“今天”的林书豪,会不会让人想起“昨天”的史蒂芬森?

北京男篮惨败浙江男篮的比赛,全场比赛21投仅5中的林书豪,也许真的可以算是球队最终落败的原因之一,而这样的林书豪,也难免让人想起之前一天的史蒂芬森。

该目标由核心情报管理平台下发情报、下游情报管理平台写入、上报、消费情报等过程组成,其中重点在于搞清楚谁向下游情报管理平台写情报,下游情报管理平台的情报被谁消费以及怎么消费。

核心情报管理平台主要作用包括接收云端情报用于情报查询;向下游情报管理平台分发情报;接收下游情报管理平台汇报情报;自有情报录入,用于情报查询与分发。

2.  情报完整流转流程

3.  全流量威胁狩猎技术

这天,尹逵家的核桃,在直播中售价为一斤6元钱,卖出了400斤。其中,每斤3.4元是给尹逵的收购价格,剩下2.6元是李建荣团队的,但除去损耗、包装、快递、人工、平台等费用后,李建荣几乎没有赚到钱。在今年低迷的行情下,有的时候,他们直播做下来还要赔钱。

依托可视化关联分析技术,对威胁情报、网络原始日志、终端日志、告警日志进行关联分析,从攻击者视角完整还原攻击路径,从被控主机视角完整描绘被控主机网络行为,完整呈现威胁全貌。

“谁向下游情报管理平台写情报”:除了核心情报管理平台外,下游机构其实并没有直接、准确的情报可被写入,实际可写入的是下游机构网络环境中部署的安全设备产生的告警,当众多下游机构上报告警后,核心情报管理平台可以根据智能策略实时动态生成行业威胁情报,例如:下游机构网络不连续的情况下,某个外部IP连续攻击多个下游机构,该攻击IP就相当可疑,根据策略生产为行业情报,并推送给其他暂未感知到风险的下游机构。

威胁狩猎是企业机构基于威胁情报的自我查验。威胁狩猎需要提前掌握攻击者某些基本模糊特征和线索,即威胁情报,然后基于情报,通过旁路流量检测、系统日志检测或主机行为检测来挖掘正在进行的攻击行为或已经失陷的内网主机,其效果随着线索或情报的准确性、及时性和多样性而变化。

对于接入原始流量的数据接入形式,系统需要将原始流量中的二进制数据解析成结构化的DNS报文。对常见的流量解析工具(包括Bro、Suricata等)调研测试后发现并不适用于DNS解析场景,原因在于 1.此类工具架构设计上针对全流量解析,为了兼容其他协议特性,很大一部分系统资源用于数据流Session维护、流量缓存等,这在DNS解析过程中属于不必要的系统开销。2.此外,DNS数据报文长度较小,相同流量下QPS较高,在Bro和Suricata上性能测试结果不够理想。因此本系统在技术路线上采用自研抓包模块,针对DNS的协议特性进行性能优化。

“德国人曾在这里犯下野蛮的罪行,其程度超过了一切认知的范畴。我对此深感羞愧。”默克尔说,“奥斯威辛”这个名字代表了欧洲范围内数以百万计遭杀害的犹太人,“它代表着大屠杀造成的文明断裂,人类共同的价值由此蒙难”。

基于威胁情报做日志关联分析

“我更要感谢那些讲述他们苦难和回忆,并促成和解的人们。我向他们中的每一位深深地鞠躬。我向大屠杀死难者鞠躬。我向他们的家人鞠躬。”默克尔最后说。

李建荣成立的电商协会

种植面积扩大了,产量提高了,但核桃的价格却在2014年就进入了下滑通道,为了扭转这种局面,2015年,云龙县人民政府发布了《关于推进全县核桃产业提质增效的意见的通知》,强调要加强实验示范,强化科技支撑,积极开展核桃抚育、品种改良、丰产栽培等科技试验示范,着力提高林农生产技能。为此,农业部门正打算做相应的科学培训。

3.  技术的重点和难点

因此,“今天”的林书豪,也许只是在手感上与“昨天”的史蒂芬森有些相似,但他们对于各自球队的贡献、他们所效力的球队对于他们的态度,至少到如今还无法“同步”。都是最受期待的外援,本质上的差距,咋就那么大呢!

