基于本体和 Web3.0 洞悉网络威胁情报盲盒

内容目录：

安全威胁情报是网络空间语境下基于证据的相关知识，包括上下文、机制、标示、含义和在相应场景中动作执行的建议。安全威胁情报可以使风险分析和事件响应工作处理变得更简单、更高效，据互联网数据中心（Internet Data Center，IDC）调研数据显示，威胁情报可以将企业发现威胁的速度提高 10 倍，响应和解决威胁的速度提高 63％，有助于企业显著改善面临的风险局面，因而逐步成为近年来各大安全行业研究和产品化的焦点。

在威胁情报的标准化方面，由于历史原因，不同威胁情报格式规范设计的目标和运用场景各异，各规范的互通性较弱，厂商遵循性也不一而足，对于安全管理人员而言，不同类型安全设备产生的标准格式繁多，令人眼花瞭乱的威胁情报信息无异于“盲盒”，难以有效实现组织内、企业间网络安全威胁信息的共享和利用。赛门铁克公司在 2022 年的一份调查报告指出，至少 35% 的企业完全没有利用威胁情报，同时只有 1% 的顶级的金融、医疗和保险公司完全有效利用了威胁情报。许多研究者、社区和从业人员呼吁将网络空间威胁情报的发展演进目标聚焦于统一语言体系，为威胁信息交换提供更丰富的描述能力、更精确的事件刻画和更易被处理的协议格式方，以法规引导、技术赋能、管理支撑的方式来推动安全威胁情报的便利集成、多维印证、跨域融合和泛在共享，使不同的使用者之间建立互惠互利、持续发展的威胁情报流转渠道与机制，形成防御合力，有效构建积极防御“环环相扣”的链条。

当前，形式化分析、自然语言处理、数据挖掘、数据计算、数据治理等成熟技术为网络安全威胁情报向理论、技术和工程深入拓展构建了坚实基础，而不断创新的知识图谱、泛在网络、价值区块链领域则为威胁情报的未来演进指明了方向。其中尤其值得注意的是本体思想和 Web3.0 技术，它们分别代表了“下一代内容规范”和“下一代网络架构”，革新了威胁情报的内在描述逻辑和外在共享方式，通过丰富威胁情报描述的内涵在生产者、传递者和使用者之间建立“内容共识”，同时通过重构威胁情报的流通模式在创造者、加工者和消费者之间建立“价值共识”。对于知识密集型的网络空间攻防实践而言，这一创新结合能够实现威胁情报在“供给—需求双侧”互牵互引、深度融合，实现安全主体间的无缝衔接和功能自治。

1.1　本体概述

本体来源于哲学术语，通过高度抽象的形式提炼和归约特定领域实体的存在和本质。本体除常用于刻画实体自身外，还大量用于刻画实体间的关联，使用概念、属性、关系、函数和公理等知识元素进行形式化、精确化的表达。“形式化”意味着本体是可以被计算机理解的，“精确化”意味着概念及概念使用的无歧义、无争议性。

本体的作用主要包括规范语义、满足互操作、知识向导、便于重用、确保可靠性等。在规范语义方面，本体主要为人与机器、物理世界与数字世界、逻辑环境与认知环境之间的交流提供关于概念的一致共享协议；在满足互操作方面，本体允许在不同的语言、框架、模式和代码之间进行准确的转换与映射，便于跨领域的理想概念集成；在知识向导方面，可以作为体系起点来辅助知识架构的生成，加快体系构建的效率；在重用方面，通过对领域内重要实体、属性、工程及其相互关系进行形式化描述，促进系统中组件的共享和复用；在确保可靠性方面，本体的形式化表达使得语义一致性和合规性的检查成为可能，提升了模型质量。

1.2　威胁情报的本体建构

本体的概念化、形式化、精确化和可共享性质使得概念能够通过本体为不同的个体所接受并达成共识，从而有效促进知识的转换和流通。这类“可共享的概念”特别适合将网络空间威胁情报领域中的基础信息、资产信息、攻击信息、防御信息和趋势信息等进行一致且规范化的表达，通过全网安全信息的汇聚、积累和研判，从全局或区域角度综合运用大数据关联分析、知识聚合和异常预警等机制，结合专家团队的安全研究能力和一线实战攻防经验，能够显著提升不同地域、不同层级、不同机构间信息的整合、联动处置和风险管理能力。

