电信运营商威胁情报体系研究与应用探索

doi:10.11959/j.issn.1000-0801.2022293

摘要/Abstract

摘要：

随着互联网时代网络攻防的不对等加剧，威胁情报成为缩小这种差距的重要工具之一。在研究分析了威胁情报国内外研究现状的基础上，提出了一套适用于电信运营商的威胁情报体系构建方法，包括制定计划、情报生产、情报分析、情报管理、情报共享和情报应用 6 个环节。基于该体系架构提出了一套多源情报融合评估机制，概述了情报聚合分析、情报信誉分析、情报关联分析和情报老化分析 4 个阶段涉及的技术和建设方法，帮助电信运营商构建情报融合分析能力。同时，针对入侵类和失陷类情报领域给出了情报生产和同步应用原则，为电信运营商应用威胁情报技术构建安全防护体系提供了有益的参考。

关键词: 威胁情报, 情报分析, 情报生产, 情报应用, 电信运营商

Abstract:

With the increasing inequality of network attack and defense in the Internet era, threat intelligence has become one of the important tools to narrow this gap.Based on the analysis of the research status of threat intelligence at home and abroad, a set of construction methods of threat intelligence systems suitable for telecom operators were proposed, including six steps: intelligence planning, intelligence production, intelligence analysis, intelligence management, intelligence sharing and intelligence application.Meanwhile a set of multi-source intelligence fusion assessment mechanisms was presented, and the technologies and methods were systematically expounded involved in the four stages of intelligence aggregation analysis, intelligence reputation analysis, intelligence correlation analysis and intelligence aging analysis, so as to help the telecom operators build the ability of intelligence fusion analysis.At the same time, the principles of intelligence production and synchronous application were given for intrusion and loss intelligence, which provided a useful reference for telecom operators to apply threat intelligence technology to build a security protection system.

Key words: threat intelligence, intelligence analysis, intelligence production, intelligence application, telecom operator

中图分类号:

TP393

张海涛, 蒋熠, 竺士杰, 陈琦. 电信运营商威胁情报体系研究与应用探索[J]. 电信科学, 2022, 38(12): 121-132.

Haitao ZHANG, Yi JIANG, Shijie ZHU, Qi CHEN. Research and application exploration of threat intelligence system of telecom operators[J]. Telecommunications Science, 2022, 38(12): 121-132.

图/表 7

图1

表1

表2

图2

图3

图4

图5

参考文献 14

[1]	CNCERT/CC. 2016中国移动互联网发展状况及其安全报告[R]. 2016.
	CNCERT/CC. China mobile Internet development and security report[R]. 2016.
[2]	孙增 . 高级持续性威胁(APT)的攻防技术研究[D]. 上海:上海交通大学, 2015.
	SUN Z . The attack and defense technology research of advanced persistent threat[D]. Shanghai:Shanghai Jiao Tong University, 2015.
[3]	TOUNSI W , RAIS H . A survey on technical threat intelligence in the age of sophisticated cyber attacks[J]. Computers ＆ Security, 2018,72: 212-233.
[4]	左晓栋 . 立法困局下的战略新部署:美国关键基础设施保护行政令述评[J]. 中国信息安全, 2013(3): 74-75.
	ZUO X D . New strategic deployment in the legislative dilemma:a review of the U.S.executive order for critical infrastructure protection[J]. China Information Security, 2013(3): 74-75.
[5]	赵艳玲 . 浅谈美国《提升关键基础设施网络安全框架》[J]. 信息安全与通信保密, 2015(5): 16-21.
	ZHAO Y L . A brief talk on “framework for improving critical infrastructure cybersecurity”[J]. Information Security and Communications Privacy, 2015(5): 16-21.
[6]	宋国涛 . 试析美国《网络安全信息共享法案》[J]. 保密科学技术, 2016(6): 28-31.
	SONG G T . Analysis of the US cybersecurity information sharing act[J]. Secrecy Science and Technology, 2016(6): 28-31.
[7]	NIST. SP800-150:guide to cyber threat information sharing[S]. 2014.
[8]	王沁心, 杨望 . 基于 STIX 标准的威胁情报实体抽取研究[J]. 网络空间安全, 2020(8): 86-91.
	WANG Q X , YANG W . Extraction of threat intelligence entities based on STIX[J]. Cyberspace Security, 2020(8): 86-91.
[9]	CASEY E , BACK G , BARNUM S . Leveraging CybOX? to standardize representation and exchange of digital forensic information[J]. Digital Investigation, 2015,12: S102-S110.
[10]	USSATH M , JAEGER D , CHENG F ,et al. Pushing the limits of cyber threat intelligence:extending STIX to support complex patterns[C]// Information Technology:New Generations.[S.l.:s.n.], 2016.
[11]	FRANSEN F , SMULDERS A , KERKDIJK R . Cyber security information exchange to gain insight into the effects of cyber threats and incidents[J]. Elektrotechnik und Informationstechnik, 2015,132(2): 106-112.
[12]	林玥, 刘鹏, 王鹤 ,等. 网络安全威胁情报共享与交换研究综述[J]. 计算机研究与发展, 2020,57(10): 2052-2065.
	LIN Y , LIU P , WANG H ,et al. Overview of threat intelligence sharing and exchange in cybersecurity[J]. Journal of Computer Research and Development, 2020,57(10): 2052-2065.
[13]	杨沛安, 武杨, 苏莉娅 ,等. 网络空间威胁情报共享技术综述[J]. 计算机科学, 2018,45(6): 9-18,26.
	YANG P A , WU Y , SU L Y ,et al. Overview of threat intelligence sharing technologies in cyberspace[J]. Computer Science, 2018,45(6): 9-18,26.
[14]	国家市场监督管理总局,国家标准化管理委员会. 信息安全技术网络安全威胁信息格式规范:GB/T 36643—2018[S]. 2018.
	State Administration for Market Regulation,Standardization Administration. Information security technology—cyber security threat information format:GB/T 36643—2018[S]. 2018.

