林 玥 劉 鵬 王 鶴 王文杰 張玉清

1(西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 西安 710071) 2(中國科學(xué)院大學(xué)國家計算機網(wǎng)絡(luò)入侵防范中心 北京 101408)

近年來，網(wǎng)絡(luò)技術(shù)日益翻新，同時帶來了日趨復(fù)雜的新生網(wǎng)絡(luò)威脅.

這些新生威脅具有多矢量、多階段的特性：多矢量指的是威脅攻擊可以使用多種傳播方式(如Web、電子郵件、應(yīng)用程序等)，多階段指的是攻擊可以在網(wǎng)絡(luò)中滲透、傳播并最終泄露有價值的數(shù)據(jù).

表1詳細(xì)介紹了4種新生威脅及其特點.一方面，新生攻擊促成了新的攻擊場景，從防御角度可理解為“攻擊鏈[1]”.另一方面，為了實現(xiàn)新生攻擊，攻擊者配備了最新的零日漏洞和社會工程學(xué)技術(shù)，利用先進的策略很容易避開傳統(tǒng)的安全防御手段.

Table 1 Emerging Threats and Their Characteristics

網(wǎng)絡(luò)安全是一種權(quán)衡較量，是攻擊者和防御者之間的非靜態(tài)平衡行為[4].由于信息的不對稱性，攻擊者具有先下手為強的優(yōu)勢，而防御者往往處于被動的地位.

為提高網(wǎng)絡(luò)安全防御能力，各方著眼于對威脅情報的利用，因其數(shù)據(jù)內(nèi)容豐富、準(zhǔn)確性高等特點，可以為安全分析的各個階段提供有力的數(shù)據(jù)支撐.面對復(fù)雜的攻擊形式和嚴(yán)重的攻擊后果，依靠個人或單個組織的技術(shù)力量僅能獲得局部的攻擊信息，無法構(gòu)建完整的攻擊鏈，更無法準(zhǔn)確有效地預(yù)防攻擊.而威脅情報的交換與共享方法能夠使威脅情報價值最大化，降低情報搜集成本，很好地改善信息孤島問題，進而提高參與共享各方的威脅檢測與應(yīng)急響應(yīng)能力.網(wǎng)絡(luò)安全威脅情報的共享交換作為一種“以空間換時間”的技術(shù)方式，可以及時利用其他網(wǎng)絡(luò)中產(chǎn)生的高效威脅情報提高防護方的應(yīng)對能力，縮短響應(yīng)時間，從而形成緩解攻防對抗不對稱態(tài)勢的長效機制.

作為網(wǎng)絡(luò)空間的主導(dǎo)者，美國政府高度重視網(wǎng)絡(luò)安全威脅信息的共享，早在2003年的《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》中就提出了建立信息共享與分析中心(Information Sharing and Analysis Center, ISAC)，確保能夠接收實時的網(wǎng)絡(luò)威脅和漏洞數(shù)據(jù)[5].近年來，美國政府在威脅情報信息共享的建設(shè)方面持續(xù)投入大量的精力，現(xiàn)已建立起了覆蓋地方—聯(lián)邦政府、部門(行業(yè))、企業(yè)—政府多個層面的威脅情報分析與共享體系，極大地提高了美國應(yīng)對其網(wǎng)絡(luò)空間安全態(tài)勢的感知和防御能力[6].然而，我國的威脅情報體系發(fā)展仍處于起步階段，基于威脅情報的網(wǎng)絡(luò)安全分析技術(shù)比較落后.不僅缺乏有效、可靠的威脅情報的采集、共享與利用規(guī)范，而且尚未建成規(guī)?；募夹g(shù)完備的集數(shù)據(jù)截獲、分析、轉(zhuǎn)化、共享與利用為一體的現(xiàn)代化威脅情報中心，因而缺乏面向政府、軍隊、企業(yè)、設(shè)備廠商、個人或民間組織提供的威脅情報的綜合服務(wù)平臺.

為了扭轉(zhuǎn)這種被動局面，建立和完善可靠的威脅情報共享與交換機制迫在眉睫.目前，我國正在逐步展開以威脅情報為基礎(chǔ)的網(wǎng)絡(luò)空間安全態(tài)勢感知戰(zhàn)略，根據(jù)自身發(fā)展和技術(shù)積累情況積極開展情報集、共享與分析等方面的研究.學(xué)術(shù)界和產(chǎn)業(yè)界也都積極地進行著相關(guān)技術(shù)的研究，嘗試尋求網(wǎng)絡(luò)安全防御的合作共贏，從而建立健全的國內(nèi)情報共享與交換體制，進一步推進我國威脅情報相關(guān)機制的發(fā)展，提高國家網(wǎng)絡(luò)安全的整體防御能力[7].

雖然威脅情報共享領(lǐng)域的研究引起了國內(nèi)外廣泛關(guān)注，但仍然存在許多制約情報共享發(fā)展的問題和困難.為此，我們系統(tǒng)地調(diào)研了IEEE，ACM，Springer等期刊以及安全會議中近10年來有關(guān)威脅情報共享機制的文獻，統(tǒng)計分析了近60篇論文，嘗試總結(jié)威脅情報共享當(dāng)前的研究成果并指出該領(lǐng)域的研究方向.圖1顯示了關(guān)鍵詞“Cyber threat intelligence”近10年來在互聯(lián)網(wǎng)上的搜索熱度，每年份的縱軸數(shù)據(jù)為去年9月到該年8月的月度搜索熱度(0～100)算術(shù)求和.連年增加的搜索熱度反映該領(lǐng)域持續(xù)受到關(guān)注，相信更多的研究成果即將出現(xiàn).

Fig. 1 Google trends of “cyber threat intelligence” in the past 10 years圖1 Internet搜索關(guān)鍵詞“cyber threat intelligence”近10年的Google trends數(shù)據(jù)

本文的主要貢獻有3個方面：

1) 系統(tǒng)地調(diào)研了2010年至今的近60篇威脅情報共享相關(guān)文獻，指出了威脅情報共享研究的發(fā)展歷程，對比了國內(nèi)外威脅情報共享規(guī)范，總結(jié)相關(guān)共享模型與方案；

2) 首次從外部環(huán)境障礙、共享參與者的信任障礙和利益分配、共享數(shù)據(jù)的隱私安全和價值評估3個角度出發(fā)對威脅情報共享所面臨的問題進行梳理，并分別給出各問題相對應(yīng)的研究舉措；

3) 分析了當(dāng)前我國威脅情報共享研究中的不足，總結(jié)了面臨的五大機遇與挑戰(zhàn)，并指出了未來的研究趨勢與下一步研究方向.

1 威脅情報

1.1 威脅情報的定義

在傳統(tǒng)安防領(lǐng)域，威脅必須具有3個要素才能稱之為威脅，它們分別是渴望達成的目的、用以支持的資源及可供實施攻擊的機會、手段與工具.

