DOI：10.19850/j.cnki.2096-4706.2024.01.040

收稿日期：2023-06-13

摘? 要：旨在對(duì)國外網(wǎng)絡(luò)威脅情報(bào)研究情況進(jìn)行綜述，以期對(duì)研究相關(guān)主題的研究人員提供參考價(jià)值。主要使用CiteSpace 6.1.4軟件繪制圖譜，借助圖譜對(duì)該主題進(jìn)行分析。首先對(duì)國外在網(wǎng)絡(luò)威脅情報(bào)方面的每年的發(fā)文量和研究領(lǐng)域進(jìn)行分析；然后通過關(guān)鍵詞共現(xiàn)、關(guān)鍵詞聚類、時(shí)間線和突現(xiàn)詞對(duì)國外網(wǎng)絡(luò)威脅情報(bào)研究的主題進(jìn)行分析；最后闡述國外網(wǎng)絡(luò)威脅情報(bào)研究的主要內(nèi)容：網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)威脅情報(bào)共享、解決網(wǎng)絡(luò)威脅的技術(shù)和措施。國外對(duì)網(wǎng)絡(luò)威脅情報(bào)這一研究主題比較關(guān)注，主要圍繞計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)和計(jì)算機(jī)安全、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)威脅情報(bào)共享、解決網(wǎng)絡(luò)威脅的措施等方面展開。

關(guān)鍵詞：網(wǎng)絡(luò)威脅情報(bào)；威脅情報(bào)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)入侵檢測；網(wǎng)絡(luò)威脅情報(bào)共享

中圖分類號(hào)：TP393? 文獻(xiàn)標(biāo)識(shí)碼：A? 文章編號(hào)：2096-4706（2024）01-0189-05

Review of Research on Foreign Cyber Threat Intelligence

XIA Ru

（School of Management， Liaoning Normal University， Dalian? 116029， China）

Abstract： The aim is to provide a review of the research on foreign cyber threat intelligence， so as to provide reference value for researchers studying related topics. This paper mainly uses CiteSpace 6.1.4 software to draw a graph and analyze the topic using the graph. Firstly， it analyzes the annual publication volume and research fields of foreign cyber threat intelligence. Then， it analyzes the themes of foreign cyber threat intelligence research through keyword co-occurrence， keyword clustering， timeline and emergent words. Finally， the main content of research on foreign cyber threat intelligence is elaborated： cyber threat， network intrusion detection， cyber threat intelligence sharing， and technologies and measures to solve cyber threat. The foreign countries pay more attention to the research topic of cyber threat intelligence， mainly focusing on computer technology， network and computer security， network intrusion， cyber threat intelligence sharing， and measures to solve cyber threat.

Keywords： cyber threat intelligence; threat intelligence; network security; network intrusion detection; network threat intelligence sharing

0? 引? 言

根據(jù)Gartner的說法，網(wǎng)絡(luò)威脅情報(bào)（CTI）被定義為“基于證據(jù)的知識(shí)，包括背景、機(jī)制、指標(biāo)、影響和可采取行動(dòng)的建議，這些知識(shí)是關(guān)于資產(chǎn)的現(xiàn)有或新威脅或危害的，可用于通知決策者對(duì)該威脅或危害做出的決策”[1]。隨著網(wǎng)絡(luò)和科技的不斷發(fā)展，網(wǎng)絡(luò)威脅問題日漸突出。網(wǎng)絡(luò)威脅情報(bào)可以幫助決策者有針對(duì)性地處理網(wǎng)絡(luò)威脅問題，避免財(cái)產(chǎn)或重要信息數(shù)據(jù)的損失。國外對(duì)該方面一直比較關(guān)注，且有大量學(xué)者在網(wǎng)絡(luò)威脅情報(bào)方面得出了研究成果。

