車 凌，楊 宏

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

安全威脅情報是網(wǎng)絡空間語境下基于證據(jù)的相關知識，包括上下文、機制、標示、含義和在相應場景中動作執(zhí)行的建議。安全威脅情報可以使風險分析和事件響應工作處理變得更簡單、更高效，據(jù)互聯(lián)網(wǎng)數(shù)據(jù)中心（Internet Data Center，IDC）調(diào)研數(shù)據(jù)顯示，威脅情報可以將企業(yè)發(fā)現(xiàn)威脅的速度提高10 倍，響應和解決威脅的速度提高63%，有助于企業(yè)顯著改善面臨的風險局面，因而逐步成為近年來各大安全行業(yè)研究和產(chǎn)品化的焦點。

在威脅情報的標準化方面，由于歷史原因，不同威脅情報格式規(guī)范設計的目標和運用場景各異，各規(guī)范的互通性較弱，廠商遵循性也不一而足，對于安全管理人員而言，不同類型安全設備產(chǎn)生的標準格式繁多，令人眼花瞭亂的威脅情報信息無異于“盲盒”，難以有效實現(xiàn)組織內(nèi)、企業(yè)間網(wǎng)絡安全威脅信息的共享和利用。賽門鐵克公司在2022 年的一份調(diào)查報告指出，至少35%的企業(yè)完全沒有利用威脅情報，同時只有1%的頂級的金融、醫(yī)療和保險公司完全有效利用了威脅情報。許多研究者、社區(qū)和從業(yè)人員呼吁將網(wǎng)絡空間威脅情報的發(fā)展演進目標聚焦于統(tǒng)一語言體系，為威脅信息交換提供更豐富的描述能力、更精確的事件刻畫和更易被處理的協(xié)議格式方，以法規(guī)引導、技術賦能、管理支撐的方式來推動安全威脅情報的便利集成、多維印證、跨域融合和泛在共享，使不同的使用者之間建立互惠互利、持續(xù)發(fā)展的威脅情報流轉(zhuǎn)渠道與機制，形成防御合力，有效構(gòu)建積極防御“環(huán)環(huán)相扣”的鏈條。

當前，形式化分析、自然語言處理、數(shù)據(jù)挖掘、數(shù)據(jù)計算、數(shù)據(jù)治理等成熟技術為網(wǎng)絡安全威脅情報向理論、技術和工程深入拓展構(gòu)建了堅實基礎，而不斷創(chuàng)新的知識圖譜、泛在網(wǎng)絡、價值區(qū)塊鏈領域則為威脅情報的未來演進指明了方向。其中尤其值得注意的是本體思想和Web3.0 技術，它們分別代表了“下一代內(nèi)容規(guī)范”和“下一代網(wǎng)絡架構(gòu)”，革新了威脅情報的內(nèi)在描述邏輯和外在共享方式，通過豐富威脅情報描述的內(nèi)涵在生產(chǎn)者、傳遞者和使用者之間建立“內(nèi)容共識”，同時通過重構(gòu)威脅情報的流通模式在創(chuàng)造者、加工者和消費者之間建立“價值共識”。對于知識密集型的網(wǎng)絡空間攻防實踐而言，這一創(chuàng)新結(jié)合能夠?qū)崿F(xiàn)威脅情報在“供給—需求雙側(cè)”互牽互引、深度融合，實現(xiàn)安全主體間的無縫銜接和功能自治。

1 威脅情報的本體共識

威脅情報承載著形式多樣、內(nèi)涵豐富、用途廣泛的網(wǎng)絡安全信息，在其發(fā)展過程中，許多研究人員試圖使用不同的形式化語義工具對威脅情報進行刻畫和表達，以達到更豐富、準確和可擴展的描述、規(guī)約和使用效果，本體即是其中的一類方法。本部分圍繞本體概述、本體建構(gòu)、本體映射和本體使用，對威脅情報的本體化以及建立共識的過程進行概述。

1.1 本體概述

本體來源于哲學術語，通過高度抽象的形式提煉和歸約特定領域?qū)嶓w的存在和本質(zhì)。本體除常用于刻畫實體自身外，還大量用于刻畫實體間的關聯(lián)，使用概念、屬性、關系、函數(shù)和公理等知識元素進行形式化、精確化的表達?！靶问交币馕吨倔w是可以被計算機理解的，“精確化”意味著概念及概念使用的無歧義、無爭議性。

