IDS 和威胁情报：增强网络威胁检测和响应 (ioc威胁指标)

引言

在当今高速发展的网络环境中，网络威胁不断演变，给组织的安全性带来了巨大的挑战。入侵检测系统 (IDS) 和威胁情报 (TI) 已成为增强网络威胁检测和响应不可或缺的工具。本文将探讨 IDS 和 TI 如何协同工作，通过利用 IOC（威胁指标）提高网络安全态势。

入侵检测系统 (IDS)

入侵检测系统 (IDS) 是监视网络流量或系统活动的设备或软件，以识别可疑或恶意的活动。IDS 使用各种技术来检测攻击，例如模式匹配、异常检测和行为分析。

IDS 类型

有两种主要类型的 IDS：基于网络的 IDS (NIDS)：监视网络流量并识别可疑数据包。基于主机的 IDS (HIDS)：监视主机活动并检测异常行为。

威胁情报 (TI)

威胁情报是关于威胁行为者、攻击方法和漏洞的信息。它可以来自各种来源，例如安全研究人员、执法机构和威胁情报提供商。

TI 类型

TI 的常见类型包括：IOC（威胁指标）：可用于检测和识别恶意活动的特定信息，例如 IP 地址、域名和文件哈希。威胁报告：详细描述新兴威胁的报告，包括指标、缓解措施和最佳实践。恶意软件分析报告：分析恶意软件样本的技术报告，提供有关其行为、感染策略和缓解措施的信息。

IDS 和 TI 的协同作用

IDS 和 TI 可以协同工作，通过以下方式增强网络威胁检测和响应：IOC 检测：IDS 可以利用 TI 提供的 IOC 检测和阻止恶意活动。TI 可以提供有关已知恶意 IP 地址、域名和文件的最新信息，IDS 可以使用这些信息来过滤出可疑流量。威胁关联：TI 可以帮助 IDS 关联看似孤立的警报，并识别潜在的威胁。通过将 TI 与 IDS 事件数据相关联，安全分析师可以更轻松地了解威胁的范围和影响。威胁优先级：TI 可以提供有关威胁严重性的背景信息，帮助安全分析师对 IDS 警报进行优先级排序。TI 可以识别高优先级威胁，例如针对关键资产的定向攻击，并通知安全团队采取更快的响应行动。自动化响应：TI 可以用于自动化 IDS 响应。通过将 TI 与 IDS 规则相关联，安全团队可以自动执行对已知威胁的响应操作，例如阻止恶意 IP 地址或隔离受感染设备。

示例

以下是一个示例，说明 IDS 和 TI 如何协同工作：IDS 检测到来自未知 IP 地址的可疑流量。安全分析师使用 TI 检查 IP 地址并发现它与已知的恶意软件僵尸网络相关联。TI 提供的额外信息可帮助安全分析师将 IDS 警报与其他攻击事件相关联。安全团队使用 TI 提供的 IOC 自动阻止来自僵尸网络的进一步流量。

结论

IDS 和 TI 是网络安全工具箱中的重要组成部分，它们协同工作可以显著增强网络威胁检测和响应功能。通过利用 IOC 和其他 TI 来补充 IDS 的检测能力，组织可以提高其发现、追踪和缓解网络威胁的能力。通过整合 IDS 和 TI，安全团队可以更有效地保护其网络免受不断发展的威胁。

