信息來源：FreeBuf

一、背景

1.  威脅情報(bào)庫(kù)建設(shè)的背景和需求

1)  新時(shí)代攻防趨勢(shì)與需求的變化。

隨著互聯(lián)網(wǎng)特別是移動(dòng)互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)環(huán)境愈發(fā)復(fù)雜，不同的攻擊行為更具產(chǎn)業(yè)化、團(tuán)伙化，入侵手法也愈發(fā)多樣化與復(fù)雜化，傳統(tǒng)以防御漏洞為主的安全策略在面對(duì)層出不窮的新型、持續(xù)性、高級(jí)威脅時(shí)難以及時(shí)有效的檢測(cè)、攔截和分析。安全攻防需求逐漸從傳統(tǒng)的、以漏洞為中心進(jìn)化為主動(dòng)型、以情報(bào)為中心的建設(shè)模式。

2)  銀聯(lián)本身業(yè)務(wù)的要求。

虛假注冊(cè)、批量綁卡、惡意刷單刷券等各種惡意行為會(huì)影響企業(yè)相關(guān)產(chǎn)品的日常運(yùn)營(yíng)和營(yíng)銷推廣，而傳統(tǒng)金融行業(yè)自身缺乏與互聯(lián)網(wǎng)相關(guān)的安全數(shù)據(jù)，需要高質(zhì)量的情報(bào)數(shù)據(jù)支持相關(guān)的風(fēng)險(xiǎn)防控工作。因此，需要把安全跟業(yè)務(wù)相結(jié)合，引入跟風(fēng)控等業(yè)務(wù)相關(guān)的威脅情報(bào)，幫助提升公司的風(fēng)險(xiǎn)防控能力。

2.  現(xiàn)有威脅情報(bào)庫(kù)

威脅情報(bào)庫(kù)的數(shù)據(jù)來源分為三方面，包括內(nèi)部情報(bào)、專業(yè)機(jī)構(gòu)和行業(yè)聯(lián)盟。內(nèi)部情報(bào)包括傳統(tǒng)安全設(shè)備的攔截、后臺(tái)SIEM等安全分析系統(tǒng)的分析以及業(yè)務(wù)風(fēng)控系統(tǒng)的發(fā)現(xiàn)；專業(yè)機(jī)構(gòu)會(huì)提供所處專業(yè)的多源情報(bào)，根據(jù)每家機(jī)構(gòu)的專業(yè)特點(diǎn)進(jìn)行互補(bǔ)，并在情報(bào)沖突時(shí)對(duì)數(shù)據(jù)進(jìn)行研判；行業(yè)聯(lián)盟的威脅情報(bào)共享目前正在研究探索中。內(nèi)部情報(bào)、專業(yè)機(jī)構(gòu)和行業(yè)聯(lián)盟這三方面的數(shù)據(jù)聚合后，形成本地庫(kù)，進(jìn)行處理后，最終將數(shù)據(jù)結(jié)果反饋給最上層的應(yīng)用層，推送給后臺(tái)應(yīng)用、防御設(shè)備或者人工調(diào)用。在綜合考慮威脅情報(bào)庫(kù)需求后，我們對(duì)國(guó)內(nèi)相關(guān)廠商進(jìn)行調(diào)研測(cè)試，最終選擇北京微步在線科技有限公司旗下本地威脅情報(bào)管理平臺(tái)作為銀聯(lián)威脅情報(bào)庫(kù)的載體平臺(tái)。

威脅情報(bào)庫(kù)的建立，一方面能夠協(xié)助我們及時(shí)察覺黑客或惡意攻擊者的各類戰(zhàn)術(shù)、方法、行為模式，掌握針對(duì)支付場(chǎng)景的最新攻擊動(dòng)向，高效預(yù)防和處理各類網(wǎng)絡(luò)風(fēng)險(xiǎn)安全事件；另一方面高質(zhì)量的情報(bào)數(shù)據(jù)能夠?yàn)轱L(fēng)險(xiǎn)防控提供有力支持，實(shí)現(xiàn)對(duì)外部網(wǎng)絡(luò)異常訪問行為的精確識(shí)別。它對(duì)于防守方安全風(fēng)控團(tuán)隊(duì)及時(shí)掌安全態(tài)勢(shì)并做出正確響應(yīng)具有重要價(jià)值。

二、研究目標(biāo)

