基于網(wǎng)絡(luò)開源情報的威脅情報分析與管理*

趙 寧 李 蕾 劉青春 葉 銳

(1.哈爾濱工業(yè)大學(xué)圖書館 哈爾濱 150001；2.公安部北京銳安科技有限公司 北京 100192)

隨著對安全領(lǐng)域的關(guān)注度提升，很多企業(yè)和機構(gòu)逐步聚焦威脅情報，尤其在安全領(lǐng)域。關(guān)于威脅情報的概念，并沒有一個明確的工業(yè)化定義，根據(jù)Gartner在《安全威脅情報服務(wù)市場指南》提出面向高端用戶提供決策依據(jù)的完整模式及響應(yīng)的涵義[1-2]，及Jon Friedman、Mark Bouchard在《網(wǎng)絡(luò)威脅情報權(quán)威指南》的流程目標定義[3]，結(jié)合美國中央情報局CIA對于情報的定義[4-5]，本文認為的企業(yè)威脅情報是傳遞與中央情報機構(gòu)提供具有類似屬性的防御情報，取代為國民領(lǐng)導(dǎo)或軍部指揮官提供的戰(zhàn)略性國家安全威脅情報，關(guān)注企業(yè)機構(gòu)系統(tǒng)，是安全團隊為企業(yè)決策者提供的對企業(yè)產(chǎn)生的潛在與非潛在危害的知識信息集合，保證機構(gòu)正常運轉(zhuǎn)、核心產(chǎn)業(yè)經(jīng)濟安全及持續(xù)發(fā)展。威脅情報產(chǎn)品作為一個跨學(xué)科整體方案，通過搜集、分析、評估和判斷形成預(yù)測情報產(chǎn)品，是防御級的安全分析需要的信息，用于評估敵人，可以還原已發(fā)生和預(yù)測未發(fā)生的攻擊。業(yè)內(nèi)更廣泛的關(guān)注是在技術(shù)威脅層面，即狹義的數(shù)據(jù)與信息網(wǎng)絡(luò)安全[6-7]。隨著互聯(lián)網(wǎng)特別是移動互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)環(huán)境愈發(fā)復(fù)雜，當(dāng)下威脅情報處于混沌的狀態(tài)，由于威脅情報的來源范圍廣、種類多、時效性強特點，使其在實際運用中面臨許多問題[8]。基于網(wǎng)絡(luò)開源情報(OSINT)中的威脅情報分析與管理機制研究主要包括對于主體——網(wǎng)絡(luò)OSINT的說明，客體——威脅情報的分析模式，管理運行流程——面向OSINT的威脅情報預(yù)警模型和基于OSINT的威脅情報體系運營機制的研究方面。

1 威脅情報的獲取及基于網(wǎng)絡(luò)OSINT重要性

目前網(wǎng)絡(luò)威脅變得越來越持續(xù)作用和具備先進技術(shù)性。威脅情報作為網(wǎng)絡(luò)信息安全領(lǐng)域的分支，其收集產(chǎn)生渠道如圖1包括：a.網(wǎng)絡(luò)情報，對于網(wǎng)絡(luò)流量數(shù)據(jù)。b.本地內(nèi)部情報，對于內(nèi)部網(wǎng)絡(luò)、終端和部署的安全設(shè)備產(chǎn)生的日志數(shù)據(jù)。c.邊界情報，從政府、供應(yīng)商和電信部門收集的信息。d.OSINT(開源情報)，新聞網(wǎng)站、博客、論壇、社交網(wǎng)絡(luò)、媒體站點、機構(gòu)公告等公共資源數(shù)據(jù)。e.秘密情報，包括暗網(wǎng)、地下論壇、執(zhí)法和情報機構(gòu)中的數(shù)據(jù)信息[9,10]。威脅情報基于以上融合情報的研判獲得，其情報感知的信息體量、威脅情報獲取難度和重要性的級別說明如圖1所示，按金字塔層級從下到上是增大、增加、增強的關(guān)系，塔頂?shù)拿孛芮閳笾蝎@取的威脅情報成分較大，但收集獲取途徑難度大，通常獲得的威脅情報比常規(guī)的網(wǎng)絡(luò)情報含有更重要的預(yù)警作用和價值。在金字塔中OSINT在威脅情報中起到了積極的作用，相較于秘密情報，OSINT目前以令人眼花繚亂的速度發(fā)展，為打擊威脅和網(wǎng)絡(luò)犯罪提供了新的行動路線，并且秘密情報獲取威脅情報也可能是基于OSINT的二次開發(fā)，需要特定的手段，提升對深網(wǎng)與暗網(wǎng)的監(jiān)控與研究能力，因為這些網(wǎng)絡(luò)中許多內(nèi)容仍可以被認為是開源的而被公眾使用，威脅情報挖掘需要OSINT的經(jīng)驗[11]。在所有威脅情報子類型中，網(wǎng)絡(luò)OSINT也許是使用最廣泛的情報，都可以為數(shù)據(jù)收集、分析、自動化集成和報告等，建立通用的流程和框架，成為威脅情報的重要組成部分。

