中債威脅情報平臺建設研究

馬奇辰　焦偉　高浩

摘要：在復雜的國際環境下，日趨嚴峻的內外部攻擊威脅已經成為“新常態”，圍繞攻防實戰能力提升的“網絡安全2.0時代”已經到來。中央結算公司積極進行企業安全主動防御能力建設，并按照網絡安全等級保護制度對資產實行重點保護。針對商業威脅情報缺乏及時性、定向性、準確性等特征，中央結算公司通過知識圖譜等技術自主研發了中債威脅情報平臺，全面收集、挖掘分析及沉淀情報線索，輸出有針對性的戰術、運營、戰略情報，以達到捕捉安全風險、發現潛在威脅、看清安全狀況、挖掘攻擊方真實意圖等目的，進而為實戰狀態下的整體安全防護提供有力支撐。

關鍵詞：內生情報 知識圖譜 主動防御

威脅情報簡介

（一）定義

對于威脅情報，不同機構給出的定義有所差異。美國SANS研究院（埃斯卡爾先進技術研究院）認為“網絡威脅情報是分析關于進行網絡作戰對手的能力、機會和意圖的信息”。美國Gartner（高德納公司）認為“威脅情報是基于證據的知識，包括上下文、機制、指標、隱含和可操作的建議，針對一個現存的或新興的威脅，可用于做出相應決定的知識”。目前，后者定義的接受度更高。

（二）產生的原因

攻擊者在向企業或組織發起針對性攻擊時，都經過了長時間的策劃準備，對攻擊目標進行前期情報收集、邊界探測，進而重點攻擊、突破防守，并持久控制。而防守方對攻擊者的攻擊手法、攻擊途徑、攻擊武器等信息一無所知，只能依靠安防設備通過特征檢測、規則匹配等方式進行被動防御。面對這種攻擊時，攻防雙方存在嚴重的信息不對稱，如何把攻防對抗中捕獲的攻擊方有關信息不斷積累沉淀進而形成經驗、知識應用到安全建設中，彌補攻防兩端的信息差，從而提前感知潛在威脅，是亟待解決的問題，威脅情報由此應運而生。

（三）類型分析

從不同視角出發，威脅情報類型的劃分也有差異，本文主要從攻擊者和防守方兩個視角來劃分威脅情報類型。

1.基于攻擊者視角對威脅情報類型的劃分

2013年3月，安全專家David J. Bianco在其文章《痛苦金字塔》（The Pyramid of Pain）中首次提出了“痛苦金字塔”的概念。圖1展示了痛苦金字塔的層級結構圖，從下至上依次為哈希值，網絡地址，域名，網絡及主機信息，工具，戰術、技術以及過程等六類威脅情報，情報重要程度逐級上升，同時也表示情報給攻擊者帶來的“痛苦”程度從“不重要”上升為“艱難的”。“痛苦”一詞是針對攻擊者來說的，金字塔的最底層為哈希值，當掌握攻擊方關于哈希值的情報時，給攻擊者帶來的“痛苦”最小;隨著金字塔層級不斷提升，掌握的情報給攻擊者帶來的“痛苦”也隨之上升。

2.基于防守方視角對威脅情報類型的劃分

從防守方視角一般可將威脅情報分為戰略情報、戰術情報、運營情報三類。戰略情報旨在為企業高管和其他決策者作出高層決策提供信息。戰略情報技術含量較低，通常以報告或簡報形式呈現，涵蓋企業安全態勢的概況、網絡活動攻擊以及對公司影響等內容。戰術情報通常稱為戰術、技術和程序，是關于攻擊者如何進行攻擊的信息。戰術情報可幫助企業了解可能遭受的攻擊以及如何防御或減輕這些攻擊。運營情報是關于特定網絡攻擊的情報，即關于攻擊者將在何時、以何種方式攻擊企業的情報，這類情報非常難以獲取，它可幫助企業的安全團隊了解特定攻擊的性質、意圖。

中債威脅情報平臺建設的必要性

當前，商業威脅情報數據主要是通用的威脅情報，缺乏特定行業、領域的定制化情報。金融業作為資金大量聚集的行業，已然成為網絡攻擊的重災區，其中很多網絡攻擊針對特定金融機構定制了特有的攻擊工具、手法，這些信息是商業威脅情報所不能覆蓋的。中央結算公司作為金融行業重要基礎設施，需要通過自建威脅情報平臺，內生出自有情報，防御針對性攻擊，以達到捕捉安全風險，從而提升公司安全能力的目的。