雷锋网版权文章,。详情见转载须知。

情报辅助上下文是不可忽略的重点,机读情报字段的丰富性决定该威胁情报是否可实际落地,现有情报精确刻画该攻击行为或团伙特征,包括但不限于发现时间、端口协议、严重级别、URL、相关样本、域名属主、家族标签、针对行业等30多个字段,相比之下,仅提供一份黑名单,没有任何辅助上下文信息开源情报几乎无法在金融生产环境中使用。自动化筛查和有效线索转化为情报,主要考验的是我们威胁情报库的私有威胁情报本地化生产能力。

为了实现这两个目标,我们进行了情报共享技术和全流量威胁狩猎的研究。

整体方案主要由核心情报管理平台和下游情报管理平台两部分组成:

前些年行情好的时候,核桃还在树上就有经销商上门来订购,一斤核桃的价格甚至卖到过20元钱。但今年,唯一上门的一个收购商把价格压到了每斤2.5元,大家伙犹豫了几天,最终还是忍痛卖掉了囤积在家里的核桃。

由于各下游机构采购安全设备的多样性,必然导致日志归一化问题,该问题目前没有十分完美的解决方案,在下游情报管理平台入口处使用技术手段进行统一格式处理目前是可行方案。

三、情报共享技术研究

威胁狩猎技术重点和难点主要来源于以下三个方面:

今年,眼瞅着乡亲们的核桃找不到销路、卖不上价格,李建荣拉着团队开始进村入户,用直播的方式帮大家卖起了核桃。

当情报库建立之后,情报共享的需求马上就被提出。与公司内部、行业机构等进行情报共享,一方面能够快速实现威胁感知能力的提升和风险共担,另一方面情报的合法有序共享,也有利于整个生态的健康持续运转,降低运行成本。

面对在场的波兰总理和大屠杀幸存者,默克尔说,今天作为德国总理站在这里讲话令她感到十分沉重。

该架构拥有威胁检测模型十类,包括基于威胁情报的大数据碰撞模型、DNS隐蔽信道检测模型、动态沙箱检测模型、DGA随机域名生成检测模型、内网横向渗透检测模型、深度学习算法自学习检测模型等。检测覆盖阶段包括嗅探、漏洞利用、武器投递、远控、横向移动、对外攻击、行动(勒索、挖矿、数据窃取),识别的攻击与威胁类型至少包括:端口扫描、应用扫描、子域名暴破、远程溢出、WEB攻击、SQL注入、配置漏洞、命令注入、CC破坏性攻击、XSS、SSRF、文件泄露、目录遍历、暴力破解、网页木马、木马执行、webshell、僵木蠕检测、高危漏洞利用、勒索软件、挖矿木马、高级APT组织、隐蔽信道通信等。

情报冲突问题是该项目一开始未充分考虑的问题,但是在测试部署中,我们发现有些IP被不同分支机构分别标记为白名单和恶意地址,造成下游机构问问题,经过排查发现主要原因为:A机构将自身办公网出口地址标记为白名单,但其办公网内存在蠕虫病毒,通过办公网出口扫描其他机构,又其他机构或被标记为恶意;

整场比赛21投仅5中、跟随球队遭遇一场惨败的林书豪,的确很容易让人想起一天之前的史蒂芬森。跟随辽宁男篮惨败于山东男篮的史蒂芬森,在辽宁男篮最需要得分的前三节,也同样是手感全无。

针对威胁情报准确性、及时性和多样性的需求,威胁情报库采取多源威胁情报的收录和管理,本地情报平台应至少能装载四种情报类型、具备两种情报能力,具体包括多源机读情报、高级人读报告、漏洞情报、自定义情报等,情报能力应包括情报代理能力、本地生产情报能力等,此外,情报共享和级联正是保证威胁狩猎成功进行的关键能力之一。