在過去，威脅情報的來源和獲取數(shù)據(jù)途徑太少、處理能力弱，存在很大的不足。隨著互聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)進步，政府?dāng)?shù)據(jù)庫、企業(yè)內(nèi)容和不斷增長的個人數(shù)據(jù)不斷開放，越來越多地發(fā)布在網(wǎng)絡(luò)上，也促進個人、機構(gòu)甚至是國家的數(shù)據(jù)訪問，這成為情報機構(gòu)加以利用的OSINT來源，側(cè)重點不斷加大。內(nèi)容上，論壇、群組等共享范圍加大，用戶不斷生產(chǎn)內(nèi)容，更多私人和保密領(lǐng)域的文件被泄露，擴大了OSINT的收集量。手段上，除對互聯(lián)網(wǎng)公共資源數(shù)據(jù)進行爬取、API獲取和訂閱，美國政府部門部署Maltego、Recon-ng、theHarvester、Shodan等工具獲取相關(guān)情報[12]。網(wǎng)絡(luò)OSINT對于威脅情報的重要性體現(xiàn)在：在收集獲取上，OSINT的信息來源易于訪問、風(fēng)險較小且經(jīng)濟高效；在威脅情報的應(yīng)用中，OSINT由于其信息體量大、涵蓋方面多，可提供包括維護國家安全和政治穩(wěn)定、在線查找虛假服務(wù)、輔助金融調(diào)查、法律問題等廣泛領(lǐng)域情報；在威脅情報的分析與管理中，OSINT有利于掌握威脅全景圖，其豐富的特征用于信任評估，其信息數(shù)據(jù)來源更新快，足以滿足情報分析的需求，也能夠?qū)崟r、準確地對事件進行決策及繼續(xù)完善。特別是有利于長期和全面的情報感知，包括數(shù)據(jù)、情境和態(tài)勢感知的支持，如OSINT對于社交媒體中積累的證據(jù)進行社會輿情分析可以應(yīng)用于市場、政治或災(zāi)害管理等方面，通過OSINT中的數(shù)據(jù)分析匹配感知犯罪和追蹤，根據(jù)OSINT在網(wǎng)絡(luò)攻擊的取證調(diào)查網(wǎng)絡(luò)犯罪和組織犯罪等[13]。OSINT被各國政府和情報部門廣泛利用，已經(jīng)成為安全與國防機構(gòu)的必要能力，威脅情報也成為網(wǎng)絡(luò)OSINT領(lǐng)域中發(fā)展速度最快的部分之一。

圖1 威脅情報信息體量、獲取難度、重要性層級

2 基于OSINT的威脅情報收集需求及價值層次

威脅是指對企業(yè)造成危害和利益受到損失，基于OSINT的威脅情報收集需求主要為幫助企業(yè)對面臨威脅的態(tài)勢感知、特定類別的風(fēng)險識別，用于輔助支持安全決策或分析并做出及時響應(yīng)防御，以保護企業(yè)的關(guān)鍵資產(chǎn)。針對企業(yè)來講，潛在網(wǎng)絡(luò)系統(tǒng)存在的威脅，攻擊行為動態(tài)感知和溯源是需要數(shù)據(jù)支撐的，所以從對安全威脅、威脅者、惡意軟件、漏洞和危害指標收集作為用于評估和應(yīng)用的數(shù)據(jù)集和信息集合?；贠SINT的來源，收集主要從a.檢測的角度，對于話題檢測可從互聯(lián)網(wǎng)平臺開放的技術(shù)文章、論壇、社交媒體等開源信息獲取威脅情報基礎(chǔ)信息、提取特征生成識別、攻擊等相關(guān)惡意檢測知識；b.態(tài)勢感知的角度，通過OSINT掌握利用各種形式的數(shù)據(jù)信息，進行評估預(yù)測，如爬取獲得基于多個OSINT的威脅情報源構(gòu)建威脅情報全景圖，獲得網(wǎng)絡(luò)攻擊預(yù)測的方法，提升對威脅的識別，理解分析、響應(yīng)處置能力，但開源信息的不確定和模糊性需要解決獲取接近真實的問題；c.威脅狩獵的角度，作為威脅情報收集的輔助方式，基于網(wǎng)絡(luò)和數(shù)據(jù)進行主動的和反復(fù)的搜索獲取新的目標。通過聯(lián)合分析得出不同場景應(yīng)用，結(jié)合已有開源威脅情報與實時流量數(shù)據(jù)，對威脅情報進行深度關(guān)聯(lián)和分析，發(fā)現(xiàn)潛在網(wǎng)絡(luò)系統(tǒng)存在的威脅。

