会员服务
网络威胁 · 分析 · 报告 · 网络威胁情报 · 结构 ·
2 月 19 日
The CTI Echo Chamber: Fragmentation, Overlap, and Vendor Specificity in Twenty Years of Cyber Threat Reporting
翻译:网络威胁情报回音室:二十年网络威胁报告中的碎片化、重叠性与厂商特异性
Manuel Suarez-Roman,Francesco Marciori,Mauro Conti,Juan Tapiador
Manuel Suarez-Roman,Francesco Marciori,Mauro Conti,Juan Tapiador

Despite the high volume of open-source Cyber Threat Intelligence (CTI), our understanding of long-term threat actor-victim dynamics remains fragmented due to the lack of structured datasets and inconsistent reporting standards. In this paper, we present a large-scale automated analysis of open-source CTI reports spanning two decades. We develop a high-precision, LLM-based pipeline to ingest and structure 13,308 reports, extracting key entities such as attributed threat actors, motivations, victims, reporting vendors, and technical indicators (IoCs and TTPs). Our analysis quantifies the evolution of CTI information density and specialization, characterizing patterns that relate specific threat actors to motivations and victim profiles. Furthermore, we perform a meta-analysis of the CTI industry itself. We identify a fragmented ecosystem of distinct silos where vendors demonstrate significant geographic and sectoral reporting biases. Our marginal coverage analysis reveals that intelligence overlap between vendors is typically low: while a few core providers may offer broad situational awareness, additional sources yield diminishing returns. Overall, our findings characterize the structural biases inherent in the CTI ecosystem, enabling practitioners and researchers to better evaluate the completeness of their intelligence sources.


翻译:尽管开源网络威胁情报(CTI)数量庞大,但由于缺乏结构化数据集和报告标准不一致,我们对长期威胁行为者-受害者动态的理解仍然碎片化。本文对跨越二十年的开源CTI报告进行了大规模自动化分析。我们开发了一个基于大语言模型的高精度处理流程,对13,308份报告进行结构化处理,提取关键实体,包括归因威胁行为者、动机、受害者、报告厂商以及技术指标(IoCs与TTPs)。我们的分析量化了CTI信息密度与专业化的演变过程,刻画了特定威胁行为者与动机、受害者画像之间的关联模式。此外,我们对CTI行业本身进行了元分析。我们发现了一个由独立信息孤岛构成的碎片化生态系统,其中厂商报告呈现出显著的地域与行业偏见。我们的边际覆盖分析表明,厂商间情报重叠率普遍较低:少数核心供应商可能提供广泛的态势感知,但增加情报来源带来的边际收益递减。总体而言,我们的研究揭示了CTI生态系统固有的结构性偏见,有助于从业者和研究者更准确地评估其情报来源的完备性。
0
下载
关闭预览

相关内容

《解码网络战场:网络战中的威胁、战术与防御策略综述》
《解码网络战场:网络战中的威胁、战术与防御策略综述》
专知会员服务
18+阅读 · 2025年11月4日
基于大型语言模型的网络威胁情报:利用LLM提取MITRE ATT&CK技术 | 最新文献
基于大型语言模型的网络威胁情报:利用LLM提取MITRE ATT&CK技术 | 最新文献
专知会员服务
22+阅读 · 2025年10月22日
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
专知会员服务
32+阅读 · 2023年5月14日
《美国情报界2023年度威胁评估报告》
《美国情报界2023年度威胁评估报告》
专知会员服务
59+阅读 · 2023年3月12日
《信息混乱与未来威胁》2022最新10页报告+13页PPT,英国国防科技实验室
《信息混乱与未来威胁》2022最新10页报告+13页PPT,英国国防科技实验室
专知会员服务
27+阅读 · 2022年11月29日
《支持网络威胁情报的新能力概念》加拿大国防研究与发展部2022最新32页报告
《支持网络威胁情报的新能力概念》加拿大国防研究与发展部2022最新32页报告
专知会员服务
24+阅读 · 2022年11月27日
推荐!《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】北约科技组织20余位作者2022最新126页技术报告
推荐!《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】北约科技组织20余位作者2022最新126页技术报告
专知会员服务
87+阅读 · 2022年10月26日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知会员服务
100+阅读 · 2022年7月23日
【AI+军事】附论文 《从普通文本到网络威胁情报--利用自然语言处理收集网络威胁情报的技术解决方案》
【AI+军事】附论文 《从普通文本到网络威胁情报--利用自然语言处理收集网络威胁情报的技术解决方案》
专知会员服务
64+阅读 · 2022年4月26日
【AI+军事】附论文 《在半自动开源网络情报分析中跟踪网络威胁行为者》
【AI+军事】附论文 《在半自动开源网络情报分析中跟踪网络威胁行为者》
专知会员服务
27+阅读 · 2022年4月26日
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
网络舆情分析
网络舆情分析
计算机与网络安全
20+阅读 · 2018年10月18日
网络安全态势感知
网络安全态势感知
计算机与网络安全
26+阅读 · 2018年10月14日
讲透RCNN, Fast-RCNN, Faster-RCNN,将CNN用于目标检测
讲透RCNN, Fast-RCNN, Faster-RCNN,将CNN用于目标检测
数据挖掘入门与实战
18+阅读 · 2018年4月20日
【前沿】自动从CT医疗影像中生成诊断报告,卡内基梅隆大学CMU邢波教授团队最新基于深度学习的医疗影像研究成果
【前沿】自动从CT医疗影像中生成诊断报告,卡内基梅隆大学CMU邢波教授团队最新基于深度学习的医疗影像研究成果
专知
18+阅读 · 2017年11月24日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
[推荐] 这些年,我用过的点击率(CTR)预估模型!!!
