趙 寧 李 蕾 劉青春 葉 銳

(1.哈爾濱工業(yè)大學(xué)圖書(shū)館 哈爾濱 150001；2.公安部北京銳安科技有限公司 北京 100192)

隨著對(duì)安全領(lǐng)域的關(guān)注度提升，很多企業(yè)和機(jī)構(gòu)逐步聚焦威脅情報(bào)，尤其在安全領(lǐng)域。關(guān)于威脅情報(bào)的概念，并沒(méi)有一個(gè)明確的工業(yè)化定義，根據(jù)Gartner在《安全威脅情報(bào)服務(wù)市場(chǎng)指南》提出面向高端用戶提供決策依據(jù)的完整模式及響應(yīng)的涵義[1-2]，及Jon Friedman、Mark Bouchard在《網(wǎng)絡(luò)威脅情報(bào)權(quán)威指南》的流程目標(biāo)定義[3]，結(jié)合美國(guó)中央情報(bào)局CIA對(duì)于情報(bào)的定義[4-5]，本文認(rèn)為的企業(yè)威脅情報(bào)是傳遞與中央情報(bào)機(jī)構(gòu)提供具有類似屬性的防御情報(bào)，取代為國(guó)民領(lǐng)導(dǎo)或軍部指揮官提供的戰(zhàn)略性國(guó)家安全威脅情報(bào)，關(guān)注企業(yè)機(jī)構(gòu)系統(tǒng)，是安全團(tuán)隊(duì)為企業(yè)決策者提供的對(duì)企業(yè)產(chǎn)生的潛在與非潛在危害的知識(shí)信息集合，保證機(jī)構(gòu)正常運(yùn)轉(zhuǎn)、核心產(chǎn)業(yè)經(jīng)濟(jì)安全及持續(xù)發(fā)展。威脅情報(bào)產(chǎn)品作為一個(gè)跨學(xué)科整體方案，通過(guò)搜集、分析、評(píng)估和判斷形成預(yù)測(cè)情報(bào)產(chǎn)品，是防御級(jí)的安全分析需要的信息，用于評(píng)估敵人，可以還原已發(fā)生和預(yù)測(cè)未發(fā)生的攻擊。業(yè)內(nèi)更廣泛的關(guān)注是在技術(shù)威脅層面，即狹義的數(shù)據(jù)與信息網(wǎng)絡(luò)安全[6-7]。隨著互聯(lián)網(wǎng)特別是移動(dòng)互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)環(huán)境愈發(fā)復(fù)雜，當(dāng)下威脅情報(bào)處于混沌的狀態(tài)，由于威脅情報(bào)的來(lái)源范圍廣、種類多、時(shí)效性強(qiáng)特點(diǎn)，使其在實(shí)際運(yùn)用中面臨許多問(wèn)題[8]。基于網(wǎng)絡(luò)開(kāi)源情報(bào)(OSINT)中的威脅情報(bào)分析與管理機(jī)制研究主要包括對(duì)于主體——網(wǎng)絡(luò)OSINT的說(shuō)明，客體——威脅情報(bào)的分析模式，管理運(yùn)行流程——面向OSINT的威脅情報(bào)預(yù)警模型和基于OSINT的威脅情報(bào)體系運(yùn)營(yíng)機(jī)制的研究方面。

1 威脅情報(bào)的獲取及基于網(wǎng)絡(luò)OSINT重要性

目前網(wǎng)絡(luò)威脅變得越來(lái)越持續(xù)作用和具備先進(jìn)技術(shù)性。威脅情報(bào)作為網(wǎng)絡(luò)信息安全領(lǐng)域的分支，其收集產(chǎn)生渠道如圖1包括：a.網(wǎng)絡(luò)情報(bào)，對(duì)于網(wǎng)絡(luò)流量數(shù)據(jù)。b.本地內(nèi)部情報(bào)，對(duì)于內(nèi)部網(wǎng)絡(luò)、終端和部署的安全設(shè)備產(chǎn)生的日志數(shù)據(jù)。c.邊界情報(bào)，從政府、供應(yīng)商和電信部門收集的信息。d.OSINT(開(kāi)源情報(bào))，新聞網(wǎng)站、博客、論壇、社交網(wǎng)絡(luò)、媒體站點(diǎn)、機(jī)構(gòu)公告等公共資源數(shù)據(jù)。e.秘密情報(bào)，包括暗網(wǎng)、地下論壇、執(zhí)法和情報(bào)機(jī)構(gòu)中的數(shù)據(jù)信息[9,10]。威脅情報(bào)基于以上融合情報(bào)的研判獲得，其情報(bào)感知的信息體量、威脅情報(bào)獲取難度和重要性的級(jí)別說(shuō)明如圖1所示，按金字塔層級(jí)從下到上是增大、增加、增強(qiáng)的關(guān)系，塔頂?shù)拿孛芮閳?bào)中獲取的威脅情報(bào)成分較大，但收集獲取途徑難度大，通常獲得的威脅情報(bào)比常規(guī)的網(wǎng)絡(luò)情報(bào)含有更重要的預(yù)警作用和價(jià)值。在金字塔中OSINT在威脅情報(bào)中起到了積極的作用，相較于秘密情報(bào)，OSINT目前以令人眼花繚亂的速度發(fā)展，為打擊威脅和網(wǎng)絡(luò)犯罪提供了新的行動(dòng)路線，并且秘密情報(bào)獲取威脅情報(bào)也可能是基于OSINT的二次開(kāi)發(fā)，需要特定的手段，提升對(duì)深網(wǎng)與暗網(wǎng)的監(jiān)控與研究能力，因?yàn)檫@些網(wǎng)絡(luò)中許多內(nèi)容仍可以被認(rèn)為是開(kāi)源的而被公眾使用，威脅情報(bào)挖掘需要OSINT的經(jīng)驗(yàn)[11]。在所有威脅情報(bào)子類型中，網(wǎng)絡(luò)OSINT也許是使用最廣泛的情報(bào)，都可以為數(shù)據(jù)收集、分析、自動(dòng)化集成和報(bào)告等，建立通用的流程和框架，成為威脅情報(bào)的重要組成部分。

