基于开源信息平台的威胁情报挖掘综述

网络空间新生威胁日趋复杂多变, 传统安全防御手段已经捉肘见襟。网络安全威胁情报作为直接或潜在安全威胁的 外部信息资源, 可帮助安全人员快速甄别恶意威胁攻击并及时作出响应防御。开源威胁情报挖掘技术可从多方开源情报中 获取高质量情报, 极大弥补了传统威胁情报挖掘信息量单薄等不足。美国及欧洲是最早在政府层面开展开源情报挖掘技术 研究的国家和地区, 并将其作为政府的常规情报搜集手段。近年我国也在广泛采集整理网络开源威胁信息, 并拓展开源威 胁情报的应用。本文深入分析了近 6 年来开源威胁情报挖掘的一百多篇相关文献, 系统梳理了威胁情报挖掘相关文献的技 术理论以及在网络安全检测中的应用场景, 归纳总结出了开源威胁情报挖掘的一般流程框架模型, 并针对开源威胁情报 采集与识别提取, 开源威胁情报融合评价以及开源威胁情报关联应用三个关键场景进行了分析和论述, 系统评述了这三 部分研究工作中的细分热点方向, 并从技术应用场景, 所使用的技术, 性能评估以及优缺点评价对各解决方案做了系统优 劣势分析; 最后分析总结了当前我国开源威胁情报挖掘中尚待解决的共性问题, 并指出了未来的研究趋势与下一步研究 方向。