指示器集合接口
天际友盟RedQueen安全智能服务平台,为安全情报提供服务的核心枢纽;是国内首个安全智能云端一体化服务平台,也是国内最大的安全情报聚合、分析与交换平台。
产品亮点
产品说明
Red Queen”安全智能服务平台(SISP)作为天际友盟为客户提供各项基于情报应用的安全智能服务的核心枢纽,不仅是国内首个的云端一体化安全智能综合服务平台,也是国内最大的安全情报聚合、分析与交换平台。围绕客户的定制化需求,“Red Queen”平台在“Lisa”多源异构大数据平台的支持下,可快速进行智能化的情报扩展挖掘和应用场景构建,为客户提供高度定制化的情报应用服务集合,以满足各类用户侧的本地化情报使用场景的实际服务需求。
“Red Queen”安全智能服务平台(SISP)的整体技术架构如下图所示。
多维情报聚合与展现
作为国内最早研究应用STIX(Structured Threat Information eXpression)、TAXII(Trusted Automated eXchange of Indicator Information)和CybOX(Cyber Observable eXpression)等系列威胁情报行业标准的团队,天际友盟根据不同的情报需求和内容维度,设计了“情报矩阵”,以作为整个情报服务的分类规范,支撑后续具体的情报聚合、情报管理、情报分发、情报溯源以及应用场景设计等工作。
“情报矩阵”的具体分类描述与示例如下表所示。
| 序号 | 情报类型 | 分类描述 | 分类示例 |
| 1 | 盗版软件 | 与企业应用软件盗版、仿冒相关的资产情报 | 如软件盗版(正版破解)、软件抄袭、仿冒app等信息 |
| 2 | 钓鱼网址 | 与仿冒企业网站应用的非法钓鱼活动相关的威胁监测情报 | 如仿冒银行、公检法机关等的网站的IP、域名等信息 |
| 3 | 钓鱼访问记录 | 钓鱼网站访问记录的威胁监测情报 | 如钓鱼网站访问用户身份、访问时间、银行账户、手机号、是否输入过密码/验证码、邮箱或其他身份信息等威胁信息 |
| 4 | 资产信誉 | 与企业IT资产被恶意利用导致资产信誉下降相关的资产情报 | 企业IT资产与恶意网络节点信誉库(如C&C、垃圾邮件、域名等)比对命中后的反馈结果,如IP、URL、域名、邮件等信息 |
| 5 | 产品漏洞 | 与企业所销售的产品相关的自有(非通用)漏洞情报 | 如某WAF产品独有的绕过漏洞、某网络设备独有的设计逻辑漏洞等漏洞信息。 |
| 6 | 域名劫持 | 与企业域名被劫持相关的事件情报 | 如企业域名DNS被伪造等事件信息 |
| 7 | 社会舆论 | 与企业信息安全相关的社会舆论事件情报 | 如对其企业信息安全相关产品、服务、项目、人员等进行恶意炒作和网络水军攻击等事件 |
| 8 | 社交媒体内容 | 与企业社交媒体账号存在不当言论信息相关的事件情况 | 如微博、网站、脸书、公众号等存在反党、暴恐、色情、贩枪、贩毒等不当言论信息的事件信息 |
| 9 | 数据泄露 | 与企业内部数据泄漏相关的事件情报 | 如企业的员工账户数据、用户账户数据、内部文件、网络拓扑、财务报表、核心技术资料等敏感数据被公开外泄,或进行过地下交易等事件信息 |
| 10 | 产品威胁 | 与企业所销售的产品相关的第三方(通用)威胁情报 | 如app类产品通用的Xcode编辑器等第三方组件或产品存在远程代码错误执行等漏洞,可能威胁app产品自身安全的威胁信息 |
| 11 | 资产发现 | 与企业外网IT资产暴露面相关的资产情报 | 外网IT资产探测数据与企业外网IT资产进行比对后的反馈结果,如IP、域名、URL、端口、组件、版本等信息 |
