网络安全问题是信息时代最重要的问题，保护网络安全非常重要。年中，国家发布了等级保护2.0标准，将于12月1日起实行。在2.0的标准下，首先提出了“威胁情报系统检测”的要求，这是什么东西呢?下面就来简单谈谈。

（网络安全）

威胁情报检测系统是一类网络安全基础设施，对网络流量和终端进行实时监控、分析，应用威胁情报，机器学习，沙箱等多种检测方法，发现隐藏在海量流量和终端日志中的可疑活动与安全威胁，帮助企业安全团队精准检测失陷(被控)主机 ，追溯攻击链，定位当前攻击阶段 ，防止攻击者进一步破坏系统或窃取数据。

威胁情报检测系统已被证实在日常安全运维和重保活动 中发挥了关键作用。

从系统架构上讲，威胁情报检测系统与传统的基于规则的检测系统相比，有很大变革，至少需要具备如下八个模块：

一、全流量的日志、文件提取与报警pcap存储：对网络全流量进行协议还原，提取网络流量日志与流量中的文件，对所有报警和可疑网络行为保存pcap以供后续分析，并提供可视化能力对机器的网络行为进行深度分析;

二、威胁情报检测模块：分钟级别同步最新的专业威胁情报数据，并用于实时流量检测，情报包不只包含基础的失陷指标IOC，还应包含黑客团伙情报信息;

三、机器学习模型检测模块：应用各类机器学习算法对传统统计规则、威胁情报无法发现的网络威胁进行检测，如数据窃取行为、隧道通信行为、DGA域名等;

四、恶意文件检测引擎模块：对流量中提取的文件应用本地的文件检测引擎，进行高效率的恶意文件识别;

五、沙箱检测模块：对本地可疑文件，应用本地或者云端沙箱技术进行判定;

六、内网横向移动检测模块：支持接入内网流量发现内部横向移动行为;

七、自定义情报检测模块：支持提供自定义情报功能，并应用于实时流量检测;

八、攻击链回溯分析模块：对所有发现的各类威胁告警可以按照攻击链进行关联，完整回溯攻击过程。