張海濤，蔣熠，竺士杰，陳琦

電信運營商威脅情報體系研究與應(yīng)用探索

張海濤，蔣熠，竺士杰，陳琦

（中國移動通信集團浙江有限公司，浙江 杭州 310051）

隨著互聯(lián)網(wǎng)時代網(wǎng)絡(luò)攻防的不對等加劇，威脅情報成為縮小這種差距的重要工具之一。在研究分析了威脅情報國內(nèi)外研究現(xiàn)狀的基礎(chǔ)上，提出了一套適用于電信運營商的威脅情報體系構(gòu)建方法，包括制定計劃、情報生產(chǎn)、情報分析、情報管理、情報共享和情報應(yīng)用6個環(huán)節(jié)。基于該體系架構(gòu)提出了一套多源情報融合評估機制，概述了情報聚合分析、情報信譽分析、情報關(guān)聯(lián)分析和情報老化分析4個階段涉及的技術(shù)和建設(shè)方法，幫助電信運營商構(gòu)建情報融合分析能力。同時，針對入侵類和失陷類情報領(lǐng)域給出了情報生產(chǎn)和同步應(yīng)用原則，為電信運營商應(yīng)用威脅情報技術(shù)構(gòu)建安全防護體系提供了有益的參考。

威脅情報；情報分析；情報生產(chǎn)；情報應(yīng)用；電信運營商

0 引言

隨著信息技術(shù)的發(fā)展和移動通信技術(shù)的普及，傳統(tǒng)的網(wǎng)絡(luò)安全防御邊界正在逐漸消失。國家互聯(lián)網(wǎng)應(yīng)急中心[1]的研究顯示：我國已逐漸成為各類網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，其中以高級持續(xù)威脅（advanced persistent threat，APT）和分布式拒絕服務(wù)（distributed denial of service，DDoS）攻擊為代表的新型攻擊尤其明顯[2]。隨著網(wǎng)絡(luò)攻防不對等趨勢的加劇，傳統(tǒng)基于防火墻、入侵檢測系統(tǒng)（intrusion detection system，IDS）、防毒墻的孤島式防御方式已無法應(yīng)對日益復(fù)雜多樣的攻擊方式。威脅情報能力已成為安全行業(yè)解決“攻防信息不對等”，構(gòu)建“聯(lián)防聯(lián)控”動態(tài)立體防御局面不可缺失的基礎(chǔ)能力之一，并得到行業(yè)廣泛認(rèn)可。目前針對威脅情報的定義存在多種方式，根據(jù)Gartner在“Market Guide for Security Threat Intelligence Products and Services”中的定義，威脅情報可被理解為“威脅情報是一種基于證據(jù)的知識，包括了情境、機制、指標(biāo)、隱含和實際可行的建議”[3]。

1 威脅情報國內(nèi)外研究現(xiàn)狀

隨著安全行業(yè)對威脅情報的關(guān)注，威脅情報逐步從概念到落地，大量公司在威脅情報領(lǐng)域投入大量的精力。第一類是傳統(tǒng)大型安全廠商，如綠盟科技、啟明星辰；第二類是新興的安全創(chuàng)業(yè)公司，如微步在線、天際友盟，還有傳統(tǒng)殺毒廠商，如360、Symantec和FireEye；第三類是網(wǎng)絡(luò)硬件廠商，如思科和華為；最后則是運營商專業(yè)子公司，運營商具備海量基礎(chǔ)數(shù)據(jù)的資源優(yōu)勢，近年來也開始自發(fā)研究威脅情報，如移動研究院、電信云堤。國內(nèi)外針對威脅情報的研究可謂“百家爭鳴，萬花齊放”。

1.1 國外研究現(xiàn)狀

2001年的“9·11恐怖襲擊事件”讓美國政府認(rèn)識到前沿信息技術(shù)分析能力的重要性。美國政府在2010年發(fā)布了《國土安全網(wǎng)絡(luò)和物理基礎(chǔ)設(shè)施保護法》，2013年發(fā)布了第13636號行政命令《提升關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》（EO-13636）[4]提出2013年發(fā)布了第21號總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施的安全性和恢復(fù)力》（PDD-21）[5]，2015年發(fā)布了《網(wǎng)絡(luò)安全信息共享法案》[6]，這些法令不斷提出信息共享和威脅情報要求。美國政府為了讓政府、企業(yè)能夠建立系統(tǒng)科學(xué)的威脅情報能力，于2016年發(fā)布了“NIST SP800-150: Guide to Cyber Threat Information Sharing”[7]，用于指導(dǎo)美國各界組織建立威脅情報能力。一些部門行業(yè)組織，如MITRE等，發(fā)布了一些威脅情報建議性行業(yè)標(biāo)準(zhǔn)，如STIX、TAXII等，對威脅情報的存儲和共享等方面給出業(yè)界通用建議[8-13]。此后，基于國家政策和標(biāo)準(zhǔn)，美國的威脅情報工作取得了實質(zhì)性的進展，為美國的信息安全提供了全球領(lǐng)先的安全防護能力。

1.2 國內(nèi)研究現(xiàn)狀

在威脅情報領(lǐng)域，國內(nèi)起步相比歐美國家較晚，但是我國對威脅情報比較重視。2017年《網(wǎng)絡(luò)安全法》第二十九條對信息收集、合作與建立相關(guān)行業(yè)標(biāo)準(zhǔn)和協(xié)作機制提出了積極的指導(dǎo)意見。2018年國家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》（GB/T 36643—2018）[14]提出提高國內(nèi)威脅情報建設(shè)及共享的規(guī)范性，推動國內(nèi)威脅情報共享生態(tài)形成。2020年公安部發(fā)布《貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見》[15]，指出“全面加強網(wǎng)絡(luò)安全防范管理、監(jiān)測預(yù)警、應(yīng)急處置、偵查打擊、情報信息等各項工作”。

