智能化條件下網(wǎng)絡(luò)威脅情報分析研究

陳 明 湯文嶠

(1.中國人民武裝警察部隊(duì)警官學(xué)院 成都 610213;2.中國人民解放軍國防科技大學(xué) 南京 210039)

當(dāng)前，智能化時代推動著網(wǎng)絡(luò)空間向更高、更遠(yuǎn)的層次發(fā)展，有效的網(wǎng)絡(luò)威脅情報工作是維護(hù)網(wǎng)絡(luò)空間安全的重要保障。其中，做好網(wǎng)絡(luò)威脅情報分析工作是提升網(wǎng)絡(luò)安全工作針對性、準(zhǔn)確性、及時性、有效性的根本保障。

經(jīng)梳理相關(guān)資料發(fā)現(xiàn)，學(xué)界對本課題的相關(guān)研究主要表現(xiàn)在：一是以國家安全情報分析為視角，認(rèn)為情報分析方法已由技藝走向科學(xué)，只要掌握基本信息，通過小心的假設(shè)，縝密的推理，完全可以得出正確的結(jié)論[1]。二是普遍意義上的情報分析具有層次性[2]。理論型以“方法核心概念”+“方法”為主要形式，包括歸納方法、演繹方法、邏輯思辨方法等；集合型以“方法核心概念”+“分析法”為主要形式，如比較分析法、分類分析法；操作型方法以“方法核心概念”+“法”為主要形式，如引文分析法、趨勢外推法；計算型以其通用形式為主，如決策樹、樸素貝葉斯等。三是提出情報分析是意義構(gòu)建過程[3]。情報分析決定著整個情報產(chǎn)品的價值，是實(shí)現(xiàn)數(shù)據(jù)、信息向情報轉(zhuǎn)化，提供增值產(chǎn)品和服務(wù)的核心所在。情報分析就是指多來源分析，即在原有知識基礎(chǔ)上，通過對多來源信息的驗(yàn)證以及推理生產(chǎn)出成品情報。四是尚沒有提出網(wǎng)絡(luò)威脅情報分析的理論體系、流程框架。網(wǎng)絡(luò)威脅情報關(guān)聯(lián)分析系統(tǒng)能夠提供實(shí)體關(guān)聯(lián)拓線、多實(shí)體關(guān)系分析、實(shí)體關(guān)聯(lián)組織、實(shí)體與組織關(guān)聯(lián)路徑和約束條件下關(guān)聯(lián)拓線能力[4]。開源威脅情報分析模式作為一個系統(tǒng)過程，分為威脅情報獲取與識別、融合評價、關(guān)聯(lián)分析等幾個過程。[5]

總體來看，學(xué)界關(guān)于本課題的研究較少，相關(guān)學(xué)術(shù)觀點(diǎn)還較為分散。因此，本課題將綜合運(yùn)用信息學(xué)、系統(tǒng)工程學(xué)等研究方法，緊密聯(lián)系智能化時代特征，深入分析網(wǎng)絡(luò)威脅情報分析的相關(guān)議題，以期為相關(guān)部門的理論研究和實(shí)踐工作提供借鑒。

1 智能化條件下網(wǎng)絡(luò)威脅情報分析的特征

1.1 回顧過去與展望未來密切關(guān)聯(lián)

大數(shù)據(jù)時代的最大特征是萬物均可以被記錄。網(wǎng)絡(luò)威脅情報分析工作可以借助機(jī)器學(xué)習(xí)、人工智能等技術(shù)手段對網(wǎng)絡(luò)流量、安全設(shè)備日志、系統(tǒng)日志、用戶行為等信息進(jìn)行深度挖掘，總結(jié)歸納網(wǎng)絡(luò)威脅的類型、發(fā)生規(guī)律等信息，為豐富網(wǎng)絡(luò)威脅數(shù)據(jù)庫，消除網(wǎng)絡(luò)安全隱患提供參考。同時，網(wǎng)絡(luò)威脅與信息技術(shù)的發(fā)展動態(tài)密切關(guān)聯(lián)，與網(wǎng)絡(luò)安全漏洞相伴隨。情報分析人員可以通過對海量數(shù)據(jù)的挖掘預(yù)測出可能會發(fā)生的網(wǎng)絡(luò)安全威脅，分析過程具有明鮮的“數(shù)據(jù)+分析”特征。因此，回顧過去與展望未來是智能化條件下網(wǎng)絡(luò)威脅情報分析的首要特征。

1.2 數(shù)據(jù)優(yōu)勢與分析優(yōu)勢共同制勝

數(shù)據(jù)是形成情報的前提。在網(wǎng)絡(luò)空間，誰擁有海量的數(shù)據(jù)，誰將擁有海量的資源。獲取并保存海量的數(shù)據(jù)已受到網(wǎng)絡(luò)威脅情報分析人員的高度重視。由于網(wǎng)絡(luò)空間的空間范圍正在迅速擴(kuò)大，可以被實(shí)時存儲和記錄的數(shù)據(jù)呈指數(shù)級增加，有價值的情報信息淹沒在海量的數(shù)據(jù)之中。同時，網(wǎng)絡(luò)威脅手段不斷更新，技術(shù)復(fù)雜性增加，顯示出長期性、多路徑性、復(fù)合性、隱蔽性等攻擊特征，如果沒有有效的情報分析，將不可能形成準(zhǔn)確的判斷，更不可能采取有針對性的行動。顯然，智能化條件下應(yīng)對網(wǎng)絡(luò)威脅的首要條件是形成情報分析優(yōu)勢。