本文首先對(duì)國外網(wǎng)絡(luò)威脅情報(bào)的研究現(xiàn)狀進(jìn)行分析，包括每年的發(fā)文量和研究領(lǐng)域。其次對(duì)國外網(wǎng)絡(luò)威脅情報(bào)研究的主題進(jìn)行分析，包括關(guān)鍵詞共現(xiàn)、關(guān)鍵詞聚類、時(shí)間線和突現(xiàn)詞。最后對(duì)國外網(wǎng)絡(luò)威脅情報(bào)的主要研究內(nèi)容進(jìn)行闡述，包括網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)威脅情報(bào)共享、解決網(wǎng)絡(luò)威脅的技術(shù)和措施。

1? 國外網(wǎng)絡(luò)威脅情報(bào)研究現(xiàn)狀

為了研究國外網(wǎng)絡(luò)威脅情報(bào)的研究現(xiàn)狀以及主題內(nèi)容，本文在web of science核心庫里對(duì)相關(guān)文獻(xiàn)進(jìn)行檢索，選擇主題為“cyber threat intelligence or threat intelligence”的文獻(xiàn)，去除綜述型論文，最后檢索得到710篇文獻(xiàn)。該710篇文獻(xiàn)作為此次分析的樣本。

1.1? 發(fā)文量分析

國外有關(guān)網(wǎng)絡(luò)威脅情報(bào)的文獻(xiàn)始于2004年，從圖1可看出，至今為止，國外研究網(wǎng)絡(luò)威脅情報(bào)的發(fā)文量分為三個(gè)階段：第一個(gè)階段（2004—2015年），發(fā)文量比較少，相關(guān)研究還不多；第二個(gè)階段（2015—2019年），發(fā)文量開始大幅度增加，且逐年增加，國外在該階段開始關(guān)注網(wǎng)絡(luò)威脅情報(bào)這一主題；第三個(gè)階段（2019—2022年），發(fā)文量相比第二階段大幅增加，但是并未逐年增加，而是有升有降，但第三階段的發(fā)文量整體較多。國外關(guān)于網(wǎng)絡(luò)威脅情報(bào)的研究還處于比較關(guān)注的階段，近幾年的發(fā)文量都在100篇以上。

1.2? 研究領(lǐng)域分析

將發(fā)文8篇及以上的領(lǐng)域進(jìn)行統(tǒng)計(jì)，共有13個(gè)領(lǐng)域，如圖2所示。計(jì)算機(jī)科學(xué)是國外網(wǎng)絡(luò)威脅情報(bào)的主要研究領(lǐng)域，在710篇文獻(xiàn)中占了633篇文獻(xiàn)，占比89.16%，說明國外主要從計(jì)算機(jī)技術(shù)角度研究網(wǎng)絡(luò)威脅情報(bào)。發(fā)文量排在其后的是工程學(xué)領(lǐng)域，發(fā)文量為205篇，占比28.87%；再次是電信學(xué)領(lǐng)域，發(fā)文量為150篇，占比21.13%；國外有關(guān)網(wǎng)絡(luò)威脅情報(bào)的文獻(xiàn)在其余領(lǐng)域發(fā)文量不多，均在20篇以下，分別是物理學(xué)、自動(dòng)控制系統(tǒng)、化學(xué)、材料科學(xué)、商業(yè)經(jīng)濟(jì)學(xué)、政府法律、數(shù)學(xué)、運(yùn)籌學(xué)管理科學(xué)、儀器儀表、國際關(guān)系學(xué)等領(lǐng)域。

2? 國外網(wǎng)絡(luò)威脅情報(bào)主題研究

為了了解國外在網(wǎng)絡(luò)威脅情報(bào)研究方面的熱點(diǎn)話題，使用了CiteSpace 6.1.4繪制了關(guān)鍵詞共現(xiàn)圖譜和聚類圖譜，以及對(duì)時(shí)間線和突現(xiàn)詞進(jìn)行分析。

