- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
随着信息化和数字化的加速发展,企业、机构以及个人所依赖的网络环境日益复杂,网络攻击手段也不断升级和演化。传统安全防护措施,如防火墙、入侵检测系统和杀毒软件,主要依赖静态规则和已知威胁特征。这些手段在面对新的攻击技术、未知恶意软件、零日漏洞以及高级持续性威胁(APT)等时,往往难以及时发现和有效防御,导致攻击者可以长时间潜伏于系统之中,造成数据泄露、业务中断和严重损失。
在没有威胁情报技术时,安全团队面对海量的安全告警,难以判断哪些是真正的威胁,常常错过重要风险。攻击者不断变换手段,利用信息不对称发起新型攻击,使防御方防不胜防。
威胁情报技术的出现和发展,改变了这种被动局面。它不仅可以收集和分析已知威胁信息,还能通过大数据分析、行为建模和AI机器学习等方式,发现异常模式和潜在的未知威胁。威胁情报通过整合来自全球的攻击情报和安全事件,帮助组织提前识别新型攻击趋势,主动做好防护准备。
因此,威胁情报技术不仅提升了已知威胁的检测能力,更弥补了传统安全手段在应对未知威胁方面的不足,使网络安全防护更加智能和主动。
威胁情报与传统网络安全技术相比,具有如下优势:
· 提前预警:能够收集和分析全球最新威胁信息,帮助组织实现事前预警,提升主动防护能力。
· 动态分析:能够借助持续更新和行为关联分析,快速识别并应对新型及未知威胁。
· 快速响应:支持与防火墙、IPS等安全设备联动,实现威胁的自动拦截与高效处置,缩短响应时间。
· 持续更新:威胁情报信息不断更新,能及时适应新型攻击手法,提升防护的及时性和有效性。
· 协作共享:通过行业内外情报共享,有效打破信息壁垒,实现多系统、多组织间的威胁情报互通与协同联动,构建联合防御体系,显著提升整体网络安全防护水平。
威胁情报(Threat Intelligence)是一项通过多渠道收集、分析和共享各类安全威胁信息,帮助用户主动识别、预防和应对网络安全风险的重要技术手段。作为提升网络安全防护能力的关键技术,威胁情报通过自动化、多渠道地收集全球网络安全威胁信息,结合深入分析和高效共享,将海量原始数据转化为可操作的情报,实现威胁的主动发现、精准分析和快速响应。
在威胁情报体系中,IP地址、域名和URL等要素发挥着重要作用,通过对这些对象的动态评估,帮助用户及时识别恶意来源、钓鱼站点和异常访问行为,有效阻断攻击链条,提升整体网络安全防护能力。
威胁情报是一种经过分析和加工、能够支撑安全防护与响应决策的信息。根据情报所针对的对象类型不同,威胁情报主要可以分为以下几类:
IP情报即IP信誉,是用于评估IP地址安全状况的信息。通过收集和分析全球范围内IP地址的行为和历史记录,判断其是否存在安全风险。例如,某些IP地址如果被发现参与了恶意攻击、垃圾邮件、DDoS、扫描或控制僵尸网络等行为,就会被标记为高风险IP。安全设备(如防火墙、IPS等)可以利用IP信誉自动拦截来自这些高风险IP的访问请求,从而有效阻止恶意攻击,提升网络安全防护能力。
域名情报即域名信誉,是用于判断互联网域名安全风险的信息。通过收集和分析互联网域名的安全相关数据,评估其是否与恶意行为有关。例如,如果某个域名被发现用于传播恶意软件、实施钓鱼攻击或充当黑客远程控制(C&C)服务器等,就会被标记为高风险域名。安全设备(如Web应用防火墙等)可以利用域名信誉自动阻断对这些高风险域名的访问,从而防止数据泄露和终端感染,提升网络安全防护能力。
域名信誉中还包含部分DGA域名,用于识别由域名生成算法(DGA)自动生成的高风险恶意域名。通过收集和分析互联网上各类DGA域名的特征和行为,判断其是否被用于恶意软件通信、僵尸网络控制等恶意活动。例如,如果某个域名被识别为DGA算法生成并用于病毒传播或远控指令下发,就会被标记为高风险域名。安全产品(如防火墙等)可以利用域名信誉,自动检测和阻断这些高风险DGA域名的访问,有效防止僵尸网络通信和恶意软件扩散,提升网络安全防护能力。
