智能化条件下网络威胁情报分析研究

陈 明 汤文峤

(1.中国人民武装警察部队警官学院 成都 610213;2.中国人民解放军国防科技大学 南京 210039)

当前，智能化时代推动着网络空间向更高、更远的层次发展，有效的网络威胁情报工作是维护网络空间安全的重要保障。其中，做好网络威胁情报分析工作是提升网络安全工作针对性、准确性、及时性、有效性的根本保障。

经梳理相关资料发现，学界对本课题的相关研究主要表现在：一是以国家安全情报分析为视角，认为情报分析方法已由技艺走向科学，只要掌握基本信息，通过小心的假设，缜密的推理，完全可以得出正确的结论[1]。二是普遍意义上的情报分析具有层次性[2]。理论型以“方法核心概念”+“方法”为主要形式，包括归纳方法、演绎方法、逻辑思辨方法等；集合型以“方法核心概念”+“分析法”为主要形式，如比较分析法、分类分析法；操作型方法以“方法核心概念”+“法”为主要形式，如引文分析法、趋势外推法；计算型以其通用形式为主，如决策树、朴素贝叶斯等。三是提出情报分析是意义构建过程[3]。情报分析决定着整个情报产品的价值，是实现数据、信息向情报转化，提供增值产品和服务的核心所在。情报分析就是指多来源分析，即在原有知识基础上，通过对多来源信息的验证以及推理生产出成品情报。四是尚没有提出网络威胁情报分析的理论体系、流程框架。网络威胁情报关联分析系统能够提供实体关联拓线、多实体关系分析、实体关联组织、实体与组织关联路径和约束条件下关联拓线能力[4]。开源威胁情报分析模式作为一个系统过程，分为威胁情报获取与识别、融合评价、关联分析等几个过程。[5]

总体来看，学界关于本课题的研究较少，相关学术观点还较为分散。因此，本课题将综合运用信息学、系统工程学等研究方法，紧密联系智能化时代特征，深入分析网络威胁情报分析的相关议题，以期为相关部门的理论研究和实践工作提供借鉴。

1 智能化条件下网络威胁情报分析的特征

1.1 回顾过去与展望未来密切关联

大数据时代的最大特征是万物均可以被记录。网络威胁情报分析工作可以借助机器学习、人工智能等技术手段对网络流量、安全设备日志、系统日志、用户行为等信息进行深度挖掘，总结归纳网络威胁的类型、发生规律等信息，为丰富网络威胁数据库，消除网络安全隐患提供参考。同时，网络威胁与信息技术的发展动态密切关联，与网络安全漏洞相伴随。情报分析人员可以通过对海量数据的挖掘预测出可能会发生的网络安全威胁，分析过程具有明鲜的“数据+分析”特征。因此，回顾过去与展望未来是智能化条件下网络威胁情报分析的首要特征。

1.2 数据优势与分析优势共同制胜

数据是形成情报的前提。在网络空间，谁拥有海量的数据，谁将拥有海量的资源。获取并保存海量的数据已受到网络威胁情报分析人员的高度重视。由于网络空间的空间范围正在迅速扩大，可以被实时存储和记录的数据呈指数级增加，有价值的情报信息淹没在海量的数据之中。同时，网络威胁手段不断更新，技术复杂性增加，显示出长期性、多路径性、复合性、隐蔽性等攻击特征，如果没有有效的情报分析，将不可能形成准确的判断，更不可能采取有针对性的行动。显然，智能化条件下应对网络威胁的首要条件是形成情报分析优势。