市面上也有很多基于OSINT 數(shù)據(jù)的威脅情報平臺，使用該來源的信息，通常面臨數(shù)據(jù)種類多、冗余重復(fù)度大、覆蓋面不全、過時不準確等，這是OSINT收集時需要注意的問題。解決OSINT信息處理相關(guān)的難點，以有效利用威脅情報[14]。針對OSINT信息本身，在收集時需要做到可用性大、精度高、保證信息源的覆蓋面、可信度強、及時性，OSINT的威脅情報收集方案：首先確定收集需求；然后是收集計劃，即信息源、信息格式、研判方式及收集方式保證來源信譽的權(quán)重高及信息質(zhì)量的匹配；通過相應(yīng)的方法區(qū)分OSINT威脅情報的層次，包括機器分析和人工研判；最后就是利用OSINT進行威脅情報的分析[15]。威脅情報收集的價值在于，機構(gòu)可以結(jié)合自身業(yè)務(wù)對網(wǎng)絡(luò)OSINT信息數(shù)據(jù)提取，匯總作為告警感染指標IOC，同一類別基于OSINT的威脅情報可能有多個來源，因為OSINT來源信息數(shù)據(jù)的不確定性，質(zhì)量需要評估篩選，則需要對其可信度做出評價，避免“數(shù)據(jù)中毒”，來源可靠且本身質(zhì)量高的開源威脅情報是具有價值的威脅情報，對于價值的量化可以通過所在坐標的模進行表示，區(qū)分出基于OSINT的威脅情報層次[16]。

圖2 基于OSINT的威脅情報價值判斷坐標

收集互聯(lián)網(wǎng)的OSINT，并基于機器學(xué)習(xí)的威脅檢測，類似相關(guān)的威脅的聚類[17,18]，如圖2所示，區(qū)分OSINT信息威脅情報的層次，被機器自動判定為威脅情報的A，映射A的價值為：

VA=|A(xa,ya)|(x>0，y>0)

同理可得，映射B，C需要判定價值的優(yōu)先級：

VB=|B(xb,yb)|(x>0，y>0)

VC=|C(xc,yc)|(x>0，y>0)

通過此方法區(qū)分出威脅情報價值層次，便于OSINT信息的處理。

3 基于OSINT挖掘威脅情報的系統(tǒng)架構(gòu)

3.1威脅情報挖掘的系統(tǒng)架構(gòu)在網(wǎng)絡(luò)OSINT中，威脅情報的感知和收集，需要借助大數(shù)據(jù)來開展與進行?；谕{分析收集情報的需求而產(chǎn)生，以O(shè)SINT的收集和管理為目標，具有自定義情報、關(guān)聯(lián)搜索、情報管理、情報導(dǎo)出等功能。建設(shè)本地威脅情報平臺，實現(xiàn)對威脅情報數(shù)據(jù)收集、多源聚合、評估、生命周期管理，并提供情報數(shù)據(jù)多屬性、多維度的檢索，提升威脅情報生產(chǎn)、輸出業(yè)務(wù)能力[19]。

圖3 威脅情報挖掘系統(tǒng)架構(gòu)圖

系統(tǒng)架構(gòu)如圖3所示，其架構(gòu)層實現(xiàn)的功能和具體機制見表1。

表1 威脅情報平臺系統(tǒng)架構(gòu)層功能機制

3.2威脅情報管理的系統(tǒng)功能作為威脅情報管理系統(tǒng)的一部分，OSINT進行分析和生產(chǎn)，與其他源情報融合得到全面的威脅情報。設(shè)計威脅情報管理系統(tǒng)，系統(tǒng)功能分為幾大模塊，包括威脅情報接入、威脅情報檢測、威脅情報分析、情報管理、漏洞預(yù)警與攻擊組織畫像，實現(xiàn)對威脅情報數(shù)據(jù)信息收集、融合、檢測、分析評估、生命周期管理，并提供情報數(shù)據(jù)多屬性、多維度的檢索，提升威脅情報生產(chǎn)、輸出業(yè)務(wù)能力。具體功能如下說明：

3.2.1 威脅情報接入模塊 威脅情報的接入模塊主要包括情報的輸入和輸出兩部分，部署位置在情報數(shù)據(jù)接入服務(wù)器，通過對自采集的威脅情報、API導(dǎo)入的第三方情報、人工輸入情報、系統(tǒng)自生產(chǎn)的情報進行情報數(shù)據(jù)的接入、轉(zhuǎn)換、清洗、匯入、持久化等功能。同時有效地收集各種OSINT，由威脅情報管理服務(wù)器和收集代理組成。威脅管理服務(wù)器可根據(jù)每個收集通道要收集的信息量動態(tài)分配收集代理，調(diào)整工作量，并通過將從代理收集的信息轉(zhuǎn)換為預(yù)定義的數(shù)據(jù)庫存儲結(jié)構(gòu)來管理這些信息。收集代理通過基于從威脅情報管理服務(wù)器接收到的環(huán)境設(shè)置信息構(gòu)建收集環(huán)境，第一階段是采集索引階段并判斷情報優(yōu)先級，通過再歸類查詢，發(fā)送查詢管理通過OSINT收集歷史。

