面向卫星通信网络的威胁情报关键技术

1. 引言近年来，随着网络信息化的不断深入与创新，网络安全形势越来越严峻，高级持续性攻击成为网络空间面临的严重威胁。攻击过程精心策划，攻击方法错综复杂，常导致严重的数据泄露或者系统破坏。攻击者不断改变现有攻击方式，开发新型攻击工具，无法通过恶意程序签名实现实时检测，单纯依赖防火墙、入侵防御系统和反病毒软件已无法阻止这些攻击。急速增长的网络攻击催生了威胁情报的诞生。Gartner将威胁情报生命周期划分为六个阶段：定向、收集、处理、分析、传递、反馈。其中威胁情报分析对于安全态势的评估、威胁预测及防御系统的提升至关重要。威胁情报通常是多源异构的海量数据，必须对掌握的情报进行多源信息融合、挖掘有用信息、关联分析、推理预测，才能使威胁情报发挥出真正的价值，有效地推演预测未来的安全态势、攻击者身份和攻击手段，从而帮助安全人员给出恰当的应对防护措施。网络攻击的目标对象已经从传统的网络领域逐渐扩展到以物联网、工业控制系统、大数据平台、卫星通信网络为代表的新型网络应用环境。针对此类新型网络，应用环境的安全防护也是国家网络安全等级保护制度所强调的工作内容。本文研究如何将威胁情报技术引入到卫星通信网络的安全防护中。传统通信卫星经过长年发展，已积累了一定的网络安全技术基础，包括物理层及链路层抗干扰技术、信源及信道加解密技术等。但伴随宽带卫星网络在我国的正式应用，卫星网络的应用模式发生了巨大变化，安全环境也面临巨大挑战，主要体现在：(1) 卫星通信网络结构由简单变复杂，与IP技术高度融合；(2) 卫星通信网络规模由较小规模变为超大规模，百万量级的在线用户容量将是常态；(3) 卫星通信网络业务不再受带宽制约而变得更加丰富；(4) 通信设备面临新一轮的技术更新；(5) 卫星通信网络面临更深层次、更广范围、更多信息类型与传输协议的威胁。目前通用的网络安全技术多围绕地面网络展开，而卫星通信网络的应用在多个领域已经开始探索，单纯使用原有网络安全技术不足以满足其网络安全需求，近年来陆续发生了一系列相关的安全事件，印证了卫星通信网络安全机制的缺陷。针对卫星通信网络的安全防护工作，引入威胁情报相关技术，有利于帮助防御系统及时掌握面向卫星通信网络及系统的安全威胁和风险，增强精准性安全防护和主动防御。本文第二章对卫星通信网络进行简要介绍，第三章介绍威胁情报的定义、分类及技术现状，第四章提出卫星通信网络的威胁情报技术架构，第五章阐述针对卫星通信网络的威胁情报分析挖掘技术，最后对全文进行总结。2. 卫星通信网络卫星通信是安置在地球上(包括海陆空)的无线电通信站之间利用卫星作中继站接收、转发、反射无线电波，在两个或多个地球站之间或手持终端或航天器之间的通信 [1]，主要包括卫星固定通信、卫星移动通信、卫星直接广播和卫星中继通信四大领域。卫星通信网络是以具有星上处理功能的卫星为主要通信实体，结合相关地面网络操作控制中心、地面网关和地面用户组建的互联互通的卫星群体网络 [2]。卫星通信系统主要包括两个部分：中继接力站(通信卫星部分)和终端站(地球站部分)。通信卫星是用于信息通信的人造地球卫星，分为空间平台和有效负荷两部分，空间平台主要包括卫星的控制、监测等，有效负荷是设在空中的接力站，由天馈线和通信转发器组成；地球站包括基带设备、射频设备、天馈线设备、监控设备等。卫星通信的主要原理是将卫星发射到赤道上空3600 km处的对地静止轨道上，利用卫星上的通信转发器接收由地球站发射的信号，并对信号进行放大变频后，转发给其它地球站，从而完成两个地球站之间的传输。卫星通信具有频带宽、通信容量大、通信距离远、通信时不受复杂地理条件的限制、通信质量高和系统可靠性强等特点，在军用和民用领域中都得到了广泛应用，因此安全问题也日益成为卫星通信网络研究中的重要方面。3. 威胁情报3.1. 威胁情报相关定义威胁情报的概念提出之后，很多机构或学者都曾对威胁情报的定义进行阐述。目前工业界和学术界对威胁情报还没有形成统一的定义，常被引用的是Gartner公司给出的定义 [3]：“威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据”。Forrester公司认为“威胁情报是针对内部和外部威胁源的动机、意图和能力的详细叙述，可以帮助企业和组织快速了解到敌对方对自己的威胁信息，从而帮助提前威胁防范、攻击检测与响应、事后攻击溯源等能力”。SANS研究院给出的威胁情报的定义为：“针对安全威胁、威胁者、利用恶意软件、漏洞和危害指标所收集的用于评估和应用的数据集” [4]。i SIGHT认为：“网络威胁情报是关于已经收集、分析和分发，针对攻击者和其动机、目的和手段，用于帮助所有级别安全和业务员工用于保护其企业核心资产的知识” [5]。3.2. 威胁情报分类目前，针对威胁情报的分类多种多样，本文摘取有代表性的三种分类方法介绍如下：3.2.1. 基于使用对象的分类Chismon等人 [6] 根据威胁情报针对的使用对象的不同，将威胁情报划分为四类：战略情报、运营情报、战术情报、技术情报。战略情报主要面向高层管理人员，包括大环境下或大背景下的攻击来源、攻击危害、攻击者使用的资源与能力等宏观信息，主要是关于攻击趋势、财务影响以及可能影响高层决策的信息；运营情报是关于针对组织即将发生攻击的信息，由高级安全人员使用，例如安全经理或事件响应团队的负责人；战术情报主要面向安全分析人员或安全响应人员，通常被称为战术、技术和程序(TTP)，是关于威胁参与者如何进行攻击的信息，帮助安全响应人员确保应对当前情况准备对应的防御战术；技术情报则为安全人员或安全设备可以直接操作或读取的情报，如具体的远控域名、恶意IP、恶意样本哈希值等。3.2.2. 基于应用场景的分类基于不同的应用场景，威胁情报可以分为：归属情报、检测情报、指向情报和预测情报。