URL情报即URL信誉,是用于分析和评估具体网址(URL)安全性的信息。通过收集和分析互联网上各类网址的访问行为和内容,判断其是否涉及恶意活动。例如,如果某个URL被发现用于钓鱼、传播病毒、托管恶意软件或诈骗活动,就会被标记为高风险网址。安全产品(如Web应用防火墙等)可以利用URL信誉自动拦截用户访问这些高风险网址,有效防止数据泄露、终端感染等安全事件的发生,提升网络安全防护能力。
威胁情报特征库是指经过采集、分析和整理后形成的、用于识别各类安全威胁的特征数据集合。特征库通常包含恶意IP地址、恶意域名、恶意URL等多种类型的威胁标识信息。其主要作用是为安全设备和安全运营人员提供最新、权威的威胁识别依据,支持对恶意行为的精准检测与快速拦截。威胁情报特征库可集成到防火墙、IPS等安全设备中,从而实现设备对可疑流量和攻击活动的高效识别与实时阻断,有效提升组织整体的安全防护能力。
威胁情报云端服务器是一种用于实时查询和判定网络威胁信息的核心安全服务系统,该系统集成全球最新的威胁情报数据,能够为组织提供高时效性、全球化的风险分析和判定服务。作为安全设备本地威胁情报特征库的重要补充,云端服务器可帮助组织在安全设备本地威胁情报无法覆盖时,动态识别新型和未知网络威胁,提升整体安全防护能力。
威胁情报云端服务器的主要功能包括:
· 多源威胁情报整合:实时收集和整合来自全球情报机构、厂商、社区、第三方共享平台以及企业自研的威胁情报数据,确保情报数据的全面性、权威性和时效性。
· 实时威胁情报查询服务:当安全设备本地威胁情报特征库无法判定某IP地址或域名等对象的安全性时,设备会自动将相关信息上送至云端服务器。云端服务器基于最新情报数据进行实时分析,并返回风险判定结果,协助设备实现安全防护和对新型威胁的快速响应。
· 本地缓存与高效复用:云端服务器的查询结果会缓存在设备本地,提升后续相同对象的检测效率,减少重复查询,实现高效复用,保障系统高性能运行。
威胁情报平台是一种用于集成、管理和应用威胁情报信息的核心安全平台,能够帮助组织全面提升对网络威胁的感知、分析和防护能力。它通过采集、整合来自不同来源的威胁数据(如恶意IP、恶意域名、恶意URL等),并进行自动化的分析、关联和研判,最终将有价值的情报推送到安全设备中,支撑各组织实现主动安全防护和快速应对新型威胁。
威胁情报平台的核心功能包括:
· 多源情报聚合:整合来自全球情报机构、厂商、社区、第三方共享平台以及企业自研的安全数据,实现威胁信息的全面覆盖。
· 智能分析与关联:利用大数据分析、AI机器学习等手段,对威胁数据进行深度分析和关联,识别出隐藏的威胁和攻击线索。
· 情报分发与应用:将高价值的情报信息自动推送到防火墙、IPS等安全设备,实现动态防护和联动响应。
· 可视化与溯源:提供威胁态势的可视化展示,帮助安全团队追踪威胁来源、了解攻击路径,提升安全运营效率。
通过威胁情报平台,组织不仅能够获得最新、最全面的威胁信息,还能实现安全防护策略的动态调整,提升整体安全防护能力和响应速度。
威胁情报功能主要通过如下方式实现安全防护:
· 基于安全设备本地威胁情报特征库防护:防火墙等安全设备依托自身内置的特征库(如IP信誉特征库),对网络流量进行实时检测与拦截,有效防御已知威胁。通过特征库的持续更新,确保设备能够快速识别和阻断各类常见恶意行为。
· 安全设备与威胁情报云端服务器协同防护:防火墙等安全设备通过与云端服务器联动,将本地无法判定的威胁信息实时上传至云端服务器进行深度分析,依托全球最新的威胁情报,实现对新型和未知威胁的精准识别与拦截,有效提升组织网络安全防护水平。
· 安全设备与威胁情报平台协同防护:防火墙等安全设备通过与威胁情报平台的互联互通,实现情报驱动的动态安全防护。在“安全设备-威胁情报平台”协同架构中,平台能够动态扩展和更新安全设备本地的威胁情报,显著提升对新型和未知威胁的智能防护能力,实现对复杂攻击的快速响应和联动处置。
