等六類威脅情報(bào)，情報(bào)重要程度逐級(jí)上升，同時(shí)也表示情報(bào)給攻擊者帶來的“痛苦”程度從“不重要”上升為“艱難的”?！巴纯唷币辉~是針對(duì)攻擊者來說的，金字塔的最底層為哈希值，當(dāng)掌握攻擊方關(guān)于哈希值的情報(bào)時(shí)，給攻擊者帶來的“痛苦”最小;隨著金字塔層級(jí)不斷提升，掌握的情報(bào)給攻擊者帶來的“痛苦”也隨之上升。

2.基于防守方視角對(duì)威脅情報(bào)類型的劃分

從防守方視角一般可將威脅情報(bào)分為戰(zhàn)略情報(bào)、戰(zhàn)術(shù)情報(bào)、運(yùn)營(yíng)情報(bào)三類。戰(zhàn)略情報(bào)旨在為企業(yè)高管和其他決策者作出高層決策提供信息。戰(zhàn)略情報(bào)技術(shù)含量較低，通常以報(bào)告或簡(jiǎn)報(bào)形式呈現(xiàn)，涵蓋企業(yè)安全態(tài)勢(shì)的概況、網(wǎng)絡(luò)活動(dòng)攻擊以及對(duì)公司影響等內(nèi)容。戰(zhàn)術(shù)情報(bào)通常稱為戰(zhàn)術(shù)、技術(shù)和程序，是關(guān)于攻擊者如何進(jìn)行攻擊的信息。戰(zhàn)術(shù)情報(bào)可幫助企業(yè)了解可能遭受的攻擊以及如何防御或減輕這些攻擊。運(yùn)營(yíng)情報(bào)是關(guān)于特定網(wǎng)絡(luò)攻擊的情報(bào)，即關(guān)于攻擊者將在何時(shí)、以何種方式攻擊企業(yè)的情報(bào)，這類情報(bào)非常難以獲取，它可幫助企業(yè)的安全團(tuán)隊(duì)了解特定攻擊的性質(zhì)、意圖。

中債威脅情報(bào)平臺(tái)建設(shè)的必要性

當(dāng)前，商業(yè)威脅情報(bào)數(shù)據(jù)主要是通用的威脅情報(bào)，缺乏特定行業(yè)、領(lǐng)域的定制化情報(bào)。金融業(yè)作為資金大量聚集的行業(yè)，已然成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，其中很多網(wǎng)絡(luò)攻擊針對(duì)特定金融機(jī)構(gòu)定制了特有的攻擊工具、手法，這些信息是商業(yè)威脅情報(bào)所不能覆蓋的。中央結(jié)算公司作為金融行業(yè)重要基礎(chǔ)設(shè)施，需要通過自建威脅情報(bào)平臺(tái)，內(nèi)生出自有情報(bào)，防御針對(duì)性攻擊，以達(dá)到捕捉安全風(fēng)險(xiǎn)，從而提升公司安全能力的目的。

（一）威脅情報(bào)為安全運(yùn)營(yíng)賦能

隨著網(wǎng)絡(luò)攻擊的針對(duì)性、隱蔽性、復(fù)雜性不斷提升，企業(yè)對(duì)每次攻擊進(jìn)行有效阻斷的難度逐漸加大。為了應(yīng)對(duì)千變?nèi)f化的網(wǎng)絡(luò)環(huán)境和外部威脅，企業(yè)的安全運(yùn)營(yíng)工作逐漸從被動(dòng)轉(zhuǎn)向主動(dòng)，力求從防御、檢測(cè)、響應(yīng)和預(yù)測(cè)四個(gè)維度構(gòu)建形成網(wǎng)絡(luò)安全運(yùn)營(yíng)“閉環(huán)”。安全運(yùn)營(yíng)的重心也從被動(dòng)防御向檢測(cè)和響應(yīng)傾斜——既然無法完全防御，那就及早檢測(cè)并盡快響應(yīng)，這離不開對(duì)威脅情報(bào)的有效利用。威脅情報(bào)平臺(tái)可以實(shí)現(xiàn)對(duì)多源威脅情報(bào)的收集、整合、評(píng)估、運(yùn)營(yíng)和使用，并與安全運(yùn)營(yíng)中心整合協(xié)同，協(xié)助用戶實(shí)現(xiàn)對(duì)攻擊的阻斷、檢測(cè)和響應(yīng)。

