06. 威胁情报体系
智能安全事件可观测性 · 威胁情报参考
一、威胁情报概述
1.1 定义与价值
威胁情报(Threat Intelligence):
通过收集、分析、转化有关安全威胁的信息,形成用于决策的知识。
情报价值链:
graph LR
D[数据 Data] --> I[信息 Information] --> K[知识 Knowledge] --> W[智慧 Wisdom]
style D fill:#e3f2fd,stroke:#1565c0
style I fill:#e8f5e9,stroke:#2e7d32
style K fill:#fff3e0,stroke:#e65100
style W fill:#fce4ec,stroke:#c62828
威胁情报价值:
| 价值维度 | 说明 | 业务影响 |
|---|---|---|
| 预防 | 提前发现威胁 | 减少损失 |
| 检测 | 加速威胁发现 | 缩短 MTTD |
| 响应 | 提升响应效率 | 缩短 MTTR |
| 决策 | 支持风险管理 | 优化投入 |
1.2 情报层次模型
金字塔模型:
| 层次 | 名称 | 内容 | 适用对象 | 更新频率 | 示例 |
|---|---|---|---|---|---|
| L5 | 战略情报 | 威胁趋势、风险地图 | CISO/管理层 | 季度/年 | 年度威胁报告 |
| L4 | 运营情报 | 攻击者动机、能力、攻击路径 | 安全运营团队 | 周/月 | APT组织分析 |
| L3 | 战术情报 | 攻击战术、技术、规则 | SOC分析师 | 日/周 | ATT&CK 技术 |
| L2 | 技术情报 | IOC、TTP、病毒特征 | 设备/系统 | 分钟级 | IP/域名哈希 |
| L1 | 原子情报 | 原始 IOC | 自动化系统 | 实时 | 单一 IOC |
层次关系图:
┌─────────────┐
│ 战略情报 │ ← 年/季度
│ Strategic │
└──────┬──────┘
│
┌─────┴─────┐
│ 运营情报 │ ← 周/月
│ Operational│
└──────┬──────┘
│
┌─────┴─────┐
│ 战术情报 │ ← 日/周
│ Tactical │
└──────┬──────┘
│
┌─────┴─────┐
│ 技术情报 │ ← 实时
│ Technical │
└─────────────┘二、威胁情报来源
2.1 开源情报 (OSINT)
主要来源:
| 来源 | 类型 | 覆盖范围 | 更新频率 | URL |
|---|---|---|---|---|
| AlienVault OTX | 社区情报 | 全球 | 实时 | https://otx.alienvault.com |
| MISP | 开源 TIP | 多行业 | 实时 | https://www.misp-project.org |
| VirusTotal | 文件/URL分析 | 全球 | 实时 | https://www.virustotal.com |
| ThreatFox | 恶意软件 IOC | malware | 实时 | https://threatfox.abuse.ch |
| AbuseIPDB | 恶意IP | 全球 | 实时 | https://www.abuseipdb.com |
| Google Safe Browsing | 恶意URL | 全球 | 实时 | https://safebrowsing.google.com |
| Emerging Threats | 规则/IOC | 网络 | 分钟级 | https://rules.emergingthreats.net |
| Proofpoint ET | 规则/IOC | 网络 | 分钟级 | 商业产品 |
OSINT 采集方法:
| 方法 | 说明 | 自动化程度 |
|---|---|---|
| API 订阅 | 自动拉取 | ⭐⭐⭐⭐⭐ |
| RSS 订阅 | 定期拉取 | ⭐⭐⭐⭐ |
| 社区贡献 | 手动提交 | ⭐⭐ |
| 爬虫采集 | 自动爬取 | ⭐⭐⭐ |
2.2 商业情报源
| 厂商 | 情报类型 | 特色 | 适用场景 |
|---|---|---|---|
| Recorded Future | 全品类 | AI 驱动、实时关联 | 企业安全运营 |
| Mandiant | APT 组织 | 人工分析、源头追溯 | 高级威胁 |
| CrowdStrike | 端点+情报 | 覆盖广、更新快 | 综合安全 |
