尹彥 張紅斌 劉濱 趙冬梅

摘 要：2016年，習(xí)近平總書記在全國網(wǎng)信工作座談會上作出重要指示：要加強大數(shù)據(jù)挖掘分析，更好感知網(wǎng)絡(luò)安全態(tài)勢，做好風(fēng)險防范。為應(yīng)對網(wǎng)絡(luò)安全面臨的嚴峻挑戰(zhàn)，很多大型行業(yè)及企業(yè)響應(yīng)國家政策號召，積極倡導(dǎo)、建設(shè)和應(yīng)用態(tài)勢感知系統(tǒng)。網(wǎng)絡(luò)安全態(tài)勢感知是保障網(wǎng)絡(luò)安全的有效手段，利用態(tài)勢感知發(fā)現(xiàn)潛在威脅、做出響應(yīng)已經(jīng)成為網(wǎng)絡(luò)安全的研究重點。目前提出的各種網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)及方法，大多以小規(guī)模網(wǎng)絡(luò)為研究背景。隨著網(wǎng)絡(luò)規(guī)模的擴大，出現(xiàn)了例如APT這樣的新型高級攻擊手段，導(dǎo)致態(tài)勢感知技術(shù)的準確性大為降低，可操作性也變得更加困難。近年來，威脅情報的出現(xiàn)為態(tài)勢感知的研究帶來了新思路，成為態(tài)勢感知研究領(lǐng)域的一個新方向。

對傳統(tǒng)態(tài)勢感知研究和威脅情報在網(wǎng)絡(luò)安全態(tài)勢感知上的應(yīng)用進行了歸納總結(jié)。傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知的研究一般分為3部分，即態(tài)勢察覺、態(tài)勢理解、態(tài)勢投射，主要過程是通過對目標系統(tǒng)安全要素的提取，分析安全事件的影響，最終實現(xiàn)對網(wǎng)絡(luò)中各種活動的行為識別、察覺攻擊，并對網(wǎng)絡(luò)態(tài)勢進行評估和預(yù)測，為網(wǎng)絡(luò)安全響應(yīng)提供正確決策。對威脅情報在網(wǎng)絡(luò)安全態(tài)勢感知上的應(yīng)用從3個場景進行了討論：1）態(tài)勢察覺：利用威脅情報進行攻擊行為的識別，提取相關(guān)的攻擊特征，確定攻擊意圖、方法及影響;2）態(tài)勢理解：確定攻擊行為及其特征后，對攻擊行為進行理解，通過共享威脅情報中攻擊行為的處置方法，確定攻擊者的攻擊策略;3）態(tài)勢投射：通過分析威脅情報中攻擊事件、攻擊技術(shù)、漏洞等信息，評估當前系統(tǒng)面臨的風(fēng)險，預(yù)測其可能遭受的攻擊。

威脅情報主要是利用大數(shù)據(jù)、分布式系統(tǒng)等收集方法獲取的，具有很強的自主更新能力，能夠提供最全、最新的安全事件數(shù)據(jù)，極大提高網(wǎng)絡(luò)安全態(tài)勢感知工作中對新型和高級別危險的察覺能力。通過威脅情報共享機制，可使安全管理員對所處行業(yè)面臨的威脅處境、攻擊者類型、攻擊技術(shù)及防御策略信息有更加深入的了解，對企業(yè)正在經(jīng)歷或潛在的威脅進行有效防御，提高態(tài)勢感知分析的準確率與效率，以及對安全事件的響應(yīng)能力。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢感知;威脅情報;STIX;網(wǎng)絡(luò)攻防

中圖分類號：TN958.98 文獻標識碼：A

doi：10.7535/hbkd.2021yx02012

Threat intelligence technology in network security situation awareness

YIN Yan1，ZHANG Hongbin1，2，LIU Bin3，4，ZHAO Dongmei2

（1.School of Information Science and Engineering，Hebei University of Science and Technology，Shijiazhuang，Hebei 050018，China; 2.Hebei Key Laboratory of Network and Information Security，Hebei Normal University，Shijiazhuang，Hebei 050024，China; 3.School of Economics and Management，Hebei University of Science and Technology，Shijiazhuang，Hebei 050018，China; 4.Research Center of Big Data and Social Computing，Hebei University of Science and Technology，Shijiazhuang，Hebei 050018，China）

Abstract：

General Secretary XI Jinping gave instructions at the symposium on cybersecurity and informatization in 2016： Strengthen the mining and analysis of big data，make better situation awareness and prevent risks in cybersecurity.In response to the call of national policies，many large industries and enterprises actively advocated，built and applied situation awareness systems to deal with the severe challenges faced by network security.Network security situation awareness is an effective means to ensure network security.It has become the focus of network security research to use situation awareness to discover potential threats and respond.At present，most of the proposed network security situation awareness technologies and methods are based on small-scale networks.With the continuous expansion of network scale and appearance of new advanced attack technologies such as APT，the accuracy of current situation awareness technology and the maneuverability reduced greatly.In recent years，the emergence of threat intelligence has brought new ideas to the research of situation awareness and become a new direction in the field of situation awareness.

This paper mainly summarized the traditional situation awareness research and the application of threat intelligence in network security situation awareness.The traditional situation awareness research was generally divided into three parts，namely，situation perception，situation comprehension and situation projection.The process of network security situation awareness was to collect the security elements of the target system，and analyze the impact of security incidents.Finally，by using network security situation awareness，it can be realized the behavior recognition of various activities，attacks detection，evaluation and prediction of the network situation，so as to provide correct decisions for the network security response.The application of threat intelligence in network security situation awareness was discussed from three scenarios： 1） Situation perception： threat intelligence was used to identify attack behaviors，extract relevant attack characteristics and determine attack intentions，methods，and impact; 2） Situation comprehension： after determining the attack behavior and characteristics，the attack behavior was understood and the attacker's attack strategy was determined by sharing the disposition of the attack behavior in the threat intelligence; 3） Situation projection： by analyzing threat intelligence information such as attack events，attack techniques，and vulnerabilities，the risk faced by the current system was evaluated，and the possible attack was predicted.

