威胁情报

摘要： 基于威胁情报的网络安全监测预警体系在原有能力的基础上,建立网络空间威胁的“情报档案库”,一方面,利用情报全网共享机制达到“一点发现问题,全网风险屏蔽”的防御效果,利用情报库的关联分析机制增强网络威胁的趋势预测,解决由于局部区域的分析检测能力不足导致的“看不见”“看不准”“研判不明”的问题;另一方面,监测预警体系数据经过分析提炼,补充“情报档案库”,针对不同区域、不同时间的数据关联分析,持续地形成具有专业特色的“新威胁情报”,形成自我生长的专业威胁情报生态环境,迭代反哺网络安全监测预警体系,以应对复杂性、规模性、衍变性日趋严重的网络空间威胁。

摘要： 电网企业主要根据单一商业情报的读取完成安全事件响应,为解决其他情报源的标准化不足,海量安全日志提取情报信息难度大、现有情报特征筛选算法识别高级持续性威胁准确率不足等问题,设计了一组情报分析算法,整合电网企业未使用的其他情报源数据,统一情报接口标准;应用权重统计、频度分析、时间衰减与网站指纹识别算法,分析安全日志与黑客指纹信息,该算法数据处理能力达到百万级,黑客画像情报的生成率大幅提高。最终实现电网企业多种情报源的有效利用,提升识别高级持续性威胁的准确性。

摘要： 4月28日,腾讯安全正式发布了威胁情报中心TIX产品,并启动了腾讯安全威胁情报联盟。腾讯安全威胁情报技术专家表示,腾讯安全威胁情报中心TIX基于“第一手情报,一站式服务”的愿景,在腾讯安全多年深耕的情报能力基础上,从底层情报数据出发向上提炼,按照场景封装成多种功能,并以API、SDK、NFV,私有化部署等多种方式向用户交付。同时通过开放社区和平台支持开发者和生态厂商携手提升威胁情报能力。

摘要： 4月25日,为了弥补传统终端检測响应系统(EDR)的不足,360政企安全集团依托360云瑞安全大脑提供的安全大数据、威胁情报和攻防知识库等能力,以及核心安全大脑驱动的“运营商级”大数据处理及分析技术,打造了面向未来的EDR解决方案--360终端检测响应系统(以下简称“360 EDR”)。360 EDR具备SaaS化和智能化的特点,可通过持续监测端点活动行为,对威胁风险进行深度检测,智能化分析和专业化处理,大幅降低用户成本,提升部署效率,全方位解决用户的终端安全问题。

摘要： 共享威胁情报便于组织高效的应对威胁和部署防御计划.针对威胁情报在收集过程中出现的质量参差不齐、价值不高、容易过期等问题,通过评估情报厂商和共享平台提供的数据,基于制定的评估原则,提出了4个一级指标和11个二级指标,建立了威胁情报评估体系.所选的评估指标能够实现可计算化,其中一级指标包括信誉、时效性、贡献度和质量,研究的主要贡献在于,采用以太坊架构和智能合约设计了一级指标中的信誉系统,通过评分的更新实现了信誉评分的动态调整;区块链技术中的匿名和隐私方案保护了用户的隐私性,同时对于恶意用户也制定了相应的惩罚措施,具体过程是向区块链节点发起评分撤销请求,节点采用共识算法通过请求后给予不同程度的限制,改善了评估模型的公正合理性.此外,本研究构建了相关数据集,通过层次分析法(AHP)选取了4个权重较大的二级指标,并利用神经网络算法方法验证了评估模型的有效性和可操作性,精度达到92.59%,与实际值的相关系数达到0.9以上.最后将评估方法效果从实用性、代表性、动态性和可验证4个方面对比,指出所提出的评价方法在实用性和动态性上有明显优势,评估结果为高.