为了将本体技术引入威胁情报体系，需要给定领域知识模型、概念框架、通信协议等的本体化描述，通过本体建构解决数据映射、实体共享、系统适配等关键问题。威胁情报领域的本体建构通常由半自动化的专家辅助模式完成，可以基于现有较成熟的规范语义拓展，并在运行中随着需求的变化持续迭代更新。基本的本体建构步骤一般包括 7 个环节：一是确定领域范围。明确威胁情报本体是针对通用领域还是专用领域，如相关用途、范围、目的、由谁使用和维护等。二是确定从哪些现有模型中继承。通过精炼、扩充、修改现有本体，从中得到启发和帮助。三是列出本体中的核心术语。主要是网络空间安全威胁情报所必需的实体、属性、关系等，且这些术语已经得到公认。四是定义类和类的继承。确保类的继承关系正确，分析继承结构中的兄弟类、新类或属性值的取舍等。五是定义属性和关系。概念间的联系包括内部属性和外部属性，内部属性通常用来连接概念和值，外部属性通常用于连接概念间的实例。六是定义属性的限制。如属性的基准值、类型、定义域和值域等。七是创建实例。从结构化、非结构化和半结构化数据来源中创建本体系的实例，同时为实例的属性赋值，形成最初版本的知识库 。

1.3　威胁情报的本体映射

本体映射是指在不同来源构建的语义体系之间建立对应关系，给出转换途径，解决不同领域本体异构性的方法。由于威胁情报原始数据格式众多、标准不一，为了充分利用现有安全模型中蕴含的知识，实现本体复用，必须在基准本体模型的规范下，对不同本体来源的异构概念和实例信息进行识别、清洗、整编和规范，使其能够被更广泛的使用者集成使用。在本体的映射过程中往往存在各类问题，如原有知识体系不一致、多个知识体系不相容、数据规范与数据存在偏离等问题，需要进行持续的冲突检测和异常发现，以确保本体模型和数据资源的可用性和可靠性。

在本体映射前需要识别待处理知识体系中蕴含的不同类型的信息，如概念描述信息、关系描述信息、属性描述信息或实例描述信息等，在此基础上制定转换规则。威胁情报领域的资产、风险、样本、漏洞、终端、组织、信誉及影响等核心概念，将会与其关系一并写入转换规则中。对于结构化数据，可以通过读取数据模型直接获取关系模式，建立数据在不同语言体系间转换的方式方法；对于非结构化数据，可以基于统计学、语言学或机器学习方法，通过词典、模板、分类或聚类技术建立映射关系；对于半结构化数据，可以有效利用隐含的结构信息，通过预定义、自优化的方式学习映射函数，最终实现本体映射规则的建立 。

在本体映射后，可以进行节点优化和索引结构建立操作。一方面将本体映射阶段形成的属性、规则、概念进行转换，将其形式化为用于索引建立和更新的索引字典；另一方面将实体对齐后形成的知识图谱原始数据按索引字典的要求进行整编和建构，形成能够快速响应查询和推理请求的索引结构。

1.4　威胁情报的本体使用

在分发层面，传统意义上的威胁情报分发包括 3 类机制，即点对点网络（Peer to Peer，P2P）共享模式、单向订阅模式、中心转发共享模式，这 3 类情报共享机制几乎覆盖了所有的情报共享场景，形成了主动和被动两类情报分发能力。在主动方式中，情报生产者按照用户需求选择和生产定制化的情报产品，以定期或不定期服务的方式将情报信息交付给最终用户；在被动方式中，情报生产者按其自身能力和商业逻辑生产情报产品，并在公开渠道发布，情报用户通过关联、检索或推荐等方式定位所需内容，在使用中通过接口调用方式与自身系统集成。

2.1　威胁情报共享场景

业内普遍认为，网络安全威胁情报的生成是重点，标准是纽带，增值在使用，核心是共享。共享之所以如此关键，是因为数据作为一种特殊商品，具有易复制性、强互补性、强外部性，使交易过程中几乎不产生物质消耗，反而会激发新的知识和价值。

在威胁情报共享的生态链中，一般有情报生产者、传递者和使用者 3 类角色。情报生态系统中的各要素通过良性互动构成一个自我运转、自我循环和自我提升的有机整体。由于自身的安全预算有限、人员水平参差不齐，大部分企业均以从外部获取安全威胁情报为主。如果一个组织在某个特定的行业领域有很高的知名度，并且能够满足用户的需求，那么它所生成的威胁情报信息将广受欢迎，这就是为什么应 急 响 应 团 队（Computer Emergency Response Team，CERT）、供应商和专业安全公司可以成为特定行业或区域内良好的情报来源。除了这些专业的团队，安全威胁情报的来源还包括开源社区、合作伙伴、信息服务提供商（Internet Service Provider，ISP）、产品用户、法律机构或其他事件响应组织等。

当前，制约威胁情报共享程度、能力和规模进一步提升的主要因素是收益、管理与安全问题，这导致情报生产者、传递者和使用者不愿共享、不敢共享或不能共享，使情报闭锁在“孤岛”中，活力与潜力无法释放。同时，黑产数据交易大肆扩张，“劣币驱逐良币”不断上演。威胁情报新一代生态的构建，迫切需要在信息化持续发展的浪潮中，引入新思维、新理念，用情报生产带来的“加数”价值与情报聚合带来的“乘数”价值，催生情报共享带来的“指数”价值。

