1、 報告編號：2021-dc-24 網絡安全威脅情報行業發展報告（2021 年） 國家工業信息安全發展研究中心 北京微步在線科技有限公司 2021 年 12 月 研判系列報告洞察系列報告 網絡安全威脅情報行業發展報告（2021 年） 序 國家工業信息安全發展研究中心經過 60 余年的發展與積淀，在智庫研究方面形成了豐碩的積累。2018 年 9 月，中心推出“工信安全智庫”品牌，立足深化供給側結構性改革和加快建設創新型國家戰略需求，圍繞制造強國和網絡強國建設任務，聚焦網絡安全、數字經濟、信息技術產業、戰略前沿等重點領域，開展基礎性、戰略性、先導性智庫研究，為工業和信息化部、中央網信辦、國家發展改革

2、委等提供智力支持。 “工信安全智庫”自 2019 年開始陸續推出“研判” “洞察” “瞭望”“指數”“案例”“編譯”等系列研究報告，圍繞黨和政府決策急需的相關重大課題和關鍵問題，開展形勢研判、專題調研、國際跟蹤、景氣測度、案例分析、報告翻譯等方面的持續研究，為主管部門預見走勢、把握機遇、應對挑戰、謀劃戰略提供參考。 本次推出的洞察報告網絡安全威脅情報行業發展報告（2021年）報告對網絡安全威脅情報相關概念進行系統梳理，對國內外網絡安全威脅情報發展情況進行總結分析，結合對我國網絡安全威脅情報產業發展現狀的調研，提出威脅情報服務能力評價框架，并就未來發展趨勢及建議展開探討，旨在為更好發揮威脅情報價

3、值、促進威脅情報落地應用、推動威脅情報產業發展提供參考。 本報告得到北京微步在線科技有限公司的大力支持，產業調研還得到 360 政企安全集團、奇安信科技集團股份有限公司、綠盟科技集團股份有限公司、杭州安恒信息技術股份有限公司等企業的支 網絡安全威脅情報行業發展報告（2021 年） 持，在此一并感謝。 由于成稿倉促， 加之水平有限， 報告中難免有疏漏和錯誤之處，懇請批評指正。 編寫組 2021 年 12 月 網絡安全威脅情報行業發展報告（2021 年） 摘 要 隨著網絡威脅的數量和復雜性不斷增長，構建基于威脅情報的網絡安全主動防御體系勢在必行。2014 年起，威脅情報逐漸成為網絡安全的熱點領域之

4、一，2018 年更是出現爆發性增長。各國政府、企業對威脅情報的重視程度不斷提高，各類產業主體積極圍繞威脅情報技術及商業模式開展探索，同時大力推動威脅情報標準化和共享機制的建立。威脅情報于 2015 年前后正式進入我國市場，威脅情報的價值在近幾年的發展過程中逐漸被接受和認可，各行各業對威脅情報的需求也不斷增長，據估計 2021 年我國威脅情報市場規模約在 10.69 億元左右。 報告在產業深度調研的基礎上提出威脅情報服務能力評價框架，為更加科學全面評價地評價供應商能力提供參考。該框架面向威脅情報供應商能力成熟度和市場發展潛力兩方面目標，圍繞情報數據、業務流程、產品服務、企業競爭力等四個基本維度，

5、對供應商威脅情報服務能力的評價。針對典型網絡安全威脅情報供應商的能力評價及優勢分析隨文附后。 為更好發揮威脅情報賦能作用，應進一步夯實威脅情報對網絡安全發展的基礎支撐作用，促進威脅情報開發利用以覆蓋多元化情報需求，加快標準化建設以實現更大范圍情報共享，以更加廣闊的威脅情報視野驅動各類網絡安全技術、服務、產業協同，實現推進網絡安全產業高質量發展的目標。 網絡安全威脅情報行業發展報告（2021 年） 目 錄 一、威脅情報概述. 1 （一）威脅情報的定義 . 1 （二）威脅情報的分類 . 2 （三）威脅情報的作用 . 4 二、國外威脅情報發展現狀分析 . 5 （一）威脅情報國家和戰略層面重視程度不斷

6、提高 . 6 （二）威脅情報描述、交換和共享等環節標準逐漸完善 . 7 （三）威脅情報自身多環節以及與多業務逐步融合 . 8 三、我國威脅情報產業調研分析 . 10 （一）我國威脅情報行業正處于初級發展階段 . 10 （二）網絡安全企業積極推動威脅情報產品化 . 12 （三）行業企業需求主要集中于威脅情報訂閱 . 14 四、威脅情報服務能力框架 . 16 （一）情報數據 . 16 （二）業務流程 . 17 （三）產品服務 . 19 （四）企業競爭力 . 20 五、威脅情報行業發展趨勢及建議 . 20 （一）結合知識圖譜技術，推動威脅情報開發利用 . 21 網絡安全威脅情報行業發展報告（2021

7、 年） （二）威脅情報需求分化，分層發展趨勢初顯 . 22 （三）加快標準化建設，促進威脅情報共享融合 . 23 （四）夯實威脅情報基礎，賦能安全協同生態建設 . 25 附錄：典型網絡安全威脅情報供應商的能力評價及優勢分析 . 27 參考文獻 . 36 網絡安全威脅情報行業發展報告（2021 年） 1 隨著網絡環境日益復雜化，網絡攻擊行為趨于產業化，攻擊手段也愈發多樣化，根據經驗構建防御策略、部署產品的傳統方式在面對層出不窮的新型、持續性、高級威脅時，難以及時有效的檢測、攔截、分析和響應。在此背景下，網絡安全威脅情報應運而生。作為一種重要的網絡安全基礎知識，可支撐構建更加主動的網絡安全防御模式

8、，基于全方位的情報感知、多維度的融合分析，研判網絡安全整體態勢并合理預判威脅動向，實現動態精準的網絡安全威脅應對。 一、威脅情報概述 情報(Intelligence)一詞，源于軍事領域，指“獲得的他方有關情況以及對其分析研究的成果”，多帶機密性質，目前在不同的領域內均有應用。以威脅情報為中心的信息安全保障框架對于生活和生產關鍵基礎設施的穩定運行、軍事作戰指揮能力保障及國際社會的和平穩定具有重大意義，它受到了來自各國政府、學術界以及全球大型互聯網企業的高度重視。 （一）威脅情報的定義（一）威脅情報的定義 2013 年，Gartner 首次提出關于威脅情報的定義定義：威脅情報是關于現有或即將出現的

9、針對資產有威脅的知識，包括場景、機制、指標、啟示和可操作建議等，且這些知識可為主體提供威脅的應對策略。簡單來講，威脅情報就是通過各種來源獲取環境所面臨的威脅的相關知識， 主要描述現存的、 即將出現的針對資產的威脅或危險。Forrester 認為威脅情報是內部和外部威脅參與者動機、 意圖和能力的 網絡安全威脅情報行業發展報告（2021 年） 2 詳細信息。威脅情報包含這些攻擊者的戰術、技術手段和攻擊過程的詳細信息。2014 年，SANS 提出威脅情報是收集、評估和應用的關于安全威脅、惡意行為者、漏洞利用、惡意軟件、漏洞和危害指標的數據集?？偨Y來說，威脅情報主要指威脅情報主要指通過各種來源獲取環境

10、所面臨的威脅的相關知識，來描述現存的、即將出現的針對資產的威脅或危險。高質量的威脅情報具有時效性、準確性、適用性、豐富性、可操作性等特點。 （二）（二）威脅情報的分類威脅情報的分類 目前，可按照威脅情報的來源、內容、形式和應用價值四個不同維度對威脅情報進行分類。 1. 來源角度分類來源角度分類 根據情報產生的來源角度可分為內部情報、外部情報。內部情報是由組織內部產生的，其目的是“知己”，用于反映內部系統安全狀態。外部情報是由組織外部輸入的，其目的是“知彼”，用于反映外部網絡空間安全狀態。 2. 內容角度分類內容角度分類 從網絡威脅情報內容屬性來看，威脅情報可分為基礎信息類、威脅類、資產類、事件

