自适应安全威胁建模

20/25自适应安全威胁建模第一部分自适应安全威胁建模方法论 2第二部分威胁情报集成与分析 4第三部分动态威胁场景模拟 7第四部分持续威胁建模更新 10第五部分模型预测与预警机制 12第六部分漏洞与威胁关联度评估 15第七部分威胁影响与缓解策略 17第八部分安全架构适应性优化 20

第一部分自适应安全威胁建模方法论自适应安全威胁建模方法论

简介

自适应安全威胁建模（ASTRM）是一种威胁建模方法论，旨在主动识别、分析和缓解网络威胁。与传统威胁建模不同，ASTRM强调协作、自动化和持续改进。

方法论步骤

ASTRM方法论由以下步骤组成：

1.定义范围和目标

*明确资产、系统和流程范围。

*确定安全目标和威胁情景。

2.资产识别和描述

*识别和描述系统中所有与安全相关的资产。

*确定资产的关键特性和依赖关系。

3.威胁识别

*使用自动化工具、公开情报和专家知识识别潜在威胁。

*评估威胁的可能性和影响。

4.威胁建模

*使用威胁建模语言（例如STRIDE）创建威胁模型。

*分析威胁与资产之间的交互。

5.控制评估

*识别和评估现有安全控制措施。

*确定控制措施的有效性。

6.优先级威胁和控制

*根据风险和影响对威胁和控制进行优先级排序。

*专注于缓解高优先级威胁。

7.实施控制

*根据优先级实施额外的安全控制措施。

*监控控制措施的有效性。

8.定期审查和更新

*定期审查和更新威胁模型、控制措施和安全目标。

*随着新威胁和漏洞的出现，调整安全策略。

关键特征

协作：

*鼓励团队协作，包括安全专家、开发人员和业务利益相关者。

*利用自动化工具和知识库促进知识共享。

自动化：

*采用威胁情报平台、漏洞扫描工具和建模软件等自动化工具。

*减少人为错误并提高建模效率。

持续改进：

*定期审查和更新，以反映新的威胁和变化的风险状况。

*持续监控安全控制措施的有效性，并根据需要进行调整。

优势

*提高威胁识别和分析的准确性。

*增强安全控制措施的有效性。

*促进跨职能团队之间的协作。

*简化安全策略的更新和维护。

*满足不断变化的网络威胁格局。

局限性

*可能需要大量资源和时间进行初始部署。

*持续更新和维护需要持续的努力。

*依赖于自动化工具和威胁情报的质量。

结论

自适应安全威胁建模（ASTRM）方法论提供了一种全面且持续的方法来识别和缓解网络威胁。通过协作、自动化和持续改进，ASTRM帮助组织提高网络安全态势并应对不断发展的威胁格局。第二部分威胁情报集成与分析威胁情报集成与分析

威胁情报是应对网络威胁至关重要的信息，它可以帮助组织了解当前和不断变化的威胁态势。自适应安全威胁建模(ASTM)集成并分析威胁情报，以提高其模型的准确性和相关性。

