一文读懂|关于 OpenText Threat Intelligence 常见问题的解答
OpenText Threat Intelligence 在网络安全领域算得上是一套相当成熟的解决方案,它把机器学习和全球数据采集这两件事做得非常扎实,为合作伙伴提供了高效的防护能力。今天这篇文章,主要围绕三个核心板块来展开:平台优势与集成价值、威胁情报到底是怎么生成的,以及灵活的授权和技术支持体系。

OpenText Threat Intelligence
下面整理了关于 OpenText Threat Intelligence 的一些常见问题,希望能帮助大家快速了解这套产品的核心优势和使用方法。
通用问题
整合整套嵌入式安全服务,能带来什么?
简单说,把
OpenText Threat Intelligence
- ,满足终端客户越来越高的标准
额外的安全防护层
能够整合进全线 OEM 产品的技术能力
- ,可以通过现有渠道销售,完全不用担心渠道冲突或者客户归属权的问题
支持合作伙伴自有品牌的服务
因为是云服务模式,这套方案从小型设备到大规模系统都能覆盖。不管是远程办公点还是企业数据中心,OpenText Threat Intelligence 的灵活性都能应对,几乎可以满足所有类型的客户需求。
威胁情报是怎么生成的?
数据来源非常广泛,来自数百万个来源,包括实际的终端设备和合作伙伴的系统。系统会把URL、IP地址、文件、移动App等不同的数据点关联起来,利用一种叫做“关联罪证(guilt-by-association)”的模型来预测可能出现的威胁。这个模型的核心思路就是:如果一个实体和已知的恶意实体有强关联,那它本身也值得警惕。
授权和定价怎么运作?
合作伙伴可以自由选择最适合自己产品的集成方式。OpenText 提供灵活的定价模型,配合合作伙伴的商业需求,不会给中小企业增加额外的财务负担。
这些服务的技术优势在哪?
整合
OpenText Threat Intelligence
几乎不需要提高硬件配置
可以直接整合到合作伙伴的管理控制台、策略引擎和报告系统里
从SMB、远程办公室到数据中心,合作伙伴的所有产品线都能用
开发成果可以在整个产品线上复用,效率提升很明显
集成这些服务困难吗?
其实没那么复杂。通过快速、轻量的开发周期,通常1到4人月(开发加QA)就能完成。具体时间取决于合作伙伴的策略引擎、报告系统和管理控制台的复杂程度。OpenText 会提供参考平台、性能指标和测试服务作为开发指导,所以上手路径比较清晰。
SDK 怎么更新和维护?
OpenText 会定期发布新版本,包括 Threat Intelligence SDK 和 Streaming Malware Detection SDK 的最新功能和增强。旧版本仍然会得到持续支持,但为了最佳性能,还是建议使用最新版本。不过需要注意:Streaming Malware Detection SDK 的更新可能会需要额外一些系统资源,这个要提前考虑到。
技术文档去哪找?
完整的 SDK 和 API 使用说明(包括示例请求和返回格式)会提供给嵌入式合作伙伴,或者潜在合作伙伴在签署NDA之后也能拿到。
网页分类与网页信誉评分
提供哪些集成方式?
OpenText Threat Intelligence 的
Web Classification
Web Reputation
SDK 怎么用?
SDK 可以在客户端进行配置和调整,适配多种集成方式。OpenText 提供不同大小的本地数据库选项,范围从17MB到430MB,具体取决于你需要的配置。在每日更新期间,还需要额外的存储空间,但每次更新通常不到1MB,容量压力不大。
每日数据怎么更新?
数据库的完整更新每天发布一次,包含所有URL的最新分类信息。建议客户同时启用实时更新,这些更新会在每天的更新周期内持续发布,这样可以确保获得最新的分类和信誉变化。
性能表现能接受吗?