| IBM X-Force | 综合威胁 | 漏洞+攻击地图 | 企业安全 |
| Symantec (Broadcom) | 综合威胁 | 全球最大网络 | 企业安全 |
| Team Cymru | 网络流量 | 真实流量情报 | 网络安全 |
| DomainTools | 域名情报 | DNS 历史、注册信息 | 调查溯源 |
| RiskIQ | 数字资产 | 外部攻击面 | 资产发现 |
2.3 内部情报来源
| 来源 | 数据类型 | 采集方法 | 价值 |
|---|---|---|---|
| 安全设备日志 | 攻击尝试、恶意行为 | SIEM/FW/IDS | ⭐⭐⭐⭐ |
| 沙箱检测 | malware 行为特征 | 沙箱平台 | ⭐⭐⭐⭐ |
| 蜜罐/暗探 | 新攻击手法 | 部署诱饵 | ⭐⭐⭐ |
| 渗透测试 | 弱点利用 | 红队评估 | ⭐⭐⭐⭐ |
| 威胁狩猎 | 隐藏威胁 | 主动发现 | ⭐⭐⭐⭐⭐ |
| 安全事件 | 真实攻击数据 | 事件响应 | ⭐⭐⭐⭐⭐ |
三、威胁情报标准化
3.1 STIX 2.1 对象模型
核心对象类型:
| 对象 | 说明 | 属性 | 示例 |
|---|---|---|---|
| Attack Pattern | 攻击模式 | name, description, kill_chain_phases | 鱼叉钓鱼 |
| Campaign | 攻击活动 | name, objective, aliases | APT28 针对金融 |
| Course of Action | 防护建议 | name, description | 禁用宏 |
| Identity | 身份 | name, identity_class, sectors | 某APT组织 |
| Indicator | 攻击指标 | pattern, pattern_type, valid_from | 恶意 IP |
| Intrusion Set | 入侵集 | name, description, aliases | APT41 |
| Malware | 恶意软件 | name, malware_types, kill_chain_phases | 勒索软件X |
| Marking Definition | 标记定义 | definition_type, definition | TLP:RED |
| Relationship | 关系 | source_ref, target_ref, relationship_type | 使用 |
| Report | 报告 | name, published, objects | 月度威胁报告 |
| Threat Actor | 威胁组织 | name, description, roles | APT28 |
| Tool | 攻击工具 | name, tool_types, kill_chain_phases | Cobalt Strike |
| Vulnerability | 漏洞 | name, description, external_references | CVE-2024-1234 |
STIX 关系类型:
| 关系 | 说明 | 示例 |
|---|---|---|
| uses | 攻击者使用工具/技术 | APT28 使用 Cobalt Strike |
| targets | 攻击者针对目标 | APT28 针对政府机构 |
| exploits | 利用漏洞 | 利用 CVE-2024-1234 |
| delivers | 投递恶意代码 | 钓鱼邮件投递木马 |
| has | 组织拥有能力 | APT41 拥有供应链攻击能力 |
3.2 TAXII 传输协议
TAXII 服务类型:
| 服务 | 说明 | 适用场景 | 协议 |
|---|---|---|---|
| Discovery | 服务发现 | 客户端查询服务器能力 | HTTPS REST |
| Collection | 轮询收集 | 定期拉取情报 | HTTPS REST |
| Channel | 订阅推送 | 实时推送情报 | STOMP/WebSocket |
TAXII 客户端配置示例:
taxii:
server: https://limo.anomali.com/api/v1/taxii
collection: 93
auth:
username: guest
password: guest
poll:
interval: 300 # 5分钟
