摘　要

随着網絡信息技術快速發展，網絡威脅演變迅猛，促使人們必須尋求更有效、更主動的網絡威脅檢測和防禦方法。在這種背景下，網絡威脅情報得到了迅速普及，為大多數企業提供了有效的安全解決方案，并形成了多元異構的網絡威脅情報生态系統。在這個生态系統中，情報的交換共享成為基本需求，由此産生了衆多的網絡威脅情報标準。基于對網絡威脅情報的理解，梳理了主流網絡威脅情報标準，對結構化威脅信息表達、情報信息的可信自動化交換、事件對象描述和交換格式等主流标準進行比較分析，希望能為網絡威脅情報生産者在構建威脅情報平台時，選擇合适的網絡威脅情報标準提供一種思路。

内容目錄：

1　研究背景

1.1　理解“CTI”

1.2　CTI 的重要性

1.3　CTI 的生産周期

2　主要标準

2.1　MITRE 系列标準

2.2　MILE 系列标準

2.3　OpenIOC 标準

2.4　VERIS 标準

3　比較研究

3.1　CTI 标準應用的主要考量因素

3.2　CTI 标準的比較分析

4　結　語

當前，網絡空間規模的迅猛擴張，網絡空間應用的日益普及，各式各樣的網絡攻擊事件層出不窮，信息洩露、數據丢失、網絡濫用、身份冒用、非法入侵等安全威脅充斥網絡空間，網絡安全形勢空前嚴峻。尤其是以高級持續性威脅（Advanced Persistent Threat，APT）為代表的新型威脅不斷湧現，網絡攻擊手段更具複雜性和針對性，大大提高了網絡威脅檢測和防禦的成本。網絡空間威脅的演變，推動了網絡安全防護模式的改變，人們必須尋求更加有效、更加主動的網絡威脅檢測和防禦方法，才能滿足網絡空間安全的需要。

在此背景下，網絡威脅情報（Cyber Threat Intelligence，CTI）得到了迅速普及，已經成為大多數企業有效的安全解決方案。任何可用于識别、描述或協助應對網絡威脅的有價值信息被稱為網絡威脅信息，對這類信息的分析産生了CTI。随着 CTI 的應用推廣，形成了 CTI 生态鍊，情報生産者、情報傳遞者、情報使用者通過良性互動，構成一個自我運轉、自我循環和自我提升的有機整體。在這個生态鍊中，情報的交換共享成為基本需求，其基礎是要保證數據具有互操作性，由此産生了對 CTI 标準的需求。

CTI 生産環境是一個多元的生态系統，其中流轉的數據具有異構性。為保證數據的互操作性，使其在不同系統之間兼容，業界在數據标準化方面已經做了大量的工作。國外，結構化威脅信息表 達 式（Structured Threat Information eXpression，STIX）和情報信息的可信自動化交換（TrustedAutomated Exchange of Intelligence Information，TAXII）是 CTI 的兩大龍頭标準，得到了 IBM、思科、戴爾以及大批安全企業的青睐。國内，2018 年國家發布的 GB/T 36643—2018《信息安全技術 網絡安全威脅信息格式規範》國家标準，是 CTI 标準的主要依據。其他較有影響力的威脅情報标準還包括：事件對象描述和交換格式（Incident Object Description and Exchange Format，IODEF）、 通 用 情 報 框 架（Collective Intelligence Framework， CIF）、開放威脅指标（Open Indicatorof Compromise，OpenIOC）、網絡可觀察表達式（Cyber Observable eXpression，CybOX） 和事件記錄與事故共享詞彙（Vocabulary for Event Recording and Incident Sharing，VERIS）等。

本文基于對 CTI 的理解，梳理了主流 CTI标準，對 STIX、TAXII、IODEF 等主流标準進行了比較分析，希望能為 CTI 生産者在構建威脅情報工具、平台及系統時，對 CTI 标準的應用選擇提供一種思路。

01

研究背景

自 2013 年 Gartner 首次對威脅情報進行定義後，威脅情報逐漸成為網絡安全的熱點領域之一，于 2015 年進入中國市場。政府、企業對 CTI 的重視程度不斷提高，積極推動以 CTI 共享為基礎的網絡安全監測預警體系構建，企業各方圍繞威脅情報技術及商業模式開展探索。本章圍繞 CTI概念、重要性和生産周期等問題進行闡述。

1.1　理解“CTI”

