一、态势认知和威胁情报详细介绍

简易的而言，态势认知系统软件是对互联网环境安全管理态势的评定，评定当今态势的另外，对将来态势作出预测分析。一定水平上，能够看作是威协评定和进攻预测分析的融合。结构类型，典型性态势认知系统软件包含态势因素获得、态势评定、态势预测分析三一部分。态势因素获得为态势了解出示源数据信息，态势了解又维态势预测分析出示根据。在一个详细的态势认知系统软件中，大家能获得2个結果，一个是当今网络信息安全态势，另一个便是将来安全性态势的趋势分析，也就是态势预测分析的結果。

威胁情报是一种叙述互联网安全事件的数据信息结合，详细说明了安全事件的构成因素，包含进攻源信息、受害人信息、启动进攻利用的专用工具，也有在APT中常会说的TTP，即战略，技术性和全过程（Techniques Tactics Procedures）。

二、为何应用威胁情报？

搞安全性的都见过威胁情报这四个字，威胁情报有万般好，那麼这一好产品究竟能产生什么？APT，0day的危害和伤害大家都有一定的了解，乃至是众所周知。威胁情报在解决APT层面還是很有优点的，APT的进攻环节更为显著，延迟时间长，防御性高，而且埋伏时间长，因此 对威协检验明确提出了高些的规定。可是在这个长期的攻击链上，一旦早期检验到威协，那麼采用目的性的回应，還是能够减少危害的。

图中便是攻击链实体模型，翠绿色框说明进攻沒有导致实际性伤害的环节，大家的总体目标便是勤奋在这个环节发觉并消除威协。APT发起者是有机构、有蓄谋的，同一机构进行的进攻行動会在一些个人行为上存有相似度，特别是在在对于同一行业的进攻主题活动。

威胁情报具备很多的安全事件信息，利用其多维数据信息，能够提升安全事件的高效率和进攻检验率。此外，威胁情报有较强的升级工作能力，威胁情报服务提供商会对威胁情报开展升级，出示全新的安全事件数据信息，并且根据威胁情报共享资源体制，同样行业的机构和组织能够获得目的性的威胁情报。因此 恰好是威胁情报中的互联网大数据和其本身的升级工作能力，使我们对其欲罢不能。

三、如何与态势认知系统软件融合

1. 威胁情报落地式必须处理的难题

威胁情报的获得方法：不一样组织拥有 不一样的安全性需求，这类不一样能够主要表现在威协发动者对于不一样种类的组织架构有不一样的目地，不一样的网络结构也会造成进攻对策的更改。此外，利用威胁情报的目地不一样也会造成威胁情报的种类不一样。现阶段看来，威胁情报购买和威胁情报共享资源是较为可靠的方法。因此 最重要的是最先考虑到好本身要求和应用威胁情报的目地。文中在这里关键详细介绍应用威胁情报的普遍意义计划方案，已不详尽过多阐释威胁情报的种类等实际难题。

威胁情报的解决：上文提及，威胁情报具备很多的安全事件信息，那麼是否全部的威胁情报都适用大家的网络空间呢？回答很显著，因此 第二个要处理的便是选择目的性的威胁情报。进而降低数据信息影响，提升数据信息精密度。

2. 威胁情报与态势认知系统软件的契合点

在大家的服务平台中，利用威胁情报来做态势预测分析，竭力在攻击链左边发觉进攻，利润最大化充分发挥威胁情报的信息使用价值。沒有将威胁情报用以态势评定中是由于态势评定最先要融合本身财产来做，摆脱总体目标网络空间财产特性的态势认知和评定是毫无价值的，其次，当今流行的态势认知方式和服务平台较为完善，包含IDS和SIEM系统软件，这种机器设备能为大家出示一些有使用价值的数据信息。再次返回预测分析的层面，现阶段大部分态势认知系统软件将态势趋势分析做为预测分析的結果，欠缺潜在性威协的剖析，威胁情报完成对策级的预测分析也是威胁情报给态势认知系统软件产生的新转变和改善。

在实际完成中，应用了STIX文件格式的威胁情报，有二种威胁情报来源于，一种便是定阅获得的外源性威胁情报，另一种是系统软件內部的内源性威胁情报，根据系统软件內部布署的检测仪器获得，内源性威胁情报与外源性威胁情报统一成STIX文件格式。

最先是外源性威胁情报挑选，将内源性威胁情报的目标在外源性威胁情报中出現的次数做为关键的挑选根据，应用优属度优化算法将不相干的威胁情报去除在外面。必须留意的是，去除掉的威胁情报仅说明其不适感用以当今网络空间。在网络信息安全态势转变，或是威协产生变化后，必须再次对当今情况开展威胁情报挑选。

在威胁情报挑选后，就到最后的方式——预测分析。在方式上，利用相关性分析、计算机视觉和设备学习方法解决外源性威胁情报获得样版库。训炼的关键剖析目标是威胁情报中因素中间关联，而不是单纯性的因素搭配。关联说明了安全事件的前因后果，安全事件也是由因素间关联构成。因此 ，STIX的relationship恰好是大家的总体目标。下边得出一个relationship说明indicator和malware间关联的事例

它是STIX文本文档中的一个事例，可以说relationship丰富多彩了malware的特性。除开说明这类“依附”关联，relationship还能够说明别的一切关联。

還是STIX文本文档中的物品，表格中列举了一部分relationship。

3. 系统架构图

在威胁情报挑选以后，最关键的优化算法便是利用深度学习开展威胁情报归类，利用同样类型的威胁情报前后文剖析潜在性威协。实际构架便是一般的深度学习方式的构造，最先是数据获取：外源性威胁情报和系统软件内的安全事件信息；次之是数据类型解决，外源性威胁情报转化成STIX文件格式，系统软件内的安全事件也利用同样文件格式来表述；随后便是对外开放源威胁情报的训炼，将训炼的結果用以安全事件的归类；最终便是結果的輸出和数据可视化。大概构造以下：

四、小结

文中详细介绍了一种威胁情报运用在态势认知系统软件中的可行性分析方式。主要详细介绍了2个特别注意的难题，也是执行威胁情报全过程中务必处理的难题：

1. 威胁情报适用范围。

2. 威胁情报中因素关联的必要性。

期待详细介绍的方式能给大伙儿出示参照，热烈欢迎大伙儿沟通交流别的构思和提议。