[推荐] 这些年,我用过的点击率(CTR)预估模型!!!
菜鸟的机器学习
28+阅读 · 2017年7月31日
安全牛发布《威胁情报市场指南》报告
安全牛发布《威胁情报市场指南》报告
安全牛
13+阅读 · 2017年7月10日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
社交网络中的流言传播与演化
国家自然科学基金
2+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
面向复杂情报的大数据分析方法与决策支持
国家自然科学基金
41+阅读 · 2014年12月31日
动态重叠网络上疾病与信息传播动力学建模与分析
国家自然科学基金
1+阅读 · 2014年12月31日
网络用户隐私担忧与主动性泄露隐私信息之间的悖论:理论探索和基于社交网络的实证研究
国家自然科学基金
0+阅读 · 2014年12月31日
大数据环境下多媒体网络舆情信息的语义识别与危机响应研究
国家自然科学基金
4+阅读 · 2014年12月31日
大规模在线社会网络社区发现及隐私保护研究
国家自然科学基金
1+阅读 · 2014年12月31日
恐怖组织网络动态演化与干预策略研究
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Mind the Gap: Evaluating LLMs for High-Level Malicious Package Detection vs. Fine-Grained Indicator Identification
Arxiv
0+阅读 · 2月18日
AthenaBench: A Dynamic Benchmark for Evaluating LLMs in Cyber Threat Intelligence
Arxiv
0+阅读 · 2月14日
Uncovering Vulnerabilities of LLM-Assisted Cyber Threat Intelligence
Arxiv
0+阅读 · 2月6日
Next-generation cyberattack detection with large language models: anomaly analysis across heterogeneous logs
Arxiv
0+阅读 · 2月6日
Information Security Based on LLM Approaches: A Review
Arxiv
0+阅读 · 2月1日
RedSage: A Cybersecurity Generalist LLM
RedSage: A Cybersecurity Generalist LLM
Arxiv
0+阅读 · 1月29日
False Alarms, Real Damage: Adversarial Attacks Using LLM-based Models on Text-based Cyber Threat Intelligence Systems
Arxiv
0+阅读 · 1月28日
An Evidence-Driven Analysis of Threat Information Sharing Challenges for Industrial Control Systems and Future Directions
Arxiv
0+阅读 · 1月27日
An Evidence-Driven Analysis of Threat Information Sharing Challenges for Industrial Control Systems and Future Directions
Arxiv
0+阅读 · 1月18日
TANDEM: Temporal-Aware Neural Detection for Multimodal Hate Speech
Arxiv
0+阅读 · 1月16日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
网络威胁
分析
报告
网络威胁情报
结构
相关VIP内容
《解码网络战场:网络战中的威胁、战术与防御策略综述》
《解码网络战场:网络战中的威胁、战术与防御策略综述》
专知会员服务
18+阅读 · 2025年11月4日
基于大型语言模型的网络威胁情报:利用LLM提取MITRE ATT&CK技术 | 最新文献
基于大型语言模型的网络威胁情报:利用LLM提取MITRE ATT&CK技术 | 最新文献
专知会员服务
22+阅读 · 2025年10月22日
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文
专知会员服务
32+阅读 · 2023年5月14日
《美国情报界2023年度威胁评估报告》
《美国情报界2023年度威胁评估报告》
专知会员服务
59+阅读 · 2023年3月12日
《信息混乱与未来威胁》2022最新10页报告+13页PPT,英国国防科技实验室
《信息混乱与未来威胁》2022最新10页报告+13页PPT,英国国防科技实验室
专知会员服务
27+阅读 · 2022年11月29日
《支持网络威胁情报的新能力概念》加拿大国防研究与发展部2022最新32页报告
《支持网络威胁情报的新能力概念》加拿大国防研究与发展部2022最新32页报告
专知会员服务
24+阅读 · 2022年11月27日
推荐!《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】北约科技组织20余位作者2022最新126页技术报告
推荐!《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】北约科技组织20余位作者2022最新126页技术报告
专知会员服务
87+阅读 · 2022年10月26日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知会员服务