隨著互聯(lián)網(wǎng)和信息化的普及，傳統(tǒng)的安全威脅也滲透到了線上，而與之對應(yīng)的是網(wǎng)絡(luò)空間中的威脅與威脅情報.所以從歷史發(fā)展觀來看，網(wǎng)絡(luò)威脅是傳統(tǒng)威脅在介質(zhì)升級后的一種新體現(xiàn)，網(wǎng)絡(luò)威脅情報是傳統(tǒng)安全情報的范圍延伸.

網(wǎng)絡(luò)威脅情報(cyber threat intelligence, CTI)是記載網(wǎng)絡(luò)上現(xiàn)有的或者曾經(jīng)存在的安全威脅的一種信息，但是目前整個業(yè)內(nèi)對于威脅情報并沒有一個十分確切的一致定義，目前最為通用的定義是Gartner公司在2014年版本的《安全威脅情報服務(wù)市場指南》[8]中給出的.

Gartner認(rèn)為，威脅情報是一種基于證據(jù)的知識，包括了情境、機制、指標(biāo)、影響和操作建議.威脅情報描述了現(xiàn)存的、或者是即將出現(xiàn)針對資產(chǎn)的威脅或危險，并可以用于通知主體針對相關(guān)威脅或危險采取某種響應(yīng).

在2015年，由Friedman和Bouchard在《網(wǎng)絡(luò)威脅情報權(quán)威指南》[9]中，也給出了一個有關(guān)威脅情報的定義：對敵方的情報及其動機、企圖和方法進行搜集、分析和傳播，以幫助各個層面的安全和業(yè)務(wù)成員保護企業(yè)關(guān)鍵資產(chǎn)的信息.

總之，威脅情報就是對企業(yè)產(chǎn)生潛在危害與直接危害的信息集合.這些信息能幫助企業(yè)研判當(dāng)前發(fā)展現(xiàn)狀與趨勢，并可推算出所面對的威脅，然后由此制定決策.簡而言之，對企業(yè)產(chǎn)生危害或者利益損失的信息，就可以稱之為威脅情報，這也是目前整個業(yè)界所默認(rèn)的一種定義[10].

1.2 威脅情報的內(nèi)容與分類

從數(shù)據(jù)特點上來看，威脅情報是一種海量、多源、異構(gòu)的信息.2014年，F(xiàn)ireEye的Bianco在公開演講中提出，所有事件(facts)、機器采集的原始數(shù)據(jù)(raw data)、專家所做的相關(guān)分析(expert analysis)等，都可以被認(rèn)為是有價值的威脅信息，可以用來進行集中過濾、處理，然后得到有價值的威脅情報.在該公開匯報過程中，Bianco根據(jù)情報的潛在利用價值以及獲得難度，做了一個金字塔形狀的分類.金字塔從下至上分別是：Hash值、IP地址、域名、網(wǎng)絡(luò)主機特征、攻擊工具、TTPs.一般而言，包含不同內(nèi)容的威脅情報的使用價值不同，其獲取的難易程度也有所不同.

需要特別指出的是，從威脅情報本身而言，它類似于醫(yī)療科學(xué)中的疫苗，既是預(yù)防的重要工具，同時自身也有一定的危險性，如果威脅情報的內(nèi)容里含有很多敏感數(shù)據(jù)，那么在共享過程中就要進行針對性的脫敏操作，以防含有敏感信息的威脅情報被不法分子利用.

根據(jù)威脅情報應(yīng)用場景的不同，可以將其分為3類[10]：以自動化檢測分析為主的戰(zhàn)術(shù)情報、以安全響應(yīng)分析為目的的運營級情報，以及指導(dǎo)整體安全投資策略的戰(zhàn)略級情報.

1) 戰(zhàn)術(shù)級情報.戰(zhàn)術(shù)情報的作用主要是發(fā)現(xiàn)威脅事件以及對報警進行確認(rèn)或優(yōu)先級排序.常見的失陷檢測情報、有害IP情報都屬于該范疇，它們都是可機器閱讀的情報，可以直接被設(shè)備使用，自動化完成相應(yīng)的安全響應(yīng).

2) 運營級情報.運營級情報是給安全分析師或者安全事件響應(yīng)人員使用的，目的是對已知的重要安全事件做分析(報警確認(rèn)、攻擊影響范圍、攻擊鏈以及攻擊目的、技戰(zhàn)術(shù)方法等)或者利用已知的攻擊手法主動查找攻擊相關(guān)線索.

3) 戰(zhàn)略級情報.戰(zhàn)略層面的威脅情報是給有組織的安全管理者使用的，比如企業(yè)的首席策略官(chief strategy officer, CSO).它能夠幫助決策者把握當(dāng)前的安全態(tài)勢，在安全決策上更加有理有據(jù).包括了什么樣的組織會進行攻擊、攻擊可能造成的危害有哪些，攻擊者的戰(zhàn)術(shù)能力和掌控的資源情況等，當(dāng)然也會包括具體的攻擊實例.

2 威脅情報共享

威脅情報共享作為網(wǎng)絡(luò)安全威脅情報體系架構(gòu)中的一項重要環(huán)節(jié)，對實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知以應(yīng)對新生網(wǎng)絡(luò)威脅起著至關(guān)重要的作用.威脅情報共享這一概念上承數(shù)據(jù)的收集、關(guān)聯(lián)聚合等技術(shù)，下啟威脅情報的提取和分析方法，是建立以威脅情報為核心的網(wǎng)絡(luò)安全防御戰(zhàn)略體系的關(guān)鍵步驟.面對日益嚴(yán)峻的網(wǎng)絡(luò)威脅形勢，打破藩籬，加強各信息系統(tǒng)協(xié)同互助，構(gòu)筑寬共享、全聯(lián)通的信息共享環(huán)境可使威脅情報價值最大化，進而提高參與共享各方的威脅檢測與應(yīng)急響應(yīng)能力.

2.1 威脅情報共享的發(fā)展

雖然威脅情報共享這一概念是近幾年才映入人們的眼簾，但在此之前網(wǎng)絡(luò)安全信息的共享早已成為各領(lǐng)域希望探討的話題，并為威脅情報共享研究提供了扎實的理論和技術(shù)鋪墊，在推動威脅情報共享快速發(fā)展方面起到了關(guān)鍵性的作用.與威脅情報共享相關(guān)的研究(涵蓋網(wǎng)絡(luò)安全信息共享)非常廣泛，如圖2所示，包括對網(wǎng)絡(luò)安全信息共享的探索和調(diào)查、相關(guān)標(biāo)準(zhǔn)和平臺的推出以及相關(guān)模型和機制的建立等.

Fig. 2 Research history of threat intelligence sharing models and mechanisms圖2 威脅情報共享模型與機制的研究歷程

2.1.1 探索階段

早期對威脅情報共享機制的研究處于探索階段，大部分的內(nèi)容針對信息共享的需求與動機、問題與挑戰(zhàn)，嘗試尋找能解決這些問題的方法，并提出一些可行性意見和建議.

Vázquez等人[11]分析了基于網(wǎng)絡(luò)安全情報共享的防御機制面臨的挑戰(zhàn)，從網(wǎng)絡(luò)防御合作中的動機和障礙、合作風(fēng)險管理和信息價值認(rèn)知、可提高政府級數(shù)據(jù)交換效率的交換模型、適用于常見網(wǎng)絡(luò)防御數(shù)據(jù)的自動化共享機制這4個方面入手，探討如何有效推動情報共享.

