开源情报融合

由于搜集对象十分广泛，开源情报自身已经具备了融合属性[25]。目前对开源情报融合的探讨多针对不同搜集对象开源数据的内部融合和与非开源数据的外部融合两个方面。
首先，开源情报内部融合是开源情报分析中的一个重要环节，是指把从不同搜集对象中搜集得到并经过质量评估的各类开源数据和开源信息进行整合，以实现对多源情报的综合利用，形成格式统一的数据集合。目前已有学者逐渐关注到开源情报融合这一研究课题，并作出相应的尝试。如通过相应技术将图片和多媒体信息转换为纯文本内容存入数据库当中。除了将多源异构数据统一格式之外，还需要进行新增信息的实时融合，及时将知识库中所包含的与新增信息相关的各种信息进行融合[22]。此外，大数据技术给网络开源情报的挖掘与利用带来了机遇，利用计算机工具实现开源情报数据融合分析是未来开源情报融合的重要方向[19]。
开源情报外部融合是指将可公开获得的数据与非公开数据源的数据进行融合。事实上，如果开源情报和非开源情报不能协同作用，那就在某种程度上无法提供充分的情报内容供用户使用，因此，开源情报在使用过程中经常配合其他情报手段一起使用，尤其是在商业竞争、军事安全等领域。为达到对目标任务全面而准确的描述，探索开源情报外部融合十分重要。T.Day等在研究中分析了开源数据与信号情报、人力情报、测量情报和图像卫星情报等的融合问题，认为全源情报融合是一种不可逆转的趋势[26]。谢琪彬等探讨了开源数据与地理数据、卫星影像和社交网络等多个来源数据的融合问题，认为其具有很强的可操作性和必要性[25]。

[1]范昊,郑小川.国内外开源情报研究综述[J].情报理论与实践,2021,44(10):185-192+201.DOI:10.16353/j.cnki.1000-7490.2021.10.025.

情报融合的概念最早由美国情报界提出,伴随着“9·11”后的情报改革与反恐战争而逐渐走进人们的视野,故其进行情报融合的举措也最具代表性。单从机构设置上来看,美国各情报机构分工明确、职责清晰,各机构均有相对独特的情报手段、工作制度和运转模式。但在“9·11”事件中,美国情报界也暴露出情报建设重复、工作开展无序和信息共享不畅等问题。“烟囱”式的情报体制存在严重的缺陷,情报界领导者的权力受限导致其对整个情报界的掌控不足,而实质上的竞争关系又致使情报部门各自为政,所以在缺乏统筹和规划的情况下,最终形成了情报界工作的相对无序和混乱状态。因此,为了优化情报界的结构和运行,美国政府采取了一系列有针对性的措施,其于2004年颁布《情报改革与反恐怖主义法》,设立国家情报总监作为情报界的管理机构,目的就是强化情报共享与情报融合。

2005年1月,全国州长协会(National GovernorsAssociation)表示,各州应建立自己的反恐情报中心,即融合中心(Fusion Center)。美国司法部和国土安全部等机构制定的《融合中心指南:新时代的信息与情报的开发和共享》(FusionCenter Guidelines: Developing and Sharing Information and Intelligence in a NewEra.)指南中也表示,各州应当把发展和建设融合中心作为自身的最高优先工作事项。随后,国土安全部在全美各地设立了情报融合中心,统筹与国土安全相关的开源情报与其他来源情报融合并建立“恐怖分子监控数据库”。其将各级情报融合中心,由点到线最后连成面,构建了双向交互的情报网络。在2010年《国家安全战略》中,美国首次明确将融合中心纳入反恐战略之中,旨在加强融合中心的建设与使用。

2007年《美国情报界信息共享战略》、2012年《国家信息共享与安全战略》和2019年《美国国家情报战略》等一系列政策法规,也都突出强调了情报共享与融合的重要性,从战略层面推动美国情报融合的进行。截止2018年底,美国建立了多达79个情报融合中心,它们分布广泛、层级分明,无疑缓解了过去情报系统条块分割所形成的结构失调现象,通过情报的融合,进而提高定向信息收集、分析能力,优化整个情报系统,间接提升了全国范围内的情报共享能力。