网络延迟当然会受到带宽、拥塞程度和硬件资源等因素的影响。不过 OpenText Threat Intelligence 的请求通常只会让网页完全加载的时间增加5%到10%左右,终端用户基本感觉不到这种差异。而且,通过使用本地数据库和缓存机制,解析请求的时间可以进一步缩短到微秒级,这在实际使用中是非常顺畅的体验。
Web Reputation Score 和 Domain Safety Score 有什么区别?
简单说,
Web Reputation Score
Domain Safety Score
Domain Safety Score 利用了专利的机器学习技术,根据域名的多项属性进行评估,比如证书和注册信息、当前和历史用户流量模式以及其他行为特征。两种评分都可以用来判断域名的风险程度,客户可以根据自己对流量可见度的需求来选择用哪一种。
IP 信任评分
提供哪些集成方式?
IP Reputation 服务可以通过 RESTful API 和
OpenText Threat Intelligence SDK
这个产品怎么用?
SDK 会配置为每日下载一份包含恶意IP地址的本地数据库,更新频率可以由集成该技术的合作伙伴自行设定。本地数据库的大小通常在20到40MB之间,实时更新文件就更小了。需要注意的是,这项服务主要用来防护公网(Public IPs)的入站威胁,不适用于内部网络或intranet的IP保护。
数据如何更新和维护?
IP地址和威胁态势变化非常快,所以建议每5分钟检查一次更新,用来补充每日的基础数据库文件。这种高频更新是确保防护有效性的关键。
性能表现怎么样?
OpenText Threat Intelligence SDK
实时反钓鱼能力
提供哪些集成方式?
Real-Time Anti-Phishing 服务可以通过 RESTful API 使用。API可以采用同步或异步两种方式:
- :当请求中的所有URL都已经被爬取并完成判定后,返回完整结果。
同步调用
- :采用工单机制,在查询时返回已经爬取并完成判定的URL信息。
异步调用
此外,OpenText Threat Intelligence SDK 也可以部署,用来自动缓存云端的查询结果,进一步提升效率。
这个产品怎么用?
建议在以下场景中通过客户端应用(比如浏览器或终端)来调用 Real-Time Anti-Phishing 服务:
邮件安全扫描流程中
作为批处理任务的一部分
数据如何更新和维护?
Real-Time Anti-Phishing 服务是在请求时对URL进行实时判定的,所以不需要更新本地数据就能直接使用。
性能表现怎么样?
因为服务依赖对目标网站的实时爬取和分析,通常会有几秒钟的延迟,来收集URL所需要的信息。在某些特定条件下,系统可以根据参数设置,对缓存数据进行判定,从而减少延迟。这在实时防护场景中是合理的权衡。
关于 Streaming Malware Detection
提供哪些集成方式?
Streaming Malware Detection
这个产品怎么用?
Streaming Malware Detection 通常部署在网络边缘设备上,作为第一层防御的一部分。它在文件传输过程中就能直接给出Good、Bad或Unknown的判断,文件不需要完全下载下来就能完成分析。如果需要使用额外变量,可以参考官方文档。
数据如何更新和维护?
建议每天至少为SDK下载一次最新的机器学习模型,这样才能确保能够防护最新的威胁。数据更新是保持防护效果的关键。
性能表现怎么样?
在很多情况下,SDK 在文件还没完全下载完之前就能完成分析并给出判断。分析时间通常在毫秒级,具体取决于文件大小和完成判定需要的数据量。这种流式处理能力对实时防护非常关键。
关于 File Reputation
提供哪些集成方式?
File Reputation 服务可以通过
RESTful API
OpenText Threat Intelligence SDK
这个产品怎么用?
File Reputation 通常用于实时检测“已知良性”或者“已知恶意”的文件。因为它没有本地数据库,所有查询都通过云端完成。不过 OpenText Threat Intelligence SDK 可以用来自动缓存云查询结果,从而提升性能。
数据如何更新和维护?
这个服务完全依赖云端查询,所以嵌入式安全合作伙伴不需要做任何本地更新。完全是无感维护的体验。
性能表现怎么样?
在正常网络条件下,API响应通常为毫秒级。而且这个API每次调用最多支持100个文件哈希的批量查询,效率相当高。