文/楊望

為了加強安全設(shè)備的配合，以及促進(jìn)不同組織間的協(xié)同響應(yīng)，需要開發(fā)標(biāo)準(zhǔn)化的機(jī)器可識別的網(wǎng)絡(luò)空間威脅情報數(shù)據(jù)交換方法。

情報信息是現(xiàn)代網(wǎng)絡(luò)安全中重要的一種資源。由于網(wǎng)絡(luò)空間里的黑客有了更強大的工具軍火庫和資源，攻擊行為更多的是有組織犯罪和政府背景行為，攻擊變得越來越復(fù)雜，態(tài)勢感知技術(shù)也因此被應(yīng)用于網(wǎng)絡(luò)空間安全領(lǐng)域來對抗這種復(fù)雜的攻擊。為了實現(xiàn)對威脅的全面感知、分析和響應(yīng)，態(tài)勢感知技術(shù)需要掌握所有出現(xiàn)的威脅信息，但一種單獨的網(wǎng)絡(luò)安全設(shè)備無法檢測到所有類型的攻擊，一家單獨的組織也無法發(fā)現(xiàn)所有的安全威脅，因此在設(shè)備間和組織間交換安全威脅相關(guān)的情報成為搭建態(tài)勢感知系統(tǒng)的重要基礎(chǔ)。由于不同設(shè)備和組織各自有不同的數(shù)據(jù)格式和數(shù)據(jù)組織形式，為了加強安全設(shè)備的配合，以及促進(jìn)不同組織間的協(xié)同響應(yīng)，需要開發(fā)標(biāo)準(zhǔn)化的機(jī)器可識別的網(wǎng)絡(luò)空間威脅情報數(shù)據(jù)交換方法。在這個過程中，不同的組織定義了不同的數(shù)據(jù)交換協(xié)議標(biāo)準(zhǔn)，下面將從時間發(fā)展角度介紹幾種不同的常用于威脅情報交換的數(shù)據(jù)標(biāo)準(zhǔn)：IDMEF、IOMEF、OpenIOC和STIX。

IDMEF

入侵檢測消息交換格式IDMEF（Intrusion Detection Message Exchange Format）是最早定義于安全設(shè)備間進(jìn)行數(shù)據(jù)交換的標(biāo)準(zhǔn)之一，由IETF的入侵檢測工作組IDWG （Intrusion Detection Working Group)定義，最后發(fā)表時間為2007年。IDMEF主要用于在不同的入侵檢測系統(tǒng)之間交換警報信息，從而實現(xiàn)商用、開源和在研等不同類型的入侵檢測系統(tǒng)之間可以自動地交換數(shù)據(jù)。IDMEF的格式如圖1所示，只包括警報（Alert)和心跳（HeartBeat)兩種信息。警報信息中除了常用的時間、攻擊源類型等信息之外，還定了少量的工具、溢出攻擊等字段來說明攻擊的詳細(xì)信息，可以被基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)使用。IDMEF標(biāo)準(zhǔn)的定義時間較早，交換對象也僅限于入侵檢測系統(tǒng)之間警報信息，無法描述更豐富的不同類型的情報數(shù)據(jù)，因此作為最早的標(biāo)準(zhǔn)之一，盡管大多數(shù)入侵檢測系統(tǒng)都支持IDMEF格式的消息輸出，實際應(yīng)用并不廣泛。

OpenIOC

隨著APT攻擊的出現(xiàn)，人們希望能快速地將情報信息用于安全響應(yīng)，如將僵尸網(wǎng)絡(luò)的控制器加入黑名單，將攻擊軟件的代碼特征和網(wǎng)絡(luò)特征配置進(jìn)入主機(jī)防御系統(tǒng)和網(wǎng)絡(luò)入侵檢測系統(tǒng)。這些種類的情報信息被命名為IOC(Indicator of Compromise)，它們描述了入侵過程的各種可被觀測的信息。IOC信息根據(jù)復(fù)雜度可以被分為不同的種類，最簡單的如IP地址、URL信息、郵件主題信息可以直接應(yīng)用在檢測中，文件Hash、報文負(fù)載的正則表達(dá)式特征則需要對原始數(shù)據(jù)進(jìn)行處理以后才可以使用，為了防止誤報，有時需要將多個簡單或復(fù)雜的IOC組合以后才能唯一標(biāo)記出一類入侵。大量的威脅情報網(wǎng)站(如AlientVault公司的Open Threat Exchange)都定義了自己的IOC格式來發(fā)布不同類型的IOC信息,在應(yīng)用這些信息時，用戶需要開發(fā)不同的格式解析軟件，因此2013年Mandiant公司（以研究APT攻擊出名）定義了OpenIOC，一種基于XML的IOC數(shù)據(jù)表示標(biāo)準(zhǔn)，并提供了免費軟件進(jìn)行OpenIOC的編輯。但是由于商業(yè)公司之間的壁壘，Mandiant公司沒能成功推廣該標(biāo)準(zhǔn)。

