尹彦 张红斌 刘滨 赵冬梅

摘 要：2016年，習近平总书记在全国网信工作座谈会上作出重要指示：要加强大数据挖掘分析，更好感知网络安全态势，做好风险防范。为应对网络安全面临的严峻挑战，很多大型行业及企业响应国家政策号召，积极倡导、建设和应用态势感知系统。网络安全态势感知是保障网络安全的有效手段，利用态势感知发现潜在威胁、做出响应已经成为网络安全的研究重点。目前提出的各种网络安全态势感知技术及方法，大多以小规模网络为研究背景。随着网络规模的扩大，出现了例如APT这样的新型高级攻击手段，导致态势感知技术的准确性大为降低，可操作性也变得更加困难。近年来，威胁情报的出现为态势感知的研究带来了新思路，成为态势感知研究领域的一个新方向。

对传统态势感知研究和威胁情报在网络安全态势感知上的应用进行了归纳总结。传统网络安全态势感知的研究一般分为3部分，即态势察觉、态势理解、态势投射，主要过程是通过对目标系统安全要素的提取，分析安全事件的影响，最终实现对网络中各种活动的行为识别、察觉攻击，并对网络态势进行评估和预测，为网络安全响应提供正确决策。对威胁情报在网络安全态势感知上的应用从3个场景进行了讨论：1）态势察觉：利用威胁情报进行攻击行为的识别，提取相关的攻击特征，确定攻击意图、方法及影响;2）态势理解：确定攻击行为及其特征后，对攻击行为进行理解，通过共享威胁情报中攻击行为的处置方法，确定攻击者的攻击策略;3）态势投射：通过分析威胁情报中攻击事件、攻击技术、漏洞等信息，评估当前系统面临的风险，预测其可能遭受的攻击。

威胁情报主要是利用大数据、分布式系统等收集方法获取的，具有很强的自主更新能力，能够提供最全、最新的安全事件数据，极大提高网络安全态势感知工作中对新型和高级别危险的察觉能力。通过威胁情报共享机制，可使安全管理员对所处行业面临的威胁处境、攻击者类型、攻击技术及防御策略信息有更加深入的了解，对企业正在经历或潜在的威胁进行有效防御，提高态势感知分析的准确率与效率，以及对安全事件的响应能力。

关键词：网络安全;态势感知;威胁情报;STIX;网络攻防

中图分类号：TN958.98 文献标识码：A

doi：10.7535/hbkd.2021yx02012

Threat intelligence technology in network security situation awareness

YIN Yan1，ZHANG Hongbin1，2，LIU Bin3，4，ZHAO Dongmei2

（1.School of Information Science and Engineering，Hebei University of Science and Technology，Shijiazhuang，Hebei 050018，China; 2.Hebei Key Laboratory of Network and Information Security，Hebei Normal University，Shijiazhuang，Hebei 050024，China; 3.School of Economics and Management，Hebei University of Science and Technology，Shijiazhuang，Hebei 050018，China; 4.Research Center of Big Data and Social Computing，Hebei University of Science and Technology，Shijiazhuang，Hebei 050018，China）

Abstract：

General Secretary XI Jinping gave instructions at the symposium on cybersecurity and informatization in 2016： Strengthen the mining and analysis of big data，make better situation awareness and prevent risks in cybersecurity.In response to the call of national policies，many large industries and enterprises actively advocated，built and applied situation awareness systems to deal with the severe challenges faced by network security.Network security situation awareness is an effective means to ensure network security.It has become the focus of network security research to use situation awareness to discover potential threats and respond.At present，most of the proposed network security situation awareness technologies and methods are based on small-scale networks.With the continuous expansion of network scale and appearance of new advanced attack technologies such as APT，the accuracy of current situation awareness technology and the maneuverability reduced greatly.In recent years，the emergence of threat intelligence has brought new ideas to the research of situation awareness and become a new direction in the field of situation awareness.

This paper mainly summarized the traditional situation awareness research and the application of threat intelligence in network security situation awareness.The traditional situation awareness research was generally divided into three parts，namely，situation perception，situation comprehension and situation projection.The process of network security situation awareness was to collect the security elements of the target system，and analyze the impact of security incidents.Finally，by using network security situation awareness，it can be realized the behavior recognition of various activities，attacks detection，evaluation and prediction of the network situation，so as to provide correct decisions for the network security response.The application of threat intelligence in network security situation awareness was discussed from three scenarios： 1） Situation perception： threat intelligence was used to identify attack behaviors，extract relevant attack characteristics and determine attack intentions，methods，and impact; 2） Situation comprehension： after determining the attack behavior and characteristics，the attack behavior was understood and the attacker's attack strategy was determined by sharing the disposition of the attack behavior in the threat intelligence; 3） Situation projection： by analyzing threat intelligence information such as attack events，attack techniques，and vulnerabilities，the risk faced by the current system was evaluated，and the possible attack was predicted.

