赵 宁 李 蕾 刘青春 叶 锐

(1.哈尔滨工业大学图书馆 哈尔滨 150001；2.公安部北京锐安科技有限公司 北京 100192)

随着对安全领域的关注度提升，很多企业和机构逐步聚焦威胁情报，尤其在安全领域。关于威胁情报的概念，并没有一个明确的工业化定义，根据Gartner在《安全威胁情报服务市场指南》提出面向高端用户提供决策依据的完整模式及响应的涵义[1-2]，及Jon Friedman、Mark Bouchard在《网络威胁情报权威指南》的流程目标定义[3]，结合美国中央情报局CIA对于情报的定义[4-5]，本文认为的企业威胁情报是传递与中央情报机构提供具有类似属性的防御情报，取代为国民领导或军部指挥官提供的战略性国家安全威胁情报，关注企业机构系统，是安全团队为企业决策者提供的对企业产生的潜在与非潜在危害的知识信息集合，保证机构正常运转、核心产业经济安全及持续发展。威胁情报产品作为一个跨学科整体方案，通过搜集、分析、评估和判断形成预测情报产品，是防御级的安全分析需要的信息，用于评估敌人，可以还原已发生和预测未发生的攻击。业内更广泛的关注是在技术威胁层面，即狭义的数据与信息网络安全[6-7]。随着互联网特别是移动互联网的发展，网络环境愈发复杂，当下威胁情报处于混沌的状态，由于威胁情报的来源范围广、种类多、时效性强特点，使其在实际运用中面临许多问题[8]。基于网络开源情报(OSINT)中的威胁情报分析与管理机制研究主要包括对于主体——网络OSINT的说明，客体——威胁情报的分析模式，管理运行流程——面向OSINT的威胁情报预警模型和基于OSINT的威胁情报体系运营机制的研究方面。

1 威胁情报的获取及基于网络OSINT重要性

目前网络威胁变得越来越持续作用和具备先进技术性。威胁情报作为网络信息安全领域的分支，其收集产生渠道如图1包括：a.网络情报，对于网络流量数据。b.本地内部情报，对于内部网络、终端和部署的安全设备产生的日志数据。c.边界情报，从政府、供应商和电信部门收集的信息。d.OSINT(开源情报)，新闻网站、博客、论坛、社交网络、媒体站点、机构公告等公共资源数据。e.秘密情报，包括暗网、地下论坛、执法和情报机构中的数据信息[9,10]。威胁情报基于以上融合情报的研判获得，其情报感知的信息体量、威胁情报获取难度和重要性的级别说明如图1所示，按金字塔层级从下到上是增大、增加、增强的关系，塔顶的秘密情报中获取的威胁情报成分较大，但收集获取途径难度大，通常获得的威胁情报比常规的网络情报含有更重要的预警作用和价值。在金字塔中OSINT在威胁情报中起到了积极的作用，相较于秘密情报，OSINT目前以令人眼花缭乱的速度发展，为打击威胁和网络犯罪提供了新的行动路线，并且秘密情报获取威胁情报也可能是基于OSINT的二次开发，需要特定的手段，提升对深网与暗网的监控与研究能力，因为这些网络中许多内容仍可以被认为是开源的而被公众使用，威胁情报挖掘需要OSINT的经验[11]。在所有威胁情报子类型中，网络OSINT也许是使用最广泛的情报，都可以为数据收集、分析、自动化集成和报告等，建立通用的流程和框架，成为威胁情报的重要组成部分。

在过去，威胁情报的来源和获取数据途径太少、处理能力弱，存在很大的不足。随着互联网和大数据技术进步，政府数据库、企业内容和不断增长的个人数据不断开放，越来越多地发布在网络上，也促进个人、机构甚至是国家的数据访问，这成为情报机构加以利用的OSINT来源，侧重点不断加大。内容上，论坛、群组等共享范围加大，用户不断生产内容，更多私人和保密领域的文件被泄露，扩大了OSINT的收集量。手段上，除对互联网公共资源数据进行爬取、API获取和订阅，美国政府部门部署Maltego、Recon-ng、theHarvester、Shodan等工具获取相关情报[12]。网络OSINT对于威胁情报的重要性体现在：在收集获取上，OSINT的信息来源易于访问、风险较小且经济高效；在威胁情报的应用中，OSINT由于其信息体量大、涵盖方面多，可提供包括维护国家安全和政治稳定、在线查找虚假服务、辅助金融调查、法律问题等广泛领域情报；在威胁情报的分析与管理中，OSINT有利于掌握威胁全景图，其丰富的特征用于信任评估，其信息数据来源更新快，足以满足情报分析的需求，也能够实时、准确地对事件进行决策及继续完善。特别是有利于长期和全面的情报感知，包括数据、情境和态势感知的支持，如OSINT对于社交媒体中积累的证据进行社会舆情分析可以应用于市场、政治或灾害管理等方面，通过OSINT中的数据分析匹配感知犯罪和追踪，根据OSINT在网络攻击的取证调查网络犯罪和组织犯罪等[13]。OSINT被各国政府和情报部门广泛利用，已经成为安全与国防机构的必要能力，威胁情报也成为网络OSINT领域中发展速度最快的部分之一。