在威脅情報(bào)的應(yīng)用過程中，我們發(fā)現(xiàn)仍然有一些問題有待解決。

1.  情報(bào)合法有序共享

當(dāng)情報(bào)庫(kù)建立之后，情報(bào)共享的需求馬上就被提出。與公司內(nèi)部、行業(yè)機(jī)構(gòu)等進(jìn)行情報(bào)共享，一方面能夠快速實(shí)現(xiàn)威脅感知能力的提升和風(fēng)險(xiǎn)共擔(dān)，另一方面情報(bào)的合法有序共享，也有利于整個(gè)生態(tài)的健康持續(xù)運(yùn)轉(zhuǎn)，降低運(yùn)行成本。

2.  私有情報(bào)生產(chǎn)

銀聯(lián)是典型多職場(chǎng)、多組織協(xié)同防御的結(jié)構(gòu)，擁有較多安防設(shè)備且對(duì)攻擊敏感，會(huì)有海量的告警信息，如何從海量告警信息中獲取真實(shí)的攻擊行為是一個(gè)大的挑戰(zhàn)。同時(shí)來自外部的威脅情報(bào)數(shù)據(jù)無(wú)法完全支撐對(duì)于真實(shí)攻擊的檢測(cè)、阻斷和溯源分析，攻擊者對(duì)于外圍資產(chǎn)實(shí)施跳躍式攻擊時(shí)，也可能導(dǎo)致聯(lián)動(dòng)防御困難。在這些場(chǎng)景中，我們對(duì)威脅情報(bào)數(shù)據(jù)和威脅情報(bào)生產(chǎn)均有強(qiáng)需求。

為了實(shí)現(xiàn)這兩個(gè)目標(biāo)，我們進(jìn)行了情報(bào)共享技術(shù)和全流量威脅狩獵的研究。

三、情報(bào)共享技術(shù)研究

1.  情報(bào)上傳下達(dá)的基本邏輯

在現(xiàn)有情報(bào)庫(kù)部署情報(bào)管理平臺(tái)，各分支機(jī)構(gòu)部署分支情報(bào)管理平臺(tái)，總控推送情報(bào)到各分支，各分支私有情報(bào)自動(dòng)上報(bào)到總控，總控可控制是否將各分支上報(bào)私有情報(bào)進(jìn)行二次分發(fā)。

整體方案主要由核心情報(bào)管理平臺(tái)和下游情報(bào)管理平臺(tái)兩部分組成：

核心情報(bào)管理平臺(tái)主要作用包括接收云端情報(bào)用于情報(bào)查詢；向下游情報(bào)管理平臺(tái)分發(fā)情報(bào)；接收下游情報(bào)管理平臺(tái)匯報(bào)情報(bào)；自有情報(bào)錄入，用于情報(bào)查詢與分發(fā)。

下游情報(bào)管理平臺(tái)主要功能包括自有情報(bào)錄入，用于情報(bào)查詢與匯報(bào)；向核心情報(bào)管理平臺(tái)匯報(bào)本地錄入情報(bào)；接收核心情報(bào)管理平臺(tái)分發(fā)的情報(bào)。

對(duì)于擁有自有情報(bào)平臺(tái)的機(jī)構(gòu)，情報(bào)管理平臺(tái)可以采用行業(yè)同行的標(biāo)準(zhǔn)進(jìn)行情報(bào)的交換。

2.  情報(bào)完整流轉(zhuǎn)流程

依據(jù)銀聯(lián)威脅情報(bào)庫(kù)結(jié)構(gòu)，首先從內(nèi)部日志、行業(yè)情報(bào)和聯(lián)盟數(shù)據(jù)中自動(dòng)生成、篩選情報(bào)，并從云端拉取社區(qū)情報(bào)和定期情報(bào)更新，開啟協(xié)同研判功能后，威脅情報(bào)庫(kù)會(huì)自動(dòng)通過加密信道從云端拉取附加信息并與本地簡(jiǎn)版私有情報(bào)合并，最終形成完整威脅情報(bào)形態(tài)。本地私有情報(bào)可直接查看、刪除、導(dǎo)出和應(yīng)用到第三方系統(tǒng)中。