归属情报根据行为证据指向特定攻击者，解决威胁行为人是“谁”的问题；检测情报识别在主机和网络上观察到的安全事件，解决威胁行为是“什么”的问题；指向情报帮助预测哪些用户、设施或者网络实体可能成为定向攻击的目标，解决威胁行为针对“谁”的问题；预测情报通过行为模式来预测威胁事件的发生，解决威胁行为接下来会“怎样”的问题，与态势感知密切相关。3.2.3. 基于数据类型与价值密度的分类基于情报的数据类型与价值密度，威胁情报可以分为情报数据、情报信息、情报知识三层。情报数据包括样本、IP指纹、域名解析记录、WHOIS信息、数字证书等，特点是数量巨大，更新频率相对较低；情报信息包括样本IP域名URL邮箱等的黑白类信誉以及C&C远控信息，特点是经过分析研判，具有较强的时效性；情报知识包括安全事件报告、攻击手法TTP、黑客组织画像等，特点是量少，价值最高，非结构性强，主要由人工分析挖掘而成。3.3. 威胁情报挖掘分析技术现状(1) 数据提取与治理威胁情报来源广泛，数量庞大，价值密度低，对其进行分类整理并从中提取有价值信息有助于情报分析工作。研究人员将Map Reduce体系结构引入到威胁情报的数据治理 [7]，使用机器学习算法对威胁情报进行分类。Graf R等人利用深度自编码器挖掘情报中潜在的语义信息，实现自动化网络事件分类 [8]。Noor U等人 [9] 将深度学习技术应用到高级威胁指标的提取，高级威胁指标(TTP、软件工具和恶意软件等攻击模式)在网络威胁归因中具有很大的作用，但在非结构化的技术报告中无法实现自动化的机器读取，因此通过建立针对高级威胁指标的通用词汇表，利用语义搜索技术从技术报告中直接提取高级威胁指标。(2) 情报分析利用关联分析、时间序列、流数据分类等技术来进行威胁情报分析，有助于从复杂的海量信息中提取出高价值的威胁特征 [7]，挖掘出信息之间的隐藏关联，从而更清晰地了解攻击者的攻击手段或当前的整体安全态势。王通 [10] 使用本体模型对威胁情报进行关联分析，利用知识图谱可视化技术直观地展示威胁情报的要素与关系；吕宗平 [11] 利用获取到的威胁信息对选取的特征属性计算信息熵，通过频繁模式挖掘进行关联分析；卿斯汉 [12] 通过对网络蠕虫行为模式的分析，提出一种基于网状关联分析的网络蠕虫预警方法。(3) 攻击溯源目前大多数威胁情报分析模型都是基于攻击链模型和钻石模型 [11]。攻击链模型根据攻击者对攻击目标系统入侵的不同阶段划分，将各个阶段按顺序连接起来形成完整的攻击过程，基于攻击链模型的威胁情报分析通过还原攻击的每一个阶段来还原整个攻击过程；钻石模型建立的基本元素是入侵事件，每个事件都有四个核心特征，即对手、能力、基础设施及受害者，通过连线来代表它们之间的关系，并布置成菱形。也有学者将人工智能技术引入来帮助预测威胁源 [9]。针对卫星通信网络的安全防护工作，引入威胁情报技术，需要能够为情报的不同使用对象提供相应的情报内容，同时也要能够根据应用场景、数据类型需求及价值密度需求，提供相应维度的威胁情报，因此在威胁情报分析中，要能够依据各个标准对情报进行分类，并能够综合利用治理、分析和攻击溯源等技术手段，对卫星通信网络中收集到威胁情报数据进行挖掘分析。4. 面向卫星通信网络的威胁情报技术架构将威胁情报应用于卫星通信网络的防护系统中，面临着以下主要挑战：一是需要广泛且可信的威胁情报来源，利用掌握的威胁情报实现安全事件的提前告警、威胁预测、风险评估等。二是卫星通信网络的拓扑架构存在动态性，诸多地面用户终端具有移动性、可扩展性的特点。三是威胁情报数据的鲜活性问题。互联网中每天包含了百万级甚至数亿的危害指标，但是根据调查 [13]，57%的受访专业人士表示获得的威胁情报大多数已经过时，而且大多数可用的商业和开源威胁情报产品并没有发挥足够的作用 [14]。四是威胁情报的针对性问题。卫星通信网络的安全防护需要大量针对特定设备(如VSAT终端设备、信关站设备等)的威胁情报，及时掌握相关设备的漏洞隐患和新型攻击方式，这方面的威胁情报数据极为缺乏。威胁情报分析过程需要自动化分析与人工分析相结合，才能更深地挖掘出情报价值，卫星通信网络已经呈现与IP技术高度融合的趋势，其网络边界的特殊性、协议特殊性和传输特殊性都是现有安全技术没有深入覆盖的研究领域，对于卫星通信网络中的威胁情报分析专业人才也较为缺乏。卫星通信网络安全需求与传统的地面网络安全需求是一致的 [2]，包括：可用性(卫星网络即使受到攻击，仍然能在需要时提供有效的服务)、机密性、完整性以及身份认证(应能对通信中的对等实体和数据来源进行鉴别，如空中卫星应能够鉴别地面或终端的合法性)与访问控制。如图1所示，依据国家网络安全等级保护制度对新型通信网络的安全要求，围绕卫星通信网络的安全需求，将威胁情报技术架构分为四个层次，即：数据采集层、数据治理层、分析验证层、安全保障业务层。下面详细介绍技术架构的每个层次。4.1. 情报采集层情报采集层主要负责从各种数据源采集威胁情报数据。根据卫星通信网络保护对象的特点，将情报数据分为通用威胁情报和专项威胁情报两类。通用威胁情报主要包括恶意文件、恶意IP/域名、漏洞信息、攻击组织等。通用威胁情报可以来自系统内部产生的威胁信息，同时国内外有很多开源或商业威胁情报平台可以提供此类情报，国外的威胁情报提供方包括AlientVault OTX、RSA Netwitness Live、Blue coat、SANS等，国内有微步在线、360网络威胁中心、绿盟、Freebuf等。专项威胁情报主要包括卫星通信网络专用设备、协议、应用服务相关的威胁情报，例如VSAT终端设备被植入的恶意文件、信关站设备的安全漏洞等。此类情报依赖于专业人员的分析，可以通过对相关网页、论坛、博客等网站进行信息爬取获取对应信息，更主要的是通过专项的漏洞挖掘和渗透测试工作，挖掘分析卫星通信网络专业设备、网络协议及应用服务所存在的漏洞、恶意文件等情报要素。