图1 威胁情报信息体量、获取难度、重要性层级

2 基于OSINT的威胁情报收集需求及价值层次

威胁是指对企业造成危害和利益受到损失，基于OSINT的威胁情报收集需求主要为帮助企业对面临威胁的态势感知、特定类别的风险识别，用于辅助支持安全决策或分析并做出及时响应防御，以保护企业的关键资产。针对企业来讲，潜在网络系统存在的威胁，攻击行为动态感知和溯源是需要数据支撑的，所以从对安全威胁、威胁者、恶意软件、漏洞和危害指标收集作为用于评估和应用的数据集和信息集合。基于OSINT的来源，收集主要从a.检测的角度，对于话题检测可从互联网平台开放的技术文章、论坛、社交媒体等开源信息获取威胁情报基础信息、提取特征生成识别、攻击等相关恶意检测知识；b.态势感知的角度，通过OSINT掌握利用各种形式的数据信息，进行评估预测，如爬取获得基于多个OSINT的威胁情报源构建威胁情报全景图，获得网络攻击预测的方法，提升对威胁的识别，理解分析、响应处置能力，但开源信息的不确定和模糊性需要解决获取接近真实的问题；c.威胁狩猎的角度，作为威胁情报收集的辅助方式，基于网络和数据进行主动的和反复的搜索获取新的目标。通过联合分析得出不同场景应用，结合已有开源威胁情报与实时流量数据，对威胁情报进行深度关联和分析，发现潜在网络系统存在的威胁。

市面上也有很多基于OSINT 数据的威胁情报平台，使用该来源的信息，通常面临数据种类多、冗余重复度大、覆盖面不全、过时不准确等，这是OSINT收集时需要注意的问题。解决OSINT信息处理相关的难点，以有效利用威胁情报[14]。针对OSINT信息本身，在收集时需要做到可用性大、精度高、保证信息源的覆盖面、可信度强、及时性，OSINT的威胁情报收集方案：首先确定收集需求；然后是收集计划，即信息源、信息格式、研判方式及收集方式保证来源信誉的权重高及信息质量的匹配；通过相应的方法区分OSINT威胁情报的层次，包括机器分析和人工研判；最后就是利用OSINT进行威胁情报的分析[15]。威胁情报收集的价值在于，机构可以结合自身业务对网络OSINT信息数据提取，汇总作为告警感染指标IOC，同一类别基于OSINT的威胁情报可能有多个来源，因为OSINT来源信息数据的不确定性，质量需要评估筛选，则需要对其可信度做出评价，避免“数据中毒”，来源可靠且本身质量高的开源威胁情报是具有价值的威胁情报，对于价值的量化可以通过所在坐标的模进行表示，区分出基于OSINT的威胁情报层次[16]。

图2 基于OSINT的威胁情报价值判断坐标

收集互联网的OSINT，并基于机器学习的威胁检测，类似相关的威胁的聚类[17,18]，如图2所示，区分OSINT信息威胁情报的层次，被机器自动判定为威胁情报的A，映射A的价值为：

VA=|A(xa,ya)|(x>0，y>0)

同理可得，映射B，C需要判定价值的优先级：

VB=|B(xb,yb)|(x>0，y>0)

VC=|C(xc,yc)|(x>0，y>0)

通过此方法区分出威胁情报价值层次，便于OSINT信息的处理。

3 基于OSINT挖掘威胁情报的系统架构

3.1威胁情报挖掘的系统架构在网络OSINT中，威胁情报的感知和收集，需要借助大数据来开展与进行。基于威胁分析收集情报的需求而产生，以OSINT的收集和管理为目标，具有自定义情报、关联搜索、情报管理、情报导出等功能。建设本地威胁情报平台，实现对威胁情报数据收集、多源聚合、评估、生命周期管理，并提供情报数据多属性、多维度的检索，提升威胁情报生产、输出业务能力[19]。