100+阅读 · 2022年7月23日
【AI+军事】附论文 《从普通文本到网络威胁情报--利用自然语言处理收集网络威胁情报的技术解决方案》
【AI+军事】附论文 《从普通文本到网络威胁情报--利用自然语言处理收集网络威胁情报的技术解决方案》
专知会员服务
64+阅读 · 2022年4月26日
【AI+军事】附论文 《在半自动开源网络情报分析中跟踪网络威胁行为者》
【AI+军事】附论文 《在半自动开源网络情报分析中跟踪网络威胁行为者》
专知会员服务
27+阅读 · 2022年4月26日
热门VIP内容
相关资讯
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告
专知
11+阅读 · 2022年10月28日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
40+阅读 · 2022年7月27日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
网络舆情分析
网络舆情分析
计算机与网络安全
20+阅读 · 2018年10月18日
网络安全态势感知
网络安全态势感知
计算机与网络安全
26+阅读 · 2018年10月14日
讲透RCNN, Fast-RCNN, Faster-RCNN,将CNN用于目标检测
讲透RCNN, Fast-RCNN, Faster-RCNN,将CNN用于目标检测
数据挖掘入门与实战
18+阅读 · 2018年4月20日
【前沿】自动从CT医疗影像中生成诊断报告,卡内基梅隆大学CMU邢波教授团队最新基于深度学习的医疗影像研究成果
【前沿】自动从CT医疗影像中生成诊断报告,卡内基梅隆大学CMU邢波教授团队最新基于深度学习的医疗影像研究成果
专知
18+阅读 · 2017年11月24日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
[推荐] 这些年,我用过的点击率(CTR)预估模型!!!
[推荐] 这些年,我用过的点击率(CTR)预估模型!!!
菜鸟的机器学习
28+阅读 · 2017年7月31日
安全牛发布《威胁情报市场指南》报告
安全牛发布《威胁情报市场指南》报告
安全牛
13+阅读 · 2017年7月10日
相关论文
Mind the Gap: Evaluating LLMs for High-Level Malicious Package Detection vs. Fine-Grained Indicator Identification
Arxiv
0+阅读 · 2月18日
AthenaBench: A Dynamic Benchmark for Evaluating LLMs in Cyber Threat Intelligence
Arxiv
0+阅读 · 2月14日
Uncovering Vulnerabilities of LLM-Assisted Cyber Threat Intelligence
Arxiv
0+阅读 · 2月6日
Next-generation cyberattack detection with large language models: anomaly analysis across heterogeneous logs
Arxiv
0+阅读 · 2月6日
Information Security Based on LLM Approaches: A Review
Arxiv
0+阅读 · 2月1日
RedSage: A Cybersecurity Generalist LLM
RedSage: A Cybersecurity Generalist LLM
Arxiv
0+阅读 · 1月29日
False Alarms, Real Damage: Adversarial Attacks Using LLM-based Models on Text-based Cyber Threat Intelligence Systems
Arxiv
0+阅读 · 1月28日
An Evidence-Driven Analysis of Threat Information Sharing Challenges for Industrial Control Systems and Future Directions
Arxiv
0+阅读 · 1月27日
An Evidence-Driven Analysis of Threat Information Sharing Challenges for Industrial Control Systems and Future Directions
Arxiv
0+阅读 · 1月18日
TANDEM: Temporal-Aware Neural Detection for Multimodal Hate Speech
Arxiv
0+阅读 · 1月16日
相关基金
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
社交网络中的流言传播与演化
国家自然科学基金
2+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
面向复杂情报的大数据分析方法与决策支持
国家自然科学基金
41+阅读 · 2014年12月31日
动态重叠网络上疾病与信息传播动力学建模与分析
国家自然科学基金
1+阅读 · 2014年12月31日
网络用户隐私担忧与主动性泄露隐私信息之间的悖论:理论探索和基于社交网络的实证研究
国家自然科学基金
0+阅读 · 2014年12月31日
大数据环境下多媒体网络舆情信息的语义识别与危机响应研究
国家自然科学基金
4+阅读 · 2014年12月31日
大规模在线社会网络社区发现及隐私保护研究
国家自然科学基金
1+阅读 · 2014年12月31日
恐怖组织网络动态演化与干预策略研究
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top