11、類等?；A信息類包括 IP 基礎情報、域名基礎情報、 URL 基礎情報、 郵箱基礎情報等。 威脅類情報包括攻擊者、攻擊模式、基礎設施、漏洞、樣本、惡意軟件、威脅指示器等內容。資產類情報主要對網絡空間中的 IP、域名、URL、郵箱等資產的安全性進行描述，包括安全狀態、威脅狀態、惡意歷史、相關的樣本、 網絡安全威脅情報行業發展報告（2021 年） 3 事件等。事件類情報具體描述時間、參與方、損失類型、影響的資產、影響程度等。 3. 形式角度分類形式角度分類 可讀性是從情報使用者和使用方法的角度進行劃分的，通常分為“機讀”情報和“人讀”情報。機讀情報(Machine Readable Threat

12、Intelligence, MRTI)是可被計算機軟硬件系統理解和使用的方式提供的情報，通常格式符合特定的規范標準，比如 OpenIOC 格式、STIX格式的指示器等。人讀情報以人可理解和使用的方式提供的情報。例如各種安全分析報告、漏洞詳情、威脅通告等。 4. 價值角度分類價值角度分類 威脅情報價值，最重要的體現就是與行動/決策的相關程度。根據行動/決策的執行對象和應用維度，可以將其分為戰略級情報、運戰略級情報、運營級情報和戰術級情報營級情報和戰術級情報三個層面。戰術級情報戰術級情報是威脅情報最基礎，也是應用最廣的類型。戰術執行層面的行動或決策需要的是與具體的資產、漏洞、威脅、風險、事件相關的

13、可機讀情報，大多直接作用于具體的檢測與響應工作。運營級情報運營級情報是指運營管理層面的行動或決策需要的基于一定情境和機制的具有較豐富上下文信息的情報，其側重于根據分析結果掌握某類威脅、漏洞、資產或事件的情況，并制定針對性的整體防御、 檢測和響應策略。 又可細分為基礎情報、威脅對象情報、 IOC 情報 （Indicators of Compromise， 攻擊指示器） 、事件情報等。戰略情報戰略情報是指戰略、策略制定層面的行動或決策需要的經由綜合性分析得出的，帶有建議的戰略級情報。戰略級情報側 網絡安全威脅情報行業發展報告（2021 年） 4 重于對安全態勢的整體性描述，并借助與之相關的戰術級和

14、運營級情報作為相關觀點和建議的佐證，大多以報告、指南或框架文件等形式供高層管理人員和戰略制定者閱讀，以輔助其制定相應的企業戰略和決策。 （三）威脅情報的作用（三）威脅情報的作用 威脅情報既是知識，也是載體，既是輸入，也是輸出。作為新一代網絡安全能力建設的核心， 通過賦能各類網絡設備、 安全產品，實現全網安全檢測、響應、分析能力的聯動。 一是可用于安全模式突破和完善。一是可用于安全模式突破和完善?；谕{情報的防御思路是以威脅為中心的， 因此， 需要對關鍵設施面臨的威脅做全面的了解，建立一種新型高效的安全防御體系。這樣的安全防御體系往往需要安全人員對攻擊戰術、方法和行為模式等有深入的理解，全面了

15、解潛在的安全風險，并做到有的放矢。威脅情報可提供最新的惡意威脅信息情報、漏洞信息情報、安全事件情報、安全資訊，攻擊組織情報、攻擊手法情報、最新前沿技術分析報告等，情報可與現有的防火墻、入侵檢測、入侵防御、Web 應用防護防火墻（WAF）、終端安全設備、安全運營中心（SOC）、態勢感知平臺結合，更新規則庫、矯正檢測模型，可以預防和檢測更多攻擊，具有“看見威脅的能力”，發現最新威脅、隱藏的威脅、甚至未知威脅，并對其進行有效應急處置。 二是可用于應急檢測和主動防御。二是可用于應急檢測和主動防御。在戰術和戰略層面威脅情報是對高級威脅進行防護的關鍵。隨著黑客攻擊的專業化和組織化， 網絡安全威脅情報行業發

16、展報告（2021 年） 5 要想更好的抵御黑客攻擊（尤其是高級威脅），需要掌握攻擊者的TTP（戰術、技術手段和過程）及攻擊趨勢，確定重點防御方向，制定合理的防御策略。只有走在攻擊者前面，才能占據攻防先機。另一方面，各種安全控制措施通過共享可機讀的威脅情報，及時觸發相關的防護和告警規則。此外，通過企業內或行業間的高級威脅情報共享，可以做到一點發現、全面布防，實現更大范圍的高級威脅防御生態。 三是可用于安全分析和事件響應。三是可用于安全分析和事件響應。威脅情報成為提升整體網絡安全防護效率的重要措施，采用多種技術手段，通過采集大規模、多渠道的碎片式攻擊或異常數據，集中地進行深度融合、歸并和分析，形成

17、與網絡安全防護有關的威脅信息線索，并在此基礎上進行主動、協同式的網絡安全威脅預警、檢測和響應，有效降低平均威脅檢測時間（MTTD）、平均威脅響應時間（MTTR），縮短自由攻擊時間，降低網絡安全威脅的防護成本，提升整體的網絡安全防護效率。 二、國外威脅情報發展現狀分析 2014 年起，威脅情報逐漸成為網絡安全的熱點領域之一。目前各國政府部門、網絡安全企業愈加重視威脅情報的發展，各行各業對威脅情報的需求也在不斷增長。據全球企業咨詢公司 FrostSullivan 預測，到 2022 年僅威脅情報平臺的全球市場規模相比較于2019 年將增長約 77%。 網絡安全威脅情報行業發展報告（2021 年）

18、6 （一（一）國家和戰略層面重視程度不斷提高）國家和戰略層面重視程度不斷提高 近幾年，在威脅情報全球市場中，以美國為代表的北美國家持續占據主導地位，對全球威脅情報技術及產品的發展發揮著不可忽視的影響。 美國美國是全球最早開展威脅情報工作的國家。2003 年發布網絡空間安全國家戰略提出建立信息共享與分析中心，以確保能夠接收實時的網絡威脅和漏洞數據。2010 年，發布國土安全網絡和物理基礎設施保護法案 進一步突出威脅情報的重要性。 2015 年 2 月，建成全國性的網絡威脅情報中樞網絡威脅與情報整合中心，以對網絡攻擊相關情報進行綜合分析，并向國內機構提供分析結果，提升網絡攻擊的防范和處置能力。另外

19、，美國依托其不斷發展完善的威脅情報共享技術， 通過構建 “網絡天氣地圖” （Cyber Weather Map）威脅情報管理體系，將國家網絡安全保護系統與互聯網中相關的探測器關聯，收集相關的威脅情報信息，利用大數據分析技術，并結合外部的其他威脅情報來源，并形成針對性的安全策略。 歐盟歐盟網絡與信息安全局于 2018 年 3 月發布探索威脅情報平臺機遇與挑戰強調了威脅情報平臺的重要性，并針對歐盟威脅情報平臺存在的情報分析能力欠缺、缺乏技術支持以及情報共享缺乏實時動態功能等不足，提出了諸多建議。2019 年 1 月歐盟網絡與信息安全局發布2018 年 ENISA 威脅全景報告，探討了開發內部威脅情

20、報的緊迫性，并要求歐盟各成員國必須開發更強大的內部網絡威脅情報系統，擴大網絡威脅情報收集范圍，提升歐盟網絡威脅情報 網絡安全威脅情報行業發展報告（2021 年） 7 能力，提高網絡威脅情報的獨立性和質量。2019 年 11 月發布的增強歐盟未來網絡安全戰略價值鏈分析，強調建立網絡安全威脅風險及實踐信息等的共享利用體系。2020 年 9 月，愛沙尼亞和美國啟動了為期 5 年的網絡威脅情報共享項目，以提升網絡威脅情報共享的自動化水平。 英國英國更加注重網絡安全威脅情報的匯聚與共享。英國國家網絡安全中心負責威脅情報的收集和分析，該中心搭建了允許來自不同行業和組織的成員在安全和動態的環境中實時交換網絡