除了政策推進，基礎(chǔ)電信運營商作為龐大基礎(chǔ)通信網(wǎng)絡(luò)服務(wù)的提供商，利用威脅情報預(yù)防各種威脅是其職責(zé)之一。近年來電信運營商在威脅情報方面的建設(shè)較為不足，威脅情報運營體系不夠完整，對于龐大的監(jiān)測設(shè)備告警數(shù)量、國家級安全機構(gòu)發(fā)布的威脅情報和安全廠商提供的威脅情報，僅有安全人員自行了解，沒有進行系統(tǒng)高效的運營應(yīng)用。

綜上所述，電信運營商有必要構(gòu)建一套適用于自身業(yè)務(wù)發(fā)展的威脅情報體系和多源情報融合的評估機制，強化對威脅情報的應(yīng)用，提升大數(shù)據(jù)分析與安全防護的實力。

2 威脅情報體系構(gòu)建

結(jié)合互聯(lián)網(wǎng)背景以及國內(nèi)外現(xiàn)狀，本文提出一套企業(yè)或組織從無到有構(gòu)建威脅情報能力的體系方法，威脅情報體系如圖 1所示，整個流程包括制定計劃、情報生產(chǎn)、情報分析、情報管理、情報共享和情報應(yīng)用6個環(huán)節(jié)。按照時間順序，每個環(huán)節(jié)環(huán)環(huán)相扣、缺一不可，通過6個環(huán)節(jié)構(gòu)建了滿足電信運營商自身需求且發(fā)揮應(yīng)用價值的情報能力。

2.1 制定計劃

制定計劃包括5個環(huán)節(jié)，通過5個環(huán)節(jié)的周密部署保證后續(xù)能力建設(shè)的順利開展，并達到預(yù)期目標(biāo)。

（1）明確情報需求：建設(shè)威脅情報前，需要分析自身的情報需求，而不是盲目地建立威脅情報體系。情報需求要根據(jù)自身應(yīng)用場景確定，例如，攻擊檢測與防御場景需要將情報集成到現(xiàn)有防御設(shè)備中，實現(xiàn)和安全產(chǎn)品聯(lián)動工作；威脅狩獵場景需要積累一定量的失陷檢測（indicator of compromise，IOC）情報，幫助安全人員更全面地分析等。

（2）梳理外部情報源：建立威脅情報能力，特別是在前期，難免需要借助外部能力，因此建設(shè)前需要先明確自身有哪些情報源、這些情報源是否有自身想要的情報以及與外部情報數(shù)據(jù)的對接問題。

（3）梳理內(nèi)部情報源：引入外部情報源的同時，需要梳理自身內(nèi)部是否具備情報生產(chǎn)能力，有哪些情報生產(chǎn)渠道或數(shù)據(jù)。

圖1 威脅情報體系

（4）制定情報計劃：梳理好全部情報源之后，制定情報從生產(chǎn)到應(yīng)用的技術(shù)架構(gòu)，包括威脅情報數(shù)據(jù)的采集接入和存儲管理、關(guān)聯(lián)挖掘分析、共享輸出、應(yīng)用服務(wù)以及情報管理。

（5）情報生產(chǎn)實施：正式建設(shè)開始能力前，需要評估團體內(nèi)部能夠給予的政策或資源的支撐力度，這是后續(xù)工作能夠開展的前提。

2.2 情報生產(chǎn)

威脅情報生產(chǎn)能力是威脅情報能力構(gòu)建的基礎(chǔ)，沒有情報生產(chǎn)能力，威脅情報就會變成無源之水。

（1）開源情報：很多情報廠商或安全廠商（國外）會將威脅情報數(shù)據(jù)開源到互聯(lián)網(wǎng)上，因此開源情報是一個比較好的情報獲取渠道，該類數(shù)據(jù)的廣度和深度也會在一定程度上影響數(shù)據(jù)的關(guān)聯(lián)分析深度，因此需要保證數(shù)據(jù)的持續(xù)性、準(zhǔn)確度和新鮮度。而且在接入開源情報時，需要謹(jǐn)慎評估情報可靠性，避免數(shù)據(jù)污染。開源情報清單見表1。

表1 開源情報清單

（2）廠商情報：為了獲取比較高質(zhì)量的可靠情報，可以考慮通過商業(yè)廠商獲取，2021年Gartner發(fā)布了“Market Guide for Security Intelligence Products and Services”，其中推薦了部分比較成熟的情報廠商。部分比較成熟的情報廠商見表2。

（3）社區(qū)情報：社區(qū)情報的初衷就是打破傳統(tǒng)依托安全服務(wù)商提供情報的局面，將客戶或用戶納入自己的情報生產(chǎn)機制，構(gòu)建“人人都是情報生產(chǎn)者”的良性生態(tài)。

（4）設(shè)備情報：很多公司部署了大量的安全設(shè)備，安全設(shè)備產(chǎn)生的可信告警本身就是很好的獲取威脅情報的途徑。網(wǎng)絡(luò)基礎(chǔ)設(shè)施自身的安全檢測防護系統(tǒng)除了可以直接消費已有的外部情報數(shù)據(jù)，加強自身的御能力，還能把自身檢測到的威脅告警信息反饋給網(wǎng)絡(luò)基礎(chǔ)設(shè)施，進一步增強網(wǎng)絡(luò)空間防御能力，是基礎(chǔ)電信運營商威脅情報的一個重要來源。