1.3 机器自主与人机融合互为补充

智能化条件下网络威胁情报分析工作可以依赖一定的分析模型自主对网络流量、日志等数据展开采集、预处理、存储与挖掘等工作，进而形成可供利用的情报。事实上，情报分析并不是对所掌握的数据简单组合，而是要融入人的主观判断，形成具有规律性的结论或预测性的决策，特别是网络溯源等活动还需要结合政治学、社会学、经济学等领域的相关知识，从自动化分析系统所揭示的各要素之间的相关关系中找出指向性更强、关联性更紧、运用性更高的因果关系。因此，智能化条件下网络威胁情报分析不可能脱离人的主观能动性，相反要在事关行业领域发展的重大问题上要充分依赖决策者的构想设计，综合专家智能形成多项措施建议，从而做出最恰当的选择。

1.4 认知对抗与机器对抗并行展开

大数据、人工智能的本质是利用海量的数据揭示事物之间的运行规律。事实上，受市场环境、保密规定等因素限制，“数据孤岛”与“知识距离”在网络空间客观存在，该部分数据并不能被威胁情报自动化分析系统所搜集和处理，相反，可能是具备极高情报价值的“不易察觉的精确小数据”[6]。与此同时，为实时感知行业发展动态，获取竞争优势和谋得现实利益，相关领域依照智囊团队建议均建有完善的网络威胁情报分析系统，该类系统不仅运行标准不一、算法各异，而且具有一定的反情报功能，真与假、对与错、结构化与非结构化等数据形式始终存在，认知对抗与机器对抗在网络威胁情报分析领域同时展开，相互交织，难以割裂。

2 智能化条件下网络威胁情报分析面临的主要问题

2.1 情报分析方法间难以兼容

智能化条件下网络威胁情报分析涉及大数据、情报分析基本理论，以及其他相关领域的诸多知识，所依赖的分析方法类型较多。网络威胁越是复杂，越要对情报分析方法进行融合。经研究，具有计算机学科背景的学者倾向于通过数学建模、网络监控、机器学习等技术手段对网络流量、日志、数据库、用户行为、威胁源头等展开分析，较典型的工具有RapidMiner、KNIME、Gephi、Force-directed graph等；具有社会学、政治学背景的研究者则倾向于运用结构化、证伪主义、实证主义、认知心理学等方法对网络安全态势、网络犯罪，以及网络空间大国博弈等议题展开分析。显然，上述两类方法具有明显的不同，相互之间的兼容不仅需要转化思维理念，而且需要加强部门统筹、重新设立人才培养标准。同时，各类方法体系内部也存在技术壁垒，例如网络流量监控技术与网络威胁可视化技术、信号情报分析又截然不同，该类困境又加剧了情报分析方法融合的难度。

2.2 情报分析与情报流程混淆

情报分析是模型的构件之一，与情报传播、情报处理和存储、融合和评价等环节密切关联。情报分析的本质是通过对现有数据、知识的挖掘融合，找出新的知识和规律，而情报搜集、评价、传递等工作并不会产生新的知识，相互间有本质的差别。因此，部分学者构建的情报分析工作的客观规律，甚至会导致情报分析概念边界的泛化，无形中会增加情报分析的难度。

2.3 数据迭代升级增加分析难度

图1 智能化条件下网络威胁情报分析过程

网络威胁情报智能化分析离不开大数据、机器学习等技术手段的支持。其中，机器学习可以实时将最新产生的数据传输至数据库，并与原有数据关联分析，自主调整情报分析模型。研究发现，海量的数据不仅格式多样，难以兼容，而且不同语境下会表达出不同的信息，例如，“Apple”既表示苹果，亦代表某一产品品牌，二者具有本质差别。同时，机器学习以过往规则处理未来数据，本身就带有一定局限，再加上网络威胁情报的隐蔽性和暗语化等特征，数据迭代升级不仅面临数据存在形式结构化与非结构化的困境，而且面临去语境化与再语境化、关键信息被过虑、分析模型被误导等困境。此外，机器学习本身并不会思考，在面对“蜜罐”等网络陷阱时，往往会陷入同类数据反复搜集，而对隐蔽目标情报和高强度密码破译等“盲点”无法补齐等困境，从而使智能化威胁情报分析缺乏内涵。