21、威脅信息的CiSP 社區。2020 年 4 月，英國投資協會推出網絡威脅情報平臺IATITAN，以幫助投資經理保護本公司免受網絡攻擊。該平臺接入了來自執法部門、政府機構的威脅情報數據，可實時顯示涉及投資管理社區的惡意軟件、勒索軟件和軟件漏洞等威脅信息。 （二）威脅情報描述、交換和共享等環節標準逐漸完善（二）威脅情報描述、交換和共享等環節標準逐漸完善 雖然目前國際上暫未形成統一的威脅情報標準，但是歐美國家積極圍繞威脅情報描述、 交換和共享等環節的標準化進行探索， IBM、思科、美國國防部等機構已形成了豐富的實踐經驗。 威脅情報描述環節，威脅情報描述環節，由美國非營利性組織 MITRE 聯合美國國

22、土安全部發布的結構化威脅信息表達式（STIX）標準，提供了威脅情報的描述方法， 并可表示威脅情報中的多方面特征， 包括威脅因素、威脅活動、威脅屬性等。網絡可觀察表達式（CybOX）標準提供了一套用來描述計算機相關操作和內容的方法，可用于威脅評估、日志管理、惡意軟件特征描述、指標共享和事件響應等。VERIS 事件 網絡安全威脅情報行業發展報告（2021 年） 8 記錄和事故共享詞匯定義了一個用于描述安全事件的詞匯表，它與網絡可觀察表達式 CybOX 的部分內容雖然有一些重疊， 但是 VERIS卻擴展了針對一些特定場景的相關描述方法。 威脅情報交換和共享環節，威脅情報交換和共享環節，2016 年

23、4 月，美國國家標準技術研究院發布的美國聯邦網絡威脅信息共享指南（第二版），為美國聯邦政府網絡威脅信息共享工作指明了基本方向。指標信息的可信自動化交換（TAXII）標準規范了威脅情報交換和傳輸過程。使用TAXII 規范，不同的組織機構之間可以通過定義對應的 API 來共享威脅情報。 由美國網絡安全公司 MANDIANT 發布的開放威脅指示器（OpenIOC）標準，通過將威脅信息轉變為機器可讀形式，實現威脅情報的快速共享。屬性枚舉和特征描述（MAEC）標準是一種共享惡意軟件結構化信息的標準化語法，可去除惡意軟件描述中的不確定問題。IODEF 安全事件描述轉換格式是一種計算機安全事件響應組用來在其

24、本身、他們的支持者及其合作者之間交換事件信息的格式，可以為互操作工具的開發提供基礎。 （三）威脅情報自身多環節以及與多業務逐步融合（三）威脅情報自身多環節以及與多業務逐步融合 目前，國外網絡安全企業在威脅情報的生產、分析及應用環節以及與多業務呈現不斷融合趨勢。 一方面，一方面，威脅情報的生產及分析環節的界限逐漸消失。原先具備豐富威脅情報數據來源的網絡安全企業紛紛由僅提供數據向提供分析業務轉變，包括思科、IBM 等市場占有率較高的網絡安全硬件廠商，以及賽門鐵克、紅帽、卡巴斯基等擁有大量用戶的殺毒軟件 網絡安全威脅情報行業發展報告（2021 年） 9 廠商。其中，IBM 通過整合其威脅研究數據和技

25、術，包括 Qradar 安全情報平臺、上萬的客戶和 IBM 安全管理服務的安全分析，發布集聚超過 700T 數據的 X-Force Exchange 威脅情報共享平臺，面向全球提供對 IBM 及第三方威脅數據資源的訪問，幫助網絡安全分析人員和研究人員篩選出有價值的威脅情報信息。此外，卡巴斯基通過Kaspersky Expert Security framework 對外提供威脅情報服務。該框架擁有數十億字節的豐富威脅數據可供挖掘、先進的機器學習技術以及獨特的全球專家庫，還包括卡巴斯基反針對性攻擊平臺和終端檢測響應 EDR 解決方案，可實現威脅發現和檢測、調查和及時的事件響應處置。 另一方面，另

26、一方面，威脅情報業務逐漸與安全企業自身的安全解決方案、軟硬件設備等多個業務融合。 俄羅斯廠商俄羅斯廠商 Group-IB 的威脅情報服務與能力已經被融合進其高復雜性的軟硬件生態系統解決方案中，通過“打包”形式為客戶提供網絡攻擊的監測、識別和處置服務。美美國國 FireEye 公司同樣如此，其客戶可以在購買 FireEye 設備后，進一步訂購其威脅情報服務。其威脅情報主要從 FireEye 全球傳感器中進行識別和提取，并通過與其旗下的 Mandiant 公司的網絡安全事件響應數據進行融合，提供戰術、戰略和運營級威脅情報。美國美國CrowdStrike 公司公司的 Falcon 威脅情報平臺，可對

27、企業日常數據進行監測。另外還可以通過學習攻擊行為特征，形成相應的應急處置方案。 網絡安全威脅情報行業發展報告（2021 年） 10 三、我國威脅情報產業調研分析 2015 年前后，威脅情報正式進入國內市場，以網絡安全企業與互聯網公司為主的產業主體積極圍繞威脅情報技術及商業模式開展探索，同時大力推動威脅情報標準化和共享機制的建立。隨著各行業對威脅情報的認識不斷深入，威脅情報能力作為網絡安全基礎能力的重要價值得到進一步認可，市場需求持續擴大，且有望保持較快增長。據國家工業信息安全發展研究中心對涉及“威脅情報”能力網絡安全產品的測算， 我國威脅情報市場規模約在 10.69 億元左右。 （一）我國威脅

28、情報行業正處于初級發展階段（一）我國威脅情報行業正處于初級發展階段 2017 年 WannaCry 勒索病毒的大規模爆發，暴露出傳統網絡安全產品及防御體系缺乏對未知威脅識別以及應對能力，也一定程度上推動了以威脅情報、安全大腦等為代表的主動防御型網絡安全產品的快速發展。近年來，奇安信、360、安恒信息、綠盟科技等傳統大型網絡安全企業，與阿里、騰訊等互聯網公司利用自身技術及資源優勢紛紛布局威脅情報領域。同時，微步在線、天際友盟等威脅情報初創企業，也憑借著自身核心技術競爭力與獨特的商業模式，成為威脅情報領域生態鏈條中的重要參與者。從產品形態來看，我國威脅情報主流產品可分為以下三種：一是數據交付模式，

29、即通過API 查詢、或訂閱規則庫的方式交付威脅情報數據；二是服務交付模式，可進一步分為結合威脅情報能力的檢測、評估、測試、應急等網絡安全服務包和面向專業安全技術人員提供威脅情報搜索、分析等服務；三是產品交付模式，包括集成威脅情報模塊的網絡安全設 網絡安全威脅情報行業發展報告（2021 年） 11 備，以及為企業搭建具備情報運營能力的定制化威脅情報平臺。 標準制定方面，標準制定方面，2018 年 10 月 10 日，我國正式發布威脅情報的國家標準 信息安全技術網絡安全威脅信息格式規范 Information security technology Cybersecurity threat inf

30、ormation format (GB/T36643-2018)。標準從可觀測數據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施等八個組件進行描述，并將這些組件劃分為對象、方法和事件三個域，最終構建出一個完整的網絡安全威脅信息表達模型。其中，對象域包括威脅主體和攻擊目標，二者構成攻擊者與受害者的關系；事件域包括攻擊活動、攻擊指標、安全事件和可觀測數據，以上組件構成完整的攻擊事件流程；方法域包括攻擊方法，即攻擊方所使用的方法、技術和過程（TTP），以及應對措施，即防御方所采取的防護、檢測、響應、回復等行動。此外，在組件屬性的格式方面，與 STIX 2.x 版本一致， 采用