（一）威脅情報為安全運營賦能

隨著網絡攻擊的針對性、隱蔽性、復雜性不斷提升，企業對每次攻擊進行有效阻斷的難度逐漸加大。為了應對千變萬化的網絡環境和外部威脅，企業的安全運營工作逐漸從被動轉向主動，力求從防御、檢測、響應和預測四個維度構建形成網絡安全運營“閉環”。安全運營的重心也從被動防御向檢測和響應傾斜——既然無法完全防御，那就及早檢測并盡快響應，這離不開對威脅情報的有效利用。威脅情報平臺可以實現對多源威脅情報的收集、整合、評估、運營和使用，并與安全運營中心整合協同，協助用戶實現對攻擊的阻斷、檢測和響應。

（二）威脅情報支撐主動防御能力建設

傳統的安全防護多數依賴邊界或特殊節點部署，類似于防火墻等安全設備的被動防御，實行以特征檢測為主的安全監控，并基于規則匹配產生警報。然而，面對各類新型威脅，傳統的安全防御方式顯得愈發捉襟見肘。Robert M. Lee于2015年提出了著名的“網絡安全滑動標尺模型”，描述了企業應對外部攻擊時網絡安全能力建設的五個階段，如圖2所示。其中，威脅情報建設處于較高階段，這不僅要求企業消費威脅情報，還應具有收集數據、提煉信息、生產情報的能力，并將整合的威脅情報與安全設備聯動應用，共享威脅數據，提高威脅檢測識別的準確率，縮短響應時間和降低防御成本，提升企業的主動防御能力。

中債威脅情報平臺總體設計架構

中債威脅情報平臺通過對情報數據獲取、清洗、關聯、推理、消費、運營，借助大數據、知識圖譜等前沿技術，實現多源情報聚合管理、本地情報生產、安全設備賦能、情報運營及共享等多個功能。

在架構設計方面，中債威脅情報平臺主要分為信源層、存儲層、分析層、管理層、業務層，如圖3所示。

（一）信源層

中債威脅情報平臺的威脅情報線索來源包括內部情報和外部情報兩部分。商業情報、開源情報、行業共享情報、與企業相關的外網情報都屬于外部情報范疇，其特點是通用性較強、覆蓋面較廣，被各企業共用，但因其數據量較大，往往會造成有效情報的轉化率偏低。外部情報可以有效應對流行性攻擊，但在面對具有較強針對性的高級、可持續威脅攻擊時，則非常需要企業借助自身生產的內部情報（即內生情報）來支撐對攻擊的預判和應對。蜜罐數據、安全設備的日志以及流量分析數據是內生情報的主要來源。在高級、可持續威脅攻擊中，攻擊者都會進行前期資產摸查工作，如端口探測、子域名搜集。如果此時通過蜜罐監測、流量分析等方式挖掘出有關攻擊者的相關情報信息，那么就能夠提前感知威脅，并作出及時響應。

信源層對公司設備和系統日志、公司相關外部情報線索、商業情報、行業共享情報等多源威脅情報大數據進行抽取匯總，支持以手工、批量、自動化等不同形式接入其他多源威脅情報，進而根據情報源及情報類型對威脅情報的準確度、優先級進行評分，形成較為全面、具有不同粒度層次的中債威脅情報數據庫，為公司提升主動防御能力打下堅實的情報數據基礎。

（二）存儲層

在存儲關系型數據時，中債威脅情報平臺使用PostgreSQL和MySQL兩個開源數據庫軟件，包含失陷指標、網絡地址信譽情報、攻擊團伙情報、攻擊手法等多種情報，可提供用戶和設備查詢所需要的情報信息。為了提供高速應用程序接口，響應實時查詢的需求，平臺使用Elasticsearch作為搜索與數據分析引擎，以滿足實時的搜索需求。平臺采用圖數據庫處理大量復雜、具有關聯關系、低結構化的威脅情報，盡可能挖掘關聯情報，豐富搜索結果的上下文。

（三）分析層

分析層可以看作中債威脅情報平臺的核心分析引擎，從安防設備和終端等渠道獲取分析日志，應用文件掃描、機器學習等多種技術手段和檢測方法挖掘可疑日志數據，定位異常活動主機，發現潛在威脅，進而察覺并阻斷攻擊。同時，攻擊過程中使用的網絡地址、哈希文件、攻擊手法等相關數據又可被收集沉淀，形成公司內生情報，豐富平臺情報數據，提高引擎分析能力。

此外，中債威脅情報平臺還使用知識圖譜技術，提高對海量數據加工整合的能力，解決公司多源威脅情報數據碎片化、情報多樣性、數據海量性等問題，從而提高威脅情報的處理效率以及情報質量。知識圖譜通過關系挖掘關聯多方情報數據，根據少量線索檢索關聯網絡地址、域名、攻擊手法以及歷史記錄等信息，輔助分析師決策判斷。同時，分析師的分析結果又可以反饋到威脅情報平臺，調整算法參數，修改數據源權重，提升情報質量。

