威胁情报赋能 | 安恒信息首家发布城市级安全态势分析报告

本文由安恒风暴中心发布，风暴中心将会陆续在freebuf媒体平台上，发布各类专题技术报告、年度安全报告及最新技术研究，欢迎各位关注我们，参与交流和讨论。

智慧城市安全风暴中心是杭州安恒信息技术有限公司顺应当前信息化发展中云计算化、大数据化、SaaS化的大趋势，专门设立的网络安全态势监测、感知、防护、分析及预警部门。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续四届世界互联网大会、G20杭州峰会、厦门金砖峰会、上合峰会、进博会、联合国世界信息地理大会等众多重大活动提供网络信息安全保障。

随着信息技术的发展，云和大数据技术得到了广泛应用，网络空间在我们的生活，乃至甚国计民生的发展中，扮演着越来越重要的角色。没有信息安全就没有国家安全，网络空间安全面临的威胁和挑战与日俱增，如何通过有效的技术手段，提升网络空间安全，是当前整个安全产业面临的严峻话题。

2018年12月2日，安恒风暴中心举办第一届安恒信息威胁情报论坛，就“威胁情报赋能、信息安全智能”展开讨论。

议题一 IT-DT-TI 我们何去何从

如今，谁掌握了威胁情报，谁就掌握了网络安全对抗的主导权。威胁情报在信息背景下应运而生，作为国内信息安全领军企业的安恒，如何看待威胁情报呢？

安恒信息副总裁杨勃表示，目前安恒主要以机读情报和战略情报为主，真正为用户提供数据和决策支撑，结合用户场景，提升网络安防SaaS能力，从而进一步增强企业综合实力，提升企业的品牌影响力和专项实战能力。

威胁情报主要的价值在于：在战略层提供决策信息，在战术层提供可操作的建议；从时间维度看，基于历史知识达到预判未来的效果。这些特征就如同战场上的侦查部队，获取风险情报，判断潜在威胁，为网络空间安全的攻击预警、应急响应及发展态势预测提供依据。

议题二安全数据大脑驱动智能安全

当前网络安全面临了严重的信息不对称以及被动防御的瓶颈，制约了我们检测防御能力的提升。威胁情报的出现，让我们拥有了“看见敌人”的能力，城市情报系统，安全风险监测，都依赖于威胁情报技术的应用。那么，如何依托威胁情报技术发现风险，如何更好的让威胁情报技术在产品中落地？

安全数据大脑产品经理金丽慧在《安全数据大脑，驱动智能安全》中讲到，安全数据大脑定位于IoC情报与城市级监管情报两个核心应用场景。

IoC致力于提升现有安全检测防御产品如APT/WAF/Ailpha等，对流量与日志中威胁的智能化分析，协助聚焦高威胁事件；城市级情报应用在安全监管客户项目中，提供对整个城市的资产摸底，失陷检测与攻击检测。

由此，安全数据大脑团队首家发布城市级安全态势分析报告，从城市安全监管的三个维度切入：网络资产摸底，区域失陷资产与遭受攻击情况，完整地分析展现城市内网路空间底数以及其问题，协助网络监管单位全面把控态势，精准研判趋势与工作方向。

系统报告中，对城市中的重要资产全面摸底探测跟踪，分析提取其中的监管盲区与重要信息系统，以期协助网络监管单位掌握全面资产清单，消灭由于盲区引起的各类事件。

本次发布的城市报告，基于机器学习，分析发现城市中存在的失陷资产盲区。

在过去很长时间内，大量网络资产失陷，导致安全问题频发，形成安全管理的被动应对局面。而对失陷资产的分析，能够提前预警，有效阻止大型事件的发生，削减黑客掌控僵尸网络资产的势力。

议题三 IoC情报和城市级情报的应用

威胁情报的应用，大幅度的提升了现有的安全检测效率，从海量告警中，聚焦到真正的攻击源。威胁情报体现数据价值，安恒是如何建立自己的威胁情报系统，实现数据分析、威胁量化呢？

蒋海峰在《IoC情报和城市级情报的应用》讲到，安全数据大脑团队利用大数据分析和机器学习技术，对恶意IP降噪，提高恶意域名识别的准确率。

IoC威胁情报，除了在防火墙、DPI等设备中的碰撞应用以外，还具备威胁溯源能力。如果在流量侧发现了一个恶意IP，那如何判断IP的归属性？使用什么手段判断？如何协助警方司法取证？这也就是溯源的必要性。