Serrano等人分析了網(wǎng)絡(luò)安全信息共享面臨的4個主要挑戰(zhàn)[12]，并重點介紹了基于當(dāng)前技術(shù)水平的技術(shù)解決方案.

Haass等人與非營利性情報組織ACTRA(Arizona Cyber Threat Response Alliance, Inc.)共同對威脅情報的共享模式進行了研究，重點關(guān)注異構(gòu)組織情報共享技術(shù)、政策和組織協(xié)調(diào)模式等3方面存在的問題和可能的解決方案[13].

2.1.2 調(diào)查階段

隨著研究的不斷深入，越來越多有關(guān)安全信息共享的總結(jié)性調(diào)查文獻出現(xiàn)，從宏觀的角度闡述威脅情報共享多層次、多角度的問題.

Kampanakis等人調(diào)研了現(xiàn)有的情報共享和分析平臺，介紹了這些方案的基本特性，確定了它們試圖解決的問題，并總結(jié)了這些方案的相同點和不同點[14].對這些平臺的數(shù)據(jù)進行分析后發(fā)現(xiàn)，這些數(shù)據(jù)大多易于理解，但難于共享和交換；跟蹤研究了情報提供者之間進行情報共享時存在的熱點問題；從使用者的角度對不同情境下的情報共享模式進行了闡述.

Goodwin等人借助微軟在基礎(chǔ)設(shè)施安全管理方面多年的經(jīng)驗，提出了有關(guān)信息共享的歷史背景，并闡述了信息共享在模型、方法和機制等方面的分類，最后對進行協(xié)作式的信息共享和交換提供了可行的建議[15].

Skopik等人提供了一個關(guān)于網(wǎng)絡(luò)安全信息共享維度的結(jié)構(gòu)化概述[16].該文獻首先詳細(xì)地探索并制定了信息共享系統(tǒng)的需求；其次，重點介紹標(biāo)準(zhǔn)化組織在法律方面的工作，并從組織和技術(shù)方面調(diào)查了實施情況；最后，對最新技術(shù)進行了嚴(yán)格審查，并著重指出了將來構(gòu)建有效的安全信息共享平臺時應(yīng)重點考慮的因素.

2.1.3 指導(dǎo)性文件的發(fā)布

隨著前期該領(lǐng)域知識的積累以及相關(guān)內(nèi)容的探索和調(diào)查，威脅情報共享受到各個領(lǐng)域的關(guān)注，推進其發(fā)展的舉措也越來越多.

標(biāo)準(zhǔn)機構(gòu)等類似機構(gòu)就如何構(gòu)建網(wǎng)絡(luò)安全信息共享網(wǎng)絡(luò)也出臺了一系列標(biāo)準(zhǔn)，其中典型例子為NIST發(fā)布的《網(wǎng)絡(luò)威脅信息共享指南》[17]和ENISA文檔《網(wǎng)絡(luò)安全信息共享：監(jiān)管和非監(jiān)管方法概述》[18]等.

2.1.4 共享平臺的推出

針對特定的共享內(nèi)容、組織形式及具體網(wǎng)絡(luò)安全實際情形，一些威脅情報共享平臺也相繼被推出.

在2016年，盧森堡的計算機時間響應(yīng)中心(Computer Incident Response Center Luxembourg, CIRCL)的學(xué)者提出惡意軟件信息共享平臺(Malware Information Sharing Platform, MISP)[19]和威脅共享項目.這是一個可信的平臺，不僅可以搜集和共享針對目標(biāo)攻擊的重要威脅指標(biāo)，也可以搜集和共享欺詐事件中使用的漏洞或財務(wù)指標(biāo)等威脅信息，以幫助建立針對目標(biāo)攻擊的預(yù)防行動和反措施.

在2017年，南非科學(xué)與工業(yè)研究理事會(Council of Scientific and Industrial Research, CSIR)相關(guān)人員針對本國的網(wǎng)絡(luò)安全現(xiàn)狀，提出一個在國防環(huán)境中的網(wǎng)絡(luò)威脅情報共享平臺[20]，系統(tǒng)地討論和演示了該平臺能夠促使各個國防力量在國防環(huán)境中進行無縫的協(xié)作，以維持彈性的網(wǎng)絡(luò)安全態(tài)勢.

在2019年，Leszczyna等人[21]關(guān)注電力基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全隱患，為電力部門提出了一個實現(xiàn)信息交換的集中式平臺；介紹了幾種支持方案，包括匿名機制、數(shù)據(jù)處理和相關(guān)算法；定義了以自然語言和機器可讀格式實現(xiàn)的網(wǎng)絡(luò)事件信息通信的數(shù)據(jù)模型，并設(shè)計了關(guān)鍵組件的安全需求，旨在建立增強的威脅情報，將信息共享和細(xì)粒度的態(tài)勢感知聯(lián)系起來.

前期的研究在很大程度上采用體系結(jié)構(gòu)的觀點來看待問題，而忽略了關(guān)于安全信息共享的操作方面的指導(dǎo).對于潛在的復(fù)雜網(wǎng)絡(luò)系統(tǒng)，維持態(tài)勢感知所需的技術(shù)和過程很少受到關(guān)注.

2.2 威脅情報共享的相關(guān)標(biāo)準(zhǔn)

威脅情報多源異構(gòu)的數(shù)據(jù)特點使得現(xiàn)有數(shù)據(jù)表達規(guī)范和通信傳輸協(xié)議不能在威脅情報共享中直接使用，無法有效地進行威脅情報的表達和傳輸.由此看來，標(biāo)準(zhǔn)化的數(shù)據(jù)格式和統(tǒng)一的傳輸協(xié)議是高效威脅情報共享體系中必不可少的部分.基于結(jié)構(gòu)化的規(guī)范情報描述標(biāo)準(zhǔn)和固定的傳輸協(xié)議可降低參與情報共享機構(gòu)、存儲庫進行情報交換和數(shù)據(jù)格式轉(zhuǎn)化的成本，提高所交換情報的效率和準(zhǔn)確性，同時簡化參與方的連接管理，促進各成員資源共享、協(xié)同交流[22].

2.2.1 國外主流共享規(guī)范

國外的威脅情報共享標(biāo)準(zhǔn)已經(jīng)非常成熟且得到了廣泛的應(yīng)用.

為滿足情報共享市場的需求，業(yè)界已制定了一系列相關(guān)標(biāo)準(zhǔn)用于威脅情報的交換.結(jié)構(gòu)化威脅情報表述(structured threat information expression, STIX)[23]是一種由OASIS-CTI-TC負(fù)責(zé)開發(fā)和維護的情報表達規(guī)范，用于對網(wǎng)絡(luò)威脅情報的建模、分析和交換進行規(guī)范，目前已經(jīng)更新至STIX2.0版本.

指示性信息的可信自動交換方案(trusted auto-mated exchange of indicator information, TAXII)[24]提供了威脅情報信息的安全傳輸與交換，可兼容多種傳輸格式的數(shù)據(jù).