協(xié)同研判過程中，威脅情報(bào)團(tuán)隊(duì)成員將共同補(bǔ)全攻擊組織手法，最終形成自主的攻擊者畫像數(shù)據(jù)庫(kù)；情報(bào)管理平臺(tái) 支持單一情報(bào)的多個(gè)情報(bào)源數(shù)據(jù)橫向?qū)Ρ炔榭?，多角度綜合評(píng)估情報(bào)全貌，然后通過 Restful API 將威脅能力共享，實(shí)現(xiàn)總控和各分支之間的推送、上報(bào)和可控的二次分發(fā)。

威脅情報(bào)庫(kù)會(huì)根據(jù)機(jī)讀情報(bào)、高級(jí)報(bào)告和月報(bào)、第三方機(jī)讀情報(bào)、用戶手工導(dǎo)入的私有情報(bào)以及全球多個(gè)開源情報(bào)的統(tǒng)一存儲(chǔ)、檢索和對(duì)比自動(dòng)補(bǔ)充輔助信息，并使用統(tǒng)一的生命周期管理情報(bào)從產(chǎn)生、使用、靜默與消亡的完整過程。

3.  技術(shù)的重點(diǎn)和難點(diǎn)

該項(xiàng)目開發(fā)和部署測(cè)試過程中，也發(fā)現(xiàn)很多重要節(jié)點(diǎn)和技術(shù)難點(diǎn)，經(jīng)過充分研討與貼合實(shí)際需求進(jìn)行評(píng)估后一一突破，其中包括有：

1)   如何構(gòu)建和落地24*7全自動(dòng)的多機(jī)構(gòu)情報(bào)共享和消費(fèi)機(jī)制

該目標(biāo)由核心情報(bào)管理平臺(tái)下發(fā)情報(bào)、下游情報(bào)管理平臺(tái)寫入、上報(bào)、消費(fèi)情報(bào)等過程組成，其中重點(diǎn)在于搞清楚誰(shuí)向下游情報(bào)管理平臺(tái)寫情報(bào)，下游情報(bào)管理平臺(tái)的情報(bào)被誰(shuí)消費(fèi)以及怎么消費(fèi)。

“誰(shuí)向下游情報(bào)管理平臺(tái)寫情報(bào)”：除了核心情報(bào)管理平臺(tái)外，下游機(jī)構(gòu)其實(shí)并沒有直接、準(zhǔn)確的情報(bào)可被寫入，實(shí)際可寫入的是下游機(jī)構(gòu)網(wǎng)絡(luò)環(huán)境中部署的安全設(shè)備產(chǎn)生的告警，當(dāng)眾多下游機(jī)構(gòu)上報(bào)告警后，核心情報(bào)管理平臺(tái)可以根據(jù)智能策略實(shí)時(shí)動(dòng)態(tài)生成行業(yè)威脅情報(bào)，例如：下游機(jī)構(gòu)網(wǎng)絡(luò)不連續(xù)的情況下，某個(gè)外部IP連續(xù)攻擊多個(gè)下游機(jī)構(gòu)，該攻擊IP就相當(dāng)可疑，根據(jù)策略生產(chǎn)為行業(yè)情報(bào)，并推送給其他暫未感知到風(fēng)險(xiǎn)的下游機(jī)構(gòu)。

“下游情報(bào)管理平臺(tái)的情報(bào)被誰(shuí)消費(fèi)、以及怎么消費(fèi)”：   一些敏感業(yè)務(wù)例如支付口、登錄口都可以使用推送的情報(bào)進(jìn)行主動(dòng)防御，即使來自攻擊IP的用戶提供正確的用戶名密碼，業(yè)務(wù)仍然強(qiáng)制要求上下行短信驗(yàn)證，對(duì)于某些類互聯(lián)網(wǎng)行業(yè)的抽獎(jiǎng)活動(dòng)，還可以降低其所在網(wǎng)段的中獎(jiǎng)幾率，在不得罪用戶、不打斷業(yè)務(wù)的前提下保障業(yè)務(wù)安全性。 

2)   如何解決分支機(jī)構(gòu)情報(bào)沖突和誤報(bào)