Threat intelligence is usually obtained by big data，distributed systems or other methods，and it has a strong ability to update autonomously.Threat intelligence can provide the most complete and latest security event data，which greatly improves the ability to detect new and advanced dangers in network security situation awareness.And by using the sharing mechanism in the threat intelligence，security stuff can understand the threat environment of their organization，such as attackers，tactical techniques used by them and defense strategies，which can helpenterprises understand the security threats they are facing or will be faced in the future.Threat intelligence can improve the accuracy and efficiency of situation awareness analysis，as well as the ability to respond to security incidents.

Keywords：

network security; situation awareness; threat intelligence; STIX; network attack and defense

隨著規(guī)模和用戶數(shù)量的不斷增加，網(wǎng)絡(luò)正朝著大規(guī)模、多業(yè)務(wù)、大數(shù)據(jù)化的方向發(fā)展，網(wǎng)絡(luò)體系結(jié)構(gòu)也隨之日趨復(fù)雜化。在這種背景下，計算機病毒、惡意軟件、信息泄露等網(wǎng)絡(luò)攻擊造成的影響越來越嚴重，多層次的安全威脅和風(fēng)險也在持續(xù)增加，出現(xiàn)了很多關(guān)于防火墻、防病毒、入侵檢測等防御技術(shù)。與傳統(tǒng)的安全防護技術(shù)不同，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)不再是針對某一特定攻擊方式的防御技術(shù)，而是一種整體、全局的防御手段，其對網(wǎng)絡(luò)安全的研究具有很高價值。然而，目前針對態(tài)勢感知的研究大都是基于局域網(wǎng)或小規(guī)模網(wǎng)絡(luò)展開的，在大規(guī)模網(wǎng)絡(luò)的背景下，還需對傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)進行改進，態(tài)勢感知技術(shù)也需引入先進的技術(shù)，實現(xiàn)更加全面的安全分析與態(tài)勢預(yù)測。

由于新型高級攻擊手段的肆意頻發(fā)，網(wǎng)絡(luò)威脅情報（cyber threat intelligence，CTI）近年來成為網(wǎng)絡(luò)安全研究的熱點，為態(tài)勢感知研究帶來了新思路。CTI描述了攻擊行為，提供了網(wǎng)絡(luò)攻擊的上下文數(shù)據(jù)，并指導(dǎo)了網(wǎng)絡(luò)攻擊和防御。利用威脅情報收集大量數(shù)據(jù)，通過有效的數(shù)據(jù)共享，確保信息交換的安全和質(zhì)量，分析惡意行為，發(fā)現(xiàn)和預(yù)防潛在的威脅[1]。威脅情報能夠提供某種攻擊行為的重要信息與攻擊特征，為安全事件的響應(yīng)、防御策略的制定提供正確處理決策。然而目前對于CTI的研究仍處于初始階段，相關(guān)研究成果很少，如何合理規(guī)范地使用CTI進行網(wǎng)絡(luò)安全態(tài)勢感知是亟待解決的關(guān)鍵問題。

針對上述提出的關(guān)鍵問題，本文通過整理現(xiàn)有態(tài)勢感知模型的優(yōu)缺點，指出威脅情報處理網(wǎng)絡(luò)安全威脅的優(yōu)勢，進而挖掘威脅情報與網(wǎng)絡(luò)安全態(tài)勢感知的結(jié)合點，明確威脅情報為網(wǎng)絡(luò)安全態(tài)勢感知研究帶來的重要影響，以期為后續(xù)研究工作打牢基礎(chǔ)。

1 網(wǎng)絡(luò)安全態(tài)勢感知

1.1 相關(guān)概念

態(tài)勢感知是指在特定的時間和空間內(nèi)提取系統(tǒng)的要素，理解其含義并預(yù)測其可能產(chǎn)生的影響[2]。網(wǎng)絡(luò)安全態(tài)勢感知（network security situational awareness，NSSA）工作流程主要是通過對系統(tǒng)的安全要素進行采集，分析安全要素之間的關(guān)聯(lián)，從中發(fā)現(xiàn)系統(tǒng)中的異常行為，并對異常行為造成的影響進行評估，得到網(wǎng)絡(luò)的安全態(tài)勢，根據(jù)一段時間的態(tài)勢趨勢，預(yù)測未來時段態(tài)勢的變化。

態(tài)勢感知的概念起源于空中交通管制（air traffic control）[3]。ENDSLEY[4]將態(tài)勢感知分為3個層面：態(tài)勢察覺、態(tài)勢理解、態(tài)勢投射，之后 BASS[5]首次提出了網(wǎng)絡(luò)態(tài)勢感知的概念：在大型網(wǎng)絡(luò)環(huán)境中，獲取、理解、評估、顯示可能導(dǎo)致網(wǎng)絡(luò)狀態(tài)發(fā)生變化的要素，并預(yù)測未來的發(fā)展趨勢。FRANKE[6]等認為態(tài)勢感知是可以在不同程度實現(xiàn)的狀態(tài)，包含網(wǎng)絡(luò)態(tài)勢感知。網(wǎng)絡(luò)態(tài)勢感知不能被孤立地對待，應(yīng)與整體態(tài)勢感知交織在一起。在此基礎(chǔ)上，許多實驗室展開研究，開發(fā)了各種網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)或平臺，Lawrence Berkeley實驗室開發(fā)了“Spinning Cube of Potential Doom”系統(tǒng)[7]、卡內(nèi)基梅隆大學(xué)開發(fā)了SILK[8]、美國國家高級安全系統(tǒng)研究中心開發(fā)了VisFlowConnect-IP[9]等。

1.2 網(wǎng)絡(luò)安全態(tài)勢感知模型

NSSA模型一般分為態(tài)勢察覺、態(tài)勢理解、態(tài)勢投射3部分，如圖1所示。

1）態(tài)勢察覺 主要目的是將采集到的安全要素信息進行降噪、規(guī)范化處理，對數(shù)據(jù)進行建模后，發(fā)現(xiàn)系統(tǒng)中的異常行為活動;

2）態(tài)勢理解 主要是在態(tài)勢察覺的基礎(chǔ)上對攻擊行為進行理解，識別攻擊意圖，確定攻擊策略;

3）態(tài)勢投射 在前兩步的基礎(chǔ)上分析攻擊行為對網(wǎng)絡(luò)中對象的威脅情況，并根據(jù)威脅情況，評估攻擊對系統(tǒng)安全態(tài)勢的影響，量化和預(yù)測安全態(tài)勢。