（二）威脅情報(bào)支撐主動(dòng)防御能力建設(shè)

傳統(tǒng)的安全防護(hù)多數(shù)依賴邊界或特殊節(jié)點(diǎn)部署，類似于防火墻等安全設(shè)備的被動(dòng)防御，實(shí)行以特征檢測(cè)為主的安全監(jiān)控，并基于規(guī)則匹配產(chǎn)生警報(bào)。然而，面對(duì)各類新型威脅，傳統(tǒng)的安全防御方式顯得愈發(fā)捉襟見肘。Robert M. Lee于2015年提出了著名的“網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型”，描述了企業(yè)應(yīng)對(duì)外部攻擊時(shí)網(wǎng)絡(luò)安全能力建設(shè)的五個(gè)階段，如圖2所示。其中，威脅情報(bào)建設(shè)處于較高階段，這不僅要求企業(yè)消費(fèi)威脅情報(bào)，還應(yīng)具有收集數(shù)據(jù)、提煉信息、生產(chǎn)情報(bào)的能力，并將整合的威脅情報(bào)與安全設(shè)備聯(lián)動(dòng)應(yīng)用，共享威脅數(shù)據(jù)，提高威脅檢測(cè)識(shí)別的準(zhǔn)確率，縮短響應(yīng)時(shí)間和降低防御成本，提升企業(yè)的主動(dòng)防御能力。

中債威脅情報(bào)平臺(tái)總體設(shè)計(jì)架構(gòu)

中債威脅情報(bào)平臺(tái)通過對(duì)情報(bào)數(shù)據(jù)獲取、清洗、關(guān)聯(lián)、推理、消費(fèi)、運(yùn)營(yíng)，借助大數(shù)據(jù)、知識(shí)圖譜等前沿技術(shù)，實(shí)現(xiàn)多源情報(bào)聚合管理、本地情報(bào)生產(chǎn)、安全設(shè)備賦能、情報(bào)運(yùn)營(yíng)及共享等多個(gè)功能。

在架構(gòu)設(shè)計(jì)方面，中債威脅情報(bào)平臺(tái)主要分為信源層、存儲(chǔ)層、分析層、管理層、業(yè)務(wù)層，如圖3所示。

（一）信源層

中債威脅情報(bào)平臺(tái)的威脅情報(bào)線索來源包括內(nèi)部情報(bào)和外部情報(bào)兩部分。商業(yè)情報(bào)、開源情報(bào)、行業(yè)共享情報(bào)、與企業(yè)相關(guān)的外網(wǎng)情報(bào)都屬于外部情報(bào)范疇，其特點(diǎn)是通用性較強(qiáng)、覆蓋面較廣，被各企業(yè)共用，但因其數(shù)據(jù)量較大，往往會(huì)造成有效情報(bào)的轉(zhuǎn)化率偏低。外部情報(bào)可以有效應(yīng)對(duì)流行性攻擊，但在面對(duì)具有較強(qiáng)針對(duì)性的高級(jí)、可持續(xù)威脅攻擊時(shí)，則非常需要企業(yè)借助自身生產(chǎn)的內(nèi)部情報(bào)（即內(nèi)生情報(bào)）來支撐對(duì)攻擊的預(yù)判和應(yīng)對(duì)。蜜罐數(shù)據(jù)、安全設(shè)備的日志以及流量分析數(shù)據(jù)是內(nèi)生情報(bào)的主要來源。在高級(jí)、可持續(xù)威脅攻擊中，攻擊者都會(huì)進(jìn)行前期資產(chǎn)摸查工作，如端口探測(cè)、子域名搜集。如果此時(shí)通過蜜罐監(jiān)測(cè)、流量分析等方式挖掘出有關(guān)攻擊者的相關(guān)情報(bào)信息，那么就能夠提前感知威脅，并作出及時(shí)響應(yīng)。

