赵林林以自身业务开展为出发点，介绍了威胁情报在安全智能工作中的重要作用，并预言“未来情报驱动安全智能化”将成为信息安全工作发展的大趋势之一。

据介绍，微步在线已经实现将概念落地为数据，对威胁事件的关注，对黑客团伙、攻击者工具、手段、资产的分析并对基础数据收集、整理与清洗。未来，威胁情报将驱动安全智能化，通过威胁情报数据来检测&响应场景中落地，最终实现驱动安全智能化

• 当前安全的挑战
• 威胁情报：从概念、落地到未来
• 情报驱动的安全智能化路径
• 微步在线进展

• 大数据 并非只来自于社交网络
• 大数据 并非只能预测用户兴趣
• 大数据 只有算法才是金手指

目录

• 问题与思考
• 大规模协议数据与NSM
  • • 数据收集
  • • 基于信标的检测与分析
• NSM场景实例

• 安全需求
• 安全挑战
• 知己知彼
• 系统架构
• 步骤1：日志字段提取
• 步骤1：日志字段提取
• 步骤2：威胁情报接口调用
• 步骤3：数据整合
• 步骤4：威胁查询优化
• 步骤5：事件联动接口调用
• 实现1：分析评估
• 实现2：本地威胁情报库
• 实现3：分析模型优化
• 实现4：自适应决策
• 使用威胁情报的收益

• 满城尽是可视化
• 可视化与认知
• 通过设计视觉符号提高效率
• VAST Challenge 2017
• 可视分析
• 可视分析模型
• 网络安全可视分析 – 基本可视化方式
• 网络安全可视分析 – 基本视化方式：树图Treemap
• 事态感知 – 案例分析1：基于网络警报日志的可视分析VizAlert
• 多层次网络数据可视分析
  • 多层次可视分析（1）--DDoS攻击检测
  • 多层次可视分析（2）--僵尸网络
• 比特币交易特征可视化
• Tim Draper Auction
• 数据与人的参与
• 大数据发展趋势
• 大数据分析与应用国家工程实验室
• 极端规模可视分析的十大挑战 Top Ten Challenges of Extreme Scale Visual Analytics
• 下一代可视化 － AI＋VIS

• 工作现状
• 数据分析处理
• 安全加固措施

• 近年来地下经济（黑产）的发展与对抗
• 近年来我们关于黑产的研究
• 基于泛名的Blackhat SEO ——蜘蛛池检测（USENIX Security 2016）
• 如何学习不用字典学习 Klingon语言 地下经济中使用黑话的检测与测量
• 如何学习克林贡语（Klingon）
• 从Amazon买一本Klingon 语言的字典
• 但是，作为中国人，你也许不懂“溜冰壶”
• 在Google搜索“溜冰壶”
• 百度 图片搜索“溜冰壶”
• 行话，黑话，黑词（jargons, black words）
• 黑话用来逃避检测
• 黑话在与检测的对抗中不断演进，无法预测
• 重用现存的词，但是含义不同，很难应用现有自然语言处理技术
• 点启发：1）有些页面已经被标记为恶意；2）一个页面推广多种黑词
• 我们的贡献
• 我们的方法：关键词驱动的黑色产业推广链条
• 黑产推广的模式 我们的检测流程—KDES
• 如何提取关键词——锚文本是最有效的
• 如何过滤热点新闻
• 利用搜索引擎的标签，判断白词和黑词
• 利用相关搜索来扩展黑词
• 结果：~40万 新的关键词，~2M URL, ~ 1M 域名，1500核心词，6类
• 最热门的黑词、对搜索引擎的污染
• 结果分析、测量
• 这些黑词在贴吧和知道等论坛上出现的情况
• 总结和未来的工作

报告主要内容

• 2016年我国互联网网络安全监测数据分析
• 2016年我国互联网安全状况
• 2017年值得关注的热点

• 清洗数据的动机
• 应用案例
• 某个社工库的技术实现图
• 数据分析
• 模型构造
• logtech config配置文件
• 三分钟模型演示数据过滤
• 数据处理结构图橄榄
• 一分钟模型演示数据统计

主题摘要

• 滴滴安全数据建设的现状；
• 滴滴安全数据平台的整体架构；
• 数据采集与清洗；
• 数据仓库；
• 数据分析与可视化方案。