Threat intelligence is usually obtained by big data，distributed systems or other methods，and it has a strong ability to update autonomously.Threat intelligence can provide the most complete and latest security event data，which greatly improves the ability to detect new and advanced dangers in network security situation awareness.And by using the sharing mechanism in the threat intelligence，security stuff can understand the threat environment of their organization，such as attackers，tactical techniques used by them and defense strategies，which can helpenterprises understand the security threats they are facing or will be faced in the future.Threat intelligence can improve the accuracy and efficiency of situation awareness analysis，as well as the ability to respond to security incidents.

Keywords：

network security; situation awareness; threat intelligence; STIX; network attack and defense

隨着规模和用户数量的不断增加，网络正朝着大规模、多业务、大数据化的方向发展，网络体系结构也随之日趋复杂化。在这种背景下，计算机病毒、恶意软件、信息泄露等网络攻击造成的影响越来越严重，多层次的安全威胁和风险也在持续增加，出现了很多关于防火墙、防病毒、入侵检测等防御技术。与传统的安全防护技术不同，网络安全态势感知技术不再是针对某一特定攻击方式的防御技术，而是一种整体、全局的防御手段，其对网络安全的研究具有很高价值。然而，目前针对态势感知的研究大都是基于局域网或小规模网络展开的，在大规模网络的背景下，还需对传统的网络防御技术进行改进，态势感知技术也需引入先进的技术，实现更加全面的安全分析与态势预测。

由于新型高级攻击手段的肆意频发，网络威胁情报（cyber threat intelligence，CTI）近年来成为网络安全研究的热点，为态势感知研究带来了新思路。CTI描述了攻击行为，提供了网络攻击的上下文数据，并指导了网络攻击和防御。利用威胁情报收集大量数据，通过有效的数据共享，确保信息交换的安全和质量，分析恶意行为，发现和预防潜在的威胁[1]。威胁情报能够提供某种攻击行为的重要信息与攻击特征，为安全事件的响应、防御策略的制定提供正确处理决策。然而目前对于CTI的研究仍处于初始阶段，相关研究成果很少，如何合理规范地使用CTI进行网络安全态势感知是亟待解决的关键问题。

针对上述提出的关键问题，本文通过整理现有态势感知模型的优缺点，指出威胁情报处理网络安全威胁的优势，进而挖掘威胁情报与网络安全态势感知的结合点，明确威胁情报为网络安全态势感知研究带来的重要影响，以期为后续研究工作打牢基础。

1 网络安全态势感知

1.1 相关概念

态势感知是指在特定的时间和空间内提取系统的要素，理解其含义并预测其可能产生的影响[2]。网络安全态势感知（network security situational awareness，NSSA）工作流程主要是通过对系统的安全要素进行采集，分析安全要素之间的关联，从中发现系统中的异常行为，并对异常行为造成的影响进行评估，得到网络的安全态势，根据一段时间的态势趋势，预测未来时段态势的变化。

态势感知的概念起源于空中交通管制（air traffic control）[3]。ENDSLEY[4]将态势感知分为3个层面：态势察觉、态势理解、态势投射，之后 BASS[5]首次提出了网络态势感知的概念：在大型网络环境中，获取、理解、评估、显示可能导致网络状态发生变化的要素，并预测未来的发展趋势。FRANKE[6]等认为态势感知是可以在不同程度实现的状态，包含网络态势感知。网络态势感知不能被孤立地对待，应与整体态势感知交织在一起。在此基础上，许多实验室展开研究，开发了各种网络态势感知系统或平台，Lawrence Berkeley实验室开发了“Spinning Cube of Potential Doom”系统[7]、卡内基梅隆大学开发了SILK[8]、美国国家高级安全系统研究中心开发了VisFlowConnect-IP[9]等。

1.2 网络安全态势感知模型

NSSA模型一般分为态势察觉、态势理解、态势投射3部分，如图1所示。

1）态势察觉 主要目的是将采集到的安全要素信息进行降噪、规范化处理，对数据进行建模后，发现系统中的异常行为活动;

2）态势理解 主要是在态势察觉的基础上对攻击行为进行理解，识别攻击意图，确定攻击策略;