信源層對(duì)公司設(shè)備和系統(tǒng)日志、公司相關(guān)外部情報(bào)線索、商業(yè)情報(bào)、行業(yè)共享情報(bào)等多源威脅情報(bào)大數(shù)據(jù)進(jìn)行抽取匯總，支持以手工、批量、自動(dòng)化等不同形式接入其他多源威脅情報(bào)，進(jìn)而根據(jù)情報(bào)源及情報(bào)類型對(duì)威脅情報(bào)的準(zhǔn)確度、優(yōu)先級(jí)進(jìn)行評(píng)分，形成較為全面、具有不同粒度層次的中債威脅情報(bào)數(shù)據(jù)庫，為公司提升主動(dòng)防御能力打下堅(jiān)實(shí)的情報(bào)數(shù)據(jù)基礎(chǔ)。

（二）存儲(chǔ)層

在存儲(chǔ)關(guān)系型數(shù)據(jù)時(shí)，中債威脅情報(bào)平臺(tái)使用PostgreSQL和MySQL兩個(gè)開源數(shù)據(jù)庫軟件，包含失陷指標(biāo)、網(wǎng)絡(luò)地址信譽(yù)情報(bào)、攻擊團(tuán)伙情報(bào)、攻擊手法等多種情報(bào)，可提供用戶和設(shè)備查詢所需要的情報(bào)信息。為了提供高速應(yīng)用程序接口，響應(yīng)實(shí)時(shí)查詢的需求，平臺(tái)使用Elasticsearch作為搜索與數(shù)據(jù)分析引擎，以滿足實(shí)時(shí)的搜索需求。平臺(tái)采用圖數(shù)據(jù)庫處理大量復(fù)雜、具有關(guān)聯(lián)關(guān)系、低結(jié)構(gòu)化的威脅情報(bào)，盡可能挖掘關(guān)聯(lián)情報(bào)，豐富搜索結(jié)果的上下文。

（三）分析層

分析層可以看作中債威脅情報(bào)平臺(tái)的核心分析引擎，從安防設(shè)備和終端等渠道獲取分析日志，應(yīng)用文件掃描、機(jī)器學(xué)習(xí)等多種技術(shù)手段和檢測(cè)方法挖掘可疑日志數(shù)據(jù)，定位異?；顒?dòng)主機(jī)，發(fā)現(xiàn)潛在威脅，進(jìn)而察覺并阻斷攻擊。同時(shí)，攻擊過程中使用的網(wǎng)絡(luò)地址、哈希文件、攻擊手法等相關(guān)數(shù)據(jù)又可被收集沉淀，形成公司內(nèi)生情報(bào)，豐富平臺(tái)情報(bào)數(shù)據(jù)，提高引擎分析能力。

此外，中債威脅情報(bào)平臺(tái)還使用知識(shí)圖譜技術(shù)，提高對(duì)海量數(shù)據(jù)加工整合的能力，解決公司多源威脅情報(bào)數(shù)據(jù)碎片化、情報(bào)多樣性、數(shù)據(jù)海量性等問題，從而提高威脅情報(bào)的處理效率以及情報(bào)質(zhì)量。知識(shí)圖譜通過關(guān)系挖掘關(guān)聯(lián)多方情報(bào)數(shù)據(jù)，根據(jù)少量線索檢索關(guān)聯(lián)網(wǎng)絡(luò)地址、域名、攻擊手法以及歷史記錄等信息，輔助分析師決策判斷。同時(shí)，分析師的分析結(jié)果又可以反饋到威脅情報(bào)平臺(tái)，調(diào)整算法參數(shù)，修改數(shù)據(jù)源權(quán)重，提升情報(bào)質(zhì)量。