CTI 是威脅情報中的一種。根據 Gartner 對威脅情報的定義，“威脅情報是某種基于證據的知識，包括上下文、機制、标示、含義和能夠執行的建議，這些知識與資産所面臨的、已有的或醞釀中的威脅或危害相關，可用于資産相關主體對威脅或危害的響應處理決策提供信息支持”。可以把 CTI 簡單理解為：與計算機、網絡和信息技術相關的威脅情報，使安全防護者在數據支持下能夠做出更快速、更明智的安全決策，在對抗網絡威脅 時化“被動”為“主動”。CTI 有 3 個關鍵特征：第一，它不僅是數據，而且是經過分析的信息；第二，具有可操作性，可以指導網絡安全風險分析、應急響應、網絡系統安全配置等實踐活動；第三，CTI 可以是戰略或戰術層面的，戰略層面是指可獲得對手動機等深層情報，戰術層面是指可獲得技術、手段、路徑等淺層情報，如 IP 地址、域名、統一資源定 位 系 統（Uniform Resource Locator，URL）、文件哈希值等。

1.2　CTI 的重要性

在網絡威脅日益猖獗的今天，越來越多的企業認識到 CTI 的價值，并逐漸加大這方面的支出力度。但大多數企業或機構主要限于操作層面的威脅情報利用，即戰術層面 CTI，例如将威脅情報與入侵防禦系統、防火牆、安全網關、安全信息和事件管理系統（Security Information and Event Management，SIEM）的配置策略進行關聯，這并未充分發揮 CTI 更深層次的價值，即戰略層面價值。

CTI 戰略層面價值主要體現在（不僅限于）：一是預測可能遭受的網絡攻擊行為，使安全團隊預先做出決策；二是通過揭示網絡攻擊者的攻擊動機、戰術、技術、流程，賦予網絡安全相關方相應權力；三是幫助安全專業人員更好地分析威脅方的動機，理清攻擊事件後的威脅邏輯；四是影響企業管理者投資決策，降低系統安全風險。

1.3　CTI 的生産周期

通常來說，可以将情報的生産周期劃分為收集數據、處理數據（數據轉化信息）、 分析信息（信息産生情報）3 個階段。CTI 在滿足及時性、準确性和相關性的情報普适性要求的基礎上，還需要滿足可操作性要求（用于指導網絡安全實踐），如圖 1 所示，在情報生産周期基礎上，CTI 生産周期增加了傳播和利用兩個階段。

圖 1　網絡威脅情報的生産周期

收集階段：根據既定需求，CTI 分析團隊收集數據，數據來源包括流量日志、公開可用的數據源、相關論壇、社交媒體、行業或領域專家等。收集階段是 CTI 生産的開端，需要在充分了解用戶需求以及上下文語境的前提下進行。此階段未經處理和分析的數據不是情報，而是生産情報的基本材料。

處理階段：将原始數據處理成适合分析的格式，例如，将數據結構化為電子表格、解密文件等，同時評估數據的相關性和可靠性。這一階段，數據經過處理和分析生成結構化信息，具備了可查找特性，成為信息。

分析階段：CTI 分析團隊根據信息産生情報，并為用戶提供有價值的建議，可與用戶安全防護系統的防禦機制集成聯動，支撐用戶制定新的防護策略。

利用 / 傳播階段：進入利用階段還是傳播階段，取決于是否到達最終用戶。利用階段是指情報到達最終用戶，用戶根據 CTI 報告，确定是否需要調整網絡安全防護措施及策略；傳播階段是指同一組織或不同組織間共享和傳播 CTI的過程。

可以将 CTI 生态系統簡單劃分為生産者（包括 CTI 傳遞者）和消費者。CTI 生産者彙集和接收網絡威脅信息，經過處理、分析、編排後形成情報并發布，包括專業的威脅情報分析機構、情報服務機構等，是收集、處理、分析、傳播階段的行為主體。CTI 消費者在獲取情報後，及時調整安全策略、降低安全風險、實現情報價值，是利用階段的行為主體。

02

主要标準

标準在 CTI 生産過程中發揮了重要作用，是 CTI 生産者構建 CTI 平台的基礎。對收集到的數據進行自動化處理，需要依據标準對數據進行格式化，并利用通用語言進行描述。對 CTI進行傳播，需要基于統一的數據格式，同時隐式地定義數據元素的信息密度需求。

目前，主要的 CTI 标準已經超過 20 種，共享交換标準是 CTI 标準的主要類别，如 STIX、TAXII、IODEF、VERIS 等。為便于對主流 CTI 标準的适用性進行研究，首先對相關标準進行梳理。