3）态势投射 在前两步的基础上分析攻击行为对网络中对象的威胁情况，并根据威胁情况，评估攻击对系统安全态势的影响，量化和预测安全态势。

NSSA的目标就是了解自己、了解敌人。

1.3 网络安全态势感知相关方法

通過对NSSA模型的理解，针对NSSA的研究主要是在态势察觉、态势评估及态势预测3个方面进行的。

1.3.1 态势察觉

态势察觉是NSSA的首要环节。由于互联网和网速的快速提升，攻击行为的传播速度也大大提高，因此对潜在攻击行为的识别研究对网络安全防护起到了重要作用。文献[10]提出了在攻击图上应用吸收马尔可夫链的随机数学模型，将攻击图映射到吸收马尔可夫链，描述攻击者的多步攻击行为，利用攻击路径态势分析识别攻击者的真实目的。然而，该方法是通过有限项的概率转移矩阵确定攻击者意图，在面对大规模的网络攻击时，攻击行为之间的转移矩阵难以计算。文献[11] 提出了非齐次的马尔可夫模型，利用目标系统的漏洞信息构建攻击图，通过马尔可夫链计算网络状态转移概率，计算最大概率的攻击路径，从而确定攻击者的攻击意图，但该模型的参数设置并不能跟随网络环境的变化而变化，不具有普适性。

1.3.2 态势评估

态势评估是NSSA的核心环节。通过对一段时间内的安全数据进行分析，描述网络的安全状态，对态势进行评估，可以明确网络态势的变化趋势，为态势预测提供依据。文献[12]提出了基于随机博弈的网络安全态势评估模型，综合分析了攻击方、防御方和环境信息三者对安全态势的影响;然而在攻防双方策略选择时，仅考虑了简单的策略集合，在真实的攻击场景中，策略选择要复杂得多。文献[13]提出了基于隐马尔可夫过程的网络安全态势评估改进模型，确定状态转移矩阵，利用风险值实现安全态势的量化，反映态势的变化趋势;但该方法具有一定的局限性，对NSSA要素的提取不全面，观测序列不完善，评估的准确性还有待提高。

1.3.3 态势预测

态势预测是NSSA的重要环节。能够获知网络系统全局运行的安全发展趋势，实时感知，及时发现危险事件，使系统做出准确的应急响应，避免大规模的网络攻击。态势预测常用的方法有基于马尔可夫链的预测模型、基于时间序列的预测模型、贝叶斯动态预测模型[14-16]。其中基于马尔科夫链的预测方法利用当前时刻的态势计算下一时刻的态势，结合最大熵算法，提高了预测的准确性，但该模型参数评估的准确性还有待进一步研究。基于时间序列的预测方法在训练数据方面具有优势，但是在处理大量数据集的应用上效果不佳。贝叶斯动态预测模型方法利用贝叶斯方法对攻击行为建模，但对网络攻防建模要求高，需要考虑的因素较多[17]。

通过分析上述文献可知，现有的NSSA技术都是以小规模网络、局域网为研究目标，缺乏基于大规模网络背景的网络安全态势感知研究。而目前的大型网络大多存在资产数量巨大、风险类型多样、数据采集难度大、周期长等复杂问题，现有网络安全态势技术在威胁察觉、态势评估与预测的准确性上都具有一些不足之处。为此，本文引入威胁情报作为NSSA的基础依据，从威胁情报的定义、威胁情报在网络安全态势感知、评估和预测等阶段的应用等方面进行分析和探索，为NSSA的研究发展提供新的解决思路。

2 威胁情报

2.1 威胁情报定义

根据GARTNER对威胁情报的定义：威胁情报是关于IT、信息资产面临现有或酝酿中的威胁的证据性知识，包括可实施上下文、机制、标示、含义和能够执行的建议，这些知识可以为威胁的响应、处理决策提供技术支持[18]。威胁情报包括攻击源信息、攻击所利用的漏洞、受害者信息以及战术、技术和过程等[19]，这些要素都能为网络安全态势感知提供有力的依据。

威胁情报可以分为内部威胁情报和外部威胁情报，如图2所示。

外部威胁情报通常源于情报提供者提供的商业威胁情报或开源威胁情报[18];内部威胁情报是企业或机构产生的威胁情报数据，用于保护内部信息资产和业务流程。

2.2 威胁情报标准

威胁情报最大的价值在于威胁情报的流通和交换过程中为网络管理人员的安全防御策略、安全决策提供有效的指导。威胁情报流通和交换的关键是制定规范统一的格式标准。威胁情报标准包括结构化威胁信息表达式（STIX）、网络可观察表达式（CyboX）、指标信息的可信自动化交换（TAXII）、恶意软件属性枚举和特征描述（MAEC）以及常见攻击模式枚举与分类（CAPEC）、开放威胁指示器（OpenIOC）等[20]。

STIX提供了基于标准XML语法描述威胁情报细节和威胁内容的方法，包含12种主体对象，这些对象描述了攻击行为的详细信息、内容及特点。通过文献[17]的描述，STIX2.0包含的12种主体对象分别如下：

