網絡安全威脅情報分析與挖掘技術

薛鋒 微步在線創始人兼CEO，網絡安全領域近20年從業經驗，歐洲BlackHat大會、微軟BlueHat大會首位中國演講者。2015年7月發起並成立微步在線，開創國內威脅情報行業先河，引領威脅檢測與響應的前沿發展。曾任職公安部第三研究所，曾擔任微軟中國／微軟亞太研究院互聯網安全戰略總監、亞馬遜（中國）首席信息安全官（CISO）。2018－2019年度中國互聯網網絡安全威脅治理聯盟（CCTGA）威脅情報共享工作組組長，2021年入選“中國產業創新百人榜”，2022年起擔任北京市海澱區工商聯數字經濟專委會委員。2024年擔任北京市海澱區工商聯網絡安全專委會委員。

1.1　威脅情報的起源 / 1
1.1.1　《孫子兵法》中的情報觀 / 1
1.1.2　美國軍事情報理論中的情報觀 / 2
1.1.3　開展網絡安全威脅情報工作的原則 / 2
1.1.4　網絡安全威脅情報觀的共識 / 3
1.2　威脅情報的價值 / 4
1.2.1　威脅情報守護企業安全 / 4
1.2.2　威脅情報守護社會公共安全 / 4
1.2.3　威脅情報守護國家安全 / 5
1.3　威脅情報分析與挖掘的相關概念 / 5
1.3.1　威脅情報分析與挖掘的過程 / 5
1.3.2　威脅情報分析與挖掘的技術和方法 / 6
1.3.3　威脅情報分析與挖掘的效果評估 / 6
1.3.4　威脅情報分析與挖掘的策略 / 7
1.3.5　威脅情報分析與挖掘過程中的挑戰和解決方法 / 8
習題 / 8
2.1　威脅情報的定義 / 10
2.1.1　Gartner 對威脅情報的定義 / 10
2.1.2　其他研究機構提出的威脅情報定義 / 11
2.1.3　威脅情報的核心內涵和定義 / 13
2.2　威脅情報的能力層級 / 13
2.3　威脅情報的其他分類方式 / 15
2.3.1　機讀情報與人讀情報 / 16
2.3.2　安全威脅情報與業務威脅情報 / 17
2.4　威脅情報標準 / 17
2.4.1　結構化威脅信息表達式（STIX） / 17
2.4.2　指標信息的可信自動化交換（TAXII） / 19
2.4.3　網絡可觀察表達式（CybOX） / 20
2.4.4　網絡安全威脅信息格式規範 / 20
2.5　威脅情報的來源 / 21
2.5.1　本地化生產情報 / 22
第 1 章
概述
第 2 章
威脅情報基礎
知識VI
網絡安全威脅情報分析與挖掘技術
2.5.2　開源與社區情報 / 22
2.5.3　商業情報 / 23
2.5.4　第三方共享情報 / 23
2.6　威脅情報與我國網絡安全合規要求 / 24
2.6.1　《 信息安全技術 網絡安全等級保護測評要求》對威脅情
報的要求 / 24
2.6.2　《 信息安全技術 關鍵信息基礎設施安全保護要求》中與
威脅情報相關的內容 / 24
習題 / 25
3.1　常見惡意軟件 / 26
3.1.1　什麼是惡意軟件 / 26
3.1.2　計算機病毒 / 31
3.1.3　木馬 / 33
3.1.4　蠕蟲 / 36
3.1.5　僵屍網絡 / 38
3.1.6　從威脅情報視角應對惡意軟件 / 40
3.2　社工攻擊 / 42
3.2.1　什麼是社工攻擊 / 43
3.2.2　從威脅情報視角應對社工攻擊 / 46
3.3　勒索攻擊 / 46
3.3.1　勒索攻擊的定義 / 47
3.3.2　勒索攻擊發展史 / 47
3.3.3　勒索攻擊的種類 / 48
3.3.4　從威脅情報視角應對勒索攻擊 / 49
3.4　挖礦攻擊 / 49
3.4.1　挖礦攻擊的定義和典型特點 / 50
3.4.2　挖礦攻擊發展史 / 50
3.4.3　挖礦攻擊的種類 / 51
3.4.4　從威脅情報視角應對挖礦攻擊 / 51
3.5　漏洞利用攻擊 / 52
3.5.1　漏洞利用攻擊的定義和特點 / 52
3.5.2　漏洞利用攻擊的發展 / 53
3.5.3　漏洞利用攻擊的種類 / 54
3.5.4　如何利用漏洞情報應對漏洞利用攻擊 / 55
3.6　高級持續性威脅（APT）攻擊 / 55
3.6.1　APT 攻擊的定義和特點 / 55