begin_timestamp: last3.3 情报格式转换
原始情报 ──▶ 解析 ──▶ 标准化 ──▶ 关联 ──▶ 分发
│ │ │ │ │
▼ ▼ ▼ ▼ ▼
CSV/JSON JSON STIX ATT&CK SIEM/EDR
白名单 字段提取 格式 映射 规则四、ATT&CK 与情报映射
4.1 ATT&CK 战术情报覆盖
| 战术 | 技术数 | 情报应用 | 检测优先级 |
|---|---|---|---|
| Reconnaissance | 12 | 侦察活动检测 | ⭐⭐⭐ |
| Resource Development | 8 | 攻击资源识别 | ⭐⭐⭐ |
| Initial Access | 16 | 入口点防护 | ⭐⭐⭐⭐⭐ |
| Execution | 16 | 恶意代码检测 | ⭐⭐⭐⭐⭐ |
| Persistence | 20 | 后门检测 | ⭐⭐⭐⭐ |
| Privilege Escalation | 18 | 提权检测 | ⭐⭐⭐⭐ |
| Defense Evasion | 39 | 规避检测 | ⭐⭐⭐ |
| Credential Access | 17 | 凭据窃取检测 | ⭐⭐⭐⭐⭐ |
| Discovery | 21 | 内部侦察检测 | ⭐⭐⭐ |
| Lateral Movement | 11 | 横向移动检测 | ⭐⭐⭐⭐⭐ |
| Collection | 17 | 数据收集检测 | ⭐⭐⭐⭐ |
| Command and Control | 18 | C2 通信检测 | ⭐⭐⭐⭐⭐ |
| Exfiltration | 10 | 数据外传检测 | ⭐⭐⭐⭐⭐ |
| Impact | 16 | 勒索加密检测 | ⭐⭐⭐⭐⭐ |
4.2 APT 组织 TTP 画像
常见 APT 组织情报:
| 组织 | 来源 | 攻击目标 | 常用战术 | 工具 |
|---|---|---|---|---|
| APT41 | 中国 | 科技、游戏、医疗 | 初始访问、横向移动 | Cobalt Strike, PlugX |
| APT28 (Fancy Bear) | 俄罗斯 | 政府、军队 | 鱼叉钓鱼、漏洞利用 | Sofacy, XAgent |
| APT29 (Cozy Bear) | 俄罗斯 | 政府、医疗 | 供应链攻击 | MiniDuke, Nobelium |
| Lazarus | 朝鲜 | 金融、加密货币 | 钓鱼、供应链 | HOPLIGHT, BADPATCH |
| FIN7 | 金融犯罪 | 零售、餐饮 | 钓鱼、恶意软件 | Carbanak, RESIDE |
| REvil (Sodinokibi) | 俄罗斯 | 多行业 | 勒索攻击 | REvil ransomware |
| LockBit | 俄罗斯 | 多行业 | 勒索攻击 | LockBit ransomware |
五、威胁情报平台 (TIP)
5.1 TIP 核心功能架构
graph TB
subgraph 情报输入
I1[OSINT]
I2[商业情报]
I3[内部情报]
I4[共享情报]
end
subgraph TIP 核心
P1[数据标准化]
P2[去重归一]
P3[置信评分]
P4[ATT&CK映射]
P5[上下文富化]
end
subgraph 情报存储
S1[IOC 数据库]
S2[TTP 库]
S3[APT 画像]
S4[上下文库]
end
subgraph 情报分发
D1[SIEM]
D2[EDR]
D3[防火墙]
D4[SOAR]
D5[威胁狩猎]
end
I1 --> P1
I2 --> P1
I3 --> P1
I4 --> P1
P1 --> P2 --> P3 --> P4 --> P5
P5 --> S1
P5 --> S2
P5 --> S3
P5 --> S4
S1 --> D1
S1 --> D2
S1 --> D3
S1 --> D4
S2 --> D5
S3 --> D5
5.2 开源 TIP 平台
| 平台 | 特点 | 部署方式 | 集成 |
|---|---|---|---|
| MISP | 最流行、功能全 | Docker/VM | STIX/TAXII |
| OpenCTI | 现代、AI 驱动 | Docker | GraphQL API |
| TheHive | 事件管理强 | Docker/VM | Cortex 分析 |
| Yeti | 地图化展示 | Docker | 插件扩展 |
5.3 AISOC 威胁情报集成