網(wǎng)絡(luò)可觀察對象描述(cyber observable expre-ssion, CybOX)[25]規(guī)范定義了一個表征計算機可觀察對象與網(wǎng)絡(luò)動態(tài)和實體的方法.

STIX和TAXII作為兩大標(biāo)準(zhǔn)，不僅得到了包括IBM、思科、戴爾、大型金融機構(gòu)以及美國國防部、國家安全局等主要安全行業(yè)機構(gòu)的支持，還積累了大量實踐經(jīng)驗，在實踐中不斷優(yōu)化.

目前比較主流的情報共享平臺的做法是在STIX規(guī)范框架下，借助CybOX提供的詞匯描述威脅情報，并利用TAXII進行傳輸.

Fig. 3 Threat information model圖3 威脅信息模型

2.2.2 國內(nèi)首例共享規(guī)范

在威脅情報共享的規(guī)范化與系統(tǒng)化發(fā)展方面，我國也在緊追國際發(fā)展趨勢，大力推動網(wǎng)絡(luò)安全威脅情報相關(guān)標(biāo)準(zhǔn)的制定、發(fā)布和執(zhí)行.規(guī)范的威脅情報格式是實現(xiàn)網(wǎng)絡(luò)安全威脅情報共享和利用的前提和基礎(chǔ)，在推動網(wǎng)絡(luò)安全威脅信息技術(shù)發(fā)展和產(chǎn)業(yè)化應(yīng)用方面具有重要意義.

2018年10月10日，我國正式發(fā)布了威脅情報的國家標(biāo)準(zhǔn)[26]《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》，該規(guī)范成為國內(nèi)第一個關(guān)于威脅情報的相關(guān)標(biāo)準(zhǔn).該規(guī)范給出一種描述網(wǎng)絡(luò)安全威脅信息的結(jié)構(gòu)化方法，其創(chuàng)建目的是實現(xiàn)各組織間網(wǎng)絡(luò)安全威脅信息的共享和利用，并支持網(wǎng)絡(luò)安全威脅管理和應(yīng)用的自動化.為了更好地實現(xiàn)這些目標(biāo)，標(biāo)準(zhǔn)定義了一個通用的網(wǎng)絡(luò)安全威脅信息模型，旨在對威脅信息進行統(tǒng)一描述，從而提升威脅信息共享的效率、互操作性，以及提升整體的網(wǎng)絡(luò)安全威脅態(tài)勢感知能力.

圖3給出了與該標(biāo)準(zhǔn)匹配的威脅信息模型，它從對象、方法和事件3個維度對威脅信息進行劃分，采用包含可觀測數(shù)據(jù)、攻擊指標(biāo)、安全事件、攻擊活動、威脅主體、攻擊目標(biāo)、攻擊方法、應(yīng)對措施在內(nèi)的8個組件描述威脅信息.這些組件分別表達了網(wǎng)絡(luò)威脅不同維度的特征，它們在結(jié)構(gòu)上相互獨立，在內(nèi)容上相互關(guān)聯(lián)，如“攻擊指標(biāo)”是用來識別特定“攻擊方法”的技術(shù)指標(biāo)，它是多個“可觀測數(shù)據(jù)”的組合，是用來檢測“安全事件”的檢測規(guī)則.

2.3 威脅情報共享的模型與方案

面對網(wǎng)絡(luò)威脅的復(fù)雜性、多樣性，不斷有學(xué)者在嘗試尋求能夠?qū)崿F(xiàn)威脅情報共享的模型與機制.不管是早期的網(wǎng)絡(luò)安全信息共享還是現(xiàn)今的威脅情報共享，能夠為共享過程提出合理的共享方案將更好地推進網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的發(fā)展.

通過調(diào)研和跟蹤本文發(fā)現(xiàn)，在2010年，德克薩斯大學(xué)圣安東尼奧分校的學(xué)者[27]討論了眾多實踐經(jīng)驗，說明了現(xiàn)有訪問控制模型在安全信息共享方面的局限性，包括自主訪問控制、強制訪問控制和基于角色的訪問控制，并針對性地提出以組為中心的安全信息共享(g-SIS)模型的研究工作如何直接解決現(xiàn)有模型的局限性.在2012年，該團隊針對信息分享的必要性和社區(qū)網(wǎng)絡(luò)安全威脅進行了研究，定義了社區(qū)網(wǎng)絡(luò)安全的威脅警戒級別，并討論不同級別對信息共享的影響，提出了一個以組為中心的合作信息共享框架，并闡述了共享過程中可能遇到的問題及進一步的研究內(nèi)容[28].2014年，該團隊的學(xué)者又做了進一步的研究，更加關(guān)注共享過程中的細(xì)節(jié)，為該信息共享框架設(shè)計了一個正式的策略模型，旨在提高社區(qū)網(wǎng)絡(luò)安全[29].

經(jīng)過幾年的研究，g-SIS方案的提出在共享方面提供了良好的思路和創(chuàng)新性，但仍然存在著幾點不足之處.例如,該共享方案并不能得到廣泛的采用，并且共享的信息側(cè)重面窄，缺少統(tǒng)一標(biāo)準(zhǔn)的數(shù)據(jù)格式，最重要的是無法解決共享參與者之間的信任問題.在g-SIS框架之外，針對威脅情報共享的分布式方案相繼提出，更加注重以威脅情報為核心的共享模型.

在2019年，Li等人為了豐富P2P僵尸網(wǎng)絡(luò)檢測方法，提出了將分布式威脅情報共享系統(tǒng)應(yīng)用于P2P僵尸網(wǎng)絡(luò)檢測的新思路[30].在分布式的部署結(jié)構(gòu)下，設(shè)計了一個分級的情報共享機制，通過該機制可以將結(jié)構(gòu)化的多維威脅情報共享給所有成員，確保系統(tǒng)能夠監(jiān)測和預(yù)測網(wǎng)絡(luò)威脅.

Lin等人提出了一種基于黑板模型的社區(qū)協(xié)作威脅情報共享方案[31]，該方案可用于識別潛在風(fēng)險，在早期階段預(yù)防網(wǎng)絡(luò)攻擊并推動社區(qū)的應(yīng)急響應(yīng).文章根據(jù)中國國家標(biāo)準(zhǔn)對威脅情報共享類型進行劃分，并且將黑板監(jiān)控機構(gòu)設(shè)計為多智能體系統(tǒng)，以實現(xiàn)分布式功能特點.

表2對目前較成熟的威脅情報共享機制從共享規(guī)范、控制粒度、信任、隱私保護和早期檢測防御等5個方面進行了詳細(xì)的對比.

Table 2 Comparison of Threat Intelligence Sharing Mechanisms

3 威脅情報共享的問題與舉措

從理論上來說，共享威脅情報是一件很有意義的事情.但在互聯(lián)網(wǎng)安全領(lǐng)域，這件“美好的事情”要實現(xiàn)并非那么容易.

