張 玲

（1.中國電子科技集團公司第三十研究所，四川 成都 610041；2.中國電子科技網(wǎng)絡信息安全有限公司，四川 成都 610041）

0 引 言

當前，網(wǎng)絡空間規(guī)模的迅猛擴張，網(wǎng)絡空間應用的日益普及，各式各樣的網(wǎng)絡攻擊事件層出不窮，信息泄露、數(shù)據(jù)丟失、網(wǎng)絡濫用、身份冒用、非法入侵等安全威脅充斥網(wǎng)絡空間，網(wǎng)絡安全形勢空前嚴峻。尤其是以高級持續(xù)性威脅（Advanced Persistent Threat，APT）為代表的新型威脅不斷涌現(xiàn)，網(wǎng)絡攻擊手段更具復雜性和針對性，大大提高了網(wǎng)絡威脅檢測和防御的成本。網(wǎng)絡空間威脅的演變，推動了網(wǎng)絡安全防護模式的改變，人們必須尋求更加有效、更加主動的網(wǎng)絡威脅檢測和防御方法，才能滿足網(wǎng)絡空間安全的需要。

在此背景下，網(wǎng)絡威脅情報（Cyber Threat Intelligence，CTI）得到了迅速普及，已經(jīng)成為大多數(shù)企業(yè)有效的安全解決方案[1]。任何可用于識別、描述或協(xié)助應對網(wǎng)絡威脅的有價值信息被稱為網(wǎng)絡威脅信息，對這類信息的分析產(chǎn)生了CTI。隨著CTI 的應用推廣，形成了CTI 生態(tài)鏈，情報生產(chǎn)者、情報傳遞者、情報使用者通過良性互動，構(gòu)成一個自我運轉(zhuǎn)、自我循環(huán)和自我提升的有機整體。在這個生態(tài)鏈中，情報的交換共享成為基本需求，其基礎是要保證數(shù)據(jù)具有互操作性，由此產(chǎn)生了對CTI 標準的需求。

CTI 生產(chǎn)環(huán)境是一個多元的生態(tài)系統(tǒng)，其中流轉(zhuǎn)的數(shù)據(jù)具有異構(gòu)性。為保證數(shù)據(jù)的互操作性，使其在不同系統(tǒng)之間兼容，業(yè)界在數(shù)據(jù)標準化方面已經(jīng)做了大量的工作。國外，結(jié)構(gòu)化威脅信息表達式（Structured Threat Information eXpression，STIX）和情報信息的可信自動化交換（Trusted Automated Exchange of Intelligence Information，TAXII）是CTI 的兩大龍頭標準，得到了IBM、思科、戴爾以及大批安全企業(yè)的青睞[2-3]。國內(nèi)，2018 年國家發(fā)布的GB/T 36643—2018《信息安全技術(shù) 網(wǎng)絡安全威脅信息格式規(guī)范》國家標準，是CTI 標準的主要依據(jù)。其他較有影響力的威脅情報標準還包括：事件對象描述和交換格式（Incident Object Description and Exchange Format，IODEF）、通用情報框架（Collective Intelligence Framework， CIF）、開放威脅指標（Open Indicator of Compromise，OpenIOC）、網(wǎng)絡可觀察表達式（Cyber Observable eXpression，CybOX）和事件記錄與事故共享詞匯（Vocabulary for Event Recording and Incident Sharing，VERIS）等。

本文基于對CTI 的理解，梳理了主流CTI標準，對STIX、TAXII、IODEF 等主流標準進行了比較分析，希望能為CTI 生產(chǎn)者在構(gòu)建威脅情報工具、平臺及系統(tǒng)時，對CTI 標準的應用選擇提供一種思路。

1 研究背景

自2013 年Gartner 首次對威脅情報進行定義后，威脅情報逐漸成為網(wǎng)絡安全的熱點領(lǐng)域之一，于2015 年進入中國市場。政府、企業(yè)對CTI 的重視程度不斷提高，積極推動以CTI 共享為基礎的網(wǎng)絡安全監(jiān)測預警體系構(gòu)建，企業(yè)各方圍繞威脅情報技術(shù)及商業(yè)模式開展探索。本章圍繞CTI概念、重要性和生產(chǎn)周期等問題進行闡述。

