文/楊望

為了加強(qiáng)安全設(shè)備的配合，以及促進(jìn)不同組織間的協(xié)同響應(yīng)，需要開發(fā)標(biāo)準(zhǔn)化的機(jī)器可識(shí)別的網(wǎng)絡(luò)空間威脅情報(bào)數(shù)據(jù)交換方法。

情報(bào)信息是現(xiàn)代網(wǎng)絡(luò)安全中重要的一種資源。由于網(wǎng)絡(luò)空間里的黑客有了更強(qiáng)大的工具軍火庫(kù)和資源，攻擊行為更多的是有組織犯罪和政府背景行為，攻擊變得越來越復(fù)雜，態(tài)勢(shì)感知技術(shù)也因此被應(yīng)用于網(wǎng)絡(luò)空間安全領(lǐng)域來對(duì)抗這種復(fù)雜的攻擊。為了實(shí)現(xiàn)對(duì)威脅的全面感知、分析和響應(yīng)，態(tài)勢(shì)感知技術(shù)需要掌握所有出現(xiàn)的威脅信息，但一種單獨(dú)的網(wǎng)絡(luò)安全設(shè)備無法檢測(cè)到所有類型的攻擊，一家單獨(dú)的組織也無法發(fā)現(xiàn)所有的安全威脅，因此在設(shè)備間和組織間交換安全威脅相關(guān)的情報(bào)成為搭建態(tài)勢(shì)感知系統(tǒng)的重要基礎(chǔ)。由于不同設(shè)備和組織各自有不同的數(shù)據(jù)格式和數(shù)據(jù)組織形式，為了加強(qiáng)安全設(shè)備的配合，以及促進(jìn)不同組織間的協(xié)同響應(yīng)，需要開發(fā)標(biāo)準(zhǔn)化的機(jī)器可識(shí)別的網(wǎng)絡(luò)空間威脅情報(bào)數(shù)據(jù)交換方法。在這個(gè)過程中，不同的組織定義了不同的數(shù)據(jù)交換協(xié)議標(biāo)準(zhǔn)，下面將從時(shí)間發(fā)展角度介紹幾種不同的常用于威脅情報(bào)交換的數(shù)據(jù)標(biāo)準(zhǔn)：IDMEF、IOMEF、OpenIOC和STIX。

IDMEF

入侵檢測(cè)消息交換格式IDMEF（Intrusion Detection Message Exchange Format）是最早定義于安全設(shè)備間進(jìn)行數(shù)據(jù)交換的標(biāo)準(zhǔn)之一，由IETF的入侵檢測(cè)工作組IDWG （Intrusion Detection Working Group)定義，最后發(fā)表時(shí)間為2007年。IDMEF主要用于在不同的入侵檢測(cè)系統(tǒng)之間交換警報(bào)信息，從而實(shí)現(xiàn)商用、開源和在研等不同類型的入侵檢測(cè)系統(tǒng)之間可以自動(dòng)地交換數(shù)據(jù)。IDMEF的格式如圖1所示，只包括警報(bào)（Alert)和心跳（HeartBeat)兩種信息。警報(bào)信息中除了常用的時(shí)間、攻擊源類型等信息之外，還定了少量的工具、溢出攻擊等字段來說明攻擊的詳細(xì)信息，可以被基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)使用。IDMEF標(biāo)準(zhǔn)的定義時(shí)間較早，交換對(duì)象也僅限于入侵檢測(cè)系統(tǒng)之間警報(bào)信息，無法描述更豐富的不同類型的情報(bào)數(shù)據(jù)，因此作為最早的標(biāo)準(zhǔn)之一，盡管大多數(shù)入侵檢測(cè)系統(tǒng)都支持IDMEF格式的消息輸出，實(shí)際應(yīng)用并不廣泛。

OpenIOC

隨著APT攻擊的出現(xiàn)，人們希望能快速地將情報(bào)信息用于安全響應(yīng)，如將僵尸網(wǎng)絡(luò)的控制器加入黑名單，將攻擊軟件的代碼特征和網(wǎng)絡(luò)特征配置進(jìn)入主機(jī)防御系統(tǒng)和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。這些種類的情報(bào)信息被命名為IOC(Indicator of Compromise)，它們描述了入侵過程的各種可被觀測(cè)的信息。IOC信息根據(jù)復(fù)雜度可以被分為不同的種類，最簡(jiǎn)單的如IP地址、URL信息、郵件主題信息可以直接應(yīng)用在檢測(cè)中，文件Hash、報(bào)文負(fù)載的正則表達(dá)式特征則需要對(duì)原始數(shù)據(jù)進(jìn)行處理以后才可以使用，為了防止誤報(bào)，有時(shí)需要將多個(gè)簡(jiǎn)單或復(fù)雜的IOC組合以后才能唯一標(biāo)記出一類入侵。大量的威脅情報(bào)網(wǎng)站(如AlientVault公司的Open Threat Exchange)都定義了自己的IOC格式來發(fā)布不同類型的IOC信息,在應(yīng)用這些信息時(shí)，用戶需要開發(fā)不同的格式解析軟件，因此2013年Mandiant公司（以研究APT攻擊出名）定義了OpenIOC，一種基于XML的IOC數(shù)據(jù)表示標(biāo)準(zhǔn)，并提供了免費(fèi)軟件進(jìn)行OpenIOC的編輯。但是由于商業(yè)公司之間的壁壘，Mandiant公司沒能成功推廣該標(biāo)準(zhǔn)。