3.2.2 威脅情報檢測模塊 情報檢測模塊支持用戶通過Web訪問或者應(yīng)用程序接口API查詢的方式，通過多維數(shù)據(jù)展示，提供給用戶豐富的入侵威脅指標上下文信息以及與其相關(guān)聯(lián)的DY〗情報信息。部署于數(shù)據(jù)中心的檢測引擎軟件，可以流式查詢、流式統(tǒng)計、流式過濾篩選、流式比對操作、流式結(jié)構(gòu)拆分和自定義函數(shù)操作等。

3.2.3 威脅情報分析模塊 威脅情報分析模塊包括威脅情報的關(guān)聯(lián)分析以及情報的融合，在龐大的OSINT中，快速有效識別有價值信息，結(jié)合相應(yīng)安全事件的監(jiān)測和預(yù)警，在威脅情報的搜集到整合、利用、響應(yīng)的生態(tài)鏈條中，建立以威脅情報線索驅(qū)動的高持續(xù)性網(wǎng)絡(luò)威脅的深度監(jiān)測和分析能力。拓展挖掘?qū)κ录谋O(jiān)測范圍，形成對于持續(xù)、特定組織的安全威脅行為的畫像信息管理，通過構(gòu)建情報之間的關(guān)聯(lián)關(guān)系，挖掘情報之間的潛在聯(lián)系，融合多源威脅情報，可建立可視化圖譜分析供用戶使用。

3.2.4 威脅情報管理模塊 威脅情報管理模塊主要包括情報的生命周期管理、情報置信度管理、情報統(tǒng)計等功能，目前情報的生命周期管理采用獨有的事件驅(qū)動方式，通過事件的觸發(fā)來開啟或者棄用威脅情報，實現(xiàn)威脅情報生命周期的自管理模式。情報統(tǒng)計模塊主要針對不同源、類型的威脅情報、基于時間線的情報數(shù)量等維度對本地威脅情報進行了統(tǒng)計分析，支持下鉆等功能。能夠?qū)τ谕{情報數(shù)據(jù)包括的攻陷指標IOCs元素，具備質(zhì)量評估、老化檢測機制和生命周期管理的能力。

3.2.5 漏洞預(yù)警與攻擊組織畫像模塊 漏洞預(yù)警與攻擊組織畫像模塊主要包括針對重點漏洞進行及時預(yù)警通報，對攻擊組織和攻擊組織所實施的活動能夠進行組織畫像和行為畫像，進一步分析出攻擊組織的動向和信息。畫像信息主要包括：攻擊組織或攻擊活動名稱、別名、首披露時間、源國家或地區(qū)、所屬國家、基本描述、目標國家或地區(qū)、目標行業(yè)、目標對象、攻擊動機、常用軟件工具；攻擊組織關(guān)聯(lián)情報信息，包括攻擊戰(zhàn)術(shù)技術(shù)過程描述、關(guān)聯(lián)攻擊組織分析報告；攻擊組織或攻擊事件網(wǎng)絡(luò)資產(chǎn)信息：包括攻擊組織或攻擊事件所使用網(wǎng)絡(luò)資產(chǎn)；攻擊組織或攻擊事件關(guān)聯(lián)網(wǎng)安監(jiān)測配置信息。

4 面向OSINT的威脅情報的分析模式及預(yù)警管理

4.1基于OSINT的威脅情報分析模式情報分析的流程理論環(huán)節(jié)上分為采集-加工-分析環(huán)節(jié)，而基于OSINT的威脅情報分析過程也包括OSINT的獲取識別-融合處理-關(guān)聯(lián)分析的系統(tǒng)過程，其分析運行邏輯如圖4所示。