在国家安全情报领域,开源情报的搜集与利用一直是情报界和学者们关注的重点问题,虽然开源情报的概念出现至今已逾80年,但是在信息技术和网络社交媒体蓬勃发展的推动之下,开源情报工作仍然是当下的热门研究主题。目前,国内已有研究开源情报融合问题的相关论文,如沈伟和蒋兴武在《开源情报的获取与应用》一文中简要论述了在开源情报分析中的多源情报融合技术;黄哲和管毅则在《互联网情报支持航天侦察情报应用分析》一文中针对网络开源情报与航天侦察情报的融合进行研究,对网络开源数据与航天侦察手段相融合的具体措施进行了探讨,其指出:“要不断开展高度自动化的互联网情报数据搜集与情报产品制作和网情数据对情报作业人员全流程辅助支持等方面的研究,实现基于开放环境的信息交互与资源共享。”

相比之下,国外对于开源情报融合的研究则更为精细化,如以国土安全部为代表的美国联邦执法部门重点关注开源情报在国土安全中的应用,并认为融合中心基于开源数据而生产的融合分析产品在反恐和执法方面有显著作用。其表示:“源于社交媒体的开源数据,与因用户设置为隐私或社交媒体平台功能而无法向公众提供的信息不同,它已成为执法和分析人员的宝贵信息来源,预防和应对犯罪的作用”;托尼·戴等人在《开源与非开源数据的融合》一文中分析了开源数据与地理数据、卫星影像和社交网络等多个来源数据的融合问题;在《融合算法和分析师:“大数据”时代的开源情报》一文中,克里斯托弗·埃尔德里奇等人认为大数据技术给网络开源情报的挖掘与利用带来了机遇。从文中不难看出,作者认为利用计算机工具实现开源情报数据融合分析是未来开源情报融合的重要方向。

总的来说,国内外对于开源情报融合的研究主要集中在融合技术、体制机制和反恐执法等方面,对于网络开源情报与传统的情报手段间融合研究并不多,面对支援军事行动和战略预警层次的开源情报融合也略显不足。在互联网触角不断延伸的今天,绝大多数的公开资料和数据都是通过网络媒介传播,开源数据的挖掘和分析手段也开始迈向软件化和智能化。因此,在现有研究成果的基础上,分析开源情报与其他来源情报融合的相关问题,相信会对网络开源情报与其他来源情报的融合利用产生一定的启发效果。

[1]谢琪彬.开源情报与其他来源情报融合的必要性及可行性分析[J].情报杂志,2021,40(01):12-18.

开源威胁情报由于情报来源的开放性,也导致其情报产出具有显著多源异构性,该固有弊端也阻碍了开源威胁情报的存储、共享和应用。开源威胁情报的融合处理是情报能够有效利用的前提,近年来众多学者也对该方向做了大量研究,目前已有研究主要通过对多来源本体相同的开源威胁情报进行一致性分析、去伪去重及数据融合分析等操作进行改善。
4.1.1 一致性分析
一致性分析的重要技术是本体构建,本体是同一领域内不同主体之间进行交流以及连通的语义基础[49],本体由多个元素构成,其形式化定义[50]如下:

其中,C是本体概念的集合(通常使用自然语言进行描述);R是非上下文关系,其中rel:R→C×C定义了实际关系的映射;HC⊆C×C是上下文关系的集合,定义本体的层次结构;vA是本体上公理的集合。其构建层次如图4。安全情报本体作为情报知识图谱构建的核心层次,是将信息抽取得到的实体及其关系构建为知识网络,实现数据向知识的转化以及知识与应用结合的过程,同时利用本体中定义的约束与规则可为后续的质量评估、知识推理等过程提供基础[51]。本体构建、一般基于本体复用,本体构建和本体匹配等[51]的实现。从网络安全研究的原理、需求、规范等抽象角度进行构建的本体被称为基于模式的知识本体,而从现有数据的格式、内容、结构化程度出发构建的本体则区分为基于数据的知识本体。北京航空航天大学的团队将本体应用于开源威胁情报一致性分析中,提出了一种用于描述多源异构开源威胁情报的基于本体的统一模型[52],以促进开源威胁情报的共享与分析。同时,他们还进一步提出了一种基于统一模型和开源情报收集工具Intel MQ的开源威胁情报集成框架。