2.1? 關(guān)鍵詞共現(xiàn)圖譜

通過對(duì)國外網(wǎng)絡(luò)威脅情報(bào)研究文獻(xiàn)的關(guān)鍵詞進(jìn)行共現(xiàn)，如圖3所示。可以知道國外在網(wǎng)絡(luò)威脅情報(bào)研究中比較關(guān)注哪些主題。圖3共有308個(gè)節(jié)點(diǎn)，401條邊，節(jié)點(diǎn)越大，表示該關(guān)鍵詞出現(xiàn)的頻率越高，節(jié)點(diǎn)的顏色表示該關(guān)鍵詞出現(xiàn)的年份。由圖3可知，除了網(wǎng)絡(luò)威脅情報(bào)（cyber threat intelligence和threat intelligence）這一檢索詞的頻率最高以外，machine learning、cyber security、security、deep learning、intrusion detection、information sharing、artificial intelligence、internet、system、advanced persistent threat、internet of thing、attack、computer security、threat hunting、big data、knowlwdge graph、data mining、model等關(guān)鍵詞出現(xiàn)的頻率較高。這些關(guān)鍵詞大都與計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)入侵等有關(guān)聯(lián)，可知國外在網(wǎng)絡(luò)威脅情報(bào)領(lǐng)域研究的主題圍繞這些方面展開。

2.2? 關(guān)鍵詞聚類圖譜

對(duì)關(guān)鍵詞進(jìn)行聚類，得出關(guān)鍵詞聚類圖譜，如圖4所示。聚類結(jié)果的模塊值（Q值）等于0.646 5，其值大于0.3，平均輪廓值等于0.874 5，其值大于0.5，表明該聚類效果是顯著和合理的。一共有14個(gè)聚類結(jié)果，這些聚類分別是指物聯(lián)網(wǎng)、網(wǎng)絡(luò)威脅情報(bào)、網(wǎng)絡(luò)安全、風(fēng)險(xiǎn)評(píng)估、入侵檢測、計(jì)算機(jī)安全、訪問控制、智能合約、威脅情報(bào)、計(jì)算建模、信息共享、高級(jí)持續(xù)威脅、數(shù)字取證和自動(dòng)破帽。這些聚類的內(nèi)容大致可分為計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)和計(jì)算機(jī)安全、網(wǎng)絡(luò)威脅源和類型等方面，主要圍繞網(wǎng)絡(luò)威脅和解決某一種網(wǎng)絡(luò)威脅的技術(shù)或措施進(jìn)行研究。

2.3? 時(shí)間線分析

為了研究國外關(guān)于網(wǎng)絡(luò)威脅情報(bào)研究的發(fā)展過程，繪制了時(shí)間線，如圖5所示。可以看到，2012年開始大量出現(xiàn)網(wǎng)絡(luò)威脅情報(bào)和高級(jí)持續(xù)攻擊的關(guān)鍵詞，且在之后也一直出現(xiàn)。2014年機(jī)器學(xué)習(xí)這個(gè)熱點(diǎn)關(guān)鍵詞開始出現(xiàn)，2016年網(wǎng)絡(luò)攻擊歸因和信息共享這兩個(gè)熱點(diǎn)關(guān)鍵詞開始出現(xiàn)，2017年安全和入侵檢測這兩個(gè)熱點(diǎn)關(guān)鍵詞開始出現(xiàn)，2018年深度學(xué)習(xí)、威脅搜尋、數(shù)據(jù)挖掘這三個(gè)熱點(diǎn)關(guān)鍵詞開始出現(xiàn)，2020年社交媒體、智能合約這兩個(gè)熱點(diǎn)關(guān)鍵詞開始出現(xiàn)，2021年網(wǎng)絡(luò)這個(gè)熱點(diǎn)關(guān)鍵詞開始出現(xiàn)，2022年計(jì)算建模出現(xiàn)的頻次比較多。由此可以得出，國外關(guān)于網(wǎng)絡(luò)威脅情報(bào)的研究內(nèi)容剛開始是網(wǎng)絡(luò)威脅的具體種類，然后是網(wǎng)絡(luò)威脅的原因，接著是對(duì)網(wǎng)絡(luò)威脅的檢測，近幾年主要是解決網(wǎng)絡(luò)威脅問題的技術(shù)和方法措施。