2.4 人机深度融合面临多重挑战

智能化条件下网络威胁情报分析不可能脱离人的智能存在。人工智能是人的智能的进一步延伸，本身并不具备思考的能力。该过程将完成两项至关重要的任务，即人类自身认知能力的提升和人类思维模式的外化。在该过程中，人机深度融合所面临困境主要体现在：一是提升人类自身认知能力是一个长期的过程，而且要经历正确与错误的反复交替，直接影响网络威胁情报智能化分析系统运行的效能。二是人类思维模式的外化是一项难度较大的工作，由于人的情感、经验、价值观、偏好、利益趋向等因素并没有固定的标准，而且难以量化，致使所建立的情报分析模型只能反映较为线性化的人类思维过程，难以对所有数据展开精确关联。三是人机融合存在“时间差”“信息差”。从目前技术水平来看，机器并不能完全搜集和感知人脑中的所有生物信息，人也不可能完全接受机器提供的信息。同时，人机融合需借助于一定的法规制度、技术手段才能完成，伴随的是因技术研发、试行、完善、普及等诸多工作带来的时间耗费。

3 智能化条件下网络威胁情报分析的模型

智能化条件下网络威胁情报分析并不是纯粹的数据分类与聚合的过程，而是借助于一定的方法技术完成数据关联、威胁识别，并提出应对策略的过程，目的使用户能够准确、高效的采取行动，避免或减少网络攻击带来的损失[7]，核心是对现有信息进行意义构建。本研究综合情报工作流程，以及公共管理学、信息学、计算机技术等相关知识构建如图1所示的分析模型。

3.1 智能化条件下网络威胁情报分析的主要构成

根据图1所示，数据库数据主要由可获取的内部数据和外部数据构成，数据库类型可以是关系型数据库或非关系型数据库，主要根据情报部门的人才、技术、资金等条件选择，相对而言，非关系型数据库(简称NoSQL)是一项全新的数据库革命性运动，其拥护者们提倡运用非关系型的数据存储。限于研究范畴，本研究不对数据库及数据来源作专门论述，所构建的网络威胁情报分析系统主要包括数据预处理、数据关联融合，以及事件预警与应对三个过程。其中，人的智能和智能化系统贯穿于整个过程。

第一，预处理过程。

该过程是网络威胁情报分析的初级阶段，主要是通过数据抽取、转换、聚类等技术，对音频、视频、图片和文本等结构化和非结构化数据进行统一处理，形成可被统一识别处理的信息。要结合数据量大、类型多、主题泛等特征，将数据抽象为实体、事件、说明等抽象实体，划分为不同的主题进行存储，以备深层次的数据分析和挖掘使用。要在依托统一的底层逻辑视图隐藏元数据关联细节的基础上，利用大数据关联分析等技术，关联出不同主题数据之间的关系，使用户可以从整体和局部多角度访问所需数据。

第二，关联融合过程。

图2 以数据驱动为主的网络威胁情报分析模型

该过程是网络威胁情报分析的关键阶段，主要是通过安全可视分析、安全事件关联分析、用户行为分析等技术手段，实现网络安全可视化、安全事件关联动态化、危机预警实时化，形成可被决策者采纳运用的对策建议。要通过数据驱动、假设驱动方法，将多来源、动态演化的网络安全态势以网格图、矩阵图、点阵图、柱状图、力导图等[8]形式展现在分析人员面前，创造符合分析人员心理映像的大数据可视化表征。要综合运用相关关系、因果关系对不断产生的主机日志、入侵警告等安全数据进行聚类挖掘，获得精准的安全威胁情报。要使用攻击图、攻击树等方式解构已知攻击事件的因果、时序关系，并利用政治学、社会学、侦查学等相关领域知识，判定攻击事件的性质、主要意图，以及应对策略等。

