如何构建一个一流的威胁情报系统

原创 已于 2022-08-25 09:51:42 修改 · 10w+ 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全 #大数据

于 2022-08-24 17:47:55 首次发布
本文介绍了威胁情报的本质、特征和来源,强调情报工程师的角色,并提供了构建和校验情报系统的具体步骤,包括利用爬虫、沙箱和资产搜索引擎等,旨在打造与知名平台相媲美的系统。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 引言

本人因为工作的缘故会接触大量的现网攻击事件告警,也经常使用情报平台对告警的源ip进行辅助研判,这里记录一些本人对于情报的理解以及如何做好自己的情报系统。本文会介绍情报的本质、情报的特征、情报搜集与情报校验,以及最后会讲述如何把情报做到一流水平,比如说比肩某步。

如果你是一个大学教授,手底下有20个大学生(可以ya zha),那么看了我的文章你也可以开一家比肩W步的公司。(某步情报强在历史积累,新产生的情报你按照我的思路认真做好不会输给任何厂商)

0x01 情报的本质

什么是情报,我不想解释。不如说如何招一个情报工程师?情报工程师本质上是一个爬虫工程师,信息搜集整理,不论是在外部做些爬虫,还是通过运营打入黑产内部,都属于高级爬虫工程师/运营工程师的范畴。

0x02 情报的特征

1.数量海量

ip、domain、url、hash、ja3(s)、mail...

上面几类只是最基本的几种情报类型。更多类型,还有 miner、botnet、APT、trojan、spam、fishing......可能有大几十种吧。网络攻击每天都有发生的,因为 ipv4地址那么多个,每天钓鱼,漏洞扫描攻击那么多,被攻陷的肉鸡也可以成为新的僵尸主机加入新的攻击者行列。

2.时效性强

比如一个域名,被APT组织注册,但是用了几天就弃用转让了。访问不了,以后再被正规公司/个人使用,它就不能叫一个恶意域名了,这时候就该更新情报库了。

也有不依赖时效性的情报,比如hash情报,一个恶意文件,它到什么时候都是一个恶意文件,这个就可以成为情报历史积累。但是恶意文件不一定总是有害的,因为当恶意文件的C2服务器被ban访问不了了,它就不能实际发挥攻击作用了,但是hash没变,判定它恶意也没什么错,但不代表被攻击成功了,所以说并不是中了hash情报就要很恐慌。