1.1 理解“CTI”

CTI 是威脅情報中的一種。根據(jù)Gartner 對威脅情報的定義，“威脅情報是某種基于證據(jù)的知識，包括上下文、機制、標示、含義和能夠執(zhí)行的建議，這些知識與資產(chǎn)所面臨的、已有的或醞釀中的威脅或危害相關(guān)，可用于資產(chǎn)相關(guān)主體對威脅或危害的響應處理決策提供信息支持”?？梢园袰TI 簡單理解為：與計算機、網(wǎng)絡和信息技術(shù)相關(guān)的威脅情報，使安全防護者在數(shù)據(jù)支持下能夠做出更快速、更明智的安全決策，在對抗網(wǎng)絡威脅 時化“被動”為“主動”。

CTI 有3 個關(guān)鍵特征：第一，它不僅是數(shù)據(jù)，而且是經(jīng)過分析的信息；第二，具有可操作性，可以指導網(wǎng)絡安全風險分析、應急響應、網(wǎng)絡系統(tǒng)安全配置等實踐活動；第三，CTI 可以是戰(zhàn)略或戰(zhàn)術(shù)層面的，戰(zhàn)略層面是指可獲得對手動機等深層情報，戰(zhàn)術(shù)層面是指可獲得技術(shù)、手段、路徑等淺層情報，如IP 地址、域名、統(tǒng)一資源定位系統(tǒng)（Uniform Resource Locator，URL）、文件哈希值等。

1.2 CTI 的重要性

在網(wǎng)絡威脅日益猖獗的今天，越來越多的企業(yè)認識到CTI 的價值，并逐漸加大這方面的支出力度。但大多數(shù)企業(yè)或機構(gòu)主要限于操作層面的威脅情報利用，即戰(zhàn)術(shù)層面CTI，例如將威脅情報與入侵防御系統(tǒng)、防火墻、安全網(wǎng)關(guān)、安全信息和事件管理系統(tǒng)（Security Information and Event Management，SIEM）的配置策略進行關(guān)聯(lián)，這并未充分發(fā)揮CTI 更深層次的價值，即戰(zhàn)略層面價值。

CTI 戰(zhàn)略層面價值主要體現(xiàn)在（不僅限于）：一是預測可能遭受的網(wǎng)絡攻擊行為，使安全團隊預先做出決策；二是通過揭示網(wǎng)絡攻擊者的攻擊動機、戰(zhàn)術(shù)、技術(shù)、流程，賦予網(wǎng)絡安全相關(guān)方相應權(quán)力；三是幫助安全專業(yè)人員更好地分析威脅方的動機，理清攻擊事件后的威脅邏輯；四是影響企業(yè)管理者投資決策，降低系統(tǒng)安全風險。

1.3 CTI 的生產(chǎn)周期

通常來說，可以將情報的生產(chǎn)周期劃分為收集數(shù)據(jù)、處理數(shù)據(jù)（數(shù)據(jù)轉(zhuǎn)化信息）、 分析信息（信息產(chǎn)生情報）3 個階段。CTI 在滿足及時性、準確性和相關(guān)性的情報普適性要求的基礎上，還需要滿足可操作性要求（用于指導網(wǎng)絡安全實踐），如圖1 所示，在情報生產(chǎn)周期基礎上，CTI 生產(chǎn)周期增加了傳播和利用兩個階段。

收集階段：根據(jù)既定需求，CTI 分析團隊收集數(shù)據(jù)，數(shù)據(jù)來源包括流量日志、公開可用的數(shù)據(jù)源、相關(guān)論壇、社交媒體、行業(yè)或領(lǐng)域?qū)＜业?。收集階段是CTI 生產(chǎn)的開端，需要在充分了解用戶需求以及上下文語境的前提下進行。此階段未經(jīng)處理和分析的數(shù)據(jù)不是情報，而是生產(chǎn)情報的基本材料。

處理階段：將原始數(shù)據(jù)處理成適合分析的格式，例如，將數(shù)據(jù)結(jié)構(gòu)化為電子表格、解密文件等，同時評估數(shù)據(jù)的相關(guān)性和可靠性。這一階段，數(shù)據(jù)經(jīng)過處理和分析生成結(jié)構(gòu)化信息，具備了可查找特性，成為信息。