2.4? 突現(xiàn)詞分析

對(duì)突現(xiàn)詞進(jìn)行分析，可以知道有哪些詞語是突然在一段時(shí)間內(nèi)激增的，如圖6所示。2014—2018年，網(wǎng)絡(luò)情報(bào)出現(xiàn)的強(qiáng)度比較高；2017—2019年，網(wǎng)絡(luò)安全出現(xiàn)的強(qiáng)度很高；2017—2018年，黑客論壇出現(xiàn)的強(qiáng)度比較高；2019—2020年，威脅情報(bào)共享出現(xiàn)的強(qiáng)度比較高；2019—2020年，入侵檢測系統(tǒng)出現(xiàn)的強(qiáng)度比較高；2020—2022年，命名實(shí)體識(shí)別出現(xiàn)的強(qiáng)度比較高。從中可看出近幾年越來越關(guān)注解決網(wǎng)絡(luò)威脅的辦法和措施，可能是因?yàn)殡S著科技的不斷發(fā)展，存在的網(wǎng)絡(luò)威脅越來越多，人們亟須消除網(wǎng)絡(luò)威脅，維護(hù)網(wǎng)絡(luò)安全。

3? 國外網(wǎng)絡(luò)威脅情報(bào)主要研究內(nèi)容

根據(jù)上一部分對(duì)國外網(wǎng)絡(luò)威脅情報(bào)相關(guān)文獻(xiàn)的主題研究，發(fā)現(xiàn)國外網(wǎng)絡(luò)威脅情報(bào)的主要研究內(nèi)容包括網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)威脅情報(bào)共享以及解決網(wǎng)絡(luò)威脅的技術(shù)和措施。

3.1? 網(wǎng)絡(luò)威脅

由上文的主題分析可以發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊和高級(jí)持續(xù)威脅是國外學(xué)者們研究網(wǎng)絡(luò)威脅情報(bào)的主要內(nèi)容之一。計(jì)算機(jī)技術(shù)使現(xiàn)代組織能夠以前所未有的便利和效率開展業(yè)務(wù)。但同時(shí)有許多具有非法網(wǎng)絡(luò)意圖的個(gè)人，也稱為惡意黑客或網(wǎng)絡(luò)罪犯，經(jīng)常利用危險(xiǎn)的網(wǎng)絡(luò)工具或資產(chǎn)對(duì)技術(shù)驅(qū)動(dòng)的組織進(jìn)行破壞性網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊，或通過使用勒索軟件、宙斯木馬和鍵盤記錄器等惡意工具和技術(shù)蓄意利用計(jì)算機(jī)系統(tǒng)，每年給全球經(jīng)濟(jì)造成高額的損失[2]。網(wǎng)絡(luò)威脅主要涉及金融驅(qū)動(dòng)的網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)戰(zhàn)爭、黑客活動(dòng)和恐怖主義[3]。攻擊形態(tài)可能不同，例如，網(wǎng)絡(luò)犯罪可能會(huì)使用隱蔽的高級(jí)持續(xù)威脅進(jìn)行盜竊知識(shí)產(chǎn)權(quán)，而網(wǎng)絡(luò)戰(zhàn)爭或恐怖主義使用僵尸網(wǎng)絡(luò)進(jìn)行分布式拒絕服務(wù)攻擊。網(wǎng)絡(luò)攻擊變得越來越復(fù)雜、有針對(duì)性和協(xié)調(diào)性，導(dǎo)致了所謂的高級(jí)持續(xù)威脅。