4.2. 数据治理层数据治理层负责对采集的多源异构威胁情报数据进行清洗、标准化、标签、融合、质量管理等工作。数据清洗是对采集到的威胁情报数据进行筛选，清除重复数据、噪声数据和无效数据，并对数据准确性进行验证。数据标准化对异构的数据进行统一格式化处理，形成标准格式、统一维度的威胁情报数据，便于存储和分析使用；数据标签是根据数据来源、类型、时间、影响对象、地区、行业等维度对威胁情报数据进行标记，作为后续自动关联分析的基础 [15]；数据融合是利用多源融合技术对采集到的数据进行归并和关联，解决数据中可能存在的冲突信息等；数据质量管理是对生成的各类威胁情报及其原始数据的质量进行评价、反馈和管控，以期不断提高威胁情报数据对于卫星通信网络安全保障工作的实际效果。Figure 1. Threat intelligence technology framework for satellite communication network图1. 面向卫星通信网络的威胁情报技术架构4.3. 分析验证层分析验证层一方面采用关联分析、数据分类等数据挖掘算法和新型人工智能算法，对威胁情报要素数据进行分析挖掘。其中，关联分析对威胁情报的各个维度进行关联，发现其中的相关性，进而实现事件分析、攻击溯源等，例如通过对关联预警信息中的IP、域名、漏洞信息等，可以掌握安全事件的上下文，从而制定响应措施；数据分类即对威胁情报根据使用对象、应用场景、数据类型和价值密度进行分类，以满足不同人员、使用场景的业务需求；新型人工智能算法典型的如深度学习、增强学习等神经网络算法，对于提高隐含知识发掘、深度关联信息发掘、威胁情报智能推理、未知威胁预测能力等具有显著效果。另一方面，分析验证层通过搭建卫星通信网络的模拟仿真环境，对采集到的各类威胁情报数据(如漏洞隐患、恶意样本文件等)以及分析预测结果进行仿真环境验证，以确认其对实际网络的影响程度和影响范围，支撑卫星通信网络的安全保护实战工作。4.4. 保障业务层基于威胁情报数据的采集、治理、分析，为卫星通信网络提供指挥调度、实时监测、态势感知、事件处置、等级保护等安全保障业务支撑。指挥调度是依据卫星通信网络的安全策略，围绕当前安全状况、资产状况、网络威胁状况、漏洞隐患状况等，通过分析、研判、会商，提出安全决策，指挥相关模块完成安全保障工作；实时监测是利用威胁数据对卫星通信网络的安全状况进行实时监控分析，发现或预测正在发生或将要发生的安全事件；态势感知是在实时监测的基础上，对卫星通信网络的总体安全态势进行评估展示，并感知重要威胁、重大漏洞的威胁形势；事件处置是根据预定的应急预案，针对监测发现的安全事件采取有效的处置措施，及时弥补安全漏洞，消除安全事件影响，恢复系统正常运行；等级保护是按照国家网络安全等级保护制度，围绕等级保护技术要求和管理要求，开展卫星通信网络及应用系统的安全定级、备案、建设、整改、委托测评等工作。5. 卫星通信网络的威胁情报分析挖掘技术本章基于前面所给出的威胁情报技术架构，针对卫星通信网络的安全需求，阐述以下三类关键技术的核心内容。5.1. 威胁情报大数据治理卫星通信网络覆盖范围广泛，网络攻击形式复杂，威胁情报数据的来源异构多样，数据的种类繁杂、数量庞大，需要对威胁情报数据进行全方位的存储管理和治理工作，提高威胁情报数据的准确性、有效性和鲜活性，同时保证威胁情报数据的安全，避免数据被越权使用。大数据治理技术已在金融、电信、能源等行业中得到了应用，国内外学者针对数据治理也进行了一系列的研究 [16]，提出了很多数据管理模型，综合考虑了数据安全、隐私保护、质量管理、数据分析等方面的需求。大数据治理技术种类多样、功能各异，不同技术的相互融合会带来更好的效果，目前主要有四种大数据治理模式：(1) 元数据治理模式以元数据治理为核心，同时融合数据标准治理和数据安全治理，以确保元数据管理服务的规范性和安全性；(2) 质量治理模式通过质量检验指标的制定与维护、数据质量告警、质量问题的分析和管理等，实现对数据的绝对质量管理与过程质量管理；(3) 安全治理模式，利用数据加密工具、数据脱敏工具、数据库安全工具、数据防泄漏工具、数字水印技术、身份认证技术等保障企业数据的安全；(4) 主数据治理模式通过对业务数据的整合、管理，提供数据建模、数据地图、数据集市和数据全生命周期管理。面向卫星通信网络的威胁情报大数据治理要有效融合上述四种治理模式，从而对威胁数据进行系统化的治理，有效支撑卫星通信网络的安全保障工作。5.2. 业务驱动的威胁情报挖掘在互联网时代，几乎所有行业包括金融、电信、能源、医疗、教育等都面临着严峻的网络安全挑战。搜集威胁情报，通过挖掘分析来感知正在发生或将要发生的网络威胁，将会对各个行业的网络安全防护工作至关重要。卫星通信网络所使用的终端设备、信关站设备、网络协议及相关业务应用与其他行业存在较大差异，卫星网络用户的业务种类繁多、需求不同、通信内容繁杂，因此针对卫星通信卫星通信网络的安全威胁、攻击方式、攻击组织、攻击资源等情报要素也必然与其他行业不同，需要结合卫星通信网络中威胁情报使用者的业务特征和安全需求，采集符合卫星业务安全需求的威胁情报，设计适合的威胁情报分析流程及挖掘算法，结合业务特征进行情报挖掘，才能使威胁情报在卫星网络安全保障中发挥实战作用。5.3. 基于人工智能的威胁情报分析推理近年来，人工智能技术在很多研究领域中取得了非常好的成果，包括制造业、零售业、金融业、教育业等等。人工智能技术是充分挖掘数据的潜在价值的有效手段 [17]，有研究人员将人工智能应用到网络威胁情报的分析中，可以实现对威胁情报的智能推理，并对其发展的态势进行推演，有利于提升系统的安全防御能力。