应对不断变化的威胁环境，微步OneSEC的破解之道

2013年，Gartner首次提出终端威胁检测与响应（EDR）概念。

EDR记录和存储端点系统等级行为，通过多种数据分析技术检测可疑行为，提供关联信息，阻断恶意行为，为受影响系统提供修复建议。

部分国内安全厂商将杀毒软件包装成EDR，导致用户难以区分两者差异，误以为EDR是高级版杀毒软件，严重扰乱终端安全市场。

实际上，杀毒软件和EDR在防御方式、功能和技术路线上有明显区别。

在防御方式上，杀毒软件是被动防御，EDR是主动防御。

在功能上，杀毒软件通过识别已知恶意文件阻止感染，EDR无法查杀恶意文件，但能发现绕过杀毒的恶意文件行为。

EDR不能在恶意行为执行前防护，但能检测攻击者的攻击动作，帮助快速响应攻击事件。

此外，EDR不是桌面管理，无法管控员工软件、网络访问和外设使用，但能发现员工不合规操作带来的安全威胁。

EDR不能零信任和准入，无法验证身份并实现接入控制，但能作为持续的终端安全验证引擎，增强零信任策略控制。

EDR不能完全自动化，但能提高日常安全运营效率。

在技术路线上，EDR不同于传统杀毒软件。

杀毒软件具备病毒识别、实时监控和防御、系统资源占用控制、自我保护和反卸载等关键能力。

而EDR解决方案需要具备检测安全事件、遏制威胁、调查安全事件、提供修复指导四个关键能力，全面应对终端威胁。

与传统终端安全相比，EDR带来计算方式变化，从PC端转移到服务端，安全运营变化，从防御转为检测与响应。

EDR技术提升终端安全，有效应对各类终端威胁，保护企业业务连续性，降低运维成本和复杂性，提高安全性和隐私保护。

EDR产品能力与技术挑战分析，EDR作为传统安全防护产品的重要补充，凭借对终端安全信息的持续监测与分析，受到全球技术提供商及买家的广泛关注。

据Mordor Intelligence预测，2025年EDR市场规模将达到42.35亿美元，年复合增长率为22.97%，成为终端安全市场规模持续增长的重要驱动力。

随着网络攻击和恶意软件增多，企业对终端安全需求提高，越来越多企业开始采用EDR产品提升终端安全能力。

选型时，企业需根据自身需求和实际情况综合评估，考虑EDR产品的多个关键能力，包括行为采集、威胁检测、溯源分析、事件响应。

具体而言，行为采集包括采集事件的类型、采集技术的种类，以及采集带来的网络带宽压力；威胁检测包含检测的准确度和覆盖度；溯源分析包括溯源到进程的源头、执行的源头和事件的源头；事件响应涉及响应动作的丰富性，可进一步调查到事件源头。

在行为采集方面，采集是后续检测、分析能力的重要基础。

一方面，从事件采集的类型来看，只靠基础行为事件是远远不够的，要随攻防不断调整事件采集类型。

另一方面，从采集采用的技术来看，单纯基于ETW、API Hook技术会带来不稳定、丢失、绕过多种风险。

最后，网络带宽压力是极大限制EDR应用的重要因素，特别是在网络带宽受限的环境。

威胁检测的技术挑战包括两个方面，检测的覆盖度考验的是对攻防和实战的深度认知和持续跟进；检测的准确度是EDR检测中最难的部分，是流量检测中不曾遇到的挑战。

黄雅芳认为，“在溯源分析方面，一般来说溯源到进程源头和执行源头还比较容易，而溯源到事件源头，涉及到跨机器间的执行链的关联却是一个非常难的课题。

”在事件响应方面，响应动作不是简单的隔离机器和进程，面对复杂威胁，通常还需要进一步调查取证。

微步OneSEC有效应对新型高级威胁，成立于2015年的微步在线，是数字时代网络安全技术创新型企业，以守护数字世界的安全为使命，致力于成为全球顶级的能力型网络安全公司。

黄雅芳表示，“对于微步而言，我们并不想做整个终端安全市场，而是想要覆盖其中的EDR领域，用更强的能力去补齐杀毒软件的部分客户。

”作为一款专业的EDR产品，OneSEC可有效应对僵木蠕常见网络威胁和钓鱼、勒索、挖矿与APT等新型威胁攻击，并提供了SaaS和本地化两种部署模式，实现政企办公网络从风险发现、事前预防、事中检测响应、事后溯源处置的一体化安全闭环。

