目前，攻击者使用的基础设施能适应更多的目标环境，成功侵入目标后，使用合法的用户凭证取得信任，并通过不断学习利用新的漏洞达到攻击目的。为了对抗攻击、提高威胁情报的使用价值，提出通过以下四个过程：情报搜集、信息抽取、本体构建和知识推理构建威胁情报的知识图谱框架，该框架可实现情报中重要指标的搜索和相互关联；然后基于Bert+BiSLTM+CRF 的失陷指标（IOC）识别抽取方法，加以正则匹配机制进行输出限制，用于从文本信息中识别抽取IOC信息，并进行结构化威胁信息表达（STIX）标准格式转换。经过横向和纵向对比，该抽取模型在文本信息抽取中的精度和召回率较高；最后， 以APT1为例，构建出威胁情报实体关系图，结合对抗战术和技术知识库（ATT＆CK）框架将攻击行为转换为结构化格式，建立了本体与原子本体知识图谱，通过知识图谱关联分析数据之间潜在关联，发现具有相似性和相关性的威胁情报潜在的关联信息和攻击主体，进行威胁情报的关联分析，为制定防御策略提供依据。