在過(guò)去，威脅情報(bào)的來(lái)源和獲取數(shù)據(jù)途徑太少、處理能力弱，存在很大的不足。隨著互聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)進(jìn)步，政府?dāng)?shù)據(jù)庫(kù)、企業(yè)內(nèi)容和不斷增長(zhǎng)的個(gè)人數(shù)據(jù)不斷開(kāi)放，越來(lái)越多地發(fā)布在網(wǎng)絡(luò)上，也促進(jìn)個(gè)人、機(jī)構(gòu)甚至是國(guó)家的數(shù)據(jù)訪問(wèn)，這成為情報(bào)機(jī)構(gòu)加以利用的OSINT來(lái)源，側(cè)重點(diǎn)不斷加大。內(nèi)容上，論壇、群組等共享范圍加大，用戶不斷生產(chǎn)內(nèi)容，更多私人和保密領(lǐng)域的文件被泄露，擴(kuò)大了OSINT的收集量。手段上，除對(duì)互聯(lián)網(wǎng)公共資源數(shù)據(jù)進(jìn)行爬取、API獲取和訂閱，美國(guó)政府部門部署Maltego、Recon-ng、theHarvester、Shodan等工具獲取相關(guān)情報(bào)[12]。網(wǎng)絡(luò)OSINT對(duì)于威脅情報(bào)的重要性體現(xiàn)在：在收集獲取上，OSINT的信息來(lái)源易于訪問(wèn)、風(fēng)險(xiǎn)較小且經(jīng)濟(jì)高效；在威脅情報(bào)的應(yīng)用中，OSINT由于其信息體量大、涵蓋方面多，可提供包括維護(hù)國(guó)家安全和政治穩(wěn)定、在線查找虛假服務(wù)、輔助金融調(diào)查、法律問(wèn)題等廣泛領(lǐng)域情報(bào)；在威脅情報(bào)的分析與管理中，OSINT有利于掌握威脅全景圖，其豐富的特征用于信任評(píng)估，其信息數(shù)據(jù)來(lái)源更新快，足以滿足情報(bào)分析的需求，也能夠?qū)崟r(shí)、準(zhǔn)確地對(duì)事件進(jìn)行決策及繼續(xù)完善。特別是有利于長(zhǎng)期和全面的情報(bào)感知，包括數(shù)據(jù)、情境和態(tài)勢(shì)感知的支持，如OSINT對(duì)于社交媒體中積累的證據(jù)進(jìn)行社會(huì)輿情分析可以應(yīng)用于市場(chǎng)、政治或?yàn)?zāi)害管理等方面，通過(guò)OSINT中的數(shù)據(jù)分析匹配感知犯罪和追蹤，根據(jù)OSINT在網(wǎng)絡(luò)攻擊的取證調(diào)查網(wǎng)絡(luò)犯罪和組織犯罪等[13]。OSINT被各國(guó)政府和情報(bào)部門廣泛利用，已經(jīng)成為安全與國(guó)防機(jī)構(gòu)的必要能力，威脅情報(bào)也成為網(wǎng)絡(luò)OSINT領(lǐng)域中發(fā)展速度最快的部分之一。

圖1 威脅情報(bào)信息體量、獲取難度、重要性層級(jí)

2 基于OSINT的威脅情報(bào)收集需求及價(jià)值層次

威脅是指對(duì)企業(yè)造成危害和利益受到損失，基于OSINT的威脅情報(bào)收集需求主要為幫助企業(yè)對(duì)面臨威脅的態(tài)勢(shì)感知、特定類別的風(fēng)險(xiǎn)識(shí)別，用于輔助支持安全決策或分析并做出及時(shí)響應(yīng)防御，以保護(hù)企業(yè)的關(guān)鍵資產(chǎn)。針對(duì)企業(yè)來(lái)講，潛在網(wǎng)絡(luò)系統(tǒng)存在的威脅，攻擊行為動(dòng)態(tài)感知和溯源是需要數(shù)據(jù)支撐的，所以從對(duì)安全威脅、威脅者、惡意軟件、漏洞和危害指標(biāo)收集作為用于評(píng)估和應(yīng)用的數(shù)據(jù)集和信息集合?；贠SINT的來(lái)源，收集主要從a.檢測(cè)的角度，對(duì)于話題檢測(cè)可從互聯(lián)網(wǎng)平臺(tái)開(kāi)放的技術(shù)文章、論壇、社交媒體等開(kāi)源信息獲取威脅情報(bào)基礎(chǔ)信息、提取特征生成識(shí)別、攻擊等相關(guān)惡意檢測(cè)知識(shí)；b.態(tài)勢(shì)感知的角度，通過(guò)OSINT掌握利用各種形式的數(shù)據(jù)信息，進(jìn)行評(píng)估預(yù)測(cè)，如爬取獲得基于多個(gè)OSINT的威脅情報(bào)源構(gòu)建威脅情報(bào)全景圖，獲得網(wǎng)絡(luò)攻擊預(yù)測(cè)的方法，提升對(duì)威脅的識(shí)別，理解分析、響應(yīng)處置能力，但開(kāi)源信息的不確定和模糊性需要解決獲取接近真實(shí)的問(wèn)題；c.威脅狩獵的角度，作為威脅情報(bào)收集的輔助方式，基于網(wǎng)絡(luò)和數(shù)據(jù)進(jìn)行主動(dòng)的和反復(fù)的搜索獲取新的目標(biāo)。通過(guò)聯(lián)合分析得出不同場(chǎng)景應(yīng)用，結(jié)合已有開(kāi)源威脅情報(bào)與實(shí)時(shí)流量數(shù)據(jù)，對(duì)威脅情報(bào)進(jìn)行深度關(guān)聯(lián)和分析，發(fā)現(xiàn)潛在網(wǎng)絡(luò)系統(tǒng)存在的威脅。