31、了更便于理解和閱讀的基于 JavaScript 的 JSON 數據格式，JSON 格式有良好的自我描述性， 結構簡單， 生成和解析都更為方便。 威脅情報共享方面，威脅情報共享方面，政企合作、平行機構共享、開源社區等不同層次的威脅共享機制初步建立。2021 年 9 月 1 日，工業和信息化部網絡安全威脅和漏洞信息共享平臺正式上線運行，面向電信主管部門、基礎電信企業、互聯網企業、網絡安全企業、網絡安全專業機構等，統一匯集、存儲、分析、通報、發布網絡安全威脅信息，并實現與相關單位網絡安全監測平臺實現對接。奇安信威脅情報中心聯合國內知名網絡安全企業共同發起建立網絡安全威脅情報生態 網絡安全威脅情報行業

32、發展報告（2021 年） 12 聯盟，搭建行業內威脅情報信息共享、數據運營、情報分發、威脅情報消費的行業閉環，以情報的共享交換促進網絡安全產業協同發展。此外，微步在線推出國內首個綜合性的威脅分析平臺和情報分享社區X 情報社區， 并發布千萬情報獎勵計劃， 促進威脅情報共享與優質情報發掘。目前該社區注冊用戶達到 12 萬以上，日活躍用戶最高達 2 萬以上。 （二）網絡安全企業積極推動威脅情報產品化（二）網絡安全企業積極推動威脅情報產品化 我國網絡安全企業圍繞威脅情報的理念、技術、應用開展積極探索，從建設自身網絡安全威脅情報體系，到開發威脅情報平臺產品， 再到構造模塊化威脅情報能力， 持續推動威脅情

33、報產品化進程。 一是建立企業威脅情報共享中心，提升自身網絡安全能力并對一是建立企業威脅情報共享中心，提升自身網絡安全能力并對外開放威脅情報服務外開放威脅情報服務。網絡安全企業依托部署在網絡中的防火墻等安全設備、網絡空間測繪系統、蜜罐蜜網捕獲系統、開源情報采集系統、暗網監測系統等，基于對全網安全數據、開源情報的收集積累，綜合運用靜態分析、動態分析、大數據關聯分析、深度學習、多源情報聚合等先進技術，結合技術專家團隊豐富的一線實戰攻防經驗和安全研究能力，匯聚形成種類豐富的高質量威脅情報信息集合。同時，對外開放基于威脅情報能力的部分服務，如實時在線查詢服務、在線沙箱樣本分析服務等。 二是推出威脅情報平

34、臺產品，協助企業構建威脅情報全生命周二是推出威脅情報平臺產品，協助企業構建威脅情報全生命周期管理能力。期管理能力。威脅情報平臺（TIP）是集情報匯聚、情報分析、情報檢索、情報協同、情報分發等功能于一體的本地化威脅情報管理系 網絡安全威脅情報行業發展報告（2021 年） 13 統，主要解決因高級威脅或未知威脅導致漏洞利用、主機失陷、病毒感染、錢財勒索等威脅定位問題，協助企業建設、完善、優化威脅溯源、關聯分析、攻擊畫像、事件通告、共享賦能等威脅情報運營能力。威脅情報平臺具備與其他網絡安全設備聯動的能力，通過賦能監測探針類、威脅感知類、分析溯源類、安全運營類產品服務，協助構建基于情報驅動的縱深防御體

35、系，實現漏洞和入侵行為的快速研判和全網共享，提升威脅檢測、響應處置、安全運營、事件分析、態勢預警等安全能力。為更好服務于企業數字化轉型，目前的威脅情報平臺類產品均能夠提供本地化平臺和 SECaaS 服務1兩種集成方式，以適配不同的業務環境。 三是集成威脅情報數據模塊，推動威脅情報能力普及。三是集成威脅情報數據模塊，推動威脅情報能力普及。為進一步提升威脅防護能力，網絡安全企業開發獨立的威脅情報數據模塊，并將其集成至多種網絡安全產品與服務中，實現終端安全防護設備與威脅情報中心之間的“云地聯動”，以全網威脅情報能力驅動本地網絡安全威脅監測與響應，提升威脅發現和威脅處置效率，實現小時級別威脅識別與防御

36、?，F階段，安全檢測類、分析類服務中已實現了威脅情報能力的深度集成。例如，在網絡流量檢測中，基于IP 地址、域名、URL、文件 Hash 等 IOC 情報指標對流量載荷進行深度研判，實現攻擊判定，并自動阻斷后續攻擊；在互聯網接入服務中，基于惡意軟件遠控地址、釣魚地址和礦池地址、非法網站數據，實現對惡意訪問的過濾攔截；在終端檢測中，充分利用“云上”威 1 安全即服務（Security as a Service，SECaaS)）即以軟件即服務（Software as a Service，SaaS）的模式提供網絡安全服務。 網絡安全威脅情報行業發展報告（2021 年） 14 脅數據、惡意樣本數據、攻擊

37、特征數據、黑客組織畫像信息等關鍵數據，以及病毒引擎檢測、智能沙箱分析與攻擊鏈路行為分析等技術手段，對終端的進程、網絡、文件等系統行為日志進行綜合分析，實現對主機入侵的精準發現、自動化告警關聯、攻擊鏈路可視化展示與高效溯源、入侵事件響應及阻斷等。 （三）行業企業需求主要集中于威脅情報訂閱（三）行業企業需求主要集中于威脅情報訂閱 在市場中，訂閱模式一直是企業獲取威脅情報服務的主流方式，然而以 SECaaS 服務的形式直接獲取威脅情報能力的企業仍占少數，其威脅情報需求更多聚焦于訂閱情報數據或情報查詢服務的層面。 一是一是 API 查詢服務。查詢服務。行業企業多傾向于在現有網絡安全建設的基礎上，以最小

38、的成本投入擴展威脅情報的能力。面向網絡安全產品和設備的威脅情報查詢服務， 即 API 查詢服務， 憑借其 “性價比”優勢贏得市場青睞。威脅情報 API 查詢服務依托海量威脅情報庫，支持對 IP 地址、域名、URL、文件 Hash 等多種信標進行高速遞歸檢測，快速輸出威脅判定結果、威脅名稱、威脅組織、威脅類型等相關情報信息，直接服務于防火墻、入侵檢測、入侵防御、Web 應用防護防火墻（WAF）、防病毒、終端檢測響應（EDR）等安全設備。 二是在線查詢服務。二是在線查詢服務。對于網絡安全分析人員、研究人員來說，威脅情報能夠幫助其快速了解新的 IOC 及相關信息，基于上下文信息更全面地分析攻擊模式、

39、 攻擊路徑， 預判有可能遭受攻擊的應用、系統和用戶群，從而優先保護這些高風險目標。各網絡安全企業的威脅情報共享中心均支持在線情報搜索，可通過交互式查詢方式獲 網絡安全威脅情報行業發展報告（2021 年） 15 取 IP 威脅、Web 威脅、惡意文件、漏洞威脅信息，并可對查詢結果進行統計分析，展示威脅態勢。 三是訂閱推送服務。三是訂閱推送服務。機讀情報方面，行業企業可通過訂閱高質量可同步的明文威脅情報規則集合，將其直接添加到現有安全產品和安全設備的規則庫中，實現威脅情報能力的集成。訂閱的方式能夠使企業及時獲取最新、最流行、高危情報規則，按需增減更新規則庫，保證威脅情報能力持續優化更新。人讀情報方

40、面，網絡安全分析人員、研究人員為更全面地掌握全球網絡安全態勢，更快了解最新的網絡安全動態，通常會訂閱專業威脅情報分析機構最新生產的威脅情報內容，例如高級威脅分析報告、重要趨勢性分析報告、威脅通報預警、前瞻性研究成果與技術文獻翻譯等。RSS（Really Simple Syndication， 簡易信息聚合） 訂閱是目前較為主流的訂閱方式。RSS 是一種網站之間共享內容的簡易方式， 使用 XML 作為彼此共享內容的標準方式，可根據用戶選擇的關鍵詞和標簽條件，將定制化的威脅情報信息以郵件等形式定期推送。 網絡安全威脅情報行業發展報告（2021 年） 16 四、威脅情報服務能力框架 為更加科學全面地

