安全模式突破和完善: 基于威胁情报的防御思路是以威胁为中心的，因此，需要对关键设施面临的威胁做全面的了解，建立一种新型高效的安全防御体系。这样的安全防御体系往往需要安全人员对攻击战术、方法和行为模式等有深入的理解，全面了解潜在的安全风险，并做到有的放矢。

应急检测和主动防御: 基于威胁情报数据，可以不断创建恶意代码或行为特征的签名，或者生成NFT（网络取证工具）、SIEM/SOC（安全信息与事件管理/安全管理中心）、ETDR（终端威胁检测及响应）等产品的规则，实现对攻击的应急检测。如果威胁情报是IP、域名、URL等具体上网属性信息，则还可应用于各类在线安全设备对既有攻击进行实时的阻截与防御。

安全分析和事件响应: 安全威胁情报可以让安全分析和事件响应工作处理变得更简单、更高效。例如，可依赖威胁情报区分不同类型的攻击，识别出潜在的APT高危级别攻击，从而实现对攻击的及时响应；可利用威胁情报预测既有的攻击线索可能造成的恶意行为，从而实现对攻击范围的快速划定；可建立威胁情报的检索，从而实现对安全线索的精准挖掘。

威胁情报是从多种渠道获得用以保护系统核心资产的安全线索的总和，在大数据和“互联网+”应用背景下，威胁情报的采集范畴极大扩展，其获取来源、媒体形态、内容类型也得到了极大的丰富，如防火墙、入侵检测系统（Intrusion Detection System，IDS）、入侵防御系统(Intrusion Prevention System，IPS)等传统安全设备产生的与非法接入、未授权访问、身份认证、非常规操作等事件相关的安全日志等都是威胁情报的数据来源，还包括沙盒执行、端点侦测、深度分组检测（DPI）、深度流量检测（DFI）、恶意代码检测、蜜罐技术等系统输出结果，及安全服务厂商（如FireEye）、漏洞发布平台（如 CVE）、威胁情报专业机构（如CERT）等提供的安全预警信息。

威胁情报本来只是一种客观存在的数据形态，只有通过先进的智能分析才能被安全防御者感知和利用。关联融合、时间序列、流数据技术等可应用于从海量的网络信息中提取威胁特征，有助于威胁情报的横向和纵向关联分析；聚类分析、协同推荐、跨界数据融合等技术可用于深度挖掘多维线索之间隐藏的内在联系，进而实现对系统的整体威胁态势进行行为建模与精准描述。大数据分析、深度学习、人工智能等新技术则可用于协助构建威胁情报的智能研判与综合预警平台。

(1) IBM-X-Force

X-Force Exchange能够为全球提供对IBM及第三方威胁数据资源的访问，包括实时的攻击数据。它整合了IBM的威胁研究数据和技术，包括Qradar安全情报平台、IBM客户安全管理服务分析平台。IBM声称该平台集聚了超过700 TB的原始数据，并在不断更新。X-Force Exchange的用户可以共享利用多种数据资源，包括：世界上最大的漏洞目录之一、基于每天150亿起安全事件监控的威胁情报、来自2700万终端网络的恶意威胁情报、基于250亿网页和图片的威胁信息、超过 800万封垃圾邮件和钓鱼攻击的深度情报、接近 100万恶意 IP地址的信誉数据等。

X-Force 平台还包括帮助整理和注释内容的工具，以及在平台、设备和应用程序之间方便查询的API库，允许企业处理威胁情报并采取行动。IBM表示，该平台还将提供对STIX和TAXII的支持，以及自动化威胁情报共享和安全方案整合新标准的支持。

(2) 360威胁情报中心

360威胁情报基础信息查询平台向业界开放免费查询服务，这是国内首个向公众开放的威胁情报数据查询服务平台。360威胁情报基础信息查询平台的上线标志着国内安全威胁情报共享进入新阶段，所有安全厂商、政企用户的安全研究与分析人员在经过线上注册审核后，都可以免费进行查询。