市面上也有很多基于OSINT 數(shù)據(jù)的威脅情報(bào)平臺(tái)，使用該來(lái)源的信息，通常面臨數(shù)據(jù)種類多、冗余重復(fù)度大、覆蓋面不全、過(guò)時(shí)不準(zhǔn)確等，這是OSINT收集時(shí)需要注意的問(wèn)題。解決OSINT信息處理相關(guān)的難點(diǎn)，以有效利用威脅情報(bào)[14]。針對(duì)OSINT信息本身，在收集時(shí)需要做到可用性大、精度高、保證信息源的覆蓋面、可信度強(qiáng)、及時(shí)性，OSINT的威脅情報(bào)收集方案：首先確定收集需求；然后是收集計(jì)劃，即信息源、信息格式、研判方式及收集方式保證來(lái)源信譽(yù)的權(quán)重高及信息質(zhì)量的匹配；通過(guò)相應(yīng)的方法區(qū)分OSINT威脅情報(bào)的層次，包括機(jī)器分析和人工研判；最后就是利用OSINT進(jìn)行威脅情報(bào)的分析[15]。威脅情報(bào)收集的價(jià)值在于，機(jī)構(gòu)可以結(jié)合自身業(yè)務(wù)對(duì)網(wǎng)絡(luò)OSINT信息數(shù)據(jù)提取，匯總作為告警感染指標(biāo)IOC，同一類別基于OSINT的威脅情報(bào)可能有多個(gè)來(lái)源，因?yàn)镺SINT來(lái)源信息數(shù)據(jù)的不確定性，質(zhì)量需要評(píng)估篩選，則需要對(duì)其可信度做出評(píng)價(jià)，避免“數(shù)據(jù)中毒”，來(lái)源可靠且本身質(zhì)量高的開(kāi)源威脅情報(bào)是具有價(jià)值的威脅情報(bào)，對(duì)于價(jià)值的量化可以通過(guò)所在坐標(biāo)的模進(jìn)行表示，區(qū)分出基于OSINT的威脅情報(bào)層次[16]。

圖2 基于OSINT的威脅情報(bào)價(jià)值判斷坐標(biāo)

收集互聯(lián)網(wǎng)的OSINT，并基于機(jī)器學(xué)習(xí)的威脅檢測(cè)，類似相關(guān)的威脅的聚類[17,18]，如圖2所示，區(qū)分OSINT信息威脅情報(bào)的層次，被機(jī)器自動(dòng)判定為威脅情報(bào)的A，映射A的價(jià)值為：

VA=|A(xa,ya)|(x>0，y>0)

同理可得，映射B，C需要判定價(jià)值的優(yōu)先級(jí)：

VB=|B(xb,yb)|(x>0，y>0)

VC=|C(xc,yc)|(x>0，y>0)

通過(guò)此方法區(qū)分出威脅情報(bào)價(jià)值層次，便于OSINT信息的處理。

3 基于OSINT挖掘威脅情報(bào)的系統(tǒng)架構(gòu)

3.1威脅情報(bào)挖掘的系統(tǒng)架構(gòu)在網(wǎng)絡(luò)OSINT中，威脅情報(bào)的感知和收集，需要借助大數(shù)據(jù)來(lái)開(kāi)展與進(jìn)行?；谕{分析收集情報(bào)的需求而產(chǎn)生，以O(shè)SINT的收集和管理為目標(biāo)，具有自定義情報(bào)、關(guān)聯(lián)搜索、情報(bào)管理、情報(bào)導(dǎo)出等功能。建設(shè)本地威脅情報(bào)平臺(tái)，實(shí)現(xiàn)對(duì)威脅情報(bào)數(shù)據(jù)收集、多源聚合、評(píng)估、生命周期管理，并提供情報(bào)數(shù)據(jù)多屬性、多維度的檢索，提升威脅情報(bào)生產(chǎn)、輸出業(yè)務(wù)能力[19]。

圖3 威脅情報(bào)挖掘系統(tǒng)架構(gòu)圖

系統(tǒng)架構(gòu)如圖3所示，其架構(gòu)層實(shí)現(xiàn)的功能和具體機(jī)制見(jiàn)表1。

表1 威脅情報(bào)平臺(tái)系統(tǒng)架構(gòu)層功能機(jī)制

3.2威脅情報(bào)管理的系統(tǒng)功能作為威脅情報(bào)管理系統(tǒng)的一部分，OSINT進(jìn)行分析和生產(chǎn)，與其他源情報(bào)融合得到全面的威脅情報(bào)。設(shè)計(jì)威脅情報(bào)管理系統(tǒng)，系統(tǒng)功能分為幾大模塊，包括威脅情報(bào)接入、威脅情報(bào)檢測(cè)、威脅情報(bào)分析、情報(bào)管理、漏洞預(yù)警與攻擊組織畫(huà)像，實(shí)現(xiàn)對(duì)威脅情報(bào)數(shù)據(jù)信息收集、融合、檢測(cè)、分析評(píng)估、生命周期管理，并提供情報(bào)數(shù)據(jù)多屬性、多維度的檢索，提升威脅情報(bào)生產(chǎn)、輸出業(yè)務(wù)能力。具體功能如下說(shuō)明：

3.2.1 威脅情報(bào)接入模塊 威脅情報(bào)的接入模塊主要包括情報(bào)的輸入和輸出兩部分，部署位置在情報(bào)數(shù)據(jù)接入服務(wù)器，通過(guò)對(duì)自采集的威脅情報(bào)、API導(dǎo)入的第三方情報(bào)、人工輸入情報(bào)、系統(tǒng)自生產(chǎn)的情報(bào)進(jìn)行情報(bào)數(shù)據(jù)的接入、轉(zhuǎn)換、清洗、匯入、持久化等功能。同時(shí)有效地收集各種OSINT，由威脅情報(bào)管理服務(wù)器和收集代理組成。威脅管理服務(wù)器可根據(jù)每個(gè)收集通道要收集的信息量動(dòng)態(tài)分配收集代理，調(diào)整工作量，并通過(guò)將從代理收集的信息轉(zhuǎn)換為預(yù)定義的數(shù)據(jù)庫(kù)存儲(chǔ)結(jié)構(gòu)來(lái)管理這些信息。收集代理通過(guò)基于從威脅情報(bào)管理服務(wù)器接收到的環(huán)境設(shè)置信息構(gòu)建收集環(huán)境，第一階段是采集索引階段并判斷情報(bào)優(yōu)先級(jí)，通過(guò)再歸類查詢，發(fā)送查詢管理通過(guò)OSINT收集歷史。