NSSA的目標就是了解自己、了解敵人。

1.3 網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)方法

通過對NSSA模型的理解，針對NSSA的研究主要是在態(tài)勢察覺、態(tài)勢評估及態(tài)勢預(yù)測3個方面進行的。

1.3.1 態(tài)勢察覺

態(tài)勢察覺是NSSA的首要環(huán)節(jié)。由于互聯(lián)網(wǎng)和網(wǎng)速的快速提升，攻擊行為的傳播速度也大大提高，因此對潛在攻擊行為的識別研究對網(wǎng)絡(luò)安全防護起到了重要作用。文獻[10]提出了在攻擊圖上應(yīng)用吸收馬爾可夫鏈的隨機數(shù)學(xué)模型，將攻擊圖映射到吸收馬爾可夫鏈，描述攻擊者的多步攻擊行為，利用攻擊路徑態(tài)勢分析識別攻擊者的真實目的。然而，該方法是通過有限項的概率轉(zhuǎn)移矩陣確定攻擊者意圖，在面對大規(guī)模的網(wǎng)絡(luò)攻擊時，攻擊行為之間的轉(zhuǎn)移矩陣難以計算。文獻[11] 提出了非齊次的馬爾可夫模型，利用目標系統(tǒng)的漏洞信息構(gòu)建攻擊圖，通過馬爾可夫鏈計算網(wǎng)絡(luò)狀態(tài)轉(zhuǎn)移概率，計算最大概率的攻擊路徑，從而確定攻擊者的攻擊意圖，但該模型的參數(shù)設(shè)置并不能跟隨網(wǎng)絡(luò)環(huán)境的變化而變化，不具有普適性。

1.3.2 態(tài)勢評估

態(tài)勢評估是NSSA的核心環(huán)節(jié)。通過對一段時間內(nèi)的安全數(shù)據(jù)進行分析，描述網(wǎng)絡(luò)的安全狀態(tài)，對態(tài)勢進行評估，可以明確網(wǎng)絡(luò)態(tài)勢的變化趨勢，為態(tài)勢預(yù)測提供依據(jù)。文獻[12]提出了基于隨機博弈的網(wǎng)絡(luò)安全態(tài)勢評估模型，綜合分析了攻擊方、防御方和環(huán)境信息三者對安全態(tài)勢的影響;然而在攻防雙方策略選擇時，僅考慮了簡單的策略集合，在真實的攻擊場景中，策略選擇要復(fù)雜得多。文獻[13]提出了基于隱馬爾可夫過程的網(wǎng)絡(luò)安全態(tài)勢評估改進模型，確定狀態(tài)轉(zhuǎn)移矩陣，利用風(fēng)險值實現(xiàn)安全態(tài)勢的量化，反映態(tài)勢的變化趨勢;但該方法具有一定的局限性，對NSSA要素的提取不全面，觀測序列不完善，評估的準確性還有待提高。

1.3.3 態(tài)勢預(yù)測

態(tài)勢預(yù)測是NSSA的重要環(huán)節(jié)。能夠獲知網(wǎng)絡(luò)系統(tǒng)全局運行的安全發(fā)展趨勢，實時感知，及時發(fā)現(xiàn)危險事件，使系統(tǒng)做出準確的應(yīng)急響應(yīng)，避免大規(guī)模的網(wǎng)絡(luò)攻擊。態(tài)勢預(yù)測常用的方法有基于馬爾可夫鏈的預(yù)測模型、基于時間序列的預(yù)測模型、貝葉斯動態(tài)預(yù)測模型[14-16]。其中基于馬爾科夫鏈的預(yù)測方法利用當前時刻的態(tài)勢計算下一時刻的態(tài)勢，結(jié)合最大熵算法，提高了預(yù)測的準確性，但該模型參數(shù)評估的準確性還有待進一步研究?；跁r間序列的預(yù)測方法在訓(xùn)練數(shù)據(jù)方面具有優(yōu)勢，但是在處理大量數(shù)據(jù)集的應(yīng)用上效果不佳。貝葉斯動態(tài)預(yù)測模型方法利用貝葉斯方法對攻擊行為建模，但對網(wǎng)絡(luò)攻防建模要求高，需要考慮的因素較多[17]。

通過分析上述文獻可知，現(xiàn)有的NSSA技術(shù)都是以小規(guī)模網(wǎng)絡(luò)、局域網(wǎng)為研究目標，缺乏基于大規(guī)模網(wǎng)絡(luò)背景的網(wǎng)絡(luò)安全態(tài)勢感知研究。而目前的大型網(wǎng)絡(luò)大多存在資產(chǎn)數(shù)量巨大、風(fēng)險類型多樣、數(shù)據(jù)采集難度大、周期長等復(fù)雜問題，現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢技術(shù)在威脅察覺、態(tài)勢評估與預(yù)測的準確性上都具有一些不足之處。為此，本文引入威脅情報作為NSSA的基礎(chǔ)依據(jù)，從威脅情報的定義、威脅情報在網(wǎng)絡(luò)安全態(tài)勢感知、評估和預(yù)測等階段的應(yīng)用等方面進行分析和探索，為NSSA的研究發(fā)展提供新的解決思路。

2 威脅情報

2.1 威脅情報定義

根據(jù)GARTNER對威脅情報的定義：威脅情報是關(guān)于IT、信息資產(chǎn)面臨現(xiàn)有或醞釀中的威脅的證據(jù)性知識，包括可實施上下文、機制、標示、含義和能夠執(zhí)行的建議，這些知識可以為威脅的響應(yīng)、處理決策提供技術(shù)支持[18]。威脅情報包括攻擊源信息、攻擊所利用的漏洞、受害者信息以及戰(zhàn)術(shù)、技術(shù)和過程等[19]，這些要素都能為網(wǎng)絡(luò)安全態(tài)勢感知提供有力的依據(jù)。

威脅情報可以分為內(nèi)部威脅情報和外部威脅情報，如圖2所示。

外部威脅情報通常源于情報提供者提供的商業(yè)威脅情報或開源威脅情報[18];內(nèi)部威脅情報是企業(yè)或機構(gòu)產(chǎn)生的威脅情報數(shù)據(jù)，用于保護內(nèi)部信息資產(chǎn)和業(yè)務(wù)流程。