圖1 IDMEF消息格式

圖2 IODEF消息格式

IODEF

威脅情報交換不僅僅是設(shè)備間的交互，更重要的是不同組織之間的交互，事件對象描述交換格式(IODEF, Incident Object Description Exchange Format)被定義用于在不同的安全響應(yīng)組織之間進(jìn)行安全信息的交換。IODEF最初定義于2007年，經(jīng)過了長期的發(fā)展，最后一版定義于2016年，期間經(jīng)歷了多個不同的工作組，目前由IETF的MILE工作組（ Managed Incident Lightweight Exchange）負(fù)責(zé)維護(hù)，主要負(fù)責(zé)單位為美國卡內(nèi)基梅隆大學(xué)的CERT。早期的IODEF和IDMEF相似，能表達(dá)的信息內(nèi)容有限，經(jīng)過長期的發(fā)展，融合IOC等新出現(xiàn)的威脅情報數(shù)據(jù)類型，表達(dá)能力得到了很大的增強。其基本格式如圖2所示。IODEF以文檔（Document）為所有數(shù)據(jù)的總?cè)肟?，一個文檔可以包含多個事件，事件包含豐富的子屬性來描述事件發(fā)生的時間、原因、方法、影響范圍、聯(lián)系人信息等，同時也支持IOC數(shù)據(jù)的表示。2017年MILE工作組還發(fā)布了IODEF使用指南和使用調(diào)查報告兩個RFC（RFC 8274Incident Object Description Exchange Format Usage Guidance, RFC 8134 Management Incident Lightweight Exchange(MILE) Implementation Report），應(yīng)該說CERT作為全球安全響應(yīng)組織的重量級單位，對推廣IODEF的實用化起了很大作用。

STIX

結(jié)構(gòu)化威脅信息表示標(biāo)準(zhǔn)STIX（Structured Threat Information eXpression）是由MITRE公司提出的結(jié)構(gòu)化威脅情報交換格式標(biāo)準(zhǔn)，最早發(fā)布于2012年，后來交由標(biāo)準(zhǔn)化組織OASIS的CTI（Cyber Threat Intelligence)委員會負(fù)責(zé)，目前版本已經(jīng)發(fā)展到2.0（2017年），目前該工作組既包括了MITRE、CTIN這樣的安全公司，也包含了美國DHS等政府部門。STIX被定義為用于自動化的威脅情報交換，以實現(xiàn)協(xié)同響應(yīng)和自動化的威脅檢測分析。相對于前面幾類文檔式的數(shù)據(jù)格式，STIX的2.0版本全面采用了面向圖（Graph based）的表示結(jié)構(gòu)，將威脅情報的不同類型數(shù)據(jù)解構(gòu)成不同的節(jié)點類型，然后通過定義數(shù)據(jù)節(jié)點間的關(guān)系節(jié)點來描述更高層的信息。STIX定義的節(jié)點類型分成12種，從漏洞、惡意軟件、工具、攻擊模式、戰(zhàn)役、威脅角色、組織標(biāo)識等方面覆蓋了威脅的各個不同角度。

STIX對象類型

基于圖的結(jié)構(gòu)允許威脅數(shù)據(jù)以不同的角度來進(jìn)行展示，比如Campaign（戰(zhàn)役）從一次具體的攻擊過程來描述威脅信息，Attack Pattern（攻擊模式）則從通用攻擊模式的角度將不同的攻擊者、攻擊戰(zhàn)役進(jìn)行關(guān)聯(lián)。這種靈活的數(shù)據(jù)組織方式可以使用各類基于圖的算法或技術(shù)對威脅情報數(shù)據(jù)進(jìn)行組織和檢索。

STIX本身定義了大量的術(shù)語(在STIX中叫Vocabulary）來保證不同組織間可以盡量使用相同的術(shù)語對同一對象進(jìn)行描述，并引用了CAPEC、CVE等第三方標(biāo)準(zhǔn)進(jìn)一步加強術(shù)語的通用性。由于MITRE公司本身在安全標(biāo)準(zhǔn)領(lǐng)域的權(quán)威地位，STIX推出后得到了廣泛的認(rèn)可。

經(jīng)過長時間的發(fā)展，這四種標(biāo)準(zhǔn)中 ，IODEF和STIX已經(jīng)發(fā)展的較為完善，是目前實際被廠商和安全組織支持最廣泛的兩種標(biāo)準(zhǔn)。這兩種標(biāo)準(zhǔn)在內(nèi)容上有一定的相似性，例如很多對象的命名上很相近。主要的差別在格式上，IODEF的文檔式結(jié)構(gòu)讓數(shù)據(jù)間耦合過緊，擴(kuò)展起來并太方便，而STIX基于圖的表示擴(kuò)展更為方便。另一方面，在表示對象上，IODEF依然以Incident為頂級主題，STIX則有不同的選擇，在對象支持上也更多。由于使用了圖結(jié)構(gòu)，STIX在存儲上和傳統(tǒng)的SQL數(shù)據(jù)庫相容性較差，需要No-SQL數(shù)據(jù)庫支持。