《无中生有-基于骨干网全量应用识别的威胁情报基础数据采集》这份文档主要探讨了在金融安全、网络与基础架构安全、身份与访问管理以及企业安全应急响应等领域中,如何通过全面的应用识别来收集威胁情报基础数据。文章以RSA总裁Amit Yoran的观点为引子,指出当前信息安全领域面临的挑战,即缺乏清晰的“地图”来识别和应对未知威胁。
文章提出了构建威胁情报关键能力建设的两个核心要素:感知能力和分析能力。其中,感知能力需要从传统的基于IP的三层感知进化到基于应用的七层感知,以便更好地理解和识别网络活动。而分析能力则涉及到数据的存储、检索、清洗和关联分析,这些都需要稳定的基础设施和精确的知识库支持。
对于威胁情报获取的难点,文档指出,由于互联网应用的推动,数据量急剧增长,这对数据处理速度、广度、内容无关性和内容相关性的要求越来越高。同时,需要通过高效的大数据分析来实现态势分析、经营分析和身份定位,从而对网络运行状况和用户行为进行有效监控。
文档中介绍的“鸟揽威胁情报系统”是一个综合解决方案,包括分流子系统、探针子系统、知识库子系统、数据存储分析子系统和响应子系统,旨在解决数据采集、处理、存储和响应的全链条问题。该系统通过协议转换、用户和事件日志生成、内容清洗、数据标签化和关联分析等方式,提升威胁情报的质量和实用性。
此外,文档强调威胁情报不应仅限于URL和DNS,还应涵盖流量信息、应用流向、用户身份等多个维度,包括QQ、微博、微信、电子邮件等社交平台的账号信息,以及地理位置等。为了应对海量数据,系统需要具备强大的数据收敛能力,通过应用探针实现全流量监测,并利用多领域的专家知识来优化整个数据处理流程。
该文档揭示了在现代网络安全中,基于全量应用识别的威胁情报基础数据采集的重要性,以及实现这一目标所需的技术和策略。通过提升网络的可视性、增强分析能力,企业和机构可以更有效地防范APT攻击、进行风险评估和安全防护,从而确保金融安全和企业运营的稳定性。