0%

威胁情报体系

06. 威胁情报体系

智能安全事件可观测性 · 威胁情报参考


一、威胁情报概述

1.1 定义与价值

威胁情报(Threat Intelligence):

通过收集、分析、转化有关安全威胁的信息,形成用于决策的知识。

情报价值链:

graph LR D[数据 Data] --> I[信息 Information] --> K[知识 Knowledge] --> W[智慧 Wisdom] style D fill:#e3f2fd,stroke:#1565c0 style I fill:#e8f5e9,stroke:#2e7d32 style K fill:#fff3e0,stroke:#e65100 style W fill:#fce4ec,stroke:#c62828

威胁情报价值:

价值维度 说明 业务影响
预防 提前发现威胁 减少损失
检测 加速威胁发现 缩短 MTTD
响应 提升响应效率 缩短 MTTR
决策 支持风险管理 优化投入

1.2 情报层次模型

金字塔模型:

层次 名称 内容 适用对象 更新频率 示例
L5 战略情报 威胁趋势、风险地图 CISO/管理层 季度/年 年度威胁报告
L4 运营情报 攻击者动机、能力、攻击路径 安全运营团队 周/月 APT组织分析
L3 战术情报 攻击战术、技术、规则 SOC分析师 日/周 ATT&CK 技术
L2 技术情报 IOC、TTP、病毒特征 设备/系统 分钟级 IP/域名哈希
L1 原子情报 原始 IOC 自动化系统 实时 单一 IOC

层次关系图:

                    ┌─────────────┐
                   │  战略情报   │  ← 年/季度
                    │  Strategic  │
                   └──────┬──────┘
                          │
                    ┌─────┴─────┐
                   │  运营情报   │  ← 周/月
                    │ Operational│
                   └──────┬──────┘
                          │
                    ┌─────┴─────┐
                   │  战术情报   │  ← 日/周
                    │  Tactical │
                   └──────┬──────┘
                          │
                    ┌─────┴─────┐
                   │  技术情报   │  ← 实时
                    │  Technical │
                   └─────────────┘

二、威胁情报来源

2.1 开源情报 (OSINT)

主要来源:

来源 类型 覆盖范围 更新频率 URL
AlienVault OTX 社区情报 全球 实时 https://otx.alienvault.com
MISP 开源 TIP 多行业 实时 https://www.misp-project.org
VirusTotal 文件/URL分析 全球 实时 https://www.virustotal.com
ThreatFox 恶意软件 IOC malware 实时 https://threatfox.abuse.ch
AbuseIPDB 恶意IP 全球 实时 https://www.abuseipdb.com
Google Safe Browsing 恶意URL 全球 实时 https://safebrowsing.google.com
Emerging Threats 规则/IOC 网络 分钟级 https://rules.emergingthreats.net
Proofpoint ET 规则/IOC 网络 分钟级 商业产品

OSINT 采集方法:

方法 说明 自动化程度
API 订阅 自动拉取 ⭐⭐⭐⭐⭐
RSS 订阅 定期拉取 ⭐⭐⭐⭐
社区贡献 手动提交 ⭐⭐
爬虫采集 自动爬取 ⭐⭐⭐

2.2 商业情报源

厂商 情报类型 特色 适用场景
Recorded Future 全品类 AI 驱动、实时关联 企业安全运营
Mandiant APT 组织 人工分析、源头追溯 高级威胁
CrowdStrike 端点+情报 覆盖广、更新快 综合安全
IBM X-Force 综合威胁 漏洞+攻击地图 企业安全
Symantec (Broadcom) 综合威胁 全球最大网络 企业安全
Team Cymru 网络流量 真实流量情报 网络安全
DomainTools 域名情报 DNS 历史、注册信息 调查溯源
RiskIQ 数字资产 外部攻击面 资产发现

2.3 内部情报来源

来源 数据类型 采集方法 价值
安全设备日志 攻击尝试、恶意行为 SIEM/FW/IDS ⭐⭐⭐⭐
沙箱检测 malware 行为特征 沙箱平台 ⭐⭐⭐⭐
蜜罐/暗探 新攻击手法 部署诱饵 ⭐⭐⭐
渗透测试 弱点利用 红队评估 ⭐⭐⭐⭐
威胁狩猎 隐藏威胁 主动发现 ⭐⭐⭐⭐⭐
安全事件 真实攻击数据 事件响应 ⭐⭐⭐⭐⭐

三、威胁情报标准化

3.1 STIX 2.1 对象模型

核心对象类型:

对象 说明 属性 示例
Attack Pattern 攻击模式 name, description, kill_chain_phases 鱼叉钓鱼
Campaign 攻击活动 name, objective, aliases APT28 针对金融
Course of Action 防护建议 name, description 禁用宏
Identity 身份 name, identity_class, sectors 某APT组织
Indicator 攻击指标 pattern, pattern_type, valid_from 恶意 IP
Intrusion Set 入侵集 name, description, aliases APT41
Malware 恶意软件 name, malware_types, kill_chain_phases 勒索软件X
Marking Definition 标记定义 definition_type, definition TLP:RED
Relationship 关系 source_ref, target_ref, relationship_type 使用
Report 报告 name, published, objects 月度威胁报告
Threat Actor 威胁组织 name, description, roles APT28
Tool 攻击工具 name, tool_types, kill_chain_phases Cobalt Strike
Vulnerability 漏洞 name, description, external_references CVE-2024-1234

STIX 关系类型:

关系 说明 示例
uses 攻击者使用工具/技术 APT28 使用 Cobalt Strike
targets 攻击者针对目标 APT28 针对政府机构
exploits 利用漏洞 利用 CVE-2024-1234
delivers 投递恶意代码 钓鱼邮件投递木马
has 组织拥有能力 APT41 拥有供应链攻击能力

3.2 TAXII 传输协议

TAXII 服务类型:

服务 说明 适用场景 协议
Discovery 服务发现 客户端查询服务器能力 HTTPS REST
Collection 轮询收集 定期拉取情报 HTTPS REST
Channel 订阅推送 实时推送情报 STOMP/WebSocket

TAXII 客户端配置示例:

taxii:
  server: https://limo.anomali.com/api/v1/taxii
  collection: 93
  auth:
    username: guest
    password: guest
  poll:
    interval: 300  # 5分钟
    begin_timestamp: last

3.3 情报格式转换

原始情报 ──▶ 解析 ──▶ 标准化 ──▶ 关联 ──▶ 分发
   │           │           │           │        │
   ▼           ▼           ▼           ▼        ▼
 CSV/JSON    JSON        STIX       ATT&CK   SIEM/EDR
 白名单      字段提取     格式       映射     规则

四、ATT&CK 与情报映射

4.1 ATT&CK 战术情报覆盖

战术 技术数 情报应用 检测优先级
Reconnaissance 12 侦察活动检测 ⭐⭐⭐
Resource Development 8 攻击资源识别 ⭐⭐⭐
Initial Access 16 入口点防护 ⭐⭐⭐⭐⭐
Execution 16 恶意代码检测 ⭐⭐⭐⭐⭐
Persistence 20 后门检测 ⭐⭐⭐⭐
Privilege Escalation 18 提权检测 ⭐⭐⭐⭐
Defense Evasion 39 规避检测 ⭐⭐⭐
Credential Access 17 凭据窃取检测 ⭐⭐⭐⭐⭐
Discovery 21 内部侦察检测 ⭐⭐⭐
Lateral Movement 11 横向移动检测 ⭐⭐⭐⭐⭐
Collection 17 数据收集检测 ⭐⭐⭐⭐
Command and Control 18 C2 通信检测 ⭐⭐⭐⭐⭐
Exfiltration 10 数据外传检测 ⭐⭐⭐⭐⭐
Impact 16 勒索加密检测 ⭐⭐⭐⭐⭐

4.2 APT 组织 TTP 画像

常见 APT 组织情报:

组织 来源 攻击目标 常用战术 工具
APT41 中国 科技、游戏、医疗 初始访问、横向移动 Cobalt Strike, PlugX
APT28 (Fancy Bear) 俄罗斯 政府、军队 鱼叉钓鱼、漏洞利用 Sofacy, XAgent
APT29 (Cozy Bear) 俄罗斯 政府、医疗 供应链攻击 MiniDuke, Nobelium
Lazarus 朝鲜 金融、加密货币 钓鱼、供应链 HOPLIGHT, BADPATCH
FIN7 金融犯罪 零售、餐饮 钓鱼、恶意软件 Carbanak, RESIDE
REvil (Sodinokibi) 俄罗斯 多行业 勒索攻击 REvil ransomware
LockBit 俄罗斯 多行业 勒索攻击 LockBit ransomware

五、威胁情报平台 (TIP)