（四）管理層

中債威脅情報平臺提供了豐富的系統管理組件。一是用戶管理，包括用戶新建和刪除、類型選擇、權限設置等。二是設備授權管理，主要是提供管理外部設備的應用程序接口功能，支持進行查詢、指定情報源的使用、數據統計分析功能等。三是系統配置管理，主要針對系統管理員，用于威脅情報平臺總體維護，如系統更新、參數設置等。此外還包括對情報的管理，如情報源擴展、分發、聚合、更新等。平臺還內置了展示模塊，可對威脅情報的數據進行統計分析，直觀展示總體情報量、每日新增量、總域名信息、日志總量等統計指標。

（五）業務層

中債威脅情報平臺的主要價值體現在賦能業務場景應用。平臺與態勢感知、入侵防御系統、網絡應用防護系統、終端防護等安防設備對接，共享威脅情報，提高設備的檢測和分析能力，快速感知內部失陷主機，阻斷外部攻擊源網絡地址。與事件響應工具或安全信息與事件管理系統共享情報優先級，對風險事件進行過濾、篩選和風險排列，降低誤報率，應對過量的警報。中債威脅情報平臺把海量威脅情報中的數據與攻擊者相關聯，還原出攻擊者使用的工具、攻擊手法等信息，全面描繪攻擊者畫像;通過關聯攻擊者的網絡資源，發現攻擊者涉及的其他攻擊事件，并把所有分析結果通過可視化分析工具在業務端以圖形化方式展示，可以使安全分析人員看清攻擊者的信息、攻擊行為、攻擊者的資產、攻擊目的等，甚至溯源到攻擊者的真實身份，最終達到看清攻擊全景的目的。

中債威脅情報平臺的創新性

中債威脅情報平臺使用業界前沿的機器學習、深度學習、知識圖譜等技術，以威脅情報知識圖譜為載體，以機器學習、深度學習為技術手段，以安全防護中的實際應用場景為落腳點，分析挖掘威脅情報信息，建立中債內生情報平臺，進而為安全防護管理提供豐富的決策依據，實現了多個功能模塊，如圖4所示。

（一）情報知識圖譜的構建

通過對中債威脅情報知識圖譜的挖掘與構造，實現對類型多樣、數據碎片化、數據海量性的威脅情報的整體關聯，提高對威脅情報的整合能力，形成高質量的威脅情報庫。通過情報推理等過程，探索威脅情報的智能化分析，基于已有的威脅情報以及豐富的日志數據，挖掘生成新的情報知識，豐富情報數據庫。

（二）基于威脅情報的智能分析

中債威脅情報平臺基于情報知識圖譜的智能分析，利用深度學習技術，結合攻擊團伙信息，以挖掘潛在威脅場景，為實際安全運營中的管理決策提供依據。傳統基于規則的威脅檢測和匹配無法應對攻擊方式的任意變化，且都會因策略、模型問題產生大量誤報。根據千變萬化的動作或行為數據，發現其中的規律，建立完善的知識庫和推理機制，將對入侵的了解變成知識，利用人工智能技術，根據知識進行推理，發現零日攻擊，結合攻擊團伙信息庫去推測此次攻擊的戰略意圖，從而為管理決策提供依據。

（三）內生情報助力網絡安全建設

中債威脅情報平臺與安防設備聯動，在共享威脅情報的同時，也分析安防設備的日志，感知潛在威脅，挖掘和關聯攻擊者的相關情報信息，提煉、沉淀形成公司的內生情報。平臺充分利用內生情報的價值，在管理層完成情報的分發管理與系統展示，并在業務層實現內部業務的賦能以及行業情報共享。

主要結論

當前商業及開源威脅情報多從外網威脅分析中沉淀而來，缺乏企業內部所需情報具有的及時性、定向性、準確性特征。因此，建立中債內生情報平臺，及時發現與公司相關的外部安全風險，結合歷史數據及專家經驗，挖掘情報信息，以提高檢測和應急響應速度，提升準確率，看清攻擊背后意圖，發現零日漏洞，最終達到為公司安全主動防御能力賦能的目的。

作者單位：中央結算公司博士后科研工作站

中債金科信息技術有限公司

中債金科信息技術有限公司

責任編輯：涂曉楓 印穎

參考文獻

[1] David J. Bianco. The Pyramid of Pain[R/OL]. （2013-03-02）[2014-01-17]. https：//detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html.

[2] SANS Institute. 2021 SANS Cyber Threat Intelligence （CTI） Survey[R/OL]. （2021-01）[2021-01-18]. https：//www.sans.org/white-papers/40080/.

[3] SANS Institute. The Sliding Scale of Cyber Security[R/OL]. （2015-08）[2015-09-01]. https：//www.sans.org/white-papers/36240/.