（四）管理層

中債威脅情報(bào)平臺(tái)提供了豐富的系統(tǒng)管理組件。一是用戶管理，包括用戶新建和刪除、類型選擇、權(quán)限設(shè)置等。二是設(shè)備授權(quán)管理，主要是提供管理外部設(shè)備的應(yīng)用程序接口功能，支持進(jìn)行查詢、指定情報(bào)源的使用、數(shù)據(jù)統(tǒng)計(jì)分析功能等。三是系統(tǒng)配置管理，主要針對(duì)系統(tǒng)管理員，用于威脅情報(bào)平臺(tái)總體維護(hù)，如系統(tǒng)更新、參數(shù)設(shè)置等。此外還包括對(duì)情報(bào)的管理，如情報(bào)源擴(kuò)展、分發(fā)、聚合、更新等。平臺(tái)還內(nèi)置了展示模塊，可對(duì)威脅情報(bào)的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，直觀展示總體情報(bào)量、每日新增量、總域名信息、日志總量等統(tǒng)計(jì)指標(biāo)。

（五）業(yè)務(wù)層

中債威脅情報(bào)平臺(tái)的主要價(jià)值體現(xiàn)在賦能業(yè)務(wù)場(chǎng)景應(yīng)用。平臺(tái)與態(tài)勢(shì)感知、入侵防御系統(tǒng)、網(wǎng)絡(luò)應(yīng)用防護(hù)系統(tǒng)、終端防護(hù)等安防設(shè)備對(duì)接，共享威脅情報(bào)，提高設(shè)備的檢測(cè)和分析能力，快速感知內(nèi)部失陷主機(jī)，阻斷外部攻擊源網(wǎng)絡(luò)地址。與事件響應(yīng)工具或安全信息與事件管理系統(tǒng)共享情報(bào)優(yōu)先級(jí)，對(duì)風(fēng)險(xiǎn)事件進(jìn)行過濾、篩選和風(fēng)險(xiǎn)排列，降低誤報(bào)率，應(yīng)對(duì)過量的警報(bào)。中債威脅情報(bào)平臺(tái)把海量威脅情報(bào)中的數(shù)據(jù)與攻擊者相關(guān)聯(lián)，還原出攻擊者使用的工具、攻擊手法等信息，全面描繪攻擊者畫像;通過關(guān)聯(lián)攻擊者的網(wǎng)絡(luò)資源，發(fā)現(xiàn)攻擊者涉及的其他攻擊事件，并把所有分析結(jié)果通過可視化分析工具在業(yè)務(wù)端以圖形化方式展示，可以使安全分析人員看清攻擊者的信息、攻擊行為、攻擊者的資產(chǎn)、攻擊目的等，甚至溯源到攻擊者的真實(shí)身份，最終達(dá)到看清攻擊全景的目的。

中債威脅情報(bào)平臺(tái)的創(chuàng)新性

中債威脅情報(bào)平臺(tái)使用業(yè)界前沿的機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、知識(shí)圖譜等技術(shù)，以威脅情報(bào)知識(shí)圖譜為載體，以機(jī)器學(xué)習(xí)、深度學(xué)習(xí)為技術(shù)手段，以安全防護(hù)中的實(shí)際應(yīng)用場(chǎng)景為落腳點(diǎn)，分析挖掘威脅情報(bào)信息，建立中債內(nèi)生情報(bào)平臺(tái)，進(jìn)而為安全防護(hù)管理提供豐富的決策依據(jù)，實(shí)現(xiàn)了多個(gè)功能模塊，如圖4所示。