情報(bào)沖突問題是該項(xiàng)目一開始未充分考慮的問題，但是在測(cè)試部署中，我們發(fā)現(xiàn)有些IP被不同分支機(jī)構(gòu)分別標(biāo)記為白名單和惡意地址，造成下游機(jī)構(gòu)問問題，經(jīng)過排查發(fā)現(xiàn)主要原因?yàn)椋篈機(jī)構(gòu)將自身辦公網(wǎng)出口地址標(biāo)記為白名單，但其辦公網(wǎng)內(nèi)存在蠕蟲病毒，通過辦公網(wǎng)出口掃描其他機(jī)構(gòu)，又其他機(jī)構(gòu)或被標(biāo)記為惡意；

情報(bào)誤報(bào)問題主要由于多個(gè)下游機(jī)構(gòu)采購(gòu)相同廠家的安全產(chǎn)品，同類安全產(chǎn)品誤報(bào)后通過下游情報(bào)管理平臺(tái)上傳到核心情報(bào)管理平臺(tái)，造成誤判問題，這類問題后續(xù)計(jì)劃通過增加鑒別安全設(shè)備類型實(shí)現(xiàn)進(jìn)一步規(guī)避。

3)   歸一化安全設(shè)備日志格式問題

由于各下游機(jī)構(gòu)采購(gòu)安全設(shè)備的多樣性，必然導(dǎo)致日志歸一化問題，該問題目前沒有十分完美的解決方案，在下游情報(bào)管理平臺(tái)入口處使用技術(shù)手段進(jìn)行統(tǒng)一格式處理目前是可行方案。

四、全流量威脅狩獵

1.  威脅狩獵的定義和流程

威脅狩獵是企業(yè)機(jī)構(gòu)基于威脅情報(bào)的自我查驗(yàn)。威脅狩獵需要提前掌握攻擊者某些基本模糊特征和線索，即威脅情報(bào)，然后基于情報(bào)，通過旁路流量檢測(cè)、系統(tǒng)日志檢測(cè)或主機(jī)行為檢測(cè)來挖掘正在進(jìn)行的攻擊行為或已經(jīng)失陷的內(nèi)網(wǎng)主機(jī)，其效果隨著線索或情報(bào)的準(zhǔn)確性、及時(shí)性和多樣性而變化。

威脅狩獵流程（流程圖）

2.  威脅狩獵的技術(shù)重點(diǎn)和難點(diǎn)

威脅狩獵技術(shù)重點(diǎn)和難點(diǎn)主要來源于以下三個(gè)方面：

1)  如何獲取準(zhǔn)確、及時(shí)和多樣的具備大量輔助上下文的威脅情報(bào)；

針對(duì)威脅情報(bào)準(zhǔn)確性、及時(shí)性和多樣性的需求，威脅情報(bào)庫(kù)采取多源威脅情報(bào)的收錄和管理，本地情報(bào)平臺(tái)應(yīng)至少能裝載四種情報(bào)類型、具備兩種情報(bào)能力，具體包括多源機(jī)讀情報(bào)、高級(jí)人讀報(bào)告、漏洞情報(bào)、自定義情報(bào)等，情報(bào)能力應(yīng)包括情報(bào)代理能力、本地生產(chǎn)情報(bào)能力等，此外，情報(bào)共享和級(jí)聯(lián)正是保證威脅狩獵成功進(jìn)行的關(guān)鍵能力之一。

2)  如何對(duì)拓展出的更多線索進(jìn)行自動(dòng)化篩查，并將有效線索進(jìn)一步轉(zhuǎn)化為情報(bào)；

情報(bào)輔助上下文是不可忽略的重點(diǎn)，機(jī)讀情報(bào)字段的豐富性決定該威脅情報(bào)是否可實(shí)際落地，現(xiàn)有情報(bào)精確刻畫該攻擊行為或團(tuán)伙特征，包括但不限于發(fā)現(xiàn)時(shí)間、端口協(xié)議、嚴(yán)重級(jí)別、URL、相關(guān)樣本、域名屬主、家族標(biāo)簽、針對(duì)行業(yè)等30多個(gè)字段，相比之下，僅提供一份黑名單，沒有任何輔助上下文信息開源情報(bào)幾乎無(wú)法在金融生產(chǎn)環(huán)境中使用。自動(dòng)化篩查和有效線索轉(zhuǎn)化為情報(bào)，主要考驗(yàn)的是我們威脅情報(bào)庫(kù)的私有威脅情報(bào)本地化生產(chǎn)能力。