1.3 機(jī)器自主與人機(jī)融合互為補(bǔ)充

智能化條件下網(wǎng)絡(luò)威脅情報分析工作可以依賴一定的分析模型自主對網(wǎng)絡(luò)流量、日志等數(shù)據(jù)展開采集、預(yù)處理、存儲與挖掘等工作，進(jìn)而形成可供利用的情報。事實(shí)上，情報分析并不是對所掌握的數(shù)據(jù)簡單組合，而是要融入人的主觀判斷，形成具有規(guī)律性的結(jié)論或預(yù)測性的決策，特別是網(wǎng)絡(luò)溯源等活動還需要結(jié)合政治學(xué)、社會學(xué)、經(jīng)濟(jì)學(xué)等領(lǐng)域的相關(guān)知識，從自動化分析系統(tǒng)所揭示的各要素之間的相關(guān)關(guān)系中找出指向性更強(qiáng)、關(guān)聯(lián)性更緊、運(yùn)用性更高的因果關(guān)系。因此，智能化條件下網(wǎng)絡(luò)威脅情報分析不可能脫離人的主觀能動性，相反要在事關(guān)行業(yè)領(lǐng)域發(fā)展的重大問題上要充分依賴決策者的構(gòu)想設(shè)計，綜合專家智能形成多項(xiàng)措施建議，從而做出最恰當(dāng)?shù)倪x擇。

1.4 認(rèn)知對抗與機(jī)器對抗并行展開

大數(shù)據(jù)、人工智能的本質(zhì)是利用海量的數(shù)據(jù)揭示事物之間的運(yùn)行規(guī)律。事實(shí)上，受市場環(huán)境、保密規(guī)定等因素限制，“數(shù)據(jù)孤島”與“知識距離”在網(wǎng)絡(luò)空間客觀存在，該部分?jǐn)?shù)據(jù)并不能被威脅情報自動化分析系統(tǒng)所搜集和處理，相反，可能是具備極高情報價值的“不易察覺的精確小數(shù)據(jù)”[6]。與此同時，為實(shí)時感知行業(yè)發(fā)展動態(tài)，獲取競爭優(yōu)勢和謀得現(xiàn)實(shí)利益，相關(guān)領(lǐng)域依照智囊團(tuán)隊(duì)建議均建有完善的網(wǎng)絡(luò)威脅情報分析系統(tǒng)，該類系統(tǒng)不僅運(yùn)行標(biāo)準(zhǔn)不一、算法各異，而且具有一定的反情報功能，真與假、對與錯、結(jié)構(gòu)化與非結(jié)構(gòu)化等數(shù)據(jù)形式始終存在，認(rèn)知對抗與機(jī)器對抗在網(wǎng)絡(luò)威脅情報分析領(lǐng)域同時展開，相互交織，難以割裂。

2 智能化條件下網(wǎng)絡(luò)威脅情報分析面臨的主要問題

2.1 情報分析方法間難以兼容

智能化條件下網(wǎng)絡(luò)威脅情報分析涉及大數(shù)據(jù)、情報分析基本理論，以及其他相關(guān)領(lǐng)域的諸多知識，所依賴的分析方法類型較多。網(wǎng)絡(luò)威脅越是復(fù)雜，越要對情報分析方法進(jìn)行融合。經(jīng)研究，具有計算機(jī)學(xué)科背景的學(xué)者傾向于通過數(shù)學(xué)建模、網(wǎng)絡(luò)監(jiān)控、機(jī)器學(xué)習(xí)等技術(shù)手段對網(wǎng)絡(luò)流量、日志、數(shù)據(jù)庫、用戶行為、威脅源頭等展開分析，較典型的工具有RapidMiner、KNIME、Gephi、Force-directed graph等；具有社會學(xué)、政治學(xué)背景的研究者則傾向于運(yùn)用結(jié)構(gòu)化、證偽主義、實(shí)證主義、認(rèn)知心理學(xué)等方法對網(wǎng)絡(luò)安全態(tài)勢、網(wǎng)絡(luò)犯罪，以及網(wǎng)絡(luò)空間大國博弈等議題展開分析。顯然，上述兩類方法具有明顯的不同，相互之間的兼容不僅需要轉(zhuǎn)化思維理念，而且需要加強(qiáng)部門統(tǒng)籌、重新設(shè)立人才培養(yǎng)標(biāo)準(zhǔn)。同時，各類方法體系內(nèi)部也存在技術(shù)壁壘，例如網(wǎng)絡(luò)流量監(jiān)控技術(shù)與網(wǎng)絡(luò)威脅可視化技術(shù)、信號情報分析又截然不同，該類困境又加劇了情報分析方法融合的難度。

2.2 情報分析與情報流程混淆

情報分析是模型的構(gòu)件之一，與情報傳播、情報處理和存儲、融合和評價等環(huán)節(jié)密切關(guān)聯(lián)。情報分析的本質(zhì)是通過對現(xiàn)有數(shù)據(jù)、知識的挖掘融合，找出新的知識和規(guī)律，而情報搜集、評價、傳遞等工作并不會產(chǎn)生新的知識，相互間有本質(zhì)的差別。因此，部分學(xué)者構(gòu)建的情報分析工作的客觀規(guī)律，甚至?xí)?dǎo)致情報分析概念邊界的泛化，無形中會增加情報分析的難度。