威胁情报库的建立,一方面能够协助我们及时察觉黑客或恶意攻击者的各类战术、方法、行为模式,掌握针对支付场景的最新攻击动向,高效预防和处理各类网络风险安全事件;另一方面高质量的情报数据能够为风险防控提供有力支持,实现对外部网络异常访问行为的精确识别。它对于防守方安全风控团队及时掌安全态势并做出正确响应具有重要价值。

威胁狩猎流程(流程图)

依托微服务、分布式集群、海量数据存储、消息队列等大数据软硬件基础组件,构建“松耦合、高内聚”的底层大数据架构,采用ElasticSearch、Hadoop、Spark、Kafka等开源分布式技术,解决海量数据接入、解析、分析、存储、输出等关键环节并发瓶颈问题,能够根据检测环境进行动态扩展。

4.  对于整个网络安全威胁情报共享体系建设发展的意义

在原有情报管理平台整合情报与提供情报检测接口的能力上,增强行业情报共享能力、提供批量接入挖掘情报的接口,并建设与现有安全设备联动的能力,基于威胁情报进行自动化的响应。

3)  如何将威胁情报落地于旁路流量检测、系统日志检测或主机行为检测产品中。

2)   如何解决分支机构情报冲突和误报

在前期威胁情报中心能力之上,增强流量监控与威胁狩猎分析能力,精准定位攻击全过程;同时提升情报挖掘能力,并在行业情报共享机制进行探索研究,为将来的实践应用奠定理论和技术基础。

银联是典型多职场、多组织协同防御的结构,拥有较多安防设备且对攻击敏感,会有海量的告警信息,如何从海量告警信息中获取真实的攻击行为是一个大的挑战。同时来自外部的威胁情报数据无法完全支撑对于真实攻击的检测、阻断和溯源分析,攻击者对于外围资产实施跳跃式攻击时,也可能导致联动防御困难。在这些场景中,我们对威胁情报数据和威胁情报生产均有强需求。

在威胁情报的应用过程中,我们发现仍然有一些问题有待解决。

3.  行业情报共享,增强响应能力

云南省云龙县位于云南省西部,地处横断山南端澜沧江纵谷区,层层叠叠大山里,密密麻麻的核桃树随处可见。每年进入十月份,核桃收获之后,就进入了核桃销售的黄金时节,但今年,这里核桃的销售周期却一直持续到了冬天。

1.  安全建设保障延续性

据世界知识产权组织、美国康奈尔大学和欧洲工商管理学院联合发布的《全球创新指数报告》显示,2019年中国在129个经济体中位列第14名,在34个中等偏上收入经济体中排名第一。今年中国内地、香港及台湾共有19个创新集群上榜,是世界创新集群第二多的经济体。其中,广州在全球创新集群百强中的排名连续3年大幅上升,2019年跃升至第21位。

默克尔是战后第三位到访奥斯威辛的德国总理。在她之前有赫尔穆特·施密特和赫尔穆特·科尔,后者曾两度前往奥斯威辛。(完)

今年他们家种植的核桃要大一点,出售的价格也是村里最高的,但也只卖出了一斤3.2元的价格,四五百棵总共才卖了1万多元。

1)  新时代攻防趋势与需求的变化。

“下游情报管理平台的情报被谁消费、以及怎么消费”:   一些敏感业务例如支付口、登录口都可以使用推送的情报进行主动防御,即使来自攻击IP的用户提供正确的用户名密码,业务仍然强制要求上下行短信验证,对于某些类互联网行业的抽奖活动,还可以降低其所在网段的中奖几率,在不得罪用户、不打断业务的前提下保障业务安全性。 

1)   如何构建和落地24*7全自动的多机构情报共享和消费机制

协同研判过程中,威胁情报团队成员将共同补全攻击组织手法,最终形成自主的攻击者画像数据库;情报管理平台 支持单一情报的多个情报源数据横向对比查看,多角度综合评估情报全貌,然后通过 Restful API 将威胁能力共享,实现总控和各分支之间的推送、上报和可控的二次分发。