3.2.2 威脅情報(bào)檢測(cè)模塊 情報(bào)檢測(cè)模塊支持用戶通過(guò)Web訪問(wèn)或者應(yīng)用程序接口API查詢的方式，通過(guò)多維數(shù)據(jù)展示，提供給用戶豐富的入侵威脅指標(biāo)上下文信息以及與其相關(guān)聯(lián)的DY〗情報(bào)信息。部署于數(shù)據(jù)中心的檢測(cè)引擎軟件，可以流式查詢、流式統(tǒng)計(jì)、流式過(guò)濾篩選、流式比對(duì)操作、流式結(jié)構(gòu)拆分和自定義函數(shù)操作等。

3.2.3 威脅情報(bào)分析模塊 威脅情報(bào)分析模塊包括威脅情報(bào)的關(guān)聯(lián)分析以及情報(bào)的融合，在龐大的OSINT中，快速有效識(shí)別有價(jià)值信息，結(jié)合相應(yīng)安全事件的監(jiān)測(cè)和預(yù)警，在威脅情報(bào)的搜集到整合、利用、響應(yīng)的生態(tài)鏈條中，建立以威脅情報(bào)線索驅(qū)動(dòng)的高持續(xù)性網(wǎng)絡(luò)威脅的深度監(jiān)測(cè)和分析能力。拓展挖掘?qū)κ录谋O(jiān)測(cè)范圍，形成對(duì)于持續(xù)、特定組織的安全威脅行為的畫(huà)像信息管理，通過(guò)構(gòu)建情報(bào)之間的關(guān)聯(lián)關(guān)系，挖掘情報(bào)之間的潛在聯(lián)系，融合多源威脅情報(bào)，可建立可視化圖譜分析供用戶使用。

3.2.4 威脅情報(bào)管理模塊 威脅情報(bào)管理模塊主要包括情報(bào)的生命周期管理、情報(bào)置信度管理、情報(bào)統(tǒng)計(jì)等功能，目前情報(bào)的生命周期管理采用獨(dú)有的事件驅(qū)動(dòng)方式，通過(guò)事件的觸發(fā)來(lái)開(kāi)啟或者棄用威脅情報(bào)，實(shí)現(xiàn)威脅情報(bào)生命周期的自管理模式。情報(bào)統(tǒng)計(jì)模塊主要針對(duì)不同源、類型的威脅情報(bào)、基于時(shí)間線的情報(bào)數(shù)量等維度對(duì)本地威脅情報(bào)進(jìn)行了統(tǒng)計(jì)分析，支持下鉆等功能。能夠?qū)τ谕{情報(bào)數(shù)據(jù)包括的攻陷指標(biāo)IOCs元素，具備質(zhì)量評(píng)估、老化檢測(cè)機(jī)制和生命周期管理的能力。

3.2.5 漏洞預(yù)警與攻擊組織畫(huà)像模塊 漏洞預(yù)警與攻擊組織畫(huà)像模塊主要包括針對(duì)重點(diǎn)漏洞進(jìn)行及時(shí)預(yù)警通報(bào)，對(duì)攻擊組織和攻擊組織所實(shí)施的活動(dòng)能夠進(jìn)行組織畫(huà)像和行為畫(huà)像，進(jìn)一步分析出攻擊組織的動(dòng)向和信息。畫(huà)像信息主要包括：攻擊組織或攻擊活動(dòng)名稱、別名、首披露時(shí)間、源國(guó)家或地區(qū)、所屬國(guó)家、基本描述、目標(biāo)國(guó)家或地區(qū)、目標(biāo)行業(yè)、目標(biāo)對(duì)象、攻擊動(dòng)機(jī)、常用軟件工具；攻擊組織關(guān)聯(lián)情報(bào)信息，包括攻擊戰(zhàn)術(shù)技術(shù)過(guò)程描述、關(guān)聯(lián)攻擊組織分析報(bào)告；攻擊組織或攻擊事件網(wǎng)絡(luò)資產(chǎn)信息：包括攻擊組織或攻擊事件所使用網(wǎng)絡(luò)資產(chǎn)；攻擊組織或攻擊事件關(guān)聯(lián)網(wǎng)安監(jiān)測(cè)配置信息。

4 面向OSINT的威脅情報(bào)的分析模式及預(yù)警管理

4.1基于OSINT的威脅情報(bào)分析模式情報(bào)分析的流程理論環(huán)節(jié)上分為采集-加工-分析環(huán)節(jié)，而基于OSINT的威脅情報(bào)分析過(guò)程也包括OSINT的獲取識(shí)別-融合處理-關(guān)聯(lián)分析的系統(tǒng)過(guò)程，其分析運(yùn)行邏輯如圖4所示。

圖4 威脅情報(bào)分析運(yùn)行邏輯圖

基于OSINT的威脅情報(bào)分析模式作為一個(gè)系統(tǒng)過(guò)程，主要內(nèi)容為：

a.威脅情報(bào)獲取與識(shí)別提取。威脅情報(bào)分析以數(shù)據(jù)為基礎(chǔ)，提供準(zhǔn)確豐富的威脅情報(bào)數(shù)據(jù)以及服務(wù)，作為網(wǎng)絡(luò)OSINT，可以從技術(shù)文章、深網(wǎng)暗網(wǎng)的開(kāi)源信息、論壇博客、社交媒體、公共代碼庫(kù)和漏洞報(bào)告的情報(bào)源中獲取數(shù)據(jù)，通過(guò)動(dòng)態(tài)爬蟲(chóng)檢測(cè)更新等，對(duì)于OSINT確定范圍，要了解信息源，明確哪些是需要關(guān)注的，了解威脅情報(bào)類型是屬于戰(zhàn)略性、運(yùn)營(yíng)級(jí)還是戰(zhàn)術(shù)性的，利用已知的攻擊手段查找相關(guān)線索。預(yù)處理數(shù)據(jù)時(shí)明確OSINT信息來(lái)源格式，對(duì)于OSINT的統(tǒng)一接入及特征提取，信息的預(yù)處理包括惡意事件標(biāo)注、檢測(cè)特征、IOCs自動(dòng)化提取、人工校驗(yàn)修正等標(biāo)簽化操作，單一的信息和數(shù)據(jù)經(jīng)過(guò)分析處理得到有價(jià)值的情報(bào)，結(jié)構(gòu)化數(shù)據(jù)進(jìn)行正則、字典匹配；非結(jié)構(gòu)化信息一般需要NLP進(jìn)行處理，不同的信息種類，處理方式不同，應(yīng)用機(jī)器挖掘技術(shù)獲取目標(biāo)實(shí)體關(guān)系，OSINT的接入與提取場(chǎng)景進(jìn)行對(duì)比分析[20]。