2.3 數(shù)據(jù)迭代升級增加分析難度

圖1 智能化條件下網(wǎng)絡(luò)威脅情報分析過程

網(wǎng)絡(luò)威脅情報智能化分析離不開大數(shù)據(jù)、機(jī)器學(xué)習(xí)等技術(shù)手段的支持。其中，機(jī)器學(xué)習(xí)可以實(shí)時將最新產(chǎn)生的數(shù)據(jù)傳輸至數(shù)據(jù)庫，并與原有數(shù)據(jù)關(guān)聯(lián)分析，自主調(diào)整情報分析模型。研究發(fā)現(xiàn)，海量的數(shù)據(jù)不僅格式多樣，難以兼容，而且不同語境下會表達(dá)出不同的信息，例如，“Apple”既表示蘋果，亦代表某一產(chǎn)品品牌，二者具有本質(zhì)差別。同時，機(jī)器學(xué)習(xí)以過往規(guī)則處理未來數(shù)據(jù)，本身就帶有一定局限，再加上網(wǎng)絡(luò)威脅情報的隱蔽性和暗語化等特征，數(shù)據(jù)迭代升級不僅面臨數(shù)據(jù)存在形式結(jié)構(gòu)化與非結(jié)構(gòu)化的困境，而且面臨去語境化與再語境化、關(guān)鍵信息被過慮、分析模型被誤導(dǎo)等困境。此外，機(jī)器學(xué)習(xí)本身并不會思考，在面對“蜜罐”等網(wǎng)絡(luò)陷阱時，往往會陷入同類數(shù)據(jù)反復(fù)搜集，而對隱蔽目標(biāo)情報和高強(qiáng)度密碼破譯等“盲點(diǎn)”無法補(bǔ)齊等困境，從而使智能化威脅情報分析缺乏內(nèi)涵。

2.4 人機(jī)深度融合面臨多重挑戰(zhàn)

智能化條件下網(wǎng)絡(luò)威脅情報分析不可能脫離人的智能存在。人工智能是人的智能的進(jìn)一步延伸，本身并不具備思考的能力。該過程將完成兩項(xiàng)至關(guān)重要的任務(wù)，即人類自身認(rèn)知能力的提升和人類思維模式的外化。在該過程中，人機(jī)深度融合所面臨困境主要體現(xiàn)在：一是提升人類自身認(rèn)知能力是一個長期的過程，而且要經(jīng)歷正確與錯誤的反復(fù)交替，直接影響網(wǎng)絡(luò)威脅情報智能化分析系統(tǒng)運(yùn)行的效能。二是人類思維模式的外化是一項(xiàng)難度較大的工作，由于人的情感、經(jīng)驗(yàn)、價值觀、偏好、利益趨向等因素并沒有固定的標(biāo)準(zhǔn)，而且難以量化，致使所建立的情報分析模型只能反映較為線性化的人類思維過程，難以對所有數(shù)據(jù)展開精確關(guān)聯(lián)。三是人機(jī)融合存在“時間差”“信息差”。從目前技術(shù)水平來看，機(jī)器并不能完全搜集和感知人腦中的所有生物信息，人也不可能完全接受機(jī)器提供的信息。同時，人機(jī)融合需借助于一定的法規(guī)制度、技術(shù)手段才能完成，伴隨的是因技術(shù)研發(fā)、試行、完善、普及等諸多工作帶來的時間耗費(fèi)。

3 智能化條件下網(wǎng)絡(luò)威脅情報分析的模型

智能化條件下網(wǎng)絡(luò)威脅情報分析并不是純粹的數(shù)據(jù)分類與聚合的過程，而是借助于一定的方法技術(shù)完成數(shù)據(jù)關(guān)聯(lián)、威脅識別，并提出應(yīng)對策略的過程，目的使用戶能夠準(zhǔn)確、高效的采取行動，避免或減少網(wǎng)絡(luò)攻擊帶來的損失[7]，核心是對現(xiàn)有信息進(jìn)行意義構(gòu)建。本研究綜合情報工作流程，以及公共管理學(xué)、信息學(xué)、計算機(jī)技術(shù)等相關(guān)知識構(gòu)建如圖1所示的分析模型。

3.1 智能化條件下網(wǎng)絡(luò)威脅情報分析的主要構(gòu)成

根據(jù)圖1所示，數(shù)據(jù)庫數(shù)據(jù)主要由可獲取的內(nèi)部數(shù)據(jù)和外部數(shù)據(jù)構(gòu)成，數(shù)據(jù)庫類型可以是關(guān)系型數(shù)據(jù)庫或非關(guān)系型數(shù)據(jù)庫，主要根據(jù)情報部門的人才、技術(shù)、資金等條件選擇，相對而言，非關(guān)系型數(shù)據(jù)庫(簡稱NoSQL)是一項(xiàng)全新的數(shù)據(jù)庫革命性運(yùn)動，其擁護(hù)者們提倡運(yùn)用非關(guān)系型的數(shù)據(jù)存儲。限于研究范疇，本研究不對數(shù)據(jù)庫及數(shù)據(jù)來源作專門論述，所構(gòu)建的網(wǎng)絡(luò)威脅情報分析系統(tǒng)主要包括數(shù)據(jù)預(yù)處理、數(shù)據(jù)關(guān)聯(lián)融合，以及事件預(yù)警與應(yīng)對三個過程。其中，人的智能和智能化系統(tǒng)貫穿于整個過程。