2.2 威脅情報標準

威脅情報最大的價值在于威脅情報的流通和交換過程中為網(wǎng)絡(luò)管理人員的安全防御策略、安全決策提供有效的指導(dǎo)。威脅情報流通和交換的關(guān)鍵是制定規(guī)范統(tǒng)一的格式標準。威脅情報標準包括結(jié)構(gòu)化威脅信息表達式（STIX）、網(wǎng)絡(luò)可觀察表達式（CyboX）、指標信息的可信自動化交換（TAXII）、惡意軟件屬性枚舉和特征描述（MAEC）以及常見攻擊模式枚舉與分類（CAPEC）、開放威脅指示器（OpenIOC）等[20]。

STIX提供了基于標準XML語法描述威脅情報細節(jié)和威脅內(nèi)容的方法，包含12種主體對象，這些對象描述了攻擊行為的詳細信息、內(nèi)容及特點。通過文獻[17]的描述，STIX2.0包含的12種主體對象分別如下：

1）Attack Pattern：描述攻擊者試圖破壞目標的方式。

2）Campain：攻擊活動，描述一組針對特定目標的惡意行為或一段時間內(nèi)發(fā)生的攻擊。

3）Course of Action：防御者面對攻擊行為可采取的防御策略。

4）Identity：身份，可以是個人、組織或團體。

5）Indicator：威脅的指標點，包含攻擊時間、工具等特征參數(shù)。

6）Intrusion Set：入侵集是一組具有共同屬性的對抗行為和資源。

7）Malware：惡意代碼和惡意軟件，旨在損害受害者的數(shù)據(jù)或應(yīng)用系統(tǒng)。

8）Observed Data：在系統(tǒng)或網(wǎng)絡(luò)上觀察到的信息。

9）Report：集中在一個或多個主題上的威脅情報集合，例如對攻擊者的描述、惡意軟件或攻擊技術(shù)，包括上下文詳細信息。

10）Threat Actor：進行惡意操作的個人、團體或組織。

11）Tool：攻擊者用來執(zhí)行攻擊的合法軟件。

12）Vulnerability：軟件中的錯誤，黑客可以直接利用它來訪問系統(tǒng)或網(wǎng)絡(luò)。

CyboX定義了一種方法來表示計算機觀測物和網(wǎng)絡(luò)的動態(tài)和實體，提供標準和可擴展的語法，用于描述可從計算機系統(tǒng)和操作中觀察到的所有內(nèi)容，以便進行威脅評估、日志管理、惡意軟件特征分析、度量共享和事件響應(yīng)[19]。

TAXII是用來基于HTTPS交換威脅情報信息的一個應(yīng)用層協(xié)議，為支持使用STIX描述的威脅情報交換而設(shè)計，使用TAXII規(guī)范，不同的組織可以通過定義與通用共享模型相對應(yīng)的API共享威脅情報。

MAEC是一種共享惡意軟件結(jié)構(gòu)化信息的標準化語言，目的是消除惡意軟件描述中的歧義和不確定性，減少對簽名的依賴性，從而改變惡意軟件的響應(yīng)。

CAPEC是常見攻擊模式的公共分類標準，能夠幫助用戶了解敵人如何利用應(yīng)用程序和其他網(wǎng)絡(luò)功能的弱點。CAPEC定義了敵人可能面臨什么挑戰(zhàn)以及解決挑戰(zhàn)的方法，這源于在破壞性而非建設(shè)性環(huán)境中應(yīng)用的設(shè)計模式的概念。

OpenIOC是一個記錄、定義以及共享威脅情報的格式[21]，通過靈活建立威脅指示器（IOC）的邏輯分組，實現(xiàn)威脅情報的可機讀和快速共享[22]。在建立威脅情報共享框架OpenIOC之前還需明確表達式、簡單表達式、復(fù)雜表達式及攻擊指示器的定義[23]。

2.3 威脅情報處理網(wǎng)絡(luò)安全威脅的優(yōu)勢

包括APT（advanced persistent threat）在內(nèi)的新型網(wǎng)絡(luò)安全威脅成為如今網(wǎng)絡(luò)攻擊的主流趨勢，造成的影響越來越嚴重，尤其是APT使用高級的攻擊手段對某一指定目標進行長期、持續(xù)的網(wǎng)絡(luò)攻擊，具有高度的隱蔽性和危害性[24]，給威脅檢測帶來了更高的難度，對信息系統(tǒng)的防御提出了新的要求，如何盡快進行高精度檢測已成為當務(wù)之急。與其他攻擊相比，APT攻擊是有組織、有目的、有計劃的，同一組織發(fā)起的攻擊在一些行為特征上會有相似之處，尤其是針對同一領(lǐng)域的攻擊，相似性更為明顯[25]。

長時間積累形成的威脅情報具有時間和空間多維度的數(shù)據(jù)特征，借助成熟的威脅情報可以有效提高APT等安全事件分析的效率和攻擊檢測率。另一方面，威脅情報具有很強的獨立更新能力，當安全事件的數(shù)量增加時，威脅情報也會相應(yīng)進行更新，為安全管理者提供更新的安全事件信息。通過將威脅情報進行共享，可以在同一組織的領(lǐng)域中獲得針對性的威脅信息，使企業(yè)了解行業(yè)環(huán)境、攻擊者是什么、攻擊者利用技術(shù)等信息的策略和防御策略，幫助他們了解企業(yè)本身將遭受的威脅，從而提高安全響應(yīng)能力。威脅情報在提高處理網(wǎng)絡(luò)安全威脅、漏洞管理和風(fēng)險控制、了解威脅環(huán)境以及制定決策效率方面具有很高的應(yīng)用價值。

3 威脅情報在網(wǎng)絡(luò)安全態(tài)勢感知中的應(yīng)用

網(wǎng)絡(luò)威脅情報在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用勢頭強勁，無論它們是基于供應(yīng)商的解決方案還是開源的解決方案，實踐者都應(yīng)該能夠找到適當?shù)慕鉀Q方案增強其基礎(chǔ)設(shè)施的安全性。根據(jù)文獻[26]等方案中威脅情報與NSSA的應(yīng)用結(jié)合，本文將威脅情報在NSSA中的應(yīng)用分為3個應(yīng)用場景進行討論，即威脅情報在態(tài)勢察覺、態(tài)勢理解、態(tài)勢投射中的應(yīng)用，如圖3所示。