1）Attack Pattern：描述攻击者试图破坏目标的方式。

2）Campain：攻击活动，描述一组针对特定目标的恶意行为或一段时间内发生的攻击。

3）Course of Action：防御者面对攻击行为可采取的防御策略。

4）Identity：身份，可以是个人、组织或团体。

5）Indicator：威胁的指标点，包含攻击时间、工具等特征参数。

6）Intrusion Set：入侵集是一组具有共同属性的对抗行为和资源。

7）Malware：恶意代码和恶意软件，旨在损害受害者的数据或应用系统。

8）Observed Data：在系统或网络上观察到的信息。

9）Report：集中在一个或多个主题上的威胁情报集合，例如对攻击者的描述、恶意软件或攻击技术，包括上下文详细信息。

10）Threat Actor：进行恶意操作的个人、团体或组织。

11）Tool：攻击者用来执行攻击的合法软件。

12）Vulnerability：软件中的错误，黑客可以直接利用它来访问系统或网络。

CyboX定义了一种方法来表示计算机观测物和网络的动态和实体，提供标准和可扩展的语法，用于描述可从计算机系统和操作中观察到的所有内容，以便进行威胁评估、日志管理、恶意软件特征分析、度量共享和事件响应[19]。

TAXII是用来基于HTTPS交换威胁情报信息的一个应用层协议，为支持使用STIX描述的威胁情报交换而设计，使用TAXII规范，不同的组织可以通过定义与通用共享模型相对应的API共享威胁情报。

MAEC是一种共享恶意软件结构化信息的标准化语言，目的是消除恶意软件描述中的歧义和不确定性，减少对签名的依赖性，从而改变恶意软件的响应。

CAPEC是常见攻击模式的公共分类标准，能够帮助用户了解敌人如何利用应用程序和其他网络功能的弱点。CAPEC定义了敌人可能面临什么挑战以及解决挑战的方法，这源于在破坏性而非建设性环境中应用的设计模式的概念。

OpenIOC是一个记录、定义以及共享威胁情报的格式[21]，通过灵活建立威胁指示器（IOC）的逻辑分组，实现威胁情报的可机读和快速共享[22]。在建立威胁情报共享框架OpenIOC之前還需明确表达式、简单表达式、复杂表达式及攻击指示器的定义[23]。

2.3 威胁情报处理网络安全威胁的优势

包括APT（advanced persistent threat）在内的新型网络安全威胁成为如今网络攻击的主流趋势，造成的影响越来越严重，尤其是APT使用高级的攻击手段对某一指定目标进行长期、持续的网络攻击，具有高度的隐蔽性和危害性[24]，给威胁检测带来了更高的难度，对信息系统的防御提出了新的要求，如何尽快进行高精度检测已成为当务之急。与其他攻击相比，APT攻击是有组织、有目的、有计划的，同一组织发起的攻击在一些行为特征上会有相似之处，尤其是针对同一领域的攻击，相似性更为明显[25]。

长时间积累形成的威胁情报具有时间和空间多维度的数据特征，借助成熟的威胁情报可以有效提高APT等安全事件分析的效率和攻击检测率。另一方面，威胁情报具有很强的独立更新能力，当安全事件的数量增加时，威胁情报也会相应进行更新，为安全管理者提供更新的安全事件信息。通过将威胁情报进行共享，可以在同一组织的领域中获得针对性的威胁信息，使企业了解行业环境、攻击者是什么、攻击者利用技术等信息的策略和防御策略，帮助他们了解企业本身将遭受的威胁，从而提高安全响应能力。威胁情报在提高处理网络安全威胁、漏洞管理和风险控制、了解威胁环境以及制定决策效率方面具有很高的应用价值。

3 威胁情报在网络安全态势感知中的应用

网络威胁情报在网络安全领域的应用势头强劲，无论它们是基于供应商的解决方案还是开源的解决方案，实践者都应该能够找到适当的解决方案增强其基础设施的安全性。根据文献[26]等方案中威胁情报与NSSA的应用结合，本文将威胁情报在NSSA中的应用分为3个应用场景进行讨论，即威胁情报在态势察觉、态势理解、态势投射中的应用，如图3所示。

3.1 态势察觉

3.1.1 异常行为的识别和攻击检测方法

在态势察觉阶段，传统的检测识别方法有基于攻击图[27]的攻击识别方法、基于Web访问路径的应用层DDoS攻击检测[28]、基于F分布的攻击检测方法[29]等，但这些方法具有不足之处，对于具有隐蔽性、长期性的攻击行为的检测很难实现。而威胁情报往往是通过比对操作类威胁情报中IP信誉、文件信誉及其他指纹特征，检测系统中的异常动向，确认攻击行为并按优先级排序，采取相应手段进行遏制[25]。部分网络威胁情报来源于蜜罐或蜜网[30]，通过在蜜罐或蜜网中利用大量专用的分析工具对威胁者的行为进行收集、分析，形成威胁情报，威胁情报中包含详细的攻击特征、检测方法、攻击危害评估方法和安全修复方法和防御方案。此外，广义的威胁情报还包含了暗网情报[31]，具有丰富的威胁情报数据库，可以将暗网中发现的信息与现有信息联系起来，形成情报资源。