摘要： 威胁情报融合了网络安全、情报学等多方面的知识,合理地利用威胁情报可以判断攻击者的攻击目标、时间等,然后及时地采取相应的防御手段,保护网络环境的安全。但是目前对于威胁情报的利用还存在诸多问题:威胁情报数据规范程度不高;各个机构情报数据集中存储,一方面可能会因为网络攻击造成数据泄露,另一方面各个情报机构间的数据难以共享,用户想要获取情报数据更是困难;另外,各用户间的信任问题也难以得到解决。文章针对上述问题提出一个基于区块链技术的威胁情报共享系统。

摘要： 奇安信发布威胁情报检测引擎大幅降低情报消费门槛奇安信威胁情报中心面向终端、网关、大数据平台等环境推出威胁情报SDK检测引擎(QTDE),提升相关产品基于威胁情报的检测和发现能力。QTDE实现了便捷生产、共享与消费威胁情报的闭环,能够通过为不同形态的产品提供情报检索、基于分析师的研判和关联分析能力,定时分发热点IOC数据,使各集成产品整合、应用接口传递结果,检测威胁类型包括APT攻击、远控木马、蠕虫木马、僵尸网络、勒索软件、挖矿、黑客利用EXP等。

摘要： 针对传统的IDS规则更新方法基本只能提取已知攻击行为的特征,或者在原有特征的基础上寻找最佳的一般表达式,无法针对当前发生的热点网络安全事件做出及时更新,提出基于威胁情报的自动生成入侵检测规则方法。文章分类模块使用Word2Vec进行特征提取,利用AdaBoost算法训练文章分类模型获取威胁情报文本;定位IoC所在的段落并使用条件共现度算法进行特征扩展和子文档重构,使用深度学习算法ResLCNN提取文章中的IoC数据;将所提取的IoC数据转化为入侵检测规则。通过对最新恶意代码流量数据进行测试,该方法对新发现的恶意代码的检测能力优于现有的入侵检测系统,能够提升计算机网络应对网络安全热点事件的能力。

摘要： 2021年连续多起备受瞩目的重大网络安全事件加速了美国《关于加强国家网络安全行政命令》的出台,该行政命令将重点推动美国威胁情报信息共享、联邦政府网络安全现代化、软件供应链安全、网络安全审查委员会的建立、漏洞和事件处置能力的提升等七大工作重点。充分体现了拜登政府意在采取关键举措解决美国网络安全防御能力不足问题的决心,为联邦政府提出一系列全面行动策略,以改善并支撑美国重要机构以及国家网络的安全性。

摘要： 威胁情报通过关键网络空间安全内容的传递、交换和复用,促进企业、组织间形成协同防御信任联盟,以此共同识别、阻断和追踪入侵者,已经成为网络安全治理的重要基础。但随着情报生态的进一步发展,威胁情报管理、安全、收益与共享等方面的关键问题持续涌现,情报质量参差不齐的现状导致用户面对信息“盲盒”难以适从。基于Web3.0“下一代应用架构”和本体“下一代内容规范”,将去中心、强信任、防篡改、高一致、互认知的新型特征引入威胁情报共享范式中,将有望突破当前的技术与管理瓶颈,实现威胁情报在“供给—需求双侧”互牵互引、深度融合,实现安全主体间的无缝衔接和功能自治。

摘要： 提出了适用于大型专网的威胁情报共享模型,该模型可根据安全现状灵活动态地进行共享行为的建立和数据的传输,极大地提高了信息安全管理部门对安全事件的处理和响应能力,减少时延,提高效率,避免同类信息安全事件重复发生.

摘要： 网络安全威胁情报的及时共享和使用是有效提高网络安全防护能力的手段.针对当前威胁情报源数据质量不一、分析能力各异、维护水平不同的现状,从威胁情报数据特性、平台特性和经济特性三方面构建了统一的威胁情报评估指标体系.引入层次分析方法,构建了定量可执行的威胁情报质量评估方法,实现了威胁情报质量的有效测度.以实际的案例验证了方法的有效性.