· 安全设备-威胁情报云端服务器-威胁情报平台三者协同防护:防火墙等安全设备通过与云端服务器和平台的协同防护,按照“平台优先、本地补充、云端支撑”的优先级顺序检测威胁,可实现对已知和未知风险的高效防护,全面提升组织网络安全水平。
防火墙等安全设备内置了多种威胁情报特征库,这些特征库由厂商定期更新,涵盖了大量已知的威胁信息。设备在处理网络流量时,会自动将流量中的IP地址、URL和域名等要素与特征库进行实时匹配。一旦检测到与特征库中高风险条目相符的流量,设备可立即执行阻断、告警等安全防护动作,实现对已知威胁的自动化识别和快速拦截,有效保障内网用户安全。
图1 基于安全设备本地威胁情报特征库防护示意图
安全设备中IP信誉功能对报文的处理过程如下:
(1) 设备首先提取报文的源IP地址和目的IP地址,并与例外IP地址列表进行匹配,任一IP地址匹配成功则直接放行报文。否则进入下一步处理。
(2) 设备将报文的源IP地址和目的IP地址与本地IP信誉特征库进行匹配。本地IP信誉特征库中的IP地址具有方向属性,包括源、目的和双向(既可作为源地址也可作为目的地址),仅当报文的IP地址与特征库中IP地址及方向属性均一致时,才视为匹配成功(当方向属性为双向时,无论该IP地址出现在报文的源IP地址还是目的IP地址字段,均视为匹配成功)。
图2 IP地址与IP信誉特征库匹配示意图
(3) 设备根据匹配结果执行相应的动作,具体过程如下:
¡ 如果匹配成功,设备将执行本地IP信誉特征库中IP地址所属攻击分类的动作。其中,如果动作为“允许”,则设备将允许此报文通过;如果动作为“丢弃”,则设备将丢弃此报文;如果动作为“日志”,则设备将记录IP信誉日志。
¡ 如果匹配失败,则直接放行报文。
安全设备中域名信誉功能对报文的处理过程如下:
(1) 设备首先提取DNS请求报文中的域名,并与例外域名列表进行匹配。如果匹配成功,则放行报文;如果匹配失败,则进入下一步处理。
(2) 设备将域名与本地域名信誉特征库进行匹配。
¡ 如果匹配成功,则继续进行如下判断:
- 如果域名仅属于单一的攻击类型,则执行该攻击类型的动作。如果动作为“允许”,则设备将允许此报文通过;如果动作为“丢弃”,则设备将丢弃此报文;如果动作为“日志”,则设备将记录域名信誉日志。
- 如果域名同属于多个攻击类型,则执行严重级别最高的动作。动作的严重级别由高到底依次为:丢弃 > 允许。其中,只要域名所属的任一攻击分类配置了日志动作,则记录域名信誉日志。
¡ 如果匹配失败,则直接放行报文。
安全设备中URL信誉功能对报文的处理过程如下:
(1) 设备提取出报文中的URL。
(2) 设备将URL与URL信誉特征库中的URL进行匹配。
¡ 如果匹配成功,则进行如下判断:
- 如果URL仅属于单一的攻击类型,则执行该攻击类型的动作。如果动作为“允许”,则设备将允许此报文通过;如果动作为“丢弃”,则设备将丢弃此报文;如果动作为“日志”,则设备将记录URL信誉日志。
- 如果URL同属于多个攻击类型,则执行严重级别最高的动作。动作的严重级别由高到底依次为:丢弃 > 允许。其中,只要URL所属的任一攻击分类配置了日志动作,则记录URL信誉日志。
¡ 如果匹配失败,则直接放行报文。
防火墙等安全设备除了依托本地威胁情报特征库进行实时检测外,还支持与云端服务器协同联动,进一步扩展对未知威胁的检测能力。云端服务器提供了威胁信息的实时查询服务,可有效提升设备对僵尸主机DDoS攻击、木马下载和端口扫描等风险的检测能力。
当防火墙等安全设备的本地威胁情报特征库无法判定某IP地址或域名的安全性时,可通过云端查询功能获取云端服务器的最新威胁情报,提升检测效果。
图3 安全设备与云端服务器协同防护实现流程
安全设备与云端服务器协同防护的具体流程如下:
(1) 设备首先将IP地址或域名等信息与本地特征库进行匹配,如果匹配成功,则执行相应的动作(如允许、丢弃等);如果匹配失败,则进入下一步处理。
