威胁情报论坛是此次大会最为火爆的论坛，大会现场座无虚席，甚至连两侧过道都站满了听众，演讲嘉宾都是国内网络威胁情报领域顶尖的“大咖”，能够现场聆听他们的演讲成为不少黑客梦寐以求的良机。
            

　　9月30日，2015中国互联网安全大会(ISC)分论坛——数据驱动安全之威胁情报论坛在国家会议中心举办。本次分论坛以“掌控现在，把握未来”为主题，讲述国内外最为先进的威胁情报学信息。

　　威胁情报论坛是此次大会最为火爆的论坛，大会现场座无虚席，甚至连两侧过道都站满了听众，演讲嘉宾都是国内网络威胁情报领域顶尖的“大咖”，能够现场聆听他们的演讲成为不少黑客梦寐以求的良机。

　　在29日中国互联网安全大会主会场上，360董事长周鸿祎曾提到“看见决定企业安全，看见决定国家安全”。他认为，伴随科技发展，如今互联网的威胁都是未知的，而只有看得见才能意识到威胁的发生并进行预防。而做到“看见”的前提则是要依赖于大数据的驱动，通过数据的关联、分析、挖掘、提取，结合安全经验，具备看见的能力。360网络安全研究院院长宫一鸣、360天眼实验室高级总监韩永刚、知道创宇技术副总裁余弦以及IBM全球首席安全架构师Ron Williams等国内外著名网络安全专家分享关于数据威胁的处理现状及方法。　

       

图：宫一鸣现场讲述基础数据与威胁情报实战应用

　　安全不是“东西” 而是能力

　　随着互联网发展，世界已经进入万物互联年代。同样，网络安全也成为政府、企业、个人共同关注的问题。事实上，绝对安全的网站并不存在。去年全球曾有多家知名企业被入侵，包括Facebook、Twitter等，而安全公司的普遍应对方式是用安全产品处理威胁。宫一鸣认为，安全不是具体的东西，而是一种能力。“安全的重点在某种意义上变成怎么能快速、准确地发现有人侵入。我承认我会被入侵，但我有精力放在第一时间发现它。”宫一鸣表示，安全已经不仅仅一种“东西”，而是一种能力，也就是“看见”威胁的能力。

　　万物互联时代 基础数据最金贵

　　实现快速、准确地发现威胁需依托系统内部庞大的数据库——基础数据，基础数据决定了发现威胁的及时性和准确性。宫一鸣表示，想要实现直接产出可控的威胁情报是“空中楼阁”，特别需要梳理底层的基础数据。

　　那么，到底什么是基础数据?宫一鸣现场举了一个例子：“去年Facebook被APT攻击，Facebook这种级别的公司会请最好的安全人员，用最好的设备。但即便如此，当时并没有发现安全问题。后来，Facebook有两个员工从DNS系统里找到并访问了其他人没有访问过的网站，便发现了一个可疑的链接，才意识到被APT攻击了。这么看来，DNS就是一个很好的基础数据。”

　　宫一鸣认为，基础数据团队有两个重要的应用。一方面，专家团队在获取基础数据后，可以做各种各样的分析。另一方面，是基础数据可以大批量地收割容易收割的数据，基础数据有一点类似于线数据，把这些点连了起来。而对于宫一鸣来说，拥有基础数据意味着可以通过很简单方式做很多人要花费大量精力才能做的事情。

　　威胁情报：单点数据变成威胁情报“故事”

　　360天眼实验室高级总监韩永刚表示，基础数据需要进行情报处理，而大数据并不是因为数据很大，而是需要复杂的挖掘和分析。韩永刚介绍，在360天眼平台有很多数据挖掘和机器学习的方法，做同源样本分析、域名的发现和用深度学习的方法做一些未知协议，包括用图做社区分类，这是一种可视化的分析而不是一个可视化的展现。

　　另外，天眼平台在获取一个恶意样本后，可以看到比如同源的样本对应的一些控制的域名，包括CC、攻击者组织的背景、相关信息等。通过找到的这些同源样本，在客户端定位到成为“水坑”、被感染的站点，完全还原整个攻击过程。

　　“普通人看到的数据，在我们眼里就能变成故事再返给用户。”韩永刚展示威胁情报的威胁情报的可视化，前一段时间10086诈骗网站特别流行，天眼捕捉到大批虚假网站，几乎可精确到秒，及时给用户预警。

　　韩永刚介绍，360公司成立了国内首个威胁情报中心。其作用是希望企业客户把威胁情报的方式在高级威胁的防护中很方便地用起来。其次，希望利用大数据分析核威胁情报的方式，发现攻击者在历史过程中漏出来的线索以及背后的链条，改变不对称的优势，利用可机读的方式使高级别的防护变成可能。

　　目前，随着网络安全威胁变得越来越复杂和普遍，传统安全手段已不可能识别和抵御所有可能的攻击。而利用威胁情报做防护实战，可帮助企业建立以数据驱动为核心，让企业“看见”威胁，从而帮助企业建立纵深防护体系。