41、評價威脅情報供應商的服務能力，面向能力成熟度和市場發展潛力兩類目標，圍繞情報數據、業務流程、產品服務、企業競爭力等四個基本維度，構建 2 橫 4 縱的服務能力評價框架。 （一）（一）情報數據情報數據 情報數據是威脅情報能力的基礎，也是開展各類網絡安全服務所必需的數據支撐。 從從現有現有能力角度出發，能力角度出發，對威脅情報數據的評價主要關注其全面性。一是一是威脅情報來源威脅情報來源。數據來源的廣泛程度說明了供應商威脅情報的獲取能力，一般包括供應商內部自有產品體系記錄及生成的數據、 安全分析或研究過程中產生的情報數據， 行業聯盟的共享情報，來自外部的安全社區、社交媒體、第三方平臺等的開源數據以及

42、暗 圖 1 威脅情報服務能力框架 網絡安全威脅情報行業發展報告（2021 年） 17 網情報等。二是威脅情報類型。二是威脅情報類型。一個好的威脅情報平臺應涵蓋盡可能多的威脅情報類型， 包括惡意域名、 IP 信譽、 惡意 URL、 文件 Hash等 IOC 情報， 以及網絡空間測繪數據、 漏洞情報、 黑客組織情報等。三是威脅情報數量三是威脅情報數量。當前可供使用的威脅情報實際數量是反映供應商威脅情報服務能力的定量指標，但情報規模大小并不能準確體現其對用戶需求的滿足程度，還涉及情報適用性相關因素。 從市場發展從市場發展來來看，看，威脅情報數據的時效性與準確性決定了供應商威脅情報相關業務未來的發展潛

43、力。時效性時效性強是情報的重要特點，威脅情報的價值伴隨時間的推移而下降，其內容也可能產生變化。威脅情報的時效性可通過情報的日常更新頻率、過時或失真情報的處理頻率，以及面對突發事件的威脅情報生產效率來評估。情報準準確性確性決定了決策的效果，情報準確率或情報誤報率通常作為度量威脅情報質量的重要指標。 （二）業務流程（二）業務流程 圍繞威脅情報運營的閉環流程是技術手段、管理措施、人員經驗能力的集合。 從現有能力角度出發，從現有能力角度出發，可從數據采集與預處理、情報生產、情報存儲與情報應用等各方面對威脅情報技術服務能力開展評價。數數據采集與預處理方面據采集與預處理方面，應考慮平臺支持的數據接入設備種

44、類及范圍，還應包括對各類原始數據的抽取、清洗、歸并等技術方法的性能評估，關注流程上如何實現統一的結構化處理，驗證數據準確性并為情報標注置信度，以及類同情報數據的合并。情報生產方面，情報生產方面，主要 網絡安全威脅情報行業發展報告（2021 年） 18 關注威脅情報團隊從海量低價值信息中提取高價值威脅特征的技術能力，包括在數據分類整理、關聯融合分析過程中采用了何種大數據分析和人工智能技術等先進技術，對提升威脅情報生產效率和質量取得的積極成效等。情報存儲方面，情報存儲方面，重點關注威脅情報數據庫在存儲架構、數據管理與處理技術的應用，以及在解決情報數據的可存儲、可表示、可處理、可靠性及有效傳輸等幾個

45、關鍵問題方面取得的良好效果。情報應用方面，情報應用方面，應考慮威脅情報平臺能夠對外提供的服務能力，一方面是與行業用戶內部網絡安全體系的聯動能力，比如支持的接口形式和協議類型等，另一方面是其在線平臺開放的服務能力，比如在線情報搜索、交互式查詢、統計分析與動態展示等。此外，威脅情報共享方式共享范圍和共享頻率也是情報應用能力的重要體現。 從市場發展從市場發展來來看，看，威脅情報運營體系自身的完備性及行業用戶對威脅情報服務的體驗反饋可反映出企業威脅情報相關業務未來的發展潛力。一個好的威脅情報威脅情報運營體系運營體系應具有完整的威脅情報生命周期管理閉環，覆蓋威脅情報規劃、威脅情報收集、威脅情報處理與分析

46、、威脅情報分發以及應用、評價與反饋等全流程，并實現威脅情報運營的全閉環循環。目前，大多數供應商仍在探索建立與行業用戶之間的威脅情報評價與反饋機制。用戶體驗用戶體驗方面，需著重關注情報的適用性，即提供的威脅情報服務與行業用戶網絡安全需求結合的緊密程度，對輔助安全決策發揮的作用如何，以及是否提供可定制化的情報訂閱、共享交換方式等。此外，對于情報查詢服務 網絡安全威脅情報行業發展報告（2021 年） 19 而言，響應時間也是用戶體驗的重要方面，通常使用并發數、吞吐量（TPS）、每秒查詢率（QPS）等指標來衡量。 （三）（三）產品服務產品服務 產品服務是供應商威脅情報能力輸出的載體，也是行業用戶實現威

47、脅情報賦能網絡安全防御的必要途徑。 從現有能力角度出發，從現有能力角度出發，立足于行業用戶的網絡安全威脅情報需求對威脅情報產品服務的供給能力進行評價。豐富的產品服務產品服務數量數量與與類別類別為行業用戶提供充足的選擇空間，也刻畫出供應商的產業供給能力。產品服務的便捷性產品服務的便捷性取決于能否提供與行業用戶實際威脅情報需求相匹配的產品形態、交付方式以及情報質量。例如，面向情報內生需求，是否具備威脅情報平臺建設能力，或針對直接消費的要求，能否提供可定性、可研判、可攔截、可溯源的高質量威脅情報。 此外， 價價格格是行業用戶在采購產品服務中重點考慮的因素之一，尤其是在網絡安全預算有限的情況下會更加傾

48、向于獲得性價比更高的威脅情報產品或服務。 從市場發展從市場發展來來看，看，威脅情報產品服務的先進性與行業用戶的認可程度決定了供應商威脅情報相關業務未來的發展潛力。一方面，威脅情報產品服務的先進性先進性可表現為取得權威機構的相關資質認證，或通過具有廣泛影響力的行業評選結果來體現。另一方面，用戶用戶的的認可認可一般可通過相關威脅情報服務的續訂情況、以及在線開放部分服務的威脅情報中心（社區）的用戶活躍度來體現。 網絡安全威脅情報行業發展報告（2021 年） 20 （四）（四）企業企業競爭力競爭力 企業競爭力主要包括業務能力、技術能力和資本能力，是保障當下威脅情報能力建設及未來業務發展所需的產業基礎資

49、源。 對企業現階段企業現階段在威脅情報細分領域競爭力主要評估業務能力、技術能力兩方面，一方面通過當前的業務營收規?；蚴袌稣加新蕘碓u估威脅情報業務能力威脅情報業務能力，另一方面通過威脅情報相關的知識產權數量、威脅情報團隊技術人員比重、威脅情報相關研發投入等指標衡量企業威脅情報技術水平威脅情報技術水平。 從市場發展從市場發展來來看，看，供應商在網絡安全行業的影響力、自主創新能力、資本能力等共同決定了供應商威脅情報相關業務未來的發展潛力。行業影響力行業影響力的評估可參考供應商網絡安全產品服務的市場占有情況、用戶滿意度和重大活動支撐情況等指標進行衡量。自主創自主創新能力新能力的評估可參考知識產權數量、

50、研發人員的學歷構成、研發投入占業務營收的比例等指標進行衡量。財務能力財務能力包含的評估可參考資產負債率、資產回報率、現金流、現金和現金等價物等指標進行衡量。 五、威脅情報行業發展趨勢及建議 在網絡攻擊日趨復雜多樣的背景下，企業網絡安全建設逐步從被動的威脅應對模式轉向發展內生網絡安全能力，威脅情報在企業安全建設中的參考權重不斷上升。面向未來，威脅情報應充分發揮網絡安全基礎知識支撐作用，覆蓋多元化情報需求、實現更廣范圍情報共享，帶動網絡安全技術、服務、產業協同聯動，推進網絡安 網絡安全威脅情報行業發展報告（2021 年） 21 全產業高質量發展。 （一）結合知識圖譜技術，推動威脅情報開發利用（一）

