傳統(tǒng)的防御機(jī)制往往是根據(jù)以往的“經(jīng)驗(yàn)”來構(gòu)建安全防御策略，即使是基于機(jī)器學(xué)習(xí)的檢測(cè)算法也是如此，都難以應(yīng)付未知攻擊。在網(wǎng)絡(luò)攻擊呈現(xiàn)多樣化、復(fù)雜化、專業(yè)化的趨勢(shì)下，我們需要一種能夠根據(jù)過去和當(dāng)前網(wǎng)絡(luò)安全狀況動(dòng)態(tài)調(diào)整防御策略的手段，威脅情報(bào)應(yīng)運(yùn)而生。

在對(duì)威脅情報(bào)進(jìn)行收集及處理后，可以直接將相應(yīng)的結(jié)果以機(jī)讀的形式分發(fā)給安全設(shè)備，實(shí)現(xiàn)精準(zhǔn)的動(dòng)態(tài)防御，達(dá)到“未攻先防”的效果，實(shí)現(xiàn)從傳統(tǒng)“靜態(tài)被動(dòng)防御”到“動(dòng)態(tài)積極防御”的轉(zhuǎn)變升級(jí)。

?

什么是威脅情報(bào)？

根據(jù)Gartner對(duì)威脅情報(bào)的定義：威脅情報(bào)是一種基于證據(jù)的知識(shí)，包括了情境、機(jī)制、指標(biāo)、影響和操作建議。威脅情報(bào)描述了現(xiàn)存的、或者是即將出現(xiàn)針對(duì)資產(chǎn)的威脅或危險(xiǎn)，并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)?；蛘咭部梢院?jiǎn)單來理解，對(duì)企業(yè)產(chǎn)生危害或者利益損失的信息，就可以稱之為威脅情報(bào)。

威脅情報(bào)的核心價(jià)值在于：加快檢測(cè)和響應(yīng)、掌握威脅根源、輔助安全決策、讓威脅治理更高效。

?

安恒威脅情報(bào)檢測(cè)平臺(tái)：動(dòng)態(tài)防御

如何利用威脅情報(bào)，實(shí)現(xiàn)精準(zhǔn)動(dòng)態(tài)防御，達(dá)到網(wǎng)絡(luò)安全“未攻先防”的效果？

?

安恒發(fā)布

安恒威脅情報(bào)檢測(cè)平臺(tái)—TIDP? ? ?

Threat Intelligence Detection Platform

TIDP是一款由威脅情報(bào)數(shù)據(jù)驅(qū)動(dòng)，對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)分析和檢測(cè)，對(duì)可疑網(wǎng)絡(luò)行為進(jìn)行告警，旨在全方位發(fā)現(xiàn)失陷主機(jī)、從海量攻擊事件中識(shí)別針對(duì)性攻擊的網(wǎng)絡(luò)流量檢測(cè)產(chǎn)品。

（圖：產(chǎn)品能力與價(jià)值）

?

TIDP的特色與亮點(diǎn)：

1??豐富威脅情報(bào)數(shù)據(jù)支撐，日更新高活躍80萬條

安恒安全數(shù)據(jù)大腦豐富的威脅情報(bào)數(shù)據(jù)，是TIDP網(wǎng)絡(luò)流量分析檢測(cè)的重要基礎(chǔ)。安恒安全數(shù)據(jù)大腦依托玄武盾SaaS云防護(hù)、蜜罐網(wǎng)絡(luò)、全球資產(chǎn)探測(cè)等能力，國(guó)內(nèi)外數(shù)百家情報(bào)源集成，通過大數(shù)據(jù)、機(jī)器學(xué)習(xí)與文件自動(dòng)化分析等技術(shù)，提煉形成涵蓋C&C、僵尸網(wǎng)絡(luò)、惡意代理等60余類的情報(bào)數(shù)據(jù)，以及全球的網(wǎng)絡(luò)資產(chǎn)基礎(chǔ)數(shù)據(jù)，日更新高活躍情報(bào)數(shù)據(jù)80萬條。

（圖：威脅情報(bào)驅(qū)動(dòng)）

?

2??多維度、全方位發(fā)現(xiàn)失陷主機(jī)

TIDP中不僅內(nèi)嵌了多種遠(yuǎn)控類型的情報(bào)指標(biāo)，而且也結(jié)合了安恒信息在網(wǎng)絡(luò)流量分析領(lǐng)域的長(zhǎng)期積累，引入了包括利用機(jī)器學(xué)習(xí)檢測(cè)DGA域名請(qǐng)求、遠(yuǎn)控工具指紋庫(kù)、漏洞利用庫(kù)，以及多個(gè)隱蔽信道通信檢測(cè)模型，可以全方位發(fā)現(xiàn)失陷主機(jī)。并通過可視化的方式，從失陷主機(jī)、威脅類型、黑客組織等多個(gè)角度進(jìn)行關(guān)聯(lián)展示，呈現(xiàn)當(dāng)前網(wǎng)絡(luò)環(huán)境中所有的失陷和受控情況。

（圖：發(fā)現(xiàn)失陷主機(jī)和黑客團(tuán)伙）

?

3??從海量隨機(jī)性掃描中識(shí)別針對(duì)性攻擊

網(wǎng)絡(luò)環(huán)境中時(shí)刻在發(fā)生大量自動(dòng)化隨機(jī)掃描事件，這些隨機(jī)掃描事件在傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備上，將同步產(chǎn)生大量告警。TIDP通過對(duì)網(wǎng)絡(luò)雙向流量進(jìn)行實(shí)時(shí)分析，準(zhǔn)確識(shí)別針對(duì)服務(wù)器的針對(duì)性攻擊事件，使安全分析人員能從大量隨機(jī)性掃描攻擊事件中解脫出來，第一時(shí)間對(duì)針對(duì)性攻擊事件進(jìn)行響應(yīng)，極大提升安全團(tuán)隊(duì)對(duì)網(wǎng)絡(luò)攻擊事件的響應(yīng)效率。

?

4??對(duì)攻擊事件雙向視角展現(xiàn)和回溯能力

TIDP不僅以受攻擊主機(jī)（包含失陷主機(jī)）為視角，同時(shí)也以攻擊源為視角，全局展現(xiàn)攻擊事件動(dòng)態(tài)過程，無論是攻擊源還是受攻擊者，都可以多次鉆取更為詳細(xì)的攻擊事件信息，并可進(jìn)一步從安恒數(shù)據(jù)大腦在線關(guān)聯(lián)獲取IP、域名和黑客組織等詳細(xì)信息，以供進(jìn)一步取證回溯分析。

（圖：威脅事件關(guān)聯(lián)分析）

?

5??“以一敵百”超大流量檢測(cè)能力，可達(dá)Tbps級(jí)

TIDP能在僅鏡像DNS流量時(shí)發(fā)揮強(qiáng)大檢測(cè)能力，因DNS流量在整體流量中占比極低，如某城域網(wǎng)項(xiàng)目中的DNS流量占整體流量?jī)H為五萬分之一，這使TIDP單設(shè)備所對(duì)應(yīng)檢測(cè)的整體吞吐量達(dá)到數(shù)百Gbps、甚至Tbps級(jí)別，可匹配其他數(shù)十甚至數(shù)百臺(tái)全流量檢測(cè)產(chǎn)品類設(shè)備，適用于企事業(yè)單位出口、尤其適用于城域網(wǎng)威脅監(jiān)測(cè)。

（圖：支持超大流量檢測(cè)）