压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

當(dāng)前，網(wǎng)絡(luò)安全威脅日益突出，勒索病毒、APT等網(wǎng)絡(luò)攻擊愈演愈烈，呈現(xiàn)多樣化、復(fù)雜化、專業(yè)化的發(fā)展趨勢。《網(wǎng)絡(luò)空間安全藍(lán)皮書》稱，網(wǎng)絡(luò)沖突和攻擊成為國家間對抗主要形式，就在剛剛發(fā)布的《2018年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》中數(shù)據(jù)顯示，來自美國的網(wǎng)絡(luò)攻擊數(shù)量最多。

如何有效地檢測APT等網(wǎng)絡(luò)攻擊？利用威脅情報數(shù)據(jù)，借助大數(shù)據(jù)分析和人工智能技術(shù)，是目前最有效的手段。

安恒信息首席科學(xué)家劉博表示，從生產(chǎn)高質(zhì)量威脅情報，到使用威脅情報完善安全體系，這個過程中充滿各種挑戰(zhàn)，難以依賴單方面的力量，這就需要構(gòu)建完整的生態(tài)。

圖：構(gòu)建威脅情報完整生態(tài)

世界各國網(wǎng)絡(luò)空間戰(zhàn)略和政策也都指明了，需要加強(qiáng)網(wǎng)絡(luò)威脅情報和信息共享能力建設(shè)。2015年，美國發(fā)布《國家安全戰(zhàn)略》，設(shè)立“網(wǎng)絡(luò)威脅情報整合中心”；歐盟發(fā)布五年《歐盟安全議程》（2015-2020），主要包括加強(qiáng)歐盟成員國之間的信息共享，增強(qiáng)歐洲刑警組織與各成員國的合作等。

安恒首席科學(xué)家劉博認(rèn)為，網(wǎng)絡(luò)空間威脅情報能力的建設(shè)，需要從融合威脅情報數(shù)據(jù)、“大數(shù)據(jù)+AI”智能分析、協(xié)同處置等角度著手，形成流程的閉環(huán)。

融合：構(gòu)建大數(shù)據(jù)多源情報生態(tài)

威脅情報能力的基礎(chǔ)，是威脅情報的收集。安恒的威脅情報從何而來？主要包含以下幾個渠道：

1、云端監(jiān)測：安恒玄武盾每日產(chǎn)生數(shù)億攻擊日志

2、全網(wǎng)蜜罐/流量捕獲：美歐日等全球各地部署蜜罐流量探針

3、網(wǎng)絡(luò)空間測繪：每周更新全球43億資產(chǎn)信息

4、國內(nèi)外開源/商用情報：200+開源與商用情報源

5、安恒用戶分析情報：安恒各類設(shè)備，服務(wù)分析經(jīng)客戶允許后產(chǎn)生的精準(zhǔn)情報

6、威脅情報聯(lián)盟共享：CNCERT等聯(lián)盟情報共享

圖：多源威脅情報

安恒信息依托SaaS監(jiān)測服務(wù)、云防護(hù)服務(wù)、蜜罐網(wǎng)絡(luò)、全球資產(chǎn)探測等能力，同時集成國內(nèi)外200余家情報源，采用云沙箱、機(jī)器學(xué)習(xí)與專家分析等方式，提煉形成面向服務(wù)器安全的高質(zhì)量威脅情報中心——IoC信譽(yù)庫、網(wǎng)絡(luò)資產(chǎn)庫、安全事件庫、專家情報庫四大核心情報庫。

細(xì)化來看：

1、威脅捕獲：捕獲全球惡意攻擊樣本

安恒蜜罐虛擬出網(wǎng)絡(luò)信息系統(tǒng)來吸引攻擊者攻擊，對惡意代碼和攻擊行為的信息采集和分析，形成安全威脅情報，集中到安恒數(shù)據(jù)大腦（態(tài)勢感知平臺威脅情報采集中心），為攻擊檢測策略提供參考。

2、Sumap網(wǎng)絡(luò)空間測繪：發(fā)現(xiàn)全球資產(chǎn)風(fēng)險

Sumap全球網(wǎng)絡(luò)空間超級雷達(dá)，43億IP掃描空間，利用全網(wǎng)快速掃描引擎，2小時全網(wǎng)極速掃描，完成全網(wǎng)資產(chǎn)探測、漏洞掃描和風(fēng)險趨勢分析。4年多的全球掃描數(shù)據(jù)積累，利用異步無狀態(tài)的批量橫向資產(chǎn)檢測技術(shù)，形成全球資產(chǎn)指紋畫像與風(fēng)險庫。

圖：海量指紋與風(fēng)險庫

3、國內(nèi)外開源/商用情報/威脅情報聯(lián)盟共享

安恒數(shù)據(jù)大腦集成了開源情報、商用情報、戰(zhàn)略情報、機(jī)讀情報、威脅情報聯(lián)盟共享等多維情報，形成威脅情報生態(tài)。

安恒信息將來源于網(wǎng)絡(luò)空間測繪、大數(shù)據(jù)智能安全分析(AI)、網(wǎng)絡(luò)流量分析（NTA）、高級威脅監(jiān)測（APT）、用戶行為分析（UBA）的本地化威脅情報，借助智能安全分析提煉高價值威脅情報，以提高安全事件的檢測效率和精準(zhǔn)度，輔助態(tài)勢感知。