圖1 IDMEF消息格式

圖2 IODEF消息格式

IODEF

威脅情報(bào)交換不僅僅是設(shè)備間的交互，更重要的是不同組織之間的交互，事件對(duì)象描述交換格式(IODEF, Incident Object Description Exchange Format)被定義用于在不同的安全響應(yīng)組織之間進(jìn)行安全信息的交換。IODEF最初定義于2007年，經(jīng)過了長(zhǎng)期的發(fā)展，最后一版定義于2016年，期間經(jīng)歷了多個(gè)不同的工作組，目前由IETF的MILE工作組（ Managed Incident Lightweight Exchange）負(fù)責(zé)維護(hù)，主要負(fù)責(zé)單位為美國(guó)卡內(nèi)基梅隆大學(xué)的CERT。早期的IODEF和IDMEF相似，能表達(dá)的信息內(nèi)容有限，經(jīng)過長(zhǎng)期的發(fā)展，融合IOC等新出現(xiàn)的威脅情報(bào)數(shù)據(jù)類型，表達(dá)能力得到了很大的增強(qiáng)。其基本格式如圖2所示。IODEF以文檔（Document）為所有數(shù)據(jù)的總?cè)肟?，一個(gè)文檔可以包含多個(gè)事件，事件包含豐富的子屬性來描述事件發(fā)生的時(shí)間、原因、方法、影響范圍、聯(lián)系人信息等，同時(shí)也支持IOC數(shù)據(jù)的表示。2017年MILE工作組還發(fā)布了IODEF使用指南和使用調(diào)查報(bào)告兩個(gè)RFC（RFC 8274Incident Object Description Exchange Format Usage Guidance, RFC 8134 Management Incident Lightweight Exchange(MILE) Implementation Report），應(yīng)該說CERT作為全球安全響應(yīng)組織的重量級(jí)單位，對(duì)推廣IODEF的實(shí)用化起了很大作用。

STIX

結(jié)構(gòu)化威脅信息表示標(biāo)準(zhǔn)STIX（Structured Threat Information eXpression）是由MITRE公司提出的結(jié)構(gòu)化威脅情報(bào)交換格式標(biāo)準(zhǔn)，最早發(fā)布于2012年，后來交由標(biāo)準(zhǔn)化組織OASIS的CTI（Cyber Threat Intelligence)委員會(huì)負(fù)責(zé)，目前版本已經(jīng)發(fā)展到2.0（2017年），目前該工作組既包括了MITRE、CTIN這樣的安全公司，也包含了美國(guó)DHS等政府部門。STIX被定義為用于自動(dòng)化的威脅情報(bào)交換，以實(shí)現(xiàn)協(xié)同響應(yīng)和自動(dòng)化的威脅檢測(cè)分析。相對(duì)于前面幾類文檔式的數(shù)據(jù)格式，STIX的2.0版本全面采用了面向圖（Graph based）的表示結(jié)構(gòu)，將威脅情報(bào)的不同類型數(shù)據(jù)解構(gòu)成不同的節(jié)點(diǎn)類型，然后通過定義數(shù)據(jù)節(jié)點(diǎn)間的關(guān)系節(jié)點(diǎn)來描述更高層的信息。STIX定義的節(jié)點(diǎn)類型分成12種，從漏洞、惡意軟件、工具、攻擊模式、戰(zhàn)役、威脅角色、組織標(biāo)識(shí)等方面覆蓋了威脅的各個(gè)不同角度。

STIX對(duì)象類型

基于圖的結(jié)構(gòu)允許威脅數(shù)據(jù)以不同的角度來進(jìn)行展示，比如Campaign（戰(zhàn)役）從一次具體的攻擊過程來描述威脅信息，Attack Pattern（攻擊模式）則從通用攻擊模式的角度將不同的攻擊者、攻擊戰(zhàn)役進(jìn)行關(guān)聯(lián)。這種靈活的數(shù)據(jù)組織方式可以使用各類基于圖的算法或技術(shù)對(duì)威脅情報(bào)數(shù)據(jù)進(jìn)行組織和檢索。

STIX本身定義了大量的術(shù)語(在STIX中叫Vocabulary）來保證不同組織間可以盡量使用相同的術(shù)語對(duì)同一對(duì)象進(jìn)行描述，并引用了CAPEC、CVE等第三方標(biāo)準(zhǔn)進(jìn)一步加強(qiáng)術(shù)語的通用性。由于MITRE公司本身在安全標(biāo)準(zhǔn)領(lǐng)域的權(quán)威地位，STIX推出后得到了廣泛的認(rèn)可。

經(jīng)過長(zhǎng)時(shí)間的發(fā)展，這四種標(biāo)準(zhǔn)中 ，IODEF和STIX已經(jīng)發(fā)展的較為完善，是目前實(shí)際被廠商和安全組織支持最廣泛的兩種標(biāo)準(zhǔn)。這兩種標(biāo)準(zhǔn)在內(nèi)容上有一定的相似性，例如很多對(duì)象的命名上很相近。主要的差別在格式上，IODEF的文檔式結(jié)構(gòu)讓數(shù)據(jù)間耦合過緊，擴(kuò)展起來并太方便，而STIX基于圖的表示擴(kuò)展更為方便。另一方面，在表示對(duì)象上，IODEF依然以Incident為頂級(jí)主題，STIX則有不同的選擇，在對(duì)象支持上也更多。由于使用了圖結(jié)構(gòu)，STIX在存儲(chǔ)上和傳統(tǒng)的SQL數(shù)據(jù)庫(kù)相容性較差，需要No-SQL數(shù)據(jù)庫(kù)支持。