表2 部分比較成熟的情報廠商

（5）數(shù)據(jù)分析情報：很多公司（如運營商）掌握著大量的網(wǎng)絡(luò)數(shù)據(jù)，這些數(shù)據(jù)通過大數(shù)據(jù)或AI技術(shù)分析后可以挖掘情報。

2.3 情報分析

對于通過開源、商業(yè)等渠道獲取的多源情報數(shù)據(jù)，需要先采用大數(shù)據(jù)分類技術(shù)，對海量數(shù)據(jù)進行分類整理，然后進行情報分析，使之成為規(guī)范化的、可用的情報。情報分析過程主要包括情報聚合分析、情報信譽分析、情報老化分析和情報關(guān)聯(lián)分析幾個環(huán)節(jié)。

（1）情報聚合分析：情報的數(shù)據(jù)來源非常廣泛，對原始數(shù)據(jù)進行預(yù)處理，規(guī)范數(shù)據(jù)格式，對數(shù)據(jù)的合法性和準(zhǔn)確性進行消重、校驗，去掉臟數(shù)據(jù)，實現(xiàn)多源數(shù)據(jù)清洗，確保數(shù)據(jù)的有效性。主要通過IP行為畫像、身份屬性多層關(guān)聯(lián)、推理路徑求證、信譽衰減老化機制、采集路徑溯源機制等進行情報清洗。首先將不同數(shù)據(jù)源的信心指數(shù)劃分為不同等級，并設(shè)置老化機制，保證情報數(shù)據(jù)的質(zhì)量。同時分析引擎可提煉IP的profile屬性及惡意行為屬性，并通過部署在互聯(lián)網(wǎng)的NetFlow特征判斷IP是否存在可疑的惡意行為，如是否為掃描IP或垃圾郵件IP等，并對具有相同異常行為的IP等進行聚類分析，提升惡意行為判斷的準(zhǔn)確性。另外，還可通過多層關(guān)聯(lián)，一旦發(fā)現(xiàn)某IP、某域名等關(guān)聯(lián)了已被判斷為惡意的樣本、域名、樣本、URL等，其威脅信譽等級的惡意度評級也會提高，并會在其安全評分中加入該關(guān)聯(lián)判斷權(quán)重。

（2）情報信譽分析：結(jié)合各個信譽源的子層評估要素和資產(chǎn)關(guān)聯(lián)性，綜合輸出威脅度（threat）、脆弱性（vulnerability）和可信度（confidence）3個頂層數(shù)字化指標(biāo)，滿足人讀的感知性需求和機讀的自動化需求，助力安全評估和態(tài)勢感知的自動化。

（3）情報老化分析：基于當(dāng)前時間、攻擊時間、威脅類型等進行差異化、細粒度情報老化分析，避免誤報，造成業(yè)務(wù)誤攔截。

（4）情報關(guān)聯(lián)分析：關(guān)聯(lián)分析的重點在于能從多種維度的情報數(shù)據(jù)集合中，發(fā)現(xiàn)待查數(shù)據(jù)的關(guān)聯(lián)關(guān)系。不同對象之間完成數(shù)據(jù)標(biāo)準(zhǔn)化后，需要對海量不同來源和不同維度的數(shù)據(jù)、事件進行關(guān)聯(lián)分析，對情報進行二次驗證分析，從而篩選出準(zhǔn)確率高、可追溯的高級威脅攻擊信息。通過長時間的關(guān)聯(lián)，安全分析人員可挖掘某臺主機、某個用戶的異常行為，從而實現(xiàn)不基于簽名的未知攻擊檢測。對于每一條可疑報警，分析人員可以查詢與該報警相關(guān)的各類數(shù)據(jù)，從而確定報警真實性、攻擊源，評估攻擊造成的危害，實現(xiàn)對多源異構(gòu)的數(shù)據(jù)進行高效檢索和對海量的關(guān)聯(lián)關(guān)系進行聚類挖掘。大數(shù)據(jù)關(guān)聯(lián)分析應(yīng)對的是海量安全數(shù)據(jù)的關(guān)聯(lián)分析，該引擎首先從外部輸入數(shù)據(jù)（包括但不限于威脅情報、告警日志、NetFlow和域名系統(tǒng)（domain name system，DNS）記錄）中提取出五大關(guān)聯(lián)關(guān)系，包括網(wǎng)絡(luò)行為關(guān)聯(lián)關(guān)系、指向關(guān)系、從屬關(guān)系、時頻關(guān)聯(lián)性和相似性關(guān)聯(lián)性，并將其作為引擎的分析輸入。在關(guān)聯(lián)分析中，該引擎能夠進行維度的拓展、級聯(lián)的關(guān)系搜索和關(guān)聯(lián)關(guān)系的特征泛化，同時可根據(jù)自定義規(guī)則進行清洗和提純，最后應(yīng)用評價算法綜合評估關(guān)聯(lián)分析結(jié)果，進行威脅重新定性。

2.4 情報管理

存儲的情報類型包括基礎(chǔ)情報、高級威脅情報和定制情報等。其中，基礎(chǔ)情報包括IP指紋、Web指紋、IP信息、域名信息、漏洞庫、樣本哈希、IP IOC、域名IOC、URL IOC、文件 IOC、數(shù)字證書等；高級威脅情報包括事件情報、攻擊組織情報、攻擊工具情報、高級威脅分析報告、安全事件分析報告等；定制情報包括周期性威脅播報、熱點威脅分析報告、行業(yè)威脅分析報告、資產(chǎn)威脅分析報告等。

針對不同類型威脅情報需要做好4個方面的管理，包括明確開放范圍、明確開放對象、權(quán)限分配和使用狀態(tài)監(jiān)測。

（1）明確開放范圍：在情報數(shù)據(jù)中部分內(nèi)容可能會涉及敏感數(shù)據(jù)，因此在開放過程中需要明確自身情報內(nèi)容可以開放的范圍，避免敏感信息泄露。