图3 威胁情报挖掘系统架构图

系统架构如图3所示，其架构层实现的功能和具体机制见表1。

表1 威胁情报平台系统架构层功能机制

3.2威胁情报管理的系统功能作为威胁情报管理系统的一部分，OSINT进行分析和生产，与其他源情报融合得到全面的威胁情报。设计威胁情报管理系统，系统功能分为几大模块，包括威胁情报接入、威胁情报检测、威胁情报分析、情报管理、漏洞预警与攻击组织画像，实现对威胁情报数据信息收集、融合、检测、分析评估、生命周期管理，并提供情报数据多属性、多维度的检索，提升威胁情报生产、输出业务能力。具体功能如下说明：

3.2.1 威胁情报接入模块 威胁情报的接入模块主要包括情报的输入和输出两部分，部署位置在情报数据接入服务器，通过对自采集的威胁情报、API导入的第三方情报、人工输入情报、系统自生产的情报进行情报数据的接入、转换、清洗、汇入、持久化等功能。同时有效地收集各种OSINT，由威胁情报管理服务器和收集代理组成。威胁管理服务器可根据每个收集通道要收集的信息量动态分配收集代理，调整工作量，并通过将从代理收集的信息转换为预定义的数据库存储结构来管理这些信息。收集代理通过基于从威胁情报管理服务器接收到的环境设置信息构建收集环境，第一阶段是采集索引阶段并判断情报优先级，通过再归类查询，发送查询管理通过OSINT收集历史。

3.2.2 威胁情报检测模块 情报检测模块支持用户通过Web访问或者应用程序接口API查询的方式，通过多维数据展示，提供给用户丰富的入侵威胁指标上下文信息以及与其相关联的DY〗情报信息。部署于数据中心的检测引擎软件，可以流式查询、流式统计、流式过滤筛选、流式比对操作、流式结构拆分和自定义函数操作等。

3.2.3 威胁情报分析模块 威胁情报分析模块包括威胁情报的关联分析以及情报的融合，在庞大的OSINT中，快速有效识别有价值信息，结合相应安全事件的监测和预警，在威胁情报的搜集到整合、利用、响应的生态链条中，建立以威胁情报线索驱动的高持续性网络威胁的深度监测和分析能力。拓展挖掘对事件的监测范围，形成对于持续、特定组织的安全威胁行为的画像信息管理，通过构建情报之间的关联关系，挖掘情报之间的潜在联系，融合多源威胁情报，可建立可视化图谱分析供用户使用。

3.2.4 威胁情报管理模块 威胁情报管理模块主要包括情报的生命周期管理、情报置信度管理、情报统计等功能，目前情报的生命周期管理采用独有的事件驱动方式，通过事件的触发来开启或者弃用威胁情报，实现威胁情报生命周期的自管理模式。情报统计模块主要针对不同源、类型的威胁情报、基于时间线的情报数量等维度对本地威胁情报进行了统计分析，支持下钻等功能。能够对于威胁情报数据包括的攻陷指标IOCs元素，具备质量评估、老化检测机制和生命周期管理的能力。

3.2.5 漏洞预警与攻击组织画像模块 漏洞预警与攻击组织画像模块主要包括针对重点漏洞进行及时预警通报，对攻击组织和攻击组织所实施的活动能够进行组织画像和行为画像，进一步分析出攻击组织的动向和信息。画像信息主要包括：攻击组织或攻击活动名称、别名、首披露时间、源国家或地区、所属国家、基本描述、目标国家或地区、目标行业、目标对象、攻击动机、常用软件工具；攻击组织关联情报信息，包括攻击战术技术过程描述、关联攻击组织分析报告；攻击组织或攻击事件网络资产信息：包括攻击组织或攻击事件所使用网络资产；攻击组织或攻击事件关联网安监测配置信息。

4 面向OSINT的威胁情报的分析模式及预警管理

4.1基于OSINT的威胁情报分析模式情报分析的流程理论环节上分为采集-加工-分析环节，而基于OSINT的威胁情报分析过程也包括OSINT的获取识别-融合处理-关联分析的系统过程，其分析运行逻辑如图4所示。

