基于全网范围内的DNS数据对IOC数据集进行评估

当前，随着数字世界急剧扩张，全球步入网络“大安全”时代，传统被动防御与单点防御无力应对新型攻击，而网安新物种“威胁情报”却逆势凸显关键实力。有数据统计，2019年全球已形成52亿8000万美元的威胁情报市场。但与此同时，超高应用价值与可观市场前景之下，威胁情报却一直面临着价值评估标准模糊不清的难题，尤其是对衡量威胁情报质量的关键要素——IOC（Indicators of Compromise）的价值评估，一直是困扰行业发展的核心问题。

针对这一问题，近日， 360旗下360网络安全研究院（360netlab）提出威胁情报IOC评估“19条”，成为我国威胁情报市场首个覆盖用户实际需求且成熟度较高的IOC价值评估标准。

IOC评估老大难：“自嗨”式评估难代表用户实际需求

在不久前召开的第八届互联网安全大会ISC 2020上，360网络安全研究院安全分析工程师张在峰在“威胁情报驱动的安全能力建设论坛”中发首次介绍了威胁情报IOC评估“19条”。

该套标准包括8项动态评估指标与11项静态评估指标，基于全网范围内的DNS数据对IOC数据集进行评估，其DNS数据请求量能达到1000亿/天，用户覆盖量超过2000万，打破了此前各家厂商仅根据本公司安全攻防理解提出标准的做法。“基于如此大规模的数据，IOC的动态评估跟能够准确反映不同IOC数据在真实网络环境中的实际表现，也能够涵盖绝大多数甲方用户的使用场景。”张在峰表示。

“没有用户数据库支撑，缺乏对用户实际需求的理解。”在张在峰看来，我国当前威胁情报市场内，无论是产生威胁情报的乙方还是使用威胁情报的甲方，对IOC的评价都还处在拼数量的原始阶段。事实上，作为IOC的提供者，要有足够的数据来说服用户自己提供的IOC足够好。作为IOC的使用者，关心的问题也不仅是数量是多少？误报、漏报情况怎么样？还要关心IOC中有多少活跃？更新频率怎么样？每次更新有多少是新增、多少淘汰？检测能力是否足够多样和高效？

“举个非常基本的例子，A和B厂家提供两份威胁情报，A有100万条记录，B有80万条记录，目前的市场现状基本上就是默认认为A会做得更好，但是在实际中，可能A的100万条记录在实际大网中总命中率不到一千条，剩下的全部都是不活跃无命中的。从这个意义上来看，仅仅看原始IOC数据量价值并不大，也不应该作为评价威胁情报厂商的核心标准。”因此，张在峰认为，要解决这些问题，就必须根据大网用户的实际防护效果，建立一套全面、科学、能用实网检验的IOC价值评估标准。

IOC评估的360实践：硬实力支撑高标准评估

为打造一套完善的IOC评估标准， 360netlab参考了国际上现有的IOC评估研究项目，例如比较典型的MLSECProject和波兰CERT项目，但他们发现这些项目起步早，评估体系也涵盖比较广泛，却都缺少对IOC在实际网络当中的动态项目评估。因此，360netlab就不仅从IOC本身包含的内容来评测，还会把IOC放在实际网络环境当中，利用团队所掌握的独一无二的数据库资源，用实际网络流量来匹配IOC数据，察看IOC的整体表现。以此建立了 “动静结合”的IOC评估“19条”。

“这套标准的成熟度是很高的，但是要完全做到‘19条’的测试，还是存在较高数据库门槛。”张在峰表示，360netlab之所以能成为国内第一个提出并使用这套标准完成IOC科学评估的团队，正是因为该团队运营着当前国内公开最大的PassiveDNS数据库（https://passivedns.cn）；其DNSMon系统以DNS数据为基础，结合其他多维度数据综合研判分析，每天从海量的DNS数据中产出百～千级别的黑域名以及高可疑域名，同时利用智能算法每天产生50余种，数万规模的DGA域名。在无规则的情况下DNSMon在实网中率先识别并拦截了多种大规模的恶意程序使用的域名。

同时， 360netlab在大规模僵尸网络的检测和跟踪领域也一直处于全球领先的水准。近年来，360netlab首发并有限披露了多个有影响力的僵尸网络，在业界引起了广泛关注。例如360netlab发现的iot_reaper， 曾在2018年美国商务部和国土安全局提交给美国总统批阅的增强应对僵尸网络的报告里被多次提及。2017年，360netlab更是本着网络空间命运共同体的原则，协助美国破获了2016年著名的Mirai攻击案件，获得了美国FBI的公开致谢，2018年又获得美国司法部公开致谢，其在业内的权威性和领先性可见一斑。

据了解，360netlab打造的IOC评估“19条”已经向市场全面公开，并已使用该标准评价完成4个公开情报源，评价结果也已公开。后续还将持续更新。

责任编辑：gt