2.2　Web3.0 带来的变革

自 2022 年 以 来，Web3.0 越 来 越 多 地 被 业界提及。回顾互联网从 Web1.0 到 Web2.0 的演进，我们可以看到用户的行为是受限的，用户数据隐私未能得到充分的保护，同时用户在互联网中的主动建设力度和影响是偏弱的。如果说 Web1.0 相当于传统报纸杂志的电子化，其范式是平台创造、平台所有、平台控制、平台受益，那么 Web2.0 就代表了以互联网巨头为核心形成的生态圈，垄断着生态的数据、价值和网络效应，其范式为用户创造、平台所有、平台控制、平台分配。这种范式同样作用于网络威胁情报领域，安全社区、头部企业、国家组织事实上掌控着“平台”，决定着威胁情报的采纳、信息的流转和信息的去向。在这种情况下，威胁情报的生产者迈进生态的门槛较高、收益较少、话语权较弱，新兴参与者的意向往往也不高，从长远来看，不利于网络安全生态共同建设、共同维护的理念发展。

Web3.0 是当前热议的元宇宙的底层网络架构，在区块链等分布式技术的助力下，Web3.0将从开放、隐私和共建 3 个角度来颠覆 Web2.0互联网，打造一个由用户社区主导的去中心化世界，重构互联网流量价值范式 [5]。其开放性体现在用户在某个互联网应用领域中的准入充分自由、门槛低，行为不受第三方限制，且无须领域信息便可低成本互联互通；其隐私性体现在数据所有权归用户所有，价值转移不需要第三方授权；其共建性体现在 Web3.0 区块链智能合约的激励机制能够将内容经济的价值有效地反馈给创作者，从而使内容与价值相生相长的正向循环能够持久生产和再生产。

2.3　Web3.0 的威胁情报共享机制

与 Web2.0 中威胁情报内容创造与定向流转的受限情况相比，Web3.0 的种种关键特性将有助于切实释放数据泛在赋能的潜力，在多方主体间形成一个共建、共治和共享价值的网络世界。在 Web3.0 中，用户所创造的数字内容，所有权明确为用户所有，由用户控制，其所创造的价值，根据用户与他人签订的协议进行分配，类似于数字经济当中的市场经济，确认、尊重和保护个人的数字产权，基于契约进行价值交换，使得数据内容得到了资产级别的认可和保障。建立数据的信任环境和有效的激励机制，明确数据权利，保存数据价值，护航数据流通与交易变现，能够在威胁情报共享场景中带来崭新的范式与操作可能。

如图 1 所示，Web3.0 通过解决所有权和控制权的问题，使其克服了 Web2.0 的固有缺点，用户拥有其数据，点对点交易可以绕过中间商，数据作为公共物品存在于区块链上，任何人都可以贡献内容并将其货币化，在生态链中取得相应的收益，并承担一定的责任和义务。具体到威胁情报的生产者、传递者和使用者上，可基于去中心化的数据架构和起源认证、内容防护、信任评估、溯源审计等安全技术手段，为威胁情报流转全生命周期提供可信、安全及可靠的收益保障，包括情报价值可知、情报行为可控、情报主体可信和情报监管可靠等特征。

图 1　基于 Web3.0 的威胁情报共享机制

（1）情报价值可知。分离数据的所有权与使用权价值，针对不同数据来源，设计定价策略，优化计量机制，保护数据价值，激励数据提供方不断丰富数据供应、改进数据质量。（2）情报行为可控。基于区块链技术对实体化数据的特征进行记载，实现数据有效确权；采用数字水印、标签等技术实现数据指纹化，使情报使用主体、方式和内容得到完整记录，确保全程价值流转追溯。（3）情报主体可信。通过用户画像与推理，在准确描述评估情报生产、加工与使用能力、需求的同时，基于履约记录、信誉控制降低情报流通过程中的承诺失信、秘密失控、信息滥用、数据非法跨境等风险。（4）情报监管可靠。采用技术手段，辅助行业自律规范的贯彻实施，创造情报流转良性生态，提升情报共享活跃度，促进产业健康可持续发展。

在 Web3.0 即将带来的令人激动的特性和深入赋能的众多应用中，威胁情报共享是能够近乎完全匹配 Web3.0 支撑能力的重点领域。情报生产者在交互环境中的准入充分自由、门槛低、参与容易。在价值互联网思想的驱动下，Web3.0 的技术架构使得不同的威胁情报分发模式均能支持情报主体的确权、情报内容的估值和情报收益的兑现，激励更多、更快、质量更高的威胁情报内容生成循环。在这种愿景下，由多个威胁情报个体、社区和组织构成的生态环境能够更好地适配、服务并受惠于网络空间，进而达到“一处生成、泛在共享、联手御敌、收益保障”的理想目标。