2.1　MITRE 系列标準

MITRE 公司作為一家對全球網絡空間安全發揮重大影響力的非營利機構，制定了 STIX、TAXII、CybOX 等一系列标準。最初 CybOX 和STIX 标準通常一起使用，但随着 CybOX 被集成到 STIX 2.0 中，已經成為 STIX 标準的一部分，因此 CybOX 不再是獨立的 CTI 标準。TAXII 是為保障 STIX 傳輸而專門設計的标準。

（1）STIX。STIX 用于在 CTI 環境中捕獲、指定、描述和交換信息。STIX 1.0 于 2013 年 4 月發布，定義了網絡威脅分析、威脅特征分類、應急響應、威脅信息共享 4 種場景下的信息結構化表示。STIX 1.0 基于可擴展标記語言（eXtensible Markup Language，XML）構建了 8 個主要構件，包括可觀測數據、攻擊指标、安全事件、攻擊活動、威脅主體、攻擊目标、攻擊方法、應對措施。STIX 2.0 基于 JSON 語言開發，目前由 12 個對象組成。STIX 的整體架構設計使它能夠以全面的、标準化和結構化的方式呈現信息，可以直接與威脅情報上下文中的其他語言進行集成。（2）TAXII。TAXII 用 于 跨 産 品、 服 務和組織邊界來共享網絡威脅信息。TAXII 使用XML 和 超 文 本 傳 輸 協 議（Hyper Text Transfer Protocol，HTTP）進行消息内容的傳輸，允許自定義格式和協議，設置了機密性、完整性和屬性的标準機制。TAXII 是 STIX 結構化威脅信息的傳輸工具，但與 STIX 是兩個相互獨立的标準，TAXII 也可用于傳輸非 STIX 數據。（3）CybOX。CybOX 設計的目的是使諸如CTI 等安全信息的自動化共享成為可能，提供了70 多個對象來達成這一目标。這些對象可用于定義可測量的事件或有狀态屬性，例如文件、HTTP會話、互斥鎖、網絡連接、網絡流和 X509 證書等，既可以是動态數據流，也可以是靜态的數字資産。目前，CybOX 已經被集成到 STIX 2.0 中。

2.2　MILE 系列标準

輕 量 級 交 換 托 管 事 件（Managed IncidentLightweight Exchange，MILE）是國際互聯網工程任務組下設的一個标準工作組，專注于數據格式和傳輸協議。MILE 工作組定義了 CTI 的一攬子标準，包括 IODEF、結構化網絡安全信息（IODEF for Structured Cyber Security Information，IODEF SCI）、實時網絡防禦（Real-time Inter-network Defense，RID）等。如同 MITRE 的 TAXII，RID标準是為了 IODEF 的傳輸而設計的。

（1）IODEF。IODEF 由 RFC 5070 定義，是一個基于 XML 的标準，用于計算機安全事件響應小組共享事件信息。IODEF 定義了超過 30 個事件數據類 / 子類，涵蓋信息包括關聯、時間、操作系統和應用程序等，同時定義了數據處理标簽，如靈敏度和置信度。（2）IODEF-SCI。IODEF-SCI 是 IODEF 的擴展标準，增加了對附加信息的支持，包括攻擊模式、平台信息、漏洞、弱點、對策指令、計算機事件日志和嚴重性。IODEF-SCI 通過在IODEF 文檔中嵌入現有标準來支持附加信息。（3）RID。RID 也是在 IODEF 基礎上構建的 CTI 通信标準。根據 RFC 6545 定義，RID 是基于共享事件處理數據的主動型網絡間通信方法，包括請求、确認、響應、報告和查詢 5 種消息類型。RID 标準包括一個策略類，它允許根據與共享方的關系應用不同的策略。

2.3　OpenIOC 标準

OpenIOC 是由 Mandiant 公司引入，已作為開放标準發布。OpenIOC 是一個情報共享規範，定義了超過 500 個技術術語，大多數術語以主機為中心，标題以文件、驅動程序、磁盤、系統、進程或注冊表為開頭。威脅指示（Indicator of Compromise，IOC）可以使用布爾邏輯來定義一個特定的惡意軟件樣本或家族，用于查找不應該存在的項以及驗證預期的項，例如，運行中的服務通常是有簽名的動态鍊接庫（Dynamic Link Library，DLL）文件，但如果發現有一個DLL 文件沒有有效的簽名，則可能是一個 IOC。

2.4　VERIS 标準

VERIS 框架提供了定義和共享事件信息的标準方法。使用 VERIS 框架，相關組織可以以标準格式和詞彙表提供數據，然後可以合并這些數據，并将其組合為更大的數據集便于分析和報告。VERIS 旨在提供一種通用語言，以結構化和可重複方式描述安全事件。