3.1 態(tài)勢察覺

3.1.1 異常行為的識別和攻擊檢測方法

在態(tài)勢察覺階段，傳統(tǒng)的檢測識別方法有基于攻擊圖[27]的攻擊識別方法、基于Web訪問路徑的應(yīng)用層DDoS攻擊檢測[28]、基于F分布的攻擊檢測方法[29]等，但這些方法具有不足之處，對于具有隱蔽性、長期性的攻擊行為的檢測很難實現(xiàn)。而威脅情報往往是通過比對操作類威脅情報中IP信譽、文件信譽及其他指紋特征，檢測系統(tǒng)中的異常動向，確認攻擊行為并按優(yōu)先級排序，采取相應(yīng)手段進行遏制[25]。部分網(wǎng)絡(luò)威脅情報來源于蜜罐或蜜網(wǎng)[30]，通過在蜜罐或蜜網(wǎng)中利用大量專用的分析工具對威脅者的行為進行收集、分析，形成威脅情報，威脅情報中包含詳細的攻擊特征、檢測方法、攻擊危害評估方法和安全修復(fù)方法和防御方案。此外，廣義的威脅情報還包含了暗網(wǎng)情報[31]，具有豐富的威脅情報數(shù)據(jù)庫，可以將暗網(wǎng)中發(fā)現(xiàn)的信息與現(xiàn)有信息聯(lián)系起來，形成情報資源。

針對隱蔽性極強的APT攻擊檢測，文獻[32]提出基于大數(shù)據(jù)的威脅情報平臺是APT檢測的關(guān)鍵，通過對海量數(shù)據(jù)進行深度挖掘，可有效發(fā)現(xiàn)APT攻擊。例如，360威脅情報平臺涵蓋了DNS解析記錄、WHOIS信息、樣本信息等，通過使用機器學(xué)習(xí)、深度學(xué)習(xí)、關(guān)聯(lián)分析等手段，形成云端威脅情報下發(fā)本地進行檢測。文獻[33]針對APT攻擊鏈進行研究，選取DNS流量作為APT整體檢測的原始數(shù)據(jù)，采用多種不同檢測特征，結(jié)合最新的威脅情報和大數(shù)據(jù)技術(shù)，對APT進行攻擊檢測。

3.1.2 確定攻擊特征

利用開源的威脅情報檢測出攻擊行為后，為了確定攻擊意圖、影響及防御方法，需要對攻擊特征進行盡可能準確、完整和簡潔的描述。威脅情報包括背景、機制、指標、意義和可行性建議、資產(chǎn)現(xiàn)有或新出現(xiàn)的威脅或危害[17]。

通過對態(tài)勢要素的提取、清洗、關(guān)聯(lián)，利用威脅情報對攻擊數(shù)據(jù)進行處理，制作成具有規(guī)范化、結(jié)構(gòu)化的信息格式，如STIX，這些標準化的信息為攻擊識別提供更全面、準確的攻擊特征[34]。文獻[35]基于威脅情報，提出了一種針對電信詐騙文本數(shù)據(jù)的特征提取方法，采用自然語言處理技術(shù)，從電信詐騙新聞報道中提取相關(guān)的特征信息，根據(jù)該特征建立檢測規(guī)則，實現(xiàn)攻擊檢測。

在態(tài)勢察覺方面，開源的威脅情報庫與某種特定攻擊完全匹配的可能性極低，因此提出利用外源威脅情報對采集到的網(wǎng)絡(luò)安全要素（如目標網(wǎng)絡(luò)的資產(chǎn)信息、風(fēng)險狀態(tài)信息及日志警告信息）進行數(shù)據(jù)預(yù)處理以及關(guān)聯(lián)分析，識別系統(tǒng)中的異常攻擊行為，明確攻擊的意圖、方式以及產(chǎn)生的影響，并根據(jù)外源威脅情報的指導(dǎo)，生成系統(tǒng)內(nèi)部的威脅情報，通過將該威脅情報進行分享，提高其他網(wǎng)絡(luò)主體抗攻擊的能力，從而提高大規(guī)模網(wǎng)絡(luò)整體的安全性。

3.2 態(tài)勢理解

通過威脅情報在NSSA第一個環(huán)節(jié)的應(yīng)用，明確了系統(tǒng)中的異常攻擊行為及其特征，確定了攻擊的意圖、方式以及產(chǎn)生的影響。通過對攻擊行為的理解，確定了攻擊者的攻擊策略，并將系統(tǒng)內(nèi)部的攻擊信息制作成具有規(guī)范格式的威脅情報。

將系統(tǒng)內(nèi)部的威脅情報與共享威脅情報中的Course of Action（處置方法）對象進行對比分析，可以確定相應(yīng)的防御策略。Course of Action是指針對威脅的具體應(yīng)對方法，包括修復(fù)性措施或預(yù)防性措施，以及對“安全事件”造成影響的反制或緩解手段，具體的Course of Action類型如表1所示。

3.3 態(tài)勢投射

3.3.1 態(tài)勢量化評估

在網(wǎng)絡(luò)安全態(tài)勢評估環(huán)節(jié)，基本的評估模型有基于隨機博弈的態(tài)勢評估模型、基于馬爾科夫或隱馬爾科夫過程的評估模型、基于支持向量機（SVM）[36]的評估模型等。通過上述描述可知，采用這些模型進行態(tài)勢評估過程中都出現(xiàn)了評估準確性不高、不能適應(yīng)網(wǎng)絡(luò)環(huán)境變化等問題。然而，威脅情報具有強大的更新能力，通過威脅情報的共享技術(shù)，情報庫不斷更新變化，能夠準確反映網(wǎng)絡(luò)安全狀態(tài)的變化，并且威脅情報是對系統(tǒng)面對威脅的詳盡描述，與系統(tǒng)的安全狀況息息相關(guān)。