從外部環(huán)境來看，完成共享過程需要一定的信息技術(shù)做安全支撐，如果缺乏專業(yè)操作，共享參與者將無法推進威脅情報共享的進行.除此之外，從共享參與者的角度考慮，存在共享信任障礙和共享利益難分配的問題；從共享數(shù)據(jù)的角度考慮，存在敏感數(shù)據(jù)泄露和數(shù)據(jù)價值難評估等問題.本節(jié)將進一步描述威脅情報在共享方面的問題以及相應(yīng)舉措.

3.1 鼓勵威脅情報共享的外部舉措

許多國家和國際組織通過對威脅防御者之間的合作和協(xié)調(diào)進行支持來鼓勵威脅信息或情報的共享.一些組織關(guān)注漏洞和事件響應(yīng)，而另一部分則專注于識別入侵和潛在威脅.綜合來說，這些服務(wù)為成員提供了通用且連貫的信息技術(shù)基礎(chǔ)設(shè)施的安全框架.本節(jié)簡要回顧了大多數(shù)知名組織及其主要角色和作用.

3.1.1 事件響應(yīng)團隊和國際合作

從區(qū)域角度來看，計算機應(yīng)急響應(yīng)團隊(computer emergency response teams, CERTs)是每個網(wǎng)絡(luò)安全生態(tài)系統(tǒng)的重要組成部分.他們搜集有關(guān)新威脅的信息，發(fā)出早期預(yù)警，并可根據(jù)要求提供幫助.CERT合作已被證明是區(qū)域內(nèi)最為有效的措施，網(wǎng)絡(luò)威脅的全球性也要求國際合作，CERTs在國際上也有著良好的聯(lián)系.以我國為例，作為國家級應(yīng)急中心，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)的主要職責(zé)是：按照“積極預(yù)防、及時發(fā)現(xiàn)、快速響應(yīng)、力?；謴?fù)”的方針，開展互聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件的預(yù)防、發(fā)現(xiàn)、預(yù)警和協(xié)調(diào)處置等工作，維護公共互聯(lián)網(wǎng)安全，保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全運行.

事件響應(yīng)和安全小組論壇(Forum of Incident Response and Security Teams, FIRST)在建設(shè)CERTs國際社區(qū)方面發(fā)揮著有效的作用.FIRST匯集了來自政府、商業(yè)和教育機構(gòu)的各種計算機安全事件響應(yīng)團隊，旨在促進預(yù)防事件方面的合作和協(xié)調(diào)，促進對事件的迅速反應(yīng)，以及成員和整個社區(qū)之間的信息交流.

Euro-CERT小組于2000年5月成立了一個名為TF-CSIRT (TF-Computer Security Incident Response Teams)的特別工作組.其主要目標(biāo)是通過觀察共享事件的統(tǒng)計數(shù)據(jù)，制定一項歐洲信賴機制.該組織同時還承擔(dān)了教育、培訓(xùn)新工作組的任務(wù).

3.1.2 ISACs：信息共享和分析中心

信息共享與分析中心(Information Sharing and Analysis Center, ISAC)是促進威脅信息共享的第一個正式機制[34].它是由美國政府提出的，并在1998年出版的《總統(tǒng)直接決定第63號》(PDD-63)中作了描述.此外，美國CERT(USCERT)還與ISACs合作，主辦僅限于保護關(guān)鍵國家基礎(chǔ)設(shè)施的相關(guān)組織的會議.ISACs搜集、分析并向行業(yè)和政府傳播私營部門的威脅信息，并向成員提供減輕風(fēng)險和增強復(fù)原能力的工具.它作為一個框架，使利益相關(guān)者能夠跨不同的攻擊鏈步驟開發(fā)他們的防御策略.許多ISACs現(xiàn)已建立，涵蓋不同的行業(yè)和部門.

3.1.3 其他協(xié)調(diào)措施

歐洲網(wǎng)絡(luò)與信息安全機構(gòu)(European Network and Information Security Agency, ENISA)是主要的歐洲機構(gòu)，旨在通過鼓勵網(wǎng)絡(luò)和信息安全威脅、方法和結(jié)果的交流，避免重復(fù)的工作，提高歐洲不同機構(gòu)和成員國工作的一致性.

國家標(biāo)準(zhǔn)和技術(shù)研究所(National Institute of Standards and Technology, NIST)在響應(yīng)計算機安全事件時，通過確定有關(guān)的標(biāo)準(zhǔn)、方法、程序和過程，對現(xiàn)有的CSIRTs之間的協(xié)同合作進行支持.NIST就如何在處理計算機安全事件時進行合作提供指導(dǎo)和最佳實踐.

這些舉措同樣存在局限性，法律的要求、數(shù)據(jù)的敏感性等都是不愿擴大合作背后已知的普遍性問題.法律規(guī)定特別關(guān)注國際合作，而在威脅數(shù)據(jù)的敏感性方面，參與的公司仍然不愿對其同行和政府透露潛在威脅.另一個重要問題是缺少用于交換信息的總體方法.所有這些局限性都限制了從信息共享中獲得的益處，從而限制了參與者之間的合作.

3.2 自動化處理與相應(yīng)舉措

往期威脅情報共享的發(fā)展，往往把靜態(tài)的模型作為主要的研究課題，如威脅情報的表示、點對點的威脅情報交換協(xié)議等，但是威脅情報是無時無刻不在發(fā)生，如果依賴人來甄別、分析、響應(yīng)，那么共享的效率將會大大降低，甚至有可能導(dǎo)致共享的美好期望被信息的滯后性所拖累，所以自動化的網(wǎng)絡(luò)威脅情報甄別、發(fā)布變得尤為關(guān)鍵.例如2017年5月的勒索病毒W(wǎng)annaCry在教育網(wǎng)肆虐，如果威脅情報能及時地發(fā)出并得到響應(yīng)，那么大部分高校、組織將得以避免入侵.

2020年4月，北京郵電大學(xué)的課題組提出了一個名為HinCTI的系統(tǒng)，該系統(tǒng)基于異構(gòu)信息網(wǎng)絡(luò)(heterogeneous information netwark, HIN)，采用了數(shù)據(jù)挖掘方法[35]，可以對網(wǎng)絡(luò)威脅情報進行建模，在該文定義的威脅基礎(chǔ)設(shè)施相似度的基礎(chǔ)上，采用基于元路徑和元圖實例的異構(gòu)卷積網(wǎng)絡(luò)方法來識別網(wǎng)絡(luò)威脅情報中涉及的基礎(chǔ)設(shè)施節(jié)點和威脅的類型，并提出了一種基礎(chǔ)設(shè)施節(jié)點威脅類型的識別方法，該方法可以提升威脅類型識別的性能.

