網絡空間安全威脅情報及應用研究*

徐 銳，陳劍鋒,劉 方

(1.中國電子科技網絡信息安全有限公司,四川 成都 610041；2.中國電子科技集團公司第三十研究所,四川 成都 610041；3.保密通信重點實驗室,四川 成都 610041)

網絡空間安全威脅情報及應用研究*

徐 銳1，陳劍鋒2,3,劉 方2,3

(1.中國電子科技網絡信息安全有限公司,四川 成都 610041；2.中國電子科技集團公司第三十研究所,四川 成都 610041；3.保密通信重點實驗室,四川 成都 610041)

面對當前日益嚴峻的安全形勢，安全專家們需要改變傳統的安全防御思路，通過對網絡安全威脅特征、方法、模式的追蹤、分析，以主動方式實現對網絡安全新威脅的及時識別與有效防護。在實現這一轉變過程中，安全威脅情報的作用不容忽視。與實體空間的戰爭沖突類似，網絡空間對抗也極度依賴安全威脅情報來開展。網絡空間安全威脅情報是基于證據的知識，包括場景、機制、威脅指示和可操作建議等。圍繞安全威脅情報的基本特征和面臨的挑戰，重點從網絡防御的視角介紹安全威脅情報的作用和工作流程，設計安全威脅情報即服務（TIaaS）的體系架構圖，作為支撐安全威脅情報應用研究的一個創新性的技術和工程框架，并探討安全威脅情報的應用場景和研究熱點。

網絡威脅情報；網絡空間安全；威脅指示；威脅情報即服務

0 引 言

孫子兵法中的“知己知彼，百戰不殆”，體現了情報在軍事斗爭中的重要性。與之相應，在當前網絡空間的攻防博弈中，網絡空間安全威脅情報也占據著重要地位。近年來，隨著網絡空間安全局勢的日益嚴峻，頻發的網絡攻擊、網絡犯罪和網絡恐怖主義不斷挑戰著網絡空間安全防御的應對能力。網絡空間安全威脅情報作為一種新的應對措施，受到各國越來越多的關注和研究，如美國高度重視網絡空間威脅情報的研究，在策略方面積極推動相關情報政策出臺和標準制訂，不斷加大網絡空間攻擊屬性和告警的研究；建立網絡安全和通信整合中心（NCCIC），負責推動政府與企業之間網絡威脅信息的共享，如2015年由國家情報總監領導，美國成立了 “網絡威脅情報整合中心”（CTIIC），用于避免機構間壁壘造成的信息交互弊端，補齊處理安全事件時缺乏溝通的短板。CTIIC通過跨部門協作，共同對抗外來的網絡威脅，捍衛公民安全和排除潛在隱患。同時，企業和組織在防范外部的攻擊過程中越來越依賴充分、有效的網絡安全威脅情報，以幫助其更好地應對安全威脅。于是，安全威脅情報市場應運而生、蓬勃發展。國內相繼成立了幾家安全威脅情報中心；學術界關于安全威脅情報的獲取、處理、共享方面的研究也逐漸成為研究熱點。

本文由五部分組成，第一節對文章的研究背景進行概括性描述，第二章闡述網絡空間安全威脅情報的現狀及面臨的挑戰，第三章從網絡空間安全防御的視角概括安全威脅情報在防御中所起的作用和工作流程，第四章則展望網絡空間安全威脅情報的應用和應重點關注的問題，第五章是全文的小結。

1 安全威脅情報現狀與面臨挑戰

1.1 定義及基本特征

情報是指被傳遞的知識或事實，是知識的激活，是運用一定的媒體，越過空間和時間傳遞給特定用戶，解決具體問題所需要的特定知識和信息[1]。根據Gartner的定義，安全威脅情報是針對已經存在或正在顯露的威脅或危害資產行為，基于證據知識，包含情境、機制、影響和應對建議，用于幫助解決威脅或危害進行決策的知識[2]。

威脅的三要素包括意圖、能力和機會，如果攻擊者有意圖有能力，但是攻擊對象沒有脆弱性或者說沒有機會，那么攻擊者并不構成威脅。因此，安全威脅情報應是在先了解自己的基礎上去了解對手，即先知已后知彼[3]。