(2) 设备将无法判定安全性的IP地址或域名的相关信息实时上送至威胁情报云端服务器。同时,当前报文会被放行。
其中,对于IP地址查询,设备会将报文的源、目的IP地址封装到查询报文中发送至云端服务器;对于域名查询,设备会将DNS报文中的域名封装到查询报文中发送至云端服务器。
(3) 云端服务器基于全球最新的威胁情报数据,对该未知对象进行分析与风险判定。
(4) 云端服务器将分析结果返回至安全设备。返回内容包括:该IP地址或域名是否存在僵尸主机DDoS攻击、木马下载、端口扫描等攻击风险的标识,以及检测到的风险所属攻击分类。
(5) 设备接收到云端服务器的分析结果后,会将结果缓存到本地。这样,当后续检测相同的IP地址或域名时,无需再次发起云端查询,设备可以直接利用本地缓存判定其安全性,有效提升了设备对新型或未知威胁的检测和拦截效率。
(6) 当后续报文到达时,设备将按照如下顺序进行匹配:
a. 首先,将报文中的IP地址或域名与本地缓存进行匹配。若命中本地缓存,设备可立即根据缓存中的判定结果执行相应的安全动作(如允许、丢弃等),无需再次发起云端查询。
b. 若本地缓存未命中,则继续与本地特征库进行匹配,并按照本地特征库中的规则执行相应的处理。
c. 若本地缓存和特征库均未命中,设备将发起新一轮的云端查询。
依托安全设备与云端服务器协同的防护体系,安全设备不仅能够高效拦截已知威胁,还可实现对新型和未知威胁的动态、实时防护,显著提升网络安全防御的深度和广度。
为提升对新型和未知威胁的防护能力,防火墙等安全设备支持与威胁情报平台联动。平台通过集中汇聚和分析多源安全数据,生成高价值的威胁情报,并将情报实时分发至安全设备,辅助其动态调整防护策略,实现对新型威胁的快速识别与精准拦截。同时,安全设备还可以将日志回传至平台,进一步丰富威胁数据,推动情报的持续更新与优化。
图4 安全设备与威胁情报平台协同防护示意图
在安全设备与威胁情报平台协同防护架构下,威胁情报功能的实现流程主要包括情报采集与分析、情报分发与同步、策略动态应用和反馈与优化四个阶段,各阶段具体实现如下。
威胁情报平台作为安全信息汇聚与处理中心,负责多源威胁数据的采集和深度分析。具体实现包括:
· 多渠道采集:平台整合来自外部权威情报中心、行业联盟、监管机构、开源社区等多种威胁源,同时融合本地安全设备、日志中心、终端等内部数据。
· 数据处理:应用数据清洗、格式归一化、去重、聚合等技术手段,确保情报数据的规范性和准确性。
· 智能分析:通过行为分析、关联挖掘、威胁溯源、风险评估等技术,提炼高可信度、高价值的威胁情报(如恶意IP、域名、URL等)。
· 情报分级:对情报数据进行可信度、危害程度和适用场景等多维度评估和分类,为后续精准防护提供依据。
图5 情报采集与分析示意图
高价值威胁情报需及时、可靠地传递至安全设备,实现自动化与高效联动。具体实现包括:
· 自动化分发:平台通过NETCONF over SOAP等方式,将情报数据自动下发至安全设备。
· 同步机制:平台支持定时批量同步和实时触发同步情报到安全设备,保障其及时获得最新威胁情报。
· 数据格式转换:在平台分发情报的过程中,会根据安全设备的需求对情报数据进行格式转换和适配,确保安全设备端能够正确解析和应用情报内容。
图6 情报分发与同步示意图
安全设备接收威胁情报后,会将其自动转化为防护规则,实现对网络流量的实时检测和拦截。具体实现包括:
· 规则生成与下发:安全设备自动将情报平台下发的恶意IP、域名、URL等内容生成防护规则,并优先应用于流量检测。
· 实时流量匹配:在数据流处理过程中,安全设备首先实时比对经过的流量与威胁情报平台下发的防护规则,一旦发现匹配行为,立即执行丢弃等防护动作。若未匹配成功,设备随后再与本地威胁情报特征库进行匹配,实现多层防护。
· 策略动态调整:安全设备可根据情报的实时更新,自动调整现有防护规则,确保对新型威胁能够及时响应和防护。
图7 策略动态应用示意图