图4本体构建层次
4.1.2 去伪去重
开源威胁情报去伪去重是开源威胁情报挖掘时另外一个重要处理步骤,主要使用维度扩展及挖掘分析等方法对情报数据进行提纯判定,尽可能对基础情报信息进行增值。M.Adithya等人[53]认为安全的信息去冗技术可以降低分布式存储中的通信和容量开销,并在这个以信息为导向的大社会中有巨大应用。他们的观点证实了数据去重对开源威胁情报系统的重要性。Edwards等人[54]就在一项美国专利中提出了开发一种可过滤、分类、消除重复数据、对数据项进行优先级排序的威胁情报系统的想法。Brown等人[55]认为开源威胁情报系统在使用前必须对开源情报数据进行去重等操作,避免将新收集的情报数据直接关联到现有数据,以避免增加安全运营人员的额外工作量。其中去重操作主要是利用快速匹配算法从各种数据集中精准识别出匹配记录,并将其从属性、关系或数据内容等维度上进行合并。作者同时也指出去重效果受到许多因素的影响,包括数据质量、首字母缩略词和缩写词的不同用法或语言差异。
4.1.3 数据融合分析
开源威胁情报数据融合分析旨在通过运用机器学习等智能数据融合方法针对原始情报信息进行关联融合处理,以获得具备时效性、准确性、完整性等特性的高质量威胁情报。目前学术界已产出一些威胁情报的数据融合分析成果。Modi等人[56]于2016年提出了一个自动开源威胁情报融合框架,该框架由分析、收集、控制、数据和应用层面构成,它可从不同情报来源提取开源威胁情报并利用聚类技术对内容相似的情报数据进行聚合关联,最终输出形成统一格式的威胁情报。Azevedo等人[57]也提出了一种开源威胁情报关联融合的类似方法。该方法主要采用簇聚合技术,可关联并聚合不同开源情报源中的相似IOC信息并将其汇集成簇从而得到提纯的开源威胁情报。文献[58]结合自然语言处理方法和智能分析技术,设计实现了一种基于多源情报信息融合的高质量开源威胁情报生成工具。该工具综合运用一致性分析,去伪去重等常见的粗粒度数据融合分析手段,并结合了SVM、贝叶斯推断等高阶数据分析技术,可针对威胁情报数据进行清洗、集成、整合处理。但其数据融合方法手段及关联应用效率还尚待进一步提升。综合来看,现有基于开源威胁的数据融合研究大都还处于采用一致性分析、去伪去重等粗粒度阶段,也有部分研究借鉴并应用了一些高阶数据融合方法,但其处理效率还待提升。传统的数据融合分析技术,如贝叶斯推理、卡尔曼过滤等基于概率的方法,D-S(Dempster-Shafer)理论等证据推理方法,机器学习、智能聚合、模糊逻辑等基于知识的方法等[59-60]具有质量好、稳定性强、鲁棒性高等优势,非常适用于大数据环境中时效性要求高的开源威胁情报数据融合处理,可应用于新兴的综合性数据融合分析以实现开源威胁情报融合。另外,未来可预见开源威胁情报数据将趋于更庞杂,基于深度学习的数据融合方法[61]由于其在处理海量数据上的优势,也将得到广泛应用。

[1]崔琳,杨黎斌,何清林,王梦涵,马建峰.基于开源信息平台的威胁情报挖掘综述[J].信息安全学报,2022,7(01):1-26.DOI:10.19363/J.cnki.cn10-1380/tn.2022.01.01.