03

比較研究

為向 CTI 生産者在構建威脅情報工具、平台及系統時選擇合适的 CTI 标準提供思路，給出了選擇 CTI 标準的主要考量因素，在研究、參考相關文獻後 [6-8]，對 CTI 标準在不同場景下的适用性進行了比較分析。

3.1　CTI 标準應用的主要考量因素

CTI 生産者選擇以何種标準構建 CTI 工具、平台及系統，可從兩個維度出發，一是考慮 CTI标準設計架構是否與威脅分析任務相匹配；二是考慮 CTI 标準是否滿足情報生産各階段的側重點需求。如表 1 所示，列出了評價 CTI 标準應用适用性的主要考量因素。

表 1　對 CTI 标準應用适用性的主要考量因素

從體系架構維度來看，CTI 标準要能夠完整、清晰地對威脅場景進行表征，至少覆蓋 4 個要素。一是威脅，即 CTI 主題，是對威脅場景的整體概括。二是事件，即與主題相關的實例，包括網絡攻擊事件、信息洩露事件、内容安全事件等。三是威脅者，是對威脅主體及其行為、動機的描述，威脅主體包括發起威脅事件的組織或個人。四是防護，是對防護主體及其行為、動機的描述。從情報生産周期來看，CTI 标準應符合各階段不同的特性需求。在收集階段，以通用格式提供數據。在處理階段，結構化格式和機器可讀性是必不可少的。在分析階段，一方面，不僅需要以确定的數據模型來執行相關性并對信息進行分類，還需要有表征相關性的關聯機制；另一方面，為使信息具有可訪問性，對格式、系統和平台之間的互操作性要求高。在利用 / 傳播階段，需要健全的情報傳輸和交換機制進行保障。

3.2　CTI 标準的比較分析

從體系架構方面來看，STIX 标準對威脅場景能夠進行最全面的表征。表 1 中所指的 4 個要素能夠通過 STIX 2.0 所定義的 12 個域對象和 2 種關系對象進行充分表征。雖然 IODEF 和OpenIOC 在體系結構方面相對完善，但對防護機制、威脅動機的表征方面存在缺陷。

從生産周期方面來看，STIX 标準更加滿足不同生産階段的特性需求。在收集及處理階段，STIX 2.0 基于 JSON 語言提供了一種通用的結構化格式，兼顧了低開銷和機器可讀性。在分析階段，STIX 2.0 對 12 個對象進行了清晰描述和文檔化處理，同時提供了具有明确關聯關系的數據模型。在傳播 / 利用階段，在 TAXII 标準的支持下，STIX 2.0 能夠進行可靠傳輸。IODEF和 OpenIOC 基于 XML 語言，同樣提供了一種通用的、具有機器可讀性的結構化格式。在不考慮 XML 語言與 JSON 語言差異化的前提下，在關聯關系表征機制、互操作性方面，IODEF 和OpenIOC 不如 STIX 表現優秀。

另外，從目前 CTI 标準實際應用情況來看，STIX 最具廣泛性，被大多數 CTI 平台和工具支持，也被大多數組織使用，已經成為 CTI 生态系統中處于主導地位的事實标準。

歸根到底，CTI 生産者對标準的選擇，取決于威脅情報分析任務、合作對象以及 CTI 消費者的特定需求。如果某一個 CTI 生産者主要目的是共享事件數據，VERIS 可能是最佳選項；如果在某個 CTI 組織内部已經使用支持 OpenIOC的工具，采取 OpenIOC 肯定是最優選擇；如果某 CTI 組織的情報分析主體隻需具有普适性的行業标準，MITRE 系列标準和 MILE 标準都可列入選項。甚至在許多情況下，還可能包括多個适合标準。

04

結　語

為了實現更加強大的網絡威脅檢測和防護能力，絕大多數企業和組織需要尋求 CTI 支持，成為 CTI 消費者。而 CTI 生産者為 CTI 消費者提供服務，需要構建 CTI 平台、開發 CTI 工具，因此需要統一的标準來提供自動化、可共享和可靠的信息交換。在主流的 CTI 标準中，由 MITRE開發的 STIX 标準（與 TAXII 相結合），被認為是最全面和最适用的标準。有必要在 STIX 标準的基礎上進一步深化應用，以建立更加廣泛的CTI 生态。

引用格式：張玲 . 對主流網絡威脅情報标準應用的比較研究 [J]. 信息安全與通信保密 ,2022(7):25-32.

作者簡介 >>>

張　玲（1975—），女，碩士，高級工程師，主要研究方向為網絡安全。

選自《信息安全與通信保密》2022年第６期(為便于排版，已省去參考文獻）

來源：信息安全與通信保密雜志社

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!