同樣是基于自然語言處理技術(shù)，北京航空航天大學(xué)和美國密歇根州立大學(xué)的學(xué)者，提出了一個名為TIMiner的網(wǎng)絡(luò)威脅情報提取系統(tǒng)[36]，該系統(tǒng)的目標(biāo)是從社交數(shù)據(jù)中自動提取威脅情報并進行分類.因為現(xiàn)有的方法無法識別妥協(xié)指標(biāo)(indicators of comprise, IoC)，而且不能生成指示威脅情報所屬范圍的標(biāo)簽.這篇文章針對該難點，實現(xiàn)了一個基于卷積神經(jīng)網(wǎng)絡(luò)的高效率領(lǐng)域標(biāo)簽識別器，該識別器可以識別威脅情報的所屬目標(biāo)域.另外，該文還提出了一種基于詞嵌入和句法依賴的折衷抽取方法，該方法能夠識別不可見的IoCs類型.TIMiner通過綜合利用上述2項技術(shù)，可以將提取的IoC及其域標(biāo)記結(jié)合，生成一個具有特定域的威脅情報.

總的來說，將元數(shù)據(jù)經(jīng)由自動化處理算法生成威脅情報是非常有意義的，而且可以大大解放人力參與，同時提升威脅情報的反饋與響應(yīng)速度.

3.3 共享信任障礙與相應(yīng)舉措

威脅情報在本質(zhì)上是高度敏感的，由于共享者在不同的信任邊界內(nèi)操作，其產(chǎn)生的信任問題會導(dǎo)致隱私擔(dān)憂.如果威脅情報處理不當(dāng)或泄露，可能會對情報來源組織造成有不利影響；更有可能會受到攻擊者的進一步利用，造成其聲譽受損，進而導(dǎo)致收入損失.共享者需要保持?jǐn)骋?，同時也要確保接收者仍然信任信息(即使是未知源)，這兩者之間的沖突是參與威脅情報共享的障礙.換言之，這種固有信任障礙可能會抑制共享者參與威脅情報共享的積極性.

針對威脅情報共享過程中的信任問題，Wagner等人提出了一種新的信任分類方法來建立可信的威脅情報共享環(huán)境[37]，并分析比較了30個流行的威脅情報平臺的信任功能.其提出的信任分類方法無法抵擋共謀攻擊等相關(guān)安全問題，因此該文也相應(yīng)給出了減輕攻擊的可能解決方案.Gao等人針對大規(guī)模異構(gòu)威脅情報，提出了一種基于圖挖掘的多維特征信任評估機制[38].該機制通過集成信任感知的智能體系結(jié)構(gòu)模型、基于圖挖掘的智能特征提取方法和自動可解釋的信任評估算法，為威脅情報共享平臺提供了一種可行的方案，實現(xiàn)了信任評估任務(wù).

近年來，區(qū)塊鏈技術(shù)發(fā)展迅猛，其去中心化特性使得共享參與者即使在無可信第三方的情況下也能夠進行有序、可信的共享操作.由于區(qū)塊鏈技術(shù)在其他行業(yè)信息共享方面的研究工作已經(jīng)取得了一定進展，因此很多學(xué)者選擇從此方向進行突破.Rawat等人[32]提出了基于區(qū)塊鏈的iShare框架，參與iShare框架的成員間僅可分享網(wǎng)絡(luò)安全防護的方案或概述，未涉及威脅情報的共享工作.Homan等人實現(xiàn)了一種威脅情報共享區(qū)塊鏈網(wǎng)絡(luò)原型，作為一種試驗臺可供相關(guān)方案進行驗證[33].該文利用超級賬本允許可信參與方以私有的方式傳播高度敏感的數(shù)據(jù)，同時仍然參與整個網(wǎng)絡(luò).雖然能夠克服共享過程中固有的信任屏障和數(shù)據(jù)隱私問題，但該模型局限于歐盟體制下，未能體現(xiàn)網(wǎng)絡(luò)威脅情報共享的廣泛性和通用性.

針對威脅情報難以共享這個問題，Riesco等人提出了一個基于區(qū)塊鏈的模型[39]，鼓勵所有參與者在各個層次上動態(tài)地共享相關(guān)信息.該方案有助于支持和部署動態(tài)風(fēng)險管理框架，使風(fēng)險隨時保持在可接受水平之下.在該方案中，參與者可根據(jù)其扮演角色的不同(生產(chǎn)者、消費者、投資者、捐贈者和所有者)來分享、投資和消費威脅情報與風(fēng)險情報信息.同時，該文提議建立一個Ethereum區(qū)塊鏈智能合同市場，以更好地激勵所有相關(guān)各方共享知識.

3.4 收益分配困難與相應(yīng)舉措

在威脅情報共享中，如何公平地進行收益分配，從而激勵各個組織共享更多的威脅情報是影響威脅情報共享發(fā)展的關(guān)鍵問題之一.當(dāng)前在網(wǎng)絡(luò)威脅情報共享利益分配中的主要問題分為3類：技術(shù)問題，耦合問題和市場問題.

1) 技術(shù)問題.在一般的威脅信息描述方法中，只針對技術(shù)細(xì)節(jié)進行了刻畫，但是對于潛在的價值方面無能為力，因為“價值”是與市場相關(guān)的經(jīng)濟學(xué)概念，純技術(shù)無法也不能自動解決定價問題.

2) 耦合問題.利益分配與共享模式有著千絲萬縷的聯(lián)系，而且與技術(shù)實現(xiàn)能否支持也密切相關(guān)，一個擴展性不好的威脅信息表達技術(shù)，也不利于后期建設(shè)利益分配便利的共享機制.

3) 市場問題.早期威脅情報共享的廣泛運用必然導(dǎo)致社區(qū)內(nèi)的相關(guān)用戶大大提升自己的安全性，同時打擊攻擊者的積極性；經(jīng)過一段時間的發(fā)展，社區(qū)的熱度會因為整個行業(yè)的安全性提高而降低.以自身利益為導(dǎo)向共享參與者就會僅發(fā)布自己掌握的少數(shù)威脅信息，以保持安全生態(tài)中的部分受攻擊的現(xiàn)狀，從而實現(xiàn)自身收益可持續(xù)化.這顯然是一個市場心態(tài)問題，而且一旦成為事實，也不利于安全行業(yè)整體的健康.

針對上述問題，國內(nèi)外專家進行了許多研究.2015年，Tosh等人根據(jù)博弈論的簡單思路，建立了一個樸素的威脅信息交換模型，并根據(jù)這個博弈模型得出結(jié)論：當(dāng)企業(yè)彼此之間共享更多信息時，參與交換的企業(yè)受激勵程度會更高，而企業(yè)自身的安全投資還有助于最大化地獲取來自其他公司的安全支持[40].然而該模型并沒有對交換的細(xì)節(jié)進行詳細(xì)描述，比如，雙方是否可以互相信任的問題，而這些問題在實際操作中是需要真正面對的.同一時間，該團隊發(fā)表的另一篇文章也是利用了博弈論思想，對云計算平臺中的用戶進行分析得出結(jié)論：當(dāng)在發(fā)現(xiàn)漏洞的可能性非常低的情況下，所有參與者都不會去投資漏洞研究，也不會分享任何漏洞；此外，如果漏洞太易于發(fā)現(xiàn)，用戶將不會共享漏洞[41].

