本文提出 TIBlender，一个基于多智能体 LLM 的跨平台社交媒体威胁情报早期预警系统。当前网络安全威胁信号分散于多个社交媒体平台（如 X、Reddit、Telegram 和 Discord），尚未有方法能完全自动化地将这些碎片化信息整合为可操作的威胁情报（TI）报告。TIBlender 通过角色专用的 LLM 智能体，对四个平台进行实时监控，并开展多视角调查，追踪证据链以发现相关的入侵指标（IoC）。在实际部署中，TIBlender 能够在四种威胁类别（漏洞利用、恶意软件、钓鱼、僵尸网络）中提前于公共 feed 检测到新兴威胁，包括在公开漏洞库尚未收录时即发现野外利用。其提取的 IoC 大部分未被现有任何流行的威胁情报 feed 收录。定量评估进一步证实：每个平台贡献了其他平台无法提供的独特威胁信息；若排除任一平台，特定威胁类别的报告量将显著下降。与单平台基线相比，TIBlender 在相同输入条件下的 IoC 提取性能达到或超过基线水平，而完整流水线可发现更多 IoC，且大部分 IoC 不存在于任何单平台基线中。这些结果证明了跨平台社交媒体监控作为运营 TI 管道中一种有效且可扩展的早期预警层的能力。

随着信息技术的快速发展，传统线下模式向高效互联的线上环境转变，但同时也带来了身份盗窃、冒充和网络钓鱼等网络威胁的增加。侦察（即信息收集）是攻击者的关键阶段，通常利用开源情报（OSINT）来收集目标的敏感和广泛信息。为应对这一挑战，本研究提出了reconCTI，一个基于Python构建的命令行工具，适用于Linux系统。该工具旨在搜索表层网络和暗网平台上的敏感数据泄露。用户可输入特定关键词，同时扫描多个站点，并通过引用MITRE ATT&CK框架评估发现结果。最终生成包含可能缓解策略的威胁报告。reconCTI旨在帮助网络安全专业人员和普通用户及早识别风险并采取适当行动。该工具的主要贡献在于提供了一种主动式的网络威胁情报方法，整合了OSINT收集、自动扫描、MITRE ATT&CK映射和报告生成，降低了威胁情报获取的门槛。

本文提出 KnowHow，一种自动化应用 CTI 报告高级知识的在线溯源分析方法。现有攻击检测系统（如溯源分析）依赖底层系统事件（文件访问、网络连接等），而 CTI 报告中的知识以自然语言形式（如 ATT&CK 技术）描述，两者之间存在语义鸿沟。手动关联耗时且易错。KnowHow 的核心是一种新的攻击知识表示——gIoC（graph of Indicators of Compromise），它抽象了攻击的主体、客体和动作。通过将系统标识符（如文件路径）提升为自然语言术语，KnowHow 能够将系统事件与 gIoC 匹配，进而与自然语言描述的技术关联。然后，基于匹配的技术，KnowHow 推理攻击步骤的时间逻辑，检测潜在 APT 攻击。实验使用开源和工业数据集，KnowHow 准确检测了全部 16 个 APT 活动，而现有方法均产生大量误报。同时，KnowHow 将节点级误报最多减少 90%，且节点级召回率更高，对未知攻击和模仿攻击具有鲁棒性。该方法有效地弥合了高级 CTI 知识与低级日志之间的鸿沟，提升了溯源分析的准确性和可解释性。

该论文针对恶意域名检测中普遍存在的误报（False Positive）问题，提出了“良性指标（Indicator of Benignity, IoB）”这一新概念。传统检测方法依赖恶意指标（Indicator of Compromise, IoC），但容易将正常域名误判为恶意，导致安全运营负担加重。论文从工业界视角系统分析了误报产生的原因，包括域名解析行为、注册信息、内容特征等多维度因素。为此，作者设计了一个基于灰名单和信誉评分的域名信誉系统，通过综合评估域名的良性特征（如长期稳定的解析记录、合法注册信息、无恶意内容等）来降低误报率。实验基于大规模真实网络流量数据，验证了该方法能有效减少误报，同时保持对真正恶意域名的检测能力。论文还讨论了误报对安全运营流程的影响，并提出了将IoB集成到现有检测框架的可行方案。适合安全运营分析师、威胁情报研究人员阅读。

该论文通过主动测量方法，深入分析了威胁情报（TI）生态系统的动态特征和潜在风险。研究收集了大量TI数据源，评估了其覆盖范围、准确性和时效性，并探讨了情报共享中的协作与竞争关系。论文揭示了TI生态系统中的信息质量差异、数据重复和延迟问题，以及可能的供应链攻击面。实验结果表明，现有TI系统在面对快速演变的威胁时存在显著盲区，为改进情报分发机制提供了实证基础。

该论文提出了一种名为NEXUS的新方法，旨在实现漏洞与攻击技术（如MITRE ATT&CK）之间的准确且可扩展的映射。当前网络安全领域中，漏洞与攻击技术的关联主要依赖人工分析，效率低下且难以跟上漏洞数量的快速增长。NEXUS通过自动化技术（可能结合自然语言处理、知识图谱或机器学习）提升映射的准确性和覆盖率。实验结果表明，NEXUS在多个数据集上优于现有方法，能够将漏洞描述与ATT&CK技术ID进行高效匹配，并支持大规模扩展。该研究填补了自动化威胁情报映射的空白，有助于安全运营团队快速理解漏洞的实际攻击风险，优化修复优先级。主要贡献包括：提出端到端的映射框架、构建高质量标注数据集、以及验证方法的有效性。适合安全分析师、威胁情报工程师和漏洞管理研究人员阅读。