威胁情报的集成

ASTM通过以下途径集成威胁情报：

*威胁情报馈送：从外部威胁情报提供商订阅馈送，例如：

*恶意软件数据库

*安全事件日志

*情报报告

*内部威胁情报：收集并分析来自组织自身的内部安全日志、事件响应数据和安全监控系统的数据。

*开源情报：监视公开可用的信息来源，例如：

*新闻报道

*社交媒体

*技术论坛

威胁情报的分析

集成后的威胁情报经过分析和处理，以提取以下信息：

*威胁向量：恶意行为者的潜在攻击路径和方法。

*攻击目标：恶意行为者针对的系统、应用程序或数据。

*攻击技术：恶意行为者使用的特定技术和工具。

*攻击动机：恶意行为者进行攻击的潜在原因。

*攻击影响：攻击可能造成的潜在破坏或损失。

分析技术

ASTM使用以下技术分析威胁情报：

*机器学习：算法学习识别威胁模式并标记可疑活动。

*人工分析：安全分析师审查威胁情报以提供背景和见解。

*数据关联：将威胁情报与其他安全数据进行关联，例如漏洞信息和组织资产清单。

*沙箱：在受控的虚拟环境中执行可疑文件或代码，以观察其行为。

好处

威胁情报集成与分析为ASTM提供了以下好处：

*增强模型准确性：通过提供有关当前和新兴威胁的实时信息，提高威胁模型的准确性。

*缩小模型范围：通过识别和优先考虑最相关的威胁，限制威胁模型的范围，提高其效率。

*提高检测能力：通过提供攻击技术和动机的见解，使安全团队能够更有效地检测威胁。

*促进响应：通过了解攻击影响和缓解措施，支持组织快速有效地响应威胁。

*支持决策：为安全决策提供信息，例如安全控制措施的优先级和安全预算的分配。

挑战

威胁情报集成与分析也面临一些挑战，包括：

*数据量大：威胁情报可能来自大量来源，分析和处理这些数据可能具有挑战性。

*数据质量：威胁情报的质量差异很大，需要对其进行验证和筛选以确保准确性。

*误报：威胁情报可能包含误报，误报需要被过滤掉以避免不必要的警报。

*分析复杂性：分析威胁情报需要专门的技能和知识，这可能需要组织外部安全分析师的帮助。

结论

威胁情报集成与分析是自适应安全威胁建模的基石。通过将威胁情报与其他安全数据相结合并使用先进的分析技术，ASTM能够提供准确且相关的威胁模型。这使安全团队能够更好地了解当前的威胁态势，做出明智的安全决策并有效应对威胁。第三部分动态威胁场景模拟关键词关键要点【动态威胁场景模拟】

1.实时获取和分析威胁情报、安全事件和漏洞数据，构建动态的威胁场景。

2.利用机器学习和人工智能技术识别和预测潜在威胁，评估不同威胁的风险和影响。

3.创建交互式和可视化场景，使安全分析师能够探索和了解复杂的威胁场景。

【基于上下文的威胁评估】

动态威胁场景模拟

概述

动态威胁场景模拟是一种建模技术，它创建了实时、动态更新的网络环境模型，该模型能够模拟现实世界的威胁场景和攻击者行为。这使安全分析师能够在受控环境中评估网络安全措施的有效性并预测潜在威胁。

关键原理

动态威胁场景模拟建立在以下关键原理之上：

*实时数据集成：从各种来源（例如安全日志、入侵检测和主动扫描工具）收集实时数据，以构建和更新模型。

*威胁情报：利用来自威胁情报源的数据来丰富模型，了解最新的威胁和攻击向量。

*攻击者行为模型：模拟不同攻击者角色和行为模式，以模拟现实世界的攻击。

*网络拓扑映射：创建网络拓扑模型，以准确反映目标网络的结构和连接。

*事件相关性：将事件关联起来，以识别模式、优先级威胁并检测高级持久性威胁（APT）。

主要步骤

动态威胁场景模拟通常涉及以下主要步骤：

1.模型构建：收集数据、构建网络拓扑模型并集成实时数据。

2.威胁建模：识别潜在的攻击向量、攻击路径和攻击者的目标。

3.场景生成：创建模拟攻击场景，这些场景代表各种威胁和攻击者的行为模式。

4.模拟执行：执行模拟，在受控环境中播放攻击场景。

5.分析和评估：分析模拟结果，评估网络安全措施的有效性，确定漏洞并生成安全建议。

优势

动态威胁场景模拟提供以下优势：

*实时威胁评估：使安全分析师能够实时评估网络安全态势并预测潜在威胁。

*场景定制：允许创建定制的威胁场景，反映特定的业务风险和目标。

*攻击者行为模拟：提供对攻击者行为和动机的深入了解，从而提高检测和缓解能力。

*安全措施验证：帮助验证网络安全措施的有效性，并识别需要改进的领域。

*持续改进：通过持续监控和更新，可以根据不断变化的威胁态势和业务需求改进安全策略。

应用与局限

动态威胁场景模拟适用于广泛的安全用例，包括：

*网络安全风险评估：识别和评估网络的潜在安全风险。

*威胁监测和预警：持续监控网络以检测和预警威胁。

*安全控制优化：优化安全控制以提高检测和响应能力。

*网络韧性计划：制定计划以提高网络抵御攻击的能力。

然而，动态威胁场景模拟也存在一些局限性：

*复杂性：搭建和维护动态威胁场景模拟模型可能是一项复杂的任务，需要专门的技术知识。

*数据质量：模型和模拟的准确性取决于所用数据的质量和完整性。

*资源消耗：模拟执行和分析可能需要大量计算和存储资源。

*误报：尽管进行了缓解措施，但模拟仍可能产生误报，需要进行额外的分析和确认。

结论

动态威胁场景模拟是一种强大的建模技术，可提供实时威胁评估和攻击者行为洞察。通过模拟现实世界的攻击场景，安全分析师可以增强对网络安全态势的理解，提高检测和缓解能力，并持续改进安全策略。第四部分持续威胁建模更新关键词关键要点【威胁模型可观测性】：