2.威胁情报是一种基于证据的知识，主要包括场景、机制、指标、含义和可操作的建议等。基于高质量的威胁情报信息，可以为主体响应现存或新兴的威胁提供决策支持。元数据被定义为描述数据的数据，对数据及信息资源的描述性信息。网络威胁情报元数据指的是描述网络威胁情报数据的数据。对于网络威胁情报数据，同样也要进行规范化表示或描述，这样才能用于处理、分析以及与其它厂商或平台对接。参照国际标准、openioc、iodef(incident object deion and exchange format)、stix(structure threat information expression)及实际业务需求，对相应实体进行了定义。为了达到融合的目的，需要将这些实体映射为元数据类型，结合实际应用场景，最终映射的元数据类型共有十九种，分别是ip(ip)、url(url)、sample(样本)、domain(域名)、whois(域名注册信息)、as(全球自治域信息)、cert(数字证书)、vul(漏洞)、mailboxbasic(邮箱)、mailboxreputation(邮箱信誉)、account(账号)、other(其它可观察物)、tool(攻击工具)、ttp(攻击手法)、actor(威胁主体)、target(威胁目标)、incident(安全事件)、report(威胁报告)、action(应对措施)。
3.当前，随着网络空间攻防对抗技术不断发展，针对重要信息系统的攻击多发且难以发现，攻击者的攻击策略呈现出多样性和复杂性的特点，攻击成本越来越低，对于防御者而言，其检测和对抗网络攻击的难度也越来越大，全球网络空间安全威胁日益突出和严峻。在这种情况下，使用传统的网络空间防御策略就变得更为低效，防御者更容易处于被动的位置。因此需要通过多种关键及新型防护技术的协同联动，做到知己知彼、及时发现、主动防御，获得高质量的网络威胁情报数据对于该问题就显得尤为重要，网络安全威胁情报利用和共享技术的出现与发展使全球网络空间安全防护的提升变得更为可能。
4.网络安全威胁情报利用和共享技术通过多源异构网络威胁情报数据的快速汇聚融合技术对异构威胁情报的实体进行有效映射，分析挖掘网络威胁在多个层面的相似性，进而统计分析已知攻击模式，并通过模式关联发现进行中的或潜在的威胁；通过多源异构网络威胁情报融合系统的构建，获取高质量情报，为重要信息系统的风险预警、威胁发现与追踪溯源等主动防御提供有深度、有广度、有针对性的重要情报支撑，进而提升整个网络安全空间的主动防御和网络震慑能力。但在实际问题中，我们从网络空间中获得的网络威胁情报数据往往是多源异构，数据量级别往往很大，数据之间存在冲突，且构建网络威胁情报信息融合的分析架构是网络威胁情报分析处理技术的研究基础。因此对于多源异构网络空间威胁情报融合技术的研究与系统构建就显得非常有价值。
5.目前，在网络威胁情报融合领域，比较主流的方式是基于规则、字段映射、模板、人工等形式进行情报数据融合，这些融合方法的融合粒度更加粗糙，且对融合后的结果的输出并不灵活。

[1]马春燕,姜政伟,江钧,邓铭锋,李宁,刘宝旭. 网络威胁情报元数据融合的方法与系统[P]. 北京市：CN112667766A,2021-04-16.

该方法包括获取同一批次的多个威胁情报,基于语义相似度判断多个威胁情报之间的相似度,生成重复情报和非重复情报。基于预设的字段融合规则表,对重复情报进行字段融合,得到融合情报。以上述融合情报和非重复情报作为新威胁情报,获取数据库中类型相同的历史威胁情报。判断新威胁情报和历史威胁情报的相似度,生成重复情报集和非重复情报。对重复情报集进行字段融合。将融合后的情报更新入数据库,非重复情报直接写入数据库。本公开的情报融合方法基于自然语言处理提取情报语义特征进行重复性判断,且通过预设的字段融合规则进行重复情报的融合。

[1]郭实秋,鞠港,袁涵,高岩. 多源威胁情报融合方法、装置、设备和存储介质[P]. 北京市：CN114925757A,2022-08-19.