3)  如何將威脅情報(bào)落地于旁路流量檢測(cè)、系統(tǒng)日志檢測(cè)或主機(jī)行為檢測(cè)產(chǎn)品中。

這就要求我們開放對(duì)外部SIEM/SOC數(shù)據(jù)平臺(tái)、防火墻或WAF設(shè)備、主機(jī)管理產(chǎn)品、路由和交換設(shè)備以及其他安防產(chǎn)品的聯(lián)動(dòng)。并分析特定場(chǎng)景的設(shè)備聯(lián)動(dòng)，對(duì)于命中的高危情報(bào)，調(diào)用下游設(shè)備實(shí)現(xiàn)阻斷，推動(dòng)情報(bào)從檢測(cè)、響應(yīng)場(chǎng)景到全面的安全防護(hù)。

3.  全流量威脅狩獵技術(shù)

通過對(duì)接入數(shù)據(jù)源、底層軟硬件架構(gòu)、大數(shù)據(jù)標(biāo)準(zhǔn)化處理、模型算法，以及頂層安全業(yè)務(wù)應(yīng)用的系統(tǒng)規(guī)劃，依托威脅情報(bào)大數(shù)據(jù)知識(shí)圖譜技術(shù)、高級(jí)入侵檢測(cè)與分析技術(shù)、黑客畫像與追蹤溯源技術(shù)、情報(bào)數(shù)據(jù)共享技術(shù)、響應(yīng)策略自動(dòng)化編排與處置技術(shù)等核心技術(shù)，構(gòu)建覆蓋全行業(yè)網(wǎng)絡(luò)的威脅檢測(cè)分析、威脅事件線索提取、攻擊者畫像與溯源分析、威脅阻斷響應(yīng)與協(xié)同聯(lián)動(dòng)等完整閉環(huán)解決方案，形成以威脅情報(bào)數(shù)據(jù)為驅(qū)動(dòng)的檢測(cè)、分析、響應(yīng)、溯源、預(yù)測(cè)能力。

1)  接入數(shù)據(jù)源

對(duì)企業(yè)相關(guān)網(wǎng)絡(luò)邊界的出入站雙向流量、內(nèi)網(wǎng)各區(qū)域之間橫向東西向流量進(jìn)行全面采集，由流量采集器通過流量鏡像方式，對(duì)網(wǎng)絡(luò)內(nèi)產(chǎn)生流量的所有全量數(shù)據(jù)進(jìn)行實(shí)時(shí)采集，主要采集數(shù)據(jù)包括流量信息、流量中還原的payload或文件、終端日志數(shù)據(jù)等三類，其中，流量信息包含DNS、HTTP、TCP、SMTP、POP3、RSYNC、RDP、TFTP等8項(xiàng)協(xié)議；DNS日志包括Request與Response雙向日志中的解析域名、查詢類型、源地址與端口、目的地址與端口等信息。據(jù)此形成全流量威脅持續(xù)檢測(cè)接入數(shù)據(jù)。

基于威脅情報(bào)做日志關(guān)聯(lián)分析

2)  軟硬件與數(shù)據(jù)解析基礎(chǔ)組件

依托微服務(wù)、分布式集群、海量數(shù)據(jù)存儲(chǔ)、消息隊(duì)列等大數(shù)據(jù)軟硬件基礎(chǔ)組件，構(gòu)建“松耦合、高內(nèi)聚”的底層大數(shù)據(jù)架構(gòu)，采用ElasticSearch、Hadoop、Spark、Kafka等開源分布式技術(shù)，解決海量數(shù)據(jù)接入、解析、分析、存儲(chǔ)、輸出等關(guān)鍵環(huán)節(jié)并發(fā)瓶頸問題，能夠根據(jù)檢測(cè)環(huán)境進(jìn)行動(dòng)態(tài)擴(kuò)展。

對(duì)于接入原始流量的數(shù)據(jù)接入形式，系統(tǒng)需要將原始流量中的二進(jìn)制數(shù)據(jù)解析成結(jié)構(gòu)化的DNS報(bào)文。對(duì)常見的流量解析工具(包括Bro、Suricata等)調(diào)研測(cè)試后發(fā)現(xiàn)并不適用于DNS解析場(chǎng)景，原因在于 1.此類工具架構(gòu)設(shè)計(jì)上針對(duì)全流量解析，為了兼容其他協(xié)議特性，很大一部分系統(tǒng)資源用于數(shù)據(jù)流Session維護(hù)、流量緩存等，這在DNS解析過程中屬于不必要的系統(tǒng)開銷。2.此外，DNS數(shù)據(jù)報(bào)文長(zhǎng)度較小，相同流量下QPS較高，在Bro和Suricata上性能測(cè)試結(jié)果不夠理想。因此本系統(tǒng)在技術(shù)路線上采用自研抓包模塊，針對(duì)DNS的協(xié)議特性進(jìn)行性能優(yōu)化。