在大规模、大容量、IP融合化应用的卫星通信网络中，依靠人工推理远远无法实现及时地安全决策和应对，人工智能技术将在很大程度上提升威胁情报的处理速度，根据卫星网络安全状况的实时监测数据，根据威胁情报要素建立卫星网络安全知识图谱，直观展示网络中重大安全事件或威胁源的信息，利用MapReduce和Spark实现基于人工智能的图谱推理算法，实现对未知安全威胁及行为的预测，这方面的典型技术有卷积神经网络(CNN)、递归神经网络(RNN)、长短时记忆网络(LSTM)等，利用此类神经网络技术对卫星通信网络中的大量威胁情报进行快速学习、迭代和智能推理，能够为安全事件的监测发现、应急处置、预警预测提供准确、及时的参考依据。6. 小结本文主要介绍了当前卫星通信网络的安全形势以及目前的威胁情报相关技术，提出了卫星通信网络的威胁情报技术架构。将威胁情报引入卫星通信网络的安全防护工作，可以全方位掌握威胁信息，对当前的网络安全环境做出判断，进而预测未来即将发生的威胁。针对卫星通信网络的威胁情报工作，情报数据的挖掘分析是实现目标的关键，包括对已有数据的关联分析、数据挖掘、质量评估等技术。为了实现自动化的威胁预警和智能推理，需要将大数据治理、人工智能相关技术手段与现有的挖掘分析技术相结合，以卫星通信网络的安全防护需求为驱动，提高威胁情报的准确性、鲜活性，重点关注卫星通信网络专业设备、协议、应用服务等相关情报数据的采集和分析，从而有效提高卫星通信网络的安全防护和主动防御能力。参考文献[1]张更新. 卫星移动通信系统[M]. 北京: 人民邮电出版社, 2001.[2]王晓梅, 张铮, 冉崇森. 关于宽带卫星网络安全问题的思考[J]. 电信科学, 2002(12): 38-41.[3]McMillan, R. (2013) Definition: Threat Intelligence. Gartner Research. G002 49251.[4]Southern African Neuroscience Society (2016) SANS Information Security Research. http://www.sans.org[5]Fire Eye Inc. (2016) I SIGHT Parters. http://www.isightpartners.com[6]Chismon, D. and Ruks, M. (2015) Threat Intelligence: Collecting, Analysing, Evaluating. MWR Infosecurity, UK Cert, United Kingdom.[7]Graf, R. and King, R. (2018) Neural Network and Blockchain Based Technique for Cyber Threat In-telligence and Situational Awareness. In: 2018 10th International Conference on Cyber Conflict, Tallinn, 29 May-1 June 2018, 409-426.https://doi.org/10.23919/CYCON.2018.8405028[8]李建华. 网络空间威胁情报感知、共享与分析技术综述[J]. 网络与信息安全学报, 2016, 2(2): 16-29.[9]Noor, U., Anwar, Z., Amjad, T., et al. (2019) A Machine Learn-ing-Based FinTech Cyber Threat Attribution Framework Using High-Level Indicators of Compromise. Future Genera-tion Computer Systems, 96, 227-242.[10]王通. 威胁情报知识图谱构建技术的研究与实现[D]: [硕士学位论文]. 北京: 中国电子科技集团公司电子科学研究院, 2019.[11]吕宗平, 钟友兵, 顾兆军. 基于攻击链和网络流量检测的威胁情报分析研究[J]. 计算机应用研究, 2017, 34(6): 1794-1797, 1804.[12]卿斯汉, 文伟平, 蒋建春, 马恒太, 刘雪飞. 一种基于网状关联分析的网络蠕虫预警新方法[J]. 通信学报, 2004(7): 62-70.[13]Ponemon (2013) Live Threat Intelligence Impact Report 2013. Tech. Rep., Ponemon Institute Research Report.[14]Ring, T. (2014) Threat Intelligence: Why People Don’t Share. Computer Fraud & Security, 2014, 5-9.https://doi.org/10.1016/S1361-3723(14)70469-5[15]薄明霞, 唐洪玉, 冯晓冬. 基于大数据的安全威胁情报分析与共享平台技术架构研究[J]. 电信技术, 2019(11): 5-9.[16]马朝辉, 聂瑞华, 谭昊翔, 林嘉洺, 王欣明, 唐华, 杨晋吉, 赵淦森. 大数据治理的数据模式与安全[J]. 大数据, 2016, 2(3): 83-95.[17]郭平, 王可, 罗阿理, 薛明志. 大数据分析中的计算智能研究现状与展望[J]. 软件学报, 2015, 26(11): 3010-3025.赵 宁 李 蕾 刘青春 叶 锐(1.哈尔滨工业大学图书馆 哈尔滨 150001；2.公安部北京锐安科技有限公司 北京 100192)随着对安全领域的关注度提升，很多企业和机构逐步聚焦威胁情报，尤其在安全领域。