文献［６９］提出了一种威胁情报共享平台，称为ＭＡＮＴＩＳ，它提供了对各种情报描述标准的统一，并且通过一种新颖的基于属性图的类型无关的相似度算法把不同来源的威胁数据关联起来。文献[70]提出了一种自动威胁情报融合框架，该框架分为五层，分别是数据收集层、分析层、控制层、数据层和应用层。它考虑了多种威胁情报源并将孤立的网络事件关联起来
近年来，网络安全领域有大量新颖的基于图的威胁识别方法。然而，大多数现有研究严重依赖同质信息网络，只能进行简单的关联分析。文献［９７］利用图推理和自适应的信念传播来识别恶意域名。然而，只构建了主机和域名之间的关系图，忽视ＩＰ和域名之间的关系以及其他关系将严重影响识别的准确率。文献［１0２］提出了一种面向网络安全的知识图谱构建方法，机器学习算法被用于提取实体。然而，网络安全知识图谱难以构建并且难以使用。文献[1３５］提出了一种基于图挖掘的多维度的异质威胁情报信任评估机制。
为感知快速演变的网络威胁环境，通常需要从多个来源收集威胁情报，包括内部情报源、情报共享平台、商业情报源和开放情报源等。例如，通过入侵检测系统等安全检测系统分析设备，收集内部威胁情报。通过各大威胁情报服务提供商提供的开源ＡＰＩ和付费ＡＰＩ收集商业威胁情报，包括国外的ＩＢＭＸ－ＦｏｒｃｅＥｘｃｈａｎｇｅ，ＶｉｒｕｓＴｏｔａｌ［８２]，Ｃｙｍｏｎ，以及国内的微步在线等，同时可通过安全厂商获取商业威胁情报，包括反病毒厂商、反ＡＰＴ厂商、云安全服务提供商、漏洞报告平台等。通过网络爬虫从互联网开放情报源获取开源情报，例如爬取网络安全网站获得网络安全技术博客和网络威胁报告。基于多个威胁情报源构建威胁情报图，不仅有利于掌握威胁全景图，还有利于挖掘丰富的图特征用于信任评估。收集的威胁情报通常是恶意软件Ｈａｓｈ、恶意ＩＰ、恶意域名等形式，然后被自动转化为统一的机器可读格式。

[1]高雅丽. 面向大数据的网络威胁情报可信感知关键技术研究[D].北京邮电大学,2020.DOI:10.26969/d.cnki.gbydu.2020.000175.

情报数据融合是指对多组数据进行多级别、多方面、多层次的处理和组合, 从而产生新的有意义的情报信息。

目前, 情报数据融合主要依赖凭直觉建立的模型, 对于数据融合模型建构思路是对所有情报用户的虚拟调查结果。最直接的方法是数据融合中第一级融合常用的统计匹配, 这和KNN分类法相类似。另一个思路是利用更高级别的融合, 例如先对调查问题进行分析, 抽取出其中的模式, 并将它融合到用户利用情报信息的数据中, 再作进一步的揭示与分析。在实际的数据融合的案例中, 其数据来源往往要复杂得多。例如, 一个国有大型企业, 在空间上拥有分布在各地的生产车间和连锁销售店, 在时间上则有长期经营的各方面的信息记载以及将来的发展计划预算, 在体制上则分成子公司、部门、小组等, 构成复杂的多级多职能的交叉机制。这些具体情况下不但构成非常多的而且分散的多元数据源, 它们的结构复杂且语义多样。这些数据还具有层次性, 反映决策过程中的不同级别。另外还有各级背景知识, 如行为规范、法规、常识以及上级对下级的控制与限制等。利用所有这些信息进行情报处理分析和决策支持的过程将相当复杂。因此需要数据融合技术的全方位的集成, 实现更高层次的智能分析, 满足用户新情报的应用需要。