OneSEC具备以下技术优势：● 更全面的终端事件采集能力一方面，除了采集基础的事件之外，OneSEC还可以采集凭借窃取、横向移动、自启位置等行为事件。

另一方面，OneSEC组合运用关联器、快照分析、智能过滤等采集技术，具备更强的采集能力。

● 更全面的威胁检测能力在服务端，OneSEC提供非常全面的威胁检测技术，基于各种最新的、花样繁多的威胁情报IoC、百亿hash云查、僵木蠕IoA和图检测规则，调用云端算力，进行大数据分析和筛查。

黄雅芳强调到，“威胁情报是微步的看家能力之一，可以做到百万级别、秒级更新，准确率高达99.9%，让各种高级威胁难以遁形。

”● 更完善的溯源和响应能力在溯源上，传统的安全产品只能做到中间进程链的追溯，而OneSEC具备追溯到执行源头的串链能力，能够把左右两边的链条补齐。

同时，OneSEC提供序列化、智能化、自动化的响应能力，而且响应体系在不断更新迭代。

OneSEC的背后，有更专业的团队在云端及时分析和响应。

据黄雅芳介绍，“微步拥有一支由一线运营专家、样本分析专家、hunting专家组成的专业安全服务团队，在云端实时帮助客户进行人工研判、处置特殊的事件和威胁。

”● SaaS化灵活的部署模式对于支持SaaS化部署的客户来说，微步OneSEC提供更低的成本+更好的效果+更强的服务+更低的风险。

黄雅芳指出，“OneSEC并不会传输敏感数据，且云端有充分的安全保障机制，云化后带来更强、更及时的能力，以及更低的成本。

当前测试的超过5000点的超大规模的金融企业都选择了SaaS模式，说明客户对SaaS的认可和接受度在不断提升。

”如今，微步OneSEC可以满足新型威胁防护、攻防演练、混合办公、APT防护四大场景需求，已广泛应用于证券、银行、基金期货、央企、物流、互联网等行业领域。

未来，微步将继续专注技术的锤炼，不断推出更具创新性的前沿产品，为数字时代的发展保驾护航。

安全分析工具列表

作为一家安全公司的创始人，我一直在寻找开源工具，以便将其整合到我们的产品中，或者从中获得灵感，或者提供集成。

有几十种优秀的开源安全工具，所以我决定发布它们的一个列表。

如此多的选项是安全如此困难的原因之一——它们有许多不同的方法来实现某件事，几乎总是涉及到配置和连接各种“点解决方案”(营销者这样称呼它们)的头疼问题。

以下是列表的顺序(注意，我只列出了防御性的工具，攻击性的工具，如metasploit, nmap, wireshark等，可能需要单独发表):一、安全监控，入侵检测/防御 Suricata -入侵检测系统 Snort -入侵检测系统 Zeek——网络安全监控 OSSEC——基于主机的入侵检测系统 Wazuh – OSSEC的一个更积极的分支 Velociraptor -端点可见性和响应 OSSIM -开源的SIEM，在AlienVault的核心 SecurityOnion——安全监控和日志管理 Elastic SIEM-Elasticsearch提供的SIEM功能 Mozdef -Elasticsearch上的SIEM Sagan -日志分析和相关性 Apache Metron -(退役)网络安全监控，由Cisco OpenSOC演变而来 Arkime -数据包捕获和搜索工具(前身Moloch)PRADAS -实时资产检测BloodHound – ActiveDirectory关系检测二、威胁情报 MISP——威胁情报平台 SpiderFoot——威胁情报聚合 OpenCTI——威胁情报平台 OpenDXL——用于安全情报共享的开源工具三、事件响应 StackStorm – SOAR平台 CimSweep——Windows事件反应 GRR -事件响应和远程现场取证 thehive -事件响应/ SOAR平台 thehive Cortex – hive同伴，用于快速查询 Shuffle -开源的SOAR平台 osquery——端点数据的实时查询Kansa—PowerShell事件响应四、漏洞评估 OpenVAS -非常流行的漏洞评估 ZAProxy – web漏洞扫描器OWASP WebScarab -(过时的)web漏洞扫描器OWASP W3af – web漏洞扫描 Loki – IoC扫描仪CVE Search-一组用于在CVE数据中搜索的工具五、防火墙 Pfsense -最流行的开源防火墙 OPNSense -加固的基于bsd的防火墙 Smoothwall——基于linux防火墙六、防病毒/端点保护 ClamAV -开源防病毒软件 Armadito AV -开源AV(已退役)七、电子邮件安全 Hermes Secure Email Gateway -基于ubuntu的邮件网关 Proxmox -电子邮件网关 MailScanner -电子邮件安全系统 SpamAssassin -反垃圾邮件平台 OrangeAssassin -替代SpamAssassin