文獻[37]給出了一種基于攻擊圖模型的安全評估方法，可分析攻擊序列的成功概率及系統(tǒng)損失風(fēng)險;文獻[38]建立了一個基于插件技術(shù)和漏洞威脅信息的評估模型，可以對系統(tǒng)安全狀況進行定量分析;文獻[39] 在原始數(shù)據(jù)處理中，使用多傳感器數(shù)據(jù)融合技術(shù)進行識別攻擊。因此，將威脅情報的相關(guān)對象作為態(tài)勢評估的要素，可使網(wǎng)絡(luò)安全態(tài)勢評估的準確性大大提高。

3.3.2 攻擊預(yù)測

利用網(wǎng)絡(luò)態(tài)勢進行預(yù)測時，一般根據(jù)歷史信息及態(tài)勢變化的趨勢進行模糊預(yù)測，忽略了真實網(wǎng)絡(luò)環(huán)境的復(fù)雜性，在某種程度上認為網(wǎng)絡(luò)環(huán)境是一直不變的，這種忽略網(wǎng)絡(luò)復(fù)雜性的預(yù)測是不嚴謹?shù)?。為了使攻擊行為預(yù)測更加科學(xué)合理，引入了威脅情報思想。大量的安全事件信息包含在威脅情報中，并且其本身具有更新能力，可以使最新的安全事件被網(wǎng)絡(luò)安全管理人員掌握。因此利用威脅情報的攻擊行為預(yù)測是科學(xué)合理的。

人工智能的方法可以使對威脅情報的分析智能化，并可對未來一段時間的態(tài)勢進行預(yù)測。例如：文獻[40]為實現(xiàn)無線傳感網(wǎng)絡(luò)的攻擊預(yù)測，結(jié)合了強化學(xué)習(xí)和分層學(xué)習(xí)的思想;文獻[41]采用智能學(xué)習(xí)算法對計算機系統(tǒng)的潛在威脅進行預(yù)測。

3.3.3 攻擊溯源

由于網(wǎng)絡(luò)空間結(jié)構(gòu)日益復(fù)雜，入侵者的攻擊手段不斷加強，其躲避攻擊追蹤的技術(shù)也日益先進，因此給網(wǎng)絡(luò)安全防御的攻擊溯源工作帶來巨大挑戰(zhàn)。常見的攻擊溯源方法有基于IP地址的攻擊溯源方法[42]、哈希的攻擊溯源方法[43]、IP隧道的攻擊溯源方法[44]、基于代數(shù)的攻擊溯源方法[45]、流水印方法[46]、匿名通信追蹤方法[47]等。這些溯源方法過于單一，限制條件過多，導(dǎo)致溯源效果不理想。

近些年出現(xiàn)的威脅情報為攻擊溯源注入了新活力，威脅情報共享技術(shù)將是實現(xiàn)攻擊溯源的重要手段。為實現(xiàn)有效的攻擊溯源，文獻[48]基于STIX提出了一種精簡模式的威脅情報共享利用框架，以有關(guān)C2信息為例，描述了威脅情報的共享利用表達方式，實驗表明，利用威脅情報進行攻擊溯源具有實用性。

通過對以上文獻的研究可以看出，威脅情報在態(tài)勢投射上的應(yīng)用是合理且有必要的，利用威脅情報進行態(tài)勢評估、態(tài)勢預(yù)測和攻擊溯源，能夠提高態(tài)勢感知技術(shù)的準確性。然而，威脅情報庫包含太多的情報信息，某些威脅情報自收集以來從未被利用。針對這種情況，提取高質(zhì)量的威脅情報進行態(tài)勢評估及預(yù)測，將大大提高態(tài)勢投射的準確性，因此發(fā)掘高質(zhì)量的威脅情報將成為今后的研究重點。

4 結(jié) 語

1）在大數(shù)據(jù)、云計算等新型技術(shù)的廣泛應(yīng)用下，網(wǎng)絡(luò)空間呈現(xiàn)復(fù)雜化的發(fā)展趨勢，網(wǎng)絡(luò)攻擊行為也更具隱蔽性與持久性，導(dǎo)致網(wǎng)絡(luò)安全防御面臨極大的挑戰(zhàn)。情報信息是現(xiàn)代網(wǎng)絡(luò)安全中的一種重要資源，安全態(tài)勢感知與威脅情報的結(jié)合必將引導(dǎo)網(wǎng)絡(luò)安全研究走向新的發(fā)展空間。

2）基于威脅情報進行態(tài)勢察覺，能夠?qū)ο到y(tǒng)中長期、潛在的威脅行為進行準確檢測。利用威脅情報進行態(tài)勢評估和態(tài)勢預(yù)測，能準確反映網(wǎng)絡(luò)環(huán)境的整體態(tài)勢變化趨勢，指導(dǎo)安全人員制定科學(xué)的安全決策與響應(yīng)措施，提高網(wǎng)絡(luò)整體的防御能力。

3）目前，利用威脅情報進行態(tài)勢感知的研究還處于初級階段，存在一些不足之處，如威脅情報利用率低，不能與某些特定的網(wǎng)絡(luò)攻擊特征完全匹配等。針對這些不足，接下來的研究工作是將威脅情報作為態(tài)勢察覺的基礎(chǔ)，構(gòu)建基于隨機博弈的網(wǎng)絡(luò)安全態(tài)勢感知模型;借助威脅情報的指導(dǎo)，對目標系統(tǒng)進行威脅察覺，并生成系統(tǒng)內(nèi)部的威脅情報，通過對威脅情報的分享，提高整個網(wǎng)絡(luò)的安全性。在此過程中，還要利用博弈論思想，對系統(tǒng)當前的網(wǎng)絡(luò)安全態(tài)勢進行量化，評估網(wǎng)絡(luò)的安全狀態(tài)，實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的預(yù)測。

參考文獻/References：

MAVROEIDIS V，BROMANDER S.Cyber threat intelligence model： An evaluation of taxonomies，sharing standards，and ontologies within cyber threat intelligence[C]// 2017 European Intelligence and Security Informatics Conference （EISIC）.Athens： IEEE，2017.doi： 10.1109/EISIC.2017.20.

[2] 龔儉，臧小東，蘇琪，等.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].軟件學(xué)報，2017，28（4）：1010-1026.