情报数据融合的集成有以下几种形态:

a.数据级集成。融合原始数据。数据融合在多个应用领域的低级数据处理方面积累了成熟的技术成果, 能有效地组合数据, 存入数据仓库或推入数据挖掘模块。

b.模型级集成。数据挖掘自动发现的模型用于控制数据融合。这里的模式包含多个层次, 分别用于不同级的融合。数据融合的结果也是对数据挖掘结果的验证。

c.系统级集成。综合多个各类过程共同完成分析任务。情报数据融合由于应用本身数据分散的特点决定其系统结构的复杂性, 涉及多元数据集及其多道分析工序, 数据信息之间会有各种联系, 使数据间分析过程演变成假设或递推的复杂关系;有时要同时挖掘多种数据信息或同时应用几种信息检索途径, 并进行反复查寻与分析试验, 分析比较多元试验结果, 最后才能得到合适的结果。因此, 情报数据的挖掘处理过程自身就具有融合的要求, 需要借用数据融合处理技术。

d.算法级集成。算法研究的主要目标是信息效率、精度、可理解性和泛化能力, 一般思路是融合多种基本算法。例如将前馈神经网络与符号逻辑结合起来提高情报信息的精度及其可理解性, 还可再融入遗传算法来优化网络信息。

e.思维级集成。高智能程度的信息集合, 如达尔文从生物观的现象中抽取出来的进化思想与计算机技术相结合, 成为进化计算, 再应用到信息发现和融合中去。由于信息思维课题仍是科学领域的重大的难题, 信息集成系统以此为目标, 不断实现方法与技术上的一种应用探索。

f.反馈。高级信息融合或数据挖掘的结果反馈回去, 有效调节下级信息, 以便有效增加信息精度, 减少不必要的损失。

综上所述, 情报信息融合处理方法一般有信息融合处理和数据的融合处理两个层面, 前者是对情报信息内涵描述处理或假设或推理, 后者是在对数据进行识别理解分析的基础上提出预测与递推。但在实际的科研活动中, 需要两种情报信息 (或数据) 的融合与互补, 才能更有效地实现自动的情报知识发掘与发现工作。

[1]陈金海.关于情报信息融合处理方法的研究[J].情报杂志,2003(03):63-64.

多源信息融合通过采集原始数据，经过数据清理、转换等预分析处理，将多源数据在信息或语义层次进行有机集成［2］。相关研究主要涉及数据唯一识别、数据记录滤重、字段映射与互补、异构数据加权等多种技术［3］，以及贝叶斯法、证据理论、模糊集、粗糙集、神经网络、遗传算法等多种基于概率论、模糊推理和人工智能的算法。此外，相似度分析也是广泛应用的信息融合方法之一，对比相似度模型［4］ 和扩展特征相似度模型研究均得到不断丰富。在竞争情报的信息整合过程中，如何把多源数据对象及其关系进行融合、重组仍是技术难题［5］。一方面，对竞争情报 “粗糙数据”进行筛选，去掉语义冲突和可信度低的垃圾数据; 另一方面，使不同形式的信息相互补充，以获得对同一情报描述对象的更客观、更本质认识的信息综合处理［6］。一些研究针对网页文本内容开展融合，保留竞争主体相关的文本信息［7］; 大数据技术的迅速崛起也为非结构化数据和情报的有效整合提供了支持［8］。此外，当前的竞争情报分析策略多基于静态信息资源，弱化了情报的时效性。虽然基于 OLAP 技术的动态竞争情报获取研究［9］取得了阶段性成果，但尚未涉及动态情报融合的可行思路。

本文提出了基于情报元相似度的多源竞争情报片段融合方法，经过四次相似度分析，不仅能够消除海量异构数据源中的情报信息结构的不一致性，去除冗余和噪音信息，从而实现竞争情报的去伪存精; 而且，通过情报元的序化、融合以及重构一定程度上解决了情报碎片的内容整合问题，通过竞争情报 “拼图”实现对情报主题的综合性关键信息描述及其变化趋势的动态呈现，力图为企业管理与决策提供最新的全景全貌情报，为应对决策提供支撑。

[1]孙琳.基于情报元相似度的多源竞争情报片段融合方法研究[J].情报理论与实践,2018,41(10):8-14.DOI:10.16353/j.cnki.1000-7490.2018.10.002.