安全威脅情報涉及智能、情報和信息。從戰略角度講，安全威脅情報體現人、機器之間的對抗，利用人的智能、設備的功能，構建以數據為核心的防護體系。當前，安全威脅情報備受關注，因為安全威脅情報的出現將從傳統被動式防御轉移到主動式防御[4]。與傳統情報應具備準確性、針對性和及時性等特征相比，安全威脅情報的基本特征主要有：

（1）時效性：安全威脅情報的時效性取決于攻擊意圖、攻擊能力等，即與攻擊者戰略、技術和過程等信息相關。對于一般攻擊者，安全威脅情報的時效周期可能只有數秒至數分鐘；而對于APT攻擊，情報即使在惡意代碼注入后數周、數月后才得悉，也具有非常重要的價值。

（2）相關性：安全威脅情報應與使用者的網絡與應用環境直接相關，安全威脅情報是關于場景、機制等要素的知識，這樣情報使用者才可以基于這些信息對當前網絡安全狀態做出準確評估。

（3）準確性：安全威脅情報應是正確、完整、無歧義的，即在描述威脅情報時給出一個威脅指標的定量和定性描述及威脅指示（IOC），通常包括原子級、可計算類、行為類等[3]。

（4）可操作性：安全威脅情報要能夠在描述性內容之外，為情報消費者給出針對威脅的消減或響應處置的啟發性、權威性的建議。

1.2 安全威脅情報面臨的挑戰

第一，安全威脅情報的信息獲取和共享缺乏必要的制度和法規保障。由于缺乏政策法規保護，使得安全網絡情報的信息獲取十分困難。同時，由于缺乏統一規范，使得跨部門間的情報共享效率低下，存在機構間情報共享的壁壘。

第二，缺乏有效的分析工具和手段。一方面，企業和組織安全體系架構日趨繁復，各種類型的安全數據越來越龐雜，性能和實時性的要求使得傳統分析工具明顯力不從心。另一方面，新型威脅的興起使傳統的分析方法存在諸多缺陷，急需發展基于大數據分析的威脅情報分析工具和手段。

第三，安全威脅情報應用存在泄密的風險。因為安全威脅情報在某種意義上反映了防御方的系統特征和目前具備的安全能力，所以攻擊者依此可以推斷出關于企業信息架構的更多知識；另一方面，攻擊者在得知TTP已被全部或部分暴露后，將及時更換攻擊模式，重新設計工具，這將使防御方陷入被動境地。

第四，安全威脅情報應用中存在合規性、隱私保護的問題。相同的安全威脅情報對于不同企業、組織的敏感性、意義和價值是不同的，因而無法使用統一尺度對情報的安全進行標準化，訪問控制過程缺乏權威依據；情報中包含的個人信息、商業信息和競爭信息需要進行隱藏，以避免泄露。

2 安全威脅情報在網絡空間安全防御體系中的作用

2.1 安全威脅情報的作用

在網絡攻防博弈過程中，攻擊方根據攻擊意圖和能力，通過殺傷鏈7個步驟（偵察、武器化、裝載、利用、安裝、控制、達成目標）向攻擊目標發起攻擊，而防御方則依賴主動防御的思想采取WPDRRC（預警、防御、檢測、響應、恢復、反制）模型的縱深動態防御機制[5]。在該博弈過程中，安全威脅情報與攻防雙方的關系如圖1所示。

圖1 威脅情報與網絡安全攻防博弈的關系

如圖1所示，由于攻防雙方信息的非對稱性，使得傳統的防御方大多處于被動局面，即攻擊方在暗處而防御方的信息已先期被偵察、掌握。從殺傷鏈來看，越早發現攻擊者的蹤跡，就能使防御方越早控制攻擊進程，使攻擊陷入被動。這也正是安全威脅情報在化解攻擊殺傷鏈過程中的價值所在。即安全專家以基于大數據的威脅情報分析為有力武器，通過跨部門、跨組織邊界的威脅情報共享，使關于攻擊者和攻擊手段的各種信息逐步明朗起來，使防御方對正在和即將面臨風險的不確定性逐漸消失，并針對安全威脅加固資產，進而成功阻斷/瓦解攻擊方的進攻。隨著安全威脅情報不斷優化，實現防御者從被動防御到主動防御的轉變，從而重新獲取網絡空間防御的主動權。