b.威脅情報(bào)的融合評(píng)價(jià)。高質(zhì)量的威脅情報(bào)是具有時(shí)效性、準(zhǔn)確性、完整性、可操作等特征，作為網(wǎng)絡(luò)OSINT具有獨(dú)立性和無(wú)組織性，情報(bào)信息具有多源異構(gòu)性，對(duì)于情報(bào)源聚合處理，系統(tǒng)能夠?qū)Πㄉ虡I(yè)情報(bào)、開(kāi)源情報(bào)、自有監(jiān)測(cè)情報(bào)、行業(yè)或組織共享情報(bào)等多來(lái)源的情報(bào)信息有效管理和相應(yīng)的數(shù)據(jù)信息進(jìn)行融合處理，形成可持續(xù)運(yùn)營(yíng)的多源威脅情報(bào)融合處理能力；結(jié)合利用本體構(gòu)建技術(shù)一致性分析和相同威脅信息的IOCs去重去偽等操作，整合成一個(gè)系統(tǒng)的威脅情報(bào)指標(biāo)體系并建模，提高威脅情報(bào)的分析效率。指標(biāo)考慮的方面包括：時(shí)效性、準(zhǔn)確性、相關(guān)性，包括研判的周期和時(shí)效性，日常的分析和不定期的研判狀態(tài)分析設(shè)置；對(duì)于信息來(lái)源信譽(yù)和質(zhì)量，官方網(wǎng)站、專業(yè)媒體等的權(quán)值可以大一點(diǎn)，信息質(zhì)量要根據(jù)不同來(lái)源進(jìn)行匹配設(shè)定威脅情報(bào)的層次。

c.威脅情報(bào)的關(guān)聯(lián)分析。結(jié)合OSINT基礎(chǔ)數(shù)據(jù)、自有流量數(shù)據(jù)，采集外部來(lái)源，威脅情報(bào)的關(guān)聯(lián)分析主要應(yīng)用于惡意檢測(cè)、態(tài)勢(shì)感知和威脅狩獵場(chǎng)景上，技術(shù)上充分利用大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、關(guān)聯(lián)圖譜等技術(shù)深入挖掘威脅情報(bào)的潛在的價(jià)值和內(nèi)在關(guān)聯(lián)關(guān)系，關(guān)聯(lián)溯源對(duì)威脅情報(bào)信息中攻陷指標(biāo)元素關(guān)聯(lián)信息自動(dòng)提取、構(gòu)建威脅情報(bào)圖譜。網(wǎng)絡(luò)OSINT促進(jìn)提取相關(guān)知識(shí)與惡意軟件的靜態(tài)、動(dòng)態(tài)特征數(shù)據(jù)進(jìn)行關(guān)聯(lián)，OSINT各種形式的數(shù)據(jù)信息挖掘促進(jìn)深度關(guān)聯(lián)、全面評(píng)估推理揭示出隱含的威脅信息，通過(guò)模式匹配、圖計(jì)算、特定語(yǔ)言等實(shí)現(xiàn)情報(bào)的聯(lián)動(dòng)，提升中心整體安全解決方案防護(hù)效果。

4.2基于OSINT的威脅情報(bào)預(yù)警處理威脅情報(bào)不只是被動(dòng)的事后檢測(cè)，安全預(yù)警是威脅情報(bào)運(yùn)營(yíng)體系重要的環(huán)節(jié)，威脅情報(bào)預(yù)警能夠處理是針對(duì)特定攻擊組織或攻擊事件基礎(chǔ)信息、監(jiān)測(cè)配置信息的管理，能夠針對(duì)重點(diǎn)漏洞進(jìn)行及時(shí)的預(yù)警和跟蹤。針對(duì)OSINT建立威脅情報(bào)預(yù)警模型(如圖5所示)，具有確定威脅優(yōu)先級(jí)、精準(zhǔn)發(fā)現(xiàn)核心關(guān)鍵性威脅、重大事件預(yù)警的效果，有助于采取積極的措施，建立計(jì)劃來(lái)打擊當(dāng)前和未來(lái)的威脅。其核心為：

a.動(dòng)態(tài)監(jiān)測(cè)方面，構(gòu)建OSINT巡查業(yè)務(wù)知識(shí)庫(kù)，形成針對(duì)覆蓋屬地范圍內(nèi)的內(nèi)容監(jiān)測(cè)系統(tǒng)，對(duì)OSINT包含的信息識(shí)別，進(jìn)行威脅登記，實(shí)現(xiàn)對(duì)威脅情報(bào)的實(shí)時(shí)分析和預(yù)警機(jī)制。

b.分析處理方面，設(shè)置基于數(shù)據(jù)驅(qū)動(dòng)分析要素的OSINT研判思路，形成了針對(duì)OSINT事件分類體系、構(gòu)建了針對(duì)不同類別情報(bào)的分析處理，呈現(xiàn)威脅情報(bào)分析結(jié)果，威脅情報(bào)的分析種類如表2所示。

表2 威脅情報(bào)分析的種類

c.融合預(yù)警方面，通過(guò)將系統(tǒng)在互聯(lián)網(wǎng)開(kāi)源獲取的信息與其他影響因素結(jié)合，建立預(yù)警模型，數(shù)據(jù)進(jìn)行交叉比對(duì)、碰撞，按照預(yù)警標(biāo)度，如表3所示，為現(xiàn)實(shí)部門處置提供情報(bào)支撐。

