威胁情报驱动：威胁无处躲 “天眼”看得见

当然，一片“叶子”上的威胁感知，必须要借助针对整个“森林”的威胁研究。对于一个机构而言，想要在入侵早期就把威胁抓住，必须得借助互联网大数据的力量。显而易见的是，威胁情报至关重要。

360威胁情报中心可以将所有与攻击相关的信息，如攻击团体，恶意域名，受害者IP，恶意文件MD5等相关信息汇总，按照标准格式封装成威胁情报并通过加密通道统一下发到天眼系统内。鉴于威胁情报有着特别强的行业属性，360天眼可以为客户提供定制化的专属威胁情报服务。

威胁情报做为天眼整个方案的核心内容承担了连接互联网信息和企业本地信息的重要作用，为APT事件在企业侧的最终定位提供了数据线索和定位依据。在这样一个过程中，威胁情报能够起到两个非常重要的作用：

第一，快速定位。天眼可以将来自360威胁情报中心的威胁情报，与检测到的特定事件或者异常行为进行关联分析和数据挖掘，并且规则关联引擎+人工智能引擎+虚拟执行检测引擎的多引擎检测架构，从而快速对事件定性，并且锁定失陷主机、远控木马或者其他潜在的威胁。

第二，精准溯源。当天眼发现威胁后，安全人员可以利用本地全量的网络和主机行为日志，并且结合威胁情报进行深入的调查，并且利用搜索、统计、可视化关联等方法和技术，为企业客户呈现一次攻击的完整过程，覆盖攻击的源头、手段、目标、范围等相关信息。

举个简单的例子。假设一家店里的摄像头发现一个人在顾客当中东张西望、鬼鬼祟祟，同时你通过新闻得知，穿这种衣服的可能是某盗窃团伙中的一员，并且专挑年轻女性下手。这时候，你就可以偷偷安排保安针对年轻女性进行特别保护，一旦发现小偷下手就可以当场抓获。

摄像头（天眼）发现异常，结合新闻（威胁情报）上下文信息，这家店挽回了一笔可能发生的损失。

另外，威胁情报在天眼系统中还有一项非常重要的作用。大家都知道，传统的防护体系在多台设备间进行联动往往需要通过特别开发的接口对一种或几种特殊类别的告警或信息进行分发和通知，这种设计往往会制约多种不同设备或系统之间的信息传递。

同时由于对消息接口缺乏一个系统化、规范化的描述，很难对复杂的攻击行为进行准确定义。天眼的一大创新点在于用威胁情报的形式对各种攻击中常出现的特点和背景信息进行记录和传输，而威胁情报将通过统一的规范化格式将攻击中出现的多种攻击特征进行标准化，可满足未来扩展攻击特征以及后续扩展联动设备的需要。