1.通过安全监控和日志记录收集有关威胁模型相关活动的数据，以检测威胁并了解其行为。

2.利用机器学习和人工智能技术分析收集到的数据，识别模式并预测潜在威胁。

3.将可观测性数据与威胁情报集成起来，以扩展威胁模型的覆盖范围并提高检测精度。

【威胁场景演进分析】：

持续威胁建模更新

持续威胁建模更新是一种迭代且动态的过程，旨在随着应用程序的发展和环境的变化，不断更新和完善威胁模型。这是确保威胁模型保持相关性和有效性的关键步骤。

更新过程

持续威胁建模更新过程通常涉及以下步骤：

1.监控环境变化：定期监控应用程序和环境中的变更，例如代码更改、新功能添加或外部威胁情报更新。

2.分析变更影响：评估环境变化对应用程序安全性的潜在影响。确定哪些变更可能引入新的攻击面或增加现有攻击面的风险。

3.更新威胁列表：根据变更影响，识别和评估新的潜在威胁或现有威胁的风险变化。

4.更新威胁模型：将新识别的威胁或风险更改纳入威胁模型。这可能涉及添加新的攻击向量、更新缓解措施或重新评估现有的控制措施。

5.持续验证：通过渗透测试、代码审查和其他漏洞评估技术，验证更新的威胁模型。

6.沟通和报告：将更新后的威胁模型传达给利益相关者，例如开发人员、安全团队和业务经理。

持续性更新的重要性

持续威胁建模更新有两个主要好处：

1.及时性：通过定期更新，威胁模型可以反映应用程序和环境中不断变化的威胁态势。这有助于组织及时应对新出现的威胁并降低安全风险。

2.准确性：持续更新可以确保威胁模型准确反映应用程序的实际安全状况。这对于优先考虑安全措施、分配资源和做出明智的决策至关重要。

最佳实践

*自动化：使用工具和技术自动化威胁建模更新过程，以便更有效率和及时地更新。

*协作：鼓励开发人员、安全团队和其他利益相关者参与威胁建模更新过程，以获得不同的视角和专业知识。

*持续监控：定期监控威胁情报源和安全公告，以主动识别新的威胁和漏洞。

*培训和意识：培训开发人员和安全团队了解持续威胁建模的重要性，并制定明确的更新流程。

遵循中国网络安全要求

在中华人民共和国，威胁建模是一个关键的网络安全要求。持續威脅建模更新與以下法律法規和標準密切相關：

*網絡安全法(2017)：要求關鍵信息基礎設施運營者實施威脅建模和風險評估。

*信息安全技術威脅建模方法(GB/T27861-2011)：規定了威脅建模的總體方法和步驟。

*信息安全技術信息系統安全風險評估通用要求(GB/T37463-2019)：規定了信息系統安全風險評估的通用要求，包括威脅建模。

遵循這些要求和標準有助於組織確保其威脅模型的有效性和全面性，從而增強其整體網路安全態勢。第五部分模型预测与预警机制关键词关键要点数据建模和分析

1.利用机器学习和统计模型从安全数据中提取模式和见解，识别潜在威胁和异常情况。

2.构建预测性模型，通过分析历史数据来预测未来的安全事件，并提前采取措施进行预防。

3.实施数据关联和异常检测技术，自动发现异常活动，并向安全分析师发出警报。

威胁情报集成

1.整合来自内部和外部来源的威胁情报，包括网络安全供应商、执法机构和政府机构。

2.分析和筛选威胁情报，以识别与组织环境相关的特定威胁。

3.将威胁情报与安全数据模型集成，以增强预测能力和检测精度。模型预测与预警机制

简介

自适应安全威胁建模中，模型预测与预警机制作为关键组件，旨在通过对网络安全状态和威胁形势的持续监测和分析，预测潜在的安全威胁，并及时发出预警信息，为安全人员提供预见性洞察和响应时间。