情报融合的交叉检验
在知识的转化和 创造过程阶段，需要提高对知识的有效甄别，可融合其 他情报交叉验证开源情报中的知识。英国开源情报联合工作组( OSJWG) 在关于开源情报的报告中，认为交 叉检验是开源情报和秘密情报间的验证［29］。情报的融合管理需要构建分发开源情报、与秘密情报进行交叉验证的系统，类似于美国的 Intelink，联通开放和保密网络。开源情报和秘密情报挖掘融合后形成新知识，补充开源情报，保证其知识完整。在可行性方面， 如从社交媒体挖掘拓展的人际关联分析，与秘密人力情报相互印证融合，可使人力分析更加全面; 商业遥感卫星侦查补充秘密侦查图像情报的图像盲区、提升分 辨率，使得图像情报监控更加精确完善; 从开源军事网站上爬取数据挖掘分析作战部署，与相应的信号情报之间的验证补充等［30］。情报融合的交叉检验都是辅助情报准确性和价值的评估，提升知识的准确性。

[1]赵宁,黄铁娜,唐振宇,徐乐.大数据时代开源情报的知识危机与应对策略[J].情报杂志,2021,40(05):92-99.

数据融合技术可以根据数学方法分为三大类[7]:①基于概率的方法，包括贝叶斯理论、马尔可夫链和蒙特卡洛方法；②基于人工智能的方法，包括监督机器学习、神经网络、模糊逻辑和卡尔曼滤波器；③基于证据的数据融合理论，信念函数理论[8],也被称为证据理论(Evidence Theory)或Dempster-Shafer理论(DST),是一个用于建模认知不确定性的一般框架。也可以根据数据空间分为三类[9]:①网络-物理(Cyber-Physical)空间融合，常用方法有：加权平均、贝叶斯方法、模糊集合论、粗糙集、随机集合论等；②网络-社会(Cyber-Social)空间融合，常用方法有：主成分分析、奇异值分解、非负矩阵分解等；③网络-物理-社会(Cyber-Physical-Social)空间融合，常用模型有：基于张量的统一融合(TUF)模型、多元多步过渡张量(M2T2)模型、网络-物理-社会转换张量(CPST2)模型等。

多源数据融合框架经历了一系列的发展，包括早期的The Joint Directors of Laboratories 1991年引入的JDL数据融合过程模型[10],将数据融合划分为了5个层次，为不同领域的数据融合提供了一个较为统一的流程，明确了数据融合的过程、功能及可用技术；Bedworth等[11]提出强调较低级别处理功能的瀑布融合模型，并在英国国防数据融合社区中得到了广泛的应用；Boyd模型12是一种基于军事策略的快速适应方法，用于态势感知的决策支持系统与融合系统；Bedworth等[13]在已有模型基础上提出Omnibus模型，用于表征和构建整个数据融合系统；分布式数据融合框架(DFuse)[14]支持异构自组织无线传感器网络中的数据融合，将应用程序建模为数据源、融合点和数据接收器的任务流。在实际应用中，Yerva等[15]从Twitter和气象传感器数据中提取与天气相关的情绪信息。该Cyber-Physical空间融合框架能够分析推文消息以根据日期、天气和位置提取人们的情绪；Kalamkar等[16]融合来自不同来源(如临床资料库、传感设备、历史或文本数据)的数据并提出了医疗保健领域的数据融合架构。

[1]白云,李白杨,周艳,李纲.海外公共安全场景下的开源情报组织与分析方法研究——基于“事件-主题-相关者”的多源数据融合框架[J].情报杂志,2022,41(03):38-46.