2)  银联本身业务的要求。

她表示,奥斯威辛还意味着对欧洲辛提人和罗姆人的集体屠杀,对波兰政治犯和知识精英、起义者、苏联等国战俘甚至“同性恋者、残疾人和整个欧洲不计其数的人的迫害与残杀”。

2.  现有威胁情报库

此外,中国科学技术部和中国科学技术信息研究所于2019年12月29日公布《国家创新型城市创新能力评价报告2019》,对中国国家创新型城市的创新能力进行了分析和比较,广州的创新能力在中国72个国家创新型城市中排名第三。中国科学技术发展战略研究院联合广州创新战略研究院2019年12月23日发布《广州城市创新指数报告2019》,结果显示,2010至2018年,广州创新指数年均增长11.98%。(完)

1.  情报合法有序共享

通过对接入数据源、底层软硬件架构、大数据标准化处理、模型算法,以及顶层安全业务应用的系统规划,依托威胁情报大数据知识图谱技术、高级入侵检测与分析技术、黑客画像与追踪溯源技术、情报数据共享技术、响应策略自动化编排与处置技术等核心技术,构建覆盖全行业网络的威胁检测分析、威胁事件线索提取、攻击者画像与溯源分析、威胁阻断响应与协同联动等完整闭环解决方案,形成以威胁情报数据为驱动的检测、分析、响应、溯源、预测能力。

威胁情报库的数据来源分为三方面,包括内部情报、专业机构和行业联盟。内部情报包括传统安全设备的拦截、后台SIEM等安全分析系统的分析以及业务风控系统的发现;专业机构会提供所处专业的多源情报,根据每家机构的专业特点进行互补,并在情报冲突时对数据进行研判;行业联盟的威胁情报共享目前正在研究探索中。内部情报、专业机构和行业联盟这三方面的数据聚合后,形成本地库,进行处理后,最终将数据结果反馈给最上层的应用层,推送给后台应用、防御设备或者人工调用。在综合考虑威胁情报库需求后,我们对国内相关厂商进行调研测试,最终选择北京微步在线科技有限公司旗下本地威胁情报管理平台作为银联威胁情报库的载体平台。

眼下,乡亲们的核桃树大都进入了盛产期,但越来越低的销售价格,却让大伙摸不清头脑,究竟是什么原因导致了桃核销售进入了“寒冬”?

1.  威胁狩猎的定义和流程

种植管理粗放、销售信息不对称

施宏在2009年发起成立了核桃专业合作社,和乡亲们一起种核桃、卖核桃,2013年,瞅准了当地核桃初加工的市场空白,他又开起了一家核桃加工厂,投入运行已经有7年的时间,每年加工700多吨核桃。

默克尔说,奥斯威辛“让我们有义务让这段记忆不陷入沉睡,我们必须记住这里发生的罪行,并且清楚地说出来”。

五、研究的产出和意义

而核桃价格不断走低,导致种植户对核桃管理越来越放松,核桃质量越来越差,质量越差导致价格越低,这样形成了恶性循环。

公开资料显示,2008年,云龙县核桃种植面积达到了50万亩,产量为1.7万吨,而到2013年,云龙当地的核桃种植面积已经增加到了128万亩,产量接近3万吨。

为了保证自家的核桃个头更大、味道更香甜,天池村村民的李成家,今年投入了三万多元,在自家的核桃林里铺设了喷灌设施,方便在干旱时节,从三公里外的水库引水进行灌溉。

2.  私有情报生产

1)  如何获取准确、及时和多样的具备大量辅助上下文的威胁情报;

尹逵是云南省云龙县检槽乡村民,今年五十多岁,从30年前就开始种核桃,这些年陆续种了200多棵核桃树,都已经进入了盛果期,每年可以产1000斤左右核桃,行情最好的时候,卖过一斤十元钱。尹逵靠着卖核桃支撑着家里全部的开销。