5.1 TIP 核心功能架构

graph TB subgraph 情报输入 I1[OSINT] I2[商业情报] I3[内部情报] I4[共享情报] end subgraph TIP 核心 P1[数据标准化] P2[去重归一] P3[置信评分] P4[ATT&CK映射] P5[上下文富化] end subgraph 情报存储 S1[IOC 数据库] S2[TTP 库] S3[APT 画像] S4[上下文库] end subgraph 情报分发 D1[SIEM] D2[EDR] D3[防火墙] D4[SOAR] D5[威胁狩猎] end I1 --> P1 I2 --> P1 I3 --> P1 I4 --> P1 P1 --> P2 --> P3 --> P4 --> P5 P5 --> S1 P5 --> S2 P5 --> S3 P5 --> S4 S1 --> D1 S1 --> D2 S1 --> D3 S1 --> D4 S2 --> D5 S3 --> D5

5.2 开源 TIP 平台

平台 特点 部署方式 集成
MISP 最流行、功能全 Docker/VM STIX/TAXII
OpenCTI 现代、AI 驱动 Docker GraphQL API
TheHive 事件管理强 Docker/VM Cortex 分析
Yeti 地图化展示 Docker 插件扩展

5.3 AISOC 威胁情报集成

功能 说明 技术
多源融合 OSINT + 商业 + 内部 API 采集、标准化
实时更新 分钟级 IOC 更新 TAXII 订阅、API
ATT&CK 映射 自动关联 ATT&CK 技术 规则引擎
上下文富化 关联资产、漏洞、业务 知识图谱
自动分发 SIEM/EDR/FW 自动化 STIX/TAXII

六、情报驱动安全运营

6.1 情报闭环流程

graph LR subgraph 情报生产 P1[开源情报] P2[商业情报] P3[内部情报] P4[共享情报] end subgraph 情报处理 Q1[收集] Q2[验证] Q3[富化] Q4[分类] end subgraph 情报消费 C1[规则创建] C2[告警富化] C3[狩猎] C4[响应] end subgraph 效果反馈 F1[检测日志] F2[响应记录] F3[质量评估] end P1 --> Q1 P2 --> Q1 P3 --> Q1 P4 --> Q1 Q1 --> Q2 --> Q3 --> Q4 Q4 --> C1 Q4 --> C2 Q4 --> C3 Q4 --> C4 C1 --> F1 C2 --> F1 C3 --> F1 C4 --> F2 F1 --> F3 F2 --> F3 F3 --> Q1

6.2 情报质量评估

指标 定义 计算方法 目标
准确性 IOC 真实度 验证样本 / 总样本 > 90%
完整性 上下文丰富度 关联属性数 / 最大属性数 > 70%
时效性 更新速度 披露到入库时间 < 15 分钟
相关性 与自身相关度 命中目标数 / 总目标数 > 30%
可用性 机器可读度 结构化 IOC / 总 IOC > 95%

6.3 威胁狩猎情报应用

狩猎流程:

假设生成 ──▶ 战术选择 ──▶ 数据收集 ──▶ 分析检测 ──▶ 响应处置
    │                                            │
    └────────────────────────────────────────────┘
                    经验反馈

基于情报的狩猎场景:

场景 情报来源 狩猎方法 检测目标
C2 检测 恶意域名情报 DNS 查询分析 DNS Tunnel
横向移动 攻击技术情报 RDP/SMB 分析 Pass-the-Hash
权限提升 ATT&CK 技术 进程行为分析 Token 操纵
数据外传 C2 IP 情报 NetFlow 分析 大量外传
持久化 后门特征情报 计划任务分析 新建任务

七、情报共享机制

7.1 共享协议

协议 说明 应用
STIX/TAXII 标准格式和协议 行业标准
MISP 格式 MISP 专用格式 MISP 社区
CyBox 网络安全信息对象 技术情报
MAEC 恶意代码属性 malware 分析
OVAL 漏洞检查语言 漏洞评估

7.2 共享组织

组织 说明 加入方式
ISAC 信息共享与分析中心 行业会员
MISP 恶意软件信息共享平台 注册参与
VirusTotal 样本分析社区 公开分享
AlienVault OTX 开放威胁交换 注册参与
ThreatConnect 威胁情报社区 商业平台

八、参考链接

资源 链接
MITRE ATT&CK https://attack.mitre.org/
STIX 2.1 规范 https://stix.readthedocs.io/
TAXII 2.1 规范 https://taxii.readthedocs.io/
MISP 项目 https://www.misp-project.org/
AlienVault OTX https://otx.alienvault.com/
Recorded Future https://www.recordedfuture.com/

Last updated: 2026-06-02