摘要： 近年来,国内威胁情报相关技术、产品和市场有了快速的发展,不同组织利用威胁情报解决了过去难以解决的一些问题,如失陷主机检测等.威胁情报的价值得到了客户的普遍认可,同时也看到威胁情报领域一些深层次的应用场景,尤其是在事件响应环节的威胁情报使用上,需要更积极地投入进行技术创新.

摘要： 随着网络威胁的广谱化和持续化,系统的攻击工具和多样的入侵方式使网络威胁成本大幅降低,传统被动的安全防护方法越来越难以应对当前严峻的网络攻击形式.文章对现阶段威胁情报的发展情况进行研究,对威胁情报的定义及其使用方法进行总结,并在TAXII标准基础上,提出了新的威胁情报共享模型.

摘要： 态势感知是一种安全能力建设,这种能力侧重于对威胁的检测、分析,恰好适应了单纯在防御上进行投入,已经无法有效应对当前威胁的现状.态势感知的基础是对报警和元数据的收集,为达到"全天候全方位"的目标,其需要在流量、内容、终端三个方面,利用实时数据和历史数据进行检测.但单纯报警的可视化展示并不是真正的"态",要呈现当前的"态",需要针对报警或者异常情况,对其进行误报甄别、定性分析(识别定向型攻击或是随机性攻击)、了解攻击的影响范围和危害、确定缓解或清除的方法及难度等.在这个前提下,它再对组织面临安全事件全面呈现才能称为"态".而"势"则是未来可能的安全事件或状态,这种预测可以从对已知攻击者的意图、技战术特点以及Killchain分析得出,如果能够获得相关行业或者组织的情报共享,无疑可以更全面地掌握"势".因此可以认为,态势感知在某种意义上是一个大数据安全分析的问题.威胁情报在国内还属于比较新的安全技术，但却是现阶段帮助组织快速提升检测、分析、预防预测能力的最佳选择，尤其是态势感知这种综合能力的建设必须考虑威胁情报。同时，依托不同类型的情报相关产品，让分析人员的能力逐步成长，提高分析效率，也是解决人才缺口行之有效的方法。

摘要： 目前越来越多的行业开始选择利用威胁情报来提高自身的信息安全能力.大部分行业专网为保证网络的安全性,通常与互联网物理隔离.如何将外部威胁情报导入行业专网,并将行业专网中的内部威胁情报分享至公网成为使用威胁情报的难点问题.对当前行业专网现状及相关需求进行分析,在此基础上,对行业专网信息采集与导出技术方案进行研究,形成了基于威胁情报的行业专网信息采集与导出技术方案.

摘要： 现在,越来越多的企事业单位和机构开始接受威胁情报(Threat Intelligence,TI)的理念,并逐步将威胁情报服务部署在网络安全工作流中.当前用户选择威胁情报服务主要依赖于供应商的宣传和产品的试用.TI供应商都宣称其拥有雄厚实力,能为客户的安全业务提供最好的产品和服务,但大部分TI产品试用都有时间和功能限制,短期试用并不能为用户的选择提供决定性的依据和意见.因此,如何科学、客观、体系化地对供应商的威胁情报质量进行评估,对于用户而言,是现实而迫切的需求.

摘要： 安全的挑战已经变成一个新的领域,IT和OT融合,工业互联网整个过程就是一个IT和OT融合的过程.安全是一个叠加演进的过程，一开始的安全架构，逐步加上被动的防御，现在是积极防御，再往下考虑到威胁情报以及反噬。

摘要： 随着国内互联网产业的迅猛发展,石化、石油等众多传统的行业都开始将自己的业务互联网化,企业越来越多的业务、组织与web的联系日趋紧密.同时伴随着黑客技术在互联网端的进步和演变,针对Web系统的攻击事件层出不穷.能源企业的数据安全对于国家的健康发展至关重要,石油、石化等跟国家能源紧密相关的企业更加需要重视互联网安全.因此应最大化的保障石油、石化等大型能源企业在互联网上的安全运营,建设一套完备的防御体系迫在眉睫.