（2）明確開放對象：在情報開放過程中需要對開放的對象進行評估，不同的對象需要的情報內(nèi)容及情報同步方式均不相同，需要充分考慮開放對象的需求。

（3）權(quán)限分配：在情報開放過程中，針對不同的用戶需要設(shè)置不同的權(quán)限，包括但不限于查看內(nèi)容權(quán)限、操作權(quán)限等。

（4）使用狀態(tài)監(jiān)測：在威脅情報能力對外輸出過程中需要具備對用戶使用狀態(tài)的監(jiān)測能力，一方面保證服務(wù)可用，另一方面也可以處理一些惡意爬蟲等非法行為。

2.5 情報共享

情報共享需要考慮機讀情報和人讀情報需求，因此建議至少具備應(yīng)用程序接口（application programming interface，API）和Web兩種情報查詢方式，滿足不同的消費對象及場景需求。

（1）機讀情報：提供API情報共享方式，滿足設(shè)備或系統(tǒng)大并發(fā)、低時延調(diào)用需求。

（2）人讀情報：提供Web查詢、郵件發(fā)送等人讀情報共享方式，滿足人讀情報查詢方便、數(shù)據(jù)結(jié)構(gòu)清晰且易于理解的需求。

2.6 情報應(yīng)用

在威脅情報建設(shè)領(lǐng)域，科學(xué)的情報應(yīng)用機制往往被忽略，但是這個環(huán)節(jié)卻是情報能否發(fā)揮其價值的關(guān)鍵。該環(huán)節(jié)主要包括明確應(yīng)用場景、明確應(yīng)用情報、制定分析規(guī)則和建立反饋機制4個關(guān)鍵環(huán)節(jié)。

（1）明確應(yīng)用場景：明確應(yīng)用場景是后續(xù)明確應(yīng)用情報和制定分析規(guī)則的前提，不同的應(yīng)用場景存在巨大的區(qū)別，例如，入侵類和失陷類場景、實時類和離線類場景在情報應(yīng)用領(lǐng)域存在很大的差別，如果不能定義好，應(yīng)用好情報就無從談起。

（2）明確應(yīng)用情報：不同的應(yīng)用場景需要應(yīng)用不同的情報，只有“對癥下藥”才能夠“事半功倍”，否則會“勞而無功”。例如，失陷類場景需要計算機與通信（computer & communication，C&C）或惡意軟件下載類情報，入侵類場景更多的是需要漏洞攻擊和Web攻擊等類型的情報。

（3）制定分析規(guī)則：不同應(yīng)用場景需要不同類型的情報，制定不同的分析方法，以達到自身的預(yù)期。例如，對會話日志分析需要使用IP情報，同時也要結(jié)合端口、頻次等內(nèi)容進行綜合分析才可以達到預(yù)期效果，一個遠控IP也有可能作為一個掃描類地址對外使用，如果僅僅根據(jù)訪問IP為遠控IP就定義為失陷（即認(rèn)為機器已被木馬控制）就是錯誤的。

（4）建立反饋機制：大部分安全運營工作缺少反饋環(huán)節(jié)，導(dǎo)致大部分安全告警僅存在于告警環(huán)節(jié)，未建立閉環(huán)驗證機制。因此在威脅情報應(yīng)用中必須建立反饋機制，從而驗證情報使用是否正確，進而提高情報質(zhì)量和改進使用方法。

3 多源情報融合評估機制

多源情報融合包括情報采集、加工和分析融合等過程，情報采集源包括安全廠商情報、開源廠商情報、安全監(jiān)測情報和安全事件情報，各類情報經(jīng)過預(yù)處理后進行分析融合，最終形成情報庫，甚至情報作戰(zhàn)地圖。多源情報融合評估機制如圖2所示。

3.1 情報聚合分析機制

不同來源情報的源字段種類、字段類型、字段定義方式、字段描述方式等均不相同，甚至不同來源的情報還會存在沖突矛盾情況，因此需要對多源情報進行數(shù)據(jù)歸一化、數(shù)據(jù)去噪和數(shù)據(jù)融合等處理，使情報達到一種穩(wěn)定規(guī)范的形態(tài)。例如，一次Web攻擊可能包含上萬次攻擊子事件，就需要將其融合為一個攻擊事件。在情報中也會存在字段命名不一致甚至缺失的情況，這也需要進行統(tǒng)一的命名，補齊缺失的字段或者刪除冗余的字段。

（1）情報數(shù)據(jù)標(biāo)準(zhǔn)化：為每一類情報定義標(biāo)準(zhǔn)格式規(guī)范，以統(tǒng)一存儲格式，進行高級別的威脅情報分析和使用。標(biāo)準(zhǔn)規(guī)范的制定既參考國內(nèi)外已有標(biāo)準(zhǔn)規(guī)范又遵照業(yè)界事實標(biāo)準(zhǔn)，同時滿足威脅情報的各種使用場景需求，兼顧內(nèi)部使用和跨企業(yè)的情報交換。

（2）情報數(shù)據(jù)歸一化、去噪和融合：利用多種驗證手段去除不準(zhǔn)確數(shù)據(jù)，這是保證情報質(zhì)量的關(guān)鍵。目前主要綜合采用聚合畫像矩陣、關(guān)聯(lián)驗證、證據(jù)驗證等技術(shù)進行情報質(zhì)量檢測和甄別。