智能分析與威脅情報結(jié)合：大數(shù)據(jù)+ AI

面對海量告警的信息過載，我們?nèi)绾螌?shí)而不虛的發(fā)揮數(shù)據(jù)和情報的價值？在我們過去的探索中，我們發(fā)現(xiàn)有效融合情報的能力作為關(guān)鍵要素，能幫助安全運(yùn)營人員快速、精準(zhǔn)的識別受攻擊對象和完成攻擊者畫像。

利用大數(shù)據(jù)和人工智能技術(shù)，能有效地發(fā)揮威脅情報的價值，應(yīng)用于多個場景：

• 全局監(jiān)控與感知

借助安恒AiLPHA深度感知智能引擎DSI，全面多維度特征提取與畫像，通過聚類異常模型、時序基線異常模型等機(jī)器學(xué)習(xí)算法模型與威脅情報相結(jié)合，提高準(zhǔn)確率與檢新率。

2、加密流量處理—監(jiān)督式機(jī)器學(xué)習(xí)

據(jù) Gartner 預(yù)測，到 2019 年，80% 的網(wǎng)站流量都會被加密。攻擊者可利用加密流量進(jìn)行APT攻擊。安恒信息利用背景流量數(shù)據(jù)（contexual flow data）識別TLS加密惡意流量，采用SVM等分類器（（有監(jiān)督機(jī)器學(xué)習(xí)）對加密流量的高維特征空間進(jìn)行分類，結(jié)合威脅情報從而識別加密的惡意流量。

3、基于邊界流量中的威脅檢測預(yù)警

通過近百次安保實(shí)踐，安恒信息發(fā)現(xiàn)每一百臺服務(wù)器當(dāng)中事先植入后門的比例是29%，內(nèi)網(wǎng)出現(xiàn)已經(jīng)淪陷主機(jī)的概率接近100%。安恒信息憑借大數(shù)據(jù)威脅情報和全流量的能力支撐，對網(wǎng)絡(luò)流量進(jìn)行實(shí)時分析和檢測，對可疑網(wǎng)絡(luò)行為進(jìn)行告警，全方位發(fā)現(xiàn)失陷主機(jī)、從海量攻擊事件中識別針對性攻擊。

4、高級威脅檢測(APT)

通過對攻擊行為的模型/知識庫與檢測告警結(jié)合威脅情報分析，判斷意圖明確的針對性攻擊、預(yù)期有嚴(yán)重影響的入侵行為、APT組織等。

協(xié)同處置：SOAR智能研判、編排與響應(yīng)

威脅情報需要形成一個閉環(huán)，通過SOAR智能編排技術(shù)，將人、技術(shù)和流程整合，提供快速智能的研判和應(yīng)急響應(yīng)能力，自動化分析研判、處置聯(lián)動、通報預(yù)警，流程化完成事件管理，提高協(xié)作溝通效率。

應(yīng)用案例：某大型會議網(wǎng)絡(luò)安保活動智能處置

1.通過制定安全分析規(guī)則、統(tǒng)計(jì)模型，進(jìn)行網(wǎng)絡(luò)安全事件實(shí)時監(jiān)測；

2.當(dāng)發(fā)生安全事件快速進(jìn)行攻擊來源分析、攻擊上下文分析、安全事件邏輯關(guān)聯(lián)分析；

3.對攻擊者進(jìn)行威脅情報碰撞、攻擊指紋分析、攻擊特征分析

4.對影響范圍分析，分析攻擊目標(biāo)，確定攻擊的影響范圍

5.通過智能研判，確定安全事件的性質(zhì)、攻擊來源、危害程度等

6.進(jìn)行智能相應(yīng)，例如：聯(lián)動處置、通報預(yù)警、自動分析報告、對接工單平臺。

案例：威脅情報在護(hù)網(wǎng)行動的應(yīng)用

2017年某省公安廳舉行網(wǎng)絡(luò)安全攻防應(yīng)急演練，安恒信息為其提供技術(shù)保障。

技術(shù)支持：給演練提供了場地、網(wǎng)絡(luò)、攻擊IP、現(xiàn)場監(jiān)控、安全實(shí)時檢測、漏洞記錄平臺及攻擊進(jìn)展情況大屏展示等全方位技術(shù)保障。演練全程采取“背靠背”的方式進(jìn)行，即事先不通知、攻擊源不明確、攻擊目標(biāo)不明確、攻擊手段不明確，完全接近于實(shí)戰(zhàn)。

演練成果：攻擊方累計(jì)發(fā)起了15萬次攻擊，采用多種攻擊手段，發(fā)現(xiàn)問題超過百處，典型問題包括弱口令、文件上傳、命令執(zhí)行、邏輯漏洞等。提升被攻擊目標(biāo)防御和應(yīng)急處置能力，同時鍛煉了浙江網(wǎng)警接警、出警、取證的能力。

威脅情報應(yīng)用：藍(lán)方安全設(shè)備發(fā)現(xiàn)一個攻擊行為，快速研判攻擊，將該攻擊以情報方式共享至情報中心，海量的情報數(shù)據(jù)通過大數(shù)據(jù)AI算法提高情報準(zhǔn)確率后，同步給其他安全設(shè)備，對下次訪問流量進(jìn)行情報碰撞，快速預(yù)警。

知己知彼，方能百戰(zhàn)??????不殆。威脅情報作為網(wǎng)絡(luò)空間治理的重要一環(huán)，需要政府部門、科研院校、網(wǎng)絡(luò)安全企業(yè)、運(yùn)維服務(wù)支撐單位、行業(yè)安全專家等形成情報協(xié)同、數(shù)據(jù)協(xié)同、能力協(xié)同，共同構(gòu)建網(wǎng)絡(luò)空間治理與協(xié)同防御能力體系。