2.2 安全威脅情報的流程

基于安全威脅情報應用系統包含生產者、傳遞者、消費者、監管者四類主體，這些主體通過系統邊界提供的感知、控制功能與網絡空間其他實體進行信息的交互，在監管者的組織下持續、高效運行。運行的流程圖如圖2所示。

圖2 安全威脅情報應用系統的運行流程

（1）監管者對網絡空間安全威脅情報的運行進行監督和管理，對生產者、傳遞者獲取情報、提供情報服務的流程提出合規性要求。（2）監管者為消費者提供合法的情報提供商清單。（3）消費者通過情報傳遞者的服務門戶查詢、訂閱服務。（4）傳遞者將消費者的情報需求提交至生產者。（5）攻擊者對受害者信息資產發動攻擊，獲取經濟或政治利益。（6）受害者將損害、破壞情況和能夠采集到的攻擊活動線索上報至情報生產者。（7）生產者對上報的信息進行理解、分析和提煉，形成具有操作和行動價值的威脅情報。（8）生產者將安全威脅情報發布至傳遞者服務門戶。（9）傳遞者將安全威脅情報交付消費者。（10）消費者利用安全威脅情報中的有效信息開展防御工作。（11）生產者向信息資產受害者提供攻擊情報及修復建議。（12）監管者要求生產者對攻擊者進行溯源和追蹤。（13）生產者試圖取得攻擊者的相關信息。

必須指出的是，該系統的一般流程并不在任何時候都是線性的、完整的循環周期。系統漏洞的暴露和攻擊發起的隨機性都會對流程的運行造成影響，導致某些步驟提前、滯后或往復運行。

3 安全威脅情報應用研究

3.1 安全威脅情報應用

網絡安全是全局性問題，任何一個網絡安全問題都不能靠單一的部門來解決。不同部門掌握不同的數據源，將各單位、各部門的資源整合在一起，有分析能力的部門進行數據的分析計算，就有可能形成更有價值的威脅情報信息，構建更有實用性的安全威脅情報庫，進而為政府機構、安全廠商、企事業用戶提供更好的支持[6]。

3.1.1 對現有安全基礎產品設施的有益補充

企業在網絡安全防御方面不斷引入各種基礎安全產品設施，如下一代防火墻、防病毒、入侵檢測、漏洞掃描等產品，但這類產品在應對高級持續性威脅、新威脅等時顯得力不從心。通過引入安全威脅情報產品，可以更有助于企業對高級對手、新型威脅進行識別、消減和響應處理。

3.1.2 具備自適應風險管理能力

美國NIST《關鍵基礎設施網絡安全框架》中提到，一個組織如何看待網絡安全風險并對其進行管理，可以劃分為四個遞進的層次，即Partial（局部可評估）、Risk Informed（全局可評估）、Repeatable（可重復評估）、Adaptive（自適應）。企業面臨的安全風險不僅與自身的信息設施架構、人員素質、設備投入相關，還與網絡空間環境、所在行業、時間節點等因素關聯。對于企業而言，安全分析及事件響應中的多種工作可以依賴安全威脅情報來更簡單、高效地進行處理，通過持續地評估情報需要和情報效果，有目的、有選擇性地結合外部的安全威脅情報進行精確的、適時的信息共享，在可承受的風險和付出的成本之間進行平衡。

3.1.3 支撐網絡安全戰略規劃和應急響應

何以安全，須知已知彼，即對內外環境和潛在的威脅予以探知，才能決定后續的行為指向[7]。安全威脅情報試圖通過提供關于攻擊者TTP和防御者安全能力的充分信息，以可視化的方式呈現網絡空間安全態勢，并給出安全威脅的走向趨勢，使安全管理者能夠從宏觀角度進行思考和決策。

