本文内容根据深度：如何构建基于威胁情报的高效网络威胁监测架构整理产生，详细内容请参见原文

1. 网络流量威胁监测系统的方案选择

通过网络层面基于网络流量开展基于情报的威胁监测是建设本地威胁情报中心的核心能力之一。

1.1. 理想方案

• 威胁情报平台（TIP）： 作为基于威胁情报的监测系统的核心，负责汇集各种来源的威胁情报数据，赋能包括防火墙、IDS/IPS、NDR、SIEM/SOC系统在内各种检测设备和安全分析人员。
• TIP汇集的情报数据中，直接可以用来执行检测和监测的数据就是IOC（Indicator Of Compromise），还有各类可以支持分析研判的元数据和信誉信息。
• 理想情况下，各种来源的数据以明文形式提供，TIP平台可以方便地进行去重、验证、融合，这对于开源数据应该是可以的

1.2. 现实情况

• 很多TIP厂商也会同时是情报数据厂商，与其他数据厂商很可能存在竞争关系
• 数据厂商不愿意把自己的核心数据落到友商的TIP平台上，数据厂商根据获得的商业收益决定输出的数量和质量
• 在技术限制的层面上
  • 海量基础数据的本地化对绝大多数用户也不可行。被动DNS、样本信息数据、Whois数据条目量巨大且需要经常性更新，需要极大的存储计算资源
  • 日常更新的数据量也是巨量的；即使网络畅通也会消耗大量的带宽，更不用说很多物理和逻辑隔离的网络，基本不可能做到数据的