威胁情报杂谈——IOC情报的使用

当前国内市场上，威胁情报最普遍的使用场景，就是利用IOC情报（ Indicators of Compromise）进行日志检测，发现内部被攻陷的主机等重要风险。

这种情况下可以发现传统安全产品无法发现的很多威胁，并且大多是成功的攻击，对于安全运营有较大的帮助。

这种场景看似简单，就是日志数据和情报之间的匹配，其实并不是如此，个人在这几年的工作中，对这个场景的认识有了多次转变，现今看来可以小结为3个层次。

最初的时候，认为IOC情报匹配本身并不复杂，核心的问题是情报本身的质量（相关性、及时性、准确性、可指导响应的上下文），特别是上下文问题，非常重要，除了一般会考虑到的风险等级、可信度等信息外，还需要提供相关攻击团伙和家族的攻击目的、危害、技战术等相关的内容，提供相关的远控端是否活跃，是否已经被安全厂商接管等信息，以此响应团队可以判定是否需要响应，哪个事件的优先级更高等。

后续发现对于很多团队缺乏事件响应经验，理想情况下情报上下文最好能提供不同威胁的响应参考策略，这部分似乎也可以归入到上下文中。

这个层次暂且称其为简单匹配。

后来逐步发现IOC的匹配问题并不单纯，针对不同的日志类型需要有专门的优化。

典型的例子就是DNS日志或者防火墙的五元组日志，下面以DNS日志为例进行说明。

DNS日志是进行IOC匹配比较理想的类型，因为有些远控服务器当时可能不能解析，因此不会产生其它类型的应用层日志，但通过DNS活动就可以推断对应的主机上已经运行了一个木马或者蠕虫病毒，甚或是APT攻击。

这个远控的IOC形式可能是一个域名，这种情况就比较简单；但如果是一个URL，这种情况下如何匹配就是一个相对复杂的事情，因为单纯的DNS数据是不能精确判别是否出现失陷的，往往要引入一些参考的数据类别，并考虑企业对哪些威胁类型更加关注，这种情况下需要有更加复杂的匹配机制。

这个层次可以称其为高级匹配。

经过前两个阶段，对于大多数组织应该可以较好的使用威胁情报做检测了。

但从更高要求看，可能还会出现一些需要解决的问题，如日志中显示的域名没有直接的威胁情报命中，但是域名所在的主机其实已经明确是属于某个网络犯罪组织的，这种情况下如何产生报警；再如对一个邮件做详细的分析判定，是需要从多个维度进行分析，其中会使用多个类型的威胁情报。

解决这些问题不但需要有威胁情报及网络基础数据，还需要有相应的分析判定模型，这部分可以说在编排和自动化范围内（SOAR），如果还需要有一个名字，不知智能化匹配是否合适。

简单匹配、高级匹配、智能化匹配，这是基于过去对IOC使用情况思考的一个简单总结。

不能确定是否还会有更多的层次，但有一点可以肯定，随着对威胁情报IOC使用的不断探索，威胁情报在检测过程的作用一定会越来越大。

而事件响应分析、安全预警上情报的使用大致也有同样的过程，可以在后续找机会探讨，而下篇文章更多要聊聊威胁情报IOC的评估。