3.2 安全威脅情報即服務（TIaaS）

按照以網絡為中心和安全功能服務化的思想，將安全威脅情報視為網絡空間安全體系的有機組成部分，創新性地設計威脅情報即服務（TIaaS, Threat Intelligence as a Service）框架，縱向貫穿五個情報應用層次，橫向包含情報生產者系統、情報傳遞者系統和情報消費者系統三個情報生態要素，從而為安全威脅情報生命周期的運轉提供可靠支撐。

TIaaS可以替代現有SOC、SIEM系統間用于信息共享的業務邏輯，從全局集中點實現安全威脅情報的統一匯聚和融合處理。通過建立跨部門、區域、跨層次、跨網絡的一體化TIaaS基礎設施，為網絡空間防御、安全治理和應急響應服務。

如圖3所示，威脅情報即服務體系架構由數據源層/受控層、平臺層等5個層次構成。

（1）數據源層/受控層：情報生產者從網絡流量、主機和應用狀態等數據源采集原始數據，情報消費者依據獲得的情報配置相關安全設施和設備策略；

（2）平臺層：實現面向數據源和數據接口，支持非結構化、結構化和半結構化數據存儲的數據平臺，提供分布式文件存儲的并行處理，支持大數據的高可擴展存儲，通過提供一致性用戶存儲訪問接口，實現工作流配置和數據實時處理引擎；

（3）分析層：實現基于原始安全數據的多維情報生成、處理和解析，管理和維護系統知識庫、安全知識庫和威脅知識庫；

圖3 威脅情報即服務體系架構

（4）服務層：以松耦合方式提供應用系統所需的情報挖掘服務、結果報告服務、情報共享服務、分發服務和接收服務；

（5）應用層：用戶通過人機界面可訪問的應用系統，包括威脅情報挖掘系統、呈現系統、共享系統、分發系統和用戶端代理系統。

情報生產者、傳遞者和消費者通過位于服務層的情報共享、分發及接收服務接口進行交互。情報在服務框架的每個層次以不同的粒度存在，在不同層次間轉換時會成為更具體（南向接口，貼近實際的事件數據）或更抽象（北向接口，貼近宏觀的安全態勢）的形式，以便于對應功能模塊的使用處理。

此外，TIaaS的服務框架還包括一個全局的情報監管及運維管理，即建立一整套情報規范、使用標準和管理制度，對系統的組織架構、交互方式、作用條件等進行限制和約束，通過政策、指導和監督來確保標準化和統一化的實現。

3.3 安全威脅情報的標準化及安全問題

3.3.1 標準化

標準化是安全威脅情報在多個生產者、傳遞者、消費者間交互和共享的必要前提。另外，使用標準化的方式定義情報格式，能夠在最大程度上減少信息語義損失和歧義，同樣也可以避免日后因為接口和規范不同而造成較大的改動和不必要的資源浪費。目前，在威脅情報標準化交換方面，存在以下較有影響力的框架、協議和標準[8]：

（1）IODEF（Information Operations，Description Exchange Format），信息操作、描述和交換格式。

（2）CIF（Collective Intelligence Framework），集體智慧框架。

（3）STIX（Structured Threat Information Expression），結構化威脅信息描述語言。

（4）O p e n I O C（O p e n I n d i c a t o r s o f Compromise），開放式威脅指示標準。

（5）Veris（Vocabulary for Event Recording and Incident Sharing），事件記錄與共享詞匯表

結構化威脅信息描述語言（STIX）是規范網絡威脅信息的規范，主要適用于以下場景：1）威脅分析。實現威脅的判斷、分析、調查和記錄；2）威脅特征分類。以人工方式或自動化工具，將威脅特征進行分類。3）威脅及安全事件應急處理。用于安全事件的防范、偵測、處理、總結等，相較傳統的安全事件處置過程更為詳盡和規范。4）威脅情報分享。用標準化的框架進行描述與分享。目前，許多企業已經采用STIX進行威脅情報共享[9]。

