文章总结： 文章区分了开源情报(OSINT)与网络威胁情报(CTI)的关系与差异。OSINT侧重从公开渠道收集信息如WHOIS、社交媒体、公开文档等；CTI则强调将信息加工成可防御实战情报包括分析攻击背景、提取IOC指标、关联恶意活动等。文章用原材料与武器比喻二者关系强调优秀CTI分析师需具备OSINT能力并给出红队、蓝队及普通用户层面的应用建议。 综合评分： 85 文章分类： 威胁情报,安全意识,渗透测试,安全运营,安全培训

从开源情报到网络威胁情报：简单说说它们的区别和重要性

原创

c0nsen c0nsen

开源情报技术研究院

2026年2月5日 00:27 北京

俺捏个一直搞开源情报和网络威胁情报，经常有人问俺这两者啥区别，写个文章出来班门弄斧给大家分享一下。

我们经常听到“开源情报”（OSINT）和“网络威胁情报”（CTI）这两个词，但很多人其实分不清它们到底有什么不同。今天用最通俗的方式给大家讲清楚。

开源情报（OSINT）到底是什么？

就是从公开渠道收集任何人都能看到的信息。

比如：

在网站上查域名注册信息（WHOIS）

翻社交媒体找线索

用谷歌高级搜索挖出公开的文档或泄露数据

查看公开的数据库里有没有邮箱或密码泄露

简单说：OSINT 就是教你怎么“找东西”——找到那些藏在互联网角落里的公开信息。

网络威胁情报（CTI）又是什么？

它是把找到的信息加工成真正能帮你防御黑客的“实战情报”。

CTI 不只是收集信息，还要：分析这些信息背后意味着什么，把它们跟实际攻击联系起来，给安全团队提供能直接用的结论和建议

举几个例子：

发现一批钓鱼邮件，分析出是哪个黑客团伙干的

把公司日志里出现的可疑 IP，跟已知的恶意活动对上号

整理出“攻击指标”（IOC），直接导入安全设备自动拦截

打个比方：OSINT = 原材料（像矿石、木材）CTI = 把原材料炼成武器（做成刀剑、盾牌，能真正打仗用）

二者怎么联系？

优秀的网络威胁情报分析师，一定先是 OSINT 高手。他们不仅会找信息，还会把各种信息串起来、分析背景、判断威胁级别，最后变成安全团队能直接采取行动的情报。

这跟你有什么关系？

不管你是做什么的，都用得上：红队/渗透测试/漏洞赏金

OSINT 能帮你快速画出目标的全貌，找到攻击入口

蓝队/安全运营（SOC）

CTI 能让你提前知道敌人要怎么打，提前布防其他人

明白黑客是怎么利用公开信息攻击你的，就能更好地保护自己隐私（比如别把太多个人信息随便发上网）

总结

OSINT 重在“会找”

学会在信息海洋里快速捞到有用的东西

CTI 重在“会用”

把找到的东西变成能防御、能反击的实战情报

两者相辅相成。在现在这个网络攻击越来越猛的时代，会把公开信息变成可用情报的能力，搞明白了你就是行业的专家！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：开源情报技术研究院 c0nsen c0nsen《从开源情报到网络威胁情报：简单说说它们的区别和重要性》