图4 威胁情报分析运行逻辑图

基于OSINT的威胁情报分析模式作为一个系统过程，主要内容为：

a.威胁情报获取与识别提取。威胁情报分析以数据为基础，提供准确丰富的威胁情报数据以及服务，作为网络OSINT，可以从技术文章、深网暗网的开源信息、论坛博客、社交媒体、公共代码库和漏洞报告的情报源中获取数据，通过动态爬虫检测更新等，对于OSINT确定范围，要了解信息源，明确哪些是需要关注的，了解威胁情报类型是属于战略性、运营级还是战术性的，利用已知的攻击手段查找相关线索。预处理数据时明确OSINT信息来源格式，对于OSINT的统一接入及特征提取，信息的预处理包括恶意事件标注、检测特征、IOCs自动化提取、人工校验修正等标签化操作，单一的信息和数据经过分析处理得到有价值的情报，结构化数据进行正则、字典匹配；非结构化信息一般需要NLP进行处理，不同的信息种类，处理方式不同，应用机器挖掘技术获取目标实体关系，OSINT的接入与提取场景进行对比分析[20]。

b.威胁情报的融合评价。高质量的威胁情报是具有时效性、准确性、完整性、可操作等特征，作为网络OSINT具有独立性和无组织性，情报信息具有多源异构性，对于情报源聚合处理，系统能够对包括商业情报、开源情报、自有监测情报、行业或组织共享情报等多来源的情报信息有效管理和相应的数据信息进行融合处理，形成可持续运营的多源威胁情报融合处理能力；结合利用本体构建技术一致性分析和相同威胁信息的IOCs去重去伪等操作，整合成一个系统的威胁情报指标体系并建模，提高威胁情报的分析效率。指标考虑的方面包括：时效性、准确性、相关性，包括研判的周期和时效性，日常的分析和不定期的研判状态分析设置；对于信息来源信誉和质量，官方网站、专业媒体等的权值可以大一点，信息质量要根据不同来源进行匹配设定威胁情报的层次。

c.威胁情报的关联分析。结合OSINT基础数据、自有流量数据，采集外部来源，威胁情报的关联分析主要应用于恶意检测、态势感知和威胁狩猎场景上，技术上充分利用大数据分析、机器学习、关联图谱等技术深入挖掘威胁情报的潜在的价值和内在关联关系，关联溯源对威胁情报信息中攻陷指标元素关联信息自动提取、构建威胁情报图谱。网络OSINT促进提取相关知识与恶意软件的静态、动态特征数据进行关联，OSINT各种形式的数据信息挖掘促进深度关联、全面评估推理揭示出隐含的威胁信息，通过模式匹配、图计算、特定语言等实现情报的联动，提升中心整体安全解决方案防护效果。

4.2基于OSINT的威胁情报预警处理威胁情报不只是被动的事后检测，安全预警是威胁情报运营体系重要的环节，威胁情报预警能够处理是针对特定攻击组织或攻击事件基础信息、监测配置信息的管理，能够针对重点漏洞进行及时的预警和跟踪。针对OSINT建立威胁情报预警模型(如图5所示)，具有确定威胁优先级、精准发现核心关键性威胁、重大事件预警的效果，有助于采取积极的措施，建立计划来打击当前和未来的威胁。其核心为：

a.动态监测方面，构建OSINT巡查业务知识库，形成针对覆盖属地范围内的内容监测系统，对OSINT包含的信息识别，进行威胁登记，实现对威胁情报的实时分析和预警机制。

b.分析处理方面，设置基于数据驱动分析要素的OSINT研判思路，形成了针对OSINT事件分类体系、构建了针对不同类别情报的分析处理，呈现威胁情报分析结果，威胁情报的分析种类如表2所示。

表2 威胁情报分析的种类

c.融合预警方面，通过将系统在互联网开源获取的信息与其他影响因素结合，建立预警模型，数据进行交叉比对、碰撞，按照预警标度，如表3所示，为现实部门处置提供情报支撑。

表3 预警标度及标度含义

d.预警输出方面，建立威胁情报攻陷指标多渠道输出，对情报内容、目标组织(或领域行业)、情报恶意类型等维度可定制的输出接口，具有威胁情报IOCs数据灵活可定制输出。