本體的作用主要包括規(guī)范語義、滿足互操作、知識向?qū)?、便于重用、確?？煽啃缘取Ｔ谝?guī)范語義方面，本體主要為人與機器、物理世界與數(shù)字世界、邏輯環(huán)境與認知環(huán)境之間的交流提供關于概念的一致共享協(xié)議；在滿足互操作方面，本體允許在不同的語言、框架、模式和代碼之間進行準確的轉(zhuǎn)換與映射，便于跨領域的理想概念集成；在知識向?qū)Х矫妫梢宰鳛轶w系起點來輔助知識架構(gòu)的生成，加快體系構(gòu)建的效率；在重用方面，通過對領域內(nèi)重要實體、屬性、工程及其相互關系進行形式化描述，促進系統(tǒng)中組件的共享和復用；在確保可靠性方面，本體的形式化表達使得語義一致性和合規(guī)性的檢查成為可能，提升了模型質(zhì)量。

1.2 威脅情報的本體建構(gòu)

本體的概念化、形式化、精確化和可共享性質(zhì)使得概念能夠通過本體為不同的個體所接受并達成共識，從而有效促進知識的轉(zhuǎn)換和流通。這類“可共享的概念”特別適合將網(wǎng)絡空間威脅情報領域中的基礎信息、資產(chǎn)信息、攻擊信息、防御信息和趨勢信息等進行一致且規(guī)范化的表達，通過全網(wǎng)安全信息的匯聚、積累和研判，從全局或區(qū)域角度綜合運用大數(shù)據(jù)關聯(lián)分析、知識聚合和異常預警等機制，結(jié)合專家團隊的安全研究能力和一線實戰(zhàn)攻防經(jīng)驗，能夠顯著提升不同地域、不同層級、不同機構(gòu)間信息的整合、聯(lián)動處置和風險管理能力[1]。

為了將本體技術引入威脅情報體系，需要給定領域知識模型、概念框架、通信協(xié)議等的本體化描述，通過本體建構(gòu)解決數(shù)據(jù)映射、實體共享、系統(tǒng)適配等關鍵問題。威脅情報領域的本體建構(gòu)通常由半自動化的專家輔助模式完成，可以基于現(xiàn)有較成熟的規(guī)范語義拓展，并在運行中隨著需求的變化持續(xù)迭代更新。基本的本體建構(gòu)步驟一般包括7 個環(huán)節(jié)：一是確定領域范圍。明確威脅情報本體是針對通用領域還是專用領域，如相關用途、范圍、目的、由誰使用和維護等。二是確定從哪些現(xiàn)有模型中繼承。通過精煉、擴充、修改現(xiàn)有本體，從中得到啟發(fā)和幫助。三是列出本體中的核心術語。主要是網(wǎng)絡空間安全威脅情報所必需的實體、屬性、關系等，且這些術語已經(jīng)得到公認。四是定義類和類的繼承。確保類的繼承關系正確，分析繼承結(jié)構(gòu)中的兄弟類、新類或?qū)傩灾档娜∩岬取Ｎ迨嵌x屬性和關系。概念間的聯(lián)系包括內(nèi)部屬性和外部屬性，內(nèi)部屬性通常用來連接概念和值，外部屬性通常用于連接概念間的實例。六是定義屬性的限制。如屬性的基準值、類型、定義域和值域等。七是創(chuàng)建實例。從結(jié)構(gòu)化、非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)來源中創(chuàng)建本體系的實例，同時為實例的屬性賦值，形成最初版本的知識庫[2]。

1.3 威脅情報的本體映射

本體映射是指在不同來源構(gòu)建的語義體系之間建立對應關系，給出轉(zhuǎn)換途徑，解決不同領域本體異構(gòu)性的方法。由于威脅情報原始數(shù)據(jù)格式眾多、標準不一，為了充分利用現(xiàn)有安全模型中蘊含的知識，實現(xiàn)本體復用，必須在基準本體模型的規(guī)范下，對不同本體來源的異構(gòu)概念和實例信息進行識別、清洗、整編和規(guī)范，使其能夠被更廣泛的使用者集成使用。在本體的映射過程中往往存在各類問題，如原有知識體系不一致、多個知識體系不相容、數(shù)據(jù)規(guī)范與數(shù)據(jù)存在偏離等問題，需要進行持續(xù)的沖突檢測和異常發(fā)現(xiàn)，以確保本體模型和數(shù)據(jù)資源的可用性和可靠性。