模型预测

模型预测模块利用机器学习、数据挖掘和其他统计技术，分析历史安全数据、威胁情报和当前网络活动，识别异常或可疑模式，推断潜在的威胁向量。该模块包括以下步骤：

*数据收集与预处理：从各种来源（如安全日志、网络流量数据、威胁情报）收集相关数据，并对其进行清洗、标准化和转换。

*特征工程：提取和转换原始数据中的相关特征，以便模型分析。

*模型训练：使用监督学习（如决策树、支持向量机）或非监督学习（如聚类、异常检测）算法训练预测模型，将输入特征与已知安全事件进行映射。

*模型评估：评估训练模型的性能，包括准确率、召回率和F1得分，以确定其预测能力。

预警机制

预警机制基于预测模型的结果，发出及时、准确的预警信息。该机制包括以下组件：

*阈值设置：定义威胁预测置信度或风险评分的阈值，超出该阈值时触发预警。

*预警规则：建立特定规则，当预测的威胁类型、严重性或目标资产满足特定条件时，触发预警。

*预警通知：通过电子邮件、消息推送或其他渠道向安全人员、决策者或相关方发送预警通知。

优势

模型预测与预警机制为自适应安全威胁建模提供了以下优势：

*预见性洞察：通过预测潜在威胁，为安全人员提供预见性洞察，使其能够采取主动措施防止攻击。

*缩短响应时间：及时预警信息缩短了安全事件的响应时间，使安全人员能够迅速应对和减轻威胁。

*提高决策效率：基于模型预测的结果，安全人员能够做出更明智、更及时的决策，降低安全风险。

*自动化检测与响应：预警机制可与安全编排自动化响应(SOAR)工具集成，实现安全事件的自动化检测和响应。

示例

模型预测与预警机制在网络安全领域的应用示例包括：

*网络入侵检测：预测网络流量中的异常模式，识别潜在的入侵或攻击。

*恶意软件检测：分析可执行文件或代码，预测是否会感染恶意软件或其他威胁。

*网络钓鱼检测：识别可疑的电子邮件或网站，预测它们是否包含恶意链接或内容。

结论

模型预测与预警机制是自适应安全威胁建模中必不可少的组件，它通过预测潜在威胁并及时发出预警，为安全人员提供预见性洞察和响应时间，从而提高组织的网络安全态势。第六部分漏洞与威胁关联度评估关键词关键要点【漏洞与威胁关联度评估】