第一，預(yù)處理過程。

該過程是網(wǎng)絡(luò)威脅情報分析的初級階段，主要是通過數(shù)據(jù)抽取、轉(zhuǎn)換、聚類等技術(shù)，對音頻、視頻、圖片和文本等結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行統(tǒng)一處理，形成可被統(tǒng)一識別處理的信息。要結(jié)合數(shù)據(jù)量大、類型多、主題泛等特征，將數(shù)據(jù)抽象為實(shí)體、事件、說明等抽象實(shí)體，劃分為不同的主題進(jìn)行存儲，以備深層次的數(shù)據(jù)分析和挖掘使用。要在依托統(tǒng)一的底層邏輯視圖隱藏元數(shù)據(jù)關(guān)聯(lián)細(xì)節(jié)的基礎(chǔ)上，利用大數(shù)據(jù)關(guān)聯(lián)分析等技術(shù)，關(guān)聯(lián)出不同主題數(shù)據(jù)之間的關(guān)系，使用戶可以從整體和局部多角度訪問所需數(shù)據(jù)。

第二，關(guān)聯(lián)融合過程。

圖2 以數(shù)據(jù)驅(qū)動為主的網(wǎng)絡(luò)威脅情報分析模型

該過程是網(wǎng)絡(luò)威脅情報分析的關(guān)鍵階段，主要是通過安全可視分析、安全事件關(guān)聯(lián)分析、用戶行為分析等技術(shù)手段，實(shí)現(xiàn)網(wǎng)絡(luò)安全可視化、安全事件關(guān)聯(lián)動態(tài)化、危機(jī)預(yù)警實(shí)時化，形成可被決策者采納運(yùn)用的對策建議。要通過數(shù)據(jù)驅(qū)動、假設(shè)驅(qū)動方法，將多來源、動態(tài)演化的網(wǎng)絡(luò)安全態(tài)勢以網(wǎng)格圖、矩陣圖、點(diǎn)陣圖、柱狀圖、力導(dǎo)圖等[8]形式展現(xiàn)在分析人員面前，創(chuàng)造符合分析人員心理映像的大數(shù)據(jù)可視化表征。要綜合運(yùn)用相關(guān)關(guān)系、因果關(guān)系對不斷產(chǎn)生的主機(jī)日志、入侵警告等安全數(shù)據(jù)進(jìn)行聚類挖掘，獲得精準(zhǔn)的安全威脅情報。要使用攻擊圖、攻擊樹等方式解構(gòu)已知攻擊事件的因果、時序關(guān)系，并利用政治學(xué)、社會學(xué)、偵查學(xué)等相關(guān)領(lǐng)域知識，判定攻擊事件的性質(zhì)、主要意圖，以及應(yīng)對策略等。

第三，事件預(yù)警與應(yīng)對過程。

該過程是網(wǎng)絡(luò)威脅情報分析的高級階段，也是對情報分析質(zhì)量考驗(yàn)最為嚴(yán)格的階段。該過程，要通過情景假設(shè)、模擬推演、關(guān)鍵詞分析等方法，預(yù)測網(wǎng)絡(luò)安全威脅可能發(fā)生的時間、地點(diǎn)、攻擊對象、影響范圍等議題。要通過找出關(guān)鍵變量、建立預(yù)測模型等方式，準(zhǔn)確研判可能發(fā)生的網(wǎng)絡(luò)安全事件等級，并將研判結(jié)果以預(yù)警提示、專題匯報等形式報送至相關(guān)部門。要根據(jù)所發(fā)生的網(wǎng)絡(luò)安全事件類型，視情依托第三方情報機(jī)構(gòu)、互聯(lián)網(wǎng)公司，綜合采取引入專家、難題會癥、融入決策機(jī)構(gòu)等形式，為有效應(yīng)對網(wǎng)絡(luò)安全事件提供支持。

3.2 智能化條件下網(wǎng)絡(luò)威脅情報分析模型的運(yùn)行機(jī)制

依據(jù)相關(guān)實(shí)踐，網(wǎng)絡(luò)威脅情報分析模型分為數(shù)據(jù)驅(qū)動、假設(shè)驅(qū)動和事實(shí)驅(qū)動三類模式，相互間運(yùn)行機(jī)制并不相同。

a.以數(shù)據(jù)驅(qū)動為主的網(wǎng)絡(luò)威脅情報分析模型。

圖3 以假設(shè)驅(qū)動為主的網(wǎng)絡(luò)威脅情報分析模型

網(wǎng)絡(luò)安全威脅常采取探測、滲透、入侵、提權(quán)、竊取、篡改等方式，破壞目標(biāo)對象的機(jī)密性、完整性、可用性等安全屬性[9]。換言之，網(wǎng)絡(luò)安全威脅苗頭藏匿于數(shù)以萬計的數(shù)據(jù)中，具有極強(qiáng)的隱蔽性。情報分析部門要善于從海量數(shù)據(jù)中發(fā)現(xiàn)網(wǎng)絡(luò)威脅的蛛絲馬跡。該過程中，發(fā)現(xiàn)與應(yīng)對網(wǎng)絡(luò)安全威脅雖具有主動性，但面臨所發(fā)現(xiàn)網(wǎng)絡(luò)威脅類型的隨機(jī)性、源頭的不確定性、發(fā)生時間和方式的模糊性、應(yīng)對方式的私密性等特征。因此，以數(shù)據(jù)驅(qū)動為主的網(wǎng)絡(luò)威脅情報分析模型，就是按照即定的分析規(guī)則從海量數(shù)據(jù)中發(fā)現(xiàn)網(wǎng)絡(luò)威脅苗頭，并經(jīng)過關(guān)聯(lián)分析、人的價值判斷等環(huán)節(jié)后，開始新一輪的數(shù)據(jù)搜集分析，是一個數(shù)據(jù)不斷迭代升級的過程，運(yùn)行過程如圖2所示。