第三，事件预警与应对过程。

该过程是网络威胁情报分析的高级阶段，也是对情报分析质量考验最为严格的阶段。该过程，要通过情景假设、模拟推演、关键词分析等方法，预测网络安全威胁可能发生的时间、地点、攻击对象、影响范围等议题。要通过找出关键变量、建立预测模型等方式，准确研判可能发生的网络安全事件等级，并将研判结果以预警提示、专题汇报等形式报送至相关部门。要根据所发生的网络安全事件类型，视情依托第三方情报机构、互联网公司，综合采取引入专家、难题会症、融入决策机构等形式，为有效应对网络安全事件提供支持。

3.2 智能化条件下网络威胁情报分析模型的运行机制

依据相关实践，网络威胁情报分析模型分为数据驱动、假设驱动和事实驱动三类模式，相互间运行机制并不相同。

a.以数据驱动为主的网络威胁情报分析模型。

图3 以假设驱动为主的网络威胁情报分析模型

网络安全威胁常采取探测、渗透、入侵、提权、窃取、篡改等方式，破坏目标对象的机密性、完整性、可用性等安全属性[9]。换言之，网络安全威胁苗头藏匿于数以万计的数据中，具有极强的隐蔽性。情报分析部门要善于从海量数据中发现网络威胁的蛛丝马迹。该过程中，发现与应对网络安全威胁虽具有主动性，但面临所发现网络威胁类型的随机性、源头的不确定性、发生时间和方式的模糊性、应对方式的私密性等特征。因此，以数据驱动为主的网络威胁情报分析模型，就是按照即定的分析规则从海量数据中发现网络威胁苗头，并经过关联分析、人的价值判断等环节后，开始新一轮的数据搜集分析，是一个数据不断迭代升级的过程，运行过程如图2所示。

该模型中，数据库是整个流程运行的基础。情报分析人员根据前期积累形成的知识体系，通过自己建立、外部引入等方式，创建情报分析模型，并将其融入智能化情报分析系统。智能化情报分析系统按照模型规则对数据库中网络流量、日志、用户行为、社交媒体论坛等数据进行格式化处理后，再利用分类和聚类、时间序列、关联分析等技术手段对数据进行深度挖掘，形成咨询报告、风险提示、网络威胁情报态势图等分析成果。情报分析人员根据分析结果判定网络威胁类别，并提出对策建议。反之，则将研究成果融入数据库为下一步优化分析模型，提升分析质量奠定基础。

b.以假设驱动为主的网络威胁情报分析模型。

昆斯认为，为决策提供关键影响因素更为重要，分析不是简单的预测，特别是面对复杂问题时，更应该对描述趋势和作用力，识别可能影响形势发展的因素或变量，提出未来可能发生的情景，并对每种情景发生的可能性进行描述。预测未来既是情报的特性之一，又是情报工作的职责所在。发现和应对网络安全威胁面临诸多不确定性因素，特别是部分威胁还具有较大的社会影响，必须通过建立与证明假设的一系列过程来刻画威胁性质。相比于数据驱动，假设驱动建立在对现有网络安全环境可能存在某种威胁的基础上，网络威胁情报分析的重点将由从海量数据中筛选转向有针对性的搜集数据，并通过建立数据之间的关联来验证和评估假说，假设成立与否是下一步开展什么工作的关键，具体过程如图3所示。

该模型中，假设是整个流程运行的根本动力，主要来源于智能化情报分析系统、情报分析人员，以及其他相关部门对网络安全态势的判断。网络安全威胁假设提出后，情报分析人员通过解析假设等方式确定分析需求，调整优化现有情报分析模型，利用智能化情报分析系统展开库内挖掘等活动，描述出安全威胁之间的基本关联。验证与评估假说阶段，网络威胁情报分析人员一方面利用年表与时间轴线、专家赋值、关联矩阵分析等方法对源IP、目的IP、协议类型、主机日志、防火墙日志、社交媒体论坛主题等数据信息进行深度分析，将数据之间的相关关系逐步向因果关系转换；另一方面要结合人类智能，借助网络威胁情报态势图、模拟推演等手段，对假设展开综合评估。验证和评估完假设后，假设的真假并不能完全确定，还要经过危机假设替代分析阶段。在该阶段，要通过基于危机假设重构情景想定、情景想定概率分析、异常征候等方法，综合运用国家安全、政治学、军事学、社会学等相关知识，对网络威胁发生与否，以及发生的时间、规模、将要造成的影响等议题展开深层次分析。该阶段结束后，网络威胁情报分析人员所得到的结果才具有决策和参考价值，并根据分析结果开展修正假说、发布网络安全预警等工作。