圖4 威脅情報分析運行邏輯圖

基于OSINT的威脅情報分析模式作為一個系統(tǒng)過程，主要內(nèi)容為：

a.威脅情報獲取與識別提取。威脅情報分析以數(shù)據(jù)為基礎(chǔ)，提供準確豐富的威脅情報數(shù)據(jù)以及服務(wù)，作為網(wǎng)絡(luò)OSINT，可以從技術(shù)文章、深網(wǎng)暗網(wǎng)的開源信息、論壇博客、社交媒體、公共代碼庫和漏洞報告的情報源中獲取數(shù)據(jù)，通過動態(tài)爬蟲檢測更新等，對于OSINT確定范圍，要了解信息源，明確哪些是需要關(guān)注的，了解威脅情報類型是屬于戰(zhàn)略性、運營級還是戰(zhàn)術(shù)性的，利用已知的攻擊手段查找相關(guān)線索。預(yù)處理數(shù)據(jù)時明確OSINT信息來源格式，對于OSINT的統(tǒng)一接入及特征提取，信息的預(yù)處理包括惡意事件標注、檢測特征、IOCs自動化提取、人工校驗修正等標簽化操作，單一的信息和數(shù)據(jù)經(jīng)過分析處理得到有價值的情報，結(jié)構(gòu)化數(shù)據(jù)進行正則、字典匹配；非結(jié)構(gòu)化信息一般需要NLP進行處理，不同的信息種類，處理方式不同，應(yīng)用機器挖掘技術(shù)獲取目標實體關(guān)系，OSINT的接入與提取場景進行對比分析[20]。

b.威脅情報的融合評價。高質(zhì)量的威脅情報是具有時效性、準確性、完整性、可操作等特征，作為網(wǎng)絡(luò)OSINT具有獨立性和無組織性，情報信息具有多源異構(gòu)性，對于情報源聚合處理，系統(tǒng)能夠?qū)Πㄉ虡I(yè)情報、開源情報、自有監(jiān)測情報、行業(yè)或組織共享情報等多來源的情報信息有效管理和相應(yīng)的數(shù)據(jù)信息進行融合處理，形成可持續(xù)運營的多源威脅情報融合處理能力；結(jié)合利用本體構(gòu)建技術(shù)一致性分析和相同威脅信息的IOCs去重去偽等操作，整合成一個系統(tǒng)的威脅情報指標體系并建模，提高威脅情報的分析效率。指標考慮的方面包括：時效性、準確性、相關(guān)性，包括研判的周期和時效性，日常的分析和不定期的研判狀態(tài)分析設(shè)置；對于信息來源信譽和質(zhì)量，官方網(wǎng)站、專業(yè)媒體等的權(quán)值可以大一點，信息質(zhì)量要根據(jù)不同來源進行匹配設(shè)定威脅情報的層次。

c.威脅情報的關(guān)聯(lián)分析。結(jié)合OSINT基礎(chǔ)數(shù)據(jù)、自有流量數(shù)據(jù)，采集外部來源，威脅情報的關(guān)聯(lián)分析主要應(yīng)用于惡意檢測、態(tài)勢感知和威脅狩獵場景上，技術(shù)上充分利用大數(shù)據(jù)分析、機器學(xué)習(xí)、關(guān)聯(lián)圖譜等技術(shù)深入挖掘威脅情報的潛在的價值和內(nèi)在關(guān)聯(lián)關(guān)系，關(guān)聯(lián)溯源對威脅情報信息中攻陷指標元素關(guān)聯(lián)信息自動提取、構(gòu)建威脅情報圖譜。網(wǎng)絡(luò)OSINT促進提取相關(guān)知識與惡意軟件的靜態(tài)、動態(tài)特征數(shù)據(jù)進行關(guān)聯(lián)，OSINT各種形式的數(shù)據(jù)信息挖掘促進深度關(guān)聯(lián)、全面評估推理揭示出隱含的威脅信息，通過模式匹配、圖計算、特定語言等實現(xiàn)情報的聯(lián)動，提升中心整體安全解決方案防護效果。

4.2基于OSINT的威脅情報預(yù)警處理威脅情報不只是被動的事后檢測，安全預(yù)警是威脅情報運營體系重要的環(huán)節(jié)，威脅情報預(yù)警能夠處理是針對特定攻擊組織或攻擊事件基礎(chǔ)信息、監(jiān)測配置信息的管理，能夠針對重點漏洞進行及時的預(yù)警和跟蹤。針對OSINT建立威脅情報預(yù)警模型(如圖5所示)，具有確定威脅優(yōu)先級、精準發(fā)現(xiàn)核心關(guān)鍵性威脅、重大事件預(yù)警的效果，有助于采取積極的措施，建立計劃來打擊當(dāng)前和未來的威脅。其核心為：

a.動態(tài)監(jiān)測方面，構(gòu)建OSINT巡查業(yè)務(wù)知識庫，形成針對覆蓋屬地范圍內(nèi)的內(nèi)容監(jiān)測系統(tǒng)，對OSINT包含的信息識別，進行威脅登記，實現(xiàn)對威脅情報的實時分析和預(yù)警機制。

b.分析處理方面，設(shè)置基于數(shù)據(jù)驅(qū)動分析要素的OSINT研判思路，形成了針對OSINT事件分類體系、構(gòu)建了針對不同類別情報的分析處理，呈現(xiàn)威脅情報分析結(jié)果，威脅情報的分析種類如表2所示。