該模型中，數(shù)據(jù)庫是整個流程運(yùn)行的基礎(chǔ)。情報分析人員根據(jù)前期積累形成的知識體系，通過自己建立、外部引入等方式，創(chuàng)建情報分析模型，并將其融入智能化情報分析系統(tǒng)。智能化情報分析系統(tǒng)按照模型規(guī)則對數(shù)據(jù)庫中網(wǎng)絡(luò)流量、日志、用戶行為、社交媒體論壇等數(shù)據(jù)進(jìn)行格式化處理后，再利用分類和聚類、時間序列、關(guān)聯(lián)分析等技術(shù)手段對數(shù)據(jù)進(jìn)行深度挖掘，形成咨詢報告、風(fēng)險提示、網(wǎng)絡(luò)威脅情報態(tài)勢圖等分析成果。情報分析人員根據(jù)分析結(jié)果判定網(wǎng)絡(luò)威脅類別，并提出對策建議。反之，則將研究成果融入數(shù)據(jù)庫為下一步優(yōu)化分析模型，提升分析質(zhì)量奠定基礎(chǔ)。

b.以假設(shè)驅(qū)動為主的網(wǎng)絡(luò)威脅情報分析模型。

昆斯認(rèn)為，為決策提供關(guān)鍵影響因素更為重要，分析不是簡單的預(yù)測，特別是面對復(fù)雜問題時，更應(yīng)該對描述趨勢和作用力，識別可能影響形勢發(fā)展的因素或變量，提出未來可能發(fā)生的情景，并對每種情景發(fā)生的可能性進(jìn)行描述。預(yù)測未來既是情報的特性之一，又是情報工作的職責(zé)所在。發(fā)現(xiàn)和應(yīng)對網(wǎng)絡(luò)安全威脅面臨諸多不確定性因素，特別是部分威脅還具有較大的社會影響，必須通過建立與證明假設(shè)的一系列過程來刻畫威脅性質(zhì)。相比于數(shù)據(jù)驅(qū)動，假設(shè)驅(qū)動建立在對現(xiàn)有網(wǎng)絡(luò)安全環(huán)境可能存在某種威脅的基礎(chǔ)上，網(wǎng)絡(luò)威脅情報分析的重點(diǎn)將由從海量數(shù)據(jù)中篩選轉(zhuǎn)向有針對性的搜集數(shù)據(jù)，并通過建立數(shù)據(jù)之間的關(guān)聯(lián)來驗(yàn)證和評估假說，假設(shè)成立與否是下一步開展什么工作的關(guān)鍵，具體過程如圖3所示。

該模型中，假設(shè)是整個流程運(yùn)行的根本動力，主要來源于智能化情報分析系統(tǒng)、情報分析人員，以及其他相關(guān)部門對網(wǎng)絡(luò)安全態(tài)勢的判斷。網(wǎng)絡(luò)安全威脅假設(shè)提出后，情報分析人員通過解析假設(shè)等方式確定分析需求，調(diào)整優(yōu)化現(xiàn)有情報分析模型，利用智能化情報分析系統(tǒng)展開庫內(nèi)挖掘等活動，描述出安全威脅之間的基本關(guān)聯(lián)。驗(yàn)證與評估假說階段，網(wǎng)絡(luò)威脅情報分析人員一方面利用年表與時間軸線、專家賦值、關(guān)聯(lián)矩陣分析等方法對源IP、目的IP、協(xié)議類型、主機(jī)日志、防火墻日志、社交媒體論壇主題等數(shù)據(jù)信息進(jìn)行深度分析，將數(shù)據(jù)之間的相關(guān)關(guān)系逐步向因果關(guān)系轉(zhuǎn)換；另一方面要結(jié)合人類智能，借助網(wǎng)絡(luò)威脅情報態(tài)勢圖、模擬推演等手段，對假設(shè)展開綜合評估。驗(yàn)證和評估完假設(shè)后，假設(shè)的真假并不能完全確定，還要經(jīng)過危機(jī)假設(shè)替代分析階段。在該階段，要通過基于危機(jī)假設(shè)重構(gòu)情景想定、情景想定概率分析、異常征候等方法，綜合運(yùn)用國家安全、政治學(xué)、軍事學(xué)、社會學(xué)等相關(guān)知識，對網(wǎng)絡(luò)威脅發(fā)生與否，以及發(fā)生的時間、規(guī)模、將要造成的影響等議題展開深層次分析。該階段結(jié)束后，網(wǎng)絡(luò)威脅情報分析人員所得到的結(jié)果才具有決策和參考價值，并根據(jù)分析結(jié)果開展修正假說、發(fā)布網(wǎng)絡(luò)安全預(yù)警等工作。

c.以事件驅(qū)動為主的網(wǎng)絡(luò)威脅情報分析模型。

網(wǎng)絡(luò)攻擊會對目標(biāo)直接發(fā)起攻擊并瞬時生效，網(wǎng)絡(luò)的互通性、病毒的裂變傳播性不僅會使受攻擊網(wǎng)絡(luò)出現(xiàn)“一機(jī)中招、多機(jī)感染、區(qū)域癱瘓”的局面，還會跨網(wǎng)迅速擴(kuò)散并影響其他網(wǎng)絡(luò)，具有門檻低、時間隨機(jī)等特征[10]。上述情形決定了所有的情報分析工作并不是有效的，而是會面臨多種不確定性，甚至不排除失敗的可能。因此，網(wǎng)絡(luò)威脅情報分析不僅聚焦于事前，亦必須高度重視事中、事后。以事實(shí)驅(qū)動為主的網(wǎng)絡(luò)威脅情報分析模型就是指在網(wǎng)絡(luò)安全威脅發(fā)生后，情報分析人員圍繞如何應(yīng)對威脅和消除威脅影響而開展的一系列數(shù)據(jù)挖掘工作，具體過程如圖4所示。

