随着网络空间攻击理论和技术的深入发展，对网络攻击的方式逐渐聚集到使用APT(高危持续攻击)方式和利用尚未公开的零日漏洞上来，这使得现实网络安全防护面临的挑战和风险日益上升。对于这类新型网络攻击方式，防火墙、入侵检测系统等传统的被动式安全防护手段虽然能起到一定的抵御攻击的作用，但其基于已知攻击行为特征的检测响应模式，面对新型攻击时往往导致防御失效。2013年提出应对这类新型攻击的方法，即网络威胁情报。网络威胁情报是基于证据的知识，包括机制、环境、推论、指标、可行性建议等，它能够针对潜在的风险或威胁提供建议和决策。随着网络威胁情报概念的出现，业界也开展了相应的研究。魏为民等人在文献［2］中介绍了网络威胁情报各类标准的核心内容，指出企业应根据自身环境定制威胁情报。李超等人在文献［3］中归纳了大数据环境下适用于威胁情报分析的相关技术，提出了威胁情报分析的流程。单琳在文献［4］中从技术和管理角度分析了威胁情报的特点、优势及不足，并结合我国现状提出相关建议。徐锐等人在文献［5］中从网络防御的视角介绍安全威胁情报的作用和工作流程，并探讨了安全威胁情报的应用场景和研究热点。吕宗平等人在文献［6］中提出一种基于攻击链结合网络异常流量检测的威胁情报分析方法。林晨希等人在文献［7］中详细介绍了网络安全威胁情报的生成与共享方法，并分析总结了网络安全威胁情报的发展现状。

网络威胁情报技术得益于大数据、云计算等技术的应用和支撑日趋完善，国家相关安全机构、网络安全厂商纷纷建立了网络安全威胁情报中心，与各类网络安全防护产品一起，为国家网络空间筑起坚实的安全屏障。

本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003108

作者信息：孙辉，罗双春，李余彪(78111部队，四川 成都 610031)