表2 威脅情報分析的種類

c.融合預(yù)警方面，通過將系統(tǒng)在互聯(lián)網(wǎng)開源獲取的信息與其他影響因素結(jié)合，建立預(yù)警模型，數(shù)據(jù)進行交叉比對、碰撞，按照預(yù)警標度，如表3所示，為現(xiàn)實部門處置提供情報支撐。

表3 預(yù)警標度及標度含義

d.預(yù)警輸出方面，建立威脅情報攻陷指標多渠道輸出，對情報內(nèi)容、目標組織(或領(lǐng)域行業(yè))、情報惡意類型等維度可定制的輸出接口，具有威脅情報IOCs數(shù)據(jù)靈活可定制輸出。

根據(jù)威脅的應(yīng)用場景，情報處于攻擊鏈的不同階段，不同威脅情報處理通過預(yù)警標度進行機器研判和人工研判，機器研判不準的結(jié)合專家人員思想進行人工研判，預(yù)警標度作為緊急危險的快速響應(yīng)，按照評級進行優(yōu)先修復(fù)和防范，可以縮短對高危情況的響應(yīng)時間。根據(jù)預(yù)警決策，系統(tǒng)根據(jù)威脅模型應(yīng)對策略庫進行相應(yīng)處置。

5 基于OSINT的威脅情報體系運營機制

5.1基于威脅情報生態(tài)運行機制網(wǎng)絡(luò)沖突和攻擊為安全威脅的主要形式，建立綜合性防御體系需要從生態(tài)開始，這是有效建立安全防護系統(tǒng)運作過程，其運行機制是以生態(tài)鏈中各主體的存在為前提，將主體之間關(guān)系梳理成相對具體化的運行方式。威脅情報生態(tài)鏈的主體構(gòu)成有機構(gòu)用戶、相應(yīng)服務(wù)商、安全廠商、研究機構(gòu)、安全監(jiān)管機構(gòu)，各個生態(tài)角色間互相協(xié)作；客體威脅情報的作用是應(yīng)用于防御中體現(xiàn)其價值，基于態(tài)勢感知將威脅情報結(jié)果應(yīng)用在防御體系內(nèi)并持續(xù)發(fā)展，安全防護生態(tài)整體可以更為有效的對抗安全威脅；生態(tài)運行是威脅情報信息需求、獲取、處理、生產(chǎn)、利用動態(tài)循環(huán)的過程，情報用戶利用情報并反饋高價值情報，相應(yīng)服務(wù)商和安全廠商生產(chǎn)共享威脅情報，研究機構(gòu)研究高價值的威脅情報，監(jiān)管部門利用執(zhí)行構(gòu)成威脅情報生態(tài)，驅(qū)動力包括內(nèi)部和外部信息環(huán)境?；谕{情報生態(tài)運行機制，需要對發(fā)揮客體威脅情報價值作用、優(yōu)化挖掘過程作用到主體上進行完善，細化來看包括：

a.完善主體組織機構(gòu)。構(gòu)建威脅情報生態(tài)系統(tǒng)應(yīng)對復(fù)雜難測的網(wǎng)絡(luò)威脅，在戰(zhàn)略上通過完善主體組織，實現(xiàn)硬件和軟件部署，可以全面掌握對于威脅情報態(tài)勢感知。如美國國土安全部(DHS)依托美國情報組織架構(gòu)基礎(chǔ)，建立情報機構(gòu)之間以及聯(lián)邦、州、地方政府的網(wǎng)絡(luò)威脅情報生態(tài)系統(tǒng)，以通過完善部門職能和組織機構(gòu)、共享情報指標信息。健全網(wǎng)絡(luò)安全機構(gòu)，發(fā)展其他組織機構(gòu)，成立了威脅情報交換聯(lián)盟，推動威脅情報生態(tài)建設(shè)，通過企業(yè)與政府、國家主體間、各個行業(yè)間的多層面威脅情報生態(tài)系統(tǒng)運轉(zhuǎn)，生態(tài)角色發(fā)揮作用，提高其網(wǎng)絡(luò)空間安全態(tài)勢的感知和防御能力，形成網(wǎng)絡(luò)威脅情報體系。

b.強化技術(shù)手段。提升情報信息技術(shù)水平，提高信息處理技術(shù)，生產(chǎn)高質(zhì)量威脅情報和利用促進威脅情報生態(tài)循環(huán)。對于OSINT有效信息的感知和收集和處理是首要條件，隨著開放信息的增多，威脅情報的增長為富集效應(yīng)，其轉(zhuǎn)化的速度也越快，針對威脅情報收集能力的提升，基于國內(nèi)外OSINT與多源情報融合，如美歐日等各地實施全網(wǎng)部署蜜罐流量探針捕獲、實施云端監(jiān)測、網(wǎng)絡(luò)空間測繪和國內(nèi)外開源與商用情報源；提高數(shù)據(jù)挖掘分析，增加情報的獲取能力，采用 “大數(shù)據(jù)+AI”智能分析的監(jiān)督式機器學(xué)習(xí)方式，進行研判與響應(yīng)；另外要針對場景進行攻擊演練，鍛煉強化技術(shù)手段。