2017年，Vakilinia和Tosh等學(xué)者使用動態(tài)博弈理論，建立了一個博弈模型并模擬了普通型參與者、CybEX共享平臺自身以及攻擊型參與者的三方博弈(3-way game)，通過為每個參與者設(shè)計適當(dāng)?shù)氖找婧瘮?shù)，并將組織的隱私部分納入共享模型來分析每個參與者的最佳策略[42].通過分析得出：隱私是交換這些關(guān)鍵信息的瓶頸；該文最終得出了普通參與者獲得最大凈利益的最佳策略.與此同時，該模型還通過對普通參與者的最佳策略的分析，反向確定了CybEX平臺應(yīng)設(shè)置怎樣的激勵金額以及參與者的參與成本.

鑒于博弈論本身假設(shè)前提的局限性，即參與者必須是絕對利己且絕對理性的，三方博弈模型在實際應(yīng)用中會存在問題.2017年，陸正福等學(xué)者，根據(jù)Asokan在1998年的有關(guān)電子商務(wù)公平性的課題[43]進行拓展研究，提出了一種基于實際的、用戶只有有限理性的公平數(shù)據(jù)交換協(xié)議[44]，雖然該研究領(lǐng)域?qū)儆趩渭兊男畔⒔粨Q協(xié)議，但是對于威脅信息的交換仍具有一定的啟發(fā)性，該文定義了有限理性公平概念，并基于有限理性假設(shè)，設(shè)計了有限理性公平數(shù)據(jù)交換協(xié)議(Fair Data Exchange Protocol-Bound Rational, FDEP-BR).并且從理論分析上證明，與REP(Rational Exchange Protocol)相比，F(xiàn)DEP-BR雖然犧牲了一定效率，但具有容錯性和有限理性公平性，能夠抵抗非合作攻擊，并且更適合于實際用途.

從博弈論角度出發(fā)的非合作博弈的解，即非合作博弈Nash均衡，僅僅能夠保證彼此都不虧，但是對于理想中的雙贏局面是無法達成的.與非合作博弈不同，合作博弈強調(diào)集體主義和團體理性，起初經(jīng)濟學(xué)家對于這種合作博弈束手無策，直至Shapley給出有關(guān)公理化描述.

Shapley值方法由Shapley在1953年提出[45]，該方法對于解決集體利益分配問題有著非常強的說服力，在網(wǎng)絡(luò)威脅情報共享的場景中，該理論具有非常好的利用價值.Shapley值方法適用于由不同的參與者構(gòu)成的利益集團進行內(nèi)部利益分配的問題，其中該集團一致對外提供服務(wù)獲取收益.由于這種模式限制，該方法適用于B2C(Businesses-to-Consumer)模式.Shapley值是合作博弈中一個非常重要的解，在威脅情報共享合作博弈模型中，利用Shapley值解決聯(lián)盟利益的公平分配問題具有很強的說服力.

3.5 數(shù)據(jù)隱私問題與相應(yīng)舉措

共享過程中不可避免地存在著敏感信息的傳遞和組織，這嚴(yán)重阻礙著共享參與者的積極性，降低了情報共享活動的安全性和有效性，因此威脅情報中所包含的隱私信息是制約威脅信息交換的一大瓶頸.由于信息的敏感性和私有性，共享網(wǎng)絡(luò)威脅情報對組織而言代價高昂，與此同時，做出是否共享信息的決定是一項具有挑戰(zhàn)性的任務(wù)，并且需要解決共享優(yōu)勢和隱私暴露之間的權(quán)衡.因此，提出共享數(shù)據(jù)的隱私保護方案也是情報共享領(lǐng)域需要重點研究的內(nèi)容.雖然針對其他領(lǐng)域的隱私保護技術(shù)相當(dāng)成熟，但因威脅情報共享在用戶群體和服務(wù)類型以及共享內(nèi)容結(jié)構(gòu)上都存在差異，需要根據(jù)服務(wù)、數(shù)據(jù)類型和結(jié)構(gòu)的不同進行優(yōu)化和重建.

隨著研究的不斷深入，有效的隱私保護技術(shù)與威脅情報相結(jié)合的解決方案相繼提出.例如，結(jié)合標(biāo)準(zhǔn)的格式保持和同態(tài)加密[46]，并利用STIX標(biāo)準(zhǔn)數(shù)據(jù)格式提出一種保證私有數(shù)據(jù)轉(zhuǎn)發(fā)和聚合的網(wǎng)絡(luò)安全共享方案，針對應(yīng)用在共享過程中的不受信任的基礎(chǔ)設(shè)施實現(xiàn)了數(shù)據(jù)的隱私保護；以匿名技術(shù)為核心建立一個威脅情報共享平臺[47]；基于身份加密和閾值秘密共享方案解決私有數(shù)據(jù)的共享問題；對隱私信息檢索技術(shù)進行改進，以確保用戶與云服務(wù)進行威脅情報共享時的隱私安全[48]；以區(qū)塊鏈技術(shù)[33]劃分網(wǎng)絡(luò)，允許可信參與者傳播高度敏感數(shù)據(jù).

除此之外，許多文獻側(cè)重于相關(guān)數(shù)據(jù)隱私法規(guī)對威脅情報共享的限制，例如,依托《一般數(shù)據(jù)保護條例(General Data Protection Regulation, GDPR)》，為共享的威脅情報定義完善的保護級別[49].

網(wǎng)絡(luò)安全信息交換框架(Cybersecurity Infor-mation Exchange Framework, CybEX)[50]是由ITU建立一個新興的標(biāo)準(zhǔn).在CybEX架構(gòu)下，不僅存在對利益分配問題的研究，越來越多的學(xué)者關(guān)注信息交換過程中的數(shù)據(jù)隱私及訪問控制問題.2017年Vakilinia等人在CybEX框架中實現(xiàn)了基于屬性的訪問控制[51].該方案利用半可信共享服務(wù)器對CybEX中的基于屬性的訪問控制進行建模，提出了基于密文策略屬性加密和STIX的機制.2019年，Sadique等人提出了網(wǎng)絡(luò)安全信息隱私交換(CybEX-P)框架[52].CybEX-P是一個結(jié)構(gòu)化的信息共享平臺，保證了數(shù)據(jù)的最大安全和隱私.CybEX-P采用盲處理、隱私保護和可信計算范例，使其成為一個通用的、安全的信息交換平臺.

3.6 數(shù)據(jù)價值評估與相應(yīng)舉措

從長遠(yuǎn)角度看，威脅情報是一種有經(jīng)濟價值的商品.目前共享利益分配機制設(shè)計的首要問題是解決威脅信息數(shù)據(jù)價值評估難度大、威脅信息交易收益不易計量的問題.造成威脅情報估值難的主要問題是沒有通用的方法來評估威脅信息的有效性，并且利益分配與共享模式之間有很大聯(lián)系，如果共享模式認(rèn)為威脅信息的共享應(yīng)該是收費的，那么某用戶或買家在獲取威脅信息之前就應(yīng)根據(jù)價格推測該威脅信息的重要性，然而定價方由誰來扮演是個難以抉擇的問題.總結(jié)起來價值衡量問題可以分為技術(shù)和市場2方面:技術(shù)方面是由于現(xiàn)在業(yè)界尚未對威脅信息的商品化定價、估值達成共識，也沒有相應(yīng)的算法可以估算某威脅情報的市場價值;市場方面是由于從買家角度出發(fā)，買方必然希望可以從市場價格推斷出該威脅情報的實際使用價值.

