中国信通院-互联网行业：2020年网络安全威胁信息研究报告-2021年--211207

1. 网络安全威胁信息概念及现状本章详细阐述了网络安全威胁信息的定义内涵、层级模型和应用价值，并从国内政策导向、产业支撑情况和标准化进展等方面对网络安全威胁信息的发展现状展开说明。

2. (一)网络安全威胁信息的概念近年来，威胁信息逐渐成为网络安全行业的关注焦点，受到业界广泛讨论，如今已成为守护网络安全的重要手段。

3. 本节将从网络安全威胁信息的概念、意义和研发过程着手，对其技术理念、网络安全防护优势和研发工作特征展开介绍。

4. 1.网络安全威胁信息的定义与内涵综合国内外相关研究，我们归纳分析了多方定义后认为，网络安全威胁信息的核心内涵如下：第一，网络安全威胁信息来源于对既往网络安全威胁的研究、归纳、总结，并作用于已知网络威胁或即将出现的未知网络威胁；第二，网络安全威胁信息的价值是为受相关网络威胁影响的企业或对象提供可机读或人读的战术战略数据并辅助其决策，因此网络安全威胁信息需要包含背景、机制、指标等能够辅助决策的各项内容。

5. 网络安全威胁信息的研究对象是“威胁”，包含已知的和即将出现的未知网络威胁，其内容既包括单一的木马样本、远控域名、攻击IP等基础数据，也包括安全事件、攻击团伙等概括性数据。

6. “信息”是研究的结果，通过研究网络威胁的背景、机制、指标等内容，生产出能够作用于该威胁的战术或战略数据，这些战术或战略数据就是“信息”。

7. 根据从简单到复杂的逻辑，“信息”可分为单一失陷指标、资产特征、时间画像、团伙画像、攻击者身份等不同的层次。

8. 简而言之，网络安全威胁信息是为研究网络威胁而提取出的，用于发现威胁、认识威胁、追踪威胁的数据。

9. 2.威胁信息的网络安全防护优势随着网络攻击技术的更新迭代，政府部门、企事业单位、社会组织等机构面临的网络威胁和挑战也愈加严峻。

10. 从传统的僵木蠕到勒索与虚拟币挖矿（BitcoinMining），从传统的漏洞利用套件（ExploitKit）到供应链攻击，从传统的反检测到无文件攻击，攻击者的工具和手法愈发复杂多变、角度刁钻、难以检测。

11. 现有的杀毒软件、防火墙、网站应用级入侵防御系统（WebApplicationFirewall，WAF）等传统防护手段多为被动防御，仅根据已有策略在攻击发生时拦截攻击、阻止攻击生效并进行后续的恢复工作，对于策略之外的攻击则缺乏有力的检测和抵御手段。

12. 如何有效检测未知的网络威胁成为网络安全行业各方的共同着眼点。

13. 网络安全威胁信息利用公开的可用资源预测潜在的网络威胁，通过对历史网络威胁的收集和处理提前预知攻击，在攻击发生之前就做好防御策略，帮助企业在网络安全防御方面更为积极主动，实现较为精准的动态防御。

14. 根据PPDR安全防护模型1理论，威胁信息的网络安全防护优势主要体现在如下几个方面。

15. （1）检测方面：网络安全威胁信息能辅助用户对相关资产、风险、攻击面进行排查，从而让用户快速了解网络当前受攻击情况。

16. （2）防御方面：采取主动防御措施，对网络威胁进行精准打击。

17. 威胁信息提供的恶意IP地址、域名/网站、恶意软件hash值等失陷指标（IndicatorsofCompromise，IOC）能够直接用于网络安全系统和设备进行防护。

18. （3）响应方面：网络安全威胁信息能够帮助提供更完善的安全事件响应方案。

19. （4）预测方面：构建安全预警机制，不断收集有关新型网络威胁的信息数据，根据当前网络环境的薄弱环节有效预测可能的威胁，以帮助企业更好地应对未知威胁。

20. 网络安全威胁信息的使用将有效提升报警准确性，降低无效报警数量，极大减轻安全运营人员工作压力，使其聚焦于真实威胁，提升工作效率，对政府部门、企事业单位、社会组织等用户机构的网络安全建设和运营具有重要意义。

21. 3.网络安全威胁信息研发工作特征从Gartner提出概念开始，网络安全威胁信息已经发展了8年有余，形成了威胁信息研发的专业产线，研发工作的高度专业化、高成本特征日趋明显。

22. 高度专业化：网络安全威胁信息研发的高度专业化体现在研发对象多元、研发产线环节多、数据数量质量要求高和研发人员专业性要求强等方面。

23. 首先，网络安全威胁信息研发产线涵盖原始数据、基础网络数据和网络威胁数据的采集、提取、分析等数据全生命周期管理，研发对象多元、研发环节多。

24. 其次，研发网络安全威胁信息依托于总量大、质量高的原始数据，即互联网公开的基础网络数据历史信息。

25. 原始数据经过处理后成为可用于威胁信息研发的基础数据，并由威胁信息研发工程师对其进行分析生成网络安全威胁信息。

26. 再次，网络安全威胁信息研发对研发工程师有较高的专业技术能力要求，研发工程师首先需要感知到新型网络威胁的存在，研究威胁的投递路径、关联关系等特点，搭建对应的网络安全威胁狩猎模型进行追踪，最终依赖不同类型的分析系统进行威胁分析和威胁信息的提取研发。

27. 高成本研发：网络安全威胁信息研发工作的高成本体现在人力成本高、计算资源成本高这两方面。

28. 随着跨国家、跨地区的全球化攻击日益猖獗，网络安全防护措施正逐渐由合规驱动转变为需求驱动，这就要求威胁信息需更为及时、准确。

29. 在数据收集阶段，需要积累时间跨度长、范围广的网络基础数据，并依托大量人力资源和计算资源投入对数据进行清洗、筛选，生成规模化的高质量数据。

30. 在网络安全威胁信息预测的模型训练阶段，依托于已有的规模化高质量数据，需要经验丰富的威胁信息研发工程师对模型进行人工调优，进一步拉高了人力成本。