c.以事件驱动为主的网络威胁情报分析模型。

网络攻击会对目标直接发起攻击并瞬时生效，网络的互通性、病毒的裂变传播性不仅会使受攻击网络出现“一机中招、多机感染、区域瘫痪”的局面，还会跨网迅速扩散并影响其他网络，具有门槛低、时间随机等特征[10]。上述情形决定了所有的情报分析工作并不是有效的，而是会面临多种不确定性，甚至不排除失败的可能。因此，网络威胁情报分析不仅聚焦于事前，亦必须高度重视事中、事后。以事实驱动为主的网络威胁情报分析模型就是指在网络安全威胁发生后，情报分析人员围绕如何应对威胁和消除威胁影响而开展的一系列数据挖掘工作，具体过程如图4所示。

图4 以事件驱动为主的网络威胁情报分析模型

该模型中，已发生的网络安全事件是情报分析工作开展的基本动力，是网络威胁情报分析工作开展的高级阶段，具有斗争的激烈性、过程的复杂性，以及资源调用的广泛性等特征。所发生的网络安全事件有预案范围内和非预案范围内两类。其中，预案范围内网络安全事件发生后，情报分析工作直接进入确定事件响应等级阶段，按照规定的程序开展相关工作；预案范围外网络安全事件发生后，情报分析人员要迅速结合安全事件性质进行关联分析，并按照威胁特征重新建立与修正智能化分析模型，为事件定性提供借鉴和参考。由于网络安全事件不同的响应等级有不同的情报分析模式，网络威胁情报分析部门要按照职责边界、能力、技术等级等条件开展跨部门分析，引入第三方情报分析力量，抽组专家队伍等工作。事件有效应对后，采取复盘反思、综合评估等方式形成总结报告，并融入数据库，为下次分析工作提供参考，反之，要及时将最新情报信息融入数据库，通过数据迭代方式升级完善情报分析模型，并转入新一轮的情报分析工作。

4 智能化条件下网络威胁情报分析模型的有效性检验

本文构建出了智能化条件下网络威胁情报分析的三类模型，分别体现不同的运转方式，但在实际运转中往往是三种模式交替运行。为增强模型的有效性，本研究以“震网”病毒为例，展开对模型的有效性检验。

4.1 震网病毒的基本情况

“震网”病毒，英文名称为“Stuxnet”，是一款专门针对西门子工业控制软件SIMATIC WinCC进行攻的特殊病毒。该病毒因在2010年感染了3万个网络终端，致使位于伊朗纳坦兹的约8 000台离心机中有1 000台在2009年底和2010年初被换掉。该起事件不同于网络窃密、勾联等活动，提供了网络攻击行为危及现实世界安全的典型范例，打破了专用网络、专用系统固有的安全基础。关于“震网”病毒的研究，相关资料已较为丰富，本研究主要从情报分析视角，对其进行展开研究，并检验相关模型的有效性。

4.2 “震网”病毒的主要发展过程

经查阅相关资料后发现，“震网”病毒从研发、投放、感染、爆发到应对都经历了很长时间，时间节点和标志性事件如表1所示。

表1 “震网”病毒发展的时间节点和标志性事件[11]

根据表1对“震网”病毒的分析发现，伊朗对该病毒并没有做出有效的防范策略，是情报领域的一次重大失误。换言之，基于数据挖掘的情报分析并没有发挥应有的作用。有必要深入分析“震网”病毒的作用机理(如表2所示)。