GONG Jian，ZANG Xiaodong，SU Qi，et al.Survey of network security situation awareness[J].Journal of Software，2017，28（4）：1010-1026.

[3] NOLAN M S.Fundamentals of air traffic control[J].Delmar Cengage Learning，1990，2（2）：859-863.

[4] ENDSLEY M R.Toward a theory of situation awareness in dynamic systems[J].Human Factors，1995，37（1）：32-64.

[5] BASS T.Intrusion detection systems and multisensor data fusion： Creating cyberspace situational awareness[J].Communications of the ACM，2000，43（4）：99-105.

[6] FRANKE U，BRYNIELSSON J.Cyber situational awareness：A systematic review of the literature[J].Computers & Security，2014，46：18-31.

[7] LAU S.The spinning cube of potential doom[J].Communications of the ACM，2004，47（6）：25-26.

[8] CARNEGIE Mellon′s SEI.System for Internet Level Knowledge（SILK）[EB/OL].http：//tools.netsa.cert，org/silk，2006-03-09.

[9] YURCIK W.Tool update：Visflowconnect-IP with advanced filtering from usability testing[C]// Tool Update： Visflowconnect-IP with Advanced Filtering from Usability Testing.New York： ACM，2006.doi： 10.1145/1179576.1179588.

[10]HU Hao，LIU Yuling，YANG Yingjie，et al.New insights into approaches to evaluating intention and path for network multistep attacks[J].Mathematical Problems in Engineering，2018（8）：1-13.

[11]ABRAHAMS，NAIR S.A novel architecture for predictive cybersecurity using non-homogenous markov models[C]// 2015 IEEE Trustcom/Big Data SE/ISPA.Helsinki：[s.n.]，2015：774-781.

[12]翁芳雨.基于隨機博弈模型的網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測方法的研究與設(shè)計[D].北京：北京郵電大學(xué)，2018.

WENG Fangyu.Research and Design of Network Security Situation Assessment and Prediction Method Based on Random Game Model[D].Beijing：Beijing University of Posts and Telecommunications，2018.

[13]席榮榮，云曉春，張永錚，等.一種改進的網(wǎng)絡(luò)安全態(tài)勢量化評估方法[J].計算機學(xué)報，2015，38（4）：749-758.

XI Rongrong，YUN Xiaochun，ZHANG Yongzheng，et al.An improved quantitative evaluation method for network security[J].Chinese Journal of Computers，2015，38（4）：749-758.

[14]SALFINGER A.Framing situation prediction as a sequence prediction problem： A situation evolution model based on continuous-time Markov chains[C]// 22nd International Conference on Information Fusion （FUSION）.Ottawa： IEEE，2019：1-11.

[15]CHEN Q，QI X.Research on trend analysis and prediction algorithm based on time series[C]// 2019 3rd International Conference on Electronic Information Technology and Computer Engineering （EITCE）.Xiamen： IEEE，2019.doi： 10.1109/EITCE47263.2019.9095181.

[16]LINP，CHEN Y.Dynamic network security situation prediction based on bayesian attack graph and big data[C]// 2018 IEEE 4th Information Technology and Mechatronics Engineering Conference（ITOEC）.Chongqing： IEEE，2018.doi： 10.1109/ITOEC.2018.8740765.

[17]宜裕紫.基于威脅情報的云計算安全態(tài)勢感知系統(tǒng)設(shè)計[D].石家莊：河北科技大學(xué)，2019.

YI Yuzi.Design of Security Situation Awareness System for Cloud Computing Based on Threat Intelligence[D].Shijiazhuang：Hebei University of Science and Technology，2019.

[18]徐留杰.基于威脅情報的APT檢測技術(shù)研究[D].鎮(zhèn)江：江蘇科技大學(xué)，2019.

XU Liujie.Research on APT Detection Technology Based on Threat Intelligence[D].Zhenjiang： Jiangsu University of Science and Technology，2019.

[19]石志鑫，馬瑜汝，張悅，等.威脅情報相關(guān)標準綜述[J].信息安全研究，2019，5（7）：560-569.

SHI Zhixin，MA Yuru，ZHANG Yue，et al.Overview of threat intelligence related standards[J].Journal of Information Security Research，2019，5（7）： 60-569.

[20]GONG N.Barriers to adopting interoperability standards for cyber threat intelligence sharing： An exploratory study[J].Springer Cham，2018，9：666-684.

[21]ZHANG Q，LI H，HU J.A study on security framework against advanced persistent threat[C]// IEEE International Conference on Electronics Information & Emergency Communication.Macau： IEEE，2017.doi： 10.1109/ICEIEC.2017.8076527.

[22]李建華.網(wǎng)絡(luò)空間威脅情報感知共享與分析技術(shù)綜述[J].網(wǎng)絡(luò)與信息安全學(xué)報，2016，2（2）：16-29.

LI Jianhua.Overview of the technologies of threat intelligence sensing，sharing and analysis in cyber space[J].Chinese Journal of Network and Information Security，2016，2（2）：16-29.

[23]徐文韜，王軼駿，薛質(zhì).面向威脅情報的攻擊指示器自動生成[J].通信技術(shù)，2017，50（1）：116-123.

XU Wentao，WANG Yijun，XUE Zhi.Indicator autogeneration of compromise oriented to threat intelligence[J].Communications Technology，2017，50（1）：116-123.

[24]CINAR C，ALKAN M，DORTERLER M，et al.A study on advanced persistent threat[C]// 2018 3rd International Conference on Computer Science and Engineering （UBMK）.Sarajevo： IEEE，2018.doi： 10.1109/UBMK.2018.8566348.

[25]LI Y，DAI W，BAI J，et al.An intelligence-driven security-aware defense mechanism for advanced persistent threats[J].IEEE Transactions on Information Forensics & Security，2019，14（1）：646-661.

[26]李際磊，蔣志頎.威脅情報在態(tài)勢感知中的應(yīng)用研究[J].計算機科學(xué)與應(yīng)用，2019，9（10）：1939-1945.

LI Jilei，JIANG Zhiqi.Research on the application of threat intelligence in situation awareness[J].Computer Science and Applications，2019，9（10）：1939-1945.