圖2 多源情報融合評估機制

例如，IP聚合畫像矩陣擁有四大類數(shù)10種標(biāo)簽，其中包含歸屬類屬性集、服務(wù)類屬性集、告警類屬性集和行為類屬性集。豐富的數(shù)據(jù)剖面設(shè)計為后續(xù)的多維度評估提供了大量的選擇空間，增強了評估的可信度和全面性；同時給前端用戶和后端數(shù)據(jù)分析員迭代式分析和交叉驗證提供了依據(jù)，提升了人工交互的可操作性和便捷性。

關(guān)聯(lián)驗證主要根據(jù)情報內(nèi)容進行多類情報的遞歸關(guān)聯(lián)，通過檢測多情報間的一致性發(fā)現(xiàn)情報沖突，聯(lián)合情報上下文和置信度剔除低質(zhì)量情報。

證據(jù)驗證通過對情報數(shù)據(jù)的支持證據(jù)鏈的可靠性核查判斷情報數(shù)據(jù)的可靠性，剔除沒有可靠證據(jù)支持的情報數(shù)據(jù)。

3.2 情報信譽分析機制

不同來源情報的威脅等級及置信度等均存在區(qū)別，特別是開源網(wǎng)站情報的誤報現(xiàn)象更加嚴(yán)重，因此需要有一套科學(xué)的機制判定情報是否可信，并給出科學(xué)的威脅定級。常見的情報信譽分析方式包括投票法、一票表決法、一票否決法等。投票法可以理解為常見的選舉投票，當(dāng)多個情報源存在屬性定義沖突時，可以通過少數(shù)服從多數(shù)的機制給出最終的決斷。一票表決法是指對某一情報源采取絕對信任的機制，對某一情報源屬性定義（是否惡意）無條件信任，其他結(jié)果依從該結(jié)果。一票否決法最常見的就是白名單機制，對于白名單中的內(nèi)容，即使某一情報源認(rèn)為其是惡意的，也不判定其是惡意的。威脅情報信譽分析實踐中的優(yōu)先級由高到低分別為：一票否決法、一票表決法、投票法。在社會行為中投票法往往占主導(dǎo)地位，但是在威脅情報實踐中則恰恰相反，這是因為大部分開源情報會有大量不可信的情報，而開源情報會被部分情報廠商收錄，最終可信度最低的開源情報有可能會被誤判為最可信的情報，從而導(dǎo)致誤判。

整個情報信譽分析過程會篩選出關(guān)鍵情報供專家進行分析和評估，進而發(fā)現(xiàn)更深層次的情報。

3.3 情報關(guān)聯(lián)分析機制

在威脅情報領(lǐng)域，大部分情報是孤立的，會導(dǎo)致其價值在一定程度上被衰減，因此需要通過情報關(guān)聯(lián)分析機制，由點到面，最終形成一個情報網(wǎng)或情報地圖，從而指導(dǎo)人們制定安全領(lǐng)域的作戰(zhàn)方向甚至戰(zhàn)略方向。最基本的情報線條梳理包括攻擊者（攻擊者，包括組織、團伙、家族等）是誰、在什么時間（攻擊時間）、為了什么目的（攻擊企圖，包括竊密、勒索、挖礦等）、對誰（攻擊對象，包括學(xué)校、科研院所、政府單位等）發(fā)起了攻擊。同時，數(shù)據(jù)本身還存在交叉信息，以域名為例，包括whois信息、互聯(lián)網(wǎng)內(nèi)容提供者（Internet content provider，ICP）備案信息、passive DNS信息、域名關(guān)聯(lián)文件信息、域名關(guān)聯(lián)事件信息、域名關(guān)聯(lián)證書信息、域名端口服務(wù)信息、域名對應(yīng)網(wǎng)站使用組件信息等。

在此機制中，應(yīng)對的是海量安全數(shù)據(jù)的關(guān)聯(lián)分析。其輸入數(shù)據(jù)包括但不限于以下幾種。

（1）威脅情報：包括IP定性、域名定性、IP分類數(shù)據(jù)。

（2）告警日志：安全設(shè)備數(shù)據(jù)。

（3）NetFlow：包括惡意源IP發(fā)現(xiàn)（DDoS、病毒郵件源）、歷史Flow庫數(shù)據(jù)。

（4）DNS：包括惡意域名發(fā)現(xiàn)、域名識別、查詢頻率異常、flux檢測、多層C&C發(fā)現(xiàn)）、歷史解析審查數(shù)據(jù)。

將外部數(shù)據(jù)輸入引擎后首先進行關(guān)聯(lián)關(guān)系的分析，提取出五大關(guān)聯(lián)關(guān)系，包括網(wǎng)絡(luò)行為關(guān)聯(lián)關(guān)系、指向關(guān)系、從屬關(guān)系、時頻關(guān)聯(lián)性和相似性關(guān)聯(lián)性，然后將提取出的關(guān)聯(lián)關(guān)系輸入分析引擎。分析引擎中主要包含以下子引擎。

（1）維度關(guān)聯(lián)拓展引擎：主要針對定性數(shù)據(jù)、行為數(shù)據(jù)、告警數(shù)據(jù)進行維度關(guān)聯(lián)分析。

（2）級聯(lián)關(guān)系搜索引擎：主要進行圖計算、快速索引、遞歸查找等分析。

（3）特征泛化引擎：主要進行流量特征、行為特征、特征泛化、時頻特性、互聯(lián)度等的泛化分析。

（4）大數(shù)據(jù)清洗提純引擎：可以區(qū)分出非掃描數(shù)據(jù)、非CDN數(shù)據(jù)等數(shù)據(jù)。

（5）自動化評價引擎：可以自動給出C&C評分、周期性評分等評價。

通過以上分析處理，分析引擎可以給出關(guān)聯(lián)分析結(jié)果，包括關(guān)聯(lián)線索、關(guān)聯(lián)資產(chǎn)、關(guān)聯(lián)事件，同時還可以給出對關(guān)聯(lián)分析結(jié)果的評估。