STIX主要從以下8個方面的屬性對威脅情報進行結構化的定義：

（1）可觀測行為：我們能夠觀察到的行為。它們威脅情報中最基本的信息，比如網絡堵塞、系統遭受到的破壞等現象，是日后事件處理的關鍵信息。

（2）威脅指標：表征這個威脅的特征指標。通過查看這些特征可以判定信息資產是否真的遭受了這個威脅的攻擊。包括威脅處理的條件、可能的影響、有效時間、建議處置方法、檢測或測試方法和指標來源等。

（3）安全事件：包含安全事件的描述，包括時間、位置、影響、相關威脅指標、攻擊意圖，影響評估，響應的前置條件、已采取的行動、事件的日志信息源等。

（4）手段、技術和過程：分手段、技術、過程三個維度分析威脅情報中的關鍵信息，包括惡意攻擊的行為、采用了什么工具、受害目標、利用了什么弱點、影響及后果、殺傷鏈信息等。

（5）動機：攻擊者為什么要發起這次攻擊，包括攻擊者特征、意圖、所屬組織、成功率等。

（6）被利用的目標：被攻擊系統屬性、以及被利用的系統漏洞等信息。

（7）行動指南：針對被利用的目標所采取的行動，以提升防護能力，降低安全事件造成的影響。

（8）攻擊溯源：攻擊發起方的具體信息。

3.3.2 安全及隱私保護

從信息安全角度而言，威脅情報的安全是指在情報的收集、處理、傳遞、分發、銷毀等過程中保證資源客觀性與權屬的安全，防止情報被故意或偶爾因非法授權的操作而泄露、更改、破壞或控制。在安全威脅情報應用過程中，需要注意的安全及隱私問題包括：

（1）情報信息的安全等級應得到標識，約定其使用范圍，避免情報被越權使用。

（2）情報信息在傳輸、存儲中應加密以保護信息的機密性和完整性。

（3）情報信息在分發、傳輸時應確保使用者身份可信，且權限合法。

（4）情報中的URL、域名、IP、文件名等信息中，不能包含可能推斷出被攻擊者的信息。

（5）用于共享的報文不能包含登錄憑證、財務、健康、任務信息及表單的提交數據等。

（6）文件樣本中不能包括任何與事件響應人員無關的敏感信息。

（7）網絡流量樣本中不能暴露員工行為或企業中與分析響應無關的內容。

（8）惡意代碼樣本中不能包括用戶業務或個人相關信息。

另外，情報的使用需要遵從相關的協議或法規，這在跨國、跨行業的安全威脅情報應用中十分重要。

4 結 語

安全威脅情報作為未來安全智能（Security Intelligence）的重要組成部分，是當前網絡空間安全研究的熱點。在當前安全形勢具有尖銳性、嚴峻性和復雜性的背景下，開展網絡空間威脅情報的研究，被業界普遍認為是應對當前網絡空間新威脅的一種有效手段。其研究領域不僅包含安全威脅情報標準化、共享、安全等問題，還涵蓋了大數據分析、人工智能、輔助決策等，是值得廣大安全研究人員不斷持續深入研究的領域。

[1] 百度百科.情報[EB/OL].(2013-12-01)[2016-05-17]. http://baike.baidu.com/link?url=ij6R13VhACgZrx-wrG KVfl9Z8k2LOjbvr62RQvupS0HId6bQX05tOcsGN0TR 53K8d9-8GOV3l1WoqnWiOndPKAdqCoBAP0-MO_ jQC6QX_zK. Baidu Encyclopedia.Information[EB/OL].(2013-12-01)[2016-05-17].http://baike.baidu.com/ link?url=ij6R13VhACgZrx-wrGKVfl9Z8k2LOjb vr62RQvupS0HId6bQX05tOcsGN0TR53K8d9-8GOV3l1WoqnWiOndPKAdqCoBAP0-MO_jQC6QX_zK.

[2] 軍芳.乍暖還寒時分,網絡安全威脅情報價值凸顯,隱秘的網絡安全威脅情報[J].信息安全與通信保密,2015(12):76-77. JUN Fang.Network Security Threat Intelligence Network Security Threat Intelligence to Highlight the Value of the Secret[J].Information Security and Communications Privacy,2015(12):76-77.