针对隐蔽性极强的APT攻击检测，文献[32]提出基于大数据的威胁情报平台是APT检测的关键，通过对海量数据进行深度挖掘，可有效发现APT攻击。例如，360威胁情报平台涵盖了DNS解析记录、WHOIS信息、样本信息等，通过使用机器学习、深度学习、关联分析等手段，形成云端威胁情报下发本地进行检测。文献[33]针对APT攻击链进行研究，选取DNS流量作为APT整体检测的原始数据，采用多种不同检测特征，结合最新的威胁情报和大数据技术，对APT进行攻击检测。

3.1.2 确定攻击特征

利用开源的威胁情报检测出攻击行为后，为了确定攻击意图、影响及防御方法，需要对攻击特征进行尽可能准确、完整和简洁的描述。威胁情报包括背景、机制、指标、意义和可行性建议、资产现有或新出现的威胁或危害[17]。

通过对态势要素的提取、清洗、关联，利用威胁情报对攻击数据进行处理，制作成具有规范化、结构化的信息格式，如STIX，这些标准化的信息为攻击识别提供更全面、准确的攻击特征[34]。文献[35]基于威胁情报，提出了一种针对电信诈骗文本数据的特征提取方法，采用自然语言处理技术，从电信诈骗新闻报道中提取相关的特征信息，根据该特征建立检测规则，实现攻击检测。

在态势察觉方面，开源的威胁情报库与某种特定攻击完全匹配的可能性极低，因此提出利用外源威胁情报对采集到的网络安全要素（如目标网络的资产信息、风险状态信息及日志警告信息）进行数据预处理以及关联分析，识别系统中的异常攻击行为，明确攻击的意图、方式以及产生的影响，并根据外源威胁情报的指导，生成系统内部的威胁情报，通过将该威胁情报进行分享，提高其他网络主体抗攻击的能力，从而提高大规模网络整体的安全性。

3.2 态势理解

通过威胁情报在NSSA第一个环节的应用，明确了系统中的异常攻击行为及其特征，确定了攻击的意图、方式以及产生的影响。通过对攻击行为的理解，确定了攻击者的攻击策略，并将系统内部的攻击信息制作成具有规范格式的威胁情报。

将系统内部的威胁情报与共享威胁情报中的Course of Action（处置方法）对象进行对比分析，可以确定相应的防御策略。Course of Action是指针对威胁的具体应对方法，包括修复性措施或预防性措施，以及对“安全事件”造成影响的反制或缓解手段，具体的Course of Action类型如表1所示。

3.3 态势投射

3.3.1 态势量化评估

在网络安全态势评估环节，基本的评估模型有基于随机博弈的态势评估模型、基于马尔科夫或隐马尔科夫过程的评估模型、基于支持向量机（SVM）[36]的评估模型等。通过上述描述可知，采用这些模型进行态势评估过程中都出现了评估准确性不高、不能适应网络环境变化等问题。然而，威胁情报具有强大的更新能力，通过威胁情报的共享技术，情报库不断更新变化，能够准确反映网络安全状态的变化，并且威胁情报是对系统面对威胁的详尽描述，与系统的安全状况息息相关。

文献[37]给出了一种基于攻击图模型的安全评估方法，可分析攻擊序列的成功概率及系统损失风险;文献[38]建立了一个基于插件技术和漏洞威胁信息的评估模型，可以对系统安全状况进行定量分析;文献[39] 在原始数据处理中，使用多传感器数据融合技术进行识别攻击。因此，将威胁情报的相关对象作为态势评估的要素，可使网络安全态势评估的准确性大大提高。

3.3.2 攻击预测

利用网络态势进行预测时，一般根据历史信息及态势变化的趋势进行模糊预测，忽略了真实网络环境的复杂性，在某种程度上认为网络环境是一直不变的，这种忽略网络复杂性的预测是不严谨的。为了使攻击行为预测更加科学合理，引入了威胁情报思想。大量的安全事件信息包含在威胁情报中，并且其本身具有更新能力，可以使最新的安全事件被网络安全管理人员掌握。因此利用威胁情报的攻击行为预测是科学合理的。

人工智能的方法可以使对威胁情报的分析智能化，并可对未来一段时间的态势进行预测。例如：文献[40]为实现无线传感网络的攻击预测，结合了强化学习和分层学习的思想;文献[41]采用智能学习算法对计算机系统的潜在威胁进行预测。

3.3.3 攻击溯源

由于网络空间结构日益复杂，入侵者的攻击手段不断加强，其躲避攻击追踪的技术也日益先进，因此给网络安全防御的攻击溯源工作带来巨大挑战。常见的攻击溯源方法有基于IP地址的攻击溯源方法[42]、哈希的攻击溯源方法[43]、IP隧道的攻击溯源方法[44]、基于代数的攻击溯源方法[45]、流水印方法[46]、匿名通信追踪方法[47]等。这些溯源方法过于单一，限制条件过多，导致溯源效果不理想。