安全设备在防护前沿承担威胁拦截任务,同时将检测与处置结果及时反馈至威胁情报平台,推动情报持续丰富与优化。具体实现包括:
· 事件反馈:安全设备将拦截事件、告警日志等信息实时回传至情报平台,供平台进一步分析和处理。
· 效果评估与优化:威胁情报平台根据实际拦截效果和安全运营数据,对情报的准确性和适用性进行评估,持续优化情报内容和分发策略。
· 闭环联动:通过持续地反馈与优化,形成情报平台与安全设备之间的闭环联动机制,不断提升整体安全防护水平。
图8 反馈与优化示意图
通过上述四个阶段的协同工作,“安全设备-威胁情报平台”协同架构能够实现情报的高效采集、智能分析、自动分发、实时应用与持续优化,构建起动态、智能、闭环的网络安全防护体系,有效提升组织应对复杂多变威胁的能力。
安全设备通过与威胁情报云端服务器和威胁情报平台协同防护,构建分层协同防御体系,实现“平台优先、本地补充、云端支撑”的防御机制,精准检测已知威胁并有效应对新型和未知风险。
图9 安全设备-威胁情报云端服务器-威胁情报平台三者协同防护示意图
三者协同防护的具体实现流程如下:
(1) 安全设备优先匹配威胁情报平台下发的最新防护规则,对流量进行精准检测和拦截。
(2) 若未匹配成功,则继续匹配缓存的云端服务器查询结果和本地威胁情报特征库,快速识别和处置已知风险。
(3) 若仍无法判定流量安全性,设备将相关信息(如IP地址、域名等)上送至威胁情报云端服务器,依托全球最新情报进行分析判定,安全设备根据判定结果调整防护策略,实现对新型和未知威胁的有效防御。
通过“平台优先、本地补充、云端支撑”的分层协同机制,可全面提升安全设备的防护能力和组织的整体网络安全水平。
防火墙部署在企业核心网络出口,作为内部网络与外部互联网之间的安全屏障。防火墙本地集成了多种威胁情报特征库,能够对经过的网络流量进行实时检测与深度分析,精准识别已知的恶意IP、病毒、木马、入侵行为和异常访问等安全威胁,并在本地实现即时拦截、隔离或告警响应。
依托本地化、自动化的安全防御机制,企业能够第一时间发现并应对各类常见攻击和安全风险,有效保障核心业务系统和敏感数据的安全,全面提升网络整体防护能力。
图10 防火墙本地威胁防御场景示意图
防火墙部署在企业网络出口,与威胁情报云端服务器协同联动。当防火墙在检测网络流量过程中遇到本地威胁情报特征库无法判定的未知流量、可疑行为或新型攻击时,会将相关威胁信息实时上传至云端服务器。云端服务器依托全球最新的威胁情报资源对上报信息进行研判,快速识别出潜在的高危威胁。
通过该协同防护机制,企业不仅能够高效抵御已知威胁,还具备了应对未知攻击的能力,极大提升了网络安全的整体防护深度和广度,为关键业务系统和数据安全提供了更为坚实的保障。
图11 防火墙-威胁情报云端服务器协同防御场景示意图
防火墙部署于企业核心网络出口,并与威胁情报平台协同联动,实现威胁情报的实时共享与应用。平台能够持续收集、分析并更新威胁信息,并将这些情报及时推送至防火墙。防火墙据此动态识别和拦截可疑流量及攻击行为,包括恶意IP、可疑域名、钓鱼URL、异常通信等,有效阻断潜在威胁在企业网络中的传播。
通过该协同防御机制,企业不仅能够大幅提升对已知攻击手段的检测和处置效率,还能对未知威胁进行快速追踪和溯源,帮助安全团队及时调整防护策略,持续强化整体安全态势感知能力。
图12 防火墙-威胁情报平台协同防御场景示意图
防火墙部署在企业核心网络出口,并与云端服务器、威胁情报平台协同组网,实现分层互补的动态安全防护体系。三者联动能够实现威胁情报的实时共享、精准检测和高效响应,全面提升企业网络安全能力。
防火墙本地威胁情报特征库实现流量的实时检测与已知威胁的快速拦截;平台持续收集、分析和下发最新威胁情报,辅助企业动态调整防护策略;云端服务器依托全球情报资源,对未知威胁进行深度分析和判定。通过三者协同,企业能够实现对已知和未知威胁的高效发现、联动响应和持续防御,大幅提升整体网络安全防护水平。
图13 防火墙-威胁情报云端服务器-威胁情报平台三者协同防御场景示意图
支持