3)  威脅檢測(cè)分析模型

該架構(gòu)擁有威脅檢測(cè)模型十類，包括基于威脅情報(bào)的大數(shù)據(jù)碰撞模型、DNS隱蔽信道檢測(cè)模型、動(dòng)態(tài)沙箱檢測(cè)模型、DGA隨機(jī)域名生成檢測(cè)模型、內(nèi)網(wǎng)橫向滲透檢測(cè)模型、深度學(xué)習(xí)算法自學(xué)習(xí)檢測(cè)模型等。檢測(cè)覆蓋階段包括嗅探、漏洞利用、武器投遞、遠(yuǎn)控、橫向移動(dòng)、對(duì)外攻擊、行動(dòng)（勒索、挖礦、數(shù)據(jù)竊取），識(shí)別的攻擊與威脅類型至少包括：端口掃描、應(yīng)用掃描、子域名暴破、遠(yuǎn)程溢出、WEB攻擊、SQL注入、配置漏洞、命令注入、CC破壞性攻擊、XSS、SSRF、文件泄露、目錄遍歷、暴力破解、網(wǎng)頁(yè)木馬、木馬執(zhí)行、webshell、僵木蠕檢測(cè)、高危漏洞利用、勒索軟件、挖礦木馬、高級(jí)APT組織、隱蔽信道通信等。

依托可視化關(guān)聯(lián)分析技術(shù)，對(duì)威脅情報(bào)、網(wǎng)絡(luò)原始日志、終端日志、告警日志進(jìn)行關(guān)聯(lián)分析，從攻擊者視角完整還原攻擊路徑，從被控主機(jī)視角完整描繪被控主機(jī)網(wǎng)絡(luò)行為，完整呈現(xiàn)威脅全貌。

五、研究的產(chǎn)出和意義

1.  安全建設(shè)保障延續(xù)性

在原有情報(bào)管理平臺(tái)與威脅檢測(cè)平臺(tái)上，附加更多的能力，基于現(xiàn)有能力不斷升級(jí)，保證原有能力的持續(xù)運(yùn)營(yíng)，與新技術(shù)的無(wú)縫銜接，保證持續(xù)有效的安全建設(shè)。

2.  增加全網(wǎng)威脅可見性

在原有威脅檢測(cè)平臺(tái)邊界檢測(cè)失陷主機(jī)的能力上，增強(qiáng)流量的覆蓋度，覆蓋內(nèi)網(wǎng)流量，并應(yīng)用流量文件還原技術(shù)、引擎與動(dòng)態(tài)沙箱技術(shù)、機(jī)器學(xué)習(xí)技術(shù)等提升檢測(cè)能力，對(duì)威脅攻擊過程進(jìn)行分析狩獵，提升對(duì)內(nèi)網(wǎng)中威脅與全攻擊過程的可見性。

3.  行業(yè)情報(bào)共享，增強(qiáng)響應(yīng)能力

在原有情報(bào)管理平臺(tái)整合情報(bào)與提供情報(bào)檢測(cè)接口的能力上，增強(qiáng)行業(yè)情報(bào)共享能力、提供批量接入挖掘情報(bào)的接口，并建設(shè)與現(xiàn)有安全設(shè)備聯(lián)動(dòng)的能力，基于威脅情報(bào)進(jìn)行自動(dòng)化的響應(yīng)。

4.  對(duì)于整個(gè)網(wǎng)絡(luò)安全威脅情報(bào)共享體系建設(shè)發(fā)展的意義

在前期威脅情報(bào)中心能力之上，增強(qiáng)流量監(jiān)控與威脅狩獵分析能力，精準(zhǔn)定位攻擊全過程；同時(shí)提升情報(bào)挖掘能力，并在行業(yè)情報(bào)共享機(jī)制進(jìn)行探索研究，為將來的實(shí)踐應(yīng)用奠定理論和技術(shù)基礎(chǔ)。