近些年出现的威胁情报为攻击溯源注入了新活力，威胁情报共享技术将是实现攻击溯源的重要手段。为实现有效的攻击溯源，文献[48]基于STIX提出了一种精简模式的威胁情报共享利用框架，以有关C2信息为例，描述了威胁情报的共享利用表达方式，实验表明，利用威胁情报进行攻击溯源具有实用性。

通过对以上文献的研究可以看出，威胁情报在态势投射上的应用是合理且有必要的，利用威胁情报进行态势评估、态势预测和攻击溯源，能够提高态势感知技术的准确性。然而，威胁情报库包含太多的情报信息，某些威胁情报自收集以来从未被利用。针对这种情况，提取高质量的威胁情报进行态势评估及预测，将大大提高态势投射的准确性，因此发掘高质量的威胁情报将成为今后的研究重点。

4 结 语

1）在大数据、云计算等新型技术的广泛应用下，网络空间呈现复杂化的发展趋势，网络攻击行为也更具隐蔽性与持久性，导致网络安全防御面临极大的挑战。情报信息是现代网络安全中的一种重要资源，安全态势感知与威胁情报的结合必将引导网络安全研究走向新的发展空间。

2）基于威胁情报进行态势察觉，能够对系统中长期、潜在的威胁行为进行准确检测。利用威胁情报进行态势评估和态势预测，能准确反映网络环境的整体态势变化趋势，指导安全人员制定科学的安全决策与响应措施，提高网络整体的防御能力。

3）目前，利用威胁情报进行态势感知的研究还处于初级阶段，存在一些不足之处，如威胁情报利用率低，不能与某些特定的网络攻击特征完全匹配等。针对这些不足，接下来的研究工作是将威胁情报作为态势察觉的基础，构建基于随机博弈的网络安全态势感知模型;借助威胁情报的指导，对目标系统进行威胁察觉，并生成系统内部的威胁情报，通过对威胁情报的分享，提高整个网络的安全性。在此过程中，还要利用博弈论思想，对系统当前的网络安全态势进行量化，评估网络的安全状态，实现对网络安全态势的预测。

参考文献/References：

MAVROEIDIS V，BROMANDER S.Cyber threat intelligence model： An evaluation of taxonomies，sharing standards，and ontologies within cyber threat intelligence[C]// 2017 European Intelligence and Security Informatics Conference （EISIC）.Athens： IEEE，2017.doi： 10.1109/EISIC.2017.20.

[2] 龔俭，臧小东，苏琪，等.网络安全态势感知综述[J].软件学报，2017，28（4）：1010-1026.

GONG Jian，ZANG Xiaodong，SU Qi，et al.Survey of network security situation awareness[J].Journal of Software，2017，28（4）：1010-1026.

[3] NOLAN M S.Fundamentals of air traffic control[J].Delmar Cengage Learning，1990，2（2）：859-863.

[4] ENDSLEY M R.Toward a theory of situation awareness in dynamic systems[J].Human Factors，1995，37（1）：32-64.

[5] BASS T.Intrusion detection systems and multisensor data fusion： Creating cyberspace situational awareness[J].Communications of the ACM，2000，43（4）：99-105.

[6] FRANKE U，BRYNIELSSON J.Cyber situational awareness：A systematic review of the literature[J].Computers & Security，2014，46：18-31.

[7] LAU S.The spinning cube of potential doom[J].Communications of the ACM，2004，47（6）：25-26.

[8] CARNEGIE Mellon′s SEI.System for Internet Level Knowledge（SILK）[EB/OL].http：//tools.netsa.cert，org/silk，2006-03-09.

[9] YURCIK W.Tool update：Visflowconnect-IP with advanced filtering from usability testing[C]// Tool Update： Visflowconnect-IP with Advanced Filtering from Usability Testing.New York： ACM，2006.doi： 10.1145/1179576.1179588.

[10]HU Hao，LIU Yuling，YANG Yingjie，et al.New insights into approaches to evaluating intention and path for network multistep attacks[J].Mathematical Problems in Engineering，2018（8）：1-13.

[11]ABRAHAMS，NAIR S.A novel architecture for predictive cybersecurity using non-homogenous markov models[C]// 2015 IEEE Trustcom/Big Data SE/ISPA.Helsinki：[s.n.]，2015：774-781.

[12]翁芳雨.基于随机博弈模型的网络安全态势评估与预测方法的研究与设计[D].北京：北京邮电大学，2018.

WENG Fangyu.Research and Design of Network Security Situation Assessment and Prediction Method Based on Random Game Model[D].Beijing：Beijing University of Posts and Telecommunications，2018.

[13]席荣荣，云晓春，张永铮，等.一种改进的网络安全态势量化评估方法[J].计算机学报，2015，38（4）：749-758.