摘要： 随着信息安全漏洞日益增多,大量电力企业均采购了信息安全漏洞扫描系统,以支持信息安全防护工作.本文在对国内某电力企业在信息安全漏洞管理调研的基础上,识别出现大型电力企业在漏洞管理和威胁情报利用方面面临的困境,有针对性的设计并开发了电网信息安全情报集中管控平台,实现对任意安全情报的统一收集、自动化应用与闭环管控,并针对平台后续深入应用给出了研究方向.

摘要： 本发明公开了一种用于人读威胁情报推荐的知识图谱构建方法及威胁情报推荐方法。本发明通过爬取微博安全大V发布的人读威胁情报等作为原始数据，构建了用于人读威胁情报推荐的知识图谱，然后将知识图谱中的实体和实体关系抽象成低维度的向量表示e；对于每一条人读威胁情报Ii，生成人读威胁情报向量e(Ij)；将用户向量e(u)归一化结果和向量e(Ij)归一化结果拼接并添加对应的标记值，作为网络输入，训练该长短期记忆神经网络；对于一候选人读威胁情报，生成其对应的人读威胁情报向量并与用户u的用户向量拼接，然后输入网络，得出用户u是否会点击该候选人读威胁情报，根据判断结果确定是否将其推荐给用户u。

摘要： 本发明公开了一种基于威胁情报和ATT＆CK的威胁响应方法与装置，属于计算机网络安全技术领域。所述方法包括建立威胁情报库，从公开资源和传统安全设备中收集所述威胁情报，结合ATT＆CK框架解析攻击行为全生命周期，建立完整攻击链形式的攻击者机器学习模型；根据攻击者机器学习模型建立标签与处理规则的映射关系；使用基于DFI的深度流捡测技术对实时流量数据进行监控，识别并根据流量实时特征的变化不断更改标签值；根据标签与处理规则的映射关系激活威胁防御。本发明解决了威胁情报信息单一且杂乱无序导致溯源过程缺乏有效证据，以及通常采取的封禁和阻塞策略系统负载开销大的问题。

摘要： 本发明涉及一种基于威胁情报的网络威胁识别方法及识别系统，检测模块启动后加载情报更新模块更新的所有威胁情报至本地，获得采集并解析的审计数据后与威胁情报库中的数据匹配，成功则通过分析与展示模块基于风险数据分析并获得威胁事件信息，获得并分析可能存在的失陷主机事件的关联信息，统计、分析其间的联系并展示。本发明从威胁事件信息和失陷主机事件两个角度分析并展现全网威胁状况，确定已失陷主机，准确识别针对性攻击，对威胁进行关联性分析和展现，提升处理网络攻击事件的效率，误报率低，可发现潜在威胁，极大方便对威胁事件的溯源和事后处理，预测将来可能发生的攻击，从而深度分析并发现真正有价值的攻击事件。

摘要： 本发明提供一种威胁情报共享方法、威胁情报评级方法、系统及存储介质，属于网络安全和信息安全领域，该系统包括：底层区块链模块，用于对进行威胁情报共享的各个节点提供至少包括共识算法的针对区块链的支撑与实现；威胁情报共享模块，用于对区块链中的威胁情报信息进行共享；以及威胁情报评级模块，用于基于威胁情报使用者对威胁情报信息进行评价而生成的用户评价，对区块链中的威胁情报信息及其威胁情报源的质量评价指标进行计算，并且对威胁情报信息及其威胁情报源进行评级，区块链中的区块包括区块头和区块体，其中的区块体包括威胁情报信息、威胁情报源信息、用户评价、威胁情报质量评价指标和威胁情报源质量评价指标。