根据威胁的应用场景，情报处于攻击链的不同阶段，不同威胁情报处理通过预警标度进行机器研判和人工研判，机器研判不准的结合专家人员思想进行人工研判，预警标度作为紧急危险的快速响应，按照评级进行优先修复和防范，可以缩短对高危情况的响应时间。根据预警决策，系统根据威胁模型应对策略库进行相应处置。

5 基于OSINT的威胁情报体系运营机制

5.1基于威胁情报生态运行机制网络冲突和攻击为安全威胁的主要形式，建立综合性防御体系需要从生态开始，这是有效建立安全防护系统运作过程，其运行机制是以生态链中各主体的存在为前提，将主体之间关系梳理成相对具体化的运行方式。威胁情报生态链的主体构成有机构用户、相应服务商、安全厂商、研究机构、安全监管机构，各个生态角色间互相协作；客体威胁情报的作用是应用于防御中体现其价值，基于态势感知将威胁情报结果应用在防御体系内并持续发展，安全防护生态整体可以更为有效的对抗安全威胁；生态运行是威胁情报信息需求、获取、处理、生产、利用动态循环的过程，情报用户利用情报并反馈高价值情报，相应服务商和安全厂商生产共享威胁情报，研究机构研究高价值的威胁情报，监管部门利用执行构成威胁情报生态，驱动力包括内部和外部信息环境。基于威胁情报生态运行机制，需要对发挥客体威胁情报价值作用、优化挖掘过程作用到主体上进行完善，细化来看包括：

a.完善主体组织机构。构建威胁情报生态系统应对复杂难测的网络威胁，在战略上通过完善主体组织，实现硬件和软件部署，可以全面掌握对于威胁情报态势感知。如美国国土安全部(DHS)依托美国情报组织架构基础，建立情报机构之间以及联邦、州、地方政府的网络威胁情报生态系统，以通过完善部门职能和组织机构、共享情报指标信息。健全网络安全机构，发展其他组织机构，成立了威胁情报交换联盟，推动威胁情报生态建设，通过企业与政府、国家主体间、各个行业间的多层面威胁情报生态系统运转，生态角色发挥作用，提高其网络空间安全态势的感知和防御能力，形成网络威胁情报体系。

b.强化技术手段。提升情报信息技术水平，提高信息处理技术，生产高质量威胁情报和利用促进威胁情报生态循环。对于OSINT有效信息的感知和收集和处理是首要条件，随着开放信息的增多，威胁情报的增长为富集效应，其转化的速度也越快，针对威胁情报收集能力的提升，基于国内外OSINT与多源情报融合，如美欧日等各地实施全网部署蜜罐流量探针捕获、实施云端监测、网络空间测绘和国内外开源与商用情报源；提高数据挖掘分析，增加情报的获取能力，采用 “大数据+AI”智能分析的监督式机器学习方式，进行研判与响应；另外要针对场景进行攻击演练，锻炼强化技术手段。

c.完善法律法规信息环境。信息安全、规范制度和发展环境因素促进威胁情报生态运行，需要明确建立网络威胁系统操作流程、报告传送，像美国政府有正式的综合立法CISA，制定相关程序和指南，网络威胁信息、防御措施、隐私与自由的网络威胁其他相关信息的限制规定，提供相应运行条例的参考，规范威胁情报采集，帮助威胁情报分析人员为规避法律风险；像美国国土安全部(DHS)、司法部(DoJ)颁布相应的行政指令进行约束，以便更好地处理国家安全、经济、健康方面的网络威胁。

5.2完善威胁情报共享协同机制加强网络威胁情报的共建共享，融合情报数据，安恒首席科学家刘博认为，网络空间威胁情报能力的建设，需要从融合威胁情报数据、协同处置等角度着手，形成流程的闭环[21]。完善威胁情报共享协同机制需要鼓励政府、公共机构、企业加入威胁情报共享联盟和社区，形成威胁情报共享的完整体系，细化来看包括：

a.建立融合式共享模式。借鉴欧盟ISAC的融合式共享模式，建立多视角、多层次、多领域的威胁情报共享联盟。构建威胁情报共享云，云端安全监测，通过跨部门、跨领域各层级的协调机构统筹，加强网络安全管理部门与行业、企业的合作与支持、共享威胁情报并采取行动。通过互联互通、融合信息和快速更新，协同防御威胁攻击，增强系统的感知能力，弥补外部威胁的认识不足，海量关联情报数据，不仅能提高本地机构相应速度，还可以结合不同的服务，用于不同的共享模型提供更多的有效数据支撑。