关于威胁情报的概念，并没有一个明确的工业化定义，根据Gartner在《安全威胁情报服务市场指南》提出面向高端用户提供决策依据的完整模式及响应的涵义[1-2]，及Jon Friedman、Mark Bouchard在《网络威胁情报权威指南》的流程目标定义[3]，结合美国中央情报局CIA对于情报的定义[4-5]，本文认为的企业威胁情报是传递与中央情报机构提供具有类似属性的防御情报，取代为国民领导或军部指挥官提供的战略性国家安全威胁情报，关注企业机构系统，是安全团队为企业决策者提供的对企业产生的潜在与非潜在危害的知识信息集合，保证机构正常运转、核心产业经济安全及持续发展。威胁情报产品作为一个跨学科整体方案，通过搜集、分析、评估和判断形成预测情报产品，是防御级的安全分析需要的信息，用于评估敌人，可以还原已发生和预测未发生的攻击。业内更广泛的关注是在技术威胁层面，即狭义的数据与信息网络安全[6-7]。随着互联网特别是移动互联网的发展，网络环境愈发复杂，当下威胁情报处于混沌的状态，由于威胁情报的来源范围广、种类多、时效性强特点，使其在实际运用中面临许多问题[8]。基于网络开源情报(OSINT)中的威胁情报分析与管理机制研究主要包括对于主体——网络OSINT的说明，客体——威胁情报的分析模式，管理运行流程——面向OSINT的威胁情报预警模型和基于OSINT的威胁情报体系运营机制的研究方面。1 威胁情报的获取及基于网络OSINT重要性目前网络威胁变得越来越持续作用和具备先进技术性。威胁情报作为网络信息安全领域的分支，其收集产生渠道如图1包括：a.网络情报，对于网络流量数据。b.本地内部情报，对于内部网络、终端和部署的安全设备产生的日志数据。c.边界情报，从政府、供应商和电信部门收集的信息。d.OSINT(开源情报)，新闻网站、博客、论坛、社交网络、媒体站点、机构公告等公共资源数据。e.秘密情报，包括暗网、地下论坛、执法和情报机构中的数据信息[9,10]。威胁情报基于以上融合情报的研判获得，其情报感知的信息体量、威胁情报获取难度和重要性的级别说明如图1所示，按金字塔层级从下到上是增大、增加、增强的关系，塔顶的秘密情报中获取的威胁情报成分较大，但收集获取途径难度大，通常获得的威胁情报比常规的网络情报含有更重要的预警作用和价值。在金字塔中OSINT在威胁情报中起到了积极的作用，相较于秘密情报，OSINT目前以令人眼花缭乱的速度发展，为打击威胁和网络犯罪提供了新的行动路线，并且秘密情报获取威胁情报也可能是基于OSINT的二次开发，需要特定的手段，提升对深网与暗网的监控与研究能力，因为这些网络中许多内容仍可以被认为是开源的而被公众使用，威胁情报挖掘需要OSINT的经验[11]。在所有威胁情报子类型中，网络OSINT也许是使用最广泛的情报，都可以为数据收集、分析、自动化集成和报告等，建立通用的流程和框架，成为威胁情报的重要组成部分。在过去，威胁情报的来源和获取数据途径太少、处理能力弱，存在很大的不足。随着互联网和大数据技术进步，政府数据库、企业内容和不断增长的个人数据不断开放，越来越多地发布在网络上，也促进个人、机构甚至是国家的数据访问，这成为情报机构加以利用的OSINT来源，侧重点不断加大。内容上，论坛、群组等共享范围加大，用户不断生产内容，更多私人和保密领域的文件被泄露，扩大了OSINT的收集量。手段上，除对互联网公共资源数据进行爬取、API获取和订阅，美国政府部门部署Maltego、Recon-ng、theHarvester、Shodan等工具获取相关情报[12]。网络OSINT对于威胁情报的重要性体现在：在收集获取上，OSINT的信息来源易于访问、风险较小且经济高效；在威胁情报的应用中，OSINT由于其信息体量大、涵盖方面多，可提供包括维护国家安全和政治稳定、在线查找虚假服务、辅助金融调查、法律问题等广泛领域情报；在威胁情报的分析与管理中，OSINT有利于掌握威胁全景图，其丰富的特征用于信任评估，其信息数据来源更新快，足以满足情报分析的需求，也能够实时、准确地对事件进行决策及继续完善。特别是有利于长期和全面的情报感知，包括数据、情境和态势感知的支持，如OSINT对于社交媒体中积累的证据进行社会舆情分析可以应用于市场、政治或灾害管理等方面，通过OSINT中的数据分析匹配感知犯罪和追踪，根据OSINT在网络攻击的取证调查网络犯罪和组织犯罪等[13]。OSINT被各国政府和情报部门广泛利用，已经成为安全与国防机构的必要能力，威胁情报也成为网络OSINT领域中发展速度最快的部分之一。图1 威胁情报信息体量、获取难度、重要性层级2 基于OSINT的威胁情报收集需求及价值层次威胁是指对企业造成危害和利益受到损失，基于OSINT的威胁情报收集需求主要为帮助企业对面临威胁的态势感知、特定类别的风险识别，用于辅助支持安全决策或分析并做出及时响应防御，以保护企业的关键资产。针对企业来讲，潜在网络系统存在的威胁，攻击行为动态感知和溯源是需要数据支撑的，所以从对安全威胁、威胁者、恶意软件、漏洞和危害指标收集作为用于评估和应用的数据集和信息集合。基于OSINT的来源，收集主要从a.检测的角度，对于话题检测可从互联网平台开放的技术文章、论坛、社交媒体等开源信息获取威胁情报基础信息、提取特征生成识别、攻击等相关恶意检测知识；b.态势感知的角度，通过OSINT掌握利用各种形式的数据信息，进行评估预测，如爬取获得基于多个OSINT的威胁情报源构建威胁情报全景图，获得网络攻击预测的方法，提升对威胁的识别，理解分析、响应处置能力，但开源信息的不确定和模糊性需要解决获取接近真实的问题；c.威胁狩猎的角度，作为威胁情报收集的辅助方式，基于网络和数据进行主动的和反复的搜索获取新的目标。通过联合分析得出不同场景应用，结合已有开源威胁情报与实时流量数据，对威胁情报进行深度关联和分析，发现潜在网络系统存在的威胁。市面上也有很多基于OSINT 数据的威胁情报平台，使用该来源的信息，通常面临数据种类多、冗余重复度大、覆盖面不全、过时不准确等，这是OSINT收集时需要注意的问题。