分析階段：CTI 分析團隊根據(jù)信息產(chǎn)生情報，并為用戶提供有價值的建議，可與用戶安全防護系統(tǒng)的防御機制集成聯(lián)動，支撐用戶制定新的防護策略。

利用/傳播階段：進入利用階段還是傳播階段，取決于是否到達最終用戶。利用階段是指情報到達最終用戶，用戶根據(jù)CTI 報告，確定是否需要調(diào)整網(wǎng)絡安全防護措施及策略；傳播階段是指同一組織或不同組織間共享和傳播CTI的過程。

可以將CTI 生態(tài)系統(tǒng)簡單劃分為生產(chǎn)者（包括CTI 傳遞者）和消費者。CTI 生產(chǎn)者匯集和接收網(wǎng)絡威脅信息，經(jīng)過處理、分析、編排后形成情報并發(fā)布，包括專業(yè)的威脅情報分析機構(gòu)、情報服務機構(gòu)等，是收集、處理、分析、傳播階段的行為主體。CTI 消費者在獲取情報后，及時調(diào)整安全策略、降低安全風險、實現(xiàn)情報價值，是利用階段的行為主體。

2 主要標準

標準在CTI 生產(chǎn)過程中發(fā)揮了重要作用，是CTI 生產(chǎn)者構(gòu)建CTI 平臺的基礎。對收集到的數(shù)據(jù)進行自動化處理，需要依據(jù)標準對數(shù)據(jù)進行格式化，并利用通用語言進行描述。對CTI進行傳播，需要基于統(tǒng)一的數(shù)據(jù)格式，同時隱式地定義數(shù)據(jù)元素的信息密度需求。

目前，主要的CTI 標準已經(jīng)超過20 種，共享交換標準是CTI 標準的主要類別，如STIX、TAXII、IODEF、VERIS 等。為便于對主流CTI 標準的適用性進行研究，首先對相關(guān)標準進行梳理。

2.1 MITRE 系列標準

MITRE 公司作為一家對全球網(wǎng)絡空間安全發(fā)揮重大影響力的非營利機構(gòu)，制定了STIX、TAXII、CybOX 等一系列標準。最初CybOX 和STIX 標準通常一起使用，但隨著CybOX 被集成到STIX 2.0 中，已經(jīng)成為STIX 標準的一部分，因此CybOX 不再是獨立的CTI 標準。TAXII 是為保障STIX 傳輸而專門設計的標準。

（1）STIX。STIX 用于在CTI 環(huán)境中捕獲、指定、描述和交換信息。STIX 1.0 于2013 年4 月發(fā)布，定義了網(wǎng)絡威脅分析、威脅特征分類、應急響應、威脅信息共享4 種場景下的信息結(jié)構(gòu)化表示。STIX 1.0基于可擴展標記語言（eXtensible Markup Language，XML）構(gòu)建了8 個主要構(gòu)件，包括可觀測數(shù)據(jù)、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施。STIX 2.0 基于JSON 語言開發(fā)，目前由12 個對象組成。STIX 的整體架構(gòu)設計使它能夠以全面的、標準化和結(jié)構(gòu)化的方式呈現(xiàn)信息，可以直接與威脅情報上下文中的其他語言進行集成[4-5]。

（2）TAXII。TAXII 用 于 跨 產(chǎn) 品、 服 務和組織邊界來共享網(wǎng)絡威脅信息。TAXII 使用XML 和超文本傳輸協(xié)議（Hyper Text Transfer Protocol，HTTP）進行消息內(nèi)容的傳輸，允許自定義格式和協(xié)議，設置了機密性、完整性和屬性的標準機制。TAXII 是STIX 結(jié)構(gòu)化威脅信息的傳輸工具，但與STIX 是兩個相互獨立的標準，TAXII 也可用于傳輸非STIX 數(shù)據(jù)。