b.建立共享体系标准。标准化是威胁情报共享的技术基础，构建网络威胁信息共享指南可提高效率和合作范围，方便对系统业务在执行过程的监督，为情报资源共享提供有效保障。需要完善相关国际通用标准，建立分析指标、控制策略、共享指南，使得情报有效共享、协同联动，推动威胁情报的发展。可借鉴欧盟NIS指令和美国NIST指南对结构化威胁信息表达、自动化交换、网络可观察表达等网络安全威胁信息进行管理，制定威胁情报应用、发布、共享和交换节的技术要求，建立共享标准规范体系，通过共享体系标准的建设，保证威胁情报的质量与水平。

c.加强协同合作发展。借鉴美国政府加强与网络安全私营部门的合作、欧盟统筹协调的网络威胁情报共享发展模式，构建“主导+成员”的联合建立协作环境，集成共享威胁情报信息，根据场景识别进行任务分派，共同主动应对网络威胁，制定长效协同合作机制。在确保执行网络任务的资源下，以问题为导向进行任务协同及监管，构建强化网络威胁情报的整合中心，满足跨部门、跨领域协作的需求，形成网络化的组织模式，共同发挥溯源和反威胁能力，通过不断加强的情报共享技术、资金、人力提升合作力度，加强网络威胁情报协同合作发展，提高威胁情报的治理能力。

5.3建立威胁情报安全产品机制威胁情报单独存在没有实现其价值，而体系化能力的解决方案必须通过产品和服务实现[22]。比较起国外，国内的安全防御体系并不完备，很多时候威胁情报没有真正发挥价值，导致用户认为其没有价值。建立威胁情报安全产品机制，发挥相应的情报产品价值，提升威胁情报运营和实践作用，细化来看包括：

a.情报产品场景化策略。若安全威胁情报产品进行有效市场划分，商业环境促进其利用使用，用户的有效消费，根据情境部署、构建防御策略，生产威胁情报产品，按体系化建设的解决方案对应的情报产品机制，集合威胁情报服务厂商提供资源，发挥更大价值，会使得威胁情报体系建设越来越成熟。开展情报产品项目实践进行体系建立的验证，填补承包商的网络安全短板和相应场景化、功能化发展策略，也是各类组织实现网络安全保障和体系化建设的最佳指南。

b.威胁情报产品标准化。业界制定了一系列的威胁情报交换标准，根据控制建议、指标信息、属性描述等制定威胁情报产品的相应标准，方便应用在不同领域进行网络安全管理，比如通信、工业、银行、能源等行业中。建立相关威胁情报的标准、实现多源异构威胁情报共享，使得各大厂商统一标准，提高威胁情报产品生产的联动效率。

c.威胁情报产品服务推广。威胁情报运营手段类似其他的安全运营，而威胁情报产品应用推广，是传递至用户使之成为有效情报的过程，需要根据业务特性，考核运营闭环指标，结合威胁情报能力生命周期进行，可对情报产品进行进一步加工，达到相应的目的和效果，可以设置迭代升级情报产品的版本号，完善威胁情报产品体系服务。

6 结 语

随着互联网的发展，新时代攻防的需求改变，复杂的攻击行为伴随着产业化。团伙化、创新化的攻击手段方式创新多样化，并且伴有持续性，需要对威胁情报有效的检测、拦截和分析。网络信息泛滥，基于网络OSINT的使用是威胁情报挖掘的重要驱动力，作为安全与国防的必要来源，需要建立主动型预测性的威胁情报分析为主的模式，通过技术的模块化进行深度分析与监测管理，及时预警和跟踪，发挥在信息安全领域保护企业关键资产和国家政治稳定的作用。目前由于缺乏统一的基于OSINT的威胁情报共享主管机构，相应各机构缺乏协调机制，难以真正实现联盟层面威胁情报的共享利用。需要从战略高度识别应对关键网络威胁的方向，完善主体、强化技术手段和相关信息环境建立互利共赢的OSINT威胁情报生态，通过融合式共享模式、共享体系标准、加强协同合作发展完善共享协同机制，根据场景化、标准化，迭代运营服务建立安全产品市场推广机制，有助于威胁情报体系发展与完善。威胁情报未来也会贴近实际应用和真实运营，基于OINST的挖掘分析与管理需要考虑成本，去解决威胁情报共享联盟信息不对称的问题，保证生产具有时效性、准确性、完整性的高质量威胁情报产品。