表3 預(yù)警標(biāo)度及標(biāo)度含義

d.預(yù)警輸出方面，建立威脅情報(bào)攻陷指標(biāo)多渠道輸出，對(duì)情報(bào)內(nèi)容、目標(biāo)組織(或領(lǐng)域行業(yè))、情報(bào)惡意類型等維度可定制的輸出接口，具有威脅情報(bào)IOCs數(shù)據(jù)靈活可定制輸出。

根據(jù)威脅的應(yīng)用場(chǎng)景，情報(bào)處于攻擊鏈的不同階段，不同威脅情報(bào)處理通過(guò)預(yù)警標(biāo)度進(jìn)行機(jī)器研判和人工研判，機(jī)器研判不準(zhǔn)的結(jié)合專家人員思想進(jìn)行人工研判，預(yù)警標(biāo)度作為緊急危險(xiǎn)的快速響應(yīng)，按照評(píng)級(jí)進(jìn)行優(yōu)先修復(fù)和防范，可以縮短對(duì)高危情況的響應(yīng)時(shí)間。根據(jù)預(yù)警決策，系統(tǒng)根據(jù)威脅模型應(yīng)對(duì)策略庫(kù)進(jìn)行相應(yīng)處置。

5 基于OSINT的威脅情報(bào)體系運(yùn)營(yíng)機(jī)制

5.1基于威脅情報(bào)生態(tài)運(yùn)行機(jī)制網(wǎng)絡(luò)沖突和攻擊為安全威脅的主要形式，建立綜合性防御體系需要從生態(tài)開(kāi)始，這是有效建立安全防護(hù)系統(tǒng)運(yùn)作過(guò)程，其運(yùn)行機(jī)制是以生態(tài)鏈中各主體的存在為前提，將主體之間關(guān)系梳理成相對(duì)具體化的運(yùn)行方式。威脅情報(bào)生態(tài)鏈的主體構(gòu)成有機(jī)構(gòu)用戶、相應(yīng)服務(wù)商、安全廠商、研究機(jī)構(gòu)、安全監(jiān)管機(jī)構(gòu)，各個(gè)生態(tài)角色間互相協(xié)作；客體威脅情報(bào)的作用是應(yīng)用于防御中體現(xiàn)其價(jià)值，基于態(tài)勢(shì)感知將威脅情報(bào)結(jié)果應(yīng)用在防御體系內(nèi)并持續(xù)發(fā)展，安全防護(hù)生態(tài)整體可以更為有效的對(duì)抗安全威脅；生態(tài)運(yùn)行是威脅情報(bào)信息需求、獲取、處理、生產(chǎn)、利用動(dòng)態(tài)循環(huán)的過(guò)程，情報(bào)用戶利用情報(bào)并反饋高價(jià)值情報(bào)，相應(yīng)服務(wù)商和安全廠商生產(chǎn)共享威脅情報(bào)，研究機(jī)構(gòu)研究高價(jià)值的威脅情報(bào)，監(jiān)管部門利用執(zhí)行構(gòu)成威脅情報(bào)生態(tài)，驅(qū)動(dòng)力包括內(nèi)部和外部信息環(huán)境。基于威脅情報(bào)生態(tài)運(yùn)行機(jī)制，需要對(duì)發(fā)揮客體威脅情報(bào)價(jià)值作用、優(yōu)化挖掘過(guò)程作用到主體上進(jìn)行完善，細(xì)化來(lái)看包括：

a.完善主體組織機(jī)構(gòu)。構(gòu)建威脅情報(bào)生態(tài)系統(tǒng)應(yīng)對(duì)復(fù)雜難測(cè)的網(wǎng)絡(luò)威脅，在戰(zhàn)略上通過(guò)完善主體組織，實(shí)現(xiàn)硬件和軟件部署，可以全面掌握對(duì)于威脅情報(bào)態(tài)勢(shì)感知。如美國(guó)國(guó)土安全部(DHS)依托美國(guó)情報(bào)組織架構(gòu)基礎(chǔ)，建立情報(bào)機(jī)構(gòu)之間以及聯(lián)邦、州、地方政府的網(wǎng)絡(luò)威脅情報(bào)生態(tài)系統(tǒng)，以通過(guò)完善部門職能和組織機(jī)構(gòu)、共享情報(bào)指標(biāo)信息。健全網(wǎng)絡(luò)安全機(jī)構(gòu)，發(fā)展其他組織機(jī)構(gòu)，成立了威脅情報(bào)交換聯(lián)盟，推動(dòng)威脅情報(bào)生態(tài)建設(shè)，通過(guò)企業(yè)與政府、國(guó)家主體間、各個(gè)行業(yè)間的多層面威脅情報(bào)生態(tài)系統(tǒng)運(yùn)轉(zhuǎn)，生態(tài)角色發(fā)揮作用，提高其網(wǎng)絡(luò)空間安全態(tài)勢(shì)的感知和防御能力，形成網(wǎng)絡(luò)威脅情報(bào)體系。

b.強(qiáng)化技術(shù)手段。提升情報(bào)信息技術(shù)水平，提高信息處理技術(shù)，生產(chǎn)高質(zhì)量威脅情報(bào)和利用促進(jìn)威脅情報(bào)生態(tài)循環(huán)。對(duì)于OSINT有效信息的感知和收集和處理是首要條件，隨著開(kāi)放信息的增多，威脅情報(bào)的增長(zhǎng)為富集效應(yīng)，其轉(zhuǎn)化的速度也越快，針對(duì)威脅情報(bào)收集能力的提升，基于國(guó)內(nèi)外OSINT與多源情報(bào)融合，如美歐日等各地實(shí)施全網(wǎng)部署蜜罐流量探針捕獲、實(shí)施云端監(jiān)測(cè)、網(wǎng)絡(luò)空間測(cè)繪和國(guó)內(nèi)外開(kāi)源與商用情報(bào)源；提高數(shù)據(jù)挖掘分析，增加情報(bào)的獲取能力，采用 “大數(shù)據(jù)+AI”智能分析的監(jiān)督式機(jī)器學(xué)習(xí)方式，進(jìn)行研判與響應(yīng)；另外要針對(duì)場(chǎng)景進(jìn)行攻擊演練，鍛煉強(qiáng)化技術(shù)手段。