4.3 情报分析模型的有效性检验

通过分析发现，“震网”病毒并不是以数据形式存在，而是以可操作程序的形式存在，有明确的攻击对象和运行环境，时间跨度较长，具有较强的隐蔽性。根据本文构建的三个情报分析模型发现，由于该病毒本身并没有对国际互联网或者非预定攻击目标造成伤害，易给情报人员形成普通病毒的错误判断，要做深入的研究，将面临证据不足的困境，因此，基于数据动态分析的模型将不能发挥应有的作用。

基于假设的情报分析模型则需要国家战略决策层、国家安全机构、网信部门和情报机构工作人员要有很强的危机意识。考虑到核设施控制系统主要由俄罗斯技术人员来维护，管理方面可能存有诸多盲区，以及全球工业控制系统的供应商数量有限、美国国家安全局只要知道了核设施控制系统的供应商即可等现实情形，伊朗至少要在2010年初就要对该病毒有所警觉，并检查内部网络系统可能存在的漏洞，假设可能会发生的危机类型，预测可能出现的后果，最终评估其安全可靠性，制定出可行的对策建议，但伊朗相关部门并没有对该病毒保持足够高的重视，没有提出可能的假设，该流程的运行也受到影响。

表2 “震网”病毒的作用机理

基于事件驱动的情报分析模型是最直接，也是最现实的情报模型。伊朗对“震网”病毒警觉就是来源于核设施离心机的损坏，以及其他国家对该病毒的同步感知和研究。在该模型下，伊朗采取的更多措施是威胁溯源、系统升级、杜塞漏洞、更换离心机等，并没有采取更高层次的反制策略。

4.4 本文所构建的情报分析模型的适用条件

一是网络威胁情报部门要实时掌握国家、领域、行业的网络软硬件资产情况，在知己与知彼中才能有效预警网络威胁，否则，将难以获取危及操作系统安全的网络威胁情报。二是人的智能始终是决定性因素。无论是基于数据驱动，还是假设驱动，都需要情报人员保持极高的警觉意识、危机意识，敢于关联不同领域网络威胁，形成可靠的结论或基本假设，否则，以“过去展望未来”的数据计算模式将因缺少足够的证据而无法自己形成有效性假设，将迟滞或误导情报分析工作。三是要善于从全球范围，或其他国家发生的同类事件中提升网络威胁情报分析能力。威胁已经发生，意味情报分析工作的重心将改变为应对危机，恢复行业稳定，所造成的影响将无法根除。相反，若善于从相关事件中得到启示，并运用该事件来检验评估自身网络的有效性才是优先选择项，才能发挥情报的预测功能，将损失降在最低状态。

5 智能化条件下网络威胁情报分析的对策建议

a.构建智能化条件下网络威胁情报分析的理论体系。

目前，学界对智能化条件下网络威胁情报分析的理论体系尚未形成，且将主要精力聚焦于对网络数据的汇集、格式化处理、网络攻击溯源等工作。智能化条件下网络威胁情报分析应该要有自身的理论体系，即在现有情报分析理论的基础上，要充分融入计算机科学、数据科学、人工智能，以及国家安全学、政治学、社会学、经济学、生物学等相关理论知识来定义分类聚合、关联分析、攻击溯源、人机融合、情景构建等基本问题。同时，智能化条件下网络威胁情报分析也应有独特的思维与方法技术，即在以“数据+技术+人类智能”基本模式下，融合人的理性判断与智能系统的精确计算、人的战略考量与计算机的微观发觉，这些都将体现出独特的思维理念及模式。