解决OSINT信息处理相关的难点，以有效利用威胁情报[14]。针对OSINT信息本身，在收集时需要做到可用性大、精度高、保证信息源的覆盖面、可信度强、及时性，OSINT的威胁情报收集方案：首先确定收集需求；然后是收集计划，即信息源、信息格式、研判方式及收集方式保证来源信誉的权重高及信息质量的匹配；通过相应的方法区分OSINT威胁情报的层次，包括机器分析和人工研判；最后就是利用OSINT进行威胁情报的分析[15]。威胁情报收集的价值在于，机构可以结合自身业务对网络OSINT信息数据提取，汇总作为告警感染指标IOC，同一类别基于OSINT的威胁情报可能有多个来源，因为OSINT来源信息数据的不确定性，质量需要评估筛选，则需要对其可信度做出评价，避免“数据中毒”，来源可靠且本身质量高的开源威胁情报是具有价值的威胁情报，对于价值的量化可以通过所在坐标的模进行表示，区分出基于OSINT的威胁情报层次[16]。图2 基于OSINT的威胁情报价值判断坐标收集互联网的OSINT，并基于机器学习的威胁检测，类似相关的威胁的聚类[17,18]，如图2所示，区分OSINT信息威胁情报的层次，被机器自动判定为威胁情报的A，映射A的价值为：VA=|A(xa,ya)|(x>0，y>0)同理可得，映射B，C需要判定价值的优先级：VB=|B(xb,yb)|(x>0，y>0)VC=|C(xc,yc)|(x>0，y>0)通过此方法区分出威胁情报价值层次，便于OSINT信息的处理。3 基于OSINT挖掘威胁情报的系统架构3.1威胁情报挖掘的系统架构在网络OSINT中，威胁情报的感知和收集，需要借助大数据来开展与进行。基于威胁分析收集情报的需求而产生，以OSINT的收集和管理为目标，具有自定义情报、关联搜索、情报管理、情报导出等功能。建设本地威胁情报平台，实现对威胁情报数据收集、多源聚合、评估、生命周期管理，并提供情报数据多属性、多维度的检索，提升威胁情报生产、输出业务能力[19]。图3 威胁情报挖掘系统架构图系统架构如图3所示，其架构层实现的功能和具体机制见表1。表1 威胁情报平台系统架构层功能机制3.2威胁情报管理的系统功能作为威胁情报管理系统的一部分，OSINT进行分析和生产，与其他源情报融合得到全面的威胁情报。设计威胁情报管理系统，系统功能分为几大模块，包括威胁情报接入、威胁情报检测、威胁情报分析、情报管理、漏洞预警与攻击组织画像，实现对威胁情报数据信息收集、融合、检测、分析评估、生命周期管理，并提供情报数据多属性、多维度的检索，提升威胁情报生产、输出业务能力。具体功能如下说明：3.2.1 威胁情报接入模块威胁情报的接入模块主要包括情报的输入和输出两部分，部署位置在情报数据接入服务器，通过对自采集的威胁情报、API导入的第三方情报、人工输入情报、系统自生产的情报进行情报数据的接入、转换、清洗、汇入、持久化等功能。同时有效地收集各种OSINT，由威胁情报管理服务器和收集代理组成。威胁管理服务器可根据每个收集通道要收集的信息量动态分配收集代理，调整工作量，并通过将从代理收集的信息转换为预定义的数据库存储结构来管理这些信息。收集代理通过基于从威胁情报管理服务器接收到的环境设置信息构建收集环境，第一阶段是采集索引阶段并判断情报优先级，通过再归类查询，发送查询管理通过OSINT收集历史。3.2.2 威胁情报检测模块情报检测模块支持用户通过Web访问或者应用程序接口API查询的方式，通过多维数据展示，提供给用户丰富的入侵威胁指标上下文信息以及与其相关联的DY〗情报信息。部署于数据中心的检测引擎软件，可以流式查询、流式统计、流式过滤筛选、流式比对操作、流式结构拆分和自定义函数操作等。3.2.3 威胁情报分析模块威胁情报分析模块包括威胁情报的关联分析以及情报的融合，在庞大的OSINT中，快速有效识别有价值信息，结合相应安全事件的监测和预警，在威胁情报的搜集到整合、利用、响应的生态链条中，建立以威胁情报线索驱动的高持续性网络威胁的深度监测和分析能力。拓展挖掘对事件的监测范围，形成对于持续、特定组织的安全威胁行为的画像信息管理，通过构建情报之间的关联关系，挖掘情报之间的潜在联系，融合多源威胁情报，可建立可视化图谱分析供用户使用。3.2.4 威胁情报管理模块威胁情报管理模块主要包括情报的生命周期管理、情报置信度管理、情报统计等功能，目前情报的生命周期管理采用独有的事件驱动方式，通过事件的触发来开启或者弃用威胁情报，实现威胁情报生命周期的自管理模式。情报统计模块主要针对不同源、类型的威胁情报、基于时间线的情报数量等维度对本地威胁情报进行了统计分析，支持下钻等功能。能够对于威胁情报数据包括的攻陷指标IOCs元素，具备质量评估、老化检测机制和生命周期管理的能力。3.2.5 漏洞预警与攻击组织画像模块漏洞预警与攻击组织画像模块主要包括针对重点漏洞进行及时预警通报，对攻击组织和攻击组织所实施的活动能够进行组织画像和行为画像，进一步分析出攻击组织的动向和信息。画像信息主要包括：攻击组织或攻击活动名称、别名、首披露时间、源国家或地区、所属国家、基本描述、目标国家或地区、目标行业、目标对象、攻击动机、常用软件工具；攻击组织关联情报信息，包括攻击战术技术过程描述、关联攻击组织分析报告；攻击组织或攻击事件网络资产信息：包括攻击组织或攻击事件所使用网络资产；攻击组织或攻击事件关联网安监测配置信息。4 面向OSINT的威胁情报的分析模式及预警管理4.1基于OSINT的威胁情报分析模式情报分析的流程理论环节上分为采集-加工-分析环节，而基于OSINT的威胁情报分析过程也包括OSINT的获取识别-融合处理-关联分析的系统过程，其分析运行逻辑如图4所示。图4 威胁情报分析运行逻辑图基于OSINT的威胁情报分析模式作为一个系统过程，主要内容为：a.