圖4 以事件驅(qū)動為主的網(wǎng)絡(luò)威脅情報分析模型

該模型中，已發(fā)生的網(wǎng)絡(luò)安全事件是情報分析工作開展的基本動力，是網(wǎng)絡(luò)威脅情報分析工作開展的高級階段，具有斗爭的激烈性、過程的復(fù)雜性，以及資源調(diào)用的廣泛性等特征。所發(fā)生的網(wǎng)絡(luò)安全事件有預(yù)案范圍內(nèi)和非預(yù)案范圍內(nèi)兩類。其中，預(yù)案范圍內(nèi)網(wǎng)絡(luò)安全事件發(fā)生后，情報分析工作直接進(jìn)入確定事件響應(yīng)等級階段，按照規(guī)定的程序開展相關(guān)工作；預(yù)案范圍外網(wǎng)絡(luò)安全事件發(fā)生后，情報分析人員要迅速結(jié)合安全事件性質(zhì)進(jìn)行關(guān)聯(lián)分析，并按照威脅特征重新建立與修正智能化分析模型，為事件定性提供借鑒和參考。由于網(wǎng)絡(luò)安全事件不同的響應(yīng)等級有不同的情報分析模式，網(wǎng)絡(luò)威脅情報分析部門要按照職責(zé)邊界、能力、技術(shù)等級等條件開展跨部門分析，引入第三方情報分析力量，抽組專家隊(duì)伍等工作。事件有效應(yīng)對后，采取復(fù)盤反思、綜合評估等方式形成總結(jié)報告，并融入數(shù)據(jù)庫，為下次分析工作提供參考，反之，要及時將最新情報信息融入數(shù)據(jù)庫，通過數(shù)據(jù)迭代方式升級完善情報分析模型，并轉(zhuǎn)入新一輪的情報分析工作。

4 智能化條件下網(wǎng)絡(luò)威脅情報分析模型的有效性檢驗(yàn)

本文構(gòu)建出了智能化條件下網(wǎng)絡(luò)威脅情報分析的三類模型，分別體現(xiàn)不同的運(yùn)轉(zhuǎn)方式，但在實(shí)際運(yùn)轉(zhuǎn)中往往是三種模式交替運(yùn)行。為增強(qiáng)模型的有效性，本研究以“震網(wǎng)”病毒為例，展開對模型的有效性檢驗(yàn)。

4.1 震網(wǎng)病毒的基本情況

“震網(wǎng)”病毒，英文名稱為“Stuxnet”，是一款專門針對西門子工業(yè)控制軟件SIMATIC WinCC進(jìn)行攻的特殊病毒。該病毒因在2010年感染了3萬個網(wǎng)絡(luò)終端，致使位于伊朗納坦茲的約8 000臺離心機(jī)中有1 000臺在2009年底和2010年初被換掉。該起事件不同于網(wǎng)絡(luò)竊密、勾聯(lián)等活動，提供了網(wǎng)絡(luò)攻擊行為危及現(xiàn)實(shí)世界安全的典型范例，打破了專用網(wǎng)絡(luò)、專用系統(tǒng)固有的安全基礎(chǔ)。關(guān)于“震網(wǎng)”病毒的研究，相關(guān)資料已較為豐富，本研究主要從情報分析視角，對其進(jìn)行展開研究，并檢驗(yàn)相關(guān)模型的有效性。

4.2 “震網(wǎng)”病毒的主要發(fā)展過程

經(jīng)查閱相關(guān)資料后發(fā)現(xiàn)，“震網(wǎng)”病毒從研發(fā)、投放、感染、爆發(fā)到應(yīng)對都經(jīng)歷了很長時間，時間節(jié)點(diǎn)和標(biāo)志性事件如表1所示。

表1 “震網(wǎng)”病毒發(fā)展的時間節(jié)點(diǎn)和標(biāo)志性事件[11]

根據(jù)表1對“震網(wǎng)”病毒的分析發(fā)現(xiàn)，伊朗對該病毒并沒有做出有效的防范策略，是情報領(lǐng)域的一次重大失誤。換言之，基于數(shù)據(jù)挖掘的情報分析并沒有發(fā)揮應(yīng)有的作用。有必要深入分析“震網(wǎng)”病毒的作用機(jī)理(如表2所示)。

4.3 情報分析模型的有效性檢驗(yàn)

通過分析發(fā)現(xiàn)，“震網(wǎng)”病毒并不是以數(shù)據(jù)形式存在，而是以可操作程序的形式存在，有明確的攻擊對象和運(yùn)行環(huán)境，時間跨度較長，具有較強(qiáng)的隱蔽性。根據(jù)本文構(gòu)建的三個情報分析模型發(fā)現(xiàn)，由于該病毒本身并沒有對國際互聯(lián)網(wǎng)或者非預(yù)定攻擊目標(biāo)造成傷害，易給情報人員形成普通病毒的錯誤判斷，要做深入的研究，將面臨證據(jù)不足的困境，因此，基于數(shù)據(jù)動態(tài)分析的模型將不能發(fā)揮應(yīng)有的作用。