c.完善法律法規(guī)信息環(huán)境。信息安全、規(guī)范制度和發(fā)展環(huán)境因素促進(jìn)威脅情報(bào)生態(tài)運(yùn)行，需要明確建立網(wǎng)絡(luò)威脅系統(tǒng)操作流程、報(bào)告?zhèn)魉停衩绹?guó)政府有正式的綜合立法CISA，制定相關(guān)程序和指南，網(wǎng)絡(luò)威脅信息、防御措施、隱私與自由的網(wǎng)絡(luò)威脅其他相關(guān)信息的限制規(guī)定，提供相應(yīng)運(yùn)行條例的參考，規(guī)范威脅情報(bào)采集，幫助威脅情報(bào)分析人員為規(guī)避法律風(fēng)險(xiǎn)；像美國(guó)國(guó)土安全部(DHS)、司法部(DoJ)頒布相應(yīng)的行政指令進(jìn)行約束，以便更好地處理國(guó)家安全、經(jīng)濟(jì)、健康方面的網(wǎng)絡(luò)威脅。

5.2完善威脅情報(bào)共享協(xié)同機(jī)制加強(qiáng)網(wǎng)絡(luò)威脅情報(bào)的共建共享，融合情報(bào)數(shù)據(jù)，安恒首席科學(xué)家劉博認(rèn)為，網(wǎng)絡(luò)空間威脅情報(bào)能力的建設(shè)，需要從融合威脅情報(bào)數(shù)據(jù)、協(xié)同處置等角度著手，形成流程的閉環(huán)[21]。完善威脅情報(bào)共享協(xié)同機(jī)制需要鼓勵(lì)政府、公共機(jī)構(gòu)、企業(yè)加入威脅情報(bào)共享聯(lián)盟和社區(qū)，形成威脅情報(bào)共享的完整體系，細(xì)化來(lái)看包括：

a.建立融合式共享模式。借鑒歐盟ISAC的融合式共享模式，建立多視角、多層次、多領(lǐng)域的威脅情報(bào)共享聯(lián)盟。構(gòu)建威脅情報(bào)共享云，云端安全監(jiān)測(cè)，通過(guò)跨部門、跨領(lǐng)域各層級(jí)的協(xié)調(diào)機(jī)構(gòu)統(tǒng)籌，加強(qiáng)網(wǎng)絡(luò)安全管理部門與行業(yè)、企業(yè)的合作與支持、共享威脅情報(bào)并采取行動(dòng)。通過(guò)互聯(lián)互通、融合信息和快速更新，協(xié)同防御威脅攻擊，增強(qiáng)系統(tǒng)的感知能力，彌補(bǔ)外部威脅的認(rèn)識(shí)不足，海量關(guān)聯(lián)情報(bào)數(shù)據(jù)，不僅能提高本地機(jī)構(gòu)相應(yīng)速度，還可以結(jié)合不同的服務(wù)，用于不同的共享模型提供更多的有效數(shù)據(jù)支撐。

b.建立共享體系標(biāo)準(zhǔn)。標(biāo)準(zhǔn)化是威脅情報(bào)共享的技術(shù)基礎(chǔ)，構(gòu)建網(wǎng)絡(luò)威脅信息共享指南可提高效率和合作范圍，方便對(duì)系統(tǒng)業(yè)務(wù)在執(zhí)行過(guò)程的監(jiān)督，為情報(bào)資源共享提供有效保障。需要完善相關(guān)國(guó)際通用標(biāo)準(zhǔn)，建立分析指標(biāo)、控制策略、共享指南，使得情報(bào)有效共享、協(xié)同聯(lián)動(dòng)，推動(dòng)威脅情報(bào)的發(fā)展?？山梃b歐盟NIS指令和美國(guó)NIST指南對(duì)結(jié)構(gòu)化威脅信息表達(dá)、自動(dòng)化交換、網(wǎng)絡(luò)可觀察表達(dá)等網(wǎng)絡(luò)安全威脅信息進(jìn)行管理，制定威脅情報(bào)應(yīng)用、發(fā)布、共享和交換節(jié)的技術(shù)要求，建立共享標(biāo)準(zhǔn)規(guī)范體系，通過(guò)共享體系標(biāo)準(zhǔn)的建設(shè)，保證威脅情報(bào)的質(zhì)量與水平。

c.加強(qiáng)協(xié)同合作發(fā)展。借鑒美國(guó)政府加強(qiáng)與網(wǎng)絡(luò)安全私營(yíng)部門的合作、歐盟統(tǒng)籌協(xié)調(diào)的網(wǎng)絡(luò)威脅情報(bào)共享發(fā)展模式，構(gòu)建“主導(dǎo)+成員”的聯(lián)合建立協(xié)作環(huán)境，集成共享威脅情報(bào)信息，根據(jù)場(chǎng)景識(shí)別進(jìn)行任務(wù)分派，共同主動(dòng)應(yīng)對(duì)網(wǎng)絡(luò)威脅，制定長(zhǎng)效協(xié)同合作機(jī)制。在確保執(zhí)行網(wǎng)絡(luò)任務(wù)的資源下，以問(wèn)題為導(dǎo)向進(jìn)行任務(wù)協(xié)同及監(jiān)管，構(gòu)建強(qiáng)化網(wǎng)絡(luò)威脅情報(bào)的整合中心，滿足跨部門、跨領(lǐng)域協(xié)作的需求，形成網(wǎng)絡(luò)化的組織模式，共同發(fā)揮溯源和反威脅能力，通過(guò)不斷加強(qiáng)的情報(bào)共享技術(shù)、資金、人力提升合作力度，加強(qiáng)網(wǎng)絡(luò)威脅情報(bào)協(xié)同合作發(fā)展，提高威脅情報(bào)的治理能力。