| 12 | 安全漏洞 | 与企业自身IT资产相关的安全漏洞情报 | 如防火墙、网络设备、网站、操作系统、常用软件等企业自身内部IT基础设施资产的漏洞信息 |
| 13 | 内容篡改 | 与企业网络站点内容被篡改相关的事件情报 | 通过对企业网站内容的监控,发现的页面文字、图片等被篡改事件,如文字链接、图片链接等信息 |
| 14 | 网页木马 | 与企业网络站点存在的网页木马相关的事件情报 | 监测发现存在网页木马的具体事件信息,如木马类型、木马样本MD5值等 |
| 15 | 网页暗链 | 与企业网络站点存在的网页暗链相关的事件情报 | 与黄、赌、毒、传销等相关的网页暗链植入的具体事件信息,如暗链类型、URL等 |
| 16 | Webshell | 与企业网络站点存在的Webshell相关的安全事件情报 | 监测发现存在Webshell后门的具体事件信息,如Webshell名称、上传路径、源IP等 |
| 17 | 攻击入侵 | 与非网络站点类的企业IT基础设施相关的安全事件情报 | 监测发现企业非网络站点类的IT基础设施是否遭到攻击入侵,如账号暴力破解、内网ARP攻击、内网扫描等 |
| 18 | 异常主机 | 与企业主机违规/异常外联访问行为相关的安全事件情报 | 如内网主机违规访问外网、主机访问黑域名、黑IP、黑URL等异常访问行为事件信息 |
| 19 | 异常邮件 | 与企业内部邮件的异常行为相关的安全事件情报 | 如邮件附件包含恶意程序、邮件正文包含恶意链接、与黑邮箱通讯或内部敏感文件外传等邮件异常行为事件信息 |
| 20 | 病毒木马 | 与当前爆发的病毒木马相关的威胁情报 | 如病毒木马的各类指示器、威胁源、目标、所属团体、利用手段等威胁信息 |
| 21 | 指示器集合 | 与威胁相关的指示器集合情报 | 如恶意IP、恶意域名、恶意URL、VPN节点、IP地理位置、C&C节点、TOR节点、僵尸网络、IDC节点、VOS节点等 |
其中,指示器集合作为特殊的一类安全情报,其分类将“标签”的形式用于数据聚合与展现处理。现有的指示器集合“标签”如下表所示:
| 序号 | 指示器集合分类标签 | 所含数据类别 | |||||
| IP | Domain | URL | | Hash | IP段 | ||
| 1 | 钓鱼网址 | ✔ | ✔ | ✔ |
|
|
|
| 2 | 色情 | ✔ | ✔ | ✔ |
|
|
|
| 3 | 赌博 | ✔ | ✔ | ✔ |
|
|
|
| 4 | 黑客 | ✔ | ✔ | ✔ |
|
|
|
| 5 | 恶意软件 | ✔ | ✔ | ✔ |
| ✔ |
|
| 6 | 勒索软件 | ✔ | ✔ | ✔ |
| ✔ |
|
| 7 | 木马软件 | ✔ | ✔ | ✔ |
| ✔ |
|
| 8 | 垃圾邮件 | ✔ |
| ✔ | ✔ |
|
|
| 9 | 恶意邮件 |
|
|
| ✔ |
|
|
| 10 | DGA域名 | ✔ | ✔ |
|
|
|
|
| 11 | C&C节点 | ✔ | ✔ | ✔ |
|
|
|
| 12 | 僵尸网络 | ✔ |
|
|
|
|
|
| 13 | 扫描器节点 | ✔ |
|
|
|
|
|
| 14 | TOR节点 | ✔ | ✔ |
|
|
|
|
| 15 | Proxy代理 | ✔ | ✔ |
|
|
|
|
| 16 | VOS节点 | ✔ | ✔ |
|
|
|
|
| 17 | Fastflux节点 | ✔ |
|
|
|
|
|
| 18 | IP地理位置 |
|
|
|
|
| ✔ |
| 19 | 中国移动IP |
|
|
|
|
| ✔ |
| 20 | IDC节点 |
|
|
|
|
| ✔ |
| 21 | VPN节点 | ✔ |
|
|
|
|
|