51、結合知識圖譜技術，推動威脅情報開發利用 當前面向網絡威脅情報領域所開展的工作多聚焦于 IOC 的獲取與利用，日益嚴峻的網絡安全態勢要求企業具備更廣闊的威脅情報視野、更豐富的威脅實體信息。未來，威脅情報數據來源的完善將成為安全廠商競爭的關鍵，開源威脅情報的收集、整理、分析或將成為威脅情報技術的制高點。然而，開源威脅情報主要來自網絡安全白皮書、博客、供應商公告、社交媒體以及黑客論壇等公共資源數據， 大多是文本類的非結構化數據， 而且數據質量可能良莠不齊。為加強海量多源異構威脅數據的整合、提取和分析，提升網絡威脅情報的質量和準確性，可基于網絡安全知識圖譜技術，實現關鍵威脅要素的融合與關聯分析，形成統

52、一高質量的威脅基礎知識庫，構建威脅情報能力。 知識圖譜將客觀世界中大規模碎片化知識轉換成直觀的結構化鏈接表達，實現了對知識的有效組織和管理，便于更加智能的訪問操作，并在一定程度上實現智能輔助決策。在網絡安全領域，知識圖譜技術可優化威脅情報融合和關聯分析方法，實現網絡安全態勢的整體感知和預測，進一步提升威脅狩獵的效率和準確性。知識表知識表示技術示技術以統一的邏輯框架開展威脅語義建模，將分散的大規模、碎片化的多源異構網絡威脅情報數據轉化為結構化的鏈接數據，并通過對文本的語義挖掘，進一步對網絡威脅實體信息集成和鏈接，形形成統一的威脅情報知識體系成統一的威脅情報知識體系。知識融合與推理技術知識融合與推

53、理技術根據威脅情報知 網絡安全威脅情報行業發展報告（2021 年） 22 識間的語義聯系，通過公理和規則補全知識，基于深度學習方法進行有效的隱含知識挖掘和推理等，構建完善威脅情報全景圖威脅情報全景圖，為網絡安全態勢感知提供知識庫資源。語義搜索技術語義搜索技術可實現對單個威脅情報相關全部信息的檢索，協助安全分析師高效準確的從大量碎片化的網絡安全大數據中定位所需信息，服務于網絡攻擊場景重構網絡攻擊場景重構。 （二）威脅情報需求分化，分層發展趨勢初顯（二）威脅情報需求分化，分層發展趨勢初顯 在數字化轉型、企業上云的大潮下，網絡安全需求加速釋放，威脅情報能力作為 “知己知彼” 的下一代網絡安全建設的基

54、礎支撐，將迎來更廣闊的應用前景。 一方面，大型集團積極建設內部威脅情報基礎設施，構建自身一方面，大型集團積極建設內部威脅情報基礎設施，構建自身威脅情報能力。威脅情報能力。由于不同網絡安全廠商面對的攻擊者群體和攻擊技術具有差異，其提供的威脅情報服務可能無法契合企業對于安全情報的需求。因此，具有一定技術基礎和專業人才儲備的大型集團企業為確保威脅情報能夠真正服務于自身業務，更傾向于建設內部威脅情報能力，實現對多源威脅情報采集、處理、分析、生產，結合自身業務需求構建網絡安全威脅情報運營的閉環。面向大型集團企業，網絡安全廠商不僅要提供基礎的威脅情報數據，更要注重輸出威脅情報平臺建設能力與定制化服務，協助

55、企業建設既關注外部網絡安全威脅，也關注內部數字資產風險；既服務于企業網絡安全運營，也服務于日常經營管理活動的情報能力。 另一方面，中小企業要求可直接使用的威脅情報，青睞內嵌威另一方面，中小企業要求可直接使用的威脅情報，青睞內嵌威脅情報能力的集約化安全服務。脅情報能力的集約化安全服務。威脅情報生產和運營過程中，從數 網絡安全威脅情報行業發展報告（2021 年） 23 據采集到數據分析，從情報驗證到情報富化。從威脅建模到樣本分析，大量工作都要求較高的專業知識技能，然而大多數企業往往并不具備基本的威脅情報認知和理解能力，更沒有將威脅情報數據轉化為威脅情報能力的專業人才儲備。因此，面向中小企業直接交付

56、威脅情報的生產和運營是不可行的，而應該以威脅情報服務能力輸出為主，即依托威脅檢測、響應處置、安全運營、事件分析等安全服務提供可定性、可研判、可攔截、可溯源的高質量威脅情報。同時，還應注重威脅情報能力下沉至生產業務及基礎應用環境中，第一時間識別和檢測網絡中的攻擊事件或異常行為。例如，通過郵箱數據比對自動識別釣魚攻擊威脅，通過對外網站來源檢測自動識別暴力破解或 DDoS 攻擊， 通過 DNS 日志數據分析自動識別失陷資產，通過負載均衡數據分析自動定位惡意鏈接等等。此外，各大威脅情報中心面向網絡安全從業人員、科研人員等免費開放部分功能的現象將更加普遍，在推廣服務、提升影響力的同時，也一定程度上促進了

57、威脅情報的共享。 （三）加快標準化建設，促進威脅情報共享融合（三）加快標準化建設，促進威脅情報共享融合 隨著威脅行為體的規模、范圍和復雜程度的增加，網絡安全防御難度不斷增大，僅靠單個企業的防御能力可能不足以應對，應逐步建立網絡安全威脅情報共享機制， 打破各自為戰， 實現協同聯防。 一方面，標準化是威脅一方面，標準化是威脅情報情報共享的必要前提。共享的必要前提?？山梃b美歐相關經驗，從國家戰略高度部署和推進威脅情報標準化工作，為標準的管理、更新和推廣提供政策指導與制度保障。威脅情報描述方面，威脅情報描述方面， 網絡安全威脅情報行業發展報告（2021 年） 24 鑒于我國威脅情報技術仍處在發展應用的

58、初期，不同網絡安全廠商以及行業組織的使用場景不盡相同，可在信息安全技術網絡安全威脅信息表達模型(GB/T366432018)基礎上逐步細化，實現威脅信息的結構化、系統化的表征從無到有、從實用化再到自動化。傳傳輸協議方面輸協議方面，可可參考以 TAXII 為代表的威脅情報共享與傳輸規范的情報表達模式，并充分考慮基于威脅情報的共享機制、共享平臺、智能化應用等需要，切實做好網絡威脅情報生態環境的底層支持。結構化的規范情報描述標準和統一的傳輸協議可降低參與情報共享機構、存儲庫進行情報交換和數據格式轉化的成本，提高情報交換的效率和準確性，促進各參與主體間資源共享、交流協作。 另一方面， 機制建設是威脅情

59、報共享的基礎保障。另一方面， 機制建設是威脅情報共享的基礎保障。 2021 年 7 月，網絡安全產業高質量發展三年行動計劃（2021-2023 年）（征求意見稿）公開征求意見，在“專欄 4 網絡安全產業生態培育工程”中明確提出“完善網絡安全威脅信息共享服務體系和機制。完善網絡安全威脅信息共享服務體系和機制。建立驅動漏洞、惡意程序、惡意地址、攻擊行為等威脅信息挖掘、披露、流轉和利用的規則機制，鼓勵網絡安全企業、行業用戶、科研機構、高校積極參與信息共享， 提升威脅信息要素聚集水平與服務能力。 ” ，可借鑒歐盟信息共享與分析中心（ISAC）、公私合作伙伴（PPP）等共享合作經驗， 加強網絡安全管理部

60、門與行業、 企業的合作與支持，擴展威脅情報共享路徑，擴大威脅情報共享的參與主體范圍，促進參與主體間網絡安全能力合作協同。此外，應充分保障情報共享者的權益，設立行之有效的獎懲制度，調動各方共享情報的積極性， 網絡安全威脅情報行業發展報告（2021 年） 25 并嚴厲打擊“搭便車”行為以防止其對健康共享環境造成的負面影響，制定威脅情報合作共享長效機制。 （四）夯實威脅情報基礎，賦能安全協同生態建設（四）夯實威脅情報基礎，賦能安全協同生態建設 在網絡安全內生化趨勢下，威脅情報的基礎性、重要性作用不斷凸顯，日益成為新一代企業網絡安全體系建設的核心。未來，威脅情報基礎能力有望驅動基礎網絡設備、網絡安全設