1.确定关联度矩阵：

-创建一个矩阵，其中每一行代表一个漏洞，每一列代表一个威胁。

-每个矩阵单元格表示漏洞和威胁之间的关联度，使用预定义的评分系统（例如0到5）。

2.考虑关联因素：

-影响关联度的因素包括漏洞的严重性、可利用性、威胁的可能性、影响和缓解措施。

3.使用推理机制：

-应用推理技术，例如基于规则的方法或模糊逻辑，根据关联因素来推断关联度。

【威胁历史分析】

漏洞与威胁关联度评估

漏洞与威胁关联度评估是自适应安全威胁建模中关键的一步，其目的是确定漏洞与威胁之间的关联程度，以便优先考虑风险缓解措施。评估涉及以下步骤：

1.识别相关漏洞

首先，需要确定与评估范围相关的漏洞。这可以通过使用漏洞扫描器、渗透测试或其他安全评估工具来实现。应考虑已知的和未知的漏洞，包括零日漏洞和未公开的漏洞。

2.识别潜在威胁

接下来，需要识别可能利用这些漏洞的潜在威胁。这可以通过分析威胁情报、历史攻击数据或行业趋势来实现。应考虑内部威胁和外部威胁，包括黑客、恶意软件和国家行为者。

3.评估威胁可能性

评估每个威胁的可能性涉及考虑以下因素：

*威胁动机：攻击者利用漏洞的动机，例如财务收益、声誉损害或获取机密信息。

*威胁能力：攻击者利用漏洞的能力，包括技术技能、资源和持续性。

*威胁机会：攻击者成功利用漏洞的可能性，包括漏洞的利用难度、系统可访问性和缓解措施的有效性。

4.评估漏洞影响

评估漏洞影响涉及考虑以下因素：

*漏洞严重性：漏洞可被利用的程度以及它造成的潜在损害，例如数据泄露、系统故障或声誉损害。

*资产价值：受漏洞影响的资产的价值和关键性，例如客户数据、知识产权或关键业务系统。

*暴露程度：漏洞暴露给攻击者的程度，包括漏洞出现在外部网络还是内部网络，以及是否受到缓解措施的保护。

5.确定关联度

最后，需要将威胁可能性与漏洞影响进行关联，以确定关联度。关联度可以分为以下级别：

*高：高可能性和高影响

*中：中可能性和中影响

*低：低可能性或低影响

6.优先级排序

基于关联度评估，可以对漏洞和威胁进行优先级排序，以便专注于缓解最紧迫的风险。优先级排序应考虑以下因素：

*关联度：漏洞和威胁关联度越高，优先级越高。

*缓解难度：缓解漏洞和威胁的难度，包括缓解措施的可用性、成本和实施时间。

*业务影响：漏洞和威胁对业务运营的潜在影响，例如收入损失、声誉受损或法律责任。

通过进行漏洞与威胁关联度评估，组织可以识别和优先考虑最紧迫的安全风险，并采取适当的缓解措施来降低风险。持续进行评估对于在不断变化的威胁环境中保持安全态势至关重要。第七部分威胁影响与缓解策略关键词关键要点主题名称：威胁影响评估

1.系统性地分析和评估威胁对组织资产和业务运营的潜在影响。

2.考虑威胁的可能性、严重性、资产敏感性和组织脆弱性。

3.根据风险评估，确定需要应对威胁的优先级。

主题名称：缓解策略制定

威胁影响与缓解策略

威胁影响评估

威胁影响评估旨在确定威胁对目标资产或系统的潜在破坏程度。评估考虑以下因素：

*保密性影响：威胁是否能够泄露敏感信息？

*完整性影响：威胁是否能够修改或破坏信息？

*可用性影响：威胁是否能够使信息或系统无法访问？

*财务影响：威胁是否会导致经济损失？

*声誉影响：威胁是否会损害组织的声誉？

缓解策略

缓解策略旨在降低威胁的影响并保护目标资产或系统。根据威胁影响评估结果，缓解策略通常涉及以下步骤：

1.控制访问

*实施访问控制措施，限制对敏感信息和系统的访问权。

*使用强密码策略和多重身份验证机制。

*监控并记录用户活动，检测可疑行为。

2.数据保护

*使用加密技术保护敏感数据，使其在传输和存储过程中无法访问。

*定期备份数据，并将其存储在安全的位置。

*实施数据销毁策略，确保敏感数据在不再需要时被安全销毁。

3.系统加固

*应用安全补丁和更新，修复已知的漏洞。

*配置系统以仅启用必要的服务和端口。

*使用防火墙和入侵检测/防御系统监视网络流量和阻止恶意活动。

4.漏洞管理

*定期扫描系统漏洞并修复已发现的漏洞。

*使用漏洞管理工具自动化漏洞检测和修复过程。

*与安全供应商合作，获取最新的威胁情报和缓解建议。

5.人员安全意识培训

*向员工提供关于网络安全威胁和缓解措施的培训。

*强调注重安全意识文化的重要性，鼓励员工报告可疑活动。

*定期举办网络安全意识活动，以提高员工的知识和警惕性。

6.事件响应计划

*制定事件响应计划，概述在发生安全事件时的行动步骤。

*建立一个事件响应团队，负责调查和补救安全事件。

*定期测试事件响应计划，以确保其有效性。

选择缓解策略

选择合适的缓解策略取决于威胁的影响评估和组织的环境。以下因素应考虑在内：

*优先级：威胁影响的严重性。

*成本：实施缓解措施的成本。

*可用性：缓解措施的可用性和可部署性。

*可接受的风险：组织对剩余风险的容忍度。

通过采取全面的方法来管理威胁影响和实施适当的缓解策略，组织可以有效地降低网络安全风险，保护其资产并维持其运营的连续性。第八部分安全架构适应性优化关键词关键要点定位威胁场景

