威胁猎人彭巍：扒一扒黑产的前世今生(4)

对抗思路

情报是各大安全领域的重要手段。

业务安全的情报主要是搜集什么样的情报，两个类别来说明：

1，开源情报：是指监控QQ、论坛、QQ群、论坛、解码平台以及暗网获得的开源情报。

这部分的情报经分析可以直接还原出针对某一个企业的作案手段，直接起到告警或者预防的作用。上图是我们监控论坛的截图，这是接码平台的截图，刚刚提到东鹏特饮的例子，就是通过关键词东鹏特饮而还原出整个作案手段的。

2，闭源情报：监控黑产攻击流量，可以更直接的监控到黑产攻击的详细信息。

闭源情报可以提供到接口的详情，甚至攻击的来源以及路径。这是视频软件刷流量的作案软件，我们可以通过OD分析出来，直接提取出来这个下发任务的包，可以提取出来这个链接，可以直接写代码把这些情报提取出来。

这是监控暗网攻击流量的展示图，可以看到目前暗网攻击的TOP10，接口攻击详情、IP、地域等信息。

有了情报之后最明显的价值就是，从之前业务安全防守时只能是事后发现，而导致了一直处于一个完全被动处处救火的情况，变成完全可以提前采取预防措施。

另外，打造一个情报风控识别方案，像撞库识别方案，传统的撞库识别方案只是频次控制，维度再多也很难区分出异常频次波动和正常业务带来的频次波动。

有一些安全情报抓出来的攻击流量，可以把异常频次类的数据，和闭源情报提取出来的攻击流量进行特征对比，可以极大降低误报率。

以上内容来自看雪安全开发者峰会，雷锋网整理。

（编辑：ASP站长网）