威胁情报基础知识摘抄

type

Post

status

Published

date

Nov 16, 2022

slug

CTI_basic_knowledge

summary

情报是信息的一种高纬度形式，威胁是类型，因此威胁情报其实就是针对主体的、关于威胁的高纬度信息。

网络空间的攻防战是一场 “非对称”战争.

提高检测识别准确率,缩短响应时间,降低防御成本,成为网络安全领域的研究重点.威胁情报具有高度规范化的数据格式,可机读,也可人工分析;同时,威胁情报数据内容的知识密度大、准确性高、关联性强,可以为安全分析的各个阶段提供有力的数据支撑.

根据 CNCERT的研究,近年来我国逐渐成为各类网络攻击的重灾区,而其中以 APT和 DDoS为代表的新型攻击所占的比重越来越大.

要健全市场主导、政府监督、联盟协同、实体运营的国内情报共享体制

主要问题是共享数据的有效性计量和有限性约束.

有效性计量的问题包括共享数据表达、共享传输规范、共享数据有效性评估等.

有限性约束的问题则包括共享风险评估、情报知识产权保护、数据隐私保护等.

如何确定共享数据的格式和内容、共享数据以何种方式共享交换,以及如何使共享数据得到有效保护.

威胁情报属于一种海量、多源、异构的数据.

Hash、IP、域名类情报属于易于获取但利用价值不高的低级情报

网络或主机特征、攻击工具、TTPs等情报属于相对不易获取但具有较高利用价值的高级情报.

高级情报包含丰富的知识内容和较强的关联逻辑关系,可以适用于较广泛的安全分析场景.

高级情报存在问题,研究如何提高高级情报的自动化分析、处理的识别效率和准确率,对降低攻击检测成本,缩短攻击响应时间和提高攻击防御能力十分重要.

情报根据内容分类：１)基础网络类情报２)攻击团体情报３)APT分析类情报主要由业界知名的情报厂商发布

威胁情报主要分为两种:１)安全厂商以产品形式出售或分享;２)开源情报联盟或情报联盟以开源数据的形式分享.

这类情报虽然内容相对单一,但在准确性和适用性方面具有较大优势.

威胁情报在安全分析中的优势在于其高度结构化的数据框架和具有丰富关联关系的数据内容.

有数据表达规范和通信传输协议在威胁情报数据表达的有效性与完整性、传输的准确性与安全性等方面存在问题

主要问题有３个:数据格式不统一,无法相互读取;内容框架不兼容,无法相互理解;传输协议不通用,无法相互传输. 针对这些问题,学术界和产业界分别在情报的相关分类与管理、传输规范和表达规范等方面进行了研究.