傳統(tǒng)的防御機制往往是根據以往的“經驗”來構建安全防御策略，即使是基于機器學習的檢測算法也是如此，都難以應付未知攻擊。在網絡攻擊呈現多樣化、復雜化、專業(yè)化的趨勢下，我們需要一種能夠根據過去和當前網絡安全狀況動態(tài)調整防御策略的手段，威脅情報應運而生。

　　在對威脅情報進行收集及處理后，可以直接將相應的結果以機讀的形式分發(fā)給安全設備，實現精準的動態(tài)防御，達到“未攻先防”的效果，實現從傳統(tǒng)“靜態(tài)被動防御”到“動態(tài)積極防御”的轉變升級。

　　什么是威脅情報？

　　根據Gartner對威脅情報的定義：威脅情報是一種基于證據的知識，包括了情境、機制、指標、影響和操作建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險，并可以用于通知主體針對相關威脅或危險采取某種響應�；蛘咭部梢院唵蝸砝斫�，對企業(yè)產生危害或者利益損失的信息，就可以稱之為威脅情報。

　　威脅情報的核心價值在于：加快檢測和響應、掌握威脅根源、輔助安全決策、讓威脅治理更高效。

　　安恒威脅情報檢測平臺：動態(tài)防御

　　如何利用威脅情報，實現精準動態(tài)防御，達到網絡安全“未攻先防”的效果？

　　安恒信息發(fā)布：安恒威脅情報檢測平臺（TIDP—Threat Intelligence Detection Platform）。

　　TIDP是一款由威脅情報數據驅動，對網絡流量進行實時分析和檢測，對可疑網絡行為進行告警，旨在全方位發(fā)現失陷主機、從海量攻擊事件中識別針對性攻擊的網絡流量檢測產品。

圖：產品功能圖

　　TIDP的特色與亮點：

　　1. 豐富威脅情報數據支撐，日更新高活躍80萬條

　　安恒安全數據大腦豐富的威脅情報數據，是TIDP網絡流量分析檢測的重要基礎。安恒安全數據大腦依托玄武盾SaaS云防護、蜜罐網絡、全球資產探測等能力，國內外數百家情報源集成，通過大數據、機器學習與文件自動化分析等技術，提煉形成涵蓋C&C、僵尸網絡、惡意代理等60余類的情報數據，以及全球的網絡資產基礎數據，日更新高活躍情報數據80萬條。

圖：威脅情報驅動

　　2. 多維度、全方位發(fā)現失陷主機

　　TIDP中不僅內嵌了多種遠控類型的情報指標，而且也結合了安恒信息在網絡流量分析領域的長期積累，引入了包括利用機器學習檢測DGA域名請求、遠控工具指紋庫、漏洞利用庫，以及多個隱蔽信道通信檢測模型，可以全方位發(fā)現失陷主機。并通過可視化的方式，從失陷主機、威脅類型、黑客組織等多個角度進行關聯展示，呈現當前網絡環(huán)境中所有的失陷和受控情況。

　　3. 從海量隨機性掃描中識別針對性攻擊

　　網絡環(huán)境中時刻在發(fā)生大量自動化隨機掃描事件，這些隨機掃描事件在傳統(tǒng)網絡安全設備上，將同步產生大量告警。TIDP通過對網絡雙向流量進行實時分析，準確識別針對服務器的針對性攻擊事件，使安全分析人員能從大量隨機性掃描攻擊事件中解脫出來，第一時間對針對性攻擊事件進行響應，極大提升安全團隊對網絡攻擊事件的響應效率。

　　4. 對攻擊事件雙向視角展現和回溯能力

　　TIDP不僅以受攻擊主機（包含失陷主機）為視角，同時也以攻擊源為視角，全局展現攻擊事件動態(tài)過程，無論是攻擊源還是受攻擊者，都可以多次鉆取更為詳細的攻擊事件信息，并可進一步從安恒數據大腦在線關聯獲取IP、域名和黑客組織等詳細信息，以供進一步取證回溯分析。

圖：威脅事件關聯分析

　　5、“以一敵百”超大流量檢測能力，可達Tbps級

　　TIDP能在僅鏡像DNS流量時發(fā)揮強大檢測能力，因DNS流量在整體流量中占比極低，如某城域網項目中的DNS流量占整體流量僅為五萬分之一，這使TIDP單設備所對應檢測的整體吞吐量達到數百Gbps、甚至Tbps級別，可匹配其他數十甚至數百臺全流量檢測產品類設備，適用于企事業(yè)單位出口、尤其適用于城域網威脅監(jiān)測。

圖：支持超大流量檢測

   【免責聲明】本文僅代表合作供稿方觀點，不代表和訊網立場。投資者據此操作，風險請自擔。