在本體映射前需要識別待處理知識體系中蘊含的不同類型的信息，如概念描述信息、關系描述信息、屬性描述信息或?qū)嵗枋鲂畔⒌龋诖嘶A上制定轉(zhuǎn)換規(guī)則。威脅情報領域的資產(chǎn)、風險、樣本、漏洞、終端、組織、信譽及影響等核心概念，將會與其關系一并寫入轉(zhuǎn)換規(guī)則中。對于結(jié)構(gòu)化數(shù)據(jù)，可以通過讀取數(shù)據(jù)模型直接獲取關系模式，建立數(shù)據(jù)在不同語言體系間轉(zhuǎn)換的方式方法；對于非結(jié)構(gòu)化數(shù)據(jù)，可以基于統(tǒng)計學、語言學或機器學習方法，通過詞典、模板、分類或聚類技術建立映射關系；對于半結(jié)構(gòu)化數(shù)據(jù)，可以有效利用隱含的結(jié)構(gòu)信息，通過預定義、自優(yōu)化的方式學習映射函數(shù)，最終實現(xiàn)本體映射規(guī)則的建立[3]。

在本體映射后，可以進行節(jié)點優(yōu)化和索引結(jié)構(gòu)建立操作。一方面將本體映射階段形成的屬性、規(guī)則、概念進行轉(zhuǎn)換，將其形式化為用于索引建立和更新的索引字典；另一方面將實體對齊后形成的知識圖譜原始數(shù)據(jù)按索引字典的要求進行整編和建構(gòu)，形成能夠快速響應查詢和推理請求的索引結(jié)構(gòu)。

1.4 威脅情報的本體使用

在分發(fā)層面，傳統(tǒng)意義上的威脅情報分發(fā)包括3 類機制，即點對點網(wǎng)絡（Peer to Peer，P2P）共享模式、單向訂閱模式、中心轉(zhuǎn)發(fā)共享模式，這3 類情報共享機制幾乎覆蓋了所有的情報共享場景，形成了主動和被動兩類情報分發(fā)能力。在主動方式中，情報生產(chǎn)者按照用戶需求選擇和生產(chǎn)定制化的情報產(chǎn)品，以定期或不定期服務的方式將情報信息交付給最終用戶；在被動方式中，情報生產(chǎn)者按其自身能力和商業(yè)邏輯生產(chǎn)情報產(chǎn)品，并在公開渠道發(fā)布，情報用戶通過關聯(lián)、檢索或推薦等方式定位所需內(nèi)容，在使用中通過接口調(diào)用方式與自身系統(tǒng)集成。

2 Web3.0 中的威脅情報共享

在安全環(huán)境復雜程度持續(xù)增長、已知與未知安全威脅相互交織的背景下，威脅情報已經(jīng)成為網(wǎng)絡安全治理的重要基礎，是跨企業(yè)、跨廠商、跨行業(yè)甚至跨國界對共同的網(wǎng)絡空間威脅實施積極防御的關鍵。Web3.0 作為一類新興的網(wǎng)絡信息技術，極大地拓展了信息共享的概念特征和功能想象，也賦予了威脅情報體系新的發(fā)展契機。

2.1 威脅情報共享場景

業(yè)內(nèi)普遍認為，網(wǎng)絡安全威脅情報的生成是重點，標準是紐帶，增值在使用，核心是共享。共享之所以如此關鍵，是因為數(shù)據(jù)作為一種特殊商品，具有易復制性、強互補性、強外部性，使交易過程中幾乎不產(chǎn)生物質(zhì)消耗，反而會激發(fā)新的知識和價值。

在威脅情報共享的生態(tài)鏈中，一般有情報生產(chǎn)者、傳遞者和使用者3 類角色。情報生態(tài)系統(tǒng)中的各要素通過良性互動構(gòu)成一個自我運轉(zhuǎn)、自我循環(huán)和自我提升的有機整體。由于自身的安全預算有限、人員水平參差不齊，大部分企業(yè)均以從外部獲取安全威脅情報為主。如果一個組織在某個特定的行業(yè)領域有很高的知名度，并且能夠滿足用戶的需求，那么它所生成的威脅情報信息將廣受歡迎，這就是為什么應急響應團隊（Computer Emergency Response Team，CERT）、供應商和專業(yè)安全公司可以成為特定行業(yè)或區(qū)域內(nèi)良好的情報來源。除了這些專業(yè)的團隊，安全威脅情報的來源還包括開源社區(qū)、合作伙伴、信息服務提供商（Internet Service Provider，ISP）、產(chǎn)品用戶、法律機構(gòu)或其他事件響應組織等[4]。