XI Rongrong，YUN Xiaochun，ZHANG Yongzheng，et al.An improved quantitative evaluation method for network security[J].Chinese Journal of Computers，2015，38（4）：749-758.

[14]SALFINGER A.Framing situation prediction as a sequence prediction problem： A situation evolution model based on continuous-time Markov chains[C]// 22nd International Conference on Information Fusion （FUSION）.Ottawa： IEEE，2019：1-11.

[15]CHEN Q，QI X.Research on trend analysis and prediction algorithm based on time series[C]// 2019 3rd International Conference on Electronic Information Technology and Computer Engineering （EITCE）.Xiamen： IEEE，2019.doi： 10.1109/EITCE47263.2019.9095181.

[16]LINP，CHEN Y.Dynamic network security situation prediction based on bayesian attack graph and big data[C]// 2018 IEEE 4th Information Technology and Mechatronics Engineering Conference（ITOEC）.Chongqing： IEEE，2018.doi： 10.1109/ITOEC.2018.8740765.

[17]宜裕紫.基于威脅情报的云计算安全态势感知系统设计[D].石家庄：河北科技大学，2019.

YI Yuzi.Design of Security Situation Awareness System for Cloud Computing Based on Threat Intelligence[D].Shijiazhuang：Hebei University of Science and Technology，2019.

[18]徐留杰.基于威胁情报的APT检测技术研究[D].镇江：江苏科技大学，2019.

XU Liujie.Research on APT Detection Technology Based on Threat Intelligence[D].Zhenjiang： Jiangsu University of Science and Technology，2019.

[19]石志鑫，马瑜汝，张悦，等.威胁情报相关标准综述[J].信息安全研究，2019，5（7）：560-569.

SHI Zhixin，MA Yuru，ZHANG Yue，et al.Overview of threat intelligence related standards[J].Journal of Information Security Research，2019，5（7）： 60-569.

[20]GONG N.Barriers to adopting interoperability standards for cyber threat intelligence sharing： An exploratory study[J].Springer Cham，2018，9：666-684.

[21]ZHANG Q，LI H，HU J.A study on security framework against advanced persistent threat[C]// IEEE International Conference on Electronics Information & Emergency Communication.Macau： IEEE，2017.doi： 10.1109/ICEIEC.2017.8076527.

[22]李建华.网络空间威胁情报感知共享与分析技术综述[J].网络与信息安全学报，2016，2（2）：16-29.

LI Jianhua.Overview of the technologies of threat intelligence sensing，sharing and analysis in cyber space[J].Chinese Journal of Network and Information Security，2016，2（2）：16-29.

[23]徐文韬，王轶骏，薛质.面向威胁情报的攻击指示器自动生成[J].通信技术，2017，50（1）：116-123.

XU Wentao，WANG Yijun，XUE Zhi.Indicator autogeneration of compromise oriented to threat intelligence[J].Communications Technology，2017，50（1）：116-123.

[24]CINAR C，ALKAN M，DORTERLER M，et al.A study on advanced persistent threat[C]// 2018 3rd International Conference on Computer Science and Engineering （UBMK）.Sarajevo： IEEE，2018.doi： 10.1109/UBMK.2018.8566348.

[25]LI Y，DAI W，BAI J，et al.An intelligence-driven security-aware defense mechanism for advanced persistent threats[J].IEEE Transactions on Information Forensics & Security，2019，14（1）：646-661.

[26]李际磊，蒋志颀.威胁情报在态势感知中的应用研究[J].计算机科学与应用，2019，9（10）：1939-1945.

LI Jilei，JIANG Zhiqi.Research on the application of threat intelligence in situation awareness[J].Computer Science and Applications，2019，9（10）：1939-1945.

[27]AMMANN P，WIJESEKERA D，KAUSHIK S.Scalable，graph-based network vulnerability analysis[C]// ACM Conference on Computer & Communications Security.New York： ACM，2002.doi：10.1145/586110.586140.

[28]任皓，许向阳，马金龙，等.基于Web访问路径的应用层DDoS攻击防御检测模型[J].河北科技大学学报，2019，40（5）：404-413.

REN Hao，XU Xiangyang，MA Jinlong，et al.Application-layer DDoS attack defense detection model based on Web access path[J].Journal of Hebei University of Science and Technology，2019，40（5）：404-413.

[29]史德陽，罗永健，侯银涛，等.基于F分布的无线传感器网络攻击检测方法[J].河北科技大学学报，2012，33（6）：519-524.

SHI Deyang，LUO Yongjian，HOU Yintao，et al.A novel attack detection algorithm based on F-distribution in wireless sensor networks[J].Journal of Hebei University of Science and Technology，2012，33（6）：519-524.

[30]MEHTA V，BAHADUR P，KAPOOR K，et al.Threat prediction using honeypot and machine learning[C]// International Conference on Futuristic Trend on Computational Analysis and Knowledge Management.Noida： IEEE，2015.doi：10.1109/ABLAZE.2015.7155011.