3.2? 網(wǎng)絡(luò)入侵檢測

網(wǎng)絡(luò)入侵檢測及網(wǎng)絡(luò)入侵檢測系統(tǒng)也是國外學(xué)者研究網(wǎng)絡(luò)威脅情報(bào)的主要內(nèi)容之一。由于物聯(lián)網(wǎng)的普及、計(jì)算機(jī)網(wǎng)絡(luò)的巨大增長以及大量的相關(guān)應(yīng)用，網(wǎng)絡(luò)安全在當(dāng)今的安全問題中受到了極大的關(guān)注。因此，檢測網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)攻擊或異常，并建立有效的入侵檢測系統(tǒng)[4]，在當(dāng)今的安全中發(fā)揮著重要的作用。在這種情況下，一般都會(huì)建立入侵檢測系統(tǒng)。入侵檢測系統(tǒng)通常用于識(shí)別網(wǎng)絡(luò)上的惡意網(wǎng)絡(luò)攻擊行為，同時(shí)監(jiān)控和評(píng)估網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的日?；顒?dòng)，以檢測安全風(fēng)險(xiǎn)或威脅。在網(wǎng)絡(luò)安全領(lǐng)域進(jìn)行了一些研究，這些研究能夠檢測和防止網(wǎng)絡(luò)攻擊或入侵。該系統(tǒng)考慮了已知的簽名，并且已經(jīng)被廣泛采用。另一方面，與基于簽名的方法相比，基于異常的方法在檢測未知攻擊方面具有優(yōu)勢(shì)，包括識(shí)別未知或零日攻擊的能力。這種方法監(jiān)控網(wǎng)絡(luò)流量，并通過分析相關(guān)的安全數(shù)據(jù)來發(fā)現(xiàn)攻擊行為模式。各種數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)技術(shù)被用來分析這種安全事件模式，以便做出有用的決策?；诋惓５姆椒ǖ闹饕秉c(diǎn)是，它可能會(huì)產(chǎn)生很高的誤報(bào)率，因?yàn)樗赡軙?huì)將以前看不到的系統(tǒng)行為歸類為異常。因此，限制入侵檢測系統(tǒng)的誤報(bào)率必須是當(dāng)務(wù)之急。而基于機(jī)器學(xué)習(xí)的有效檢測方法可以最小化這些問題。

3.3? 網(wǎng)絡(luò)威脅情報(bào)共享

網(wǎng)絡(luò)威脅情報(bào)的共享也是國外學(xué)者重點(diǎn)研究的內(nèi)容之一。隨著網(wǎng)絡(luò)攻擊的快速增長，網(wǎng)絡(luò)威脅情報(bào)共享對(duì)于提供提前威脅通知和及時(shí)響應(yīng)網(wǎng)絡(luò)攻擊變得至關(guān)重要[3]。為了實(shí)現(xiàn)有效的信息共享，需要考慮多種維度。一是有效的合作與協(xié)調(diào)：現(xiàn)實(shí)世界的經(jīng)驗(yàn)突出了協(xié)調(diào)網(wǎng)絡(luò)防御的經(jīng)濟(jì)需求。例如，由于系統(tǒng)復(fù)雜性和攻擊面增加，以及攻擊的復(fù)雜性，這種協(xié)同網(wǎng)絡(luò)防御主要通過信息共享來實(shí)現(xiàn)。對(duì)于廣泛的利益相關(guān)者來說，存在各種各樣的信息類別：妥協(xié)指標(biāo)、技術(shù)漏洞、零日漏洞利用、社會(huì)工程攻擊或關(guān)鍵服務(wù)中斷。二是法律和監(jiān)管環(huán)境：為了被大量利益相關(guān)者采用，信息共享需要法律基礎(chǔ)。因此，歐盟[5]及其一些成員國和美國[6]最近開始制定一套指令和條例。三是標(biāo)準(zhǔn)化工作：作為實(shí)現(xiàn)信息共享的進(jìn)一步步驟，需要制定符合法律要求的標(biāo)準(zhǔn)和規(guī)范。NIST、ENISA、ETSI和ISO已經(jīng)發(fā)布了開始這項(xiàng)工作的文件，并將在不久的將來進(jìn)一步制定現(xiàn)有指南。四是區(qū)域和國際實(shí)施：需要實(shí)現(xiàn)和整合這些標(biāo)準(zhǔn)和規(guī)范、組織措施和共享結(jié)構(gòu)。五是技術(shù)集成到組織中：最終，需要選擇一組技術(shù)層上的共享協(xié)議和管理工具并將其投入運(yùn)行。所選擇的技術(shù)手段必須與組織流程兼容，并且可以適當(dāng)處理。

