網絡安全問題是信息時代最重要的問題，保護網絡安全非常重要。年中，國家發布了等級保護2.0標準，將于12月1日起實行。在2.0的標準下，首先提出了“威脅情報系統檢測”的要求，這是什么東西呢?下面就來簡單談談。

（網絡安全）

威脅情報檢測系統是一類網絡安全基礎設施，對網絡流量和終端進行實時監控、分析，應用威脅情報，機器學習，沙箱等多種檢測方法，發現隱藏在海量流量和終端日志中的可疑活動與安全威脅，幫助企業安全團隊精準檢測失陷(被控)主機 ，追溯攻擊鏈，定位當前攻擊階段 ，防止攻擊者進一步破壞系統或竊取數據。

威脅情報檢測系統已被證實在日常安全運維和重保活動 中發揮了關鍵作用。

從系統架構上講，威脅情報檢測系統與傳統的基于規則的檢測系統相比，有很大變革，至少需要具備如下八個模塊：

一、全流量的日志、文件提取與報警pcap存儲：對網絡全流量進行協議還原，提取網絡流量日志與流量中的文件，對所有報警和可疑網絡行為保存pcap以供后續分析，并提供可視化能力對機器的網絡行為進行深度分析;

二、威脅情報檢測模塊：分鐘級別同步最新的專業威脅情報數據，并用于實時流量檢測，情報包不只包含基礎的失陷指標IOC，還應包含黑客團伙情報信息;

三、機器學習模型檢測模塊：應用各類機器學習算法對傳統統計規則、威脅情報無法發現的網絡威脅進行檢測，如數據竊取行為、隧道通信行為、DGA域名等;

四、惡意文件檢測引擎模塊：對流量中提取的文件應用本地的文件檢測引擎，進行高效率的惡意文件識別;

五、沙箱檢測模塊：對本地可疑文件，應用本地或者云端沙箱技術進行判定;

六、內網橫向移動檢測模塊：支持接入內網流量發現內部橫向移動行為;

七、自定義情報檢測模塊：支持提供自定義情報功能，并應用于實時流量檢測;

八、攻擊鏈回溯分析模塊：對所有發現的各類威脅告警可以按照攻擊鏈進行關聯，完整回溯攻擊過程。