c.完善法律法規(guī)信息環(huán)境。信息安全、規(guī)范制度和發(fā)展環(huán)境因素促進威脅情報生態(tài)運行，需要明確建立網(wǎng)絡(luò)威脅系統(tǒng)操作流程、報告?zhèn)魉?，像美國政府有正式的綜合立法CISA，制定相關(guān)程序和指南，網(wǎng)絡(luò)威脅信息、防御措施、隱私與自由的網(wǎng)絡(luò)威脅其他相關(guān)信息的限制規(guī)定，提供相應(yīng)運行條例的參考，規(guī)范威脅情報采集，幫助威脅情報分析人員為規(guī)避法律風(fēng)險；像美國國土安全部(DHS)、司法部(DoJ)頒布相應(yīng)的行政指令進行約束，以便更好地處理國家安全、經(jīng)濟、健康方面的網(wǎng)絡(luò)威脅。

5.2完善威脅情報共享協(xié)同機制加強網(wǎng)絡(luò)威脅情報的共建共享，融合情報數(shù)據(jù)，安恒首席科學(xué)家劉博認為，網(wǎng)絡(luò)空間威脅情報能力的建設(shè)，需要從融合威脅情報數(shù)據(jù)、協(xié)同處置等角度著手，形成流程的閉環(huán)[21]。完善威脅情報共享協(xié)同機制需要鼓勵政府、公共機構(gòu)、企業(yè)加入威脅情報共享聯(lián)盟和社區(qū)，形成威脅情報共享的完整體系，細化來看包括：

a.建立融合式共享模式。借鑒歐盟ISAC的融合式共享模式，建立多視角、多層次、多領(lǐng)域的威脅情報共享聯(lián)盟。構(gòu)建威脅情報共享云，云端安全監(jiān)測，通過跨部門、跨領(lǐng)域各層級的協(xié)調(diào)機構(gòu)統(tǒng)籌，加強網(wǎng)絡(luò)安全管理部門與行業(yè)、企業(yè)的合作與支持、共享威脅情報并采取行動。通過互聯(lián)互通、融合信息和快速更新，協(xié)同防御威脅攻擊，增強系統(tǒng)的感知能力，彌補外部威脅的認識不足，海量關(guān)聯(lián)情報數(shù)據(jù)，不僅能提高本地機構(gòu)相應(yīng)速度，還可以結(jié)合不同的服務(wù)，用于不同的共享模型提供更多的有效數(shù)據(jù)支撐。

b.建立共享體系標準。標準化是威脅情報共享的技術(shù)基礎(chǔ)，構(gòu)建網(wǎng)絡(luò)威脅信息共享指南可提高效率和合作范圍，方便對系統(tǒng)業(yè)務(wù)在執(zhí)行過程的監(jiān)督，為情報資源共享提供有效保障。需要完善相關(guān)國際通用標準，建立分析指標、控制策略、共享指南，使得情報有效共享、協(xié)同聯(lián)動，推動威脅情報的發(fā)展。可借鑒歐盟NIS指令和美國NIST指南對結(jié)構(gòu)化威脅信息表達、自動化交換、網(wǎng)絡(luò)可觀察表達等網(wǎng)絡(luò)安全威脅信息進行管理，制定威脅情報應(yīng)用、發(fā)布、共享和交換節(jié)的技術(shù)要求，建立共享標準規(guī)范體系，通過共享體系標準的建設(shè)，保證威脅情報的質(zhì)量與水平。

c.加強協(xié)同合作發(fā)展。借鑒美國政府加強與網(wǎng)絡(luò)安全私營部門的合作、歐盟統(tǒng)籌協(xié)調(diào)的網(wǎng)絡(luò)威脅情報共享發(fā)展模式，構(gòu)建“主導(dǎo)+成員”的聯(lián)合建立協(xié)作環(huán)境，集成共享威脅情報信息，根據(jù)場景識別進行任務(wù)分派，共同主動應(yīng)對網(wǎng)絡(luò)威脅，制定長效協(xié)同合作機制。在確保執(zhí)行網(wǎng)絡(luò)任務(wù)的資源下，以問題為導(dǎo)向進行任務(wù)協(xié)同及監(jiān)管，構(gòu)建強化網(wǎng)絡(luò)威脅情報的整合中心，滿足跨部門、跨領(lǐng)域協(xié)作的需求，形成網(wǎng)絡(luò)化的組織模式，共同發(fā)揮溯源和反威脅能力，通過不斷加強的情報共享技術(shù)、資金、人力提升合作力度，加強網(wǎng)絡(luò)威脅情報協(xié)同合作發(fā)展，提高威脅情報的治理能力。