當(dāng)前尚無一種完全客觀的評估威脅信息價值的確切方法或者算法.粗糙集(rough sets)理論在處理各種數(shù)據(jù)，包括不完整的數(shù)據(jù)以及擁有眾多變量的數(shù)據(jù)方面具有很大優(yōu)勢.李遠(yuǎn)遠(yuǎn)[53]給出了一種基于粗糙集理論的指標(biāo)體系和綜合評價方法.基于該文，文獻[54]將評估項目分為5個部分：價格、功能、性能質(zhì)量、服務(wù)、聲譽資格，并依此給出了一個從用戶角度評估威脅情報的綜合性方法.選擇特定的參數(shù)并運用這種評估模型，可以對威脅信息提供商的威脅信息產(chǎn)品進行評估、分級.

對用戶而言，同一社區(qū)下的信息發(fā)布者和發(fā)布平臺所代表的含義是類似的，究竟該關(guān)注哪些威脅情報提供者常常是個難以確定的問題.如果不關(guān)注質(zhì)量，盲目選擇很多威脅信息提供商，可能會導(dǎo)致自己所運營的系統(tǒng)產(chǎn)生大量的誤判、誤警，反之則會漏掉很多真正有價值的威脅信息.Meier等人針對這個問題，給出了一個名為FeedRank的模型[55]，該模型根據(jù)大量威脅信息元數(shù)據(jù)的原創(chuàng)性，以及被其他威脅信息源所引用多少，來生成一個關(guān)系圖.該算法可以不依據(jù)任何固有事實和反饋，就可以找到威脅信息提供源之間的時空聯(lián)系.該文的思想對威脅信息估值有一定積極作用，被FeedRank定義為異常的信息來源，其所含的信息若定價過高則不合理.

4 機遇與挑戰(zhàn)

在綜述現(xiàn)有研究的同時，本文嘗試總結(jié)威脅情報共享領(lǐng)域當(dāng)前面臨的主要挑戰(zhàn)，并結(jié)合相關(guān)研究進展給予展望.表3列舉了目前我國在威脅情報共享方面的問題與機遇.機遇總是與挑戰(zhàn)并存，如何發(fā)掘現(xiàn)有的知識儲備、研究新的方法來解決當(dāng)前的難題，具有十分重大的未來戰(zhàn)略意義.

Table 3 Challenges and Opportunities in Threat Intelligence Sharing Research

目前，我國在威脅情報共享領(lǐng)域的研究還處于起步階段，基于威脅情報的網(wǎng)絡(luò)安全技術(shù)相對落后.未來，對威脅情報共享理論與技術(shù)的研究還需要長時間的探索與積累，需要根據(jù)本國國情和技術(shù)積累情況找尋全面了解大規(guī)模網(wǎng)絡(luò)攻擊情況的關(guān)鍵步驟，積極開展以威脅情報為核心的戰(zhàn)略研究.

1) 以國家力量為核心建設(shè)目標(biāo)

由于我國情報共享大環(huán)境還處于萌芽狀態(tài)，沒有對共享規(guī)范、共享模式等進行系統(tǒng)的研究，因此尚無有效的情報共享機制，并且在更深層次的研究中缺少可依據(jù)的法律法規(guī).針對上述問題，需要集中個人、組織、企業(yè)、政府的力量加大以威脅情報共享為核心的科研投入，制定相應(yīng)標(biāo)準(zhǔn)規(guī)范和法律法規(guī)作為共享技術(shù)推廣的法律依據(jù)和理論技術(shù)參考，對威脅情報共享體系進行規(guī)范化、實用性建設(shè).此外，將更多具有網(wǎng)絡(luò)威脅防范能力的企業(yè)、組織動員到威脅情報共享體系的建設(shè)活動中去，是提升網(wǎng)絡(luò)空間安全態(tài)勢感知水平的另一重要手段.

2) 交叉學(xué)科加以輔助

威脅情報共享領(lǐng)域的研究目標(biāo)多、研究范圍廣，在一定程度上僅依賴于信息安全領(lǐng)域的理論知識和技術(shù)無法實現(xiàn)完善的共享機制，需要借助經(jīng)濟學(xué)、情報學(xué)和運籌學(xué)等交叉學(xué)科的內(nèi)容來加以配合，從而能夠建立一個健康持久、公平有序的威脅情報共享機制.

3) 成熟技術(shù)的運用

雖然目前在威脅情報共享方面對數(shù)據(jù)的評估、隱私保護等環(huán)節(jié)缺少體系研究，知識積累不足，但是其他平臺的相關(guān)技術(shù)或已成熟，比如大數(shù)據(jù)平臺方面的用戶隱私保護、數(shù)據(jù)計費技術(shù)，以及區(qū)塊鏈技術(shù)在醫(yī)療信息共享和物聯(lián)網(wǎng)信息共享方面的應(yīng)用等.因此，研究和借鑒現(xiàn)有平臺的相關(guān)成熟技術(shù)，根據(jù)不同共享模式下的數(shù)據(jù)類型和服務(wù)類型的不同加以優(yōu)化和重建，從而形成具有較好適應(yīng)性和有效性的威脅情報共享體系.

除此之外，我們還可以得到關(guān)于建立健全威脅情報共享機制的一些啟示.一方面，為充分保障情報共享者的權(quán)益，應(yīng)設(shè)立強有力的獎懲制度，調(diào)動各方共享情報的積極性，并嚴(yán)厲打擊“搭便車”行為以防止其對健康共享環(huán)境造成的負(fù)面影響；另一方面，在已建立的共享關(guān)系中引導(dǎo)道德輿論，形成共享實體之間的心理契約，達成共享圈中共同的價值觀對于促進協(xié)同合作，約束投機者的行為也具有重要意義.

5 結(jié)束語

在網(wǎng)絡(luò)技術(shù)日益翻新的今天，洞悉行業(yè)的威脅情報，并及時根據(jù)情報指南增強安全應(yīng)對策略，是保障系統(tǒng)正常運作的關(guān)鍵.“大醫(yī)治未病”，利用威脅情報的共享技術(shù)和方法及時把將要發(fā)生的安全事件扼殺于搖籃中，是代價最小、損失最少的策略.各行各業(yè)彼此共享威脅情報是實現(xiàn)共贏的必要條件.

本文總結(jié)了威脅情報共享方面的最新研究，梳理了威脅情報共享在外部環(huán)境、共享參與者、共享數(shù)據(jù)3個方面的問題及相應(yīng)舉措，并給出我國當(dāng)前所面臨的機遇與挑戰(zhàn).

在未來我們將持續(xù)關(guān)注威脅情報及其共享的學(xué)術(shù)研究及產(chǎn)業(yè)應(yīng)用，特別是在發(fā)展我國獨立自主可擴展的威脅信息表達與傳輸協(xié)議、建立合理且有實際效益的威脅情報質(zhì)量評估、隱私保護機制等方面.