但眼下,当地的核桃产业却正在经历着“寒冬”,一斤曾卖20元的核桃,如今价格甚至低至每斤2.5元。种植户、经销商的日子并不好过。

从加盟北京男篮开始,林书豪的状态也的确有过起伏,但就像他在本场比赛的第四节开始疯狂突破所显示得一样,林书豪对于比赛的态度从来不曾改变。至于史蒂芬森?呵呵,大多数情况下,你很难在比赛中看到他在比赛中能够有林书豪这样积极的态度。

不仅仅是上半场比赛,直到第三节比赛结束时,林书豪都没有找到自己的手感,尤其让北京男篮感到有些沮丧的是,林书豪竟然多次空位跳投偏出、上篮偏出。第四节比赛还剩7分多钟,重新回到球场的林书豪曾经连突带罚帮助北京男篮将分差迫近至23分,但随着林书豪又一次三分未果、吴前有投中一个三分球,北京男篮的失败已经无法避免。

对企业相关网络边界的出入站双向流量、内网各区域之间横向东西向流量进行全面采集,由流量采集器通过流量镜像方式,对网络内产生流量的所有全量数据进行实时采集,主要采集数据包括流量信息、流量中还原的payload或文件、终端日志数据等三类,其中,流量信息包含DNS、HTTP、TCP、SMTP、POP3、RSYNC、RDP、TFTP等8项协议;DNS日志包括Request与Response双向日志中的解析域名、查询类型、源地址与端口、目的地址与端口等信息。据此形成全流量威胁持续检测接入数据。

今年春夏时节,云南遭遇了干旱,尹逵家的核桃产量比往年减少了两成,产量低了,原本尹逵盼着能卖上个好价格找补一下。但从十月份到现在,村子里也没有收购商来收购核桃。

李建荣是一名90后,2014年大学毕业后,看好当地农特产品在电商平台上销售前景,在县城发起成立了当地的电商协会。

加工能力薄弱 核桃产业亟待“提质增效”

这几天,听说乡里想到了一个新办法来帮大伙销售核桃,尹逵一口气走了近3公里,终于来到检槽乡的一个电商服务平台。

这就要求我们开放对外部SIEM/SOC数据平台、防火墙或WAF设备、主机管理产品、路由和交换设备以及其他安防产品的联动。并分析特定场景的设备联动,对于命中的高危情报,调用下游设备实现阻断,推动情报从检测、响应场景到全面的安全防护。

3)   归一化安全设备日志格式问题

该项目开发和部署测试过程中,也发现很多重要节点和技术难点,经过充分研讨与贴合实际需求进行评估后一一突破,其中包括有:

在现有情报库部署情报管理平台,各分支机构部署分支情报管理平台,总控推送情报到各分支,各分支私有情报自动上报到总控,总控可控制是否将各分支上报私有情报进行二次分发。

施宏的核桃专业合作社

云南省云龙县电商协会会长李建荣:前几年我们最开始做的时候,价格非常高,差不多15块一斤,今年是最低的一年,已经低到老百姓打核桃的成本都不够了。说实话,偏远山区真的很难坚持做电商,因为物流、收货方面的成本太高了。

村民周润芳告诉记者,一边是收购价格越来越低,而另一边收购商却越来越挑剔,自己家里还剩了一些经销商觉得品相不好的核桃没有卖出去,而在行情好的时候,不管是什么样的核桃全部会被抢购一空。今年价格低的原因,经销商说现在核桃太多,积压得比较多。

3)  威胁检测分析模型

2.  威胁狩猎的技术重点和难点

过去几年,在进入核桃销售季节后,李建荣都是先收购了乡亲们的核桃,之后通过各个电商平台进行销售,但今年,核桃价格达到了近十年的最低价,李建荣反而谨慎了起来,不敢在手头压太多的货,干脆就走村入户直播销售。

2.  增加全网威胁可见性

早在2003年,云龙县政府为了将以核桃为主的林果业,培育成当地的一项支柱产业,发布了《关于加快以泡核桃为主的林果业发展的决定》,其中明确要求:每年按照“六个一标准”发展3万亩,到2007年,使云龙县核桃种植面积达到30万亩,产量达到5000吨。