3.4? 解決網(wǎng)絡(luò)威脅的技術(shù)和措施

研究網(wǎng)絡(luò)威脅情報(bào)的目的之一在于解決網(wǎng)絡(luò)威脅問題，因此解決網(wǎng)絡(luò)威脅的技術(shù)和措施也是國外學(xué)者目前研究的重點(diǎn)內(nèi)容。云計(jì)算中的分布式拒絕服務(wù)（DDoS）攻擊需要快速吸收攻擊數(shù)據(jù)。DDoS攻擊緩解通常通過動(dòng)態(tài)縮放云資源來實(shí)現(xiàn)，以便快速識(shí)別攻擊特征以對(duì)抗攻擊。資源擴(kuò)展伴隨著額外的成本以及重復(fù)性攻擊，在更長、更復(fù)雜的情況下，這可能是一個(gè)巨大的破壞性成本。在這項(xiàng)工作中，解決了一個(gè)重要問題，即攻擊期間的資源擴(kuò)展是否總是導(dǎo)致DDoS快速緩解。為此，進(jìn)行了實(shí)時(shí)DDoS攻擊實(shí)驗(yàn)，以研究在動(dòng)態(tài)云資源擴(kuò)展的情況下，各種目標(biāo)服務(wù)的攻擊吸收和攻擊緩解。結(jié)果發(fā)現(xiàn)，攻擊吸收等活動(dòng)為攻擊分析提供及時(shí)的攻擊數(shù)據(jù)輸入，受到攻擊所產(chǎn)生的大量資源使用的不利影響。如果在攻擊期間減少操作系統(tǒng)級(jí)的本地資源爭用，可以加快總體攻擊緩解。否則，僅通過動(dòng)態(tài)縮放資源無法完成攻擊緩解。還設(shè)想了一種新的關(guān)系，將每個(gè)傳入請(qǐng)求的“資源利用系數(shù)”稱為形成資源爭用的主要組成部分。為了克服這些問題，提出了一種新的“向內(nèi)擴(kuò)展”方法，該方法在攻擊期間將“資源利用系數(shù)”降低到最小值，以快速吸收攻擊。所提出的方法犧牲了受害者服務(wù)資源，并將這些資源提供給緩解服務(wù)以及其他位于同一地點(diǎn)的服務(wù)，以確保攻擊期間的資源可用性[7]。

跨站點(diǎn)腳本（XSS）攻擊是對(duì)Web安全最危險(xiǎn)的攻擊之一。傳統(tǒng)的XSS檢測方法主要關(guān)注漏洞本身，依賴于靜態(tài)分析和動(dòng)態(tài)分析，這在防御各種有效載荷的泛濫方面顯得較弱。有學(xué)者提出了一種基于集成學(xué)習(xí)方法的XSS攻擊檢測方法，該方法利用一組貝葉斯網(wǎng)絡(luò)，每個(gè)貝葉斯網(wǎng)絡(luò)都是利用領(lǐng)域知識(shí)和威脅智能構(gòu)建的。此外，還有一種分析方法進(jìn)一步用來解釋結(jié)果，該方法根據(jù)節(jié)點(diǎn)對(duì)輸出節(jié)點(diǎn)的影響對(duì)貝葉斯網(wǎng)絡(luò)中的節(jié)點(diǎn)進(jìn)行排序。結(jié)果可向最終用戶解釋。為了驗(yàn)證所提出的方法，在關(guān)于XSS攻擊的真實(shí)數(shù)據(jù)集上進(jìn)行了實(shí)驗(yàn)。結(jié)果表明了所提出方法的優(yōu)先級(jí)，特別是當(dāng)攻擊次數(shù)增加時(shí)。此外，節(jié)點(diǎn)排序結(jié)果可以幫助安全團(tuán)隊(duì)及時(shí)應(yīng)對(duì)攻擊[8]。