基于假設(shè)的情報分析模型則需要國家戰(zhàn)略決策層、國家安全機(jī)構(gòu)、網(wǎng)信部門和情報機(jī)構(gòu)工作人員要有很強(qiáng)的危機(jī)意識?？紤]到核設(shè)施控制系統(tǒng)主要由俄羅斯技術(shù)人員來維護(hù)，管理方面可能存有諸多盲區(qū)，以及全球工業(yè)控制系統(tǒng)的供應(yīng)商數(shù)量有限、美國國家安全局只要知道了核設(shè)施控制系統(tǒng)的供應(yīng)商即可等現(xiàn)實(shí)情形，伊朗至少要在2010年初就要對該病毒有所警覺，并檢查內(nèi)部網(wǎng)絡(luò)系統(tǒng)可能存在的漏洞，假設(shè)可能會發(fā)生的危機(jī)類型，預(yù)測可能出現(xiàn)的后果，最終評估其安全可靠性，制定出可行的對策建議，但伊朗相關(guān)部門并沒有對該病毒保持足夠高的重視，沒有提出可能的假設(shè)，該流程的運(yùn)行也受到影響。

表2 “震網(wǎng)”病毒的作用機(jī)理

基于事件驅(qū)動的情報分析模型是最直接，也是最現(xiàn)實(shí)的情報模型。伊朗對“震網(wǎng)”病毒警覺就是來源于核設(shè)施離心機(jī)的損壞，以及其他國家對該病毒的同步感知和研究。在該模型下，伊朗采取的更多措施是威脅溯源、系統(tǒng)升級、杜塞漏洞、更換離心機(jī)等，并沒有采取更高層次的反制策略。

4.4 本文所構(gòu)建的情報分析模型的適用條件

一是網(wǎng)絡(luò)威脅情報部門要實(shí)時掌握國家、領(lǐng)域、行業(yè)的網(wǎng)絡(luò)軟硬件資產(chǎn)情況，在知己與知彼中才能有效預(yù)警網(wǎng)絡(luò)威脅，否則，將難以獲取危及操作系統(tǒng)安全的網(wǎng)絡(luò)威脅情報。二是人的智能始終是決定性因素。無論是基于數(shù)據(jù)驅(qū)動，還是假設(shè)驅(qū)動，都需要情報人員保持極高的警覺意識、危機(jī)意識，敢于關(guān)聯(lián)不同領(lǐng)域網(wǎng)絡(luò)威脅，形成可靠的結(jié)論或基本假設(shè)，否則，以“過去展望未來”的數(shù)據(jù)計算模式將因缺少足夠的證據(jù)而無法自己形成有效性假設(shè)，將遲滯或誤導(dǎo)情報分析工作。三是要善于從全球范圍，或其他國家發(fā)生的同類事件中提升網(wǎng)絡(luò)威脅情報分析能力。威脅已經(jīng)發(fā)生，意味情報分析工作的重心將改變?yōu)閼?yīng)對危機(jī)，恢復(fù)行業(yè)穩(wěn)定，所造成的影響將無法根除。相反，若善于從相關(guān)事件中得到啟示，并運(yùn)用該事件來檢驗(yàn)評估自身網(wǎng)絡(luò)的有效性才是優(yōu)先選擇項(xiàng)，才能發(fā)揮情報的預(yù)測功能，將損失降在最低狀態(tài)。

5 智能化條件下網(wǎng)絡(luò)威脅情報分析的對策建議

a.構(gòu)建智能化條件下網(wǎng)絡(luò)威脅情報分析的理論體系。

目前，學(xué)界對智能化條件下網(wǎng)絡(luò)威脅情報分析的理論體系尚未形成，且將主要精力聚焦于對網(wǎng)絡(luò)數(shù)據(jù)的匯集、格式化處理、網(wǎng)絡(luò)攻擊溯源等工作。智能化條件下網(wǎng)絡(luò)威脅情報分析應(yīng)該要有自身的理論體系，即在現(xiàn)有情報分析理論的基礎(chǔ)上，要充分融入計算機(jī)科學(xué)、數(shù)據(jù)科學(xué)、人工智能，以及國家安全學(xué)、政治學(xué)、社會學(xué)、經(jīng)濟(jì)學(xué)、生物學(xué)等相關(guān)理論知識來定義分類聚合、關(guān)聯(lián)分析、攻擊溯源、人機(jī)融合、情景構(gòu)建等基本問題。同時，智能化條件下網(wǎng)絡(luò)威脅情報分析也應(yīng)有獨(dú)特的思維與方法技術(shù)，即在以“數(shù)據(jù)+技術(shù)+人類智能”基本模式下，融合人的理性判斷與智能系統(tǒng)的精確計算、人的戰(zhàn)略考量與計算機(jī)的微觀發(fā)覺，這些都將體現(xiàn)出獨(dú)特的思維理念及模式。

b.創(chuàng)新智能化條件下網(wǎng)絡(luò)威脅情報分析的方法手段。

智能化條件下網(wǎng)絡(luò)威脅情報分析方法手段不等同于文獻(xiàn)計量，也不等同于文本挖掘、威脅可視化等，而是面向網(wǎng)絡(luò)空間物理層、邏輯層、數(shù)據(jù)層和人機(jī)交互層所面臨的不同類別威脅而形成的方法體系，具有綜合性、動態(tài)性、復(fù)合性等特征。智能化條件下網(wǎng)絡(luò)威脅情報分析的方法手段也必須及時創(chuàng)新。要加強(qiáng)定性分析方法與定量分析方法之間融合力度，消除人類認(rèn)知障礙，提升計算機(jī)技術(shù)對情報分析工作的貢獻(xiàn)率。要善于將意義構(gòu)建融入網(wǎng)絡(luò)威脅情報分析，充分運(yùn)用自然語言處理、數(shù)據(jù)或文本理解、深度學(xué)習(xí)、語義計算、可視化分析、知識圖譜等計算方法，主動融合各類型數(shù)據(jù)，從不同視角反映人物、事件、活動或事物之間的相關(guān)信息或發(fā)現(xiàn)新的關(guān)系、規(guī)律和模式。要積極適應(yīng)元宇宙、Web3.0等時代要求，通過自主研發(fā)、外部引進(jìn)、改造升級、情報案例訓(xùn)練等方式創(chuàng)新現(xiàn)有網(wǎng)絡(luò)威脅情報分析模型，提升對原始材料或海量數(shù)據(jù)的自動化處理能力。