威胁情报获取与识别提取。威胁情报分析以数据为基础，提供准确丰富的威胁情报数据以及服务，作为网络OSINT，可以从技术文章、深网暗网的开源信息、论坛博客、社交媒体、公共代码库和漏洞报告的情报源中获取数据，通过动态爬虫检测更新等，对于OSINT确定范围，要了解信息源，明确哪些是需要关注的，了解威胁情报类型是属于战略性、运营级还是战术性的，利用已知的攻击手段查找相关线索。预处理数据时明确OSINT信息来源格式，对于OSINT的统一接入及特征提取，信息的预处理包括恶意事件标注、检测特征、IOCs自动化提取、人工校验修正等标签化操作，单一的信息和数据经过分析处理得到有价值的情报，结构化数据进行正则、字典匹配；非结构化信息一般需要NLP进行处理，不同的信息种类，处理方式不同，应用机器挖掘技术获取目标实体关系，OSINT的接入与提取场景进行对比分析[20]。b.威胁情报的融合评价。高质量的威胁情报是具有时效性、准确性、完整性、可操作等特征，作为网络OSINT具有独立性和无组织性，情报信息具有多源异构性，对于情报源聚合处理，系统能够对包括商业情报、开源情报、自有监测情报、行业或组织共享情报等多来源的情报信息有效管理和相应的数据信息进行融合处理，形成可持续运营的多源威胁情报融合处理能力；结合利用本体构建技术一致性分析和相同威胁信息的IOCs去重去伪等操作，整合成一个系统的威胁情报指标体系并建模，提高威胁情报的分析效率。指标考虑的方面包括：时效性、准确性、相关性，包括研判的周期和时效性，日常的分析和不定期的研判状态分析设置；对于信息来源信誉和质量，官方网站、专业媒体等的权值可以大一点，信息质量要根据不同来源进行匹配设定威胁情报的层次。c.威胁情报的关联分析。结合OSINT基础数据、自有流量数据，采集外部来源，威胁情报的关联分析主要应用于恶意检测、态势感知和威胁狩猎场景上，技术上充分利用大数据分析、机器学习、关联图谱等技术深入挖掘威胁情报的潜在的价值和内在关联关系，关联溯源对威胁情报信息中攻陷指标元素关联信息自动提取、构建威胁情报图谱。网络OSINT促进提取相关知识与恶意软件的静态、动态特征数据进行关联，OSINT各种形式的数据信息挖掘促进深度关联、全面评估推理揭示出隐含的威胁信息，通过模式匹配、图计算、特定语言等实现情报的联动，提升中心整体安全解决方案防护效果。4.2基于OSINT的威胁情报预警处理威胁情报不只是被动的事后检测，安全预警是威胁情报运营体系重要的环节，威胁情报预警能够处理是针对特定攻击组织或攻击事件基础信息、监测配置信息的管理，能够针对重点漏洞进行及时的预警和跟踪。针对OSINT建立威胁情报预警模型(如图5所示)，具有确定威胁优先级、精准发现核心关键性威胁、重大事件预警的效果，有助于采取积极的措施，建立计划来打击当前和未来的威胁。其核心为：a.动态监测方面，构建OSINT巡查业务知识库，形成针对覆盖属地范围内的内容监测系统，对OSINT包含的信息识别，进行威胁登记，实现对威胁情报的实时分析和预警机制。b.分析处理方面，设置基于数据驱动分析要素的OSINT研判思路，形成了针对OSINT事件分类体系、构建了针对不同类别情报的分析处理，呈现威胁情报分析结果，威胁情报的分析种类如表2所示。表2 威胁情报分析的种类c.融合预警方面，通过将系统在互联网开源获取的信息与其他影响因素结合，建立预警模型，数据进行交叉比对、碰撞，按照预警标度，如表3所示，为现实部门处置提供情报支撑。表3 预警标度及标度含义d.预警输出方面，建立威胁情报攻陷指标多渠道输出，对情报内容、目标组织(或领域行业)、情报恶意类型等维度可定制的输出接口，具有威胁情报IOCs数据灵活可定制输出。根据威胁的应用场景，情报处于攻击链的不同阶段，不同威胁情报处理通过预警标度进行机器研判和人工研判，机器研判不准的结合专家人员思想进行人工研判，预警标度作为紧急危险的快速响应，按照评级进行优先修复和防范，可以缩短对高危情况的响应时间。根据预警决策，系统根据威胁模型应对策略库进行相应处置。5 基于OSINT的威胁情报体系运营机制5.1基于威胁情报生态运行机制网络冲突和攻击为安全威胁的主要形式，建立综合性防御体系需要从生态开始，这是有效建立安全防护系统运作过程，其运行机制是以生态链中各主体的存在为前提，将主体之间关系梳理成相对具体化的运行方式。威胁情报生态链的主体构成有机构用户、相应服务商、安全厂商、研究机构、安全监管机构，各个生态角色间互相协作；客体威胁情报的作用是应用于防御中体现其价值，基于态势感知将威胁情报结果应用在防御体系内并持续发展，安全防护生态整体可以更为有效的对抗安全威胁；生态运行是威胁情报信息需求、获取、处理、生产、利用动态循环的过程，情报用户利用情报并反馈高价值情报，相应服务商和安全厂商生产共享威胁情报，研究机构研究高价值的威胁情报，监管部门利用执行构成威胁情报生态，驱动力包括内部和外部信息环境。基于威胁情报生态运行机制，需要对发挥客体威胁情报价值作用、优化挖掘过程作用到主体上进行完善，细化来看包括：a.完善主体组织机构。构建威胁情报生态系统应对复杂难测的网络威胁，在战略上通过完善主体组织，实现硬件和软件部署，可以全面掌握对于威胁情报态势感知。如美国国土安全部(DHS)依托美国情报组织架构基础，建立情报机构之间以及联邦、州、地方政府的网络威胁情报生态系统，以通过完善部门职能和组织机构、共享情报指标信息。健全网络安全机构，发展其他组织机构，成立了威胁情报交换联盟，推动威胁情报生态建设，通过企业与政府、国家主体间、各个行业间的多层面威胁情报生态系统运转，生态角色发挥作用，提高其网络空间安全态势的感知和防御能力，形成网络威胁情报体系。b.强化技术手段。提升情报信息技术水平，提高信息处理技术，生产高质量威胁情报和利用促进威胁情报生态循环。