[31]AL-IBRAHIM O，MOHAISEN A，KAMHOUA C，et al.Beyond free riding：Quality of indicators for assessing participation in information sharing for threat intelligence[J].Information Retrieval，2017，2：552-563.

[32]陈卫平.高级持续性威胁检测与分析技术初探[J].现代电视技术，2018（11）：135-137.

CHEN Weiping.Preliminary study on advanced persistent threat detection and analysis technology[J].Advanced Television Engineering，2018（11）： 135-137.

[33]李骏韬.基于DNS流量和威胁情报的APT检测研究[D].上海：上海交通大学，2016.

LI Juntao.APT Detection Research Based on DNS Traffic and Threat Intelligence[D].Shanghai：Shanghai Jiaotong University，2016.

[34]杨沛安，刘宝旭，杜翔宇.面向攻击识别的威胁情报画像分析[J].计算机工程，2020，46（1）：136-143.

YANG Peian，LIU Baoxu，DU Xiangyu.Portrait analysis of threat intelligence for attack recognition[J].Computer Engineering，2020，46（1）：136-143.

[35]赵倩倩.基于威胁情报的电信诈骗检测研究[D].北京：中国科学院大学，2018.

ZHAO Qianqian.Research on Telecommunication Fraud Detection Based on Threat Intelligence[D].Beijing：University of Chinese Academy of Sciences，2018.

[36]何永明.基于KNN-SVM的網络安全态势评估模型[J].计算机工程与应用，2013，49（9）：81-84.

HE Yongming.Assessment model of network security situation based on k nearest neighbor and support vector machine[J].Computer Engineering and Applications，2013，49（9）：81-84.

[37]王永杰，鲜明，刘进，等.基于攻击图模型的网络安全评估研究[J].通信学报，2007，28（3）：29-34.

WANG Yongjie，XIAN Ming，LIU Jin，et al.Study of network security evaluation based on attack graph model[J].Journal on Communications，2007，28（3）：29-34.

[38]肖道举，杨素娟，周开锋，等.网络安全评估模型研究[J].华中科技大学学报（自然科学版），2002，30（4）：37-39.

XIAO Daojiu，YANG Sujuan，ZHOU Kaifeng，et al.A study of evaluation model for network security[J].Journal of Huazhong University of Science and Technology （Nature Science），2002，30（4）：37-39.

[39]BASS T.Multisensor data fusion for next generation distributed intrusion detection systems[C]// 1999 IRIS National Symposium on Sensor and Data Fusion.New York： CiteSeer，1999.doi： 10.13140/RG.2.2.20357.96482/1.

[40]WU J，LIU S，ZHOU Z，et al.Toward intelligent intrusion prediction for wireless sensor networks using three-layer brain-like learning[J].International Journal of Distribute Sensor Networks，2012，27（3）： 327-352.

[41]LIU M，MIAO L，ZHANG D.Two-stage cost-sensitive learning for software defect prediction[J].IEEE Transactions on Reliability，2014，63（2）： 676-686.

[42]KIM D H，INH P，YOON B.IP traceback methodology using Markov chain and bloom filter in 802.16e[C]// 2008 Third International Conference on Convergence and Hybrid Information Technology.Busan： IEEE，2008.doi：10.1109/ICCIT.2008.274.

[43]SANCHEZ L A，MILLIKEN W C，SNOEREN A C，et al.Hardware support for a hash-based IP traceback[C]// Proceedings DARPA Information Survivability Conference and Exposition. New York： IEEE，2001.doi：10.1109/DISCEX.2001.932167.

[44]STONE R.Center track： An IP overlay network for tracking DoS floods[C]// USENIX Security Symposium.New York： ACM，2000：199-212.

[45]DEAN D，FRANKLIN M，STUBBLEFIELD A.An algebraic approach to IP traceback[J].ACM Transactions on Information and System Security ，2002，5（2）： 119-137.

[46]WANG X，REEVES D S.Robust correlation of encrypted attack traffic through stepping stones by flow watermarking[J].IEEE Computer Society Press，2011，8（2）：434-449.

[47]张璐，罗军舟，杨明，等.基于时隙质心流水印的匿名通信追踪技术[J].软件学报，2011，22（10）：2358-2371.

ZHANG Lu，LUO Junzhou，YANG Ming，et al.Interval centroid based flow watermarking technique for anonymous communication traceback[J].Journal of Software，2011，22（10）： 2358-2371.

[48]杨泽明，李强，刘俊荣，等.面向攻击溯源的威胁情报共享利用研究[J].信息安全研究，2015，1（1）：31-36.

YANG Zeming，LI Qiang，LIU Junrong，et al.Research on threat intelligence sharing and cyber attack attribution[J].Journal of Information Security Research，2015，1（1）：31-36.