61、備、終端安全產品和網絡安全運營平臺的協同聯動，實現威脅檢測、威脅分析、威脅處置、威脅溯源、威脅感知等的閉環。 一是情報融合分析。一是情報融合分析。網絡安全產業高質量發展三年行動計劃（2021-2023 年）（征求意見稿）在“加強共性基礎支撐”重點任務中，也明確將“威脅信息”作為“網絡安全基礎知識庫網絡安全基礎知識庫”的重要組成部分。建立網絡安全基礎知識庫要求更廣泛全面地收集防火墻、入侵檢測、入侵防御等網絡安全設備以及防病毒、終端檢測響應（EDR）等終端安全管理產品產生的日志及告警數據，并構建多級情報聯動管理能力，將進一步促進企業內部網絡安全基礎數據的關聯分析與共享融合。在此基礎上，依托對威脅情

62、報、網絡原始日志、終端日志、 告警日志的關聯分析， 能夠從攻擊者視角還原攻擊路徑、呈現威脅全貌。 二是處置能力協同。二是處置能力協同。威脅情報能力將驅動安全編排與自動化響應 （SOAR） 等安全運營平臺更加快速地識別威脅并實施自動化處置?；诤Ａ客{情報構建動態更新的威脅特征庫，賦能安全設備實施網絡流量和主機日志的實時監控，有助于提升網絡安全檢測能力及 網絡安全威脅情報行業發展報告（2021 年） 26 效率，盡早識別滲透行為并開展干預。以 TTP（戰術、技術手段和過程）類情報為基礎知識支持，利用攻擊鏈模型或 ATT&CK 模型等進行威脅狩獵分析，實現攻擊過程的精準定位以及對潛在威脅和攻擊路徑

63、等的預判。更重要的是，結合網絡安全攻防實踐經驗，建立與威脅特征相對應的安全響應指令集和響應策略集，編排各類網絡安全、主機安全、終端安全設備協同開展威脅處置工作。例如，采取網絡封堵、隔離等措施的同時，定位失陷主機并實施相應自動化處置策略。 三是安全態勢研判三是安全態勢研判。多源威脅情報信息的有效整合利用有助于激活企業安全信息和事件管理平臺 （SIEM） 、 網絡安全運營中心 （SOC）或網絡安全態勢感知平臺等“安全大腦”的分析能力，助力企業實現從被動防御到主動防御的轉變。充足的威脅情報數據將有效支撐對復雜多維的安全事件和網絡流量的深度關聯分析，從更加豐富的維度進行威脅分析，不僅能夠更加全面地檢測

64、內部及外部的網絡安全威脅，還能在威脅溯源分析中更加精準定位攻擊來源及特征，并生成威脅預警能力，服務于后續安全運營。此外，在威脅情報分析中深入應用大數據分析、深度學習、人工智能等新技術，有效提升整體威脅態勢綜合研判能力，實現網絡安全策略的動態調整，推動企業安全運營能力向智能化發展，實現更加精確主動的防御。 網絡安全威脅情報行業發展報告（2021 年） 27 附錄：典型網絡安全威脅情報供應商的能力評價及優勢分析 北京微步在線科技有限公司北京微步在線科技有限公司 專注于威脅情報細分領域，以威脅情報數據為核心，結合云端與本地化產品以及專業安全服務，為各行業提供創新性解決方案。 不斷拓展基礎網絡數據監測

65、范圍，構建 PB 級威脅情報知識圖譜， 持續開展對全球近 300 個黑客組織的畫像和追蹤， 確保對威脅、資產、風險場景更全面的覆蓋。 深入應用 AI 技術，綜合多種先進數據分析方法，支持多種場景下的情報提取和分析研判，實現了自動化生產高可信情報。 采用規則+AI 模型的方式， 對不同資產類型的 IOC 設置精細化的去誤報機制，并結合情報告警反饋及時更新和優化去誤報機制，實現高達 99.99%的情報準確率，以精準的情報數據驅動網絡安全防 網絡安全威脅情報行業發展報告（2021 年） 28 御。 打造“檢測響應”產品矩陣，突出 SaaS 訂閱模式+產品化的優勢， 實現從威脅情報衍生至全棧能力。 其

66、中威脅感知平臺 （TDP） 、本地威脅情報管理平臺（TIP）和 OneDNS 互聯網安全接入服務三大主打產品覆蓋了全流量威脅檢測、本地化威脅情報管理和互聯網安全接入等多個安全檢測場景。此外，還推出了威脅情報檢測與分析API、開放威脅情報社區 X、惡意軟件分析平臺 S、企業安全服務MDR、外部威脅監控服務 OneRisk、終端威脅檢測與響應平臺OneEDR 等。 網絡安全威脅情報行業發展報告（2021 年） 29 奇安信科技集團股份有限公司奇安信科技集團股份有限公司 利用國內龐大的安全終端產生的海量基礎數據， 直接賦能自身安全體系產品，形成威脅情報驅動的聯動防御體系。 持續跟蹤分析的主要 APT

67、 團伙超過 46 個，獨立發現 APT 組織 13 個，持續發布 APT 組織的跟蹤報告超過 90 篇。 威脅情報檢測引擎支持細粒度的規則設置， 具備微秒級威脅情報查詢能力，準確率可達 99.9%。 自主研發基于大數據分析的多源威脅情報采集及查詢技術、 基于 KV 可擴展高性能數據處理引擎的威脅情報存取技術、 基于圖關系模型和大數據分布式關聯引擎的威脅情報自動化分析技術等創新技術。 發布包括威脅情報平臺、ALPHA 威脅分析平臺、威脅雷達、奇安信威脅情報運營系統（TIOS 解決方案）等威脅情報產品，覆蓋 網絡安全威脅情報行業發展報告（2021 年） 30 主流威脅情報服務模式，并提供定制化的行

68、業解決方案。 發起網絡安全威脅情報生態聯盟，面向聯盟成員免費的失陷（受害） 主機檢測能力、 告警日志富化能力。 發布 “TI INSIDE 計劃” ，把威脅情報中心多年來的數據積累、技術、能力、專家，尤其是威脅情報實戰經驗固化形成開發 SDK，服務于行業客戶和生態合作伙伴，讓威脅情報應用的行業生態合作也快一步。 網絡安全威脅情報行業發展報告（2021 年） 31 360 政企安全集團政企安全集團 建立大范圍、 長時間、 多維度的存量和實時全網安全大數據庫，安全大數據總存儲數量超 2EB。建立攻防對抗知識庫、APT 組織知識庫、漏洞知識庫、病毒庫等多維度全景安全知識庫。 具備 APT 威脅情報的

69、快速關聯溯源能力， 發現并追蹤了 46 個APT 組織及黑客團伙，獨立發現了多起境外 APT 組織使用“在野”0day 漏洞針對我國境內目標發起的 APT 攻擊。 打造智能化情報生產流程，及時高效的生產 IOC 數據，并通過智能分析和人工運營提高情報的準確性。 研發基于 KV 引擎的威脅情報高速數據存儲和查詢技術、 面向海量威脅情報數據的 ETL 性能優化技術、多源異構威脅情報動態評估與聚合技術、面向多粒度威脅情報數據的威脅研判分析技術、基于深度學習的自動化威脅情報提取分析技術和面向多源多維威脅情 網絡安全威脅情報行業發展報告（2021 年） 32 報數據的情報圖譜構建技術等創新技術。 360

70、威脅情報平臺可查詢眾多與惡意行為或威脅事件相關的基礎與關聯數據， 如域名的歷史解析記錄信息、 屬主情況與變更信息、數字證書記錄信息等，并提供了進一步的智能化分析預判結果，更全面地展示威脅全貌。 發布威脅情報平臺 （TIP） 提供一體化情報管理、 賦能、 評價、分享能力，以及威脅態勢監控（TSM）提供云端威脅態勢監控服務。 網絡安全威脅情報行業發展報告（2021 年） 33 綠盟科技集團股份有限公司綠盟科技集團股份有限公司 綜合產品探針和 SaaS 服務、公網數據和第三方情報為用戶提供全面優質的情報服務。 基于持續的資產監測能力，將威脅情報與資產準確關聯，以主動推送的方式為用戶提供持續的資產安全