3.4 情報老化分析機制

情報與傳統(tǒng)的軍事情報和新聞消息等有一個共同的特點，那就是時效性，時效性決定了情報的價值。情報的時效性主要包括兩個維度，分別為獲取情報的及時性和情報的有效時間。獲取情報的及時性決定了安全防護和運營的價值，獲取情報的時間越早越可以縮短攻防不對等的時間，使威脅情報“多點感知，全網(wǎng)聯(lián)動”防御的價值更加顯性化。情報的有效時間有利于人們在安全實踐中關(guān)注最重要的情報，做出最正確的決策，避免情報誤判、攔截正常用戶、影響正常業(yè)務(wù)。要保證情報時效性就必須建立一套科學(xué)的情報老化機制。在情報老化分析中絕不是“一刀切”的情報老化。基于不同的情報源、不同的威脅類型存在不同的老化機制。例如，失陷類情報具有比入侵類情報更長的存活時間，在失陷類情報中，遠控類情報的存活時間比釣魚類情報長，在遠控類情報中，普通遠控類情報的存活時間比APT類遠控情報長（APT反偵察能力較強，攻擊資源豐富，更換遠控地址比較敏捷快速）?；跁r間的老化其實僅是一種折中的選擇，例如，若一個域名通過其他手段可以驗證其為有一個有效的釣魚域名，那么不管過去時間長短，均認(rèn)為該域名為存活域名。

4 情報分類及應(yīng)用探索

從電信運營商的整體應(yīng)用維度出發(fā)，威脅情報可以分為兩個維度，分別為入侵類情報和失陷類情報。入侵類情報和失陷類情報的生產(chǎn)及聯(lián)動防御流程如圖3所示。

4.1 入侵類情報生產(chǎn)及聯(lián)動防御

在入侵類防護場景中，如WAF、防火墻、業(yè)務(wù)風(fēng)控等，需要對入侵類IP進行告警或攔截。但是入侵類情報具有時效性短且存在多用戶公用問題，因此對入侵類IP進行攔截成為一個難題。

圖3 入侵類情報和失陷類情報的生產(chǎn)及聯(lián)動防御流程

時間窗口控制機制：與失陷類情報相比，入侵類情報具有更加小的時間窗口，因此它的及時性非常重要，理想狀態(tài)為A地區(qū)發(fā)現(xiàn)攻擊后，B地區(qū)能夠在1 s內(nèi)收到入侵情報，提前進行封堵，避免受到影響，且封堵時間不會過長，避免影響正常用戶。

用戶屬性控制機制：入侵防護類系統(tǒng)都有被防護的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)都有其對應(yīng)的用戶群體?；谟脩羧后w可以區(qū)分哪些入侵類攻擊IP可以直接攔截，哪些不可以攔截。例如，一個網(wǎng)站面向的用戶為國內(nèi)用戶，對于近期發(fā)起過入侵攻擊的國外IP，基本可以直接攔截封堵；進一步地，同樣是國內(nèi)用戶IP，如果訪問IP為互聯(lián)網(wǎng)數(shù)據(jù)中心（Internet data center，IDC）屬性IP則可以直接封堵，如果是家庭帶寬或5G網(wǎng)絡(luò)的IP就不可以直接封堵，因為即使該IP近期發(fā)起過攻擊行為，但是該IP由很多家庭用戶共用，直接封堵會導(dǎo)致正常用戶的訪問也被封堵，可能會收到用戶投訴，出現(xiàn)生產(chǎn)事故。

異常時間點控制機制：針對用戶訪問群體的正常訪問時間段進行控制，對于異常時間段內(nèi)曾經(jīng)近期發(fā)起過攻擊的IP，可以選擇性地采取攔截措施。例如，大部分用戶訪問發(fā)生在白天，若發(fā)現(xiàn)凌晨2點有近期發(fā)起過攻擊的IP訪問，則可以采取一定程度的風(fēng)控措施。

訪問頻率控制機制：針對用戶群體的正常訪問頻率，結(jié)合自身業(yè)務(wù)進行畫像，如果發(fā)現(xiàn)某IP的訪問頻率異常升高，則很大可能存在問題，同時如果該IP剛剛對其他系統(tǒng)發(fā)起過攻擊，則可以直接封堵。

4.2 失陷類情報生產(chǎn)及聯(lián)動防御

由于入侵類情報存在多用戶屬性，因此對其管控相對謹(jǐn)慎，并且由于大部分入侵類情報僅存在攻擊行為，未必可以成功入侵系統(tǒng)，因此風(fēng)險等級比失陷類情報低。失陷類情報供服務(wù)端使用，因此其情報有效時間更長，危害也更大。如果發(fā)現(xiàn)內(nèi)部資產(chǎn)與失陷類情報（特別是遠控類情報）通信，則基本可以斷定該資產(chǎn)已經(jīng)被黑客組織控制，屬于比較重大的安全事件。

目前危害較大的4種失陷類情報包括：遠控類情報、惡意軟件類情報、挖礦類情報和釣魚類情報。

遠控類情報：遠控類情報大部分為病毒或木馬的反向代理控制后門地址，黑客通過該地址對受害者機器下發(fā)控制指令、竊取機密數(shù)據(jù)等。

惡意軟件類情報：黑客通過更改地址實現(xiàn)受害者木馬持久化，但是其危害比遠控類情報弱，下載惡意軟件并不代表該木馬可以在潛在受害者機器上運行，未必會真正地感染失陷。