3.针对性强

不同厂商关注的情报类型不同、关注的攻击者范围不同,比如国外的VT和国内的情报平台的采集来源也有很大差别,这一点在有些国内情报黑情报在

最低0.47元/天 解锁文章

200万优质内容无限畅学
在家构建您自己的网络威胁情报系统,了解如何免费收集威胁情报
iCloudEnd的博客
08-15 327
OpenCTI 是一个开源平台,允许组织管理其网络威胁情报知识和可观察数据。它旨在构建、存储、组织和可视化有关网络威胁的技术和非技术信息。数据的结构化是使用基于STIX2 标准的知识模式执行的。它被设计为一个现代 Web 应用程序,包括GraphQL API和面向 UX 的前端。此外,OpenCTI 可以与其他工具和应用程序集成,例如MISP、TheHive、MITRE ATT&CK等。— OpenCTIOpenCTI 的设置和运行是免费的,它使用来自开源和专有威胁源的威胁情报
国外知名安全厂商介绍
m0_73245452的博客
04-23 1637
一个靠并购不断变大的公司;除了以88亿美元收购HPE软件部之外,今天在Micro Focus的旗下还有Borland、SUSE、Attachmate、Novell、NetIQ、Progress和Serena等知名品牌,特别是Novell、Borland、SUSE、Attachmate,稍微资深一点的IT从业者对它们都曾经是耳熟能详。提供全方位企业安全解决方案(包括防火墙、VPN、入侵防护、应用控制、移动访问、DLP、身份识别、URL过滤、反垃圾邮件、防病毒、高级网络和加速,以及反僵尸网络解决方案)
网络安全威胁情报体系
赵花花08042的博客
06-05 1667
课程介绍 威胁情报,是面向新的威胁形式,防御思路从过去的基于漏洞为中心的方法, 进化成基于威胁为中心的方法的必然结果,它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。 目前,随着网络安全威胁变得越来越复杂和普遍,传统安全手段已不可能识别和抵御所有可能的攻击。 而利用威胁情报做防护实战,可帮助企业和国家建立以数据驱动为核心,让企业和国家“看见”威胁,从而建立纵深防护体系。 本课程讲师金湘宇(NUKE),是Sec-UN网站创始人,安全威胁情报推进联盟发起人,现为某投资公司副总裁。
MISP从入门到实战:威胁情报共享平台搭建与使用详解
最新发布
和舒貌的博客
02-16 3252
MISP(Malware Information Sharing Platform)是一个开源的威胁情报共享平台,专为网络安全团队设计,用于收集、存储、分析和共享网络威胁数据。
认识威胁情报系统
weixin_34095889的博客
05-06 252
认识威胁情报系统 OSSIM布道师  李晨光 
威胁情报平台OPENCTI搭建记录(三)
qq_41917456的博客
09-30 907
总算到了安装opencti的时候了,按照官方教程开始安装 docker-compose --compatibility up 但是实在是太慢了,所以准备去阿里云申请一个镜像加速(这种教程网上有很多,可自行百度),但是在在重载文件时又出错了 放弃了。WSL坑太多了,毕竟还是一个虚拟化的系统, ...
美国CADS (原爱因斯坦NCPS计划) 2024年进展
qq_41432686的博客
05-01 450
爱因斯坦计划,其正式名称为“国家网络空间安全保护系统”(National Cybersecurity Protection System,简称NCPS),由美国国土安全部(DHS)下属的网络安全与基础设施安全局(CISA)负责设计、运行和协调。以DFI、DPI和DCI技术为抓手,以大数据技术为依托,以威胁情报为核心,实现对美国联邦政府民事机构互联网出口网络威胁的持续监测、预警、响应与信息共享,以提升联邦政府网络的态势感知能力和可生存性。
合肥工业大学第六届“互联网+”大学生创新创业大赛项目计划书:AI云学习 —— 一款基于Spark构建知识图谱的人工智能学习工具
热门推荐
u25th_engineer的博客
08-11 4万+
项 目 名 称: AI云学习 —— 一款基于Spark构建知识图谱的人工智能学习工具 项 目 类 型: “互联网+”信息技术服务业 项 目 负责人: 文华 高     校: 合肥工业大学(宣城校区) 院     系: 计算机与信息系(宣城校区) 申 报 日 期: 2020年7月19日 文章目录1 项目概述1.1 研发背景1.2 产品概况1.3 市场优势1.4 市场预期1.5 销售预期1.6 融资方式2 产品服务与创意2.1
零基础系统化学习白帽黑客技术
深入交流学习:webMsec
06-13 3155
进来先点个赞,评个论,关个注呗~ 笔者在学习Web安全的过程中,深切地感受到相关的知识浩如烟海,而且很大一部分知识点都相对零散,如果没有相对清晰的脉络作为参考,会给学习带来一些不必要的负担。 因此,在对Web安全有了浅薄的了解之后,尝试把一些知识、想法整理记录下来,分享出来,希望能够为正在入门的网络安全爱好者提供一定的帮助。 学习方式: 自学为主,遵循学习路线和规划,每一步都配备对应的学习笔记、学习资料、书籍和精选视频。 在没有人指路的情况下想入门渗透测试,会踩很多坑,浪费很多不必要的时间,甚至可能中途而废
该如何做好威胁情报
摔不死的笨鸟的博客
06-01 2110
关于如何做好威胁情报谈谈自己的认识与看法
国家网络空间威胁情报大数据共享开放平台建设的思考-刘宝旭
02-06
国家网络空间威胁情报大数据共享开放平台建设的思考-刘宝旭
如何建立实时的威胁情报共享平台?
图幻未来的博客
02-02 344
综上所述, 构建一套实时且可靠的威胁情报共。
威胁情报平台OpenCTI搭建教程
流浪法师的博客
04-01 6761
OpenCTI是一个开源平台,允许组织管理他们的网络威胁情报知识和观察结果。它的创建是为了结构化、存储、组织和可视化关于网络威胁的技术和非技术信息。
教你如何搭建威胁情报
weixin_45134156的博客
08-20 4540
自定义简便的威胁情报数据库 1. 前言 ​ 威胁情报是一种基于数据的,对组织即将面临的攻击进行预测的行动。预测(基于数据)将要来临的的攻击。威胁情报利用公开的可用资源,预测潜在的威胁,可以帮助你在防御方面做出更好的决策。 在企业或政府乃至国家,拥有一个高准确度,大数据量的威胁情报库是至关重要的。 2.简介 ​ 本文主要针对是初学者,刚起步的搭建自己的威胁情报库的企业,通过简单便捷的python脚本...
威胁情报综述阅读1】引言 + 开源威胁情报挖掘框架 + 开源威胁情报采集与识别提取
定期分享我的发现和想法,感谢你的陪伴和支持
11-28 4091
网络安全威胁情报的价值网络安全威胁情报是指来自外部的与安全威胁相关的信息资源。这些信息包括了各种恶意威胁的特征、攻击者的行为模式以及攻击方式等。这些情报可以帮助安全人员快速识别恶意威胁攻击,并采取及时的响应和防御措施。开源威胁情报挖掘技术的崭露头角传统的威胁情报挖掘存在信息量不足的问题,而开源威胁情报挖掘技术通过从多方开源情报来源中收集和分析信息,为这一领域注入了新的活力。美国和欧洲是最早在政府层面积极开展开源情报挖掘技术研究的国家和地区,他们将其作为政府的常规情报搜集手段,并在网络安全领域取得了显著成果。
公有云厂商自建威胁情报系统
weixin_34071713的博客
09-12 254
本文讲的是公有云厂商自建威胁情报系统,Q:公有云厂商为什么要建立威胁情报系统威胁情报的价值在哪里?我们不做会有什么损失?威胁情报交换能给我们带来什么附加价值? 各个问题都很尖锐~ 业务层面 根据自己的公有云厂商业务特点(提供云主机、云存储、云数据库、云GPU),建立威胁情报体系,那么面临的威胁 主要集中在DDoS攻击和主机入侵。 1、有效的做到事中及...
威胁情报的来历
makaisghr的专栏
06-28 2243
威胁情报从哪儿来,你知道吗? 发布时间:2019-06-27 11:00:12 威胁情报是什么?看看官方的一些解释,引用百度百科的内容: 根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持 实际上从安全从...
Security+ 学习笔记3 威胁情报
tushanpeipei的博客
09-14 3007
一、威胁情报(Threat intelligence) 二、管理威胁指标(threat indicator) 三、情报共享 四、威胁调查 五、识别(identifying)威胁 六、威胁情报自动化 七、打击威胁
十个常用的威胁情报中心,HW必备
网络安全
04-17 2554
本公众号名称从“网络安全研究所”正式改为“网络安全实验室”有招聘需求的可以后台联系运营人员,免费发布,不收推荐费用。攻防演习期间常用威胁情报中心,排名不分先后微步在线:https://x.threatbook.com/绿盟威胁分析中心:https://poma.nsfocus.com/奇安信威胁情报中心:https://ti.qianxin.com/360安全大脑:https://sc.360...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值