5.3建立威脅情報安全產(chǎn)品機制威脅情報單獨存在沒有實現(xiàn)其價值，而體系化能力的解決方案必須通過產(chǎn)品和服務(wù)實現(xiàn)[22]。比較起國外，國內(nèi)的安全防御體系并不完備，很多時候威脅情報沒有真正發(fā)揮價值，導(dǎo)致用戶認為其沒有價值。建立威脅情報安全產(chǎn)品機制，發(fā)揮相應(yīng)的情報產(chǎn)品價值，提升威脅情報運營和實踐作用，細化來看包括：

a.情報產(chǎn)品場景化策略。若安全威脅情報產(chǎn)品進行有效市場劃分，商業(yè)環(huán)境促進其利用使用，用戶的有效消費，根據(jù)情境部署、構(gòu)建防御策略，生產(chǎn)威脅情報產(chǎn)品，按體系化建設(shè)的解決方案對應(yīng)的情報產(chǎn)品機制，集合威脅情報服務(wù)廠商提供資源，發(fā)揮更大價值，會使得威脅情報體系建設(shè)越來越成熟。開展情報產(chǎn)品項目實踐進行體系建立的驗證，填補承包商的網(wǎng)絡(luò)安全短板和相應(yīng)場景化、功能化發(fā)展策略，也是各類組織實現(xiàn)網(wǎng)絡(luò)安全保障和體系化建設(shè)的最佳指南。

b.威脅情報產(chǎn)品標準化。業(yè)界制定了一系列的威脅情報交換標準，根據(jù)控制建議、指標信息、屬性描述等制定威脅情報產(chǎn)品的相應(yīng)標準，方便應(yīng)用在不同領(lǐng)域進行網(wǎng)絡(luò)安全管理，比如通信、工業(yè)、銀行、能源等行業(yè)中。建立相關(guān)威脅情報的標準、實現(xiàn)多源異構(gòu)威脅情報共享，使得各大廠商統(tǒng)一標準，提高威脅情報產(chǎn)品生產(chǎn)的聯(lián)動效率。

c.威脅情報產(chǎn)品服務(wù)推廣。威脅情報運營手段類似其他的安全運營，而威脅情報產(chǎn)品應(yīng)用推廣，是傳遞至用戶使之成為有效情報的過程，需要根據(jù)業(yè)務(wù)特性，考核運營閉環(huán)指標，結(jié)合威脅情報能力生命周期進行，可對情報產(chǎn)品進行進一步加工，達到相應(yīng)的目的和效果，可以設(shè)置迭代升級情報產(chǎn)品的版本號，完善威脅情報產(chǎn)品體系服務(wù)。

6 結(jié) 語

隨著互聯(lián)網(wǎng)的發(fā)展，新時代攻防的需求改變，復(fù)雜的攻擊行為伴隨著產(chǎn)業(yè)化。團伙化、創(chuàng)新化的攻擊手段方式創(chuàng)新多樣化，并且伴有持續(xù)性，需要對威脅情報有效的檢測、攔截和分析。網(wǎng)絡(luò)信息泛濫，基于網(wǎng)絡(luò)OSINT的使用是威脅情報挖掘的重要驅(qū)動力，作為安全與國防的必要來源，需要建立主動型預(yù)測性的威脅情報分析為主的模式，通過技術(shù)的模塊化進行深度分析與監(jiān)測管理，及時預(yù)警和跟蹤，發(fā)揮在信息安全領(lǐng)域保護企業(yè)關(guān)鍵資產(chǎn)和國家政治穩(wěn)定的作用。目前由于缺乏統(tǒng)一的基于OSINT的威脅情報共享主管機構(gòu)，相應(yīng)各機構(gòu)缺乏協(xié)調(diào)機制，難以真正實現(xiàn)聯(lián)盟層面威脅情報的共享利用。需要從戰(zhàn)略高度識別應(yīng)對關(guān)鍵網(wǎng)絡(luò)威脅的方向，完善主體、強化技術(shù)手段和相關(guān)信息環(huán)境建立互利共贏的OSINT威脅情報生態(tài)，通過融合式共享模式、共享體系標準、加強協(xié)同合作發(fā)展完善共享協(xié)同機制，根據(jù)場景化、標準化，迭代運營服務(wù)建立安全產(chǎn)品市場推廣機制，有助于威脅情報體系發(fā)展與完善。威脅情報未來也會貼近實際應(yīng)用和真實運營，基于OINST的挖掘分析與管理需要考慮成本，去解決威脅情報共享聯(lián)盟信息不對稱的問題，保證生產(chǎn)具有時效性、準確性、完整性的高質(zhì)量威脅情報產(chǎn)品。