挖礦類情報：挖礦地址是挖礦木馬反向連接的地址，若存在通信行為，則該潛在受害者可能已被植入挖礦木馬，危害較大。

釣魚類情報：釣魚網(wǎng)站是指欺騙用戶的虛假網(wǎng)站。釣魚網(wǎng)站的頁面與真實網(wǎng)站的頁面基本一致，欺騙消費者或者竊取訪問者提交的賬號和密碼信息。

4.3 基于威脅情報和電信運營商網(wǎng)絡(luò)的APT治理

以APT為代表的網(wǎng)絡(luò)空間攻擊成為各國博弈的新戰(zhàn)場，電信運營商承載著國家關(guān)鍵基礎(chǔ)設(shè)施的運營商網(wǎng)絡(luò)，是APT攻擊的潛在重點目標(biāo)之一。電信運營商可以基于其運營商網(wǎng)絡(luò)構(gòu)建全方位、立體的監(jiān)測體系?；谕{情報和電信運營商網(wǎng)絡(luò)的APT治理流程如圖4所示。

數(shù)據(jù)布控：電信運營商布控的網(wǎng)絡(luò)整體可以分為兩大類，一類為CMNet，另一類為IP承載網(wǎng)。IP承載網(wǎng)主要供電信運營商內(nèi)部使用，主要用于對自有設(shè)備遭受APT攻擊的情況進行監(jiān)測。CMNet承載著電信運營商自己以及客戶的網(wǎng)絡(luò)流量。通過在IDC機房出口深度包檢測（deep packet inspection，DPI）、網(wǎng)管網(wǎng)出口DPI和省網(wǎng)出口DPI布控，實現(xiàn)對發(fā)生在電信運營商網(wǎng)絡(luò)上的APT攻擊進行有效覆蓋。

攻擊線索分析關(guān)鍵技術(shù)：對于通過DPI采集上報的數(shù)據(jù)，通過威脅情報、沙箱、殺毒引擎、機器學(xué)習(xí)和通信特征檢測規(guī)則等構(gòu)建APT攻擊線索發(fā)現(xiàn)還原能力。特別是通過沙箱、機器學(xué)習(xí)技術(shù)的引入，可以實現(xiàn)對未知威脅的檢測。

歸因溯源：首先通過威脅建模分析技術(shù)實現(xiàn)對攻擊模式、攻擊鏈條、受害者的分析。同時，利用線索拓線進一步進行組織歸因和溯源反制。

圖4 基于威脅情報和電信運營商網(wǎng)絡(luò)的APT治理流程

4.4 基于威脅情報的自動化安全運營

入侵類、挖礦類情報通過安全態(tài)勢感知中心進行格式標(biāo)準(zhǔn)化后，根據(jù)不同的應(yīng)用場景設(shè)定不同危害等級并開展聯(lián)動處置。處置方式可以基于人工分析告警增強方式，也可以基于安全編排自動化與響應(yīng)（security orchestration, automation and response，SOAR）方式聯(lián)動應(yīng)急處置設(shè)備開展聯(lián)動應(yīng)急處置。

SOAR將人、安全技術(shù)、流程和威脅情報進行深度融合；通過playbook劇本串/并聯(lián)構(gòu)建安全事件處置的工作流，自動化觸發(fā)不同安全設(shè)備執(zhí)行響應(yīng)動作。在這個過程中，情報發(fā)揮了預(yù)警支撐和取證的重要作用。

依托威脅情報支撐，可以及時洞悉資產(chǎn)面臨的安全威脅并進行準(zhǔn)確預(yù)警，了解最新的挖礦、漏洞等威脅動態(tài)，實施積極主動的威脅防御和快速響應(yīng)策略，結(jié)合安全數(shù)據(jù)的深度分析全面掌握安全威脅態(tài)勢，并準(zhǔn)確地進行威脅追蹤和攻擊溯源。

情報取證可選擇情報類型（含IP、統(tǒng)一資源定位符（uniform resource locator，URL）、樣本、域名、C2、APT等）、情報對象具體值（IP、URL、Domain、MD5）、執(zhí)行結(jié)果（是否命中）進行匹配。

整個流程基于對安全事件上下文更加全面、端到端的理解，有助于將復(fù)雜的事件響應(yīng)過程和任務(wù)轉(zhuǎn)換為一致的、可重復(fù)的、可度量的和有效的工作流，變被動應(yīng)急響應(yīng)為自動化持續(xù)響應(yīng)?；谕{情報的自動化威脅處置響應(yīng)如圖5所示。

5 結(jié)束語

威脅情報在當(dāng)前攻防不對等的局面中為網(wǎng)絡(luò)安全建設(shè)和運營帶來了曙光。通過威脅情報構(gòu)建一套網(wǎng)絡(luò)安全監(jiān)測的天網(wǎng)，打破了傳統(tǒng)孤島式防御方式中存在的信息封閉、各自為戰(zhàn)的局面，通過威脅情報的引入，實現(xiàn)了“多點感知，全網(wǎng)聯(lián)動”的主動防御局面，讓攻擊者“無路可走”。本文聚焦于如何幫助企業(yè)從規(guī)劃、建設(shè)到應(yīng)用各個階段建立一套成熟、可靠、科學(xué)的威脅情報能力。同時針對最重要的情報質(zhì)量評估領(lǐng)域給出了一套科學(xué)的評估方法，并針對入侵類和失陷類場景給出了實踐案例，包括基于SOAR的自動化威脅處置案例，為其他計劃構(gòu)建威脅情報能力的組織提供建設(shè)和應(yīng)用探索。

圖5 基于威脅情報的自動化威脅處置響應(yīng)

[1] CNCERT/CC. 2016中國移動互聯(lián)網(wǎng)發(fā)展?fàn)顩r及其安全報告[R]. 2016.