下游情报管理平台主要功能包括自有情报录入,用于情报查询与汇报;向核心情报管理平台汇报本地录入情报;接收核心情报管理平台分发的情报。

1.  情报上传下达的基本逻辑

随着互联网特别是移动互联网的发展,网络环境愈发复杂,不同的攻击行为更具产业化、团伙化,入侵手法也愈发多样化与复杂化,传统以防御漏洞为主的安全策略在面对层出不穷的新型、持续性、高级威胁时难以及时有效的检测、拦截和分析。安全攻防需求逐渐从传统的、以漏洞为中心进化为主动型、以情报为中心的建设模式。

2)  如何对拓展出的更多线索进行自动化筛查,并将有效线索进一步转化为情报;

威胁情报库会根据机读情报、高级报告和月报、第三方机读情报、用户手工导入的私有情报以及全球多个开源情报的统一存储、检索和对比自动补充辅助信息,并使用统一的生命周期管理情报从产生、使用、静默与消亡的完整过程。

30公里外的诺邓镇,也是当地核桃的主产区,在天池村,几乎家家户户都种植了核桃。

最近几年,核桃的销售价格越来越低,但加工厂的人工费用却在不断上涨,到了用工高峰,施宏每天需要请100多个工人,每个工人一天的工资在100元左右,加工厂的利润变得越来越薄。

林书豪和史蒂芬森、本赛季最受关注的两位外援,在最近两天实现“神同步”,这也难免让人产生一些额外的联想。但客观地说,林书豪和史蒂芬森依然有很大的不同,而他们最大的不同,也许就是对待比赛的态度。

虚假注册、批量绑卡、恶意刷单刷券等各种恶意行为会影响企业相关产品的日常运营和营销推广,而传统金融行业自身缺乏与互联网相关的安全数据,需要高质量的情报数据支持相关的风险防控工作。因此,需要把安全跟业务相结合,引入跟风控等业务相关的威胁情报,帮助提升公司的风险防控能力。

依据银联威胁情报库结构,首先从内部日志、行业情报和联盟数据中自动生成、筛选情报,并从云端拉取社区情报和定期情报更新,开启协同研判功能后,威胁情报库会自动通过加密信道从云端拉取附加信息并与本地简版私有情报合并,最终形成完整威胁情报形态。本地私有情报可直接查看、删除、导出和应用到第三方系统中。

在原有情报管理平台与威胁检测平台上,附加更多的能力,基于现有能力不断升级,保证原有能力的持续运营,与新技术的无缝衔接,保证持续有效的安全建设。

回到这场北京男篮惨败于浙江男篮的比赛,半场比赛结束时,北京男篮已经以39比58、落后19分,虽然北京男篮全队都表现不佳,但12投1中、仅仅拿下5分2次助攻的林书豪,的确需要为球队的大比分落后承担一部分责任。

他本来是想借此提升核桃的附加值,让老百姓真正增产增收,但苦于没有筹措到更多的资金,所以只能进行分拣、包装这样的简单加工。

对于拥有自有情报平台的机构,情报管理平台可以采用行业同行的标准进行情报的交换。

2)  软硬件与数据解析基础组件

奥斯威辛集中营位于波兰克拉科夫附近。纳粹时期,仅在这里就有至少110万人遭到屠杀。

在原有威胁检测平台边界检测失陷主机的能力上,增强流量的覆盖度,覆盖内网流量,并应用流量文件还原技术、引擎与动态沙箱技术、机器学习技术等提升检测能力,对威胁攻击过程进行分析狩猎,提升对内网中威胁与全攻击过程的可见性。

增产不增收 大量核桃积压无人收购

情报误报问题主要由于多个下游机构采购相同厂家的安全产品,同类安全产品误报后通过下游情报管理平台上传到核心情报管理平台,造成误判问题,这类问题后续计划通过增加鉴别安全设备类型实现进一步规避。