當前，制約威脅情報共享程度、能力和規(guī)模進一步提升的主要因素是收益、管理與安全問題，這導致情報生產(chǎn)者、傳遞者和使用者不愿共享、不敢共享或不能共享，使情報閉鎖在“孤島”中，活力與潛力無法釋放。同時，黑產(chǎn)數(shù)據(jù)交易大肆擴張，“劣幣驅(qū)逐良幣”不斷上演。威脅情報新一代生態(tài)的構(gòu)建，迫切需要在信息化持續(xù)發(fā)展的浪潮中，引入新思維、新理念，用情報生產(chǎn)帶來的“加數(shù)”價值與情報聚合帶來的“乘數(shù)”價值，催生情報共享帶來的“指數(shù)”價值。

2.2 Web3.0 帶來的變革

自2022 年以來，Web3.0 越來越多地被業(yè)界提及?；仡櫥ヂ?lián)網(wǎng)從Web1.0 到Web2.0 的演進，我們可以看到用戶的行為是受限的，用戶數(shù)據(jù)隱私未能得到充分的保護，同時用戶在互聯(lián)網(wǎng)中的主動建設力度和影響是偏弱的。如果說Web1.0 相當于傳統(tǒng)報紙雜志的電子化，其范式是平臺創(chuàng)造、平臺所有、平臺控制、平臺受益，那么Web2.0 就代表了以互聯(lián)網(wǎng)巨頭為核心形成的生態(tài)圈，壟斷著生態(tài)的數(shù)據(jù)、價值和網(wǎng)絡效應，其范式為用戶創(chuàng)造、平臺所有、平臺控制、平臺分配。這種范式同樣作用于網(wǎng)絡威脅情報領域，安全社區(qū)、頭部企業(yè)、國家組織事實上掌控著“平臺”，決定著威脅情報的采納、信息的流轉(zhuǎn)和信息的去向。在這種情況下，威脅情報的生產(chǎn)者邁進生態(tài)的門檻較高、收益較少、話語權(quán)較弱，新興參與者的意向往往也不高，從長遠來看，不利于網(wǎng)絡安全生態(tài)共同建設、共同維護的理念發(fā)展。

Web3.0 是當前熱議的元宇宙的底層網(wǎng)絡架構(gòu)，在區(qū)塊鏈等分布式技術的助力下，Web3.0將從開放、隱私和共建3 個角度來顛覆Web2.0互聯(lián)網(wǎng)，打造一個由用戶社區(qū)主導的去中心化世界，重構(gòu)互聯(lián)網(wǎng)流量價值范式[5]。其開放性體現(xiàn)在用戶在某個互聯(lián)網(wǎng)應用領域中的準入充分自由、門檻低，行為不受第三方限制，且無須領域信息便可低成本互聯(lián)互通；其隱私性體現(xiàn)在數(shù)據(jù)所有權(quán)歸用戶所有，價值轉(zhuǎn)移不需要第三方授權(quán)；其共建性體現(xiàn)在Web3.0 區(qū)塊鏈智能合約的激勵機制能夠?qū)?nèi)容經(jīng)濟的價值有效地反饋給創(chuàng)作者，從而使內(nèi)容與價值相生相長的正向循環(huán)能夠持久生產(chǎn)和再生產(chǎn)。

2.3 Web3.0 的威脅情報共享機制

與Web2.0 中威脅情報內(nèi)容創(chuàng)造與定向流轉(zhuǎn)的受限情況相比，Web3.0 的種種關鍵特性將有助于切實釋放數(shù)據(jù)泛在賦能的潛力，在多方主體間形成一個共建、共治和共享價值的網(wǎng)絡世界。在Web3.0 中，用戶所創(chuàng)造的數(shù)字內(nèi)容，所有權(quán)明確為用戶所有，由用戶控制，其所創(chuàng)造的價值，根據(jù)用戶與他人簽訂的協(xié)議進行分配，類似于數(shù)字經(jīng)濟當中的市場經(jīng)濟，確認、尊重和保護個人的數(shù)字產(chǎn)權(quán)，基于契約進行價值交換，使得數(shù)據(jù)內(nèi)容得到了資產(chǎn)級別的認可和保障。建立數(shù)據(jù)的信任環(huán)境和有效的激勵機制，明確數(shù)據(jù)權(quán)利，保存數(shù)據(jù)價值，護航數(shù)據(jù)流通與交易變現(xiàn)，能夠在威脅情報共享場景中帶來嶄新的范式與操作可能[6]。