CNCERT/CC. China mobile Internet development and security report[R]. 2016.

[2] 孫增. 高級持續(xù)性威脅(APT)的攻防技術(shù)研究[D]. 上海: 上海交通大學(xué), 2015.

SUN Z. The attack and defense technology research of advanced persistent threat[D]. Shanghai: Shanghai Jiao Tong University, 2015.

[3] TOUNSI W, RAIS H. A survey on technical threat intelligence in the age of sophisticated cyber attacks[J]. Computers & Security, 2018, 72: 212-233.

[4] 左曉棟. 立法困局下的戰(zhàn)略新部署: 美國關(guān)鍵基礎(chǔ)設(shè)施保護行政令述評[J]. 中國信息安全, 2013(3): 74-75.

ZUO X D. New strategic deployment in the legislative dilemma: a review of the U.S. executive order for critical infrastructure protection[J]. China Information Security, 2013(3): 74-75.

[5] 趙艷玲. 淺談美國《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》[J]. 信息安全與通信保密, 2015(5): 16-21.

ZHAO Y L. A brief talk on “framework for improving critical infrastructure cybersecurity”[J]. Information Security and Communications Privacy, 2015(5): 16-21.

[6] 宋國濤. 試析美國《網(wǎng)絡(luò)安全信息共享法案》[J]. 保密科學(xué)技術(shù), 2016(6): 28-31.

SONG G T. Analysis of the US cybersecurity information sharing act[J]. Secrecy Science and Technology, 2016(6): 28-31.

[7] NIST. SP800-150: guide to cyber threat information sharing[S]. 2014.

[8] 王沁心, 楊望. 基于STIX標(biāo)準(zhǔn)的威脅情報實體抽取研究[J]. 網(wǎng)絡(luò)空間安全, 2020(8): 86-91.

WANG Q X, YANG W. Extraction of threat intelligence entities based on STIX[J]. Cyberspace Security, 2020(8): 86-91.

[9] CASEY E, BACK G, BARNUM S. Leveraging CybOX? to standardize representation and exchange of digital forensic information[J]. Digital Investigation, 2015, 12: S102-S110.

[10] USSATH M, JAEGER D, CHENG F, et al. Pushing the limits of cyber threat intelligence: extending STIX to support complex patterns[C]//Information Technology: New Generations. [S.l.:s.n.], 2016.

[11] FRANSEN F, SMULDERS A, KERKDIJK R. Cyber security information exchange to gain insight into the effects of cyber threats and incidents[J]. Elektrotechnik und Informationstechnik, 2015, 132(2): 106-112.

[12] 林玥, 劉鵬, 王鶴, 等. 網(wǎng)絡(luò)安全威脅情報共享與交換研究綜述[J]. 計算機研究與發(fā)展, 2020, 57(10): 2052-2065.

LIN Y, LIU P, WANG H, et al. Overview of threat intelligence sharing and exchange in cybersecurity[J]. Journal of Computer Research and Development, 2020, 57(10): 2052-2065.

[13] 楊沛安, 武楊, 蘇莉婭, 等. 網(wǎng)絡(luò)空間威脅情報共享技術(shù)綜述[J]. 計算機科學(xué), 2018, 45(6): 9-18, 26.

YANG P A, WU Y, SU L Y, et al. Overview of threat intelligence sharing technologies in cyberspace[J]. Computer Science, 2018, 45(6): 9-18, 26.

[14] 國家市場監(jiān)督管理總局, 國家標(biāo)準(zhǔn)化管理委員會. 信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范: GB/T 36643—2018[S]. 2018.

State Administration for Market Regulation, Standardization Administration. Information security technology—cyber security threat information format: GB/T 36643—2018[S]. 2018.

Research and application exploration of threat intelligence system of telecom operators

ZHANG Haitao, JIANG Yi, ZHU Shijie, CHEN Qi

China Mobile Communications Zhejiang Co., Ltd., Hangzhou 310051, China

With the increasing inequality of network attack and defense in the Internet era, threat intelligence has become one of the important tools to narrow this gap. Based on the analysis of the research status of threat intelligence at home and abroad, a set of construction methods of threat intelligence systems suitable for telecom operators were proposed, including six steps: intelligence planning, intelligence production, intelligence analysis, intelligence management, intelligence sharing and intelligence application. Meanwhile a set of multi-source intelligence fusion assessment mechanisms was presented, and the technologies and methods were systematically expounded involved in the four stages of intelligence aggregation analysis, intelligence reputation analysis, intelligence correlation analysis and intelligence aging analysis, so as to help the telecom operators build the ability of intelligence fusion analysis. At the same time, the principles of intelligence production and synchronous application were given for intrusion and loss intelligence, which provided a useful reference for telecom operators to apply threat intelligence technology to build a security protection system.

threat intelligence, intelligence analysis, intelligence production, intelligence application, telecom operator

TP393

A

10.11959/j.issn.1000–0801.2022293

2022-06-21；

2022-12-06

張海濤（1983-），男，中國移動通信集團浙江有限公司網(wǎng)絡(luò)安全部高級工程師，主要研究方向為威脅情報、態(tài)勢感知、5G安全等。

蔣熠（1981-），男，中國移動通信集團浙江有限公司網(wǎng)絡(luò)安全部主管，主要研究方向為威脅情報、5G安全、零信任、態(tài)勢感知。

竺士杰（1978-），男，中國移動通信集團浙江有限公司網(wǎng)管中心副主任，主要研究方向為威脅情報、5G安全、零信任、態(tài)勢感知。

陳琦（1990-），男，中國移動通信集團浙江有限公司網(wǎng)絡(luò)安全部工程師，主要研究方向為威脅情報、態(tài)勢感知、5G安全等。