对于OSINT有效信息的感知和收集和处理是首要条件，随着开放信息的增多，威胁情报的增长为富集效应，其转化的速度也越快，针对威胁情报收集能力的提升，基于国内外OSINT与多源情报融合，如美欧日等各地实施全网部署蜜罐流量探针捕获、实施云端监测、网络空间测绘和国内外开源与商用情报源；提高数据挖掘分析，增加情报的获取能力，采用 “大数据+AI”智能分析的监督式机器学习方式，进行研判与响应；另外要针对场景进行攻击演练，锻炼强化技术手段。c.完善法律法规信息环境。信息安全、规范制度和发展环境因素促进威胁情报生态运行，需要明确建立网络威胁系统操作流程、报告传送，像美国政府有正式的综合立法CISA，制定相关程序和指南，网络威胁信息、防御措施、隐私与自由的网络威胁其他相关信息的限制规定，提供相应运行条例的参考，规范威胁情报采集，帮助威胁情报分析人员为规避法律风险；像美国国土安全部(DHS)、司法部(DoJ)颁布相应的行政指令进行约束，以便更好地处理国家安全、经济、健康方面的网络威胁。5.2完善威胁情报共享协同机制加强网络威胁情报的共建共享，融合情报数据，安恒首席科学家刘博认为，网络空间威胁情报能力的建设，需要从融合威胁情报数据、协同处置等角度着手，形成流程的闭环[21]。完善威胁情报共享协同机制需要鼓励政府、公共机构、企业加入威胁情报共享联盟和社区，形成威胁情报共享的完整体系，细化来看包括：a.建立融合式共享模式。借鉴欧盟ISAC的融合式共享模式，建立多视角、多层次、多领域的威胁情报共享联盟。构建威胁情报共享云，云端安全监测，通过跨部门、跨领域各层级的协调机构统筹，加强网络安全管理部门与行业、企业的合作与支持、共享威胁情报并采取行动。通过互联互通、融合信息和快速更新，协同防御威胁攻击，增强系统的感知能力，弥补外部威胁的认识不足，海量关联情报数据，不仅能提高本地机构相应速度，还可以结合不同的服务，用于不同的共享模型提供更多的有效数据支撑。b.建立共享体系标准。标准化是威胁情报共享的技术基础，构建网络威胁信息共享指南可提高效率和合作范围，方便对系统业务在执行过程的监督，为情报资源共享提供有效保障。需要完善相关国际通用标准，建立分析指标、控制策略、共享指南，使得情报有效共享、协同联动，推动威胁情报的发展。可借鉴欧盟NIS指令和美国NIST指南对结构化威胁信息表达、自动化交换、网络可观察表达等网络安全威胁信息进行管理，制定威胁情报应用、发布、共享和交换节的技术要求，建立共享标准规范体系，通过共享体系标准的建设，保证威胁情报的质量与水平。c.加强协同合作发展。借鉴美国政府加强与网络安全私营部门的合作、欧盟统筹协调的网络威胁情报共享发展模式，构建“主导+成员”的联合建立协作环境，集成共享威胁情报信息，根据场景识别进行任务分派，共同主动应对网络威胁，制定长效协同合作机制。在确保执行网络任务的资源下，以问题为导向进行任务协同及监管，构建强化网络威胁情报的整合中心，满足跨部门、跨领域协作的需求，形成网络化的组织模式，共同发挥溯源和反威胁能力，通过不断加强的情报共享技术、资金、人力提升合作力度，加强网络威胁情报协同合作发展，提高威胁情报的治理能力。5.3建立威胁情报安全产品机制威胁情报单独存在没有实现其价值，而体系化能力的解决方案必须通过产品和服务实现[22]。比较起国外，国内的安全防御体系并不完备，很多时候威胁情报没有真正发挥价值，导致用户认为其没有价值。建立威胁情报安全产品机制，发挥相应的情报产品价值，提升威胁情报运营和实践作用，细化来看包括：a.情报产品场景化策略。若安全威胁情报产品进行有效市场划分，商业环境促进其利用使用，用户的有效消费，根据情境部署、构建防御策略，生产威胁情报产品，按体系化建设的解决方案对应的情报产品机制，集合威胁情报服务厂商提供资源，发挥更大价值，会使得威胁情报体系建设越来越成熟。开展情报产品项目实践进行体系建立的验证，填补承包商的网络安全短板和相应场景化、功能化发展策略，也是各类组织实现网络安全保障和体系化建设的最佳指南。b.威胁情报产品标准化。业界制定了一系列的威胁情报交换标准，根据控制建议、指标信息、属性描述等制定威胁情报产品的相应标准，方便应用在不同领域进行网络安全管理，比如通信、工业、银行、能源等行业中。建立相关威胁情报的标准、实现多源异构威胁情报共享，使得各大厂商统一标准，提高威胁情报产品生产的联动效率。c.威胁情报产品服务推广。威胁情报运营手段类似其他的安全运营，而威胁情报产品应用推广，是传递至用户使之成为有效情报的过程，需要根据业务特性，考核运营闭环指标，结合威胁情报能力生命周期进行，可对情报产品进行进一步加工，达到相应的目的和效果，可以设置迭代升级情报产品的版本号，完善威胁情报产品体系服务。6 结 语随着互联网的发展，新时代攻防的需求改变，复杂的攻击行为伴随着产业化。团伙化、创新化的攻击手段方式创新多样化，并且伴有持续性，需要对威胁情报有效的检测、拦截和分析。网络信息泛滥，基于网络OSINT的使用是威胁情报挖掘的重要驱动力，作为安全与国防的必要来源，需要建立主动型预测性的威胁情报分析为主的模式，通过技术的模块化进行深度分析与监测管理，及时预警和跟踪，发挥在信息安全领域保护企业关键资产和国家政治稳定的作用。目前由于缺乏统一的基于OSINT的威胁情报共享主管机构，相应各机构缺乏协调机制，难以真正实现联盟层面威胁情报的共享利用。需要从战略高度识别应对关键网络威胁的方向，完善主体、强化技术手段和相关信息环境建立互利共赢的OSINT威胁情报生态，通过融合式共享模式、共享体系标准、加强协同合作发展完善共享协同机制，根据场景化、标准化，迭代运营服务建立安全产品市场推广机制，有助于威胁情报体系发展与完善。威胁情报未来也会贴近实际应用和真实运营，基于OINST的挖掘分析与管理需要考虑成本，去解决威胁情报共享联盟信息不对称的问题，保证生产具有时效性、准确性、完整性的高质量威胁情报产品。