如圖1 所示，Web3.0 通過解決所有權(quán)和控制權(quán)的問題，使其克服了Web2.0 的固有缺點，用戶擁有其數(shù)據(jù)，點對點交易可以繞過中間商，數(shù)據(jù)作為公共物品存在于區(qū)塊鏈上，任何人都可以貢獻內(nèi)容并將其貨幣化，在生態(tài)鏈中取得相應的收益，并承擔一定的責任和義務。具體到威脅情報的生產(chǎn)者、傳遞者和使用者上，可基于去中心化的數(shù)據(jù)架構(gòu)和起源認證、內(nèi)容防護、信任評估、溯源審計等安全技術手段，為威脅情報流轉(zhuǎn)全生命周期提供可信、安全及可靠的收益保障，包括情報價值可知、情報行為可控、情報主體可信和情報監(jiān)管可靠等特征。

（1）情報價值可知。分離數(shù)據(jù)的所有權(quán)與使用權(quán)價值，針對不同數(shù)據(jù)來源，設計定價策略，優(yōu)化計量機制，保護數(shù)據(jù)價值，激勵數(shù)據(jù)提供方不斷豐富數(shù)據(jù)供應、改進數(shù)據(jù)質(zhì)量。

（2）情報行為可控?；趨^(qū)塊鏈技術對實體化數(shù)據(jù)的特征進行記載，實現(xiàn)數(shù)據(jù)有效確權(quán)；采用數(shù)字水印、標簽等技術實現(xiàn)數(shù)據(jù)指紋化，使情報使用主體、方式和內(nèi)容得到完整記錄，確保全程價值流轉(zhuǎn)追溯。

（3）情報主體可信。通過用戶畫像與推理，在準確描述評估情報生產(chǎn)、加工與使用能力、需求的同時，基于履約記錄、信譽控制降低情報流通過程中的承諾失信、秘密失控、信息濫用、數(shù)據(jù)非法跨境等風險。

（4）情報監(jiān)管可靠。采用技術手段，輔助行業(yè)自律規(guī)范的貫徹實施，創(chuàng)造情報流轉(zhuǎn)良性生態(tài)，提升情報共享活躍度，促進產(chǎn)業(yè)健康可持續(xù)發(fā)展。

在Web3.0 即將帶來的令人激動的特性和深入賦能的眾多應用中，威脅情報共享是能夠近乎完全匹配Web3.0 支撐能力的重點領域。情報生產(chǎn)者在交互環(huán)境中的準入充分自由、門檻低、參與容易。在價值互聯(lián)網(wǎng)思想的驅(qū)動下，Web3.0 的技術架構(gòu)使得不同的威脅情報分發(fā)模式均能支持情報主體的確權(quán)、情報內(nèi)容的估值和情報收益的兌現(xiàn)，激勵更多、更快、質(zhì)量更高的威脅情報內(nèi)容生成循環(huán)。在這種愿景下，由多個威脅情報個體、社區(qū)和組織構(gòu)成的生態(tài)環(huán)境能夠更好地適配、服務并受惠于網(wǎng)絡空間，進而達到“一處生成、泛在共享、聯(lián)手御敵、收益保障”的理想目標。

3 結(jié) 語

當前，網(wǎng)絡安全威脅情報無論在內(nèi)涵還是外延上，都處于迅猛發(fā)展階段，隨著情報的實時性、準確性、實用性不斷提升，其價值也迫切得到認可和實現(xiàn)。Web3.0 為支撐一個可用性高、安全性高、可靠性高的情報共享框架提供了廣泛的想象空間，同時Web3.0 還有更多值得挖掘的內(nèi)容，包括分布式存儲協(xié)議、更安全的密碼體系、更高效的協(xié)同眾包方式等，需要得到科研圈和產(chǎn)業(yè)界的持續(xù)投入和關注。