（3）CybOX。CybOX 設計的目的是使諸如CTI 等安全信息的自動化共享成為可能，提供了70 多個對象來達成這一目標。這些對象可用于定義可測量的事件或有狀態(tài)屬性，例如文件、HTTP會話、互斥鎖、網(wǎng)絡連接、網(wǎng)絡流和X509 證書等，既可以是動態(tài)數(shù)據(jù)流，也可以是靜態(tài)的數(shù)字資產(chǎn)。目前，CybOX 已經(jīng)被集成到STIX 2.0 中。

2.2 MILE 系列標準

輕量級交換托管事件（Managed Incident Lightweight Exchange，MILE）是國際互聯(lián)網(wǎng)工程任務組下設的一個標準工作組，專注于數(shù)據(jù)格式和傳輸協(xié)議。MILE 工作組定義了CTI 的一攬子標準，包括IODEF、結(jié)構(gòu)化網(wǎng)絡安全信息（IODEF for Structured Cyber Security Information，IODEFSCI）、實時網(wǎng)絡防御（Real-time Inter-network Defense，RID）等。如同MITRE 的TAXII，RID標準是為了IODEF 的傳輸而設計的。

（1）IODEF。IODEF 由RFC 5070 定義，是一個基于XML 的標準，用于計算機安全事件響應小組共享事件信息。IODEF 定義了超過30 個事件數(shù)據(jù)類/子類，涵蓋信息包括關(guān)聯(lián)、時間、操作系統(tǒng)和應用程序等，同時定義了數(shù)據(jù)處理標簽，如靈敏度和置信度。

（2）IODEF-SCI。IODEF-SCI 是IODEF 的擴展標準，增加了對附加信息的支持，包括攻擊模式、平臺信息、漏洞、弱點、對策指令、計算機事件日志和嚴重性。IODEF-SCI 通過在IODEF 文檔中嵌入現(xiàn)有標準來支持附加信息。

（3）RID。RID 也是在IODEF 基礎上構(gòu)建的CTI 通信標準。根據(jù)RFC 6545 定義，RID 是基于共享事件處理數(shù)據(jù)的主動型網(wǎng)絡間通信方法，包括請求、確認、響應、報告和查詢5 種消息類型。RID 標準包括一個策略類，它允許根據(jù)與共享方的關(guān)系應用不同的策略。

2.3 OpenIOC 標準

OpenIOC 是由Mandiant 公司引入，已作為開放標準發(fā)布。OpenIOC 是一個情報共享規(guī)范，定義了超過500 個技術(shù)術(shù)語，大多數(shù)術(shù)語以主機為中心，標題以文件、驅(qū)動程序、磁盤、系統(tǒng)、進程或注冊表為開頭。威脅指示（Indicator of Compromise，IOC）可以使用布爾邏輯來定義一個特定的惡意軟件樣本或家族，用于查找不應該存在的項以及驗證預期的項，例如，運行中的服務通常是有簽名的動態(tài)鏈接庫（Dynamic Link Library，DLL）文件，但如果發(fā)現(xiàn)有一個DLL 文件沒有有效的簽名，則可能是一個IOC。

2.4 VERIS 標準

VERIS 框架提供了定義和共享事件信息的標準方法。使用VERIS 框架，相關(guān)組織可以以標準格式和詞匯表提供數(shù)據(jù)，然后可以合并這些數(shù)據(jù)，并將其組合為更大的數(shù)據(jù)集便于分析和報告。VERIS 旨在提供一種通用語言，以結(jié)構(gòu)化和可重復方式描述安全事件。

3 比較研究

為向CTI 生產(chǎn)者在構(gòu)建威脅情報工具、平臺及系統(tǒng)時選擇合適的CTI 標準提供思路，給出了選擇CTI 標準的主要考量因素，在研究、參考相關(guān)文獻后[6-8]，對CTI 標準在不同場景下的適用性進行了比較分析。

3.1 CTI 標準應用的主要考量因素

CTI 生產(chǎn)者選擇以何種標準構(gòu)建CTI 工具、平臺及系統(tǒng)，可從兩個維度出發(fā)，一是考慮CTI標準設計架構(gòu)是否與威脅分析任務相匹配；二是考慮CTI 標準是否滿足情報生產(chǎn)各階段的側(cè)重點需求。如表1 所示，列出了評價CTI 標準應用適用性的主要考量因素。