（一）情報(bào)知識(shí)圖譜的構(gòu)建

通過對(duì)中債威脅情報(bào)知識(shí)圖譜的挖掘與構(gòu)造，實(shí)現(xiàn)對(duì)類型多樣、數(shù)據(jù)碎片化、數(shù)據(jù)海量性的威脅情報(bào)的整體關(guān)聯(lián)，提高對(duì)威脅情報(bào)的整合能力，形成高質(zhì)量的威脅情報(bào)庫。通過情報(bào)推理等過程，探索威脅情報(bào)的智能化分析，基于已有的威脅情報(bào)以及豐富的日志數(shù)據(jù)，挖掘生成新的情報(bào)知識(shí)，豐富情報(bào)數(shù)據(jù)庫。

（二）基于威脅情報(bào)的智能分析

中債威脅情報(bào)平臺(tái)基于情報(bào)知識(shí)圖譜的智能分析，利用深度學(xué)習(xí)技術(shù)，結(jié)合攻擊團(tuán)伙信息，以挖掘潛在威脅場(chǎng)景，為實(shí)際安全運(yùn)營(yíng)中的管理決策提供依據(jù)。傳統(tǒng)基于規(guī)則的威脅檢測(cè)和匹配無法應(yīng)對(duì)攻擊方式的任意變化，且都會(huì)因策略、模型問題產(chǎn)生大量誤報(bào)。根據(jù)千變?nèi)f化的動(dòng)作或行為數(shù)據(jù)，發(fā)現(xiàn)其中的規(guī)律，建立完善的知識(shí)庫和推理機(jī)制，將對(duì)入侵的了解變成知識(shí)，利用人工智能技術(shù)，根據(jù)知識(shí)進(jìn)行推理，發(fā)現(xiàn)零日攻擊，結(jié)合攻擊團(tuán)伙信息庫去推測(cè)此次攻擊的戰(zhàn)略意圖，從而為管理決策提供依據(jù)。

（三）內(nèi)生情報(bào)助力網(wǎng)絡(luò)安全建設(shè)

中債威脅情報(bào)平臺(tái)與安防設(shè)備聯(lián)動(dòng)，在共享威脅情報(bào)的同時(shí)，也分析安防設(shè)備的日志，感知潛在威脅，挖掘和關(guān)聯(lián)攻擊者的相關(guān)情報(bào)信息，提煉、沉淀形成公司的內(nèi)生情報(bào)。平臺(tái)充分利用內(nèi)生情報(bào)的價(jià)值，在管理層完成情報(bào)的分發(fā)管理與系統(tǒng)展示，并在業(yè)務(wù)層實(shí)現(xiàn)內(nèi)部業(yè)務(wù)的賦能以及行業(yè)情報(bào)共享。

主要結(jié)論

當(dāng)前商業(yè)及開源威脅情報(bào)多從外網(wǎng)威脅分析中沉淀而來，缺乏企業(yè)內(nèi)部所需情報(bào)具有的及時(shí)性、定向性、準(zhǔn)確性特征。因此，建立中債內(nèi)生情報(bào)平臺(tái)，及時(shí)發(fā)現(xiàn)與公司相關(guān)的外部安全風(fēng)險(xiǎn)，結(jié)合歷史數(shù)據(jù)及專家經(jīng)驗(yàn)，挖掘情報(bào)信息，以提高檢測(cè)和應(yīng)急響應(yīng)速度，提升準(zhǔn)確率，看清攻擊背后意圖，發(fā)現(xiàn)零日漏洞，最終達(dá)到為公司安全主動(dòng)防御能力賦能的目的。

作者單位：中央結(jié)算公司博士后科研工作站

中債金科信息技術(shù)有限公司

中債金科信息技術(shù)有限公司

責(zé)任編輯：涂曉楓 印穎

參考文獻(xiàn)

[1] David J. Bianco. The Pyramid of Pain[R/OL]. （2013-03-02）[2014-01-17]. https：//detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html.

[2] SANS Institute. 2021 SANS Cyber Threat Intelligence （CTI） Survey[R/OL]. （2021-01）[2021-01-18]. https：//www.sans.org/white-papers/40080/.

[3] SANS Institute. The Sliding Scale of Cyber Security[R/OL]. （2015-08）[2015-09-01]. https：//www.sans.org/white-papers/36240/.