360威胁情报中心具有关联分析和海量数据两大特色。互联网安全的数据是多种多样且相互关联的，但依靠孤立的数据无法进行未知威胁的分析和定性，只有将信息关联起来才能看清整体的威胁态势。平台可以将用户所提交的查询信息关联起来，协助用户进行线索拓展，对安全分析工作提供有力帮助。360 公司基于多年的互联网安全大数据积累，拥有全球独有的安全样本库，总样本量超过95亿，包括互联网域名信息库（50亿条DNS解析记录），还包括众多第三方海量数据源。基于情报中心大数据，可有效帮助用户进行多维关联分析，挖掘出在企业自身或组织内部分析中无法发现的更多安全隐患线索。

(3) 阿里云盾态势感知

阿里云盾态势感知是全球唯一能感知“渗透测试”的安全威胁服务平台，如可以区分脚本小子和高级黑客、识别零日应用攻击、捕捉高隐蔽性的入侵行为、溯源追踪黑客身份等。云盾平台利用大数据，可对高级攻击者使用的零日漏洞攻击进行动态防御，如可以采用新型病毒查杀，并通过爬取互联网泄露的员工信息，实时告警、杜绝黑客“社工”；能够对各种潜在威胁及时识别和汇总分析；能够实现基于行为特征的Webshell检测、基于沙箱的恶意病毒精确查杀等。

(1) 安全威胁情报共享框架OpenIOC

MANDIANT 公司基于多年的数字取证技术积累，将使用多年的情报规范开源后形成OpenIOC（Open Indicator of Compromise）框架，它是一个开放灵活的安全情报共享框架。利用OpenIOC，重要的安全情报可以在多个组织间迅速传递，极大缩短检测到响应的时间延迟，提升紧急安全事件响应与安全防范的能力。OpenIOC本身是一个记录、定义以及共享安全情报的格式，以机器可读的形式实现不同类型威胁情报的快速共享。OpenIOC本身是开放、灵活的框架，因此可以方便添加新的情报，完善威胁情报指标IOC。

OpenIOC的工作流程如下。

获取初始证据：根据主机或网络的异常行为获取最初的数据 建立IOC：分析初步获得的数据，根据可能的技术特征建立IOC。 部署IOC：在企业的主机或网络中部署IOC，并执行检测。 检测发现更多的可疑主机。 IOC优化：通过初步检测可获取的新证据进行分析，优化已有的IOC。 OpenIOC推出了IOCeditor和Redline两款工具。IOCeditor用来建立IOC，Redline负责将IOC部署到主机并收集信息进行分析。

(2) CIF CIF（Collective Intelligence Framework）是一个网络威胁情报管理系统，它结合了多个威胁情报来源获取已知的恶意威胁信息，如IP地址、域名和网址信息等，并利用这些信息进行事件识别、入侵检测和路由缓解等。

(3) OSTrICa OSTrICa 是一个免费的开源框架，采用基于插架的架构。OSTrICa 自身并不依赖外部的库，但安装的插件需要依赖库。OSTrICa可以实现自动从公开的、内部的、商业的数据源中收集信息，并可视化各种类型的威胁情报数据，最终由专家来分析收集的情报，并显示成图形格式，还可基于远程连接、文件名、mutex等，显示多个恶意软件的关联信息。

(4) CRITs CRITs 也是一个网络威胁数据库，不仅可作为攻击和恶意软件库的数据分析引擎，还提供了恶意软件分析能力。CRITs 采用简单实用的层次结构来存储网络威胁信息，这种结构具备分析关键元数据的能力，可以发现未知的恶意内容。

参考文献： [1] 徐锐, 陈剑锋, 刘方. 网络空间安全威胁情报及应用研究[J]. 通信技术, 2016, 49(6): 758-763 [2] https://mp.weixin.qq.com/s/LGOg2EjJ-n6ahOO5G_YcNw?scene=25#wechat_redirect.

​