摘要： 本发明公开了一种用于人读威胁情报推荐的知识图谱构建方法及威胁情报推荐方法。本发明通过爬取微博安全大V发布的人读威胁情报等作为原始数据，构建了用于人读威胁情报推荐的知识图谱，然后将知识图谱中的实体和实体关系抽象成低维度的向量表示e；对于每一条人读威胁情报I

摘要： 本申请提供一种基于威胁情报的威胁分析图谱生成、应用方法及装置，涉及数据安全领域，该方法包括：获取待分析数据的多个数据类型；获取多个数据类型之间的多个数据关系；数据关系包括威胁情报之间的关联关系；确定与多个数据关系一一对应的多个数据关联指向；将多个数据类型定义为图谱顶点，将多个数据关系定义为图谱边线，根据多个数据关联指向构建基于威胁情报的威胁分析图谱。可见，实施这种实施方式，能够生成基于威胁情报的威胁分析图谱，该威胁图谱可以直接投入使用。同时，因为通过该方法生成的威胁分析图谱通常是适合用户网络环境的，因此，该方法能够更容易地获取与用户网络环境相适合的威胁情报。

摘要： 本申请实施例提供一种基于威胁攻击大数据的威胁情报生成方法及AI安全系统，依据目标威胁情报提取模型提取针对威胁攻击大数据的第一威胁攻击活动知识图谱，并依据预设攻击实例连通策略输出第一威胁攻击活动知识图谱对应的攻击实例连通特征，依据攻击实例连通特征和所述第一威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱，并依据所述目标威胁情报提取模型提取与所述威胁攻击大数据对应的威胁情报数据，从而考虑了攻击实例连通维度进行威胁攻击活动知识图谱更新后，再进行威胁情报数据提取，可以提高威胁情报提取的可靠性。

摘要： 本发明公开了一种基于威胁情报和消息传递模型的高级持续性威胁检测方法，包括：在目标网络系统内收集主机的网络行为数据并存储至网络行为数据库中；利用开源网络情报OSINT对所述网络行为数据进行扩充，得到网络信息数据；根据所述网络信息数据构建网络实体异质图；利用所述异质图节点的特征对所述异质图节点进行嵌入得到网络实体特征向量；根据所述网络实体特征向量构建消息传递模型，以更新每个异质图节点的自身特征，并根据更新后的异质图节点特征判断所述异质图节点是否为恶意网络实体；若是，将所述恶意网络实体补充至威胁情报库。该方法能够识别出恶意网络实体又可以进一步补充APT组织的威胁情报信息，为后续的攻击检测提供更多的先验标签信息。

摘要： 本发明公开了一种基于威胁情报和ATT＆CK的威胁响应方法与装置，属于计算机网络安全技术领域。所述方法包括建立威胁情报库，从公开资源和传统安全设备中收集所述威胁情报，结合ATT＆CK框架解析攻击行为全生命周期，建立完整攻击链形式的攻击者机器学习模型；根据攻击者机器学习模型建立标签与处理规则的映射关系；使用基于DFI的深度流捡测技术对实时流量数据进行监控，识别并根据流量实时特征的变化不断更改标签值；根据标签与处理规则的映射关系激活威胁防御。本发明解决了威胁情报信息单一且杂乱无序导致溯源过程缺乏有效证据，以及通常采取的封禁和阻塞策略系统负载开销大的问题。

摘要： 本发明属于软件开发设计技术领域，具体涉及一种基于威胁建模的威胁情报发现方法及计算机设备；本发明采用大数据进行分析综合业务、应用程度、数据库、操作系统、安全设备和人员操作等日志作为待检测的数据源，并采用梳理SQL注入和XSS攻击流程，重构安全威胁检测模型，并基于人工提供的恶意特征向量，将待测数据片段分类为是否恶意，安全分析专家决策如何应对，进而够自学习恶意特征，高精度、实时判断待检测数据片段是否恶意，进一步准实时的发现企业网络中的SQL注入和XSS攻击安全威胁情报。