01 威胁情报

威胁情报(Threat Intelligence)，也被称作安全情报(Security Intelligence)、安全威胁情报(Security Threat Intelligence)。

关于威胁情报的定义有很多，一般是指从安全数据中提炼的，与网络空间威胁相关的信息，包括威胁来源、攻击意图、攻击手法、攻击目标信息，以及可用于解决威胁或应对危害的知识。

在攻防演练中，防守单位可在威胁情报平台上检索攻击源IP，获取更多相关资讯信息。曾有安全分析人员分享到，他通过威胁情报实现了IP地址到QQ号的精准定位，让我们看看究竟他是如何做到的呢？

首先安全分析人员经威胁研判分析平台IP反查域名得到目前攻击IP：112.xx.xx.xx解析的域名为sxxx.xxxxd.cc。


继续在威胁研判分析平台查询该域名的whois注册信息，得到关键信息注册人：xxxxxxxxwang，QQ邮箱：10xxxxxxx@qq.com。




并通过该QQ进行搜索，其资料上也有该域名的相关字样，可以确定该域名属于该QQ的持有者，至此实现了IP地址到QQ号的精准定位。

02 蜜罐技术

蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为，其没有业务上的用途，所有流入流出蜜罐的流量都预示着扫描或者攻击行为，因此可以比较好的聚焦于攻击流量。

蜜罐可以实现对攻击者的主动诱捕，能够详细地记录攻击者攻击过程中的许多痕迹，可以收集到大量有价值的数据，如病毒或蠕虫的源码、黑客的操作等，从而便于提供丰富的溯源数据。举个例子，倘若攻击者使用如下用户名进行登录：

在蜜罐后台的攻击列表中查看，就可以发现其触发了SQL注入的检测规则。