公司	说明
PhishTank	该开源网站对外输出钓鱼网站情报信息
Zeustracker	该开源网站对外输出恶意软件情报信息
Feodo Tracker	该开源网站对外输出僵尸网络控制端情报信息
OpenPhish	该开源网站对外输出钓鱼网站情报信息
Ransomware Tracker	该开源网站对外输出恶意软件情报信息
Cybercrime Tracker	该开源网站对外输出恶意软件情报信息
UCEProtect	该开源网站对外输出邮件黑名单情报信息

公司	说明
微步在线	微步在线被称为中国新一代网络安全公司代表、威胁情报领军企业，提供专业的安全即服务（security-as-a-service， SecaaS）
奇安信	奇安信是中国网络安全公司之一，专门为政府、企业、教育、金融等机构和组织提供企业级网络安全技术、产品和服务
神州绿盟	神州绿盟是中国网络安全公司之一，主要提供安全类产品服务和解决方案，包括漏洞扫描、Web应用防火墙（Web application firewall，WAF）、IDS等安全检测和防护类产品
CrowdStrike	CrowdStrike 是全球知名的下一代终端安全厂商，成立于 2011 年，于 2012-2013 年推出拳头产品威胁情报服务Falcon X及终端检测与响应（endpoint detection and response，EDR）产品Falcon Inshight
Cyberint	Cyberint 是一家以色列的安全公司，提供数字风险保护和威胁情报解决方案保护服务，并在数据或资产暴露时发出警报
Cyware Labs	Cyware Labs是一家美国网络融合解决方案提供商、一家提供威胁情报共享和网络融合产品的网络安全公司，为组织建立虚拟网络融合中心所需的技术提供了支持
ThreatConnect	ThreatConnect成立于2011年，是一家威胁情报公司，主打产品是威胁情报平台，这套平台提供3个主要功能：整合情报、分析情报和支撑行动

[1]	李姗姗, 许建宏, 李涛, 赵永建, 刘志飞. 运营商数字孪生网络能力成熟度模型研究[J]. 电信科学, 2023, 39(6): 149-158.
[2]	徐亮, 王烨, 郑然, 张基恒, 袁萍, 李鑫阳, 田宇. 通信网络运维多维评估模型设计及应用[J]. 电信科学, 2023, 39(4): 142-151.
[3]	陈伟雄, 杨晓晨, 春增军, 李若兰, 张华. 电力企业网络安全威胁情报管理体系的研究与实践[J]. 电信科学, 2022, 38(7): 184-189.
[4]	刘小忠, 方军予, 蒋永彬. 2G/3G转网视角下电信运营商物联网发展策略分析[J]. 电信科学, 2022, 38(10): 153-162.
[5]	张云勇,程刚,安岗,杨学红,邹贵祥. 区块链在电信运营商的应用[J]. 电信科学, 2020, 36(5): 1-7.
[6]	王聪丽,王锦华,薛伟佳. 公钥密码基础设施在电信运营商的应用[J]. 电信科学, 2020, 36(11): 98-103.
[7]	薄明霞,唐洪玉,马晨,张鉴. 基于大数据分析的安全威胁情报在电信运营商的落地应用[J]. 电信科学, 2020, 36(11): 127-133.
[8]	刘汉生,唐洪玉,薄明霞,牛剑锋,李天博,李玲晓. 基于机器学习的多源威胁情报质量评价方法[J]. 电信科学, 2020, 36(1): 119-126.
[9]	刘凯凯,张勋. 电信运营商物联网发展模式比较分析[J]. 电信科学, 2019, 35(9): 144-152.
[10]	余洋,朱少敏,卞超轶. 基于知识图谱的泛在电力物联网安全可视化技术[J]. 电信科学, 2019, 35(11): 132-139.
[11]	张云勇. 5G将全面使能工业互联网[J]. 电信科学, 2019, 35(1): 1-8.
[12]	侯艳芳,王锦华. 基于自更新威胁情报库的大数据安全分析方法[J]. 电信科学, 2018, 34(3): 50-58.
[13]	张云勇. 电信运营商大数据发展建议[J]. 电信科学, 2018, 34(1): 103-108.
[14]	刘觅,杨海川,李振华. 运营商构建电信大数据生态之道[J]. 电信科学, 2018, 34(1): 109-119.
[15]	马春宇,王军林,王宝旺,甘波华. 个性化推荐助力运营商数字化营销[J]. 电信科学, 2018, 34(1): 174-180.