c.完善智能化條件下網(wǎng)絡(luò)威脅情報分析的軟(硬)件。

網(wǎng)絡(luò)空間是一個可以融合其他空間的特殊領(lǐng)域，網(wǎng)絡(luò)威脅數(shù)據(jù)不僅藏匿于海量的數(shù)據(jù)之中，而且數(shù)據(jù)格式越來越復(fù)雜、相互之間的關(guān)聯(lián)性越來越難以被發(fā)掘，數(shù)據(jù)搜集與分析，以及不同領(lǐng)域間情報分析的矛盾越來越突出。因此，智能化條件下網(wǎng)絡(luò)威脅情報分析必須持續(xù)完善軟(硬)件支撐條件。要通過建立威脅情報標(biāo)準(zhǔn)、發(fā)展云存儲、整合各行業(yè)數(shù)據(jù)等方式，廣泛開展多源數(shù)據(jù)的采集、組織、存儲、整合、檢索、服務(wù)等工作，建立基礎(chǔ)數(shù)據(jù)庫資源，從而減少在數(shù)據(jù)清洗、數(shù)據(jù)預(yù)處理等方面的重復(fù)性勞動。要大力研發(fā)語義計算、屬性計算、情景計算、差異計算，以及信號計算等新型技術(shù)手段[12]，并逐步與新型人機(jī)接口技術(shù)融合，使智能化網(wǎng)絡(luò)威脅情報分析系統(tǒng)具備非線性推導(dǎo)能力和多源情報跨域關(guān)聯(lián)能力。另外，由于網(wǎng)絡(luò)威脅情報分析面對較多變化較大、相互影響嚴(yán)重和非線性因素較多的場景，目前學(xué)界對網(wǎng)絡(luò)威脅情報分析工具研究的“煙囪”現(xiàn)象還較為突出，更沒有提出多種工具有效融合的方法途徑，要積極開展基于量子計算技術(shù)的情報分析工具研發(fā)，從而為解決非線性多變量交互影響和多分枝預(yù)測等難題提供支撐。

d.打通智能化條件下網(wǎng)絡(luò)威脅情報分析與決策銜接的障礙。

網(wǎng)絡(luò)威脅情報分析的特殊性不僅表現(xiàn)為海量的數(shù)據(jù)、難以統(tǒng)一處理的數(shù)據(jù)格式外，還表現(xiàn)在存在大量難以被決策部門認(rèn)識和理解的專業(yè)性知識，也正是這一部分知識距離的存在使情報部門與決策部門存在銜接障礙。因此，打通智能化條件下網(wǎng)絡(luò)威脅情報分析與決策銜接的障礙勢在必行。要通過建立到?jīng)Q策部門常態(tài)任職交流等機(jī)制，網(wǎng)絡(luò)威脅情報分析人員掌握決策部門的運(yùn)行模式，以及關(guān)注的主題；要通過定期報送威脅情報預(yù)警提示、專題研究成果、建立情報專線等形式，讓決策部門對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢有全面深入了解，拉近情報分析人員與決策人員的知識距離。要建立部門間統(tǒng)一的數(shù)據(jù)存儲、抽取、調(diào)用、關(guān)聯(lián)、可視化等標(biāo)準(zhǔn)，增強(qiáng)智能化網(wǎng)絡(luò)威脅情報分析的客觀性、精準(zhǔn)性，弱化個人偏好、先入為主等主觀因素在情報意義構(gòu)建中負(fù)面影響，進(jìn)而避免進(jìn)入“集體迷失”“競爭性分析”等陷阱。

6 結(jié) 語

智能化條件下網(wǎng)絡(luò)威脅情報分析是維護(hù)網(wǎng)絡(luò)空間安全不可或缺的一環(huán)，具有過程的反復(fù)性、數(shù)據(jù)的動態(tài)性、依賴條件的苛刻性等特征，但也面臨著理論指導(dǎo)體系不健全、分析方法不兼容、威脅認(rèn)知不精準(zhǔn)等難題。本研究從宏觀和微觀兩個層面對智能化條件下網(wǎng)絡(luò)威脅情報分析的特征、面臨難題、運(yùn)行過程和完善策略進(jìn)行系統(tǒng)分析，具有一定的前瞻性創(chuàng)新性。但必須看到，智能化只是網(wǎng)絡(luò)威脅情報分析的輔助，取代部分工作是發(fā)展趨勢，尚不能完全替代人的智能并進(jìn)行自主化的意義構(gòu)建?？傊悄芑瘲l件下網(wǎng)絡(luò)威脅情報分析面臨的機(jī)遇和挑戰(zhàn)并行，要積極適應(yīng)Web3.0、元宇宙等時代特點(diǎn)，認(rèn)真研究工作特點(diǎn)與規(guī)律，提升情報分析效能。