高級(jí)持續(xù)性威脅（APT）是網(wǎng)絡(luò)攻擊的一個(gè)新趨勢(shì)，它具有集中的攻擊目標(biāo)和高度隱蔽的高級(jí)持續(xù)性攻擊技術(shù)。威脅情報(bào)通過高效的數(shù)據(jù)共享收集大量數(shù)據(jù)并分析惡意行為，并保證信息交換的安全性和質(zhì)量，從而幫助檢測和預(yù)防高級(jí)持續(xù)性威脅。為了獲得更好的保護(hù)，需要控制對(duì)情報(bào)信息的訪問，并需要一個(gè)分級(jí)標(biāo)準(zhǔn)來修改安全漏洞的診斷標(biāo)準(zhǔn)。有學(xué)者分析了一種威脅情報(bào)共享社區(qū)模型，并通過重新考慮共享社區(qū)的規(guī)模和組成，提出了一種提高共享效率的改進(jìn)方案。它基于各種外部環(huán)境變量，通過對(duì)一個(gè)社區(qū)成員的信任程度和一條情報(bào)的質(zhì)量進(jìn)行分級(jí)來過濾低質(zhì)量的共享情報(bào)[9]。

4? 結(jié)? 論

本文旨在研究國外網(wǎng)絡(luò)威脅情報(bào)的研究現(xiàn)狀和重點(diǎn)內(nèi)容。通過以上的研究，國外在網(wǎng)絡(luò)威脅情報(bào)方面的研究是循序漸進(jìn)的，最初研究網(wǎng)絡(luò)威脅以及產(chǎn)生的原因，后來研究網(wǎng)絡(luò)威脅的檢測途徑，近幾年主要研究使用計(jì)算機(jī)技術(shù)去解決網(wǎng)絡(luò)威脅問題。按照這樣的發(fā)展趨勢(shì)，國外在未來還會(huì)繼續(xù)研究解決網(wǎng)絡(luò)威脅的方法和技術(shù)，同時(shí)包括對(duì)網(wǎng)絡(luò)威脅的檢測以及網(wǎng)絡(luò)威脅情報(bào)的共享。

參考文獻(xiàn)：

[1] LIAO X J，YUAN K，WANG X F，et al. Acing the IOC Game：Toward Automatic Discovery and Analysis of Open-Source Cyber Threat Intelligence [C]//proceedings of the 23rd ACM Conference on Computer and Communications Security （CCS）.Vienna：ACM，2016：755-765.

[2] LEWIS J A. Assessing the risks of cyber terrorism，cyber war and other cyber threats [M].Washington，DC：Center for Strategic & International Studies，2002.

[3] WAGNER T D，MAHBUB K，PALOMAR E，et al. Cyber threat intelligence sharing：Survey and research directions [J/OL].Computers & Security，2019，87：101589[2023-03-12].https：//doi.org/10.1016/j.cose.2019.101589.

[4] BUCZAK A L，GUVEN E. A survey of data mining and machine learning methods for cyber security intrusion detection [J].IEEE Communications surveys & tutorials，2015，18（2）：1153-1176.

[5]李留英.歐盟網(wǎng)絡(luò)威脅情報(bào)共享進(jìn)展及啟示研究[J].情報(bào)雜志，2021，40（5）：8-15.

[6]陶昱瑋.美國網(wǎng)絡(luò)威脅情報(bào)應(yīng)用評(píng)析[J].情報(bào)雜志，2017，36（11）：8-15.

[7] SOMANI G，GAUR M S，SANGHI D，et al. Scale Inside-Out：Rapid Mitigation of Cloud DDoS Attacks [J].IEEE Transactions on Dependable and Secure Computing，2018，15（6）：959-973.

[8] ZHOU Y，WANG P C. An ensemble learning approach for XSS attack detection with domain knowledge and threat intelligence [J].Computers & Security，2019，82：261-269.

[9] CHANDEL S，YAN M D，CHEN S J，et al. Threat Intelligence Sharing Community：A countermeasure against Advanced Persistent Threat [C]//proceedings of the 2nd IEEE International Conference on Multimedia Information Processing and Retrieval （MIPR）.NEW YORK：IEEE，2019：353-359.

作者簡介：夏茹（1998.03—），女，漢族，安徽合肥人，碩士在讀，研究方向：情報(bào)學(xué)。