1.识别和分析不断演变的威胁环境，确定潜在的攻击向量和漏洞。

2.持续监测安全威胁情报，了解最新攻击趋势和手法。

3.建立威胁模型，描述潜在攻击者的目标、动机和能力。

动态安全控制

1.实施可调整的安全控制措施，以应对不断变化的威胁形势。

2.利用自动化和编排技术，根据威胁情报动态调整安全响应。

3.集成安全信息和事件管理(SIEM)系统，统一监控和管理安全事件。

威胁建模自动化

1.自动化威胁建模过程，减少手动任务并提高效率。

2.利用自然语言处理(NLP)和机器学习(ML)技术，从安全数据和威胁情报中提取见解。

3.开发基于规则的引擎，根据威胁情报自动触发安全控制措施。

敏捷安全开发(DevSecOps)

1.将安全实践集成到软件开发生命周期(SDLC)中，从一开始就解决安全问题。

2.利用安全测试工具和技术，持续进行安全扫描和评估。

3.促进开发人员和安全专业人员之间的协作，建立全面的安全意识。

持续的安全监控

1.实施持续的安全监控机制，以检测和响应威胁。

2.使用入侵检测系统(IDS)和入侵防御系统(IPS)，实时监测可疑活动。

3.利用大数据分析技术，识别安全模式和异常。

基于风险的安全决策

1.根据风险评估结果，分配安全资源并优先考虑威胁缓解措施。

2.采用定量和定性风险分析技术，衡量潜在威胁的可能性和影响。

3.建立基于风险的决策框架，以支持安全投资和响应策略。安全架构适应性优化

在《自适应安全威胁建模》中，安全架构适应性优化是一个关键概念，它涉及以下内容：

适应性原则

安全架构适应性优化遵循以下原则：

*主动：架构应设计为能够主动应对新威胁和变化的风险态势。

*自适应：架构应能够根据实时威胁情报和风险评估动态调整其安全措施。

*可恢复：架构应具备在安全事件发生后快速恢复的能力。

优化目标

安全架构适应性优化旨在实现以下目标：

*提高安全有效性：通过及时检测和响应威胁，提高整体安全态势。

*降低安全成本：通过自动化和简化安全流程来节省资源和时间。

*简化安全管理：通过提供一个统一且易于管理的安全平台来减轻管理复杂性。

适应性优化过程

优化过程涉及以下步骤：

1.威胁情报收集和分析

*持续监控威胁环境，收集有关新威胁、漏洞和攻击模式的信息。

*分析威胁情报以识别关键风险和优先级问题。

2.安全架构评估

*评估当前的安全架构，确定其适应性方面的优势和劣势。

*考虑架构的弹性、可恢复性和主动性方面。

3.优化策略和控制

*根据威胁情报和架构评估，制定自适应策略和控制。

*这些策略定义了架构如何响应特定威胁。

4.部署和自动化

*部署优化策略和控制，并自动化安全流程以提高效率。

*利用技术和工具（例如安全信息和事件管理系统[SIEM]）来简化监控、检测和响应。

5.持续监控和改进

*持续监控安全架构的性能，并根据需要进行调整。

*随着威胁环境的变化，定期重新评估威胁情报和优化策略。

具体措施

安全架构适应性优化可以实施多种特定措施，包括：

*基于风险的威胁建模：利用威胁建模技术识别和优先考虑安全风险。

*威胁情报集成：与外部威胁情报源集成，以获取有关新威胁和攻击模式的实时信息。

*自动化安全流程：自动化入站事件响应、安全补丁和配置管理等任务。

*弹性设计：实施冗余、故障转移机制和灾难恢复计划，以确保在安全事件发生后继续运营。

*云原生安全：使用云原生安全服务（例如云访问安全代理[CASB]）来简化和加强云环境中的安全。

通过实施这些措施，组织可以提高其安全架构的适应性，并增强其应对不断变化的威胁环境的能力。关键词关键要点主题名称：框架和原则

关键要点：

1.采用迭代和增量的方法，允许威胁建模随着系统或环境的变化而不断更新和完善。

2.遵循基于证据的方法，使用实际数据来识别威胁和评估风险，实现威胁建模的高度可信度和可验证性。

3.运用基于模型的方法，将系统表示为抽象模型，使威胁建模过程更加自动化和可扩展，提高效率和可复用性。

主题名称：威胁识别和风险评估

关键要点：

1.利用机器学习技术，对日志数据、漏洞扫描结果和威胁情报等多个来源进行自动化的威胁识别，提高威胁发现的覆盖范