b.创新智能化条件下网络威胁情报分析的方法手段。

智能化条件下网络威胁情报分析方法手段不等同于文献计量，也不等同于文本挖掘、威胁可视化等，而是面向网络空间物理层、逻辑层、数据层和人机交互层所面临的不同类别威胁而形成的方法体系，具有综合性、动态性、复合性等特征。智能化条件下网络威胁情报分析的方法手段也必须及时创新。要加强定性分析方法与定量分析方法之间融合力度，消除人类认知障碍，提升计算机技术对情报分析工作的贡献率。要善于将意义构建融入网络威胁情报分析，充分运用自然语言处理、数据或文本理解、深度学习、语义计算、可视化分析、知识图谱等计算方法，主动融合各类型数据，从不同视角反映人物、事件、活动或事物之间的相关信息或发现新的关系、规律和模式。要积极适应元宇宙、Web3.0等时代要求，通过自主研发、外部引进、改造升级、情报案例训练等方式创新现有网络威胁情报分析模型，提升对原始材料或海量数据的自动化处理能力。

c.完善智能化条件下网络威胁情报分析的软(硬)件。

网络空间是一个可以融合其他空间的特殊领域，网络威胁数据不仅藏匿于海量的数据之中，而且数据格式越来越复杂、相互之间的关联性越来越难以被发掘，数据搜集与分析，以及不同领域间情报分析的矛盾越来越突出。因此，智能化条件下网络威胁情报分析必须持续完善软(硬)件支撑条件。要通过建立威胁情报标准、发展云存储、整合各行业数据等方式，广泛开展多源数据的采集、组织、存储、整合、检索、服务等工作，建立基础数据库资源，从而减少在数据清洗、数据预处理等方面的重复性劳动。要大力研发语义计算、属性计算、情景计算、差异计算，以及信号计算等新型技术手段[12]，并逐步与新型人机接口技术融合，使智能化网络威胁情报分析系统具备非线性推导能力和多源情报跨域关联能力。另外，由于网络威胁情报分析面对较多变化较大、相互影响严重和非线性因素较多的场景，目前学界对网络威胁情报分析工具研究的“烟囱”现象还较为突出，更没有提出多种工具有效融合的方法途径，要积极开展基于量子计算技术的情报分析工具研发，从而为解决非线性多变量交互影响和多分枝预测等难题提供支撑。

d.打通智能化条件下网络威胁情报分析与决策衔接的障碍。

网络威胁情报分析的特殊性不仅表现为海量的数据、难以统一处理的数据格式外，还表现在存在大量难以被决策部门认识和理解的专业性知识，也正是这一部分知识距离的存在使情报部门与决策部门存在衔接障碍。因此，打通智能化条件下网络威胁情报分析与决策衔接的障碍势在必行。要通过建立到决策部门常态任职交流等机制，网络威胁情报分析人员掌握决策部门的运行模式，以及关注的主题；要通过定期报送威胁情报预警提示、专题研究成果、建立情报专线等形式，让决策部门对当前网络安全态势有全面深入了解，拉近情报分析人员与决策人员的知识距离。要建立部门间统一的数据存储、抽取、调用、关联、可视化等标准，增强智能化网络威胁情报分析的客观性、精准性，弱化个人偏好、先入为主等主观因素在情报意义构建中负面影响，进而避免进入“集体迷失”“竞争性分析”等陷阱。

6 结 语

智能化条件下网络威胁情报分析是维护网络空间安全不可或缺的一环，具有过程的反复性、数据的动态性、依赖条件的苛刻性等特征，但也面临着理论指导体系不健全、分析方法不兼容、威胁认知不精准等难题。本研究从宏观和微观两个层面对智能化条件下网络威胁情报分析的特征、面临难题、运行过程和完善策略进行系统分析，具有一定的前瞻性创新性。但必须看到，智能化只是网络威胁情报分析的辅助，取代部分工作是发展趋势，尚不能完全替代人的智能并进行自主化的意义构建。总之，智能化条件下网络威胁情报分析面临的机遇和挑战并行，要积极适应Web3.0、元宇宙等时代特点，认真研究工作特点与规律，提升情报分析效能。