[3] 比特網.安全威脅情報有效使用的基礎[EB/OL]. (2016-01-26)[2016-05-17].http://sec.chinabyte. com/180/13682680.shtml. Chinabyte.The Basis for the Effective Use of Security Threat Intelligence[EB/OL].(2016-01-26)[2016-05-17].http://sec.chinabyte.com/180/13682680.shtml.

[4] 王培.中國信息安全市場現狀與未來展望[J].中國信息安全,2015(03):79-81. WANG Pei.Present Situation and Future Prospects of Information Security Market in China[J].China Information Security,2015(03):79-81.

[5] 周海剛,邱正倫,肖軍模.網絡主動防御安全模型機體系結構[J].解放軍理工大學學報,2005,6(01):40-43. ZHOU Hai-gang,QIU Zheng-lun,XIAO Jun-mo. Network Active Defensive Security Model and Architecture[J].Journal of PLA University of Science and Technology,2005,6(01):40-43.

[6] 云曉春.威脅情報助力互聯網響應[J].信息安全與通信保密,2015(10):21. YUN Xiao-chun.Threat Intelligence Helping the Internet response[J].Information Security and Communications Privacy,2015(10):21.

[7] 張家年,馬費成.美國國家安全情報體系結構及運作的研究[J].情報理論與實踐,2015(07):7-14. ZHANG Jia-nian,MA Fei-cheng.Research on the Structure and Operation of American National Security Intelligence System[J].Information Studies Theory and Application,2015(07):7-14.

[8] Sec-un網.安全威脅情報標準STIX介紹[EB/OL]. (2015-09-15)[2016-05-17].http://www.sec-un.org/ security-threat-intelligence-introduce-standard-stix.html. Sec-un.Introduction of Security Threat Intelligence Standard Stix[EB/OL].(2015-09-15)[2016-05-17]. http://www.sec-un.org/security-threat-intelligenceintroduce-standard-stix.html.

[9] 博客.STIX：一個網絡空間威脅情報分享的標準[EB/OL].(2012-07-05)[2016-05-17].http://yepeng. blog.51cto.com/3101105/941387/. Blog.STIX:A Cyber Threat Intelligence Sharing Standard[EB/OL].(2012-07-05)[2016-05-17].http:// yepeng.blog.51cto.com/3101105/941387/.

徐 銳（1977—），女，碩士，高級工程師，主要研究方向為信息安全、網絡空間對抗；

陳劍鋒（1983—），男，博士，高級工程師，主要研究方向為信息安全、大數據安全；

劉 方（1982—），女，博士，高級工程師，主要研究方向為網絡空間對抗、數據挖掘。

Research on Cyber Threat Intelligence and Applications

XU Rui1,CHEN Jian-feng2,3,LIU Fang2,3
（1.China Electronics Technology Cyber Security Co.,LTD,Chengdu Sichuan 610041,China; 2.Southwest Institute of Communications,Chengdu Sichuan 610041,China; 3.Science and Technology on Communication Security Laboratory,Chengdu Sichuan 610041,China)

Facing the increasingly flinty security position, the security experts need to change the idea of security defense, which can realize the timely identification and effective defense for all the new cyber threats through the active methods, which is through the tracing and analysis for the characteristic, method and mode of the cyber threat. The function of the cyber threat intelligence（CTI） is very important during the process of change, the Cyber counterwork is also deeply depended on CTI as the battle conflict in the entity space. The CTI is the knowledge based on evidence, including scene, mechanism, indicator of compromise (IOC) and operative suggestions. The paper introduces the function and flow of the CTI in the Cyber security field along with the basic characteristic and challenge of CTI,design a security threat intelligence service (TIaaS) architecture diagram, as an innovative technology and engineering framework for supporting security threat intelligence applications.Meanwhile,discusses the application scene of the CTI and the hotspot of research.

Cyber Threat Intelligence;Cyberspace Security;Indicator of Compromise;Threat Intelligence as a Service

TP393.08

：A

：1002-0802(2016)-06-0758-06

10.3969/j.issn.1002-0802.2016.06.020

2016-02-08;

：2016-05-03 Received date:2016-02-08;Revised date:2016-05-03