| 功能 | 说明 | 技术 |
|---|---|---|
| 多源融合 | OSINT + 商业 + 内部 | API 采集、标准化 |
| 实时更新 | 分钟级 IOC 更新 | TAXII 订阅、API |
| ATT&CK 映射 | 自动关联 ATT&CK 技术 | 规则引擎 |
| 上下文富化 | 关联资产、漏洞、业务 | 知识图谱 |
| 自动分发 | SIEM/EDR/FW 自动化 | STIX/TAXII |
六、情报驱动安全运营
6.1 情报闭环流程
graph LR
subgraph 情报生产
P1[开源情报]
P2[商业情报]
P3[内部情报]
P4[共享情报]
end
subgraph 情报处理
Q1[收集]
Q2[验证]
Q3[富化]
Q4[分类]
end
subgraph 情报消费
C1[规则创建]
C2[告警富化]
C3[狩猎]
C4[响应]
end
subgraph 效果反馈
F1[检测日志]
F2[响应记录]
F3[质量评估]
end
P1 --> Q1
P2 --> Q1
P3 --> Q1
P4 --> Q1
Q1 --> Q2 --> Q3 --> Q4
Q4 --> C1
Q4 --> C2
Q4 --> C3
Q4 --> C4
C1 --> F1
C2 --> F1
C3 --> F1
C4 --> F2
F1 --> F3
F2 --> F3
F3 --> Q1
6.2 情报质量评估
| 指标 | 定义 | 计算方法 | 目标 |
|---|---|---|---|
| 准确性 | IOC 真实度 | 验证样本 / 总样本 | > 90% |
| 完整性 | 上下文丰富度 | 关联属性数 / 最大属性数 | > 70% |
| 时效性 | 更新速度 | 披露到入库时间 | < 15 分钟 |
| 相关性 | 与自身相关度 | 命中目标数 / 总目标数 | > 30% |
| 可用性 | 机器可读度 | 结构化 IOC / 总 IOC | > 95% |
6.3 威胁狩猎情报应用
狩猎流程:
假设生成 ──▶ 战术选择 ──▶ 数据收集 ──▶ 分析检测 ──▶ 响应处置
│ │
└────────────────────────────────────────────┘
经验反馈基于情报的狩猎场景:
| 场景 | 情报来源 | 狩猎方法 | 检测目标 |
|---|---|---|---|
| C2 检测 | 恶意域名情报 | DNS 查询分析 | DNS Tunnel |
| 横向移动 | 攻击技术情报 | RDP/SMB 分析 | Pass-the-Hash |
| 权限提升 | ATT&CK 技术 | 进程行为分析 | Token 操纵 |
| 数据外传 | C2 IP 情报 | NetFlow 分析 | 大量外传 |
| 持久化 | 后门特征情报 | 计划任务分析 | 新建任务 |
七、情报共享机制
7.1 共享协议
| 协议 | 说明 | 应用 |
|---|---|---|
| STIX/TAXII | 标准格式和协议 | 行业标准 |
| MISP 格式 | MISP 专用格式 | MISP 社区 |
| CyBox | 网络安全信息对象 | 技术情报 |
| MAEC | 恶意代码属性 | malware 分析 |
| OVAL | 漏洞检查语言 | 漏洞评估 |
7.2 共享组织
| 组织 | 说明 | 加入方式 |
|---|---|---|
| ISAC | 信息共享与分析中心 | 行业会员 |
| MISP | 恶意软件信息共享平台 | 注册参与 |
| VirusTotal | 样本分析社区 | 公开分享 |
| AlienVault OTX | 开放威胁交换 | 注册参与 |
| ThreatConnect | 威胁情报社区 | 商业平台 |
八、参考链接
| 资源 | 链接 |
|---|---|
| MITRE ATT&CK | https://attack.mitre.org/ |
| STIX 2.1 规范 | https://stix.readthedocs.io/ |
| TAXII 2.1 规范 | https://taxii.readthedocs.io/ |
| MISP 项目 | https://www.misp-project.org/ |
| AlienVault OTX | https://otx.alienvault.com/ |
| Recorded Future | https://www.recordedfuture.com/ |
Last updated: 2026-06-02