5.3建立威脅情報(bào)安全產(chǎn)品機(jī)制威脅情報(bào)單獨(dú)存在沒(méi)有實(shí)現(xiàn)其價(jià)值，而體系化能力的解決方案必須通過(guò)產(chǎn)品和服務(wù)實(shí)現(xiàn)[22]。比較起國(guó)外，國(guó)內(nèi)的安全防御體系并不完備，很多時(shí)候威脅情報(bào)沒(méi)有真正發(fā)揮價(jià)值，導(dǎo)致用戶認(rèn)為其沒(méi)有價(jià)值。建立威脅情報(bào)安全產(chǎn)品機(jī)制，發(fā)揮相應(yīng)的情報(bào)產(chǎn)品價(jià)值，提升威脅情報(bào)運(yùn)營(yíng)和實(shí)踐作用，細(xì)化來(lái)看包括：

a.情報(bào)產(chǎn)品場(chǎng)景化策略。若安全威脅情報(bào)產(chǎn)品進(jìn)行有效市場(chǎng)劃分，商業(yè)環(huán)境促進(jìn)其利用使用，用戶的有效消費(fèi)，根據(jù)情境部署、構(gòu)建防御策略，生產(chǎn)威脅情報(bào)產(chǎn)品，按體系化建設(shè)的解決方案對(duì)應(yīng)的情報(bào)產(chǎn)品機(jī)制，集合威脅情報(bào)服務(wù)廠商提供資源，發(fā)揮更大價(jià)值，會(huì)使得威脅情報(bào)體系建設(shè)越來(lái)越成熟。開(kāi)展情報(bào)產(chǎn)品項(xiàng)目實(shí)踐進(jìn)行體系建立的驗(yàn)證，填補(bǔ)承包商的網(wǎng)絡(luò)安全短板和相應(yīng)場(chǎng)景化、功能化發(fā)展策略，也是各類組織實(shí)現(xiàn)網(wǎng)絡(luò)安全保障和體系化建設(shè)的最佳指南。

b.威脅情報(bào)產(chǎn)品標(biāo)準(zhǔn)化。業(yè)界制定了一系列的威脅情報(bào)交換標(biāo)準(zhǔn)，根據(jù)控制建議、指標(biāo)信息、屬性描述等制定威脅情報(bào)產(chǎn)品的相應(yīng)標(biāo)準(zhǔn)，方便應(yīng)用在不同領(lǐng)域進(jìn)行網(wǎng)絡(luò)安全管理，比如通信、工業(yè)、銀行、能源等行業(yè)中。建立相關(guān)威脅情報(bào)的標(biāo)準(zhǔn)、實(shí)現(xiàn)多源異構(gòu)威脅情報(bào)共享，使得各大廠商統(tǒng)一標(biāo)準(zhǔn)，提高威脅情報(bào)產(chǎn)品生產(chǎn)的聯(lián)動(dòng)效率。

c.威脅情報(bào)產(chǎn)品服務(wù)推廣。威脅情報(bào)運(yùn)營(yíng)手段類似其他的安全運(yùn)營(yíng)，而威脅情報(bào)產(chǎn)品應(yīng)用推廣，是傳遞至用戶使之成為有效情報(bào)的過(guò)程，需要根據(jù)業(yè)務(wù)特性，考核運(yùn)營(yíng)閉環(huán)指標(biāo)，結(jié)合威脅情報(bào)能力生命周期進(jìn)行，可對(duì)情報(bào)產(chǎn)品進(jìn)行進(jìn)一步加工，達(dá)到相應(yīng)的目的和效果，可以設(shè)置迭代升級(jí)情報(bào)產(chǎn)品的版本號(hào)，完善威脅情報(bào)產(chǎn)品體系服務(wù)。

6 結(jié) 語(yǔ)

隨著互聯(lián)網(wǎng)的發(fā)展，新時(shí)代攻防的需求改變，復(fù)雜的攻擊行為伴隨著產(chǎn)業(yè)化。團(tuán)伙化、創(chuàng)新化的攻擊手段方式創(chuàng)新多樣化，并且伴有持續(xù)性，需要對(duì)威脅情報(bào)有效的檢測(cè)、攔截和分析。網(wǎng)絡(luò)信息泛濫，基于網(wǎng)絡(luò)OSINT的使用是威脅情報(bào)挖掘的重要驅(qū)動(dòng)力，作為安全與國(guó)防的必要來(lái)源，需要建立主動(dòng)型預(yù)測(cè)性的威脅情報(bào)分析為主的模式，通過(guò)技術(shù)的模塊化進(jìn)行深度分析與監(jiān)測(cè)管理，及時(shí)預(yù)警和跟蹤，發(fā)揮在信息安全領(lǐng)域保護(hù)企業(yè)關(guān)鍵資產(chǎn)和國(guó)家政治穩(wěn)定的作用。目前由于缺乏統(tǒng)一的基于OSINT的威脅情報(bào)共享主管機(jī)構(gòu)，相應(yīng)各機(jī)構(gòu)缺乏協(xié)調(diào)機(jī)制，難以真正實(shí)現(xiàn)聯(lián)盟層面威脅情報(bào)的共享利用。需要從戰(zhàn)略高度識(shí)別應(yīng)對(duì)關(guān)鍵網(wǎng)絡(luò)威脅的方向，完善主體、強(qiáng)化技術(shù)手段和相關(guān)信息環(huán)境建立互利共贏的OSINT威脅情報(bào)生態(tài)，通過(guò)融合式共享模式、共享體系標(biāo)準(zhǔn)、加強(qiáng)協(xié)同合作發(fā)展完善共享協(xié)同機(jī)制，根據(jù)場(chǎng)景化、標(biāo)準(zhǔn)化，迭代運(yùn)營(yíng)服務(wù)建立安全產(chǎn)品市場(chǎng)推廣機(jī)制，有助于威脅情報(bào)體系發(fā)展與完善。威脅情報(bào)未來(lái)也會(huì)貼近實(shí)際應(yīng)用和真實(shí)運(yùn)營(yíng)，基于OINST的挖掘分析與管理需要考慮成本，去解決威脅情報(bào)共享聯(lián)盟信息不對(duì)稱的問(wèn)題，保證生產(chǎn)具有時(shí)效性、準(zhǔn)確性、完整性的高質(zhì)量威脅情報(bào)產(chǎn)品。