[27]AMMANN P，WIJESEKERA D，KAUSHIK S.Scalable，graph-based network vulnerability analysis[C]// ACM Conference on Computer & Communications Security.New York： ACM，2002.doi：10.1145/586110.586140.

[28]任皓，許向陽，馬金龍，等.基于Web訪問路徑的應(yīng)用層DDoS攻擊防御檢測模型[J].河北科技大學(xué)學(xué)報，2019，40（5）：404-413.

REN Hao，XU Xiangyang，MA Jinlong，et al.Application-layer DDoS attack defense detection model based on Web access path[J].Journal of Hebei University of Science and Technology，2019，40（5）：404-413.

[29]史德陽，羅永健，侯銀濤，等.基于F分布的無線傳感器網(wǎng)絡(luò)攻擊檢測方法[J].河北科技大學(xué)學(xué)報，2012，33（6）：519-524.

SHI Deyang，LUO Yongjian，HOU Yintao，et al.A novel attack detection algorithm based on F-distribution in wireless sensor networks[J].Journal of Hebei University of Science and Technology，2012，33（6）：519-524.

[30]MEHTA V，BAHADUR P，KAPOOR K，et al.Threat prediction using honeypot and machine learning[C]// International Conference on Futuristic Trend on Computational Analysis and Knowledge Management.Noida： IEEE，2015.doi：10.1109/ABLAZE.2015.7155011.

[31]AL-IBRAHIM O，MOHAISEN A，KAMHOUA C，et al.Beyond free riding：Quality of indicators for assessing participation in information sharing for threat intelligence[J].Information Retrieval，2017，2：552-563.

[32]陳衛(wèi)平.高級持續(xù)性威脅檢測與分析技術(shù)初探[J].現(xiàn)代電視技術(shù)，2018（11）：135-137.

CHEN Weiping.Preliminary study on advanced persistent threat detection and analysis technology[J].Advanced Television Engineering，2018（11）： 135-137.

[33]李駿韜.基于DNS流量和威脅情報的APT檢測研究[D].上海：上海交通大學(xué)，2016.

LI Juntao.APT Detection Research Based on DNS Traffic and Threat Intelligence[D].Shanghai：Shanghai Jiaotong University，2016.

[34]楊沛安，劉寶旭，杜翔宇.面向攻擊識別的威脅情報畫像分析[J].計算機工程，2020，46（1）：136-143.

YANG Peian，LIU Baoxu，DU Xiangyu.Portrait analysis of threat intelligence for attack recognition[J].Computer Engineering，2020，46（1）：136-143.

[35]趙倩倩.基于威脅情報的電信詐騙檢測研究[D].北京：中國科學(xué)院大學(xué)，2018.

ZHAO Qianqian.Research on Telecommunication Fraud Detection Based on Threat Intelligence[D].Beijing：University of Chinese Academy of Sciences，2018.

[36]何永明.基于KNN-SVM的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機工程與應(yīng)用，2013，49（9）：81-84.

HE Yongming.Assessment model of network security situation based on k nearest neighbor and support vector machine[J].Computer Engineering and Applications，2013，49（9）：81-84.

[37]王永杰，鮮明，劉進，等.基于攻擊圖模型的網(wǎng)絡(luò)安全評估研究[J].通信學(xué)報，2007，28（3）：29-34.

WANG Yongjie，XIAN Ming，LIU Jin，et al.Study of network security evaluation based on attack graph model[J].Journal on Communications，2007，28（3）：29-34.

[38]肖道舉，楊素娟，周開鋒，等.網(wǎng)絡(luò)安全評估模型研究[J].華中科技大學(xué)學(xué)報（自然科學(xué)版），2002，30（4）：37-39.

XIAO Daojiu，YANG Sujuan，ZHOU Kaifeng，et al.A study of evaluation model for network security[J].Journal of Huazhong University of Science and Technology （Nature Science），2002，30（4）：37-39.

[39]BASS T.Multisensor data fusion for next generation distributed intrusion detection systems[C]// 1999 IRIS National Symposium on Sensor and Data Fusion.New York： CiteSeer，1999.doi： 10.13140/RG.2.2.20357.96482/1.

[40]WU J，LIU S，ZHOU Z，et al.Toward intelligent intrusion prediction for wireless sensor networks using three-layer brain-like learning[J].International Journal of Distribute Sensor Networks，2012，27（3）： 327-352.

[41]LIU M，MIAO L，ZHANG D.Two-stage cost-sensitive learning for software defect prediction[J].IEEE Transactions on Reliability，2014，63（2）： 676-686.

[42]KIM D H，INH P，YOON B.IP traceback methodology using Markov chain and bloom filter in 802.16e[C]// 2008 Third International Conference on Convergence and Hybrid Information Technology.Busan： IEEE，2008.doi：10.1109/ICCIT.2008.274.

[43]SANCHEZ L A，MILLIKEN W C，SNOEREN A C，et al.Hardware support for a hash-based IP traceback[C]// Proceedings DARPA Information Survivability Conference and Exposition. New York： IEEE，2001.doi：10.1109/DISCEX.2001.932167.

[44]STONE R.Center track： An IP overlay network for tracking DoS floods[C]// USENIX Security Symposium.New York： ACM，2000：199-212.

[45]DEAN D，F(xiàn)RANKLIN M，STUBBLEFIELD A.An algebraic approach to IP traceback[J].ACM Transactions on Information and System Security ，2002，5（2）： 119-137.

[46]WANG X，REEVES D S.Robust correlation of encrypted attack traffic through stepping stones by flow watermarking[J].IEEE Computer Society Press，2011，8（2）：434-449.

[47]張璐，羅軍舟，楊明，等.基于時隙質(zhì)心流水印的匿名通信追蹤技術(shù)[J].軟件學(xué)報，2011，22（10）：2358-2371.

ZHANG Lu，LUO Junzhou，YANG Ming，et al.Interval centroid based flow watermarking technique for anonymous communication traceback[J].Journal of Software，2011，22（10）： 2358-2371.

[48]楊澤明，李強，劉俊榮，等.面向攻擊溯源的威脅情報共享利用研究[J].信息安全研究，2015，1（1）：31-36.

YANG Zeming，LI Qiang，LIU Junrong，et al.Research on threat intelligence sharing and cyber attack attribution[J].Journal of Information Security Research，2015，1（1）：31-36.