71、性監測服務。 自主研發基于知識圖譜建模的威脅推理技術、 威脅自適應誘捕與追蹤技術、大數據關聯分析與威脅挖掘技術等創新技術，助力未知威脅的發現。 提供多種威脅情報輸出和使用模式， 以滿足不同用戶和業務的應用需求。面向安全人員，提供全球威脅情報云查詢服務和定制化情報的 email 推送服務；針對第三方安全產品和軟件，提供基于 API訪問接口的機讀情報數據訂閱服務。此外，面向專屬威脅情報能力建設需求，提供本地威脅情報平臺或用于安全產品或安全平臺的威 網絡安全威脅情報行業發展報告（2021 年） 34 脅情報數據模塊；面向互聯網資產管控的需求，衍生出基于情報的互聯網資產核查服務。 網絡安全威脅情報行業

72、發展報告（2021 年） 35 杭州安恒信息技術股份有限公司杭州安恒信息技術股份有限公司 基于網絡空間探測雷達 Sumap 的全球網絡空間資產探測能力提供最豐富的基礎數據支撐能力。 擁有多維度的情報庫，包括高精準情報、IOC 情報、白名單情報、信譽情報、whois 數據、家族情報、近 4000 篇威脅事件情報、與 200 多個黑客組織相關的情報、 230 多個分析報告和驗證工具的漏洞情報等。 威脅情報平臺具備任一情報源接入能力， 并能快速對情報進行處理、聚合、分析及評價情報質量等。 網絡安全威脅情報行業發展報告（2021 年） 36 參考文獻 1趙寧,李蕾,劉青春,葉銳.基于網絡開源情報的威脅

73、情報分析與管理.情報雜志.2021 年. 2 何志鵬,劉鵬,王鶴.網絡威脅情報標準化建設分析.信息安全研究.2021 年. 3 李留英.歐盟網絡威脅情報共享進展及啟示研究.情報雜志.2021年. 4 石志鑫,馬瑜汝,張悅,等.威脅情報相關標準綜述.信息安全研究.2021 年. 5 董聰,姜波,盧志剛,劉寶旭,李寧,馬平川,姜政偉,劉俊榮.面向網絡空間安全情報的知識圖譜綜述.信息安全學報.2020 年. 6 林玥,劉鵬,王鶴,等.網絡安全威脅情報共享與交換研究綜述.計算機研究與發展,2020 年. 7 王秉,郭世珍.安全情報服務能力評價指標體系構建.科技情報研究.2020 年. 8 張雷,宋棟,

74、劉紅.基于 AHP 的威脅情報網站價值評估方法.信息技術與網絡安全.2020 年. 9 霍珊珊,李寧,周麗娜等.網絡安全態勢感知數據評價方法研究.2019年. 10楊沛安,武楊,蘇莉婭等.網絡空間威脅情報共享技術綜述.計算機科學.2018 年. 11王晨璐,胡敏,劉春陽等.基于威脅情報的安全指標量化技術研究與 網絡安全威脅情報行業發展報告（2021 年） 37 應用.通信技術.2017 年. 12單琳.網絡威脅情報發展現狀綜述.保密科學技術.2016 年. 13王瀅波.網絡安全企業核心競爭力指標初探.信息安全與通信保密.2015 年. 14Xu, Y., Yang, Y. and He, Y.

75、 A Business Process Oriented Dynamic Cyber Threat Intelligence Model. Proceedings of 2019 IEEE SmartWorld, Ubiquitous Intelligence & Computing, Advanced & Trusted Computing, Scalable Computing & Communications, Cloud & Big Data Computing, Internet of People and Smart City Innovation. 2019 年 8 月. 15D

76、ong, Cong & Chen, YuFan & Zhang, YunJian & Jiang, Bo & Han, DongXu & Liu, BaoXu. An Approach for Scale Suspicious Network Events Detection. 2019 年. 16 Tounsi, Wiem & Rais, Helmi. A survey on technical threat intelligence in the age of sophisticated cyber attacks. Computers & Security. 2017 年. 2021 年

77、“工信安全智庫”系列研究報告 報告編號報告編號 報告名稱報告名稱 發布時間發布時間 2021-yp-01 2020-2021 年度工業信息安全形勢分析 2021 年 1 月 2021-yp-02 2020-2021 年數字經濟形勢分析 2021 年 1 月 2021-yp-03 2020-2021 年度信息技術產業形勢分析 2021 年 1 月 2021-yp-04 2020-2021 年度全球網絡空間形勢分析 2021 年 1 月 2021-dc-01 2020-2021 年我國工業互聯網產融合作發展報告 2021 年 2 月 2021-dc-02 2020 年我國網絡安全產業產融合作發展報

78、告 2021 年 2 月 2021-lw-01 拜登政府網絡安全政策走向及影響研判 2021 年 2 月 2021-lw-02 數字稅的概念詳解、全球進展和有關影響 2021 年 3 月 2021-dc-03 網絡安全保險發展現狀研究及展望 2021 年 3 月 2021-dc-04 數字中國建設扎實推進解讀中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035 遠景目標綱要 第五篇 “加快數字化發展 建設數字中國” 2021 年 3 月 2021-dc-05 全球跨境數據流動相關問題研究 2021 年 4 月 2021-lw-03 歐盟數字市場法案數字服務法案的影響、趨勢和建議 202

79、1 年 4 月 2021-lw-04 2020 年東盟數字經濟發展情況報告 2021 年 5 月 2021-lw-05 “小院高墻”下美國產業政策走向及我國應對措施 2021 年 5 月 2021-by-01 全球趨勢 2040 一個競爭更加激烈的世界 2021 年 5 月 2021-dc-06 國內外個人信息保護政策和立法探究 2021 年 5 月 2021-yp-05 2021 年工業信息安全半年形勢分析 2021 年 6 月 2021-yp-06 2021 年數字經濟半年形勢分析 2021 年 6 月 2021-yp-07 2021 年信息技術產業半年形勢分析 2021 年 6 月 報告

80、編號報告編號 報告名稱報告名稱 發布時間發布時間 2021-dc-07 2021 年上半年我國工業互聯網產融合作發展報告 2021 年 7 月 2021-dc-08 2021 年我國網絡安全產業產融合作半年形勢分析 2021 年 7 月 2021-dc-09 智能網聯汽車數據安全研究 2021 年 7 月 2021-dc-10 我國智慧農業發展情況及對策建議 2021 年 8 月 2021-dc-11 中國東盟數字經濟合作白皮書 2021 年 8 月 2021-dc-12 2020 年我國企業數字化轉型進程報告 2021 年 8 月 2021-lw-06 主要工業國家和地區推動制造業數字化轉型

81、的做法和啟示 2021 年 8 月 2021-dc-13 我國網絡安全產業調研報告 2021 年 9 月 2021-dc-14 我國數據安全法構建的數據安全治理框架及政策趨勢研究 2021 年 9 月 2021-dc-15 新一代人工智能算力基礎設施發展研究 2021 年 9 月 2021-dc-16 面向數字基建的網絡安全監管體系構建研究 2021 年 9 月 2021-dc-17 人工智能安全風險及治理研究 2021 年 9 月 2021-dc-18 我國數據開放共享報告 2021 2021 年 9 月 2021-dc-19 美國加大科技遏制對我國工業和信息化重點領域的影響 2021 年

82、10 月 2021-zs-01 2021 長三角數字經濟發展報告 2021 年 10 月 2021-dc-20 共同富裕：企業社會責任助力工業和信息化大中小企業融通發展 2021 年 10 月 2021-dc-21 算力：數字經濟發展的基石 2021 年 11 月 2021-dc-22 新形勢下我國工業互聯網+智能制造產業發展研究 2021 年 11 月 2021-lw-07 國外數據信托制度研究 2021 年 11 月 2019-2020 年度工業信息安全形勢分析 本報告版權屬于國家工業信息安全發展研究中心，轉載、摘編、引用本報告文字、數據或者觀點的，應注明來源。 聯系人：趙銘晨 19800323351