表1 對CTI 標準應用適用性的主要考量因素

從體系架構(gòu)維度來看，CTI 標準要能夠完整、清晰地對威脅場景進行表征，至少覆蓋4 個要素。一是威脅，即CTI 主題，是對威脅場景的整體概括。二是事件，即與主題相關(guān)的實例，包括網(wǎng)絡攻擊事件、信息泄露事件、內(nèi)容安全事件等。三是威脅者，是對威脅主體及其行為、動機的描述，威脅主體包括發(fā)起威脅事件的組織或個人。四是防護，是對防護主體及其行為、動機的描述。

從情報生產(chǎn)周期來看，CTI 標準應符合各階段不同的特性需求。在收集階段，以通用格式提供數(shù)據(jù)。在處理階段，結(jié)構(gòu)化格式和機器可讀性是必不可少的。在分析階段，一方面，不僅需要以確定的數(shù)據(jù)模型來執(zhí)行相關(guān)性并對信息進行分類，還需要有表征相關(guān)性的關(guān)聯(lián)機制；另一方面，為使信息具有可訪問性，對格式、系統(tǒng)和平臺之間的互操作性要求高。在利用/傳播階段，需要健全的情報傳輸和交換機制進行保障。

3.2 CTI 標準的比較分析

從體系架構(gòu)方面來看，STIX 標準對威脅場景能夠進行最全面的表征。表1 中所指的4 個要素能夠通過STIX 2.0 所定義的12 個域?qū)ο蠛? 種關(guān)系對象進行充分表征。雖然IODEF 和OpenIOC 在體系結(jié)構(gòu)方面相對完善，但對防護機制、威脅動機的表征方面存在缺陷。

從生產(chǎn)周期方面來看，STIX 標準更加滿足不同生產(chǎn)階段的特性需求。在收集及處理階段，STIX 2.0 基于JSON 語言提供了一種通用的結(jié)構(gòu)化格式，兼顧了低開銷和機器可讀性。在分析階段，STIX 2.0 對12 個對象進行了清晰描述和文檔化處理，同時提供了具有明確關(guān)聯(lián)關(guān)系的數(shù)據(jù)模型。在傳播/利用階段，在TAXII 標準的支持下，STIX 2.0 能夠進行可靠傳輸。IODEF和OpenIOC 基于XML 語言，同樣提供了一種通用的、具有機器可讀性的結(jié)構(gòu)化格式。在不考慮XML 語言與JSON 語言差異化的前提下，在關(guān)聯(lián)關(guān)系表征機制、互操作性方面，IODEF 和OpenIOC 不如STIX 表現(xiàn)優(yōu)秀。

另外，從目前CTI 標準實際應用情況來看，STIX最具廣泛性，被大多數(shù)CTI平臺和工具支持，也被大多數(shù)組織使用，已經(jīng)成為CTI 生態(tài)系統(tǒng)中處于主導地位的事實標準。

歸根到底，CTI 生產(chǎn)者對標準的選擇，取決于威脅情報分析任務、合作對象以及CTI 消費者的特定需求。如果某一個CTI 生產(chǎn)者主要目的是共享事件數(shù)據(jù)，VERIS 可能是最佳選項；如果在某個CTI 組織內(nèi)部已經(jīng)使用支持OpenIOC的工具，采取OpenIOC 肯定是最優(yōu)選擇；如果某CTI 組織的情報分析主體只需具有普適性的行業(yè)標準，MITRE 系列標準和MILE 標準都可列入選項。甚至在許多情況下，還可能包括多個適合標準。

4 結(jié) 語

為了實現(xiàn)更加強大的網(wǎng)絡威脅檢測和防護能力，絕大多數(shù)企業(yè)和組織需要尋求CTI 支持，成為CTI 消費者。而CTI 生產(chǎn)者為CTI 消費者提供服務，需要構(gòu)建CTI 平臺、開發(fā)CTI 工具，因此需要統(tǒng)一的標準來提供自動化、可共享和可靠的信息交換。在主流的CTI 標準中，由MITRE開發(fā)的STIX 標準（與TAXII 相結(jié)合），被認為是最全面和最適用的標準。有必要在STIX 標準的基礎上進一步深化應用，以建立更加廣泛的CTI 生態(tài)。