议题四威胁情报在Ailpha大数据中的应用、案例与展望

安全数据大脑团队集合了安全研究院、安全服务、Ailpha大数据实验室、风暴中心等多个部门，形成了基于情报研究、捕获、分析与应用的完整情报体系，拥有可靠的海量情报数据。

Ailpha大数据实验室的莫凡提到，大数据时代的威胁情报是伴随着海量数据增长而出现的，信息安全管理中，我们要将数据转化为有价值的情报，并辅助决策。

Ailpha大数据分析平台，为了增强对未知攻击威胁的检测识别与预警，目前已经全面融合安全数据大脑中的C2、黑产IP、扫描、代理、爬虫、恶意主机等威胁情报。

每日动态更新最新情报库，在用户网络环境中，对采集的海量日志与流量数据的情报碰撞分析，并采用关联分析、横向分析等模型，发现潜伏失陷与未知攻击等问题，优化分析算法，聚焦核心安全威胁，精准研判攻击事件，溯源攻击者所在的黑客组织团伙与攻击意图。

目前，Ailpha大数据实验室结合安全数据大脑，成功协助公安厅、政务云、医院等多家机构，监测安全威胁，研判网络攻击，实现风险追溯。

案例一黑产挖矿政务云失陷

我们可以看到，威胁情报技术对信息安全技术的发展，起到了重大的推动作用。而近年来，随着虚拟货币市场的热度提升，越来越多的目光聚集到虚拟货币交易与虚拟货币价值上。虚拟货币，从一开始充当地下交易的介质，到成为逃避追踪的勒索病毒的钱包，利益之所向，黑产必跟随。越来越多的黑灰产业，通过非法入侵，寻找肉鸡挖矿。

本次威胁情报论坛中，谢辰承、温延龙两位，就某市政务云中的失陷事件讲到黑产挖矿的那些事儿，分享了威胁情报技术如何打击黑产挖矿，实现案件溯源。

安全数据大脑通过威胁情报库和某政府网络机房部署的DPI流量中，提取大量数据，分析了最近195,029,610条流量信息，通过聚类，从访问日志中提取访问日志信息。

通过与数据大脑威胁情报碰撞，最终确定了20个挖矿主机，并且通过溯源发现，其中有一部分是某政府网段的IP，发现6个僵尸，受控网络主机。

定位IP后溯源收集证据

案例二重保期间的威胁情报应用

十一月的安恒，先后参与保障了中国国际进口博览会、第五届世界互联网大会以及联合国世界地理信息大会这三大国际型会议，成功完成了网络安保使命，保障网络安全空间零事故发生，获得多方嘉奖与赞许。

本次论坛中，余洪英为我们讲解了在这重大活动的网络安全保障中威胁情报的应用。以第五届世界互联网大会为例，安全数据大脑实时为网络安保中心输送威胁情报报告，监测数据库远程端口开放情况，对工控系统及重要单位实行风险监测预警。

安全数据大脑团队，依靠威胁情报技术，对失陷主机、关键信息系统、远程数据库危险等进行情报收集、整理与分析，到高危攻击源精准溯源，是世界互联网大会的网络安保技术团队的坚实后盾。

论坛成果城市级安全态势分析报告

大数据驱动安全创新，新安全助力数字中国。以信息为中心，以安全策略为核心，依据强大的安全分析团队和安全情报共享机制，形成威胁情报，防范高级网络攻击。安全数据大脑的出现，让威胁情报技术更好地为网络安保技术服务。

扫描二维码，进入威胁情报官网，可以查看更多技术报告

知彼知己，百战不殆。网络安全领域的威胁情报技术，开辟了情报理论与实践的新方法，从传统的被动式防御，转向主动进攻式的防御模式，推动国家信息安全管理模式的转型。未来的威胁情报技术，将会在信息安全强国战略中发挥着越来越重要的作用。

安恒作为信息安全行业中的领先者，扎根网络安全领域，着力于研究并突破网络安全核心技术，为互联网政务、经济、民生等领域贡献网络安防力量，推进数字经济发展。

– End –

安恒风暴中心

实锤案分享攻防骚对抗 | 黑产挖矿的路子居然这么野了？

安恒助力安全中国

智慧城市安全风暴中心是杭州安恒信息技术有限公司顺应当前信息化发展中云计算化、大数据化、SaaS化的大趋势，专门设立的网络安全态势监测、感知、防护、分析及预警部门。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续四届世界互联网大会、G20杭州峰会、厦门金砖峰会、上合峰会等众多重大活动提供网络信息安全保障。